5 Endringer i reglene om finansforetaks taushetsplikt
5.1 Utvidet adgang til deling av opplysninger for kriminalitetsbekjempelse
5.1.1 Gjeldende rett
Finansforetaksloven
Etter finansforetaksloven § 16-2 første ledd plikter et finansforetak å hindre at uvedkommende får adgang eller kjennskap til opplysninger om kunders og andres forretningsmessige eller personlige forhold som foretaket mottar under utøvelsen av virksomheten, med mindre foretaket etter lov eller forskrifter gitt med hjemmel i lov har plikt til å gi opplysninger eller er gitt adgang til å gi ellers taushetsbelagte opplysninger. Når særlige hensyn tilsier det, kan Finanstilsynet helt eller delvis oppheve taushetsplikten.
Etter § 9-6 første ledd gjelder en tilsvarende taushetsplikt, og mulighet for å oppheve taushetsplikten, for ansatte og tillitsvalgte i finansforetak samt for enhver som utfører oppdrag for finansforetaket uten å være ansatt.
Etter § 16-2 annet ledd er ikke taushetsplikten etter § 16-2 første ledd til hinder for at en person som har taushetsplikt etter § 9-6, gis de opplysninger om kunders forhold som den ansatte eller tillitsvalgte har behov for ved utførelsen av sine arbeidsoppgaver for finansforetaket. Taushetsplikten er heller ikke til hinder for at opplysninger utleveres etter skriftlig samtykke fra den som har krav på taushet. Tilsvarende følger av § 9-6 annet ledd for taushetsplikt etter § 9-6 første ledd.
Etter § 16-2 tredje ledd er taushetsplikten etter § 16-2 første ledd heller ikke til hinder for at et finansforetak i særlige tilfelle gir et annet finansforetak opplysninger som foretaket har mottatt under utøvelsen av virksomheten, dersom
-
a) formålet er å avdekke eller motvirke økonomisk kriminalitet eller annen alvorlig kriminalitet,
-
b) formålet er å gjennomføre kundeoppdrag og oppgjør av krav fra eller mot kunder, eller annen berettiget ivaretakelse av finansforetakets eller dets kunders interesser, eller
-
c) det er nødvendig å meddele opplysninger om kunders helseforhold og andre personopplysninger til annet finansforetak, unntatt når annet følger av bestemmelser i personopplysningsloven.
Utlevering av opplysninger etter dette leddet kan bare skje i henhold til styrevedtak.
Etter finansforetaksloven § 16-2 fjerde ledd er taushetsplikten etter første ledd ikke til hinder for utlevering av gjeldsopplysninger i henhold til gjeldsinformasjonsloven, jf. gjeldsinformasjonsloven § 10.
Som nevnt er det et generelt unntak fra taushetsplikt i finansforetaksloven § 16-2 første ledd når foretaket etter lov eller forskrifter gitt med hjemmel i lov har plikt til å gi opplysninger eller er gitt adgang til å gi ellers taushetspliktbelagte opplysninger. Finansforetak har slik plikt eller adgang overfor blant annet påtalemyndigheten (jf. straffeprosessloven §§ 210 og 230 annet ledd), skattemyndigheter (jf. skatteforvaltningsloven §§ 7-3 og 10-2) og NAV (jf. folketrygdloven §§ 21-4 første ledd og 21-4b). Det kan også nevnes at hvitvaskingsloven gir en rekke delingshjemler for finansforetak og andre rapporteringspliktige, blant annet delingsrett og -plikt innad i konsern og delingsrett for enkelte rapporteringspliktige når det gjøres undersøkelser om mistenkelige forhold, i tillegg til plikten til å rapportere til Økokrim om forhold som gir grunnlag for mistanke om hvitvasking eller terrorfinansiering. EUs nye antihvitvaskingsforordning åpner for at det i større utstrekning enn i dag både kan og skal utveksles kundeopplysninger mellom rapporteringspliktige og til offentlige myndigheter. Finansdepartementet sendte 23. januar 2026 på høring en arbeidsgrupperapport om gjennomføringen av den nye forordningen og resten av EUs antihvitvaskingspakke.
Etter finansforetaksloven § 16-2 femte ledd er taushetsplikten etter første ledd ikke til hinder for utlevering av opplysninger i forbindelse med gjennomføring av betalingstransaksjoner eller ved tilbud om en tjeneste betalingstjenestebrukeren har anmodet om. Etter loven § 13-21 første ledd kan foretak som yter betalingstjenester samle inn, bearbeide og utveksle seg imellom transaksjonsopplysninger og annen betalingsinformasjon når dette er nødvendig for å sikre forebygging, etterforskning eller avsløring av betalingsbedragerier. Bestemmelsen gjennomfører det reviderte betalingstjenestedirektivet (direktiv (EU) 2015/2366) artikkel 94 nr. 1. Etter § 13-21 annet ledd kan departementet gi forskrift om behandling av betalingsinformasjon og nærmere regler om betalingstjenestetilbyderes behandling av personopplysninger, herunder behandling av sensitive betalingsopplysninger. Forskriftshjemmelen er ikke benyttet.
Etter finansforetaksloven § 16-2 sjette ledd skal et finansforetak ha kontrollordninger for å sikre at kundeopplysninger blir behandlet på en betryggende måte, og at uvedkommende ikke får tilgang eller kjennskap til opplysningene. Denne generelle bestemmelsen suppleres av de mer detaljerte reglene i personvernregelverket, jf. omtalen nedenfor.
For øvrig gir finansforetaksloven § 16-2 syvende ledd regler om finansforetaks innhenting av opplysninger fra Folkeregisteret.
Departementet kan etter finansforetaksloven § 16-2 åttende ledd gi forskrift om utlevering av opplysninger.
Selv om det ligger utenfor finansforetakslovens rammer, nevner departementet også at avvergingsplikten som følger av straffeloven § 196, gjelder uten hensyn til taushetsplikt.
Personopplysningsloven
Finansforetakenes innsamling, registrering og annen bearbeidelse av opplysninger om personkunder, samt eventuell videreformidling av disse, må oppfylle kravene i EUs personvernforordning (GDPR), som er gjennomført i norsk rett i personopplysningsloven § 1. Personopplysninger er etter forordningen artikkel 4 nr. 1 enhver opplysning om en identifisert eller identifiserbar fysisk person (den registrerte), og etter artikkel 6 nr. 1 er behandling av personopplysninger bare lovlig når behandlingen kan forankres i ett av seks nærmere angitte behandlingsgrunnlag. For deling av personopplysninger mellom finansforetak for formål knyttet til bekjempelse av økonomisk kriminalitet kan særlig grunnlagene nevnt i artikkel 6 nr. 1 bokstav c, e og f være aktuelle:
-
Bokstav c åpner for behandling av personopplysninger når behandlingen er nødvendig for å oppfylle en rettslig forpliktelse som påhviler den behandlingsansvarlige.
-
Bokstav e åpner for behandling av personopplysninger når behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt.
-
Bokstav f åpner for behandling av personopplysninger når behandlingen er nødvendig for formål knyttet til de berettigede interessene som forfølges av den behandlingsansvarlige eller en tredjepart, med mindre den registrertes interesser eller grunnleggende rettigheter og friheter går foran og krever vern av personopplysninger, særlig dersom den registrerte er et barn. I punkt 47 i fortalen er det blant annet nevnt at behandling av personopplysninger som er strengt nødvendig for å forebygge bedrageri, utgjør en berettiget interesse for den berørte behandlingsansvarlige. Bokstav f får ikke anvendelse på behandling som utføres av offentlige myndigheter som ledd i utførelsen av deres oppgaver.
Behandling av personopplysninger i medhold av bokstav c eller e krever i tillegg et supplerende rettsgrunnlag fastsatt i lov eller med hjemmel i lov, jf. forordningen artikkel 6 nr. 3. Formålet med behandlingen skal være fastsatt i det supplerende grunnlaget eller, når det gjelder behandling etter bokstav e, være nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt. Grunnlaget kan inneholde særlige bestemmelser for å tilpasse anvendelsen av reglene i forordningen, blant annet de generelle vilkårene som skal gjelde for lovligheten av den behandlingsansvarliges behandling, hvilken type opplysninger som skal behandles, berørte registrerte, enhetene som personopplysningene kan utleveres til, og formålene med dette, formålsbegrensning, lagringsperioder samt behandlingsaktiviteter og fremgangsmåter for behandling, herunder tiltak for å sikre lovlig og rettferdig behandling. Det supplerende rettsgrunnlaget skal oppfylle et mål i allmennhetens interesse og stå i et rimelig forhold til det berettigede målet som søkes oppnådd.
Forordningen artikkel 6 nr. 4 regulerer den behandlingsansvarliges adgang til behandling av personopplysninger for andre formål enn det de er blitt samlet inn for, når slik behandling ikke bygger på den registrertes samtykke eller på et supplerende rettsgrunnlag.
Forordningen artikkel 9 gjelder særlige kategorier personopplysninger. Behandling av personopplysninger om rasemessig eller etnisk opprinnelse, politisk oppfatning, religion, filosofisk overbevisning eller fagforeningsmedlemskap, samt behandling av genetiske opplysninger og biometriske opplysninger med det formål å entydig identifisere en fysisk person, helseopplysninger eller opplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering, er forbudt etter artikkel 9 nr. 1, med mindre unntak etter nr. 2 kommer til anvendelse. Blant annet kan det gjøres unntak når behandlingen er nødvendig av hensyn til viktige allmenne interesser, på grunnlag av et supplerende rettsgrunnlag som skal stå i et rimelig forhold til det målet som søkes oppnådd, være forenlig med det grunnleggende innholdet i retten til vern av personopplysninger og sikre egnede og særlige tiltak for å verne den registrertes grunnleggende rettigheter og interesser, jf. nr. 2 bokstav g.
Etter forordningen artikkel 10 skal behandling av personopplysninger om straffedommer og lovovertredelser eller tilknyttede sikkerhetstiltak på grunnlag av artikkel 6 nr. 1 bare utføres under en offentlig myndighets kontroll eller dersom behandlingen er tillatt i henhold til et supplerende rettsgrunnlag som sikrer nødvendige garantier for de registrertes rettigheter og friheter. Videre skal alle omfattende registre over straffedommer bare føres under en offentlig myndighets kontroll.
5.1.2 Forslaget i høringsnotatet
Behov for utvidet adgang til å utlevere opplysninger
Finanstilsynet skriver i høringsnotatet at forbrukerhensyn tilsier at det legges til rette for at finansforetakene i størst mulig grad kan hindre at deres kunder blir utsatt for svindel og annen økonomisk kriminalitet, og at det er viktig å sikre tilliten og integriteten til de etablerte betalingssystemene som ivaretar grunnleggende funksjoner i samfunnet. Finanstilsynet påpeker også at finansbransjen har et samfunnsansvar for å delta i det generelle forebyggende arbeidet mot økonomisk kriminalitet som følger av foretakenes rett til å tilby finansielle tjenester, og at både finansnæringen selv og alle de offentlige aktørene med ansvar for å bekjempe økonomisk kriminalitet har vist til at effektiv innsamling av data og utveksling av informasjon på tvers av banker, politi og andre aktører er sentralt i arbeidet med å bekjempe kriminalitetsutviklingen. Finanstilsynet skriver i tillegg at ny teknologi og nye metoder i seg selv skaper behov for å utvide tilgangen til informasjon i dette arbeidet.
Finanstilsynet mener derfor at finansforetak i større utstrekning enn i dag bør ha adgang til å utlevere taushetsbelagt informasjon, ikke bare til andre finansforetak, men også til politiet og andre offentlige myndigheter, samt til ekomtilbydere. Etter Finanstilsynets vurdering bør finansforetakene kunne varsle relevante aktører av eget tiltak, når de blir kjent med at et mulig straffbart forhold er i ferd med å skje eller har skjedd, uavhengig av om finansforetaket selv er direkte eller indirekte offer for det straffbare forholdet. Som et eksempel peker tilsynet på at et finansforetak kan ha opplysninger om at et annet finansforetaks betalingssystem er i ferd med å utsettes for uautorisert bruk, slik at disse finansforetakene, uavhengig av taushetsplikten, bør kunne utveksle kundeopplysninger og annen informasjon, og eventuelt også med politiet, for å avverge handlingen eller for at handlingen skal kunne straffeforfølges.
Finanstilsynet skriver at forslaget omfattes av personvernreguleringen, som blant annet innebærer en plikt til å rådføre seg med tilsynsmyndigheten ved reguleringstiltak, og opplyser at det har vært avholdt drøftelsesmøter med Datatilsynet i forbindelse med utarbeidelsen av forslaget. I tillegg bygger forslaget på erfaringer fra arbeid i prosjekter som Finanstilsynet og Datatilsynet i samarbeid har tatt inn i sine regulatoriske sandkasser, hvor hovedspørsmålet har vært rekkevidden av taushetsplikten i finansforetaksloven og hindringene personvernreguleringen utgjør for datadeling.
