Nedenfor skisseres de viktigste utfordringene i kommunenes arbeid med digital sikkerhet og personvern som drøftes i strategien. I tillegg skisseres de viktigste tiltakene som regjeringen ønsker å gjennomføre i kommunesektoren. Hovedmålene for kommunenes arbeid med digital sikkerhet og personvern drøftes også.
Ambisjoner og prioriterte områder
Regjeringens overordnede ambisjon for strategien er at Norge skal være verdens mest digitaliserte land i 2030. Dette skal gjøre hverdagen enklere og tryggere for innbyggerne, føre til et mer konkurransedyktig næringsliv og bidra til effektivisering og kvalitetsforbedringer i offentlig og kommunal sektor.
For å oppnå disse ambisjonene, ønsker regjeringen å styrke innsatsen innenfor prioriterte digitaliseringsområder. De områdene som er spesielt relevante for kommunesektoren er
- styrke verdiskapingen gjennom datadeling og datadrevet innovasjon,
- utnytte mulighetene i kunstig intelligens,
- sørge for grønn digital omstilling,
- motvirke digitalt utenforskap og sikre barn og ungdom en trygg digital oppvekst.
Forutsetningene for digitaliseringen
For å styrke innsatsen innenfor de prioriterte digitaliseringsområdene, peker strategien på flere forutsetninger som må være på plass. Det dreier seg blant annet om tilgang til robuste høyhastighets kommunikasjonsnett og -tjenester i hele landet, og at behovet for digital kompetanse ivaretas.
En annen viktigste forutsetning er sterkere styring og samordning av digitaliseringen på tvers av sektorer og mellom stat og kommune. Her fremheves det for eksempel at omfanget av og kvaliteten på digitaliseringen varierer mellom kommuner. Regjeringen ønsker derfor å videreutvikle samarbeidet med KS, og at regional digitaliseringsnettverk skal bidra til å styrke gjennomføringskraften i det lokale digitaliseringsarbeidet.
De to siste forutsetningene for digitaliseringen frem mot 2030 som strategien peker på, er digital sikkerhet og personvern.
Styrke den digitale sikkerheten
I strategien nevnes generativ kunstig intelligens som en utfordring for den digitale motstandsdyktigheten i offentlig og kommunal sektor. Det uttrykkes også bekymring for at det forebyggende sikkerhetsarbeidet ikke holder tritt med trusselaktørenes evne til å utnytte sårbarheter og gjennomføre dataangrep. Trusler mot den digitale sikkerheten i kommunal sektor fremheves som spesielt utfordrende:
«Kommunal sektor er stadig mer utsatt for digitale angrep. Regjeringen styrker derfor arbeidet med digital sikkerhet i kommunal sikkerhet. Dette skal sette kommunene i bedre stand til å gjennomføre nødvendige risiko- og sårbarhetsanalyser og iverksette tiltak for å håndtere risikoen» (side 40).
Regjeringen viser til at den allerede har gjennomført tiltak for å forbedre den digitale sikkerheten i kommunesektoren, spesielt etablering av et eget responsmiljø for kommunene og at Nasjonal sikkerhetsmyndighet har fått ressurser for å jobbe med digital sikkerhet i lokalforvaltningen. I tillegg sier regjeringen at den vil styrke samarbeidet mellom Digitaliserings- og forvaltningsdepartementet og KS om digital sikkerhet. Hva dette konkret innebærer utdypes ikke nærmere, men det pekes blant annet på behovet for bedre samarbeid om å holde barn og unge trygge på internett. Det vises også til flere av tiltakene i «Strategi for digital kompetanse og infrastruktur i barnehage og skole 2023-2030».
Det er dessuten verdt å merke seg at regjeringen vil lansere en felles nasjonal portal for digital sikkerhet. Den skal gi offentlig forvaltning enklere tilgang til råd og veiledning om tiltak som skal forbedre den digitale grunnsikringen.
