Digital forvaltning en innfoering utdrag by Fagbokforlaget

Prof. Dr.juris

DAG WIESE SCHARTUM

Prof.em Dr.scient.

ARILD JANSEN

var sentral i etableringen av det norske og nordiske samarbeidet på 80-tallet som ble avgjørende for utbredelsen av internett i Norge. Han har arbeidet med datapolitikk i forvaltningen, vært sekretær for flere offentlige utvalg og skrevet artikler og lærebøker om digital forvaltning. Forsker, Dr.polit. TOMMY TRANVIK

er ansatt i Uninett AS. Han arbeider spesielt med digital forvaltning, informasjonssikkerhet og personvern, og har skrevet en rekke artikler og bøker innenfor disse fagområdene.

Blant annet blir følgende temaer behandlet: • Historisk tilbakeblikk på digital forvaltning • Oversikt over de viktigste lover og forskrifter som regulerer digital forvaltning • Automatisert saksbehandling og utøvelse av myndighet • Digital forvaltning: personvern, rettssikkerhet og offentlighet • Automatiseringsvennlig lovgivning • Jus som hindring og som tilrettelegger for digitalisering • Styring og samordning av digitalisering i statsforvaltningen • Informasjonssikkerhet og personvern i kommunal digital forvaltning • Grunnleggende om datateknologi • Data, informasjon og gjenbruk Digital forvaltning er et altfor komplekst fenomen til å bli forstått ved å betrakte det med «ett øye». De tre dimensjonene i denne boken gir dybdesyn: Kombinasjonen av informatisk, juridisk og samfunnsvitenskapelig blikk på den digitale offentlige forvaltningen gjør leseren i stand til å forstå forvaltningens digitale fortid, nåtid og fremtid. Boken er skrevet for lesere uten spesielle forkunnskaper. Den som har lest denne boken, vil lettere kunne forstå hva digitalisering handler om. For lesere som er ansatt i offentlig forvaltning, vil den gi et godt grunnlag for selvstendig og aktiv medvirkning i digitaliseringsprosessene i egen etat.

ISBN 978-82-450-2234-6

,!7II2E5-accdeg!

DIGITAL FORVALTNING – en innføring

arbeider med digital forvaltning, personvern og rettsteknologi, og har skrevet en rekke artikler og bøker innen sine forskningsområder. Han har vært med i flere lovutvalg, blant annet til forberedelse av personopplysningsloven, helseforskningsloven og sikkerhetsloven.

Digital forvaltning handler om at forvaltningens gjøremål og utøvelse av myndighet i stor grad styres av algoritmer og datasystemer. Denne boken forklarer selve digitaliseringsprosessen, bakgrunnen for den og følgene av at «datamaskinene overtar».

Dag Wiese Schartum Arild Jansen Tommy Tranvik

Schartum – Jansen – Tranvik

Alle forfatterne er knyttet til Senter for rettsinformatikk, Avdeling for forvaltningsinformatikk ved Universitetet i Oslo.

TEKNOLOGISK ENDRING

DIGITAL FORVALTNING – en innføring

RETTSLIG ENDRING

Juridiske, informatiske og organisatoriske aspekter

ORGANISATORISK ENDRING

Dag Wiese Schartum Arild Jansen Tommy Tranvik TEKNOLOGISK ENDRING

DIGITAL FORVALTNING – en innføring

RETTSLIG ENDRING

Juridiske, informatiske og organisatoriske aspekter

ORGANISATORISK ENDRING

Spørsmål om denne boken kan rettes til: Fagbokforlaget Kanalveien 51 5068 Bergen Tlf.: 55 38 88 00 Faks: 55 38 88 01 e-post: fagbokforlaget@fagbokforlaget.no www.fagbokforlaget.no Materialet er vernet etter åndsverkloven. Uten uttrykkelig samtykke er eksemplarfremstilling bare tillatt når det er hjemlet i lov eller avtale med Kopinor.

Forord

Digitalisering av offentlig forvaltning er et gammelt fenomen. Da en fra 1964 forberedte folketrygdloven, satt det folk i Sosialdepartementet og Rikstrygdeverket og arbeidet parallelt med lovtekst og de datamaskinprogrammene som skulle brukes for å sette loven ut i livet. Selv om mer enn 50 år har gått fra den spede begynnelsen av digitaliseringsarbeidet, oppfatter mange digital forvaltning som noe nytt og moderne. Selvsagt er det mye ved dagens digitalisering som er nytt, og det teknologiske nivået er uendelig mye høyere enn da det hele tok til. Samtidig er mange utviklingstrekk som var godt synlige for mange tiår siden, fremdeles relevante. Denne boken befatter seg mest med den aktuelle situasjonen, men legger også stor vekt på å formidle grunnleggende forståelser av digitaliseringsarbeidet, også gjennom et kort historisk overblikk over digitaliseringen av offentlig sektor i Norge. Vi tror dette vil sette leseren bedre i stand til å forstå forvaltningens digitale fortid, nåtid og fremtid. Vi er tre forfattere med ulik faglig bakgrunn som har samarbeidet om denne boken. Digital forvaltning er etter vår mening et altfor komplekst fenomen til å bli forstått ved å betrakte den med ett øye. Også på dette fagområdet er tre dimensjoner nødvendig for å oppnå dybdesyn. Derfor har vi valgt å kombinere et informatisk, et juridisk og et samfunnsvitenskapelig blikk på den digitale offentlige forvaltning. Vi tror dette vil være et godt utgangspunkt for mer spesialiserte analyser av hva digitaliseringsarbeidet innebærer. Vår tidligere kollega, nå avdøde, professor dr. juris Jon Bing, var en pioner i arbeidet med å analysere, forstå og formidle kunnskaper om hvordan «elektronisk databehandling» ble brukt og virket inn på forvaltningsorganers anvendelse av myndighet. Som forfattere av en bok om digital forvaltning står vi i takknemlighetsgjeld til Jon.