Finanstilsynet mener at taushetspliktens rammer, slik disse fremkommer i finansforetaksloven § 16-2 første ledd, i hovedsak bør ligge fast, og at foretakenes adgang til å dele opplysninger for å bekjempe økonomisk kriminalitet bør gjennomføres ved et klart, lovfestet unntak fra taushetsplikten. Dette vil ifølge tilsynet samtidig ivareta krav om supplerende rettsgrunnlag etter personvernforordningen artikkel 6, 9 og 10.
Finanstilsynet foreslår en ny bestemmelse i finansforetaksloven § 16-2 nytt fjerde ledd, til erstatning for loven §§ 13-21 og 16-2 tredje ledd bokstav a. Forslaget lyder:
«Finansforetak kan uten hinder av taushetsplikt utlevere opplysninger til andre finansforetak og til politiet når dette er nødvendig for å forebygge eller avdekke økonomisk kriminalitet og annen alvorlig kriminalitet. Tilsvarende gjelder utlevering til andre offentlige og private aktører fastsatt av departementet i forskrift. Opplysninger som mottas etter denne bestemmelsen, kan ikke benyttes til andre formål enn det de er utlevert for.»
Finanstilsynet skriver at forslaget bygger på systematikken i finansforetaksloven § 13-21 og innholdet i § 16-2 tredje ledd bokstav a. Sammenlignet med gjeldende rett innebærer forslaget en utvidelse av delingsadgangen, både fordi opplysninger kan deles med flere, og fordi vilkåret om «særlig tilfelle» og kravet om styrevedtak fjernes.
Når det gjelder den foreslåtte hjemmelen i loven § 16-2 nytt fjerde ledd for departementet til å fastsette i forskrift at foretakene skal ha adgang til å utlevere opplysninger også til andre offentlige og private aktører, peker Finanstilsynet på at dette særlig kan være aktuelt for ekomtilbydere og finansforetak med konsesjon fra annen EØS-stat. Finanstilsynet skriver blant annet følgende om mulig bruk av hjemmelen:
«Behovet for internasjonalt samarbeid for å bekjempe økonomisk kriminalitet tilsier etter Finanstilsynets vurdering at taushetsplikten heller ikke bør være til hinder for informasjonsutveksling på tvers av landegrensene. Det vises til arbeidet som pågår i EU når det gjelder antisvindelarbeid på betalingsvirksomhetsområdet (…). Dette tilsier at det også er behov for å kunne dele informasjon med finansforetak innenfor EU-området, men som ikke driver virksomhet i Norge i medhold av finansforetaksloven. Finanstilsynet mener det også bør legges til rette for på sikt å kunne utveksle opplysninger med aktører i stater utenfor EØS-området, basert på avtaler og ordninger for informasjonsutveksling som ivaretar personvernhensynene. (…)
Det vil også kunne være situasjoner der finansforetak har mistanke om straffbare handlinger, som det kan være samfunnsviktig å varsle andre offentlige myndigheter enn politiet om. [Det finnes] allerede en bestemmelse i folketrygdloven som gir finansforetak adgang til å varsle NAV ved mistanke om trygdebedrageri. Finansforetakene har også en plikt til å dele kundeopplysninger med Skatteetaten, men ingen rett til å varsle av eget tiltak. Behovet for å kunne varsle andre myndigheter uoppfordret oppstår også i tilknytning til såkalt registerkriminalitet, (…) hvor kriminelle benytter offentlige registre, blant annet Foretaksregistret (som føres av Skatteetaten) og Arbeidsgiver- og arbeidstakerregistret (som føres av NAV) til å registrere fiktive selskaper og fiktive ansatte. (…)
Utviklingen når det gjelder ekomsvindel aktualiserer også spørsmålet om behov for deling av opplysninger med ekomtilbydere. I forbindelse med den nevnte EU-reguleringen på betalingstjenesteområdet, er det foreslått tiltak for informasjonsdeling mellom betalingstjenesteleverandører og ekomtilbydere. Gjennom sandkasseprosjektene har det også kommet fram at sammenkobling med trafikkdata fra ekomtjenester spiller en viktig rolle i å bekjempe betalingsbedragerier. Trafikkdata, blant annet opplysninger om hvem som har ringt hverandre eller mottatte SMS-er, og informasjon om oppkoblinger til internett, er sentralt i de fleste bedrageritilfellene. Særlig i en tidlig fase kan sammenkobling av trafikkdata og aktivitet på bankkontoer i sanntid være et effektivt virkemiddel, ikke bare for å avverge betalingsbedragerier, men antagelig også mer alvorlig kriminalitet som for eksempel overgrep mot barn og terrorfinansiering.»
For ordens skyld bemerker departementet at Foretaksregisteret føres av Brønnøysundregistrene, ikke Skatteetaten.
Formål og avgrensinger
Finanstilsynet viser til at personvernreguleringen krever at hjemmelsgrunnlaget for viderebehandling av personopplysninger må angi formålet med behandlingen, og skriver blant annet følgende:
«Formålsangivelsen bør, slik Finanstilsynet vurderer det, dekke alle aktiviteter som inngår i kriminalitetsbekjempelse; forebyggende arbeid, avverging, politietterforskning, iretteføring for domstolene, domfellelse og oppfølging i regi av kriminalomsorgen og i tillegg den kontrollvirksomheten som utføres av andre forvaltningsorganer enn politiet. Finanstilsynet legger til grunn at å forebygge eller avdekke er dekkende for disse aktivitetene. Forebygge henspiller for det første på finansforetakenes behov for å varsle et annet finansforetak eller politiet før en mulig konkret straffbar handling har funnet sted, for å avverge handlingen. Begrepet dekker også deling av informasjon om en mulig og eventuelt mer generell modus, kriminelt nettverk osv. Avdekke knytter seg til opplysninger som er nødvendig for etterforskning, bevissikring osv.
Den særskilte utleveringsadgangen i gjeldende § 16-2 tredje ledd bokstav a omfatter i prinsippet alle typer økonomisk kriminalitet, og også annen kriminalitet dersom den er alvorlig. Det finnes ingen legaldefinisjoner av verken økonomisk kriminalitet eller alvorlig kriminalitet. Når rammene for finansforetakenes adgang til å dele taushetsbelagte opplysninger utvides, har Finanstilsynet vurdert om formålet bør begrenses.
Finansforetakene er først og fremst tjent med å forebygge kriminalitet som r dem selv eller kundene deres. Ifølge både bransjens og myndighetenes trusselvurderinger, står betalingsbedragerier i en særstilling når det gjelder omfanget. Lånebedragerier og forsikringssvindel rammer også finansforetakene direkte, selv om det i dag har mindre omfang enn betalingsbedragerier.
Det finnes en rekke andre straffbare forhold enn bedrageri hvor finansforetak besitter opplysninger som kan være nyttig for blant annet politiet. For eksempel faller både korrupsjon, underslag, utroskap eller kreditorrelaterte straffebestemmelser utenfor bedrageribegrepet. Slik kriminalitet kan være alvorlige for både næringsliv, privatpersoner og samfunnet ellers. På den annen side er det svært mange ulike økonomiske straffebud som verken rammer finansforetakenes virksomhet eller omfatter betydelige verdier eller kan anses som særlig samfunnsskadelig virksomhet.
Finanstilsynet har vurdert om det for forhold som ikke gjelder bedrageri bør være en viss terskel når det gjelder hvilken type økonomisk kriminalitet som bør omfattes av delingsadgangen. Finanstilsynet har imidlertid kommet til at en slik avgrensning vil skape uklare rammer for når foretakene har adgang til å dele informasjon, samtidig som det vil ha liten praktisk betydning. Det vises her til at forslaget ikke innebærer noen plikt for finansforetakene til å dele opplysninger, kun en adgang til dette. Finanstilsynet antar dermed at delingsadgangen først og fremst vil bli benyttet for å avverge og bekjempe kriminelle handlinger som rammer finansforetakene og deres kunder. Forslaget begrenser uansett ikke finansforetakenes plikt til å dele opplysninger etter annet regelverk, for eksempel rapporteringsplikten etter hvitvaskingsloven, (…) eller utlevering av opplysninger etter anmodning fra politi og kontrollmyndigheter (…).
Også utenfor det som anses som økonomisk kriminalitet, vil det kunne være straffbare forhold som finansforetak kan være i en særlig posisjon for å avdekke. Spesielt banker og andre betalingsforetak vil gjennom sine transaksjonsovervåkningssystemer og den foreslåtte muligheten til å varsle relevante aktører i sanntid, kunne avverge for eksempel terrorfinansiering eller overgrep mot barn.
På denne bakgrunn har Finanstilsynet kommet til at adgangen til å utlevere kundeopplysninger ikke bør begrenses til bare bedragerier, men omfatte generell økonomisk kriminalitet og visse andre kriminelle forhold, dersom de er alvorlige. Det foreslås dermed å opprettholde formålsangivelsen i gjeldende § 16-2 tredje ledd bokstav a. Finanstilsynet presiserer imidlertid at når det gjelder annen kriminalitet enn økonomiske lovbrudd, er ordlyden ment å angi en relativ høy terskel. Normalt må det være snakk om alvorlig, samfunnsskadelig kriminalitet.»
Om hvilke opplysninger som skal kunne utleveres, skriver Finanstilsynet blant annet følgende:
«Rammene for hvilke typer taushetsbelagte opplysninger og personopplysninger finansforetakene skal kunne utlevere må vurderes i sammenheng med formålet. Til sammenligning er gjeldende regulering i § 13-21 begrenset til transaksjonsopplysninger og annen betalingsinformasjon når formålet er begrenset til betalingsbedragerier.
Utleveringsadgangen bør som utgangspunkt omfatte alle opplysninger om kundeforholdet. Næringsdrivende kunder vil ofte være et foretak eller annen sammenslutning, hvor også opplysninger om eiere og personer i ledende rolle vil omfattes. Det kan lett undergrave et hensiktsmessig samarbeid og skape praktiske hindringer dersom det settes opp for detaljerte rammer for hvilke typer person- og forretningsopplysninger som kan utveksles. Nødvendighetskravet og kravet til forholdsmessighet i relasjon til formålet med utleveringen, vil imidlertid utgjøre en viktig avgrensing av hvilke opplysninger et finansforetak i den konkrete anvendelsen av bestemmelsen vil kunne utlevere.
Sandkasseprosjektene har avdekket ulike behov når det gjelder hvilke opplysninger som bør kunne utleveres. For prosjektene knyttet til betalingsbedragerier, legger Finanstilsynet til grunn at behovet i det alt vesentlige, og i praksis, vil være begrenset til det som faller inn under begrepet betalingsinformasjon.
[Nødvendighetskravet vil] også innebære at opplysninger om en kundes normale adferdsmønster ikke vil kunne videreformidles, bare opplysninger som knytter seg til den mistenkte straffbare handlingen og som er nødvendig for at mottakeren av opplysninger skal kunne iverksette tiltak i tråd med formålet.
Personers helseopplysninger og andre såkalt sensitive opplysninger som har et særskilt vern etter personvernforordningen artikkel 9, skal som utgangspunkt også omfattes av utleveringsadgangen. Et nærliggende eksempel er at det i forsikringsregisteret ROFF (…) blir registrert en kode som viser at det er søkt om uføreerstatning. Dette vil etter en manuell og konkret vurdering kunne utløse behov for ytterligere informasjonsutveksling mellom to eller flere forsikringsforetak for å avdekke om forsikringskunden har gitt korrekt helseinformasjon.
Det samme gjelder opplysninger som falle inn under forordningen artikkel 10 (opplysninger om straffedommer og lovovertredelser). Det kan videre være behov for finansforetakene å videreformidle opplysninger finansforetakene mottar fra politiet, eller andre myndigheter som ledd i antisvindelarbeidet.
For å sikre tilstrekkelig fleksibilitet, særlig sett hen til behovet for å utveksle opplysninger i sanntid, mener Finanstilsynet derfor at det ikke bør legges noen begrensning i hjemmelsgrunnlaget på hvilke typer opplysninger som kan utleveres. (…)
En problemstilling som er blitt aktualisert gjennom sandkasseprosjektene, er om opplysninger innhentet gjennom kundetiltak etter hvitvaskingsloven kan deles i medhold av delingsadgangen i finansforetaksloven. Finanstilsynet mener reguleringen ikke bør være til hinder for dette. Det vises også til at EUs nye hvitvaskingsforordning åpner for at det i større utstrekning enn i dag både kan og skal utveksles kundeopplysninger mellom rapporteringspliktige og til offentlige myndigheter for å undersøke underliggende lovbrudd.»
Forskriftshjemmel om utlevering og behandling av opplysninger mv.
