Rapport Innsynsløsning – tekniske og juridiske muligheter

Problemet sett fra ulike perspektiver

Innbyggernes perspektiver, sammen med teknologiske, juridiske og organisatoriske rammer, gir et helhetlig bilde av temaet mulighetsstudien søker å svare på.

    Digdir illustrasjon tre personer med turlue snakker sammen forran blå sirkel uten bakgrunn

    Retten til å kreve innsyn er ingen ny rettighet, men fulgte også av personopplysningsloven 2000. Personvernforordningen som i 2018 erstattet personverndirektivet, og som blant annet innførte svært høye gebyrsatser, medførte økt oppmerksomhet knyttet til virksomheters etterlevelse og ivaretakelse av innbyggernes personvern, herunder retten til å kreve innsyn.

    Overgangen til en mer datadreven forvaltning har ført til økt kompleksitet i tjenestene. Samhandlingen på tvers av etater øker, og det er ikke alltid intuitivt for innbyggeren å vite hvem som har ansvaret for hva.

    Fra et virksomhetsperspektiv kan man si at personvernforordningen fortsatt ikke er operasjonalisert på en tilstrekkelig god måte for å imøtekomme innbyggerens behov og krav. Årsaken til dette er sammensatt, og handler om hvilke organisatoriske og teknologiske tiltak man har etablert i virksomhetene på dette området. Rammeverket for digital samhandling hjelper til å se dette problemet fra ulike perspektiver.

    Innbyggerens perspektiv

    Det norske samfunnet er preget av høy tillit til offentlige myndigheter. Samtidig viser Datatilsynets personvernundersøkelse 2019/2020 at norske innbyggere i stor grad kjenner til personvernforordningen og er generelt opptatt av personvern. Denne mulighetsstudien har likevel avdekket noen utfordringer for innbyggeren i utøvelsen av innsynsretten.

    Den nordiske modellen gir et unikt utgangspunkt

    ESOP (Senter for studier av likhet, sosial organisering og økonomisk utvikling) karakteriserer den nordiske modellen på følgende måte:

    Norden har de siste 70 årene kombinert sosial trygghet og kapitalistisk dynamikk på en særegen måte. Denne måten å organisere samfunnet på betegnes som den nordiske eller skandinaviske modellen. Noen kjennetegn er sterke fagforeninger, sterke arbeidsgiverorganisasjoner, stor velferdsstat og rutinemessige sentralt koordinerte kollektive forhandlinger mellom partene i arbeidslivet. De skandinaviske landene karakteriseres av små lønnsforskjeller, universelle velferdsordninger som gjelder for alle, og forpliktelse til full sysselsetting fra myndighetenes side. De nordiske økonomiene er små, åpne økonomier med økonomisk vekst på linje med andre kapitalistiske land. Den nordiske modellen er dermed tilpasset et system med fri internasjonal handel, blant annet gjennom sentraliserte lønnsforhandlinger der forholdene i eksportnæringene er avgjørende for lønnsveksten i hele økonomien.

    Tillit er i en rapport fra Nordisk Ministerråd blitt kalt det «nordiske gullet», og blir trukket frem som den ressursen som har skapt størst verdier for landene i nord. Høy sosial tillit bidrar til livskvalitet, og gir også grunnlag for konkurransekraft.

    Generell høy tillit til offentlige myndigheter

    Flere undersøkelser over tid viser et vedvarende høyt tilitsnivå i Norge, sammenlignet med EU for øvrig. I en undersøkelse fra Transparency International Norge vises det til at "andelen som oppgir stor tillit ligger i intervallet 48–77 prosent for gjennomsnittet av EU-landene, mens den tilsvarende andelen i Norge ligger i intervallet 61–91 prosent."

    Det har tidligere vært gjennomført flere personvernundersøkelser på vegne av Datatilsynet. Den siste ble gjort i 2019/2020, ca. halvannet år etter innføringen av personvernforordningen i 2018. Undersøkelsen viser generelt høy tillit til offentlige myndigheter, og med enkelte unntak har respondentene større tillit til offentlige enn private virksomheter. Undersøkelsen peker samtidig på noen fallgruver som understreker behovet for å unngå utilsiktede konsekvenser ved utviklingen av nye digitale løsninger.

    Befolkningens høye tillit er en dynamisk størrelse. Den beveger seg i takt med samfunnsutviklingen for øvrig og i forbindelse med konkrete hendelser. For eksempel så vi et fall i tillit til myndighetene under koronapandemien. Undersøkelser viser også fall i tillit til politikere i kjølvannet av høstens og vinterens avsløringer i tilknytning til pendlerboliger. Selv om det er en vanskelig øvelse å anslå hvordan befolkningens tillit vil utvikle seg fremover, er det rimelig å anta at redusert tillit vil medføre økt behov for å utøve kontroll med offentlige myndigheters behandling av personopplysninger. En slik utvikling vil igjen kunne medføre at antall innsynskrav etter personopplysningsloven vil øke.

    Tillit henger sammen med omfanget av innsynskrav

    Aktørintervjuene viser at omfanget av innsynskrav etter personopplysningsloven per i dag har et relativt beskjedent omfang. Det kan være flere årsaker til dette. Særlig nærliggende er det å tenke at lav kunnskap om rettigheten kombinert med befolkningens høye tillit til myndighetene bidrar til et relativt sett få innsynskrav. Til støtte for dette pekes det i noen av aktørintervjuene på at det er langt større omfang av innsynsbegjæringer i andre europeiske land som også preges av lavere tillit, slik som Spania og Tyskland. En annen mulig forklaring på det lave omfanget av innsynskrav kan være at behovet for innsyn i forvaltningens myndighetsutøvelse, i Norge dekkes av partsinnsynet i forvaltningsloven.

    Et annet mulig funn fra vårt kartleggingsarbeid er at virksomhetens eller den enkelte saksbehandlers tillit til den som krever innsyn, i noen tilfeller kan tenkes å påvirke hvordan innsynskravet behandles. Dette er noe man bør være oppmerksom på i arbeidet med utvikling av innsynsløsninger og prosesser knyttet til det å kreve om innsyn.

    Innbyggernes kjennskap til personvernregelverket

    Svarene i Datatilsynets personvernundersøkelse 2019/2020 viste at 63 prosent kjente til det nye personvernregelverket, mens 37 prosent svarte at de ikke kjente til regelverket i det hele tatt.

    Svarene viste at nesten halvparten av respondentene (48 prosent) mener at innføringen av det nye personvernregelverket har styrket deres personvern fra liten og opp til stor grad. Like mange (48 prosent) svarer at de ikke vet. Fem prosent oppgir at det ikke har styrket personvernet. Med unntak av de som svarer «vet ikke», så oppgir de fleste at innføringen av det nye regelverket har styrket deres personvern. Det er få som mener at regelverket ikke har styrket deres personvern.

    Nedkjølingseffekt

    Personvernundersøkelsen 2019/2020 omtaler også nedkjølingseffekten. Frykten for å bli overvåket, eller at noen skal bruke opplysninger om oss til formål vi ikke er klar over, kan føre til endret atferd. Når vi mister kontroll over hvem som vet hva om oss, blir vi tvunget til å ta hensyn til usikkerhetsfaktoren. Konsekvensene kan være at vi tenker gjennom og revurderer hva vi skriver, hvem vi har kontakt med og hva vi foretar oss. Denne selvreguleringen som følge av overvåkingsfrykt kalles «nedkjølingseffekten».

    En konsekvens av en slik nedkjøling i et åpent, demokratisk samfunn kan bidra til en svekkelse av den reelle ytringsfriheten. Selv om Norge er blant landene i verden hvor ytringsfriheten står sterkest, kan usikkerhet knyttet til konsekvensene av å ytre seg føre til at flere velger å la være. Dette kan igjen føre til at fri meningsutveksling, et bærende fundament i et velfungerende demokrati, forringes. I tillegg kan overvåkingsfrykt føre til endret atferd på individnivå, for eksempel ved at mennesker avstår fra å søke hjelp om tabubelagte forhold av frykt for at informasjonen ikke forblir konfidensiell.

    Svarene viser at langt flere unnlater å gjøre visse aktiviteter, eller endrer atferd på grunn av usikkerhet knyttet til private selskapers bruk av personopplysninger, sammenlignet med myndighetsovervåking.

