Prop. 54 LS (2025–2026)

Lov om datadeling og dataforvaltning (dataforvaltningsloven) og samtykke til godkjenning av EØS-komiteens beslutninger om innlemmelse i EØS-avtalen av direktiv (EU) 2019/1024 (åpne data-direktivet) og forordning (EU) 2022/868 (dataforvaltningsforordningen) og deltakelse i EØS-komiteens beslutning om delegert kommisjonsforordning (EU) 2023/138 (HVD-forordningen)

Digitaliserings- og forvaltningsdepartementet

Neste kapittel

Forrige kapittel

5 Virkeområde

5.1 Saklig virkeområde

5.1.1 Gjeldende rett

Offentleglova gjelder for offentlige organer. Dette følger av § 2 første ledd bokstav a. Loven gjelder også for offentlige foretak og selvstendige rettssubjekter kontrollert av offentlige organer. Dette følger av § 2 første ledd bokstav c og d, som lyder:

«c) sjølvstendige rettssubjekt der stat, fylkeskommune eller kommune direkte eller indirekte har ein eigardel som gir meir enn halvparten av røystene i det øvste organet i rettssubjektet, og
d) sjølvstendige rettssubjekt der stat, fylkeskommune eller kommune direkte eller indirekte har rett til å velje meir enn halvparten av medlemmene med røysterett i det øvste organet i rettssubjektet.»

Hvordan dokumenter skal tilgjengeliggjøres følger av offentleglova § 30, som gjelder for alle organer som omfattes av loven, og ikke bare de som er under virkeområdet til PSI-direktivet. For virksomheter som omfattes av PSI-direktivet, oppstilles imidlertid mer detaljerte regler for hvordan dokumenter skal gjøres tilgjengelig, jf. § 30 første ledd tredje punktum, andre ledd og tredje ledd.

Det kan, etter nærmere vilkår, fastsettes i forskrift at offentleglova ikke skal gjelde for enkelte selvstendige rettssubjekter eller for visse dokumenter hos selvstendige rettssubjekter. Dette kan gjøres dersom det er nødvendig ut fra hensynet til virksomheten, konkurransesituasjonen eller andre særlige forhold, se offentleglova § 2 andre ledd første punktum. Også selvstendige rettssubjekter som driver i konkurranse med private, men som ikke oppfyller vilkårene for å falle utenfor lovens virkeområde etter § 2 første ledd andre punktum, kan unntas ved forskrift. I offentlegforskrifta § 1 er det gjort en rekke slike unntak fra virkeområdet til offentleglova og for visse dokumenter hos enkelte navngitte virksomheter. Departementet påpeker i denne sammenheng at der begrepet «organ» er benyttet i offentleglova, siktes det til alle virksomheter loven gjelder for, se § 4 fjerde ledd. Offentleglova regulerer dermed i utgangspunktet offentlige organer og andre typer virksomheter, som selvstendige rettssubjekter, likt. Enkelte bestemmelser i offentleglova retter seg imidlertid kun mot virkeområdet til PSI-direktivet, og gjelder derfor ikke for offentlige foretak, se offentleglova § 2 sjuende ledd, jf. § 6, § 7 andre ledd, § 8 tredje ledd andre punktum og fjerde og femte ledd og § 30 første ledd tredje punktum og andre ledd.

Videre gjelder ikke offentleglova for Stortinget, Riksrevisjonen, Sivilombudet og andre organer fra Stortinget, jf. § 2 tredje ledd. PSI-direktivet gjelder imidlertid for disse organene, jf. offentleglova § 2 sjuende ledd. Bakgrunnen for dette er at PSI-direktivet bygger på gjeldende innsynsordninger etter nasjonal rett, og Stortinget gir allmenn rett til innsyn gjennom Stortingets regler for dokumentinnsyn.

Offentleglova gjelder ikke for den dømmende virksomheten hos domstoler, jf. § 2 fjerde ledd. Allmennhetens rett til innsyn i slik virksomhet følger av domstolloven kapittel 7, tvisteloven kapittel 14 og straffeprosessloven § 28 tredje ledd, samt enkelte andre særlover. Forskrift om offentlighet i rettspleien regulerer også innsyn i domstolenes dømmende virksomhet. Offentleglova gjelder imidlertid for domstolenes øvrige administrative virksomhet.

Det følger av offentleglova at nærmere angitte typer dokumenter eller opplysninger kan unntas innsyn og offentlighet, se offentleglova kapittel 3. Hvis slike dokumenter unntas offentlighet, følger det forutsetningsvis at opplysningene i dokumentene heller ikke er gjenstand for viderebruk.

5.1.2 Direktivet

Åpne data-direktivet har et bredere virkeområde enn PSI-direktivet. Det viderefører virkeområdet fra PSI-direktivet, men omfatter i tillegg offentlige foretak innen forsyningssektoren, som elektrisitets-, gass- og vannselskap, samt transportsektoren. Dette gjelder der stat, fylkeskommune eller kommune direkte eller indirekte kan utøve en dominerende innflytelse over foretaket gjennom stemmerett eller eierandel, jf. artikkel 1 nr. 1 bokstav b og definisjonen i artikkel 2 nr. 2, med unntakene i artikkel 1 nr. 2 bokstav b.

Sammenlignet med PSI-direktivet, er virkeområdet til åpne data-direktivet også utvidet til å omfatte offentlig finansierte forskningsdata, jf. artikkel 2 nr. 9. Viderebruk av forskningsdata er regulert i artikkel 10 nr. 2, som retter seg mot forskere, forskningsutøvende organisasjoner og forskningsfinansierende organisasjoner.

Videre presiserer åpne data-direktivet at offentlige foretak kan være underlagt virkeområdet dersom det offentlige har dominerende innflytelse, blant annet gjennom finansiell deltakelse eller stemmerett. Dette er også en utvidelse sammenlignet med PSI-direktivet. Offentleglova har heller ingen bestemmelser om slik innflytelse.

5.1.3 Forordningen

Det saklige virkeområdet til dataforvaltningsforordningen fremgår av forordningen i artikkel 1. Se punkt 15.2 for nærmere omtale av forordningens saklige virkeområde.

