– Går du til krig mot meg på sånne tekniske ting, så vinner jeg

– Jeg har stor interesse for å grave i ting privat, sier Hallvard Nygård, småbruker.

Profesjonelt bygger han nettsider for Storebrand. Men hjemme på bruket i Sokndal i Rogaland liker Nygård å grave. Ikke bare eier han to gravemaskiner. Enda mer tid bruker han på å grave i offentlige dokumenter.

19. august i fjor åpnet han Norges klart største innsynsportal for journaler fra offentlig forvaltning. Norske postlister har i dag 74 millioner journalposter fra 633 av 710 offentlige virksomheter.

– Hvor mye tid jeg har brukt på å prosjektet vil jeg ikke estimere. Det er mye. Kona driver med hest. Jeg driver med innsyn, sier Nygård.

Postlistene som forsvant

Godt voksne journalister husker endeløse permer med journaler fra offentlige myndigheter vi bladde gjennom og sendte skriftlige forespørsler om innsyn.

Siden kom digitale utgaver, og for to år siden kom eInnsyn, som samler og publiserer postjournaler for 121 statlige virksomheter og Oslo kommune – med mulighet for å søke innsyn i korrespondanse.

LES OGSÅ:

Faktisk.no overtar ansvaret for Innsyn.no

Men offentlig forvaltning består av rundt 700 instanser. I 2015 begynte Fædrelandsvennens journalist Tarjei Leer-Salvesen å utvikle verktøy for å samle journaler til kommuner og andre offentlige virksomheter som ikke var på datidens OEP, (Offentlig elektronisk postjournal).

Prosjektet ble etter hvert til nettsiden Innsyn.no - et nasjonalt verktøy som i dag omfatter cirka 14 millioner journalposter om offentlige saksdokumenter.

Underveis kom ny personvernlovgivning, som tilsa at vanlige borgere ikke kunne få lagre navn, fødselsnummer og andre data fra journalene. I fjor høst overtok Faktisk.no nettsiden, for å lage en ny utgave med «fulle rettigheter» for journalister, med en innloggingsløsning via NTB.

Siden ble umiddelbart stengt for ombygging. Ett år senere er Innsyn.no fortsatt nede. Hva som skjedde kommer vi til, men først tilbake til gårdbruker og programmerer Nygård i Dalane.

Gøyere når det er vanskelig

Kona og Nygård kjøpte hobbygården i 2014. Da de fant ut at de ville satse på hest, ville Nygård lese tilsynsrapporter hos Mattilsynet, for å lære om bransjen. Rapportene var lite tilgjengelige.

Programmereren utviklet i 2017 et program for å hente ut journalene, gjøre dem søkbare, og offentliggjorde dem nettstedet mt-postliste.com. Så fikk han blod på tann, kanskje mest fordi det var så vanskelig.

– Jeg har et teknisk perspektiv. Når det ikke er rett frem, men utfordrende og vanskelig, så blir det kjekt å holde på med. Det er hakket vanskeligere når en skal lage løsninger som skal være offentlig tilgjengelige, forklarer Nygård.

Snekringen av portalløsninger for Storebrands fondsavdelinger halvannen time unna og grøfting og veibygging hjemme var ikke nok. Han ville ha enda mer gravemoro. Han likte å ha oversikt over offentlig forvaltning, ville ha løsninger for å overvåke brev om utvalgte emner, og lage varslingsløsninger, som plinget i eposten når nye dokumenter ble publisert. Han gikk løs på hele Norge.

– Det er gøy, men da jeg gikk løs på kommunene, ble det utfordrende i en helt annen skala. Det tar tid, og så skal sidene vedlikeholdes. Når kommunene i tillegg slår seg sammen, eller bytter journalsystemer, blir det ekstra vanskelig, forklarer Nygård.

Ett år senere sto Norske postlister klar. Dette gjorde han ved å lage såkalte skrapeverktøy, altså programmer som henter inn journaler fra nettsteder etter hvert som de bli publisert. Disse lastes nå ned til hans servere, og blir innlemmet i systemet.

På rekordtid ble Norske Postlister langt større enn hva Innsyn.no noen gang var. Han slukte også hele eInnsyn, fordi han fant måter å kopiere alle deres publiserte journalposter.

