Høring

Forslag til endringer i politiregisterloven og politiregisterforskriften – regulering av politiets bruk av KI til etterfølgende biometrisk fjernidentifikasjon

Publisert
Adressat
Justis- og beredskapsdepartementet
Skrevet av
IKT og personvern
Sendt 16. januar 2026

1     Innledning

Advokatforeningens tillitsvalgte advokater utfører et omfattende frivillig og ulønnet arbeid for å ivareta rettsstaten, rettssikkerheten og menneskerettighetene. En del av dette arbeidet består i å utarbeide høringsuttalelser. 

Advokatforeningens høringsarbeid er organisert i 29 lovutvalg, oppdelt etter særskilte rettsområder og rettslige interesseområder. Om lag hundre høringsuttalelser utarbeides av Advokatforeningens tillitsvalgte advokater hvert år.

Alle våre høringsuttalelser er forfattet av advokater med ekspertise innenfor det rettsområdet som lovforslaget gjelder. En ekspertise som ikke er hentet kun fra juridisk teori, men fra advokatenes praktiske erfaring med å bistå sine klienter – i den norske rettsstatens hverdag. Denne høringsuttalelsen er skrevet ut fra Advokatforeningens ønske om å bidra til gode lovgivningsprosesser og gode lover. 

2    Sakens bakgrunn

Vi viser til høringen fra Justis- og beredskapsdepartementet, datert 21. november 2025, med høringsfrist 16. januar 2026. Høringen gjelder forslag til endringer i politiregisterloven og politiregisterforskriften om regulering av politiets bruk av kunstig intelligens (KI) til etterfølgende biometrisk fjernidentifikasjon, herunder forslag til ny politiregisterloven § 7 a og ny politiregisterforskriften § 24-3, samt dokumentasjons- og rapporteringskrav.

Denne høringsuttalelsen er i hovedsak utarbeidet av Advokatforeningens lovutvalg for IKT og personvern. Lovutvalget består av Gry Cathrine Steen Hvidsten (leder), Ole Martin Moe, Henriette Standnes Brochmann, Knut-Erik Jakhelln, Odd Randgaard Kleiva, Eli Karine Navestad, Torunn Hellvik Olsen og Kjetil Wick Sætre. 

3    Kommentarer til forslagene

3.1    Innledende bemerkninger – overordnede rettslige rammer og «hva er nytt»

3.1.1    Hva som er nytt i forslaget

Departementet foreslår (i) en uttrykkelig lovbestemmelse om at etterfølgende biometrisk fjernidentifikasjon kan benyttes når vilkårene i politiregisterloven § 7 ellers er oppfylt (ny § 7 a), (ii) en særskilt forhåndsgodkjenningsordning ved bruk av KI-systemer til slik identifikasjon for nærmere bestemte formål (ny forskriftsbestemmelse § 24-3), og (iii) dokumentasjonskrav og mulighet for årlig rapportering til Datatilsynet. Forslaget er etter departementets syn ikke ment å hjemle biometrisk fjernidentifikasjon i sanntid.

3.1.2    Rettskildebildet

Etter Advokatforeningens syn må forslaget særlig vurderes i lys av kravene i:

  • Grunnloven (særlig §§ 102 og 113, samt generelle rettsstats- og rettssikkerhetshensyn),
  • EMK art. 8 (og ved behov art. 10/11 og art. 13), inkorporert gjennom menneskerettsloven,
  • personvernregelverket (særlig politi-/rettshåndhevelsesregimet, som i EU er forankret i direktiv (EU) 2016/680 (LED) og i norsk rett bl.a. gjennom politiregisterloven),
  • KI-forordningen (AI Act) som departementet uttrykkelig søker å speile på sentrale punkter, herunder art. 26 nr. 10 om post-remote biometric identification for law enforcement (forhåndsgodkjenning, forbud mot «untargeted» bruk, dokumentasjon og rapportering),
  • relevante menneskerettslige standarder fra den europeiske menneskerettighetsdomstolens praksis (EMD) om legalitetsprinsippet, nødvendighet/forholdsmessighet og behovet for effektive kontrollmekanismer ved inngripende overvåkings- og identifikasjonstiltak.