5.1.4 Utvalgets forslag

Utvalget foreslår at virkeområdet til ny lov om datadeling skal svare til virkeområdet i offentleglova, samt virkeområdet til åpne data-direktivet. Som nevnt ovenfor, er virkeområdet til åpne data-direktivet videre enn virkeområdet til forgjengerdirektivet (PSI-direktivet). I tillegg gjelder offentleglova som sådan for andre typer virksomheter enn det offentleglovas særbestemmelser som gjennomfører PSI-direktivet gjelder for. Utvalgets forslag innebærer derfor en utvidelse av virkeområdet sammenliknet med gjeldende nasjonale regler om viderebruk.

Utvalget foreslår at lov om datadeling skal gjelde for alle offentlige foretak, på samme måte som for offentlige organer. I utvalgets lovforslag benyttes samlebegrepet «offentlig virksomhet», se § 2 første ledd bokstav b. Forslaget innebærer en utvidelse sammenliknet med åpne data-direktivet, som har lempeligere regler for offentlige foretak. Direktivet gjelder kun for foretak som opererer innenfor spesifikt angitte forsyningssektorer, se artikkel 1 nr. 1 bokstav b. Etter direktivet gjelder artikkel 5 nr. 7 også kravene til hvilke formater dokumenter skal tilgjengeliggjøres i kun for eksisterende dokumenter som offentlige foretak er i besittelse av, og som er tilgjengelige for viderebruk.

Utvalgets forslag om å utvide virkeområdet innebærer at selvstendige rettssubjekter etter offentleglova som ikke er omfattet av virkeområdet til PSI-direktivet, vil kunne få økte kostnader i forbindelse med eksempelvis utvikling og bruk av API-er der dette ikke allerede er gjort.

Bakgrunnen for utvalgets forslag om å utvide virkeområdet, er at utvalget anser det lite hensiktsmessig at offentleglova som sådan og lovens bestemmelser som gjennomfører PSI-direktivet har ulike virkeområder. Utvalget foreslår derfor ett sett med felles regler for alle aktører som faller inn under virkeområdet til lovforslaget. Utvalget anser forslaget som lite inngripende. Utvalget viser til at offentlige foretak allerede er underlagt virkeområdet til offentleglova når det gjelder reglene om innsyn, og at disse reglene gir den enkelte adgang til å viderebruke informasjonen, under forutsetning av at retten til tredjepart eller annen lovgivning ikke er til hinder for den videre bruken.

5.1.5 Høringsinstansenes syn

Flere høringsinstanser uttalte seg om utvalgets forslag til virkeområde. Dette inkluderer blant annet Direktoratet for høyere utdanning og kompetanse (HK-dir), Borgarting lagmannsrett (Lagmannsretten), Norges miljø- og biovitenskapelige universitet (NMBU), Domstolsadministrasjonen (DA), Kommunesektorens Organisasjon (KS), Helsedirektoratet, HelseOmsorg21-rådet, Lotteri- og stiftelsestilsynet (Stiftelsestilsynet), Arkivarforeningen, Norges vassdrags- og energidirektorat (NVE), Norsk rikskringkasting AS (NRK), Nye veier AS, Stiftelsen Lovdata (Lovdata) og Skatteetaten (SKE).

NRK påpeker at NRK ikke er omfattet av hverken virkeområdet til direktivet eller bestemmelsene i offentleglova som gjennomfører bestemmelsene om viderebruk, og viste til offentlegforskrifta.

NMBU støtter utvalgets forslag om hvilke virksomheter som er omfattet av reglene om viderebruk og at dette følger de samme rammer som for plikten til å gi innsyn etter offentleglova.

NVE mener det bør fremgå direkte av lovteksten, og ikke bare av merknadene, at virksomheter som er unntatt fra offentleglova også er unntatt fra datadelingsloven, og etterlyser klarhet rundt om dette også gjelder for eksisterende unntak i offentlegforskrifta § 1.

Stiftelsestilsynet uttrykker bekymring for at datadelingslovens utvidede virkeområde kan få uheldige konsekvenser for stiftelser, særlig fordi offentlige valg av styremedlemmer ikke nødvendigvis innebærer offentlig kontroll. De understreker at stiftelser er formålsstyrte og uavhengige, og at lojaliteten til styremedlemmer kun skal ligge hos stiftelsen, ikke det offentlige. Stiftelsestilsynet vektlegger at stiftelser er private rettssubjekter, noen av dem er næringsdrivende og mange er viktige innenfor frivillig sektor i Norge. Dersom stiftelser blir underlagt virkeområdet i datadelingsloven vil dette være i strid med overordnede politiske føringer i forenklingsarbeidet for næringslivet og Meld. St. 10 (2018–2019) Frivilligheita – sterk, sjølvstendig, mangfaldig – Den statlege frivilligheitspolitikken. Stiftelsestilsynet foreslår derfor at § 2 første ledd bokstav b inntar et unntak for stiftelser.

Helsedirektoratet og HelseOmsorg21-rådet påpeker at det er uklart hvilke forskningsdata som omfattes av «delvis offentlige finansierte midler». HelseOmsorg21-rådet stiller også spørsmål ved om forskningsdata innebærer at slike data fra næringslivet omfattes så lenge dataen(e) er generert med tilskudd av offentlige midler og er offentliggjort, og om loven ufravikelig er knyttet til offentlige virksomheter også når det gjelder tilrettelegging av viderebruk av forskningsdata.

Skatteetaten skriver at de legger til grunn at når de deler data, inkludert åpne data, og delingen følger av særlov, så vil delingen falle utenfor virkeområdet til utvalgets forslag til datadelingslov.

Lovdata påpeker at utvalgets forslag til datadelingslov som utgangspunkt ikke skal gjelde for Lovdata, men at forskriftshjemmelen i § 2 fjerde ledd åpner for muligheten om at Lovdata kan bli omfattet gjennom en slik forskrift. Lovdata påpeker at dersom dette skulle skje, kan det true deres selvfinansierte drift og føre til avvikling av Lovdata Pro. Lovdata presiserer at de ønsker å bidra til datadeling og samfunnsnytte, men mener en utredning om tilgjengeliggjøring av datagrunnlaget er en bedre løsning enn å utvide lovens virkeområde.

HK-dir skriver at samspillet mellom lovforslaget og andre regelverk som personopplysningsloven og offentleglova vil bli krevende å forholde seg til, og etterspør tydelig avklaring av forholdet mellom tilgrensende regelverk slik som personopplysningsloven, åndsverksloven, sikkerhetsloven og miljøinformasjonsloven. HK-dir påpeker også at det bør vurderes hvor langt man kan gå i å forenkle reglene knyttet til virkeområde, om nødvendig ved å gå vesentlig utover de minimumskravene som følger av EU.

