Tilgangsnivå for datasett avviker fra EUs definisjoner

[oystein-asnes]

Tilgangsnivå i DCAT-AP-NO avviker noe fra det EU legger opp til. Dette medfører også at vi i Norge får mange datasett i kategorien «begrenset offentlighet» (RESTRICTED) uten at vi klarer å skille mellom lovhjemlet begrensning og andre former for begrenset tilgang. Vi får i tillegg svært få datasett i kategorien «Unntatt offentlighet». Om en sammenstiller EUs og Digdirs definisjoner ser vi et stort avvik i forståelsen av RESTRICTED:

Term	Digdirs definisjon	Pubication office (EU)
Offentlig (public)	“Offentlig” brukes når datasettet ikke inneholder begrensede opplysninger og kan legges ut som åpne data, selv om det ikke er laget en løsning for tilgang.	Publicly accessible by everyone. Usage note: Permissible obstacles include registration and request for API keys, as long as anyone can request such registration and/or API keys
Begrenset offentlighet (restricted)	“Begrenset offentlighet” brukes når tilgangen til opplysningene avhenger av hvilket formål opplysningene er innsamlet til, og hvilken lovhjemmel den som skal bruke dataene har. Begrensningen kan skyldes innhold som personopplysninger. Når noen ønsker å benytte datasettet må man foreta en konkret vurdering av tilgangen.	Only available under certain conditions. Usage note: This category may include resources that require payment, resources shared under non-disclosure agreements, resources for which the publisher or owner has not yet decided if they can be publicly released
Unntatt offentlighet (non public)	“Unntatt offentlighet” brukes når saksbehandler har med referanse til lov eller forskrift valgt at datasett (dokumenter eller saksopplysninger) kan unndras fra offentlighet. Typiske eksempler er interne dokumenter, styringsdialog, ansettelser, gradert informasjon, forretningshemmeligheter eller data som andre eier.	Not publicly accessible for privacy, security or other reasons. Usage note: This category may include resources that contain sensitive or personal information.

Løsningsforslag:

1. Kategorien «begrenset offentlighet» endres til «begrenset tilgang». Ny definisjon: «Bare tilgjengelig under visse forhold. Kategorien kan omfatte ressurser som krever betaling, ressurser som deles under fortrolighetsavtaler, ressurser som utgiveren eller eieren ennå ikke har bestemt seg for om de kan offentliggjøre»
2. Kategorien «unntatt offentlighet» endres til «ikke offentlig» og får ny definisjon: «Ikke offentlig tilgjengelig av hensyn til personvern, rikets sikkerhet eller andre grunner. Kategorien kan inneholde ressurser som inneholder sensitiv eller personlig informasjon. Datasett som i dag er klassifisert som «begrenset offentlighet» flyttes til «Unntatt offentlighet». Unntak: datasett med begrenset tilgang som ikke er gjort med hensyn til personvern (eksempelvis FKB-data).

NB: I tillegg har Publication Office innført to nye tilgansnivåer som en kan vurdere å innføre dersom det er et behov:

CONFIDENTIAL: Information that is not disclosed. Usage note: Disclosure of this data could cause damage to interested parties such as public administrations and businesses. It may refer to personal and professional information as well as to information in the context of business, commerce or trade.

SENSITIVE: Sensitive non-classified (SNC) information, information whose unauthorised disclosure could cause damage to the Commission or other interested parties such as businesses, companies, intellectual property or personal data but which is not EU classified information.

[khvidsten]

Vil ny definisjon av "unntatt offentlighet" fremdeles åpne for at dataene kan utleveres på særskilt rettslig grunnlag (f.eks. samtykke), slik det står i OiEH-veilederen per i dag? Én ting er at datasettet ikke kan gjøres tilgjengelig for offentligheten; noe annet er det at datasettet likevel kan deles med enkelte parter under visse forhold.

[oystein-asnes]

Det er også et spørsmål om hva vi gjør med data som er klassifisert som «offentlig», men som ikke er publisert og/eller lisensiert. Her er to alternativ (det finnes selvsagt flere):

1. Vi gjør som i dag: Bruker «offentlig» og «subklassifiserer» dette som enten «åpne data» eller «kan deles offentlig»
2. Vi bruker «åpne data» som norsk navn på "public". Da må i så fall alle data som ikke har en lisens eller som mangler distribusjoner klassifiseres under «begrenset tilgang». Det høres kanskje radikalt ut, men det gir også mening: Fraværet av publiserte allmenne bruksvilkår (en åpen lisens) er en begrensning av tilgang (det samme er fravær av distribusjon). Vi må i så fall endre begrepet fra «begrenset offentlighet» til «begrenset tilgang».
3. Variant av alternativ 2 der vi beholder datasett som mangler distribusjon (og lisens) i kategorien åpne data. Datasett som mangler distribusjon stemples i portal som "Ikke publisert" eller "Ikke utgitt" (not released). Eksempel: https://data.gov.uk/search?filters%5Btopic%5D=Business+and+economy

[jimjyang]

Ifølge Publications Office skal ikke de to nye kategoriene "confidential" og "sensitive" brukes i DCAT-AP-kontekst - dette skal rettes opp i kommende oppdatering.

[jimjyang]

Standarden DCAT-AP-NO kun refererer til EU sine tre og det er riktig.

Veilederen for Orden i eget hus er nå oppdatert med de nye definisjonene på norsk.