NOU 2020: 3

Ny lov om universiteter og høyskoler

Til innholdsfortegnelse

34 Behandling av personopplysninger

Figur 34.1 

Figur 34.1

34.1 Utvalgets forslag

Utvalget foreslår følgende:

  • Dagens lovbestemmelser som omhandler behandling av personopplysninger videreføres med noe språklige presiseringer.

Utvalget anbefaler følgende:

  • Endringer som har personvernmessige konsekvenser vurderes i forbindelse med departementets gjennomgang av personvernbestemmelsene og behovet for nye lovbestemmelser i underliggende etater.

34.2 Personopplysningsloven

34.2.1 Gjeldende rett

Personopplysningsloven regulerer behandlingen av personopplysninger.1 Loven består av nasjonale regler og EUs personvernforordning2 (GDPR – General Data Protection Regulation). Forordningen gjelder for EØS3. Det følger av både personopplysningsloven § 2 fjerde ledd og EØS-loven4 § 2 at personvernforordningen skal gå foran norsk lov ved motstrid. Det betyr at alle norske regler om behandling av personopplysninger må være i samsvar med personvernforordningen. Det følger av enkelte bestemmelser i forordningen at landene kan eller skal lage nasjonale tilpasninger. I slike tilfeller kan forordningen suppleres av norske særregler om behandling av personopplysninger.

Når man skal tolke og anvende personopplysningsloven og forordningen, må man også se hen til Grunnloven og Den europeiske menneskerettighetskonvensjon (EMK). I 2014 ble en rekke bestemmelser om menneskerettigheter tilføyd i Grunnloven. En av dem var Grunnloven § 102, som blant annet hjemler retten til privatliv og personlig integritet. Dette omfatter et vern av personopplysninger. Bestemmelsen gjenspeiler EMK artikkel 8, som tolkes i lys av, og utvikles gjennom, rettspraksis fra Den europeiske menneskerettighetsdomstolen (EMD). Forordningens bestemmelser må også tolkes slik at de ikke strider med Den europeiske unions pakt om grunnleggende rettigheter, særlig artikkel 8 om vern av personopplysninger (jf. punkt 4 i fortalen til traktaten5).

Formålet med personvernforordningen er å sikre et høyt og harmonisert nivå for beskyttelse av personopplysninger og fri utveksling av personopplysninger i EØS-området. Landegrensene representerer i seg selv ikke en hindring og det forutsettes at alle premissene for lovlig behandling av personopplysningene er en slags «fri flyt» mellom medlemslandene.

Den registrertes rettigheter har blitt styrket i forordningens kapittel III i forhold til tidligere direktiver. Det stilles for eksempel nå detaljerte krav til den behandlingsansvarliges informasjonsplikt overfor den registrerte. Det er også etablert en videre rett til sletting («right to be forgotten»). I tillegg er det innført en rett til dataportabilitet, som innebærer at den registrerte kan kreve å få personopplysninger som vedkommende selv har gitt på grunnlag av samtykke eller avtale, utlevert i et maskinlesbart format6.

Av særlig relevans for forslaget til ny universitets- og høyskolelov kan det nevnes at personvernforordningen viderefører adgangen til å behandle personopplysninger når dette er nødvendig for å utføre en oppgave i allmennhetens interesse eller for å utøve offentlig myndighet som den behandlingsansvarlige er pålagt, jf. forordningen artikkel 6 nr. 1 bokstav e. Etter den forrige personopplysningsloven kunne behandling som gjøres som et ledd i offentlig myndighetsutøvelse eller i allmenhetens interesse, hjemles direkte i § 8 første ledd bokstav d og e. En sentral endring som kom med personvernforordningen er at artikkel 6 nr. 1 bokstav e ikke alene kan utgjøre et tilstrekkelig behandlingsgrunnlag. Ut over at behandlingen skjer som et ledd i offentlig myndighetsutøvelse eller i allmenhetens interesse, krever forordningen et supplerende rettsgrunnlag. Dette rettsgrunnlaget må finnes i nasjonal rett, jf. artikkel 6 nr. 3 bokstav b, jf. gjeldende universitets- og høyskolelov §§ 4-14 til 4-16 og §§ 7-7 og 7-8.7

34.2.2 Utvalgets vurderinger

Utvalget viser til at personopplysningsloven ligger under Justis- og beredskapsdepartementets ansvarsområde. Utvalget har i arbeidet med forslaget til ny universitets- og høyskolelov lagt uttalelser og tolkninger fra Justis- og beredskapsdepartementet og Datatilsynet til grunn for analyser og drøftinger.

Personopplysningsloven og personvernforordningen er dels en kodifisering og dels en videreføring av tidligere regler. Universitets- og høyskolesektoren møter – som andre samfunnsområder – utfordringer knyttet til rekkevidden av personvernforordningen, for eksempel spørsmål om hvordan personopplysninger skal håndteres i forskningsprosjekter. Universiteter og høyskoler skal og må følge norsk regelverk, men å overoppfylle kravene i frykt for å pådra seg ansvar vil være uheldig om dette samtidig fører til unødig ressursbruk og byråkratisering. Utvalget ser at det er behov for avklaringer av hvor langt personvernforordningen rekker i forbindelse med forskningsprosjekter, for å sikre en ensartet forståelse i sektoren. I den forbindelse vil det også være nyttig å bygge på erfaringen fra andre land. Utvalget har i punkt 34.4 kommet med noen tanker rundt forskning, men utvalget er ikke sammensatt med sikte på å gi en utredning om personvernutfordringer innenfor forskning, og vil oppfordre departementet til, i samarbeid med Datatilsynet, å lage en veileder til bruk for sektoren.

34.3 Hensyn og begreper i personvernreguleringen

34.3.1 Hva er personopplysninger?

Med personopplysninger menes opplysninger og vurderinger som kan knyttes til en enkeltperson, jf. personvernforordningen artikkel 4. Typiske personopplysninger er navn, adresse, telefonnummer, e-post og fødselsnummer. Et bilde regnes som en personopplysning dersom personer kan gjenkjennes, og lydopptak kan være personopplysninger selv om ingen navn blir nevnt i innspillingen. Biometriske kjennetegn, slik som fingeravtrykk, irismønster, og hodeform (for ansiktsgjenkjenning) er også personopplysninger.

Videre er opplysninger om adferdsmønstre regnet som personopplysninger. Opplysninger om hva du handler, hvilke butikker du går i, hvilke tv-serier du ser på, hvor du fysisk beveger deg i løpet av en dag, og hva du søker etter på nettet er eksempler på dette.

34.3.2 Særlige kategorier av personopplysninger

Utgangspunktet i personvernforordningen er at behandling av «særlige kategorier av personopplysninger» er forbudt, med mindre behandlingen er nødvendig av hensyn til viktige samfunnsinteresser, behandlingen er hjemlet i lov, det er iverksatt egnede og særlige tiltak, og så videre. Det er strenge vilkår som må oppfylles før unntak kan tillates, jf. personvernforordningen artikkel 9 bokstav g.

