Referat fra møte i Rådet 4. desember 2024 (2024/5)

Sted: Møtet ble avholdt på Teams
Møtetid: Onsadg 4. desember 2024 kl. 9–14

I referatet:
Til stede
Saker
Rådets behandling

Til stede:

Fra rådet:

Birger Vikøren
Grete Brochmann
Wenche Dramstad
Jørgen Elmeskov
Oddrun Samdal
Helge Veum
Astrid Undheim

Fra administrasjonen:

Geir Axelsen, administrerende direktør
Bjørnar Gundersen, administrasjonsdirektør
Hege Turnes, kommunikasjonsdirektør
Richard Ragnarsøn, internasjonalt sekretariat
Marit Hoel (sekretariatet, referent)
Åsne Vigran (sekretariatet)

Øvrige deltakere:

Ann-Kristin Brændvang, Guri Kvesetberget, Rune Gløersen, Thorleiv Valen og Christian Thindberg (sak 2024/5/2)
Morten Skoglund, Karianne Thun og Christian Thindberg (sak 2024/5/3)
Camilla Rake (sak 2024/5/4)
Christian Thindberg (sak 2024/5/9)

Saker

Til vurdering

2024/5/1 Godkjenning av innkalling og saksliste
2024/5/2 Deling av data – status og planer framover
2024/5/3 Informasjonssikkerhet og personvern
2024/5/4 Langtidsplan for SSB – 2025–2027
2024/5/5 Foreløpig tildelingsbrev for SSB
2024/5/6 Hovedinstruks for SSB
2024/5/7 Retningslinjer for forsknings- og analysevirksomheten i SSB
2024/5/8 Instruks for Rådet for SSB

Til orientering

2024/5/9 Status for omlegging til Dapla
2024/5/10 Årshjul 2025

Nytt siden sist – Orientering fra administrerende direktør:

Budsjett og satsingsforslag
Vurdering av organiseringen av Utvalget for offisiell statistikk

Eventuelt

Møte med de ansattes representanter
Rådets egentid – ble utsatt til møtet i januar 2025

Rådets behandling

Rådets leder ønsket velkommen til møtet.

Sak 2024/4/1 Godkjennelse av innkalling

Dokument:

Sak2024_3_1 Innkalling_møte i Rådet_20240513

Det var ingen merknader til utsendt innkalling med saksliste. Sakslista ble godkjent.

Saker til vurdering:

Sak 2024/5/2 Deling av data – status og planer framover

Dokument:

Sak2024_5_2 Notat_Deling av data
Sak2024_5_2 Vedlegg 1_Effektiv og sikker deling av data fra SSB
Sak2024_5_2 Vedlegg 2_Likebehandling av søknade
Sak2024_5_2 Vedlegg 3_ Retningslinjer for interne forskeres tilgang til data

Ann-Kristin Brændvang fra avdeling for person- og sosialstatistikk orienterte om arbeidet med å utvikle tjenestene for deling av data de siste årene. Det omhandler både videreutvikling av microdata.no, tiltak for å effektivisere den tradisjonelle delingstjenesten og bruk av sikre analyserom. Alle data som blir klargjort av SSB krypteres, og de kan hentes med pålogging til SSBs filsluse. SSB har en avtale med Tjenester for sensitive data (TSD) som brukes på UiO og av mange nasjonale forskningsinstitusjoner. Gjennom TSD får brukere data fra SSB plassert rett i deres eget sikre analyserom. SSB stiller krav til behandlingsansvarlig i vedtaket om tilgang til data. SSB sanksjonerer brudd på vilkårene når de avdekkes. Det ble pekt på noen utfordringer når data gjøres tilgjengelig for analyse. SSB orienterte om utviklingsbehovene og planlagte tiltak som vil bidra til at tilgang til data kan skje raskere, billigere og sikrere enn i dag. SSB er opptatt av å redusere risikoen for at data kommer på avveie så mye som mulig.

