I NAV gjøres det mye innsiktsarbeid av ulikt omfang. Uavhengig av størrelse og lengde på innsiktsarbeidet, er det en rekke etiske og juridiske rammeverk vi bør forholde oss til.
Avklar hensikten og målet med innsiktsarbeidet
Når vi skal starte et nytt innsiktsarbeid er det viktig å avklare hensikten og målet med arbeidet som skal gjøres: hva ønsker vi å forstå og hva kan vi gjøre med kunnskapen for å forbedre tjenesten, produktet eller løsningen.
En definisjon av hensikten med innsiktsarbeidet kan for eksempel være at vi ønsker å forstå hvordan innbyggere bruker en digital løsning, eller forstå hvordan innbyggere opplever prosessen med å registrere seg som arbeidssøkere.
Om vi jobber i et team som driver med kontinuerlig utvikling kan det tenkes at målet er klart: vi skal forbedre denne spesifikke digitale løsningen.
En beskrivelse av hensikten og målet med innsiktsarbeidet er også viktig for å sikre at vi ikke skal samle inn mer personopplysninger enn vi trenger for å realisere målet med innsiktsarbeidet. Dette handler om formålsbegrensing: Det skal være et klart angitt formål for den behandlingen vi gjør av personopplysninger, og de skal kun bli brukt til de formålene som de blir innhentet for. Dette skal dokumenteres i den grunnleggende personvernavklaring (GPA) som omtales nærmere nedenfor.
Tips
Gjør avklaringer på hva vi ønsker å oppnå med innsiktsarbeidet
Tenk gjennom hvilken informasjon vi har behov for i innsiktsarbeidet
Husk å dokumentere formålet i GPA
Tenk gjennom innsiktsetiske problemstillinger
Når vi gjør innsiktsarbeid i NAV har vi som regel med personer å gjøre. For å være best mulig forberedt på situasjoner som kan oppstå er det viktig å tenke gjennom ulike etiske problemstillinger. Dette er spesielt viktig når deltakerne i innsiktsarbeidet er særlig sårbare eller i en sårbar livssituasjon.
Er det sannsynlig at et tema kan være vanskelig å snakke om: for eksempel økonomi eller omsorgsoppgaver? Kan det tenkes at brukertesten fører til at deltakeren får en følelse av at de ikke klarer oppgavene vi gir dem? Eller kan det tenkes at vi får deltakerne til å tenke på ubehagelige opplevelser og slik påfører dem en form for psykisk belastning?
Når vi utformer og stiller spørsmål er det viktig å formulere disse på en slik måte at deltakerne ikke må utlevere mer informasjon enn de trenger for å nå målet med innsiktsarbeidet.
Når vi brukertester en løsning, produkt, tekst eller tjeneste kan det være fint å minne de som deltar på at det er løsningen som skal testes og ikke de selv. Hvis vi ser at belastningen ved å delta blir for stor, kan det være riktig å avslutte intervjuet eller brukertesten.
Refleksjonsspørsmål
Dere står fritt til å velge hvilke metoder dere vil bruke i innsiktsarbeidet. Hvilke etiske konsekvenser ser dere i valget mellom ulike metoder?
Oppdragsgiveren/teamet har gitt uttrykk for hvilke forventinger til resultat dere kommer til å finne gjennom innsiktsarbeidet. Hvordan forholder du deg til dette?
En av samarbeidspartnerne ønsker tilgang til rådata underveis i innsiktsarbeidet. Hvilke etiske problemstillinger kan dette medføre?
Brukertesten eller intervjuet du gjennomfører viser seg å være belastende for deltakeren, og deltakeren begynner å gråte. Hva gjør du?
Planlegg datahåndteringen
Måten vi behandler og håndterer data på er viktig fra både et etisk og et juridisk perspektiv. Det følger av personvernforordningen/GDPR at enkeltpersoner har rett til å bestemme hvordan personopplysningene deres håndteres. Dette omfatter alt fra innsamling til lagring, hvem som har tilgang, sletting med mer.
For å etterleve dette har NAV et skjema for grunnleggende personvernavklaringer (GPA). GPA-skjemaet skal gjøre oss i stand til å avklare grunnleggende aspekter tilknyttet personvern. Ved å fylle ut dette sørger vi også for å dokumentere de vurderingene vi gjør. Her finner du retningslinjer og mal for GPA-skjema (kun for NAV-ansatte).
I NAV har vi utarbeidet en datahåndteringsplan som hjelper oss å håndtere dataene vi samler inn på en god måte. Beskrivelser om hvem som skal ha tilgang til rådataene vi samler inn, som transkripsjoner og opptak, skal inkluderes i informasjonsskriv og samtykkeskjemaer vi sender ut til personer som skal delta.
En datahåndteringsplan skal inneholde følgende:
Hvem er ansvarlig for dataene?
Hvordan skal vi lagre og sikre dataene?
Hvem skal ha tilgang til dataene og på hvilke tidspunkt skal de ha tilgang?
Skal dataene pseudonymiseres eller anonymiseres?
Når skal dataene slettes.
GPA og datahåndteringsplanen er noe overlappende. For å unngå å fylle ut det samme begge steder, kan du henvise til det du har fylt ut i datahåndteringsplanen i GPA.
