Stortingsmelding om datadrevet økonomi og innovasjon

Published on: 
May 19, 2020


Bidragsytere og signerende støttespillere

Nina Mathiesen, Digital Identitet Norden

Snorre Lothar von Gohren Edwin, CTO, Diwala; Digital Identitet Norden

Christine Lie Ulrichsen, Partner, Berngaard advokatfirma

Arne Hassel, Seniorutvikler, Inrupt

Steinar Skagemo, forvaltningsinformatiker

Leo Sande Gasnier, Seniorrådgiver, Digitaliseringsdirektoratet

Wilfried Pimenta de Miranda, BD Director at IOTA Foundation; CEO at Alpha Venturi

Kjetil Smith, Sky og ID ekspert i Crayon

Roberth Strand, Skykonsulent og arkitekt i Crayon

Bjørn Helge Lervåg, Myld

Kjetil Hustveit, Bolder

Kjetil Kjernsmo, Ph.D - Se eget innspill som privat person


Noen av de signerende støttespillerene og bidragsyterene har levert seperate innspill og tanker som vi ønsker å fremheve. De finnes her

Om dette dokumentet

Først introduserer vi ideene og tankesettet bak Digital Identitet Norden, ved å fremheve ønskene til nettverket og potensielle samfunnsverdi


Deretter følger et sett korte oppsummeringer, sammen med anbefalinger til handlinger, fra følgende perspektiver, samt en kort konklusjon:


Lengre nede i dokumentet, er et appendiks med mer utfyllende informasjonen fra disse forskjellige perspektivene:

Introduksjon

Datadrevne virksomheter er de som ser størst vekst i dag. Og den som kontrollerer datastrømmen, kontrollerer også inntektene. De selskapene med størst markedsverdi, er de som hovedsakelig bearbeider personopplysninger (som Amazon, Facebook, Tencent og Alibaba).


Til tross for at disse selskapene står for en betydelig del av dataøkonomien, er de fleste ikke kjent for å ivareta personvern. Dagens situasjon skyldes til dels at digital identitet ikke er godt nok utviklet. Når våre personopplysninger er fritt vilt, kan hvem som helst skape økonomisk gevinst av dem.


Å adressere de iboende manglene i digital identitet mener vi er viktig for å:


Derfor er det viktig at vi begynner allerede i dag med å tilrettelegge for en åpen digital identitet, for å beskytte våre digitale rettigheter, men også for å bedre vilkårene for norsk digitalt næringsliv og innovasjon.

Hva menes med åpen digital identitet?

Alle har en identitet, men i dagens samfunn er det ingen som eier sin identitet. Du eier ikke din e-post, den kan trekkes tilbake av arbeidsgiver, Google osv. Du eier ikke ditt telefonnummer, det holdes og styres av din nåværende teleoperatør (og dette er også en kjent snarvei til identitetstyveri). Du eier ikke ditt personnummer, det ligger i databasen til staten. Dessverre er dette også nå spredd ut over alle vinder, fordi det må vi oppgi på alle tjenester for å skape en opphøyd tillit i den digital verden. 


At vi ikke eier vår egen digitale identitet, henger også tett sammen med at vi ikke har kontroll på våre data. Dette skyldes at det er opp til hver aktør å skape nye identitetsløsninger, skape nye datasiloer,  der de tar varierende hensyn til personvern.


Digital Identitet Norden (DIN, https://www.din.foundation/) ønsker at borgeren(vi) skal være i førersetet av sin digitale identitet. Vi skal kunne bringe vår egen identitet til bordet. Det er dette DIN kaller åpen digital identitet. Dette betyr ikke at vi skal ha full kontroll over alle opplysninger om oss (å kunne gå inn og slette skattedata er uaktuelt). Det betyr heller ikke at all data skal være sentralisert hos én aktør (staten skal fortsette å forvalte opplysningene den gjør, og ikke mer enn den trenger). 


Men det betyr at vi skal ha full oversikt over vår identitet, vår data og våre tjenester. Vi skal ha reell kontroll over de dataene vi har krav på å ha kontroll over. Vi skal kunne oppgi samtykker før data deles og hentes. Det er ikke uten grunn at kontroll over egen data er en sentral del av EUs datastrategi.

Hva ønsker DIN og støttespillerne?

Vi ønsker å legge til rette for at det kan bygges løsninger som lar individer få oversikt, slette og redigere personopplysninger de har fra forskjellige aktører, privat og offentlig. De skal kunne flytte data mellom aktører, dersom de har rett til det. Dette skal skje på en enkel og oversiktlig måte.  I en ideell verden så etterspørres kun den dataen som behøves for å utføre en tjeneste. Dette er en verden vi vil være med å skape.