Microdata.no er en tjeneste i vekst, også etter at brukerbetaling ble innført. SSB har et bredt samarbeid med FHI for å få data fra flere helseregistre inn i microdata.no og gjøre søknadsprosessen raskere ved å koble microdata.no til søknadsskjema. Om lag 50 prosent av leveransene fra SSB er til søkere som både ber om helseopplysninger fra Helsedataservice (HDS) og mikrodata fra SSB. FHI planlegger ikke å bygge egne analyserom, men har et utviklingsprosjekt med de sikre analyserommene ved UiO, UiB og NTNU (NORTRE) om konkretisering av krav til sikre behandlingsmiljøer, og om utvikling av løsninger som ivaretar disse kravene i NORTRE analyserommene. Prosjektet skal også utforme et opplegg for selvdeklarering av interne behandlingsmiljøer i andre virksomheter som mottar data. SSB prioriterer et forpliktende samarbeid med helsesektoren, spesielt FHI, om videreutvikling og bruk av analyserom og krav til andre behandlingsmiljøer.

Administrerende direktør ba om rådets vurdering av planene og tiltakene for bedre tjenester for deling av SSBs data. SSB spurte spesielt om planene, blant annet samarbeidet med helsesektoren, i tilstrekkelig grad ivaretar hensynene til informasjonssikkerhet.

Rådet hadde følgende synspunkter:

SSB bør gjøre en strategisk vurdering av datadelingstjenestene og angi i hvilken retning man vil utvikle tjenestene.
Samarbeidet med FHI om blant annet sikre analyserom virker fornuftig.
Den største risikoen ved den tradisjonelle delingstjenesten er at data ligger ute hos brukerne. Det er bra at SSB vil stille strengere krav til behandlingen av data lokalt, men det er vanskelig å kontrollere at vilkårene blir overholdt. Selv om det formelle ansvaret ligger hos behandlingsansvarlig i forskningsinstitusjonen, kan SSB likevel bli holdt ansvarlig i offentligheten hvis noe går galt. Det kan skade SSBs tillit i samfunnet.
SSB bør avvikle utlevering av data med kryptering og erstatte det med bruk av sikre analyserom som ivaretar sikkerheten i tilstrekkelig grad. SSB bør gjøre kost-nyttevurderinger og velge mellom aktuelle eksterne og interne løsninger basert på en prioritering av de viktigste sikkerhetsaspektene for SSB.
Rådet etterspurte en vurdering av hvilke typer datasett som har hvilken type risiko, med tanke på eventuell differensiering av krav til behandling. Vilkår for og kontroller av forskernes bruk av data må løftes opp på institusjonsnivå. SSB kan for eksempel stille krav om en sikkerhetsfunksjon i institusjonen og uavhengige kontrollmekanismer.
Rådet støttet videreutviklingen av microdata.no.

SSB trakk fram at det har en kostnad og medfører et utvidet ansvar hvis SSB skal etablere et eget sikkert analyserom. Kost-nytte ved en slik løsning må vurderes opp mot samarbeid med andre sikre analyserom som er etablert. SSB sa at det er viktig å samarbeide med andre for å løse utfordringene, blant annet med tanke på den raske teknologiske utviklingen. Samarbeid med helsesektoren om løsninger for deling og kobling av data er et prioritert område framover.

Microdata.no gir merverdi gjennom umiddelbar tilgang til data for en bredere brukergruppe. Løsningen har stort potensial for videreutvikling og vil kunne gi større nytte for forskere etter hvert. Microdata.no oppfyller FAIR-prinsippene for forskningsdata og kravene til sikre analysemiljø i den foreslåtte nye datadelingsloven (jf. NOU 2024: 14). Lovforslaget er på høring. SSB er foreslått som kompetent organ for viderebruk av beskyttede data.

Oppsummering: Rådet etterlyste en tydelig strategi for delingstjenestene i et lengre tidsperspektiv. Det ble anbefalt at SSB gjør kost-nyttevurderinger og velger løsninger for bruk av sikre analyserom basert på en prioritering av de viktigste sikkerhetsaspektene for SSB. Rådet la vekt på at vilkår for og kontroller av forskernes bruk av data må løftes opp på institusjonsnivå. Rådet ønsket å følge opp denne saken framover.