Hvem skal være med i innsiktsarbeidet?
Når vi gjør innsiktsarbeid må vi ta stilling til hvem som skal være med og hvem som skal ha tilgang til rådata fra brukerinnsikten: hvilke kollegaer skal ha tilgang til hva på ulike tidspunkt? Rådata forstås her som transkripsjoner, opptak og lignende data før de er pseudonymisert eller anonymisert. Slike data kan ofte inneholde persondata ettersom disse ikke enda er «silet» vekk.
En tommelfingerregel vil være å stille spørsmål ved hvem som har behov for å ta del i innsiktsarbeidet i ulike faser, og hvilke fordeler eller ulemper involvering av ulike personer vil ha på arbeidet som skal gjøres. Vær bevisst på at deltakere som sitter tett på problemstillingen, kan farge dataene dere samler inn eller måten dere analyserer den på.
Sørg for at de som er med på innsiktsarbeidet eller har tilgang til rådata ikke håndterer eller vil komme til å håndtere informasjon om de samme brukerne i en saksbehandlingsrelasjon.
Anonymisering, pseudonymisering eller ingen av delene?
For å presentere data fra undersøkelsene vi gjør samtidig som vi ivaretar personvernet og integriteten til de som har deltatt må vi skape et skille mellom informasjonen vi har samlet inn (data) og personene som har vært med i innsiktsarbeidet. Denne prosessen heter avidentifisering, og innebærer at vi har samlet inn personidentifiserende opplysninger i utgangspunktet. Dette kan være ting som:
Navn, alder, kjønn, bosted, arbeidsplass/-stilling og lignende
E-post- og bostedsadresse
Sensitive personopplysninger, herunder etnisk opprinnelse, politisk oppfatning og opplysninger om religion.
Når vi skal sette i gang med et innsiktsarbeid må vi ta stilling til om vi ønsker å fjerne koblingen mellom dataene vi samler inn og personene vi snakker med helt (anonymisering), delvis (pseudonymisering) eller beholde koblingen (direkte identifisering). Dette må avklares og stå tydelig når vi henter inn samtykket. Vi må da også ta stilling til hvorfor det er nødvendig å opprettholde koblingen mellom personen og informasjonen de gir oss. Du kan lese mer om ulike former for anonymisering hos Datatilsynet.
Anonymisering er en form for beskyttelse av en persons identitet der forbindelsen mellom den faktiske personen og informasjonen de har gitt blir brutt. Dette er ofte gunstig ettersom:
Personvernlovgivningen gjelder ikke for anonyme data. Data er anonyme hvis det ikke lenger er mulig, med de hjelpemidlene som med rimelighet kan tenkes å ha blitt brukt, å identifisere enkeltpersoner i datasettet.3
God anonymisering handler om å gjøre avidentifiseringen irreversibel: altså skal det ikke være mulig å koble informasjonen vi har lagret tilbake til en konkret person uten førstehåndskunnskap om undersøkelsene som er gjort.
Pseudonymisering er en form for beskyttelse av en persons identitet der vi skjuler identiteten i rapporterog formidling, men beholder en koblingsnøkkel som kan fortelle innsiktsarbeiderne og andre involverte hvem personen faktisk er. En koblingsnøkkel kan være lagret i et regneark med begrenset tilgang der det står et pseudonym («Bukken») i en celle, og det virkelige navnet (Peer Gynt) i en annen. Om vi har behov for å ta kontakt med personene vi snakker med i etterkant av vår opprinnelige kommunikasjon er pseudonymisering et nyttig verktøy.
Samtidig, og i henhold til GDPR, kan hensyn over tid tilsi at vi bør anonymisere personene når behovet for fremtidig kommunikasjon eller lignende hensyn opphører. Dette kan gjøres ved å for eksempel slette koblingsnøkkelen og rådataene.
Pseudonymiserte data er underlagt personvernlovgivningen.
Direkte identifisering innebærer at vi ikke anonymiserer eller pseudonymiserer personene som deltar. Når vi gjør innsiktsarbeid kan direkte identifisering være nyttig om vi snakker med personer som har en helt tydelig rolle (som direktør på et nivå i NAV) eller om vi henviser direkte til en person med ekspertkompetanse. Direkte identifisering kan også være forsvarlig dersom vi gjør et innsiktsarbeid som kun skal deles med et begrenset antall mennesker med behov for å følge opp informasjonen som kommer frem.
Direkte identifisering i datamateriale og formidling er ikke anbefalt når vi gjør innsiktsarbeid i NAV.
Refleksjonsspørsmål
Dere har snakket med Jon Eilivsøn Maar fra Fyksin om hans erfaringer med dagpenger. Hva gjør dere for å sikre Jons integritet og personvern i analysearbeidet og formidlingen?
Dere har snakket med en person som er ekspert på et område, og som snakker i kraft av sin stilling. Kan dere identifisere denne personen med navn?
Dere har planlagt et innsiktsarbeid der dere skal gjøre oppfølgningsintervjuer med deltakerne etter seks måneder. Hvordan sikrer dere personvernet til de som deltar?