Bedre personvern med samtykkebasert deling av data

Illustrasjon: Colourbox.com
Innledning
Datatilsynet og Teknologirådet arrangerte Personverndagen den 28. januar 2025. Temaet i år var en ordentlig klassiker: Hvordan lykkes med datadeling og personvern? Innleggene var preget av et ønske om å få til datadeling uten at det går på bekostning av personvernet. Jeg mener premisset er feil. Deling av data kan styrke personvernet. Men da må vi passe på at vi gjør det riktig. Min klare oppfatning er at vi idag beveger oss i en retning der vi svekker mange personers personvern unødvendig, fordi offentlig sektor unngår å bruke samtykkebasert deling.
I denne artikkelen vil jeg først se nærmere på hvordan digital(1)Temaet er digital deling og hvordan det påvirker personvernet. Men jeg vil for enkelhets skyld bare bruke «deling» heretter. deling av opplysninger styrker personvernet – uavhengig av om delingen er basert på samtykke eller ei. Deretter vil jeg se på det som kanskje er den største utfordringen ved deling: Økt risiko for personopplysninger på avveie.
For å tydeliggjøre hvordan risikoen for opplysninger på avveie påvirkes av om deling skjer basert på lovhjemmel eller samtykke, vil jeg gå gjennom eksempler på hvordan inntektsopplysninger fra Skatteetaten deles, henholdsvis med lovhjemmel og samtykke.
Det er både uklarhet og delte meninger om offentlig sektor har lov til å dele data basert på samtykke. Så for å forsvare at temaet i denne artikkelen i det hele tatt er verdt å diskutere, vil jeg vise hvorfor jeg mener samtykkebasert deling er lovlig. I forlengelsen av det ser jeg nærmere på hvordan kravet om frivillighet kan ivaretas, ved hjelp av en avgjørelse i Personvernnemnda som gjaldt reglene for bostøtte.
I de siste delene av artikkelen ser jeg først på et eksempel på de negative effektene når vi ikke kan dele egne opplysninger etter eget ønske. Deretter skriver jeg om et samarbeid mellom KS og Skatteetaten som har ført til en drastisk økning i kommunenes tilgang til inntektsopplysninger, der bruk av samtykke ikke blir vurdert. Videre foreslår jeg noen tiltak for å få en riktigere balanse mellom hjemmel og samtykke fremover. Avslutningsvis foreslår jeg hvordan vi kan sikre et bedre personvern når data først deles basert på lovhjemmel.
Fordeler ved digital deling av personopplysninger
Hvis vi tar utgangspunkt i den tradisjonelle måten vi har formidlet inntektsopplysninger på ved søknader om ytelser i offentlig sektor, har det typisk vært en kombinasjon av å skrive inn verdiene på et papirskjema, eller taste dem inn på et skjema på en nettside. I begge tilfeller er det nødvendig å legge ved dokumentasjon som bekrefter opplysningene. Dokumentasjonen er typisk skatteoppgjøret og lønnsslipper.
Hvis vi sammenligner med den tradisjonelle måten å gjøre det på, er det spesielt på to måter digital deling av personopplysninger direkte fra Skatteetaten bidrar til å styrke personvernet:(2)Daværende seksjonssjef for informasjonssikkerhet i Difi, Lillian Røstad, skrev en kronikk som svar til Datatilsynet i 2014, for å vise hvordan deling kan styrke personvernet og informasjonssikkerheten. Se: https://www.digi.no/artikler/deling-er-ikke-farlig/289733 bedre datakvalitet og dataminimering.
Digital deling kan gi bedre datakvalitet fordi det reduserer faren for feil, enten som følge av tastefeil eller at søkeren misforstår hvilke opplysninger det blir spurt etter. (Det forutsetter selvsagt at det ikke er en misforståelse mellom avgiver og mottaker om meningen i dataene som deles.)
Når det gjelder dataminimering kan det oppnås på to måter. For det første i form av mindre overskuddsinformasjon. Dokumentasjonen som legges ved inneholder ofte tilleggsinformasjon som ikke er relevant for saksbehandlingen.(3)Dette ble bl.a. trukket frem av daværende skattedirektør Hans Christian Holte ved lanseringen av Samtykkebasert lånesøknad, se: https://www.skatteetaten.no/presse/nyhetsrommet/enklere-a-soke-boliglan/ For det andre kan dataminimering oppnås ved at delingstjenestene settes opp til å svare på spørsmål/vilkår, istedenfor å levere de detaljerte opplysningene som er grunnlaget for å bestemme om vilkåret er oppfylt. For eksempel kan et API svare på om en person er over 18 år, uten å levere ut fødselsdatoen. Tilsvarende kan gjelde for inntektsgrenser eller antall barn under 18 i husstanden, i tillegg til mer komplekse, utledete verdier.
Bedre datakvalitet gjennom mindre fare for misforståelser, og dataminimering, gjennom at det kun er de relevante opplysningene som deles, trekker begge deler i retning av en tydeliggjøring av hvilke opplysninger om innbyggeren som skal behandles. Sånn sett bidrar begge deler til å gi innbyggerne bedre informasjon om behandlingen, som igjen styrker personvernet.
Felles for de fordelene for personvernet som jeg har nevnt over, er at de kan oppnås uavhengig av om delingen skjer med lovhjemmel eller med samtykke fra brukeren. Dersom vi av ulike grunner lar være å dele opplysninger, går vi glipp av disse personvernfordelene for innbyggerne. Å la være å dele har derfor en effekt på personvernet.
Økt risiko for opplysninger på avveie gir redusert kontroll
Deling av personopplysninger er åpenbart ikke bare en kilde til fordeler for personvernet. Siden jeg er spesielt opptatt av å få frem forskjellen mellom deling basert på lovhjemmel og samtykke, vil jeg se nærmere på en trussel for personvernet som påvirkes i stor grad av om delingen skjer på den ene eller andre måten: Risikoen for personopplysninger på avveie.(4)En ulempe som er spesifikk for digital deling, men som jeg ikke vil gå nærmere inn på her, er at de som avgir opplysningene får vite hvem som mottar dem. Hvis brukeren selv sender inn dokumentasjon om inntekt, får ikke Skatteetaten vite at en person søker bostøtte. Dette er også et av poengene til Personvernnemnda i saken jeg omtaler senere i artikkelen. Å løsrive avgiver og mottaker ved digital deling er forøvrig teknisk mulig, for eksempel med en tredjepart i mellom. Det er også en av fordelene flere trekker frem ved innføringen av såkalte «lommebøker» (wallets) for deling av opplysninger.
«Fysiske personer bør ha kontroll over egne personopplysninger» står det i fortalepunkt 7 til personvernforordningen, og i flere sammenhenger blir kontroll over egne opplysninger trukket frem som en kortversjon av hva personvern handler om.(5)Se bl.a. regjeringens sider «Hva er personvern?», https://www.regjeringen.no/no/tema/statlig-forvaltning/personvern/hva-er-personvern/id448290/ Datatilsynet har flere ganger brukt formuleringen «Den enkeltes rett til å ha kontroll med egne personopplysninger» som definisjon av personvern, se bl.a. https://www.nokios.no/wp-content/uploads/presentasjoner/2017/s3b-gdpr-datatilsynet-martha-eike.pdf Når egne personopplysninger kommer på avveie, har man helt klart mistet kontrollen over dem; vi vet ikke hvem som har opplysningene eller hva de brukes til.
Dersom vi av ulike grunner lar være å dele opplysninger, går vi glipp av disse personvernfordelene for innbyggerne. Å la være å dele har derfor en effekt på personvernet.
Etter min mening reduseres kontrollen over egne opplysninger allerede før opplysningene faktisk kommer på avveie, dersom det skjer noe som øker risikoen for at det kan skje. Det kan sammenlignes med at banken min bestemmer seg for å konvertere min høyrentekonto til et aksjefond, uten at jeg får et valg om å beholde pengene på høyrentekontoen. Selv om det ikke skjer noen endringer i første omgang, eller kanskje jeg til og med blir rikere, har noen tatt en beslutning som endrer risikoen jeg utsettes for.
Når det gjelder spørsmålet om graden av kontroll over risikoen for personopplysninger på avveie, er det etter min mening relevant å stille spørsmålet om jeg er i en situasjon der jeg kan hindre at opplysninger om meg blir utsatt for økt risiko. Hvis jeg ikke har mulighet til å hindre den økte risikoen, betyr det at jeg har fått redusert kontrollen over egne opplysninger, og dermed er personvernet mitt svekket.
Deling av inntektsopplysninger med lovhjemmel
For å tydeliggjøre hvordan risikoen øker ved deling, skal jeg se nærmere på Skatteetatens deling av inntektsopplysninger med andre via API.
Skal Skatteetaten løse sitt samfunnsoppdrag er det nødvendig at inntektsopplysningene er tilgjengelige for relevante saksbehandlere og systemer internt i Skatteetaten. De må samtidig beskytte seg mot hacking og utro tjenere for å hindre at opplysningene kommer på avveie.
Skatteetaten har en lang historie med å gjøre inntektsopplysningene tilgjengelig for andre, som f.eks. SSB, Nav og Husbanken. For disse finnes det lovhjemler som gir dem direkte tilgang til inntektsopplysninger fra Skatteetaten.
Det at opplysningene gjøres tilgjengelige for andre, fører til at det oppstår noen nye måter opplysningene kan komme på avveie på.
Skal for eksempel Husbanken få tilgang til opplysningene, tilbyr Skatteetaten et grensesnitt for maskin-til-maskin-kommunikasjon, et API. Skatteetaten må i den forbindelse sikre API-et mot ulike former for innbrudd og uautorisert bruk, for eksempel hindre at noen andre enn Husbanken klarer å bruke API-et til å hente ut inntektsopplysninger. Dette har Skatteetaten lang erfaring med. Et viktig spørsmål er om risikoen for at noen klarer å komme seg forbi Skatteetatens sikkerhetsmekanismer, øker dersom Skatteetaten lar flere aktører få tilgang til API-ene de tilbyr. Etter min mening kan det like gjerne være motsatt: Desto flere aktører Skatteetaten åpner API-ene for, desto mer oppmerksomhet får antageligvis både den tekniske og organisatoriske sikkerheten rundt API-en. I beste fall går altså risikoen ned. Dersom det er en økning i risiko for hver ny aktør som får tilgang, er økningen neppe særlig stor. De fleste sikkerhetsmekanismene, som for eksempel brannmurer og overvåkning, vil være upåvirket av om det legges til en ny aktør.