Borgarting lagmannsrett og Domstolsadministrasjonen (DA) viser til lovforslaget §§ 2 og 3 og skriver at det er behov for presisering av lovens virkeområde. Lagmannsretten og DA forstår det slik at domstolene kun er omfattet av loven til å dele data som allmennheten har full innsynsrett i. Innsyn i domstolenes dømmende virksomhet reguleres av domstolloven, tvisteloven, straffeprosessloven, og andre særlover. DA vektlegger dette punktet i lys av at offentleglova ikke gjelder for domstolenes dømmende virksomhet selv om den gjelder for den administrative virksomheten til DA. DA etterlyser derfor presisering av hvilke deler av domstolenes virksomhet som skal være gjenstand for offentlig deling av data for allmennheten, og viser til virksomhetsstatistikk, saksavvikling, saksbehandlingstid og anonymiserte avgjørelser som mulige eksempler.

Nye Veier påpeker at de oppfatter at lovforslaget legger seg tett opp mot virkeområdet i offentleglova, noe som innebærer at statlig heleide aksjeselskap vil være omfattet som «offentlig virksomhet» etter § 2 første ledd bokstav b.

KS mener gjennomføringen av åpne data-direktivet bør ligge på et minimumsnivå, og mener at virkeområdet til den nye loven bør avgrenses i tråd med artikkel 2 nr. 1 av direktivet. KS mener derfor at forskriftshjemmelen i utvalgets forslag til § 2 fjerde ledd bør endres slik at det gis klar adgang til å avgrense lovens virkeområde i enkelte tilfeller.

5.1.6 Departementets vurderinger

5.1.6.1 Generelt om det saklige virkeområdet

Departementet foreslår at loven gjelder for data som kan gjøres allment tilgjengelig, som innehas av virksomheter omfattet av loven, og for forskningsdata. Se departementets forslag til § 2 andre ledd første punktum. Dette er data som i hovedsak ikke er underlagt taushetsplikt, personvernbegrensninger, opphavsrettslig vern eller sikkerhets- og beredskapshensyn som gjør at de skal unntas offentlighet. Eksempler på data som kan gjøres allment tilgjengelig er statistiske opplysninger om befolkning, økonomi og miljø, geodata som kart og eiendomsgrenser, budsjetter til offentlige virksomheter og administrative data om organisering, budsjetter og tjenester i offentlig sektor.

Det er viktig å merke seg at data som kan gjøres allment tilgjengelig ikke nødvendigvis er det samme som data man kan få innsyn i etter offentleglova. Man kan eksempelvis få innsyn i data som inneholder personopplysninger eller data med immaterielle rettigheter. Dette kan begrense den videre bruken, slik at man ikke nødvendigvis har rett til å viderebruke denne typen data.

Departementets lovforslag følger utvalgets forslag. Dette innebærer at departementets forslag har samme virkeområde som både offentleglova og åpne data-direktivet. Dermed vil loven gjelde for flere selvstendige rettssubjekter enn de som omfattes av EU-rettsaktene alene. Offentleglova gjelder for et bredt spekter av offentlige organer og offentlige foretak. Åpne data-direktivet gjelder for offentlige organer, men kun for et begrenset og forhåndsdefinert sett med offentlige foretak, primært innen forsyningssektoren. Direktivet omfatter foretak som er finansiert eller styrt av det offentlige, men ikke alle som faller inn under offentleglova.

Det at departementet foreslår at dataforvaltningsloven også skal gjelde for virksomheter som ikke tidligere har vært omfattet av reglene om viderebruk, kan medføre økonomiske og administrative konsekvenser. Disse virksomhetene har ikke tidligere vært underlagt PSI-reglene i offentleglova, for eksempel bestemmelsene om betaling og tilgjengeliggjøring i §§ 8 og 30. Utvalget vurderte imidlertid utvidelsen som lite inngripende, fordi offentlige foretak generelt allerede er underlagt innsynsreglene i offentleglova, inkludert plikt til gratis innsyn og retten for allmennheten til å kreve elektronisk kopi etter § 30 første ledd andre punktum. Selv om direktivet ikke pålegger de relevante offentlige foretakene å behandle krav om data, jf. artikkel 4 nr. 6 bokstav a, har offentlige foretak allerede plikt til å behandle innsynskrav etter offentleglova. Departementet er derfor enig med utvalget og mener at det er lite inngripende å utvide virkeområdet på dette punktet.

Som nevnt gjelder PSI-direktivet og åpne data-direktivet for et annet sett med offentlige organer enn det offentleglova gjør. Eksempelvis gjelder ikke hele offentleglova for Stortinget, Riksrevisjonen, Sivilombudet og andre organer fra Stortinget, se offentleglova § 2 tredje ledd. De delene av offentleglova som stammer fra PSI-direktivet (og åpne data-direktivet) gjelder imidlertid for disse organene, se offentleglova § 2 sjuende ledd. Årsaken til dette er at direktivene bygger på nasjonale innsynsordninger som gir allmennheten rett til innsyn, og at Stortinget og Stortingets organer gir slik rett gjennom Stortingets regler for dokumentinnsyn. Departementet mener at det lovtekniske grepet om å flytte bestemmelsene om viderebruk ut av offentleglova, også vil bidra til å klargjøre det saklige virkeområdet. Dette la også utvalget til grunn i sitt forslag. Departementet er dermed enig i utvalgets vurderinger på dette punktet, selv om departementet foreslår en annen lovteknisk løsning.

Departementet mener at reglene om viderebruk bør være mest mulig ensartet. Ulike regler for offentlige foretak, basert på hvilken sektor foretaket driver aktivitet innenfor, bryter med norsk forvaltningstradisjon. Offentleglova skiller ikke mellom forskjellige typer offentlige foretak. Departementets forslag innebærer at virkeområdet for de nasjonale reglene om viderebruk vil være videre enn det som følger av åpne data-direktivet. Som tidligere beskrevet, angir direktivet at reglene om viderebruk kun gjelder for offentlige foretak som opererer innenfor et konkret angitt område med forsyningstjenester for allmennheten, se artikkel 1 nr. 1 bokstav b.