Særlige kategorier av personopplysninger omtales i universitets- og høyskoleloven som «sensitive» personopplysninger. Slike personopplysninger omfatter blant annet opplysninger om en persons rasemessige eller etniske opprinnelse, politiske oppfatning og religion. Det kan også inkludere filosofisk overbevisning eller fagforeningsmedlemskap, genetiske opplysninger, biometriske opplysninger, helseopplysninger og opplysninger om en fysisk persons seksuelle orientering. Artikkel 9 nr. 1 i personvernforordningen oppstiller hovedregelen om at det er forbudt å behandle denne typen opplysninger. Slike opplysninger kan bare behandles hvis behandlingen oppfyller et av vilkårene i artikkel 9 i forordningen, hvis den registrerte samtykker, eller hvis det foreligger lovbestemt adgang til å behandle dem. I tillegg må det foreligge behandlingsgrunnlag etter artikkel 6.

34.3.3 Krav til identifisering

I de fleste tilfeller er det tilstrekkelig å bruke navn og fødselsdato for å sikre riktig identifisering av en person. I forbindelse med behandling av opplysninger om svært mange personer kan det imidlertid foreligge en reell risiko for at det er registrert flere personer med samme navn og samme fødselsdato i systemet. I den nasjonale opptaksmodellen og i de studieadministrative systemene behandler for eksempel utdanningsinstitusjonene opplysninger om svært mange personer. Det er derfor behov for entydig identifisering. Fødselsnummeret (elleve siffer) er et unikt identifiseringsnummer og er med det en personopplysning. Fødselsnummeret regnes ikke som en sensitiv opplysning og er ikke taushetsbelagt. Fødselsnummer kan likevel bare brukes når det er et saklig behov for det, og sikker identifisering ikke kan oppnås på annen måte, jf. personopplysningsloven § 12.

34.3.4 Behandlingsgrunnlag og behandling av personopplysninger

For å behandle personopplysninger må man ha et lovlig grunnlag for behandlingen. Dette omtales som behandlingsgrunnlag. Det er nytt med personvernforordningen at all behandling må ha grunnlag i artikkel 6 nr. 1. Nasjonal lovgivning kan gi supplerende rettslig grunnlag, men gir ikke behandlingsgrunnlag i seg selv.

De mest aktuelle behandlingsgrunnlagene for universitets- og høyskolesektoren er samtykke (bokstav a), behandlingen er nødvendig for å oppfylle en rettslig forpliktelse som påhviler den behandlingsansvarlige (bokstav c) og oppgave i allmennhetens interesse (bokstav e). Behandlingsgrunnlag etter artikkel 6 nr. 1 bokstav e krever i tillegg et supplerende grunnlag i nasjonal rett.

Med begrepet «behandling av personopplysninger» menes enhver bruk av personopplysninger, for eksempel innsamling, registrering, sammenstilling, lagring og utlevering, eller en kombinasjon av slike bruksmåter.

34.3.5 Behandlingsansvarlig

«Behandlingsansvarlig» er i personvernforordningen definert som den som bestemmer formålet med behandlingen av personopplysningene og hvilke midler som skal brukes, jf. artikkel 4 nr. 7. Ansvaret for den behandlingsansvarlige er utdypet i artikkel 24.

Personvernforordningen skiller mellom begrepene «behandlingsansvarlig» og «databehandler». Den behandlingsansvarlige bestemmer over personopplysningene, mens databehandleren opptrer på vegne av den behandlingsansvarlige. Databehandleren kan derfor bare behandle personopplysninger etter instruks fra den behandlingsansvarlige.

Den behandlingsansvarlige har plikt til å sørge for å dokumentere at behandlingen av personopplysninger skjer i samsvar med forordningen. Den behandlingsansvarlige, som for eksempel kan være en utdanningsinstitusjon, en forskningsinstitusjon eller et helseforetak, er den som bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes.

Når den behandlingsansvarlige skal utlevere personopplysninger fra et register, må den behandlingsansvarlige selv vurdere om utleveringen er i tråd med registerets formål. Ved sammenstilling av personopplysninger fra flere registre, må hver behandlingsansvarlig gjøre disse vurderingene.

Når flere parter samarbeider om et forskningsprosjekt eller helseregister, må de avklare hvem som er behandlingsansvarlig og hvem som er databehandler. De kan også ha felles behandlingsansvar. Når én av partene er databehandler, må det inngås en databehandleravtale.8 Når partene har felles behandlingsansvar, må de inngå en avtale som klart fordeler ansvaret dem imellom.

34.3.6 Taushetsplikt

Forvaltningsloven § 13 fastsetter regler om taushetsplikt for offentlige tjenestemenn og andre som utfører tjeneste eller arbeid for et forvaltningsorgan.9 Taushetsplikten innebærer en plikt til å holde visse opplysninger hemmelig, slik at andre ikke får kjennskap til dem. Det vil si at man plikter å tie om opplysninger og skal sørge for at uvedkommende ikke får tak i dokumenter eller notater hvor slike opplysninger finnes. Taushetsplikten gjelder ikke overfor personen opplysningene gjelder. Hvis denne personen samtykker til at andre kan få kjennskap til opplysninger om ham eller henne, oppheves taushetsplikten. Det er de opplysningene man får kjennskap til i forbindelse med tjenesten sin eller arbeidet sitt som er underlagt disse reglene. Taushetsplikten gjelder også etter at et arbeidsforhold opphører.

34.4 Deling av forskningsdata og utfordringer med overføring av personopplysninger ut av EØS

34.4.1 Deling av forskningsdata

Det nye personvernregelverket gir forskere og forskningsinstitusjoner nytt ansvar. De nasjonale forskningsetiske komiteene10 viser i en redegjørelse på sine nettsider til at det er forskjell mellom personvernregler og forskningsetikk:

Hensynet til personer utgjør utvilsomt en vesentlig del av forskningsetikken. Det er en stor grad av overlapp mellom det juridiske rammeverket og det NESH 201611 sier om personvern. Men personvernregelverket kan ikke alene gi svar på de mange utfordringene forskere og andre vil møte på i håndteringen av personopplysninger fremover. Den teknologiske utviklingen gir forskere enorme muligheter for tilgang til data, nye sammenstillinger og bruk. Nasjonale og internasjonale retningslinjer, som NESHs retningslinjer eller Helsinki-deklarasjonen, er verktøy for å utdype det etiske ansvaret forskere har overfor dem det forskes på og andre som berøres av forskningen.

Personvernforordningen omtaler blant annet «vitenskapelig forskning» i fortalen punkt 159:

Når personopplysninger behandles i forbindelse med formål knyttet til vitenskapelig forskning, bør denne forordning også få anvendelse på slik behandling. I denne forordning bør behandling av personopplysninger i forbindelse med formål knyttet til vitenskapelig forskning tolkes vidt og f.eks. omfatte teknologisk utvikling og demonstrasjon, grunnleggende forskning, anvendt forskning og privatfinansiert forskning. I tillegg bør den ta hensyn til Unionens mål om å skape et europeisk forskningsområde i henhold til artikkel 179 nr. 1 i TEUV. Formål knyttet til vitenskapelig forskning bør også omfatte studier som utføres i allmennhetens interesse på området folkehelse. For å ta hensyn til de særlige forholdene som gjelder ved behandling av personopplysninger i forbindelse med vitenskapelig forskning, bør særlige vilkår få anvendelse, særlig med hensyn til publisering eller annen utlevering av personopplysninger i forbindelse med nevnte formål. Dersom resultatet av den vitenskapelige forskningen, særlig på området helse, berettiger ytterligere tiltak i den registrertes interesse, bør de allmenne bestemmelsene i denne forordning få anvendelse med henblikk på nevnte tiltak.

