Referat fra møte i Rådet 25. januar 2024 (2024/1)

Sted: Møtet ble avholdt i SSBs lokaler, Akersveien 26
Møtetid: Torsdag 25. januar 2024 kl. 11-15

I referatet:
Til stede
Saker
Rådets behandling

Til stede:

Fra rådet:

Birger Vikøren
Grete Brochmann
Wenche Dramstad
Jørgen Elmeskov
Oddrun Samdal
Helge Veum
Astrid Undheim (f.o.m. sak 4)

Fra administrasjonen:

Geir Axelsen, administrerende direktør
Bjørnar Gundersen, administrasjonsdirektør
Hege Turnes, kommunikasjonsdirektør
Richard Ragnarsøn, internasjonalt sekretariat
Marit Hoel (sekretariatet, referent)

Øvrige deltakere:

Roger Jensen og Trine Westvold (sak 2024/1/2)
Christian Thindberg (sak 2024/1/3 og 2024/1/4)

Saker

Til vurdering

2024/1/1 Godkjenning av innkalling og saksliste
2024/1/2 Bruk av opplysningsplikt i 2023
2024/1/3 Oppfølging etter avvik i systemet for tilgangsstyring
2024/1/4 Veikart for utvikling i SSB
2024/1/5 Rådets årsrapport – disposisjon og budskap

Til orientering:

2024/1/6 Nasjonalt statistikkprogram 2024–2027 vedtatt

Aktuelle saker – Orientering fra administrerende direktør:

Status nytt bygg Kongsvinger
SSBs kvalitetsarbeid i 2024
Revisjon av FNs nasjonalregnskapsstandard

Eventuelt

Rådets egentid

Rådets behandling

Rådets leder ønsket velkommen til møtet.

Det var første møte i ny oppnevningsperiode, med to nye medlemmer, og det ble tatt en presentasjonsrunde.

Sak 2024/1/1 Godkjennelse av innkalling

Dokument:
Sak2024_1_1 Innkalling_møte i Rådet_20240125

Det var ingen merknader til utsendt innkalling med saksliste. Sakslista ble godkjent.

Saker til vurdering:

Sak 2024/1/2 Bruk av opplysningsplikt i 2024

Dokument:
Sak2024_1_2 Notat_ Bruk av opplysningsplikt 2023

Trine Westvold fra avdeling for administrasjon og Roger Jensen fra avdeling for datainnsamling og metodeutvikling orienterte om SSBs vedtak om opplysningsplikt på to nye områder i 2023. Det pågår vurderinger av flere mulige nye datakilder, og SSB vil legge fram disse sakene for rådet seinere. Dialogen med Datatilsynet om muligheter for bruk av kvitterings- og transaksjonsdata i SSB pågår. Det ble også informert om arbeidet med å forbedre informasjonen til allmennheten og dataleverandørene om lovgrunnlaget og om hvilke opplysninger SSB behandler. Oppgavebyrden for næringslivet var 64 årsverk i 2023, uendret fra 2022. Svarprosenten for undersøkelser med opplysningsplikt var ekstra høy i 2022 og kom tilbake til normalt nivå på 96 prosent i 2023.

Administrerende direktør ba om rådets vurdering av SSBs bruk av opplysningsplikt i 2023.

Rådet hadde følgende synspunkter:

Det vil være interessant å se hvordan oppgavebyrden fordeler seg. Det ble også spurt om muligheter for effektiviseringsgevinster framover.
Det vil være nyttig om dialogen med Datatilsynet berører datainnsamling i et videre perspektiv enn kvitteringsdata fra dagligvarekjedene.
SSB bør vurdere om kost-nyttevurderingene av innsamling og behandling av nye data kan systematiseres mer, for eksempel med spesifikke kriterier og avkryssing. Det vil gjøre det lettere å sammenlikne vurderinger på tvers.
Det er positivt at SSB legger større vekt på lesbarhet og arbeider med bedre tilgjengeliggjøring av kost-nyttevurderingene.