Finanstilsynet viser til at utlevering av opplysninger som omfattes av personvernforordningen artikkel 9 eller 10, krever supplerende rettsgrunnlag, og at departementet bør kunne gi adgang til å utlevere slike opplysninger i forskrift. Finanstilsynet foreslår at departementet gis hjemmel til å gi forskrift om såkalte informasjonsdelingsordninger og behandling av personopplysninger, inkludert opplysninger omfattet av personvernforordningen artikkel 9 og 10. I dette ligger en flytting og videreføring av forskriftshjemmelen i loven § 13-21 annet ledd (om å kunne gi nærmere regler om behandling av personopplysninger) til bestemmelsen i § 16-2.
Om behovet for å kunne gi regler om informasjonsdelingsordninger viser Finanstilsynet til at aktører som utvikler og driver tekniske løsninger for informasjonsutveksling, ikke er direkte omfattet av finansforetaksloven, samtidig som det er langvarig praksis for finansforetak å utkontraktere IKT-virksomhet. Taushetsplikten etter finansforetaksloven gjelder ikke overfor ansatte hos slike tjenesteleverandører når de utfører oppdrag for et finansforetak, jf. finansforetaksloven § 9-6. Tjenesteleverandøren er da underlagt taushetspliktregelen på lik linje med finansforetakene, og kan i prinsippet utlevere taushetsbelagte opplysninger til andre på vegne av sin oppdragsgiver i samme utstrekning som oppdragsgiveren selv. Finanstilsynet skriver videre:
«I to av antisvindelsystemene som er presentert gjennom sandkasseprosjektene, skal opplysningene utveksles gjennom en IKT-plattform mellom finansforetakene som inngår i et samarbeid. Opplysningene som mottas i plattformen vil kunne bli gjenstand for analyse og bearbeiding før de formidles videre. Plattformen vil drives av en IKT-tjenesteleverandør, som vil omfattes av DORA-reguleringen (…). Dette innebærer blant annet at finansforetakene som er tilknyttet plattformen er ansvarlige for at tjenesteleverandøren etterlever alle forpliktelser som følger av DORA og annet relevant regelverk, som for eksempel taushetspliktreglene i finansforetaksloven og personvernreguleringen.»
Personvernreguleringen krever etter Finanstilsynets vurdering et klarere rettsgrunnlag enn det som i dag kan utledes av finansforetaksloven når det gjelder deling av personopplysninger gjennom slike delingsplattformer, og tilsynet foreslår derfor å utvide forskriftshjemmelen i finansforetaksloven § 16-2 åttende ledd (foreslått omnummerert til niende ledd) slik at departementet kan gi forskriftsregler om informasjonsdelingsordninger.
Andre forslag
Finanstilsynet viser til at både begrepene «kundeopplysninger» og «opplysninger» forekommer i lovteksten uten at det synes å innebære noen realitetsforskjell. Etter Finanstilsynets vurdering bør «kundeopplysninger» erstattes med «opplysninger» for å unngå uklarheter om rekkevidden av bestemmelsene i loven § 16-2, og foreslår endringer i paragrafens overskrift og gjeldende sjette ledd i tråd med dette.
Finanstilsynet viser til at det følger av finansforetaksloven § 16-2 annet ledd første punktum at taushetsplikten etter første ledd ikke er til hinder for at en person som har taushetsplikt etter loven § 9-6, gis de opplysninger om kunders forhold som den ansatte eller tillitsvalgte har behov for ved utførelsen av sine arbeidsoppgaver for finansforetaket, og påpeker at ordlyden i dette unntaket er snevrere enn i første ledd, som også omfatter andres forhold. Det er etter Finanstilsynets vurdering ingen holdepunkter for at denne innsnevringen har vært tilsiktet, og tilsynet foreslår derfor å klargjøre dette i § 16-2 annet ledd første punktum.
5.1.3 Høringsinstansenes syn
Behov for utvidet adgang til å utlevere opplysninger
Økokrim støtter forslaget og skriver blant annet følgende:
«Etter vår vurdering er et tettere samarbeid og utvidet deling av informasjon mellom offentlige etater og private virksomheter helt nødvendig for å kunne forebygge og bekjempe en så vidt samfunnsskadelig kriminalitet som bedragerier og annen økonomisk kriminalitet har blitt for det norske samfunnet. For Økokrims del er det særlig viktig at finansforetak av eget tiltak kan dele slik informasjon med politiet utenfor straffesak.
Deling av informasjon mellom offentlige og private aktører, ikke minst utfordringene knyttet til slik deling, har vært en gjenganger i nær sagt alle forebyggende prosjekter Økokrim jobber med. Dette gjelder ikke minst i tilknytning til saker om registermanipulasjon, fiskerikriminalitet og flere offentlig-private samarbeid, herunder knyttet til bedragerier. Økokrim ser det derfor som viktig å sikre at alle relevante etater og virksomheter som utgjør totalforsvaret mot økonomisk kriminalitet, har felles forståelse for de rammer som regelverket fastsetter for adgangen til å dele og behandle informasjon. Forslaget vil etter vår vurdering bidra positivt i så måte.»
Økokrim mener at det er riktig og nødvendig å utvide adgangen til å utveksle opplysninger mellom alle typer finansforetak, også til finansforetak i EU, samt at adgangen til å utlevere utvides til å omfatte flere typer og kategorier av opplysninger også med ekomtilbydere, politiet og andre offentlige etater. Økokrim peker på at blant annet Skatteetaten, NAV, Arbeidstilsynet, Tolletaten, Nasjonalt tverretatlig analyse- og etterretningssenter ved Økokrim (NTAES), Statens kartverk, Brønnøysundregistrene og flere andre tilsynsorganer er særlig aktuelle aktører som bør omfattes av utleveringsadgangen. Advokattilsynet, Skatteetaten og Tolletaten skriver i sine høringssvar at de bør omfattes av utleveringsadgangen, mens Oslo Politidistrikt mener at også domstolene bør omfattes. Norsk Økrimforening (NØF), Finansieringsselskapenes Forening, Foreningen for finansfag Norge og Norges Bank støtter også forslaget.
Finans Norge støtter i hovedsak forslaget, og er enig i at kriminalitetsutviklingen tilsier at det er behov for en klargjøring og utvidelse av rammene for deling av informasjon mellom finansforetak, med politiet og med tilbydere av elektroniske kommunikasjonstjenester. Finans Norge peker også på at Skatteetaten, Foretaksregistret og Arbeidstilsynet, samt virksomheter som er omfattet av lov om elektroniske tillitstjenester (også anført av Stø AS), bør omfattes av utleveringsadgangen. Sistnevnte gjelder særlig som følge av behovet for å forebygge misbruk av elektroniske identiteter (eID) til bedragerier og misbruk av offentlige ordninger. Mastercard Payment Services mener det bør presiseres at utleveringsadgangen omfatter IKT-tjenesteleverandører.
Nordic Financial CERT støtter forslaget og viser til at digitale bedragerier og økonomisk kriminalitet i økende grad er grenseløs. De påpeker viktigheten av at det legges til rette for effektiv og sikker informasjonsdeling på et nordisk og europeisk nivå. Frelsesarmeen og Fair Play Bygg Norge fremhever forslagets betydning for bekjempelsen av arbeidslivskriminalitet. Fair Play Bygg Norge mener samtidig at adgangen til å motta opplysninger bør begrenses til «finansforetak som står aktivt under tilsyn av Finanstilsynet, deltar i formalisert samarbeid om kriminalitetsbekjempelse og er oppført på en offentlig ‘positivliste’ over godkjente mottakere». Frelsesarmeen fremmer samtidig en bekymring for rettssikkerheten til personer som har fått sin eID misbrukt, i tilfeller der finansforetakene får mulighet til å dele opplysninger om mulig misbruk. De mener derfor at forslaget må kombineres med klare rutiner for retting av feilopplysninger.
Datatilsynet gir uttrykk for forståelse for behovet for internasjonalt samarbeid for å bekjempe økonomisk kriminalitet, og at det kan være hensiktsmessig med en adgang til å dele opplysninger med finansforetak som har konsesjon fra andre land i EØS. Datatilsynet mener at det i så fall bør stilles krav til utleveringsavtaler som oppstiller tilsvarende rammer for behandlingen av opplysningene som det som følger av finansforetaksloven § 16-2 og tilhørende forskriftsregler.
Kredittbanken støtter en utvidet adgang til å dele opplysninger, forutsatt klare hjemler, tydelig veiledning, krav til dokumentasjon rundt vurderingene som gjøres for å dele opplysninger og tydelige ansvarsforhold mellom finansforetak og offentlige myndigheter. Dersom forslaget ikke endres, mener de det ikke i tilstrekkelig grad balanserer hensynet til effektiv kriminalitetsbekjempelse mot hensynet til personvern, datasikkerhet og rettssikkerhet.
Finterai mener vurderingene som avveier personvern og økt informasjonsdeling, er for snevre, og at de bør innebære en avveining mellom tre faktorer: personvern, effektiv bekjempelse av økonomisk kriminalitet og kostnad. Instansen synes å mene at det ikke er behov for å dele sensitive personopplysninger i den grad forslaget legger opp til, dersom det i stedet tas i bruk spesifikk teknologi.
Partiet Fred og Rettferdighet og to privatpersoner (Magne Osnes og J. Anderssen) støtter ikke forslaget. Partiet Fred og Rettferdighet mener digitaliseringen i stedet bør stoppes, og at trygge analoge løsninger heller søkes, siden det er digitaliseringen som fremstår å være grunnen til økningen i økonomisk kriminalitet.
Formål og avgrensinger
Finans Norge slutter seg til formålsangivelsen i høringsforslaget og mener det er en viktig tydeliggjøring for å sikre at opplysningene deles i tråd med bestemmelsens hensikt. Finans Norge etterlyser ellers en nærmere klargjøring av eventuelle konflikter mellom den foreslåtte delingsadgangen i finansforetaksloven og avsløringsforbudet i hvitvaskingsloven. DNB Bank støtter at forslaget ikke er begrenset til å gjelde spesifikke former for kriminalitet, og viser til at dette er viktig for en effektiv kriminalitetsbekjempelse og at en avgrensning ville kunne skapt uklare og uheldige begrensninger i kampen mot organiserte kriminelle. Skatteforsk – Centre for Tax Recearch mener mistanke om skatteunndragelse eksplisitt bør nevnes som en form for økonomisk kriminalitet i loven.
Finansieringsselskapenes Forening peker på behovet for nærmere avklaringer av vilkårene for deling og krav til hvordan informasjonen skal håndteres av mottaker. Kredittbanken mener det må etableres klare og presise kriterier for når deling av personopplysninger er «nødvendig» for å forebygge eller avdekke økonomisk kriminalitet, og hvilken type opplysninger som er relevant, blant annet basert på erfaringer fra sandkasseprosjektene. Videre at det bør klargjøres at finansforetakenes rolle er å bistå offentlige myndigheter, ikke å drive etterforskning på egen hånd.
Oslo Politidistrikt mener delingsadgangen ikke bør begrenses til bedrageri og viser blant annet til at bedrageriene ofte forberedes ved registermanipulasjon, som normalt vil innebære straffbar uriktig forklaring til offentlig myndighet, jf. straffeloven § 221. Det bør heller ikke avgrenses mot annen tilgrensende kriminalitet som skattesvik (straffeloven § 378), forsikringsbedrageri (straffeloven § 375) og krenkelse av sikkerhetsrett (straffeloven § 386). Oslo Politidistrikt skriver videre at:
«Forslaget om informasjonsdeling for å bekjempe annen alvorlig kriminalitet vil være et svært viktig virkemiddel til å forebygge og straffeforfølge en del former for seksuelle overgrep mot barn. Et typisk eksempel er direkteoverførte seksuelle overgrep mot barn i utlandet. Det er avdekket flere tilfeller der norske borgere har bestilt slike overgrep, blant annet på Filippinene, og betalt for dette via sin norske bank. Oslo Politidistrikt er kjent med at banker har avdekket dette, men vært i tvil om sin rettslige adgang til å informere politiet. Et annet eksempel kan være pengeutpressing mot mindreårige med seksualiserte bilder (‘sextortion’). Beskyttelsesbehovet for de fornærmede i slike saker er meget stort. Imidlertid er slike lovbrudd svært vanskelig for politiet å avdekke på egenhånd, men bankene kan i noen tilfeller avdekke dette i sin transaksjonsovervåkning.»
