Prop. 54 LS (2025–2026)

Lov om datadeling og dataforvaltning (dataforvaltningsloven) og samtykke til godkjenning av EØS-komiteens beslutninger om innlemmelse i EØS-avtalen av direktiv (EU) 2019/1024 (åpne data-direktivet) og forordning (EU) 2022/868 (dataforvaltningsforordningen) og deltakelse i EØS-komiteens beslutning om delegert kommisjonsforordning (EU) 2023/138 (HVD-forordningen)

Digitaliserings- og forvaltningsdepartementet

Neste kapittel

Forrige kapittel

7 Begrepsdefinisjoner i loven

7.1 Innledning

Utvalget foreslår å innta en bestemmelse over sentrale legaldefinisjoner, se utvalgets forslag til datadelingslov § 4 og utredningen kapittel 9. Forslagene tilsvarer i det vesentlige definisjoner fra åpne data-direktivet, og skal tolkes i lys av direktivet. Fordi utvalget la til grunn at en ny lov om datadeling skulle være adskilt fra en ny lov om dataforvaltning, knytter forslagene til legaldefinisjoner seg kun til norsk gjennomføring av åpne data-direktivet.

Departementet mener det ikke bør innføres definisjoner i loven som kun brukes få ganger i lovteksten. Dette gjelder datasett med høy verdi, dynamiske data og forskningsdata. Departementet følger derfor ikke utvalgets forslag til disse begrepsdefinisjonene, og omtaler ikke definisjonene nærmere i denne proposisjonen. Temaene om datasett med høy verdi omtales nærmere i punkt 13.1, dynamiske data i punkt 9.2 og forskningsdata i punkt 10.

Departementets forslag til legaldefinisjoner, samt høringsinstansenes syn, omtales i det følgende.

7.2 Definisjon av data

7.2.1 Gjeldende rett

Offentleglova § 4 første ledd bruker begrepet «dokument». Dette er definert som:

«Med dokument er meint ei logisk avgrensa informasjonsmengd som er lagra på eit medium for seinare lesing, lytting, framsyning, overføring eller liknande»

I tillegg til offentleglova, bruker arkivlova og forvaltningsloven «dokument» som det sentrale begrepet. Begrepet har samme definisjon i alle de tre lovene. Begrepet er teknologinøytralt og omfatter alle typer informasjon uavhengig av lagringsmåten. I Ot.prp. nr. 102 (2004–2005) skrev Justis- og politidepartementet:

«Dokument som blir mottekne utanfrå, blir etter andre ledd første punktum rekna som saksdokument for organet når dei er komne inn til eller er lagde fram for organet. Dette er i samsvar med gjeldande lov. Eit dokument er komme inn til eller er lagt fram for organet når det er motteke per post, telefaks, elektronisk (per e-post) eller på annan måte. Eit dokument som blir overlevert til ein som er tilsett i organet, f.eks. i eit møte eller i privat samanheng, vil ha komme fram til organet når vedkommande har bringa dokumentet til organet.

Dokument som organet sjølv opprettar, blir etter andre ledd andre og tredje punktum rekna som saksdokument for organet, når dokumentet blir sendt ut av organet eller, dersom det ikkje skjer, når dokumentet er ferdigstilt. Eit dokument vil vere sendt når det er sendt i posten, per telefaks, som e-post eller liknande. Dokumentet skal reknast som sendt sjølv om det ikkje har komme fram til mottakaren. Dersom eit dokument ikkje blir sendt i vanleg tyding, men berre blir lagt ut i ein database som også er tilgjengeleg for dei som er meinte som mottakarar av dokumentet, skal dokumentet reknast som sendt når det er lagt ut i databasen.»

Det finnes også andre eksempler på norske lover som bruker dokumentbegrepet. Dette inkluderer blant annet tvisteloven kapittel 14, sivilombudsloven § 26 og NIM-loven § 11.