Sak 2024/5/3 Informasjonssikkerhet og personvern

Dokument:

Sak2024_5_3 Notat_Informasjonssikkerhet og personvern
Sak2024_5_3 Vedlegg_Ledelsens gjennomgang

Bjørnar Gundersen fra administrasjonsavdelingen orienterte om resultatene i halvårsrapporten fra sikkerhetsansvarlig og personvernombudet som ble behandlet i direktørmøtet i september 2024. Rapporten viser at SSB har mange tekniske sikringstiltak på plass, men at det er forbedringsmuligheter innenfor systematisk oppfølging og etterlevelse av rutiner og tiltak. Anbefalingen i rapporten er å styrke arbeidet med etterlevelse innen informasjonssikkerhet og personvern. Finansdepartementet har i tildelingsbrevet for 2024 bedt SSB vurdere i hvilken grad virksomheten oppfyller tiltakene beskrevet i NSMs grunnprinsipper for IKT-sikkerhet. Noen tiltak er skilt ut som de viktigste å iverksette. Gjennom høsten 2024 har en tverrfaglig arbeidsgruppe ledet av sikkerhetsansvarlig jobbet systematisk gjennom alle 118 tiltakene. Gruppen har identifisert god dekning av NSMs prioritet-1 tiltak og på tiltak knyttet til grunnleggende beskyttelse av SSBs systemer. Det skal utarbeides en prioritert handlingsplan for de største avvikene fra prinsippene. Den er planlagt ferdigstilt i midten av april 2025. SSB ser denne saken i sammenheng med anbefalingen om sterkere oppfølging av etterlevelse i utredningen om internrevisjon.

Karianne Thun, personvernombud, sa at SSB har mange mekanismer på plass, men at det er noen mangler når det gjelder systematikk i oppfølgingen. Morten Skoglund, sikkerhetsansvarlig, sa at IT-systemene har mekanismer for å beskytte og opprettholde informasjon. Den tverrfaglige arbeidsgruppen anbefaler at SSB vurderer samarbeid med eksterne sikkerhetsleverandører som kan bidra med spesialkompetanse. Gitt budsjettsituasjonen vil SSB vurdere muligheter for å styrke feltet stegvis.

Administrerende direktør ba om rådets vurdering av status og tiltak for informasjonssikkerhet og personvern i SSB.

Rådet hadde følgende synspunkter:

Det er bra at SSB vurderer sin virksomhet opp mot NSMs grunnprinsipper, og dialogen med Finansdepartementet gir et verktøy for oppfølging.
Det er viktig at SSB prioriterer arbeidet med å styrke deteksjons- og responsevnen.
Det ser ut til å være utydelige roller og ansvar i informasjonssikkerhetsarbeidet. Det er viktig at SSB klargjør dette på alle nivåer.
Dokumentene sier ikke noe om omfanget av intern hendelsesrapportering, eller hvilke tiltak SSB gjør for å fremme rapporteringen av både små og store avvik. Interrapporteringen gir grunnlag for å vurdere rapportering til Datatilsynet.
Det ble spurt om hva som var den største forbedringen siden forrige rapportering, og i hvilket omfang SSB gjennomfører informasjonssikkerhetsøvelser.
Rådet pekte på EU-direktivet om sikkerhet i nettverks- og informasjonssystemer (NIS2) og mente at SSB som besitter nasjonale styringsdata bør inngå som tilbyder av samfunnsviktige tjenester.

SSB svarte at informasjonssikkerhetsområdet er i kontinuerlig endring, og det er vanskelig å si at det noen gang er bra nok. SSB har økt ressursene på feltet, etablert en policy for informasjonssikkerhet og styrket systemet for oppfølging med gjennomgang i ledelsen hvert halvår og vurdering opp mot NSMs grunnprinsipper. Et viktig tema i dialogen med FIN er balansering av ressurser og ambisjoner. På den operative siden har SSB forbedret logging, og det gjennomføres øvelser.