Begrepet «vitenskapelig forskning» skal tolkes vidt, og det gis eksempler på virksomhet som er omfattet av begrepet – for eksempel teknologisk utvikling og demonstrasjon, grunnforskning og anvendt forskning. Virksomhet som faller inn under begrepet «vitenskapelig forskning» har gjennom personvernforordningen fått enkelte særlige bestemmelser, for eksempel i artiklene 9 og 89, og i personopplysningsloven. I tillegg brukes begrepet «akademiske ytringer» i artikkel 85 i personvernforordningen og § 3 i loven.

Det følger av personopplysningsloven § 3 at for «behandling av personopplysninger utelukkende […] med henblikk på akademiske, kunstneriske eller litterære ytringer gjelder bare bestemmelsene i personvernforordningen artikkel 24, 26, 28, 29, 32 og 40 til 43, jf. personvernforordningen kapittel VI og VIII og kapittel 6 og 7 i loven her».

I forarbeidene til denne bestemmelsen i personopplysningsloven12 står det i merknaden om forholdet mellom ytrings- og informasjonsfriheten:

Bestemmelsen gjør av hensyn til ytrings- og informasjonsfriheten unntak fra de fleste av forordningens regler ved behandling utelukkende for journalistiske formål eller med henblikk på akademiske, kunstneriske eller litterære ytringer, jf. forordningen artikkel 85. Anvendelsesområdet for journalistiske, kunstneriske og litterære formål er det samme som etter gjeldende rett, herunder at bestemmelsen kun kommer til anvendelse for behandling som skjer utelukkende for disse formålene, se Ot.prp. nr. 92 (1998–99) side 107–108 og Prop. 47 L (2011–2012) side 41. I tråd med forordningen artikkel 85 omfatter bestemmelsen også behandling utelukkende med henblikk på akademiske ytringer. Akademiske ytringer skal forstås på samme måte som i forordningen artikkel 85, jf. punkt 14.2 over.

I forskningsetikken er vitenskapelig forskning kjennetegnet ved å oppfylle vitenskapelige normer om for eksempel originalitet, åpenhet, etterprøvbarhet og uavhengighet.

Personvernregelverket tillater å viderebehandle personopplysninger til forskningsformål uten nytt behandlingsgrunnlag, så fremt det er den samme behandlingsansvarlige som står for behandlingen. Dette betyr at forskningsinstitusjoner/forskere som har samlet inn personopplysninger til forskning kan bruke opplysningene i andre forskningsprosjekter med samme behandlingsansvarlig. Det samme gjelder hvis forskerne skal sammenstille personopplysningene for å utlevere dem til andre behandlingsansvarlige. Forskere som mottar personopplysninger fra en annen behandlingsansvarlig, må derimot passe på å ha eget behandlingsgrunnlag for viderebehandlingen.

Regelverket gir ikke noe fasitsvar på hvor lenge man kan oppbevare personopplysninger, det må den behandlingsansvarlig vurdere blant annet ut fra prinsipper om dataminimering. I helseforskning går oppbevaringstiden frem av vedtak gjort av REK13, men personvernregelverket gjelder uansett. Utenfor helseforskning er det ikke lenger melde- eller konsesjonsplikt. Det betyr at den behandlingsansvarlig har et selvstendig ansvar for å overholde personvernreglene. Medisinsk forskning er også regulert av helseforskningsloven, og alle prosjekter må godkjennes av REK før de kan starte. Disse komiteene vurderer nytten av forskningen opp mot risikoen og om personvernet er sikret.

34.4.2 Overføring av personopplysninger ut av EØS

EUs personvernforordning14 gjelder for EØS15. Når personopplysninger overføres til et land som er etablert utenfor EØS, og som ikke er underlagt personvernforordningsregler, gjelder spesielle krav for overføringen, slik at beskyttelsesnivået som gjelder i EØS, ikke undergraves. Personopplysningene må behandles på en forsvarlig måte, selv om de er utenfor forordningens virkeområde.

Datatilsynet16 har uttalt følgende:

[Det er ikke lenger slik at] kun den behandlingsansvarlige har plikter ved overføring til utlandet; databehandlere har et selvstendig ansvar til å overføre personopplysninger i tråd med regelverket. Tidligere var det nødvendig med forhåndsgodkjenning og/eller varsling før overføring kunne finne sted. […] Reglene om overføring til tredjestater kommer i tillegg til alle de andre forpliktelsene etter forordningen. […] virksomheten må føre protokoll over om og til hvem personopplysninger overføres.

Som nevnt tidligere i kapittelet så følger det av personvernforordningen at all behandling av personopplysninger krever et behandlingsgrunnlag, jf. artikkel 6. I tillegg til at personvernforordningen oppstiller krav om at man må ha et behandlingsgrunnlag, må man når man overfører personopplysninger til tredjeland, sørge for at beskyttelsesnivået i personvernforordningen og personopplysningsloven ikke undergraves. Alle landene innenfor EØS har gjennomført personvernforordningen og slik sikret at personopplysninger behandles forsvarlig. Derfor kan personopplysninger fritt overføres til disse landene, forutsatt at personvernforordningen og personopplysningslovens øvrige vilkår er oppfylt.

Ved overføring av personopplysninger til tredjeland gjelder reglene i personvernforordningen kapittel 5. Hvilke vilkår som gjelder for overføring i disse tilfellene avhenger av hvilket land som er mottaker av personopplysningene.

Det følger av en redegjørelse17 fra Datatilsynet at

Europakommisjonen har mandat til å ta en beslutning om at en tredjestat eller internasjonal organisasjon har et tilstrekkelig vernenivå (jf. personvernforordningen artikkel 45). Det vil si at staten har regler som ivaretar den registrertes rettigheter på en tilsvarende måte som land i EØS-området.

Per i dag har 13 land fått en beslutning om tilstrekkelig vernenivå.18 Dette innebærer at personopplysninger kan overføres til disse landene på samme vilkår som overføring til land som er med i EØS. Personopplysninger kan overføres til disse landene uten at det er nødvendig å innhente ytterlig godkjenning fra Datatilsynet.

Når det ikke foreligger en beslutning om tilstrekkelig beskyttelsesnivå fra Europakommisjonen, kan personopplysninger overføres dersom mottakeren har gitt «nødvendige garantier», og under forutsetning av at den registrerte har håndhevbare rettigheter og effektive rettsmidler, jf. personvernforordningen artikkel 46. Disse garantiene kan blant annet gis ved bruk og inngåelse av standardkontrakter (Standard Contractual Clauses) utarbeidet av Europakommisjonen.

For overføring til USA gjelder kommisjonsbeslutningen om Privacy Shield.19 Denne beslutningen omfatter selskaper som er etablert i USA og har sertifisert seg etter Privacy Shield avtalen20. Hvis en utdanningsinstitusjon skal benytte seg av Privacy Shield, må den kontrollere at mottakeren står oppført på listen over Privacy Shield-sertifiserte virksomheter. Listen oppdateres årlig, og man må derfor kontrollere dette hvert år. Institusjonen må også vurdere om overføringen er i samsvar med grunnkravene i personvernforordningens artikkel 5, som omhandler prinsippene for behandling av personopplysninger.