    Ikke-digitale innbyggere

    Alle innbyggere, inkludert ikke-digitale, har lik rett til å få innfridd rettighetene sine.

    I 2021 utarbeidet Kompetanse Norge en rapport om «Befolkningens digitale kompetanse og deltagelse», etter oppdrag fra Kommunal- og distriktsdepartementet. Rapporten tar utgangspunkt i en undersøkelse fra året før om bruk av internett og digitale verktøy. Digitale ferdigheter ble kartlagt, samt behov og hindringer for å utvikle disse ferdighetene. Det ble også sett på ønsker om opplæring. I undersøkelsen ble det satt fokus på personer over 60 år (heretter kalt «seniorer») og personer utenfor arbeid og utdanning («ikke-sysselsatte»), men også befolkningen totalt sett, med personer fra og med 16 år.

    Undersøkelsen viste at den norske befolkningen har gode grunnleggende ferdigheter, og at de fleste nordmenn er digitale brukere. Likevel svarer hele seks av ti at de i noen eller stor grad har behov for å få styrket sine digitale ferdigheter.

    Funnene viste at gruppene med de svakeste digitale ferdighetene var; seniorer, lavt utdannede, de med lav husholdningsinntekt, de uten jobb, samt de som bor i mindre sentrale kommuner. En betydelig andel seniorer har ingen eller lite erfaring med digitale oppgaver man ofte møter ved bruk av digitale tjenester. Det antydes et behov for ulike opplæringstilbud.

    Befolkningens digitale ferdigheter har økt de siste 13 årene. Utviklingen i samfunnet gjør at kravet til digital kompetanse øker, og alle vil ha behov for å utvikle sine ferdigheter i fremtiden. Spesielt i dagliglivet opplever «ikke-brukere» og «svake brukere» et behov for å få økt sin kompetanse, i takt med at flere varer og tjenester blir digitaliserte. Svake digitale ferdigheter kan bli en hindring i det daglige, og flere sliter med å henge med på den digitale utviklingen.

    Fullmakter for innbyggere

    For at noen skal kunne utføre en digital tjeneste på vegne av andre, må det utstedes en fullmakt. En slik fullmakt kan gi fullmektigen rett til å kreve innsyn på vegne av fullmaktsgiver. Fullmakter kan knyttes til ulike registre, som eksempelvis vergemål fra Folkeregisteret. For innbyggerne finnes det i dag ingen samlet oversikt over hvilke fullmakter som er gitt. Innbyggers mulighet til å ha oversikt over sine representasjonsforhold avhenger av at dette arbeidet prioriteres.

    Problemet sett fra innbyggers perspektiv

    Personvernforordningen gir innbyggeren en rekke rettigheter, blant annet rett til å kreve innsyn, og beskriver også detaljert hva innbyggeren minimum har krav på. Selv om utlevering/tilgjengeliggjøring av personopplysninger skjer i tråd med innsynskravet, kan det tenkes at innbyggerens behov ikke fullt ut dekkes av innsynet. Dette arbeidet handler derfor både om innbyggernes rettigheter og om innbyggerens behov.

    En innbygger har i løpet av livet kontakt med offentlige virksomheter gjennom mange livsfaser som fødsel, skolegang, arbeidsliv, sykdom og lignede.

    Dette er noen av utfordringene vi har avdekket gjennom arbeidet:

    1. Hvor finnes opplysninger om meg? Innbyggeren vet gjerne ikke hvor man finner opplysninger om seg selv. Innbygger som trenger innsyn må selv vite hvilke personopplysninger som finnes lagret, hvilken virksomhet som forvalter dem, og finne rett kontaktpunkt. Å få oversikt over hvilke virksomheter som har personopplysninger, kan være krevende for innbyggeren.
    2. Hvordan behandles opplysninger om meg? Innbyggeren mangler god forståelse for hvilke offentlige virksomheter som behandler personopplysninger, til hvilke formål, og hvordan disse brukes og deles. Behandling av personopplysninger kan oppleves som lite gjennomsiktig og forståelig for innbygger.
    3. Innbyggeren mangler en enkelt tilgjengelig inngang for å finne informasjon rundt rettigheter og innsyn.
    4. Innbyggeren kjenner ikke nødvendigvis regelverket eller sine rettigheter på dette området. Utgangspunktet for en innbygger som vil kreve innsyn, er at denne gjerne søker enten en generell forståelse av hvilke opplysninger det offentlige har om seg og hvordan de behandles, eller er ute etter å løse et konkret problem. Personvernforordningen må i en slik kontekst sees i sammenheng med annet regelverk som gir rett til innsyn. Innbygger får i dag ikke nødvendig informasjon og veiledning om ulike innsynsrettigheter.
    5. En innbygger som verken har norsk fødselsnummer eller D-nummer, kan ikke logge seg inn i de digitale løsningene som offentlige virksomheter tilbyr, og vil derfor ikke kunne benytte seg av digitale løsninger som tilrettelegger for innsyn.
    6. Innbyggeren opplever prosessen rundt fullmakt som utfordrende. Det er ulik praktisering på tvers av ulike virksomheter og kontorer. Særlig for ikke-digitale innbyggere kan det være vanskelig og tidkrevende å gi fullmakt, spesielt digitale fullmakter.
    7. Innbyggeren får utlevert innsyn i mange ulike formater. Utlevering i forbindelse med innsynskrav skjer til dels på papir og dels ved digitale løsninger. Ulik utleveringspraksis er ikke begrunnet i innbyggers behov, men styres av virksomhetens systemer og praksis.
    8. Det mangler tilrettelegging for at innbygger kan viderebruke egne personopplysninger. Innbyggeren kan derfor i liten grad viderebruke sine personopplysninger til andre formål, og det skaper en terskel hos innbyggeren for å kunne ta i bruk nye tjenester.

    Denne problemforståelsen er grunnlaget for de prioriterte behovene som er lagt til grunn for innsatsområdene som beskrives.

    Digdir illustrasjon to personer med turlue stabler røde klosser

    Tekniske perspektiver

    For å lykkes med å etablere digitale løsninger for innsyn og kontroll må informasjonen være tilgjengelig teknisk. IKT-løsninger må ha systemstøtte for å utføre innsyn, og aller helst kunne støtte automatiske prosesser. Da kreves det gode funksjoner for samhandling (integrasjoner). I tillegg må man kunne trekke ut riktig informasjon til riktig bruker, og informasjonen må kunne formateres slik at den forstås av bruker. Det er opp til egen virksomhet å utvikle tekniske løsninger for utveksling av data fra egne løsninger. Det bør utvikles standardiserte grensesnitt som muliggjør maskinell overføring av opplysninger.

    Teknisk tilgjengelighet er en forutsetning

    Teknisk samhandling sikrer at ulike systemer kan «snakke sammen», og handler om evnen til å utveksle informasjon teknisk og standarder/beste-praksis for dette. Tekniske standarder som skal brukes i offentlige virksomheter, reguleres i forskrift om IT-standarder i offentlig forvaltning. For å lykkes med å etablere digital løsning for innsyn og kontroll må informasjonen være tilgjengelig teknisk.

    Verktøykassen for deling av data er et hjelpemiddel og gir oversikt over tilgjengelige verktøy som også kan bidra til å gi innsyn og kontroll for bruker i tillegg til generell hjelp til deling av data.

    Målet er et felles økosystem

    Økosystem for nasjonal digital samhandling og tjenesteutvikling skal legge til rette for god samhandling mellom kommunale og statlige virksomheter, med innbyggere, frivillige organisasjoner og næringsliv i Norge. Dette krever godt samarbeid mellom forvaltnings­nivåene om juridiske, organisatoriske, semantiske og tekniske problemstillinger. Felles økosystem skal bidra til at offentlige tjenester oppleves som sammenhengende for brukerne uansett hvilken offentlig virksomhet som tilbyr dem.

    Behovene som skal dekkes for innsyn og kontroll er likeartede og uavhengig av virksomheter og sektorer. Mulige løsninger for å dekke behovene knyttet til innsyn og kontroll må derfor kunne fungere på tvers av ulike virksomheter, og det bør vurderes hvordan disse løsningene kan inngå som en del av et felles økosystem for nasjonal digital samhandling og tjenesteutvikling.