– Motarbeidet av eInnsyn

Ifølge Nygård har det vært en hard kamp, fordi Difi, nå Digitaliseringsdirektoratet, mener å kunne hindre komplette nedlastinger av journalpostene eInnsyn publiserer for offentlige virksomheter, fordi andre da ville besitte deres materiale, med mulighet for å bygge historikk.

Dessuten publiserer eInnsyn gjerne journalposter med navn, inntil ett år tilbake i tid. Ved skraping mener eInnsyn andre kan publisere navn i journalpostene, og lagre dem.

Nygård svarer at han ikke publiserer navn, og at det dessuten ikke er eInnsyns jobb å følge med på hva han gjør, men at eInnsyn skal konsentrere seg om oppgaven – å publisere journalposter.

Da Nygård via ulike metoder laget programmer for å omgå systemet, reagerte eInnsyn.

– De sperret mitt program eksplisitt ute i desember 2018. Jeg endret da identifikator, som sier angir hvilket program som lager tjenesten, og jeg oppga mitt navn på Twitter. Noen måneder senere ringte de meg privat, og spurte om jeg sto bak nedlastingene. Jeg svarte ja, sier Nygård.

Journalisten har sett kopier av omfattende korrespondanse mellom Nygård og Digitaliseringsdirektoratet. Direktoratet anklaget Nygård for å ta ned tjenesten deres.

Direktoratet betalte også advokatfirmaet Wikborg & Rein for en betenkning om lovligheten av Hallvard Nygårds nedlastinger, og sine egne hindre.

Wikborg & Rein mente noen av hindrene var ok, men at Nygård ikke så ut til å ha gjort noe ulovlig.

«Vår hovedkonklusjon er at det er adgang til å iverksette tiltak for å begrense skraping, og at det vil være ryddig, men ikke strengt nødvendig, å innta ny regulering i forskrift om slike tiltak» heter det i notatet fra 29. januar i 2019.

I tillegg til skriftlig kontakt, har Nygård hatt møte med Digitaliseringsdirektoratet.

EInnsyn mener fortsatt å ha rett til å hindre full tilgang til journaler, men har fjernet noen hindre. For eksempel var det ikke lov å hente mer enn 12 sider journaler per gang, kom du til side 13 ble du kastet tilbake til side 12. Dette er nå borte.

Nygård mener eInnsyns hindre er lovbrudd.

– Jeg spør ikke om lov

– Jeg spør ikke om lov til å laste ned journalposter. Dette er offentlige data. Digitaliseringsdirektoratet har fått oppgaven med å publisere journaler på vegne av statlige myndigheter, med navn. De har ingen hjemmel for å unnta slike opplysninger, annet enn historikk, som de gjør (eInnsyn fjerner personnavn etter ett år, jour. anm.). Jeg har klaget på hindrene, og krevd å få oppgitt lovhjemler for det, uten å få gode svar. Jeg forstår at de vil hindre meg i bygge for eksempel personprofiler basert på navn. Men det gjør jeg ikke, og for det andre er det ikke deres sak hva jeg gjør med journalene. I stedet hindrer de tilgang til full journal, sier Nygård.

Uansett hindrene har Nygård og Norske postlister lastet ned alle journalposter fra eInnsyn fra 2018, og fortsetter å gjøre det, gjennom ti ulike ip-adresser som søker og laster ned.

– I løpet av 2-3 dager skal jeg ha vært innom alle myndigheter og fått de tilgjengelig i min tjeneste. Går du til krig mot meg på sånne tekniske ting, så vinner jeg, sier Nygård.

• Se nederst for eInnsyns kommentarer.

Men innsyn må du ordne selv

Hjemmesiden til Norske postlister viser et søkefelt med * i, som betyr at absolutt alle journalposter vises, per nå drøyt 74,2 millioner journalposter.

Under fanen Postlister, vises kildene, og Nygårds system viser antall journalposter per kilde og når den sist lastet ned journalposter fra kilden.

Debatt:

Antall innsynskrav øke med flere hundre prosent

Norske postlister var oppe i 2018. På grunn av ny personvernlovgivning brukte han et år på å utvikle tjenesten videre, og tilpasse den GDPR. Han fjerner automatisk personnavn, fødselsnumre, i flere tilfelle hele journalen hvis den er et pasientdokument.