SSB ønsker å styrke deteksjons- og responsevnen ytterligere. Man vil prioritere Dapla først. Økte kostnader på informasjonssikkerhet kan komme til å ha konsekvenser for SSBs produksjon av offisiell statistikk.

SSB vil klargjøre roller og ansvar i forbindelse med prosessen for å styrke etterlevelse og internkontroll. SSB arbeider kontinuerlig for å forbedre den interne avviksrapporteringen.

Man vil vurdere hva NIS2-direktivet betyr for SSB når det tas inn i norsk lov.

Oppsummering: Rådet la vekt på at SSB fortsetter å styrke arbeidet med informasjonssikkerhet og personvern. Det er viktig å gjøre systematiske vurderinger og sørge for god dokumentasjon. Det er spesielt behov for å styrke deteksjons- og responsevnen. Rådet er bekymret for at budsjettsituasjonen i 2025 gjør det krevende for SSB å etablere samarbeid med eksterne leverandører for å innhente spesialkompetanse.

Sak 2024/5/4 Langtidsplan for SSB – 2025–2027

Dokument:

Sak2024_5_4 Notat_Langtidsplan 2025-2027
Sak2024_5_4 Vedlegg_Langtidsplan for SSB 2025-2027_utkast

Bjørnar Gundersen og Camilla Rake fra administrasjonsavdelingen orienterte om utkastet til SSBs langtidsplan for 2025–2027. Langtidsplanen er en operasjonalisering av strategien. Den er treårig og rulleres hvert år. Den tar utgangspunkt i politiske føringer og status på de ulike områdene. SSB la ikke opp til store endringer i struktur og innhold, men pekte på noen endringer fra forrige plan. Omtalen av informasjonssikkerhet har blitt styrket, og betydningen av fart i omleggingen til Dapla blir understreket. Langtidsplanen trekker fram at kompetente og motiverte ledere og medarbeidere er en forutsetning for å lykkes med endrings- og utviklingsarbeidet.

Administrerende direktør ba om rådets vurdering av innholdet i langtidsplanen, spesielt kapittel 3 Prioriterte delmål i langtidsplanperioden.

Rådet hadde følgende synspunkter:

Langtidsplanen bør legge mer vekt på betydningen av Dapla og kunstig intelligens (KI). Det kan sies noe om retningen for bruk av KI og potensialet for blant annet effektivisering og brukertilpasning i formidlingen. Både muligheter og usikkerhet ved KI bør omtales.
Det er en risiko ved rullerende langtidsplaner at noe nytt dukker opp som man ikke fanger opp. Rådet spurte når SSB vil ha en større planprosess.
Det ble spurt hva som ligger bak behovet for nye tiltak for å tiltrekke, videreutvikle og beholde nødvendig kompetanse.
Det ble uttrykt ønske om at SSB kan ha en større rolle i oppfølgingen av bærekraftsindikatorer og tilsvarende initiativer som «Impact for the future».

SSB svarte at det bevisst legges vekt på korte styringsdokumenter og enkle styringsrutiner. Langtidsplanen bærer preg av store oppgaver i 2025, men det er viktig å holde fast ved et flerårig perspektiv. Virksomheten står midt i en stor omlegging til Dapla, og det viktigste er å gjennomføre denne på en god måte. Mikrodata står også høyt på prioriteringslista. Informasjonssikkerhet blir stadig viktigere. Prioriterte oppgaver pågår gjerne over flere år, og SSB må holde oppmerksomheten på dem oppe og sørge for at de kommer i mål. KI er aktuelt å løfte fram som et virkemiddel. SSB vil følge opp hvordan man skal håndtere brukernes skift fra Google til KI når de leter etter statistikk. SSB har vært med på å utarbeide retningslinjer for etisk bruk av KI i kommunikasjonsenheter.

Det er viktig å tiltrekke seg, videreutvikle og beholde kompetanse for å lykkes med overgangen til Dapla. Omleggingsarbeidet kan medføre slitasje på organisasjonen over tid, og det gir risiko for å miste kritisk kompetanse, jf. SSBs overordnede risikovurdering for 2024. SSB har imidlertid ikke hatt unormal turnover i 2024, og i siste pulsmåling svarer over 80 prosent positivt på trivsel og arbeidsglede.

