2012-09-03 - Forelesning 1 av 3: Elektronisk forvaltning

Oppgave til neste time: Se øving slide 86. Levers innen 13/9 klokken 12:00. Ikke obligatorisk.

Basert på lovverket Gjør rede for noen av de viktigste e-forvaltningstiltakene
--- Gjør rede for tre viktige personvernprinsipper

Informasjon i digital form

Enkelheten av å gjenfinne, spre og sammenkoble informasjon har økt betydelig med innføring av digitale informasjonsystemer. Norge har kommet langt i denne prosessen med å ta teknologien i bruk i forvaltningen sammenliknet med andre land. For eksempel fikk vi et enhetlig system for identifisering av borgere (personnummer) allerede tilbake på starten av 1960-tallet. Det finnes land som bare helt nylig har begynt med tilsvarende identifisering og det er land som ikke har slike systemer i det hele tatt. En sidekommentar hva Norske personnummer gjelder, er det nå slik at vi begynner å gå tomme for adresser og må derfor snart innføre et nytt system.

Med en felles identifikasjon av en bestemt person kan forskjellige databaser med informasjon sammenstilles for å danne et større helhetlig bilde. NAV som tar seg av alt innen sosiale tjenester kan for eksempel dele sine registre med forsikringsselskap i god tro om at det vil kunne bidra med å redusere svindel. På Internett ser vi en økende tendens til at store aktører som Google og Facebook tilbyr registering og innlogging på vegne av 3.parts nettjenester, og ergo en sammenkobling av dine data mellom disse partene. Google får vite hvilke tjenester du benytter mens den andre tjenesten får navn, epost og kanskje mye annet.

Norge har i tillegg til personnummer også identifikatorer som organisasjonsnummer (Brønnøysundregisteret) og "gårds og bruksnummer". En utfordring med dagens løsning er at det koster penger for tilgang til folkeregistret.

Er dette problematisk?


Utgangspunktet for ønsket om regulering er selvsagt at vi anser noe informasjon sensitiv i forskjellig grad. Det kan være på
  • Individnivå: Personopplysninger som finansiell status/tilgang, helseprofil, personlighetstrekk, hvor du er, hvor du bor..
  • Organisasjonsnivå: Forretningshemmeligheter som oppskrifter, metoder, planer...gir konkurransefortrinn. Det samme kan gjelde for ikke-kommersielle organisasjoner. Organisasjoner ønsker gjerne å vite mye om individer og innhenting/salg av personopplysninger er veldig utbredt.
  • Nasjonalt nivå: Statshemmeligheter (diplomatiske, militære), kritisk infrastruktur (svakheter), etterforskning/politiarbeid.

Det vil alltid være en balansegang mellom å prøve å holde informasjonen skjult og å dele mest mulig. Et viktig stikkord er tilgang (autorisasjon) til spesifikk informasjon. Det er individer eller grupper du ønsker å dele informasjon med, mens du ikke ønsker at alle skal ha tilgang til informasjonen.

En annen utfordring på grunn av hvor lett det er å kopiere, og siden forskjellige land og organisasjoner har forskjellig lovverk og holdninger er at når informasjonen først er utenfor kontroll(blitt kjent) finnes det ingen måte å (beviselig) få den tilbake under kontroll.

For eksempel Du vil at legen din skal vite mest mulig om din helse for å gjøre gode vurderinger med tanke på å helbrede deg. Det betyr ikke at du ønsker at forsikringsselskapet ditt skal vite at du har en høyere sannsynlighet for å få en type sykdom fordi du har gener som er disponert. Kanskje har du tatt en del vaksiner, og ønsker at alle vaksinasjonskontorer skal ha tilgang til disse opplysningene slik at du slipper å informere hver gang hvilke vaksiner du har tatt. Da øker du tilgangen på dine data og øker samtidig sjansene for at uvedkommende skal få tak i dem.

Organisasjons- og statlige hemmeligheter har en tendens til å angå langt flere mennesker siden sakene i utgangspunktet ikke skal være av privat art, og har ofte konsekvenser som rammer langt flere enn når et enkelt individs personlige informasjon blir kjent. Siden personopplysninger gjelder alle mennesker generelt er det hovedfokuset i dette faget.

Prinsipper for innsamling av personopplysninger

Sjekk ut datatilsynet. De er statens utførende ledd i å opplyse og kontrollere i henhold til personopplysningsaker.