digital forvaltning – en innføring

Boken markerer også slutten på den mest aktive perioden for samarbeid mellom oss tre, idet professor dr.scient. Arild Jansen gikk av for aldersgrensen i 2016. Vi to andre forfattere vil benytte denne anledningen til å takke Arild for et langvarig, hyggelig og stimulerende samarbeid ved Senter for rettsinformatikk. Oslo, 1. juli 2017 Dag Wiese Schartum, Arild Jansen, Tommy Tranvik

Innhold

Del I Grunnleggende innsikter og kunnskaper..............................................................11 Kapittel 1

Grunnleggende om offentlig forvaltning i digitale omgivelser..........................13 1.1 Innledende presiseringer......................................................................................13 1.2 Om det flerfaglige perspektivet vårt på digital forvaltning.....................................14 1.2.1 Oversikt................................................................................................................ 14 1.2.2 Om forholdet mellom rettslig og teknologisk endring.......................................... 17 1.2.3 Om forholdet mellom teknologisk og organisatorisk endring.............................. 20 1.2.4 Om forholdet mellom rettslig og organisatorisk endring...................................... 23 Kapittel 2

Generelt om organiseringen av offentlig forvaltning og dens gjøremål.............25 2.1 Innledning............................................................................................................25 2.2 Statlig – kommunal, og sentral – lokal forvaltning..................................................26 2.3 Organisering av statlig forvaltning.........................................................................27 2.4 Organisering av kommunal forvaltning..................................................................33 2.5 Kort om forvaltningens ulike gjøremål...................................................................36 Kapittel 3

Datateknologi i norsk forvaltning.....................................................................40 3.1 Innledning............................................................................................................40 3.2 Et sveip gjennom 60 års utvikling av digital teknologi............................................41 3.2.1 60- og 70-tallets IKT-systemer var register- og database-systemer...................... 41 3.2.2 Mini- og mikromaskinene erobrer kontorpulten................................................... 42 3.2.3 Desentralisering og alminneliggjøring av databehandlingen.............................. 43 3.2.4 La de tusen blomster blomstre – økt konkurranse om forvaltningens dataløsninger....................................................................................................... 44 3.2.5 Forvaltningen åpner seg: internett og World Wide Web....................................... 44 3.3 Automatisert saksbehandling og felles bruk av opplysninger.................................45 3.3.1 To hovedprinsipper for databehandling............................................................... 45 3.3.2 Felles innhenting, forvaltning og gjenbruk av opplysninger................................. 47 3.3.3 Hvorfor er samhandling og samvirke så vanskelig å få til i praksis?..................... 48 3.3.4 Mange IKT-prosjekter i staten mislykkes – behov for bedre styring?..................... 49

digital forvaltning – en innføring

3.4 Samordning av IKT-politikken i offentlig forvaltning...............................................50 3.5 Hovedmålene for digitaliseringspolitikken i offentlig forvaltning...........................51 3.6 Oppsummering av det historiske tilbakeblikket.....................................................54 Kapittel 4

Digital saksbehandling....................................................................................56 4.1 Informasjonssystemer knyttet til forvaltningens saksbehandling...........................56 4.2 Igangsetting og registrering av saker.....................................................................58 4.3 Utredning av gjeldende rettsregler........................................................................59 4.4 Utredning av faktum i saken..................................................................................60 4.5 Vedtak, arkivering og gjennomføring av vedtaket..................................................61 4.6 Videre bruk av enkeltvedtak og beslutningsgrunnlag............................................63 4.7 Offentlige registre.................................................................................................63 Del II Rettslige aspekter ved digital forvaltning.............................................................65 Kapittel 5

Jus som ramme for digital forvaltning...............................................................67 5.1 Innledning............................................................................................................67 5.2 Oversikt over lovgivning mv. med spesielt stor betydning for digital forvaltning....68 5.2.1 Innledning............................................................................................................ 68 5.2.2 Personvernforordningen....................................................................................... 69 5.2.3 Forvaltningsloven med forskrifter......................................................................... 71 5.2.4 Offentleglova med forskrifter............................................................................... 73 5.2.5 Arkivlova............................................................................................................... 74 5.2.6 Særlovgivning....................................................................................................... 74 5.3 Systembestemmelser og saksbehandlingsbestemmelser......................................75 5.4 Jus som hinder for og jus som tilrettelegging for digital forvaltning........................77 5.5 Teknologinøytral og teknologispesifikk regulering.................................................79 5.6 Beslutningsstøtte og automatiserte beslutninger..................................................83 5.7 Digitaliserings- og automatiseringsvennlig lovgivning..........................................86 Kapittel 6

Utvikling av beslutnings- og beslutningsstøttesystemer..................................87 6.1 Innledning............................................................................................................87 6.2 Fra rettskilder til rettsregler....................................................................................88 6.3 Fra saksorientert til systemorientert fortolkning.....................................................89 6.4 Fra rettsanvendelse over tid til rettsanvendelse på forhånd....................................92 6.5 Fra rettsregler i naturlig språk til rettsregler i formelt språk....................................93