– Statistisk forekommer 17 fødselsnumre per 1 million journalposter, sier den selverklærte nerden.

– Jeg graver meg langt ned i ting, og har detaljkunnskap om relativt smale forhold.

19. august 2019 var han klar, og siden gikk på lufta.

Ønsker du følge utvalgte søk, kan du enkelt klikke deg til å epost-varslet om nye treff. I dag har 157 brukere lagt inn 267 aktive søk med epost-varsel.

– Rundt femti av dem er mine egne. Jeg liker å kunne følge saker direkte, og det å kunne lage epost-varslinger er noe av det beste jeg vet med hele tjenesten, sier Nygård.

Skal du be om innsyn, må du gjøre det selv. Tidligere hadde han en peker til siden Mimes brønn, for innsynsbegjæringer. Denne siden er bygget slik at alle kan se innsynsbegjæringer og svarene. Tanken er at man skal dele alt man henter inn med andre mulige interesserte.

LES OGSÅ:

Aftenposten ba om innsyn i søknader til helsetopp-stillinger. Men listene var makulert

Mimes brønn er for tiden ute av drift. I stedet tilbyr Nygård en innsynstekst man kan kopiere og sende, men hver enkelt må altså selv finne epostadressen og sende begjæringen selv.

– Jeg har ikke laget en løsning tilpasset journalister. Jeg synes Mimes brønn-løsningen er bedre, for da kan alle se det samme dokumentet, og håper den snart er oppe igjen.

Nygård bruker kun kilder som har lesverdige datakilder. De som legger ut bilder som må OCR-leses eller gjennom vanskelige tolkningsprogrammer, hopper han over, fordi det er for arbeidskrevende, og faren for feilkilder blir større.

Lagret data hos bekjente

Nygård har fått rundt 40.000 kroner i offentlig støtte, som er brukt til maskinvare og løpende datakostnader. Han har mellom 300 og 400 daglige brukere.

Han bruker ikke skytjenester for å drifte tjenesten.

– For å strekke støtten lengst mulig har jeg valgt å bruke maskinvare i stedet for dyre skytjenester til å lagre informasjonen om de mange millioner dokumentene journalpostene peker på, sier Nygård.

Alt er lagret på maskinvare hos venner av bekjente, som han har koblet sammen.

– Om det er sikkert? Ja, de er godt beskyttet, på tre servere i brukt maskinvare hos bekjente. Det er sikkert nok, for journalene er sladdet, sier Nygård.

– Men du har også originalene, de usladdete versjonene?

– Ja, hvor de er får du ikke vite, men de er også på servere, sier Nygård.

Innsyn.no pauset hos Faktisk.no

Mens Nygårds Norske postlister er ment å være løsningen for hvermannsen, skal Faktisk.no lage journalistløsningen.

I desember i fjor forsvant Fædrelandsvennen og Tarjei Leer-Salvesens Innsyn.no fra lufta, etter at Faktisk.no tok over siden. Tjenesten hadde da 14 millioner journalposter.

I dag høster ikke Faktisk.no data lenger via Innsyn.no, men håper å få historisk materiale fra andre, når den nye siden er klar.

Prosjektleder Geir Molnes i Faktisk.no sier de har fått 600.000 kroner i støtte som står klare, etter at datasamlinger i fjor ga en klar oppfatning av hva Innsyn.no bør være.

LES OGSÅ:

Schibsted-eier gir penger til innsynsverktøy

– Der gamle Innsyn.no var et supplement, ønsker vi at den nye skal bli en komplett portal for journalister med innsynsbehov, og samle alt fra eInnsyn, så vel som tidligere OEP, og EPJ (Elektronisk postjournal, tidligere løsning, jour. anm.), sier Molnes.

Selskapet Behalf skal trolig lage løsningen, men selskapet er for tiden opptatt med andre oppgaver for Faktisk.no, men Molnes håper nye Innsyn.no skal være på lufta med en første utgave «i løpet av vinteren».

