Stortinget - Møte tirsdag den 3. desember 2019 *

Dato: 03.12.2019
President: Tone Wilhelmsen Trøen
Dokumenter: (Innst. 58 S (2019–2020), jf. Meld. St. 28 (2018–2019))

Søk

Innhold

*) Referatet er ennå ikke korrekturlest​.

Sak nr. 9 [12:20:01]

Innstilling fra kommunal- og forvaltningskomiteen om Datatilsynets og Personvernnemndas årsrapporter for 2018 (Innst. 58 S (2019–2020), jf. Meld. St. 28 (2018–2019))

Talere

Presidenten: Etter ønske fra kommunal- og forvaltningskomiteen vil presidenten ordne debatten slik: 3 minutter til hver partigruppe og 3 minutter til medlemmer av regjeringen.

Videre vil det – innenfor den fordelte taletid – bli gitt anledning til inntil tre replikker med svar etter innlegg fra medlemmer av regjeringen, og de som måtte tegne seg på talerlisten utover den fordelte taletid, får en taletid på inntil 3 minutter.

Mari Holm Lønseth (H) [] (ordfører for saken): La meg starte med å takke komiteen for et godt samarbeid.

Digitalisering og ny teknologi gir oss uante muligheter. Digitalisering er først og fremst et verktøy for å skape en enklere hverdag for folk flest, men en forutsetning for utvikling av mye av den nye teknologien vi har, er også at vi deler data, eller informasjon, om oss selv. Vi deler de aller fleste opplysninger om oss selv helt frivillig, i bytte mot å få mer tilpassede tjenester. Det gir oss som forbrukere muligheten til å få gode, skreddersydde løsninger. Bedrifter kan utvikle nye næringer, og det offentlige kan tilpasse tjenestene sine bedre til oss.

Skal det offentlige i større grad kunne tilpasse tjenestene og forenkle hverdagen til folk, krever det også at det offentlige deler mer informasjon på tvers. Det er gledelig også at regjeringens digitaliseringsstrategi er tydelig på at det er behov for bedre samordning på tvers av sektorene.

Datadeling og digitalisering setter personvernet vårt under press. Utfordringsbildet endrer seg også litt når det ikke i samme grad er overvåkning fra offentlige institusjoner som forbrukerne må være vare på, men snarere rekkevidden og bruk av informasjon hos offentlige og private aktører som man i større grad må sette grenser for. Skal vi ta vare på personvernet vårt, må vi også stille krav til at innsamlere og behandlere av data er klare gjennom et tydelig regelverk. Regelverket må også håndheves godt, bl.a. av Datatilsynet og Personvernnemnda. Et godt personvern er en grunnleggende menneskerettighet som er en del av retten til vårt privatliv, og et godt personvern er også nødvendig for å bevare vår frie og liberale rettsstat.

I fjor påpekte komiteen at også kommunesektoren er nødt til å være mer bevisst på sitt ansvar som en aktør som sitter på store mengder data om oss som innbyggere. Det er veldig positivt at Datatilsynet har fulgt opp kommunesektoren tett, bl.a. gjennom samarbeid med KS og også deltakelse på rådmannsmøter. Skal det nye, gode personvernregelverket som vi har vedtatt, fungere, krever det at både offentlige og private aktører etterlever reglene, og kommunene er slik sett en viktig aktør.

Vi er inne i en tid hvor data om oss blir mer og mer verdifulle, og da er det viktigere enn noen gang at vi har et godt, tydelig personvernregelverk, og at Datatilsynet og Personvernnemnda fortsetter det gode arbeidet de gjør med å beskytte vårt personvern.

Kari Anne Bøkestad Andreassen (Sp) []: Komiteens innstilling er enstemmig, og jeg viser derfor i stor grad til saksordførerens informative innlegg.

Som det framgår av fellesmerknaden, påpeker vi alle viktigheten av å ivareta personvernet og gjennom det retten til et privatliv og retten til å bestemme over egne personopplysninger. Likevel har Senterpartiet i lag med SV lagt inn en merknad som i stor grad er i tråd med vår merknad til innstillingen som gjaldt saken om innføring av EUs personvernforordning i norsk regelverk. I den saken ble det vist til daværende årsmelding fra Datatilsynet, der det sto at med ny forordning vil mange saker fortsatt behandles nasjonalt, men praksisavklaringer og avgjørelser med presedensvirkning vil i stor utstrekning trolig besluttes internasjonalt. Dette er bakgrunnen for at Senterpartiet fortsatt er kritisk til at forordningen blir tatt direkte inn i norsk lov.

Vi mener at Stortingets behandling av ny personopplysningslov burde tatt utgangspunkt i våre nasjonale behov, og vi er fortsatt kritiske til den overføring av myndighet som er gitt til EUs personvernråd. Samtidig er vi veldig enig i at det har vært viktig å få på plass strengere regler for ivaretakelse av personvern, og vi støtter fortsatt selve hensikten med forordningen.

