Hopp til hovedinnhold

Rapport Innsynsløsning – tekniske og juridiske muligheter

Oppdraget er å utrede muligheten for innsyn i personopplysninger

På oppdrag fra Kommunal- og distriktsdepartementet har Digitaliseringsdirektoratet gjennomført en mulighetsstudie med mål om å identifisere innsatsområder og tiltak som kan sikre at innbyggerne får oppfylt rettighetene sine etter personvernregelverket.

    Digdir Illustrasjon person med turlue og sekk med kikkert

    Innledning

    Ofte forbindes digitalisering med tekniske løsninger. I praksis handler digitalisering mer om hvordan mennesker over tid endrer måten de lever på. Digitalisering medfører store endringer, og påvirker privatliv, arbeidsliv og samfunn. Det kan frigjøre tid til helsearbeidere ved å automatisere bort rutinearbeid. Vi får musikken vår fra enorme samlinger gjennom abonnementer og går ikke i platebutikken lenger. Vi går ikke i banken for å betale regninger, og ferieturen bestilles på nett.

    Men hva skjer med informasjonssikkerhet og personvernet på tvers av digitale produkter og tjenester som stadig utvikler seg? Hvilke lover regulerer den digitaliserte hverdagen vår? Og hvordan kan det offentlige behandle personopplysninger på en måte som innbyggerne forstår?

    Hvorfor trengs utredningen?

    Personopplysninger rommer alt fra opplysninger lagret i offentlige registre til henvisninger i en e-post, og til adferdsdata som sporer hvordan man bruker en nettside for å nevne noe. Det er økende behov og forventning til at opplysningene i større grad skal flyte og brukes på tvers av ulike avdelinger, virksomheter, forvaltningsnivåer, sektorer og land. Samtidig ser vi en gryende bevissthet hos innbyggere som ønsker kunnskap om og kontroll over opplysninger som angår en selv.

    Den teknologiske utviklingen går fort, og i Norge skjer stadig mer offentlig kommunikasjon digitalt. Via EU og EØS-samarbeidet kommer også nye direktiver som vi i Norge må forholde oss til. Et digitalisert samfunn krever digital kompetanse for å fungere optimalt og som forventet. Dette gjelder både i privat og i jobbsammenheng.

    Trenden med utstrakt bruk av personopplysninger for å skape gode tjenester og brukeropplevelser blir bare mer aktuelt i tiden fremover. Opplysningene kan gi stor verdi, og i mange tilfeller er opplysningene nødvendige for at innbyggerne skal få tilgang til de tjenester de har krav på. Hvordan kan vi best mulig legge til rette for at personopplysninger brukes på en ansvarlig måte uten å utfordre etablert tillit, og den enkeltes kontroll over eget liv?

    Når man utvikler løsninger som behandler personopplysninger, fokuseres det gjerne i stor grad på at disse skal beskyttes og ikke deles med uvedkommende. Konfidensialitetshensynet må imidlertid balanseres med å sikre at opplysningene er tilgjengelige når de skal være det. Mine personopplysninger må være tilgjengelige for meg som innbygger, og for virksomheter som enten har lovhjemlet tilgang eller et informert samtykke fra meg til å bruke dem, til det beste for meg og for samfunnet.

    Sammenhengende tjenester og tillit

    Det er stor grad av kompleksitet som ligger bak sammenhengende tjenester og rettighetene som ivaretar innbyggeren i deres livssituasjon. Kompleksiteten driver frem behovet for «innebygd» tillit i form av åpenhet, god informasjon og veiledning som setter innbyggeren i stand til å forstå sin relasjon til offentlige og private virksomheter. God og forsvarlig behandling av personopplysninger er en forutsetning for at denne utviklingen kan skje i tråd med demokratiske prinsipper.

    I denne mulighetsstudien har vi forsøkt å forstå og se sammenhenger mellom regelverk og innbyggers og virksomheters behov. Vi har identifisert tre innsatsområder som kan bidra til bedre opplevelser for innbyggere, økt kompetanse og bevissthet om personvern, og bedre etterlevelse av regelverk.

    På oppdrag fra Kommunal- og distriktsdepartementet (KDD)

    Digitaliseringsdirektoratet fikk i supplerende tildelingsbrev 2021 følgende oppdrag fra Kommunal- og distriktsdepartementet.

