Eierskap, deling av data, personvern og datasikkerhet

Denne artikkelen er en del av Menonrapporten "Er verdiskaping med data noe Norge kan leve av".

Data er en ressurs som kan utnyttes bedre. All offentlig og privat oppgaveløsing og tjenesteutvikling innebærer bruk av data. Måten vi utnytter data på er i stor endring, og åpner for helt nye måter å løse oppgaver på. Økt deling av data er en forutsetning for mer sammenhengende og skreddersydde tjenester til brukerne. Samtidig er det viktig at vi har et regelverk som tar hensyn til personvern når det kommer til bruk av personlig data.

Det skal legges bedre til rette for viderebruk av åpne data. Viderebruk av offentlig og privat eid informasjon handler om å gi næringsliv, forskere og sivilsamfunn tilgang til åpne data fra ulike sektorer på en måte som gjør at de kan brukes i nye sammenhenger, skape nye tjenester og gi økt verdiskaping. Brukerne skal for eksempel unngå å oppgi informasjon som det offentlige allerede har innhentet. Økt deling av data er også en forutsetning for utvikling av sammenhengende tjenester på tvers av sektorer og forvaltningsnivåer. Lovverket må sikre at offentlig sektor skal dele data når den kan og skjerme data når den må.

I ulike policydokumenter fra EU, OECD og bl.a. Storbritannia er det fem problemstillinger som går igjen når det «ryddes» i debatten om deling og verdi av data både offentlig og privat sektor:

1. Eierskap og kontroll: Strategier for økt deling av data må uansett forholde seg til det eksisterende juridiske rammeverket for eierskap og kontroll. Dagens rammeverk gir betydelige muligheter for å begrense datadeling på flere ulike måter, her illustrert av tre eksempler. For det første finner vi at private kan nekte at deres data deles gjennom personvernregler og prinsippene i GDPR-lovgivningen21. For det andre finner vi at data kan være beskyttet av opphavsrett som begrenser viderebruk. For det tredje finnes regler som gir muligheter for å begrense tilgang til databaser. EU-direktivet «Public Service Information directive» (Viderebruksdirektivet) som er en del av EØS-avtalen er eksempel på et nytt rammeverk som kan bidra til økt deling (offentlige data skal være frie/gratis). 
2. Personvern: Med GDRP-lovgivningen har vi fått et rammeverk som gir en mer tydelig beskyttelse av persondata. Dette må i utgangspunktet vurderes som en mulighet, da tillit er en forutsetning for å tilegne seg persondata. 
3. Åpne offentlige data: Alle OECD-land er i gang med ulike initiativ for å åpne offentlige data, slik at både offentlige og private aktører kan benytte disse til nyskaping. Det er viktig at data både er åpne og tilgjengelige. 
4. Interoperabilitet og standarder: Utvikling av standarder og infrastruktur for sammenkobling av data drives frem av myndigheter og overnasjonale organisasjoner. For eksempel tvinger EUs nye bankdirektiv frem at bankene må gi en mer åpen tilgang til dataene sine.
5. Trygg og lovlig datadeling: Deling av data må være lovlig, men ulike nasjonale og overnasjonale strategier og utredninger viser at det oftere er mangel på trygg og rettferdig og etisk akseptabel av ata som hindrer aktørene. Såkalte «data trusts» kan være én type  offentlig-privat delingsinfrastruktur.

Data samles inn på mange ulike måter over et bredt spekter av gjenstander og personer. Dette kan være alt fra persondata i helsevesenet eller data fra sensorteknologi. Er det aktøren som har samlet inn data, eller er det de som har rapportert eller produsert data på ulike måter som er eier av informasjonen dataen inneholder.

Dette er et omdiskutert tema. For eksempel har debatten rundt personlig data rast i mediene, med de globale plattformselskapene i fokus. Sikkerhetsbrudd, tyveri av personlig data og omstridt bruk av  dataene er noe som har fanget folks oppmerksomhet. Personlige data er i dag en viktig brikke i forretningsmodellene for mange aktører. Kommersielle verdier fra personlige data kan skapes ved for eksempel målrettet reklame som stimulerer til flere salg og mer effektiv varedistribusjon. Enkelte aktører selger også personlig data direkte til tredjepart.

I enkelte tilfeller behøver ikke eierskapet til data være vanskelig å definere, dette kan for eksempel omfatte sensorteknologi som måler ulike deler av en produksjonsprosess. Et problem som kan oppstå med leasingkontrakter på maskiner vil kunne være å bestemme om det er utleier eller den som leaser objektet det samles data fra som dataeier. 

Vekstpotensialet for norsk næringsliv ligger ikke bare i dataene, men i en kombinasjon av tilgjengelige og godt strukturerte data, en infrastruktur som knytter det hele sammen, tilgang på prosesseringskraft og digitale teknologier, og spisskompetanse til å utnytte potensialet i helheten.