En økt risiko for opplysninger på avveie er med andre ord i liten grad knyttet til selve Skatteetaten som mål for hackere og utro tjenere. Den viktige endringen er at nye aktører som får tilgang til Skatteetatens API-er, blir nye mål for hackere eller utro tjenere som er på jakt etter inntektsopplysningene våre.
For å fortsette med Husbanken som eksempel: Ettersom Skatteetaten ikke kan vite på forhånd hvem som er aktuelle for å søke bostøtte fra Husbanken, må de stole på at Husbanken bare henter ut inntektsopplysninger når det er rettslig grunnlag for det, altså i forbindelse med saksbehandling.(6)Fra vilkårene for deling: «Partene, som er Skatteetaten og Konsumenten, plikter å følge sine lovpålagte krav til innhenting, utlevering og behandling av opplysningene. Opplysningene som utveksles skal ikke benyttes til formål som faller utenfor det rettslige grunnlaget.» (min utheving) Kilde: https://www.skatteetaten.no/globalassets/deling/dokumenter/delingsvilkar-1.3-konsument.pdf En utro tjener eller hacker som lykkes med å få tilgang til de rette rollene eller systemene hos Husbanken, vil derfor kunne hente inntektsopplysninger om hvem de vil fra Skatteetatens API. Skatteetaten har ikke noen måte å vite om API-kall fra Husbanken er legitime eller ei.(7)Det er helt sikkert noen mekanismer som vil slå alarm og stanse tilgangen dersom det kommer uvanlig mange forespørsler fra Husbanken over kort tid, men med varsom bruk av en slik ulovlig tilgang, er det grunn til å tro at det vil være mulig å hente ut opplysninger om mange personer over tid. Husbanken vil trolig også forsøke å sikre at det er sammenfall mellom saker i saksbehandlingssystemet og oppslag mot Skatteetatens API, og på den måten fange opp misbruk. Men det endrer ikke poenget med at den digitale delingen med Husbanken åpner en ny vei inn til inntektsopplysningene i Skatteetaten, og at informasjonssikkerheten i Husbanken er avgjørende for hvor vanskelig det er å utnytte den.
Det betyr at for hver ny aktør som får direkte tilgang til inntektsopplysninger fra Skatteetaten, øker risikoen for opplysninger på avveie, fordi angrepsflaten i form av organisasjoner (personer/roller og systemer) med tilgang til opplysningene, blir større.(8)At risikoen uunngåelig øker, betyr selvsagt ikke at vi aldri bør åpne for direkte tilgang til inntektsopplysninger basert på lovhjemmel.
Men vi kan si noe mer presist om hvordan den økte risikoen treffer alle de som Skatteetaten har inntektsopplysninger om. Det er et skille mellom den gruppen som uansett vil utsettes for økt risiko, fordi de søker om bostøtte.(9)Hvis vi ikke hadde hatt deling av inntektsopplysninger mellom Skatteetaten og Husbanken, men prosessen isteden hadde vært basert på at søkerne sendte inn opplysninger og dokumentasjon som så ble registrert i Husbankens systemer, ville hackere eller utro tjenere som lyktes med å få uautorisert adgang til Husbankens systemer, også fått tilgang til inntektsopplysninger om alle som søker bostøtte. For denne gruppen er datadelingen en fordel, både for personvernet (dataminimering, økt datakvalitet og ingen økt risiko for opplysninger på avveie), samt gjennom enklere søknadsprosess og raskere saksbehandling. Men alle de andre som har inntektsopplysninger hos Skatteetaten får derimot ingen fordeler.(10)Det kan argumenteres for at den gruppen som ikke selv søker bostøtte har fordelen av datadelingen gjennom at kostnadene til administrasjon av bostøtteordningen blir lavere og at det reduserer faren for misbruk, og dermed blir det lavere skatter og et bedre sikkerhetsnett. Men dette er fordeler som i stor grad også kan oppnås ved samtykkebasert deling. Isteden fører datadelingen kun til økt risiko for opplysninger på avveie, og redusert kontroll over egne opplysninger for denne gruppen.
Vi kan sette opp dette som et forholdstall. Alle personer Skatteetaten har inntektsopplysninger om er personer Skatteetaten trenger inntektsopplysninger om, for å løse samfunnsoppdraget sitt. Det er med andre ord et 1:1-forhold til personer Skatteetaten hartilgang til inntektsopplysninger om og som de trenger opplysninger om.
Husbanken derimot, har tilgang til inntektsopplysningene til alle som finnes i Skatteetatens systemer, til tross for at de bare behandler saker om ca. en tidel av befolkningen hvert år.(11)Dette er min gjetting basert på at antall søkere om bostøtte i 2023 ifølge Husbankens årsrapport var 190.000 og at jeg antar at hver søker representerer en husstand med mellom to og tre personer. Det er derfor et 1:10-forhold mellom personer Husbanken trenger opplysninger om, og personer som får økt risiko for opplysninger på avveie, uten at opplysningene er relevante for Husbanken.
Det er sikkert delte meninger om et forholdstall på 1:10 er lavt, og derfor lett å akseptere, eller om det er altfor høyt. Her kommer det også inn momenter som hvor stor betydning tilgangen har for de som har minst, og er mest avhengig av bostøtte. Det er uansett ikke noen tvil om at lovgiver har ønsket at Husbanken skal ha tilgang til inntektsopplysninger fra Skatteetaten, og disse tilgangene er gitt gjennom lov- og forskriftsprosesser der det har vært mulig å komme med motforestillinger.(12)I 2015 ble det gjort endringer i lov om bostøtte, som ga tydelige hjemler til innhenting av opplysninger fra andre både til saksbehandling og kontroll, og Datatilsynet uttalte seg positivt til endringene. Se mer om bostøtteordningen og lovendringen senere i artikkelen.
Men det finnes eksempler der forholdstallene er mye større, og hvor det er uklart om prosessen med å gi lovhjemmel har gitt en god diskusjon om avveiningene. På dokumentasjonssiden til Skatteetatens API-er finner vi en rekke tjenester og aktører. Der står det også om tilgangen er basert på hjemmel eller samtykke. En av ordningene i lista er reindriftstilskudd, og tilgangen er basert på lovhjemmel.(13)Se: https://skatteetaten.github.io/api-dokumentasjon/api/inntekt?tab=Om+tjenesten
Ifølge Landbruksdirektoratets nettsider er ca. 3000 personer involvert i reindrift i Norge.(14)Se: https://www.landbruksdirektoratet.no/nb/reindrift/reindrift-i-norge/reindriftsnaeringen På samme måte som med bostøtte, er det vanskelig å se for seg at Skatteetaten på forhånd har en oversikt over hvem som kvalifiserer til reindriftstilskudd. Jeg antar Skatteetatene må stole på den Statsforvalteren som behandler søknadene, når sistnevnte sender forespørsler om inntektsopplysninger til Skatteetatens API. Gitt at hver eneste av de 3000 personene involvert i reindrift søker driftstilskudd (noe som neppe er sannsynlig) er forholdstallet 1 til 2500 mellom de som uansett ville utsatt seg for risiko ved å sende Statsforvalteren inntektsopplysninger om seg selv som del av en søknad, og de som får egne opplysninger utsatt for økt risiko for å komme på avveie fordi delingen er basert på lovhjemmel.(15)Hvilke vurderinger ligger bak lovhjemmelen for å dele inntektsopplysninger digitalt i forbindelse med reindriftstilskudd? Hjemmelen fremgår av forskrift om reindriftstilskudd, og den aktuelle regelen som gir adgang til å hente opplysninger direkte fra Skatteetatens API kom inn gjennom en forskriftsendring i 2023, se: https://lovdata.no/pro/#document/LTI/forskrift/2023-06-21-1014. Forskriftsendringen fulgte av reindriftsavtalen. Såvidt jeg har klart å finne ut har ikke regelendringen som førte til lovhjemmel for å hente inntektsopplysninger, vært på høring.
Som eksemplene over viser vil deling av data basert på lovhjemmel øke risikoen for at opplysningene som er tilgjengelige i API-et kommer på avveie. For hver etat som får lovhjemmel til å hente data fra API-et, øker angrepsflaten.(16)I noen tilfeller kan kanskje Skatteetaten til en viss grad vite på forhånd hvilke personer det er relevant for etatene å be om opplysninger om, for eksempel aldersgrupper, kommunetilhørighet eller lignende. Det rammer ulikt mellom de som uansett ville delt opplysningene sine med mottakerne, og som dermed oppnår forbedret personvern, og resten, som kun får svekket personvernet. For ulike etater og tjenester er det store forskjeller i forholdstallet mellom disse gruppene. Innbyggernes kontroll over egne opplysninger reduseres for hver ny aktør som får tilgang til opplysningene basert på lovhjemmel, siden det fratar dem muligheten til å stoppe deling av egne opplysninger.
Deling av inntektsopplysninger med samtykke
Fra å se på hvordan deling basert på lovhjemmel svekker kontrollen over egne opplysninger, skal jeg se nærmere på hva som skjer ved samtykkebasert deling.
