Høringssvar fra Digitaliseringsdirektoratet
Høringsuttalelse fra Digitaliseringsdirektoratet – endringer i forvaltningslovens bestemmelser om taushetsplikt
1. Innledning
Vi viser til høring om «forslag til endringer i forvaltningsloven m.m. - større adgang til informasjonsdeling» og takker for tilliten som høringsinstans.
I tillegg til dette høringssvaret, har Digitaliseringsdirektoratet (Digdir) også avgitt et felles høringssvar sammen med de andre Skate-virksomhetene. Direktoratet har gjennom Skates felles høringssvar fått belyst flere av våre innspill til lovforslaget, og støtter uttalelsene i dette. Likevel ønsker vi å benytte oss av muligheten til å avgi en selvstendig høringsuttalelse, dels for å understreke vår støtte til fellesuttalelsens forslag til opplysningsplikt og dels for å komme med noen utdypende bemerkninger knyttet til § 13 b annet ledd i forslaget.
Deling av opplysninger mellom offentlige aktører kan bidra til en effektiv forvaltning med brukervennlige tjenester. Digitaliseringsdirektoratet ønsker at det etableres rettsregler som understøtter effektiv, men trygg datadeling, slik at opplysninger deles når de kan og skjermes når de må. Digitaliseringsdirektoratet har nylig etablert Nasjonalt ressurssenter for deling av data. En sentral del av senterets mandat er å avdekke, påpeke og avhjelpe rettslige hindre for digitalisering og deling av data. Senterets inntrykk er at dagens rettskildebilde oppfattes komplekst, både fordi reglene i seg selv er kompliserte, men også fordi forholdet mellom ulike regelsett som forvaltningsloven, personvernlovgivingen, offentleglova og taushetspliktsbestemmelsene i de ulike særlovgivingene framstår som utydelige for de som skal anvende regelverkene. Dette medfører i sin tur usikkerhet knyttet til lovtolkning som forsinker og tidvis hindrer deling og gjenbruk av opplysninger. I dette høringssvaret ønsker vi derfor blant annet å peke på hvordan forholdet mellom taushetspliktsbestemmelsene i lovforslaget og personvernforordningen kan tydeliggjøres.
2. Opplysningsplikt
Digitaliseringsdirektoratet viser til Skate sin høringsuttalelse om opplysningsplikt. Der foreslås det å benytte begrepet utleveringsplikt i stedet for opplysningsplikt, noe vi vil gjøre i det følgende. En utleveringsplikt vil være i tråd med klart uttrykte politiske målsetninger, og vil kunne bidra til en langt mer effektiv offentlig sektor som utnytter ressursene sine bedre og leverer bedre tjenester.
Disse målsetningene kommer blant annet til uttrykk som krav til at forvaltningen innhenter opplysninger hos andre offentlige virksomheter der disse finnes1 og som forventninger uttrykt blant annet i regjeringens digitaliseringsstrategi:
Brukerne skal unngå å oppgi informasjon som det offentlige allerede har innhentet. Økt deling av data er også en forutsetning for utvikling av sammenhengende tjenester på tvers av sektorer og forvaltningsnivåer. Offentlig sektor skal dele data når den kan og skjerme data når den må.
Digitaliseringsdirektoratet mener at der vilkårene for utlevering av taushetsbelagte opplysninger er oppfylt, bør det som hovedregel etableres en utleveringsplikt. Eventuelle legitime hensyn som taler mot en utleveringsplikt, kan og bør reguleres som unntak. Digitaliseringsdirektoratet mener at ressurshensyn ikke bør gi et unntak fra en utleveringsplikt. Ressurshensyn kan representere en reell utfordring for datatilbyder, men dette bør imøtekommes med andre tiltak.
3. Kommentarer til § 13b annet ledd
3.1 Både taushetsbelagte og ikke-taushetsbelagte personopplysninger krever rettslig grunnlag for viderebehandling
Det er etter Digitaliseringsdirektoratets syn uheldig at § 13 b annet ledd bare retter seg mot «taushetsbelagte» personopplysninger. Der det nye formålet med behandlingen av personopplysningene ikke er forenlig med det opprinnelige formålet, vil det være et behov for et rettslig grunnlag for viderebehandling, jf. pvf. artikkel 6 nr. 4. Dette gjelder uavhengig av om personopplysningene er taushetsbelagte eller ikke. Digitaliseringsdirektoratet er ikke kjent med at det finnes et generelt rettslig grunnlag for viderebehandling av ikke-taushetsbelagte personopplysninger i offentlig forvaltning. Digitaliseringsdirektoratet er spørrende til om det er meningen at det rettslige grunnlaget for de ikke-taushetsbelagte personopplysningene skal følge av § 13 b første ledd nr. 7, jf. annet ledd. Dette er i så fall ikke tydelig. Digitaliseringsdirektoratet mener det vil være en uheldig situasjon dersom rettsstillingen blir slik at det i offentlig forvaltning er større adgang til å dele personopplysninger som er underlagt taushetsplikt til uforenlige formål, enn det er adgang til å dele personopplysninger som ikke er underlagt taushetsplikt til uforenlige formål.
