1 Kommunal- og moderniseringsdepartementets innledning

2013 var et år da personvernet i aller høyeste grad ble satt på dagsorden, både i Norge og ellers i verden. I juni lekket den amerikanske NSA-teknikeren Edward Snowden dokumenter som viser at amerikansk etterretning bruker programmer for elektronisk overvåkning av innbyggere som langt overskrider det allmennheten tidligere har vært kjent med. Saken preget mediebildet i siste halvdel av 2013, og uavhengig av hvordan de lekkede dokumentene konkret kan eller bør tolkes, er det én ting man kan si med sikkerhet: saken har vekket interessen for personvern hos svært mange.

1.1 Overvåkning og personvern

Overvåkning av nettaktivitet fra både myndigheter og kommersielle aktører er et omdiskutert tema, og det hevdes ofte at økt grad av overvåkning kan føre til en såkalt «chilling effect». Nedkjølingseffekten oppstår i situasjoner hvor utøvelse av legitime handlinger innskrenkes eller motvirkes gjennom trusselen om mulige sanksjoner. For eksempel snakker man om en nedkjølingseffekt i samfunn hvor utøvelse av ytringsfriheten kan få negative konsekvenser for den enkelte. Datatilsynet gjennomførte i november 2013 en undersøkelse av nedkjøling i Norge1. Undersøkelsen viser at forholdsvis mange oppgir å legge bånd på sine aktiviteter på nett fordi de er usikre på hvordan opplysningene kan bli brukt senere. 26 % av de spurte har unnlatt å skrive under på opprop, og 16 % har unnlatt å foreta et søk på nett på grunn av dette. Videre sier mellom 18 % og 27 % av de spurte at de ville være forsiktige med nettsøk, uttalelser i sosiale nettsamfunn, underskrift på opprop/kampanjer, hvordan de formulerer seg eller hvem de kommuniserer med på nett, dersom norsk og utenlandsk etterretning overvåket og lagret innbyggernes elektroniske kommunikasjon og nettbruk. Det ser ut til at den yngre delen av befolkningen i større grad enn den eldre legger bånd på sin internettaktivitet. Det er ennå for tidlig å si noe om hvor utviklingen går, ettersom tilsynets undersøkelse mangler historisk sammenligningsgrunnlag. Men dersom Datatilsynets undersøkelse viser tidlige tegn på en utvikling hvor innbyggerne begrenser sine ytringer som et resultat av svekket personvern, er dette noe som må tas alvorlig.

1.2 Forvaltningens etterforskningskompetanse

Det er ikke bare på det åpne internettet at en nedkjølingseffekt kan vise seg. Også i forvaltningen kan man komme til å se tegn til nedkjøling dersom innbyggerne ikke lenger har tillit til at personopplysningene deres blir behandlet som de forventer. I november 2013 fremla en arbeidsgruppe nedsatt av Juristforbundet en rapport om bekjempelse av organisert økonomisk kriminalitet gjennom etterforsknings- og påtalesamarbeid mellom politiet og statlige kontrolletater2. Rapporten ble utarbeidet i samarbeid med juristforeningene i politiet, Skatteetaten, Tollvesenet og arbeids- og velferdsetaten. Juristforbundet drøfter problemer med politiets etterforskning av økonomisk kriminalitet, og foreslår at enkelte forvaltningsorganer får myndighet til å etterforske og ta ut påtale for økonomisk kriminalitet innenfor egen sektor. De etatene som forslaget gjelder, er NAV, Tollvesenet og Skatteetaten. Forslaget fra Juristforbundet må sees i sammenheng med en økende tendens til at forvaltningsorganer gis egne hjemler til å etterforske lovbrudd, og videre at de gis hjemler til å dele informasjon med påtalemyndigheten som ligger utenfor straffeprosessloven. Dette er en tendens som blant annet Datatilsynet har stilt seg kritisk til. Det er i dag kun politiet som har myndighet til å ta ut påtale. De enheter som etterforsker og tar ut påtale i enkeltsaker, skal være uavhengige og objektive. Det er derfor ikke uproblematisk å delegere etterforsknings- og påtalemyndighet til andre enn politiet. Mangel på involvering fra en objektiv tredjepart kan utfordre innbyggernes rettssikkerhet, og det kan også gi en nedkjølingseffekt ved at innbyggerne vegrer seg for å avgi opplysninger til forvaltningen. Økt informasjonsflyt mellom de aktuelle virksomhetene kan også svekke innbyggernes tillit til at personopplysningene deres blir brukt til de formålene de samles inn for. Tillit er skjør; den brytes lett ned og er vanskelig å bygge opp igjen. Den høye graden av tillit som norske innbyggere har til forvaltningen må opprettholdes for at velferdsstaten vår skal fungere. En av forutsetningene for dette er et godt personvern. Derfor må mulige personvernkonsekvenser av de tiltak Juristforbundet foreslår, drøftes inngående.