Mange norske lesere har sannsynligvis erfaring med løsningen «samtykkebasert lånesøknad» (SBL). SBL ble lansert i juni 2017(17)Se pressemeldingen fra Skatteetaten: https://www.skatteetaten.no/presse/nyhetsrommet/enklere-a-soke-boliglan/, og som ifølge estimater fra 2018 gir samfunnet 13 milliarder i gevinster over 10 år.(18)Se https://forenkling.brreg.no/dsop-oppsummerer-2018-enklere-hverdag-og-store-gevinster/ SBL er resultat av et samarbeid mellom finansnæringens interesseorganisasjon, Finans Norge, og de to statlige virksomhetene Skattedirektoratet og Brønnøysundregistrene. Finans Norge representerte bankene, Skattedirektoratet samler inn og satt på oppdaterte opplysninger om nordmenns inntekt, og Brønnøysundregistrene hadde på den tiden ansvaret for Altinn, som ble videreutviklet slik at en innlogget bruker kunne gi et samtykke til å utlevere opplysninger fra Skatteetaten. SBL vant Digitaliseringsprisen i 2018.
Før SBL var det mulig å søke banklån digitalt, og prosessen var som mange digitale tjenester fortsatt er idag: Underveis i søknaden ble brukeren bedt om å oppgi samlet inntekt, gjeld og formue for forrige år og lønn for de siste månedene. Siden dette var opplysninger søkeren fylte ut selv, trengte bankene dokumentasjon som bekreftet opplysningene. Det siste steget i søknaden var derfor å laste opp bilder eller pdf-er av skatteoppgjør og lønnsslipper. Brukeren hadde med andre ord en rolle i å «punche» opplysninger fra papir/pdf, mens banken måtte bruke tid på å kontrollere om de innsendte opplysningene var korrekte.
SBL forbedrer denne prosessen på to måter. Søkeren blir bedt om å samtykke til at banken kan hente opplysningene fra Skatteetaten. Det sparer brukeren både for å finne frem og deretter punche dataene selv, og til slutt laste opp bilder/pdf-er. Samtidig slipper banken å kontrollere de oppgitte opplysningene mot dokumentasjonen, fordi de får dataene direkte fra kilden (Skatteetaten).

Illustrasjonen er hentet fra Enklere å søke boliglån - Skatteetaten
Det er flere forhold ved SBL som bidrar til bedre personvern, sammenlignet med den gamle løsningen. For det første fører løsningen til høyere datakvalitet, siden det er mindre fare for at brukeren taster feil, eller misforstår hvilke opplysninger søknadsskjemaet spør etter. Korrekte data gir lån som står i forhold til lånetakernes låneevne. Og motsatt.
SBL bidrar også til dataminimering. Kun opplysninger som skattemyndighetene mener bankene har rett til å motta for behandling av lånesøknaden, blir utlevert fra Skatteetaten.
Dette er eksempler på positive effekter for personvernet ved digital deling av opplysninger. For å forstå effekten av at delingen er samtykkebasert, skal vi se nærmere på hvordan SBL påvirker risikoen for personopplysninger på avveie.
Hvis vi sammenligner med bostøtte fra Husbanken, så er situasjonen den samme for alle som ønsker lån: For å få lån må jeg godta at banken trenger å vite noe om økonomien min. Alle som søker lån får dermed økt risiko for opplysninger på avveie som følge av at banken de søker hos, får tilgang til inntektsopplysningene.
Hva med alle de som ikke søker lån? Som det fremgår av skjermbildet over er det Skatteetaten som ber brukeren bekrefte om inntektsopplysninger skal utleveres til banken. For å bekrefte må brukeren være autentisert via ID-porten. Banken har med andre ord ikke tilgang til inntektsopplysninger hos Skatteetaten, før brukeren «åpner opp» for banken ved å klikke på «Gi samtykke». Derfor kan ikke hackere bruke banken som en måte å få tilgang til inntektsopplysninger hos Skatteetaten (bortsatt fra om de som søker om lån i den spesifikke banken, naturligvis).
Bruk av samtykke på den måten det gjøres i SBL innebærer en form for teknisk sikkerhet jeg mistenker at mange ikke er klar over, eller undervurderer effekten av. Det kan isåfall forklares med at vi har hatt samtykkebasert deling lenger enn vi har hatt gode, digitale løsninger for å håndtere samtykke.
Deling av informasjon basert på samtykke er mye eldre enn SBL. Men i mange tilfeller har samtykke blitt gitt til den aktøren som ønsker å motta opplysninger, i form av et kryss på et papir. Da må etaten som skal avgi opplysningene stole på aktøren som påstår å ha innhentet samtykke. I de fleste tilfeller er det for arbeidskrevende å gjøre en kontroll på om den som ga samtykke faktisk gjorde det, om det ble gjort frivillig og om vedkommende forstod hva det ble samtykket til.
Slik samtykkebasert deling tidligere ble løst, er det uklart hvilke mekanismer som sikret at opplysningene bare ble utlevert dersom den det gjelder ga sitt samtykke. Ofte var sikkerheten basert på tillit mellom virksomhetene som utveksler data, og ikke en teknologisk løsning for å hindre urettmessig deling av data.
Digitale samtykkeløsninger derimot, åpner for at aktøren som skal avgi opplysninger, selv har kontrollen på dialogen med innbyggeren som skal gi sitt samtykke. Det betyr at de selv bestemmer hvordan brukeren identifiserer og autentiserer seg(19)Dette merker forøvrig brukere av SBL ved at de blir bedt om å logge seg på på nytt når de skal gi samtykke. De har allerede logget seg på nettbanken, men Skatteetaten krever innlogging via ID-porten., og hvilken informasjon brukeren får om konsekvensene av samtykket – hvilke opplysninger som utleveres, og til hvem.(20)Det kan argumenteres for at bruk av samtykke gir bedre oppfyllelse av informasjonsplikten om behandling av opplysninger enn ved deling basert på lovhjemmel. Men slik jeg ser det så gjør samtykke det enklere å gjøre det riktig, siden det uansett er dialog med den som opplysningene gjelder, men det er fortsatt mulig å gi god informasjon også ved lovhjemmelbasert deling (selv om det ikke er så vanlig).
Hva betyr bruken av samtykke i SBL for risikoen for opplysninger på avveie? Ettersom banken kun får tilgang til inntektsopplysninger fra Skatteetaten fra de som faktisk samtykker til utlevering i forbindelse med lånesøknaden, så er forholdstallet 1:1 – banken får bare tilgang til opplysninger om personer som søker om lån.
Det betyr at risikoen for opplysninger på avveie ikke øker, eller øker minimalt, når det legges til rette for samtykkebasert deling. En av angrepsflatene er autentiseringsmekanismen (ID-porten eller en av eID-ene som kan brukes der). Men dersom noen lykkes i å få uautorisert tilgang gjennom påloggingsløsningen, vil de oppnå direkte tilgang til brukerens opplysninger gjennom innsynsløsninger, for eksempel tjenesten «Mine inntekter og arbeidsforhold» hos Skatteetaten. Ved forsøk på slik hacking/misbruk, blir tjenestene som benytter samtykkebasert deling bare en omvei for å nå målet om tilgang til opplysninger. Risikoen som følge av at opplysninger er tilgjengelige på nettet gjennom innsynsløsninger, beskyttet av ID-porten, er vi med andre ord allerede utsatt for. Samtykkebasert deling av de samme opplysningene, som i SBL, fører dermed ikke til økt risiko for opplysninger på avveie.
Da SBL ble lansert, var det med et lite utvalg pilotetater. Siden den gang har mange flere banker fått tilgang til samtykkeløsningen og tilbyr samme type lånetjenester. Som redegjort for ovenfor er likevel risikoen for opplysninger på avveie omtrent uendret. Datadeling basert på samtykke øker kontrollen over egne opplysninger fordi det hindrer at egne opplysninger utsettes for økt risiko for å komme på avveie, selv om andre velger å dele data fra samme kilde.(21)Selv om jeg er positiv til SBL, mener jeg likevel det er endringer som kan gjøres for å styrke personvernet, f.eks. for å gjøre det enda tydeligere hvilke opplysninger som deles («Show, don’t tell»). For å si det på en annen måte: Mine inntektsopplysninger er ikke tilgjengelig for BN Bank, selv om naboen min søker lån der.
Kan offentlig sektor bruke samtykke til deling av data?
Som jeg har vist over har samtykkebasert deling av data en fordel ved at risikoen for opplysninger på avveie bare øker for de som selv gjør en aktiv handling for å dele dataene sine. Det kan sees på som et steg mot pareto-optimalitet for personvernet: Noen får styrket personvern uten at det svekkes for andre. Dette bør være en relevant grunn til å vurdere deling basert på samtykke fremfor lovhjemmel i flere tilfeller enn idag. Samtykkebasert deling er spesielt fordelaktig hvis det er mange aktører som skal ha tilgang, eller det er relativt få personer det skal deles opplysninger om, sett i forhold til hvor mange personers opplysninger som utsettes for økt risiko.
Men er det lov å basere datadeling på samtykke? På den ene siden burde det være nok å vise til at det allerede blir gjort, som nevnt gjennom deling av inntektsopplysninger fra Skatteetaten i SBL. Et annet eksempel er Lånekassen som deler saldo på studielån med bankene. Dermed får de som har studielån oversikt over studielånet sitt hver gang de er i nettbanken, istedenfor å logge inn ens ærend på Lånekassens nettsider. Et tredje eksempel, som betyr mye for de det gjelder, er muligheten for å samtykke til å dele informasjon fra Nav om uførhet med forsikringsselskapene. Det har ført til forenkling og kortere tid til utbetaling for brukere.(22)Se: https://dokumentasjon.dsop.no/dsop_su_om.html
Det er usannsynlig at det som mange mener er de mest erfarne etatene i Norge på temaet juss og digitalisering, skulle tilby å dele opplysninger basert på samtykke dersom det var ulovlig. Også i andre land er samtykke sentralt for digitaliseringen. I den forrige digitaliseringsstrategien i Danmark, var et av de prioriterte tiltakene å etablere bedre løsning for samtykke. Under satsingsområdet «Sammenhæng, gennemsigtighed og tillid som grundlag for den offentlige service» finner vi tiltaket «Let og tryg brug af samtykke: Det skal være nemmere at forstå, hvilke data man deler med det ofentlige. [...]»(23)Digitalisering der løfter samfundet. Den fællesoffentlige digitaliseringsstrategi 2022-2025 (Regeringen, KL, Danske Regioner, juni 2022). Se: https://digst.dk/media/oyddkfru/digst_fods_webtilgaengelig.pdf Utvikling av «Digitalt samtykke» er nå et prosjekt i regi av den danske Digitaliseringsstyrelsen.(24)Se: https://digst.dk/it-loesninger/digitalt-samtykke/
Grunnen til at det likevel er verdt å stille spørsmålet er at det ofte blir trukket frem at samtykke etter GDPR ikke kan brukes av offentlige etater, på grunn av skjevt styrkeforhold.