Departementet er enig med NRK i at åpne data-direktivet ikke gjelder for data som allmennkringkastere besitter i forbindelse med utførelsen av en allmennkringkastingsoppgave. Dette følger av direktivet artikkel 1 nr. 2 bokstav i. Dokumenter knyttet til redaksjons- og programvirksomhet hos NRK er unntatt fra virkeområdet til offentleglova, jf. offentlegforskrifta § 1 tredje ledd bokstav i. Departementet foreslår at det kan gjøres tilsvarende unntak fra dataforvaltningsloven i forskrift, jf. departementets lovforslag § 2 første ledd tredje punktum. Data som NRK er i besittelse av i forbindelse med utførelsen av allmennkringkastingsoppgaver vil derfor kunne unntas fra virkeområdet til departementets forslag til lov om dataforvaltning.

Lotteri- og stiftelsestilsynet skriver i sin høringsuttalelse at om «det offentlege direkte eller indirekte har rett til å velje eit fleirtal av styremedlemmane, er ikkje det nødvendigvis nokon indikasjon på at stiftelsen har tilknyting til det offentlege». Departementet vil påpeke at det følger av åpne data-direktivet at reglene om viderebruk gjelder for selvstendige rettssubjekter der det offentlige direkte eller indirekte har rett til å velge et flertall av styremedlemmene, se artikkel 2 nr. 3. Dette gjelder imidlertid bare dersom det selvstendige rettssubjektet driver sin virksomhet innenfor forsyningssektoren slik det er angitt i direktivet artikkel 1 nr. 1 bokstav b. Det er ikke nasjonalt handlingsrom for å fravike dette. Departementets forslag til § 2 første ledd bokstav c gjennomfører derfor direktivet artikkel 2 nr. 3 og går lenger ved å vise til «selvstendige rettssubjekter som er omfattet av offentleglova». Av offentleglova § 2 første ledd bokstav d fremgår det at loven gjelder for «sjølvstendige rettssubjekt der stat, fylkeskommune eller kommune direkte eller indirekte har rett til å velje meir enn halvparten av medlemmene med røysterett i det øvste organet i rettssubjektet». Etter offentleglova § 2 andre ledd kan det imidlertid gis forskrift som unntar selvstendige rettssubjekter eller visse data hos selvstendige rettssubjekter som er omfattet av § 2 første ledd bokstav c og d. Det kan for eksempel være aktuelt å gjøre unntak for selveide rettssubjekter som er opprettet med private midler, men der stiftelsen likevel har fastsatt at det offentlige skal velge mer enn halvparten av medlemmene med stemmerett i det øverste organet. I tråd med gjeldende rett åpner departementet for at det kan gjøres unntak for slike rettssubjekter i forskrift, jf. departementets forslag § 2 første ledd tredje punktum. Spørsmålet om hvorvidt slike rettssubjekter kan unntas i forskrift til dataforvaltningsloven må imidlertid avgjøres innenfor rammene av åpne data-direktivet artikkel 1.

Lagmannsretten og DA understreker behovet for å klargjøre hvorvidt det saklige virkeområdet til loven kun gjelder for domstolenes administrative virksomhet, det vil si de delene av domstolenes virksomhet som er omfattet av offentleglova. Departementet er enig i disse høringsinstansenes forståelse. Med unntak av kapittel 2, gjelder loven kun for data fra virksomheter som kan gjøres allment tilgjengelig. For domstolene vil dette gjelde både den administrative virksomheten som er omfattet av offentleglova § 2 fjerde ledd, og særlovgivning. Eksempler på slik særlovgivning er blant annet tvisteloven kapittel 14, straffeprosessloven § 28 tredje ledd og domstolloven kapittel 7 som regulerer allmennhettens rett til innsyn i dømmende deler av virksomheten.

Når det gjelder forslaget til § 10 om krav om publisering av metadata, så gjelder dette for alle data virksomheten forvalter, ikke bare det som kan gjøres allment tilgjengelig, se departementets forslag til § 2 andre ledd andre punktum. Se punkt 11.6 for nærmere omtale av departementets vurderinger av krav til publisering av metadata.

Når det gjelder høringsuttalelsen fra Skatteetaten, stemmer det at krav om at virksomheter aktivt skal dele data etter særlov faller utenfor virkeområdet til departementets forslag til ny lov om datadeling og dataforvaltning.

5.1.6.2 Særlig om forholdet mellom virkeområdet til direktivet og virkeområdet til forordningen

Departementet mener det er behov for å klargjøre forholdet mellom virkeområdet til direktivet og virkeområdet til forordningen, ettersom begge foreslås gjennomført i dataforvaltningsloven og rettsaktene har forskjellige saklige virkeområder.

Virkeområdene fremgår av åpne data-direktivet artikkel 1 og dataforvaltningsforordningen artikkel 1. Departementet foreslår at dataforvaltningsloven § 2 tredje ledd tydeliggjør at kapittel 2 av loven gjelder dataforvaltningsforordningen, til forskjell fra de øvrige bestemmelsene som gjennomfører åpne data-direktivet eller er særnasjonale. For mer om departementets lovtekniske vurderinger se punkt 3.6.

Ettersom dataforvaltningsforordningen ble utarbeidet og vedtatt etter åpne data-direktivet, er det kun henvisninger til direktivet i forordningen og ikke motsatt. Dataforvaltningsforordningen artikkel 1 nr. 2 lyder:

«Denne forordningen medfører ikke at offentlige organer plikter å tillate viderebruk av data, og den fritar heller ikke offentlige organer fra de fortrolighetspliktene de har i henhold til unionsretten eller nasjonal rett.

Denne forordningen berører ikke

a) særlige bestemmelser i unionsretten eller nasjonal rett om tilgang til eller viderebruk av visse kategorier av data, særlig når det gjelder tilgang til og offentliggjøring av offisielle dokumenter, og
b) offentlige organers forpliktelser i henhold til unionsretten eller nasjonal rett til å tillate viderebruk av data eller krav knyttet til behandling av andre opplysninger enn personopplysninger.»

