Prop. 54 LS (2025–2026)

Lov om datadeling og dataforvaltning (dataforvaltningsloven) og samtykke til godkjenning av EØS-komiteens beslutninger om innlemmelse i EØS-avtalen av direktiv (EU) 2019/1024 (åpne data-direktivet) og forordning (EU) 2022/868 (dataforvaltningsforordningen) og deltakelse i EØS-komiteens beslutning om delegert kommisjonsforordning (EU) 2023/138 (HVD-forordningen)

Digitaliserings- og forvaltningsdepartementet

Neste kapittel

Forrige kapittel

9 Tekniske krav ved tilgjengeliggjøring av data

9.1 Tekniske krav til formater og språkversjoner mv.

9.1.1 Gjeldende rett

Hovedregelen om tilgjengeliggjøring av data i eksisterende formater og språkversjoner etter gjeldende rett er regulert i offentleglova § 30 første ledd som lyder:

«Organet fastset ut frå omsynet til forsvarleg saksbehandling korleis eit dokument skal gjerast kjent. Det kan krevjast papirkopi eller elektronisk kopi av dokumentet. Hos verksemder som er omfatta av EØS-avtalen vedlegg XI nr. 5k (direktiv 2003/98/EF som endra ved direktiv 2013/37/EU) om vidarebruk av informasjon frå offentleg sektor, og hos andre verksemder der det er fastsett av Kongen i forskrift, gjeld retten til kopi alle eksisterande format og språkversjonar. Retten til kopi gjeld ikkje format eller versjonar av eit dokument som er allment tilgjengeleg. Kongen kan gi forskrift om at retten til elektronisk kopi ikkje skal gjelde for dokument som ein tredjeperson har immaterielle rettar til, og for dokument der det er påkravd av arkivtekniske omsyn.»

Bestemmelsen er tatt inn i offentleglova som ledd i implementeringen av PSI-direktivet. Det følger av første ledd tredje punktum at for viderebruk av informasjon fra virksomheter omfattet av PSI-direktivet og andre virksomheter fastsatt av Kongen, gjelder retten til kopi alle eksisterende formater og språkversjoner. Ettersom bestemmelsen tredje punktum viser til PSI-direktivet, gjelder tredje punktum kun for virksomheter omfattet av virkeområde til direktivet. Det vil si, bestemmelsen gjelder ikke for offentlige foretak slik det er angitt i offentleglova § 2 første ledd bokstav c og d. Med format siktes det til forskjellige fil- eller tekstformater. Språkversjoner viser ikke bare til offisielle norske skriftspråk, men også til fremmedspråk. Retten til kopi gjelder heller ikke formater eller versjoner av et dokument som allerede er allment tilgjengelig, jf. fjerde punktum.

Offentleglova § 30 andre ledd angir at når virksomheter som er omfattet av virkeområde til PSI-direktivet gir innsyn i informasjon som inneholder immaterielle rettigheter slik som for eksempel opphavsrett, så skal virksomheten opplyse om hvem som besitter disse rettighetene eller hvilken lisenshaver virksomheten har fått informasjonen fra, i den grad virksomheten vet dette. Offentleglova § 30 tredje ledd lyder:

«Dersom verksemder som nemnde i andre ledd gjer dokument med tilhøyrande metadata allment tilgjengelege, skal tilgjengeleggjeringa skje i alle eksisterande format og språkversjonar, så langt slik tilgjengeleggjering er i samsvar med lova her og tilhøyrande forskrift. Plikta omfattar maskinleselege format. Plikta etter første punktum omfattar ikkje format som berre blir brukte til lagring eller annan intern bruk, eller som elles er ueigna for tilgjengeleggjering.»

Dette innebærer at offentleglova § 30 tredje ledd pålegger offentlige organer som gjør dokumenter med tilhørende metadata allment tilgjengelig om å gjøre dette elektronisk «så langt slik tilgjengeleggjering er i samsvar med lova her og tilhøyrande forskrift». Tredje ledd andre punktum presiserer ytterligere at plikten også omfatter maskinleselige formater. Siste punktum gir unntak fra kravet i første punktum for enkelte formater.

Forskrift om IT-standarder i offentlig forvaltning § 2 første ledd bokstav f, angir en definisjon av «åpne standarder» som:

«f. åpen standard:

Standarden er utviklet og vedlikeholdt av en ikke kommersiell virksomhet, gjennom en transparent prosess der alle har lik og ikke diskriminerende tilgang til å delta i utviklingen, påvirke utviklingen og være med å vedta standarden (fortrinnsvis konsensus eller flertallsbasert). Ingen person eller interessegruppe skal ha dominert prosessen.
Standarden må være publisert og tilgjengelig for alle, gratis eller gjennom en rimelig betaling. Standarden må være tillatt å kopiere, distribuere og bruke, gratis eller mot en rimelig betaling.
Standarden skal i utgangspunktet ikke inneholde intellektuelle rettigheter. Dersom slike rettigheter foreligger skal opplysninger om dette komme klart frem i standarden. Rettighetshaver bør irreversibelt ha trukket tilbake retten til å ta betalt, eller gjort bruksretten tilgjengelig mot et rimelig vederlag.
Det skal ikke foreligge forbehold mot gjenbruk av standarden.»

9.1.2 Direktivet

I likhet med offentleglova § 30, angir åpne data-direktivet artikkel 5 nr. 1 at offentlige organer og offentlige foretak som er omfattet av direktivet, skal gjøre sine dokumenter tilgjengelige i alle allerede eksisterende formater eller språkversjoner og, dersom det er mulig og hensiktsmessig, elektronisk, i formater som er åpne, maskinleselige, søkbare og kan viderebrukes, sammen med tilhørende metadata. Artikkel 5 nr. 1 siste punktum angir at dersom det er mulig, så skal både formatet og metadataene være i samsvar med formelle åpne standarder.