    I økosystem for nasjonal digital samhandling og tjenesteutvikling er det felles ressurser og offentlige, private og frivillige virksomheter som til sammen utgjør økosystemet. Ressursene er innenfor juridisk, organisatorisk, semantisk og teknisk nivå, og inneholder en rekke IKT-løsninger, bestepraksisbeskrivelser, standarder, prinsipper osv.

    Et av formålene med et felles økosystem er at felles ressurser skal identifiseres og gjenbrukes framfor å bygge eget. Ressursene skal kunne brukes som distribuerte byggeklosser i utvikling av sluttbrukertjenester.

    Når man lager en tjeneste, skaper denne sitt eget økosystem som krysser ulike andre økosystem innen de sektorene og fagområdene den er avhengig av. Andre sektorer kan f.eks. være privat, kommunal, statlig eller frivillig sektor. Mulige løsninger og tiltak som foreslås i denne utredningen, vil kunne inngå som ressurser i felles økosystem.

    De overordnede arkitekturprinsippene for digitalisering av offentlig sektor er en støtte til arbeid med virksomhetsarkitektur og skal bidra til økt samhandlingsevne på tvers av virksomheter og sektorer. De er også viktige prinsipper i de foreslåtte tiltakene. Blant annet skal prinsippet om «del og gjenbruk løsninger» og «lag digitale løsninger som støtter samhandling» viktige forutsetninger for de tiltak vi foreslår.

    Problemet sett fra et teknisk perspektiv

    • Det er utfordrende å kunne tilby innsyn når en virksomhet sine løsninger er bygget for å løse domenespesifikke og lokale behov.

    • Det er påpekt manglende standardisering av krav til IKT-systemer slik at de enklere kan gi innsyn etter personvernforordningen. Fra et teknisk perspektiv må man kunne ha mulighet til å gjøre søk og uttrekk av data det ønskes innsyn i. Fagsystemer må kunne tilgjengeliggjøre og sammenstille informasjon fra ulike tjenesteområder og fremstille disse for den registrerte.

    • Innsyn etter personvernforordningen er i dag gjerne en manuell prosess, hvor det kan være rom for skjønn og ulike tolkninger av innsynskrav og innholdet i innsynet. Innsynsforespørsler kan komme fra ulike kanaler, f.eks. via e-post eller egen løsning for innsynskrav. I innsiktsarbeidet har flere aktører påpekt at det i mange tilfeller kreves oppfølging av forespørselen for å forstå innbyggers behov.

    • Det er i dag få virksomheter som har en tilnærmet komplett selvbetjent innsynsløsning for personopplysninger som behandles i egen virksomhet. Gjenbrukbare løsninger for innsynskrav finnes ikke i dag. Alle aktører må lage dette selv, og innbyggere må kontakte hver enkelt virksomhet direkte. For å forenkle situasjonen for innbygger, vil en felles løsning for innsynskrav gjøre det mulig for innbygger å be om innsyn ved å henvende seg ett sted, og dermed kunne søke innsyn på tvers av virksomheter.

    • I virksomheter med mange ulike tjenesteområder i tillegg til historiske arkiver, kan det være en krevende oppgave å kunne identifisere «alt» man har registrert om en innbygger. Strukturert informasjon i fagsystemer er gjerne det mest tilgjengelige, mens ustrukturert informasjon i dokumenter og arkiv er krevende å gjenfinne og tilgjengeliggjøre.

    • Sikker utlevering av personopplysninger er et krav, og virksomhetene må sørge for at riktig bruker får riktig tilgang og/eller utlevering. Autentisering og autorisasjon må bygges inn i innsynsløsningen og knyttes til de data som det bes innsyn i. Siden mange typer innsyn i dag gjøres med manuelle prosesser, og også mot løsninger som ikke er utviklet med tanke på innsyn, er dette mangelfullt i dag.

    Semantiske perspektiver

    Semantisk samhandlingsevne sikrer presis formatering og at betydningen av data som utveksles, beskyttes og ikke endrer mening i dialogen mellom ulike aktører. Med andre ord, det som er sendt, er det som blir forstått. I EIF-modellen dekker semantisk samhandlingsevne både semantikk og syntaks. Vi oppnår denne evnen gjennom informasjonsforvaltningsarbeidet.

    Hva menes med semantikk

    Semantikk innenfor informasjonsforvaltning handler om at informasjon er tilstrekkelig presisert, slik at mennesker og maskiner kan kommunisere informasjonen videre med hverandre på en korrekt måte, og på tvers av sektorer. Semantikk kan i hovedsak knyttes til to ulike nivåer; begreper og informasjonsmodeller. Begreper viser til definisjoner av informasjonselementer, og informasjonsmodeller viser til hvordan informasjonselementene er bygget og satt sammen innenfor et tema eller område.

    Oversikt over data

    Det er en ønsket målsetning at alle offentlige virksomheter skal ha oversikt over sine data, herunder personopplysninger, slik at det blir mulig å etablere en felles oversikt over de dataene som eksisterer. I ambisjonstrappen vises det til at første målsetning er å etablere en felles oversikt. Hensikten er at samfunnet på sikt skal oppnå effektiv bruk av data.

    For at ambisjonen skal kunne oppnås, må virksomhetene ha orden i eget hus. Orden i eget hus innebærer at alle offentlige virksomheter vet hvilke data de forvalter. Det innebærer også at virksomheten kan vise til hva dataene betyr, hvilke prosesser dataene brukes til, og at de vet hvem som kan bruke dataene.

    Målsetningen om å ha oversikt over data reflekteres også i personvernlovgivningen, ettersom kontroll over hvilke personopplysninger som inngår i behandlingsaktivitetene er en forutsetning for å kunne ivareta flere av den registrertes rettigheter. Det finnes ikke i dag en veiledning som retter seg spesifikt mot å holde orden på personopplysninger, men informasjon om plikten og mal for protokoll etter personvernforordningen art. 30 finnes på Datatilsynets nettside. I tillegg drifter og videreutvikler Digitaliseringsdirektoratet en egen løsning for protokoll/behandlingsoversikt. Tilsvarende løsning finnes i enkelte større virksomheter som NAV og Statens Veivesen. KS har etablert en registreringsløsning for protokoll.

    Det er en kjent utfordring at det er svært få virksomheter som i dag oppnår ambisjonsmål 1. Mange virksomheter prioriterer ikke ressurser til dokumentasjon og forvaltning av informasjonen de har. Årsakene til lav prioritering er flere, men det pekes på at økonomi og manglende kompetanse er to sentrale faktorer.

    Kartlegging av personopplysningskilder

    I arbeidet med å kartlegge viktige personopplysningskilder er det i hovedsak gjort søk etter registre som inneholder personopplysninger. Det er valgt å rette søkelys mot registre hvor formålet er å utføre sentrale oppgaver i samfunnet på en effektiv måte.

    I denne mulighetsstudien har vi ikke gjort en kartlegging av interne virksomheters systemer, databaser o.l. som brukes til saksbehandling. Det er heller ikke forsøkt å kartlegge skyggeregistre, selv om disse for mange virksomheter kan være en viktig kilde til personopplysninger. Årsaken til at skyggeregistre ikke er kartlagt, er at det er en ønsket samfunnsutvikling å unngå denne praksisen grunnet utfordringer med opplysningskvalitet og dobbeltarbeid. Videre er arkiv i offentlig sektor en viktig personopplysningskilde, ettersom det er arkivet ofte innbyggerne oppsøker for å finne informasjon om egen historie, samt rettighetsdokumentasjon.

    Per i dag finnes det ikke en offentlig og overordnet oversikt over hvilke personopplysningskilder som finnes hos ulike virksomheter. Det gjør det utfordrende å finne ut av hvem som har ansvaret for autorative personopplysningskilder, og hva som faktisk finnes av personopplysninger hos statlige og kommunale virksomheter. I fremtiden burde det derfor være enklere å se hvem som har hovedansvaret for personopplysninger som i høy grad distribueres på tvers av sektorer.

    Nedenfor er det en oversikt over ulike registre etter ulike kategorier. Oversikten er ikke fullstendig.