1.3 Utredning av personvernkonsekvenser

Svært mange forslag til tiltak og systemer innebærer behandling av personopplysninger, og kan ha vesentlige personvernmessige konsekvenser. Personvern blir derfor et stadig viktigere element i konsekvensutredninger som utføres av ulike aktører. Datatilsynet huset i 2012/2013 to masterstudenter fra Senter for rettsinformatikk ved Universitetet i Oslo, som undersøkte i hvilken grad personvernkonsekvenser ved lovforslag utredes, vektlegges og eventuelt etterkontrolleres3. Studentene undersøkte et utvalg av lovforslag fremmet i perioden 2004–2012, som ble ansett som særlig relevante fordi de hadde vesentlige personvernkonsekvenser. De konkluderte med at utredningsinstruksens krav til å utrede personvernkonsekvenser ikke blir fulgt i alle saker, og at personvernargumenter fremsatt av høringsinstansene sjelden blir tatt til følge av det ansvarlige departementet. Videre ble ikke personvernkonsekvenser evaluert som ledd i etterkontroll i noen av sakene studentene gjennomgikk.

I Datatilsynets årsmelding kommenteres det utredningsarbeidet som er gjort i forbindelse med tiltak innen helse- og omsorgssektoren. Det er nødvendig at enkelte helseopplysninger gjøres tilgjengelige for å oppnå god helsehjelp og et effektivt og velfungerende helsevesen. Samtidig må hensynet til pasientenes personvern ivaretas. Dette krever vanskelige avveininger. Det fremgår av årsmeldingen at Datatilsynet har hatt regelmessig dialog med både Helse- og omsorgsdepartementet og Helsedirektoratet om disse spørsmålene.

Utredningsinstruksen regulerer konsekvensutredning og saksbehandling i arbeidet med offentlige utredninger, regelverk, og dokumenter til Stortinget. Instruksen er ment å sikre samarbeid og koordinering i saksbehandlingen, og god kvalitet på utredningene. Utredningsinstruksen, og veilederen om utredning av personvernkonsekvenser, gir føringer for hvordan forvaltningen skal vurdere hva som må anses som vesentlige konsekvenser ved et forslag, og hvordan arbeidet med utredning av disse bør gjøres. Alle sider av en sak, også personvernkonsekvensene, må være belyst på en forsvarlig måte før saken oversendes beslutningstaker. Departementet arbeider i 2014 med å revidere utredningsinstruksen, og i revisjonen skal det også gjøres en ny vurdering av hvilke krav som bør stilles til konsekvensutredninger.

1.4 Digitalisering i offentlig forvaltning

Et annet prosjekt som er viktig for regjeringen i 2014, er det store arbeidet med digitalisering av tjenester fra forvaltningen. En del av Norges digitale agenda4 er å etablere rammevilkår som stimulerer til nye og innovative digitale tjenester og digitale forretningsmodeller. Målet er at offentlige data og offentlig finansiert innhold i størst mulig grad skal være praktisk tilgjengelig for viderebruk og verdiskaping. For eksempel ligger det et stort potensial i utvikling av tjenester basert på data om geografiske forhold, vannføring og meteorologi. Også innhold fra offentlige arkiver og resultater fra offentlig finansiert forskning vil kunne tilgjengeliggjøres for viderebruk, med mindre særskilte hensyn hindrer det. Personvernhensyn kan være et slikt hensyn som setter grenser for hvilke data som kan deles og utnyttes til nye formål. Ikke alle datasett egner seg like godt til viderebruk, særlig ikke om de inneholder personopplysninger eller på annen måte er egnet til å krenke enkeltpersoners personvern. Det må også tas hensyn til eventuelle personvernmessige konsekvenser av sammenstilling av flere datasett. Enkeltopplysninger som isolert sett ikke kan knyttes til en enkeltperson, vil likevel i sammenstilt form kunne gjøre det mulig å foreta slik tilknytning. I så fall vil de samlede opplysningene være personopplysninger. Det er derfor viktig å gjøre vurderinger av mulige personvernkonsekvenser ved sammenstilling med allerede tilgjengeliggjort informasjon før datasett gjøres tilgjengelig for offentligheten.