Roller og ansvar ved deling av opplysninger erfaringer fra NAV og Skatteetaten SKATE 5.12.18
Et felles mål om å gjøre informasjon mest mulig produktivt for samfunnet Digitaliseringen skyter fart stor vekst i etterspørsel Nye bruksmønstre økt kompleksitet og driftskritikalitet hos konsumenter Vokser frem som et nytt forvaltningsområde Vi må definere tilbyders rolle og ansvar Bruker i sentrum med godt personvern Gjenbruk i offentlig sektor («Kun en gang»-prinsippet) Unngå å rapportere samme informasjon flere ganger Fornying, forenkling, forbedring proaktive tjenester, automatisering, kvalitativ forbedring, likebehandling, kostnadsreduksjon m.m. Viderebruk utenfor offentlig sektor Åpenhet og innsyn, og disposisjonsrett over «egne data» Næringsutvikling, forenkling og effektivisering Kvalitativt bedre tjenester (datakvalitet, andre samfunnsmessige mål m.m.)
Tilrettelegging forutsetter at opplysningene forvaltes som en fellesordning Hensikt Tilgjengeliggjøring Tilrettelegging Deling for gevinster hos andre ved gjenbruk og viderebruk Deling fra fellesordning med eget formål og regulering
Erfaringer fra NAV og Skatteetaten
De Utfordringer største utfordringene ligger ved på deling nivåene mellom av politiske data føringer og teknisk løsning Konsuments hjemmel for tilgang og bruk Etatens hjemmel for utlevering Ikke digitalisert lovverk Behov for avtaler Dele data som de er? Må data tilrettelegges for deling? Felles forståelse av begreper Politiske føringer Juridisk samhandlingsevne Organisatorisk samhandlingsevne Semantisk samhandlingsevne Teknologisk samhandlingsevne Overordnede politiske signaler Manglende samhandling på departements nivå Hva er ansvaret til etaten som avgir? Hva er ansvaret til konsumenten? Behov for nasjonal fellesfunksjonalitet? Digitalisering av konsument og tilbyder? Hva er beste praksis i forhold til deling av data? Hva skal standardiseres?
Prinsipper om ansvar ved deling av opplysninger Tilbyder av opplysninger 1. Tilbyder av data har beskrevet datasett, begreper og APIer for deling 2. Tilbyder tilgjengeliggjør opplysninger for viderebruk og gjenbruk slik etaten forvalter dem 3. Tilbyder tilrettelegger for deling i samsvar med ansvaret som forvalter av fellesordning 4. Tilbyder deler via standardiserte tjenester og grensesnitt Konsument 1. Konsument innhenter opplysninger fra primærkilder 2. Konsument dokumenterer tilstrekkelig behandlingsgrunnlag for de opplysninger som ønskes utlevert fra tilbyder 3. Konsument er behandlingsansvarlig for all bruk etter mottak av opplysninger fra tilbyder 4. Konsument tilrettelegger opplysninger for å ivareta egne behov
Behandlingsansvar Skatteetataten ved utlevering og bruk må tydelig Konsument skilles Behandlingsansvar ved utlevering Behandlingsansvar ved bruk Autentisere organisasjonen som er konsument Autorisere at konsument har tilstrekkelig behandlingsgrunnlag for tilgang til datakilden Minimere tilgang til opplysninger i henhold til behandlingsgrunnlaget Autentisere interne brukere Autorisere at intern tjeneste forvalter regelverk med behandlingsgrunnlag til opplysninger Motta og behandle opplysninger fra tilbyder i henhold til tjenestens behandlingsgrunnlag Bruk av databehandler endrer ikke ansvarsforhold
Videre arbeid må konkretisere skjæringspunktet mellom tilbyder og konsument Tilbyder behandlingsansvar Tilbyder 3-parts databehandler Data flyt 3-parts databehandler Konsument Konsument behandlingsansvar