Advokatforeningen vil understreke at bruk av ansiktsgjenkjenning/fjernidentifikasjon i en etterforskningskontekst er et særlig inngripende tiltak. Det europeiske personvernrådet (EDPB) fremhever at ansiktsgjenkjenning i rettshåndhevelse ofte innebærer behandling av biometriske (særlige) opplysninger, med risiko for diskriminering og feiltreff, og at slike tiltak kan gripe inn i flere grunnleggende rettigheter utover personvern.

Advokatforeningen mener det er positivt at departementet ønsker å tydeliggjøre rammene og innføre prosessuelle garantier. Samtidig reiser forslaget etter Advokatforeningens syn flere prinsipielle spørsmål om klar lovhjemmel, forutberegnelighet, uavhengig kontroll, rettsmidler og materielle avgrensninger, som bør adresseres mer presist enn det forslaget legger opp til.

3.2    Til forslaget om ny politiregisterloven § 7 a (punkt 5.2) – hjemmel, avgrensning og forutberegnelighet

3.2.1    Legalitetsprinsippet og behovet for mer presise rammer

Advokatforeningen mener de foreslåtte reglene tematisk sett bør plasseres i politiregisterloven heller enn i straffeprosessloven. 

Departementet foreslår å slå fast at etterfølgende biometrisk fjernidentifikasjon er lovlig når vilkårene i § 7 ellers er oppfylt, og definerer begrepet som automatisert sammenligning av innhentede biometriske opplysninger med tilsvarende opplysninger i et register, typisk ansiktsgjenkjenning mellom video/bilde og registerfoto. Samtidig foreslås det ikke å begrense bestemmelsen til bestemte biometriske kjennetegn (departementet ber særskilt om syn på avgrensning til ansiktsfoto). 

Etter Advokatforeningens syn aktualiserer dette et grunnleggende rettssikkerhetsspørsmål: Når lovgiver uttrykkelig åpner for en metode som muliggjør identifisering og kartlegging av bevegelser over tid, må rammene være tilstrekkelig klare og presise til å oppfylle legalitetsprinsippet og kravet i EMK art. 8 om at inngrep må være «in accordance with the law». Dette omfatter bl.a. krav til forutberegnelighet og tilstrekkelige garantier mot vilkårlighet og misbruk ved inngripende myndighetsutøvelse.

EMD har i flere saker understreket behovet for klare rammer og effektive kontrollmekanismer ved inngripende overvåking/registrering, og at mangel på presisjon og kontroll kan lede til konvensjonsbrudd. Særlig relevant i denne sammenhengen er at EMD i Glukhin v. Russia (2023) behandlet bruk av ansiktsgjenkjenning i offentlig rom og fremhevet behovet for rettslige rammer og mulighet for effektiv prøving ved bruk av slik teknologi.

3.2.2    Materiell avgrensning – «biometriske opplysninger» bør snevres inn

Departementet fremhever at bestemmelsen primært vil gjelde video/bilde opp mot ansiktsfoto i register, men ønsker likevel å beholde et teknologinøytralt begrep («biometriske opplysninger») av hensyn til utviklingen. 

Advokatforeningen er ikke prinsipielt imot teknologinøytrale regler, men viser til at teknologinøytralitet ikke kan gå på bekostning av klarhet og materielle skranker når tiltaket er så inngripende. Legalitetsprinsippet og EMK art. 8 tilsier at loven bør angi hvilke biometriske kategorier som kan brukes, i hvert fall der risiko- og inngrepspotensialet er betydelig.

Advokatforeningen mener § 7 a som utgangspunkt bør avgrenses til ansiktsfoto/ansiktsbiometri, eventuelt med en snever forskriftshjemmel for utvidelse til andre biometriske modaliteter, forutsatt særskilt utredning og høring.

3.2.3    Formål og terskler – behov for tydeligere vilkår enn ren henvisning til § 7

Departementet begrunner § 7 a med at § 7 (strengt nødvendig m.m.) er et tilstrekkelig materielt inngangsvilkår, og at § 7 a ikke innebærer realitetsendring. 

Etter Advokatforeningens syn er henvisningen til § 7 et viktig utgangspunkt, men ikke nødvendigvis tilstrekkelig som eneste materielle skranke for en metode som kan gi systematisk kartlegging av enkeltpersoners bevegelser (jf. departementets egne merknader om særlig inngripen ved store mengder materiale).

Advokatforeningen mener det bør vurderes å innta minst ett eller flere presiserende vilkår i loven, eksempelvis:

  • krav om at tiltaket bare kan benyttes ved etterforskning av alvorlige straffbare forhold,
  • tydeligere rammer for omfang (tidsrom, geografisk område, datamengde),
  • krav om at bruk ikke kan være «untargeted»/udifferensiert (se også punkt 3.3 og 3.5 om KI-forordningens standard).

3.3    Til forslaget om ny politiregisterforskrift § 24-3 (punkt 5.3–5.5) – forhåndsgodkjenning, uavhengighet og rettsmidler

3.3.1    Plassering i lov eller forskrift

Departementet ber særskilt om syn på om forhåndsgodkjenningskravet bør stå i lov eller forskrift, og legger opp til forskriftsregulering av bl.a. hvilke behandlinger som krever godkjenning, unntak, hasteordning, samt sperring/sletting ved manglende godkjenning.

Etter Advokatforeningens syn er dette kjernegarantier for rettssikkerhet og personvern ved et svært inngripende tiltak. Slike sentrale begrensninger og kontrollmekanismer bør fremgå av lov for å oppfylle legalitetsprinsippet og EMK art. 8s krav til hjemmelens kvalitet.

Advokatforeningen mener at de sentrale elementene i forhåndsgodkjenningen (hvem som godkjenner, hva som utløser godkjenning, unntakene, samt minimumskrav til begrunnelse, protokollering og kontroll) bør reguleres i lov, mens nærmere detaljer kan gis i forskrift.

3.3.2     «KI-system» som terskel – risiko for uklarhet og omgåelse

Departementet foreslår at bare bruk av «KI-systemer» (slik KI-forordningen definerer) skal utløse forhåndsgodkjenning, og fremhever at definisjonen er kompleks og krever konkret vurdering. 

Advokatforeningen deler bekymringen: Dersom godkjenning utløses av et teknisk/klassifikatorisk skille som kan være vanskelig å anvende i praksis, kan det oppstå betydelig risiko for (i) uensartet praksis, (ii) feilklassifisering og (iii) strategisk omgåelse (valg av «ikke-KI» verktøy) – selv om inngrepet i den registrertes rettigheter er tilnærmet det samme.

Advokatforeningen mener godkjenningsplikten i større grad bør knyttes til funksjon og risiko (biometrisk fjernidentifikasjon i større datamengder / med kartleggingspotensial), ikke primært til om verktøyet faller innenfor en snever KI-definisjon.

3.3.3    Godkjenningsmyndighet – krav til uavhengighet og etterprøvbarhet

Departementet foreslår at kompetansen legges til påtalemyndigheten (og drøfter nivå), og at beslutningen ikke skal kunne påklages.

Advokatforeningen legger til grunn at forhåndskontrollens legitimitet i stor grad avhenger av uavhengighet, kompetanse og etterprøvbarhet. Her viser vi særlig til at KI-forordningen art. 26 nr. 10 oppstiller krav om autorisasjon av «a judicial authority or an administrative authority whose decision is binding and subject to judicial review», samt krav om at bruken ikke kan være «untargeted».