Dataforvaltningsforordningen fortalepunkt 6 lyder:

«Tanken om at data som er utviklet eller innsamlet av offentlige organer eller andre enheter på offentlige budsjetters bekostning, bør komme samfunnet til gode, har lenge vært en del av Unionens politikk. Ved direktiv (EU) 2019/1024 og sektorspesifikk unionsrett sikres det at de offentlige organene gjør en større del av de dataene de produserer, lett tilgjengelige for bruk og viderebruk. Visse kategorier av data, for eksempel kommersielt fortrolige data, fortrolige statistiske data og data beskyttet av tredjeparters immaterialrettigheter, herunder forretningshemmeligheter og personopplysninger, i offentlige databaser gjøres ofte ikke tilgjengelige, ikke engang til forskning eller innovativ virksomhet i allmennhetens interesse, selv om slik tilgjengelighet er mulig i samsvar med gjeldende unionsrett, særlig forordning (EU) 2016/679 og direktiv 2002/58/EF og (EU) 2016/680. På grunn av slike datas sensitivitet må visse tekniske og juridiske saksbehandlingskrav være oppfylt før de gjøres tilgjengelige, ikke minst for å sikre at andres rettigheter til slike data ivaretas, eller for å begrense den negative innvirkningen på de grunnleggende rettighetene, prinsippet om ikke-diskriminering og vern av personopplysninger. Det er vanligvis både tid- og kunnskapskrevende å oppfylle slike krav. Det har ført til en utilstrekkelig bruk av slike data. Noen medlemsstater er i ferd med å innføre strukturer, prosesser eller lovgivning for å fremme denne typen viderebruk, men det er ikke tilfellet i hele Unionen. For å gjøre det lettere for private og offentlige enheter å bruke data til europeisk forskning og innovasjon er det nødvendig med klare vilkår for tilgang til og bruk av slike data i hele Unionen.»

Forordningen supplerer dermed åpne data-direktivet ved å fastsette regler for viderebruk av data fra offentlig sektor som er unntatt fra direktivets anvendelsesområde. Fortalepunktet klargjør dermed at forordningen er ment å utfylle, og ikke erstatte, reguleringen i direktivet.

EØS-loven etablerer ikke et hierarki mellom EØS-forordninger og EØS-direktiver. Begge typer rettsakter utgjør EØS-rett når de er tatt inn i EØS-avtalen og gjennomført etter de mekanismer som følger av avtalen og norsk rett. EØS-loven § 2 regulerer forrangsforholdet mellom EØS-rett og annen norsk rett, men inneholder ingen bestemmelse om rangordning mellom EØS-rettsakter.

Eventuell tolkningstvil mellom forordninger og direktiver kan derfor ikke løses ved å tilkjenne den ene rettsaktstypen formell forrang. Spørsmålet må i stedet håndteres gjennom de alminnelige prinsippene om EØS-konform tolkning og direkte eller tilsvarende virkning.

For dataforvaltningsloven presiserer departementet at både direktivet og forordningen gjelder fullt ut og samtidig. Reglene i forordningen supplerer reglene i direktivet. Det er typen data som avgjør om det er reglene i direktivet eller forordningen som gjelder. Dette fremgår nå av departementets forslag § 2 andre ledd første punktum som tydeliggjør at loven gjelder for data som kan gjøres allment tilgjengelig, og § 2 tredje ledd som angir at kapittel 2 i loven gjelder særskilt for beskyttede data slik det er definert i dataforvaltningsforordningen artikkel 3.

Se merknaden til § 2 i punkt 18 for nærmere omtale av data som kan gjøres allment tilgjengelig, og punkt 15.2 for nærmere omtale av det saklige virkeområdet til dataforvaltningsforordningen.

5.1.7 Unntak fra retten til viderebruk som følge av sikkerhetshensyn

5.1.7.1 Gjeldende rett

Etter offentleglova § 21 kan det gjøres unntak fra innsyn for opplysninger når det er påkrevd av hensyn til nasjonale sikkerhets- eller forsvarshensyn. Etter § 20 tredje ledd kan det gjøres unntak fra innsyn av hensyn til Norges utenrikspolitiske interesser. Blant annet kan det etter bestemmelsens tredje ledd nektes innsyn dersom særlig tungtveiende utenrikspolitiske hensyn gjør det nødvendig. I omtalen av unntaket etter § 21, skriver Justis- og politidepartementet i Ot.prp. nr. 102 (2004–2005):

«Etter § 21 kan det gjerast unntak frå innsyn for opplysningar når det er påkravd av nasjonale tryggingsomsyn eller forsvaret av landet. Til skilnad frå gjeldande rett er det berre høve til å gjere unntak for opplysningar, og ikkje for heile dokument. Elles er meininga at unntaket skal ha tilsvarande innhald som gjeldande lov. Påkravd skal tolkast på same måten som i § 20, sjå merknadene til § 20 første ledd.

Tryggingsomsyn og forsvaret av landet vil i nokon grad gli over i kvarandre. Det er i utgangspunktet berre tryggleiken og forsvaret til Noreg som er verna av føresegna, men opplysningar som har noko å seie for tryggleiken eller forsvaret til andre, kan også ha noko å seie for Noregs tryggleik og forsvar, f.eks. fordi dei ligg nær oss eller vi har eit tryggleiks- og forsvarspolitisk samarbeid med dei. Dersom Noreg offentleggjer opplysningar som kan skade tryggleiken eller forsvaret til andre land, utan at offentleggjeringa skader Noregs tryggleik eller forsvar, vil det vere høve til å gjere unntak for opplysningane etter § 20.

Alternativet forsvaret av landet vil ikkje berre verne om reint militære tilhøve som f.eks. arten, storleiken og plasseringa av anlegga og utrustinga til forsvaret, men f.eks. også om sivilforsvaret og etterretningsverksemda til forsvaret. Alternativet nasjonale tryggingsomsyn vil f.eks. verne om opplysningar som kan skade verksemda til politiet, medrekna overvakingspolitiet, og det sivile beredskapsopplegget i samfunnet.»

PSI-direktivet oppstiller et unntak i artikkel 1 nr. 2 underpunkt ii bokstav c, som ligner på de norske unntakshjemlene i offentleglova §§ 20 og 21. Direktivet gjelder ikke for dokumenter som er unntatt offentlighet etter nasjonale innsynsregler, blant annet av hensyn til nasjonal sikkerhet, forsvar eller offentlig sikkerhet. Dette ble ikke særskilt gjennomført i norsk rett ved lov- eller forskriftsendring, ettersom det tilsvarende følger av offentleglova §§ 20 og 21.