Overføring av personopplysninger med forskere i USA har skapt utfordringer for norske forskere. I en kronikk21 publisert i the Lancet22 7. november 2019 viser en rekke forskere ved Kreftregisteret til at personvernreglene går utover forskningen og setter en stopper for internasjonalt arbeid. De skriver at sykdomsforskning krever store datasett med data fra mange individer, og at dette bare er mulig å innhente når forskere kan dele individuelle data med hverandre. Forskerne viser til at det med dagens regler om datadeling utenfor EØS er vanskelig å få til dette. I kronikken ber de derfor EU-kommisjonen om å finne løsninger for hvordan personvernforordningen kan muliggjøre og ivareta forskningssamarbeid på tvers av landegrensene, også med land som ikke er regulert av forordningen. Dette gjelder spesielt USA.

Utvalget ser utfordringen med deling av forskningsdata med land både innenfor og utenfor EØS. Utvalget mener at departementet bør se nærmere på dette i forbindelse med det forestående lovarbeidet.

34.5 Studieadministrative systemer og Samordna opptak

34.5.1 Gjeldende rett

Personopplysningsloven gjelder for behandling av personopplysninger som helt eller delvis skjer ved bruk av elektroniske/digitale hjelpemidler. Personopplysninger skal bare brukes til uttrykkelig angitte formål som er saklig begrunnet i den behandlingsansvarliges virksomhet, og disse personopplysningene kan ikke senere brukes til formål som er uforenlige med det opprinnelige formålet med innsamlingen, med mindre den registrerte samtykker.

Personvernforordringens artikkel 6 nr. 1 angir når personopplysninger kan behandles. De mest aktuelle behandlingsgrunnlagene som er lagt til grunn i universitets- og høyskoleloven §§ 4-15 og 4-16 er å oppfylle en avtale med den registrerte, jf. forordningens artikkel 6 nr. 1 bokstav b, å utføre en oppgave av allmenn interesse eller å utøve offentlig myndighet, jf. artikkel 6 nr. 1 bokstav e.

Bestemmelsene om innhenting og behandling av personopplysninger i de studieadministrative systemene (§ 4-15) og i det samordnede opptaket (§ 4-16), ble tilføyd i universitets- og høyskoleloven ved lov 15. juni 2018 nr. 43. Forut for høringen ble det utarbeidet en personvernkonsekvensutredning som la grunnlaget for lovendringene.

34.5.1.1 Studieadministrative systemer

Bestemmelsen i universitets- og høyskoleloven § 4-15 gjelder de studieadministrative systemene ved utdanningsinstitusjonene. Systemet som er i bruk ved alle de statlige universitetene og høyskolene, samt noen private institusjoner, er Felles studentsystem (FS). Institusjonene er behandlingsansvarlige for sine FS-databaser, og Direktoratet for IKT og fellestjenester i høyere utdanning og forskning (Unit) har rollen som databehandler.

Det finnes andre studieadministrative systemer i universitets- og høyskolesektoren enn Felles studentsystem. Betegnelsen «studieadministrative systemer» brukes som en fellesbetegnelse i bestemmelsen for å inkludere alle studieadministrative systemer i sektoren.

34.5.1.2 Samordna opptak

Universitets- og høyskoleloven § 4-16 gjelder det samordnede opptaket til høyere utdanning. Det er Unit ved Samordna opptak som forvalter den nasjonale opptaksmodellen. Opptaksmodellen består av flere deler, blant annet Søkerportalen, Nasjonal vitnemålsdatabase (NVB) og Felles studentsystem. Opptak til de fleste grunnutdanninger skjer gjennom Samordna opptak, mens lokale opptak til enkeltemner, enkelte grunnutdanninger og masteropptak foregår lokalt ved institusjonene. Lokale opptak skjer gjennom Felles studentsystem og tilhørende applikasjoner (Søknadsweb).

Det samordnede opptaket blir gjennomført gjennom et samarbeid mellom utdanningsinstitusjonene og Samordna opptak. I det samordnede opptaket registrerer søkeren sin søknad, og utdanningsinstitusjonene utfører saksbehandling for hverandre. Det vil si at det er én utdanningsinstitusjon som er ansvarlig for å behandle søknaden, selv om søkeren har søkt på utdanninger ved flere ulike institusjoner. Selve vedtaket blir fattet gjennom opptakssystemet til Samordna opptak, og det er Samordna opptak som er ansvarlig for å distribuere vedtakene til de enkelte søkerne på vegne av utdanningsinstitusjonene. Se ellers omtalen av opptaket til høyere utdanning i kapittel 17.

Det er Unit som er behandlingsansvarlig for personopplysningene i det samordnede opptaket.

34.5.1.3 Særlige kategorier av personopplysninger (sensitive)

Bestemmelsene i universitets- og høyskoleloven §§ 4-15 og 4-16 inneholder hjemmel for å tillate behandling av særlige kategorier av personopplysninger. Både Samordna opptak og utdanningsinstitusjonene behandler slike opplysninger i forbindelse med blant annet opptak til studier og søknader om utsatt eksamen.

Det er søkeren som er ansvarlig for å legge frem dokumentasjon om slike personlige forhold som er nødvendige for å begrunne søknader om tilrettelegging av undervisning, utsatt eksamen, opptak etter særskilt vurdering og lignende. Utdanningsinstitusjonene eller Samordna opptak kan innhente og behandle særlige kategorier av personopplysninger når studenten selv har gitt disse opplysningene eller har samtykket til at institusjonen kan innhente dem. Utdanningsinstitusjonene og Samordna opptak skal behandle opplysningene i samsvar med forvaltningslovens regler om taushetsplikt, jf. forvaltningsloven § 13.

Personopplysninger er taushetsbelagte dersom de handler om «noens personlige forhold», jf. forvaltningsloven § 13. Ordet «personlige», indikerer at det må dreie seg om informasjon som knytter seg til en bestemt person og som man vanligvis ønsker å holde for seg selv. I forarbeidene til forvaltningsloven heter det at «en rekke opplysninger om den enkeltes utdanning» naturlig må regnes som personlige.23 Det må vurderes konkret for de ulike opplysningene om de gjelder «noens personlige forhold». For eksempel er ikke informasjon om studiested underlagt taushetsplikt. Tidligere var karakterer fra høyere utdanning regnet som offentlige opplysninger, og på enkelte studieretninger ble disse offentlig publisert. Etter hvert har karakterer i større grad gått over til å regnes som private forhold. Offentleglova bygger på at karakterer fra høyere utdanning ikke regnes som taushetsbelagt informasjon, men gir likevel en hjemmel for å unnta karakterer fra innsyn ut fra deres sensitive karakter, jf. offentleglova § 26 (se Ot.prp. nr. 102 (2004–2005) Om lov om rett til innsyn i dokument i offentleg verksemd (offentlighetsloven) side 97).

34.5.1.4 Automatiserte avgjørelser

For å sikre den registrertes rettigheter i møte med automatiserte avgjørelser, oppstiller personvernforordningen regler for denne typen avgjørelser. Artikkel 22 nr. 1 gir den registrerte rett til ikke å være gjenstand for en avgjørelse som utelukkende er basert på automatisert behandling når avgjørelsen har rettsvirkning for, eller på tilsvarende måte i betydelig grad påvirker, vedkommende. Artikkel 22 nr. 2 bokstav a til c gjør unntak fra hovedregelen. Bokstav b sier at automatisert behandling likevel kan skje i slike saker dersom behandlingen er hjemlet i nasjonal rett og det er fastsatt egnede tiltak for å verne den registrertes rettigheter, friheter og berettigede interesser. Det følger av artikkel 22 nr. 4 at avgjørelsene nevnt i nr. 2 ikke kan bygge på særlige kategorier av personopplysninger med mindre det foreligger samtykke etter artikkel 9 nr. 2 bokstav a eller behandlingen er nødvendig av hensyn til viktige samfunnsinteresser etter artikkel 9 nr. 2 bokstav g. I tillegg må det være innført egnede tiltak for å verne den registrertes rettigheter, friheter og berettigede interesser.