    Nøkkelopplysninger om innbyggere

    Folkeregisteret omfatter nøkkelopplysninger om alle personer som er bosatt eller har vært bosatt i Norge. Navn, adresse, attester, ekteskap og dødsfall er eksempler på opplysninger Folkeregisteret inneholder. Registeret er en sentral personopplysningskilde for mange virksomheter, slik som skattemyndighetene, banksektoren og arbeidsgivere. Folkeregisteret inneholder sentrale grunndata om innbyggere og tidligere bosatte i Norge. Skatteetaten er behandlingsansvarlig for registeret.

    Kontaktopplysninger

    Kontakt- og reservasjonsregisteret (KRR) inneholder oppdatert kontaktinformasjon om innbyggerne. Det er Digitaliseringsdirektoratet som er behandlingsansvarlig for registeret. Opplysningene i KRR brukes til saksbehandling og øvrige forvaltningsoppgaver. Det er personen selv som registrerer og oppdaterer sine kontaktopplysninger.

    Inntekt- og arbeidsforhold

    Det er arbeidsgivernes lønnsopplysninger som er kilde til inntektsopplysningene i Arbeidsgiver- og arbeidstakerregisteret (AA-registeret). Registeret inneholder alle opplysninger som er omfattet av meldeplikten. Det er NAV som er behandlingsansvarlig, og registeret brukes som kilde til grunndata om innbyggernes arbeidsforhold for NAV og andre virksomheter. Det er arbeidsgiverens lønnsopplysninger som er kilde til inntektsopplysningene som registreres i AA-registeret. Videre er det Enhetsregisteret som er kilde til hvilken arbeidsgiver vedkommende har.

    Skattelistene er en viktig kilde til innbyggernes inntektsopplysninger, og inneholder inntektsopplysninger om innbyggerne. Skattelistene inneholder følgende opplysninger:

    • navn
    • fødselsår (organisasjonsnummer for selskaper)
    • postnummer og poststed
    • kommune
    • nettoinntekt (alminnelig inntekt før særfradrag, nettoinntekten omfatter ikke tillegg i alminnelig inntekt etter skatteloven § 10–42 eller oppjustert alminnelig inntekt etter skatteloven §§ 10–11, 10–31, 10–42 og 10–44)
    • nettoformue
    • skatt

    Alle personer over 16 år har tilgang til opplysningene som er registrert i Skattelistene. Skatteetaten er behandlingsansvarlig for innholdet i skattelistene.

    Utdanning

    Vitnemålsportalen inneholder resultater og tilhørende kvalifikasjoner på utdannelse. Den enkelte velger selv om opplysningene kan deles videre med andre instanser. Registeret er utviklet på oppdrag fra Kunnskapsdepartementet. Kilden er viktig for innbyggere, utdanningsinstitusjoner, arbeidsgivere og for forskning. Kunnskapsdepartementet er behandlingsansvarlig for portalen.

    Førerkort

    Statens vegvesen er behandlingsansvarlig for førerkortregisteret. Registeret inneholder opplysninger om gyldig førerkort og yrkessjåførkompetanse. Opplysningene brukes både til private formål og til å utføre forvaltningsoppgaver.

    Helseopplysninger

    Det finnes i dag en rekke helseregistre hvor blant annet Folkehelseinstituttet, Norsk Helsenett eller Helsedirektoratet er behandlingsansvarlig. Opplysningene brukes ofte for å effektivisere og trygge behandlinger, samt til forskning. Opplysningene brukes i liten grad til å utføre forvaltningsoppgaver, ettersom de er taushetsbelagte. Direktoratet for e-Helse arbeider i dag med Helseanalyseplattformen for å forenkle tilgang til helsedataene og å styrke personvernet.

    Private kilder

    I privat sektor forvaltes det også registre som inneholder personopplysninger. Mange private virksomheter har oversikt over kundeforhold og medlemskap. Det er usikkert i hvilken grad denne typen av registre gjenbrukes.

    Alle som har skattbar inntekt oppføres også i et kredittopplysningsregister, hvor informasjon om betalingsevne oppføres. Kredittbyråer og banktjenester bruker registret i sin virksomhet. Det er den enkelte private virksomhet som er behandlingsansvarlig for opplysningene.

    Informasjonsforvaltning og semantiske utfordringer

    Informasjonsforvaltning handler om å forvalte data, opplysninger og informasjon på en slik måte at virksomheten har tilstrekkelig oversikt og innsikt i sin informasjon. Informasjonsforvaltning skal bidra til at virksomheten på en effektiv måte kan dele dataene og opplysninger om disse på forespørsel. Slik kan informasjonsforvaltning bidra til bedre kvalitet og mer effektivt digitalt innsyn ovenfor den registrerte.

    Semantiske utfordringer oppstår når det er misforståelser eller tvil om beskrivelsen av informasjonen. Noen ganger er opplysningene gitt en tydelig definisjon som er forankret i lovgivningen og andre rettskilder, men i mange tilfeller er det opp til den ansvarshavende virksomheten å tolke og definere opplysningene på egen hånd. Det er derfor fort gjort å lage upresise begrepsdefinisjoner, da virksomheten selv ofte må sørge for definisjoner. Det finnes mange eksempler der behandlingsansvarlige på forhånd ikke har definert tydelig nok hva som inngår i den enkelte opplysningstypen. Konsekvensen er at behandlingsansvarlig ikke har tilstrekkelig kontroll over hva som faktisk behandles, samt at den registrerte får et feilaktig inntrykk av hvilke opplysninger som lagres og behandles. Videre er det uheldig om ulike aktører beskriver like personopplysninger på ulike måter. Det vil kunne forvirre den registrerte og i verste fall kunne føre til uriktig bruk ved en overføring av personopplysningene til en annen part.

    Hovedutfordringen i dag er at begrepsbeskrivelser og informasjonsmodeller er mindre utbredt og i liten grad tilgjengelig for utenforstående. Det er svært få virksomheter som har etablert begrepsoversikter og informasjonsmodeller for sine områder. Ofte er det slik at de som har etablert informasjonsmodeller og begrepsoversikter, følger egne tilnærminger, slik at disse kan være vanskelige å utveksle og forstå for andre parter.

    Det finnes i dag veiledninger og standarder for hvordan begreper skal defineres og spesifikasjoner for informasjonsmodellering. Det finnes dessuten en standard for begrepskoordinering, som kan hjelpe virksomheter med å komme frem til felles begreper.

    Digdir illustrasjon person med turlue løper forran blå former

    Juridiske perspektiver

    Personvernforordningen erstattet i 2018 Personverndirektivet. Forordningen er gjennomført i norsk rett gjennom personopplysningsloven § 1. I tillegg gir loven en rekke utfyllende nasjonale regler om vern og behandling av personopplysninger der forordningen åpner for nasjonale regler. I denne sammenheng er § 16, som regulerer unntak retten til innsyn, særlig relevant.

    Selv om personvernforordningen i stor grad viderefører mange av reglene i direktivet, er det noen viktige endringer. Blant annet er reguleringen lovteknisk sett en forordning, hvilket innebærer at innholdet blir direkte gjeldende i medlemslandene. Videre er det innført svært høye gebyrsatser, noe som har medført at innføringen av personvernforordningen har fått betydelig oppmerksomhet både hos virksomheter og i det offentlige rom.

    I norsk akademia har Senter for rettsinformatikk lang tradisjon for å forske på problemstillingene som oppstår i skjæringspunktet mellom juss og data. Senteret ble etablert allerede i 1970, og har gjennom sitt arbeid de siste 50 årene vært en internasjonal tungvekter når det kommer til personvern, rettsinformatikk og forskningen på den elektroniske forvaltningen. Blant annet utviklet Knut Selmer interesseteorien. Interesseteorien peker blant annet på at individet har en interesse i innsikt og kunnskap, og for at denne interessen skal kunne ivaretas, er innsyn i og informasjon om det offentliges bruk av personopplysninger et sentralt virkemiddel.