Videre lyder definisjonen av «åpent format» i direktivet artikkel 2 nr. 14 som følger:

«[E]t filformat som er plattformuavhengig og gjort tilgjengelig for allmennheten uten begrensninger som hindrer viderebruk av dokumenter.»

Begrepet «formell åpen standard» blir i direktivet artikkel 2 nr. 15 definert som:

«[E]n standard som er blitt fastsatt skriftlig, med detaljerte spesifikasjoner for kravene som skal sikre samvirkningsevne mellom programvare.»

Formatkravene som stilles i direktivet gjelder dersom data gjøres tilgjengelige for viderebruk. Kravene gjelder generelt, med unntak av datasett med høy verdi, dynamiske data eller forskningsdata som reguleres særskilt etter egne bestemmelser.

9.1.3 Utvalgets forslag

Utvalget foreslår at åpne data-direktivet artikkel 5 nr. 1 gjennomføres som en egen bestemmelse i datadelingsloven § 5. Ifølge utvalget vil dette bety at det som tidligere har vært anbefalinger om å ta i bruk maskinlesbare og standardiserte formater, nå blir et lovfestet krav for offentlige virksomheter. Etter utvalgets vurdering vil det kunne bidra til at mer data og flere datasett fra offentlig sektor blir gjort tilgjengelig på en måte som gjør dem enklere å finne og bruke til nye formål. Utvalget presiserer at sammenlignet med det som kreves for å etterleve dagens regler, vil de foreslåtte kravene til formater og bruk av åpne standardlisenser knyttet til tilgjengeliggjøring av data med tilhørende metadata, medføre økte administrative og økonomiske kostnader for offentlige virksomheter.

Utvalget foreslår at offentleglova § 30 første ledd endres, slik at henvisningen til PSI-direktivet utgår. Utvalget foreslår videre at andre og tredje ledd oppheves. Til sist foreslår utvalget nytt andre ledd i § 30 i offentleglova som gir hjemmel til å gi forskrift om hvordan elektronisk kopi skal gis. Nytt andre ledd vil da vise til åpne data-direktivet.

9.1.4 Høringsinstansenes syn

Flere høringsinstanser hadde merknader til utvalgets forslag om tekniske krav. Dette inkluderer blant annet Norges miljø- og biovitenskapelige universitet (NMBU), Borgarting lagmannsrett, Buskerud fylkeskommune, DAMA Norway, DigiViken og Direktoratet for høyere utdanning og kompetanse (HK-dir).

NMBU påpeker at hensynet til det digitale formatet er viktig. Borgarting lagmannsrett etterlyser klargjøring av hvorvidt kravet om tilgjengeliggjøring av metadata sammen med data gjelder for lagmannsrettens interne vurdering og foreløpige versjoner av et dokument (utkast) som allmennheten ikke har innsyn i. Lagmannsretten etterlyser dette særlig i lys av ordlyden «alle formater og alle språkversjoner som eksisterer hos relevante offentlige virksomheter».

DAMA Norway støtter utvalgets forslag og mener dette sikrer deling av data uavhengig av hvor tilrettelagt dataen eventuelt er. DAMA Norway mener dette vil styrke transparens, innovasjon og demokratiske prinsipper. Samtidig viser de til utfordringer med å vurdere hva som er formålstjenlig og hva som vil være uforholdsmessig ressurskrevende. De fremhever at ulik modenhet i offentlig sektor vil kunne føre til variasjoner i både format og omfang av delte data, og at utvalgte virksomheter vil stå for mesteparten av dataen som deles.

DigiViken påpeker at detaljerte teknologiske krav kan oppleves som en unødvendig byrde, og anbefaler at fokuset heller er på funksjonelle krav enn tekniske spesifikasjoner slik at særlig kommunene fortsatt kan ha fleksibilitet til å velge løsninger som passer deres behov og kapasitet.

HK-dir trekker særlig frem at måten utvalgets forslag til § 5 første ledd er formulert, gjør det uklart når den kan anses brutt, og hvordan innbyggere skal kunne vurdere overtredelser når de ikke har innsikt i hvilke formater som finnes i de forskjellige offentlige virksomheters interne systemer.

9.1.5 Departementets vurderinger

9.1.5.1 Innledning

Departementet støtter i hovedsak utvalgets forslag og flere av høringsinstansenes syn om gjennomføringen av artikkel 5 nr. 1 av åpne data-direktivet og endringer i offentleglova § 30. Utvalgets forslag til gjennomføring av artikkel 5 nr. 1 videreføres med noen ytterligere presiseringer. Departementet slutter seg også til utvalgets forslag til endring av offentleglova § 30, med noen språklige justeringer som ikke materielt endrer realitetstilstanden. Se departementets lovforslag §§ 9 og 22.

Når det gjelder kravet i direktivet artikkel 5 nr. 1 andre punktum om at formatet og metadataene skal være i samsvar med formelle åpne standarder, så har departementet behov for å klargjøre enkelte punkter. Måten «format» omtales på i direktivet kan få det til å se ut som at formater kun gjelder data. Det er viktig å presisere at både data og metadata har et format. Format er ikke det samme som data, men heller en egenskap ved data og ved metadata.

Et format kan være proprietært eller åpent, og det kan være standardisert (slik som for eksempel XML, CSV og JSON) eller ad hoc definert. Det er ikke naturlig på norsk å si at selve formatet som sådan er i samsvar med åpne standarder. Data og metadata kan derimot være lagret og strukturert i samsvar med åpne standardformater. Data lagret i proprietære formater kan ikke automatisk viderebrukes.

Det finnes en europeisk åpen standard for metadata om datasett, kalt DCAT-AP, og en norsk tilpasning av standarden, DCAT-AP-NO.