SSB sa at oppgavebyrden fordeles ved at større foretak har større sjanse for å bli trukket til utvalgene enn mindre foretak. Man prøver ikke å spørre de aller minste. Overgangen til Altinn3 vil gi oppgavegiverne mer brukervennlige skjemagrensesnitt som også tilfredsstiller kravene til universell utforming, inkludert responsivt design. SSBs arbeid med å øke andelen data som leveres maskin-til-maskin og ulike former for tredjepartsrapportering vil kunne bidra til å redusere oppgavebyrden ytterligere på litt sikt. Samarbeidet med Datatilsynet gjelder den konkrete saken om kvitteringsdata, men det er også aktuelt å ha faste kontaktmøter årlig på et mer overordnet nivå. Dialogen knyttet til kvitteringsdata er i en tidlig fase. SSB har retningslinjer for kost-nyttevurderinger og vil vurdere forbedringer i disse. Vurderingene av nytte gjelder i stor grad brukernes behov. Det er viktig å finne riktig detaljnivå.

Oppsummering: Rådet støttet SSBs bruk av opplysningsplikt i 2023. Rådet understreket at dialogen med Datatilsynet er viktig for å få avklaringer angående bruk av nye datakilder. Rådet anbefalte SSB å vurdere om kost-nyttevurderingene kan systematiseres mer. Det er viktig at rådet får tilstrekkelig informasjon til å vurdere SSBs planer og praksis for bruk av opplysningsplikt, i henhold til instruksen.

Sak 2024/1/3 Oppfølging etter avvik i systemet for tilgangsstyring

Dokument:
Sak2024_1_3 Notat_Oppfølging av avvik i systemet for tilgangsstyring
Sak2024_1_3 Vedlegg_Evaluering av sikkerhetsavvik i tilgangsstyringen

Christian Thindberg fra avdeling for IT orienterte om oppfølgingen av avviket i systemet for tilgangsstyring. Fra februar til oktober 2023 hadde alle brukere av intern sikker sone tilgang til filer opprettet fra høsten 2020. Rådet ble først orientert om saken på møte 7. desember 2023. Sikkerhetsavviket gjelder data på den bakkebaserte plattformen, det vil si det meste av dataene som brukes i statistikkproduksjonen i dag. Tilgangsstyringen i den skybaserte plattformen (Dapla) er på gruppenivå og basert på at data tilhører definerte datatilstander med bestemte regler. Det dokumenteres at dataene er klarert for deling på gitt gruppenivå.

SSB prioriterte først å lukke avviket og deretter avklare omfang og konsekvenser. SSB vil lære av hendelsen og iverksetter tiltak på bakgrunn av funn. Kartleggingen har avdekket behov for forbedringer og samordning av flere systemer og prosesser knyttet til tilgang til data. Kortsiktige tekniske tiltak handler blant annet om å forbedre systemene for logging. Tiltak framover vil omfatte både risikovurderinger, tekniske systemer, testmetodikk, endringskontroll og sikkerhetskultur. Evalueringen vil gi grunnlag for rapport til Datatilsynet og Finansdepartementet.

Administrerende direktør ba om rådets vurdering av evalueringsrapporten og hva som bør vektlegges spesielt i arbeidet med å styrke informasjonssikkerheten framover.

Rådet hadde følgende synspunkter:

SSB har gjort grundige analyser av hendelsene og konsekvensene. Den interne rapporten belyser problemene og nødvendige forbedringstiltak. Det er bra at SSB er åpen om sikkerhetsavviket. Ekstern rapportering må være på et hensiktsmessig nivå.
Systemene for tilgangsstyring virker svært kompliserte, og saken ser ut til å være knyttet til både verktøy og kultur. Det er viktig å legge inn systematiske kontrollrutiner i alle ledd og redusere muligheten for menneskelig svikt. Hver enkelt medarbeider må ha høy bevissthet om sikkerhet, behovet for tilgang til data og plikten til å varsle hvis man ser avvik.
SSB må prioritere det sentrale sikkerhetsarbeidet og forbedre logging og evnen til å oppdage at noe skjer. Det er viktig med gode verktøy for autorisasjons- og tilgangsstyring. SSB bør vurdere om man trenger nye verktøy.
Det er risiko for at datasett leveres ut og brukes i ulike varianter når medarbeidere har hatt store datamengder liggende på egne hjemmeområder.
SSB bør vurdere å stramme inn på hvor lenge det gis tilgang til data. Makstid i dag er tre år.