    Gjennom intervjuene var det flere aktører som pekte på innbyggerens lave “bestillerkompetanse” i forbindelse med innsynskrav. Forskjellige former for innsynsrett er hjemlet i personvernforordningen, forvaltningsloven, offentleglova, samt i en rekke særlover som presumtivt framstår som uoversiktlig og lite intuitivt for mange. Å formidle innsynskravet til rette instans, krever i noen tilfeller i tillegg god kjennskap til forvaltningens oppgaver og dens oppbygging. Innbyggeren vil typisk ikke ha særlig kunnskap om forskjellige typer innsyn, hvilke innsyn som egner seg best til hvilke formål, eller hvor det er hensiktsmessig å henvende seg for å kreve det innsynet innbyggeren ønsker i en gitt situasjon.

    I tillegg viser intervjuene at mange virksomheter opplever regelverket som uklart. For eksempel er det knyttet usikkerhet til hvor langt innsynsretten strekker seg. Flere problemstillinger ble tatt opp i intervjuene. For eksempel: skal det utleveres loggdata eller andre metadata? Hvordan langt skal virksomhetene strekke seg for å gi innsyn i ustrukturerte data? I hvor stor grad kan de kreve at innsynskravet spisses? Hvordan sikre sikker utlevering av opplysningene?

    Det tegner seg med andre ord et bilde preget av manglende kompetanse og usikkerhet knyttet til kvaliteten og innholdet, både for innsynskravet og selve innsynet.

    Ulike rettslige grunnlag for innsyn

    I forbindelse med innsynsarbeidet gikk det fram at skillet mellom de forskjellige lovpålagte innsynsrettighetene som foreligger, ofte ikke framstår som helt klart. Mange aktører beskriver at det ikke framstår som klart hvilken type innsyn innbygger ønsker, eller hvilken type innsyn de faktisk ber om, når det fremmes krav om innsyn. I noen tilfeller gikk det fram fra intervjuene at skillet mellom ulike innsynskrav heller ikke framsto helt klart for aktørene selv.

    Offentlig forvalting har etter forvaltningsloven § 11 en generell plikt til å veilede parter slik at de i størst mulig grad kan ivareta «sin tarv» på best mulig måte. Dette vil også kunne omfatte veiledning av innbyggere slik at de settes i stand til å be om det innsynet som best dekker innbyggerens behov. I det følgende gir vi derfor en kort oversikt over de viktigste innsynsrettighetene og forskjellene på disse, slik at det skal være klart for leseren at den øvrige teksten er avgrenset til å omfatte innsyn etter personopplysningsloven. Rett til å kreve innsyn følger også av en rekke særlover som for eksempel i pasientjournalloven § 5-1, men disse vil ikke beskrives nærmere her.

    Innsyn etter offentleglova (dokumentinnsyn) 

    Innsynsretten etter offentleglova gjelder i hovedsak innsyn i offentlige dokumenter som saksdokumenter og journaler hos offentlige myndigheter, og i noen tilfeller, hos private virksomheter som eies av det offentlige. Formålet med innsyn etter offentleglova er todelt. For det første skal retten til innsyn bidra til å ivareta demokratiske prinsipper ved å bidra til åpenhet og transparens, ytrings- og informasjonsfrihet, og medborgerskap og kontroll med det offentliges myndighetsutøvelse. For det andre skal loven legge til rette for viderebruk av opplysninger det offentlige har i sin besittelse.  

    Offentleglova § 13 fastsetter at opplysninger som er underlagt lovpålagt taushetsplikt, skal unntas fra innsyn. Et slikt unntak finnes ikke for personopplysninger. Det betyr at et dokumentinnsyn vil kunne inneholde personopplysninger om andre, så lenge disse ikke er omfattet av taushetsplikt. Personvernforordningen art. 86 stadfester også at personopplysninger som inngår i offentlige dokumenter, kan utleveres i tråd med offentleglovas bestemmelser om innsyn.

    Innsyn etter forvaltningsloven (partsinnsyn) 

    Dersom man er part i en sak, det vil si den personen et enkeltvedtak retter seg mot eller som avgjørelsen direkte angår, har man rett til å gjøre seg kjent med sakens dokumenter (fvl. § 18). Partsinnsyn gir oss mulighet til å forstå hvilke opplysninger og vurderinger som ligger til grunn for utfallet av en avgjørelse. På denne måten kan vi selv vurdere som saksopplysninger er riktige og om saken er godt nok opplyst. Formålet med dette innsynet er først og fremst å gi borgerne mulighet for å ivareta sin egen sak, herunder å utøve retten til kontradiksjon og klage. Selv om et partsinnsyn vil inneholde personopplysninger, retter innsynet seg mot selve saksdokumentene og ikke personopplysningene som sådan.  

    Innsyn i egne personopplysninger

    Personvernforordningen (PVF) artikkel 15 oppstiller en omfattende innsynsrett for den registrerte. Innsynsretten etter personvernforordningen gjelder for egne personopplysninger. I motsetning til partsinnsynet og dokumentinnsyn er fokuset for dette innsynet selve opplysningene og ikke dokumentene. Dette er blant annet slått fast av Personvernnemda:

    Personopplysningsloven gir ikke hjemmel for å kreve innsyn i saksdokumenter. Det er forvaltningsloven som gir rett til dokumentinnsyn. Etter personopplysningsloven kan man bare få informasjon om hvilke opplysninger som er registrert om en selv, og det er ikke det samme som at man får innsyn i selve dokumentet.

    Personvernnemda

    Rett til å kreve innsyn i egne personopplysninger

    Formål med innsynsretten

    Formålet med bestemmelsen er å gi enkeltpersoner tilstrekkelig, transparent og enkelt tilgjengelig informasjon om behandlingen av opplysninger som er knyttet til dem selv. Slik informasjon vil kunne gjøre den enkelte oppmerksom på og i stand til å verifisere lovligheten av behandlingen og nøyaktigheten av de opplysninger som behandles om vedkommende. Innsynsretten vil kunne gjøre det enklere – men er ikke en betingelse – for den registrerte å utøve andre rettigheter etter PVF, slik som retten til sletting, retting, protest osv. Retten til å kreve innsyn må sees i sammenheng med den registrertes rett til informasjon, jf. PVF artikkel 13 og 14.

    For at innsyn i egne personopplysninger skal bidra til økt kontroll og mulighet for ivaretagelse av eget personvern, oppstiller PVF art. 15 ikke bare en rett til innsyn i selve personopplysningene, men også en rett til informasjon knyttet til den konkrete behandlingen. På den måten skal den registrerte settes i stand til å for eksempel vurdere den behandlingsansvarliges rettslige grunnlag for behandlingen og få informasjon om hvilke andre behandlingsansvarlige opplysningene er utlevert til. 

    Innsynsretten omfatter tre forskjellige forhold:

    1. bekreftelse på om personopplysninger om den registrerte behandles eller ikke
    2. innsyn i personopplysningene
    3. tilgang til informasjon om behandlingen, for eksempel formål, kategorier av personopplysninger og evt. mottakere, varigheten av behandlingen, registrertes rettigheter og nødvendige garantier ved overføring til tredjeland

    Om innsynskravet

    Det er ingen spesifikke krav til formatet for en innsynskrav. Den behandlingsansvarlige skal tilby passende og brukervennlige kommunikasjonskanaler som enkelt kan brukes av den registrerte. Den registrerte er imidlertid ikke pålagt å bruke disse kanalene, og kan i stedet sende forespørsel til et offisielt kontaktpunkt for den behandlingsansvarlige, for eksempel til elektronisk postmottak.

    Ved gjennomgang av innholdet i kravet må den behandlingsansvarlige avklare om forespørselen gjelder personopplysninger om vedkommende som har inngitt forespørselen. Det må også avklares om forespørselen faller inn under artikkel 15, og om det finnes andre, mer spesifikke, bestemmelser som regulerer tilgangen i en bestemt sektor. Det må videre avklares om forespørselen gjelder alle eller bare deler av de opplysninger som behandles om vedkommende.