Videre er det ikke slik at kravet om at metadataene skal «være i samsvar med formelle åpne standarder» nødvendigvis er etterlevd dersom metadataene blir lagret, behandlet og tilbydd i standardiserte formater (slik som XML, JSON eller CSV). Dette er ikke i seg selv tilstrekkelig for at metadataene skal være gjenfinnbare, tolkbare eller forståelige og mulige å viderebruke. For at metadataene skal leve opp til disse kravene må de blant annet være i samsvar med åpne standarder, som DCAT-AP-NO-standarden er et eksempel på.

På denne bakgrunn foreslår departementet en annen ordlyd enn utvalget i bestemmelsen om formater og språkversjoner. Se departementets forslag §§ 9 og 22.

9.1.5.2 Nærmere om departementets vurdering av kravene i direktivet sammenlignet med gjeldende rett

Departementet vil komme med noen betraktninger om hva som er nytt i departementets forslag sammenlignet med gjeldende rett, samt noen betraktninger om utvalgets forslag.

Utvalget mener at forskjellen mellom gjeldende rett og utvalgets forslag er at det som tidligere var anbefalinger om bruk av maskinleselige og standardiserte formater, nå blir et lovfestet krav. Forskjellen mellom gjeldende rett og departementets forslag til gjennomføringen av tilsvarende bestemmelse er etter departementets syn imidlertid ikke så stor.

Krav om bruk av maskinleselige formater ved tilgjengeliggjøring av data og tilhørende metadata følger allerede av offentleglova for de virksomhetene som er omfattet av PSI-direktivet, jf. offentleglova § 30 tredje ledd andre punktum.

Etter departementets oppfatning innfører heller ikke åpne data-direktivet artikkel 5 nr. 1 et krav om bruk av standardiserte formater. Kravet etter både PSI-direktivet og åpne data-direktivet er at der det er mulig, så skal formatet til både dataene og metadataene skal være i samsvar med formelle åpne standarder. Departementet mener derfor at åpne data-direktivet artikkel 5 nr. 1 ikke medfører et strengere krav om maskinleselige og standardiserte formater enn gjeldende rett, jf. PSI-direktivet artikkel 5 nr. 1 og offentleglova § 30 første og tredje ledd.

Som drøftet i denne proposisjonen punkt 5.1 og særlig forklart i punkt 5.1.6, så er forskjellen på utvalgets lovforslag som videreført av departementet på den ene siden og PSI-direktivet og offentleglova § 2 sjuende ledd på den andre siden, at alle offentlige foretak blir omfattet av dataforvaltningsloven. Offentlige foretak er ikke omfattet av PSI-direktivet. Offentlige foretak er imidlertid allerede underlagt de ordinære bestemmelsene i offentleglova om behandling av innsynskrav og plikten til å gi innsyn med mindre det er unntak for det, jf. offentleglova kapittel 4. Dette betyr også at offentlige foretak i dag er underlagt plikten til å gi innsyn i en elektronisk kopi etter § 30 første ledd andre punktum. Endringen har derfor i praksis ikke så store konsekvenser som det kan fremstå som hvis man leser direktivtekstene isolert fra gjeldende rett.

Til dette punktet mener departementet at det er viktig å presisere at bortsett fra utvidelsen til offentlige foretak, så er kravene i artikkel 5 nr. 1 allerede gjeldende rett for offentlige organer og må derfor forstås som språklige presiseringer snarere enn endringer. Departementet har forståelse for at flyttingen av bestemmelsen fra offentleglova til ny lov om datadeling og dataforvaltning kan gi inntrykket av at dette er en større materiell endring enn det faktisk innebærer. Departementet presiserer derfor at retten til elektronisk kopi allerede følger av offentleglova, og gjelder for alle virksomheter innenfor offentleglovas virkeområde (også offentlige foretak), og ikke bare virksomheter som er omfattet av virkeområdet til PSI-direktivet. Elektronisk kopi eller digitalt format er også en forutsetning for at data kan bli gjort tilgjengelig elektronisk.

Det er enkelte språklige justeringer mellom artikkel 5 nr. 1 i PSI-direktivet og tilsvarende artikkel 5 nr. 1 i åpne data-direktivet. Mens PSI-direktivet artikkel 5 nr. 1 nevner åpne og maskinleselige formater, så utdyper artikkel 5 nr. 1 i åpne data-direktivet at formatene skal være åpne, maskinleselige, tilgjengelige, søkbare og skal kunne viderebrukes. Departementet mener at denne utdypningen er en presisering av gjeldende rett.

At formatene skal være søkbare, kan sees som et nytt krav, ettersom søkbarhet ikke er nevnt i PSI-direktivet eller offentleglova § 30. Departementet mener imidlertid at søkbarhet ikke er en egenskap ved formatet alene, men avhenger av metadata, indeksering og tilgjengeliggjøring. Et format kan derfor være åpent, maskinleselig og standardisert uten å være søkbart, men selv om et format er alt dette uten å være søkbart, antas ikke søkbarhet å utgjøre et separat krav. Dette skyldes at søkbarhet i praksis er en funksjon av hvordan data gjøres tilgjengelig, det er ikke en egenskap ved formatet alene. Når åpne data-direktivet artikkel 5 nr. 1 eller offentleglova § 30 stiller krav om elektronisk tilgjengeliggjøring i maskinleselige formater egnet for viderebruk, ligger det implisitt at dataene også skal kunne oppdages og brukes. Det ligger også implisitt i elektronisk tilgjengeliggjøring at dataene skal være tilgjengelige. Departementet legger derfor til grunn at ved krav om maskinleselighet og elektronisk tilgjengeliggjøring, så er øvrige nye presiseringer i åpne data-direktivet artikkel 5 nr. 1 ivaretatt.

