Jeg viser til brev fra Stortingets transport-
og kommunikasjonskomite av 17. april bilagt forslag fra stortingsrepresentantene
Per Sandberg og Bård Hoksrud om å etablere en IKT-havarikomisjon
etter mønster fra flyhavarikommisjonen og å styrke personvernet. Kommisjonen
skal bl.a. finne årsakene bak statlige IKT-havarier og IKT-relaterte
personvernbrudd.
Digitalisering er avgjørende for en vellykket fornying
og omstilling av offentlig sektor de kommende årene. Det er samtidig
meget krevende å gjennomføre IKT-relaterte investeringer i staten.
Etablering av en havarikommisjon vil etter min mening neppe være
det riktige virkemiddel for å ivareta sikkerhet og kvalitet i utvikling og
bruk av IKT-systemer. Dette vil jeg komme tilbake til nedenfor.
Brudd på sikkerheten i store IKT-systemer kan få
som konsekvens at uvedkommende utilsiktet får eller kan gå tilgang
til personopplysninger. Dette er alvorlig, og kan få betydelige
konsekvenser for de det gjelder. En del personopplysninger vurderes
som så beskyttelsesverdige at det kreves særskilt autorisasjon for
å få tilgang til dem. Dette gjelder særlig opplysninger som er kategorisert
som sensitive etter personopplysningsloven, lov 14.04.2000 nr. 31,
§ 2 nr. 8. Men det kan også gjelde andre kategorier personopplysninger
som isolert sett eller i sin kontekst krever særlig beskyttelse.
Ved behandling av slike opplysninger skal det iverksettes tiltak
mot uautorisert innsyn og utlevering jf. personopplysningsforskriften,
forskrift 15.12.2000 nr. 1265, § 2-11. Utilsiktet innsyn i eller
utlevering av slike personopplysninger skal etter gjeldende rett
rapporteres til Datatilsynet. Rapporteringsplikten følger av personopplysningsforskriften § 2-6
tredje ledd. Datatilsynet kan med hjemmel i personopplysningsloven
§ 42 fatte de vedtak og gi de pålegg tilsynet mener er nødvendige
for å bringe behandlingen av personopplysninger i samsvar med gjeldende
personopplysningsregelverk.
Dette betyr at det allerede i dag eksisterer
en plikt til å melde en del alvorlige brudd på personopplysningslovens
sikkerhetsbestemmelser til Datatilsynet. Dette er brudd som fører
til at uvedkommende får eller kan få tilgang til beskyttelsesverdige
personopplysninger. Datatilsynet har, med hjemmel i personopplysningsloven,
myndighet til å foreta undersøkelser om personvernbruddet og pålegge
retting av eventuelle feil og mangler. Etter min vurdering eksisterer
det derfor allerede en ordning som skal ivareta personvernhensyn
når svikt i IKT-systemer fører til utilsiktede utleveringer av beskyttelsesverdige
personopplysninger.
Det er dessverre grunn til å tro at det forekommer
en del sikkerhetsbrudd som etter regelverket skal medføre avviksrapportering
til Datatilsynet, uten at så skjer. Jeg er enig med forslagsstillerne i
at det er viktig å ivareta personvernet når sikkerheten i store
IKT-systemer svikter. Før det vurderes nye regler og nye systemer
for avviksrapportering, vurderer jeg det imidlertid som hensiktsmessig
å følge opp etterlevelse av de rapporteringsreglene som allerede
eksisterer.
Mange offentlige etater har omfattende IKT-systemer
der det behandles store mengder personopplysninger. Det er både
viktig og utfordrende å sørge for god sikkerhet i disse systemene,
både på det tekniske og det menneskelige plan. Offentlige myndigheter
med ansvar for personopplysninger har betydelig oppmerksomhet rettet
mot ivaretakelse av personvernhensyn. Ikke minst arbeides det for
gode rutiner for håndtering av taushetsbelagt informasjon, og logging
av tilgang til personopplysninger forekommer i økende grad for å
ivareta personvernet. Ved utilsiktede hendelser i systemene, vil
slike logger ha stor verdi for å avdekke hva som har skjedd, og
som grunnlag for å iverksette tiltak for at liknende ikke skal skje
igjen.
Regjeringen arbeider med en melding til Stortinget
om personvern. I meldingen vil vi legge opp til en bred debatt om
en rekke aktuelle personvernspørsmål. Vi vil drøfte hvordan vi bruker det
handlingsrommet vi har innenfor gjeldende regelverk, men også utviklingen
på personvernområdet videre. Forslagsstillerne tar opp utfordringer
knyttet til økt bruk og avhengighet av teknologi. I meldingen vil
vi drøfte slike utfordringer knyttet til personvern og teknologi, men
også de mulighetene teknologien gir for å ivareta personvern. Innebygget
personvern er svært aktuelt. Her kan offentlige myndigheter gå foran
med personvernvennlig bruk av teknologi. Dette temaet vil vi komme
nærmere tilbake til i den kommende stortingsmeldingen om personvern.
Vi trenger en sterk og effektiv forvaltning
for å sikre en god samfunnsutvikling i Norge. Digitalisering vil
både føre til et bedre og raskere møte med offentlig sektor for
innbyggere og næringsliv, og bedre ressursbruk i offentlig sektor.
Regjeringen la i april 2012 fram digitaliseringsprogrammet
På nett med innbyggerne. I følge programmet skal digital kommunikasjon
være hovedregelen mellom folk og forvaltningen. Videre skal forvaltningen
tilby helhetlige og brukervennlige digitale tjenester. Innlogging
til offentlige nettjenester skal være enkel og sikker. Alle innbyggere
og bedrifter skal få post fra forvaltningen i én sikker, digital
postkasse. Hensynet til personvern og informasjonssikkerhet skal ivaretas..