Dette er i realiteten ikke mer enn det vi allerede har krav på gjennom personvernforordningen, men som i praksis ikke skjer i dag. Vi bygger også på innarbeidede ideer rundt “kun en gang prinsippet”   og “borger i sentrum” , som er gjennomgående i regjeringens digitale strategier.


Det er flere internasjonale aktører i dette gryende markedet, men færre i Norge enn andre land. Vi står ikke for én bestemt leverandør, eller løsning, eller standard. Men ingen aktører vil lykkes dersom myndigheter ikke involverer seg i å legge til rette for utvikling av løsninger, godkjenning av standarder og innovasjon på dette feltet. Det trengs også utvidede kontrollmekanismer på plass, og her har myndigheter en naturlig og nødvendig rolle.

Samfunnsverdi

Åpen digital identitet er ikke bare en rettighet som følger GDPR, det er også en driver for innovasjon i dataøkonomien. 


At det er store muligheter for verdiskaping rundt personopplysninger ser vi gjennom veksten av IoT, ‘wearables’, maskinlæring sentrert rundt personopplysninger, og den tiltagende behandlingen av personopplysninger generelt. “Alle” har en mobiltelefon som samler store mengder data. Denne deles med en hel del apper uten at vi har så mye kontroll over dette.


“Åpen data” er også en større innovasjonstrend, som man ser utenfor rene personopplysninger. Samtykkebasert lånesøknad er et veldig kjent eksempel. I prosjektet Nordic Smart Government, som har som visjon å gjøre hverdagen enklere for små og mellomstore bedrifter i Norden, har de sett på viktigheten av at bedriftene har kontroll over sine egne regnskapsdata, både for portabilitet (bytte av regnskapssytem) og interoperabilitet (knytte nye, innovative tjenester til sitt eksisterende regnskapssystem, for eksempel Aprila Bank). Mekanismene er like. Når aktører er i stand til å forsyne seg selv med data, innenfor en etablert ramme, oppstår flere nyvinninger og nettverkseffekter enn man kan planlegge for i et lukket system..


Nå nylig har vi sett hvordan PSD2, som bl.a. innfører dataportabilitet for visse typer bankdata, og åpner opp for at nye aktører kan være betalingsfullmektig, har medført mer innovasjon, flere aktører, og større nytte for forbrukeren. Dette drøftes lenger ned i appendiks. Denne typen utvikling skjer dog ikke uten betydelig involvering fra myndigheter og bransjen, for å enes om et rammeverk.


Problemet er ikke datadeling i seg selv. Datadeling er nødvendig for effektivisering og innovasjon i samfunnet, og i bunn og grunn for å tilby oss etterlengtede tjenester. Problemet er at den ikke har vært tuftet på personvernsprinsipper, og at vi i realiteten ikke har den kontrollen i dag som vi rettmessig har krav på.


Det finnes knapt noe land i verden hvor innbyggere er mer villig til å dele data for å få digitale tjenester enn Norge. Derfor må vi innse at datadeling av personopplysninger vil fortsette med eller uten personvern, og at vi bør legge til rette for at dette skjer på en trygg og brukervennlig måte som sikrer personvernet, gjennom tilrettelegging av åpen digital identitet. Dette er heller ingen fallitterklæring - dette er en realisering av våre rettigheter i personvernsforordning. 

Hvem får fordeler av åpen digital identitet?

Åpen digital identitet kan skape verdi for blant annet:

Sosioøkonomiske fordeler

Ser vi på de sosioøkonomiske fordelene litt nærmere, vil åpen digital identitet skape verdi på flere måter:



Det er mange sosioøkonomiske tall å feste seg til som kan vise til hvorfor åpen digital identitet er det som kan bidra en masse til datadreven økonomi og innovasjon.


I Norge er vi heldige med et godt grunnlag for en digital identitet som funker bra, nesten overalt. Men vi kan gjøre enda bedre. For eksempel i helsevesenet.


McKinsey & Company rapporteret at besparelser fra sømløs og sikker deling av medisinsk informasjon kan tilsvare 50% av et lands BNP. —McKinsey & Company


Sømløs og sikker deling av medisinsk informasjon mellom organisasjoner er en forutsetning for effektivitet i nye, tilkoblede helsevesen og kan tilby potensielle fordeler som overstiger 1% av BNP i USA - tilsvarer 205 milliarder dollar.