Sikkerhetsloven kapittel 5 angir regler om informasjonssikkerhet. Etter § 5-1 er informasjon skjermingsverdig dersom det kan «skade nasjonale sikkerhetsinteresser at informasjonen blir kjent for uvedkommende, går tapt, blir endret eller blir utilgjengelig». Etter § 5-4 skal sikkerhetsgradert informasjon bare overlates til personer som har tjenstlig behov og er autorisert for tilgang til slik informasjon, og alle som får tilgang til slik informasjon har livsvarig taushetsplikt om innholdet. Sikkerhetsgraderte opplysninger er dermed også unntatt fra innsyn med hjemmel i offentleglova § 13.

5.1.7.2 Direktivet

I likhet med PSI-direktivet, innfører ikke åpne data-direktivet en plikt til å publisere eller aktivt gjøre data tilgjengelig for viderebruk. Direktivet viderefører også det eksplisitte unntaket i PSI-direktivet for informasjon som må skjermes av sikkerhetspolitiske hensyn.

Åpne data-direktivet gjelder ikke for data som ikke er tilgjengelige etter nasjonale innsynsregler. Dette følger av artikkel 1 nr. 2 bokstav d. Unntak fra innsyn kan være begrunnet i hensynet til blant annet vern av nasjonal sikkerhet, forsvar, offentlig sikkerhet, fortrolig behandling av statistiske opplysninger og fortrolig behandling av forretningsopplysninger (herunder forretningshemmeligheter, yrkeshemmeligheter og selskapshemmeligheter).

Videre følger det av artikkel 1 nr. 2 bokstav e at direktivet ikke gjelder for dokumenter som ikke er tilgjengelige, eller som det er begrenset tilgang til, på grunn av «følsomme opplysninger» om beskyttelse av kritisk infrastruktur slik det er definert i artikkel 2 bokstav d i direktiv 2008/114/EF. I dette direktivet artikkel 2 bokstav d er «følsomme opplysninger» definert som:

«[O]pplysninger om beskyttelse av kritisk infrastruktur» opplysninger om kritisk infrastruktur som, dersom de avsløres, kan anvendes til å planlegge og utføre handlinger med sikte på å forårsake driftsforstyrrelse eller ødelegge kritisk infrastruktur[.]»

Betegnelsen «beskyttelse av kritisk infrastruktur» i åpne data-direktivet viser til direktiv 2008/114/EF som er gjennomført i sivilbeskyttelsesloven. Dette direktivet er nå erstattet av direktiv (EU) 2022/2557 om kritiske enheters motstandsdyktighet (CER-direktivet). I CER-direktivet er kritisk infrastruktur definert som:

«[E]n eiendel, et anlegg, utstyr, et nettverk eller et system, eller en del av en eiendel, et anlegg, utstyr, et nettverk eller et system, som er nødvendig for leveringen av en samfunnsviktig tjeneste».

5.1.7.3 Utvalgets forslag

Utvalget foreslår ingen særskilt lovregulering av sikkerhetsdimensjonen. I stedet foreslår utvalget at deres forslag til Nasjonalt prioriteringsråd for deling og viderebruk av data fra offentlig virksomhet skal ha en rådgivende rolle i vurderingen av hvilke data som bør unntas av hensyn til nasjonal sikkerhet, se utvalgets utredning kapittel 14.6 og utvalgets forslag til lov om datadeling § 14. Utvalget anbefaler også at rådet styrkes med sikkerhetsfaglig kompetanse. Formålet er å gjøre rådet i stand til å gi råd om skjerming av data som ellers er åpne, og bidra til bedre koordinering på tvers av sektorer og forvaltningsnivåer. Utvalget viser videre til at lovverket i seg selv er tydelig på at skjermingsverdig informasjon er unntatt innsyn og viderebruk. I praksis kan det imidlertid ofte være utfordrende å foreta sikkerhets- og risikovurderinger om hvorvidt nærmere angitte data kan deles. Utvalget påpeker at denne utfordringen ikke kan løses gjennom lovgivning alene.

5.1.7.4 Høringsinstansenes syn

Flere høringsinstanser kom med merknader til sikkerhetsdimensjonen. Dette inkluderer Kripos, Bærum kommune, Norges forskningsråd, Digitalt Liv Norge, Advokatforeningen, Bane Nor SF, Landsorganisasjonen i Norge (LO), Kommunesektorens Organisasjon (KS), Helsedirektoratet, HelseOmsorg21-rådet, Innlandet fylkeskommune, Foreningen INIO, Den norske legeforening, Sikt - Kunnskapssektorens tjenesteleverandør, Direktoratet for høyere utdanning og kompetanse (HK-dir), Norges miljø- og biovitenskapelige universitet (NMBU) og Øst politidistrikt.

Flere høringsinstanser, blant annet Bærum kommune og Bane NOR SF, etterlyser bedre veiledning og tydeligere retningslinjer for hvordan sikkerhetsvurderinger skal gjennomføres. LO pekte særlig på behovet for klarere definisjon av hvordan anonymisering skal skje, for å unngå at data feilaktig klassifiseres som personopplysninger.

Andre høringsinstanser, som Kripos, Norges forskningsråd, Advokatforeningen, Øst politidistrikt, NMBU, HK-dir, KS og Digitalt Liv Norge uttrykker bekymring for at ny teknologi kan gjøre det mulig å sammenstille tilsynelatende ufarlige datasett på måter som kan gi innsikt i forhold som ikke er ment å være offentlig tilgjengelig. Helsedirektoratet påpeker i tillegg at store deler av data fra offentlig sektor ikke er gradert eller underlagt sikkerhetsloven.

Noen av høringsinstansene trekker særlig frem risikoen for re-identifisering av det som tilsynelatende ellers var anonymiserte data. Dette inkluderer Den norske legeforening, Advokatforeningen, NMBU og LO.

DigiViken skriver:

«Fleksibilitet i sikkerhets- og personvernkrav for ulike datasett: [NOU-en] kan overkomplisere kravene til sikkerhet og personvern ved å anvende like høye krav på alle datasett. Vi anbefaler en risikobasert tilnærming som skiller mellom lavrisiko og høyrisiko datasett, slik at ressurser kan rettes mot data som krever sterkere sikkerhetstiltak, samtidig som lavrisiko data kan tilgjengeliggjøres enklere.»

