Skriftlig spørsmål fra Mani Hussaini (A) til justis-, beredskaps- og innvandringsministeren

Dokument nr. 15:1393 (2017-2018)
Innlevert: 19.04.2018
Sendt: 20.04.2018
Besvart: 25.04.2018 av justis-, beredskaps- og innvandringsminister Tor Mikkel Wara

Mani Hussaini (A)

Spørsmål

Mani Hussaini (A): Hva gjør statsråden for å ivareta norske innbyggeres personvern og rettsikkerhet når utenlandske selskap leverer tjenester til offentlig sektor generelt, og har statsråden kontroll på at ingen informasjon om norske borgere havner på avveie ved bruk av internasjonale selskap?

Begrunnelse

Den siste tidens søkelys og debatt om personvern og misbruk av sensitiv informasjon har vist at det er store mangler i hvordan myndighetene følger opp informasjon på avveie.
Politiet inngikk i 2016 en avtale med det amerikanske selskapet Palantir Technologies om IT-systemer som vil ha tilgang til sensitiv informasjon om norske borgere. Avtalen med politiet er på 81 millioner kr og strekker seg over syv år. Tollvesenet bruker også Palantir sitt stordata analyseverktøy og avtalen som ble inngått i 2017 har en prislapp på 300 millioner.
Etter Cambridge Analytica-skandalen som har rystet det offentlige USA og vesten, har det blitt avdekket at Palantir har vært medvirkende. En ansatt i Palantir skal ifølge The New York Times ha vært arkitekten bak Cambridge Analytica sin metode for å få facebook-informasjon om brukere, deres nettverk og vaner uten samtykke.
Når internasjonale selskap operer i Norge og har tilgang til norske borgeres sensitive informasjon er det av stor betydning at myndighetene har kontroll på hvilke data som deles og hvilke som kun skal kunne anvendes av myndighetene i Norge.
I en tid hvor stadig mer av velferdsstatens infrastruktur gjøres digital, øker behovet og viktigheten av at personvernet ivaretas.
Dette handler om tilliten til mellom borgere og myndighetene.

Tor Mikkel Wara (FrP)

Svar

Tor Mikkel Wara: Det er svært viktig at innbyggernes personvern blir ivaretatt når det offentlige behandler deres personopplysninger. Både der det offentlige står for utvikling og drift av IKT selv, og der det offentlige kjøper inn tjenester eller helt eller delvis setter ut driften av IKT-systemene til leverandører, skal borgerne være sikre på at deres personopplysninger ikke kommer på avveie.
Det viktigste og mest effektive tiltaket for å hindre at opplysninger om norske borgere havner på avveie, er informasjonssikkerhetsarbeidet som gjøres i hver enkelt virksomhet. Personopplysningsloven og -forskriften pålegger offentlige og private virksomheter å iverksette planlagte og systematiske tiltak for å sørge for en tilstrekkelig internkontroll og informasjonssikkerhet. Blant annet skal virksomhetene gjennomføre risikovurderinger i forbindelse med utsetting av tjenester til eksterne leverandører slik at det iverksettes tiltak for å ivareta integritet, tilgjengelighet og konfidensialitet for de opplysningene som behandles. Det skal inngås en skriftlig avtale mellom virksomheten og leverandører som behandler personopplysninger (databehandlere). Leverandørene kan ikke behandle personopplysninger på andre måter enn det som er avtalt. Leverandørene har også en selvstendig plikt etter personopplysningsregelverket til å sørge for tilfredsstillende informasjonssikkerhet. Datatilsynet fører tilsyn med at regelverket etterleves, og kan iverksette kontroller, og eventuelt sanksjoner ved overtredelser. Internkontroll, informasjonssikkerhet og bruken av databehandlere er for politiets del regulert av tilsvarende regler i politiregisterloven.
Det norske personvernregelverket skal om kort tid styrkes ytterligere. Regjeringen la 23. mars i år frem forslag til ny personopplysningslov, som gjennomfører EUs personvernforordning. Det nye regelverket viderefører strenge krav til internkontroll og informasjonssikkerhet. Samtidig stilles det skjerpede og mer detaljerte krav til innholdet i databehandleravtaler. Databehandlere får også flere selvstendige forpliktelser etter de nye reglene, blant annet plikt til på nærmere vilkår å utpeke et personvernombud. Overtredelser av reglene vil kunne møtes med langt høyere overtredelsesgebyrer enn etter gjeldende regelverk.
Det er viktig at alle offentlige virksomheter er i stand til å oppfylle kravene til informasjonssikkerhet. Difi, som er fagorgan for forebyggende informasjonssikkerhet i statsforvaltningen, har i den forbindelse utarbeidet praktisk veiledningsmateriell om hvordan statlige virksomheter kan etablere og vedlikeholde systematisk internkontroll på informasjonssikkerhetsområdet. Datatilsynet gir tilsvarende veiledning om sikring av personopplysninger. Difi gir også veiledning om offentlige anskaffelser av IT-drift, IT-utstyr og IT-systemer. Bestemmelser om personvern inngår også i standardavtalene som Difi har utarbeidet blant annet for det offentliges kjøp av skytjenester.
Undersøkelser gjennomført av Kommunal- og moderniseringsdepartementet viser en klar tendens mot økt bruk av tjenesteutsetting av IKT-drift i offentlig sektor. Tjenesteutsetting kan gi lavere og mer forutsigbare kostnader og bidra til at virksomhetene i større grad kan prioritere sine kjerneområder. Som regjeringen uttaler i Meld. St. 38 (2016-2017) om IKT-sikkerhet, kan tjenesteutsetting også bidra til bedre sikkerhet. Leverandørene har gjerne høyere kompetanse og mer ressurser innenfor informasjonssikkerhet enn virksomhetene. Det er samtidig virksomhetene som har det overordnede ansvaret, og de må stille krav til og følge opp leverandørene underveis.
Regjeringen vil fortsette det viktige arbeidet med forebyggende informasjonssikkerhet i offentlig sektor, herunder i forbindelse med det offentliges utsetting av tjenester til eksterne leverandører. Det må fortløpende vurderes om det er behov for nye virkemidler for å forebygge og redusere risiko. Kommunal- og moderniseringsdepartementet har et samordningsansvar og et særskilt ansvar for å arbeide for en styrket og mer helhetlig tilnærming til informasjonssikkerhet i statsforvaltningen, og la i 2015 frem Handlingsplan for informasjonssikkerhet i statsforvaltningen 2015–2017. Mitt departement har det overordnede ansvaret for nasjonal, sivil IKT-sikkerhet. Departementet la i 2016 og 2017 frem stortingsmeldingene Meld. St. 10 (2016-2017) om samfunnssikkerhet og Meld. St. 38 (2016-2017) om IKT-sikkerhet. I tråd med tiltakene i stortingsmeldingene skal det utarbeides ny strategi for IKT-sikkerhet og en revidert handlingsplan basert på den eksisterende planen. Regjeringen nedsatte i september 2017 et utvalg som skal se på regelverk og organisering innenfor IKT-sikkerhet. Utvalget skal levere sin utredning i desember 2018.