Det er opp til myndigheten å vurder og vi har kommet lengre eller kortere enn USA rundt håndtering av helsedata.


Alt dette kan oppnåes med en åpen digital identitetsmodell og at vi kan bringe vår egen identitet til bordet som betyr at vi setter brukeren i sentrum og førersetet.

Våre anbefalinger fra et teknologisk perspektiv


Som nevnt i introduksjonen, så finnes det ikke i dag en enhetlig identitet, eller identifikator, for deg som individ. Det er mange aktører som idag skaper en digital identitet for deg, og forvalter dine opplysninger, som ikke er åpent for gjenbruk.


Ingen av disse benytter seg av samme identifikator, ingen kan kryptografisk bevise og signere en brukers identifikator eller data. Når ingen snakker med samme identifikator, så er det vanskelig å knytte data tilbake til brukeren. Derfor er dagens eneste løsning å lage sentrale kilder for datasamling, som gjør at kontrollen på dataen som tilhører hver enkelt, forsvinner. En egen identifikator, og signert og verifisert data er steg én i teknologisk standardiseringen, og som allerede er opprettet. Denne og flere andre teknologiske standarder som er opprettet utdypes mer i appendiks B


Våre anbefalinger rundt juss og kontrollmekanismer


For å oppnå en personlig dataøkonomi rundt åpen digital identitet, er det behov for involvering fra myndighetene ved at man etablerer kontrollmekanismer for å regulere dataflyt i markedet. 


Noen av kontrollmekanismene som må utføres er:


Disse oppgavene må naturligvis ses i sammenheng med opprettelsen av regulatorisk sandkasse som styres av Datatilsynet, som står beskrevet i den nasjonale KI-strategien.


Dette er en krevende oppgave, som krever omfattende koordinering og dyp ekspertise på tvers av sektorer, for eksempel helse, energi, offentlig forvaltning, m.fl. Domenekunnskap innenfor for eksempel UX, etikk og brukeradferd er også nødvendig. Selv om ideen om åpen digital identitet er enkel å forstå; er det utførelsen som krever dybdekunnskap til å kunne adressere risikoene som er spesifikke til forskjellig type data og tjenester, og vanskelige spørsmål om dataeierskap.


Juridisk er det mer arbeid som gjenstår rundt begrepene behandlingsgrunnlag, samtykke og ansvar. Problemstillingene og et eksempel på dette er beskrevet nærmere i Appendiks C.


Konklusjon

Basert på alt sagt her, så må vi ta tak i dette arbeidet på et bredt nivå. Dersomet selskap om gangen prøver å forbedre dagens situasjon uten solid samarbeid og standariseringer, vil det ikke fungere. For at vi virkelig skal se data dreven økonomi og innovasjon sette fart må vi snu på flere stener enn bare de rett foran oss. 


  1. Vi må skape foraer sammen for hyppig og tematiske diskusjoner. Dette er et mål for DIN, og vi håper å ha med oss regjeringen her.
  2. Sette opp for jurdisk fleksibilitet gjennom sandkasseutvikling og andre muligheter.
  3. Involvering fra myndighetene ved at man etablerer standardiserte åpne kontrollmekanismer for å regulere dataflyt i markedet.
  4. Øke budsjettet for forskning og private og offentlige samarbeid, for å få disse foraene sammen, slik at det ikke bare drives av kommersialiseringsbehov, men også etiske drivere for å få på plass de riktige brikkene. 
  5. Ha god sparring og åpenhet rundt den digitale utvikling så det går i riktig rettning. 
  6. Involvering fra myndighetene for å få fram de vanskelige temaene som bare myndighetene går og tenker på.

Appendiks

A. Samfunnsverdi - kan dette beregnes?

Det er vanskelig å beregne verdien i åpen digital identitet, fordi det er forventet å ha så bred påvirkning på individer, virksomheter, og offentlig forvaltning. Likevel er det rimelig å forvente at effektiviseringen og ny verdiskapning som resulterer, vil være betydelige.


I 2012, estimerte Boston Consulting Group at, gitt dagens utvikling, ville verdien av åpen digital identitet i EU ligge på $1 billion (dvs. one trillion på engelsk) innen 2020, der ⅔ av verdien tilfalt individer, og ⅓ tilfalt virksomheter og offentlige myndigheter. Rapporten tok utgangspunkt i datidens situasjon, og gjeldende aktører som Facebook og Google.


