GDPR er et regelverk som alle må følge. Men arbeidet med personvern verken starter eller slutter den 25. mai.
(Innlegget stod på trykk i Computerworld, utgave nr. 4 i april 2018)
Du har kanskje sett dem i Facebook-feeden din, bildene av hvordan dine venner ville sett ut som det motsatte kjønn eller hvilken Hollywood-stjerne de ligner på. Populære tester for den nysgjerrige, og en artig greie å dele med sine venner. At man må betale for tjenesten med opplysninger om seg selv og til og med dele vennelisten later derimot ikke til å være så viktig.
Et mindre bevisst forhold til å verne om sine personopplysninger kan være fristende å utnytte for private aktører. De vil gjerne vite mest mulig om deg for å kunne drive målrettet reklame og selge mer. Saken om Cambridge Analytica sin rolle i det amerikanske valget er dessuten et skremmende eksempel på at slik informasjon også kan brukes – eller snarere misbrukes – politisk.
Tillit er grunnleggende
Med de nye personvernreglene blir alle nødt til å vise hvor de henter data fra. Det vil styrke personvernet. For oss i offentlig sektor påhviler det et spesielt ansvar for personvernet. I mange tilfeller må vi samle inn personopplysninger for å kunne ivareta folks rettigheter eller pålagte forpliktelser. Da er det er helt grunnleggende at folket har tillit til at vi tar vare på personopplysningene.
At Brønnøysundregistrene jobber med dette er ikke noe nytt. Vi har hatt et eget personvernombud i snart ti år, og personvern er sentralt i alle deler av vår virksomhet. Men også vår etat kan bli bedre. Vi opplevde senest uka før påske at en rutinesvikt i forbindelse med oppdatering av PCer gjorde at dokumenter med fødsels- og D-nummer ble sendt ut usladdet.
Oversikt over data
Jeg har i et tidligere innlegg skrevet om hvorfor informasjonsforvaltning er en forutsetning for å lykkes med GDPR; for å vite hvilke data som skal vernes og hvilke som kan åpnes må du vite hvilke data du har. Arbeidet med metadata legger altså til rette for godt personvern, noe også Datatilsynet har vært tydelige på.
Når vi behandler personopplysninger skal det alltid foreligge et rettslig grunnlag. Det kan vi ha enten gjennom hjemmel i lov, eller ved at de som bruker tjenesten gir tillatelse til at vi deler deres personopplysninger med andre etater. I Altinns løsning for brukerstyrt samtykke tar vi flere grep for å ta vare på innbyggernes vern, hvor samtykket er rettslig grunnlag for behandling. Den som har gitt opplysningen bestemmer selv om de skal gis videre, samtykket kan tidsbegrenses, bruksmåten kan avgrenses, og det kan når som helst trekkes tilbake. Aktivitetsloggen i Altinn viser hvem man har gitt samtykke til og hvor lenge samtykket varer.
Gjenbruk sikrer kvalitet
Gjenbruk av offentlige data er, og kommer til å være, en viktig del av effektiviseringen av offentlig sektor. Når etatene deler personopplysninger seg imellom slipper folk å gi fra seg samme opplysninger flere ganger, samtidig som vi sparer samfunnet for store kostnader. Men da må vi også være sikre på at vi gjør dette riktig.
En annen positiv side ved gjenbruk av offentlige data er at vi vil kunne sikre prinsippet om kvalitet på en bedre måte. Én veldig god masterkilde med lovbestemt plikt til å oppdatere og gjenbruke, slik som Enhetsregisteret, er bedre enn mange små registre uten oppdaterte data. Det vil være lettere for den enkelte å holde oversikt over, og melde endringer til dette ene registeret.
God informasjonsforvaltning, samtykkeløsning og gjenbruk vil spare samfunnet for store kostnader og gjøre hverdagen enklere for folk. Du skal kunne forholde deg til det offentlige som én enhet som har all den informasjonen den trenger om deg – verken mer eller mindre. Men i et styrkeforhold som ofte er skjevt har det offentlige et særskilt ansvar for å ikke gjenbruke mer enn det som er nødvendig. Dette er viktig for tilliten til det offentlige.
Arbeidet med personvern er ikke ferdig når den nye loven trer i kraft 25. mai. Det har så vidt begynt.
(Oppdatering: Den nye loven er utsatt og vil tidligst tre i kraft i juli.)