Universitets- og høyskoleloven § 4-15 fjerde ledd og § 4-16 andre ledd hjemler muligheten for utdanningsinstitusjonen og Samordna opptak til å foreta automatiserte avgjørelser. Et eksempel på automatisert saksbehandling i det samordnede opptaket er automatisk beregning av poengsum fra elektroniske vitnemål. Når det gjelder de studieadministrative systemene, så innvilges eksamens- og undervisningsmeldinger etter automatisert saksbehandling.

Forvaltningslovens regler om saksbehandling vil også gjelde i tilfeller hvor det treffes vedtak etter automatisert saksbehandling. Den personen som vedtaket retter seg mot, vil derfor ha rettigheter både som «den registrerte» etter personvernregelverket og som «part» etter forvaltningsloven. For eksempel vil kravene om veiledning, utredningsplikt, begrunnelse og klagerett i forvaltningsloven også gjelde ved automatisert saksbehandling når de gjelder for tilsvarende ikke-automatisert behandling. Det vil da bli kontrollert manuelt om de digitale studieadministrativsystemene og opptakssystemene har fattet et korrekt vedtak i henhold til gjeldende lover og forskrifter. I utkastet til ny forvaltningslov har lovutvalget foreslått regler om helautomatisert saksbehandling, jf. utkastet til § 11 (se nærmere NOU 2019: 5 Ny forvaltningslov s. 259–268).

34.5.1.5 Krav om politiattest ved opptak

Ved opptak til enkelte studieprogrammer stilles det krav om at søkerne legger frem politiattest før studiestart. Kravet om politiattest er hjemlet i dagens universitets- og høyskolelov § 4-9. Politiet har innført digitale politiattester. For å sikre at de politiattestene som blir levert til institusjonene, er autentiske, har man gjort det mulig for studentene å levere politiattest elektronisk til utdanningsinstitusjonene. I tillegg inneholder en politiattest med merknader særlige kategorier av (sensitive) personopplysninger. Det fremgår av personvernforordringens artikkel 10 at behandlingen av opplysninger om straff krever hjemmel i nasjonal lov. Det er fastsatt i universitets- og høyskoleloven § 4-15 femte ledd at digitale politiattester kan lastes opp digitalt og behandles i de studieadministrative systemene.

34.5.2 Utvalgets vurderinger

Det er utvalgets oppfatning at regelverket virker etter sin hensikt. Utvalget viser til at universiteter og høyskoler kan behandle personopplysninger om en søker, student eller doktorgradskandidat når formålet med behandlingen er å ivareta den registrertes rettigheter eller å oppfylle institusjonens oppgaver og plikter etter universitets- og høyskoleloven.

Utvalget foreslår å videreføre bestemmelsene om behandling av personopplysninger i de studieadministrative systemene og i forbindelse med opptaket til høyere utdanning (Samordna opptak), men med enkelte språklige presiseringer. Disse presiseringene er ikke ment å endre gjeldende rett.

34.6 Nasjonal vitnemåls- og karakterportal

34.6.1 Gjeldende rett

Etter universitets- og høyskoleloven § 3-11 utsteder universiteter og høyskoler vitnemål om fullført utdanning. Den som ikke har avsluttet utdanning, skal på forespørsel få karakterutskrift for eksamenene eller prøvene vedkommende har bestått. Vitnemål og karakterutskrift utstedes i dag på papir. Bestemmelsen om Nasjonal vitnemåls- og karakterportal i universitets- og høyskoleloven § 4-14 ble tilføyd ved lov 17. juni 2016 nr. 69. Personopplysningsloven gjelder også for dette digitale systemet for utveksling av informasjon om vitnemål og karakterer.

Bakgrunnen for lovbestemmelsen var at forfalskning av vitnemål og karakterutskrifter var et stort problem, og at det ble brukt store ressurser på å kontrollere slike dokumenter. Målet med å etablere et digitalt system for utveksling av informasjon om vitnemål og karakterer var å skape en tjeneste der personer på en enkel måte kunne synliggjøre sine resultater for potensielle arbeidsgivere, utdanningsinstitusjoner og andre, og der mottakerne kunne stole på at resultatene var korrekt gjengitt.

I Vitnemålsportalen blir det behandlet personopplysninger som navn og fødselsnummer. Personopplysningsloven krever at det foreligger et behandlingsgrunnlag for at det skal være tillatt å behandle slike opplysninger. Det kan enten være fastsatt i lov at det er adgang til slik behandling, eller den registrerte kan ha samtykket. Behandlingen er i dag hjemlet i universitets- og høyskoleloven § 4-14.24

Selve portalen inneholder bare et minimum av informasjon som er nødvendig for at tjenesten skal kunne fungere på en tilfredsstillende måte. Informasjonen som formidles gjennom tjenesten, hentes fra datakilden der informasjonen opprinnelig er lagret, det vil si fra den enkelte utdanningsinstitusjonens studieadministrative system. Dette betyr at portalen ikke inneholder resultater i form av vitnemål og karakterer, men bare er et system for å hente denne informasjonen fra databasene til utdanningsinstitusjonene. Før en person logger inn og tar i bruk portalen, vil den bare inneholde informasjon om hvilke institusjoners databaser som inneholder resultater fra hvilke personer, altså bare fødselsnummer (eller D-nummer) koblet til en identifiseringsinformasjon som viser til en utdanningsinstitusjons database. Informasjon om karakterer og vitnemål vil bare bli overført fra utdanningsinstitusjonen til portalen når den som informasjonen gjelder, selv tar initiativ til det. Når en person velger å dele resultatene sine, med for eksempel en potensiell arbeidsgiver eller utdanningsinstitusjon, vil portalen bare formidle de resultatene som vedkommende har bestemt at skal deles, og bare i den perioden vedkommende har bestemt at de skal være tilgjengelige. Det er Unit som er behandlingsansvarlig for personopplysningene i portalen.

34.6.2 Utvalgets vurderinger

Utvalget viser til at Unit har gitt innspill om at det er behov for endringer i universitets- og høyskoleloven § 4-14.25 Unit mener at formålet til Vitnemålsportalen bør utvides, slik at portalen ikke bare verifiserer informasjon om vitnemål og karakterer, men også annen kompetanse. Unit viser til at dersom loven bruker et vidt begrep som «kompetanse», vil det ikke være behov for å endre lovens ordlyd hver gang nye aktører eller datakilder blir klare for å koble seg til Vitnemålsportalen. «Kompetanse» vil for eksempel kunne omfatte opplysninger fra Aa-registeret26 og tolkeregisteret og vedtak fra Nasjonalt organ for kvalitet i utdanningen (NOKUT) om godkjenning av utenlandsk høyere utdanning. Unit foreslår også en endring slik at det ikke bare er informasjon fra utdanningsinstitusjoner som kan innhentes, men også informasjon fra andre datakilder.