– Det er en ganske stor utviklingsjobb som skal gjøres, og vi har ikke anledning med våre interne ressurser å gjøre all jobben selv, sier Molnes.

Faktisk.no ønsker et samarbeid med Norske postlister, slik at Innsyn.no kan bli en komplett løsning for innsyn for norske journalister, uten begrensningene som ligger i bruken for folk flest. Journalister skal kunne logge seg inn på en «min side» hos NTB, uavhengig av om man har et kundeforhold.

Molnes ønsker også en rekke nye funksjonaliteter og åpen kildekode for utviklere.

Kommunikasjonsdirektør Onar Aanestad i Digitaliseringsdirektoratet bekrefter at direktoratet ønsker å legge til rette for samarbeid med Faktisk.no

– Det stemmer. Det er forankret i eInnsyns produktstrategi at eInnsyn skal legge til rette for datastøttet journalistikk som utøves i tråd med personopplysningsloven § 3. eInnsyn har dialog med Faktisk.no om dette, og vi har hatt verdifull dialog med pressens representanter om slike problemstillinger siden oppstarten av arbeidet med eInnsyn. Det vil vi fortsette med, skriver Aanestad i en e-post til Journalisten.

Digitalseringsdirektoratet svarer

Journalisten har forelagt Hallvard Nygårds synspunkter for Digitaliseringsdirektoratet. Her følger deres svar:

Direktoratet har svart skriftlig. Vi gjengir hele dialogen med direktoratet.

– For en tid tilbake inviterte vi Nygård til et møte for å legge til rette for dialog og finne gode løsninger. Vi opplevde møtet som konstruktivt, og vi håper og tror at Nygård opplevde det same. Bakgrunnen for møtet var at hans tekniske løsning skapte vesentlige driftsutfordringer for eInnsyn, og i tidlig fase hadde vi ikke grunnlag for å vurdere hvem som sto bak eller om det var et ondsinnet angrep. Gjennom dialog med Nygård fikk vi gjort nødvendige tilpasninger til beste for begge parter – slik at brukerne av eInnsyn ikke skulle oppleve unødvendige hindre.

– I arbeidet med eInnsyn har vi også tett samarbeid med pressen selv, gjennom en referansegruppe som har fulgt arbeidet fra starten av utviklinga av eInnsyn. Det er vi svært glade for. Det er etter vår vurdering en av årsakene til at den norske innsynsløsningen har blitt et eksempel til etterfølgelse for andre land. Personvernutfordringene som ligger i skjæringspunktet mellom lovverk og pressens behov for journalistikk, må løses gjennom samarbeid og konstruktive løsninger. Vi opplever at vi har denne dialogen med pressen. Det gjenstår fortsatt faglige utfordringer vi vil løse, og vår klare intensjon er å fortsette det gode samarbeidet også med pressen, inkludert Faktisk.no, som vi allerede er i dialog med.

– Nygård sier dere har en rekke hindre for å hindre at journalposter blir lastet ned av andre, som han, og han mener dere slik bryter loven selv?

– Vi håper og tror at Nygård har opplevd dialogen med Difi og Digitaliseringsdirektoratet som konstruktiv og løsningsorientert. Nygård har ikke informert oss om hvilken del av loven han mener vi bryter. Vi vil selvsagt se nærmere på saken om vi får slik informasjon.

– Vår vurdering er følgende: Ifølge veilederen til offentleglova punkt 4.5.1 har innbygger rett til innsyn i postjournalene, men «Vedkomande har ikkje rett til sjølv å søkje i dei elektroniske journalane til organet.». Når offentlige organ publiserer gjennom eInnsyn, er det lagt til rette for at de som ønsker innsyn skal bruke søkefunksjonen som er i eInnsyn, og slik få den nødvendige tilgangen til journalpostane. Nedlasting og republisering av journalposter vil gjøre det krevende for publiserende virksomhet å oppfylle sin plikt etter offentlegforskrifta §6 fjerde ledd, tredje punktum: «Offentleg elektronisk journal for organ som er omfatta av ordninga etter fyrste ledd, skal innrettast slik at det ikkje skal vere mogleg å få treff på personnamn i innførslar i journalane som er eldre enn eit år.» Denne gjelder også for navn på enkeltmannsforetak, der firmanavn er likt med personnavn, noe som krever manuelle sletterutiner hos publiserende organ. I slike tilfeller vil det være viktig for publiserende organ å kunne rette offentlig journal. Det er ikke mulig dersom den er lastet ned og republisert.

