Siste uken i oktober ble Norsk konferanse for offentlig sektor (NOKIOS 2014) arrangert for åttende gang i Trondheim. Som i fjor vil vi gjerne benytte anledningen til å minne om at mange av sesjonene er tilgjengelig som video. Etter hvert kommer også lysark.

 Siden dette er Difis blogg, er det vel ikke unaturlig med et par snarveier til noen av sesjonene der Difi deltok på en eller annen måte:

Workshop om informasjonsdeling

I fjor omtalte jeg spesielt det som handlet om informasjonsforvaltning, inkludert en workshop som Mariann Sundvor arrangerte. Den sesjonen hadde en oppfølger i år, med tittelen Informasjonsdeling. Et høydepunkt der var å se hvordan deltagerne fra Nav, Mattilsynet og Skatteetaten hadde fulgt opp oppgavene Mariann tvang på dem i fjor. Med andre ord fikk vi

I tillegg var det flere spennende presentasjoner innenfor temaet. Terje Storvik fra NTNU innledet om informasjonsdeling som forutsetning for digitalisering, og det viktigste middelet for å løse problemene knyttet til kompleksitetsveksten som Jonas Söderström omtaler i boken «Jævla drittsystem!». Andreas Åkre Solberg avsluttet med å vise hvordan Uninett jobber for å gjøre det enklere å dele informasjon på tvers av app-er og tjenester på nett, ved å gi brukeren mer kontroll over informasjonsutvekslingen. Og alt mellom kan også anbefales! [Alle lysark fra workshopen]

Estland – et e-land bygget på informasjonsdeling

Men det kanskje aller mest spennende innen temaet informasjonsforvaltning og informasjonsdeling på årets konferanse var bare synlig for et godt trent øye, i ca to minutter, i den avsluttende internasjonale plenumssesjonen, ca åtte minutter ut i foredraget: Nokios - Internasjonalt plenum - Insights from Estonia – World Leaders in the E-state med Taavi Kotka, Government CIO.

Før jeg kommer tilbake til de to minuttene vil jeg kort dekke de øvrige førti minuttene. Estlands CIO presenterte et svært tankevekkende bilde av hvordan det er å være en stat som har fullført overgangen til det digitale, og samtidig har en relativt nylig erfaring med å være okkupert. Det interessante var at de ikke bare var opptatt av å beskytte seg mot en ny okkupasjon. Det lå like mye refleksjoner bak hvordan de skulle forberede seg på hva som skjer når en eventuell ny okkupasjon er over, etter la oss si 70 år. Hvordan finner man tilbake til de som var det opprinnelige landets innbyggere, hvem var opprinnelig eiere av eiendommene, hvis all dokumentasjon er digitalisert? Vil den digitaliserte informasjonen overleve?

Så, tilbake til de to minuttene.

Det refereres stadig til Estland og X-road som et eksempel på vellykket digitalisering. Men like ofte trekker man frem forhold som gjør at dette ikke er så relevant for oss; de er et lite land, hele befolkningen er samlet i en by, de startet med «blanke ark» da de skulle digitalisere osv. Men vi er ikke så store vi heller, og blanke ark eller ei – formålet med X-road da det ble utviklet var å knytte sammen eksisterende it-systemer i de ulike offentlige virksomhetene.

Enkelt og sikkert tilgjengelig

Det som etter min mening er blitt tydelig etter forsøk på å sette meg inn i hva som kjennetegner X-road, er hvordan Estland har lyktes i å gjøre data enkelt og sikkert tilgjengelig på tvers av virksomhetene. Per i dag har nærmere 1000 organisasjoner i Estland tilgang til over 170 databaser via X-road. I 2013 gikk det nesten 300 millioner oppslag mot disse databasene gjennom X-road-infrastrukturen. Og ikke minst; næringslivet kan også bruke X-road for å få tilgang til offentlige data dersom de har rett til det.

For Estland er tilgang til data sett på som en forutsetning for å bygge tjenester og digitalisere prosesser. Forretningslogikk, brukergrensesnitt, teknologivalg med mer er overlatt til den enkelte etat. Men dersom en etat skal hente data fra en annen etat er det kun en måte å gjøre det på – som også garanterer for sikkerheten – gjennom X-road.

