Sammendrag
Digitaliseringsdirektoratet (Digdir) har valgt å gjennomføre en vurdering av personvernkonsekvenser (DPIA) i forbindelse med valget av en skytjenesteleverandør for drift av Altinn 3. Altinn er i en overgangsfase fra eksisterende løsning (Altinn II) til en ny versjon som utvikles og driftes i skyen, og er basert på åpen kildekode (Altinn 3).
I kapittel 1 skriver vi mer om Altinn og skyreisen vi har lagt ut på. Deretter gjør vi i kapittel 2 en systematisk beskrivelse av behandlingene av personopplysninger i Altinn, og hva som er formålet og behandlingsgrunnlaget for dette. Altinn opptrer stort sett i rollen som databehandler på vegne av de mange offentlige virksomhetene som benytter løsningen for utvikling og drift av sine digitale tjenester. Derfor er det også viktig å presisere at disse offentlige virksomhetene – som vi kaller tjenesteeiere i Altinn – må gjøre sine egne vurderinger for sine konkrete tjenester, i sin rolle som behandlingsansvarlig.
I kapittel 3 gjør vi rede for enkelte rettslige problemstillingene som i særlig grad gjør seg gjeldende for akkurat bruken av skytjenester. Vi gjør rede for at vi ikke legger opp til å overføre personopplysninger ut av Norge / EU / EØS og vi gjør rede for våre vurderinger om valg av databehandler.
Vi tar for oss de registrertes (brukernes) rettigheter og friheter i kapittel 4, og vurderer nødvendigheten og proporsjonaliteten av behandlingene som skjer i Altinn – sett opp imot risikoene, fordelene og effektene av digitalisering og bruk av skytjenester.
I kapittel 5 går vi nærmere inn på informasjonssikkerheten i Altinn, risikoer, og hva slags tiltak vi foretar oss i Altinn for å redusere risikoene. Det er også store fordeler for den registrertes personvern forbundet med bruk av skytjenester, deriblant at man etter vår vurdering vil få den beste beskyttelsen av informasjonssikkerheten mot store kjente trusselaktører.
Våre vurderinger fører oss frem til konklusjonen om at de valgene og tiltakene vi har gjennomført i Altinn, gjør at vi mener de registrerte totalt sett får det beste personvernet ved bruk av våre digitale tjenester, ved at vi benytter oss av en profesjonell, seriøs og internasjonal anerkjent skytjenesteleverandør som lever av å ha tillit i markedet. Og denne tilliten går også ut på at personvernet i Norge og Europa skal respekteres.
Digdir vil fortsette å gjøre løpende vurderinger av risiko, informasjonssikkerhet og personvernkonsekvenser for Altinn. Vi vil holde oss oppdaterte på trusselbildet og fremveksten av ny teknologi, og vil fortsette å jobbe for en ansvarlig og trygg digitalisering av Norge, i tråd med føringer fra Stortinget og Regjeringen.
Denne versjonen er oppdatert som følge av adekvansbeslutningen datert 10. juli 2023 som gjelder for overføring av personopplysninger mellom EU/EØS og USA. Det er også gjort enkelte redaksjonelle endringer.