Departementet har forståelse for merknaden fra DigiViken om at detaljerte tekniske krav kan oppleves som en unødvendig byrde. Til dette punktet vil departementet imidlertid påpeke at alle de tekniske kravene som følger av dette forslaget kommer fra direktivet og at de allerede er gjeldende rett etter offentleglova § 30.

Departementets forslag gir også Kongen hjemmel til å gi forskrift om når og hvordan data skal gjøres tilgjengelig elektronisk, jf. departementets forslag til § 9 første ledd tredje punktum. Departementet mener ytterligere tydeliggjøring av regler om hvordan data skal gjøres tilgjengelig egner seg best i forskrift. Departementet legger derfor til grunn at de overordnede rammene for hvordan data skal gjøres elektronisk tilgjengelig som følger av direktivet, fastsettes i § 9 av dataforvaltningsloven, mens mer detaljerte regler vil kunne følge av forskrift.

Når det gjelder merknaden fra Borgarting lagmannsrett, så er departementet enig i behovet for å presisere at kravet som gjennomfører artikkel 5 nr. 1 ikke gjelder for organinterne versjoner og lignende. Departementets forslag til § 9 første ledd fjerde punktum, presiserer derfor at plikten etter første punktum ikke gjelder format(er) som bare blir brukt til lagring eller annen intern bruk, eller som ellers er uegnet for tilgjengeliggjøring. Dette er en videreføring av gjeldende rett i offentleglova § 30 tredje ledd tredje punktum, som nå foreslås opphevet i offentleglova.

9.2 Krav ved tilgjengeliggjøring av dynamiske data

9.2.1 Gjeldende rett

Dokumentbegrepet i offentleglova § 4 er et teknologi- og informasjonsnøytralt begrep. Begrepet skiller ikke mellom om hvorvidt dataene eksempelvis har høy eller lav verdi, om de er fysiske eller digitale, eller om de er statiske eller dynamiske.

Offentleglova § 30 regulerer hvordan offentlige organer skal gi innsyn i dokumenter og hvordan de skal tilgjengeliggjøres. Det kan blant annet kreves elektronisk kopi og da i alle eksisterende formater, som er ment å dekke ulike fil- eller tekstformater. Av § 30 tredje ledd andre punktum fremgår det at plikten omfatter maskinleselige format. Tilgjengeliggjøring gjennom API-er eller bulknedlasting er ikke nevnt i offentleglova eller offentlegforskrifta.

9.2.2 Direktivet

Åpne data-direktivet innfører begrepet «dynamiske data» med tilhørende særregler for hvordan slike data skal gjøres tilgjengelig for viderebruk.

Dynamiske data er definert som «dokumenter i digital form som oppdateres hyppig eller i sanntid, særlig på grunn av deres volatilitet eller at de raskt foreldes», jf. artikkel 2 nr. 8. Det fremgår derfor at dynamiske data nødvendigvis er digitale. Dynamiske data må derfor ansees som en avgrenset underkategori av «dokumenter» som direktivet ellers viser til, jf. artikkel 2 nr. 6. Det fremgår videre av definisjonen til dynamiske data at sensorgenererte data vanligvis anses å være dynamiske data. Miljødata, meteorologiske data, trafikkdata og satellittdata er andre eksempler på data som kan være dynamiske data. Den økonomiske verdien av dynamiske data kjennetegnes ofte ved at de er avhengig av umiddelbar tilgang.

Tilgjengeliggjøring av dynamiske data er regulert i artikkel 5 nr. 5 som pålegger offentlige organer å gjøre dynamiske data tilgjengelig for viderebruk umiddelbart etter innsamling, enten via API-er («application programming interface» på engelsk) eller gjennom massenedlasting (bulknedlasting) dersom det er relevant. Direktivet definerer ikke begrepet massenedlasting. I fortalepunkt 32 beskrives API som «et sett med funksjoner, prosedyrer, definisjoner og protokoller for maskin-til-maskin-kommunikasjon og sømløs utveksling av data». Et av direktivets formål ved å øke bruken av API-er er å få frem en mer proaktiv publisering av dynamiske data på nett. Dette vil redusere de administrative byrdene, gjennom færre forespørsler om at data gjøres tilgjengelig for viderebruk og også færre klager. Artikkel 5 nr. 7 angir at kravene får anvendelse på eksisterende dokumenter som offentlige foretak er i besittelse av, og som er tilgjengelige for viderebruk.

Manuelle oppdateringer av slike dynamiske data skal bli gjort tilgjengelig umiddelbart etter endringer i datasettet, jf. fortalepunkt 31. Oppdateringene skal gjøres via et API. Kravet er begrunnet i at man skal lette utviklingen av internett- og mobilapplikasjoner og skybaserte applikasjoner basert på slike data.

Direktivet tar i fortalepunkt 32 til ordet for at API-ene også bør støttes av tydelig teknisk dokumentasjon som er fullstendig og tilgjengelig på internett, og videre at dersom det er mulig, så bør det brukes åpne API-er.

Åpne data-direktivet artikkel 5 nr. 6 presiserer at dersom det å gi umiddelbar tilgang til dynamiske data vil overskride organets tekniske eller økonomiske kapasitet, og dermed utgjøre en uforholdsmessig stor innsats, så skal dataene gjøres tilgjengelig innen en frist eller med midlertidige tekniske begrensninger som gjør det mulig å utnytte dataenes økonomiske og sosiale potensial fullt ut. Som nevnt ovenfor kan den økonomiske verdien av dynamiske data ofte kjennetegnes ved at det er nødvendig med umiddelbar tilgang, jf. fortalepunkt 31. Ved bruk av lisens kan det inngå i lisensvilkårene at dokumentene skal være tilgjengelige innen en viss frist, jf. fortalepunkt 31.