Taavi Kotka: The business itself knows best how to do the business and necessary business logic, and we need information to do that business; so government please make information available for me as easy as possible

Dataene er i tillegg alltid tilgjengelige fra den autoritative kilden—ettersom det er et forbud mot å duplisere data (med unntak for rene ytelsesmessige hensyn). I Estland fremgår det av deres Public Information Act (offentleglova). I § 43-6 står det et forbud mot å etablere en database med data som finnes allerede et annet sted i det offentlige. Regelen tolkes også slik at for at den skal ha effekt følger det en tilhørende plikt for de som forvalter dataene til å gjøre dem tilgjengelige for andre:

“(2) The processing of data which are collected as basic data by another database belonging to the state information system shall be based on the basic data of the other database.”

Den andre viktigste forskjellen er at Estland har et apparat som sikrer etterlevelse av loven og oversikt, gjennom RIHA. RIHA er på den ene siden en katalog over alle tilgjengelige data, alle tjenestene dataene kan hentes fra, hvem som henter data fra hvor etc. Samtidig er det en organisasjon (RIA) som har myndighet – gjennom hjemmel i Public Information Act - til å kreve all dokumentasjon av alle datasystemer, og godkjenne alle planer om nye systemer, for å sikre at data og tjenester blir gjenbrukt.

Det er dette Taavi Kotka gir et glimt av i de to minuttene i innlegget sitt der han først viser den offisielle illustrasjonen av X-road :

Illustrasjon av X-road EU
 

Illustrasjon av X-road EU

 

Før han legger til:  “The real picture is actually this:”

Alternativ illustrasjon av X-road EU
 

Alternativ illustrasjon av X-road EU

Taavi: You laugh, but just to make sure, this is not a spagetti! We actually have full control and full overview of what happens in our system. Everything is registered and we fully know like what is this line, what is inside this green dot here.

Og for å si det enda mer eksplisitt, slik Taavi Kotka formulerte det i en samtale før innlegget, «If you have a catalogue (peker på RIHA), then you don’t have a spagetti».

Hva er situasjonen i Norge?

Når det gjelder infrastrukturen for å utveksle data finnes det flere felleskomponenter og infrastrukturer som vi antagelig kan bygge videre på og utnytte bedre i sammenheng i Norge, blant annet Altinn, infrastruktur for digital post til innbyggere, Norsk helsenett og Peppol-infrastrukturen. Men infrastruktur for å dele data er ikke nok, hvis ingen prioriterer å gjøre sine data tilgjengelige, eller ingen vet hva som finnes.

I Norge mangler vi både den klare plikten til å gjenbruke fremfor å duplisere, men kanskje viktigere, vi mangler den generelle plikten til å gjøre data tilgjengelig for andre som har rett til det. Og vi mangler noe som tilsvarer katalogen RIHA og forvaltningsapparatet rundt en slik katalog.

Vi har vel og merke noen elementer på plass som kanskje kan bygges videre på. For det første har vi føringen i Digitaliseringsrundskrivet om å gjøre data tilgjengelig for viderebruk. For åpne data finnes det også en katalog, data.norge.no, men det er ingen lignende plikt til å holde den oppdatert, og uansett gjelder føringen i rundskrivet bare data som kan deles med alle.

Åpne data-satsingen bygger for øvrig på retten til innsyn i sammenstillingen av databaser, som kom i den nye offentleglova fra 2006. Dette gir til en viss grad andre rett til å kreve tilgang til data, men det kan ikke tolkes som en plikt til aktivt å tilgjengeliggjøre data, og den kan bare unntaksvis brukes for å få tilgang til personopplysninger (dersom de er allment kjent fra før). Men offentleglova inneholder også en plikt til å føre og publisere en offentlig journal over saksdokumenter i virksomheten (§ 10). Dessverre gir den ikke oversikt over alle data i ulike databaser i virksomheten.

Videre har de enkelte grunndataregistrene har sine lover som til en viss grad pålegger bruk, som i formålsparagrafen til lov om enhetsregisteret: «Offentlige organer og registre som ikke er tilknyttede registre, plikter, der det er praktisk mulig, å benytte opplysninger fra Enhetsregisteret.»

(Det er for øvrig vanskelig å se for seg at noen nå skal kunne påberope seg at unntaket «der det er praktisk mulig», etter at Brønnøysundregistrene etter en pioneer-periode på Difis datahotell, nå har lansert Enhetsregisteret, den autoritative kilden, som åpne data på data.brreg.no. Kudos!)