SSB er i dialog med Digitaliserings- og forvaltningsdepartementet om arbeidet med bærekraftsindikatorene og behov for finansiering.

Oppsummering: Rådet mente at langtidsplanen 2025–2027 bør legge mer vekt på betydningen av Dapla og kunstig intelligens (KI). Det er generelt viktig å ha prosesser som kan fange opp nye ting som dukker opp.

Sak 2024/5/5 Foreløpig tildelingsbrev for SSB

Dokument:

Sak2024_5_5 Statsbudsjettet 2025 – Foreløpig tildelingsbrev til Statistisk sentralbyrå

Finansdepartementet ba om innspill fra rådet til foreløpig tildelingsbrev for SSB.

Birger Vikøren kommenterte at det er en god ordning.

Rådet hadde følgende synspunkter:

Det er bra at tildelingsbrevet vektlegger sikre og effektive systemer for deling av data. Departementet bør be om at SSB gjør en strategisk vurdering av datadelingstjenestene og angir i hvilken retning man vil utvikle tjenestene.
Tildelingsbrevet bør eksplisitt knytte oppfølgingen av informasjonssikkerhet og personvern til de overordnede risikovurderingene.

Oppsummering: Rådet anbefalte en tydeliggjøring av temaene deling av data, informasjonssikkerhet og personvern i tildelingsbrevet for SSB.

Sak 2024/5/6 Hovedinstruks for SSB

Dokument:

Sak2024_5_6 Oppdatert hovedinstruks til Statistisk sentralbyrå

Finansdepartementet ba om innspill fra rådet til oppdatert hovedinstruks for SSB.

Rådet hadde følgende synspunkt:

I punkt 6.2 som omhandler SSBs kontakt med Stortinget og andre folkevalgte organer. er det særlig viktig å være tydelig i formuleringen om SSBs faglige uavhengighet etter statistikkloven § 18 første ledd.

Oppsummering: Rådet hadde ingen kommentarer til hovedinstruksen for SSB, utover et innspill til punkt 6.2.

Sak 2024/5/7 Retningslinjer for forsknings- og analysevirksomheten i SSB

Dokument:

Sak2024_5_7 Notat_Oppdaterte retningslinjer for forsknings- og analysevirksomheten til SSB

Finansdepartementet ba om innspill fra rådet til oppdaterte retningslinjer for forsknings- og analysevirksomheten i SSB.

Oppsummering: Rådet hadde ingen merknader til retningslinjene.

Sak 2024/5/8 Instruks for Rådet for SSB

Dokument:

Sak2024_5_8 Notat_Oppdatert instruks til Rådet for Statistisk sentralbyrå

Finansdepartementet ba om innspill fra rådet til oppdatert instruks for Rådet for SSB.

Birger Vikøren sa at flere av innspillene som rådet har gitt tidligere er tatt inn i den oppdaterte instruksen. Det er positivt at rådgivingen også skal dekke «andre særlig viktige eller prinsipielle saker».

Rådet hadde følgende synspunkter:

Tilføyelsen om at rådet skal ha årlige møter med representanter for de ansatte er i tråd med den praksisen rådet allerede har. Instruksen kan gjøres enklere og mer oversiktlig ved at punktene 2 b og c strykes og innlemmes i punkt 3 d, alternativt nytt punkt 2 b.

Oppsummering: Rådet hadde ingen kommentarer til instruksen for Rådet for SSB, utover et forslag om forenklinger i omtalen av rådets kontakt med representanter for de ansatte.