SSB sa at gjennomgangene som er gjort i ulike deler av organisasjonen ikke viser noen indikasjoner på misbruk, men det kan ikke konkluderes absolutt. Antall tilgangssøknader var på nivå med og til dels noe høyere enn vanlig i den perioden hvor det var utilsiktet åpen tilgang. Ledelsen oppfatter at det er høy bevissthet om personvern hos medarbeiderne, og at medarbeiderne sier fra om de oppdager noe. Ledelsen har ansvar for systemsvikten som gjorde at avviket var mulig. Informasjonssikkerhetsarbeidet fortsetter, i henhold til ISO-standarden. SSB vil ha en bred gjennomgang av svakheter og sikkerhetsutfordringer og forbedre både regler for datahåndtering, kontrollsystemer og sikkerhetskultur. Det er viktig med tiltak som reduserer risikoen for angrep utenfra.

Oppsummering: Rådet anerkjente SSBs arbeid med å kartlegge omfanget og konsekvensene av sikkerhetsavviket. Det er viktig at SSB forbedrer systemet for tilgangsstyring. Det sentrale sikkerhetsarbeidet må prioriteres, og evnen til å oppdage at noe skjer må styrkes, blant annet gjennom bedre systemer for logging.

Sak 2024/1/4 Veikart for utvikling i SSB

Dokument:
Sak2024_1_4 Notat_Veikart for utvikling i SSB
Sak2024_1_4 Vedlegg_Veikart for utvikling i SSB

Administrerende direktør sa at utviklingsarbeidet skal bidra til å nå definerte mål i SSBs langtidsplan. SSB skal ha produkter og tjenester som er tilpasset ulike målgrupper og effektiv innhenting, bruk og deling av data, samt konfidensiell og sikker behandling av data. Overgangen fra bakkebasert plattform til Dapla er et sentralt utviklingstiltak. Arbeidet med å programmere statistikkene fra grunnen av er tidkrevende og må tas skrittvis. 16 av rundt 300 statistikker ble overført til Dapla i 2023.

En av anbefalingene fra den europeiske fagfellevurderingen var å lage veikart for utviklingsarbeidet i SSB. Christian Thindberg fra avdeling for IT orienterte om veikartet. Det er ment å bidra til forutsigbarhet og oversikt på ulike nivåer i virksomheten, at utviklingsteamene prioriterer funksjonalitet i tråd med veikartet, og støtte statistikkavdelingenes planlegging og utvikling av sine nye statistikkproduksjonsløp på Dapla. Omleggingen følger metodene for smidig utvikling, og fleksibilitet vs. styring må balanseres.

Veikart er delt i flere områder – basis-Dapla, statistikker på Dapla, fellesfunksjoner, formidling, samt styring og støtte – og dekker tre perioder – 2024, 2025 og etter 2025. Målet er at statistikkavdelingene skal ha flyttet 30–50 prosent av statistikkene til Dapla innen utgangen av 2025. SSB har valgt å legge om statistikkproduksjonen først, og forskningsvirksomheten kommer deretter.

Veikartet skisserer et løp som stiller store krav til organisasjonen når det gjelder ressursbruk og kompetansebygging. Skillet mellom statistikk- og programmeringskompetanse er i ferd med å viskes ut. Det pågår både formelle og uformelle kompetanseprosesser, og statistikkavdelingene har økt sin kompetanse på Python gjennom 2023.

