Passe store katastrofer

av: Dag Wiese Schartum

Tirsdag 20. mars ble AltInn-tjenesten stanset etter at personopplysninger hadde blitt tilgjengelig for uvedkommende.  Næringsminister Giske uttaler til Aftenposten at det er ekstra uholdbart at personopplysninger kommer på avveie. I Brønnøysund-registrene som driver tjenesten uttaler fungerende direktør Håkon Olderbakk at de har ”nulltoleranse overfor brudd på personvern”.

De kan kanskje ikke si noe annet, men realistisk er det neppe. I den virkelige verden der skatteetaten, Brønnøysundregistrene og all behandling av personopplysninger befinner seg, vil det alltid oppstå feil. Vi må gjøre hva vi kan for at feil skjer så sjelden som mulig og har så små skadevirkninger som råd – men feil skjer og vi må akseptere det. Dette går klart fram av reglene for risikovurdering: ”Virksomheten skal selv fastlegge kriterier for akseptabel risiko”. Risiko aksepteres med andre ord, den må være ikke være større enn akseptabelt.

Vi vet det av erfaring at feil skjer, og prognosen er derfor lett å fastsette. Siste kjente generaltabbe fra Skatteetaten som jeg kjenner til, var da etaten sommeren 2008 sendte ut alle fødselsnummer i maskinlesbar form til en rekke norske medieredaksjoner. Tabben gav imidlertid ikke tilsvarende ramaskrik og skarpe reaksjoner fra politikere som da AltInn ble stengt fordi Kenneths fødselsnummer ble tilgjengelig for et noen tusen AltInn-brukere.

Det er imidlertid neppe konfidensialitetsbruddet overfor Kenneth som gjorde saken stor. Skandalen var et faktum på grunn av den manglende tilgjengeligheten som ble resultatet av at AltInn måtte stenge for derved å sikre at det ikke var flere enn Kenneth som ville få sine opplysninger eksponert.

Personvern har nemlig flere aspekter. Det tradisjonelle og helt sentrale gjelder ivaretakelse av konfidensialitet, dvs. at personopplysninger ikke skal bli tilgjengelige for andre enn de som har lovlig tilgang. Et annet aspekt er hensynet til at personopplysninger skal være tilgjengelig for de formål de er innsamlet for; f.eks at opplysninger knyttet til ligningsoppgjøret bl.a. skal være tilgjengelige for de respektive skattyterne. I tilfellet AltInn stod med andre ord «personvern mot personvern». For å være sikker på å ivareta konfidensialiteten for personopplysningene til et uvisst antall skattytere, suspenderte en tilgangen til alle opplysningene i AltInn for alle brukere.

Fordi den mulige skaden på personvernet ved kompromittering av opplysninger åpenbart er mye større enn den personvernmessige skaden ved å utsette tilgangen, kunne de selvsagt vanskelig velge annerledes. Problemet var imidlertid at det ikke bare var personvern som stod på spill. I tillegg ble det hevdet at folks tillit til elektronisk forvaltningen ble satt på prøve. Monn det?

Tillit til elektronisk forvaltning kan ikke reduseres til noe endimensjonalt. Etter min mening gjelder spørsmålet om tillit minst på to plan. For det første er det spørsmål om tillit til at forvaltningen treffer gode valg ved utforming av systemløsninger.  Det er her tvilen om eforvaltningen er tilliten verdig etter min mening er størst. Valget å legge 38 forvaltningsorganer og mer enn 700 systemløsninger til én og samme portal, innebærer en ekstrem prioritering av alt på ett sted og forvaltningens samhandlingsevne. Samtidig tillater det en ekstrem sårbarhet. Større vekt på fleksibilitet og fordeling av etatene på flere løsninger, ville redusert samhandlingsevnen, men samtidig redusert sårbarheten.  Et enkelt grep som å dele inn i en «proffinngang» og en «borgerinngang», ville gjøre det mulig å unngå at regnskapsførere og andre ble fratatt arbeidsredskapet sitt i flere dager som følge av problemer for løsninger som brukes av menigmann.

Tillit til elektronisk forvaltning må imidlertid også knyttes til de vurderinger forvaltningen gjør dersom noe går galt. (Og som jeg innledet med å minne om: Galt er normalt, men skal være sjelden – noen ganger veldig sjelden.) På dette planet mener jeg AltInn viste seg tilliten verdig. Vern av personopplysningenes konfidensialitet ble kompromissløst satt foran hensynet til tilgjengelighet. Dermed ble personvernet også satt foran økonomiske og næringsmessige hensyn.  Når man altså hadde vært så «dum» å knytte alle tjenester til samme portal, satt man nettopp det som for de aller fleste er viktigst for tillitsforholdet aller fremst; opplysningene ble beskyttet mot innsyn fra uvedkommende.

Den viktigste påminnelsen AltInn-hendelsen den 20. mars gir, er etter min mening at det er behov for å balansere hensynet til samhandlingsevne opp mot hensynet til sikkerhet. Poenget er at vi må hindre at når noe går galt, så går det ikke galt overalt på én gang! Målet er med andre ord «passe store katastrofer så sjelden som råd».

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *