NOU 2024:14 Med lov skal data deles
1 Innledning
Advokatforeningens tillitsvalgte advokater utfører et omfattende frivillig og ulønnet arbeid for å ivareta rettsstaten, rettssikkerheten og menneskerettighetene. En del av dette arbeidet består i å utarbeide høringsuttalelser.
Advokatforeningens høringsarbeid er organisert i 28 lovutvalg, oppdelt etter særskilte rettsområder og rettslige interesseområder. Om lag hundre høringsuttalelser utarbeides av Advokatforeningens tillitsvalgte advokater hvert år.
Alle våre høringsuttalelser er forfattet av advokater med ekspertise innenfor det rettsområdet som lovforslaget gjelder. En ekspertise som ikke er hentet kun fra juridisk teori, men fra advokatenes praktiske erfaring med å bistå sine klienter – i den norske rettsstatens hverdag. Denne høringsuttalelsen er skrevet ut fra Advokatforeningens ønske om å bidra til gode lovgivningsprosesser, og gode lover.
2 Sakens bakgrunn
Vi viser til høring fra Digitaliserings- og forvaltningsdepartementet av Viderebruksutvalgets utredning NOU 2024:14 Med lov skal data deles.
Dette høringssvaret er utarbeidet av Advokatforeningens lovutvalg for IKT og personvern. Lovutvalget består av Malin Tønseth (leder), Eirin Helen Hauvik, Christopher Sparre-Enger Clausen, Gry Hvidsten, Kari Gimmingsrud og Knut-Erik Jakhelln, som alle har lang erfaring og god kompetanse innfor det aktuelle rettsområdet.
3 Advokatforeningens kommentarer
Advokatforeningens har gjennomgått utvalgets forslag til ny regulering for viderebruk av offentlige data. Vi støtter utvalgets mål om å balansere behovet for økt deling og viderebruk av offentlige data med hensyn til nasjonal sikkerhet, personvern og immaterielle rettigheter. Forslaget representerer en viktig innsats for å fremme innovasjon, åpenhet og verdiskaping i Norge. Samtidig vil vi i det følgende gjerne kommentere noen områder særlig knyttet til IKT- og personvern.
3.1 Presisering av begrepet anonymisering
Advokatforeningen er enig med utvalget i at anonymisering er en forutsetning for trygg viderebruk av data. Imidlertid har vi tidligere påpekt (jf. kapittel 9.3.9 i utredningen) at begrepet «anonymisering» kan ha ulik betydning avhengig av rettsområde. For å unngå uklarhet anbefaler vi fortsatt at det klargjøres hvilken forståelse som legges til grunn.
Advokatforeningen har også tidligere fremhevet viktigheten av at anonymisering som en del av ordinært arbeid ikke skal gi grunnlag for betaling (jf. kapittel 12.3.29 i utredningen). Vi støtter fortsatt dette prinsippet og oppfordrer til tydelige retningslinjer for når kostnader kan påløpe, særlig i lys av uklarheter knyttet til uttrykket «dersom det er relevant».
3.2 Risiko for sammenstilling og re-identifikasjon
Som påpekt av Advokatforeningen i tidligere høringsuttalelser, er risikoen for sammenstilling og re-identifikasjon en kritisk utfordring ved deling av data. Selv anonymiserte data kan, når de kombineres med andre datasett, føre til utilsiktet eksponering av enkeltpersoner eller sensitive opplysninger.
For å redusere denne risikoen peker vi fortsatt på at man bør vurdere å etablere mekanismer for systematiske risikovurderinger før data gjøres tilgjengelige samt se på standardisering av anonymiseringsmetoder og krav om dokumentasjon av prosessen, slik vi også har foreslått tidligere i forbindelse med anonymisering.
3.3 Skjermingsverdig informasjon, personvern og nasjonale sikkerhetsutfordringer
Vi støtter utvalgets vurdering om at informasjon som kan skade personvernet eller true nasjonal sikkerhet, ikke skal omfattes av reglene for åpne data. Advokatforeningen understreker viktigheten av at deling av data ikke må gå på bekostning av slike grunnleggende hensyn.
Advokatforeningen har tidligere anbefalt at hensynene bør avspeiles i klare prosedyrer for risikovurdering og kontroll. Vi støtter derfor utvalgets forslag om å etablere sikre behandlingsmiljøer for sensitive data, og understreker behovet for detaljerte retningslinjer og tilsyn med disse miljøer.
3.4 Ansvar og håndheving
Ansvarsfordelingen mellom offentlige virksomheter som tilgjengeliggjør data og aktører som viderebruker data, bør tydeliggjøres. Dette har også vært en tilbakevendende anbefaling fra Advokatforeningen i tidligere høringer om personvern og informasjonssikkerhet. Vi anbefaler at det innføres et krav om å gjennomføre risikovurderinger før data deles. Videre bør det etableres sanksjonsmekanismer for å håndheve regelverket og forhindre misbruk av data.
3.5 Budsjettmessige og tekniske konsekvenser
Kravet om å gjøre dynamiske data tilgjengelige gjennom API-er kan medføre betydelige økonomiske og tekniske utfordringer for offentlige organer. Advokatforeningen understreker behovet for realistiske økonomiske rammer ved implementering av nye krav, særlig der dette berører grunnleggende rettigheter som personvern. Vi anbefaler derfor at det gjennomføres grundige konsekvensutredninger av kostnadene for implementering og drift. Offentlige virksomheter må gis tilstrekkelige ressurser til å møte de tekniske kravene, uten at dette går på bekostning av personvern og informasjonssikkerhet.
Vennlig hilsen
Siri Teigum Merete Smith
leder generalsekretær