Administrerende direktør ba om rådets vurdering av status og framdrift for overgangen til ny dataplattform. SSB ønsket råd om hva som bør gjøres for å øke farten, redusere risikoen og minimere kostnadene. I tillegg ble rådet bedt om å vurdere hva SSB bør prioritere innenfor utviklingsarbeidet framover.

Rådet hadde følgende synspunkter:

Utviklingsarbeidet er svært omfattende, og rådet forstår at det vil være krevende for organisasjonen over lang tid.
Veikartet gir et godt overblikk over de ulike delene av utviklingsarbeidet.
Arbeid med informasjonssikkerhet og konfidensialitet bør synliggjøres under fellesfunksjoner. Veikartet kan bidra til å synliggjøre behovet for å få på plass finansiering til informasjonssikkerhetstjenesten i SSB.
Det bør foreligge en oversikt over og beskrivelse av hva som skal gjennomføres og milepæler. Det er behov for å tydeliggjøre ambisjonen for de ulike aktivitetene, og det vil være nyttig å se sammenhengen mellom dem. Det er viktig å oppdatere planene, gjøre risikovurderinger underveis og følge opp leveransemålene.
Det må sikres og dokumenteres at utviklingsarbeidet som er desentralisert og delegert til forskjellige team leder til de sentrale målene for SSB.
Å sette konkrete mål og skape tidlige gevinster vil bidra til å etablere forståelse og eierskap i organisasjonen. Ledelsen må være tydelig på at omleggingen er nødvendig og vil bli gjennomført, selv om den er krevende.
Med en så stor omlegging er det viktig å ha en backup-plan.

SSB sa at arbeid med informasjonssikkerhet og konfidensialitet vil bli synliggjort i veikartet. SSB forklarte at det foreligger mer detaljerte oversikter som supplerer det overordnede veikartet. Behovet for mer konkretisering vil bli vurdert. Ansvar for planer og oppfølging av ulike aktivitet er plassert ut i organisasjonen, spesielt statistikkavdelingene, og det drives smidig utvikling. Det er likevel viktig med sentral oppfølging av prioriterte mål, aktiviteter og resultater, og det må være god risikostyring.

SSB sa at utviklingsarbeidet er både økonomisk, ressursmessig og kompetansemessig krevende. Omleggingen må gjøres parallelt med at statistikkene skal produseres med høy kvalitet, uten tilførsel av ekstra budsjettmidler. Utviklingsarbeidet vil derfor ta lengre tid. SSB forventer at utviklingsarbeidet vil bli noe lettere etter hvert som organisasjonen utvikler kompetansen og får mer erfaring med de nye verktøyene, samt at ny funksjonalitet kommer på plass. Det er etablert Dapla-støtteteam i alle statistikkavdelingene. SSB gjennomfører et program for medarbeiderskap for nærmere 90 medarbeidere. Det vil bidra i endringsarbeidet.

Oppsummering: Rådet understreket viktigheten av at SSB gjennomfører dette utviklingsarbeidet og pekte på at det stiller store krav til organisasjonen over lang tid. Rådet etterlyste mer konkrete oversikter over aktiviteter, risikovurderinger og oppfølging av leveransemål. Rådet ba om at SSB legger fram nærmere informasjon på et seinere møte.

Sak 2024/1/5 Rådets årsrapport – disposisjon og budskap

Dokument:
Sak2024_1_3 Notat_Årsrapport 2023 - disposisjon og budskap

Sekretariatet ba om at rådet vurderte forslaget til disposisjon og ga innspill til hvilke overordnede temaer og synspunkter som skal være hovedbudskap i årsrapporten.