7.2.2 Direktivet

Åpne data-direktivet bruker ikke «data» som hovedbegrep, men bruker i stedet begrepet «dokument». Også de tidligere direktivene brukte dette begrepet. I artikkel 2 nr. 6 definerer direktivet «dokument» som:

«ethvert innhold, uansett medium (papir eller elektronisk eller som lydopptak, bildeopptak eller audiovisuelt opptak), eller […] enhver del av et slikt innhold,»

Det framgår av fortalepunkt 20 i direktivet at medlemsstatene kan bruke andre betegnelser enn «dokument» når direktivet innarbeides i nasjonal rett, forutsatt at de bevarer alle aspekter av definisjonen av «dokument» som er fastsatt i direktivet. I fortalepunkt 30 understrekes det at begrepet «dokument» bør omfatte enhver framstilling av dokumenter, kjensgjerninger eller informasjon og enhver samling av slike dokumenter, slike kjensgjerninger eller slik informasjon, uansett medium. Definisjonen av dokument er videreført fra PSI-direktivet kun med en mindre språklig endring uten reell betydning.

7.2.3 Utvalgets forslag

Til forskjell fra direktivet og offentleglova, foreslår utvalget å bruke «data» som et gjennomgående begrep i en ny lov om datadeling.

Utvalget viser til at dokumentbegrepet ofte assosieres med dokumenter i tradisjonell forstand, selv om begrepet er teknologinøytralt etter både åpne data-direktivet og offentleglova. Utvalget mener at begrepet «dokument» vil kunne begrense forståelsen av hva den nye loven skal omfatte, og at data vil oppfattes som et mer generelt begrep.

Utvalget henter inspirasjon til sitt forslag til legaldefinisjon av «data» fra dataforvaltningsforordningen artikkel 2 nr. 1, som lyder:

«enhver digital framstilling av handlinger, fakta eller informasjon og enhver sammenstilling av slike handlinger, fakta eller informasjon, herunder i form av lyd- eller bildeopptak eller audiovisuelle opptak,»

Legaldefinisjonen i dataforvaltningsforordningen omfatter imidlertid kun digitale data, mens definisjonen av «data» i utvalgets lovforslag omfatter også papirdokumenter og andre ikke-digitale dokumenter. Bakgrunnen for dette er at åpne data-direktivet gjelder for både digitale og ikke-digitale dokumenter, jf. direktivet artikkel 2 nr. 6.

Utvalget vurderte om loven burde begrenses til kun å regulere digitale data, i tråd med definisjonen i dataforvaltningsforordningen. Dette er gjort i Sverige, hvor loven som gjennomfører åpne data-direktivet kun gjelder for digitale data. I Sverige reguleres viderebruk av fysiske data av offentlighetsloven, og utvalget vurderte en tilsvarende løsning i Norge. Utvalget konkluderte imidlertid med at en slik avgrensning ikke ville være hensiktsmessig.

Utvalget mener at definisjonen av «data» ikke bør være mer komplisert enn nødvendig, og så presis som mulig, samtidig som den etterlever hele betydningen av «dokument» i direktivet. Definisjonen bør også ta høyde for fremtidig teknologisk utvikling. Med dette som bakgrunn, foreslår utvalget at «data» defineres i forslag til lov om datadeling § 4 bokstav a som:

«enhver representasjon av handlinger, fakta eller informasjon,»