Der kontroll av data er vesentlig sett i lys av begrunnede hensyn til allmennhetens interesse, særlig med hensyn til folkehelse og offentlig sikkerhet, bør dynamiske data tilgjengeliggjøres umiddelbart etter kontroll, jf. fortalepunkt 31, og det presiseres at slike kontroller ikke bør påvirke oppdateringshyppigheten. Videre lyder fortalepunkt 32:

«API-er kan ha forskjellig grad av kompleksitet og kan være en enkel lenke til en database for å hente bestemte datasett, et nettbasert grensesnitt, eller mer komplekse strukturer. Det ligger en generell verdi i å viderebruke og dele data gjennom hensiktsmessig bruk av API-er, ettersom dette vil hjelpe utviklere og nyetablerte foretak med å skape nye tjenester og produkter. Det er også en viktig bestanddel i det å skape verdifulle økosystemer rundt dataressurser som ofte er ubrukt. Struktur og bruk av API-er må bygge på en rekke prinsipper: tilgjengelighet, stabilitet, vedlikehold gjennom livssyklusen, ensartethet i bruk og standarder, brukervennlighet og sikkerhet.»

9.2.3 Utvalgets forslag

Utvalget presiserer at for offentlige foretak gjelder formatkravene i artikkel 5 nr. 1 til nr. 6 kun data som allerede er gjort tilgjengelig for viderebruk, jf. fortalepunkt 26. I kapittel 9.3.2 foreslår utvalget å utvide virkeområdet i forslaget til datadelingsloven. Utvalget foreslår at loven skal gjelde for alle offentlige foretak («selvstendige rettssubjekter» i utvalgets forslag til § 2 første ledd bokstav b) på samme måte som den skal gjelde for offentlige organer, under samlebegrepet «offentlig virksomhet», jf. § 2 første ledd bokstav b. Dette er en utvidelse sammenlignet med direktivet, som har lempeligere regler for offentlige foretak som opererer innenfor spesifikt angitte sektorer, jf. åpne data-direktivet artikkel 1 nr. 1 bokstav b. Direktivet gjelder ikke for offentlige foretak som opererer utenfor disse områdene. For offentlige foretak vil utvidelsen av virkeområdet kunne innebære kostnader ved krav om å utvikle og ta i bruk API-er der dette ikke allerede er gjort.

API-er er etter utvalgets oppfatning knyttet til en bestemt type teknologi. Utvalget viser til at norsk lovgivning i størst mulig grad skal være teknologinøytral, og av den grunn bør ikke API være et begrep som brukes i lovteksten. Utvalget foreslår derfor at begrepet API erstattes med formuleringen «en løsning som gir tilgang til dataene fortløpende» i forslaget til datadelingsloven. Utvalget ser at det kan være en risiko for at offentlige virksomheter tar i bruk et teknisk grensesnitt for automatisk deling av informasjon som har dårligere funksjonalitet enn dagens API-teknologi. Utvalget presiserer at API foreløpig er den best egnede tekniske løsningen for automatisk datadeling og bør være dagens minstestandard.

9.2.4 Høringsinstansenes syn

Et fåtall høringsinstanser hadde merknader til utvalgets forslag om dynamiske data. Dette inkluderer blant annet Direktoratet for forvaltning og økonomistyring (DFØ), DigiViken, Skatteetaten og Smart Innovation Norway.

DFØ mener utvalgets forslag om at dynamiske data skal deles via API er snevert og fokuserer mest på sanntidsdata eller dynamiske data. DFØ mener at også datasett med jevnlig oppdatering (daglig, ukentlig, månedlig) bør omfattes av anbefalingen om API-deling.

DigiViken påpeker at krav om kontinuerlig oppdatering av alle datasett kan bli svært ressurskrevende, og anbefaler en tilnærming der datasett som oppdateres hyppig og med høy samfunnsverdi prioriteres.

Skatteetaten mener at ordlyden «umiddelbar» i utvalgets forslag til § 7 bør unngås og erstattes med formuleringen «uten ugrunnet opphold». Skatteetaten trekker særlig frem at det kan være flere grunner for at umiddelbar deling ikke bør skje, eksempelvis ut ifra hensyn til sikkerhet eller datakvalitet.

9.2.5 Departementets vurderinger

Departementet er enige med utvalget og høringsinstansene om behovet for en egen bestemmelse om dynamiske data som gjennomfører åpne data-direktivet artikkel 5 nr. 5 og 6. Departementet er imidlertid uenig med utvalget om behovet for en egen begrepsdefinisjon av dynamiske data, og mener heller at angivelsen av hva dynamiske data er bør fremkomme direkte av bestemmelsen, se departementets lovforslag § 11 første punktum.

Departementet vil presisere at kravene knyttet til dynamiske data kun gjelder dersom dynamiske data gjøres tilgjengelig for viderebruk, jf. direktivets fortalepunkt 32. Bestemmelsen innebærer ikke et pålegg om aktiv tilgjengeliggjøring av dynamiske data.

Departementet foreslår en justering av utvalgets forslag, fordi departementet mener det tekniske leveringskravet bør gjenspeiles i lovteksten på en tydeligere måte. Direktivet angir at dynamiske data skal gjøres tilgjengelig via et applikasjonsprogrammeringsgrensesnitt, et såkalt «API». Departementet er enige med utvalget i at det ikke er hensiktsmessig å henvise til konkrete teknologiske løsninger, og at loven derfor ikke bør angi bruk av «API». Utvalget foreslår ordlyden «gjennom en løsning», men kommer også med forbehold om at det kan være risiko for at det tas i bruk tekniske grensesnitt for automatisk deling av informasjon som har dårligere funksjonalitet enn dagens API-teknologi kan tilby. Departementet deler denne bekymringen og foreslår derfor at bestemmelsen i stedet bruker betegnelsen «gjennom et egnet digitalt grensesnitt som gir fortløpende tilgang», jf. lovforslaget § 11 andre punktum. Departementet mener at et minimum av egnethet innebærer bruk av et API eller et grensesnitt med tilsvarende funksjonalitet, i samsvar med minimumskravet som angitt i direktivet artikkel 5 nr. 5.

