Personvern – konfidensialitet. Instrumentelt eller institusjonelt fokus?
Original version
Nyhus, O. (2014). Personvern – konfidensialitet. Instrumentelt eller institusjonelt fokus? Rena: Høgskolen i HedmarkAbstract
Mål. Denne oppgaven tar for seg personvern i offentlige organisasjoner. Søkelyset er rettet mot hvor godt eller dårlig personvernet er ivaretatt, og hva som er mulige forklaringer på det. Det er klarlagt at mange offentlige organisasjoner ikke er gode nok til å etablere et godt personvern. Det kommer til uttrykk ved at de ofte ikke har etablert de systempliktene som er fastsatt i personopplysningsloven med forskrift. Og om de har fått dette på plass, er det ikke uten videre gitt at det blir brukt, eller at denne dokumentasjonen gir et sant bilde av hva som faktisk blir gjort i organisasjonen.
Hvorfor er det slik? Forklaringen kan være at de nasjonale stryringssignalene er feil, og/eller at organisjonenes implementering av disse ikke fungerer.
I min studie er både perspektivet om ledelse og styring, og perspektivet institusjonell forståelse av organisasjonen, pekt på som forklaringer på manglende personvern.
Metode
Det er gjort undersøkelser både i Datatilsynets publikasjoner (f.eks. kommuneundesøkelsen (Datatilsynet, 2014)) og hos Riksrevisjonen (Riksrevisjonen, 2014) for å klarlegge dagens situasjon for personvernet i offentlige organisasjoner. Også andre referanser er konsultert for å få et bredere grunnlag for status.
Det er etter det gjort intervjuer både med Datatilsynet og med to store statlige organisasjoner. Opplysningene herfra er deretter drøftet opp mot målet for oppgaven. Det er også drøftet forholdsmessig mye teori fra litteraturen siden de empiriske undersøkelsene ga få relevante funn for mitt forskningsperspektiv.
Resultater
Diskusjonen rundt de sentrale styringssignalene viste at den retten hver enkelt har til personvern, er oversatt til en plikt for organisasjonene om å etablere informasjonssikkerhet. Målet er dermed formulert med feil subjekt i personopplysningsloven. Fokuset er flyttet fra en rett for individet til en plikt for organisasjonen.
Informasjonssikkerheten er beskrevet som et instrumentelt krav om å etablere et system med rutiner og prosedyrer, og disse skal dokumenteres. Empirien viser at dette ikke alltid fører til
85
et godt personvern. I beste fall reflekteres det over at brudd på plikten til hemmelighold kan utfordre omdømmet, og organisasjonen blir fokusert på å verne det gode omdømmet.
Det konkluderes med at både feil fokus i styringssignalene, og delvis ureflektert institusjonell forståelse er mulige forklaringer på manglende ivaretakelse av personvernet i offentlige organisasjoner. Engelsk: Goals
This paper discusses the right to privacy as implemented by public organizations. Attention is directed at how well or how poorly the right to privacy is being safeguarded, and what are the possible reasons. It appears that many public organizations fall short of establishing a good policy in this field. This can be seen in the fact that they frequently fail to implement the system obligations under the Personal Data Act and Regulations. Even where this is in place, it does not automatically follow that it is being used, or that this documentation gives a correct picture of the actual practice within the organization.
Why is this so? The explanation may be that the national tow ring signals are incorrect and/or that the organization’s attempts at implementing them do not work in practice. In my paper I examine leadership and management as well as the institutional understanding of the organization as possible explanations for the shortcomings referred to above.
Method
Surveys have been carried out both by the Norwegian Data Protection Authority (2014) and the Office of the Auditor General (2014) to clarify the current situation regarding the way in which the right to privacy is being implemented in practice by public organizations. Additional sources have been consulted in order to gain a more comprehensive basis for evaluating the current situation in this field. Subsequently, interviews have been conducted with the Data Protection Authority and two major government organizations. Information gleaned from these interviews has been used in my analysis. In addition I have consulted relevant literature extensively, as the empirical information produced by my research appeared to have limited bearing on my topic of study.
Findings
Debate focusing on the central control signals indicates that the individual’s right to privacy has been translated into an obligation for the organizations to provide information security. The right of the individual is no longer the main subject as laid down in the Personal Data Act. Instead, the focus has been transferred from the right of the individual to the organization and its obligation to provide information security.
Information security is being described as an institutional obligation to establish a system of practices and procedures, all of which has to be documented. However, my empirical data
87
appear to indicate that this does not always lead to good policy. A breach of the duty of confidentiality may be seen as damaging to the organization’s reputation, leading that organization to shifting its focus to protecting its reputation.
My findings appear to show that a wrong focus in the central control signals along with a partly unconsidered organizational understanding, may explain shortcomings in the protection of the right to privacy in public organizations.
Description
Dybdemaster. 45 poengs avhandling