    Omfanget av innsynsretten

    Omfanget av innsynsretten bestemmes av omfanget av begrepet personopplysninger. Dette er definert slik i PVF artikkel 4(1):

    enhver opplysning om en identifisert eller identifiserbar fysisk person («den registrerte»); en identifiserbar fysisk person er en person som direkte eller indirekte kan identifiseres, særlig ved hjelp av en identifikator, f.eks. et navn, et identifikasjonsnummer, lokaliseringsopplysninger, en nettidentifikator eller ett eller flere elementer som er spesifikke for nevnte fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identitet

    I tillegg til grunnleggende personopplysninger som navn, adresse, mobilnummer o.l., vil det kunne være stor variasjon av opplysninger som kan falle innenfor definisjonen i artikkel 4. Dette kan eksempelvis være medisinske funn, kjøpshistorikk, kredittverdighetsindikatorer, aktivitetslogger, søkeaktiviteter osv. Personopplysninger som har gjennomgått pseudonymisering er fortsatt personopplysninger – i motsetning til anonymiserte data.

    Retten til innsyn refererer til personopplysninger om vedkommende som inngir kravet. Dette kan være opplysninger som også kan angå andre personer, og slikt innsyn må dermed vurderes med utgangspunkt i taushetsbestemmelser o.l.

    Innsynsretten i artikkel 15 må sees i sammenheng med den behandlingsansvarliges informasjonsplikt etter artiklene 13 og 14. Dette innebærer at den behandlingsansvarlige – i tillegg til å gi tilgang til de konkrete personopplysningene – skal gi ytterligere informasjon om behandlingen og om registrertes rettigheter. Denne informasjonen kan basere seg på opplysninger som allerede foreligger. Dette kan for eksempel være den behandlingsansvarliges protokoll over behandlingsaktiviteter i henhold til artikkel 30 og personvernerklæringen, jf. artiklene 13 og 14. Slik generell informasjon må imidlertid oppdateres til tidspunktet for kravet, eller presiseres for å gjenspeile behandlingsaktivitetene som er utført overfor personen som har inngitt forespørselen.

    Slik kan innsyn gis

    De ulike måtene å gi innsyn på vil kunne variere, og vil være avhengig av mengden personopplysninger og kompleksiteten ved behandlingene som utføres. Kravet skal som utgangspunkt forstås å omfatte alle personopplysninger om den registrerte, med mindre annet er uttrykkelig angitt. Dersom den behandlingsansvarlige behandler store mengder personopplysninger, kan den registrerte bes om å spesifisere forespørselen.

    Den behandlingsansvarlige virksomhet må søke etter personopplysninger i alle systemer basert på søkevilkår som gjenspeiler måten informasjonen er strukturert på.

    Formidling av personopplysninger og annen informasjon om behandlingen til den registrerte skal leveres i en kortfattet, transparent, og lett tilgjengelig form, ved hjelp av klart og enkelt språk, jamfør art. 12. Kravene i art. 12 må ses i sammenheng med konkrete forhold knyttet til den registrerte som krever innsyn (for eksempel med tanke på at den registrerte er et barn eller en person med spesielle behov). Hvis personopplysningene består av koder eller andre "rådata", må disse forklares på en måte som gir mening for den registrerte.

    Som hovedregel vil tilgang til innsyn innebære å gi den registrerte en kopi av opplysningene. Annen tilgang – eksempelvis muntlig informasjon og tilgang «på stedet» – kan gis dersom den registrerte ber om det. Opplysningene kan sendes via e-post, forutsatt at alle nødvendige sikkerhetstiltak blir tatt hensyn til, for eksempel kryptering av dataene. Opplysningene kan også gis på andre måter, for eksempel via en selvbetjeningsløsning. I personvernforordningen fortalepunkt 63 framgår det at den behandlingsansvarlige kan og bør tilby elektroniske selvbetjeningsløsninger:

    Dersom det er mulig, bør den behandlingsansvarlige kunne gi fjerntilgang til et sikkert system der den registrerte kan få direkte tilgang til egne personopplysninger.

    Dersom mengden opplysninger er svært stor, og det vil være vanskelig for den registrerte å forstå informasjonen hvis den gis samlet, kan den mest hensiktsmessige formen være en lagdelt tilnærming. Ved en slik framgangsmåte må den behandlingsansvarlige kunne vise at den lagdelte tilnærmingen har en merverdi for den registrerte. Dersom den registrerte ber om det, skal alle lagene leveres samtidig.

    Kopien av personopplysningene og eventuell tilleggsinformasjon skal gis i en permanent form. Dette kan eksempelvis være skriftlig tekst i en vanlig elektronisk form, slik at den registrerte enkelt kan laste den ned. Opplysningene kan gis i en transkripsjon eller en kompilert form så lenge all informasjonen er inkludert, og dette ikke endrer innholdet i informasjonen.

    Sikker utlevering

    Den enkelte behandlingsansvarlige virksomhet har plikt til å sørge for at personopplysningene som behandles, sikres ved et egnet sikkerhetsnivå, jf. PVF artikkel 32. Dette gjelder også for utlevering av personopplysninger i forbindelse med krav om innsyn. Det må, som følge av dette, gjøres en risikovurdering av på hvilken måte innsyn skal gis, eksempelvis hvordan utlevering skal skje (digital oversendelse, tilgjengeliggjøring, per papir), samt hvordan man sikrer at opplysningene utleveres til rett person.

    Risikovurderingen må bl.a. gjøres ut fra hvor beskyttelsesverdig personopplysningene er, og vil være avhengig av hvilken løsning som benyttes for utlevering, samt hvordan sikker identifisering/autentisering utføres.

    Frist for utlevering

    Forespørselen må oppfylles så snart som mulig og i ett hvert fall innen en måned etter at kravet ble mottatt av den behandlingsansvarlige virksomhet. Denne fristen kan forlenges med ytterligere to måneder dersom det er nødvendig av hensyn til kompleksiteten og omfanget av kravet. Den registrerte må da informeres om årsaken til forsinkelsen.

    Den behandlingsansvarlige må sørge for nødvendige tiltak for å håndtere innsynskrav så snart som mulig etter mottak, og tilpasse disse tiltakene til omstendighetene rundt behandlingen. Dersom opplysningene bare lagres for en svært kort tid, skal den behandlingsansvarlige iverksette tiltak for å garantere at en forespørsel om innsyn kan oppfylles uten at disse opplysningene slettes mens forespørselen behandles.

    Unntak og begrensninger

    Personopplysningsloven § 16 angir unntak fra retten til informasjon og innsyn for opplysninger som

    • a) er av betydning for Norges utenrikspolitiske interesser eller nasjonale forsvars- og sikkerhetsinteresser, når den behandlingsansvarlige kan unnta opplysningene etter offentleglova §§ 20 eller 21
    • b) det er påkrevd å hemmeligholde av hensyn til forebygging, etterforskning, avsløring og rettslig forfølgning av straffbare handlinger
    • c) det må anses utilrådelig at den registrerte får kjennskap til av hensyn til vedkommendes helse eller forholdet til personer som står vedkommende nær
    • d) i lov eller med hjemmel i lov er underlagt taushetsplikt
    • e) utelukkende finnes i tekst som er utarbeidet for intern saksforberedelse, og som heller ikke er utlevert til andre, så langt det er nødvendig å nekte innsyn for å sikre forsvarlige interne avgjørelsesprosesser
    • f) det vil være i strid med åpenbare og grunnleggende private eller offentlige interesser å informere om

    Opplysninger som nevnt i første ledd bokstav c kan på anmodning likevel gjøres kjent for en representant for den registrerte når ikke særlige grunner taler mot det.

    Den som nekter å gi innsyn i medhold av første ledd, må begrunne dette skriftlig og gi en presis henvisning til unntakshjemmelen. Dersom innsyn nektes på grunnlag av første ledd bokstav f, skal det også angis hvilke hensyn som begrunner hemmelighold...

    Personopplysningsloven § 16

    Begrensinger av innsynsretten

    I tillegg åpner personvernforordningen for visse begrensninger i tilknytning til innsynsretten:

    I henhold til artikkel 15(4) skal retten til å få en kopi ikke påvirke andres rettigheter og friheter. Dersom artikkel 15(4) kommer til anvendelse, skal dette ikke resultere nektelse av den registrertes forespørsel i sin helhet. Innsynet skal da begrenses ved at den behandlingsansvarlige sørger for å utelate eller gjøre uleselige de delene som kan ha negative effekter for andres rettigheter og friheter.

