Illustrasjon.
Illustrasjon. (Illustrasjon: Colourbox)

KRONIKK: GDPR og datalagring

«Good shit out»

Dette er tredje del i en serie på tre kronikker fra Jean-Philippe André Caquet, arkivarkitekt og rådgiver i Trondheim kommune. Den første kronikken finner du her.

 Jean-Philippe André Caquet, a  rkivarkitekt og rådgiver i   Trondheim kommune.
Jean-Philippe André Caquet, arkivarkitekt og rådgiver i Trondheim kommune. Bilde: Privat

Mens forrige artikkel handlet om å få ‘good shit in’, handler denne om å få ‘good shit out’. Det er lite poeng i å samle inn data dersom de ikke kan gjenbrukes. I prinsippet skal alle offentlige data være tilgjengelige for allmennheten, og for de fleste av dataene våre er dette uproblematisk.

Men hva med de dataene som av en eller annen grunn ikke skal vises til offentligheten, men allikevel kunne nås av den det gjelder? Det er disse som skaper de største problemene for oss, og de aller fleste av dem er såkalte partsdata.

Partsdata er en sentral del av transaksjonsdataene jeg snakket om i forrige artikkel, men hva består disse av egentlig? Forvaltningslovens §18 sier at “en part har rett til å gjøre seg kjent med “sakens”, altså offentlig saksbehandlings, “dokumenter”. Lovverket er formulert ut fra forutsetningen at offentlig informasjon finnes i fysiske dokumenter, men velger vi å følge intensjonene bak lovverket i stedet for bare den konkrete lovteksten, bør vi snakke om transaksjonsdata og ikke bare dokumenter. 

I forvaltningslovens § 2 defineres en part som “en person som en avgjørelse retter seg mot eller som saken ellers direkte gjelder”. En person kan ha mange forskjellige partsforhold (altså instanser hvor man er part) til en kommune. Et partsforhold må bestå av både en “aktør” (personen eller gruppen det gjelder) og en “rolle” (beskrivelsen av det individuelle partsforholdet) for å gi mening. For å si det enklere: “Aktøren” er den du er, og rollen er det du gjør. På oppvekstområdet er både det å være lærer, elev, forelder, verge, saksbehandler, spesialpedagog og forelder med tapt samværsrett en rolle, og de forskjellige rollene vil ha forskjellige rettigheter til dataene. En enkelt aktør kan ha flere av disse rollene, og derfor er det heller ikke uvanlig å ha mer enn et partsforhold til en og samme transaksjon.

Partsforholdet som fantes da transaksjonen fant sted, skal være bestemmende for partens rettighet til å nå dataene, men disse rettighetene vil måtte kunne endres, utvides eller inndras, slik at data kan tilbakeholdes fra de som ikke lenger oppfyller kriterier for partsforhold. Samtidig er informasjonen om det opprinnelige partsforholdet nødvendig for dataenes kontekst og må derfor også tas vare på.

Misforholdet mellom “situasjonen som den var da” og “situasjonen som den er nå” er komplekst å forholde seg til. Noark-standarden har ikke noen egentlig mekanisme for å ivareta de historiske variantene av metadataene, så dette er en problematikk som må løses utenfor standarden. En mulig løsning er å kunne legge flere partsdata direkte på transaksjonsdata over tid uten å overskrive de som allerede finnes, mens en annen mulighet er å ivareta partsdata som levende registerinformasjon ved siden av transaksjonsdataene og ta vare på disse separat.

GDPR inneholder egentlig ikke så mye nytt, men forbyr oss i klartekst å gjøre mange av de tingene Datatilsynet har advart oss mot i årevis

Uansett hva man velger, vil man måtte vurdere konsekvensene av GDPR (general Data Protection Regulation), selv om artikkel 89 potensielt unntar arkiver fra å følge forordningen. GDPR inneholder egentlig ikke så mye nytt, men forbyr oss i klartekst å gjøre mange av de tingene Datatilsynet har advart oss mot i årevis. Enkelt sagt hindrer GDPR både det offentlige og det private å opprette unødvendige registre med personinformasjon uten gode grunner, og uten å ta i bruk strenge regler for sikkerhet og anonymisering. I det offentlige har man tradisjonelt operert med sensitive/ikke sensitive data, og holdt  disse datatypene adskilt ved hjelp av siloer, noe som er en av grunnene til at for eksempel helseinformasjon følger en annen standard enn Noark. GDPR har snudd dette helt på hodet. Det er ikke typen data som gjør dem sensitive, det er du som gjør dataene sensitive. Så lenge data kan spores til deg, faller de inn under regulativet. Kan de derimot ikke kobles til deg som person, er ikke GDPR til hinder for å dele noen slags sensitiv informasjon. Ikke engang helseinformasjon.

Å skille person-identifiserende metadata fra andre data er ikke så lett som det høres ut som

Men å skille personidentifiserende metadata fra andre data er ikke så lett som det høres ut som. Det er ikke bare navn og fødselsnummer som kan brukes til å identifisere deg, men også bosted, personlig historikk, fysiske beskrivelser, biometriske data, arbeidsforhold, hobbyer, organisasjonsmedlemskap, lokasjoner og familieforhold kan være identifikatorer. Det er derfor viktig å gjøre en god kartleggingsjobb for å luke ut alle mulige kilder til identifisering i transaksjonsdata. Dette innebærer også at man må gå bort fra tankegangen med å putte denne typen informasjon inn i ustrukturerte dokumenter, men heller i standardiserte datastrukturer hvor de enkelte typer metadata enten kan skjermes, eller skilles ut og oppbevares i egne strukturer stengt for tilgang fra uvedkommende.

Dette vil til en viss grad gjøre det lettere å oppfylle andre krav i forordningen. GDPR åpner for at privatpersoner kan kreve sletting av opplysninger relatert til ens egen person. Har man  da på forhånd gjort en god jobb med å identifisere og skille ut partsdata, kan man slette disse, uten å røre viktige forvaltningsmessige og historiske data. Man må likevel være klar over at data som først blir slettet, slettes for alltid. Derfor kan de som ønsker å slette data om seg selv potensielt miste viktige partsrettigheter i fremtiden. 

Og fremtiden er lang, for transaksjonsdata skal ofte eksistere lenge. For den som selv har et partsforhold til kommunen, enten det er som husbygger, skoleelev, arbeidstaker, mottaker av stønader eller som pårørende til andre må dataene vare livet ut. Eiendomsinformasjon må leve enda lenger. I offentlige arkiver etterspørres fortsatt informasjon om eiendommer helt tilbake til 1600-tallet, og behovet blir neppe mindre i fremtiden. Forskere ønsker at data skal eksistere til det potensielt ikke er mulig å tyde ny informasjon ut av dem, eller legge dem til grunn for nye tolkninger. At det finnes et eget fag som heter egyptologi, sier noe om hvor lang tid dette kan være.

Sist, men ikke minst har kommunene et ansvar for sine egne handlinger. Selv om den ansatte som utformet et vedtak døde for 20 år siden, er kommunen fortsatt ansvarlig for vedtakene gjort på kommunens vegne. Derfor vil alltid kommunens partsforhold leve litt lenger enn for alle andre parter, og mangelfull dokumentasjon av kommunens handlinger i dag, får fremtidens skattebetalere svi for i 2037.

Er dette enkelt? Nei. Er det løsbart? Ja. Men det tar både tid, tålmodighet og målrettet arbeid. Men den jobben handler som sagt ikke om teknologi, den handler om data.

Kommentarer (1)

Kommentarer (1)
Til toppen