Oslo Politidistrikt fremhever også at kravene til nødvendighetsvurderingen ikke må settes for høyt, og begrunner dette nærmere slik:
«Den relevante informasjonen den enkelte aktør besitter vil normalt være begrenset og den kan ikke i seg selv med særlig sikkerhet tilsi at kriminalitet er begått eller vil bli begått. Det er først etter at opplysningene er delt og sammenstilt med andre aktørers informasjon at man klarere vil kunne forutsi fremtidige lovbrudd eller kunne oppklare begåtte lovbrudd. I slike tilfeller må det, for at lovforslaget skal fylle sitt formål, være adgang til å dele opplysninger. Et typisk eksempel er at et finansforetak ser at samme datamaskin brukes av mange ulike BankIDer til å ligge inn i nettbanken. Dette kan enten ha sin legitime forklaring ved at maskinen er en offentlig tilgjengelig PC på et bibliotek, eller det kan tyde på at maskinen brukes av bakmenn til seriebedragerier og registermanipulasjon ved å benytte mange stråpersoners BankIDer. I slike tilfeller må det være adgang til å utlevere slik informasjon til andre aktører slik at dette kan avklareres.»
Oslo Politidistrikt fremholder at et krav om objektive holdepunkter for at et lovbrudd er eller vil bli begått, antagelig innebærer en rimelig avveiing av hensynet til personvernet og hensynet til kriminalitetsbekjempelse. Oslo Politidistrikt bemerker for øvrig at begrepet «avdekke» ikke er tilstrekkelig dekkende når hensikten er å inkludere etterforskning (bevisinnhenting) og foreslår derfor formuleringen «forebygge, avdekke eller straffeforfølge».
Norges institusjon for menneskerettigheter (NIM) påpeker at begrepet «forebygge» kan forstås svært vidt, og at det ikke kreves noen form for konkret mistanke om at noe straffbart vil eller kan skje. Med henvisning til at det dels vil være aktuelt med rutinemessig deling av store mengder opplysninger, mener NIM det er behov for en nærmere gjennomgang av hva som ligger i lovens krav til nødvendighet (og forholdsmessighet). I denne sammenheng etterlyser NIM for det første en nærmere angivelse eller drøftelse av «om det er tale om nødvendighet i streng betydning, altså slik at det ønskede formålet ikke kan oppnås på annen måte, eller om det er tale om en avveiningsnorm og i så fall etter hvilke momenter». For det andre etterlyser NIM en eksplisitt drøftelse av «forholdsmessighet som kan danne basis for hvilke opplysninger og situasjoner som tilsier deling, og hvilke som ikke gjør det», og påpeker at høringsnotatet heller ikke inneholder noen drøftelse av hvordan denne vurderingen skal foretas ved forskjellige typer opplysninger. NIM påpeker videre overordnet at høringsnotatet behandler forholdet til personvernreguleringen, mens det menneskerettslige vernet av privatlivet etter EMK artikkel 8 og Grunnloven bare kort er nevnt. NIM etterlyser i den forbindelse en eksplisitt subsumsjon ut fra hvordan informasjonsdelingen vil skje i praksis. I spørsmålet om å inkludere opplysninger som omfattes av personvernforordningen artikkel 9 og 10, påpeker NIM manglende begrunnelse i høringsnotatet for en så omfattende forskriftshjemmel.
Økokrim støtter Finanstilsynets vurdering og vektlegging av personvernhensynene opp mot samfunnets og virksomhetenes behov for å forebygge og bekjempe alvorlig kriminalitet, og skriver blant annet følgende:
«De samfunnsskadelige konsekvensene som økonomisk kriminalitet har for velferdssamfunnet, samt de negative konsekvensene for den enkelte som rammes av bedrageri, ID-tyveri og annen alvorlig kriminalitet, gjør det nødvendig å sette etater og virksomheter i stand til å iverksette relevante mottiltak. Dette er også viktig for å sikre og opprettholde tilliten til rettsstaten, finansforetakene og til robustheten i våre velferdsordninger. Tiltak som motvirker slik kriminalitet, som for eksempel ID-tyverier, kan derfor også ses som en styrke for personvernet.»
Datatilsynet mener at forslaget omfatter mer enn det som fremstår nødvendig og forholdsmessig for å ivareta behovet for informasjonsdeling slik det er beskrevet i høringsnotatet. Datatilsynet viser til at det ikke er tilstrekkelig redegjort for et eventuelt behov for utvidet delingsadgang for å forebygge eller avdekke andre former for økonomisk kriminalitet enn bedragerier eller annen kriminalitet, og viser til at begrunnelsen som er gitt, er kort og ikke uten videre støtter et så vidt formål. Datatilsynet skriver videre:
«Datatilsynet er ikke overbevist om at behovet for å forebygge og avdekke annen økonomisk kriminalitet som korrupsjon, underslag og utroskap gjennom deling av opplysninger kan anses sammenlignbart med behovet for deling for å forebygge og avdekke bedrageri – der en typisk modus operandi kan være at et svindelforsøk først rettes mot én bank, deretter en annen og så en tredje, og hvor informasjonsdeling kan ha stor betydning for å forebygge og avdekke slike forsøk. Ut fra Datatilsynets perspektiv er det som et utgangspunkt noe vanskelig å se for seg at forsøk på korrupsjon eller annet skal kunne følge et likt mønster – og følgelig vanskelig å se at en utvidet adgang til deling av informasjon verken skulle være tilstrekkelig nødvendig eller egnet for å adressere den type økonomisk kriminalitet. Samtidig kan mer konkrete unntak tenkes, for eksempel i tilknytning til terrorfinansiering eller hvitvasking, men da vil det etter Datatilsynets syn være bedre å spesifisere slike behov klart i lovteksten istedenfor å innta et så vidt og generelt formål.
Så vidt Datatilsynet kjenner til, og slik høringsnotatet peker på, er det bedrageri som har blitt løftet frem som det store problemet som det er behov for å adressere gjennom lovendring og økt adgang til deling, og det er i første rekke på dette feltet deling etter vårt syn vil kunne ha en reell og viktig effekt. Med andre ord er Datatilsynet usikker på at det foreslåtte formålet er tilstrekkelig avgrenset til det som er nødvendig og forholdsmessig, slik som personvernregelverket og andre rettslige rammer krever. Til bildet hører det at problemene som skisseres i høringsnotatet trolig stikker dypere enn det et tiltak om økt delingsadgang kan bøte på, blant annet knyttet til utfordringer med etablering og (mis)bruk av eID. Antagelig vil økt delingsadgang kun bidra et stykke på veien for å adressere det underliggende problemet knyttet til særlig digitalt bedrageri. Dette er relevant å ha med seg i nødvendighets-/forholdsmessighetsvurderingen, og det taler også for at formålet og delingsadgangen begrenses til området/områdene der tiltaket fremstår som klart begrunnet og målrettet.»
Datatilsynet mener at den foreslåtte lovbestemmelsen bør begrenses til å gjelde bedrageri, og eventuelt andre spesifiserte områder, og hvis ikke må nødvendigheten av et så vidt formål vurderes nærmere. Det påpekes at hvis det vide formålet opprettholdes, bør delingsadgangen differensieres, slik at det legges til grunn en klar terskel i ordlyden for når deling for andre former for økonomisk kriminalitet enn bedrageri og annen alvorlig kriminalitet kan skje i medhold av bestemmelsen. Datatilsynet foreslår å beholde dagens § 16-2 tredje ledd bokstav a for deling i situasjoner utover bedrageritilfeller.
Advokattilsynet stiller spørsmål om hvordan advokatenes taushetsplikt etter advokatloven § 32 første ledd i praksis sikres ved finansforetakenes informasjonsdeling. Advokattilsynet viser til at plikten til hemmelighold i den såkalte egentlige advokatvirksomheten omfatter også eksistensen av et klientforhold og klientens identitet.
Behandling av opplysninger mv.
Datatilsynet støtter Finanstilsynets vurdering av at delingsadgangen bør omfatte opplysninger som nevnt i artikkel 9 og 10, men peker på at forslaget bare gir hjemmel til å utlevere slike personopplysninger. Datatilsynet anbefaler at finansforetak gis en generell hjemmel til å behandle personopplysninger nevnt i artikkel 9 og 10 for å bekjempe økonomisk kriminalitet og annen alvorlig kriminalitet. Når det gjelder adgangen til å utlevere opplysninger som er omfattet av artikkel 9 og 10, påpeker Datatilsynet at det stilles særskilte krav til utformingen av regelverket som gir hjemmel til å behandle disse personopplysningene. For øvrig mener Datatilsynet at det med fordel kan presiseres at adgangen til å behandle opplysninger som nevnt i personvernforordningen artikkel 9 og 10 også er ment å gjelde for informasjonsdelingsordninger.
Finans Norge og DNB Bank peker på at den foreslåtte lovbestemmelsen kan skape utilsiktet usikkerhet når det gjelder den interne behandlingen (bruken) av opplysningene ved at den bare regulerer deling.
Økokrim fremholder viktigheten av at både de offentlige og private virksomhetene som mottar taushetsbelagt informasjon, sikres et klart og tydelig hjemmelsgrunnlag for å behandle (lagre, sammenstille, analysere mv.) informasjonen i tråd med formålet – i særlig grad der mottaker ikke har et kundeforhold til den det er utlevert opplysninger om, og etterlyser en nærmere drøftelse av dette i høringsnotatet. Norsk Økokrimforening, Fair Play Bygg Norge og Frelsesarmeen påpeker også at lovreguleringen bør omfatte adgang til å behandle opplysninger om personer og foretak som ikke har kundeforhold i finansforetaket.
Oslo Politidistrikt viser til usikkerhet om den rettslige adgangen for banker til å ta imot og lagre opplysninger fra politiet om «personidentiteter på stråpersoner som med meget stor grad av sikkerhet innen få dager kommer til å brukes til lånebedragerier mot banker (‘Watchlist over ikke-kunder’)». Siden bankene på utleveringstidspunktet ikke har et kundeforhold til stråpersonene, er det uttrykt usikkerhet om behandlingsgrunnlag for å lagre disse opplysningene. Oslo Politidistrikt foreslår derfor at finansforetak også får hjemmel til å motta, lagre, analysere og bruke opplysninger fra andre aktører, og foreslår konkrete endringer i reguleringsforslaget for å ivareta dette.
Finans Norge Forsikringsdrift (FNF) mener det bør fremgå klart av proposisjonen at det med endringsforslaget i finansforetaksloven § 16-2 nytt niende ledd er ment å gi «rettslig grunnlag for forskriftsbestemmelser om konkrete delingsordninger» og å ivareta kravene til nasjonalt rettsgrunnlag for behandling av personopplysninger etter GDPR artikkel 6 nr. 1 bokstav e og artikkel 9 nr. 2 bokstav g. Videre skriver FNF:
«I niende ledd presenteres også begrepet ‘informasjonsdelingsordning.’ FNF forstår forslaget som at begrepet skal ha en videre betydning enn det samme begrepet i forslaget til nytt betalingstjenestedirektiv (‘information sharing arrangements’). Samtidig er informasjonsdelingsordninger i betalingstjenestedirektivets forstand blant ordningene som omfattes av de foreslåtte bestemmelsene, men det kan også være andre ordninger. Dette mener vi er uheldig og FNF foreslår derfor å benytte et annet og mer generelt uttrykk om delingsordningene som reguleres i det nye forslaget.
Informasjonsutveksling mellom finansforetak vil typisk skje gjennom digitale plattformer, og omtales i ulike sammenhenger gjerne som systemer, løsninger eller registre. FNF mener på denne bakgrunn at for eksempel ‘delingsplattformer’ er et bedre egnet begrep enn ‘informasjonsdelingsordning.’»
Advokatforeningen oppfatter beskrivelsen i høringsnotatet av plattformer for informasjonsdeling som uklar, og gir også uttrykk for bekymring om det som sies om risiko for at noen får tilgang til informasjon de ellers ikke ville/skulle fått. Advokatforeningen oppfordrer departementet til å se nærmere på denne risikoen og vurdere tiltak for å hindre formålsutglidning. Advokatforeningen tar også opp risikoen for feilaktige tiltak og oppfordrer til å vurdere om det er behov for å klargjøre enkelte bestemmelser i lovverket med hensyn til avvisning og avvikling av kunder.
5.1.4 Departementets vurdering
Behov for utvidet adgang til å utlevere opplysninger
Finansforetak har i dag en viss adgang til å dele opplysninger om sine kunder med andre finansforetak, men har som utgangspunkt ikke anledning til uoppfordret å dele opplysningene med politi eller andre myndigheter. Som nevnt i Meld. St. 15 (2023–2024) Felles verdier – felles ansvar, er samarbeid mellom politi, kontrollmyndigheter og privat sektor viktig for å forebygge, avdekke og følge opp økonomisk kriminalitet. Det er flere gode eksempler på slikt samarbeid i dag, men det er etter departementets syn et vesentlig potensial for å videreutvikle dette, ikke minst på grunnlag av finansforetakenes informasjonstilfang. En klarere adgang for finansforetak til å utlevere opplysninger til andre finansforetak, politiet, myndigheter og andre aktører, kan gi betydelig økt effektivitet i den samlede innsatsen mot kriminell virksomhet. Som Finanstilsynet peker på i høringsnotatet, bør finansforetakene kunne varsle relevante aktører av eget tiltak, når de blir kjent med at et mulig straffbart forhold er i ferd med å skje eller har skjedd, uavhengig av om finansforetaket selv er direkte eller indirekte offer for det straffbare forholdet.