    Artikkel 12(5) gjør det mulig for den behandlingsansvarlige å avvise innsynskrav som åpenbart er grunnløse eller overdrevne, eller å kreve et rimelig gebyr for slike forespørsler. Siden det er svært få begrensinger knyttet til krav om innsyn, er adgangen til å vurdere en forespørsel som åpenbart ubegrunnet er ganske begrenset.

    Relevante regelverk fra EU

    eIDAS er en EU-forordning om elektronisk identifikasjon og tillitstjenester for elektroniske transaksjoner i det europeiske indre marked, innført i 2014. eIDAS er gjennomført i norsk rett gjennom Lov om elektroniske tillitstjenester, og trådte i kraft 15. juni 2018. eIDAS-forordningen er nå under revisjon. Kommisjonen la i juni 2021 fram et forslag der de foreslår en rekke endringer i eIDAS-forordningen. Forslaget er til behandling i Rådet og Parlamentet.

    eIDAS-forordningen skal sikre et velfungerende indre marked og et tilfredsstillende sikkerhetsnivå for elektronisk identifikasjon (eID) og tillitstjenester på tvers av EU/EØS-land. Målet er å etablere digitale, sikre og felles aksepterte løsninger som kan brukes grensekryssende til offentlige og private tjenester. Forordningen skal også bidra til at medlemstatene har tillit til hverandres eID-løsninger.

    Det er nå foreslått en konkretisering av hvordan en harmonisert felles ID-løsning skal se ut. Blant annet foreslås rammeverk for en digital «ID-lommebok» kalt European Digital Identity Wallet. Fysiske og juridiske personer skal få tilgang til pålitelige og sikre digitale identitetsløsninger som kan brukes innenfor EU, og som ivaretar brukernes personvern. De foreslåtte tjenestene vil muliggjøre en tilpasset utveksling av data som ikke tilgjengeliggjør flere personopplysninger enn det som er nødvendig (dataminimering). Brukerne gis full kontroll over egne personopplysninger og en garanti for datasikkerhet ved bruk av digitale identitetsløsninger. Alle medlemsstater må utstede dette til sine innbyggere gratis.

    Lommeboken skal utstedes med høyeste sikkerhetsnivå. Harmoniseringen blir håndhevet ved at alle medlemsland må gjennom sertifisering, test og vurdering av sine løsninger for å sikre at de er funksjonelt identiske.

    Eksempler på attesterte attributter som lommeboken kan inneholde, kan være:

    • Førerkort
    • Pass
    • Nasjonalt ID-kort
    • Styringsmiddel for internet of things (IOT)
    • Adgangskort til jobb eller skole
    • Bibliotekkort
    • Digitale sentralbankpenger

    Denne listen vil bli mye lengre og i praksis dekke alt man kan ha i en fysisk lommebok i dag – og mye som ikke kan være i en fysisk lommebok, men i en elektronisk.

    Relevans for innsyn

    En digital lommebok vil ikke tilfredsstille kravene til innsyn i personopplysninger i personvernforordningens forstand. Løsningen vil i tillegg omfatte andre kategorier av opplysninger enn personopplysninger. Denne utredningens mandat er imidlertid ikke begrenset til å vurdere løsninger for hvordan slik innsyn kan gi, men åpner også for at det skal utredes hvorvidt løsninger kan gi innbyggerne kontroll over egne personopplysninger gjennom blant annet å tilrettelegge for deling og viderebehandling. I den sammenheng vil den digitale lommeboken kunne være et viktig bidrag til økt vilje og evne til å dele dokumenter (attesterte attributter) som inneholder personopplysninger for viderebruk.

    Data Governance Act (DGA) er et forslag til forordning fra EU. Forordningen er EØS-relevant og vil også gjelde for Norge. Formålet med reguleringen er å øke viderebruk av data gjennom blant annet å etablere trygge og tillitsvekkende rammer og mekanismer for datadeling. Forordningen omfatter data som er underlagt tredjeparts beskyttelse, som for eksempel personopplysninger, forretningshemmeligheter og opplysninger som er beskyttet av immaterialretten. Det er et viktig poeng at DGA ikke oppstiller en delingsplikt, men regulerer rammer for deling når den først skjer.

    Isolert sett vil ikke retten til innsyn berøres av DGA, all den tid innsyn i egne personopplysninger ikke er å anse som viderebruk av data. Løsninger som fasiliteter rene innsyn isolert sett, vil dermed ikke påvirkes direkte av reglene DGA oppstiller. Forslag, tiltak og løsninger som tilrettelegger for at den registrerte kan samtykke til viderebruk av egne opplysninger, vil imidlertid falle under DGAs anvendelsesområde.

    Digdir illustrasjon to personer med turlue sitter ved gult bål og skilt_uten bakgrunn

    Organisatoriske perspektiver

    Det er flere utfordringer som kan nevnes når vi ser på det organisatoriske perspektivet. Personvern er ikke hovedfokus hos de fleste virksomheter, og området lider til dels under manglende økonomi og prioritering. Gevinster på dette området er ofte ikke synlig på kort sikt og kan fort oppstå hos andre, noe som gjør det vanskelig å måle og synliggjøre dette innad i virksomheten.

    Virksomhetene opplever ofte også mangel på både kompetanse og kapasitet på fagområdet. Dette nevnes på bakgrunn av våre intervjuer, da i stor grad det juridiske, men handler også om å omsette jus til praktisk gjennomføring. Denne problemstillingen trekkes også frem i Datatilsynets Personvernsombudundersøkelse for 2020/2021.

    Samtidig opplever mange av virksomhetene utfordringer knyttet til å holde oversikt over alle de personopplysningene man er behandlingsansvarlig for, selv om man har kontroll over de viktigste personopplysningene.

    En kompliserende faktor er at personvernregelverket treffer veldig mange tjenesteområder, noe som gjør det både kostbart og omfattende å implementere effektive prosesser i virksomhetene. En norsk kommune er en stor og sammensatt virksomhet med ansvar for mange viktige velferdstjenester som skolegang, barnehage, sosialhjelp, barnevern, legehjelp og sykehjem, og har samtidig ansvar for blant annet bibliotek, renovasjon, og vann og avløp.

    Mange virksomheter mangler også gode prosesser og verktøy for oppfølging av innsynsforespørsler. Dette er både en organisatorisk og teknisk problemstilling. Prosessen er overbygget, mens verktøy sikrer at man holder oversikt og kontroll underveis i prosessen. En innsynsforespørsel vil ofte besvares av mange ulike saksbehandlere innenfor ulike tjenesteområder, og prosessen med å besvare og sammenstille disse resultatene er en kompleks prosess.

    Innsynsforespørsler er også til dels ganske ulike. Mange virksomheter har ingen veiledning eller mal for innsynsforespørsler, og får forespørsler av ulik karakter. Saksbehandlere må tolke forespørselen, og besvare ut fra deres tolkning av innsenders behov. Eksempelvis; én innbygger kan ønske å søke erstatning for tapt barndom, mens en annen ønsker innsyn i hva som ble lagret av informasjon i forbindelse med en jobbsøknad. Dette gjør det vanskelig for virksomhetene å utvikle selvbetjeningsløsninger som dekker alle behovene.

    Styring og forvaltning

    Norge har en solid desentralisert modell for styring og forvaltning i offentlig sektor som bidrar til å opprettholde et levende lokaldemokrati, og handlingsrom i de ulike sektorene. En ulempe med dette vil kunne være at det tar lengre tid å forankre og skape konsensus rundt tiltak som skal realiseres på tvers av mange ulike virksomheter og sektorer. Når det er sagt, så vil dette også bidra til å sikre konsensus rundt retningen til ulike større digitaliseringstiltak.

    Uavklarte finansieringsmodeller og diskusjoner rundt ansvars- og oppgavedeling mellom ulike offentlige virksomheter, forvaltningsnivåer og privat sektor kan ses på som både en del av årsaken til at vi ikke har kommet lengre på dette feltet, samtidig som det vil være en vesentlig suksessfaktor for å realisere tiltak på tvers.

    Aktiviteter for å sikre bedre nasjonal samordning og koordinering av hvordan personvern ivaretas best mulig, vil kunne gi positive effekter på utviklingen på dette området. Et eksempel på dette som kan trekkes frem, kan være å tegne opp bedre grenseganger rundt hvor langt Datatilsynet går i sine veiledninger for så sikre handlingsrom for andre aktører slik som sektormyndigheter og Digitaliseringsdirektoratet til å gå noe lengre i å konkretisere hvordan personvernet skal løses på sine domener.

