Skriftlig spørsmål fra Torstein Tvedt Solberg (A) til kommunal- og moderniseringsministeren

Dokument nr. 15:652 (2017-2018)
Innlevert: 08.01.2018
Sendt: 08.01.2018
Besvart: 12.01.2018 av kommunal- og moderniseringsminister Jan Tore Sanner

Torstein Tvedt Solberg (A)

Spørsmål

Torstein Tvedt Solberg (A): Hvorfor utelukker statsråden bruk av samtykkeløsninger for offentlig sektor for å oppnå etterlevelse av «bare én gang»-prinsippet?

Begrunnelse

I svaret på mitt skriftlige spørsmål sendt 4. desember 2017 sier statsråden at spørsmålet gjaldt tilgang til inntektsopplysninger. Det stemmer ikke. Spørsmålet gjaldt tilrettelegging for bruk av samtykke. Det er statsrådens departement som står som avsender av Digitaliseringsrundskrivet, der det slås fast at hjemmel er en forutsetning for å kunne hente ut informasjon fra en annen virksomhet. Det er med andre ord en klar føring som utelukker gjenbruk basert på andre rettslige grunnlag, inkludert samtykke.
Selv om statsråden velger å tolke det forrige spørsmålet til noe annet, er han likevel innom samtykke i sitt svar. Statsråden påpeker at utlevering basert på samtykke «ville medført behov for en rekke ressurskrevende tiltak, blant annet for å kontrollere og dokumentere at samtykket oppfyller de krav personvernregelverket oppstiller». Jeg antar at statsråden er klar over at Finansdepartementet, Nærings- og fiskeridepartementet og finansnæringen har samarbeidet om å få til samtykkebasert lånesøknad. Det er grunn til å tro at de har gjort dette på en måte som oppfyller de krav personvernregelverket stiller, og at det da krever lite ekstra ressurser å gjenbruke denne løsningen til andre formål enn bare lånesøknader i bankene.

Jan Tore Sanner (H)

Svar

Jan Tore Sanner: Jeg utelukker ikke gjenbruk av informasjon i offentlig sektor basert på samtykke.
Digitaliseringsrundskrivet bruker ordet "hjemmel" i betydningen rettslig grunnlag, slik at både lovhjemmel og samtykke dekkes. Ved å ha et samtykke til gjenbruk fra den opplysningen gjelder, gir personopplysningsloven og forvaltningsloven hjemmel for deling av opplysninger mellom offentlige virksomheter. Jeg ser imidlertid at bruk av ordet "hjemmel" i digitaliseringsrundskrivets punkt om gjenbruk av informasjon kan misforstås. Departementet vil derfor vurdere å endre ordlyden ved neste revisjon av rundskrivet.
Etter personopplysningsloven og forvaltningsloven er samtykke og lovhjemmel alternative rettslige grunnlag for henholdsvis behandling av personopplysninger og opphevelse av taushetsplikt. Bruk av samtykke som rettslig grunnlag gir imidlertid noen utfordringer som jeg omtaler nedenfor.
I tillegg til de generelle reglene i personopplysningsloven og forvaltningsloven, har flere av de ulike registrene i forvaltningen regler om hva som er gyldig rettslig grunnlag for å få utlevert data fra registrene. Dette gjelder for eksempel skatteforvaltningsloven for utlevering av enkelte data fra Skatteetaten, folkeregisterloven for utlevering av data fra Folkeregisteret og eForvaltningsforskriften for utlevering av data fra kontakt- og reservasjonsregisteret.
Flere av disse lovene og forskriftene krever lov eller forskriftshjemmel for bruk av data fra registrene eller etatene. Kilden til den eller de opplysningene som skal gjenbrukes, avgjør derfor ofte hvilket rettslig grunnlag som kan benyttes. Samtykke er derfor ikke alltid et mulig rettslig grunnlag for gjenbruk av opplysninger.
EU har vedtatt en personvernforordning (GDPR), som skal gjennomføres i norsk rett. Etter GDPR kan samtykke danne rettslig grunnlag for behandling av personopplysninger. Både innhenting, lagring og utlevering av personopplysninger kan være elementer i slik behandling. GDPR stiller krav om at samtykke som skal danne rettslig grunnlag for behandling av personopplysninger, skal være frivillig, spesifikt, informert og utvetydig.
For å sikre at samtykket er frivillig, skal det ikke kunne benyttes som rettslig grunnlag dersom det er en klar ubalanse i forholdet mellom den behandlingsansvarlige og den registrerte. Forordningen peker på at dette særlig er tilfellet der den behandlingsansvarlige er en offentlig myndighet. Dette representerer en innstramming i bruk av samtykke som behandlingsgrunnlag sammenliknet med gjeldende norsk rett. Forordningen angir at det rettslige grunnlaget for det offentliges behandling av personopplysninger ved utøvelse av offentlig myndighet, skal fremgå av nasjonal rett (eller av unionsretten der dette er relevant), det vil si ha hjemmel i lov.
Forutsetningen for at et samtykke er gyldig etter personvernreglene, er at det er gitt frivillig, det vil si at den registrerte har et reelt valg. Samtykke gir ikke godt personvern hvis det ikke er et reelt alternativ for den registrerte å nekte samtykke til behandling, herunder innhenting, av personopplysninger.
Baserer vi oss på samtykke for etterlevelsen av kun-en-gang-prinsippet, gir vi avkall på flere effektiviseringsgevinster og forenklingsgevinster på nasjonalt nivå. Derfor bør det som hovedregel foreligge lovhjemmel om at opplysningene skal kunne deles fra den virksomheten som først innhentet opplysningene fra innbyggeren.
Jeg er helt enig i at samtykke kan være et fornuftig rettslige grunnlag i enkelte sammenhenger. Samtykkebaserte lånesøknader som stortingsrepresentanten viser til er et viktig forenklingstiltak for innbyggere og næringsliv der det er slik.