    Digitaliseringsdirektoratet skal gjennomføre en mulighetsstudie i den hensikt å kartlegge tekniske og juridiske muligheter for å etablere en digital løsning som gir borgerne mulighet for innsyn i og, der regelverket åpner for det, økt kontroll over egne personopplysninger som behandles i offentlig sektor.

    Utredningen skal også gjøre rede for muligheten for at en slik løsning kan omfatte personopplysninger som behandles av privat sektor. Utredningen skal gi en overordnet beskrivelse av en eller flere mulige løsninger som kan gi borgerne enklere innsyn i og økt grad av kontroll over egne personopplysninger. Det skal gis en vurdering av tekniske, juridiske og økonomiske konsekvenser av, og ev. hindre for, de ulike løsningsalternativene.

    Oppdragsbeskrivelsen nedenfor er hentet fra supplerende tildelingsbrev.

    Personopplysninger er en ressurs med potensielt stor verdi. Presset på bruk av personopplysninger er økende. Regjeringen mener det er viktig å legge til rette for at borgerne i størst mulig grad har råderett over egne personopplysninger. Innsyn i og informasjon om behandling av personopplysninger er grunnleggende for utøvelse av andre rettigheter og ivaretakelse av eget personvern. Økt kontroll over egne opplysninger kan også gi grunnlag for økt tillit og økt vilje til å dele personopplysninger for bruk til nye formål. Regjeringen ønsker derfor å medvirke til at borgerne så enkelt som mulig skal kunne få innsyn i egne personopplysninger og benytte sine rettigheter etter personopplysningsloven og personvernforordningen hos offentlige virksomheter. En felles digital løsning for innsyn i og, der det er juridisk mulig, økt kontroll over egne personopplysninger kan være ett mulig virkemiddel for å gi borgerne bedre råderett over egne opplysninger.

    Personopplysningsloven (lov 15. juni 2018 nr. 38) og personvernforordningen (EUs forordning 2016/679) skal danne utgangspunkt for arbeidet, blant annet i vurderingen av hvilke opplysninger som anses som personopplysninger. Med innsyn menes de rettighetene de registrerte har til å få informasjon om behandling av opplysninger om seg selv i henhold til personvernforordningen art. 13–15 jf. art. 12. Innsyn skal gjøre det mulig for den registrerte å forstå hvilke opplysninger som behandles, hvem som behandler dem og for hvilket formål opplysningene behandles.

    Med kontroll over egne personopplysninger menes muligheten til å benytte rettighetene som følger av personopplysningsloven og personvernforordningen, slik som rett til retting eller sletting, og muligheten til å samtykke til deling og viderebehandling av personopplysninger hos nye behandlingsansvarlige og/eller for nye formål og ev. senere til å trekke dette samtykket tilbake. Kontroll over egne opplysninger kan også omfatte muligheten, og i noen tilfeller retten, til å ta med seg opplysningene til en ny behandlingsansvarlig.

    Utredningen skal inkludere en vurdering av hvilke offentlige etater det kan være relevant å inkludere i en felles digital løsning for innsyn i og kontroll over egne personopplysninger, samt hvilke rettigheter som kan inkluderes i løsningen. Siden også privat sektor behandler store mengder personopplysninger, skal det vurderes om det er mulig å knytte deler av privat sektor til den ønskede løsningen. Det kan særlig være relevant å vurdere integrasjon mot virksomheter som utveksler personopplysninger med offentlig sektor, som finans- og forsikringssektoren.

    Det er ikke en forutsetning at løsningsforslaget skal kunne realiseres isolert fra andre tilbud til innbyggerne. Dersom det i arbeidet fremstår som hensiktsmessig, kan forslag til løsning derfor teknisk knyttes til andre innbyggerløsninger som utvikles i regi av Digitaliseringsdirektoratet eller andre. Det vil for eksempel være relevant å se dette utredningsarbeidet i sammenheng med det pågående arbeidet med digital assistent. I arbeidet skal Digitaliseringsdirektoratet, på hensiktsmessig måte, involvere offentlige virksomheter som vil kunne bli berørt av en mulig teknisk løsning. I spørsmålet om integrasjon mot privat sektor, skal relevante private behandlingsansvarlige inviteres til dialog. Datatilsynet skal konsulteres i spørsmål som gjelder etterlevelse av personopplysningsloven og personvernforordningen. Det kan også se hen til tilsvarende arbeider i andre land, som f.eks. Sverige, eller internasjonale organisasjoners arbeid med ivaretakelse av de registrertes rettigheter.