  1. Innsamlingen skal være saklig begrunnet: et angitt formål. (Unødvendige opplysninger skal slettes, brudd på nr1)
  2. Størst mulig grad av frivillig samtykke: du skal som grunnregel kunne nekte at informasjonen samles inn

    Men staten har i noen tilfeller grunnet konsekvensene for langt flere unntak for dette, og vi ser ofte at kommersielle interesser samler inn som standard og heller lar deg deaktivere om du skulle ønske (og du finner ut hvordan). Det er per definisjon ikke samtykke

  3. Opplysningsplikt for behandlingsansvarlige: Samler du inn informasjon må du varsle dem det gjelder

  4. Registreringen skal være riktig: korrekt/oppdatert

    I praksis samles det inn så mye informasjon at å håndheve opplysningsplikten ikke vil fungere. Et annet problem er at (særlig for nettbaserte tjenester) er opplysningsplikten "løst" ved at du godtar vilkårene, som er så lange, uklare og ofte altomfattende at du i praksis ikke er informert

  5. Rett til innsyn: Du skal kunne be om å få se hva som er registrert på deg, og be om at unødvendig informasjon slettes (brudd på nr1)

    Utfordringen her ligger i at det ikke er sagt noe om på hvilken måte innsynet skal kunne skje på. En lastebil med utskrifter fra Google..

  6. Informasjonssikkerheten skal ivaretas: Risikovurdering skal legges til grunn.

    Strengere regler når informasjonen er mer sensitiv

  7. Retten til å være anonym:

    Kan vi være anonyme i dagens samfunn?

  8. Rett til manuell vurdering ved automatiserte avgjørelser

    Har vi kapasitet til det? Målet med automatisering er effektivisering. Kanskje automatiseringen er for unøyaktig? Rett til å kreve forbedringer på automatiske prosesser?

Hva ved opplysningene må beskyttes?


  • Konfidensialitet: Kun de som er blitt godkjente (autoriserte) for informasjonen skal ha mulighet til å ha tilgang til den. Viktige stikkord er tilgangskontroll, kryptert overføring og (sikker) sletting (minke spredningen).
  • Integritet: Informasjonen skal være riktig, og ikke kunne endres på uautorisert vis. Hverken villet etter grunnet systemfeil.
  • Tilgjengelighet: Informasjonen skal være tilgjengelig når autoriserte ønsker tilgang på den. Når Altinn krasjer grunnet underkapasitet hvert år fordi alle skal sjekke selvangivelsen sin på samme dag, da har vi ikke tilgjengelighet.

Er det innbyrdes utfordringer mellom disse tre?

Ser vi på definisjonene er det i utgangspunktet ingen motsetninger. Du kan ha et høyt nivå av alle samtidig, gitt at all informasjon er under kontroll i ét system. Går vi litt dypere ser vi at for at tilgjengeligheten skal være stor må vi ofte spre informasjonen, kopiere den. Da blir det vanskeligere å holde den riktig (integriteten). Hvis informasjonen skal være tilgjengelig for alle men ikke være lesbar for alle (konfidensialiteten) må vi også spre informasjonen, og med mindre vi har en veldig avansert måte å kryptere informasjonen på vil konfidensialiteten svekkes. Mellom integritet og konfidensialitet skal det sies at det flere som har tilgang på informasjone, det flere kan også endre på den. Flere kan endre den til noe som er feil.

Informasjonssamfunn: Planer og visjoner


Treaty of Lisbon, senere Europa 2020 er en europeisk fellessatsing på arbeidsløshet, forskning, klimaforandringer, utdanning og fattigdom. Det er satt måltall for alle satsingsområdene. Forskjellen på 2020 og Lisboa er at 2020 sier mer om hvordan det skal oppnås via 7 såkalte "flagship initiatives" som igjen er delt inn i delmål. Det er beskrevet hvor ansvaret for de forskjellige tiltakene ligger.
  • Smart: Digital agenda for Europe
  • Smart: Innovation Union
  • Smart: Youth on the move (øke mulighetene for å studere og jobbe i andre europeiske land)
  • Sustainable: Resource efficient Europe
  • Sustainable: An industrial policy for the globalisation era
  • Inclusive: An agenda for new skills and jobs
  • Inclusive: European platform against poverty

Digital agenda for Europa (100 aksjoner)

  • Et åpent digitalt marked: Fjerne rettighetsrestriksjoner på tvers av landegrenser, elektronisk signatur og digitalisering av banktjenester. Forening av personvernsregler, kutte ned på de syke roaming-takstene mange teleselskaper operer med. Målet er å øke online handel på tvers av landegrensene. Det krever også at flere og flere små/mellomstore bedrifter kommer seg på nett. En utfordring her er selvsagt fragmentering og kanskje mindre effektiv frakt (med mindre vi bare snakker om digitale tjenester)
    Hvor irriterende er det ikke når du får opp i Spotify at "denne sangen er ikke tilgjengelig i ditt område", eller at "du kan ikke bruke Netflix i ditt område"

  • Interoperabilitet og standardisering Sørge for at alt fra hardware, programmer, databaser og tjenester fungerer i samspill.
  • Sikkerhet og tillit: Borgerne må føle seg trygge på at Internett er et trygt sted å utføre kommunikasjon med stat og drive handel. Etablering av CERT i hvert land, felles lover mot angrep på informasjonssystemer, rapportering av illegalt innhold, simulering av cyber-angrep, nasjonale handlingsplaner.
  • Raskt Internett: Tilgang for alle og mål om å øke båndbredden opp mot 100mbps. Det er fortsatt mange som ikke bruker denne teknologien i det hele tatt, så et annet mål her er å øke befolkningens ferdigheter innen bruk av elektroniske tjenester med særlig fokus på eldre og funksjonshemmede.
  • Digitalisere offentlige tjenester, og få befolkningen til å bruke eGovernment tjenester for kommunikasjonen med staten.