Den mest interessante hjemmelen er kanskje Brønnøysundregistrenes hjemmel i lov om oppgaveregisteret. Den pålegger for det første en plikt til å oppdatere Brønnøysundregistrene om hvilke data etatene krever innrapportert, og for det andre gir den Brønnøysundregistrene myndighet til å godkjenne nye oppgaveplikter. Samtidig – gjennom forvaltningslovens § 13b pkt 7 – er det et generelt unntak fra taushetsplikten som ellers hindrer informasjonsdeling: Den alminnelige taushetsplikten etter forvaltningsloven skal ikke være til hinder for «at forvaltningsorganet gir et annet forvaltningsorgan opplysninger (samordning) som forutsatt i lov om Oppgaveregisteret».

Begrensningene er dessverre at dette kun gjelder for «oppgaveplikter som offentlige organer pålegger næringsdrivende». Dermed er alle opplysninger knyttet til søknadsprosesser (som ikke er pliktige) og alle opplysninger knyttet til innbyggerne unntatt.

«Puh,» vil noen tenke, «det er bra for personvernet.» Mon det, riktig deling kan tvert i mot styrke personvernet ved å redusere den samlede spredningen av informasjon. Les selv: Deling er ikke farlig

Personopplysningsloven har for øvrig bestemmelser som det er vanskelig å tenke at en kan oppfylle uten en viss oversikt. En ting er at den generelle innsynsretten i § 18 gir hvem som helst rett til å be om informasjon fra en virksomhet om hvilke personopplysninger virksomheten behandler, og forvente bl.a. følgende informasjon:

c)  formålet med behandlingen,

d)  beskrivelser av hvilke typer personopplysninger som behandles,

e)  hvor opplysningene er hentet fra, og

f)  om personopplysningene vil bli utlevert, og eventuelt hvem som er mottaker.

Men for å oppfylle dette holder det at virksomhetene selv vet hvilke opplysninger de behandler. Derfor er det kanskje vel så interessant med melde- og konsesjonsplikten i kapittel IV i loven. Der fremgår det at før all «behandling av personopplysninger med elektroniske hjelpemidler» skal det sendes melding til Datatilsynet. Og kravene til innholdet i meldingen er relativt likt det en har rett til å få vite om en ber om generelt innsyn, bl.a.:

d)  formålet med behandlingen,

e)  oversikt over hvilke typer personopplysninger som skal behandles,

f)  hvor personopplysningene hentes fra,

g)  det rettslige grunnlaget for innsamlingen av opplysningene,

h)  hvem personopplysningene vil bli utlevert til, herunder eventuelle mottakere i andre stater, og

i)  hvilke sikkerhetstiltak som er knyttet til behandlingen.

Sammen med Oppgaveregisteret kunne en tenke seg at disse meldingene burde kunne danne grunnlag for en lignende oversikt som Estland har i sitt RIHA. Men i realiteten er vi nok et godt stykke unna. En titt på en av meldingene som er sendt inn viser at det mangler mye på detaljnivået. Samtidig, i Datatilsynets Strategi for godt personvern i digitaliseringen av offentlig sektor (PDF) er tilsynet opptatt av behovet for gode metadata for å unngå feiltolkninger av data, og av problemstillingen «Hvilke opplysninger behandles, oppdateres og deles» (side 16). Datatilsynet er jo også opptatt av at vi som innbyggere skal være istand til å kontrollere hvordan opplysninger om oss selv blir brukt.

Med Andreas Åkre Solbergs presentasjon om brukerstyrt deling av personopplysninger, lurer jeg på om det kanskje er personopplysningsloven – i kombinasjon med litt revidert lov om oppgaveregisteret som kanskje er det som kan ta Norge ett skritt nærmere Estland. Hva tror du?

Inspirerende møteplasser!

En refleksjon er hvor mye kunnskapsutveksling og inspirasjon en møteplass som Nokios bidrar til, og jeg ser allerede nå frem til Difis digitaliseringskonferanse 16.-17 juni som skal være i Den Norske Opera. Har du satt av tiden i kalenderen din? Håper det!

Se /opplaeringstilbud/digitaliseringskonferansen

Forfatter

Steinar Skagemo
Steinar Skagemo
Steinar Skagemo er seniorrådgiver i Difi og arbeider blant annet med informasjonsforvaltning.

Kommentarer

Skriv ny kommentar

* obligatorisk felt som du må fylle ut