Hvor mange tilsynsorganer trenger vi i Norge? Har de en fornuftig arbeidsdeling seg imellom, eller er det mangelfull koordinering og overlappende nedslagsfelt, og dermed unødige administrative byder for virksomhetene det drives tilsyn med? Som i først og fremst er private bedrifter og kommuner.
Spørsmålet blir jevnlig aktualisert når man finner nye områder det skal drives tilsyn med. I forrige uke i form av en ny rapport fra Direktoratet for forvaltning og økonomistyring (DFØ) som drøfter hvor ansvaret for tilsyn etter EUs forordning for kunstig intelligens skal plasseres i staten, og det drøftes fire ulike alternativer i rapporten. Spørsmålet i dette tilfellet er ikke om det være tilsyn, det er vi forplitktet til av EUs AI-act, men om det må etableres et nytt tilsyn, eller om vi kan bruke noe vi allerede har, som Datatilsynet, Digitaliseringdirektoratet eller Nasjonal kommunikasjonsmyndighet (Nkom).
For noen år siden var det en liknende runde om hvor ansvaret for tilsyn med universell utforming av publikumsrettede digitale tjenester skulle plasseres, som endte opp som et nytt UU-tilsyn inne i Digitaliseringsdirektoratet. Og da det for noen år siden var enighet om at noen burde føre tilyn med skolene og kommunene som eier dem, for å påse at de gjør jobben sin når det gjelder å reagere på mobbing, så ble ansvaret lagt til Utdanningsdirektoratets regionale ledd, som er Statsforvalterne.
Hvor mange tilsyn er det egentig i Norge? Den eneste Stortingsmeldingen jeg vet om som har drøftet hva som er en hensiktmessig tilsynsstruktur heter "Om statlige tilsyn" og kom i 2003, ble lagt fram av Arbeids- og administrasjonsminister Victor Norman. Den gikk igjennom prinsipper, avgrensninger, anvar og roller, og foreslo også flere organisatoriske endringer. Stortingsmeldingen åpner med å slå fast at det da var nær 40 statlige tilsynsorganer i Norge. Meldingen tok for seg hele listen av statlige tilsyn og statlige etater med tilsynsfunksjoner som en del oppgavene, på tvers av alle sektorer, og førte til noen sammenslåinger, endringer av mandater og, ikke minst, relokaliseringer. Noen forsvant inn i andre tilsyn på den tiden (f.eks Taubanetilsynet, Edemetallkontrollen og Park- og tivolitilsynet) og noen nye tilsyn kom til som et resultat av sammenslåinger (f. eks Direktoratet for samfunnsikkerhet og beredskap (DSB) og Nokut).
80 statlige etater med tilsynsoppgaver
I 2021 var jeg med på å lansere en felles datadelingsplattfrom, Tilda, for samordning og effektivisering av tilsyn. Da ble det slått fast at vi var kommet opp i 80 statlige etater som utfører tilsynsvirksomhet. Nå er det ikke sikkert at det innebærer en fordobling fra 2003, for noe av dette er nok avgrensede tilsynoppgaver innenfor en større etat, men det er ingen tvil om at det har vært en vekst både i antal organer og i volumet på tilsynsaktivieten. Bare for restaurantvirksomheter var det snakk om 16 ulike tilsynsorganer man må forholde seg til, i følge dette oppslaget i Finansavisen der Nikolai Astrup og Thorbjørn Røe Isaksen skrøt av hvordan datadeling i Tilda skal bidra til å effektivisere og forenkle kraftig for næringslivet.
Dessverre ble ikke Tilda den suksessen som ble forespeilet dengang. Statlige etater er gjerne positive til å bruke andres data når det kan efffektivisere egen virksomhet, men de er ikke like begeistret for å dele sine egne data med andre, og på den måten forenkle hverdagen for næringsliv og kommuner. Riksrevisjonen har beskrevet dette i en leseverdig rapport om deling av data i staten som kom i november 2023.