7.2.4 Høringsinstansenes syn

Enkelte høringsinstanser tar til orde for at legaldefinisjonene legges nærmere ordlyden i åpne data-direktivet. Dette standpunktet fremmes av blant annet Kripos, Foreningen INIO og Direktoratet for høyere utdanning og kompetanse (HK-dir). Høringsinstansene uttrykker samlet sett bekymring for at forslaget til ny lov innfører et databegrep som ikke er tilstrekkelig tydelig sett opp mot dokumentbegrepet i eksisterende lovverk. De etterlyser større grad av presisjon og harmonisering på tvers av regelverk, både for å sikre klar begrepsbruk og for å unngå praktiske problemer ved datadeling. Flere peker på at manglende ensartede definisjoner kan skape uklarhet og gi rom for ulik praksis. Det understrekes at dagens dokumentbegrep allerede har begrensninger, men at den foreslåtte datadefinisjonen ikke løser dette på en tydelig måte. Snarere kan overlapp og avvik fra tidligere definisjonsarbeid, som det arkivlovutvalget foreslo, føre til mer begrepsforvirring. Samlet sett etterspør disse høringsinstansene en mer konsekvent begrepsdefinisjon som klargjør forholdet mellom «data» og «dokument», og som harmonerer med både gjeldende nasjonalt regelverk og relevante EU-definisjoner.

Kripos påpeker at det er viktig med ensartede definisjoner av grunnleggende begrep ettersom det finnes eksempler på at ulik forståelse hindrer datadeling. Kripos mener definisjonen i direktivet er mer presis enn utvalgets forslag fordi den gir bedre veiledning om hvordan begrepet skal forstås.

Foreningen INIO skriver at de er enige med utvalget i at dokumentbegrepet i dagens lover kan være begrensende for forståelsen av hva som faktisk er omfattet av begrepet. Når det gjelder data kan det være informasjon, men det trenger ikke nødvendigvis å være det. Dokumentasjon er data først når de har en sammenheng (kontekst). Foreningen INIO påpeker at forslaget derfor ikke er i tråd med den definisjonen arkivlovutvalget foreslo, noe som er uheldig og vil skape uklarhet.

HK-dir er kritiske til at lovutkastet innfører en ny definisjon av «data» som kan overlappe med «dokument», og mener dette skaper uklarhet og unødvendig begrepsbruk.

Sokkeldirektoratet mener at det er uheldig at det ikke brukes mer enhetlige eller felles begrepsdefinisjoner i norsk regelverk, og påpeker at mens offentleglova, forvaltningsloven og arkivloven bruker «dokument» bruker utvalgets forslag til datadelingsloven «data». De mener at det ikke kommer tydelig nok frem hvordan dette databegrepet vil forholde seg til dokumentbegrepet i de andre lovene i praksis.

DAMA Norway bemerker at det er forskjell mellom begrepet «data» og «informasjon», og at dersom vi bruker «data» og «informasjon» som om de betyr det samme, vil det skape misforståelser. Derfor ber DAMA Norway om at lovarbeidet tydelig skiller begrepene. DAMA Norway trekker også frem at begrepet «metadata» brukes i lovforslaget og at det bør defineres for å tydeliggjøres ytterligere. DAMA Norway foreslår at begrepet kan defineres som «metadata er data som beskriver dataen i seg selv».

Norges miljø- og biovitenskapelige universitet (NMBU) mener at utvalgets forslag til databegrep favner et bredere omfang av informasjon enn det som anvendes i dag, og mener at «dokument» ikke er egnet som begrep i en slik sammenheng.

Tolletaten er positive til hvordan avhengighetene mellom de foreslåtte lovene og tilstøtende lovverk blir presentert av utvalget. Tolletaten trekker særlig frem at det å sette likhetstegn mellom «dokument» og «data» åpner for lettere harmonisering mellom regelverket om viderebruk og det eksisterende regelverket. Tolletaten peker også på at konsoliderte kvalitetsprinsipper basert på FAIE, APIA og KIT, som gjelder uavhengig av datasettets alder, vil kunne sikre datakvaliteten uavhengig av om det gjelder primærbruk, gjenbruk eller viderebruk.

7.2.5 Departementets vurderinger

Departementet støtter utvalgets forslag om å innføre en egen legaldefinisjon av «data», men mener at definisjonens ordlyd bør bygges ut for å gi tydeligere rammer for hva begrepet inneholder. I likhet med utvalget er ordlyden i departementets forslag til legaldefinisjon av «data» hentet fra dataforvaltningsforordningen artikkel 2 nr. 1.