Innbyggeren i fokus

eGovernment Effektivisere offentlig administrasjon ved digitale portaler og digital kommunikasjon. Krever sikre måter å identifisere oss på (eID). Måler er å kutte ned på/ut køer på offentlige etater, og kutte ned på all denne brevsendingen... En annen fordel er at informasjon kan samles, helst på et sted, og dermed gi innbyggerne bedre helhetsoversikt. Målet er selvsagt ikke å gjøre det vi gjør i dag, bare elektronisk. Måler er å tenke på nytt, se nye muligheter nå som teknologien tillater det. Unngå at offentlig administrasjon blir en byrde

Framework for eID

eID Krav til instanser som skal tilby elektronisk ID, definere økonomisk ansvar slik at alle parter får tillit til systemet. Jobbe mot løsninger som gjør at ID kan brukes på tvers av landegrensene

Information society

Rettferdig konkurranse mellom telekommunikasjonsselskap?

Digital agenda - utfordringer
Digital agenda var en av de 7 grunnpilarene i Europe 2020 og definerer ICT (information and communication technology) som en viktig vei å gå for å oppnå økonomisk utvikling. Det er likevel en del utfordringer:

  • Fragmenterte digitale markeder. Du kan ikke kjøpe digitale tjenester fra hvor du vil.
  • Manglende interoperabilitet (samspill er ikke mulig, eller vanskelig)
  • Økende trusler fra nettkriminalitet, som igjen minker tilliten til teknologien
  • Lite investering i infrastruktur
  • For lite nytenkning
  • Generelt kunnskapsnivå for lavt (eller for avansert teknologi)
  • Vi tar ikke tak i sosiale utfordringer (???)

Digital agenda for Norge


"eNorge 2009" og St.meld. nr. 17 "et informasjonssamfunn for alle" har gitt oss mange forskjellige tjenester:

Motivene bak: Behov for bedre beslutningsstøtte, altså automatisering av innhenting av informasjon. Stadig økende saksmengder, der målet er å automatisere kontroll. Redusere kostnader ved flytting av papir, øke tilgjengeligheten på data. Øke servicenivået. (Serveren trenger ikke ta fri om kvelden og i helgene).

Går vi mot en borgervennlig og effektig forvaltning

Tja... Innlevering av selvangivelse, søknad om skoleplass, søknad om studielån, melding om flytting, tilgang på oppsparte pensjonspoeng. Alt dette er gode fremskritt. Vi har felles identifikasjonsystemer som bankID, minID og Buypass for å nevne noen og det forenkler situasjonen en god del.
Vi har fortsatt en lang vei å gå i å gjøre lovverket enklere og generelt sett redusere mengden portaler som nå stadig øker. Det er fortsatt mange her i landet som ikke er aktive internettbrukere og dermed mangler den grunnleggende forståelsen for å i det hele tatt ta dette i bruk. Vi må snu trenden med at vi skal oppsøke informasjonen til at informasjon presenteres oss på en enhetlig måte.


Rollefordelingen, det vil si "hvem gjør hva" har endret også endret seg.
Utfordringer med gammel/utgått data (bruk av indirekte kilder)
"EU undersøkelsen 2011". Direktiver vs regulativer. Felles regler på tvers av land.
new Data protection rules for the digital age

Risiko/sårbarhetsvurderinger


Konsekvens Gradering av hvor skadelig en uønsket hendelse vil være hvis den intreffer. Konsekvenser for liv eller helse, økonomisk tap, renomé?

Sannsynlighet Et mål på hvor ofte hendelsen faktisk vil inntreffe. En slik hendelse kan være en naturlig prosess, et uhell eller en bevist handling. Utfordringen ligger ofte i at det er veldig vanskelig å besvare hva sannsynligheten faktisk er.

Risiko Konsekvensen * sannsynligheten.
Målet er at de uønskede hendelsene skal være spredt slik at vi lett kan se hvilke som må håndteres først som et verktøy for prioritering. Målet er ikke å redusere risiko til 0, men å være klar over risikoen og restrisikoen etter at tiltak er gjort mot hendelser med høy risiko. Å ta risiko er en naturlig del av livet