Dette er en god illustrasjon på samordnings- og effektiviseringsutfordringer i statlig tilsynsvirksomehet som ser ut til å vokse i omfang, men som ikke helt får til å hente ut gevinster fra samarbeid, samordning og datadeling. Jeg tror de færreste av oss vil fjerne statlige tilsyn helt. Vi skjønner at det må drives tilsyn med om biler og russebusser er sikre, legemidler er trygge, sykehjemmene drives forvarlig, byggeplasser er sikre, flyene er trygge å fly med, offentlige bygg er brannsikret eller skoler driver forsvarlig undervisning.
Selv de som roper opp om at det er for mye tilsyn kan plutselig finne ut at forbrukere må beskyttes enda bedre mot farlige produkter eller bakterier i næringsmiddelindustri eller på restaurantkjøkken. Desuten liker vi at de kriminelle i arbeidslivet blir tatt, slik at det lønner seg å være lovlydig og seriøs. Det vi ikke liker er at det er de lovlydige og seriøse som rammes av en strie strøm av kontroller og rapporteringskrav, som de kriminelle ikke bryr seg om.
Derfor er det behov for å utnytte digitaliserings muligheter til å ikke kontrollere og rapportere det samme flere ganger, koordinere kalendere, slik at man ikke får besøk av et nytt tilsyn hver dag med mange av de samme spørsmålene, og en prioritering av hva som er viktigst på tvers av sektorer og tilsynsorganer. Og vi må sørge for at det ikke blir opprettet et nytt tilsyn for hver nye utfordring som nye teknologier eller nye tjenester skaper, men prøve å plassere likeartede oppgaver sammen, slik stortingsmeldingen i 2003 la opp til.
Digitaliseringen gir nye tilsynsfloker
En del av utfordringene med tilsynsoverlapp skyldes at de fleste tilsynsorganer skal håndtere en sektorlovgivning, som handler om legemidler, matkvalitet, byggkvalitet, telekom, medier, luftfart eller finans, mens det samtidig er noen tilsynsorganer som håndterer mer tverrgående samfunnsverdier og regelverk, som personvern, likestilling og forbrukerbeskyttelse. Digitaliseringen kan i mange tilfeller virke forenklende, men bidrar også på sin måte til å øke utfordringen fordi de digitale systemene som brukes tar med seg sitt eget sett med utfordringer inn i dette, i form av blant annet sikkerhetsutfordringer, personvernutfordringer, markeds- og konkurransehensyn knyttet til plattformselskaper, og nå også hvordan kunstig intelligens skal kunne brukes på en sikker måte.
Hvor mange ulike tilsynsorganer skal for eksempel få slippe inn og sjekke at alt er i orden i et stort datasenter som håndterer sikkerhetskritiske og personsensitive data innenfor sikkerhets-, helse- og finanssektorene? Blir det sikrere jo flere tilsyn som kommer på besøk? Er svaret at man i stedet burde dele data og samordne bedre mellom de ulike tilsynsorganene? Eller burde man ta enda et skritt lenger og gjøre organisatorsiske endringer i tråd med at teknologi og tjenestemodeller er i endring?
Jeg tror ikke det finnes et fasitsvar på dette. Vi må helt sikkert basere oss på at hovedstrukturen vil være både horisontale hensyn, som sikkerhet og personvern, kombinert med en sektorinndeling av både lovverk og tilsynsroller som ivaretar det at behovene er ulike. Vi regulerer ikke helsedata på samme måte som vi regulerer en sosial medietjeneste. Men det er heller ikke nødvendigvis slik at alle nye behov som oppstår kan løses ved å putte oppgaver inn i eksisterende strukturer og etater.
Noen ganger må grensene mellom hva som hører hjemme i sektorene og hva som er tverrgående også utfordres. Er for eksempel Bank ID-tjenesten en del av finanssektoren, og bør reguleres som det, eller er det en tverrgående teknologi som brukes på tvers av veldig mange tjenestesektorer, og må betraktes som det? Ja, noen politikere har til og med foreslått et nytt lovkrav om å bruke Bank ID for å logge seg på sosiale medier for å bevise at man er gammel nok. Men hvordan lar et slikt krav seg kombinere med at det regulatorisk tilhører finanssektoren? Ganske dårlig, tror jeg. Og teknologiutviklingen gjør at det stadig vil kunne være slike migreringer der teknologier "bytter sektor".
