Det sto dårlig til med informasjonssikkerheten da Datatilsynet i 2003 undersøkte hvordan norske kommuner håndterte personopplysninger. – Siden den gangen har det skjedd overraskende forbedringer i mange kommuner, sier forsker Tommy Tranvik.
Legal Information Security Regulations – an Instrumental Perspective
Prosjektleder: Professor Dag Wiese Schartum, Senter for rettsinformatikk, Universitetet i Oslo
Tommy Tranvik er forsker ved Avdeling for forvaltningsinformatikk (AFIN) ved Juridisk fakultet, Universitetet i Oslo
Doktorgradsstipendiat: Are Vegard Haug, Institutt for statsvitenskap, Universitetet i Oslo
Viktige publiseringer:
Are Vegard Haug (2006): Rettslige reguleringer av informasjonssikkerhet. Complex nr. 2/2006. Oslo: Institutt for rettsinformatikk.
Tommy Tranvik (2009): Lovpålagt selvregulering. Praktiseringen av personopplysningsloven i kommunene (forlag ikke avklart).
Da Personopplysningsloven trådte i kraft i 2001, innebar det blant annet at kommune-Norge måtte stramme inn metodene for håndtering av personopplysninger.
Datatilsynet gjennomførte i 2003 en tilsynsrunde som avslørte mange og store problemer, og Tommy Tranvik var derfor forberedt på litt av hvert da han i 2007/2008 gjennomførte en ny kartlegging hos 18 større kommuner på Østlandet.
– Jeg ble faktisk litt overrasket over at tilstanden var såpass bra. Det gjenstår en del arbeid i disse kommunene, og flere av dem er fortsatt i en oppstartsfase, men jeg fant en større etterlevelsesgrad enn jeg ventet på forhånd, forteller Tranvik, som er forsker ved UiOs Avdeling for forvaltningsinformatikk.
Tranvik understreker at han ikke har studert et representativt utvalg av norske kommuner, men snarere de som skal være spydspissen i en utvikling.
Han var nemlig opptatt av å undersøke kommuner som virkelig har gjort noe, for å få innsikt i hva som er utfordringene når det gjelder gjennomføring av Personopplysningsloven.
Rådmannen er ofte uoppmerksom
Tommy Tranvik er statsviter med doktorgrad fra Universitetet i Bergen og har arbeidet mye med spørsmål knyttet til politisk bruk av internett, statlig styring og kommunalt selvstyre, digital teknologi og organisasjonsendring i frivillig sektor, og implementering av personvernlovverket i kommunal sektor.
– Mine undersøkelser viser at arbeidet er mye avhengig av ildsjeler og pionerer i de kommunene som har gjort fremskritt. Ildsjelene forteller ofte at de har en utfordring i forhold til særlig rådmannen, som er den øverste ansvarlige for at systemene er på plass.
– De må konkurrere veldig for å få rådmannens oppmerksomhet, og de vinner ikke alltid den kampen, forteller Tranvik.
Informasjonssvikt med dødelig utgang
Tranviks undersøkelser viser blant annet at kommunene ikke har vært utsatt for mange alvorlige hendelser som har truet informasjonssikkerheten.
En typisk hendelse er at personnummeret ikke er slettet fra saksdokumenter i en elektronisk postjournal, og den slags fører fort til oppslag i lokale medier.
Det finnes også eksempler på at kommuner har vært utsatt for hackingforsøk fra Asia eller Øst-Europa, uten at det har ført til alvorlige skadevirkninger.
Et sjeldent eksempel på at dårlig informasjonssikkerhet kan ha dødelig utgang, fant sted i en østlandskommune i 2003. Ved en feiltagelse ble en eldre pasient, som trengte fire besøk hver dag, slettet fra hjemmesykepleiens arbeidsliste.
Etter fire dager uten tilsyn ble pasienten funnet hjelpeløs og sterkt forkommen i omsorgsboligen, og to dager senere døde pasienten på sykehuset. Hendelsen fikk store konsekvenser helt opp til rådmannens nivå, og kommunen har senere ryddet grundig opp.
Fokuserer på skolesektoren
Mer enn 80 kommuner er med i den frivillige organisasjonen KINS (Kommunal Informasjonssikkerhet), som ble etablert i 2003.
Annonse
Tranvik regner med at mange erfaringer fra «spydspiss-kommunene» kan spres gjennom KINS til andre kommuner, og det ligger i kortene at KINS og KS er i ferd med å etablere et tettere samarbeid.
– Men det er Datatilsynet som er, uten sammenlikning, den viktigste informasjonskilden for kommunene, forteller Tranvik.
Tranvik har nå etablert et samarbeid med Uninett ABC, som veileder norsk utdanningssektor om IKT og teknologivalg på vegne av Kunnskapsdepartementet.
– Vi skal se nærmere på hvordan personopplysningsloven og informasjonssikkerheten praktiseres i skolesektoren.
– Skolen har hittil hatt forholdsvist svakt fokus på dette arbeidet, kanskje fordi skolen ikke behandler så mange sensitive personopplysninger som feks helsesektoren. Man har heller ikke den samme taushetspliktkulturen, sier Tranvik.