Samtidig innebærer avvergingsplikten i straffeloven § 196 at det er straffbart å unnlate «gjennom anmeldelse eller på annen måte å søke å avverge et lovbrudd eller følgene av det, på et tidspunkt da dette fortsatt er mulig, og det fremstår som sikkert eller mest sannsynlig at lovbruddet er eller vil bli begått». Avvergingsplikten gjelder uten hensyn til taushetsplikt, se § 196 annet punktum. Med andre ord finnes det i dag tilfeller der blant andre finansforetak har plikt til å søke å avverge et lovbrudd eller følgende av det, gjennom eksempelvis informasjonsdeling til politiet (anmeldelse). Paragraf 196 angir i første ledd bokstav a til c nærmere bestemte lovbrudd. Disse vil etter departementets vurdering alle karakteriseres som «alvorlig kriminalitet», men bestemmelsen angir bare noen helt få lovbrudd som normalt regnes som «økonomisk kriminalitet». Dette får betydning for behovet for nærmere regulering av informasjonsdeling for å forebygge og bekjempe alvorlig kriminalitet.
Departementet er enig med Finanstilsynet i at taushetspliktens rammer, slik disse fremkommer i finansforetaksloven § 16-2 første ledd, i hovedsak bør ligge fast, og at foretakenes adgang til å dele opplysninger for å bekjempe økonomisk kriminalitet bør gjennomføres ved klart lovfestede unntak fra taushetsplikten. Dette er også nødvendig for å ivareta krav om supplerende rettsgrunnlag etter personvernforordningen artikkel 6, 9 og 10.
Departementet foreslår ikke å følge opp Finanstilsynets forslag om å oppheve finansforetaksloven § 13-21. Bestemmelsen gir selvstendig grunnlag for at finansforetak som yter betalingstjenester kan samle inn, bearbeide og utveksle seg imellom transaksjonsopplysninger og annen betalingsinformasjon for å sikre forebygging, etterforskning eller avsløring av betalingsbedragerier. Selv om dette vil medføre at det kan bli et overlappende virkeområde med forslagene som fremgår under, mener departementet det er en fordel å beholde den særskilte bestemmelsen som i dag gjennomfører artikkel 94 i det reviderte betalingstjenestedirektivet (direktiv (EU) 2015/2366).
Før den videre drøftelsen bemerker departementet at lovforslaget ikke er ment hverken å utvide eller avgrense adgangen til å dele informasjon med grunnlag i annet regelverk, for eksempel hvitvaskingsregelverket.
Formål. Nærmere om hvilke opplysninger som kan utleveres
Høringsinstansene har i stor grad sluttet seg til Finanstilsynets forslag om at utleveringsadgangen bør ha som formål å forebygge eller avdekke økonomisk kriminalitet og annen alvorlig kriminalitet. Samtidig er det flere høringsinstanser som forutsetter at lovforslaget som helhet klargjøres eller suppleres med nødvendige garantier for å kunne rettferdiggjøre en vid formålsangivelse. Datatilsynet mener at adgangen bør begrenses til å gjelde bedrageri, og eventuelt andre spesifiserte områder, eller alternativt at nødvendigheten av et så vidt formål må vurderes nærmere i samsvar med personvernreguleringen. Departementet forstår også NIM slik at det stilles spørsmålstegn ved om formålet er tilstrekkelig avgrenset til å gjøre informasjonsutvekslingen forholdsmessig.
Departementet finner derfor grunn til å følge opp forslaget fra Datatilsynet om en differensiert bestemmelse om informasjonsdeling. Behovet for informasjonsdeling har vist seg klarest i forbindelse med bedragerier og for å forebygge misbruk av elektroniske identiteter til å gi uriktige opplysninger til offentlige registre og få uberettigede utbetalinger fra offentlige ordninger. Departementet foreslår derfor for det første å lovfeste at taushetsplikten ikke er til hinder for at finansforetak utleverer opplysninger til andre finansforetak, tilbydere av elektroniske identiteter og tillitstjenester eller til politiet når dette er nødvendig for å forebygge eller avdekke bedragerier eller misbruk av elektroniske identiteter og elektroniske tillitstjenester. Det vises til forslag til § 16-2 nytt fjerde ledd første punktum.
Videre er det fremhevet at behovet for deling av informasjon også kan omfatte informasjonsdeling som skjer for å forebygge og avdekke andre former for økonomisk kriminalitet, som skatteunndragelser, og annen alvorlig kriminalitet. Departementet foreslår derfor å utvide delingsadgangen for denne typen formål, ved at kravet om styrevedtak i § 16-2 tredje ledd fjernes for deling av slike opplysninger. Deling for denne typen formål bør imidlertid fortsatt forutsette at det dreier seg om «særlige tilfeller». Som Finanstilsynet har lagt til grunn i høringsnotatet, bør dessuten terskelen for å utlevere opplysninger være høyere for annen alvorlig kriminalitet enn for økonomisk kriminalitet. Departementet viser til forslag til § 16-2 nytt femte ledd, samt endringene i tredje ledd.
Når det gjelder hva de ulike formålene dekker, viser departementet til at bedrageribegrepet har en relativt vid rekkevidde. Finanstilsynet har i høringsnotatet dessuten beskrevet nye samarbeidsformer for informasjonsdeling som synes å være begrenset til bedrageritilfeller, og tilsynet har også antatt at finansforetakene først og fremst vil benytte en ny utleveringsadgang i tilknytning til bedrageri som rammer foretakene selv, kundene eller tredjeparter. Oslo Politidistrikt har imidlertid pekt på at bedrageriene ofte forberedes ved registerkriminalitet, som i høringsnotatet er trukket frem som en trussel som forventes å øke i tiden fremover. ID-tyveri er et annet eksempel på en straffbar handling som ofte begås forut for bedrageri, og i høringen er det pekt på blant annet ulike typer arbeidslivskriminalitet og sammenhengen mellom misbruk av offentlige registre og alvorlige velferdsmessige konsekvenser for arbeidstakere. Departementets forslag til en differensiert delingsadgang inkluderer derfor som nevnt også deling av opplysninger for å forebygge og avdekke misbruk av elektroniske identiteter.
Med «økonomisk kriminalitet» mener departementet lovbrudd som har som formål å generere økonomisk gevinst, og som ofte kan knyttes til lovlig næringsvirksomhet eller næringsvirksomhet som gir seg ut for å være lovlig. Det inkluderer lovbrudd omfattet av straffeloven kapittel 30 (bedrageri, skattesvik og liknende økonomisk kriminalitet), men også lovbrudd omfattet av straffeloven kapittel 27 (vinningslovbrudd og liknende krenkelser av eiendomsretten). Straffeloven kapittel 29 om vern av tilliten til penger og andre dokumenter vil også omfatte det en normalt mener med «økonomisk kriminalitet». Spesiallovgivningen omfatter dessuten en rekke lovbrudd som er «økonomiske», jf. for eksempel verdipapirhandelloven.
Når det gjelder vurderingene knyttet til «annen alvorlig kriminalitet», viser departementet til høringssvaret fra Oslo Politidistrikt, som fremhever at den foreslåtte utleveringsadgangen vil være et viktig virkemiddel i bekjempelsen av en del former for seksuelle overgrep mot barn, og at bankene i flere tilfeller har bidratt til å avdekke dette. Oslo Politidistrikt viser også til andre eksempler på alvorlig kriminalitet som blant annet pengeutpressing mot mindreårige, som bankene i noen tilfeller kan avdekke gjennom transaksjonsovervåkning. Departementet viser dessuten til utviklingen når det gjelder koblingen mellom økonomisk kriminalitet og voldskriminalitet, og mener derfor at utleveringsadgangen også bør omfatte annen alvorlig kriminalitet. For avgrensningen av «annen alvorlig kriminalitet» henviser departementet for øvrig til straffeloven § 196 om avvergingsplikten.
Departementet viser ellers til at omfanget og typen informasjon som utleveres vil begrenses av hvilke aktører finansforetakene kan dele med, i tillegg til at utleveringen må være «nødvendig» for formålet. Departementet legger til grunn at nødvendighetsvilkåret vil være oppfylt dersom formålet med utleveringen ikke med rimelighet kan oppnås like effektivt med andre tiltak som er mindre inngripende i personvernet.
Departementet er enig med Finanstilsynet i at utleveringsadgangen bør gjelde tilfeller der utleveringen er nødvendig for å «forebygge eller avdekke» kriminalitet. Ved utlevering for å forebygge mener departementet at det blant annet bør kunne utleveres opplysninger før en har tilstrekkelige holdepunkter for å konstatere at et lovbrudd er eller vil bli begått, men hvor det foreligger et grunnlag for avklaring. For eksempel vil et praktisk tilfelle kunne være at en bank kontakter mottakerbanken for å avklare om et betalingsoppdrag eller en innlogging som er uvanlig sammenlignet med kundens normale transaksjonsmønster, kan være et bedrageriforsøk eller har en annen forklaring. Nødvendighetskravet vil i et slikt tilfelle begrense hvilke opplysninger som kan deles, og det bør normalt ikke være nødvendig å dele opplysninger om kundens normale transaksjonsmønster. Ved utlevering for å avdekke kriminalitet bør det etter departementets vurdering være tilstrekkelig med objektive holdepunkter for at lovbruddet er begått, og opplysningene som utleveres må være relevante og begrenset til det som er nødvendig for formålet med utleveringen.
Nødvendighetskravet vil generelt være styrende for hvilke taushetsbelagte opplysninger som kan utleveres. Et eksempel på hvordan dette vil måtte avgrenses i praksis, er beskrevet under om behandling av personopplysninger omfattet av artikkel 9 og 10 i personvernforordningen. Ellers vil utleveringsadgangen omfatte opplysninger om blant annet kunden, enkelttransaksjoner og betalingsmønstre, slik finansforetaksloven § 13-21 hjemler. Opplysninger om brukersteder og lokasjon kan også være nødvendig å dele, slik det er illustrert i høringen hva gjelder bruk av samme datamaskin til å (mis-)bruke flere elektroniske identiteter. Lovforslaget er ikke ment å legge til rette for ufiltrert og ukritisk deling av opplysninger undergitt taushetsplikt. Det foreslås en forskriftshjemmel som legger til rette for at det kan gis nærmere presiseringer av hvilke opplysninger som hhv. kan og ikke kan deles, dersom det skulle vise seg å være behov for nærmere presisering eller veiledning rundt delingsadgangen.
Departementet bemerker samtidig at det antas å komme nærmere regler om samarbeid og informasjonsdeling for å forebygge og bekjempe betalingsbedragerier i EUs kommende betalingstjenesteforordning (PSR). Gjennom forskriftshjemmelen vil det være mulig å tilpasse adgangen til informasjonsdeling i tråd med forventet EØS-rett. Den konkrete adgangen til informasjonsdeling vil, når betalingstjenesteforordningen tas inn i EØS-avtalen, kunne bli erstattet av reglene i forordningen.
Hvem det kan utleveres til
Kretsen av aktører som finansforetak skal kunne utlevere opplysninger til, må være forholdsmessig ut fra formålet med utleveringen og betydningen det har for personvernet. Departementet er enig med Finanstilsynet i at det bør fremgå av loven at finansforetak kan utlevere opplysninger til andre finansforetak og politiet. I lys av de særlige behovene som foreligger for deling av informasjon for å forebygge og avdekke bedragerier, herunder misbruk av elektroniske identiteter, foreslår departementet å inkludere tilbydere av elektroniske identitets- og tillitstjenester som aktører finansforetak kan dele informasjon med.
Departementet følger videre opp forslaget om at departementet bør kunne fastsette i forskrift at opplysninger kan utleveres også til andre offentlige og private aktører. Ved bruk av en slik forskriftshjemmel vil departementet måtte foreta konkrete vurderinger av hvilke aktører som det vil være nødvendig og forholdsmessig å utlevere slike opplysninger til, og ta hensyn til at flere tilsynsmyndigheter og andre offentlige myndigheter allerede har egne hjemler for å få utlevert opplysninger fra finansforetakene for å forebygge og avdekke kriminalitet. Departementet vil videre se hen til hvilke myndigheter som har adgang til å behandle opplysninger utlevert fra finansforetakene. Departementet antar, i likhet med Finanstilsynet, at bruk av forskriftshjemmelen særlig kan være aktuelt for ekomtilbydere og finansforetak med konsesjon fra annen EØS-stat, men dette må en komme konkret tilbake til i arbeidet med forskrifter til loven.