Som utvalget påpeker, vil data i dag som regel foreligge i digital form. Dette skyldes enten at dataene opprinnelig er produsert digitalt, eller at de er digitalisert fra eldre arkivmateriale. Departementet foreslår å benytte definisjonen i dataforvaltningsforordningen med en justering som presiserer at begrepet gjelder både digitale og ikke-digitale data.

I likhet med utvalget, har departementet vurdert om den nye dataforvaltningsloven bør begrenses til digitale data, ettersom reguleringen av digitale data har et annet nedslagsfelt enn reguleringen av ikke-digitale data. Digitale data har en annen tilgjengelighet og distribusjonsmåte enn fysiske data. Tilgjengeliggjøring av digitale data reiser særlige hensyn knyttet til omfang, volum, og spredning på tvers av landegrenser, systemer og analyseverktøy. For ikke-digitale data er distribusjonen mer begrenset og slike data er vanskeligere å behandle systematisk. Risikoen for misbruk eller uautorisert tilgang er generelt lavere for ikke-digitale data, og deling av slike data krever andre systemer og verktøy enn deling av digitale data. Videre er ikke fysiske data omfattet av mange av reglene i kapittel III i direktivet, som gjelder digitale krav som format og standarder, eller kapittel II, som krever elektronisk saksbehandling av krav om viderebruk der dette er mulig. Departementet mener imidlertid at data representerer informasjon, og verdien av informasjonen er ikke avhengig av om den foreligger fysisk eller digitalt. Et felles regelverk for fysiske og digitale data sikrer at prinsippene for tilgjengeliggjøring, viderebruk og beskyttelse gjelder likt, uavhengig av format.

Et annet moment departementet mener bør hensyntas, er at mye fysisk materiale digitaliseres fortløpende. Dersom loven begrenses til kun å regulere digitale data, kan det oppstå et kunstig skille som kan bli utdatert i takt med digitaliseringsprosesser. En helhetlig regulering gjør loven mer fleksibel over tid. Departementet mener at også fysiske data kan ha stor verdi for forskning, innovasjon og offentlig forvaltning. Å regulere slik data sammen med digitale data sikrer at de omfattes av prinsipper for åpenhet og viderebruk, og hindrer at bestemmelser om viderebruk av fysiske data blir mindre synlige. Til sist mener departementet at to separate regelverk for fysiske og digitale data kan bidra til å øke administrativ byrde og gjøre det vanskeligere for brukere å forstå rettigheter og plikter. Ett samlet regelverk gir enklere implementering og et bedre utgangspunkt for regelverksetterlevelse.

Etter departementets vurdering, bør databegrepet kunne svare direkte til både dokumentbegrepet i offentleglova og dokumentbegrepet i direktivet. Dette er også i tråd med utvalgets forslag, og svarer ut høringsinstansenes bekymring om at «dokument» etter offentleglova og annen nasjonal lovgivning er noe annet enn «data» etter den nye loven. Departementet legger samme betydning til begge begrepene, men velger, i likhet med utvalget, begrepet «data» ettersom dette er mer fremtidsrettet og ikke gir samme assosiasjoner til kun fysiske dokumenter.

Åpne data-direktivet presiserer i fortalepunkt 20 at medlemslandene er frie til å benytte andre begreper enn «dokument» slik som det brukes i direktivteksten. Fortalepunkt 20 viser også at EU-kommisjonen ikke legger noen absolutte føringer om at ordlyden til legaldefinisjonen er låst til å utformes på én bestemt måte. Dette taler for at en justert ordlyd ikke vil være i strid med definisjonene fra EU. Departementet legger også formfrihet i den nasjonale gjennomføringen til grunn for vurderingen. EU-lovgivning har ofte en form som skiller seg fra hvordan lovtekst utformes etter norsk lovgivningstradisjon. I motsetning til ved gjennomføring av forordninger, er ikke nasjonalstatene bundet av eksakte formuleringer i direktiver ved nasjonal gjennomføring. Det er derfor rom for å utforme bestemmelser, som gjennomfører åpne data-direktivet i norsk rett, i tråd med norsk lovgivningstradisjon. Departementet mener dette hensynet bør veie tungt i avveiningen mellom om en skal følge direktivets legaldefinisjon av «dokument» eller oppstille en egen nasjonal legaldefinisjon, slik utvalget har foreslått.