Forskning fra Storbritannia i 2018 estimerer at datamobilitet av personopplysninger i Storbritannia kan utgjøre en økning i BNP på £27.8 milliard, ca. 1,4%, utelukkende på grunn av effektivitet og produktivitetsøkning. Den reelle verdiøkning på grunn av ny innovasjon, nye peer-to-peer markeder, og verdien til borgernes privatøkonomi, er vanskeligere å beregne, men vil komme i tillegg til dette. 


Det trengs mer arbeid for å beregne dette i en norsk kontekst, men internasjonale beregninger gir gode grunner å tro at det også i Norge er snakk om betydelige økonomiske verdier.

B. Teknologi og standarder

Denne biten er skrevet ut i sin helhet i dette hoveddokumentet, men under finner man et kort sammendrag som kan lede deg tilbake til hoveddokumentet.


For at dataøkonomi og innovasjon skal få ordentlig fart må det eksistere teknologiske grunnstener i samfunnet, som åpner opp for innovasjon og smidighet. Disse grunnstenene må komme på plass sammen med myndighetene og andre regulerende organer for at vi skal få det samfunnet demokratiet har lyst å leve i.


Dagens dataøkonomi og digitale identitets situasjon er ikke optimal. Vi gir mye uvillig data til de sentrale tredjepartene som håndterer den digitale identitet på våre vegne. Situasjonen kan fremkomme som fragmentert, lite fleksibel og det stilles krav om effektivisering på alle fronter som er med på å potensielt skape suboptimale løsninger for borgeren.


Vi må se nytt på dette bildet, det må nye teknologiske grunnstener og standarder inn på banen for å lage de nødvendige åpne lagene i vår teknologiske infrastruktur. Disse åpne lagene skal være fokusert på digital identitet, som innebærer all problematikk som dataøkonomi og innovasjon prøver å løse.


Vi er ikke alene om dette. Det finnes mange internasjonale aktører, ref. hoveddokumentet, som jobber på spreng på å få disse grunnstenene på plass globalt. Det er initiativer over hele globen som vil se dette komme på plass. Så Norge og Norden har mange støttehjul å jobbe med for å få dette til riktig.


I bunn og grunn, så har vi et arbeid som må på plass med Nordiske aktører for å få grunnstenene på plass i en Nordisk kontekst, som vil bidra stort til dataøkonomien og innovasjon!

C. Juridiske betraktninger

Behandlingsgrunnlag

Vi mener at regjeringen generelt bør se nærmere på om dagens regelverk setter begrensninger for adgangen til å bruke data til andre formål enn det første grunnlaget for innsamlingen. Dette gjelder både til bruk som individet selv samtykker til, og dermed oppfyller “kun en gang prinsippet”. Dette gjelder også bruk som ikke beror på samtykke, men benytter for eksempel anonymisert data til formål som innovasjon og næringsutvikling. 

Samtykke

Behandling av personopplysninger i offentlig sektor bygger i liten grad på samtykke fra innbyggerne. I all hovedsak vil innsamling og videre bruk av data som er nødvendig for å ivareta ulike myndighetsoppgaver være regulert i lov. Formålet med behandlingen er som regel angitt konkret og det er lite rom for annen bruk eller utlevering til andre formål.


Vi mener det er grunn til å se nærmere på i hvilken grad data som er i det offentliges besittelse skal kunne benyttes av andre aktører, dersom personen samtykker til det. Det å åpne for slik trygg sekundærbruk mener vi er sentralt for å kunne utnytte verdien av data, herunder tilrettelegge for innovasjon og næringsutvikling. Potensielle juridiske hindringer må identifiseres og diskuteres og slike spørsmål bør få fokus i den kommende stortingsmeldingen. 


Bruken av samtykke som behandlingsgrunnlag reiser en rekke problemstillinger som må utredes nærmere.  Vi forstår at samtykke i enkelte tilfeller vil kunne være et uegnet grunnlag for deling av data og særlig i situasjoner hvor det kan stilles spørsmål ved om innbygger er i stand til å gi et informert og frivillig samtykke. Likevel mener vi at det er bedre å identifisere og forby samtykkebasert datadeling basert på risikovurdering av konkrete typer dataoverføring, enn å være unødvendig restriktiv på når samtykke er egnet som et gyldig behandlingsgrunnlag. 


Dersom samtykke skal fungere som et behandlingsgrunnlag, må man finne nye og smidige måter for brukeren å benytte seg av det. Slik det er i dag, blir det for mange og for komplekse samtykker for individet å forholde seg til. “Kun en gang prinsippet” må benyttes i utstrakt grad, slik at unødvendig innhenting av samtykke minimeres. I stedet bør det være enkelt å gi brukeren oversikt over hvilke aktører har tilgang til deres data. 

