DEBATT

Vi slår alarm om datadelingen i Norge

Norge blir ikke verdens mest digitaliserte land uten å gjøre det dramatisk enklere å dele data.

Yngve Milde og Elias Meling fra Datasamarbeidet i samferdselssektoren.
Yngve Milde og Elias Meling fra Datasamarbeidet i samferdselssektoren. Foto: Privat
Yngve Milde og Elias Meling, Datasamarbeidet i samferdselssektoren
17. mars 2025 - 15:55

Dette debattinnlegget gir uttrykk for skribentens meninger. Ønsker du selv å bidra i debatten, enten med et debattinnlegg eller en kronikk, les retningslinjene våre her.

Visjonen er at Norge skal bli verdens mest digitaliserte land innen 2030, og vi i Datasamarbeidet i samferdselssektoren jobber for å legge til rette for nettopp det. Det kan ikke sies tydelig nok at de politiske vyene krever at man letter trykket på de juridiske vurderingene knyttet til datadeling. 

Fortsetter vi i dagens hastighet, hvor vi tar utgangspunkt i en nullrisiko-praksis, får vi kun avklart et lite knippe med datadelingssaker før 2030. vi får i hvert fall ikke tid til å bygge løsninger som utnytter de delte dataene på en måte som gjør at vi når visjonen.

Det er nå én måned siden personverndagen 2025. Den avslørte særlig to grunner til å bekymre seg for hvordan det skal gå med strategien:

  1. Det er en betydelig forskjell mellom hva Datatilsynet sier om datadeling og hvordan Datatilsynets praksis oppleves,

  2. Det er et tydelig gap mellom de politiske vyene og virkeligheten på bakkeplan.

Datatilsynets forvaltning av risiko

Datatilsynets direktør Line Coll sa på personverndagen at man ikke skal sikte på null risiko, men en akseptabel risiko.

Det er en kontrast mellom disse ordene og hvordan Datatilsynet oppfattes i praksis: som et organ som setter terskelen for akseptabel risiko så høyt at det for mange oppleves som nullrisiko.

Hovedoppgaven til Datatilsynet er «å bidra til at personvernlovgivningen etterleves». Det er en oppgave de utfører godt – kanskje litt for godt.

Virksomheter har ikke forvaltningsmessig kraft nok til å vekte samfunnsbehovet for datadeling høyere når de møter et slags personvernpoliti, som flere oppfatter Datatilsynet som. 

Det resulterer i en prosess hvor jurister kontinuerlig må reforhandle tolkningen av regelverket. Taperen er skattebetalerne, som får for lite datadeling for pengene og dermed mindre gode offentlige tjenester enn de kunne – og burde – fått.

Datatilsynet bør senke terskelen for hva som oppfattes som akseptabel risiko, samtidig som et eventuelt nasjonalt prioriteringsråd blir en tydelig motvekt. Det blir en krevende oppgave for rådet.

Manglende forståelse

Stortingsrepresentant Nikolai Astrup (H) sa i paneldebatten at «Det må bare bygges inn fra start. Det er ikke vanskelig. Vi har mange debatter hvor vi problematiserer personvern».

Uttalelsen virker å gi uttrykk for en manglende forståelse for utfordringene offentlig sektor møter når de forsøker å sikre personvern i komplekse systemer, som for eksempel synliggjort av Riksrevisjonen.

Det er rimelig å anta at flere sitter med slike tanker, så dette er ikke et forsøk på å kritisere bare Astrup. På én måte har han rett, teorien virker enkel, men det er faktisk en hel rekke utfordringer rent praktisk, teknisk, ressursmessig, organisatorisk, tidsmessig og ikke minst regulatorisk. De kan løses, men spesielt de juridiske/regulatoriske utfordringene må løses politisk.

Redde for å gjøre feil

«Det er sterke insentiver for å unngå feil i staten» skrev direktøren i Direktøratet for forvaltning og økonomistyring (DFØ) nylig. Det er antakelig ikke noe område hvor ledere er reddere for å gjøre feil enn når det gjelder håndteringen av personopplysninger.

Liv Rossow fra Oslo Origo sa det godt:

«Jeg ønsker meg at vi ikke behandler jussen som en annen type fag enn alle andre fag som trengs for å utvikle offentlig sektor. Jeg ønsker meg bedre ledere, og det juridiske hensynet må veies opp mot samfunnshensyn».

Politikerne må være de lederne Rossow ønsker seg. Datadeling i Norge er nesten uten unntak låst i langtekkelige juridiske vurderinger. Det tar flere måneder med arbeid og dytting for å få lov til å dele data som til og med allerede er delt med andre, fordi hver enkelt forespørsel behandles unikt.

Vi trenger en motvekt

Noen må tørre å ta den risikoen Datatilsynet peker på og være den ledelsen Rossow ønsker seg.

Vi må gjøre store grep for å få det til. Dette kan ikke løses innenfor dagens forvaltningspraksis, som legger opp til risikominimering i alle ledd.

Et første steg kan være å gi et fremtidig nasjonalt prioriteringsråd for deling av data et tydelig mandat til å fungere som motvekt til dagens nullrisikopraksis.

Uten dette og andre større grep så blir det heller ingen datadeling i stor skala, og Norge blir ikke verdens mest digitaliserte land i 2030. Ei heller i 2040. 

Vy har lagret helseopplysninger om barn med behov for skoleskyss i Møre og Romsdal uten tilstrekkelig tilgangsstyring.
Les også

Lagret helseinfo om barn på Teams – mer enn hundre hadde urettmessig tilgang

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.