At den oppfattelsen er utbredt, er kanskje heller ikke så rart, siden det står følgende i Datatilsynets veiledning om samtykke:
«I vurderingen av om et samtykke er frivillig, må man også se på styrkeforholdet mellom virksomheten og den enkelte. For eksempel vil normalt ikke offentlige myndigheter eller arbeidsgivere kunne bruke samtykke som behandlingsgrunnlag siden den enkelte er i et avhengighetsforhold til virksomheten.»
Nå vil noen kanskje innvende at styrkeforholdet bare blir et problem når det er snakk om å bruke samtykke til å dele data med en annen offentlig virksomhet. I Digital Agenda (2016) var budskapet at hjemmel er en forutsetning for gjenbruk av data i offentlig sektor, og at samtykke er lite egnet.(25)Digital Agenda for Norge (2016, kapittel 7.3: «Hjemmel som forutsetning for gjenbruk». Se: https://www.regjeringen.no/no/dokumenter/meld.-st.-27-20152016/id2483795/?ch=2#kap7-3Hvorvidt dette var ment å utelukke samtykke, måtte statsråd Jan Tore Sanner svare for i skriftlig spørsmål stilt av stortingsrepresentant Torstein Tvedt Solberg, se: https://www.stortinget.no/no/Saker-og-publikasjoner/Sporsmal/Skriftlige-sporsmal-og-svar/Skriftlig-sporsmal/?qnid=44614 Men hvem som mottar opplysningene kan etter min mening ikke ha noe å si for hvordan den siterte setningen fra Datatilsynets veiledning skal forstås. Ved deling av inntektsopplysninger fra Skatteetaten, lånesaldo fra Lånekassen og uførestatus fra Nav, er det i alle tre tilfellene offentlige myndigheter brukeren samtykker overfor. Samtykket gis til den som avgir opplysningene, ikke til den som mottar dem.
Jeg mener det er to måter å begrunne lovligheten på.(26)De tre eksemplene på samtykkebaserte tjenester er alle del av DSOP-samarbeidet, og det ligger mye god dokumentasjon på DSOPs nettsider, se: https://dokumentasjon.dsop.no/. Men dokumentasjonen går ikke inn på detaljene for jussen rundt samtykke. Gjennom uformell dialog med personer involvert i de ulike prosjektene, har jeg fått litt mer detaljer, men jeg synes ikke det er riktig å gjengi det her, siden det ikke er offisielle svar fra etatene. Det viktigste for meg er uansett å få frem at det ikke bør være noe tvil om lovligheten. Det ene argumentet er basert på at behandlingsgrunnlaget ikke er samtykke. Behandlingsgrunnlaget er derimot hjemmel i lov. Forvaltningsloven og en rekke særlover har egne regler om at taushetsplikten ikke er til hinder for å dele opplysninger dersom den det gjelder samtykker, se for eksempel fvl. § 13a nr. 1 og skatteforvaltningslovens § 3-7 bokstav a. Siden disse reglene om samtykke og taushetsplikt står i nasjonal lov, er ikke det rettslige behandlingsgrunnlaget etter GDPR samtykke (artikkel 6 nr. 1 bokstav a), men enten rettslig plikt eller offentlig myndighet (artikkel 6 nr. 1 bokstav c eller e).
Det andre argumentet legger vekt på at veiledningen fra Datatilsynet formodentlig dreier seg om situasjoner der offentlige virksomheter «utøver offentlig myndighet i forbindelse med den konkrete behandlingssituasjonen», og å dele data basert på samtykke er ikke å anse som myndighetsutøvelse.(27)Formuleringen er hentet masteroppgaven ved det juridiske fakultet fra 2022, «Offentlige myndigheters bruk av samtykke som rettslig grunnlag for behandling av personopplysninger», side 35. I oppgaven sammenlignes også veiledningen fra det norske og det danske datatilsynet. Sistnevnte har en mye mer nyansert beskrivelse av offentlig sektors adgang til å bruke samtykke. Oppgaven er tilgjengelig her: https://www.duo.uio.no/bitstream/handle/10852/96386/Masteroppgave_Offentlige-myndigheters-bruk-av-samtykke.pdf?sequence=1
Samtykkebasert deling kan være lovlig, men det betyr selvsagt ikke at det alltid er lovlig. Jeg mener at en riktig beskrivelse av dette poenget er det som står i Justis- beredskapsdepartementets veileder «Taushetsplikt, opplysningsrett og opplysningsplikt i forvaltningen – en veileder», i kapitlet som omtaler samtykke fra den som har krav på taushet, er en riktig beskrivelse:
«I noen tilfeller vil forvaltningen ha en maktposisjon overfor borgeren. Det er viktig at forvaltningen forvisser seg om at borgeren forstår at han eller hun har rett til å nekte å samtykke, og hvilke konsekvenser samtykket har.» (min understreking)
Et eksempel på en slik situasjon kan være dersom samtykke til å dele data blir en forutsetning for å oppnå en tjeneste eller ytelse fra offentlig sektor. Da blir det relevant å stille spørsmål om samtykket er frivillig. Den enkleste måten å sikre frivillighet på er å gi brukeren alternative måter å fremskaffe opplysningene, noe jeg straks skal komme nærmere inn på.
Noen avviser å bruke samtykke til deling av data med henvisning til at et gyldig samtykke forutsetter muligheten til å trekke det tilbake. Men da tror jeg de blander sammen et samtykke som gjør at mottageren mottar dataene, og et eventuelt samtykke som sikrer mottageren et rettslig grunnlag for å behandle dataene de mottar. I offentlig sektor vil jo det siste normalt være på plass gjennom lov og forskrift som regulerer den aktuelle stønaden, f.eks. bostøtte, reindriftstilskudd eller barnehagebetaling. Også her synes jeg veilederen fra Justis- beredskapsdepartementet rydder opp i misforståelsen på en god måte:
«Et samtykke kan trekkes, men tilbaketrekkingen virker bare fremover. Hvis forvaltningen allerede har gitt opplysninger videre på grunnlag av samtykke, må det mottakende organet fortsatt kunne bruke de opplysningene det har fått. Tilbaketrekkingen av samtykket hindrer derimot at personer med taushetsplikt fortsetter å gi opplysninger på grunnlag av samtykket.»
Spesielt om frivillighet - erfaring fra Husbanken
Jeg har valgt bostøtte fra Husbanken som eksempel på digital deling av inntektsopplysninger, fordi de tidligere hadde et krav til samtykke fra søkeren for å kunne hente opplysningene fra Skatteetaten.(28)Det var altså ikke Skatteetaten som ba søkeren om å samtykke til å utlevere opplysningene, men Husbanken som ba brukeren om samtykke til å hente opplysninger fra Skatteetaten. Siden Skatteetaten dermed ikke forholdt seg direkte til brukeren, så måtte Husbanken uansett ha tilgang til å hente data fra Skattetatens API, uten brukerens involvering, med den samme risikoen som ved lovhjemmelbasert deling. Husbanken er avhengige av oppdaterte opplysninger for å fatte vedtak.
Problemet var at dersom søkeren ikke samtykket, ble ikke søknaden om bostøtte behandlet. En slik kobling mellom samtykke og ytelse skaper tvil om samtykket er frivillig. Personvernnemnda behandlet dette i 2015 (sak 2014-03), og flertallet kom til at det ikke kunne være en forutsetning å samtykke til innhenting av data for å få behandlet søknaden.
Personvernnemndas flertall gir eksempler på legitime grunner til at søkeren ikke ønsker å samtykke til at Husbanken henter opplysninger direkte fra kildene, og de beskriver samtidig en alternativ løsning på problemstillingen: «For å avhjelpe en slik uheldig situasjon [at Husbanken ikke kan hente opplysninger], kan søker velge, i henhold til vanlige saksbehandlingsprinsipper, selv å fremlegge den informasjon som saksforberedende instans anser påkrevd.»(29)Se: https://personvernnemnda.no/2014/08/20/pvn-2014-03-husbanken/ (min understreking) På den måten blir ikke samtykke et krav for å få en ytelse, men et frivillig alternativ.(30)Jeg er klar over at et viktig poeng for Husbanken var å få oppdaterte opplysninger om inntekt gjennom året, som en kontroll av at det ikke skjedde større endringer i inntekten. Etter min mening er det ikke noen prinsipiell forskjell i å samtykke til innhenting eller levere opplysninger selv i forbindelse med søknaden, og til slik jevnlig oppdatering av opplysninger. Kan hende ville ikke Husbanken hatt kapasitet til å håndtere søkernes opplysninger på den måten, men såvidt jeg vet er det ingen som vet sikkert hvor stor andel av søkerne som ville velge å samtykke slik at Husbanken fikk opplysningene direkte fra Skatteetaten. Det er jo god grunn til å tro at mange ville foretrekke det siden det krever mindre manuelt arbeid. Et annet argument mot samtykke kan være hensynet til de svakeste; at alt som øker kompleksiteten i prosessen for å få bostøtte, først og fremst rammer de som trenger bostøtte aller mest.