Det er etter Advokatforeningens syn et åpent spørsmål om påtalemyndigheten – som ledd i den utøvende makt og med nær tilknytning til etterforskningen – gir tilstrekkelig uavhengig kontroll i konvensjons- og rettssikkerhetsperspektiv. Dette forsterkes av at departementet samtidig foreslår at avgjørelsen ikke skal kunne påklages, og at det ikke etableres et klart spor for domstolsprøving av selve godkjenningsbeslutningen. 
Advokatforeningen mener det må sikres:

  • en godkjenningsordning som oppfyller krav til uavhengighet og reell kontroll, og
  • en ordning som åpner for effektiv etterprøving (minst i etterkant), i tråd med grunnleggende krav til rettsmidler ved inngrep i retten til privatliv. 

3.3.4    Unntaket for «innledende identifikasjon» – fare for at hovedregelen uthules

Departementet legger til grunn at forhåndsgodkjenning ikke skal kreves ved «innledende identifikasjon» av en mistenkt basert på objektive og verifiserbare opplysninger direkte knyttet til den straffbare handlingen, og erkjenner at skillet kan være uklart og utfordrende å praktisere. 

Advokatforeningen mener det er en reell risiko for at unntaket, slik det nå beskrives, kan bli praktisert bredt og dermed redusere forhåndskontrollen til en snever restkategori. Dette gjelder særlig der identifikasjon i «initialfasen» skjer på store datamengder eller over tid, som nettopp er situasjoner der tiltaket kan bli særlig inngripende.

Advokatforeningen mener unntaket må presiseres og snevres inn, for eksempel ved at:

  • det innføres krav om forhåndsgodkjenning når søket omfatter større datamengder, lengre tidsperioder eller har kartleggingspotensial, selv om formålet beskrives som «innledende identifikasjon», og/eller
  • det gis nærmere kriterier for hva som utgjør «objektive og verifiserbare opplysninger direkte knyttet til handlingen».

3.3.5    Sletting og sperring ved manglende godkjenning

Departementet viser til at KI-forordningen krever stans og sletting ved avslag, men foreslår å knytte konsekvensene til politiregisterloven § 51 (feil som ikke kan rettes), og åpner for sperring hvis sletting kan påvirke den registrertes legitime interesser.

Advokatforeningen mener det er rettskildemessig krevende å «kanalisere» en rettssikkerhetsgaranti ved ulovlig eller ikke-godkjent biometrisk behandling inn i et feil-/rettingsspor. Når kjernen er at behandlingen mangler nødvendig autorisasjon, bør hovedregelen være klar sletting, med et snevert unntak for sperring når det er nødvendig for å ivareta den registrertes interesser (og dette bør fremgå tydeligere).

Advokatforeningen mener lov/forskrift bør presisere en hovedregel om sletting av opplysninger generert ved ikke-godkjent bruk, i tråd med KI-forordningens krav, samt tydelige kriterier for når sperring kan benyttes.

3.4    Dokumentasjon og rapportering (punkt 5.3 og høringsbrevet) – ansvarliggjøring og transparens

Departementet omtaler krav til dokumentering, og at det «åpnes for» å innføre årlig rapportering til Datatilsynet.

Etter Advokatforeningens syn er dokumentasjon og rapportering sentrale mekanismer for demokratisk kontroll, læring og ansvarliggjøring ved bruk av høyrisiko identifikasjonsteknologi. KI-forordningen art. 26 nr. 10 stiller krav om at hver bruk skal dokumenteres i relevant politifil, være tilgjengelig for relevante myndigheter, og at det skal leveres årlige rapporter til markedstilsyn og datatilsyn.