    Personopplysningsloven består av nasjonale regler og EUs personvernforordning. Forordningen er et sett regler som gjelder for alle EU/EØS-land. Sammen med særlovgivning om personvern på enkelte områder, utgjør dette personvernregelverket.

    Personvernforordningen (PVF, General Data Protection Regulation (GDPR)) er en forordning som skal styrke og harmonisere personvernet ved behandling av personopplysninger i Den europeiske union (EU) og i EØS-området. Forordningen skal beskytte individer samtidig som den skal bidra til fri flyt av personopplysninger innad i EU/EØS. Forordningen omhandler også i noen grad behandling som skjer utenfor EU eller overføring av personopplysninger ut av EU.

    Personopplysninger er «enhver opplysning om en identifisert eller identifiserbar fysisk person («den registrerte»)», f.eks. et navn, et identifikasjonsnummer, lokaliseringsopplysninger, en nettidentifikator eller ett eller flere elementer som er spesifikke for nevnte fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identitet.

    Den registrerte er den fysiske personen som personopplysningene direkte eller indirekte knytter seg til. I denne rapporten er begrepet innbygger brukt som synonym, bortsett fra i den juridiske kartleggingen hvor «den registrerte» er brukt.

    Behandlingsansvarlig er en fysisk eller juridisk person, en offentlig myndighet, en institusjon eller ethvert annet organ som alene eller sammen med andre bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes; når formålet med og midlene for behandlingen er fastsatt i unionsretten eller i medlemsstatenes nasjonale rett, kan den behandlingsansvarlige, eller de særlige kriteriene for utpeking av vedkommende, fastsettes i unionsretten eller i medlemsstatenes nasjonale rett.

    Databehandler er en fysisk eller juridisk person, offentlig myndighet, institusjon eller ethvert annet organ som behandler personopplysninger på vegne av den behandlingsansvarlige.

    Fullmakt er en tillatelse som gir en annen juridisk eller fysisk person rett til å opptre på andres vegne. Forvaltningsloven § 12 fastsetter at man har rett til å opptre med fullmektig på alle trinn i forvaltningens saksbehandling. En fullmektig vil for eksempel kunne be om innsyn på vegne av fullmaktsgiveren så lenge denne disposisjonen omfattes av fullmakten.

    Samtykke enhver frivillig, spesifikk, informert og utvetydig viljesytring fra den registrerte der vedkommende ved en erklæring eller en tydelig bekreftelse gir sitt samtykke til behandling av personopplysninger som gjelder vedkommende.

    Tilgjengeliggjøring av personopplysninger brukes i dette arbeidet som tilgjengeliggjøring av personopplysninger som omhandler den registrerte selv.

    Identifisering er anvendelse av en identifikator (f.eks. et navn, et identifikasjonsnummer, lokaliseringsopplysninger, en nettidentifikator eller ett eller flere spesifikke elementer) for entydig å stadfeste at en person er en gitt rettighetshaver (autentisering).

    Personopplysningskilde er registre som distribueres, og hvor formålet er å utføre sentrale oppgaver i samfunnet på en effektiv måte, samt arkiv i offentlig sektor.

    Persondataregister er enhver strukturert samling av personopplysninger som er tilgjengelig etter særlige kriterier, enten samlingen er plassert sentralt, er desentralisert eller spredt på et funksjonelt eller geografisk grunnlag.

    Skyggeregister en kopi av det primære registeret, og som virksomheten selv er ansvarlig for å oppdatere.

    Gjenbruk av data beskriver opplysninger som brukes til nye formål i offentlig sektor.

    Viderebruk av data beskriver opplysninger innhentet eller skapt av offentlig sektor som brukes til nye formål av aktører utenfor offentlig sektor

    Digitalt økosystem er en enhet som oppstår og utvikles av gjensidig avhengige aktører gjennom samarbeid, samhandling og deling. Det kan være deling av data, løsninger, rammebetingelser og komponenter.