Bostøtteloven ble etterhvert endret slik at samtykkekravet ble fjernet. Høringen av lovendringen ble gjennomført før personvernnemndas avgjørelse kom. Det kan forklare at den alternative løsningen som Personvernnemnda beskrev, ikke ble drøftet i høringsnotatet. Departementet skrev følgende om bakgrunnen for lovforslaget:
«Det er ikke tilfredsstillende at innhenting og bruk av opplysninger er avhengig av at søkeren samtykker. Reelt sett har ikke søkeren noe annet alternativ enn å samtykke hvis vedkommende skal få sin søknad behandlet. Et slikt samtykke oppfyller derfor neppe kravet til informert og frivillig samtykke etter personopplysningsloven § 2 nr. 7.» Departementet foreslår derfor å fjerne samtykkekravet.» (min understreking)
Det er riktig at de som søkte bostøtte reelt sett ikke hadde noe annet valg enn å samtykke. Men de kunne hatt et valg, dersom det ble lagt til rette for det. Alternativet ville vært det som dengang var, og fortsatt antageligvis er, det mest vanlige i slike søknadsprosesser, å få opplysningene fra søkeren selv. Eller for å bruke formuleringen fra Personvernnemnda: « kan søker velge [...] selv å fremlegge den informasjon som saksforberedende instans anser påkrevd.»
Jeg mistenker at historien om bostøtteloven som ble endret for å fjerne krav til samtykke, har bidratt til at mange jurister sitter med det feilaktige inntrykket av at samtykkebasert deling av data mellom offentlige virksomheter ikke er tillatt. Det er lett å få bekreftet en slik feiloppfatning ved å lese Datatilsynets veiledning om rettslig grunnlag.(31)Se tidligere omtale av Datatilsynets veileder. Datatilsynets høringssvar til endringen i bostøtteloven tok forøvrig heller ikke opp at den problematiske koblingen mellom samtykke og behandling av søknaden kunne blitt løst ved å gi brukeren et alternativ. Se: https://www.regjeringen.no/no/dokumenter/Horing--endringer-i-bostotteloven/id2005783/?showSvar=true&consterm=&page=1&isFilterOpen=true
Ikke-deling av inntektsopplysninger
Jeg startet artikkelen med å se på fordeler for personvernet ved digital deling. Dersom opplysninger ikke deles, men må oppgis og dokumenteres av innbyggeren selv, så går innbyggeren med andre ord glipp av noe som kan styrke deres personvern. Det er derfor ikke alltid sånn at man kan ivareta personvernet best mulig ved å la være å dele.
For å illustrere dette kan vi se for oss en situasjon der en innbygger er i konflikt med en offentlig myndighet. I den sammenhengen er styrkeforholdet skjevt, og innbyggeren føler seg liten og rådvill. I en sånn situasjon vil det være verdifullt å søke hjelp hos en advokat.
Utfordringen er at det er kostbart med advokat. Vedkommende er ikke klar over at det finnes en ordning med økonomisk støtte til rettshjelp, som forvaltes av Statsforvalteren. Men hen har flaks, og får et treff ved et søk på nettet etter juridisk bistand: Et advokatfirma tilbyr gratistjenesten «Kan du få fri rettshjelp?»(32)Tjenesten er fiktiv, men det finnes nettsider som informerer om muligheten, og forklarer hva vilkårene er. Det er ganske mye informasjon å lese og forstå. Dette er for øvrig også en tjeneste som jeg ser for meg at vil kunne tilbys av organisasjoner som f.eks. Skattebetalerforeningen, Løvemammaene eller Stiftelsen Rettferd. Brukere av tjenesten kan registrere inntektsopplysninger, før de deretter får svar om de har rett til fri rettshjelp. Bakgrunnen for konflikten er at en etat har krevd tilbakebetaling etter å ha gitt støtte, fordi innbyggeren ikke klarte å levere korrekt dokumentasjon. Det å finne frem til relevante opplysninger, og å sende inn riktig dokumentasjon, er en vanskelig oppgave for en som ikke har oversikt og orden.
I en sånn situasjon ville det vært nyttig for innbyggeren å kunne samtykke til at Skatteetaten delte relevante inntektsopplysninger med tjenesten. Det ville gjøre prosessen enklere, raskere og resultatet sannsynligvis riktigere. I neste omgang kunne den samme samtykketjenesten blitt brukt til å søke om fri rettshjelp hos Statsforvalteren. Den digitale søknaden som finnes for dette idag, krever at brukeren manuelt fyller ut inntektsopplysninger og deretter laster opp dokumentasjon.
Idag er det ikke mulig å samtykke til deling av inntektsopplysninger hverken med advokattjenesten eller Statsforvalteren – altså hverken med en privat aktør eller en offentlig virksomhet. Manglende mulighet til å dele egne opplysninger, er etter min mening også et eksempel på begrensninger i kontroll over egne opplysninger, som dermed fører til et svakere personvern.(33)Jeg mener ikke at dette er en svekkelse av personvernet i forhold til nåsituasjonen. Det er en svekkelse i forhold til hva som både teknologisk og rettslig bør være relativt enkelt å realisere, siden vi allerede har SBL og dermed de nødvendige byggeklossene. Det er fristende å bruke sammenligningen med bankkontoen igjen, men forhåpentligvis er poenget tydelig nok.
Eksempelet kan forhåpentligvis bidra til å illustrere poenget i den tidligere nevnte veilederen fra Justis- og beredskapsdepartementet, der det står at «I noen tilfeller vil forvaltningen ha en maktposisjon overfor borgeren.» At det i noen tilfeller kan være problematisk, betyr at det i andre tilfeller er helt uproblematisk. I eksempelet jeg nettopp ga, kan man til og med si at reglene som gir innbyggerne rett til å dele data kan bidra til at de får styrket sin egen maktposisjon vis-à-vis myndighetene.
Spesielt om kommunenes drastisk økte tilgang til inntektsopplysninger
Jeg håper jeg har fått tydelig frem at deling basert på samtykke kan gi noen fordeler for personvernet, og at det er lov å basere deling fra og mellom myndigheter på samtykke. Derfor bør det etter min mening gjøres en vurdering av om samtykke eller lovhjemmel er den beste løsningen når opplysninger skal deles.
En slik vurdering blir dessverre ofte ikke gjort. En god illustrasjon er samarbeidet mellom KS og Skatteetaten, som har pågått i ca. ti år, om deling av inntektsopplysninger med kommunene.(34)I 2017 ga jeg innspill til noen av deltagerne i dette samarbeidet, men uten at jeg fikk gjennomslag for mine synspunkter. Jeg har vært i tvil om jeg burde nevne dette i artikkelen, og konkludert med at det er ryddig å være åpen om det. Forhåpentligvis bidrar det til ekstra kritisk lesing. De siste årene har dette samarbeidet resultert i store endringer. Alle landets 357 kommuner er i ferd med å få tilgang til inntektsopplysninger på et økende antall tjenesteområder, bl.a. oppholdsbetaling for barnehage og SFO.
Hvor mye øker risikoen for at inntektsopplysninger kommer på avveie når kommunene får tilgang til opplysningene? Selv om antall kommuner er relativt konstant, øker antallet ansatte og systemleverandører for hver ny kommunal tjeneste som får en slik tilgang. Det er identifisert ca. tredve lovpålagte kommunale tjenester der inntektsopplysninger fra Skatteetaten benyttes i saksbehandlingen. Ettersom det ikke finnes noen måte å reservere seg på, mener jeg det utgjør et stort inngrep i kontroll over egne opplysninger, fordi det er en voldsom økning i antall virksomheter og ansatte som har direkte tilgang til inntektsopplysninger fra Skatteetaten.
Samarbeidet mellom KS og Skatteetaten om tilgang til inntektsopplysninger har pågått som en serie prosjekter siden 2015, og det er åpenbart at arbeidet har bidratt til verdifull innsikt om bl.a. utfordringene knyttet til uklarheter i begrepsbruk i lover og forskrifter, ulikheter i forståelsen av reglene på tvers av kommuner, usikkerhet om kommunenes adgang til å gi egne regler osv. Men på et viktig område mener jeg arbeidet lider av en stor svakhet: Samarbeidet har for tidlig og på feil grunnlag, låst seg til at delingen skal skje med lovhjemmel.
Den første delen av arbeidet var en konseptutredning som munnet ut i en kombinert rapport og veileder i 2017 for hvordan det skulle jobbes videre med kommunenes tilgang til inntektsopplysninger.(35)Veileder - Konseptutredning for bruk av inntektsopplysninger fra a-ordningen, se: https://www.ks.no/globalassets/fagomrader/digitalisering/veileder-uak-2017.pdf I rapporten fremgår det at samtykke ble vurdert som et juridisk hinder for deling av data.(36)Dette fremgår av en figur i kapittel 6.2.2 i rapporten. Dette er til tross for at rapporten etter min mening har en god beskrivelse av det juridiske rundt samtykkebasert deling i kapittel 6.2.3.1.4, bl.a. med henvisning til forvaltningslovens § 13a nr 1. Videre understrekes det at de identifiserte hindrene er generelle, på tvers av ulike kommunale tjenester.(37)Slik jeg tolker rapportens beskrivelse av organisering av arbeidet og deltagere i møter der hindrene ble identifisert, var det primært jurister og saksbehandlere med erfaring fra tjenesteområdet økonomisk sosialhjelp som deltok, og ikke for eksempel it-arkitekter med kunnskap om digitale samtykkeløsninger. Dessuten viser rapporten at Skatteetaten hadde identifisert hvilken hjemmel i eget regelverk de ønsket å benytte som grunnlag for å avgi opplysninger: «Skatteforvaltningsloven § 3-3 bokstav h er hjemmelen [Skatteetaten] ønsker at kommunene forholder seg til og som krever en hjemmel i den aktuelle innbyggertjenesten sin lovbestemmelse.» (s. 24). § 3-3 handler om at taushetsplikten ikke er til hinder for å gi ut opplysninger til andre offentlige myndigheter som trenger dem til sine lovpålagte oppgaver. Dette ønsket fra Skatteetaten i sin tid, er naturlig å tolke som at regelen i skatteforvaltningslovens § 3-7 bokstav a, «opplysninger gjøres kjent i den utstrekning de som har krav på taushet samtykker», ikke var ønsket.