For ordens skyld bemerker departementet at forslaget ikke begrenser regler om politiets innhenting og behandling av opplysninger i forbindelse med etterforskning og ved føring av en sak frem for retten (iretteføring). Etter departementets vurdering er det derfor ikke behov for ytterligere spesifisering av at opplysningene kan være nødvendige for etterforskning, bevissikring og iretteføring for domstolene.
Det vises til forslaget til § 16-2 nytt fjerde ledd første punktum og nytt femte ledd første punktum samt endringene i omnummererte tiende ledd om forskriftshjemler.
Nærmere krav i forbindelse med informasjonsdeling og forholdet til retten til privatliv
Personvernforordningen har i artikkel 9 og 10 blant annet krav om tiltak for å verne den registrertes grunnleggende rettigheter og interesser, og garantier for de registrertes rettigheter og friheter. Departementet er på denne bakgrunn enig med Finanstilsynet i at det bør tydeliggjøres i loven at opplysninger som mottas etter den nye utleveringsadgangen, ikke kan benyttes til andre formål enn det de er utlevert for. Også Datatilsynet støtter en slik bestemmelse, men mener det bør vurderes ytterligere tiltak. Departementet viser til at utleveringer og undersøkelser som muliggjøres av den foreslåtte utleveringsadgangen, kan ha stor betydning for enkeltkunder, for eksempel hvis betalingsoppdrag holdes tilbake eller BankID sperres for bruk. Der det i etterkant viser seg at grunnlaget for en eventuell mistanke ikke var riktig, bør utleverte opplysninger bli slettet og eventuelle feilaktige tiltak som er iverksatt på grunnlag av opplysningene, oppheves så raskt som mulig. Departementet foreslår derfor at det i loven også presiseres at opplysningene som mottas etter bestemmelsen, skal slettes så snart de ikke lenger er nødvendige for formålet.
Departementet mener det også bør fastsettes en lengste lagringstid, og i samsvar med lignende regler i hvitvaskingsloven foreslås det en maksimal lagringstid på fem år etter mottak. Departementet foreslår videre å lovfeste at mottaker får taushetsplikt om opplysningene som mottas, og at avgivende finansforetak før avgivelse må forsikre seg om at mottaker er underlagt slik taushetsplikt eller aksepterer å bli underlagt slik taushetsplikt. Dette vil i praksis være aktuelt der det utleveres til andre enn finansforetak, politiet og mottakere som anses å utføre oppdrag for finansforetak, jf. finansforetaksloven § 9-6. Det vises til forslaget til finansforetaksloven § 16-2 nytt fjerde ledd tredje punktum. Departementet foreslår som nevnt nå bare å lovfeste slik delingsadgang overfor tilbydere av elektroniske identiteter og tillitstjenester (som riktignok også kan anses å utføre oppdrag for finansforetak, slik arbeidet i Finanstilsynets regulatoriske sandkasse gjennom 2025 har belyst), men ved en eventuell utvidelse i forskrift av hvem det kan utleveres opplysninger til, vil regelen få større betydning.
Når det gjelder høringssvaret fra Norges institusjon for menneskerettigheter (NIM) om manglende utredning av det menneskerettslige vernet av privatlivet, viser departementet til at formålet med personvernforordningen er å harmonisere vernet av fysiske personers grunnleggende rettigheter og friheter etter EMK artikkel 8 i forbindelse med behandling av personopplysninger. Departementet viser til fremstillingen i høringsnotatet punkt 4.5 av de relevante kravene i personvernforordningen og avveiingene av de relevante hensynene som følger i høringsnotatet punkt 5.4. Etter departementets oppfatning er vurderingene når det gjelder vern av privatlivet ivaretatt gjennom dette, særlig når lovforslaget er justert i tråd med vurderingene over om en differensiert delingsadgang og tydeligere krav til behandling av mottatte opplysninger.
Til Advokattilsynets spørsmål om hvordan advokatenes taushetsplikt i praksis sikres ved finansforetakenes informasjonsdeling, bemerker departementet at forslaget gjelder unntak fra taushetsplikten i finansforetaksloven, ikke annet regelverk.
Behandling av opplysninger mv.
Flere av høringsinstansene har tatt opp behovet for en klargjøring av finansforetakenes adgang til å behandle opplysninger som mottas fra andre finansforetak eller offentlige myndigheter, herunder opplysninger om personer som ikke har et kundeforhold i finansforetaket. Etter finansforetaksloven § 16-2 sjette ledd skal finansforetak ha kontrollordninger for å sikre at opplysninger blir behandlet på en betryggende måte, og at uvedkommende ikke får tilgang eller kjennskap til opplysningene. Som Datatilsynet peker på, vil det dessuten være relevant å se hen til kommende regulering av informasjonsdeling og behandling av personopplysninger i EUs nye antihvitvaskingsforordning (forordning (EU) 2024/1624) og den nye forordningen om betalingstjenester (PSR, foreløpig ikke formelt vedtatt).
Departementet foreslår derfor at denne bestemmelsen utvides og presiseres, slik at det fremkommer uttrykkelig at finansforetak kan behandle personopplysninger, også opplysninger omfattet av personvernforordningen artikkel 9 og 10, når formålet er å forebygge eller avdekke økonomisk kriminalitet og annen alvorlig kriminalitet. Forslaget er ment å tydeliggjøre at finansforetak har adgang til å motta, lagre, sammenstille og analysere denne typen opplysninger som mottas, fra kunden selv eller andre, herunder opplysninger om personer som ikke har kundeforhold i foretaket. Dette vil i alle tilfelle representere en behandling i allmennhetens interesse, jf. personvernforordningen artikkel 6 nr. 1 bokstav e, og departementets vurdering er at en slik behandling vil være forholdsmessig som følge av viktigheten av å styrke forebyggingen og bekjempelsen av økonomisk og annen alvorlig kriminalitet (jf. omtale over om formålet). For ordens skyld bemerker departementet at presiseringen av behandlingsadgangen ikke er ment å tolkes antitetisk. Det er med andre ord ikke utelukket at finansforetak har adgang til å behandle personopplysninger mottatt fra andre med annet behandlingsgrunnlag som følge av personvernforordningen artikkel 6.
Departementet viser til at arbeidet i Finanstilsynets og Datatilsynets regulatoriske sandkasser har vist at adgangen til å behandle nødvendige opplysninger for kriminalitetsforebyggende og -bekjempende formål kan være større enn det som har vært oppfatningen i privat sektor. Når det gjelder hvilke nærmere krav som bør stilles for å behandle opplysninger omfattet av personvernforordningen artikkel 9 og 10, har departementet sett hen til reguleringen i antihvitvaskingsforordningen og den kommende forordningen om betalingstjenester (PSR). I antihvitvaskingsforordningen artikkel 76 nr. 1 fremgår det at opplysninger som nevnt i personvernforordningen artikkel 9 og 10 kan behandles bare der det er strengt nødvendig («strictly necessary»). I tillegg må enkelte nærmere tiltak angitt i artikkel 76 nr. 2 og 3 være på plass. Flere av disse tiltakene fremstår som gjentakelser av regler som uansett fremgår av personvernforordningen (informasjon til kunder, krav om opplysninger er fra pålitelige kilder, korrekte («accurate») og oppdaterte), og departementet ser derfor ikke behov for at alle disse inntas i lovforslaget her. Når det gjelder betydningen av den nye forordningen om betalingstjenester (PSR), bemerker departementet at det er oppnådd politisk enighet i EU om ny forordning, men det er per primo mars 2026 hverken publisert endelige eller foreløpige tekster som viser utfallet av forhandlingene. De sist tilgjengelige utkastene av betalingstjenesteforordningen inneholder imidlertid fortsatt en terskel på «nødvendig» («necessary») i artikkel 80. Inntil det eventuelt fremkommer noe annet i betalingstjenesteforordningen, mener derfor departementet det er hensiktsmessig å bruke dette som terskel, som er samme terskel som fremgår av personvernforordningen artikkel 9 nr. 2 for diverse grunnlag for likevel å kunne behandle slike opplysninger.
Departementet foreslår derfor at behandling av personopplysninger omfattet av artikkel 9 og 10 i personvernforordningen forutsetter at dette er nødvendig, og at det etableres særskilte rutiner for behandling av opplysningene, jf. personvernforordningen artikkel 32. Et eksempel for å illustrere hva som er «nødvendig», kan være der formålet med behandlingen er å forebygge eller avdekke mulig forsikringsbedrageri forbundet med en helsetilstand. Da vil det være nødvendig å utlevere helseopplysninger. Det vil imidlertid ikke være nødvendig å utlevere opplysninger om politisk eller filosofisk ståsted.
Det vises til forslaget til finansforetaksloven § 16-2 (omnummerert) åttende ledd nytt annet og tredje punktum.
Finanstilsynet har foreslått at departementet i forskrift kan gi nærmere regler om utlevering av opplysninger, herunder blant annet om såkalte informasjonsdelingsordninger og behandling av personopplysninger, også opplysninger omfattet av personvernforordningen artikkel 9 og 10. Departementet slutter seg til dette, og foreslår at hjemmelen også dekker regler om behandling av opplysninger, jf. drøftingen ovenfor. Videre har Finans Norge Forsikringsdrift pekt på at begrepet «informasjonsdelingsordninger» kan oppfattes snevrere enn det som er hensikten. Departementet er enig i dette, og foreslår at en i loven heller viser til «ordninger for informasjonsdeling». Dette er ment å dekke alle typer samarbeidsordninger, også eventuelle ikke-digitale ordninger.
Det vises til forslaget til finansforetaksloven § 16-2 tiende ledd.
Avslutningsvis bemerker departementet at i den grad det tas i bruk teknologi for å forebygge og avdekke økonomisk kriminalitet mv. som ikke medfører deling av taushetsbelagt informasjon, slik Finterai er inne på i sitt høringssvar, vil ikke lovforslaget få betydning for adgangen til å ta i bruk slik teknologi.
5.2 Dispensasjon fra taushetsplikten for forskningsformål
5.2.1 Gjeldende rett
Finansforetaksloven
Som omtalt i avsnitt 5.1.1 følger regler om taushetsplikt i finansforetak om kundeforhold mv. av finansforetaksloven § 16-2 og § 9-6. Etter loven § 16-2 første ledd første punktum plikter et finansforetak å hindre at uvedkommende får adgang eller kjennskap til opplysninger om kunders og andres forretningsmessige eller personlige forhold som foretaket mottar under utøvelsen av virksomheten, med mindre foretaket etter lov eller forskrifter gitt med hjemmel i lov har plikt til å gi opplysninger eller er gitt adgang til å gi ellers taushetspliktbelagte opplysninger. Til sammenligning er taushetsplikten i offentlig forvaltning begrenset til det man i forbindelse med tjenesten eller arbeidet får vite om «noens personlige forhold» eller «tekniske innretninger og fremgangsmåter samt drifts- eller forretningsforhold som det vil være av konkurransemessig betydning å hemmeligholde av hensyn til den som opplysningen angår», jf. lov 10. februar 1967 nr. 10 om behandlingsmåten i forvaltningssaker (forvaltningsloven) § 13 første ledd (videreført i ny forvaltningslov §§ 31 og 32) . Taushetsplikten etter finansforetaksloven § 16-2 er ikke tilsvarende begrenset, da den gjelder generelt for opplysninger om «kunders og andres» forhold. Sentrale formål med taushetspliktsreglene er i Finanstilsynets rundskriv 3/2019 angitt «å forhindre at kundeopplysninger misbrukes og å ivareta det overordnede hensynet til allmennhetens tillit til det enkelte foretaket og finansmarkedet som helhet».
Det er ingen tidsmessig avgrensing av taushetsplikten for finansforetak etter § 16-2. Til sammenligning bortfaller taushetsplikten i offentlig forvaltning senest etter 60 år, jf. forvaltningsloven § 13 c tredje ledd. Tidsmomentet vil imidlertid kunne få betydning for mulighet til å få innvilget dispensasjon fra taushetsplikten, jf. omtalen under.
Etter finansforetaksloven § 16-2 første ledd annet punktum kan Finanstilsynet helt eller delvis oppheve taushetsplikten når særlige hensyn tilsier det. Forarbeidene gir ingen nærmere anvisning på forhold som vil kunne oppfylle vilkåret om særlige hensyn. Det vil være opp til Finanstilsynet å vurdere om særlige hensyn er oppfylt i enkeltsaker. Forutsetningen vil imidlertid være at saksbehandlingen er forsvarlig. Praksis viser at dispensasjon til å fravike taushetsplikten bare er gitt i noen få tilfeller. Der dispensasjon innvilges, gir vedtaket finansforetaket en adgang til å gi ut aktuelle opplysninger, ikke en plikt. Det er det enkelte finansforetak som gis unntak etter bestemmelsen og følgelig må søke Finanstilsynet om dispensasjon. Dette harmonerer også blant annet med at det er det enkelte finansforetak som har best kjennskap til egne arkiver.
