Informasjonsforvaltning – en forutsetning for å lykkes med GDPR

Det er tid for dugnad for informasjonsforvaltning – og det haster. Fristen for å oppfylle kravene i den nye personopplysningsloven er 25. mai. Felles datakatalog er på plass. Nå må alle offentlige virksomheter skape orden i eget hus og fylle katalogen med innhold.

Denne artikkelen ble først publisert i Computerworld.

Tittelen på denne artikkelen er inspirert av Forbes.com 6. desember: «If GDPR Compliance Doesn’t Start With Information Governance, You’ll Probably Fail», skrevet av programdirektør i IBM, Heidi Maher. Hun poengterer at virksomhetene må vite hvor alle persondata finnes og risiko forbundet med dataene. Dette krever at informasjonsforvaltning er sterkt fundamentert i organisasjonen.

Dette beskrives også godt i Digital agenda: «Dette innebærer blant annet at virksomheten skal ha oversikt over hvilken informasjon den har, hva informasjonen betyr, i hvilken sammenheng den ble innhentet, hva informasjonen skal brukes til, hvem informasjonen kan deles med, hvordan informasjonen skal sikres og hvor lenge den skal bevares.»

Kun en gang

God forvaltning av data og informasjon er også en forutsetning for godt tjenestedesign og gode brukeropplevelser. Digital agenda slår ettertrykkelig fast at innbyggere og bedrifter bare skal behøve å rapportere opplysninger én gang. Forutsetningen er helhetlig informasjonsforvaltning. Kun-én-gang-prinsippet er en av regjeringens hovedprioriteringer i IKT-politikken.

Mange synes rydding er kjedelig, noe man utsetter i det lengste. Da bør man tenke over hvor store verdier som kan frigjøres ved å skape «orden i eget hus», for i neste omgang å kunne dele data. Et ferskt eksempel er samtykkebasert lånesøknad, der lånesøker gir samtykke via Altinn til at Skatteetaten kan dele data med banken, maskin til maskin.

Å gjenbruke strukturert informasjon på denne måten er viktig for både brukeropplevelsen og personvernet. Lånesøker slipper å lete framskaffe skattemeldingen og tre siste lønnsslipper, og bare nødvendig informasjon om inntekt, gjeld og formue overføres. Man unngår overskuddsinformasjonen som følge av at hele skattemeldingen sendes over til banken. At besparelsene er i milliardklassen bør være god motivasjon for både orden i eget hus og deling via veldefinerte tekniske grensesnitt.

Flytt meg

I innovation@altinn-programmet ble det for snart fire år siden laget en fungerende prototyp på en applikasjon kalt «Flytt meg». Applikasjonen sørget for at straks en familie meldte flytting, fulgte dataene om familien automatisk med på lasset fra den gamle til den nye kommunen. Dermed slapp familien å søke om skoleplass, skolefritidsordning, innkalling til tannlege, behov for ekstra stor søppeldunk etc.

Skatteetaten mottok nær 477 000 flyttemeldinger via Altinn i 2017. Tenk hvilke besparelser og forbedret brukeropplevelse en slik heldigital flytteprosess ville kunne gi. Tjenesten kunne dessuten benyttet seg av brukerstyrt samtykke i Altinn for å gi innbyggerne en viss innflytelse over hvilke data de ønsker å ta med seg. Her kan brukerstyrt samtykke være med på å styrke personvernet.

Brett opp ermene!

Slike smarte og helhetlige prosesser er en forutsetning for å skape et smart Norge. Første trinn er å vite hvem som sitter på hvilke data. Derfor har vi en felles datakatalog. Trinn nummer to består i å gjøre dataene tilgjengelige for gjenbruk via veldefinerte tekniske grensesnitt (API’er) og en API-katalog for hele offentlig sektor. Brønnøysundregistrene starter nå arbeidet med å lage en slik API-katalog. Dette er grunnlaget for å skape helhetlige brukeropplevelser basert på moderne tjenestedesign, innebygd personvern og kun-én-gang-prinsippet.

Felles datakatalog var på plass i fjor høst. Nå må den fylles med innhold. Det betyr at lederne av de aktuelle etatene må sørge for at det settes av tid og ressurser til å gjøre jobben. På difi.no/informasjonsforvaltning finnes rammeverk for jobben som skal gjøres – veiledninger, standarder, spesifikasjoner og referansemodeller. Lykke til!