Departementet er på denne bakgrunn enig med utvalget om at begrepet «data» skal benyttes i stedet for «dokument», og mener utvalgets drøftelse av den foreslåtte legaldefinisjonen for «data» er god. Departementet mener imidlertid at det er behov for ytterligere presisering av hva som ligger i begrepet data, slik flere høringsinstanser også etterspør. Departementet mener derfor at ordlyden til datadefinisjonen i dataforvaltningsforordningen bør benyttes, men at den også inkluderer ikke-digitale data, jf. departementets forslag til § 3 bokstav a.

Videre mener departementet at det ikke er behov for å innta en legaldefinisjon av «metadata» i loven. Metadata er et teknisk begrep som endrer seg kontinuerlig. Metadata er ikke én stabil kategori, men et bevegelig teknologisk og semantisk felt. En legaldefinisjon risikerer derfor å bli utdatert. Åpne data-direktivet har heller ikke legaldefinisjon av begrepet.

7.3 Definisjon av viderebruk

7.3.1 Gjeldende rett

Det finnes ingen legaldefinisjon av «viderebruk» i gjeldende rett. Offentleglova bruker begrepet i § 1 andre punktum uten å definere begrepet.

7.3.2 Direktivet

Artikkel 2 nr. 11 definerer «viderebruk» som:

«personers eller rettssubjekters bruk av dokumenter som innehas av

a) offentlige organer, for andre kommersielle eller ikke-kommersielle formål enn det opprinnelige formålet i forbindelse med den offentlige oppgaven som dokumentene ble produsert for, bortsett fra utveksling av dokumenter mellom offentlige organer som utelukkende skjer i forbindelse med deres offentlige oppgaver, eller
b) offentlige foretak, for andre kommersielle eller ikke-kommersielle formål enn det opprinnelige formålet i forbindelse med yting av tjenester av allmenn interesse som dokumentene ble produsert for, bortsett fra utveksling av dokumenter mellom offentlige foretak og offentlige organer som utelukkende skjer i forbindelse med offentlige organers offentlige oppgaver,»

Definisjonen er videreført fra PSI-direktivet med noen språklige justeringer. Den samme definisjonen som brukes i bokstav a blir også brukt i dataforvaltningsforordningen, jf. artikkel 2 nr. 2. Angivelsen i bokstav b er gitt for å hensynta at virkeområde til direktivet utvides til å omfatte visse offentlige foretak.

7.3.3 Utvalgets forslag

Utvalget ønsket å klargjøre enkelte momenter rundt begrepet «viderebruk». For det første ønsket utvalget å klargjøre hva som menes med begrepet og for det andre hvordan begrepet skiller seg fra begrepene «innsyn», «gjenbruk» (av data) og datadeling som et generelt konsept. Viderebruk innebærer nødvendigvis ekstern bruk av informasjon fra offentlige organ.

Utvalget tok i sitt forslag utgangspunkt i definisjonen av viderebruk i åpne data-direktivet artikkel 2 nr. 1 bokstav a og b. Med utgangspunkt i denne definisjonen forklarte utvalget videre at viderebruk ikke omfatter utveksling av informasjon mellom virksomheter i offentlig sektor utelukkende som ledd i deres myndighetsutøvelse. Slik bruk betegnes ofte som «gjenbruk» i Norge, og faller utenfor virkeområdet til åpne data-direktivet. Gjenbruk er en viktig forutsetning for effektiv oppgaveløsning og utvikling av brukerorienterte tjenester i offentlig sektor, men reguleres ikke i åpne data-direktivet eller utvalgets forslag til datadelingsloven.

