I en verden med rask utvikling av ny teknologi, som benyttes i stadig nye sammenhenger av både offentlige og private virksomheter, møter vi flere utfordringer.

Regjeringens nye nasjonale digitaliseringsstrategi skal stake ut den videre kursen for digitaliseringen og håndtere utfordringene så vel som mulighetene som følger av digitaliseringen.

En stor utfordring er personvern. EUs personvernforordning (GDPR) er implementert som del av personopplysningsloven i Norge. Loven anses av mange som viktig og riktig, men samtidig ofte som kompleks og uoversiktlig.

Den store utfordringen er at virksomhetene i for liten grad er i stand til faktisk å etterleve personopplysningsloven. Det finnes heldigvis en rekke digitale tjenester som etterlever personopplysningsloven, men antallet som ikke gjør det, er mest sannsynlig for høyt. Det kan undergrave tilliten til personvernet i Norge.

Derfor er det viktig at den nye digitaliseringsstrategien staker ut tydelige og gjennomførbare mål for etterlevelse av personvernlovgivning.

Krever domenekunnskap

Min erfaring viser at det er mulig å etablere en strukturert, «lett» tilgjengelig og oversiktlig tilnærming til hvordan man kan sikre at digitale tjenester etterlever personopplysningsloven. Det gjelder også digitale tjenester som tar i bruk kunstig intelligens, selv om dette er noe mer komplekst.

En utfordring er at mange ser personvern som en «greie» for jurister og spesialister innen IT-sikkerhet.

Enkelt sagt er kjernen i GDPR syv personvernprinsipper. Et av prinsippene er relatert til informasjonssikkerhet. De andre prinsippene er hovedsakelig knyttet til «domenet» (virksomhetsområdet).

Personvern må være tverrfaglig

Det betyr i praksis at det ikke er mulig å etterleve GDPR for en digital tjeneste som behandler personopplysninger uten at de som jobber med å sikre personvernet har inngående forståelse av virksomhetsområdet som tjenesten støtter.

Personvern er, og må være, tverrfaglig. Enkelt sagt betyr det at alle som jobber med å etablere, tilby og forvalte digitale tjenester som behandler personopplysninger, må ha relevant erfaring og kompetanse innen personvern.

Det er også viktig å påpeke at dagens utdanning innen personvern først og fremst er rettet mot jurister og i liten grad mot dem som vil jobbe med digitalisering ellers. Dette opplever jeg som særdeles uheldig!

Må starte tidlig

Personvern er «noe som altfor ofte legges på til slutt» når digitale tjenester utvikles. Altfor mange utfører ikke vurderinger av om personvernprinsippene etterleves selv om dette alltid skal vurderes!

Jeg pleier å si at håndtering av personvern må være en iboende del av det arbeidet teamet (prosjektet) som utvikler, tilbyr og forvalter digitale tjenester som behandler personopplysninger, utfører.

Dessverre er dagens situasjon at dette mer unntaket enn regelen!

Det er derfor avgjørende at kartlegging og vurdering av hvordan personvernet skal etterleves, starter tidlig – det vil si allerede i idéfasen.

Ni personvernmål til digitaliseringsstrategien

Hva betyr dette for den nye digitaliseringsstrategien som digitaliserings- og forvaltningsminister Karianne Tung nå har ansvaret for?

Her er forslag til mål – med fem års perspektiv – for å håndtere personvernutfordringene og sikre en videre god digitalisering.