Sikkerhetssituasjonen for Norge har endret seg raskt i en retning der trusler er vanskeligere å oppdage og forstå. Har beslutningstagere og ledere i forvaltningen tatt innover seg hva det betyr for utøvelsen av offentlige oppdrag på vegne av innbyggerne? Forstår man de komplekse verdikjedene som følger av offentlig-privat samarbeid og globalisering, og de sårbarhetene som oppstår i gråsoner mellom fragmentert ansvar, oppgaver og myndighet?

Alfa S. Winge
Alfa S. Winge (Foto: Bergen kommune)

Samtidig som Bergen Engines-saken ble diskutert i Stortinget, varslet Datatilsynet «gebyr på fem millioner kroner til det norske bompengeselskapet Ferde for blant annet å ha ulovlig overført personopplysninger om norske bilister til Kina» fra 2017 til 2019. Ferde-saken illustrerer gråsoner mellom ulike mål og forståelse av forskjellige lover.

Slike gråsoner kan utgjøre sårbarheter som kan utnyttes til spionasje eller andre formål.

Hvem vurderer om det er i orden å gi kinesiske – eller andre utenlandske – aktører anledning til å samle data for bompengepasseringer over flere år og bruke disse i analyser? Kombinert med andre søk på nettet kan man skaffe seg oversikt over enkeltpersoner og deres profesjonelle og sosiale nettverk.

Kinesiske selskap er ikke underlagt norsk lovverk om å ta hensyn til personvern. Eksporten av bompengedata kan ha gitt anledning til å identifisere trafikk til og fra militære baser og kritisk infrastruktur for å kartlegge både biler og personer i bilene, samt identifisere mønstre i trafikkbevegelser.

Er dette akseptabelt for skjermingsverdig personell?

En forvaltningsrevisjon ble gjennomført etter at Ferde-saken ble kjent. Rapporten beskriver omfanget av bildeeksporten til Kina som lav og avgrenset, men slår samtidig fast at ingen av bompengeselskapene vurderte risiko knyttet til eksport av personopplysninger (DPIA). Statens vegvesen oppga at «det er usikkert om det er nødvendig».

Vegvesenet forvalter kritisk infrastruktur og er underlagt sikkerhetsloven. Hvordan vurderer de ulike hensyn opp mot hverandre?

Kan Forsvaret kjenne seg trygg på at sikkerheten rundt skjermingsverdig personell er ivaretatt når Statens vegvesen ikke ser det som nødvendig med risikovurdering av eksport av personsensitive data knyttet til trafikkbevegelser til land Norge ikke har sikkerhetspolitisk samarbeid med?

Den risikovurderingen som skal gjøres etter EUs personvernforordning (GDPR), bør omtale endringer i trusselbildet, men det er helt opp til den som gjør analysen å vurdere innhold og konklusjoner. Ambisjonsnivået for analysene vil være knyttet til målene for egen virksomhet – som regel økonomiske mål, og det er ingen kontroll eller godkjennelse av analysene.

Ferde skrev sine analyser lenge etter at avtale om eksport av data var inngått.

… praksisen pågår fremdeles, og det synes som om operatørene i Kina har hatt tilgang til alle data gjennom Ferdes interne system

Ferde er eid av fylkeskommunene Vestland, Rogaland og Agder. Dataene de behandler og eksporterer er knyttet til et offentlig oppdrag – å kreve inn bompenger for å finansiere bygging og drift av norske veier og kollektivtilbud.

Omfanget av bilder som er eksportert til Kina, er langt større enn det Datatilsynet har vurdert i saken mot Ferde. Det er fem selskap som behandler bompengepasseringer i Norge, og flere benytter manuell bildekontroll med arbeidskraft utenfor Europa.

Et annet problem er at praksisen pågår fremdeles, og det synes som om operatørene i Kina har hatt tilgang til alle data gjennom Ferdes interne system.

Saken illustrerer hvordan forvaltningsmessige blindsoner kan gjøre det vanskelig å forstå trusler og ansvar på tvers av sektorer og ulike juridiske rammeverk. Ferde vurderte bunnlinjen. Datatilsynet vurderer kun personvernhensyn – ikke nasjonal sikkerhet. Statens vegvesen kunne vurdert saken opp mot nasjonale sikkerhetshensyn, men gjorde det ikke.

Det er med andre ord mulig, gjennom private selskap, å eksportere offentlige norske, personsensitive data til land Norge ikke har sikkerhetspolitisk samarbeid med. Ferde-saken illustrerer hvordan manglende forståelse av trusler og sårbarheter i forvaltningen skaper blindsoner som kan utnyttes av trusselaktører.(Vilkår)Copyright Dagens Næringsliv AS og/eller våre leverandører. Vi vil gjerne at du deler våre saker ved bruk av lenke, som leder direkte til våre sider. Kopiering eller annen form for bruk av hele eller deler av innholdet, kan kun skje etter skriftlig tillatelse eller som tillatt ved lov. For ytterligere vilkår se her.