Utvalget presiserte også at begrepet «datadeling» kan omfatte både viderebruk og gjenbruk, men ofte blir assosiert med gjenbruk.

På denne bakgrunn, foreslo utvalget en forenklet definisjon av «viderebruk» i lovforslaget § 4 bokstav b:

«bruk av informasjon fra virksomheter i offentlig sektor til ethvert formål. Det er ikke viderebruk når slik informasjon brukes av annen virksomhet i offentlig sektor utelukkende som ledd i myndighets- eller forvaltningsoppgaver.»

7.3.4 Høringsinstansenes syn

Direktoratet for høyere utdanning og kompetanse (HK-dir) skriver at de er skeptiske til at begrepet viderebruk defineres slik det har blitt gjort i utvalgets forslag. HK-dir stiller også spørsmål ved om offentlige virksomheters «gjenbruk» bør defineres.

Digitaliseringsdirektoratet (Digdir) skriver:

«Det er to ulike forslag til definisjon av «viderebruk» i NOUen. Den ene fremgår av kapittelteksten og den andre av lovutkastet. Ingen av disse er imidlertid en direkte oversettelse av definisjonen i åpne data-direktivet. Digdir mener at det vil være mer hensiktsmessig med en så direkte oversettelse som mulig. Vi foreslår derfor følgende definisjon i datadelingsloven § 4 bokstav b: «viderebruk: bruk av data fra offentlige virksomheter og forskningsdata til kommersielle og ikke-kommersielle formål. Det er ikke viderebruk når offentlig virksomhet bruker data som de har mottatt fra en annen offentlig virksomhet utelukkende som ledd i sine myndighets- eller forvaltningsoppgaver.» (vår utheving)

Definisjonen som fremkommer av kapittelteksten benytter formuleringen «ethvert formål». Denne formuleringen kan signalisere ubetinget viderebruk av data. Å skille mellom kommersiell og ikke-kommersiell bruk indikerer bedre at forskjellige datasett kan kreve ulike vilkår eller lisenser for viderebruk. «Ethvert formål» kan i stedet tas inn i formålsparagrafen: «Loven gjelder for data fra offentlig virksomhet som kan gjøres allment tilgjengelig. Slike data kan brukes til ethvert formål dersom ikke retten til en tredjepart eller annen lovgivning er til hinder for det.» (vår utheving) Dersom en direkte oversettelse av definisjonen i åpne data-direktivet ikke er mulig, støtter Digdir definisjonen i utkast til ny datadelingslov.»

Skatteetaten foreslår at ordet «ethvert» strykes og skriver:

«Vi viser til våre kommentarer til utforming av § 3 og foreslår en tilsvarende presisering i definisjonen av viderebruk. Det er en vid definisjon som ikke skiller mellom åpne og beskyttede data. Viderebruk bør omfatte åpne data og ikke data som deles på andre vilkår. Forslag til tekst: «viderebruk: bruk av åpne data fra offentlige virksomheter og forskningsdata til kommersielle og ikke-kommersielle formål. Det er ikke viderebruk når offentlig virksomhet bruker data som de har mottatt fra en annen offentlig virksomhet utelukkende som ledd i sine myndighets- eller forvaltningsoppgaver». Beskyttede data er ikke definert, men det vises i § 3 tredje ledd til dataforvaltningsloven. Det bør enten inntas en definisjon av beskyttede data i § 3 eller en henvisning til definisjonen i dataforvaltningsforordningen artikkel 3 nr. 1.»

Norges miljø- og biovitenskapelige universitet (NMBU) mener det er viktig å fremheve at viderebruk er bruk av data til noe annet enn til offentlig forvaltning og myndighetsoppgaver.

7.3.5 Departementets vurderinger

Departementet er enig med utvalget og flere av høringsinstansene i behovet for en legaldefinisjon av «viderebruk» i den nye loven. Utvalgets forslag videreføres med en språklig justering.