Som nevnt ovenfor, oppfordrer direktivet til at API-ene bør støttes av tydelig teknisk dokumentasjon som er fullstendig og tilgjengelig på internett, og videre at dersom det er mulig, så bør det brukes åpne API-er, jf. fortalepunkt 32. Departementet slutter seg til denne oppfordringen.

Videre angir direktivet at der det er relevant så skal dynamiske data gjøres tilgjengelig som massenedlastning. Begrepet er ikke definert i direktivet, men departementet forstår at med «massenedlasting» så menes det at både deler av et datasett og hele datasett lastes ned. Nedlastning av deler av et datasett kan eksempelvis være begrenset til data fra en fastsatt dato til en annen fastsatt dato eller informasjon om produkter av et bestemt merke. Komplett nedlastning vil omfatte hele datasettet. Nedlastingen kan skje ved at data legges i én eller flere filer. Massenedlasting kan eksempelvis også gjennomføres som et abonnement der data gjøres tilgjengelige for nedlasting etter hvert som de ferdigstilles.

Skatteetaten mener at ordlyden «uten ugrunnet opphold» skal benyttes i stedet for ordlyden i utvalgets forslag. Utvalgets forslag lyder:

«Når dynamiske data fra offentlig virksomhet gjøres tilgjengelig, så skal det skje umiddelbart etter at de er samlet inn eller produsert. […]».

Departementet viser til ordlyden i artikkel 5 nr. 5-6 i direktivet som lyder:

«5. Offentlige organer skal gjøre dynamiske data tilgjengelige for viderebruk umiddelbart etter innsamling, ved hjelp av hensiktsmessige API-er og, dersom det er relevant, som en massenedlasting.
6. Dersom det vil overskride det offentlige organets økonomiske og tekniske kapasitet å gjøre dynamiske data tilgjengelige for viderebruk umiddelbart etter innsamling, som nevnt i nr. 5, og dermed medføre en uforholdsmessig stor innsats, skal disse dynamiske dataene gjøres tilgjengelige for viderebruk innen en frist eller med midlertidige tekniske begrensninger som ikke på en utilbørlig måte hemmer utnyttelsen av deres økonomiske og sosiale potensial.»

Departementet mener at ordlyden «umiddelbart» i juridisk kontekst kan bety både «straks» og «uten forsinkelse». Departementet har forståelse for at ordlyden «umiddelbart» gir assosiasjoner til et sterkt og absolutt krav om at handlingen skal skje straks og uten forsinkelse. En slik tolkning gir lite rom for skjønn eller praktiske hensyn som kan oppstå, og er mer egnet for situasjoner som skal skje øyeblikkelig, for eksempel når det er en akutt fare som oppstår. Departementet påpeker derfor at ordlyden «umiddelbart» må sees i sammenheng med unntaket i departementets forslag til § 11 tredje punktum, som angir at dersom kravet om umiddelbarhet medfører en uforholdsmessig arbeidsmengde så skal relevante dynamiske data gjøres tilgjengelige innen en rimelig tidsramme eller med eventuelle midlertidige tekniske begrensninger. Denne sikkerhetsventilen gjennomfører tilsvarende bestemmelse i direktivet artikkel 5 nr. 6.

Etter departementets syn skal handlingen i § 11 skje så raskt som mulig, men det kan være akseptabelt med korte forsinkelser dersom det foreligger saklig årsak til dette. Departementet mener også dette er i tråd med presiseringen i direktivet artikkel 5 nr. 6 og departementets forslag til § 11 tredje punktum som tar høyde for eventuelle forsinkelser. Departementets forslag gir rom for vurdering av hva som er «umiddelbart» i den konkrete situasjonen. Hvilke tekniske begrensninger som kan være aktuelle, må vurderes i hvert enkelt tilfelle. Det kan dreie seg om tekniske begrensninger som gir rom for å validere eller sammenstille data eller for å anonymisere personopplysninger.

Departementet forstår «sosiale potensial» i direktivets artikkel 5 nr. 6 som at de dynamiske dataene gjelder befolkningens sosiale forhold og behov, jf. fortalepunkt 8 og 10, og direktivet artikkel 18 nr. 2.

Departementet antar at det å kreve at dynamiske data skal gjøres tilgjengelig i sanntid via API-er vil kunne ha økonomiske konsekvenser i form av blant annet teknisk utvikling og tilrettelegging. Å utvikle gode API-er kan være enkelt for noen typer data, men langt mer krevende for andre typer. Det vil også være enkelt for noen virksomheter, men mer krevende for andre. Dette er for øvrig også i tråd med EU-kommisjonens egne vurderinger om at omkostningene forbundet med direktivet er begrenset og primært relatert til oppdatering av offentlig sektors digitale infrastruktur. Kravet om at dataene skal være tilgjengelig umiddelbart etter innsamlingen, forutsetter at den enkelte virksomheten har systemer som sikrer at innsamlede data kontrolleres og systematiseres i databaser egnet for direkte tilgang. Som utvalget påpekte så vil utvidelsen av virkeområde til å gjelde for selvstendige rettssubjekter eller offentlige foretak også kunne medføre økte kostnader ved krav om å utvikle og ta i bruk API-er der dette ikke allerede er gjort. Se nærmere omtale av økonomiske og administrative konsekvenser i punkt 17 nedenfor.

9.3 Særlig om prinsippet om innebygd åpenhet og åpenhet som standardinnstilling

9.3.1 Gjeldende rett

Det finnes ingen lov- eller forskriftsfestet regulering av prinsippet om innebygd åpenhet og åpenhet som standardinnstilling i dag. Det er så vidt departementet er kjent med heller ingen rettspraksis eller forvaltningspraksis knyttet til dette prinsippet.

