Rotete prosess i departementets digitalpostarbeid

Brev på papir fra det offentlige er snart historie, og digitale postkasser for alle skal erstatte dem. Til tross for at regelverket som skal regulere systemet ikke er ferdig, starter anbudsprosessen for tilbydere av digitale postbokser allerede i år.

- Vi reagerer på at anbudsprosessen igangsettes før forskriftsarbeidet er ferdig, sier avdelingsdirektør for tilsyns- og sikkerhetsavdelingen i Datatilsynet, Helge Veum. - Dette kan skape problemer for selskapene som tilbyr digital postboks, fordi de må forholde seg til en uferdig regulering. Dermed kan tilbyderne bli nødt til å forandre de ferdige systemene for å etterfølge eventuelle andre lovkrav som kan komme i etterkant, sier han. - Vi anbefaler derfor at denne tjenesten særreguleres. Slik vi ser det er dette eneste måten å dekke alle personvernaspekter ved tjenesten og sikre at den får trygge og sikre rammer, fortsetter Veum.

I en pressemelding fra Fornyings-, administrasjons, og kirkedepartementet (FAD) i november i fjor forklarer statsråd Rigmor Aasrud at departementet ønsker å sette tilbydertjenesten for digitalpostboks på anbud i løpet av 2013.

Bort med offentlig papirpost

Den digitale postløsningen skal iverksettes i 2014. Det betyr at alle norske borgere ikke lenger vil motta brev i vanlig post, men i stedet må logge inn i sin egen digitale postkasse for å lese brev fra det offentlige. Det vil fortsatt være mulig å reservere seg mot å motta brev digitalt, og motta post på ”vanlig” måte.

Direktoratet for forvaltning og IKT (Difi) arbeider med å utrede de tekniske kravspesifikasjonene for at de digitale postboksene skal fungere, og samtidig være sikre mot eventuelle innbrudd eller misbruk. Samtidig har FAD sendt ut på høring et forslag om å endre forvaltningsloven slik at den bedre skal passe til dette digitale systemet.

Følger ikke sine egne anbefalinger om innebygd personvern

- I utgangspunktet støtter og forstår vi departementets ønske og behov for overgang til digital post da det kan være både tids- og kostnadsbesparende, sier Veum. - Dessverre observerer vi at de mulige personvernutfordringene ikke er godt nok utredet.  Er ikke personvernet tatt godt nok hensyn til i planleggingen så vel som i programmeringen av systemet, kan det føre til datalekkasjer eller datainnbrudd, som kan få fatale konsekvenser. Innebygget personvern er viktig, og vi synes derfor det er synd at de mulige personvernkonsekvensene i for liten grad er utredet i lovforslaget, sier Veum.

FAD har i en stortingsmelding selv understreket hvor viktig innebygget personvern er, men følger det ikke opp i høringsforslaget.

Faktaboks: Hva er innebygd personvern

Innebygd personvern betyr at personvernet skal være ivaretatt i hele digitalpostsystemets livsløp – fra planlegging, regulering og bygging, til oppstart og drift, og etter at systemet er avviklet. Ved å innarbeide personvernfremmende tiltak i hele dette løpet vil man sikre en bedre ivaretakelse av personvernet i alle ledd av systemet. Personvernfremmende tiltak er for eksempel:

-          Å ha gode rutiner for lagring og sletting – hvordan og hvor lenge opplysninger lagres og hvilke opplysninger som slettes etter en gitt tid.

-          Å ha tilgangskontroll slik at personer kun får tilgang til de opplysningene de har krav på enten som privatpersoner eller saksbehandlere/systemadministratorer;

-          Å innarbeide allerede på planleggingsstadiet måter å sikre systemet mot lekkasjer, innbrudd, og andre uønskede hendelser.

-          Å gi brukerne oversikt over egne muligheter, og på klarest mulig måte å forklare funksjonalitet og systemets virkemåte.