Illustrasjon.
Illustrasjon. (Bilde: Colourbox)

Gjenbruk av data: Lovhjemmel eller samtykkeløsning?

Statsråd Sanner feilinformerer Stortinget, mener vår kommentator Arild Haraldsen.

Jan Tore Sanner besvarte et skriftlig spørsmål i Stortinget 11. desember fra Torsten Tvedt Solberg (Ap) om at en måtte ha lovhjemmel og ikke samtykke, for utveksling og bruk av offentlige data.

Utgangspunktet er et et innlegg fra finansbyråd Robert Steen. Her peker Steen på at Regjeringens krav om at innhenting av data til for eksempel barnehagesøknad ikke bare fører til tungvinte søkeprosesser, men også at foreldre med lav inntekt ikke får barnehageplass fordi de ikke kjenner til de rabattordninger som finnes. Manglende digitalisering fører til ulikheter i bruk av velferdsmidler; dette er derfor et politisk problem, sa Steen.

Sanners svar er blitt en «snakkis» i sosiale medier, rett og slett fordi han tilsynelatende ikke vet hva samtykkeløsninger er, og feiltolker det rettslige grunnlaget for utlevering av data. Sanners utsagn vil sette «digitaliseringen» av offentlig sektor flere år tilbake i tid hvis det blir stående.

Hva er Samtykkebaserte løsninger?

Det er jo ikke spørsmålet om en skal bruke lovhjemmel eller samtykke for innhenting av data. Spørsmålet er hvilket rettslig grunnlag som skal brukes. Samtykke er et slikt rettslig grunnlag. Lovhjemmel brukes fortrinnsvis når etatene må samle inn data for å utføre sitt myndighetsoppdrag som f.eks. innhenting av data for beregning og utstedelse av skatt. Samtykke brukes når brukeren gir samtykke til at en tredjepart får midlertidig innsynsrett på et spesifikt sett med opplysninger om brukeren som tidligere er innhentet av det offentlige. Dette er i samsvar med forvaltningslovens krav i § 13 om at «opplysninger gjøres kjent for dem det gjelder, eller for andre i den utstrekning de som har krav på taushet samtykker».

Rent teknisk løses dette ved en av fire forskjellige løsninger. Datatilsynet har denne veiledningen, hvor det fremgår at brukeren må kjenne til hvorfor samtykke skal gis, at det skal være uttrykkelig, tidsbegrenset og kan trekkes tilbake når som helst.

Det eksemplet som oftest trekkes frem, er søknad om barnehageplass:

Det offentlige vet når et barn er født. Det betyr at det også vet når det kommer i en alder hvor det har krav på barnehageplass. Det kjenner også til foreldrenes inntekt dersom det skulle være snakk om foreldrebetaling. Det kjenner til eventuelle søsken i barnehage dersom søskenmoderasjon er aktuelt. Og den vet hvor foreldrene bor, hvilke barnehager som er i nærheten og hvilke tilbud de har. Alt dette innebærer at foreldrene kan søke – eller få tilbud om – barnehageplass basert på alle relevante opplysninger, uten å måtte innhente dem fra hver etat, slik Foreldreportalen gir muligheten for.

Samtykkeløsninger brukes flere steder i offentlig sektor. Blant annet det såkalte DSOP-prosjektet mellom finansnæringen og Skattedirektoratet ved bruk av Altinns samtykkeløsning om innhenting av inntektsopplysninger i forbindelse med lånesøknader. Dette er et prosjekt som er godkjent av Finansdepartementet, og som Datatilsynet sier er vel innenfor rammene for personvern.

Det er allikevel galt å begrense problemstillingen til innhenting av skattedata ved søknad om lån eller om barnehageplass. Konseptet kan brukes ved utstedelse av vandelsattest, vitnemål ved ansettelser, utstedelse av pass, helseattest i forbindelse med fornyelse av førerkort, osv.

Jussen oppi det hele

Som nevnt foreligger det allerede i dag et rettslig grunnlag for bruk av samtykkeløsninger. Det er ikke nødvendig med en spesifikk lovhjemmel. Så hva er argumentasjonen i Sanners svar til Stortinget?

Sanner henviser til en sak fra Trondheim kommune om behovet for å få tilgang til skatteopplysninger i forbindelse med tildeling av barnehageplass. Men den saken førte jo til et positivt utfall for kommunen: «Finansdepartementet legger til grunn at skatteforvaltningsloven åpner for å utlevere skatteopplysninger til kommuner i forbindelse med behandling av søknader om redusert foreldrebetaling for barn i barnehage og skolefritid.» Det er underlig at Finansdepartementet krever lovhjemmel for innhenting av skattedata til barnehagesøknader, men samtykke til innhenting av skattedata for å oppta lån.