Personopplysningsloven
Som omtalt i avsnitt 5.1.1, må innsamling, registrering og annen bearbeidelse av opplysninger om personkunder, samt eventuell videreformidling av disse, oppfylle kravene i EUs personvernforordning (GDPR), som er gjennomført i norsk rett i personopplysningsloven § 1. Personvernforordningen gjelder tilnærmet fullt ut for behandling av personopplysninger for arkivformål og statistikk, jf. personvernforordningen artikkel 89 nr. 1 og fortalepunktene 156, 159 og 160.
Behandling av personopplysninger krever behandlingsgrunnlag for å være lovlig, jf. artikkel 6. Aktuelt behandlingsgrunnlag for personopplysninger til forskningsformål er artikkel 6 nr. 1 bokstav e som fastslår at behandlingen må «være nødvendig for å utføre en oppgave i allmennhetens interesse». Utover dette kreves et supplerende rettsgrunnlag i unionsretten eller i medlemsstatenes nasjonale rett, jf. artikkel 6 nr. 3. Personopplysningsloven § 8 gir utfyllende regler om behandling av personopplysninger til blant annet forskningsformål. Det følger at behandlingen må være omfattet av nødvendige garantier i samsvar med personvernforordningen artikkel 89 nr. 1, jf. også artikkel 6 nr. 3 tredje punktum.
Forordningen har ingen definisjon av forskning, men av fortalen følger det at begrepet må tolkes vidt. Av fortalepunkt 159 følger det at forskning blant annet omfatter «teknologisk utvikling og demonstrasjon, grunnleggende forskning, anvendt forskning og privatfinansiert forskning. […] Formål knyttet til vitenskapelig forskning bør også omfatte studier som utføres i allmennhetens interesse på området folkehelse». Personvernforordningen gir ellers lite konkret veiledning på hvilke krav som må stilles til forskernes akademiske nivå og til prosjektets faglige kvalitet og innretning.
Behandling av særlige kategorier personopplysninger er som hovedregel forbudt etter personvernforordningen artikkel 9 nr. 1. Særlige kategorier personopplysninger omfatter «rasemessig eller etnisk opprinnelse, politisk oppfatning, religion, filosofisk overbevisning eller fagforeningsmedlemskap, samt behandling av genetiske opplysninger og biometriske opplysninger med det formål å entydig identifisere en fysisk person, helseopplysninger eller opplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering», jf. artikkel 9 nr. 1. Forbudet gjelder imidlertid ikke der behandlingen er nødvendig for blant annet formål knyttet til vitenskapelig eller historisk forskning i samsvar med artikkel 89 nr. 1, og det finnes hjemmel i enten unionsretten eller i nasjonal rett.
Hjemmel for å behandle særlige kategorier personopplysninger for forskningsformål uten samtykke fra den registrerte er gitt i personopplysningsloven § 9. Forutsetningen for behandlingen er at samfunnets interesse i at behandlingen finner sted, klart overstiger ulempen for den enkelte, jf. første ledd første punktum. Videre skal behandlingen være omfattet av nødvendige garantier i samsvar med personvernforordningen artikkel 89 nr. 1, jf. første ledd annet punktum. Før slik behandling finner sted, følger det av bestemmelsens annet ledd at den behandlingsansvarlige plikter å rådføre seg med personvernombudet etter personvernforordningen artikkel 37 eller annen som oppfyller vilkårene i personvernforordningen artikkel 37 nr. 5 og 6 og artikkel 38 nr. 3 første og annet punktum. Alternativt kan det utføres en vurdering av personvernkonsekvenser etter personvernforordningen artikkel 35. Rådføringsplikten gjelder også i tilfeller der den registrerte gir samtykke, jf. personopplysningsloven § 10. Unntak fra den registrertes rettigheter etter personvernforordningen for blant annet bruk av opplysningene til forskning følger av personvernopplysningsloven § 17. Dette omfatter unntak på visse vilkår fra retten til innsyn, retting og begrensning av behandlingen etter personvernforordningen henholdsvis artikkel 15, 16 og 18.
5.2.2 Forslaget i høringsnotatet
I utredningen fra professorene Borvik og Smith, jf. punkt 2.4.1, vurderes ulike løsninger for å oppheve taushetsplikten for finansforetak for forskningsformål.
Professorenes anbefalte løsning er å gi en særskilt og generell dispensasjonshjemmel for opplysninger i finansforetaks arkiv som skal brukes til forskning. Forslaget tar utgangspunkt i forvaltningsloven §§ 13 d og 13 e. Forslaget innebærer at Finanstilsynet etter søknad kan gi tillatelse til utlevering av taushetsbelagte opplysninger i finansforetak til forskningsformål. Forutsetningen er at utleveringen av opplysningene anses «rimelig og ikke medfører uforholdsmessig ulempe for andre interesser», jf. utredningen s. 27.
Om hva som skal forstås med forskning mener professorene at gjengse norske standarder bør være retningsgivende. I høringsnotatet anbefales det at forskernes akademiske nivå og prosjektets faglighet vektlegges.
Videre foreslås det at det kan knyttes vilkår til Finanstilsynets vedtak om dispensasjon. Eksempler på vilkår som foreslås tatt inn i lovteksten, er om opplysningene kan «tas ut av finansforetakets lokaler, hvem som har ansvaret for utleverte opplysninger og hvem som skal ha adgang til dem, om oppbevaring, tilbakelevering eller tilintetgjøring av opplysningene, om hvorvidt forskere skal ha adgang til å henvende seg til eller innhente nærmere opplysninger om dem det er gitt opplysninger om, og om bruken av opplysningene for øvrig», jf. utredningen s. 28.
Professorene påpeker at den foreslåtte dispensasjonshjemmelen er generell ved at dispensasjonen ikke knytter seg til bestemte perioder eller at forskningsprosjektet må være relatert til for eksempel folkemord. Videre understrekes det at opplysningenes alder og forskningsformålet bør påvirke vurderingen av dispensasjonssøknaden.
For aktuelle utleverte opplysninger foreslår professorene at «enhver som utfører tjeneste eller arbeid i forbindelse med forskningsoppgaven» har taushetsplikt for mottatte opplysninger fra finansforetaket, jf. høringsnotatet s. 28. Opplysningene foreslås utelukkende å kunne benyttes til nødvendig forskningsarbeid og i samsvar med vilkårene for dispensasjonsvedtaket. Det foreslås også at brudd på taushetsplikten kan straffes etter straffeloven § 209.
Som et alternativ til en generell dispensasjonshjemmel for forskningsformål foreslår professorene en avgrenset hjemmel med utgangspunkt i forskningens formål. Hva som kan utleveres, vil etter dette forslaget snevres inn til opplysninger til forskning om folkemord, forbrytelser mot menneskeheten eller krigsforbrytelser, og medvirkning til slike forbrytelser. Det alternative forslaget tar utgangspunkt i at slike opplysninger kan viderebehandles etter personvernforordningen til arkivformål. Videre mener professorene at avgrensningen vil legge til rette for å ivareta statenes moralske plikt til å sikre tilgang til dokumenter om holocaust etter Stockholms-erklæringen punkt 7.
For begge forslagene forutsetter professorene at de aktuelle opplysningene befinner seg hos finansforetaket. Det påpekes også at i de tilfeller det gis dispensasjon etter foreslåtte bestemmelser vil gjennomføringen av forskningen avhenge av at finansforetak medvirker til utlevering.
Øvrige løsninger som vurderes, er avgrensing av taushetsplikt etter en viss tid eller for en bestemt periode (utredningen punkt 3.2 og 3.3).
Når det gjelder løsningen om å la taushetsplikten bortfalle for en bestemt periode, uttaler professorene at omtrent de samme betenkeligheter som tidsbestemt taushetsplikt gjør seg gjeldende. Videre påpekes øvrige utfordringer med å begrense taushetsplikten til okkupasjonsårene uten å avskjære forskningsmessig begrunnede innsyn i samlede begivenhetsforløp som starter før eller etter den aktuelle perioden. Professorene mener dette skaper tvil om denne typen vilkårlig tidsangivelse, og ikke forskningens behov, bør styre hvilke opplysninger som kan unntas taushetsplikt. Dersom man først skulle gi unntak for okkupasjonsårene, mener professorene det også bør ses hen til unntak for opplysninger om hvordan andre utsatte grupper enn norske jøder har blitt behandlet.
Professorene vurderer også overordnet en løsning om å oppheve taushetsplikten for bestemte typer opplysninger knyttet til okkupasjonstiden. Det pekes i den anledning på at blant annet arkivene fra det NS-opprettede «Likvidasjonsstyret» (1942–1945) og «Tilbakeføringskontoret» (1945-47) er tilgjengelige i Digitalarkivet. I den sammenheng nevnes at en mulighet er å åpne for forskning med sikte på å avdekke mangler i de offentlige arkivene eller forhold som ikke allerede er belyst. Professorene anbefaler likevel ikke en slik løsning.
5.2.3 Høringsinstansenes syn
Alle høringsinstanser med merknader til utredningen ønsker endring av reglene om finansforetaks taushetsplikt for forskningsformål. Flere av høringsinstansene mener også man bør gå lengre enn forslaget i utredningen ved å innføre tidsbestemt taushetsplikt, jf. departementets nye oppdrag om dette som er omtalt i avsnitt 2.4.1.
Om forslagene til særskilt dispensasjonshjemmel uttrykker ingen av høringsinstansene støtte til at dispensasjonshjemmelen skal begrenes til forsking om folkemord mv. Tvert imot uttaler blant annet Senter for næringslivshistorie (BI) at en slik dispensasjonshjemmel vil være for smal med følgende begrunnelse:
«Grunnlaget for utredningen var en henvendelse fra Ingeborg Solbrekken, Berit Reisel og Christopher Harper til Finansdepartementet i brev 21. februar 2022, der de ba om det skulle fastsettes et unntak fra finansforetakenes taushetsplikt som åpner for innsyn i finansforetakenes arkivmateriale for perioden 1940 til 1950. I tidligere forskning har det blitt dokumentert at norske forsikringsselskap under okkupasjonen deltok i konfiskasjonen av formuen til nordmenn som ikke ble definert som jøder av tyskerne eller NS-regimet (Espeli og Bergh 2016 Tiden går Gjensidiges historie 2016 s.227 til 228). Denne bistanden til okkupasjonsmakten og NS-regimet kan ikke betegnes som forbrytelser mot menneskeheten eller krigsforbrytelser eller medvirkning til slike forbrytelser. Likevel skulle slik adferd ikke kunne ha gitt grunnlag for dispensasjon utfra sistnevnte subsidiære forslag. At mistanke om slik bistand til fienden ikke skulle gi grunnlag for dispensasjon, virker høyst urimelig. Slik bistand ble for øvrig kjent erstatningspliktig i ett tilfelle av Høyesterett fordi tyskerne hadde opptrådt folkerettsstridig (Rt 1947 s.235). For tidsperioden 1940 og langt inn etterkrigstiden er det liten tvil om bankers og forsikringsselskaper taushetsplikt har skjermet de samme foretak mot innsyn i deres diskutable og utfra nevnte høyesterettsdom, ikke sjelden ulovlige bistand til okkupanten og NS-regimet. Det er mer enn diskutabelt at en taushetsplikt som primært er begrunnet i kundenes behov og interesser fortsatt skal fungere på en slik måte.»
HIFO slutter seg til uttalelsen fra Senter for næringslivshistorie (BI). Finanstilsynet uttrykker støtte til en generell dispensasjonshjemmel til forskningsformål.
Flere av høringsinstansene kommer med konkrete innspill til utforming og praktisering av en dispensasjonshjemmel til forskningsformål. For at dispensasjonshjemmelen skal stå seg bedre over tid, mener for eksempel Advokatforeningen at ordlyden bør tilpasses opplysninger som utelukkende er elektronisk lagret. Konkret foreslår Advokatforeningen at eksempler på vilkår i lovforslaget utvides til også å omfatte hvordan det skal gis tilgang til opplysningene, og at bestemmelsen justeres ved å nevne håndtering, lagring og sletting av opplysninger. Videre foreslås at «forskningsoppgaven» i forslag til lovtekst erstattes med forskningsarbeidet.
Senter for næringslivshistorie (BI) har også innspill til lovteksten (som støttes av HIFO) og uttaler følgende:
«Dispensasjonsregelen er allmenn, men rimelighetskriteriet åpner for svært skjønnsmessige avveininger i den interesseavveining det legges opp til. Senter for næringslivshistorie savner at også hensynet til forskningen, og de samfunnsmessige interesser som er innebakt i den, nevnes eksplisitt som et grunnlag for vurderingen av dispensasjonssøknaden.»
