7 Kunnskapsbanken – behandling av opplysninger som følge av uønskede hendelser – lovforslaget § 15 a
7.1 Gjeldende rett
Det følger av sivilbeskyttelsesloven § 14 første ledd at kommunen plikter å kartlegge hvilke uønskede hendelser som kan inntreffe i kommunen, vurdere sannsynligheten for at disse hendelsene inntreffer, og hvordan de i så fall kan påvirke kommunen. Resultatet av arbeidet skal vurderes og sammenstilles i en helhetlig risiko- og sårbarhetsanalyse. Risiko- og sårbarhetsanalysen skal etter § 14 andre ledd legges til grunn for arbeidet med samfunnssikkerhet og beredskap, herunder ved utarbeidelse av planer etter plan- og bygningsloven.
Forsikringsselskaper og organer som administrerer offentlige forsikringsordninger besitter opplysninger om skader og skadeoppgjør som vil være viktige i Direktoratet for samfunnssikkerhet og beredskap (DSB) sitt forebyggende arbeid og kommunenes arbeid med å kartlegge risiko og sårbarhet.
Adgangen til å dele skadedata mellom offentlige og private aktører er begrenset av reglene i personopplysningsloven og reglene om taushetsplikt i forvaltningsloven og annen særlovgivning. Enhver som utfører tjeneste eller arbeid for et forvaltningsorgan, har taushetsplikt etter forvaltningsloven § 13 flg., og taushetsbelagte skadedata kan som hovedregel ikke deles med andre, med mindre det foreligger hjemmel i lov. Forsikringsselskaper som er omfattet av finansforetaksloven har taushetsplikt etter loven § 16-2 første ledd, og kan ikke dele taushetsbelagte skadedata med andre, med mindre taushetsplikten er opphevet i lov eller forskrift med hjemmel i lov, eller Finanstilsynet har opphevet taushetsplikten gjennom særskilt vedtak.
Finanstilsynet har i vedtak 1. april 2019 opphevet forsikringsselskapenes taushetsplikt for deling av skadedata om erstatningsbeløp på adressenivå for perioden 2013 – 2018 med DSB, kommuner, fylkesmenn og Norges vassdrags- og energidirektorat (NVE).
7.2 Forslaget i høringsnotatet
Departementet foreslo i høringsnotatet en lovbestemmelse, som legger til rette for at DSB kan eie og forvalte et datasystem («Kunnskapsbanken»), for innhenting av skadedata fra forsikringsselskapene som skal stilles til rådighet for kommuner og andre relevante offentlige organer. Slik innhenting og tilgjengeliggjøring ble foreslått å gjelde der dette er nødvendig for å forebygge og redusere konsekvensene av uønskede hendelser. Opplysninger om skader og skadeoppgjør skal innenfor disse skrankene kunne innhentes og gjøres tilgjengelig for offentlige organer uten hinder av lovbestemt taushetsplikt.
Det ble foreslått at departementet kan gi forskrift om innhenting, tilgjengeliggjøring og annen behandling av opplysninger, herunder om formålet med behandlingen, hvordan opplysninger skal utleveres og behandles og hvilke offentlige organer som kan få tilgang til opplysningene.
7.3 Høringsinstansenes syn
Høringsinstansene er positive til lovforslaget, og støtter begrunnelsen og formålet med å opprette Kunnskapsbanken.
Oslo kommune har anført et behov for å få tilgang til rådata og datasett fra Kunnskapsbanken, slik at disse kan benyttes i videre analyser i kommunen. De ser videre behov for at departementet vurderer muligheten for at kommunene skal kunne bidra med relevante data inn i Kunnskapsbanken. Dette skal imidlertid ikke medføre utvidelse i krav om rapportering.
Norges vassdrags- og energidirektorat (NVE) forutsetter at bestemmelsen gjelder med de begrensninger som følger av energiloven § 9-3 og kraftberedskapsforskriften kapittel 6 for behandling av kraftsensitiv informasjon.
Helsedirektoratet mener det bør foretas en innsnevring av formålet og rettsgrunnlaget for innhenting av personopplysninger for å oppfylle kravene i EMK artikkel 8 nr. 2, og har i den forbindelse anført følgende:
«Helsedirektoratet viser til den videre drøftelsen i høringsnotat når det gjelder rettsgrunnlaget, og ønsker særlig å problematisere kravene i EMK artikkel 8 nr. 2 om retten til privatliv. Denne bestemmelsen krever blant annet at eventuelle krav til lovgrunnlag for behandling av personopplysninger må være tilstrekkelig presis og forutberegnelig. I tillegg må bestemmelsen fremme et legitimt formål, og inngrepet i retten til privatliv må være nødvendig i et demokratisk samfunn. Departementet argumenterer med at den foreslåtte § 15 a er tilstrekkelig presis og forutberegnelig fordi formålet med den nye bestemmelsen er «å forebygge og redusere konsekvensene av uønskede hendelser, samt å understøtte kommunenes arbeid med risiko- og sårbarhetsanalyser». Departementet erkjenner at formålet er vidt, men mener proporsjonalitetshensyn da tilsier at bestemmelsen ikke åpner for «inngripende behandling av personopplysninger». Vi mener dette ikke er en tilstrekkelig innsnevring av formålet og rettsgrunnlaget for innhenting til å oppfylle kravene i EMK artikkel 8 nr. 2.»
Politidirektoratet mener det vil være nødvendig å klargjøre hvilke kategorier av opplysninger det er adgang til å behandle når det er nødvendig for formålet, og mener at rammene for dette bør presiseres nærmere i § 15 a.
FinansNorge mener at lovforslaget bør begrenses til opplysninger om naturhendelser, men ser samtidig at det kan være av stor samfunnsmessig verdi at det offentlige får tilgang til andre skadeforsikringsdata som kan understøtte formålet i sivilbeskyttelsesloven. FinansNorge mener det er avgjørende ved en eventuell utvidelse utover naturhendelser at det blir gjennomført grundige vurderinger, og i dialog mellom berørte aktører.
FinansNorge ber departementet vurdere om hjemmelen i § 15 a kan åpne for at FinansNorge Forsikringsdrift, som sentral part som dataleverandør for forsikringsnæringen og DSB, kan gis en rolle som behandlingsansvarlig.
FinansNorge mener at personvernkonsekvenser for den registrerte bør vurderes i lovens forarbeider, og har i den forbindelse vist til personvernforordningen artikkel 35 nr. 10.
Sysselmannen på Svalbard mener det bør vurderes om lovbestemmelsen skal gjøres gjeldende for Svalbard, og har i den forbindelse anført følgende:
«Det er i høringsnotatet ikke sagt noe om forholdet til Svalbard som sådan. Samtidig sies på side 35 i høringsnotatet bl.a. følgende hva den nye § 15 a angår:
«En ny bestemmelse vil ha nær sammenheng med sivilbeskyttelsesloven § 14 som regulerer kommunal beredskapsplikt og risiko- og sårbarhetsanalyser».
Samtidig fremgår at den nye § 15 a ikke skal være en del av de kommunale plikter, men kun regulere DSBs myndighet til innhenting av opplysninger mv. Sivilbeskyttelsesloven § 14 er uansett en av de bestemmelser i loven som gjelder for Svalbard. I den grad det er relevant bør det derfor også vurderes om disse bestemmelsenes sammenheng tilsier at også den nye § 15 a bør gjelde for Svalbard. I så fall må det gjøres via en endring av ovennevnte forskrift om sivilbeskyttelseslovens anvendelse på Svalbard.
Som det fremgår av forslaget til ny bestemmelse er formålet bak denne bl.a å:
«…forebygge og redusere konsekvensene av uønskede hendelser, herunder for å understøtte kommunenes arbeid med risiko- og sårbarhetsanalyser».
Ovennevnte er uansett et forhold som generelt sett også er relevant for Longyearbyen lokalstyre og deres arbeid med samfunnssikkerhet etter det aktuelle lovverket. LL er derfor ikke prinsipielt sett forskjellig fra en kommune på fastlandet hva denne typen spørsmål angår. Om ikke annet kan derfor forholdet med fordel kort kommenteres i det videre arbeidet slik at ev. behov avklares og mulige uklarheter og spørsmål unngås.»
Norsk Rikskringkasting (NRK) mener det bør fremgå av lovens forarbeider at bestemmelsen ikke er ment å gjøre inngrep i kildevernet mm.
7.4 Departementets vurderinger
Naturskader påfører samfunnet svært store utgifter og klimaendringer gjør at det kan forventes økninger i skadetallene. Det er derfor viktig å ha oppdaterte og sentrale skadedata som blant annet kan gi informasjon om sårbare områder.
DSB skal eie og forvalte et datasystem, «Kunnskapsbanken», for innhenting, sammenstilling og tilgjengeliggjøring av data om skader og skadeoppgjør til bruk for DSB selv, kommuner og andre relevante offentlige organers arbeid med samfunnssikkerhet. Datasystemet skal bidra til å styrke kunnskapen om uønskede hendelser og konsekvenser av disse, og videre til styrket forebyggende samfunnssikkerhetsarbeid lokalt, regionalt og nasjonalt. Kunnskapsbanken skal dermed være et verktøy i DSBs arbeid med å legge grunnlaget for et godt og helhetlig forebyggende samfunnssikkerhetsarbeid og å styrke kommunenes arbeid med risiko- og sårbarhetsanalyser og arbeid med planer etter plan- og bygningsloven og eventuelt annet sektorregelverk.
For at Kunnskapsbanken skal fungere etter formålet, er DSB avhengig av at virksomheter/organisasjoner som har relevante data kan dele disse med DSB, slik at DSB kan foreta vurderinger, analyser og sammenstillinger av opplysningene. DSB har i første omgang behov for å motta skadedata fra FinansNorge på vegne av forsikringsbransjen og fra Landbruksdirektoratet, som forvalter Statens naturskadeordning.
Videre må DSB kunne gjøre skadedata tilgjengelig for kommunene og andre relevante offentlige organer som har roller i det forebyggende samfunnssikkerhetsarbeidet. Dataene skal gjøres tilgjengelig som statistikk og i kart via nettbaserte applikasjoner i Kunnskapsbanken. De fleste dataene vil være åpent tilgjengelig for alle som har interesse av å utforske og fordype seg i informasjon om uønskede hendelser. Noen av dataene vil ikke være allment tilgjengelig på grunn av taushetsplikt eller andre hensyn. Brukere av disse dataene vil ha et tjenstlig behov for tilgang og vil få tilgang gjennom en hensiktsmessig og sikker innloggingsmekanisme. Dette vil være fagmyndigheter med roller og ansvar innenfor forebyggende samfunnssikkerhet, som for eksempel kommuner, fylkesmannen og NVE.
Skadedataene som det vil være aktuelt å utlevere fra forsikringsselskaper og offentlige forsikringsordninger til bruk i Kunnskapsbanken, inneholder adresser og koordinater til eiendommer som har vært rammet av natur- og vannskade, samt informasjon om skadeårsak, skadetidspunkt og erstatningsbeløp fra forsikringsforetakene. Det følger av personvernforordningen artikkel 4 nr. 1 at personopplysninger er enhver opplysning om en identifisert eller identifiserbar fysisk person. Dette medfører blant annet at adresser, koordinater og erstatningsbeløp fra forsikringsforetakene regnes som personopplysninger.
Et av grunnvilkårene for at DSB skal kunne innhente og på annen måte behandle personopplysninger i arbeidet med Kunnskapsbanken, er at behandlingen kan forankres i minst ett av de seks mulige behandlingsgrunnlagene i personvernforordningen artikkel 6 nr. 1 bokstav a til f. Dersom behandlingen har grunnlag i artikkel 6 nr. 1 bokstav c eller bokstav e, må DSB i tillegg ha et supplerende rettsgrunnlag for å kunne behandle personopplysninger, jf. personvernforordningen artikkel 6 nr. 3.
Videre er et av de grunnleggende prinsippene i personvernforordningen at personopplysninger skal samles inn for spesifikke, uttrykkelig angitte og berettigede formål, og det er i utgangspunktet ikke tillatt å viderebehandle opplysningene på en måte som er uforenlig med formålene opplysningene opprinnelig ble samlet inn for, jf. forordningen artikkel 5 nr. 1 bokstav b. Dersom behandling av personopplysninger for uforenelige formål skal være tillatt, kreves det at viderebehandlingen bygger på enten den registrertes samtykke eller på unionsretten eller medlemsstatenes nasjonale rett som utgjør et nødvendig og forholdsmessig tiltak i et demokratisk samfunn for å sikre oppnåelse av målene nevnt i forordningen artikkel 23 nr. 1. Adgangen til innhenting, tilgjengeliggjøring og annen behandling av skadedata mellom ulike organer er i tillegg begrenset av reglene om taushetsplikt i forvaltningsloven og annen særlovgivning.
For at Kunnskapsbanken skal fungere etter hensikten, er det behov for en ny lovbestemmelse som sikrer DSB tilstrekkelig hjemmel til å behandle opplysninger som kan bidra til å styrke arbeidet med å forebygge og redusere konsekvensene av uønskede hendelser. Departementet viser i den forbindelse til at formålet med behandlingen av opplysninger i Kunnskapsbanken passer med formålet til sivilbeskyttelsesloven, som er å «beskytte liv, helse, miljø, materielle verdier og kritisk infrastruktur ved bruk av ikke-militær makt når riket er i krig, når krig truer, når rikets selvstendighet eller sikkerhet er i fare, og ved uønskede hendelser i fredstid.»
DSB skal understøtte Justis- og beredskapsdepartementets koordineringsrolle innenfor samfunnssikkerhet og beredskap jf. Kongelig resolusjon av 24. juni 20051. Direktoratet skal gjennom innhenting av informasjon, forsknings- og utredningsaktiviteter, dialog, råd og veiledning legge grunnlaget for et godt og helhetlig forebyggende arbeid og gode beredskapsforberedelser innenfor offentlig forvaltning og samfunnskritisk virksomhet. Direktoratet skal videre bestrebe seg på å ha en helhetlig oversikt som gir muligheter for å se forebyggende samfunnssikkerhetsarbeid og beredskap i alle sektorer samlet. De opplysningene som behandles i Kunnskapsbanken vil bidra til å styrke DSBs samfunnsoppdrag når det gjelder det forebyggende samfunnssikkerhetsarbeidet og redusere konsekvensene av uønskede hendelser.
De opplysningene som behandles og gjøres tilgjengelig gjennom Kunnskapsbanken vil også styrke kommunenes arbeid med risiko- og sårbarhetsanalyser og planer etter plan- og bygningsloven og annet sektorregelverk.
En ny bestemmelse vil ha nær sammenheng med sivilbeskyttelsesloven § 14 som regulerer kommunal beredskapsplikt og risiko- og sårbarhetsanalyser. Bestemmelsen vil imidlertid ikke være en del av den kommunale beredskapsplikten som reguleres i sivilbeskyttelsesloven kapittel V, og hvor kommunen er pliktsubjekt. Den nye bestemmelsen gir myndighet til DSB og skal ikke regulere kommunale plikter. Departementet foreslår derfor at det lages et nytt kapittel V A i sivilbeskyttelsesloven som heter «Behandling av opplysninger som følge av uønskede hendelser», og en ny § 15 a.
Oslo kommune har i høringen anmodet departementet om å vurdere muligheten for at også kommunene skal kunne bidra med relevante data inn i Kunnskapsbanken. Departementet mener dette vil kunne være en mulig videreutvikling av Kunnskapsbanken. I den grad Kunnskapsbanken vil inneholde data fra kommunene, vil dette være informasjon som allerede er åpent tilgjengelig og/eller informasjon som kommunene vurderer som ikke taushetsbelagte opplysninger.
For at Kunnskapsbanken skal fungere etter hensikten er det viktig å sørge for at lovbestemt taushetsplikt og personopplysningsregelverket ikke hindrer nødvendig deling av skadedata mellom ulike organer som arbeider for å forebygge skader som følge av uønskede hendelser. Når det er nødvendig for å forebygge og redusere konsekvensene av uønskede hendelser, må derfor DSB gis tilstrekkelig rettslig grunnlag for å innhente skadedata fra forsikringsselskaper og offentlige forsikringsordninger, gjøre analyser og sammenstillinger av opplysningene, herunder personopplysninger, og gjennom Kunnskapsbanken gjøre disse tilgjengelig for kommunene og andre offentlige organer.
Departementet foreslår derfor at det i forslaget til ny § 15 a første ledd gis hjemmel for at DSB kan innhente, vurdere, analysere, sammenstille og på annen måte behandle personopplysninger og andre opplysninger, når dette er nødvendig for å forebygge og redusere konsekvensene av uønskede hendelser, herunder for å understøtte kommunenes arbeid med risiko- og sårbarhetsanalyser. Kunnskapsbanken skal i første omgang ha fokus på data om naturfare. Departementet foreslår imidlertid at det i loven benyttes begrepet «uønskede hendelser», som også er definert i sivilbeskyttelsesloven § 3 bokstav a. «Uønskede hendelser» dekker naturfare, men åpner også for at opplysninger på andre områder enn naturfare kan omfattes. Departementet mener dette er en hensiktsmessig løsning for å kunne ivareta en eventuell videreutvikling av Kunnskapsbanken.
FinansNorge mener at lovforslaget bør begrenses til «naturhendelser» i stedet for «uønskede hendelser». Samtidig ser FinansNorge at det kan være av stor samfunnsmessig verdi at det offentlige får tilgang til andre skadeforsikringsdata som kan understøtte formålet i sivilbeskyttelsesloven. Departementet mener at de hensyn FinansNorge trekker frem i sitt høringsinnspill kan ivaretas ved at det i forskrift må angis nærmere hvilke personopplysninger og andre opplysninger som DSB kan kreve fra forsikringsselskaper og offentlige forsikringsordninger som følge av uønskede hendelser, jf. § 15 a siste ledd. En forskriftsprosess vil innebære at berørte aktører involveres, og bidra til at det gjennomføres grundige vurderinger av hvilke personopplysninger og andre opplysninger som skal kunne kreves gjennom Kunnskapsbanken.
Den nye bestemmelsen skal gi DSB tydelig hjemmel for å kunne kreve opplysninger om skader og skadeoppgjør som følge av uønskede hendelser fra forsikringsselskaper og offentlige forsikringsordninger, uten hinder av lovbestemt taushetsplikt, jf. forslag til ny § 15 a andre ledd. Departementet foreslår at opplysningsplikten begrenses til å gjelde opplysninger som er nødvendig for å forebygge og redusere konsekvensene av uønskede hendelser, herunder for å understøtte kommunenes arbeid med risiko- og sårbarhetsanalyser.
Departementet foreslår i den nye bestemmelsen at DSB kan gjøre personopplysninger og andre opplysninger fra Kunnskapsbanken tilgjengelig for andre offentlige organer uten hinder av lovbestemt taushetsplikt, når dette er nødvendig for å forebygge og redusere konsekvensene av uønskede hendelser, herunder for å understøtte kommunenes arbeid med risiko- og sårbarhetsanalyser. Departementet viser til at de som skal få tilgang til opplysningene gjennom Kunnskapsbanken er offentlige organer som alle har roller og ansvar innen forebyggende samfunnssikkerhet. Kommunens ansvar for å utarbeide risiko- og sårbarhetsanalyser følger av sivilbeskyttelsesloven § 14, fylkesmannens ansvar for å utarbeide risiko- og sårbarhetsanalyse på fylkesnivå (fylkesROS), følger av Fylkesmannens samfunnssikkerhetsinstruks kapittel IV nr. 1. Kommunen har videre et ansvar for å utarbeide planer etter plan- og bygningsloven og å se risiko- og sårbarhetsanalysen i sammenheng med disse planene jf. sivilbeskyttelsesloven § 14 andre ledd. Fylkesmannen er tilsynsmyndighet for kommunenes arbeid med risiko- og sårbarhetsanalyser etter sivilbeskyttelsesloven, og innsigelsesmyndighet for kommunens planer etter plan- og bygningsloven. Det er også identifisert andre fagmyndigheter som mulige brukere av skadedata. Dette gjelder for eksempel NVE, som yter bistand til kommuner og samfunnet ellers med kompetanse og ressurser knyttet til flom og skred. Mer konkret innebærer dette blant annet at NVE gir bistand til utredning, planlegging og gjennomføring av sikringstiltak og råd og veiledning i arbeidet med å vurdere flom- og skredfare i kommunale arealplaner.
Sivilbeskyttelsesloven § 14 (og § 15) er gjennom forskrift 18. desember 2012 om sivilbeskyttelseslovens anvendelse på Svalbard og om beredskapsplikt for Longyearbyen lokalstyre gjort gjeldende for Svalbard. Det synes derfor naturlig at det gjennom denne forskriften vurderes om § 15 a også bør gjøres gjeldende for Svalbard, jf. høringsinnspillet fra Sysselmannen på Svalbard.
Som det fremgår over skal forslaget til ny bestemmelse gi hjemmel for behandling (innhenting, bearbeiding og tilgjengeliggjøring) av personopplysninger og andre opplysninger, og unntak fra lovbestemt taushetsplikt. Reglene om behandlingsgrunnlag i personvernforordningen artikkel 6 nr. 1 bokstav e gir adgang til behandling av personopplysninger når dette er nødvendig for å utføre en oppgave i allmenhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt. Behandling av personopplysninger i arbeidet med samfunnssikkerhet, herunder tilrettelegging for utarbeidelse av risiko- og sårbarhetsanalyser og planer etter plan- og bygningsloven, kan knyttes både til å utføre en oppgave i allmenhetens interesse og til utøvelse av offentlig myndighet. Behandling av personopplysninger i medhold av denne bestemmelsen krever et supplerende rettsgrunnlag i unionsretten eller nasjonal rett, jf. artikkel 6 nr. 3.2 Departementets forslag til ny § 15 a skal gi et slikt supplerende rettsgrunnlag for behandlingen av personopplysninger i forbindelse med Kunnskapsbanken, jf. artikkel 6 nr. 3 bokstav b.
I tillegg skal departementets forslag til ny § 15 a gi rettsgrunnlag for viderebehandling i de tilfeller der innsamling og annen behandling av personopplysninger i Kunnskapsbanken er uforenelig med formålene som opplysningene opprinnelig ble samlet inn for, jf. artikkel 6 nr. 4. Departementet mener at slik viderebehandling i alminnelighet vil være et nødvendig og forholdsmessig tiltak i et demokratisk samfunn for å sikre den offentlige sikkerhet, herunder vern av menneskeliv, særlig som følge av naturkatastrofer, jf. forordningen artikkel 23 nr. 1 bokstav c og fortalepunkt 73.
Dersom behandlingen av personopplysninger eller unntak fra taushetsplikt utgjør et inngrep i retten til privatliv etter Grunnloven § 102 og EMK artikkel 8, stiller også disse bestemmelsene, samt legalitetsprinsippet i Grunnloven § 113, krav til det supplerende rettsgrunnlaget. Grunnloven § 102 har klare likhetstrekk med EMK artikkel 8 og må tolkes i lys av denne. Retten til respekt for privatliv etter EMK artikkel 8 er sentral i forhold til hvilke unntak som kan gjøres fra taushetsplikten og for behandling av personopplysninger, da utlevering og viderebehandling av personopplysninger må antas å være et inngrep i den enkeltes privatliv, jf. EMK artikkel 8 nr. 1. Dette medfører at en bestemmelse om å utlevere og viderebehandle personopplysninger i offentlige organers interesse, må oppfylle kravene i EMK artikkel 8 nr. 2. Nærmere bestemt oppstilles det krav om lovgrunnlag, herunder at lovhjemmelen må være tilstrekkelig presis og forutberegnelig, at bestemmelsen bidrar til å fremme et av de uttømmende legitime formålene opplistet i EMK artikkel 8 nr. 2, og at inngrepet i retten til privatliv må være nødvendig i et demokratisk samfunn.
Formålet med å samle inn, sammenstille skadedataene og gjøre disse tilgjengelig for relevante aktører gjennom Kunnskapsbanken er å forebygge konsekvensene av uønskede hendelser, noe som må anses som et legitimt formål etter EMK art. 8.
Når det gjelder kravet til presis og forutberegnelig hjemmel, viser departementet til at formålet i forslaget til ny bestemmelse, «å forebygge og redusere konsekvensene av uønskede hendelser, herunder for å understøtte kommunenes arbeid med risiko- og sårbarhetsanalyser», er vidt formulert. På bakgrunn av proporsjonalitetshensyn vil bestemmelsen derfor etter departementets oppfatning ikke åpne for inngripende behandling av personopplysninger. Departementet støtter høringsinnspillene fra Politidirektoratet og Helsedirektoratet, hvor det fremkommer at det er nødvendig å klargjøre hvilke kategorier opplysninger det er adgang til å behandle, herunder at rammene for behandlingen bør presiseres nærmere. Departementet vil understreke at § 15 a ikke gir hjemmel til å behandle særlige kategorier personopplysninger etter personvernforordningen artikkel 9 og 10. Videre har departementet i § 15 a siste ledd, presisert at det kan angis i forskrift hvilke personopplysninger som kan behandles. Dersom det ved en videreutvikling av Kunnskapsbanken skulle være behov for å behandle andre personopplysninger enn personopplysninger knyttet til skadeårsak, skadetidspunkt og erstatningsbeløp på adressenivå, må formålet og hvilke personopplysninger dette gjelder spesifiseres ytterligere. Det foreslås derfor en egen forskriftsbestemmelse som gir mulighet for å gi nærmere bestemmelser om formålet med behandlingen av personopplysninger og hvilke personopplysninger som kan behandles etter § 15 a.
Når det gjelder nødvendigheten av lovforslaget, viser departementet til at Finanstilsynet har lagt til grunn at opplysninger som identifiserer en eiendom med naturskade ikke omfattes av taushetsplikten i finansforetaksloven, ettersom naturskader vil være synlige for allmennheten. Finanstilsynet anser imidlertid opplysninger om erstatningsutbetalinger fra et forsikringsforetak som personlige forhold som er taushetsbelagt. Departementet vurderer det som lite sannsynlig at unntak fra taushetsplikten vil få vesentlige negative følger for dem som taushetsplikten skal beskytte. En forutsetning for denne vurderingen er imidlertid at opplysningene bare brukes til formålet de er utlevert for, og at uvedkommende ikke får tilgang til opplysningene. Departementet forslår at de offentlige organene som kan få tilgang til skadedata gjennom Kunnskapsbanken, angis i forskrift. Disse offentlige organene vil være underlagt taushetsplikt etter forvaltningsloven § 13.
FinansNorge har fremholdt at personvernkonsekvenser for den registrerte bør vurderes i lovens forarbeider. Departementet viser til personvernforordningen artikkel 35 nr. 1, hvor det fremgår at den behandlingsansvarlige plikter å foreta en vurdering av hvilke konsekvenser en planlagt behandling vil ha for personopplysningsvernet, dersom det er sannsynlig at behandlingen, særlig ved bruk av ny teknologi, vil medføre «høy risiko for fysiske personers rettigheter og friheter». Etter fortalen punkt 76 fremgår det at hvor sannsynlig og alvorlig risikoen for den registrertes rettigheter og friheter er, bør fastslås ut fra behandlingens art, omfang, formål og sammenhengen den utføres i. Visse typer behandling av personopplysninger anses å innebære en mer alvorlig inngripen i personvernet enn andre, dette fordi personopplysningene som behandles er av en særskilt sensitiv karakter, og/eller måten personopplysningene behandles på utgjør et særskilt inngrep i de registrertes rettigheter og friheter. Personopplysningene som skal behandles i Kunnskapsbanken er ikke av en slik særskilt sensitiv karakter, og måten opplysningene skal behandles på utgjør i utgangspunktet heller ikke et særskilt inngrep. Dette fordi behandlingen ikke har et kontrollformål eller et formål om å treffe avgjørelser om enkeltpersoner, eller å ta beslutninger som får betydning for den registrerte. Etter departementets syn taler dette mot at behandlingen av personopplysninger i Kunnskapsbanken vil medføre en «høy risiko for fysiske personers rettigheter og friheter», og at det er krav til en vurdering av personvernkonsekvenser. Forordningen artikkel 35 nr. 3 bokstav a til c, opplister tilfeller hvor en vurdering av personvernkonsekvensene er særlig nødvendig. Etter departementets syn er det klart at behandlingen av skadedata mv. i Kunnskapsbanken ikke omfattes av behandlingene som fremkommer i nr. 3 bokstav a til c. Datatilsynet har i henhold til artikkel 35. nr. 4 utarbeidet en liste over ulike typer av behandlingsaktiviteter (kriterier) som alltid skal omfattes av kravet om vurdering av personvernkonsekvenser. Departementet har gjennomgått kriteriene og herunder vurdert om behandlingen av personopplysninger i Kunnskapsbanken innebærer matching eller sammenstilling av datasett. I Datatilsynets veiledning står det følgende om matching eller sammenstilling av datasett: «Dette kan for eksempel stamme fra to eller flere databehandlingsoperasjoner som gjennomføres med ulike formål og/eller av ulike behandlingsansvarlige på en måte som overstiger den registrertes rimelige forventninger». Departementet mener at behandlingen av personopplysninger i Kunnskapsbanken faller utenfor dette. Databehandlingsoperasjonene som gjennomføres i Kunnskapsbanken, utføres etter samme formål som er å forebygge og redusere konsekvensene av uønskede hendelser, herunder for å understøtte kommunenes arbeid med risiko- og sårbarhetsanalyser.
Naturhendelser medfører store tap av samfunnsverdier. Ekstreme værhendelser rammer store områder, nødvendig infrastruktur og kritiske samfunnsfunksjoner og mange mennesker, og krever årlig store ressurser til håndtering og gjenoppbygging. Et godt datagrunnlag er viktig for å få gjennomført pålitelige kost-/nytteanalyser og risiko- og sårbarhetsanalyser for å finne de gode forebyggende tiltakene mot naturfarer. Investering i forebyggende tiltak i infrastruktur som vann- og avløpsnett, kraftnett, elektronisk kommunikasjon og veier er kostnadskrevende, og vanskelig å prioritere når man ikke vet med sikkerhet om, hvor og hvordan en hendelse kan ramme. Gjennom DSBs tilgjengeliggjøring av skadedata i Kunnskapsbanken vil det bli mulig for kommunene og andre relevante offentlige organer å identifisere hvor det er størst risiko, og hvilke verdier som er mest sårbare, slik at forebyggende og beredskapsmessige tiltak blir mest mulig målrettet. Som følge av klimaendringer vil det antakelig oppstå flere og mer alvorlige naturhendelser fremover, og det er betydelige fordeler ved i større grad å kunne forebygge at skader inntreffer, fremfor å reparere skader. Utlevering av skadedata kan med dette ha betydelig samfunnsnytte, og anses for å være nødvendig i et demokratisk samfunn.
Departementet foreslår at det i forskrift kan gis nærmere bestemmelser om innhenting, tilgjengeliggjøring og annen behandling av personopplysninger og andre opplysninger. Det kan herunder gis bestemmelser om hvordan opplysninger skal utleveres til DSB, for eksempel gjennom krav til datakvalitet, format og intervall for overføring av opplysninger til DSB. Dette vil kunne lette det administrative arbeidet og bidra til at Kunnskapsbanken har oppdatert informasjon. Det foreslås også at de offentlige organene som kan få tilgang til personopplysninger gjennom Kunnskapsbanken, angis nærmere i forskrift. I medhold av sivilbeskyttelsesloven § 2 vil det kunne gis forskrift om bestemmelsens anvendelse på Svalbard.
Oslo kommune har i sitt høringsinnspill anført et behov for å få tilgang til rådata og datasett fra Kunnskapsbanken, slik at disse kan benyttes i videre analyser i kommunen. Deriblant strukturert informasjon om skadeårsak og god stedfesting til bruk i kart. Departementet viser til at dette behovet vil kunne vurderes i forbindelse med bestemmelser om datakvalitet og tilgjengeliggjøring i forskrift etter § 15 a.
FinansNorge har i sitt høringssvar bedt departementet vurdere om lovforslaget kan åpne for at FinansNorge Forsikringsdrift kan tillegges en rolle som behandlingsansvarlig. Departementet legger opp til at det kun er DSB som er tiltenkt denne rollen, som eier og forvalter av Kunnskapsbanken. De offentlige organene som skal få tilgang til personopplysninger og andre opplysninger via innlogging i Kunnskapsbanken, må angis i forskrift i medhold av § 15 a siste ledd. Bestemmelsen åpner ikke for at private organisasjoner, slik som FinansNorge Forsikringsdrift, skal få tilgang gjennom forskrift. At departementet kun har identifisert offentlige organer, er begrunnet med at Kunnskapsbanken er tiltenkt offentlige organer som har roller i det forebyggende samfunnssikkerhetsarbeidet gjennom lov- og forskriftspålagte oppgaver. Departementet viser til at Kunnskapsbanken har nær sammenheng med sivilbeskyttelseslovens bestemmelser om kommunal beredskapsplikt, hvor kommunene er pliktsubjekt og fylkesmannen tilsynsmyndighet. Departementet mener på denne bakgrunn at det ikke vil være naturlig å vurdere et behandlingsansvar for FinansNorge Forsikringsdrift eller andre private organisasjoner i relasjon til § 15 a.
Norges vassdrags- og energidirektorat (NVE) har i høringen forutsatt at forslaget til § 15 a skal gjelde med de begrensningene som følger av energiloven § 9-3 og kraftberedskapsforskriften kapittel 6. Departementet viser til at pliktsubjektene etter § 15 a andre ledd vil være forsikringsselskaper og offentlige forsikringsordninger. Det vil dermed ikke være aktuelt å kreve kraftsensitiv informasjon fra NVE. I den grad Kunnskapsbanken vil inneholde informasjon om infrastruktur og hendelser/bortfall knyttet til kraftforsyning, vil dette være informasjon som allerede er åpent tilgjengelig og/eller informasjon som kraftselskapene/NVE vurderer som ikke sensitiv.
Avslutningsvis viser departementet til høringsinnspillet fra NRK, hvor departementet anmodes om å tydeliggjøre i lovens forarbeider at lovforslaget ikke er ment å gjøre inngrep i kildevernet. Til dette vil departementet bemerke at lovforslaget gir hjemmel for å kreve opplysninger om skader og skadeoppgjør som følge av uønskede hendelser fra forsikringsselskaper og organer som administrerer offentlige forsikringsordninger. Departementets forslag medfører således ingen plikter for redaktører eller mediene som sådan.