For å realisere fremtidens digitale forvaltning må
visse forutsetninger være på plass. Det trengs en digital infrastruktur
for forvaltningen. Infrastrukturen skal bestå av noen felleskomponenter
som ulike deler av forvaltningen trenger, slik som elektronisk ID,
digital postkasse og offentlige registre som understøtter den digitale forvaltningen.
Felleskomponentene må i tillegg styres, organiseres og finansieres
på en effektiv måte for å sikre god utvikling av den digitale infrastrukturen.
Regjeringen vektlegger også sikkerhet i IKT-systemene. Det er behov
for å sikre robust drift og unngå at opplysninger kommer på avveie.
Lover og forskrifter må dessuten tilpasses slik at de tilrettelegger
og understøtter digital kommunikasjon. Programmet inneholder flere konkrete
tiltak for bedre oppgaveløsning og ressursbruk i forvaltningen,
flere med relevans for representantforslaget.
Det foretas årlig store IKT-relaterte investeringer
i statsforvaltningen for å støtte opp under organisatoriske endringsprosesser.
Selv om det blir gjort mye godt arbeid både på overordnet nivå og
i de enkelte sektorene, har vi fortsatt utfordringer. Dette er ikke
spesielt for Norge.
På overordnet nivå er det viktig å få offentlig
forvaltning til å arbeide mot felles mål. Stortingsmelding nr. 17
(2006-2007) Eit informasjonssamfunn for alle har betydd mye for
IKT-utviklingen i offentlig forvaltning. Bruk av overordnede arkitekturprinsipper
(der sikkerhet utgjør ett av prinsippene), forvaltningsstandarder,
felleskomponenter/-infrastruktur som Altinn, eID og sentrale registre
i etatene samt behov for brukerretting av tjenestene og mer samordning
og styring, ble der satt inn i en helhetlig sammenheng.
Fra år 2000 har det vært et generelt krav i
staten at investeringer over et visst beløp (nå 750 mill. kr) skal
gjennomgå ekstern kvalitetssikring før beslutning om iverksetting
av forprosjekt eller hovedprosjekt.
Fra 2009 har mitt departement (FAD) årlig gitt
ut et rundskriv med felles overordnede krav til IKT-relaterte investeringer
i staten, jf. rundskriv P-11/2011. Virksomhetens investeringsforslag inklusive
utfylt selvdeklarasjonsskjema skal forelegges FAD, som avgir en
uttalelse til Finansdepartementet før regjeringens budsjettkonferanse.
I representantforslaget blir det pekt på IKT-relaterte
problemer i Altinn, politiet, domstolene, nødnettet, helsesektoren
(særlig i spesialisthelsetjenesten) og i NAV. Jeg er enig i at her
er det store utfordringer. Det pågår arbeid for å vurdere videre
innsats på disse områdene. Stortinget vil bli trukket inn i dette
arbeidet i bl.a. budsjettprosessen. Helse- og omsorgsdepartementet planlegger
å legge fram en eHelse-melding innen årets utgang.
I følge representantforslaget bør nasjonalt
eID-kort ikke bli obligatorisk for hele befolkningen. Det er heller
ikke regjeringens forutsetning. Videre hevdes det at enkeltformuleringer
i Statens standardavtaler for IKT (SSA) er for rigide. Standardavtalene
har veiledende og rådgivende status, de er ikke obligatoriske. De
er heller ikke offisielle standardavtaler på linje med NS-standardene
i bygg- og anleggsbransjen. IKT Norge har henvendt seg til FAD med
spørsmål om innholdet i SSA. Departementet har bedt Difi, som forvalter
av SSA, om å vurdere problemstillingene i dialog med IKT-Norge.
Jeg legger opp til en bred debatt i den varslede stortingsmeldingen
om personvern kommende vinter. Den vil også kunne gi grunnlag for
drøfting av de utfordringer som representantene tar opp på dette
området i representantforslaget.
Regjeringen vil våren 2012 gi ut reviderte nasjonale
retningslinjer for informasjonssikkerhet.
For å ivareta sikkerhet, personvern og unngå feilinvesteringer,
må vi framover fortsatt legge vekt på forebygging. Prosjektveiviseren.no
(Difi), kvalitetssikringsopplegget i Finansdepartementet og FADs
rundskriv med felles krav til IKT-støttede endringsprosesser i staten
må ses i sammenheng og videreutvikles. Framtidens digitale tjenester
må etableres på en felles plattform, slik det går fram av regjeringens
digitaliseringsprogram.
IKT-bruken i statsforvaltningen dekker et meget vidt
område, og det vil være krevende for ett enkelt organ å ivareta
alle situasjoner. Det ofte ageres raskt og det må ikke skapes usikkerhet
om ansvarsforholdene. Etablering av en fast havarikommisjon som
skal dekke et så stort og mangslungent område, vil slik jeg ser
det, ikke uten videre sikre den nødvendige effektivitet og kvalitet
i et arbeid som krever ulik tilnærming i ulike saker og problemstillinger..
I noen tilfeller er det mest hensiktsmessig å engasjere private aktører
for å gjennomføre kvalitetsgjennomgang og vurderinger (jf. NHDs
engasjement av Det norske Veritas for vurdering av Altinn). Andre ganger
kan det være best å bruke eksisterende statlige organer (jf. FADs
bruk av NSM for vurdering av sikkerheten i regjeringskvartalet).
En slik fleksibilitet er, slik jeg ser det, nødvendig. Det hindrer
imidlertid ikke at vi hele tiden må arbeide for forbedringer og
gode og oppdaterte kontroll- og oppfølgingsordninger.