Innhold

Kapittel 7

Digital forvaltning og forholdet til styringsidealer............................................95 7.1 Innledning............................................................................................................95 7.2 Rettssikker digital forvaltning................................................................................96 7.2.1 Kort om rettsstatsidealet...................................................................................... 96 7.2.2 Om rettssikkerhetsidealet..................................................................................... 97 7.2.3 Rettssikkerhetskrav og digital forvaltning............................................................ 99 7.2.4 Eksempler på spørsmål om rettssikkerhet i digital forvaltning...........................108 7.3 Personvern i digital forvaltning............................................................................111 7.3.1 Kort om personvern og personopplysningsvern.................................................111 7.3.2 Personvernprinsipper og digital forvaltning.......................................................115 7.3.4 Eksempler på spørsmål om personvern i digital forvaltning...............................122 7.4 Offentlighetsprinsippet i en digital forvaltning....................................................125 7.4.1 Allment om informasjonsfrihet og offentlighetsprinsippet.................................125 7.4.2 Nærmere operasjonalisering av offentlighetsprinsippet....................................126 7.4.3 Eksempler på spørsmål om offentlighet og åpenhet i digital forvaltning...........128 Del III Organisering og styring av digital forvaltning....................................................131 Kapittel 8

Digital forvaltning i staten: Styring og samordning av digitaliseringen...........133 8.1 Innledning..........................................................................................................133 8.2 Fornying, forenkling, forbedring og effektivisering..............................................134 8.3 Digital forvaltning i staten....................................................................................136 8.3.1 Innledning..........................................................................................................136 8.3.2 Styring og samordning på tvers i staten.............................................................136 8.3.3 Eksempler fra kunnskapssektoren......................................................................140 8.3.4 Brukerne i sentrum.............................................................................................141 8.3.5 Gjenstridige problemer og samordning..............................................................142 8.3.6 Hva er oppnådd?................................................................................................145 8.4 Betydningen av tidligere reformer.......................................................................148 8.4.1 Innledning..........................................................................................................148 8.4.2 Sentrale kjennetegn............................................................................................149 8.4.3 NPM og digitalisering.........................................................................................151 8.4.4 Fristilling og styring............................................................................................152 8.4.5 Ledelsen skal lede...............................................................................................155 8.4.6 Mål- og resultatstyring.......................................................................................156 8.4.7 Digitalisering uten lederskap?............................................................................157 8.4.8 Privatisering, konkurranseutsetting og kontraktstyring.....................................160 8.4.9 Hybrid digital forvaltning?..................................................................................162

digital forvaltning – en innføring

Kapittel 9

Digital forvaltning i kommunen – informasjonssikkerhet og personvern.........164 9.1 Innledning..........................................................................................................164 9.2 Informasjonssikkerhet og personvern..................................................................165 9.3 Ledelsessystem for informasjonssikkerhet...........................................................166 9.4 Kompetanse og vilje............................................................................................167 9.5 Sviktende evne....................................................................................................168 9.6 Dokumenter og praksis.......................................................................................170 9.7 Ressurser og prioriteringer..................................................................................171 9.8 Oppsummering..................................................................................................172 Del IV Teknologisk blikk på teknologien......................................................................175 Kapittel 10

Nærmere om selve datateknologien..............................................................177 10.1 Innledning........................................................................................................177 10.2 Datamaskinen...................................................................................................178 10.3 Formalisering og digitalisering..........................................................................179 10.4 Det binære tallsystemet og representasjon av informasjon................................180 10.5 Programmer og programmeringsspråk.............................................................182 10.6 Elementært om internett og WWW, hypertekst, og søketjenester......................183 10.7 Skytjenester......................................................................................................186 Kapittel 11

Særlig om data og informasjon......................................................................188 11.1 Informasjon, data og metadata..........................................................................188 11.2 Datasystemer og informasjonssystemer............................................................189 11.3 Datalagring, databasesystemer og fritekstsystemer..........................................190 11.4 Data og semantikk som forutsetning for samhandling.......................................193 11.5 Informasjonsinfrastrukturer...............................................................................195 11.6 Informasjonsforvaltning....................................................................................197 11.7 Automatisering og informatisering....................................................................197 Del V Avsluttende refleksjoner....................................................................................199

Kunnskapsbehov i digital forvaltning..........................................................................201 Fremtidens digitale forvaltning...................................................................................202 Styring av digital forvaltning.......................................................................................206 Litteratur og kilder.......................................................................................................209

Litteratur....................................................................................................................211 Lover, forordninger, direktiver og forskrifter................................................................215 Øvrige kilder..............................................................................................................216

Stikkordregister.............................................................................................219

Del I

Grunnleggende innsikterÂ ogÂ kunnskaper

Kapittel 1

Grunnleggende om offentlig forvaltning i digitale omgivelser

1.1 Innledende presiseringer Hva betyr det at offentlig forvaltning er digital? Grunnleggende sett handler digital forvaltning om at forvaltningen gjør bruk av digitale hjelpemidler, dvs. datamaskiner av ulike slag, herunder digital kommunikasjon, slik som ulike tjenester over internett. Men i slik grunnleggende forstand er all offentlig forvaltning digital: I dag finnes det ikke forvaltningsorganer som ikke f.eks. gjør bruk av tekstbehandling, e-post og nettsider. Når vi skriver bok om digital forvaltning, forutsetter vi derfor mer enn slik enkel og selvfølgelig bruk. I stedet legger vi vekt på bruk av digitale hjelpemidler som kan sies å endre utførelsen av forvaltningsoppgavene. Stikkord her er særlig automatiserte vedtaksprosesser, tilgang til meget omfattende samling av opplysninger om enkeltpersoner og virksomheter, samt elektronisk samhandling mellom forvaltningsorganer og mellom forvaltningsorganer, enkeltpersoner og virksomheter. Begrepsbruken vedrørende digital forvaltning er ikke enhetlig. Det er bl.a. vanlig å bruke uttrykket «elektronisk forvaltning» eller bare «e-forvaltning». Dette må i praksis regnes som synonymt med «digital forvaltning». Når vi i denne boken skriver om «forvaltning», er det offentlig forvaltning vi sikter til. Offentlig forvaltning er én av flere deler av offentlig sektor. Andre deler av offentlig sektor er Stortinget og Stortingets organer, domstolene og offentlig forretningsdrift. Selv om det ikke alltid er et skarpt skille mellom disse delene av offentlig sektor, legger vi denne inndelingen til grunn her. Offentlig forvaltning kan beskrives både ut fra hvordan forvaltningen er organisert, og hvilke oppgaver som blir utført. De to måtene å beskrive forvaltningen