    Sammenhengende tjenester er tjenester som oppleves helhetlig for brukerne, uavhengig av hvilke virksomheter som tilbyr dem.

    Data er en digital representasjon av opplysninger.

    Metadata er "data om data”, eksempelvis hvilke type opplysninger som finnes.

    Datatype er en beskrivelse av data som forteller noe om typen.

    Beste praksis er en mønsterpraksis. En felles forståelse av en optimal praksis på et område.

    Slik har vi tolket oppdraget

    Arbeidet med denne rapporten har blitt utført av en tverrfaglig arbeidsgruppe. I tillegg ble en bredt sammensatt referansegruppe etablert, og arbeidsgruppen har også hatt samtaler og intervjuer med ulike domeneeksperter og fagmiljøer.

    Arbeidsgruppen har jobbet med ulike arbeidshypoteser som har strukturert arbeidet. Mulige innsatsområder og tiltak har løpende blitt videreutviklet og forankret i dialog med omgivelsene og oppdragsgiver.

    På et tidlig tidspunkt oppsummerte vi problemfeltet slik:

    • Innbyggerne har ikke fått oppfylt rettighetene gitt i personvernforordningen på en brukervennlig måte.

    • Det er et spenn i hvordan rettighetene innfris i offentlig sektor.

    • Innbyggernes rettigheter skal innfris på en god måte, samtidig som utredningen vurderer mulighetene for å realisere verdien i personopplysninger i større grad.

    De innledende diskusjonene resulterte i følgende målsetninger for arbeidet.

    Mulighetsstudien:

    1. viser hvordan en løsning for innsyn oppfyller innbyggernes rettigheter og behov
    2. beskriver mulighetene for en realiserbar løsning for innsyn på tvers av offentlig sektor
    3. beskriver hvordan innsynsløsningen er forutsetningen for ivaretakelse av de øvrige rettighetene innbyggeren har, slik som retting, sletting, samtykkebasert deling, protestering og portabilitet
    4. beskriver muligheten for at privat sektor kan tilknyttes en løsning for innsyn
    Digdir illustrasjon person med turlue og sekk ved veiskilt

    Sprik i forståelsen av behov og rettigheter

    I kartleggingsarbeidet har vi snakket med ulike virksomheter og innbyggerrepresentanter fra offentlig, privat og frivillig sektor. Opplevelse av problemfeltet synes å være ganske lik på tvers av sektorer. Samtidig ser vi enkelte områder med mer spredning i forståelsen av problem og mulige løsninger:

    • Noen virksomheter hevder at innsyn uten kontekst gir liten eller ingen verdi for innbygger. Andre mener at innsyn i seg selv vil bli viktigere og viktigere. Altså: bør innsyn løses med åpenhet i de samhandlingene innbygger har (eksempelvis sammenhengende tjenester), eller bør innsyn realiseres i form av mer dedikerte løsninger?

    • Flere nevnte at det vil gi liten mening å få digitalt innsyn dersom du ikke får anledning til å bruke det du får innsyn i til noe, på samme sted.

    • Det er usikkerhet og uenighet knyttet til behovet for innsyn og omfanget av innsynsretten. Virksomhetene vi har snakket med, har et relativt beskjedent volum av innsynskrav etter personvernforordningen. De som mottas, sees veldig ofte i sammenheng med avvik, eller uventede utfall av forvaltningsvedtak. Usikkerheten rundt hvordan behovet for åpenhet og terskelen for å søke innsyn vil utvikle seg fremover, ansees som reell.

    På grunn av usikkerhetene er rotårsaker relevant, da de kan betraktes som utløsende faktorer for å søke innsyn i egne opplysninger. Her blir også de andre rettighetene i regelverket vesentlige. God generell informasjon kan i mange tilfeller gjøre behovet for innsyn overflødig. Det vil også være rimeligere å adressere behov for informasjon i personopplysninger på et tidligst mulig stadium. Ulike former for innsyn etter ulike regelverk bør sees i sammenheng for å sikre god samhandling og tillit mellom innbygger og virksomheter. Dette gjelder både i privat og offentlig sektor.