9.3.2 Direktivet

Artikkel 5 nr. 2 i åpne data-direktivet angir at medlemsstatene skal oppmuntre offentlige organer og offentlige foretak til å produsere og gjøre tilgjengelig dokumenter som hører inn under direktivets virkeområde, i samsvar med prinsippet om «innebygd åpenhet og åpenhet som standardinnstilling». Prinsippet om innebygd åpenhet er ikke definert ytterligere i direktivet, og er heller ikke rettslig bindende, men kan leses som et signal til offentlige organer og foretak.

9.3.3 Utvalgets forslag

I spørsmålet om hvordan artikkel 5 nr. 2 mest hensiktsmessig skal gjennomføres i norsk lov, skilte utvalget seg i to. Halve utvalget ved utvalgsleder Selman, og utvalgsmedlemmer Clementsen, Koerner, Rana og Welle foreslo å innta et fjerde ledd i utvalgets forslag til datadelingsloven § 5, som lyder:

«For å fremme økt viderebruk skal offentlige virksomheter ved anskaffelse og utvikling av systemer, ta hensyn til at systemene bør utformes for å legge til rette for at data kan deles.»

Disse utvalgsmedlemmene mener at direktivet artikkel 5 nr. 2 og prinsippet «innebygd åpenhet og åpenhet som standardsinnstilling» (på engelsk «open by design and by default») ikke er videre definert eller redegjort for i direktivet, noe som gjør det vanskelig å ta stilling til nøyaktig hva et slikt prinsipp innebærer. Bestemmelsen i direktivet stiller ingen rettslige krav til offentlige virksomheter, men utvalget ønsker å gå lenger enn minimum i sitt lovforslag, og har derfor vurdert hvorvidt lovfesting av dette prinsippet basert på artikkel 5 nr. 2 i direktivet kan være hensiktsmessig. Etter en slik vurdering har disse utvalgsmedlemmene konkludert med at det kan innebære en risiko for utilsiktede konsekvenser å benytte begreper som ikke er tydeligere definert i en lovtekst.

Disse medlemmenes forslag vil likevel bety at offentlige virksomheter må stille krav til sine leverandører rundt funksjonalitet som vil lette deling av data for viderebruk. Forslaget underbygger datadelingslovens formål om å fremme økt viderebruk av data fra offentlig virksomhet.

Bakgrunnen for forslaget er at disse utvalgsmedlemmene legger til grunn at prinsippet i direktivet er sammensatt av prinsippene, «open by design» og «open by default». Prinsippet om «innebygd åpenhet og åpenhet som standardinnstilling» er trolig inspirert av prinsippet «innebygd personvern» («privacy by design» på engelsk) som i dag er godt kjent i forbindelse med forståelsen av personvernforordningen. Senere har det også kommet «security by design» eller «innebygd sikkerhet».

Prinsippet «open by design» kommer opprinnelig fra forskningssektoren for å fremme åpenhet og tilgjengelighet i design og utvikling av systemer, produkter eller tjenester. Dette prinsippet står også sentralt innen forretningsmodeller som baserer seg på åpen kildekode.

«Open by default» er et prinsipp som anvendes i «open government» -miljøet, og disse utvalgsmedlemmene forbinder dette prinsippet med en plikt for myndighetene til å gjøre egne data tilgjengelige for offentligheten som en standardregel, ikke frivillig eller som resultat av en lov- eller forskriftspålagt plikt, eller som resultat av et konkret krav fra en eller flere medlemmer av offentligheten. Et slikt prinsipp støtter opp om offentlighetens rett til innsyn i offentlig virksomhet, og gir offentligheten muligheten til å etterprøve myndighetenes vedtak og aktiviteter.

Denne delen av utvalget mener derfor den delen av prinsippet som viser til «open by default» omfatter åpenhet til offentlig sektor, innbyggerengasjement og deling av åpne data, mens delen om «open by design» beskriver virkemiddel for å oppnå dette målet.

Direktivet omtaler ikke teknologi som sådan, men beskriver data som et virkemiddel til innovasjon og verdiskaping bygget på offentlige data, jf. artikkel 1 nr. 1. Det er heller ingen referanser til ulike type digitale hjelpeverktøy brukt internt i forvaltningen som driftsverktøy for å produsere eller yte tjenestene. De fleste offentlige virksomheter bruker kommersielle produkter til å yte sine offentlige plikter, og én tjeneste kan være sammensatt ved hjelp av programvare fra ulike leverandører. Det stilles ingen krav i direktivet til hvordan systemene skal designes eller hvilke innstillinger de skal ha som standard.

Av sikkerhetsmessige hensyn er det ikke ønskelig å eksponere interne driftssystemer fra virksomheten direkte ut til det offentlige internett. I tråd med prinsippene om «innebygd sikkerhet» og «innebygd personvern» anvendes det kryptering av data både i egne datasentre og i nettskyen, og data som inneholder personopplysninger beskyttes og bruken av de loggføres. I praksis blir data som skal deles replikert fra sikre systemer til andre systemer/databaser (delingssoner) som er designet for et slikt formål. Det er i delingssonene man definerer delingsstruktur, hyppighet og eventuell adgangskontroll dersom det kreves.

En slik infrastruktur, der man skarpt skiller drift fra deling, sikrer driftssikkerhet for den offentlige virksomheten og avverger cyberangrep inn i kjernesystemene. Nasjonal Sikkerhetsmyndighet (NSM) viser til et stadig økende digitalt trusselbilde mot offentlig sektor.Disse utvalgsmedlemmene mener derfor at viktige samfunnsfunksjoner må designes på en slik måte at det sikrer nødvendig tillit blant innbyggerne. Deres forslag til § 5 fjerde ledd gir offentlige virksomheter en mulighet til å stille krav til internutvikling og til leverandørene av ulike fagsystemer til offentlig sektor.