digital forvaltning – en innføring

på gir ikke alltid helt det samme resultatet: Det hender f.eks. at en virksomhet driver forvaltningsvirksomhet uten å være forvaltningsorgan. Således kan det tenkes at en privat organisasjon får tildelt myndighet til å opptre på vegne av det offentlige. Dessuten driver forvaltningsorganer mer enn forvaltningsvirksomhet i streng forstand. Et forvaltningsorgan gjør f.eks. privatrettslige disposisjoner som ledd i driften av virksomheten: De kjøper varer og tjenester, ansetter og sier opp personale, selger eiendom osv. på lignende måte som private aktører.1 I denne boken holder vi oss til det enkle, og forutsetter forvaltningsorganer som utøver forvaltningsmyndighet. Det er mulig å skjelne mellom sivil, militær og geistlig forvaltning. Etter avviklingen av statskirkeordningen faller geistlig forvaltning utenfor offentlig sektor, og vil ikke få oppmerksomhet i denne boken. Skillet mellom militær forvaltning i regi av Forsvaret og sivil forvaltning er relevant, men vil ikke få særlig oppmerksomhet her. Den avgjørende vekt i denne boken er på sivil forvaltning, det vil si på forvaltningsområder som ikke gjelder forsvarsmakten. Sivil forvaltning er den delen av forvaltningen som er mest omfattende, og som i fredstid har klart størst betydning for borgernes liv. I kapittel 2 redegjør vi for hvordan denne delen av offentlig sektor er organisert.

1.2 Om det flerfaglige perspektivet vårt på digital forvaltning 1.2.1 Oversikt Vi velger altså å forstå digital forvaltning som betegnelse på prosesser som kan sies å endre utførelsen av forvaltningsoppgavene. Endringer kan for eksempel skje ved at automatiske beslutningssystemer erstatter manuelle saksbehandlingsrutiner, eller ved at søknader kan fylles ut på nett og sendes inn elektronisk. Introduksjon av digitale hjelpemidler er ofte «motor» i endringsprosesser i offentlig forvaltning, men bruken av digital teknologi i forvaltningen kan også bli formet av måten forvaltningen er organisert på, og de regelverk som gjelder i offentlig sektor. Det betyr at digital teknologi også kan være resultat av endringer i organisering og rettslig regulering. For eksempel er kommunereformen i utgangspunktet en organisatorisk reform. Samtidig er det klart at slik 1 Dvs. selv om de ikke har forretningsdrift som hovedformål.

Kapittel 1: Grunnleggende om offentlig forvaltning i digitale omgivelser 15

omorganisering vil stille nye krav til forvaltningens bruk av digital teknologi. Vi mener derfor det er viktig å være oppmerksom på at endringer som skjer i norsk forvaltning, ofte skjer i et samspill mellom teknologisk, organisatorisk og regulatorisk endring. Teknologisk endring

Digital forvaltning Rettslig endring

Organisatorisk endring

Figur 1: Sammenhenger mellom endringsprosesser i digital forvaltning.

I figur 1 har vi illustrert hvordan digital forvaltning innebærer endringsprosesser hvor teknologi, organisering og regelverk kan og bør ses i sammenheng.2 Figuren illustrerer at vår forståelse av digital forvaltning er antireduksjonistisk. Med dette mener vi at spørsmål om digital forvaltning ikke kan reduseres til én-faktorforklaringer eller til ett-faglige perspektiver. Ny teknologi er for eksempel ikke den eneste faktoren vi trenger for å forklare utviklingen av den digitale forvaltningen. Hvis det var tilfellet, ville det ikke vært nødvendig å se på andre faktorer og forklaringer: Hvordan teknologien er oppbygd og fungerer, ville fortalt oss alt vi trengte å vite om hvordan den digitale forvaltningen er oppbygd og fungerer, og endringer i teknologi ville automatisk ført til tilsvarende endringer i offentlig forvaltning. Dersom det var slik, og vi ønsket å vite noe viktig og riktig om offentlig forvaltning, ville vi primært hatt behov for teknologisk kunnskap. Istedenfor å spørre juristene, statsviterne, sosiologene eller økonomene ville teknologene vært den mest relevante adressaten for våre spørsmål. Men teknologiske perspektiver eller teknisk kunnskap alene kan ikke fortelle oss alt vi trenger å vite om digital forvaltning. Tilsvarende gjelder for juridiske, 2 Se Schartum 2011.

digital forvaltning – en innføring

statsvitenskapelige, sosiologiske eller økonomiske perspektiver eller kunnskap. Poenget vårt er at når både teknologi, organisering og regelverk påvirker utviklingen av den offentlige forvaltningen, er det behov for flerfaglige perspektiver og kompetanse – ett-faglighet fører til at for mye av endringene, og årsakene til dem, blir stående uforklart. Det som er sagt ovenfor, betyr at endringsprosesser i offentlig forvaltning må forstås som gjensidige påvirkninger mellom teknologi, organisering og regelverk. Det er relasjonene mellom disse tre faktorene – hvordan endringer hos én av dem er påvirket av og fører til endringer hos de andre – som er avgjørende for å forstå og forklare utviklingen av den digitale forvaltningen. Noen konkrete eksempler kan illustrere hvordan disse gjensidige påvirkningsrelasjonene kan se ut:

• Regelendring påvirker teknologiutvikling. Nye regler om innebygd person• •

•

vern3 kan føre til at digitale tjenester må utvikles slik at sentrale personvernrettigheter ivaretas i de tekniske løsningene. Teknologisk endring påvirker regelverket. Anvendelse av skyteknologi og -tjenester4 kan føre til endringer av offentligrettslige regler (f.eks. arkivloven) for at arkivverket skal kunne lokalisere arkivdatabaser i utlandet. Teknologisk endring påvirker organisasjonsutvikling. Innføring av digitale systemer kan føre til at forvaltningsorganet må definere nye formelle roller, for eksempel system- eller tjenesteeiere, som er ansvarlig for drift og utvikling av systemene. Organisering påvirker teknologibruk. Uklarheter internt i forvaltnings organet om hvem som er system- eller tjenesteeiere (ansvarlige for systemet/ tjenesten), kan føre til manglende brukeropplæring og at systemet eller tjenesten anvendes i strid med interne retningslinjer. Regelendring påvirker organisasjonsutvikling. Forvaltningsorganer oppretter nye roller i egen organisasjon, for eksempel personvernombud, fordi de nye personvernreglene stiller krav om det.

3 Det vil si krav om at personvernregler skal bygges inn i IKT-systemer, jf. personvernforordningen, art. 25. Systemene vil da kunne minne om, gi støtte til eller automatisk utføre de personvernrettslige reglene, se nærmere i Schartum 2016. 4 Se avsnitt 10.7.

Kapittel 1: Grunnleggende om offentlig forvaltning i digitale omgivelser 17

Organisasjonsteorier påvirker regelutvikling. Teorier (og praksis) som sier at toppledelsen er svært viktig for hva som skjer i forvaltningsorganer, fører til regelverk (f.eks. e-forvaltningsforskriften) hvor ledelsen er hovedansvarlig for informasjonssikkerheten i digitale systemer og tjenester. I det følgende skal vi gi litt mer utfyllende forklaringer til hver enkelt av de gjensidige påvirkningsrelasjonene i figur 1.

1.2.2 Om forholdet mellom rettslig og teknologisk endring Digital teknologi og rettssystemet påvirker hverandre. For det første legger lovgivning begrensninger for hvordan digitale hjelpemidler i offentlig forvaltning kan være. Personopplysningslovgivning setter f.eks. grenser for hvilke personoppTeknologisk lysninger forvaltningen kan behandle, hva endring forvaltningen kan bruke opplysningene til, og hvem som kan ha tilgang til personopplysninger et forvaltningsorgan har. I tillegg setter bestemmelser om taushetsplikt begrensninger for informasjonsflyt Rettslig og dermed for om tekniske kommunikaendring sjonsmuligheter kan utnyttes eller ikke. Lover og forskrifter stiller også krav til hvordan teknologi skal være. For eksempel pålegger forskrifter at visse tekniske standarder skal benyttes når det offentlige kommuniserer, utarbeider nettsider mv., og at visse teknologiske hjelpemidler som retter seg mot allmennheten, skal være universelt utformet, dvs. skal kunne brukes av alle, uavhengig av eventuelle funksjonsbegrensninger. En tredje og viktig kategori lovgivning vedrørende IKT i offentlig sektor legger til rette for digitalisering ved å fjerne usikkerhet og tydeliggjøre hvordan tradisjonell lovgivning skal forstås i en teknologisk kontekst. Således har det vært vedtatt en rekke endringslover som f.eks. tydeliggjør at digital informasjon regnes som «skriftlig», at digital signatur regnes som «underskrift», og at «dokument» også innbefatter elektroniske dokumenter. Den fjerde og siste kategorien som vi vil nevne her, er fravær av rettslig regulering. Det er ikke slik at all teknologibruk i offentlig forvaltning er «rettsliggjort».

digital forvaltning – en innføring

Snarere er det slik at helt sentrale endringsprosesser har vært – og fremdeles er – utenfor rettslig regulering. For eksempel innebar introduksjon av internett og opprettelsen av nettsider hos forvaltningsorganene en revolusjon for realiseringen av offentlighetsprinsippet i forvaltningen (jf. Grl. § 100 femte ledd). Det tok ti år fra de første nettsidene i offentlig forvaltning med tilgjengeliggjøring av offentlige dokumenter ble lansert, til spørsmålet om slik publiseringspraksis ble rettslig regulert i forskrift til offentleglova av 2005.5 Fraværet av oppmerksomhet fra juristene har ikke sjelden medført at det er teknologer og ikke jurister som har fastsatt den detaljerte fortolkningen i forvaltningens datamaskinprogrammer. Den teknologiske utviklingen kan også sies å påvirke rettssystemet, ikke minst lovgivningen. For det første kan teknologisk utvikling skape behov for ny eller endret rettslig regulering. Dette gjelder både ny teknologi i seg selv og ny bruk av eksisterende teknologi. Ofte er det bruken som er mest utslagsgivende. Det amerikanske systemet Global Positioning System (GPS) ble f.eks. utviklet fra slutten av 1970-tallet for militære formål, og ble tilgjengelig for sivil bruk fra 1980-årene. Lenge har ikke selve eksistensen av GPS-teknologi gitt grunn til rettslig regulering i Norge. Men etter hvert som anvendelsene av denne teknologien blir mer og mer utbredt og anvendt på potensielt inngripende måter, har spørsmålet om særskilt regulering blitt mer aktuelt. Om offentlige sykehjem og hjemmetjenester skal kunne bruke GPS overfor beboere/brukere, for på den måten å kunne ha oversikt over hvor de er, er f.eks. et spørsmål som vi ikke så komme i 1980-årene, men som har begrunnet ny lovgivning.6 Digital teknologi har vide anvendelser. For eksempel brukes GPS-teknologi i mobiltelefoner, i biler, treningsklokker, den kan brukes for å spore barn, demente personer, dyr, og på mange andre måter. Vide anvendelser er en viktig grunn til at regulering av teknologi ofte skjer ved hjelp av temmelig abstrakt og «høytflyvende» lovgivning; dvs. en gjør lovgivningen teknologinøytral. Det betyr at en i lovteksten formulerer rettsregler uten å vise til eller prøve å beskrive en viss teknologi. Personvernforordningen er et helt sentralt eksempel på dette. Selve teknologien nevnes ikke direkte, bare de funksjoner som teknologien utfører: det å behandle personopplysninger. Ved å formulere lover uavhengig av teknologi får loven også virkning for ny teknologi og ny bruk. Så lenge GPS-anvendelser 5 Se forskrift til offentleglova (offentlegforskrifta). 6 Se pasient- og brukerrettighetsloven § 4-6 a.