At det ikke synes å ha blitt foretatt noen reell vurdering av samtykke som alternativ til lovhjemmel for noen av tjenesteområdene siden 2017, viser seg også i rapportene fra prosjektene de siste årene. Det er laget rapporter for de enkelte tjenesteområdene og en sluttrapport.(38)Sluttrapporten inneholder lenker til de andre rapportene, men ikke alle lenkene fungerer. Sluttrapporten er tilgjengelig her: https://www.ks.no/contentassets/9259453972fd48f9b20a97ffda9f038f/Sluttrapport-fra-prosjekt-Kommunesektorens-behov-for-digital-tilgang-til-nodvendige-opplysninger-fra-Skatteetaten.pdf I sluttrapporten er ikke samtykke nevnt en eneste gang, mens det i f.eks. i rapporten «Rettslig grunnlag for utlevering av inntekts- og
skatteopplysninger til bruk ved vedtak om tildeling av kommunale bostøtteordninger» kun er nevnt argumenter mot samtykke, eksempelvis at det er komplisert å håndtere samtykke i IT-systemer.(39)Se side 14 i rapporten, som for øvrig ser ut til å være et juridisk arbeid, uten deltagere med spesialisering innen IT: https://ksdigital.no/wp-content/uploads/2024/09/Rettslig-grunnlag-for-deling-pa-det-boligsosiale-omradet.pdf
Et tilleggspoeng ved samarbeidet om kommunenes tilgang til inntektsopplysninger er at KS og Skatteetaten mener tilgangen ofte kan etableres med utgangspunkt i eksisterende lovgivning. Det eksisterende regelverket inneholder etter deres mening tilstrekkelige hjemler for å gi kommune tilgang:
«I det juridiske arbeidet har vi prioritert å finne handlingsrommet i eksisterende rettskilder heller enn å endre regelverk. Dette fordi endring av lovverket ofte tar uforholdsmessig lang tid, slik at de gode løsningene ikke kommer på plass selv om alt bortsett fra jusen legger til rette for det.»
Når skatteforvaltningslovens § 3-3 bokstav h gjør det mulig å hjemle tilgang til opplysninger i eksisterende lovgivning for de kommunale tjenestene, blir det ikke gjennomført noen regelverksendringer med tilhørende høringer. Som tidligere nevnt viser dokumentasjonssidene til Skatteetaten hvilke tjenester som har tilgang til API-er basert på hjemmel eller samtykke. Men det står ikke nærmere angitt hvilkenkonkret lovhjemmel det siktes til som gir mottakeren rett til å hente opplysninger direkte fra Skatteetaten. For kommunale tjenester finnes informasjonen til gjengjeld delvis i sluttrapporten fra samarbeidsprosjektet. Sluttrapporten inneholder en oppsummering av hva som er kommunenes hjemmel på ulike tjenesteområder, og lenker til de konkrete utredningene for hvert område.(40)Se sluttrapportens kapittel 6.3. For enkelte tjenesteområder er det kommentert følgende: «Lov og forskrift har ikke tilstrekkelig hjemmelsgrunnlag for å hente opplysninger fra Skatteetatens delingstjeneste, her må FoU-prosjektets samlede rettskildegrunnlag brukes i tillegg».
Samtykke er altså enten ikke nevnt, eller det er negativt omtalt. Men hvordan har KS og Skatteetaten vurdert forholdet mellom de som uansett utsetter seg for økt risiko for opplysninger på avveie ved å søke kommunale tjenester, og resten av befolkningen? Jeg har ikke funnet noe i dokumentene fra samarbeidet mellom KS og Skatteetaten som problematiserer hvordan man kan avgrense hvilke personer hver kommune kan hente opplysninger om. Dersom det er slik at hver kommune kun kan hente opplysninger om personer med folkeregistrert adresse i egen kommune, så har det stor betydning for forholdstallet mellom disse to gruppene. Men det er uklart om dette er praksis, fordi spørsmålet hverken er tatt opp i veilederen fra 2017 eller i noen av de senere rapportene fra samarbeidet som jeg har lest. Videre er det uklart for meg om en kommune må kunne behandle opplysninger om søkere fra andre kommuner. Barnehage er ihvertfall en tjeneste som er åpen for søkere fra andre kommuner, for å gjøre det mulig å skaffe barnehageplass før man har flyttet til et nytt hjem.
For å oppsummere, så har samarbeidet mellom KS og Skatteetaten om deling av inntektsopplysninger svært tidlig konkludert med at samtykke er uegnet, for alle relevante tjenesteområder. Samtidig har de etablert en arbeidsmetodikk som gjør at det ofte ikke er nødvendig å gjennomføre regelverksendringer. Isteden tolkes nødvendige lovhjemler inn i eksisterende regelverk. Dette fører til at innbyggeren hverken har påvirkningsmulighet gjennom å kunne nekte deling av egne opplysninger, eller mulighet til å påvirke gjennom høringer.
Veien videre: Opprydding om samtykke
Når samtykke av ulike årsaker blir definert som uaktuelt, ender vi dessverre med en situasjon der vi diskuterer om det er riktig å dele data, eller ei, og baserer oss på lovhjemmel når vi mener svaret er ja. Det er mange gode grunner til at data bør deles, og det er også sterke politiske føringer om å dele mer, bl.a. målet om «Kun én gang». Dermed blir konklusjonen normalt ja til deling uten at vi gjennomfører den viktige drøftingen av hvordan det er riktig å dele i de ulike situasjonene for å oppnå best mulig personvern.
Spørsmålet nå er hvordan vi kan endre situasjonen.
Etter min mening bør det være standard at jeg har mulighet til å dele opplysninger om meg selv, med de jeg ønsker å dele med.(41)Dette er slik jeg oppfatter det også det som er målet med Dataforvaltningsforordningen, som var på høring i høst, nemlig at offentlig sektor skal legge til rette for å dele beskyttede data, f.eks. med samtykke fra den det gjelder. Istedenfor at det utelukkende settes søkelys på faren for at innbyggerne lar seg lure til å dele data med noen som misbruker opplysningene, bør vi også legge vekt på tre andre forhold: For det første vil denne muligheten for deling i mange tilfeller brukes til å dele opplysninger med andre offentlige etater, og dermed bidra til målet om «Kun én gang». For det andre er det den offentlige etaten som er avgiver av opplysningene og dermed har dialogen med brukeren som skal samtykke. Det kan for eksempel fremgå tydelig i dialogen at avgiveren ikke tar ansvar for sikkerheten og personvernet hos mottakeren. Og for det tredje bør vi huske at slik deling kan hjelpe innbyggerne med å navigere i sine rettigheter og plikter, på en måte offentlig sektor selv dels ikke prøver, og dels aldri vil kunne klare, på grunn av begrensede muligheter til å ta ansvar for rådgiving. Å legge til rette for deling kan med andre ord gi innbyggerne mulighet til å la seg hjelpe av teknologi for å styrke sin maktposisjon overfor myndighetene.
For å få til endringer tror jeg det er nødvendig at relevante myndigheter klargjør både hva som er lovlig og hva som er ønskelig. Et åpenbart første steg er å følge opp Personvernkommisjonens forslag fra 2022:
«Personvernkommisjonen anbefaler at regjeringen utreder om en samtykkebasert gjennomføring av «kun-en-gang’-prinsippet vil kunne avhjelpe noen av personvernulempene som oppstår ved deling av personopplysningen mellom offentlige etater.»
Det er vel og merke viktig at utredningen ikke kun ser på deling mellom offentlige etater, men også hvordan det henger sammen med deling med private aktører.
Men i parallell bør ideelt sett relevante, eksisterende dokumenter oppdateres før en større utredning er gjennomført. Datatilsynet bør starte med å oppdatere sin veileder om rettslig grunnlag, f.eks. ved å se på hvordan deres danske søsterorganisasjon nyanserer informasjonen om samtykke. Videre bør det tas inn en setning i Digitaliseringsrundskrivet om at det ved deling av data skal gjøres en vurdering mellom samtykke og lovhjemmel.(42)Se: https://www.regjeringen.no/no/dokumenter/digitaliseringsrundskrivet/id3025117/ Digitaliseringsdirektoratet bør også endre teksten i sin veileder om digitaliseringsvennlig regelverk, der de oppfordrer til å lage hjemler for deling, som det er vanskelig å tolke på annen måte enn at deling ikke skal baseres på samtykke.(43)«Lag hjemler som gjør det mulig å dele nødvendige data med virksomheter dere trenger å samarbeide med i og utenfor egen sektor.». Se: https://www.digdir.no/datadeling/generelle-anbefalinger-lage-digitaliseringsvennlig-regelverk/2868#3_del_data_nr_dere_kan_skjerm_nr_dere_m Digitaliseringsdirektoratet har dessuten en artikkel på sine nettsider som diskuterer samtykke, og anerkjenner at det er mye usikkerhet og uklarhet ved bruk av samtykke. Artikkelen har mange gode poeng, men jeg mistenker at den havner i skyggen av veilederen om digitaliseringsvennlig regelverk og Datatilsynets veiledning.(44)Se: https://www.digdir.no/sammenhengende-tjenester/bruk-av-samtykke-i-offentlig-sektor/3707
Datatilsynets veileder om DPIA bør oppdateres for å tydeliggjøre at ved deling av data må man skille mellom to grupper: Den gruppen som uansett vil få opplysninger utsatt for risiko, og de som blir omfattet av økt risiko, dersom det blir etablert deling basert på lovhjemmel. Uten å se på konsekvensene for disse gruppene opp mot hverandre, er det vanskelig foreta en helhetlig vurdering. Med deling basert på samtykke kan personvernet til én gruppe forbedres, uten at det svekker personvernet til andre. Med hjemmel aksepterer man en økt risiko for en gruppe for å få økt personvern for en annen gruppe.