– Han sier dere har forsøkt å stoppe han på alle mulige måter fra å gjøre det han gjør?

– eInnsyn er databehandler for virksomhetenes metadata i løsningen og en av våre oppgaver er derfor å implementere tiltak som sikrer personvernet. Skraping av løsningen, som Nygård hevder han bedriver, blir vurdert som problematisk fordi det medfører at personverntiltak i løsningen gjøres ineffektive. Konkret kan man med denne typen nedlasting omgå søkesperren på personnavn, jf. offentlegforskrifta § 6 fjerde ledd tredje punktum, og man kan gjøre sammenligninger av virksomhetenes journaler fra forskjellige tidspunkt og på den måten identifisere informasjon som er tilbakekalt. Utredninger som ble gjort før overgangen fra OEP til eInnsyn anbefalte også at eInnsyn måtte søke å begrense skraping.

– Når Nygård startet sin skraping av eInnsyn, uten å informere oss, var det ikke umiddelbart klart for oss hvem som sto bak. Skrapingen ble også utført på en slik måte og i et slikt omfang at det skapte store problemer for stabiliteten og ytelsen i eInnsyn. Det var av den grunn nødvendig å iverksette enkelte tiltak for å beskytte løsningen slik at den kunne fortsette å fungere som innsynsløsning for innbyggere og journalister.

– Nygård sier dere forsøkte å blokkere ham, men at han «programmerte seg rundt det»?

– Som omtalt over opplevde eInnsyn at ukjente krefter startet skraping i stor skala. Skrapingen ble også utført på en slik måte og i et slikt omfang at det skapte store problemer for stabiliteten og ytelsen i eInnsyn. Det var av den grunn nødvendig å iverksette enkelte tiltak for å beskytte løsningen mot det som kunne tolkes som et angrep på en norsk fellesløsning. Da vi ble klare over at Nygård sto bak, kontaktet vi ham for å foreslå et møte der vi kunne utveksle informasjon og synspunkter. Vår opplevelse var at dette var et konstruktivt møte for begge parter.

– Han sier dere for eksempel hadde begrensning på lange journalposter til inntil 12 sider, som han viser som eksempel på hindring, som er lovstridig?

– Søkesperre på 250 treff var et av tiltakene som var satt i verk på eInnsyn fra oppstartdato for å hindre skraping av grunner som vi har redegjort for over. Dette tiltaket viste seg å også forringe brukeropplevelsen for enkelte journalister og har derfor blitt fjernet etter god dialog med pressens representanter i eInnsyn.

– Han viser til møter og epost-korrespondanse med dere, hvor dere viser til personvernlovgivning som argument?

– Det stemmer at personvernlovgivningen er et viktig argument for å begrense tilgang til eInnsyn. Etter personopplysningsloven art. 86, jf § 1 kan offentlige organer gi innsyn også i personopplysninger så lenge innsynsregelverket er i tråd med personvernforordningen. Personvernforordningen er derfor et tolkningsmoment når man diskuterer hvordan eInnsyn på best mulig måte skal ivareta offentlige etaters plikt til å gi innsyn.

– eInnsyn er naturlig nok svært opptatt av at alle data i løsningen skal behandles i tråd med gjeldende personvernlovgivning. Det er av personvernhensyn problematisk og ikke ønskelig med skyggedatabaser av løsningen, der virksomhetene ikke har mulighet til å endre på data som eventuelt er feilpublisert, eller der den automatiske sladdingen av personnavn etter 12 måneder blir satt ut av funksjon.

– Nygård viser til at eInnsyn stadig har publisert personinformasjon, som han selv ikke gjør, fordi han har utviklet verktøy for å hindre dette, og holde seg innenfor GDPR?

– Det er avleverende virksomhet som har ansvar for at det ikke blir overført personinformasjon til eInnsyn som ikke kan publiseres. I tråd med offentlegforskrift har eInnsyn søkesperre på personnavn som er mer enn 12 måneder gamle.

