DEBATT

Personvern: Hvordan gå fra anbefaling til handling?

Hovedbudskapet i Personvernkommisjonens nye rapport er både godt og viktig, men det som kanskje fremstår tydeligst for oss er det den ikke sier: Hvordan skal vi sikre at anbefalingene i rapporten blir fulgt opp med handling?

Kronikkforfatteren: Lena Isaksen er juridisk seniorrådgiver ved Nasjonalt ressurssenter for deling og bruk av data hos Digitaliseringsdirektoratet.
Kronikkforfatteren: Lena Isaksen er juridisk seniorrådgiver ved Nasjonalt ressurssenter for deling og bruk av data hos Digitaliseringsdirektoratet. Foto: Digdir
Av Lena Isaksen, Digdir
28. feb. 2023 - 19:45

i 2009Den forrige personvernkommisjonens utredning ble levert i 2009. Siden den gang har mye skjedd: Personvernforordningen (GDPR) har trådt i kraft, den digitale utviklingen har økt med voldsom fart, etterspørselen etter sammenhengende tjenester i den offentlige forvaltningen har økt betraktelig og mengden av nye samhandlingsformer er så godt som ubegrensede.

Men hvor ble det av personvernet i all denne utviklingen?

Da en ny personvernkommisjon etter to års arbeid la fram sin rapport Ditt personvern – vårt felles ansvar — Tid for en personvernpolitikk i september 2022, var forventningene store: Skulle denne rapporten endelig gi oss muligheten til å diskutere prinsipielle og sårt tiltrengte spørsmål knyttet til personvern og digitalisering?

Som et lappeteppe?

Når personvern møter komplekse kjeder av offentlige tjenester og en fragmentert tilnærming i offentlig forvaltning, kan det av og til minne om et lappeteppe der verken farger, stoffer eller mønstre passer spesielt godt sammen.

Skal vi redesigne teppet til noe godt og funksjonelt, som kan holde tilliten til den offentlige forvaltningen varm i befolkningen, må vi sette kurs med omhu.

De viktige, prinsipielle spørsmålene

Personvern og digitalisering er områder i rask utvikling, og når det også er relativt umodne områder, dukker det jevnlig opp spørsmål av prinsipiell karakter, for eksempel:

  • Hvordan vektes personvern mot andre viktige hensyn i forvaltningen?
  • Benyttes handlingsrommet i lovgivningen på riktig måte, eller forstås den for kasuistisk og dermed begrensende for utviklingen?
  • Har GDPR egentlig gitt oss bedre personvern?

Disse store og viktige spørsmålene ligger til grunn for en del av de gode anbefalingene kommisjonen presenterer i sin rapport. Men ansvaret for å omsette anbefalingene til handling, blir hengende i luften.

Dersom mangel på ansvarsplassering gjør at det går ytterligere ti år til neste mulighet for vurdering av og debatt om sentrale personvernspørsmål, vil det være uheldig for ivaretakelsen av personvernet i Norge. I ytterste konsekvens kan det bidra til at befolkningens tillit til den offentlige forvaltningen svekkes.

Hvem passer på helheten?

I dag finnes det ingen offentlig virksomhet som har overordnet ansvar for å vurdere den samlede bruken av personopplysninger i offentlig forvaltning. Mange ser sitt eget, men ingen ser helheten.

Det medfører at vurderinger kun gjøres i kontekst av en bestemt sektor eller et bestemt lov- eller forskriftsarbeid – fragmentert og isolert. Det er en alvorlig utfordring for forvaltningens mulighet til å ivareta personvernet i de komplekse tjenestekjedene vi får stadig flere av.

To gode anbefalinger som bør prioriteres

Forvaltningen trenger handling og operative tiltak som kan sette retning på personvernarbeidet, for å kunne ivareta både egne plikter og befolkningens tillit. Blant kommisjonens mange anbefalinger finnes spesielt to slike tiltak, som bør trekkes frem og prioriteres i tiden som kommer:

  • En nasjonal personvernpolitikk
  • Et operativt «dataetisk råd» – et rådgivende og frittstående organ for forvaltningen

Dagens personvernregelverk fokuserer på individet når personvernet skal ivaretas. En nasjonal personvernpolitikk vil kunne åpne for å jobbe med personvern som en kollektiv verdi, på tvers av alle deler av forvaltningen. Det vil også styrke personvernet dersom dagens fragmenterte tilnærming til personvern i forvaltningen får et politisk svar i form av en politikk. En nasjonal personvernpolitikk vil videre kunne løfte personvern ut av ekspertgruppene og inn i den allmenne samfunnsdebatten – der det hører hjemme.

En personvernpolitikk ville imidlertid gi lite verdi uten operativ oppfølging. Derfor vil etableringen av et «dataetisk råd» også være en viktig brikke. Rådet bør særlig vurdere og drøfte prinsipielle, samfunnsmessige og etiske spørsmål knyttet til bruk av personopplysninger i offentlig forvaltning.

Fortsettelse følger ...?

I Danmark har regjeringen allerede opprettet et «Dataetisk råd», som skal gi veiledning og innspill til regjeringen, Folketinget og offentlige myndigheter om etiske spørsmål ved bruk av data og ny teknologi. Rådet skal også bidra til å understøtte en kultur i offentlig forvaltning for ansvarlig bruk av personopplysninger. Dette bør Norge høste erfaringer fra, både i etableringen av et eget råd, og i utarbeidelsen av en personvernpolitikk.

Selv om personvern er en menneskerettighet, handler ivaretakelsen av personvernet like mye om et verdivalg – hvilket samfunn ønsker vi, hvor mye bør myndighetene kunne kreve å vite om deg som person, og hvordan kan forvaltningen best benytte tilgjengelige ressurser for å ivareta denne rettigheten. Dette er spørsmål som må løses ved offentlig debatt og etableringen av en personvernpolitikk. For deretter å følges opp av et operativt dataetisk råd.

Personvern kan ikke håndteres som et «enten eller»-dilemma. Det må balanseres opp mot en rekke andre hensyn for å finne sitt svar. Norge trenger derfor både en personvernpolitikk og et «dataetisk råd» som kan samle trådene og sette premissene for ivaretakelsen av personvern i de offentlige, sammenhengende tjenestene.

Det tredje i rekken av EUs store personverntilsyn tar for seg paragraf 15 i GDPR, retten til innsyn.
Les også

Du har rett på mappa di: Nå vil 30 tilsyn sjekke om retten innfris

Les mer om:
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.