6. Oppsummering og konklusjon
Digdir har foretatt en gjennomgang av rettssituasjonen og gjort vurderinger av de mulige personvernkonsekvensene ved bruk av en skytjenesteleverandør for drift av Altinn.
Digdir opererer stort sett i rollen som databehandler i Altinn. Tjenesteeierne som deltar i Altinn-samarbeidet er hver for seg behandlingsansvarlige for sine tjenester. Disse må derfor gjøre sine egne vurderinger for sine konkrete tjenester i Altinn.
Digdir er imidlertid også behandlingsansvarlig for personopplysninger som behandles i fellesfunksjonalitet i Altinn, og vi har redegjort for risikoer og tiltak knyttet til behandlingen av disse – så vel som behandlingene vi foretar for tjenesteeierne i rollen som databehandler.
Vi har vurdert etterretningsrisikoen og leverandørens standardvilkår. Vi har sett på sannsynlighet og konsekvens for brudd på informasjonssikkerheten som ville medført personvernkonsekvenser. I tillegg har vi vurdert de registrertes rettigheter og friheter. Spesielt opp imot den Europeiske Menneskerettighetskonvensjonen.
Valget om å benytte en skytjenesteleverandør har noen særegne risikoer for informasjonssikkerheten og personvernet, men vi har vurdert det slik at risikobildet ikke endres i forhold til Altinn II som driftes og forvaltes «on-prem». Det er også mange fordeler med å benytte en skytjenesteleverandør.
Med hensyn til risikoene har vi redegjort kort for noen utvalgte risikoreduserende tiltak. Det er imidlertid viktig å se risikoene ved bruk av en skydriftsleverandør opp imot risikoene som oppstår dersom man velger andre, og kanskje mer lokale driftsleverandører, til drift av Altinn. Aktører som Nasjonal sikkerhetsmyndighet, Politiets sikkerhetstjeneste, Etterretningstjenesten og flere til, publiserer årlig sine trusselvurderinger. Der vises det i stor grad til trusselaktører med nasjonal støtte fra noen identifiserte land. Digdir sin vurdering er at informasjonssikkerheten og personvernet til befolkningen etter en helhetsvurdering er bedre ivaretatt hos en valgt kontraktspart og internasjonal skydriftsleverandør med tilhørighet til en nær alliert – enn alternativene som foreløpig finnes på det europeiske og norske markedet.
Digdir vil fortsette å gjøre løpende vurderinger av risiko, informasjonssikkerhet og personvernkonsekvenser for Altinn. Vi vil holde oss oppdaterte på trusselbildet og fremveksten av ny teknologi. Og vil fortsette å jobbe for en ansvarlig og trygg digitalisering av Norge, i tråd med føringer fra Stortinget og Regjeringen.