Saker til orientering:

Sak 2024/5/9 Status for omlegging til Dapla

Christian Thindberg fra avdeling for IT orienterte om status for overgangen til Dapla. To statistikker har kommet over på Dapla siden rådets møte i september, og totalt 34 statistikker er lagt om. SSB har gjort nye beregninger av ressursbruken som omleggingen vil kreve

framover. I årene 2024–2027 vil statistikkavdelingene bruke 15–16 prosent av arbeidsstokken på omlegging til Dapla. For noen statistikker vil omleggingen strekke seg lenger fram i tid, og her er beregningene usikre. Utviklingsarbeidet på Dapla vil kreve om lag 30 årsverk i IT-avdelingen. Flere viktige leveranser i 2024 bygger på nasjonalt og internasjonalt open source-samarbeid. SSB utvikler en arbeidsbenk for statistikkproduksjon og forskning, som bygger på en løsning i det franske statistikkbyrået. I tillegg har SSB tatt i bruk NAVs applikasjonsplattform for flere tjenester. I 2025 er planen å legge om 168 statistikker. SSB vil starte omleggingen av de komplekse statistikkene og basisregistrene for bedrifter, foretak, personer og bygninger. Andre prioriterte områder er automatisering og tilrettelegging av metadata.

Bjørnar Gundersen fra administrasjonsavdelingen sa at SSB arbeidet med et satsingsforslag om ekstra finansiering for å kunne sette mer fart på omleggingen til Dapla. Ved å øke farten vil SSB kunne avvikle gamle systemer og fjerne lisenskostnader tidligere. Det vil kunne fristille årsverk til å lage bedre statistikk. Behovet for å gjennomføre omleggingen så raskt som mulig henger også sammen med informasjonssikkerhet. Det nye systemet gir bedre sikkerhet, og det er risiko forbundet med å opprettholde gamle systemer og utvikle nye parallelt over en lengre periode.

Rådet anerkjente behovet for å ha mer fart i omleggingen og uttrykte sterk støtte til satsingsforslaget. Rådet mente at SSB må være tydelig på hvilke konsekvenser omleggingen til Dapla har for andre oppgaver som må nedprioriteres i samme periode.

Sak 2024/5/10 Årshjul 2025

Dokument:

Sak2024_5_10 Årshjul 2025

Marit Hoel fra sekretariatet presenterte forslag til årshjul for rådet i 2025. Det foreslås seks møter, hvorav ett legges på samme dag som møtet med Finansdepartementet om årsrapporten, og et fagseminar i desember som i 2024.

Birger Vikøren sa at det ville være nyttig for rådet å besøke Danmarks statistik. Det vil være krevende for SSB å dekke utgiftene for deltakere fra SSBs administrasjon i 2025. Rådet ville tenke videre på når dette eventuelt kan gjennomføres.

Det kom noen innspill på møtedatoer, og disse ville bli avklart etter møtet.

Nytt siden sist – orientering fra administrerende direktør:

Budsjett og satsingsforslag

SSB var i sluttfasen med tre satsingsforslag; mer fart på Dapla, utvikling av en agentbasert makromodell og utviklingsbehov i nasjonalt statistikkprogram. SSB ruster opp på flere områder – informasjonssikkerhet, arkiv, Dapla, statistikksystemet med kvalitetsoppfølging – innenfor de samme budsjettrammene som tidligere. Det er gitt et ekstra tilskudd på 7 millioner kroner til flyttekostnader i Kongsvinger i 2025. Samtidig har SSB fått et varig driftskutt på 7,5 millioner kroner. Det er en krevende budsjettsituasjon. SSB kan bli nødt til å kutte enkelte statistikker.

Vurdering av organiseringen av Utvalget for offisiell statistikk

Utvalget for offisiell statistikk har økt fra 24 medlemmer ved oppstart til 32 i 2024. 16 av medlemmene, inkludert SSB er produsenter av offisiell statistikk. Finansdepartementet har bedt SSB om å vurdere organiseringen av utvalget. SSB foreslår å opprette et arbeidsutvalg bestående av SSB pluss fem utvalgsmedlemmer, som deltar aktivt i koordineringen og planleggingen av utvalgsarbeidet.

Eventuelt

Ingen saker

Oslo, 4. desember2024

Birger Vikøren
leder (sign.)

Jørgen Elmeskov
nestleder (sign.)

Grete Brochmann
(sign.)

Wenche Dramstad
(sign.)

Oddrun Samdal
(sign.)

Astrid Undheim
(sign.)

Helge Veum
(sign.)