Direktoratet foreslår at bestemmelsene rendyrkes som nasjonalt rettslig grunnlag for viderebehandling av personopplysninger. Bestemmelsene bør etter vår vurdering løftes ut fra § 13 b og heller gis som en egen bestemmelse. Digitaliseringsdirektoratet tror også at det kan være hensiktsmessig om tiltakene i forslaget til § 13 g blir en del av en slik bestemmelse, da dette har en naturlig sammenheng.
3.2 Forholdet mellom § 13 annet ledd og personvernforordningen artikkel
6. nr. 4 og artikkel 9 er uklart
Digitaliseringsdirektoratet mener at forslaget til § 13 b annet ledd er en svært komplisert regel og at forholdet til pvf. artikkel 6 nr. 4 og artikkel 9 er uklart.
For det første er momentlisten i uforholdsmessighetsvurderingen i lovforslaget til forveksling lik momentlisten i pvf. artikkel 6 nr. 4. Dette er uheldig ettersom formålet med de to vurderingene ikke er helt like. Vurderingen i forslaget § 13 b annet ledd er en vurdering av uforholdsmessighet. Vurderingen i artikkel 6 nr. 4 er en vurdering av om det nye og det opprinnelige formålet er forenlig. Denne typen delvis overlapp gir et lite anvendelig regelverk.
For det andre er forholdet til personvernforordningens artikkel 9, og særlig artikkel 9 nr. 2 g uklart. Det fremgår av § 13 b annet ledd i lovforslaget at «[d]elingen skal anses som forholdsmessig dersom den skjer for samme formål eller er forenlig med formålet som opplysningene opprinnelig ble samlet inn for, jf. personvernforordningen artikkel 6 nr. 4.» Det kan tenkes situasjoner der formålet ikke begrenser delingen etter artikkel 6 nr. 4 og at delingen dermed anses forholdsmessig etter departementets forslag til § 13 b annet ledd, selv om pvf. artikkel 9 muligens ville lagt begrensning på slik deling.
Det framstår som uklart hvorvidt forholdsmessighetsvurderingen i § 13 b annet ledd er en selvstendig vurdering som kommer i tillegg til vurderingene som kreves etter personvernforordningen. Digitaliseringsdirektoratet mener derfor at det er behov for at bestemmelsens forhold til personvernforordningen klargjøres.
3.3 Vurderingstemaet i § 13 b annet ledd
Digitaliseringsdirektoratet vil understreke at det er mange situasjoner hvor deling av taushetsbelagte opplysninger vil være til fordel for den opplysningene gjelder. Digitaliseringsdirektoratet mener at dette ikke kommer klart nok frem i høringsnotatet. I høringsnotatets punkt 2.9 pekes det i hovedsak på områder hvor delingen av opplysninger kan oppleves som inngripende. Der delingen skjer til fordel for den opplysningene gjelder, er det mindre grunn til å tro at vedkommende vil motsette seg slik deling. Når taushetsbelagte opplysninger deles til fordel for den opplysningene gjelder, for eksempel i forbindelse med samtykkebasert lånesøknad, ser vi at datasubjektet kun helt unntaksvis motsetter seg at opplysningene utleveres. Samtidig ser også Digitaliseringsdirektoratet at det helt klart er tilfeller hvor deling av taushetsbelagte opplysninger kan oppleves svært inngripende. I disse tilfellene er det behov for nødvendige rettsikkerhetsgarantier.
Digitaliseringsdirektoratet er usikre på om en uforholdsmessighetsvurdering alene, jf. forslagets § 13 b annet ledd i tilstrekkelig grad tar hensyn til hvorvidt utleveringen vil være en fordel eller en ulempe for den opplysningen gjelder. Digitaliseringsdirektoratet vil forslå at det innføres et vurderingstema som i større grad knytter seg til dette, slik at en først vurderer hvorvidt utleveringen er en fordel eller en ulempe for den opplysningene gjelder. Der det vil være til ulempe for den opplysningene gjelder, bør det deretter foretas en forholdsmessighetsvurdering. I denne vurderingen bør konfidensialitetsinteressen være det vesentligste hensynet (se konkret eksempel til forslag i pkt. 3.5).
Der hvor utlevering av opplysningen er til fordel for den opplysningene gjelder, er det neppe behov for en informasjonsplikt, jf. forslagets § 13 g.
3.4 Merknader til utformingen av § 13 b annet ledd
Digitaliseringsdirektoratet ønsker også å kort kommentere bestemmelsens oppbygning. Slik den fremgår av forslaget skal man først vurdere forholdsmessigheten etter bestemmelsens første ledd og deretter vurdere hvorvidt formålet med delingen er i tråd med det opprinnelige formålet. Dersom formålet anses å være forenlig etter pvf. artikkel 6.4, skal opplysningene også anses å være forholdsmessige, og vurdering etter første ledd er da ikke nødvendig.
Det framstår etter vårt skjønn som at en mer pedagogisk utforming av bestemmelsen ville være at vurderingen av formålet fremgår av første ledd, og at forholdsmessighetsvurderingen, som bare er nødvendig for de tilfeller der formålet et uforenlig med den nye bruken, kommer i annet ledd.
