Brukerstyrt samtykke: En enklere hverdag uten å svekke personvernet

Norge har et fortrinn for offentlig digitalisering gjennom en unik tillit til offentlig sektor og mellom de offentlige myndighetsorganene. Alle forenklings- og effektiviseringstiltak må gjennomføres på en måte som opprettholder denne tilliten. Det finnes ingen enkle svar på hvordan vi best ivaretar sikkerhet, taushetsplikt og allmenhetens rett til anonymitet i en digitalisert delingsinfrastruktur.

Før jul kom det opp en interessant diskusjon om deling av data. Utgangspunktet var et spørsmål i Stortinget til moderniseringsministeren. Mer konkret handler dette om samtykkeløsninger, som hjelp til å oppfylle stortingsmeldingen Digital agendas ambisjon om å spørre bare en gang. Denne diskusjonen er velkjent for oss som jobber med løsningen for brukerstyrt samtykke i Altinn, og vi mener at vi sitter med noen av svarene.

Brønnøysundregistrene har en sentral rolle i koordineringen av digitale tjenester på tvers av sektorer. Oppgaven løser vi selvsagt innenfor de politiske rammene som er gitt til enhver tid. For tiden legger vi stadig bedre til rette for brukerstyrt samtykke – både for privatpersoner og virksomheter. Vi hadde ikke gjort det hvis vi opplevde at regjeringen stiller krav om lovhjemmel for all gjenbruk av personopplysninger.

Brukerorientering er ett av fem hovedprinsipper i stortingsmeldingen Digital agenda for Norge. Her beskrives «Kun én gang»-prinsippet som en viktig ambisjon for regjeringen; offentlig sektor skal ikke spørre om noe den allerede vet.

Deling krever oversikt og autorisasjon

Hvis det skal være mulig for offentlige myndigheter å dele data med hverandre, må det finnes en tilgjengelig oversikt over hvilke opplysninger hver av dem sitter med og hvordan man i praksis kan nå fram til dem. Brønnøysundregistrene jobber med å få på plass ordninger for dette, i samarbeid med en rekke offentlige virksomheter.

Og selvsagt må det sikres at alle som har rett til det, og ingen andre, får tilgang til opplysningene.

Juridisk virker det betryggende å ivareta enhver deling av informasjon gjennom grundig utredet lov- og forskriftsbasert hjemmel, men det har også bivirkninger. Det er en populær idé, også politisk, å «rive siloene» i offentlig sektor. Lov- og forskrifthjemlet bruk av data stanger fort mot siloveggene, selv om det er litt enklere å trenge gjennom for næringsopplysninger enn for privatpersoners data.

Samhandling på brukernes premisser

I Altinns løsning for brukerstyrt samtykke gjør vi noen grep som tar vare på innbyggernes vern og rettigheter i vel så stor grad som mer generelle lov- og forskriftshjemlede delingsrettigheter:

  • Det er den som har gitt opplysningene til et offentlig organ som selv avgjør om de skal gis videre. Det skal alltid finnes en alternativ måte å gi opplysninger på for det aktuelle formålet.
  • Utprøvde og standardiserte formuleringer og prosedyrer ivaretar at samtykket er informert.
  • Samtykket kan tidsbegrenses og godkjent bruksmåte kan avgrenses presist i det enkelte tilfellet.
  • Samtykket kan når som helst trekkes tilbake.
  • Samtykket kan gi tilgang til en bestemt del av et innsendt datasett, f. eks. uttrekk av en rapport eller en søknad. Hvis innbyggeren alternativt (gjerne lovhjemlet) pålegges å sende kopi av et dokument, får saksbehandleren tilgang til mye mer enn han faktisk skal ha berettiget innsyn i.

Kjennskapen til hvem som har lovbestemte, delegerte og brukerstyrte rettigheter til å bruke hvilke av det offentliges data til hvilke formål er spredt på en mengde offentlige virksomheter. Altinn arbeider for å samle denne kunnskapen i et sentralt «autorisasjonsnav» for offentlig sektor.

Dette skriver vi mer om i et annet innlegg på Forenklingsbloggen.

En tidligere versjon ble publisert på digi.no 5. desember.