Kapittel 1: Grunnleggende om offentlig forvaltning i digitale omgivelser 19

innebærer at personopplysninger blir behandlet, er med andre ord GPS rettslig regulert. Tilsvarende blir forholdet til andre teknologier som f.eks. biometri, bevegelsessensorer, RFID, skyteknologi, stordata mv.7 Med mindre det er særlige behov for regulering, kan lovgiver med andre ord lene seg tilbake og basere seg på at personvernlovgivningen virker uansett! Det kan imidlertid diskuteres hvor effektiv slik regulering er. Det er heller ikke slik at lov- og forskriftsregulering alltid er teknologinøytral: Forskrift om IT-standarder i offentlig forvaltning er eksempel på en veldig teknologispesifikk regulering. Vi kommer nærmere tilbake til spørsmål om teknologinøytral og teknologispesifikk lovgivning i avsnitt 5.5. Digital teknologi kan også sies å begrunne nye krav til lovteknikk på mer konkret måte. I kapittel 6 kommer vi nærmere inn på hvordan forvaltningen kan transformere («oversette») lover og andre rettskilder for derved å kunne automatisere rettsanvendelsen. Denne delen av systemutviklingen går ut på å utlede rettsregler uttrykt ved hjelp av naturlig språk (i stor grad norsk lovtekst), og så uttrykke de samme reglene ved hjelp av programmeringsspråk, dvs. et formelt språk som kan kjøres i en datamaskin.8 Hvis lovgiver uttrykker lovtekstene på en skjønnsmessig og fragmentert måte, og i tillegg bruker mange vage begreper som har et uklart/flytende meningsinnhold, blir denne transformeringen veldig arbeidskrevende, og i verste fall umulig. Et perspektiv på forvaltningslovgivning er at dersom myndigheter ønsker å automatisere rettsanvendelsen, bør lovgiver vurdere å ta hensyn til dette når man utformer lovteksten; lovgivningen bør være «automatiseringsvennlig». Kort Teknologisk sagt betyr dette at lovteksten bør være endring utfyllende og så klart formulert som mulig, uten bruk av skjønn, og med bruk av begreper for å angi relevante data som tilsvarer det som finnes i eksisterende databaser.9 Automatiseringsvennlig lovgivning bør i tillegg skrives slik at prosedyren som må følges fra initiering av saker til

7 Viktige enkeltteknologier er nærmere omtalt i kapittel 10 nedenfor. 8 Se nærmere om programmeringsspråk i avsnitt 5.5. 9 Eller som tilsvarer innhold i databaser man ønsker å etablere.

Organisatorisk endring

digital forvaltning – en innføring

enkeltvedtak, er så tydelig som mulig; dvs. lovgiver bør beskrive trinn for trinn hvilke behandlingsregler som må følges. Vi kommer tilbake til spørsmålet om automatiseringsvennlig lovgivning i avsnitt 5.7.

1.2.3 Om forholdet mellom teknologisk og organisatorisk endring Allerede i datamaskinens barndom ble det fremhevet at bruk av «elektronisk databehandling» (eller «edb») ofte ville tilsi endret organisering av aktuelle arbeidsprosesser. En grunnleggende forventning har med andre ord vært at de som tar i bruk digital teknologi, ofte ikke bør arbeide slik de tidligere har gjort, men se digitaliseringsprosesser som en mulighet for å endre organisering og arbeidsdeling. Slik kobling mellom teknologi og organisatorisk endring har kommet til uttrykk gjennom flere fyndord, som for eksempel at «en ikke bør asfaltere krøtterstier». I stedet har en snakket om «digitale motorveier». Forventningen er bl.a. knyttet til utsiktene til innsparinger og redusert antall ansatte. Etter hvert som nettbanker ble lansert, ble det f.eks. behov for færre bankansatte, og med færre mennesker som oppsøkte filialene, var det behov for færre filialer. Det har vært en lignende utvikling innen statlig lokalforvaltning; f.eks. har antallet NAV- og skattekontorer blitt radikalt redusert. Hovedargumentet har vært at utvikling av nettbaserte tjenester gir redusert behov for at innbyggerne oppsøker offentlig kontorer for å få hjelp. Noe av argumentene som ligger til grunn for Solberg-regjeringens kommunereform og følger delvis samme argumentasjon: Behovet for å komme til kommunens kontorer er mindre enn før, nettjenestene fyller mange behov, og de fleste har bil og kan uansett lett komme til kommunens kontorer hvis det er behov.10 Her skal vi ikke gå inn på holdbarheten av argumentene som har ledet frem til større geografiske avstander mellom forvaltningskontorer og innbyggerne, kombinert med større «nærhet» ved hjelp av nettbaserte tjenester. I stedet vil vi gjennomgå noen sentrale organisatoriske valg som digital forvaltning aktualiserer.11

10 En annen viktig del av argumentasjonen har vært behovet for større fagmiljøer, styrking av kompetanse, og «stordriftsfordeler». 11 Flere av disse organisatoriske spørsmålene er også aktuelle for andre organisasjoner enn offentlig forvaltning, men her avgrenser vi til denne.