3.5 Forslag til bestemmelse
For å konkretisere hvordan punktene over kunne vært regulert, foreslår Digitaliseringsdirektoratet følgende bestemmelse:
Dersom formålet med den nye behandlingen av personopplysningene ikke er forenlig med formålet som opplysningene opprinnelig ble samlet inn for, jf. personvernforordningen artikkel 6 nr. 4, kan personopplysningene utleveres under følgende forutsetninger:
a. Personopplysningene kan utleveres dersom det ikke er grunn til å tro at den personopplysningene gjelder vil motsette seg en slik utlevering.
b. Dersom det er grunn til å tro at den personopplysningene gjelder vil motsette seg en slik utlevering, kan personopplysningene bare utleveres dersom dette ikke er et uforholdsmessig inngrep. Hvis utleveringen anses forholdsmessig og opplysningene er underlagt taushetsplikt, skal utlevering skje under forutsetning av at tiltak som beskrevet i § 13 g blir iverksatt.
I vurderingen av om utlevering er uforholdsmessig etter første ledd bokstav b, bør det særlig legges vekt på om det er særlig følsomme opplysninger, om opplysningene er gitt i fortrolighet, hva opplysningene skal brukes til og hvilke konsekvenser det vil få for den opplysningene gjelder at disse blir kjent for flere.
Digitaliseringsdirektoratet vil understreke at Justisdepartementets lovavdeling bedre kjenner til hvordan slike bestemmelser bør utformes. Forslaget her er gitt for å sammenfatte innspillene våre i et konkret forslag gjøre dem lettere å forstå. Til forslaget ønsker vi å knytte følgende kommentarer:
1. Bestemmelsen gjelder bare for personopplysninger. Denne bestemmelsen er ment å ivareta kravene til rettslig grunnlag for viderebehandling av personopplysninger etter personvernforordningen, EMK og Grunnloven. For å tydeliggjøre forholdet mellom taushetsbestemmelsene og personvernforordningene, mener vi at bestemmelsen bør rendyrkes slik at den kun omfatter personopplysninger. Digitaliseringsdirektoratet mener det bør utarbeides en egen bestemmelse for taushetsbelagte opplysninger som ikke er personopplysninger da disse ikke er underlagt de hensyn og begrensninger som følger av personvernforordningen.
2. Bestemmelsen angir personopplysninger uavhengig av om de er taushetsbelagte eller ikke. Dette skyldes at det er behov for et rettslig grunnlag for viderebehandling også av ikke-taushetsbelagte personopplysninger etter pvf. artikkel 6 nr. 4 (se punkt 3.1). Vi foreslår imidlertid at tiltak som beskrevet i departementets forslag til § 13 g bare gjelder for taushetsbelagte personopplysninger. Det kan nok tenkes situasjoner hvor den opplysningene gjelder vil motsette seg utlevering, også der opplysningene ikke er taushetsbelagte. I slike situasjoner er det antageligvis ikke behov for de øvrige tiltakene i § 13 g, gitt at det uansett skal foretas en forholdsmessighetsvurdering.
3. Vi foreslår dermed at tiltakene i § 13 g ikke gjelder «dersom det ikke er grunn til å tro at den personopplysningene gjelder vil motsette seg en slik utlevering.» I slike situasjoner vil delingen ofte være til fordel for den personopplysningene gjelder, og her er det neppe behov for tiltakene i lovforslagets § 13 g (se punkt 3.3). Derimot er dette et viktig tiltak ved inngripende deling.
4. Vurderingstemaet «grunn til å tro at den personopplysningene gjelder vil motsette seg en slik utlevering». Vi har valgt dette vurderingstema i et forsøk på å lage et anvendelig skille mellom utlevering som er til fordel og utlevering som er til ulempe for den opplysningene gjelder. Vi tror at et slikt vurderingstema vil gjøre det lettere å dele opplysninger der dette er til fordel for den personopplysningene gjelder. Vi tror også at et slik skille kan gjøre at konfidensialitetshensynet kan få en større plass i uforholdsmessighetsvurderingen der «det er grunn til å tro at den personopplysningene gjelder vil motsette seg en slik utlevering». Samtidig vil vi understreke at dette, uavhengig av løsning, er et komplekst regelverk. Digitaliseringsdirektoratet vil derfor påpeke at det er behov for ytterligere veiledning for å sikre at regelverket anvendes i tråd med hensynene det er ment å ivareta og for å oppnå en ensartet forvaltningspraksis.
4. Avsluttende bemerkninger
Deling av opplysninger mellom offentlige aktører kan bidra til en effektiv forvaltning med brukervennlige tjenester. Samtidig er det viktig at slik deling skjer på en god måte som ivaretar hensynet til konfidensialitet der dette er nødvendig, slik at opplysninger deles når de kan, og skjermes når de må. Digitaliseringsdirektoratet håper at våre merknader i denne høringsuttalelsen kan bidra til dette.
Med vennlig hilsen
Knut Bjørgaas
Avedelingsdirektør digital strategi og samordning
Digitaliseringsdirektoratet