– Om eksterne laster ned og publiserer dokumenter, er det risiko for at det fortsatt er mulig å søke på personinformasjon selv om dokument blir sladdet eller rettet. Det er også risiko for brudd på personvernet og GDPR i tilfeller der personnavn også er navn på en virksomhet (for eksempel et enkeltmannsforetak) dersom dokumentene blir publisert i fullt navn. Det er altså risiko forbundet med at privatpersoner skraper og publiserer dokumenter.

– Han sier han i dag publiserer alle deres journalposter bare timer etter de er tilgjengelige på eInnsyn?

– eInnsyn er kjent med at Nygård skraper løsningen regelmessig. Det er også bakgrunnen for at eInnsyn har invitert Nygård til et møte for å utveksle informasjon og synspunkter.

– Mener dere Nygårds skraping i dag, som innebærer fullstendig kopiering, er lovstridig, ikke ønskelig, og noe dere ønsker skal opphøre? Kan dere klargjøre lovhjemmelen?

– eInnsyn er en offentleg tjeneste for at innbyggere og journalister skal få et verktøy til å bruke sin lovbestemte rett til innsyn i offentleg forvaltning sine dokumenter og saksbehandling. Det norske offentlighetsprinsippet legger opp til svært stor åpenhet og transparens i offentleg forvaltning, langt utover de fleste andre land. Denne åpenheten vil av og til komme i konflikt med ønsket om personvern og personvernregelverket. eInnsyn prøver etter beste evne å balansere desse hensynene i allmenhetens interesse. Som mye annet i norsk forvaltning er dette også basert på tillit: tillit til at det offentlige er så åpne som mulig, og ditto; tillit til at systemet og regelverket ikke blir utnyttet av enkeltindivider.

– Det er ikke mulig å svare klart på spørsmålet ditt. Avveiingen mellom hensynet til åpenhet og hensynet til personvern er ikke svart-hvitt. Om det Nygård gjør hadde vært klart ulovlig, måtte vi vurdert å anmelde det. Praksisen er ikke tydelig regulert i lovene, sannsynligvis fordi ingen forutså at noen ville bruke tid og krefter på å kopiere alt. Forholdet mellom offentleglova og GDPR er heller ikke ferdig utredet. Generelt kan viderebruk av journaler og dokumenter være ulovlig. Oppsummert er det altså ikke et klart svar på om Nygårds skraping er ulovlig. Siden dette er litt upløyd mark, må vi være forberedt på å justere våre vurderinger og vår praksis i tråd med regelverksendringer og vår nye digitale virkelighet.

Journalisten har bedt Hallvard Nygård kommentere svarene fra Digitaliseringsdirektoratet:

– Grunnlaget for Digitaliseringsdirektoratets argumentasjon er at forskrifta til offentleglova sier at de ikke skal legge opp til søking på navn i eldre journalposter. Det betyr ikke at de på generelt grunnlag har lov å sperre for gårsdagens offentlige journal.

– Offentleglova pålegger de å legge ut journalene. I offentleglova har vi også §7 som sier at man kan bruke offentlige informasjon videre. Både loven og forskriften sier klart og tydelig at myndighetene har en plikt til å tilgjengeliggjøre journalene. Men i realiteten har vi ikke tilgang til fullstendig journal for myndighetene.

– Jeg synes Digitaliseringsdirektoratet burde være åpne for deling av offentlige data og ikke hindre det. Det er mange bruksområder innen for eksempel datajournalistikk hvor man trenger hele datasettet lokalt for å gjøre operasjoner som ikke eInnsyn kan gjøre. Hvordan lager man en graf over kommunikasjon mellom to myndigheter i eInnsyn? Går ikke. Man må jobbe med datasettet i andre verktøy enn eInnsyn.

– Digitaliseringsdirektoratet burde støtte opp om skyggedatabaser. De burde gjøre det lett å vedlikehold og oppdatere dataene ved å vise til hvilke dokumenter som er tilbakekalt, oppdatert eller feilpublisert. I dag ser de skyggedatabaser kun som et problem, men det finnes aktører som følger personopplysningsloven og som håndterer dataene forsvarlig. Aktører som både er lovlige og har viktige oppgaver for samfunnet.