Personvern i offentlige anskaffelser – hva kreves av oppdragsgivere og leverandører for at Norge skal bli det mest digitaliserte landet innen 2030?

TOPICS::
Anbud365: Personvern i offentlige anskaffelser – hva kreves av oppdragsgivere og leverandører for at Norge skal bli det mest digitaliserte landet innen 2030?Ved å prioritere et godt og ivaretatt personvern, og utvikle teknologier og løsninger som oppfyller de krav som oppdragsgivere stiller, kan leverandørene styrke sin posisjon i konkurranser om offentlige kontrakter, konkluderer artikkelforfatterne, fra venstre: Sædal, Navestad og Lovén.

Innlegg av: Lennart Hovland 9. desember 2024

Skriv ut artikkelen

Av Wenche Sædal, partner, Eli Karine Navestad, advokat, og Nora Lovén, advokat – alle Thommessen

I arbeidet med å realisere ambisjonen om å bli verdens mest digitaliserte land innen 2030, står Norge overfor en betydelig utfordring: hvordan sikre et robust personvern i offentlige anskaffelser? Dette er aktuelt både i de klassiske IT-anskaffelsene, som nytt lønnssystem, nytt regnskapsprogram eller nytt pasientjournalsystem, men også i innovasjonsprosjekter som modellbygging for reisemønster i kollektivtrafikk, helsefaglige forskningsprosjekter, innføring av kunstig intelligens i statistikk og analysearbeid, og bygging av nye offentlige bygg med såkalt “smarthusteknologi”. Oppdragsgivere og leverandører må samarbeide for å utvikle og implementere personvernvennlige løsninger som ivaretar innbyggernes rettigheter.

I denne artikkelen utforsker vi kravene som stilles til begge parter, og hvordan en målrettet tilnærming til personvern kan bli en konkurransefordel i den digitale transformasjonen av offentlig sektor.

Overordnet om digitaliseringsstrategien og viktigheten av personvern

26. september 2024 publiserte Digitaliserings- og forvaltningsdepartementet den nasjonale digitaliseringsstrategien “Fremtidens digitale Norge”. Strategien setter retningen for det digitale Norge frem mot 2030, og har som mål at Norge skal bli verdens mest digitaliserte land innen 2030. For å oppnå dette vil regjeringen: 

  1. Forsterke styring og samordning av offentlig sektor
  2. Sørge for en sikker og fremtidsrettet digital infrastruktur
  3. Styrke sikkerheten, beredskapen og kriminalitetsbekjempelsen
  4. Sikre et godt og ivaretatt personvern for alle
  5. Sikre en fremtidsrettet digital kompetanse
  6. Utnytte mulighetene i kunstig intelligens, data og datadrevet innovasjon
  7. Fremme et omstillingsdyktig og innovativt næringsliv og sette fart på den grønne digitale omstillingen
  8. Bevare tilliten, styrke inkluderingen og sikre hensynet til barn og unge

Godt personvern (delmål iv) er en grunnleggende forutsetning for å lykkes med digitaliseringen. For at enkeltpersoner skal føle seg trygge nok til å benytte seg av digitale tjenester, er det avgjørende at personopplysninger håndteres på en ansvarlig og sikker måte.

Et solid personvern er ikke bare viktig for å beskytte individers rettigheter, men også for å forhindre en rekke uønskede konsekvenser som kan oppstå ved manglende personvern. Dette inkluderer risikoen for ID-tyveri og uautorisert spredning av privat informasjon. Godt personvern vil også redusere risikoen for at individer selvregulerer sin digitale atferd av frykt for overvåkning fra offentlige myndigheter og andre aktører, et fenomen kjent som “nedkjøling”. I tillegg kan fravær av tilstrekkelig personvern utnyttes til å manipulere enkeltindividers atferd, et fenomen omtalt som “dulting”, og bidra til dannelsen av ekkokamre der brukere kun eksponeres for informasjon som bekrefter deres eksisterende oppfatninger.

Hvordan kan det offentlige bidra til å sikre et godt og ivaretatt personvern for alle?