Halve utvalget (Austlid, Broomfield, Bygrave, Kielland og Nyrud) foreslår å innta et fjerde ledd i § 5 i lov om datadeling som lyder:

«I tråd med prinsippene om innebygd åpenhet og åpenhet som standardinnstilling skal offentlige virksomheter ved anskaffelser og ved design av egne systemer sørge for løsninger som letter deling av data for økt viderebruk.»

Disse utvalgsmedlemmene mener design står sentralt i forståelsen av prinsippet om «innebygd åpenhet». Denne delen av utvalget viser særlig til den danske og engelske språkversjonen av direktivet. Den engelske versjonen bruker uttrykket «open by design and by default» Disse utvalgsmedlemmene tolker formuleringen «by design» dithen at produksjon og tilgjengeliggjøring av åpne data skal være tilsiktet, ikke tilfeldig, og heller ikke en ettertanke. Dette betyr blant annet at virksomheter skal ta hensyn til muligheter for å produsere og tilgjengeliggjøre åpne data ved anskaffelse, innføring, utvikling og vedlikehold av informasjonssystemer, det vil si gjennom hele livssyklus av et informasjonssystem. Nødvendig åpenhet etter prinsippet «deles det som kan, og skjermes når det må» skal dessuten bygges inn. Dette fordrer mer enn igangsetting av rent tekniske tiltak. Andre tiltak av organisatorisk, pedagogisk, økonomisk eller juridisk art vil også kunne være aktuelle.

En av årsakene til at disse utvalgsmedlemmene ønsker en konkret henvisning til prinsippet om «innebygd åpenhet og åpenhet som standardinnstilling» i lovteksten, er at de forventer at det i likhet med rettslig praksis og utvikling av prinsippet om «innebygd personvern» etter personvernforordningen, etter hvert vil utforme seg mer konkret i litteratur og rettspraksis. Disse utvalgsmedlemmene mener derfor at datadelingsloven med fordel bør henvise direkte til prinsippet som ledd i denne utviklingen.

9.3.4 Høringsinstansenes syn

Under høringen av NOU 2024: 14 Med lov skal data deles, ba departementet særskilt om tilbakemeldinger på en eventuell lovfesting av prinsippet om innebygd åpenhet, ettersom utvalget delte seg i sine anbefalinger. Et stort antall høringsinstanser hadde merknader til forslaget.

Høringsinstansene som var enige med utvalgsleder Selman m.fl. inkluderer: Borgarting lagmannsrett, Buskerud fylkeskommune, Geovekst, Kommunesektorens organisasjon (KS), Norsk institutt for bioøkonomi (NIBIO), NORCE Norwegian Research Centre AS, Norges vassdrags- og energidirektorat (NVE), Skatteetaten, Statens vegvesen, Stavanger kommune og Universitetet i Bergen. Hovedtrekket blant disse høringsinstansene er at de foretrekker det alternativet som de oppfatter at ikke går like langt som det andre forslaget. Enkelte høringsinstanser trekker frem at de er bekymret for at begge forslagene medfører økte utviklings- og driftskostnader, men at de foretrekker dette alternativet. Enkelte stiller spørsmål ved hvorvidt forslaget i tilstrekkelig grad vil kunne ivareta sikkerheten for taushetsbelagte data. Dette inkluderer blant annet Borgarting lagmannsrett.

Høringsinstansene som var enige med Austlid m.fl. inkluderer: Abelia, Arbeids- og velferdsdirektoratet (NAV), DAMA Norway, Digitaliseringsdirektoratet (Digdir), Direktoratet for forvaltning og økonomistyring (DFØ), HelseOmsorg21-rådet, Jernbanedirektoratet, Landbruksdirektoratet, Norges miljø- og biovitenskapelige universitet (NMBU), Norges teknisk-naturvitenskapelige universitet (NTNU), Norsk Presseforbund, Norsk Journalistlag, Norsk Redaktørforening, Mediebedriftenes Landsforening, Språkrådet og Universitetet i Oslo. Disse høringsinstansene påpeker at lovfestingen av et slikt prinsipp setter et tydelig ambisjonsnivå, uten å pålegge inngripende krav. Høringsinstansene mener det er en verdi i seg selv å synliggjøre prinsippet. Enkelte høringsinstanser trekker frem at lovfesting av prinsippet på sikt kan utvikle seg til en rettslig standard eller lette rutiner for datadeling, selv om ikke dette fører til umiddelbare endringer.

Enkelte høringsinstanser, blant annet KS, påpeker at de ønsker at forslagene til utvalgets datadelingslov § 5 fjerde ledd bør utgå.

9.3.5 Departementets vurderinger

Departementet er enige med høringsinstansene som mener at forslaget om regulering av prinsippet om innebygd åpenhet bør utgå. Departementet har derfor ikke foreslått en bestemmelse som regulerer dette prinsippet.

Når det gjelder norsk etterlevelse av åpne data-direktivet artikkel 5 nr. 2, så mener departementet at det ikke er nødvendig med en lovfesting av prinsippet om innebygd åpenhet. Departementet vektlegger her at dette ikke betyr at innebygd åpenhet ikke er en fornuftig tilnærming. Forslagene til utvalget om bestemmelsene som gjennomfører artikkel 5 nr. 2 medfører imidlertid ikke tydelige rettslige plikter eller rettigheter der etterlevelsen kan etterprøves. Departementet ser det derfor som lite hensiktsmessig å lovfeste et prinsipp uten at det også innebærer forpliktelser eller rettigheter.

Neste kapittel

Forrige kapittel

Neste kapittel

Forrige kapittel

Til forsiden

Til toppen