Begrepet «viderebruk» har blitt viet mye omtale i norske offentlige utredninger og rapporter. I tillegg til viderebruksutvalgets NOU 2024: 14, har begrepet også blitt drøftet i Meld. St. 22 (2021–2022) Data som ressurs og rapporten «Fra bruk til gjenbruk» (2004). Begrepet er oversatt fra det engelske begrepet «re-use».

I likhet med forslaget til legaldefinisjon av «data» i § 3 bokstav a har departementet, ved utformingen av forslaget til § 3 bokstav b, lagt vekt på at nasjonalstatene har formfrihet ved gjennomføring av EU-direktiver. Departementet foreslår derfor ikke samme ordlyd som direktivet til legaldefinisjonen av «viderebruk», jf. lovforslaget § 3 bokstav b.

Til spørsmålet fra høringsinstansene om hva som legges til «ethvert formål» legger departementet til grunn at «ethvert formål», omfatter både kommersielle og ikke-kommersielle formål. Departementet bruker, i likhet med utvalget, derfor ikke ordlyden «kommersielle og ikke-kommersielle formål» i sitt forslag til legaldefinisjon av «viderebruk». Slik departementet ser det, er det ikke opp til offentlig sektor å bestemme hvorvidt mulige brukere skal få data for viderebruk basert på hva slags type formål bruken kan ha. I tråd med gjeldende rett, skal ikke dette være et hensyn når det vurderes om data skal gjøres tilgjengelig for viderebruk.

7.4 Nærmere om begrepet anonymisering

7.4.1 Gjeldende rett

Det finnes ikke i dag noen legaldefinisjon av «anonymisering» i norsk rett. Personvernforordningen (GDPR) som er gjennomført i personopplysningsloven, bruker begrepet uten å definere det. I Norge har Datatilsynet en veileder om anonymisering fra 2015.

7.4.2 Direktivet

Artikkel 2 nr. 7 definerer «anonymisering» som:

«[P]rosessen med å gjøre om dokumenter til anonyme dokumenter som ikke kan knyttes til en identifisert eller identifiserbar fysisk person, eller å gjøre personopplysninger anonyme på en slik måte at den registrerte ikke lenger kan identifiseres,»

Fortalepunkt 52 utdyper videre:

«Dette direktiv berører ikke personvernet i forbindelse med behandling av personopplysninger i henhold til unionsretten og nasjonal rett, særlig forordning (EU) 2016/679 og europaparlaments- og rådsdirektiv 2002/58/EF, herunder alle utfyllende bestemmelser i nasjonal rett. Dette betyr blant annet at viderebruk av personopplysninger er tillatt bare dersom prinsippet om formålsbegrensning fastsatt i artikkel 5 nr. 1 bokstav b) og artikkel 6 i forordning (EU) 2016/679 er oppfylt. Anonyme opplysninger er opplysninger som ikke kan knyttes til en identifisert eller identifiserbar fysisk person, eller personopplysninger som er blitt anonymisert på en slik måte at den registrerte ikke lenger kan identifiseres. Anonymisering av opplysninger er et middel for å kombinere interessene for å gjøre det så enkelt som mulig å viderebruke informasjon fra offentlig sektor og forpliktelsene i henhold til personvernlovgivningen, men det er forbundet med en kostnad. Det er hensiktsmessig å betrakte denne kostnaden som en av utgiftspostene som skal anses å inngå i marginalkostnaden for formidling som nevnt i dette direktiv.»