Det offentlige har i dag utarbeidet retningslinjer for tilgjengeliggjøring og deling av data, og flere departement har utarbeidet egne strategier for offentlig data. Det er tre hovedgrunner til at tilgang på åpne offentlige data er viktig for samfunnet:

1. Effektivisering og innovasjon: Når data blir delt mellom virksomheter får vi bedre samhandling, mer rasjonell tjenesteutvikling og bedre offentlige tjenester.
2. Næringsutvikling: Næringslivet får mulighet til å utvikle nye tjenester, produkter og forretningsmodeller basert på tilgang til offentlig informasjon. 
3. Et åpent og demokratisk samfunn: Tilgang til grunnlag for beslutninger og prioriteringer i offentlig sektor gir bedre mulighet til å få innsyn i hvordan beslutninger følges opp og hva effekten av politiske tiltak er.

Direktøren i Difi har uttalt at «Med en helhetlig satsing på deling av data kan Norge oppnå mye. Vi kan realisere en brukerorientert, effektiv og datadrevet forvaltning som tilrettelegger for "kun en gang, privat" og offentlig innovasjon, samt proaktive tjenester til innbyggerne.»

Deling av data kan gi reduserte kostnader for samfunnet og flere og bedre sammenhengende tjenester til innbyggerne. Det vil også stimulere til næringsutvikling i privat sektor. Fordi teknologi og data er i rask utvikling, må tiltakene innenfor hvert av områdene utvikles smidig og trinnvis over tid. Samarbeid med virksomheter, både i offentlig og privat sektor, blir sentralt. En grunn til at offentlig sektor kan ønske å ikke dele data kostnadsfritt med hverandre, næringslivet og privatpersoner, er på grunn av bortfall av inntekter til de ulike etatene, og spesielt etater som er avhengig av andre former for inntekter enn overføringer i sin drift.

Det er også en mulighet at næringslivet deler data både mellom seg og individer. Grunner til å åpne opp for dette kan være at bedriften ønsker å selge datarelatert tjenester til andre bedrifter, bistå samarbeidspartnere og andre deler av verdikjeden (fremme samarbeid). Det er likevel usikkert om et slikt samarbeid vil kunne bli etablert utenfor en verdikjede. Et eksempel på deling av næringslivets data ble gjort av gruveselskapet Goldcorp. I 2000 valgte selskapet å publisere deler av selskapets data og arrangerte en konkurranse med en førstepremie på 575 000 dollar for de som fant den beste metoden å lokalisere gull i gruvene deres. Konkurransen ledet til at hele 110 mål ble lokalisert og gull for over 3 milliarder dollar ble hentet ut. Mer interessant enn dette eksempelet er, som i tilfellet med offentlige data, å koble ulike datasett sammen for å finne nye bruksområder og løsninger.

Det finnes, som nevnt, også andre situasjoner hvor private aktører deler data. Slike aktører deler ofte data med hverandre og det kan da være snakk om både samarbeidspartnere på de ulike feltene og leverandører av utstyr og tjenester. Slik kan hele verdikjeden utnytte tilgjengelig informasjon til å forbedre ogfornye seg. Den såkalte DISKOS-plattformen har bidratt til å forenkle deling av data mellom aktører i olje- og gassnæringen. Flere nye norske virksomheter  har etablert seg som slike private data-plattformaktører de seneste årene.

Eksempler på dette er DNV-GLs Veracity- lattform som i dag har 170 000 brukere og ca. 170 ulike tjenester, Kongsberg Digital med Kognify, Tine og Felleskjøpets satsing på et økosystem for data for landbruket kalt Mimiro og REV Oceans «The Ocean Data Platform». Sistnevnte bygges på «Cognite Data Fusion»-teknologien til det norske selskapet Cognite. Cognite leverer også denne løsningen til flere andre sektorer.

Viderebruksdirektivet er et EU-direktiv om viderebruk av offentlige informasjon, som gjennom EØS-avtalen også gjelder for Norge. Med viderebruk menes at andre enn offentlig sektor selv (næringsliv og sivilsamfunn) tar i bruk offentlige data. Data som viderebrukes kan være bearbeidet eller koblet sammen med andre data, fra private eller offentlige kilder. Dette gir ofte bedre tjenester.

I 2019 ble lovgivningen endret for å gjøre offentlige data lettere tilgjengelig, enten gratis eller til en lav marginalkostnad. Forslaget innebærer blant annet en utvidelse av direktivets anvendelsesområde ved blant annet å inkludere tilgang i sanntid til dynamiske data, økt tilgang til offentlige datasett av høy kvalitet, tilgang til data fra leverandører som for eksempel gjør oppdrag på vegne av det offentlige, samt utvidelse av forbudet mot eksklusive avtaler.

Høyverdige datasett har potensial til å skape samfunnsøkonomiske gevinster, øke antallet brukere, skape høyere inntjening og kombineres med andre datasett. Gratis tilgjengeliggjøring vil bli aktuelt så lenge dette ikke påvirker konkurransen negativt i enkelte markeder.