Det er utvalgets oppfatning at dagens regelverk virker etter sin hensikt, og utvalget foreslår å videreføre bestemmelsene om den nasjonale vitnemåls- og karakterportalen med enkelte språklige justeringer. Utvalget har registrert Units innspill om å endre bestemmelsene om Vitnemålsportalen slik at de inkluderer annen kompetanse enn karakterer og vitnemål, og slik at de åpner for å innhente informasjon også fra andre datakilder enn utdanningsinstitusjoner. Utvalgets vurdering er at dette kan være et hensiktsmessig tiltak, men at en slik materiell endring, som kan ha konsekvenser for personvernet, bør utredes nærmere før den eventuelt foreslås. Utvalget er kjent med at Kunnskapsdepartementet holder på med et arbeid med forslag til nye lovbestemmelser for å oppfylle kravene som følger av personvernforordningen. I den forbindelse må blant annet de personvernmessige konsekvensene utredes, og utvalget legger til grunn at departementet også vurderer Units innspill.

34.7 Register for sanksjonerte søkere og studenter

34.7.1 Gjeldende rett

Hjemmelen for Register for utestengte studenter (RUST) i universitets- og høyskoleloven § 4-12 ble tilføyd ved lov 20. juni 2014 nr. 55. RUST gjør det mulig å formidle blant annet vedtak om utestenging trygt og effektivt. Betegnelsen «utestenging» i denne bestemmelsen omfatter både vedtak om opptakskarantene etter universitets- og høyskoleloven § 3-7 åttende ledd og vedtak om utestenging etter §§ 4-8 første til tredje ledd og 4-10 tredje ledd. RUST er en database som skal kommunisere med institusjonenes datasystemer, i all hovedsak Felles studentsystem.

Vedtak om utestenging som de aktuelle institusjonene, Samordna opptak og NOKUT skal informeres om, registreres lokalt ved institusjonen der vedtaket fattes. Informasjonen videreformidles via Felles studentsystem til de aktuelle institusjonene, Samordna opptak og NOKUT når det er relevant. Studenten eller søkeren informeres også om registreringen. Vedtaket slettes automatisk fra institusjonene som har registrert eller mottatt informasjonen når utestengingsperioden er utløpt.

Hensikten med informasjonsutvekslingen gjennom registeret er å opplyse institusjonene om vedtak vedrørende opptakskarantene, eksamenskarantene og utestenging som har virkning utover institusjonen vedtaket er fattet ved. Dette vil hindre at studenter får opptak til, eller tar eksamen ved, andre institusjoner når det foreligger et sanksjonsvedtak. Informasjonsutvekslingen er også begrunnet i at studentene ikke skal kunne benytte seg av falske dokumenter ved andre institusjoner.

Det er bare informasjon om vedtak som får konsekvenser ved andre utdanningsinstitusjoner, som skal overføres til RUST. Tilgangen til informasjonen i RUST begrenses ved at informasjonen bare videreformidles via Felles studentsystem til institusjoner, Samordna opptak og NOKUT når denne informasjonen er relevant og nødvendig for deres virksomhet. Dette vil gjelde institusjoner den aktuelle personen søker om opptak til, eller i tilfeller der vedkommende er student ved en utdanning som det gjelder et utestengingsvedtak for. Informasjonen til Samordna opptak og NOKUT om eventuelle utestengingsvedtak bidrar til at det blir mulig å avvise en søknad om opptak til høyere utdanning eller godkjenning av utenlandsk utdanning fra en person med et utestengingsvedtak på seg.

34.7.2 Utvalgets vurderinger

Unit har gitt innspill til utvalget vedrørende universitets- og høyskoleloven § 4-12.27 Unit viser til at informasjonen i registeret ikke bare er begrenset til utestengte studenter. Det inneholder også informasjon om studenter som har fått et vedtak om eksamenskarantene, eller er funnet uskikket til et yrke. Videre inneholder registeret informasjon om søkere som har fått opptakskarantene. Navnet på registeret, Register for utestengte studenter er derfor ikke dekkende for den informasjonen registeret inneholder, og Unit opplever at mange misforstår hva registeret brukes til, på grunn av ordet «utestengte». Unit foreslår derfor å endre navnet på registeret til Register for sanksjonerte søkere og studenter.

Det følger blant annet av universitets- og høyskoleloven § 4-12 andre ledd at institusjonen skal registrere informasjon i registeret om vedtak etter § 3-7 åttende ledd, § 4-8 første til tredje ledd og § 4-10 tredje ledd, som får konsekvenser for opptak til studier og rett til å gå opp til eksamen ved andre institusjoner. «Når vedtakets periode er utløpt, skal informasjonen om vedtaket slettes fra registeret».

Dette er bare delvis korrekt, siden universiteter og høyskoler ikke registrerer informasjon om vedtak direkte i registeret, men i sitt studieadministrative system. Deretter blir informasjonen overført til registeret. Det foreslås derfor å endre ordlyden i andre ledd første punktum.

Det går frem av universitets- og høyskoleloven § 4-12 andre ledd andre punktum at «[n]år vedtakets periode er utløpt, skal informasjonen om vedtaket slettes fra registeret». Unit har spilt inn til utvalget at det er behov for å presisere at vedtaket også skal slettes fra institusjonens studieadministrative system. Utvalget er enig i Units innspill om å endre ordlyden i universitets- og høyskoleloven § 4-12 og foreslår at bestemmelsen endres slik det er foreslått i innspillet. Dette vil bringe bestemmelsen mer i tråd med praksis. Når det gjelder navnet på registeret, foreslår utvalget at dette i henhold til Units innspill endres til Register for sanksjonerte søkere og studenter.

34.8 Rapportering av individdata til database for statistikk om høyere utdanning

34.8.1 Gjeldende rett

Universitets- og høyskoleloven § 7-8 regulerer rapportering og behandling av personopplysninger i «en database for statistikk om høyere utdanning».

Database for statistikk om høgre utdanning (DBH) er en nasjonal database for statistikk om blant annet studenter, utdanning, forskning, personale og økonomien ved universiteter og høyskoler i Norge. Databasen ble etablert på initiativ fra Kunnskapsdepartementet for å samle og gjøre tilgjengelig data om høyere utdanning og forskningssektoren i Norge. Forvaltningen og driften av databasen er lagt til Norsk senter for forskningsdata (NSD), som er en forskningsinstitusjon som arkiverer, tilrettelegger og formidler data til forskningsmiljøer i Norge og internasjonalt. Formålet med DBH er å legge til rette for statistikk, utredning og forskning og for departementets forvaltning og styring av høyere utdanning. Personopplysningene skal bare brukes i den utstrekning det er nødvendig for å oppnå dette formålet, og behandlingen er ellers underlagt øvrige begrensninger etter personvernregelverket som til enhver tid gjelder. Data og statistikk fra DBH er en del av grunnlaget for Kunnskapsdepartementets forvaltning og styring av universiteter og høyskoler. Bestemmelsen i universitets- og høyskoleloven § 7-8 ble tilføyd ved lov 15. juni 2018 nr. 43.