Innlandet fylkeskommune skriver:

«Åpenhet, også når det gjelder data, er en del av å ivareta et åpent og demokratisk samfunn. Samtidig gir økt tilgjengeliggjøring av data bekymringer knyttet til personvern og sikkerhet. Det er derfor viktig å kunne skjerme data som i utgangspunktet er klassifisert som «åpne» data.»

HelseOmsorg21-rådet trekker særlig frem den norske konteksten hvor det eksisterer svært detaljerte helseopplysninger i norske helseregistre. Denne situasjonen gjør at Norge og norske data er i en særposisjon i Europa, og det blir svært viktig at man vurderer risiko ved å dele store mengder individdata. HelseOmsorg21-rådet påpeker også at for å utnytte helsedata så bør man vektlegge innovasjon i analyser uten å dele individdata over landegrenser.

Sikt vektlegger at det er viktig at loven er svært tydelig på avgrensningene som følger av personvern, taushetsplikt, immaterielle rettigheter, nasjonal sikkerhet eller annen lovgivning som begrenser den allmenne innsynsretten.

5.1.7.5 Departementets vurderinger

Departementet er enig med flere av høringsinstansene om at unntak fra retten til viderebruk som følge av sikkerhetshensyn bør tydeliggjøres i virkeområde til dataforvaltningsloven. Departementet foreslår derfor en egen bestemmelse som fastsetter at loven ikke gjelder for data som kan være til skade for kritisk infrastruktur, til fare for nasjonal sikkerhet eller som ut fra forsvarshensyn kan unntas offentlighet, se lovforslaget § 2 fjerde ledd.

Krav om å foreta risiko- og sikkerhetsvurderinger før det eventuelt gis innsyn følger allerede av gjeldende rett, inkludert blant annet offentleglova og beskyttelsesinstruksen. Departementets lovforslag vil ikke endre på dette. Alle unntakene som gjelder for tilgang til allment innsyn vil også gjelde for tilgang til data for viderebruk. Data for viderebruk som omfattes av lovforslaget vil heller ikke være data som faller inn under krav til gradering eller skjerming.

Når det gjelder risikoen for sammenstilling av åpne data, viser departementet til gjeldende rett og veiledning som er aktuelt for denne problemstillingen. Dette inkluderer blant annet Nasjonal sikkerhetsmyndighets krav om risiko- og sårbarhetshåndteringer (ROS) for å unngå å eksponere skjermingsverdig informasjon, samt sikkerhetsloven § 5-2 som angir plikt til å beskytte skjermingsverdig informasjon. I utdypelsen om bestemmelsen i § 5-2, i Prop. 153 L (2016–2017) Lov om nasjonal sikkerhet, skriver Justis- og beredskapsdepartementet:

«Behovet for å beskytte de ulike egenskapene ved informasjonen må ses i sammenheng. En konkret helhetsvurdering av behovet for beskyttelse må ligge til grunn for å kunne iverksette passende sikkerhetstiltak. Opplistingen i bestemmelsen skal forstås som et minimum av hensyn som må vurderes for å oppnå god informasjonssikkerhet.»

Departementet har forståelse for bekymringen hos høringsinstansene. Departementet foreslår imidlertid ikke noen ny særskilt regulering av sikkerhetsaspekter ved deling av data for viderebruk. Årsaken til dette er blant annet at virksomheter som vil bli omfattet av dataforvaltningsloven allerede må forholde seg til gjeldende rett.

Departementet mener imidlertid det er behov for en tydeliggjøring ettersom reglene om viderebruk foreslås flyttet fra offentleglova til dataforvaltningsloven. Dette foreslås regulert i dataforvaltningsloven § 2 fjerde ledd, som presiserer at loven ikke gjelder for data som kan være til skade for kritisk infrastruktur, til fare for nasjonal sikkerhet eller som ut fra forsvarshensyn kan unntas offentlighet. Slike unntak kan følge av blant annet offentleglova §§ 20 og 21 eller beskyttelsesinstruksen. Bestemmelsen gjennomfører åpne data-direktivet artikkel 1 nr. 2 bokstav d.

Bestemmelsen må forstås som en presisering av gjeldende rett. Departementet foreslår ingen nye unntak fra innsyn eller nye kriterier for risikovurdering ved innsyn eller for viderebruk. Hvorvidt data kan tilgjengeliggjøres for viderebruk vil derfor fortsatt følge av offentleglova og øvrig regelverk som regulerer allment innsyn. Når det gjelder merknaden fra Innlandet fylkeskommune mener departementet derfor at det ikke er aktuelt å innføre nye unntak slik at data som i utgangspunktet er åpne kan skjermes, da dette fortsatt vil kreve unntak etter annen lovgivning.

Videre vil offentleglova, og andre regelverk som begrenser hvilke data som kan gjøres allment tilgjengelig, fortsatt gjelde fullt ut sammen med departementets lovforslag. Etter gjeldende rett gjelder hovedregelen om adgang til viderebruk bare i den grad ikke annen lovgivning eller retten til tredjepart er til hinder for det. Departementet foreslår ingen nye unntak fra denne hovedregelen.

Når det gjelder utvalgets forslag til etableringen av et råd som kan gi nærmere veiledning om skjerming av data, så har departementet valgt å opprette dette rådet utenfor loven. Dette omtales derfor ikke videre i denne proposisjonen, men se punkt 13.2 for omtalen av forslaget til selve rådet.

5.2 Geografisk virkeområde

5.2.1 Gjeldende rett

Offentleglova gjelder for Svalbard dersom ikke annet er fastsatt av Kongen i forskrift, jf. § 2 sjette ledd. Forskriftshjemmelen har ikke blitt benyttet, noe som innebærer at offentleglova gjelder for virksomheter som er lokaliserte på Svalbard. PSI-direktivet, som er innlemmet i EØS-avtalen, har samme geografiske virkeområde som EØS-avtalen. Det følger av EØS-loven § 6, jf. EØS-avtalen protokoll 40, at EØS-avtalen ikke gjelder for Svalbard. Det er ikke gjort tilsvarende unntak for Jan Mayen. Dette innebærer at Jan Mayen faller inn under avtalens virkeområde, jf. lov om Jan Mayen § 1. EØS-avtalen gjelder på norsk territorium, i tråd med EØS-avtalen artikkel 126. Ut fra en alminnelig folkerettslig forståelse omfatter dette det geografiske området hvor Norge utøver suverenitet, det vil si på landjorden, territorialfarvannet og luftrommet. Svalbard omfattes ikke. Hvis EØS-regelverk skal gjelde for Svalbard eller andre områder som faller utenfor EØS-avtalen, må dette reguleres særskilt.