Den offentlige sektoren i Norge er en betydelig innkjøper av ulike digitale løsninger og håndterer store mengder personopplysninger om innbyggerne. Dette medfører et betydelig ansvar for å ivareta innbyggernes personvern. Det er derfor ikke overraskende at ett av tiltakene i digitaliseringsstrategien er at regjeringen fremover skal “stimulere til utvikling og bruk av personvernvennlig teknologi ved å kreve personvernvennlige løsninger i offentlige anskaffelser” (jf. digitaliseringsstrategien s. 49).

Hva som konkret ligger i dette, er ikke nærmere spesifisert i digitaliseringsstrategien. Etter vår vurdering innebærer dette at teknologien eller løsningen bør inneha flere viktige egenskaper som ivaretar personvernet, herunder:

  1. God informasjonssikkerhet
  2. God tilgangsstyring og logging
  3. Gode samtykkeløsninger
  4. Gode slettefunksjonaliteter, samt åpenhet og transparens om hvordan personopplysninger behandles

Kravet til god informasjonssikkerhet omfatter blant annet nødvendigheten av å sikre konfidensialitet, tilgjengelighet og integritet for all data. Dette vil typisk oppnås gjennom etablering av solide IT-sikkerhetsrutiner, inkludert backup-løsninger, cybersikkerhetstiltak som brannmurer og kryptering, samt prosedyrer for å tette sikkerhetshull og håndtere avvik. I tillegg er opplæring av ansatte normalt en essensiell komponent i informasjonssikkerheten, spesielt med hensyn til å forebygge trusler som phishing og annen svindel.

Tilgangsstyring er en annen viktig side av godt personvern, da det sikrer at ansatte kun har tilgang til de opplysningene som er nødvendige for å utføre sine arbeidsoppgaver. Dette bidrar til å minimere mengden data som er tilgjengelig for hver enkelt ansatt, samtidig som det legger til rette for effektiv utførelse av arbeidsoppgavene. Det er også avgjørende å ha gode loggrutiner, for å avdekke eventuell snoking eller annen misbruk av tilganger til data. Leverandører som utvikler IT-systemer for offentlig sektor, bør sørge for at slik funksjonalitet er en del av designet til IT-systemet.

Når løsningen som benyttes av det offentlige innebærer innhenting av samtykker, er det viktig å legge til rette for klare og tydelige samtykker som er enkle å forstå for brukerne og som oppfyller kravene i EUs personvernforordning (GDPR). Samtykkene skal blant annet etter loven være like enkle å trekke tilbake som de var å gi, og samtykkene bør enkelt kunne administreres av det offentlige. Dette innebærer at løsningen bør være designet slik at det er enkelt å filtrere ut brukere som for eksempel ikke har samtykket til å delta i en forskningsstudie fra et datasett. Systemet må videre inneha gode loggrutiner som dokumenterer når samtykker er gitt og eventuelt trukket tilbake.

GDPR stiller krav til at det bygges inn full personvernfunksjonalitet i designet av alle IT-systemer og teknologiske løsninger, såkalt “innebygget personvern”, jf. GDPR art. 25. Dette innebærer at det må etableres effektive mekanismer for sletting av data så snart det ikke lenger foreligger et gyldig formål for oppbevaringen. Det må også legges til rette for at de registrerte kan få innsyn i sine personopplysninger, samt at det må sikres nødvendig innsikt i hvilke data som behandles og til hvilke formål. Hvis en leverandør ikke kan gi et klart svar på hvilke personopplysninger som behandles i løsningen, vil den ikke oppfylle kravene til “personvernvennlighet”.

Hvordan sikre ivaretakelse av personvern i anbudskonkurranser

Personvernhensyn kan ivaretas på flere måter i offentlige konkurranser om innkjøp av systemer. Oppdragsgiver har et betydelig skjønn knyttet til hvordan personvernhensyn best kan ivaretas i den enkelte anskaffelsen, noe som gir rom for tilpasning av anskaffelsesdokumentene til anskaffelsens art og oppdragsgivers behov.

Oppdragsgiver kan for det første stille krav om at leverandøren har dokumentert erfaring med personvernvennlige løsninger for å kvalifisere seg til deltakelse i konkurransen. I henhold til anskaffelsesforskriften § 16-5, jf. § 16-1 (1), har oppdragsgiver rett til å stille krav til leverandørens tekniske og faglige kvalifikasjoner. For å dokumentere oppfyllelsen av disse kravene kan oppdragsgiver be om at leverandøren fremlegger en oversikt over de viktigste leveransene leverandøren har utført de siste tre årene. I tillegg kan oppdragsgiver be leverandøren redegjøre for hvilke tiltak som er iverksatt for å sikre ivaretakelse av personvern i leveransene, for eksempel ved å beskrive spesifikke teknologiske løsninger, prosedyrer for databehandling, og opplæring av ansatte i personvernprinsipper.

