I en verden med rask utvikling av ny teknologi, som benyttes i stadig nye sammenhenger av både offentlige og private virksomheter, møter vi flere utfordringer.
Regjeringens nye nasjonale digitaliseringsstrategi skal stake ut den videre kursen for digitaliseringen og håndtere utfordringene så vel som mulighetene som følger av digitaliseringen.
En stor utfordring er personvern. EUs personvernforordning (GDPR) er implementert som del av personopplysningsloven i Norge. Loven anses av mange som viktig og riktig, men samtidig ofte som kompleks og uoversiktlig.
Den store utfordringen er at virksomhetene i for liten grad er i stand til faktisk å etterleve personopplysningsloven. Det finnes heldigvis en rekke digitale tjenester som etterlever personopplysningsloven, men antallet som ikke gjør det, er mest sannsynlig for høyt. Det kan undergrave tilliten til personvernet i Norge.
Derfor er det viktig at den nye digitaliseringsstrategien staker ut tydelige og gjennomførbare mål for etterlevelse av personvernlovgivning.
Krever domenekunnskap
Min erfaring viser at det er mulig å etablere en strukturert, «lett» tilgjengelig og oversiktlig tilnærming til hvordan man kan sikre at digitale tjenester etterlever personopplysningsloven. Det gjelder også digitale tjenester som tar i bruk kunstig intelligens, selv om dette er noe mer komplekst.
En utfordring er at mange ser personvern som en «greie» for jurister og spesialister innen IT-sikkerhet.
Enkelt sagt er kjernen i GDPR syv personvernprinsipper. Et av prinsippene er relatert til informasjonssikkerhet. De andre prinsippene er hovedsakelig knyttet til «domenet» (virksomhetsområdet).
Personvern må være tverrfaglig
Det betyr i praksis at det ikke er mulig å etterleve GDPR for en digital tjeneste som behandler personopplysninger uten at de som jobber med å sikre personvernet har inngående forståelse av virksomhetsområdet som tjenesten støtter.
Personvern er, og må være, tverrfaglig. Enkelt sagt betyr det at alle som jobber med å etablere, tilby og forvalte digitale tjenester som behandler personopplysninger, må ha relevant erfaring og kompetanse innen personvern.
Det er også viktig å påpeke at dagens utdanning innen personvern først og fremst er rettet mot jurister og i liten grad mot dem som vil jobbe med digitalisering ellers. Dette opplever jeg som særdeles uheldig!
Må starte tidlig
Personvern er «noe som altfor ofte legges på til slutt» når digitale tjenester utvikles. Altfor mange utfører ikke vurderinger av om personvernprinsippene etterleves selv om dette alltid skal vurderes!
Jeg pleier å si at håndtering av personvern må være en iboende del av det arbeidet teamet (prosjektet) som utvikler, tilbyr og forvalter digitale tjenester som behandler personopplysninger, utfører.
Dessverre er dagens situasjon at dette mer unntaket enn regelen!
Det er derfor avgjørende at kartlegging og vurdering av hvordan personvernet skal etterleves, starter tidlig – det vil si allerede i idéfasen.
Ni personvernmål til digitaliseringsstrategien
Hva betyr dette for den nye digitaliseringsstrategien som digitaliserings- og forvaltningsminister Karianne Tung nå har ansvaret for?
Her er forslag til mål – med fem års perspektiv – for å håndtere personvernutfordringene og sikre en videre god digitalisering.
- Alle tjenester i offentlig og privat sektor som krever behandling av personopplysninger, skal utvikles og forvaltes med personvern som en iboende del av tjenesteutviklingen og forvaltningen. Ideelt sett bør man ha en form for sertifisering kombinert med tilsyn, også av tjenesteutviklingsprosessen.
- Dagens veiledere for behandling av personopplysninger fra Datatilsynet og andre fungerer i praksis ikke godt nok. De må forenkles og inkludere gode eksempler som tydeliggjør hvordan behandling av personopplysninger kan kartlegges, personvernprinsippene etterleves og gode risikovurderinger gjennomføres.
- Det bør utarbeides forhåndsutfylte maler for personvernvurderinger for alle tjenester som behandler personopplysninger og som er vanlig i en kommune og i andre sektorer. Det vil forenkle arbeidet for den enkelte kommune og sikre høyere kvalitet og et bedre personvern. (Et eksempel her er Husbanken og deres løsning for søknad om kommunal bolig, hvor de har laget en forhåndsutfylt mal for vurdering av personvernkonsekvenser (DPIA) som kan spisses.)
- Det bør utarbeides maler og veiledninger for ulike typer verdikjeder som tydeliggjør aktørene, samhandlingen og lovligheten med mer. For eksempel sivil luftfart, som inkluderer blant annet lufthavner, flyselskaper, reisebyråer og andre aktører på lufthavnen. Disse aktørene utveksler personopplysninger om flypassasjerene slik at de kan få gjennomført sin flyreise.
- Personvern må innarbeides som del av de utdanningene yrker innen digitalisering rekrutterer fra.
- Forberedende statlig arbeid i forbindelse med tilsynsordninger for AI Act må starte tidlig, det vil si før forordningen er implementert i norsk lov.
- Personvern, risikovurderinger (ROS) og etterlevelse av AI Act må inkluderes som en iboende del av norsk forskning innen kunstig intelligens og maskinlæring
- Personvernvurderinger og krav må bli en iboende del av arbeidet med utforming av lover hvor de nye eller reviderte lovene og forskriftene medfører behandling av personopplysninger.
- Det må gjøres gjennomgang og revideringer av relevante lover og forskrifter hvor det er sannsynlig at bruk av kunstig intelligens vil gi verdi for samfunnet.