Konsumenter med like behov samordnes og representeres ved en felles representant Bransjeansvarlig/avtalepart på vegne av konsumenter Bidra til å digitalisere lovverk Avklare hjemmel for konsumenter Bidra til å standardisere meldinger Bidra til begrepsavklaringer Politiske føringer Juridisk samhandlingsevne Organisatorisk samhandlingsevne Semantisk samhandlingsevne Teknologisk samhandlingsevne Bidra til politiske avklaringer Bidra i digital transformasjon for konsumenter Bidra til avklaring av ansvarsdeling mellom tilbyder og konsument Bidra til digitale samhandlingsmønstre Bidra til å standardisere format og protokoll Bidra til å avklare sikkerhet og andre kvalitetsegenskaper Bidra til å avklare bruk av fellesfunksjonalitet Teknisk hub (databehandler)
Konsumenter med like behov samordner seg og representeres av en felles representant Avtale mellom tilbyder og Bransjerepresentant regulerer bransjens oppgaver og plikter Bransjerepresentant Avtaler mellom Bransjerepresentant og tilknyttede konsumenter Konsument godtar tilbyders bruksvilkår for bruk av tjenester Tilbyder Data flyt Konsument
Vi tror på tydelig ansvarsdeling understøttet av et sett med beste praksiser Start med å beskrive samhandlingsprosessen Behandlingsansvaret ved utlevering og bruk må være tydelig Bruk av databehandler endrer ikke ansvarsforhold Konsumenter med like behov samordner seg og representeres ved felles representant Bruksvilkår kan etableres for konsumentgrupper Forslagene understøtter arkitekturprinsippene for digital samhandling
Forslag til beslutning i SKATE SKATE mener at informasjonsdeling mellom virksomheter krever samordning, hvor arbeidet til Skatteetaten og NAV er et viktig grunnlag i arbeidet Difi oppfordres til å ta arbeidet videre, slik at man kan få felles rammer og retningslinjer for offentlig sektor på området. Det må sikres god involvering av interessentgrupper
Tillegg
Diskusjonspunkter for SKATE Kan saksframlegg og vedlegg danne grunnlag for en nasjonal samordning / beste praksis? Hva er Skates anbefaling for videre arbeid på dette området?
Etatene forvalter samfunnskritisk informasjon Skatteoppgjør Inntektsopplysninger Folkeregister Eiendomsregister Aksjonærregister Valutaregister m.m Arbeidsforhold Ytelser og utbetaling fra NAV Sykefravær og sykemelding Yrkesskade Arbeidsledighet CV og stillingsbase Pensjonsopptjening Medlemskap i folketrygden m.m
Personopplysninger kan bare behandles når det foreligger et behandlingsgrunnlag Behandlingsgrunnlagene Hvorfor er dette viktig i off.sektor? Samtykke med den registrerte Vitale interesser Rettslig forpliktelse Nødvendig for avtale Offentlig myndighet Berettiget interesse Personopplysninger kan bare behandles når det foreligger et behandlingsgrunnlag et rettslig grunnlag for behandlingen. De fleste behandlingsaktiviteter har et bestemt behandlingsgrunnlag i lov eller forskrift, f.eks. utøvelse av offentlig myndighet for all behandling som er nødvendig for å gi brukerne ytelser. Dersom man skal behandle personopplysninger, er det viktig å være bevisst på om man har et grunnlag eller ikke. Samtykke brukes unntaksvis skal være frivillig! Se gjerne Datatilsynets veileder Personvernforordningen art. 6
Basert på Arkitekturprinsipper for samhandling (Norsk arkitekturrammeverk for samhandling) se Difis nettsider 1. Arkitektur skal styres på rett nivå etter felles rammer 2. Arkitekturen skal fremme sammenheng, innovasjon og effektivitet 3. Arkitektur og lovgivning skal understøtte hverandre 4. Sørg for tillit til forvaltningen gjennom å ivareta personvern og informasjonssikkerhet 5. Prosesser skal optimaliseres på tvers med utgangspunkt i brukernes behov 6. Data skal deles og gjenbrukes 7. Digitale løsninger skal samhandle effektivt 8. Digitale tjenester skal leveres med tilstrekkelig pålitelighet og systemytelse 9. Data skal kunne gjøres tilgjengelig i et langtidsperspektiv