Men med henvisning til denne saken svarer ikke Sanner på spørsmålet. Det er som nevnt langt fler opplysninger enn skattedata som ligger til grunn for foreldrebetaling i barnehage, blant annet muligheten for å få søskenmoderasjon. For det andre gjelder saken fra Trondheim om kommunene skal kunne få tilgang til foreldrenes skatteopplysninger, mens samtykkeløsningen går ut på at det er foreldrene (brukerne) som skal gi tillatelse/samtykke til innhenting av slike opplysninger.

Det er heller ikke riktig som Sanner sier at etableringen av samtykkeløsninger er ressurskrevende; prosjektet Felles Datakatalog som er utviklet av Brønnøysundregistrene og Difi i samarbeid, er jo nettopp etablert for å unngå at dette skal være ressurskrevende for etatene. Egentlig er det omvendt: Det er i dag ressurskrevende for den enkelte etat å innhente lovhjemmel for å oppfylle Regjeringens ambisjon om gjenbruk av data!

Han sier også at «reglene for å tildele samtykke strammes inn ved innføringen av EUs nye personverndirektiv (GDPR) fra mai i år». Det er feil. GDPR er primært en utfordring for de store internasjonale IKT-aktørene som Facebook og Google i den forstand at samtykkevilkårene ikke skal være generelle og uforståelige. De samtykkeløsningene som brukes i offentlig sektor er tvert i mot i samsvar med den nye personvernforordningen, se hva danskene sier om dette, og har til og med foregrepet et vesentlig prinsipp i disse bestemmelsene, nemlig at brukerne selv skal bestemme over sine egne data.

«Gjenbruk av data» er ingen norsk «oppfinnelse». Tvert om – prinsippet ble lansert i 2013 av EU under betegnelsen «once-only principle. Men det Norge har gjort er å vise hvordan dette prinsippet i praksis kan gjennomføres – ved teknologiske løsninger, og i samarbeid med Datatilsynet. Konseptet har vakt oppsikt og interesse i EU.

Mens Digital Agenda (fra 2016) og Digitaliseringsrundskrivet snakker varmt om «gjenbruk av data», står det ikke ett ord om den samtykkeløsningen som er utviklet og tatt bruk to år tidligere (2014), og som med Finansdepartementets godkjennelse er blitt brukt i flere pågående digitaliseringsprosjekter.

EU ga forleden ut et »paper» hvor de anbefaler regjeringene utarbeider «a strategy of “proactive encouragement of and administrative support for OOP”(Once Only Principle) (min utheving). Sanner gjør det motsatte – antageligvis helt uvitende om at Norge her ligger helt i tet i Europa.

Det Sanner egentlig skulle ha sagt er derfor dette:

«Lovhjemmel er å foretrekke når det gjelder utveksling av data. Men dette kan være en både omfattende og ressurskrevende aktivitet for de etater som ønsker å etterleve «gjenbruk av data»-prinsippet i sine tjenestetilbud til innbyggere og næringsliv. En kan derfor anvende samtykkeløsninger, som også er et rettslig grunnlag for utlevering av dat. Dette er nå er tatt i bruk flere steder i overensstemmelse med de kriterier som Datatilsynets setter til slike løsninger. Vi oppfordrer også alle etater å legge inn sine data i den nylig lanserte Felles Datakatalog, slik at det blir enklere for etatene å vite hvilken etat som sitter på hvilke data.

Departementet vil komme tilbake med en klargjøring av dette i en tilføyelse i gjeldende Digitaliseringsrundskriv, også i forhold til den nye personvernforordningen fra EU (GDPR) som skal innføres fra mai 2018. I mellomtiden oppfordrer vi alle etater og kommuner til å ta i bruk samtykkeløsninger der dette er hensiktsmessig og innenfor lovverket.

Jeg kan love representanten Torsten Tvedt Solberg fra Arbeiderpartiet at vi har felles interesse her: Skal forvaltningen lykkes med digitaliseringen, må etatene leve opp til Regjeringens ambisjon om at gjenbruk av data, dvs. at en ikke skal spørre brukerne etter data de allerede har gitt, skal være et bærende prinsipp. Lykke til med digitaliseringen i og for offentlig sektor i 2018». 


Arild Haraldsen har bidratt til digi.no med debatt, kommentarer og bokanmeldelser i mange år. Haraldsen var tidligere adm dir i NorStella, og i den anledning ansvarlig for Samhandlingsarenaenen i forskningsprosjektet Semicolon. Nå selvstendig konsulent med oppdrag innen strategisk bruk av IKT, foredrag og debattleder. Haraldsen har skrevet en rekke fagbøker innen sitt område.

Kommentarer (0)

Kommentarer (0)
Til toppen