Det er uheldig, mener vi, at EUs personvernråd, EDPB, skal kunne gjøre vedtak som er bindende også for Datatilsynet i Norge. Datatilsynet burde fortsatt være uavhengig og ikke motta instrukser fra myndighetene. Det er nå underlagt et overnasjonalt byrå og ikke i samme grad som tidligere gjenstand for nasjonal demokratisk styring, noe Senterpartiet mener er lite heldig.

Karin Andersen (SV) [] (komiteens leder) Jeg vil også i hovedsak slutte meg til saksordførerens innlegg, som trekker opp alle de dilemmaene og mulighetene som ligger i digitalisering. Det er ingen tvil om at personvernet er under press. Det beskriver jo både Datatilsynets og Personvernnemndas årsmelding ganske tydelig. De beskriver også en situasjon med økt saksmengde, økt kompleksitet og nye regler som skal implementeres, forstås og praktiseres korrekt. Det er ganske krevende for dem, men også for alle dem som skal gjøre det, og for alle enkeltmennesker. Jeg tror at få forstår rekkevidden av våre valg når det gjelder dette, og det kan få ganske alvorlige konsekvenser. Noen gjør stor forretning på det, uten at vi skjønner det, og uten at vi helt heller skjønner konsekvensen av det.

Det andre er om staten gjennom sine systemer, regelverk og håndtering er i stand til å beskytte innbyggerne sine mot utnytting og mot at disse opplysningene som vi gir fra oss, blir misbrukt på noen måte. Jeg tror det er få som overskuer det. Jeg skal ikke påstå at jeg gjør det. Det er et svært komplisert og vanskelig felt.

Det jeg er ganske sikker på, er at staten må ta en enda sterkere rolle i årene framover for å beskytte personvernet i en digitalisert verden, bruke de mulighetene som er der, men at personvernet må være et overordnet hensyn når vi utvikler det digitale Norge framover, og staten må derfor selv ta en mye sterkere rolle f.eks. i utvikling av egne skytjenester og beskytte den informasjonen som er offentlig nødvendig, men som kan være svært personsensitiv, i hele vår offentlige virksomhet. Jeg føler meg dessverre ikke helt trygg på at dette i dag er systemer som fungerer slik. De er så kompliserte og så innvevd i hverandre og krever så høy kompetanse i alle ledd som skal forstå dette, at jeg tror vi er et godt stykke fra å være der vi bør være.

Statsråd Nikolai Astrup []: Digitalisering av ny teknologi gjør det mulig for oss å løse oppgavene våre på bedre, raskere og mer effektive måter både i offentlig og i privat sektor, men bruk av digitale tjenester gjør også at vi etterlater oss elektroniske spor og opplysninger om oss selv. Disse opplysningene er verdifulle og kan brukes til å utvikle og tilby bedre og mer skreddersydde tjenester. Samtidig kan opplysningene misbrukes og utnyttes til andre formål enn de opprinnelig ble innhentet for.

I dag finnes det knapt teknologiske eller geografiske grenser for innsamling og bruk av personopplysninger, og da blir de rettslige rammene for personvernet desto viktigere. Etter Grunnloven og Den europeiske menneskerettskonvensjon er personvern en menneskerett. I 2018 fikk vi en ny personopplysningslov som gjennomfører EUs personvernforordning, GDPR, i Norge. Personvernforordningens bestemmelse om dataportabilitet gjør det mulig å ta med egne personopplysninger til en ny tjenestetilbyder. På den måten kan godt personvern bli et konkurransefortrinn. Det bør norske utviklere og tjenestetilbydere benytte.

Skole- og barnehagesektoren behandler store mengder opplysninger om barna våre. Bruk av digitale verktøy i undervisningen er viktig for å utvikle barnas digitale ferdigheter. Kommunikasjon mellom skole og hjem blir enklere med digitale løsninger. Samtidig er barn og unge særlig utsatt ved brudd på personvernregelverket. Det har vi dessverre sett flere eksempler på denne høsten. Når kommunene anskaffer digitale løsninger for behandling av opplysninger om barn, er det derfor ekstra viktig at vi gjør gode risikovurderinger. Dette stiller store krav til kommunenes bestillerkompetanse. Tilbyderne må også forstå betydningen av å bygge systemer og tekniske løsninger som ivaretar personvernet fra start – såkalt innebygd personvern.

Digitalisering og behandling av personopplysninger henger uløselig sammen. Skal vi lykkes med digitaliseringen, må brukerne ha tillit til dem som behandler opplysninger om dem. Et oppdatert regelverk, et aktivt Datatilsyn som kontrollerer etterlevelse av regelverket, Personvernnemnda som uavhengig overprøvingsinstans og internasjonalt personvernsamarbeid er avgjørende.

Datatilsynet har i 2018 bygget kompetanse internt og forberedt organisasjonen på å håndtere oppgaver etter ny personvernlovgivning. For 2020 foreslås det å øke bevilgningen til Datatilsynet med 7,8 mill. kr. Midlene skal bl.a. dekke bemanningsbehov, kompetanseutvikling, ressurser til IKT-systemer, nye digitale kommunikasjonsløsninger og økt deltagelse i internasjonalt personvernarbeid.