For det andre kan oppdragsgivere vektlegge hvordan leverandørens tilbudte løsning ivaretar og sikrer personvern i tilbudsevalueringen, dvs. som et tildelingskriterium. Ved valg av tilbud på grunnlag av det beste forhold mellom pris eller kostnad og kvalitet kan oppdragsgiver for eksempel vektlegge hvordan leverandørens tilbudte løsning ivaretar god informasjonssikkerhet, tilgangsstyring og logging. Oppdragsgiver kan videre vektlegge hvor gode samtykkeløsninger og slettefunksjoner det tilbudte systemet har, og herunder vurdere hvor enkelt det er for brukere av systemet å gi og trekke tilbake samtykker, samt hvor effektive mekanismene for datalagring og sletting er.

For det tredje kan oppdragsgivere stille krav til ivaretakelse og sikring av personvern i kontrakten og kravspesifikasjonen, for eksempel i form av minstekrav til informasjonssikkerhet, tilgangsstyring, samtykkeløsninger og slettefunksjoner. Ved å stille minstekrav sikrer oppdragsgiver at løsningen som et minimum innehar de etterspurte funksjonene. I enkelte tilfeller vil derfor minstekrav i større grad enn tildelingskriterium, være egnet til å sikre at oppdragsgivers behov ivaretas.  

Oppdragsgiver kan også velge å kombinere metodene nevnt ovenfor for å oppnå riktig personvernnivå i den aktuelle anskaffelsen, eksempelvis ved å benytte minstekrav og gi uttelling i tilbudsevalueringen for meroppfyllelse

God markedsdialog øker sannsynligheten for god behovsdekning

Oppdragsgiver er formodentlig nærmest til å vite hvordan eget behov bør dekkes i konkurransen. Den digitale teknologien utvikler seg imidlertid raskt, og det offentlige står overfor et press for stadig å tilpasse seg nye teknologiske løsninger, inkludert å ta i bruk kunstig intelligens for å effektivisere prosesser og redusere kostnader. Gjennom markedsdialog kan oppdragsgiver få verdifull informasjon om markedets modenhet, samt hvilke behov som kan dekkes nå og i fremtiden.

Basert på denne kunnskapen vil oppdragsgiver kunne stille mer egnede krav og kriterier i konkurransen, samt eventuelt vurdere om det bør igangsettes en prosess for å utvikle nye løsninger (“innovative anskaffelser”). Dette er aktuelt dersom det ikke finnes noen eksisterende løsninger i markedet som dekker oppdragsgivers behov på en tilfredsstillende måte. For å sikre seg mer fleksibilitet i anskaffelsesprosessen kan oppdragsgiver for eksempel gjennomføre anskaffelsen som en konkurransepreget dialog eller som en konkurranse om innovasjonspartnerskap, se anskaffelsesforskriften §§ 13-1 (2) og (3), jf. 23-7 og 23-8.

Personvern som konkurransefordel

Det er ikke bare oppdragsgivere som står overfor et press om stadig å tilpasse seg nye teknologiske løsninger. Det samme gjelder for leverandørmarkedet. I lys av den nye digitaliseringsstrategien vil det fremover være avgjørende at leverandørmarkedet har et økt fokus på personvern, slik at de kan tilby personvernvennlige løsninger til det offentlige og forbli konkurransedyktige i markedet. Ved å prioritere et godt og ivaretatt personvern, og utvikle teknologier og løsninger som oppfyller de krav som oppdragsgivere stiller, kan leverandørene styrke sin posisjon i konkurranser om offentlige kontrakter.

DEL TWEET PIN DEL

Relaterte innlegg

Bli den første til å kommentere på "Personvern i offentlige anskaffelser – hva kreves av oppdragsgivere og leverandører for at Norge skal bli det mest digitaliserte landet innen 2030?"

Legg inn kommentar

Epostadressen din vil ikke vises.


*


Dette nettstedet bruker Akismet for å redusere spam. Lær om hvordan dine kommentar-data prosesseres.