Kapittel 1: Grunnleggende om offentlig forvaltning i digitale omgivelser 21

Et viktig grunnleggende valg gjelder spørsmålet om hva forvaltningsorganer skal gjøre, og hva andre aktører skal gjøre. Vi kan omtale dette som et spørsmål om bortsetting eller «outsourcing» av forvaltningens oppgaver til andre. Spørsmålet er altså om oppgaver som forvaltningen tidligere har gjort, eller som vi ut fra forvaltningsorganets kompetanse kan forvente at forvaltningen burde gjøre, i stedet kan utføres av andre. Systemutvikling, dvs. planlegging og utforming av de informasjonssystemer12 som forvaltningen skal bruke for å utføre oppgavene sine, er et sentralt eksempel på en oppgavetype der bortsetting av arbeidsoppgaver er vanlig. Forvaltningsorganer kan for en stor del kjøpe standard programvare, og i så fall kommer ikke spørsmålet opp om forvaltningen skal utvikle egne systemer. Kjernevirksomhet som består i myndighetsutøvelse, krever imidlertid spesielt utviklede systemløsninger, dvs. rettslige beslutningsstøttesystemer og beslutningssystemer, som er drøftet i avsnitt 4.1. Utvikling av slike systemer krever bl.a. at en tar stilling til en rekke juridiske spørsmål, og de rettsreglene som utledes, må nedfelles i systemet. Det er ikke vanlig at offentlig forvaltning har ansatte med den kompetansen som er påkrevet for å utvikle slike systemer. Derfor inngås det ofte oppdragsavtaler med konsulentfirmaer for at disse skal gjøre store deler av jobben. En utfordring kan være at konsulentene får innflytelse over myndighetsutøvelsen som de ikke skulle hatt. Formelt er det forvaltningsorganet som har myndighet og ansvar for å fastsette det de mener er riktig lovforståelse. Likevel kan fravær av jurister i forvaltningsorganet som forstår seg på de rettslige sidene ved systemutviklingen, gjøre at det reelt sett likevel er konsulentene som fastsetter hvilke rettsregler maskinen skal følge. I så fall har vi et rettssikkerhetsproblem.13 Lignende problemer med bortsetting av systemutvikling til private kan være knyttet til drift av IKT-systemene. Siden utgifter knyttet til drift ikke sjelden er lavere i andre land, kan forvaltningen ønske å sette driftsoppgaver bort til andre. Dette kan skje ved at en for eksempel setter driften bort til en bedrift, eller en inngår en skyavtale (jf. «cloud computing»)14 som innebærer at programmer og data lagres og prosesseres i én eller flere datasentre i Norge eller utlandet, 12 Med informasjonssystem forstår vi (noe upresist) en samling av menneskelige og maskinelle aktiviteter, inkludert relevant regelverk, som er nødvendig for å utføre en bestemt oppgave. Informasjonssystemer omfatter normalt bruk av IKT i en eller annen form. Begrepet drøftes nærmere i avsnitt 4.1. 13 Se nærmere om rettssikkerhet i digital forvaltning i avsnitt 8.2.3. 14 Se nærmere om skytjenester i avsnitt 10.7.

digital forvaltning – en innføring

tilgjengelig via internett. Hvor behandling og lagring skjer, avhenger i så fall av ledig kapasitet og kostnader mv. Forvaltningen som «kunde» betaler bare for faktisk bruk og slipper å anskaffe og drifte en egen, fast maskinpark mv. Slike skyavtaler regnes derfor som billige og fleksible. På den annen side kan skyavtaler og bortsetting av driftsoppgaver til andre skape sårbarheter. I februar 2017 ble det f.eks. klart at deler av det norske nødnettet var driftet fra India, med mulighet for at deler av nettet kunne stenges av personer som ikke skulle være autorisert til å betjene en så sikkerhetskritisk offentlig tjeneste.15 Mulighet for endret arbeidsdeling mellom forvaltningsorganet og omgivelsene gjelder også for selve enkeltsaksbehandlingen. En modell er f.eks. å beholde noe manuell bruk av systemløsningene, men la parten16 selv være «sin egen saksbehandler». Vi kan kalle dette selvbetjent forvaltning.17 Selvbetjening forutsetter at systemet kan gi tilstrekkelig støtte til at saksbehandlingen blir fullt ut forsvarlig. Med den forutsetningen innfridd kan saksbehandlingsarbeidet organiseres slik at parten selv inngir eller kontrollerer opplysninger som skal være grunnlag for enkeltvedtak. Et alternativ til selvbetjening er å la andre enn parten opplyse saken, og organisere saksbehandlingen mer eller mindre uavhengig av parten. I så fall kan en basere saksbehandlingen på opplysninger som andre forvaltningsorganer, registermyndigheter og private virksomheter rapporterer inn om parten. Parten slipper å gjøre annet enn å kontrollere at opplysningene ser riktige ut. Dersom alle som inngir opplysninger er forpliktet til å gjøre dette på en viss måte og til en viss tid, er dette en svært effektiv måte å organisere saksbehandlingsarbeidet på. Forvaltningsorganet som har ansvaret for vedtakstypen, har i så fall helt overlatt saksbehandlingen til andre, og bidrar selv bare med systemløsningen og de rettslige valgene som er innbakt i den. Vi kan kalle denne modellen for diffus forvaltning,18 både diffus i betydningen spredd på mange og i betydningen uklar. Formelt sett kan det være klart nok hvilket forvaltningsorgan som har ansvaret, men reelt sett kan det være uklart hvem som har mulighet til å innvirke