    Det er identifisert et potensiale for bedre krav knyttet til innebygd personvern og innsyn spesielt i forbindelse med utvikling eller anskaffelse av nye systemer. Vi har undersøkt tiltak knyttet til virkemidler som statens standardavtaler og generell kompetanseheving.

    Videre har vi også sett en trend rundt at flere større aktører utvikler egne løsninger for å dekke bl.a. informasjons- og dokumentasjonsplikten (behandlingsoversikt/protokoll iht. PVF art. 30), og at disse løsningene mest sannsynlig kunne hatt et gjenbrukspotensiale for andre virksomheter.

    Relevante strategier og rapporter

    Digital Europe Programme (DIGITAL) 2021–2027 er EUs investerings- og kapasitetsbyggingsprogram for digital omstilling og bruk av innovative digitale teknologier i samfunn og næringsliv. For å løse Europas utfordringer knyttet til digitalisering ønsker EU å investere i fellesløsninger og infrastruktur som ingen europeiske land har anledning til å investere i alene. EU ønsker med dette programmet å bidra til at målene i sin digitaliseringsstrategi kan realiseres. Personvern er en viktig forutsetning til at EU kan nå sine mål, og innbyggers rettigheter til innsyn blir mer og mer viktig fremover, desto mer løsninger som bruker, gjenbruker, viderebruker og analyserer data om bruker.

    Formålet med meldingen er å legge fram regjeringens politikk for verdiskaping med data som ressurs. Framveksten av dataøkonomien forventes å bli en viktig driver for økonomisk vekst. Regjeringen vil at Norge skal utnytte mulighetene som ligger i data, til økt verdiskaping, flere nye arbeidsplasser i hele landet, og en effektiv offentlig sektor. Bedre utnyttelse av data er viktig om Norge skal lykkes i overgangen til et mer bærekraftig samfunn og en grønnere økonomi. Regjeringens ambisjon er å få til økt deling av data innad i næringslivet og mellom offentlig og privat sektor.

    Regjeringen vil legge til rette for ansvarlig dataøkonomi i Norge, og arbeide for at bruken av data skjer på en rettferdig, etisk og ansvarlig måte. Sikkerhet og personvern må ivaretas. Forbrukernes rettigheter må sikres, og det må legges til rette for rettferdige konkurranseregler for norske og internasjonale aktører. Kunstig intelligens og stordataanalyse kan bidra til at tjenester blir bedre tilpasset den enkelte. Samtidig er det viktig å forhindre diskriminering, manipulasjon av informasjon og misbruk av informasjon. Åpenhet, likebehandling og rettssikkerhet er viktige demokratiske verdier som også må gjelde i dataøkonomien.

    Vi kan se på ambisjonene knyttet til dataøkonomi som en viktig behovsdriver knyttet til personvern og ansvarlig bruk av data i stort. Hvordan behovene vil utvikle seg fremover, er det knyttet en del usikkerhet til. Stortingsmeldinga peker på både mulige risikoer og muligheter innen dette området. Dette mulighetsstudiet har ikke fokusert så mye på datadeling isolert sett, men ser at en satsning på godt personvern vil kunne gi positive effekter for hvordan personopplysninger anvendes i både offentlig og privat tjenesteyting, og ved myndighetsutøvelse.

    Digitalisering av offentlig sektor skal gi en enklere hverdag for innbyggere, næringsliv og frivillig sektor gjennom bedre tjenester, mer effektiv ressursbruk i offentlige virksomheter og legge til rette for produktivitetsøkning i samfunnet. Hensikten med strategien er å understøtte digital transformasjon i hver enkelt virksomhet, og i offentlig sektor som helhet. Strategien gjelder for offentlig sektor i perioden 2019–2025, og er lagt fram sammen av kommunal og statlig sektor.

    Digitaliseringsstrategien er en oppfølging av Stortingsmeldingen Digital agenda (2015–2016). Strategien definerer felles mål og innsatsområder for digitaliseringsarbeidet frem mot 2025.

    Hovedmålet i strategien er «enklere hverdag for innbyggere og næringsliv». Strategien retter seg mot en tydelig brukersentrert tjenesteutvikling og mer effektiv og samordnet utnyttelse av felles IT-løsninger. Dette gjennom utvikling av felles økosystem for digital samhandling i offentlig sektor hvor offentlig sektor digitaliseres på en åpen, inkluderende og tillitvekkende måte. Brukerne skal settes i sentrum gjennom utvikling av mer sammenhengende tjenester basert på viktige livshendelser.

    Digital agenda for Norge slår fast prinsippet om at forvaltningen skal gjenbruke informasjon i stedet for å spørre brukerne på nytt om forhold de allerede har opplyst om – «kun-én-gang»-prinsippet.»

    En handlingsplan for strategien er utredet av Digitaliseringsdirektoratet, KS, enkelte departementer og store virksomheter i statlig og kommunal sektor som er med i samarbeidsrådet Skate. Status på initiativene i handlingsplanen skal oppdateres hvert halvår.

    Kunstig intelligens (KI) kan få stor betydning for samfunnsutviklingen. Teknologi som kan gi oss helt nye verktøy for å løse samfunnsutfordringer, forbedre offentlige tjenester og bidra til økt verdiskaping i næringslivet. Nasjonal strategi for kunstig intelligens ble lagt fram i januar 2020.

    Strategien fremhever at tillit og personvern er nødvendige faktorer innen kunstig intelligens (KI), og har som mål at «Norge skal gå foran i utvikling og bruk av kunstig intelligens med respekt for den enkeltes rettigheter og friheter» og at «utvikling og bruk av kunstig intelligens i Norge skal ivareta den enkeltes integritet og personvern».

    Europakommisjonen la i april 2021 fram et forslag til regulering av kunstig intelligens. Målet er å gjøre EU best i verden når det gjelder utvikling og bruk av sikker, pålitelig og menneskesentrert KI. Tillit til KI-systemer er viktig og nødvendig for at for at det sosiale og økonomiske potensialet i KI kan utnyttes fullt ut. Forslaget har vært på en bred høring, og Norge har oversendt en nasjonal posisjon.

    Den svenske Arbetsförmedlingen, E-hälsomyndigheten, DIGG og Skatteverket fikk i 2020 i oppdrag å undersøke forutsetninger for hvordan individets mulighet for innsyn i og kontroll over egne personopplysninger forvaltet av offentlig og privat sektor, kan forbedres. Oppdraget er på mange måter likt utgangspunktet for dette mulighetsstudiet.

    Den svenske utredningen peker på personopplysningers store verdi og sentrale plass i en sektordrevet innsats som har gått gjennom en vridning fra å digitalisere for å oppnå effektiviseringsgevinster, til å digitalisere for å dekke innbyggers og næringslivets behov for enkle, effektive og tilgjengelige tjenester. I arbeidet med å skape sammenheng rundt brukeren, så pekes det på sektoransvaret som en utfordring når det kommer til å løse de store tversektorielle oppgavene.

    Det å se data som en strategisk ressurs fremheves som vesentlig, og Nordens posisjon med registre av stort omfang og høy kvalitet gir muligheter dersom man lykkes med å sikre godt personvern og ansvarlig bruk av dataene.

    Det pekes på stort gevinstpotensial i et bedret personvern da det kan åpne for mer innbyggerkontrollert viderebruk av personopplysninger, som kan ligge til grunn for utviklingen av nye innovative tjenester for både innbyggere og virksomheter. Dette kan bli et viktig bidrag til å utvikle dataøkonomien.

    Den konseptuelle modellen som presenteres i denne rapporten, vurderes til å kunne bygges på den felles nasjonale infrastrukturen som er under fremvekst i Sverige. Det vurderes at byggeklossene «mine ombud», «mine saker» og «min profil» kan skape forutsetninger for den dataoversikten som trengs. Byggeklossen «indexering» er også en viktig forutsetning for det videre arbeidet. Derfor kan det videre arbeidet med innsyn og kontroll videreføres i sammenheng med arbeidet med felles nasjonal infrastruktur.