IKT og ledelse: Informasjonssikkerhet

En økende del av samfunnets verdiskaping består i å håndtere opplysninger. Opplysninger samles inn, bearbeides, analyseres og inngår som underlag for å stadfeste borgerens status, rettigheter og plikter. I varierende grad vil opplysninger være knyttet til enkeltpersoner. Opplysninger kan også omhandle forretningsprosesser, produktutvikling, strategier og metoder. Felles for alle opplysninger er at det vil være varierende krav til beskyttelse.

Lovgiver har, for behandling av visse typer opplysninger, oppsatt en del kriterier for hvordan dette skal foregå. Opplysninger som kan knyttes til individet, skal behandles i samsvar med personopplysningsloven.

La meg innledningsvis understreke at personvern ikke avgrenses til informasjonssikkerhet. Like viktig er det å ha en saklig grunn for i det hele tatt å behandle personopplysninger. Vi kaller det et «behandlingsgrunnlag». Det forutsetter vanligvis at man har lovhjemmel, eller at man har samtykke fra den registrerte. Uavhengig av grunnlaget er det plikt til å informere den registrerte om hvordan kommunen har tenkt å behandle opplysningene. I det ligger blant annet opplysninger om formål, rettigheter og hvor lenge man har tenkt å beholde opplysningene. Om man vil, kan man si at dette inngår som en del av samfunnskontrakten. Ingen kan ta seg til rette og gjøre hva man vil med opplysningene man forvalter. Tvert imot skal de anvisninger og begrensninger som «kontrakten» har satt opp, følges.

Kommunen er, innenfor deler av sin verdiskaping, i en monopolistisk rolle. Innbyggeren kan rett og slett ikke velge bort kommunen som leverandør. Det gjør det desto viktigere at man er seg ansvaret bevisst og ikke utnytter posisjonen man har. Innbyggere vil både kunne bli forferdet og urolige av manglende sikkerhet, men kan i mange tilfeller ikke skifte leverandør. I beste fall kan man, sammen med andre innbyggere, saksøke kommunen eller varsle tilsynsmyndigheten på området.

Kommunene står for en viktig del av verdiskapingen i vårt samfunn. En vesentlig del er tuftet på å levere de rettigheter velferdsstaten foreskriver. Kommunen leverer alt fra vital infrastruktur til en hånd å holde i. Under produksjonen oppstår behov for å bearbeide opplysninger. Mye av opplysningene trenger høy grad av beskyttelse. Selv om kommunene er underlagt offentlighetsloven, må det vises utstrakt grad av edruelighet i praktiseringen. Kommunen forvalter enorme mengder opplysninger som ikke er egnet for offentlighet. Det understreker behovet for å ha klare rammer for hva som skal offentliggjøres, og på hvilken måte det skal skje. I praksis er det dessuten stor forskjell på aktivt å publisere opplysninger og å gi innsyn etter begjæring.

Private virksomheter har en noe enklere hverdag enn kommunen. Oppgavene de løser, er ofte innsnevret. I den grad virkeligheten blir for komplisert, deler man simpelthen opp virksomheten i flere juridiske enheter og ansetter tilhørende ansvarlig leder. Kommunens rådmann har ikke tilsvarende fleksibilitet. I noen tilfeller kan det opprettes kommunaleforetak som kan forestå produksjonen. I andre tilfeller velger man en bestiller-utfører-variant eller kombinasjon av de forannevnte. Uavhengig av organisering kan sjelden rådmannen organisere seg bort fra det reelle ansvaret. Modellene som foreskrives, vil snarere være et hjelpemiddel for å organisere et komplisert ansvar.

Datatilsynet forventer sjelden at øverste leder skal ha inngående kunnskap om informasjonssikkerhet. Det tilsynet forventer, er at øverste leder skal ha forvisset seg om at sikkerheten er forsvarlig. I dette ligger at rådmannen har fått seg forelagt et beslutningsgrunnlag som omtaler hvordan opplysninger skal sikres, har fattet nødvendige beslutninger og følger opp at beslutningene følges i organisasjonen. Det er ikke greit at rådmannen lener seg tilbake i godstolen og stoler på at IKT-sjefen gjør jobben sin. Det er tvert imot uansvarlig og tegn på dårlig lederskap. Rådmannen skal ha forventninger om at beslutningsgrunnlaget som blir forelagt, er forståelig, strukturert og gjennomførbart. Dersom beslutningsgrunnlaget ikke er til å forstå, har medarbeidere ikke gjort en god nok jobb. De skal ikke bry rådmannen med kompliserte tekniske detaljer, men de overordnede linjene som trenger en leders oppmerksomhet og beslutning. Når den foreligger, kastes ballen over til linjelederne for gjennomføring. Det må likevel ikke være tvil om hvem som
er kapteinen. Kompasskursen og marsjfart må sjekkes med jevne mellomrom.