15 Nødnettet kommer inn under sikkerhetsloven, noe som bl.a. innebærer strenge regler om informasjonssikkerhet og autorisasjon for tilgang til nettet. 16 Jf. definisjonen av «part» i forvaltningsloven § 2 bokstav e: «person som en avgjørelse retter seg mot eller som saken ellers direkte gjelder.» 17 Se Schartum 1994. 18 Om diffus forvaltning og forholdet til selvbetjent forvaltning, se Schartum 2002.

Kapittel 1: Grunnleggende om offentlig forvaltning i digitale omgivelser 23

på saksbehandlingen dersom en mener at noe er galt. Skattevedtak vedrørende personlige skattytere kan sies å følge en diffus modell: Vedtaket er basert på opplysninger som i stor grad sendes maskinelt til Skatteetaten fra arbeidsgivere, forsikringsselskaper, banker, NAV og andre, og blir behandlet av Skatteetatens system uten at noen person har sett på saken.

1.2.4 Om forholdet mellom rettslig og organisatorisk endring Rettslig endring

Organisatorisk endring

Lovgivning kan stille krav til hvordan forvaltningen skal være organisert, og disse kravene kan være knyttet til digitalisering av forvaltningens oppgaveløsning. Sentrale eksempler på dette finnes i tilknytning til personopplysningsvern og informasjonssikkerhet. Personvernforordningen forutsetter at det alltid skal være en «behandlingsansvarlig», og denne har de fleste pliktene etter forordningen.19 Under visse forutsetninger tillater bestemmelsene at behandlingsansvarlige setter behandlingen bort til databehandlere, dvs. til en oppdragstaker.20 Samme forordning har regler som begrenser adgangen til at databehandler kan sette oppgaver videre bort til underleverandører.21 Forordningen stiller også krav til at forvaltningsorganer har personvernombud,22 og fastsetter nærmere krav til den organisatoriske plasseringen av slike ombud.23 Samme forordning har flere bestemmelser som pålegger plikt til å gjennomføre organisatoriske tiltak, bl.a. når det gjelder innebygget personvern (art. 25) og informasjonssikkerhet (art. 32). Også bestemmelsene om taushetsplikt er eksempel på at rettsreglene setter skranker for hvordan forvaltningen kan organisere arbeidet sitt: Er det ikke adgang til å videregi opplysninger til de aktører forvaltningsorganet ønsker skal

19 20 21 22 23

Se art. 24, jf. art. 4(7). Se art. 28, jf. art. 4(8). Se art. 28(2). Se art. 37(1)(a). Se art. 38.

digital forvaltning – en innføring

være brukere av forvaltningens IKT-system, kan de heller ikke utforme systemet og organisere arbeidet på måter som forutsetter slik tilgang.24 Det er ikke uvanlig at organisatorisk endring utløser behov for ny lovgivning. Igjen inneholder personvernlovgivningen viktige eksempler. Utgangspunktet for personopplysningsloven som ble vedtatt i 2000,25 var forutsetningen om at hver behandling av personopplysninger hadde én behandlingsansvarlig. Senere har den teknologiske utviklingen og etablering av ulike portalløsninger og felles tjenester som f.eks. Altinn aktualisert ulike former for samarbeid mellom flere behandlingsansvarlige. På lignende måte var utgangspunktet for regulering av databehandlere at det var kun «et lag» med slike, og ingen underleverandører. Utvikling i retning av mye mer kompleks organisering av hvordan behandling av personopplysninger burde skje, har medført at personvernforordningen har spesifikke bestemmelser om både delt behandlingsansvar og databehandleres bruk av underleverandører.26 Mer bortsetting av oppgaven å behandle personopplysninger til land utenfor EU («tredjeland») har også gjort at europeisk personvernlovgivning har utviklet en mer kompleks regulering.27 EU har med andre ord måttet «følge etter» og la forordningen gjenspeile nye trender og praksis for bortsetting av drift til tredjeland.

24 25 26 27

Jf. fvl. § 13 flg. Det vil si den loven som fra 25. mai 2018 blir avløst av personvernforordningen. Se f.eks. art. 26 og art. 28(2). Se personvernforordningen, kapittel V.

Prof. Dr.juris

DAG WIESE SCHARTUM

Prof.em Dr.scient.

ARILD JANSEN

er ansatt i Uninett AS. Han arbeider spesielt med digital forvaltning, informasjonssikkerhet og personvern, og har skrevet en rekke artikler og bøker innenfor disse fagområdene.

ISBN 978-82-450-2234-6

,!7II2E5-accdeg!

DIGITAL FORVALTNING – en innføring

Dag Wiese Schartum Arild Jansen Tommy Tranvik

Schartum – Jansen – Tranvik

Alle forfatterne er knyttet til Senter for rettsinformatikk, Avdeling for forvaltningsinformatikk ved Universitetet i Oslo.

TEKNOLOGISK ENDRING

DIGITAL FORVALTNING – en innføring

RETTSLIG ENDRING

Juridiske, informatiske og organisatoriske aspekter

ORGANISATORISK ENDRING