Et av målene med endringene er å gjøre det vanskeligere for offentlige etater å ta mer betalt enn marginalkostnaden ved deling av data. Det kan bidra til at terskelen for å bruke dataen reduseres. Samtidig slår direktivet fast at utleveringen av data ikke skal være til hinder for offentlige myndigheters normale drift. Dersom de har store kostnader knyttet til å utføre oppgavene sine eller til å samle inn, produsere, reprodusere og spre data og dokumenter, kan de ta et gebyr som er høyere enn marginalkostnaden, men gebyret må være etterprøvbart.

Det er flere som har bemerket at det er uklare statsfinansielle konsekvenser av å tilgjengeliggjøre offentlige data, slik direktivet krever, avhengig av hva som havner på listen over høyverdige datasett. Dette kommer av at staten mister inntekter fra deling av data, samt at det trolig vil påløpe utgifter når det kommer til tilgjengeliggjøring av for eksempel sanntidsdata. Det er påpekt at utvelgelsen av høyverdige datasett er avgjørende for utslaget i statsfinansene.

Tillit er en av hjørnestenene i den digitale økonomien. For å skape tillit til å dele data, kreves blant annet reguleringer som gir datadeleren rettigheter.

I en undersøkelse (Salesforce Research, 2018))  svarer om lag 90 prosent av respondentene at de er mer villige til å dele personlige data med et selskap om de gir datadeler innsikt i hvilke data som er samlet inn og denne benyttes.

For individer har EU kommet med et regelverk som er ment å sikre rettigheter til de som har delt personlige data. GDPR (The General Data Protection Regulation) eller personvernforordningen trådte i kraft 20. juli 2018.42 Formålet med det nye regelverket er gitt i artikkel 1 av reguleringsteksten:

1. Denne forordning fastsetter regler om vern av fysiske personer i forbindelse med behandling av personopplysninger samt regler om fri utveksling av personopplysninger. 
2. Denne forordning sikrer vern av fysiske personers grunnleggende rettigheter og friheter, særlig deres rett til vern av personopplysninger.
3. Fri utveksling av personopplysninger i Unionen skal verken begrenses eller forbys av årsaker knyttet til vern av fysiske personer i forbindelse med behandling av personopplysninger.

Loven sikrer også personer rett til innsyn i hvilke data som er samlet inn om dem, hva de brukes til, hvem som har fått tilgang til disse, hvor lenge de er forventet å bli oppbevart, rett til å anmode om sletting eller retting av data, begrense behandlingen av dataene og protestere mot bruk, og hvor dataen kommer fra (om den ikke er oppgitt av personen selv). Et selskap kan få en bot på opptil 4 prosent av sin samlede globale årsomsetning ved brudd på det nye regelverket.

Det nye regelverket sikrer i større grad enn tidligere at de som behandler personlige data tar ansvar og følger strenge retningslinjer. Likevel er enkelte skeptiske til utformingen av det nye regelverket. Det blir trukket frem at hensikten med GDPR er at det lagres så lite data som mulig. Samtidig krever kunstig intelligens mye data, derfor frykter enkelte at GDPR begrenser utviklingen av slik teknologi.

Datasvindel eller – tyveri, samt internettangrep og sammenbrudd i infrastruktur knyttet til data og datadeling, er rangert som både sannsynlig og med potensiell høy negativ påvirkning. Dette kommer frem når World Economic Forum (WEF) vurderer globale risker i sin Global Risk Report (GRR) for 2019. Spesielt anslås internettangrep å ha svært store konsekvenser. Et eksempel som trekkes frem, er dataangrepet mot indiske myndigheter i 2018, hvor ID-databasen med informasjon om alle de 1,1 milliarder innbyggerne ble stjålet.

Datasikkerhet, eller informasjonssikkerhet, er tiltak for å beskytte informasjon. Det inkluderer både beskyttelse mot tap av data og mot ulovlig innsyn, misbruk eller tyveri av informasjon. Moderne IKT- systemer bruker en rekke metoder for å fremme informasjonssikkerhet. Konfidensialitet og tilgjengelighet søkes sikret gjennom å definere hva bestemte personer eller roller skal ha tilgang til av informasjon, og sikre at de riktige personene, og bare de, har tilgang. Sikringsmekanismene er vanligvis krypteringsalgoritmer, og tilgang til sensitiv informasjon for autoriserte personer oppnås gjerne ved tilgang til kryptonøkler tilpasset den enkeltes sikkerhetsklarering.

Carrière-Swallox og Haksar (2019) argumenterer i IMF-rapporten The Economics and Implications of Data for at data som et fellesgode, kjennetegnet ved ikke-rivaliserende og ikke- kskluderende egenskaper, ikke gir privatøkonomiske incentiver for å investere i datasikkerhet som er tilstrekkelig for å oppnå et samfunnsmessig optimalt investeringsnivå.