Advokatforeningen mener at:

  • krav om dokumentasjon (herunder loggføring, formål, datagrunnlag, søkeparametre, treff/feiltreff, manuell verifikasjon og beslutningsgrunnlag) bør fastsettes tydelig,
  • årlig rapportering til Datatilsynet bør være en plikt, ikke et valgfritt alternativ.
  • rapportering bør innrettes slik at den gir reell innsikt uten å kompromittere operative hensyn (f.eks. aggregert/statistisk rapportering).

3.5    Forholdet til KI-forordningen (AI Act) – «samsvarende beskyttelsesnivå» krever mer enn prosess

Departementet uttaler at endringsforslagene søker å oppstille et tilsvarende beskyttelsesnivå som KI-forordningen art. 26 nr. 10. 

Advokatforeningen vil påpeke at AI Act art. 26(10) inneholder flere materielle og prosessuelle skranker som bør speiles tydeligere i norsk regelverk. Særlig fremhever vi:

  • krav om godkjenning (ex ante eller senest innen 48 timer) av domstol eller bindende administrativ myndighet underlagt domstolskontroll, og
  • et uttrykkelig forbud mot «untargeted» bruk uten kobling til konkret straffesak/trussel/savnet person, samt krav om at negative rettsvirkninger ikke kan bygge utelukkende på systemets output. 

Advokatforeningen mener at dersom departementet ønsker å speile beskyttelsesnivået i art. 26(10), bør dette gjøres mer uttrykkelig i lov/forskrift, herunder ved:

  • klarere begrensninger mot udifferensiert/«untargeted» bru
  • tydeligere regler om godkjenningens karakter og etterprøvbarhet,
  • klare føringer om at systemoutput ikke kan være eneste grunnlag for inngripende beslutninger.

3.6    Grunnloven og EMK – personvern, rettssikkerhet og «chilling effects»

Bruk av etterfølgende biometrisk fjernidentifikasjon vil innebære inngrep i retten til privatliv (Grl. § 102 og EMK art. 8), og – avhengig av brukskontekst – også påvirke ytrings- og forsamlingsfrihet (EMK art. 10 og 11) ved at personer avstår fra å delta i lovlige aktiviteter av frykt for identifisering og sporing.

EMD har lagt vekt på at biometriske data og identifikasjonsregistre kan være særlig sensitive, og at generelle/udifferensierte ordninger og svakheter ved slette-/kontrollmekanismer kan medføre brudd på art. 8 (bl.a. i saker om lagring av DNA/fingeravtrykk/foto).

I Glukhin v. Russia knyttet EMD an til bruk av ansiktsgjenkjenning ved identifisering/arrest knyttet til protest, og illustrerte dermed også sammenhengen mellom biometrisk fjernidentifikasjon og mulige inngrep i art. 10.
Advokatforeningen mener forslaget bør styrkes med:

  • klarere lovfestede skranker for å oppfylle «kvalitet på loven»-kravet,
  • mer uavhengig kontroll og reell etterprøvbarhet,
  • tydelige rammer for å motvirke nedkjølende effekter på lovlig adferd i det offentlige rom.

4    Oppsummering

Advokatforeningen mener oppsummeringsvis:

  1. Ny § 7 a bør avgrenses tydeligere, i utgangspunktet til ansiktsbiometri, og suppleres med klarere materielle vilkår som reflekterer tiltakets inngripen.
  2. Forhåndsgodkjenningsordningen bør forankres mer i lov (ikke bare forskrift), og utformes med krav til uavhengighet og etterprøvbarhet i tråd med grunnleggende rettssikkerhetskrav og de standardene departementet selv viser til fra KI-forordningen.
  3. Unntaket for «innledende identifikasjon» må presiseres for å unngå at hovedregelen uthules.
  4. Dokumentasjon og årlig rapportering bør gjøres til reelle og etterprøvbare plikter, og innrettes slik at Datatilsynet og offentligheten får faktisk innsyn på aggregert nivå, uten å kompromittere operative hensyn.


                                     Vennlig hilsen

 

Siri Teigum                                                                       Merete Smith
leder                                                                                  generalsekretær