En annen trend er at EU går for full fart i retning av av å utforme nye digitale lovverk som gjelder på tvers av sektorer, men som vil slå ned på ulike måte og medføre ulike krav til reguleringer og tilsyn i hver enkelt sektor. Det har EU naturligvis forstått at kan skape tilsynskaos, og stiller derfor krav om, at det må utpekes noen koordinerende tilsynsroller, nettopp slik DFØ nå har utredet for EUs KI-lovgivning, der de foreslår Nkom som koordinerende tilsyn i Norge.
Jeg har også inntrykk av at det i norske tilsynsorganer for tiden pågår både posisjonering og drøfting av hvor ansvaret for koordinering av tilsyn etter en hel rekke EU-direktiver og -forordninger skal plasseres, blant annet Digital Markets Act (DMA), Digital Sevices Act (DSA), Data Governance Act og Data Act. Hvem skal sitte i førersetet på disse områdene av de norske tilsynsorganene? Er regulering av digitale tjenester noe Medietilsynet skal koordinere? Eller Finanstilsynet eller Forbrukertilsynet skal koordinere? Og er det egentlig lurt å peke ut en sektormyndighet til en slik rolle, slik DFØ peker på Nkom når det gjelder kunstig intelligens? Har ikke Nkom bedre greie på bredbånd- og mobilkonkurranse, og frekvensforvaltning, enn på algoritmer?
En gjennomgang av roller og ansvar
En alternativ tilnærming til dette, i hvert fall på litt sikt, er netopp blitt foreslått av et utvalg som har levert en NOU om viderebruk av data, om implementering av ny EU-lovgivning om datadeling i norsk lovverk. Dette utvalget foreslår at vi i stedet for å putte nye oppgaver inn i gamle tilsyn, heller tar et skritt tilbake og går igjennom hele den digitale tilsynsstrukturen. Utvalget skriver at.
"Utvalget anbefaler at Digitaliserings- og forvaltningsdepartementet gjennomfører en mer helhetlig gjennomgang av den nasjonale tilsynsorganiseringen på det digitale området i lys av endrede og nye krav fra EU. Formålet med gjennomgangen bør være å vurdere alternative modeller for organisering, der ett av alternativene er etableringen av et nasjonalt tilsyn på det digitale området."
Arkivlovutvalget foreslo i "NOU 2019: 9 Fra kalveskinn til datasjø – Ny lov om samfunnsdokumentasjon og arkiver" å utrede et eget statlig organ til å føre tilsyn med offentleglova, forvaltningsloven og arkivloven, omtalt som Digitaliseringstilsynet. Begrunnelsen for deres forslag er at et Digitaliseringstilsyn kan gi et nødvendig forvaltningspolitisk, digitaliseringspolitisk og arkivpolitisk løft. Etter deres vurdering bør dokumentasjonsforvaltning og arkiver ses i sammenheng med pliktene etter offentleglova og forvaltningsloven og omvendt. Med unntak for de avgrensede klagerettene i forvaltningsloven og offentleglova og kontrollen som utføres av Stortingets organer Riksrevisjonen og Sivilombudsmannen, er det i dag ingen statlig kontroll med etterlevelsen av disse regelsettene, ifølge arkivlovutvalget. Utvalgets forslag til ny lov om datadeling bygger på de samme alminnelige forvaltningsrettslige prinsippene i offentleglova, forvaltningsloven og arkivloven, og må ses i sammenheng med disse lovene.
Det er litt å ta tak i, med andre ord, og sannsynligvis ikke tilstrekkelig å putte nye oppgaver inn der de passer minst dårlig.
Ingen kommentarer :
Legg inn en kommentar