    I fremtiden kan vi se for oss en virkelighet hvor personopplysninger er tilgjengelige, og brukes ansvarlig der det gir verdi. Sammenhengende tjenester understøttes av sammenhengende personvern, med oversikt og kontroll over hvilke personopplysninger som brukes av hvem og til hva. Vi ser for oss at det vokser frem nye markeder som gir verdi for innbygger, leverandør og samfunn.

    Avgrensinger av oppdraget

    Oppdraget fokuserer på innsyn etter personopplysningsloven og personvernforordningen. Innsyn som reguleres av særlovgivning, vil derfor ikke bli nærmere omtalt i rapporten.

    Oppdraget ba Digitaliseringsdirektoratet gjennomføre en mulighetsstudie for å "kartlegge tekniske og juridiske muligheter for å etablere en digital løsning" som legger til rette for innsyn og kontroll. I samtaler med interessenter ble det imidlertid tidlig klart at mulighetsstudien måtte være åpen for ulike innfallsvinkler til problemet, og at man ikke låste seg til en forutsetning om en felles innsynsløsning. Tiltakene ville dessuten kunne ligge på ulike nivåer slik som informasjonsforvaltning, retningslinjer og standarder.

    Et argument som støttet behovet for å vurdere flere mulige innsatsområder og tiltak, var at mange personopplysninger i én felles løsning ville gi juridiske utfordringer blant annet knyttet til behandlingsansvar, sikkerhet, med mere, og ville kunne gi opphav til nye personvernmessige risikoer. Innsiktsarbeidet pekte også på at én felles løsning ville innebære omfattende teknisk og organisatorisk kompleksitet, og at det kunne være vanskelig å forsvare en slik investering ut ifra et kost/nytte-perspektiv. Både oppdragsgiver og arbeidsgruppa erkjente derfor tidlig at problemkomplekset uansett må brytes opp i mindre biter, for å kunne gi verdi til innbyggerne på et tidligere tidspunkt. Vi har derfor valgt å fokusere på tiltak som er aktuelle og mulige å iverksette i dagens situasjon. De foreslåtte tiltakene tar tak i grunnleggende utfordringer for innbyggerne og virksomheten, som vi mener reflekterer dagens modenhetsnivå på feltet.

    Et annet argument som ble presentert, er at virksomhetene selv kjenner sine opplysninger best, og at det derfor er best at virksomhetene presenterer disse for innbyggerne på en korrekt og forståelig måte.

    Utgangspunktet var derfor å kartlegge problemet og behovene, for så å identifisere relevante løsninger. Denne tilnærmingen ble avklart med oppdragsgiver på et tidlig stadium.

    Oppdragstekstens fokus på viderebruk av personopplysninger, ble også tonet ned etter innledende samtaler med blant annet Datatilsynet og etter ønske fra oppdragsgiver. Dette ble ansett som både fornuftig med tanke på hva som er realistisk mulig, og for at ikke omfanget ikke skulle bli for stort. Det pågår i tillegg flere andre initiativ knyttet til datadeling der temaet viderebruk behandles eksplisitt.

    Arbeidsgruppa kom videre til en erkjennelse av at det ville bli krevende å gjennomføre en fullstendig samfunnsøkonomisk analyse av tiltakene på et så tidlig tidspunkt, og at usikkerheten knyttet til effektene ville være høy. Oppdraget som ble gitt, er en mulighetsstudie, og det var ikke målsetningen at det skal utarbeides en ferdig løsning innenfor de rammene som er gitt. Vi har derfor valgt å fokusere på å identifisere og til dels kategorisere virkninger, i samråd med oppdragsgiver. For de større tiltakene vil det være aktuelt å gjennomføre en samfunnsøkonomisk analyse på et senere tidspunkt dersom de videreføres, når løsningene er blitt nærmere konkretisert.

    En siste viktig føring er at innbyggers behov og innbyggerrettede tiltak har fått høyest prioritet, og målet er at innbyggerperspektivet skal ha en sentral plass i den digitale utviklingen. I praksis er det likevel slik at det er vanskelig å oppfylle innbyggernes behov uten å i noen grad adressere virksomhetenes relaterte utfordringer. Noen av tiltakene er derfor rettet mot å understøtte virksomhetens evne til å kunne tilby gode løsninger for innbyggerne.