Den nasjonale forskningsetiske komité for samfunnsvitenskap og humaniora (NESH) tar til orde for å konkretisere hvordan forskningsetiske tema kan integreres i vurderingen av om det skal gis dispensasjon etter lovbestemmelsen. Konkret foreslår NESH at det «utarbeides en forskningsetisk sjekkliste, med henvisninger til NESHs retningslinjer». Videre har NESH synspunkter på hvilke vilkår som bør stilles til forskning, og mener fritak for taushetsplikten også bør omfatte forskningsformidling. NESH uttaler følgende (sidehenvisningene er til utredningen):
«NESH legger til grunn at det som kan komme på tale, ‘er dispensasjon etter behandling av enkeltsøknader.’ (s. 24) NESH tilslutter seg argumentet om at begrepene ‘vitenskapelig’ eller ‘historisk’ forskning bør tolkes vidt, jf. personvernsforordningen, fortalepunkt 159 og 160, samt at avgrensningen av rekkevidden kan knyttes til begrepet «forskning» og hvilke vilkår som eventuelt bør oppstilles, jf. forslaget i utredningen (s. 27). Her kan det være hensiktsmessig, slik det er skissert, å trekke inn søkerens kvalifikasjoner, informasjonsbehovet og at forskningen må skje i samsvar med kravene i forskningsetikkloven. NESH vil imidlertid påpeke at formuleringen om `krav til generaliserbare resultater (og i alle fall anonymisering) […] ` kan være problematisk. Mange typer humanistisk og samfunnsvitenskapelig forskning er ikke generaliserbar i tradisjonell forstand, da det ofte dreier seg om studiet av enkeltsaker. Kravet bør derfor heller være knyttet til normer for etterprøvbarhet, anonymisering og allmenn vitenskapelig interesse, ikke generaliserbarhet, jf. NESHs retningslinjer, punkt 6. Åpenhet, etterprøving og kritikk.
NESH mener også at det kan vurderes å gi fritak for akademiske ytringer, (artikkel 85, jf. personopplysningsloven § 3 førte ledd), altså for behandling som ikke er forskning, men som kan knyttes til et begrep om forskningsformidling. Også her kan forskningsetikken gi støtte for vurderingene, jf. NESHs retningslinjer, Del E. Forskningsformidling. En tolkning, avgrenset til akademiske ytringer forstått som forskningsformidling, vil ikke uten videre omfatte kunstneriske eller litterære ytringer (jf. artikkel 85). Det sentrale er at ytringene er knyttet til vitenskapelig forskning ved akademiske institusjoner, som sikrer både personvern og forskningsetikk.»
Skatteforsk uttaler at det støtter utvalgets forslag om tydelige kriterier for utlevering av data til forskningsformål, og peker på at forskningsinstitusjonens kompetanse, dataminimering, maskinlesbare datasett og mulighet for kobling av datasett bør legges til grunn.
Datatilsynet påpeker i sitt høringssvar at dispensasjonshjemmelen kan innebære behov for behandling av særlige kategorier av personopplysninger, og uttaler:
«Behandling av denne typen opplysninger er i utgangspunktet forbudt. Det må foreligge et unntak i personvernforordningen artikkel 9 nr. 2 for å kunne behandle denne typen opplysninger. Av høringsforslaget oppfatter vi at det er ønskelig å benytte opplysninger fra finanssektoren for å forske på folkemord, jødeutryddelse mv. Det kan utgjøre et behov for å behandle særlige kategorier av personopplysninger. Vi vil oppfordre departementet til å hensynta utfordringene med å behandle denne typen opplysninger.»
5.2.4 Departementets vurdering
Finansforetak mottar og oppbevarer gjennom virksomheten store mengder opplysninger om nåværende og tidligere kunder, og det er derfor viktig at foretakene er underlagt krav som skal hindre at uvedkommende får adgang eller kjennskap til opplysningene. Samtidig er kundeopplysningene i finansforetakene en betydelig kunnskapskilde som kan ha stor nytteverdi i blant annet forskning. Opplysningene må i slike tilfeller behandles på en forsvarlig måte.
Finanstilsynet kan helt eller delvis oppheve taushetsplikten «når særlige hensyn tilsier det», jf. finansforetaksloven § 16-2 første ledd annet punktum. Dette unntaket er snevert, og departementet er enig i at det er behov for å legge bedre til rette for at Finanstilsynet kan gi dispensasjon fra taushetsplikten for utlevering av opplysninger til forskningsformål. I høringsnotatet ble det foreslått at Finanstilsynet skal kunne bestemme at et finansforetak kan gi opplysninger til bruk for forskning når det finnes rimelig og ikke medfører uforholdsmessig ulempe for andre interesser. Forslaget fikk bred støtte i høringen, selv om flere instanser ønsket ytterligere endringer. Et alternativt forslag om en mer avgrenset dispensasjonshjemmel, fikk liten støtte.
Departementet slutter seg til forslaget i høringsnotatet om en generell dispensasjonshjemmel. Formålet med forslaget er altså å gjøre det enklere for finansforetak å få dispensasjon for unntak fra taushetsplikten når opplysningene skal brukes til forskningsformål, og Finanstilsynets vurdering må mer konkret knytte seg til forskningsprosjektets kvalitet og betydning holdt opp mot de hensyn taushetsplikten skal ivareta. Departementet foreslår at det inntas i finansforetaksloven § 16-2 nytt niende ledd en adgang for Finanstilsynet til å bestemme at et finansforetak kan utlevere opplysninger til bruk for forskning, når Finanstilsynet finner det rimelig og ikke medfører uforholdsmessig ulempe for andre interesser. Departementet foreslår ikke endringer i dagens ordning om at det er finansforetaket selv som må søke dispensasjon
Behandling av personopplysninger til forskningsformål omfattes av personvernforordningen. På denne bakgrunn vil hva som skal regnes som forskning etter forordningen ha betydning for vurdering av om dispensasjon kan gis etter lovforslaget. Departementet mener at det for Finanstilsynets vurderinger bør kunne være aktuelt å trekke en grense mot blant annet «behandling av personopplysninger for journalistiske formål eller med henblikk på akademiske, kunstneriske eller litterære ytringer», jf. personopplysningsloven § 3 første ledd, jf. personvernforordningen artikkel 85 nr. 1. Behandling av personopplysninger til slike formål er unntatt fra forordningen, med unntak for enkelte bestemmelser, så langt som nødvendig for å utøve retten til ytrings- og informasjonsfrihet. At det vil være forskjell mellom akademiske ytringer og forskning, blir omtalt som følger i forarbeidene til personopplysningsloven, Prop. 56 LS (2017–2018) Lov om behandling av personopplysninger (personopplysningsloven) og samtykke til deltakelse i en beslutning i EØS-komiteen om innlemmelse av forordning (EU) nr. 2016/679 (generell personvernforordning) i EØS-avtalen punkt. 14.2:
«Det er noe uklart hvilken rekkevidde unntaksregelen [i forordningen artikkel 85] har på dette punktet. Uklarheten gjelder dels den nærmere forståelsen av ‘akademiske’ og dels hva som skal til for at behandlingen av personopplysninger kan anses å være ‘med henblikk’ på slike ytringer. I forbindelse med sistnevnte kan det pekes på at det må trekkes en grense mot behandling av personopplysninger i forbindelse med forskning, selv om resultatet av forskningen eventuelt skal publiseres, og behandlingen derfor kan sies å foranledige akademisk ytring.»
Departementet viser videre til høringsinnspillene fra NESH og Skatteforsk, og antar at gjengse norske standarder for forskning kan gi et utgangspunkt for vurderingen av om det i den enkelte sak skal gis dispensasjon etter lovforslaget. På denne bakgrunn antar departementet at det blant annet vil være relevant å legge vekt på søkerens kvalifikasjoner som forsker, krav til generaliserbare resultater (anonymisering mv.), om informasjonsbehovet kan dekkes ved bruk av materiale som ikke er underlagt taushetsplikt, og om forskningen samsvarer med kravene i forskningsetikkloven. Videre viser departementet til drøftingen i høringsnotatet om at det er nødvendig med en bredere vurdering utover at formålet med utleveringen av opplysninger isolert sett oppfyller kravet om forskning, idet kvaliteten på forskningsprosjektet også må vurderes, herunder også om forskningsformålet veier tilstrekkelig tungt til å oppveie de hensyn som taushetsplikten skal ivareta.
NESH tar opp at forskningsformidling også bør omfattes av dispensasjonshjemmelen. Departementet finner imidlertid ikke grunnlag for å utvide lovforslaget i tråd med dette. Etter departementets vurdering vil forskningsformidling forutsette at det er foretatt forskning. Det vises også til gjeldende adgang etter finansforetaksloven § 16-2 første ledd for Finanstilsynet til helt eller delvis å oppheve taushetsplikten når særlige hensyn tilsier det. Til uttalelser fra Senter for næringslivshistorie (BI) om at hensynet til forskning og de samfunnsmessige interesser som er her er innbakt, eksplisitt bør komme til uttrykk, bemerkes det at formålet bak lovforslaget nettopp er å søke å ivareta samfunnets interesser i å støtte opp under forskning. Departementet mener videre det allerede fremgår klart av lovforslaget at hensynet til forskning skal inngå i rimelighetsvurderingen.
I høringsrunden påpeker Datatilsynet at utlevering av opplysninger etter lovforslaget vil kunne omfatte «særlige kategorier av personopplysninger». Behandling av slike opplysninger er i utgangspunktet forbudt, jf. personvernforordningen artikkel 9 nr. 1. I den anledning trekkes bakgrunnen for lovforslaget frem, som nettopp er ønske om tilgang til opplysninger fra finansarkiv som gjelder okkupasjonsårene. Slike opplysninger kan omfatte spesielt sensitive opplysninger. Departementet viser til at det etter personopplysningsloven §§ 9 og 10 vil være adgang til å behandle særlige kategorier av personopplysninger for forskningsformål på nærmere bestemte vilkår, og hjemmelen for å gjøre unntak for enkelte av den registrertes rettigheter i § 17. Departementet bemerker i denne sammenheng at enhver som behandler personopplysninger må forholde seg til personvernreglene.
I utredningen har professorene foreslått at Finanstilsynet kan knytte vilkår til vedtak om dispensasjon fra taushetsplikten, og det er listet opp eksempler på hvilke forhold slike vilkår kan omfatte etter mal fra forvaltningsloven § 13 d (i hovedsak videreført med noe endret ordlyd i ny forvaltningslov § 38). Departementet er enig med Advokatforeningen i deres uttalelser i høringssvaret om at vilkårene bør ta hensyn til opplysninger som også utelukkende er elektronisk lagret. Eksempler på hvilke vilkår Finanstilsynet kan stille for utlevering av opplysninger, kan etter departementets vurdering omfatte blant annet bestemmelser om hvordan det skal gis tilgang til opplysningene, hvem som skal ha ansvar for håndtering av utleverte opplysninger det gis tilgang til, og vilkår om oppbevaring eller lagring og sletting av opplysningene. Det foreslås å fastsette i finansforetaksloven § 16-2 nytt niende ledd at Finanstilsynet kan fastsette vilkår. I motsetning til professorenes høringsforslag mener departementet at eventuelle behov for nærmere regulering på dette området bør ivaretas i forskrift.
Departementet foreslår at forskriftshjemmelen § 16-2 tiende ledd utvides til også å omfatte utlevering av opplysninger til bruk for forskning slik at den blant annet gir mulighet til å fastsette andre regler om Finanstilsynets vedtak om adgang til utlevering av opplysninger til bruk for forskning, for eksempel om forståelsen av forskningsbegrepet, krav til forskningsprosjektet, vilkår for utlevering mv.
I utredningen foreslås også at enhver som utfører tjeneste eller arbeid i forbindelse med forskningsprosjektet, plikter å hindre at andre får adgang eller kjennskap til opplysninger mottatt fra et finansforetak som er undergitt taushetsplikt. Videre foreslås det at opplysningene bare kan brukes til det som er nødvendig for forskningsarbeidet og i samsvar med vilkår for dispensasjonen. Departementet slutter seg til dette og viser til at formålet bak den strenge taushetsplikten for finansforetak taler for en avledet taushetsplikt som foreslått i utredningen. Taushetsplikten vil følge av lov og derfor være straffesanksjonert etter strl. § 209. Det vises til forslaget til finansforetaksloven § 16-2 nytt niende ledd tredje og fjerde punktum.
Departementet bemerker at en avledet taushetsplikt for forskere ikke vil stå i veien for å publisere resultater på aggregert nivå for å avdekke tendenser, mønster o.l. For forskning som tar sikte på publisering av enkeltsaker, viser departementet til at det i stedet bør søkes om dispensasjon etter § 16-2 første ledd siste punktum.