Rådet ga følgende innspill:

Bakteppet er at SSB, som mange andre virksomheter, står i store endringsprosesser. Det omfatter områder som teknologi, nye datakilder, personvern, informasjonssikkerhet og dataplattform. Disse områdene henger sammen og påvirker blant annet SSBs delingstjenester. SSB påvirkes av ytre endringer, blant annet i trusselbildet. Sistnevnte har stor betydning for SSB som sitter på stadig mer data som er sensitive.
Det er viktig at anbefalingene angående informasjonssikkerhet og Dapla er tydelige på hva disse områdene krever av kompetanse og finansiering. Det stilles store krav til SSB når det forventes at virksomheten skal klare samme resultater og kvalitet innen de samme budsjettrammene. SSB må også selv bidra med ressurser gjennom effektiviseringsgevinster. SSB bør vurdere om det er hensiktsmessig å angi en tidsbestemt overgangsperiode og beregne budsjettbehov for denne perioden. En konsekvens av at informasjonssikkerhet og Dapla må prioriteres kan være at andre oppgaver må settes på vent.
Rapporten bør peke på at dialogen med Datatilsynet om bruk av nye datakilder er viktig. Krav til SSBs kost-nyttevurderinger bør omtales.
Forskningsformidling bør omtales generelt.
Rapporten kan ellers bygge på strukturen og temaene som er angitt i notatet.

Oppsummering: Bakteppet er at det stilles større krav til SSB, blant annet på grunn av ytre endringer. Rådet trakk opp et tydelig hovedbudskap om at arbeid med informasjonssikkerhet og Dapla må prioriteres, og at det krever ny kompetanse og tilstrekkelig finansiering. Rådet ønsket å omtale også de andre foreslåtte temaene.

Saker til orientering:

Sak 2024/1/6 Nasjonalt statistikkprogram 2024–2027 vedtatt

Dokument:
Sak2024_1_6 Notat_Nasjonalt statistikkprogram 2024-2027 vedtatt

Marit Hoel fra internasjonalt sekretariat orienterte om at nasjonalt program for offisiell statistikk 2024–2027 ble vedtatt av Kongen i statsråd 15. desember 2023. SSB har levert forslaget til nytt statistikkprogram, etter samråd med Utvalget for offisiell statistikk. Finansdepartementet har oppnevnt ytterligere fem offentlige myndigheter som medlemmer av Utvalget for offisiell statistikk, hvorav fire er nye produsenter av offisiell statistikk.

Aktuelle saker – orientering fra administrerende direktør:

Status nytt bygg Kongsvinger

SSB skal inn i nye lokaler på Jernbaneplassen fra juni 2025. Arbeidet med å grave og bygge har begynt. SSB er for tida i en krevende sluttforhandling med utbygger om kontrakten, med prissetting av endringer. Denne fasen skal være ferdig i løpet av noen uker.

SSBs kvalitetsarbeid i 2024

Utkast til den årlige rapporten om kvalitet i offisiell statistikk blir lagt fram på rådsmøtet i mai. Rapporten er i stor grad basert på selvrapportering fra alle produsentene. SSB gjennomfører også kvalitetsgjennomganger av enkeltstatistikker, både internt og hos andre produsenter. SSB tilbyr seminarer og kurs som er åpne for alle som produserer offisiell statistikk. Informasjon fra kvalitetsevalueringene og erfaringer fra eksterne kvalitetsgjennomganger blir fulgt opp i Utvalget for offisiell statistikk.

Revisjon av FNs nasjonalregnskapsstandard

FN har satt i gang en prosess for å revidere nasjonalregnskapsstandarden (SNA). Det pågår diskusjoner om hva som skal inkluderes i bruttonasjonalprodukt (BNP). En del aktører, herunder OECD, ivrer for å få inn flere indikatorer. Målet er blant annet å få bedre måling av bærekraft. SSB og en del andre europeiske statistikkbyråer er bekymret for å innlemme elementer som ikke kan observeres og som må estimeres, i kjerneregnskapet. SSB vil heller bruke satellittregnskap og eksperimentell statistikk. Den europeiske standarden, som vi er forpliktet til å følge, vil bli oppdatert i samsvar med SNA.

Eventuelt

Ingen saker

Oslo, 25. januar 2024

Birger Vikøren
rådets leder (sign.)

Jørgen Elmeskov
(sign.)

Grete Brochmann
(sign.)

Wenche Dramstad
(sign.)

Oddrun Samdal
(sign.)

Astrid Undheim
(sign.)

Helge Veum
(sign.)