Det er Kunnskapsdepartementet som er behandlingsansvarlig for individdataene som samles inn i DBH, mens NSD er databehandler. I henhold til databehandleravtalen skal NSD, på vegne av Kunnskapsdepartementet, samle inn personopplysninger fra universiteter og høyskoler. Avtalen sier også at NSD på visse vilkår kan utlevere personopplysninger til mottakere som har lovlig behandlingsgrunnlag. Data fra DBH samordnes og utleveres i dag blant annet til Helsedirektoratet, NOKUT, Nordisk institutt for studier av innovasjon, forskning og utdanning (NIFU), Lånekassen, Direktoratet for internasjonalisering og kvalitetsutvikling (Diku) og Statistisk sentralbyrå (SSB). Hver av disse organene blir behandlingsansvarlig for personopplysningene de mottar.

Selv om personopplysninger samles inn i DBH, benyttes alltid tall på aggregert nivå ved publisering i DBH eller i departementets publikasjoner og som grunnlag for styringen av sektoren.

34.8.2 Utvalgets vurderinger

Utvalget ser ikke behov for å gjøre materielle endringer og foreslår å videreføre bestemmelsen i universitets- og høyskoleloven § 7-8 som den er.

34.9 Rapportering til database for vitenskapelig publisering

34.9.1 Gjeldende rett

Bestemmelsen i universitets- og høyskoleloven § 7-7 om rapportering til database for vitenskapelig publisering, Cristin28, ble tilføyd ved lov 22. juni 2012 nr. 55. Cristin er et system for registrering ring av forskningspublikasjoner på nasjonalt nivå. Da systemet ble utviklet, var hovedformålet å gjøre informasjon om forskning tilgjengelig for alle, men spesielt for forskningsmiljøene. En slik sammenstilling av informasjon om forskning ville ha en verdi i seg selv, samtidig som sammenstillingen også kunne øke det samfunnsmessige utbyttet av investeringene i forskning.

Bestemmelsen gjelder universiteter og høyskoler, regionale helseforetak og institutter som mottar offentlig resultatbasert finansiering av forskning basert på bruk av indikatorer for vitenskapelig publisering. Formålet med rapporteringsplikten er å sikre kvaliteten på data til Cristin. Det avgjørende for rapporteringsplikten er derfor ikke institusjonstype, men at institusjonen «mottar offentlig resultatbasert finansiering av forskning basert på bruk av indikatorer for vitenskapelig publisering». Bestemmelsen gjelder også for helseforetak og andre institusjoner som inngår i det nasjonale systemet for måling av forskningsaktivitet i de regionale helseforetakene. Det vil si, at også underliggende foretak og institusjoner som inngår i de regionale helseforetakenes resultatfinansierte forskningsvirksomhet, er omfattet.

Universitets- og høyskoleloven § 7-7 gir departementet hjemmel til å gi pålegg til institusjoner om å rapportere navn og fødselsnummer for forfattere av vitenskapelige publikasjoner ved institusjonen til en nasjonal database. Fødselsnummer er påbudt som identifikasjonsgrunnlag for forfattere av vitenskapelige publikasjoner som skal registreres i dette registeret. Dette skal gjøre det mulig å foreta maskinell sammenstilling av opplysninger i databasen.29 Bakgrunnen for at lovhjemmelen var nødvendig var at enkelte forskere motsatte seg å utlevere fødselsnummer. I tredje ledd nest siste punktum er det fastsatt at fødselsnumrene bare skal være tilgjengelig for behandlingsansvarlig, databehandler og den som er registrert.

34.9.2 Utvalgets vurderinger

Utvalget har mottatt innspill fra Unit om rapportering til Cristin.

Unit har i innspill til utvalget vist til at da bestemmelsen i § 7-7 ble vedtatt, var krav om lovhjemmel for bruk av fødsel- og personnummer som sikker identifikator av de registrerte, og det er dette som er beskrevet som bestemmelsens formål. Etter det gjeldende personvernregelverket er ikke dette lenger påkrevd, og behandlingen dekkes av personopplysningsloven § 12. Slik bestemmelsen lyder i dag, kan det virke som Cristin bare skal inneholde informasjon knyttet til forskning hvor aktørene mottar offentlig resultatbasert finansiering. Imidlertid er også andre prosjekter registrert i systemet, men det har vært usikkerhet om hvorvidt bestemmelsen hjemler dette.

For å ivareta Cristins overordnede formål om å gi forskningen økt samfunnsmessig verdi ved å se forskningen i flere sektorer i sammenheng, mener Unit det bør komme tydeligere frem at også andre forskningsprosjekter enn de med resultatbasert finansiering kan registreres i systemet. Ifølge forarbeidene til bestemmelsen er det ikke noe i veien for dette, men det er Units oppfatning at dette formålet bør komme tydelig til uttrykk i bestemmelsen. I tillegg er det flere institusjoner som ønsker å kunne benytte seg av ulike sammenstillinger av data for analyseformål, blant annet referansemåling. Dette er på siden av hva dataene i Cristin blir samlet inn for, og det kan derfor være behov for å beskrive formålene nærmere, slik at lovbestemmelsen om Cristin dekker dagens behov. Unit har også foreslått å endre navnet på bestemmelsen slik at det fremgår at det ikke bare er vitenskapelige publiseringer som kan registreres i systemet.

Utvalget har vurdert innspillene fra Unit knyttet til universitets- og høyskoleloven § 7-7 og foreslår å videreføre bestemmelsen med visse språklige endringer. Units forslag er delvis hensynstatt, men det er utvalgets oppfatning at departementet må se nærmere på de personvernmessige konsekvensene før man gjør materielle endringer i lovbestemmelsen.

34.10 Muligheter for digitalisering

34.10.1 Innspill fra Unit

I forbindelse med arbeidet med forslag til ny universitets- og høyskolelov ba utvalget Direktoratet for IKT og fellestjenester i høyere utdanning og forskning (Unit) om innspill.30 I bestillingen ba utvalget Unit om å knytte innspillene til mulighetene for digitalisering innenfor alle deler av sektoren, som for eksempel utdanning, forskning, studieadministrasjon og ledelse. Enkelte av innspillene til lovendringsforslag er behandlet tidligere i kapittelet.

I innspillene sine til utvalget presiserer Unit at det er viktig at digitalisering og datadeling ikke griper mer inn i personvernet og rettssikkerheten til de registrerte enn nødvendig. På enkelte områder er det nødvendig at universitets- og høyskoleloven inneholder bestemmelser som supplerer personvernforordningen, for eksempel for å sikre rettslig grunnlag for å behandle personopplysninger når institusjonene utøver offentlig myndighet. Videre viser de til at det også er hensiktsmessig at universitets- og høyskoleloven inneholder bestemmelser som klart definerer formålet med å dele og behandle personopplysninger. Dette er områder hvor personvernforordningen åpner for supplerende bestemmelser i særlover, i dette tilfellet universitets- og høyskoleloven.

Unit viser også til at datadeling er en viktig forutsetning for å oppnå en effektiv digitalisering. Kun-én-gang-prinsippet slår fast at borgere bare skal trenge å avgi informasjon til det offentlige én gang.

34.10.2 Utvalgets vurderinger

Utvalget mener at datadeling er effektivt for brukere, og i tillegg kan man spare administrative ressurser ved å dele data rett fra kilden til mottakeren. Ansatte trenger for eksempel ikke å lete frem data og overlevere dataene i papirform til borgeren, som så leverer dem til en annen myndighet i papirform eller som ustrukturerte data, slik det blant annet var tradisjon for med vitnemål før Vitnemålsportalen ble opprettet.