Det følger videre av svalbardloven § 2 første ledd at norsk privatrett og strafferett og den norske lovgivning om rettspleien gjelder for Svalbard, når ikke annet er fastsatt. Av andre ledd fremgår det at andre lovbestemmelser enn de som er nevnt i første ledd, kun gjelder for Svalbard hvis det er særskilt bestemt. Lov om Jan Mayen § 2 første ledd inneholder en lignende formulering.

Ettersom PSI-direktivet ikke særskilt er gjort gjeldende på Svalbard, jf. offentleglova § 2 sjuende ledd, legger departementet til grunn at direktivet i utgangspunktet ikke gjelder for virksomheter på Svalbard. Samtidig er det slik at selv om Svalbard ikke er en del av EØS, knytter bestemmelsene i offentleglova som gjennomfører PSI-direktivet seg til virksomheter, ikke til geografiske områder. Virksomheter som er en del av den norske staten, men lokalisert på Svalbard, slik som Sysselmesteren på Svalbard, er derfor omfattet fullt ut av offentleglova. Det samme gjelder for statlige norske virksomheter i utlandet.

5.2.2 Utvalgets forslag

Utvalget tar ikke stilling til om lovforslagene som gjennomfører åpne data-direktivet og dataforvaltningsforordningen skal gjelde på Svalbard. Lovforslagene inneholder derfor ingen egne bestemmelser om geografisk virkeområde.

5.2.3 Høringsinstansenes syn

Kun én høringsinstans hadde merknader til det geografiske virkeområde til loven. Justis- og beredskapsdepartementet (JD) mener at forholdet til Svalbard bør reguleres tydelig. JD skriver:

«Forslaget til lov om datadeling tar opp i seg mye av dagens offentleglov, hvor Svalbard er en del av virkeområdet, jf. lovens § 2 sjette ledd. Det fremgår i tillegg uttrykkelig av Svalbardloven § 32 at offentleglova gjelder for Longyearbyen lokalstyre (LL). Vi mener at det også bør fremgå tydelig av forslaget til ny lov at loven gjelder for Svalbard. Lovens § 2 første ledd bokstav c tilsier at LL vil være omfattet, men det bør i tillegg fremgå av forarbeidene (proposisjonen). Det kan også vurderes å ta med i proposisjonen en tilføyelse i Svalbardloven § 32. For dataforvaltningsloven ber vi om at det tas en vurdering av forholdet til Svalbard og hvorvidt det er hensiktsmessig at loven gjøres gjeldende der.»

5.2.4 Departementets vurderinger

Departementet er enig med JD i behovet for tydeliggjøring av det geografiske virkeområde til loven, særlig fordi dette ikke fremgår direkte av utvalgets forslag.

Som utgangspunkt vil det geografiske virkeområdet til åpne data-direktivet og dataforvaltningsforordningen tilsvare EØS-avtalens virkeområde. Dette tilsier at åpne data-direktivet og dataforvaltningsforordningen gjelder i EØS, for virksomheter som er etablert på statenes territorium, jf. EØS-avtalen artikkel 126. I likhet med PSI-direktivet gjelder dermed ikke åpne data-direktivet eller dataforvaltningsforordningen på Svalbard eller andre områder som faller utenfor EØS-avtalen og norsk territorium, med mindre det blir særlig regulert.

Svalbard er underlagt norsk territorium, men står likevel i en særstilling ved gjennomføring av EØS-relevant EU-regelverk. Dette er fordi Svalbard er unntatt fra virkeområdet til EØS-avtalen, jf. EØS-avtalens protokoll 40. For å unngå tvil, mener departementet derfor det bør fremgå direkte av loven at den gjelder for Svalbard.

Jan Mayen faller inn under virkeområdet til EØS-avtalen, jf. lov om Jan Mayen § 1 og EØS-avtalen artikkel 126. Når rettsakter innlemmes i EØS-avtalen, vil de også gjelde på Jan Mayen. Departementet mener likevel at det, for å unngå tvil, bør komme uttrykkelig frem at dataforvaltningsloven også gjelder for Jan Mayen. Departementets forslag sikrer harmonisering og forutsigbarhet for aktører som opererer innenfor ulike geografiske områder.

Ettersom departementet mener at dataforvaltningsforordningen bør gjennomføres i samme lov som åpne data-direktivet, oppstår det spørsmål om hvorvidt dataforvaltningsforordningen også skal gjelde for Svalbard. Dataforvaltningsforordningen krever at Norge etablerer tilsynsorgan (omtalt som «vedkommende myndighet» i forordningen) for dataformidlingstjenester, jf. forordningen artikkel 13, og tilsynsorgan for registrering av dataaltruismeorganisasjoner, jf. forordningen artikkel 23. Dersom forordningen ikke gis anvendelse på Svalbard, vil ikke de vedkommende myndighetene på fastlandet ha tilsynsfunksjon overfor dataformidlingstjenester eller dataaltruismeorganisasjoner som er lokalisert på Svalbard.

Departementet mener derfor at også dataforvaltningsforordningen bør gjelde for Svalbard, og at det uttrykkelig bør komme frem av loven at den gjelder for både Svalbard og Jan Mayen. En slik løsning sikrer at direktivet og forordningen får samme geografiske virkeområde, og gir like rettigheter og plikter for aktører på Svalbard, Jan Mayen og fastlands-Norge. Det vil også legge til rette for datadrevet innovasjon på øygruppen. Departementet foreslår en bestemmelse i § 2 femte ledd som slår fast at loven gjelder for Svalbard og Jan Mayen, med mindre Kongen fastsetter noe annet i forskrift. På denne måten vil Kongen også ha mulighet til å regulere forholdet ytterligere ved behov, slik som etter offentleglova. Denne løsningen sikrer også samsvar mellom det geografiske virkeområdet til offentleglova og departementets forslag til dataforvaltningslov.

Neste kapittel

Forrige kapittel

Neste kapittel

Forrige kapittel

Til forsiden

Til toppen