Ansvar

Kjernen i personvernretten er at den enkelte skal ha kontroll over egne opplysninger, men det er ikke vanlig å snakke om eierskap til data. Personopplysninger kan i utgangspunktet samles inn og brukes av alle som et rettslig grunnlag for å gjøre dette. Dersom åpen digital identitet skal bli en realitet, bør man tydeliggjøre begreper som ‘eierskap’ og ‘ansvar’ knyttet til personopplysninger, enten det er snakk om data fra offentlig sektor eller data fra privat industri. 


Personvernregelverket forutsetter at all behandling av personopplysninger skal ha en behandlingsansvarlig. Når data deles mellom flere aktører, og det er flere behandlingsansvarlige, kan det bli krevende å identifisere hvem som er ansvarlig for hvilket formål.


Ansvarsbegrepet kompliseres ytterligere når man behandler data på vegne av andre mennesker. Er det innbygger selv eller den virksomheten som forvalter dataene på vegne av “eieren” som har ansvar dersom noe går galt. 


Å endre lover tar gjerne et par år, og digital omsetting er noe som ikke lar vente på seg. For å skape en sunn dataøkonomi, må slike problemstillinger utredes nærmere, men man må også tenke nytt rundt prosessen. 


Eksempel på disse problemstillingene i praksis

PSD2 og “Open Banking”

Innføringen av PSD2-direktivet i Norge er et godt eksempel på to ting: hvordan et direktiv som skulle sikre datarettigheter også har ført til mer innovasjon. Det viser også hvordan bredt samarbeid om normer er nødvendig for å realisere dette.


PSD2 etablerer bl.a. “Payment initiation service”, at enhver godkjent tredjepart kan initiere en betaling, og “access to account”-prinsippet, der banker forplikter seg til å dele kontoinformasjon med en tredjepart dersom brukeren ber om det. I praksis er dette retten til dataportabilitet, i en banksetting. Dette skjedde samtidig som “open banking”-trenden tok av for fullt, der banker oppretter åpne APIer og fungerer som ‘hubs’ for å integrere ulike finansielle tjenester fra forskjellige tjenesteleverandører, på tvers av bransjer. For eksempel, å kunne logge inn på banken, og både administrere mathandel så vel som forsikring.


Finans Norge organiserte sammen med bankene et sett med standarder, basert på standardene fra Berlin Group. Både før og etter PSD2, har fintech-markedet eksplodert i Europa og verden. Finanstilsynet godkjenner i dag hvilke tredjeparter kan få innsyn i kontoinformasjon. Etablerte standarder som gir fintechs tilgang til brukernes eksisterende bankinformasjon, med deres samtykke, er en viktig komponent av denne veksten.


Eksempelet viser hvordan et direktiv som i utgangspunktet skulle gavne brukeren, har medført stor innovasjon og verdiskapning.. Det viser også hvordan samarbeid, og etableringen av enhetlige standarder, er nødvendig for å få til dette.


GDPR’s “rett til dataportabilitet” var også forventet å ha en styrkende effekt på innovasjon, men når det ikke finnes standarder, eller forventninger til virksomheter om å dele informasjon på en enhetlig måte, så er det ikke rart at det ikke er oppstått innovasjon rundt dette ennå.


Det er ikke bare banksektoren som åpner opp. Et annet eksempel på krav til interoperabilitet finnes innen helsesektoren i USA. I desember 2016 ble “21st Century Cures Act” vedtatt, der det blant annet ble slått fast et forbud mot “information blocking”. Detaljeringen av innholdet i dette forbudet har pågått siden, og i mars i år kom den detaljerte reguleringen:


“The U.S. Department of Health and Human Services has finalized two long-awaited sets of rules that will govern how providers, payers and technology vendors must design their systems to give patients safe and secure access to their digital health data. [...]
"Patients should have control of their records, period," said HHS Secretary Alex M. Azar in a statement.” (vår utheving)


Dataøkonomien skjer ikke av seg selv, uten at myndigheter tar en koordinerende rolle. Likeledes, blir ikke retten til dataportabilitet fra GDPR en realitet uten at bransjen kan enes om normer, tenke nytt rundt digital identitetsinfrastruktur og ta i bruk nye viktige standarder for identitetshåndtering.

E. Kilder og ytterligere lesestoff