Informasjonssikkerhet er ikke et mål i seg selv, men et middel for å oppnå tilfredsstillende kvalitet på kommunens tjenester. De fleste vil nok være med på at det inngår i innbyggerens forventning at sikkerheten holder en høy standard. Offentlig sektor har gjennomgående meget høy tillit blant publikum. Vi skal likevel huske på at tillit er et skjørt aktivum som raskt kan bryte sammen. Skandaler fra andre land viser at det skal lite til for å svekke tilliten, bare hendelsen rammer noen kraftig nok. Problemet er at svekket tillit kan ramme hele sektoren og kan være vanskelig å gjenopprette.

Det er for tiden full galopp innen temaet e-forvaltning. Mange offentlige aktører synes å overgå hverandre i iveren etter å imponere publikum. Tilgjengeligheten skal ikke være dårligere enn hva man kan forvente på en middels dårlig nettside som selger CD-plater og minnemynter. Siden kommunen er ansvarlig for å forvalte følsomme opplysninger om borgeren, sier det seg selv at sikkerheten må følge en langt høyere standard.

Datatilsynet har vært opptatt av og søker støtte blant de ulike aktørene for å få til en fungerende infrastruktur basert på enhetlig, sikker elektronisk ID og signatur. Etter tilsynets vurdering er det viktig å se problemstillingen i offentlig sektor og i det privat næringslivet i sammenheng. Tilsvarende behov som identifiseres i kommunene, finner vi både hos statlig sektor og i deler av det private næringslivet. Det er ofte der verdiskapingen skjer, at man først forstår behovet for en velfungerende infrastruktur. Instrumenter for trygg samhandling, som anført over, er nettopp det. Slike felles goder vil ofte møte problemer av finansiell art. Alle trenger det, men ingen vil betale for det. For denne typen produkter vil det, i en tidlig fase, ofte være innslag av markedssvikt. Det kan medføre at markedsaktø-rene har vanskeligheter med etablere kritisk masse i markedet. Problemstillingen er enkel: Hvem vil ha en e-signatur eller e-ID om ingen andre har det? Og hvem tør kreve slikt om ingen har det? Mens diskusjonene om dette ruller videre, reduseres mulighetene for økt effektivisering og verdiskaping, både hos stat, kommune og deler av privat næringsliv.

Det kan være fristende å trekke fram en liten historie. Fyrtårn er eksempel på et felles gode. Da disse en gang ble bygget langs vår langstrakte kystlinje, hvem var det da somførst så behovet? Jeg tror det var befolkningen langs kysten. De forstod at om skipet skulle komme trygt i land, måtte mannskapet ha noe å seile etter, ellers endte ferden farlig fort på skjær. Intet er vel til hinder for at kommunene selv kan etablere noen fyrtårn, men det bør være et felles løft. Jeg er sikker på at økonomene uten problemer kan dokumentere samfunnsnytten i et slikt prosjekt. Det synes nærliggende å erklære at du som rådmann har en langt mer utfordrende oppgave enn selgere av alskens banaliteter på nettet. Ditt viktigste aktivum er ikke å maksimere bunnlinjen, men å opprettholde servicenivå, kvalitet og tillit til kommunen. Disse elementene forutsetter at sikkerhet inngår som en del av din ledelsesfilosofi.

Inntil videre vil jeg berømme de rådmenn som har fylt vakuumet med respekt for borgeren. Mange har valgt midlertidige løsninger som er akseptable og til å leve med. De lar seg ikke blende av kortsiktige mål som å få flest mulig stjerner for tilgjengelighet. Deforstår at om det gjøres uten forsvarlig sikkerhet, er stjernene egentlig skjulte piratflagg. Det føles også nærliggende å berømme IT-ekspertene rundt om i kommunenesom har gitt rådmannen sine gode råd. Uten dere kunne rådmannen seilt med feil kart.