Presidenten: Det blir replikkordskifte.

Karin Andersen (SV) []: Vi har nettopp fått framlagt regjeringens budsjett for neste år, og der ser vi hvordan regjeringen prioriterer både Datatilsynet og Personvernnemnda, og da forutsetter jeg jo at statsråden mener at det er tilstrekkelig.

Men det som også ligger foran oss nå, er hvordan det offentlige skal utvikle sine egne IKT-tjenester. Der mener SV at det må anses som en statlig kjerneoppgave, altså at statlige virksomheter bør utvikle og drifte sine egne fagsystemer, i egen regi, og ha eierskap til egen digital infrastruktur og arkitektur. Det mener vi fordi det er en statlig kjerneoppgave og en statlig kjerneinfrastruktur – og som både statsråden og saksordføreren var inne på, er det vanskelige avgrensninger knyttet til personvern – og at dette derfor bør ligge i bunnen når man ser på hvordan dette skal organiseres. Er statsråden enig i det?

Statsråd Nikolai Astrup []: Jeg er glad for at representanten Andersen og jeg er enige om at personvernet er helt sentralt og må være det i all offentlig virksomhet også fremover. Det er imidlertid ikke dermed sagt at en løsning automatisk gir godt personvern fordidet er det offentlige selv som har utviklet den. Jeg tror vi også skal benytte oss av den innovasjonskraften og teknologikompetansen som ligger i markedet, for å utvikle gode løsninger som også kommuner og statlige virksomheter kan benytte seg av. Her handler det om å stille strenge krav til innebygd personvern, til behandling av personopplysninger, men de tekniske systemene trenger ikke nødvendigvis å være utviklet av staten eller kommunene selv; man kan også benytte seg av eksterne leverandører.

Karin Andersen (SV) []: I utviklingen av systemene kan nok det være riktig, men det er jo viktig at staten sjøl har demokratisk styring og kontroll på dette, og at man også har den kompetansen og det eierskapet til strukturen og arkitekturen som ligger i dette. Det er det SV mener. Jeg vil spørre statsråden hvordan han mener at det offentlige skal kunne være en så kompetent innkjøper av så kompliserte tjenester som dette hvis man ikke selv innehar den kompetansen som gjør at man vet hva man trenger?

Statsråd Nikolai Astrup []: Det er helt klart en viktig forutsetning at det offentlige selv har god bestillerkompetanse dersom man skal benytte eksterne leverandører. Men la meg legge til at dersom man skal utvikle systemene selv, trenger man jo også god kompetanse internt. Så ja, det er viktig med god kompetanse i offentlig sektor for å sikre at de løsningene vi tar i bruk i offentlig sektor, ivaretar personvernet til alle på en tilfredsstillende og god måte. Så her er vi i og for seg helt enige.

Når det gjelder kontrollen med systemene som sådanne, har vi et nasjonalt økosystem av felleskomponenter som vi har kontroll med, men det betyr jo ikke at vi ikke også benytter oss av digitale løsninger som er utviklet av andre, og som i og for seg heller ikke ligger under vår kontroll. Vi har f.eks. kontroll med ID-porten, men BankID er en løsning som bankene har utviklet, som de fleste i det norske samfunn benytter seg av, og som vi må forutsette også ivaretar våre personopplysninger på en god måte.

Karin Andersen (SV) []: Under budsjetthøringen i kommunalkomiteen fikk vi opplyst at Forsvaret neste år starter arbeidet med å legge store deler av det som i dag er nettverk drevet av Forsvaret sjøl, over i privateide skytjenester. Det kan jo innebære at det er mye sensitiv informasjon der. Det mener SV ikke er tilfredsstillende, vi mener at dette er ting man burde ha driftet sjøl i en egen offentlig skytjeneste. Hva er grunnen til at statsråden mener at dette ikke innebærer uforholdsmessig stor risiko?

Statsråd Nikolai Astrup []: Det er forsvarsministeren som må svare for disposisjonene som Forsvaret gjør, også når det kommer til bruk av skytjenester eller ikke, men på generell basis kan jeg si at det ikke nødvendigvis er slik at man får bedre sikkerhet rundt de sensitive opplysningene ved at staten har egne, separate systemer, f.eks. med servere stående i sin egen kjeller. Vi trenger å dra nytte av den innovasjonen og de enorme ressursene som brukes av de store kommersielle aktørene på nettopp sikkerhet, for å ivareta våre personopplysninger. Det kan også gjøres i egen, offentlig regi, og det er mange eksempler på at offentlig sektor lager sine egne løsninger, men jeg mener det ikke skal være en hovedregel at alt skal gjøres i offentlig regi. Tvert om lager vi nå en markedsplass for skytjenester for å sikre at både statlige og kommunale virksomheter som ønsker å gå i skyen, kan ivareta sikkerheten på en god måte og sørge for at de får gode betingelser hvis de velger å gå i skyen.

Presidenten: Replikkordskiftet er omme.

Votering, se voteringskapittel