Kim Jensen

Som jeg leser oppsummeringen fra Datatilsynet så presisserer de reglene jmf Personopplysningsloven på generell basis, bl.a. ved å påpeke at: "Uansett må nettsteder som bruker plugin-en gi informasjon om innsamling og overføring av personopplysninger." og "Felles behandlingsansvarlige har plikt til å inngå en ordning seg imellom som fordeler det respektive ansvaret for etterlevelse av personvernforordningen. Det følger av personvernforordningen artikkel 26. Dette må også være på plass før plugin-en kan brukes."

Dermed blir det opp til virksomhetene å opptre ansvarlige i omgangen med våre persondata og dokumentere denne ansvarligheten. Å "opptre ansvarlig" vil kreve at det gjøres konkrete, dokumenterte vurderinger av risiko for den registrerte, ut fra prinsippene som POL/GDPR bygger på. Da tenker jeg at alle virksomheter, private som offentlige, må vurdere nytteverdi kontra risiko, når de implementerer FB-links uten å ha den funksjonelle kontrollen. At driften av en nettside i mange tilfeller vil være en naturlig del av offentlig virksomhet, virker for meg opplagt, f.eks. som informasjonskanal eller inngang til en digitalisert tjeneste. Om og hvordan vi bruker offentlige, eller private, digitaliserte tjenester, er vel strengt tatt ikke noe FB har noe med. Og det gir neppe den offentlige myndigheten noen merverdi å dele vår bruk med FB.

Ja, opplagt. Men det bør ikke begrenses til virksomheter som jobber med samfunnskritiske tjenester. Det kan starte der men det må utvides slik at det dekker inn alle som jobber med eller er brukere av digitalisert infrastruktur, altså alle. Det kan også hende at det kunne være fornuftig å flytte en del av ansvaret for POL/GDPR inn til Arbeidstilsynet; den delen som gjelder kravene til behandlingsansvarlig og databehandler.

Jeg håper at Arkivverket i sin behovskartlegging også tar inn over seg behovene og rettighetene til de det registreres data om; at personopplysningslovens prinsipper, rettigheter og krav innarbeides i innebygd arkiv; at løsningen også implementerer privacy by design and default og utfordrer leverandører i alle ledd på det samme.

Ellers tenker jeg at etterhvert som løsninger integreres digitalt, så blir det mer og mer naturlig at arkivering ikke er en sentralisert datasjø men en del av datafangsten allerede i tidlig fase i saksbehandlingen og videre utover til prosessen er avsluttet.

Jeg tar det egentlig for gitt at offentlig forvaltning ikke gjør noen former for deling av data eller andre integrasjoner uten at de rettighetene, vi som borgere og registrerte har etter Personopplysningsloven er hensyntatt samt at offentlige myndigheter er ansvarlige i omgangen med informasjonen, slik det kreves hva enten man er behandlingsansvarlig eller databehandler. Inntil konsekvensene av POL/GDPR får festet seg, så er det kanskje litt naivt?

Glimrende kommentar! Det samfunnsmessige effektiviseringspotensialet av riktig datadeling og bedre, digitalisert dataflyt kan gi en ubegripelig høy nytteverdi. Men før det kan realiseres er det en jobb som må gjøres med å forbedre datakvaliteten og øke tilgjengeligheten. Praktisk bruk viser f.eks. at utenlandsadresser fra Folkeregisteret, som er speilet til matrikkelen, er registrert på en måte så det er svært vanskelig å verifisere kvaliteten når de skal brukes til utsendelse av dokumenter gjennom Posten, til mottakere som ikke kan nås elektronisk via Altinn. Forhåpentlig vil innføring av ny Folkeregisterløsning - over tid - føre til at kvalitet og anvendelighet økes. I en digitalisert forvaltning, en digitalisert og integrert saksbehandling, er god datakvalitet og korrekt begrepsmessig bruk alfa og omega for å levere gode tjenester til personer og foretak og mellom offentlige instanser.

Interessant debattinlegg, Jostein Ramse. Enda mer interessant hadde det blitt om du hadde trukket inn den 3. parten; den registrerte, og det som er formålet med personopplysningsloven.

Det er selvfølgelig viktig for bedriftene i en leverandørkjede å sikre seg mot å skulle bære en uforholdsmessig andel av gebyr og krav etter et brudd på personvernet, som da også er et mislighold av en avtale mellom behandlingsansvarlig og databehandler, eller mellom databehandlere. Men for personopplysningsloven/GDPR er det vel hensynet til den registrerte som er i fokus og det er opp til behandlingsansvarlige og den kjede av leverandører, denne velger å knytte til seg, å sikre at rettigheter og plikter oppfylles, at prinsippene etterleves; at man som produsent og tjenesteyter utviser faktisk og praktisk ansvarlighet. Og gebyrer og erstatninger skal ses i forhold til tapet den registrerte utsettes for eller kunne bli utsatt for når personvernet brytes. "Riset bak speilet" for bedriftene - og deres forsikringsselskaper - blir da at uansvarlig behandling av personopplysninger kan bli meget dyrt, både målt i gebyr- og erstatningskroner og målt i den tiden som må gå med til å rydde opp, forklare og forsvare seg, gjøre opp for seg og få tapt omdømme reetablert.