7.4.3 Utvalgets forslag

Selv om begrepet «anonymisering» er definert i åpne data-direktivet, valgte utvalget å ikke innta en legaldefinisjon i sitt lovforslag. Utvalget begrunner dette med at definisjonen av anonymisering nødvendigvis henger nært sammen med legaldefinisjonen av «personopplysninger». Begrepet «personopplysninger» er definert i personvernforordningen artikkel 4 nr. 1, og forordningen er gjennomført i norsk rett via personopplysningsloven. Utvalget mener derfor at det ikke er behov for en egen legaldefinisjon i datadelingsloven, og at det heller ikke er behov for å innta en henvisning til personvernforordningen artikkel 4 nr. 1. Ettersom begrepet «anonymisering» ikke brukes i utvalgets forslag til lov om datadeling, mener utvalget at det heller ikke er behov for å innta en legaldefinisjon av begrepet i loven. Når anonymisering dessuten brukes i materielle bestemmelser i personvernforordningen uten at det der er inntatt en legaldefinisjon, mener utvalget at også dette taler imot å innføre en legaldefinisjon av «anonymisering» i datadelingsloven.

7.4.4 Høringsinstansenes syn

På spørsmålet om hvorvidt begrepet «anonymisering» skal defineres, kom det ulike innspill fra høringsinstansene. Disse inkluderer Datatilsynet, Universitetet i Oslo (UiO), Advokatforeningen og Landsorganisasjonen i Norge (LO). Alle høringsinstansene er opptatt av at personvernkrav skal overholdes strengt.

LO stiller spørsmål ved at begrepet «anonymisering» ikke defineres i loven, fordi de vil at personvern som et unntak for viderebruk tydelig skal komme frem. UiO og Advokatforeningen peker på behovet for å avklare ansvarsforhold ved offentliggjøring av data som er anonyme på publiseringstidspunktet.

Datatilsynet skriver:

«Utvalget foreslår ikke å innta en legaldefinisjon av «anonymisering» i datadelingsloven. Vi støtter denne vurderingen, ettersom det er viktig at begrepet har et enhetlig innhold på tvers av nasjonal lovgivning og regelverket fra EU/EØS.»

LO, UiO og Advokatforeningen etterlyser en tydelig og entydig definisjon av hva som regnes som «anonymt», med begrunnelse i at begrepet kan tolkes ulikt på tvers av rettsområder og teknologiske kontekster. Høringsinstansene trekker også frem frykt for at aktører kan holdes ansvarlige for fremtidig gjenidentifisering, til tross for at data var anonymisert ved publisering. LO fremhever at algoritmer for av-anonymisering og gjenidentifisering stadig forbedres, og at anonymisering ikke må sees som en statisk tilstand, men en prosess som må vurderes kontinuerlig.

7.4.5 Departementets vurderinger

Hvorvidt data er anonymisert, avgjør om bruk av dataen faller innenfor eller utenfor virkeområdet til personvernregelverket, og dermed om dataen anses som «personopplysninger» etter personvernforordningen artikkel 4 nr. 1. I likhet med utvalget, anser departementet det som mest hensiktsmessig at begrepet «anonymisering» ikke defineres i andre regelverk. Dersom begrepet skulle bli definert utenfor personopplysningsregelverket, kan det oppstå uklarhet om når dette regelverket gjelder, og bidra til økt usikkerhet blant både behandlingsansvarlige og registrerte. Siden åpne data-direktivet bygger på personvernforordningens definisjon av «personopplysninger», og denne forordningen er gjennomført i norsk rett via personopplysningsloven, er departementet enig med utvalget i at det ikke er hensiktsmessig å definere begrepet «anonymisering» i dataforvaltningsloven.

Departementet ser likevel behovet for en avgrensning slik som høringsinstansene etterspør. Departementet foreslår at avgrensningen fremkommer av hovedregelen i § 5 første ledd, som angir at dersom ikke annen lovgivning eller retten til en tredjepart er til hinder for det så kan data etter dataforvaltningsloven brukes til ethvert formål. Dette er i tråd med gjeldende rett. Personopplysningsloven er ett eksempel på lovgivning som kan begrense slik viderebruk.

Neste kapittel

Forrige kapittel

Neste kapittel

Forrige kapittel

Til forsiden

Til toppen