Med deling basert på samtykke kan personvernet til én gruppe forbedres, uten at det svekker personvernet til andre.
Fra detaljerte opplysninger til vilkårsprøving
I diskusjoner om dette temaet tidligere, har jeg hatt problemer med å få frem at jeg ikke er imot deling basert på lovhjemmel. Jeg har vært opptatt av å få frem fordelene med samtykke fordi jeg mener disse to alternativene må vurderes opp mot hverandre i hvert enkelt tilfelle. Derfor vil jeg til slutt også si noe om potensialet for å forbedre personvernet når deling skjer basert på lovhjemmel.
En fordel med deling basert på lovhjemmel, som jeg tror kan utnyttes mye bedre enn idag, er muligheten for radikal dataminimering ved å flytte logikken som skal utføres på opplysningene fra mottakeren av dataene og inn i API-et hos avgiveren av dataene. For å illustrere det med inntektsopplysninger: Siden deling med lovhjemmel tilsier at mottakeren har hjemmel for saksbehandlingen, betyr det at vi i en del tilfeller kan vite detaljert hvordan inntektsopplysningene brukes for å teste om vilkår er oppfylt. Isåfall er det mulig å flytte denne vilkårsprøvingen til API-et hos Skatteetaten.
Som vi så i forbindelse med deling av inntektsopplysninger med kommunene, så gjøres det en nøye gjennomgang av regelverkene for de ulike kommunale tjenestene, for å identifisere hvilke opplysninger kommunene har hjemmel til å få fra Skatteetaten. Istedenfor å stoppe der, kunne de også forsøkt å identifisere nøyaktig hvordan opplysningene brukes som del av vilkårsprøvingen i reglene. Istedenfor en API-forespørsel etter en rettighetspakke som gir et sett med detaljerte inntektsopplysninger, kunne forespørselen istedenfor vært et uttrykk som returnerer ja eller nei, dersom for eksempel summen av elementene x, y, z minus summen av elementene æ, ø, å er lavere enn en grenseverdi. Sikkerhetsmekanismer i API-et kunne sjekke at de ulike mottakerne kun sendte spørringer i tråd med deres rettslige behov.(45)En litt lignende løsning er Microdata.no, som leveres av SSB og SIKT. Her kan det foretas analytiske spørringer på detaljerte data hos SSB, slik at kun resultatene av spørringene deles med brukeren. Se: https://www.microdata.no/ Dersom deling basert på lovhjemmel ble løst på denne måten blir det mye mindre økning i risikoen for opplysninger på avveie, både for den gruppen som ufrivillig får økt risikoen for opplysninger på avveie, men også for de som uansett kommer til å dele data med mottakeren.(46)Det kan godt tenkes at det vil være mulig å bruke samme tilnærming for beregningsregler, og ikke bare vilkårsprøving.
Antagelig ville denne typen deling også fungere som en pådriver for automatiseringsvennlig regelverk hos de som ønsker å motta inntektsopplysninger, siden det bør være lavere terskel for å ha hjemmel til å hente et ja-nei-svar fra Skatteetaten, enn et sett av detaljerte inntektsopplysninger. Kanskje vil det også gjøre mottakerne mindre attraktive som mål for hackere og utro tjenere, ettersom de ikke lenger er en del av angrepsflaten for å få uautorisert tilgang til detaljerte opplysninger fra Skatteetaten. Uansett er det grunn til å anta at utgifter til informasjonssikkerhet og personvern til en viss grad øker når mengden detaljerte opplysninger en virksomhet har tilgang til øker, så om ikke annet er det et potensiale for å redusere kostnader ved en slik tilnærming.(47)Det er ingenting i veien for å bruke den samme metoden for å oppnå dataminimering ved samtykkebasert deling heller, selvsagt. I noen tilfeller kan metoden med vilkårsprøving hos den aktøren som har dataene fra før, danne grunnlaget for å identifisere hvem som har rett på en ytelse (såkalt proaktive tjenester), og deretter invitere de det er aktuelt for til å sende søknad og samtykke til deling av detaljerte opplysninger. Det kan balansere et mål om å gjøre det enklere å få tjenestene man har krav på, uten at det blir delt for mange detaljer om hver enkelt innbygger.
Jeg, og ikke minst leseren, skylder en stor takk til medredaktør Trine Shil Kristiansen, som har påpekt en rekke uklarheter og foreslått forbedringer til teksten.
Noter
- Temaet er digital deling og hvordan det påvirker personvernet. Men jeg vil for enkelhets skyld bare bruke «deling» heretter.
- Daværende seksjonssjef for informasjonssikkerhet i Difi, Lillian Røstad, skrev en kronikk som svar til Datatilsynet i 2014, for å vise hvordan deling kan styrke personvernet og informasjonssikkerheten. Se: https://www.digi.no/artikler/deling-er-ikke-farlig/289733
- Dette ble bl.a. trukket frem av daværende skattedirektør Hans Christian Holte ved lanseringen av Samtykkebasert lånesøknad, se: https://www.skatteetaten.no/presse/nyhetsrommet/enklere-a-soke-boliglan/
- En ulempe som er spesifikk for digital deling, men som jeg ikke vil gå nærmere inn på her, er at de som avgir opplysningene får vite hvem som mottar dem. Hvis brukeren selv sender inn dokumentasjon om inntekt, får ikke Skatteetaten vite at en person søker bostøtte. Dette er også et av poengene til Personvernnemnda i saken jeg omtaler senere i artikkelen. Å løsrive avgiver og mottaker ved digital deling er forøvrig teknisk mulig, for eksempel med en tredjepart i mellom. Det er også en av fordelene flere trekker frem ved innføringen av såkalte «lommebøker» (wallets) for deling av opplysninger.
- Se bl.a. regjeringens sider «Hva er personvern?», https://www.regjeringen.no/no/tema/statlig-forvaltning/personvern/hva-er-personvern/id448290/ Datatilsynet har flere ganger brukt formuleringen «Den enkeltes rett til å ha kontroll med egne personopplysninger» som definisjon av personvern, se bl.a. https://www.nokios.no/wp-content/uploads/presentasjoner/2017/s3b-gdpr-datatilsynet-martha-eike.pdf
- Fra vilkårene for deling: «Partene, som er Skatteetaten og Konsumenten, plikter å følge sine lovpålagte krav til innhenting, utlevering og behandling av opplysningene. Opplysningene som utveksles skal ikke benyttes til formål som faller utenfor det rettslige grunnlaget.» (min utheving) Kilde: https://www.skatteetaten.no/globalassets/deling/dokumenter/delingsvilkar-1.3-konsument.pdf
- Det er helt sikkert noen mekanismer som vil slå alarm og stanse tilgangen dersom det kommer uvanlig mange forespørsler fra Husbanken over kort tid, men med varsom bruk av en slik ulovlig tilgang, er det grunn til å tro at det vil være mulig å hente ut opplysninger om mange personer over tid. Husbanken vil trolig også forsøke å sikre at det er sammenfall mellom saker i saksbehandlingssystemet og oppslag mot Skatteetatens API, og på den måten fange opp misbruk. Men det endrer ikke poenget med at den digitale delingen med Husbanken åpner en ny vei inn til inntektsopplysningene i Skatteetaten, og at informasjonssikkerheten i Husbanken er avgjørende for hvor vanskelig det er å utnytte den.
- At risikoen uunngåelig øker, betyr selvsagt ikke at vi aldri bør åpne for direkte tilgang til inntektsopplysninger basert på lovhjemmel.
- Hvis vi ikke hadde hatt deling av inntektsopplysninger mellom Skatteetaten og Husbanken, men prosessen isteden hadde vært basert på at søkerne sendte inn opplysninger og dokumentasjon som så ble registrert i Husbankens systemer, ville hackere eller utro tjenere som lyktes med å få uautorisert adgang til Husbankens systemer, også fått tilgang til inntektsopplysninger om alle som søker bostøtte.
- Det kan argumenteres for at den gruppen som ikke selv søker bostøtte har fordelen av datadelingen gjennom at kostnadene til administrasjon av bostøtteordningen blir lavere og at det reduserer faren for misbruk, og dermed blir det lavere skatter og et bedre sikkerhetsnett. Men dette er fordeler som i stor grad også kan oppnås ved samtykkebasert deling.
- Dette er min gjetting basert på at antall søkere om bostøtte i 2023 ifølge Husbankens årsrapport var 190.000 og at jeg antar at hver søker representerer en husstand med mellom to og tre personer.
- I 2015 ble det gjort endringer i lov om bostøtte, som ga tydelige hjemler til innhenting av opplysninger fra andre både til saksbehandling og kontroll, og Datatilsynet uttalte seg positivt til endringene. Se mer om bostøtteordningen og lovendringen senere i artikkelen.
- Se: https://skatteetaten.github.io/api-dokumentasjon/api/inntekt?tab=Om+tjenesten
- Se: https://www.landbruksdirektoratet.no/nb/reindrift/reindrift-i-norge/reindriftsnaeringen
- Hvilke vurderinger ligger bak lovhjemmelen for å dele inntektsopplysninger digitalt i forbindelse med reindriftstilskudd? Hjemmelen fremgår av forskrift om reindriftstilskudd, og den aktuelle regelen som gir adgang til å hente opplysninger direkte fra Skatteetatens API kom inn gjennom en forskriftsendring i 2023, se: https://lovdata.no/pro/#document/LTI/forskrift/2023-06-21-1014. Forskriftsendringen fulgte av reindriftsavtalen. Såvidt jeg har klart å finne ut har ikke regelendringen som førte til lovhjemmel for å hente inntektsopplysninger, vært på høring.
- I noen tilfeller kan kanskje Skatteetaten til en viss grad vite på forhånd hvilke personer det er relevant for etatene å be om opplysninger om, for eksempel aldersgrupper, kommunetilhørighet eller lignende.
