Design for bedre personvern

Enkelte brukere har den siste tiden reagert på at de har tilgang til informasjon i Altinn de ikke visste at de hadde tilgang til. Det er ikke tilfeldig at disse reaksjonene kommer nå, men viser at det nye designet i Altinn  virker etter hensikten.

Sikkerhet og personvern har førsteprioritet i Altinn. I forberedelsene til det nye designet i Altinn gjorde Altinn-teamet som jobber med tjenestedesign og brukerinvolvering et omfattende innsiktsarbeid. Brukerinnsikten viste at forståelsen av roller og rettigheter i Altinn var noe av det brukerne syntes var mest problematisk.

Nytt visuelt design i Altinn har gjort det mye mer synlig for brukerne hvilke roller og tilganger de har. Det er en del av arbeidet med personvern og en bevisstgjøring av brukerne i hvilke rettigheter de har som følge av roller i Enhetsregisteret eller delegerte roller i Altinn.

Dette har ført til flere henvendelser fra folk som synes det er rart at de har tilgang til opplysninger de ikke visste at de hadde tilgang til. Ingen av disse sakene skyldes feil i Altinn, men er en følge av rettigheter disse personene har, enten med bakgrunn i roller i næringsvirksomhet eller delegerte rettigheter. De fleste som har reagert, har hatt rettighetene og tilgangene i årevis, de har bare ikke lagt merke til det tidligere. Det kan for eksempel være at daglig leder i et selskap du har sluttet i, delegerte rettigheter til deg da du jobbet i selskapet for mange år siden og deretter har glemt å slette disse rettighetene.

Utfordringer med enkeltpersonforetak

De fleste som har reagert, er personer som har en rolle i et enkeltpersonforetak. Enkeltpersonforetak er næringsvirksomheter som er drevet under fullt personlig ansvar av en enkeltperson (fysisk person)  som kalles innehaver. Hvis innehaveren ansetter en daglig leder, vil daglig leder representere innehaveren av enkeltpersonforetaket.

Flere av foretakets lovpålagte rapporteringer, som for eksempel skattemelding for næringsdrivende, skjer på innehavers fødselsnummer. En daglig leder med ansvar for økonomistyring i foretaket, er avhengig av tilgang til innehavers skattemelding og underskjemaer til denne, som for eksempel næringsoppgave, «saldoskjema» og «bilskjema». For daglig leder og andre med rettigheter for lønn og personalhåndtering, vil det også være naturlig å ha tilgang til sykmeldingsoppfølging mot NAV.

Bilde: Det nye åpningsbildet etter innlogging i Altinn ber deg gjøre et aktivt valg om hvem du skal representere. Dette har gjort at en del har oppdaget tilganger de ikke var klar over.

Plikter etter sletting

En innehaver som ikke ønsker at daglig leder/økonomiansvarlig i selskapet skal ha innsyn i innehavers personlige skatteopplysningene, bør antagelig vurdere å heller registrere en annen organisasjonsform, som for eksempel aksjeselskap. Det er verdt å merke seg at de største enkeltpersonforetakene i Norge kan ha omsetning i hundremillionersklassen.

Rapporteringsplikter kan vedvare inntil to år etter sletting av enkeltpersonforetaket er gjennomført i Enhetsregisteret. Etter disse to årene bortfaller behovet for rapportering, og da fjernes tilganger i Altinn automatisk for sentrale roller i selskapet, som regnskapsfører/revisor og daglig leder.

Vurderer innstramming

Hundre prosent av næringslivet i Norge benytter Altinn. Funksjonaliteten for roller og rettigheter – og muligheten for delegering av rettigheter videre – er en av de viktigste årsakene til Altinns suksess. I fjorårets brukerundersøkelse blant 2000 næringslivsledere oppga hele 8 av 10 at automatisk tildeling av rettigheter i Altinn, basert på registrerte roller i Enhetsregisteret, er en av de viktigste årsakene til at næringslivet sparer tid ved bruk av Altinn. I samme undersøkelse oppgir de daglige lederne at Altinn fører til tidsbesparelse for næringslivet som tilsvarer mellom 3 og 5 milliarder kroner årlig.

Uavhengig av henvendelser fra brukere og medier den siste tiden, gjør Altinn-forvaltningen nå en gjennomgang av om det er behov for å stramme inn på enkelte automatiske tildelinger av rettigheter i Altinn. Dette betyr fokus på krav om innebygd personvern og bevisstgjøring av brukerne som følge av ny personopplysningslov (GDPR).

Samtykke og kontroll

Altinn har også utviklet funksjonaliteten som kalles «brukerstyrt samtykke», der brukerne selv kan velge å dele data med andre. Dette har gjort det mulig for banker å kunne tilby helautomatisk behandling av lånesøknader på to minutter, fordi brukerne kan gi samtykke i Altinn til at Skatteetaten deler informasjon med banken.

Mens lånesøker tidligere måtte sende banken siste års skattemelding og tre siste lønnsslipper, overføres nå kun nødvendig informasjon om inntekt, gjeld og formue. Man unngår med andre ord overskuddsinformasjonen som tidligere fulgte med den komplette skattemeldingen over til banken.

Funksjonaliteten blir nå videreutviklet slik at brukerne til enhver tid, og på en enkel måte, skal kunne se hvilke data som er delt med andre, enten delingen har skjedd ved hjelp av brukerstyrt samtykke, lovhjemmel eller delegering. Disse endringene i Altinn illustrerer hvor viktig god funksjonalitet og godt tjenestedesign er for godt personvern.

Comments are closed.