I dag deles data mellom Unit og andre aktører i sektoren, for eksempel NOKUT og Lånekassen. I tillegg deler utdanningsinstitusjonene selv data med ulike aktører. Unit har vist til at skal man lykkes med å skape brukervennlige tjenestekjeder, må data deles i større grad enn det som er tilfellet i dag, og det er mange utfordringer forbundet med å operasjonalisere datadelingen. Noen av utfordringene er usikkerhet rundt hva som er tillatt etter gjeldende regelverk. Units vurdering er at det er behov for mer datadeling, og at dette kan løses ved at Unit gis myndighet til å opprette tjenester for datadeling.

Utvalget har vurdert innspillene fra Unit. Utvalget deler Units syn på at det er behov for å dele data i større utstrekning enn i dag, og at loven bør legge til rette for slik deling av data. Utvalget mener imidlertid at forslaget om å gi Unit myndighet til å opprette tjenester for datadeling, må utredes nærmere før det kan lovfestes, og oppfordrer departementet til å vurdere dette i det kommende lovarbeidet.

Fotnoter

1.

Lov 15. juni 2018 nr. 38 om behandling av personopplysninger (Personopplysningsloven).

2.

(EU) 2016/679 av 27. april 2016 om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger. Forordningen ble vedtatt i EU i april 2016 og begynte å gjelde i EUs medlemsland fra 25. mai 2018. Forordningen erstatter EUs personverndirektiv fra 1995, som er gjennomført i den norske personopplysningsloven av 2000.

3.

Det europeiske økonomiske samarbeidsområde (EØS) er et samarbeid inngått mellom Den europeiske union (EU) og tre av fire medlemsstater (Island, Liechtenstein og Norge) i Det europeiske frihandelsforbund (EFTA). Det overordnede målet med avtalen er å knytte land som står utenfor EU til EUs indre marked. EØS-reglementet trådte i kraft 1. januar 1994.

4.

Lov 21. november 1992 nr. 109 om gjennomføring i norsk rett av hoveddelen i avtale om Det europeiske økonomiske samarbeidsområde (EØS) m.v. (EØS-loven).

5.

EUs personvernforordning består av fortale og artikler. Fortalen er en tolkningshjelp som kan utfylle eller forklare artiklene. Det er bare artiklene som er juridisk bindende.

6.

Maskinlesbart format er data i et format som er egnet for å leses og bearbeides av en datamaskin og dermed lett kan deles på tvers av IT-systemer.

7.

Lov 1. april 2005 nr. 15 om universiteter og høyskoler (universitets- og høyskoleloven).

8.

Datatilsynet. Databehandleravtale https://www.datatilsynet.no/rettigheter-og-plikter/virksomhetenes-plikter/databehandleravtale/ hentet 16.1.2020.

9.

Lov 10. februar 1967 om behandlingsmåten i forvaltningssaker (forvaltningsloven).

10.

De nasjonale forskningsetiske komiteene. Introduksjon. Hva er personvern i forskningsetikken? https://www.etikkom.no/Aktuelt/gdpr-og-forskning/sos-hva-er-personvern/ hentet 21.1.2020.

11.

De nasjonale forskningsetiske komiteene. Forskningsetiske retningslinjer for samfunnsvitenskap, humaniora, juss og teologi. https://www.etikkom.no/forskningsetiske-retningslinjer/Samfunnsvitenskap-jus-og-humaniora/b.-hensyn-til-personer-5---18/ hentet 17.1.2020.

12.

Prop. 56 LS (2017–2018) Lov om behandling av personopplysninger (personopplysningsloven) og samtykke til deltakelse i en beslutning i EØS-komiteen om innlemmelse av forordning (EU) nr. 2016/679 (generell personvernforordning) i EØS-avtalen.

13.

REK= Regionale komiteer for medisinsk og helsefaglig forskningsetikk er hjemlet i forskningsetikkloven og helseforskningsloven. De syv regionale komiteene er satt sammen av personer med ulik fagbakgrunn, lekrepresentanter og representanter for pasientforeninger. Komiteene oppnevnes av Kunnskapsdepartementet for fire år om gangen.

14.

Personopplysningloven inneholder også personforordningen.

15.

Det europeiske samarbeidsområde (EØS) inkluderer alle EU-land samt Island, Liechtenstein og Norge.

16.

Datatilsynet. Spesielt om overføring av opplysninger til utlandet https://www.datatilsynet.no/rettigheter-og-plikter/virksomhetenes-plikter/overfore/ hentet 16.1.2020.

17.

Datatilsynets redegjørelse om overføring av opplysninger til utlandet.

18.

Disse er Sveits, Andorra, Færøyene, Guernsey, Jersey, Isle of Man, Argentina, Canada, Israel, New Zealand, Japan og Uruguay.

19.

Datatilsynet. Hva er Privacy Shield? https://www.datatilsynet.no/rettigheter-og-plikter/virksomhetenes-plikter/overfore/hva-er-privacy-shield/ hentet 16.1.2020.

20.

Privacy Shield Framework. Privacy Shield List https://www.privacyshield.gov/list hentet 20.1.2020.

21.

Ursin, Giske; Magnus Stenbeck; Jenny Chang-Claude; Marc Gunter; Rudolf Kaaks; Ellen Kampman m.fl. Data must be shared – also with researchers outside of Europe. The Lancet Volume 394, Issue 10212, s. 1902–1903. https://www.thelancet.com/journals/lancet/article/PIIS0140-6736(19)32633-9/fulltext hentet 18.1.2020.

22.

The Lancet er et britisk medisinsk tidsskrift som utgis ukentlig av Lancet Publishing Group.

23.

Jf. Ot.prp. nr. 3 (1976–77) Om lov om endringer i lov 10. februar 1967 om behandlingsmåten i forvaltningssaker (regler om taushetsplikt m.m.) vedlegg 2 side 136.

24.

Prop. 81 L (2015–2016) Endringer i universitets- og høyskoleloven (NOKUTs tilsyn, nasjonal vitnemålsportal mv.) redegjør nærmere for de personvernmessige konsekvensene av lovendringer av personopplysningen i vitnemålsportalen.

25.

Innspill fra Unit 1. oktober 2019, https://www.universitetsoghoyskolelovutvalget.no/files/2019/10/Unit-Innspill-om-digitalisering-1.docx.

26.

Aa-registeret (Arbeidsgiver- og arbeidstakerregisteret) inneholder informasjon om arbeidsforhold i Norge. Registeret eies og forvaltes av NAV.

27.

Se innspill fra Unit om digitalisering https://www.universitetsoghoyskolelovutvalget.no/files/2019/10/Unit-Innspill-om-digitalisering-1.docx.

28.

Cristin (en forkortelse for Current Research Information System in Norway) er datasystemet og organisasjonen for det nasjonale registeret over forskningspublikasjoner og forskningsresultater i Norge. Systemet er et rapporteringssystem for forskningspublikasjoner, forskerkataloger, prosjekter, forskningsenheter og årsrapportering.

29.

Se Prop. 67 L (2011–2012) Endring i universitets- og høyskoleloven (rapportering til database for vitenskapelig publisering) s. 3 punkt 2.2.

30.

Se innspill fra Unit om digitalisering https://www.universitetsoghoyskolelovutvalget.no/files/2019/10/Unit-Innspill-om-digitalisering-1.docx

Til dokumentets forside