- Se pressemeldingen fra Skatteetaten: https://www.skatteetaten.no/presse/nyhetsrommet/enklere-a-soke-boliglan/
- Se https://forenkling.brreg.no/dsop-oppsummerer-2018-enklere-hverdag-og-store-gevinster/ SBL er resultat av et samarbeid mellom finansnæringens interesseorganisasjon, Finans Norge, og de to statlige virksomhetene Skattedirektoratet og Brønnøysundregistrene. Finans Norge representerte bankene, Skattedirektoratet samler inn og satt på oppdaterte opplysninger om nordmenns inntekt, og Brønnøysundregistrene hadde på den tiden ansvaret for Altinn, som ble videreutviklet slik at en innlogget bruker kunne gi et samtykke til å utlevere opplysninger fra Skatteetaten. SBL vant Digitaliseringsprisen i 2018.
- Dette merker forøvrig brukere av SBL ved at de blir bedt om å logge seg på på nytt når de skal gi samtykke. De har allerede logget seg på nettbanken, men Skatteetaten krever innlogging via ID-porten.
- Det kan argumenteres for at bruk av samtykke gir bedre oppfyllelse av informasjonsplikten om behandling av opplysninger enn ved deling basert på lovhjemmel. Men slik jeg ser det så gjør samtykke det enklere å gjøre det riktig, siden det uansett er dialog med den som opplysningene gjelder, men det er fortsatt mulig å gi god informasjon også ved lovhjemmelbasert deling (selv om det ikke er så vanlig).
- Selv om jeg er positiv til SBL, mener jeg likevel det er endringer som kan gjøres for å styrke personvernet, f.eks. for å gjøre det enda tydeligere hvilke opplysninger som deles («Show, don’t tell»).
- Se: https://dokumentasjon.dsop.no/dsop_su_om.html
- Digitalisering der løfter samfundet. Den fællesoffentlige digitaliseringsstrategi 2022-2025 (Regeringen, KL, Danske Regioner, juni 2022). Se: https://digst.dk/media/oyddkfru/digst_fods_webtilgaengelig.pdf
- Se: https://digst.dk/it-loesninger/digitalt-samtykke/
- Digital Agenda for Norge (2016, kapittel 7.3: «Hjemmel som forutsetning for gjenbruk». Se: https://www.regjeringen.no/no/dokumenter/meld.-st.-27-20152016/id2483795/?ch=2#kap7-3Hvorvidt dette var ment å utelukke samtykke, måtte statsråd Jan Tore Sanner svare for i skriftlig spørsmål stilt av stortingsrepresentant Torstein Tvedt Solberg, se: https://www.stortinget.no/no/Saker-og-publikasjoner/Sporsmal/Skriftlige-sporsmal-og-svar/Skriftlig-sporsmal/?qnid=44614
- De tre eksemplene på samtykkebaserte tjenester er alle del av DSOP-samarbeidet, og det ligger mye god dokumentasjon på DSOPs nettsider, se: https://dokumentasjon.dsop.no/. Men dokumentasjonen går ikke inn på detaljene for jussen rundt samtykke. Gjennom uformell dialog med personer involvert i de ulike prosjektene, har jeg fått litt mer detaljer, men jeg synes ikke det er riktig å gjengi det her, siden det ikke er offisielle svar fra etatene. Det viktigste for meg er uansett å få frem at det ikke bør være noe tvil om lovligheten.
- Formuleringen er hentet masteroppgaven ved det juridiske fakultet fra 2022, «Offentlige myndigheters bruk av samtykke som rettslig grunnlag for behandling av personopplysninger», side 35. I oppgaven sammenlignes også veiledningen fra det norske og det danske datatilsynet. Sistnevnte har en mye mer nyansert beskrivelse av offentlig sektors adgang til å bruke samtykke. Oppgaven er tilgjengelig her: https://www.duo.uio.no/bitstream/handle/10852/96386/Masteroppgave_Offentlige-myndigheters-bruk-av-samtykke.pdf?sequence=1
- Det var altså ikke Skatteetaten som ba søkeren om å samtykke til å utlevere opplysningene, men Husbanken som ba brukeren om samtykke til å hente opplysninger fra Skatteetaten. Siden Skatteetaten dermed ikke forholdt seg direkte til brukeren, så måtte Husbanken uansett ha tilgang til å hente data fra Skattetatens API, uten brukerens involvering, med den samme risikoen som ved lovhjemmelbasert deling.
- Se: https://personvernnemnda.no/2014/08/20/pvn-2014-03-husbanken/
- Jeg er klar over at et viktig poeng for Husbanken var å få oppdaterte opplysninger om inntekt gjennom året, som en kontroll av at det ikke skjedde større endringer i inntekten. Etter min mening er det ikke noen prinsipiell forskjell i å samtykke til innhenting eller levere opplysninger selv i forbindelse med søknaden, og til slik jevnlig oppdatering av opplysninger. Kan hende ville ikke Husbanken hatt kapasitet til å håndtere søkernes opplysninger på den måten, men såvidt jeg vet er det ingen som vet sikkert hvor stor andel av søkerne som ville velge å samtykke slik at Husbanken fikk opplysningene direkte fra Skatteetaten. Det er jo god grunn til å tro at mange ville foretrekke det siden det krever mindre manuelt arbeid. Et annet argument mot samtykke kan være hensynet til de svakeste; at alt som øker kompleksiteten i prosessen for å få bostøtte, først og fremst rammer de som trenger bostøtte aller mest.
- Se tidligere omtale av Datatilsynets veileder. Datatilsynets høringssvar til endringen i bostøtteloven tok forøvrig heller ikke opp at den problematiske koblingen mellom samtykke og behandling av søknaden kunne blitt løst ved å gi brukeren et alternativ. Se: https://www.regjeringen.no/no/dokumenter/Horing--endringer-i-bostotteloven/id2005783/?showSvar=true&consterm=&page=1&isFilterOpen=true
- Tjenesten er fiktiv, men det finnes nettsider som informerer om muligheten, og forklarer hva vilkårene er. Det er ganske mye informasjon å lese og forstå. Dette er for øvrig også en tjeneste som jeg ser for meg at vil kunne tilbys av organisasjoner som f.eks. Skattebetalerforeningen, Løvemammaene eller Stiftelsen Rettferd.
- Jeg mener ikke at dette er en svekkelse av personvernet i forhold til nåsituasjonen. Det er en svekkelse i forhold til hva som både teknologisk og rettslig bør være relativt enkelt å realisere, siden vi allerede har SBL og dermed de nødvendige byggeklossene.
- I 2017 ga jeg innspill til noen av deltagerne i dette samarbeidet, men uten at jeg fikk gjennomslag for mine synspunkter. Jeg har vært i tvil om jeg burde nevne dette i artikkelen, og konkludert med at det er ryddig å være åpen om det. Forhåpentligvis bidrar det til ekstra kritisk lesing.
- Veileder - Konseptutredning for bruk av inntektsopplysninger fra a-ordningen, se: https://www.ks.no/globalassets/fagomrader/digitalisering/veileder-uak-2017.pdf
- Dette fremgår av en figur i kapittel 6.2.2 i rapporten. Dette er til tross for at rapporten etter min mening har en god beskrivelse av det juridiske rundt samtykkebasert deling i kapittel 6.2.3.1.4, bl.a. med henvisning til forvaltningslovens § 13a nr 1.
- Slik jeg tolker rapportens beskrivelse av organisering av arbeidet og deltagere i møter der hindrene ble identifisert, var det primært jurister og saksbehandlere med erfaring fra tjenesteområdet økonomisk sosialhjelp som deltok, og ikke for eksempel it-arkitekter med kunnskap om digitale samtykkeløsninger.
- Sluttrapporten inneholder lenker til de andre rapportene, men ikke alle lenkene fungerer. Sluttrapporten er tilgjengelig her: https://www.ks.no/contentassets/9259453972fd48f9b20a97ffda9f038f/Sluttrapport-fra-prosjekt-Kommunesektorens-behov-for-digital-tilgang-til-nodvendige-opplysninger-fra-Skatteetaten.pdf
- Se side 14 i rapporten, som for øvrig ser ut til å være et juridisk arbeid, uten deltagere med spesialisering innen IT: https://ksdigital.no/wp-content/uploads/2024/09/Rettslig-grunnlag-for-deling-pa-det-boligsosiale-omradet.pdf
- Se sluttrapportens kapittel 6.3.
- Dette er slik jeg oppfatter det også det som er målet med Dataforvaltningsforordningen, som var på høring i høst, nemlig at offentlig sektor skal legge til rette for å dele beskyttede data, f.eks. med samtykke fra den det gjelder.
- Se: https://www.regjeringen.no/no/dokumenter/digitaliseringsrundskrivet/id3025117/
- «Lag hjemler som gjør det mulig å dele nødvendige data med virksomheter dere trenger å samarbeide med i og utenfor egen sektor.». Se: https://www.digdir.no/datadeling/generelle-anbefalinger-lage-digitaliseringsvennlig-regelverk/2868#3_del_data_nr_dere_kan_skjerm_nr_dere_m
- Se: https://www.digdir.no/sammenhengende-tjenester/bruk-av-samtykke-i-offentlig-sektor/3707
- En litt lignende løsning er Microdata.no, som leveres av SSB og SIKT. Her kan det foretas analytiske spørringer på detaljerte data hos SSB, slik at kun resultatene av spørringene deles med brukeren. Se: https://www.microdata.no/
- Det kan godt tenkes at det vil være mulig å bruke samme tilnærming for beregningsregler, og ikke bare vilkårsprøving.
- Det er ingenting i veien for å bruke den samme metoden for å oppnå dataminimering ved samtykkebasert deling heller, selvsagt. I noen tilfeller kan metoden med vilkårsprøving hos den aktøren som har dataene fra før, danne grunnlaget for å identifisere hvem som har rett på en ytelse (såkalt proaktive tjenester), og deretter invitere de det er aktuelt for til å sende søknad og samtykke til deling av detaljerte opplysninger. Det kan balansere et mål om å gjøre det enklere å få tjenestene man har krav på, uten at det blir delt for mange detaljer om hver enkelt innbygger.