Sikre et godt personvern
Når det gjelder personvern, er utgangspunkt i strategien at det er under press. Det understrekes for eksempel at både stat og kommune behandler store mengder personopplysninger om alle innbyggere fra vugge til grav, men at innbyggerne har begrenset innflytelse over hvordan disse opplysningene behandles. Også her legger strategien vekt på at kommunesektoren står overfor vanskelige utfordringer:
«Særlig kommunesektoren peker på utfordringer med å ivareta personvernet, og at det trengs bedre veiledning og samordning for at kommunene skal klare å oppfylle personvernkrav i digitaliseringsarbeidet. De trekker blant annet frem at de trenger støtte for å kunne ivareta barn og unges personvern i barnehage og grunnopplæring» (side 47).
Regjeringen foreslår derfor flere nye tiltak som skal bidra til å heve kvaliteten på arbeidet med personvern i kommunesektoren. Dette inkluderer å
- styrke kompetanse- og erfaringsdelingen om personvern i samarbeid med KS,
- sørge for at det stilles krav til innebygd personvern ved anskaffelse av digitale løsninger, særlig når barn og unge blir pålagt å bruke slike løsninger i skolen,
- sikre en mer enhetlig lovregulering av personvernet og behandlinger av personopplysninger,
- utrede opprettelsen av et dataetisk råd som blant annet kan bistå kommunesektoren med å veie hensynet til personvern opp mot andre tungtveiende hensyn i digitale omstillingsprosesser.
Målsettinger og måleutfordringer
I den nye digitaliseringsstrategien skisserer ikke regjeringen bare de tiltakene den vil gjennomføre og de viktigste utfordringene som den mener at kommunene står overfor. Strategien inneholder i tillegg konkrete målsettinger for arbeidet med digital sikkerhet og personvern i kommunal sektor:
- I 2030 skal 90 prosent av kommunene ha evaluert og forbedret/fornyet sitt styringssystem for informasjonssikkerhet (mot drøyt 66 prosent som har gjort dette i dag).
- I 2030 skal innbyggernes tillit til hvordan offentlige virksomheter, inkludert kommunene, ivaretar deres personvern ha økt med 20 prosent (tilliten har, ifølge SSB, sunket med 12 prosent siden 2010).
Begge målsettingene er relativt enkle å måle. Det er derfor mulig å finne ut om de har blitt oppnådd eller ikke. Dette er en klar styrke. Målsettingene kan likevel være problematiske av andre grunner.
Når det gjelder den første målsettingen, er det fullt mulig å evaluere og forbedre et styringssystem for informasjonssikkerhet uten at det er innført og praktisert slik som tenkt. Det betyr at evalueringer og forbedringer står i fare for å bli skrivebordøvelser: systemdokumentasjonen revideres og oppdateres, for eksempel av CISO eller personvernansvarlig, og vedtas av kommunedirektøren. Men det fører ikke nødvendigvis til at styringssystemet blir mer kjent, forstått og bedre praktisert enn tidligere i de kommunale enhetene. Det er derfor ikke sikkert at slike skrivebordøvelser bidrar til å styrke den digitale sikkerheten selv om målet i digitaliseringsstrategien ivaretas.
Den andre målsettingen handler om tillit, det vil si hvordan innbyggerne opplever at offentlige virksomheter og kommuner ivaretar deres personvern. Men innbyggerne kan mene at personvernet er dårlig ivaretatt selv om det ikke er tilfelle og motsatt – personvernet er godt ivaretatt uten å være det. Utfordringen her er at de fleste innbyggere har liten innsikt i hva kommunene gjør på personvernområdet og de mangler ofte kompetansen som trengs for å vurdere om arbeidet er godt eller dårlig.
Det er derfor ikke gitt at oppnåelse av hovedmålet på personvernområdet betyr at kommunene ivaretar personvernet på en bedre måte enn før. Det samme kan altså sies om hovedmålet for digital sikkerhet. Spørsmålet er derfor om det ikke burde vært valgt målsettinger som gir et mer dekkende bilde av utviklingen innen digital sikkerhet og personvern i kommunal sektor frem mot 2030.
