1. Viderebruk bidrar til gjenbruk, men gjenbruk bidrar ikke nødvendigvis til viderebruk
Mandatet har vært tydelig på viderebruk, i motsetning til gjenbruk. Det er antagelig hensiktsmessig å gjøre en avgrensning av hensyn til omfang av arbeidet. Ulempen er at vi kan få en suboptimalisering siden to så relaterte problemstillinger ikke behandles helhetlig.
Et eksempel på det er at løsninger som sikrer gjenbruk av data i offentlig sektor, i mange tilfeller ikke legger til rette for viderebruk, fordi gjenbruken er basert på hjemler i lov/forskrift som kun gjelder de berørte offentlige aktørene. På den andre siden vil en løsning for viderebruk av data fra offentlig sektor nesten alltid langt på vei også legge til rette for gjenbruk i offentlig sektor av de samme dataene. Det tilsier at tilrettelegging for viderebruk er minst like viktig som gjenbruk.
Et eksempel på det er at løsninger som sikrer gjenbruk av data i offentlig sektor, i mange tilfeller ikke legger til rette for viderebruk, fordi gjenbruken er basert på hjemler i lov/forskrift som kun gjelder de berørte offentlige aktørene. På den andre siden vil en løsning for viderebruk av data fra offentlig sektor nesten alltid langt på vei også legge til rette for gjenbruk i offentlig sektor av de samme dataene. Det tilsier at tilrettelegging for viderebruk er minst like viktig som gjenbruk.
2. Effektiv dialog med de som forvalter dataene
For å sikre effekten av slike regler, er også viktig at det offentlige får krav til å dokumentere dataene og gjøre dokumentasjonen kjent. Det er lite verdt å få rettigheter om tilgang til data, hvis det er uklart hvilke data som finnes, og med hvilken kvalitet. Det er spesielt viktig for næringslivet, som ofte har mindre oversikt og kunnskap om hvem man skal kontakte både med spørsmål om tilgang, detaljer om innholdet i dataene og tilbakemeldinger ved uklarheter og feil. For Stiftelsen Norstella er det derfor viktig at data.norge.no ikke bare blir en reell samlet oversikt over data, men samtidig et sted der det er enkelt å komme i kontakt med de som forvalter dataene, ikke bare ved spørsmål om bruk, men også ved tilbakemeldinger ved uklarheter/feil i dataene.
En henvendelse via dialogmekanismene i data.norge.no (datalandsbyen) må utløse plikt til å svare innen en viss tid fra de som forvalter dataene det er spørsmål om. Per idag kan en få inntrykk av at diskusjonene der forutsetter engasjerte enkeltpersoner, noe som er sårbart og kan føre til at bedrifter tar kontakt, og forgjeves venter på svar. Et konkret forslag er at henvendelser via datalandsbyen fortløpende journaleføres som innkommende post til virksomheten, og gjenspeiles i eInnsyn, og sikres samme oppfølging som andre skriftlige henvendelser til de virksomhetene. (Gjelder ikke private virksomheter, med mindre de av ulike grunner er underlagt offentligrettslige regelverk for saksbehandling og offentlighet.)
En henvendelse via dialogmekanismene i data.norge.no (datalandsbyen) må utløse plikt til å svare innen en viss tid fra de som forvalter dataene det er spørsmål om. Per idag kan en få inntrykk av at diskusjonene der forutsetter engasjerte enkeltpersoner, noe som er sårbart og kan føre til at bedrifter tar kontakt, og forgjeves venter på svar. Et konkret forslag er at henvendelser via datalandsbyen fortløpende journaleføres som innkommende post til virksomheten, og gjenspeiles i eInnsyn, og sikres samme oppfølging som andre skriftlige henvendelser til de virksomhetene. (Gjelder ikke private virksomheter, med mindre de av ulike grunner er underlagt offentligrettslige regelverk for saksbehandling og offentlighet.)
3. Manglende klargjøring av gjeldende rett vil føre til begrenset effekt på deling av beskyttede data
Det gjentas stadig at regelverket er et hinder for deling av data. Ofte forstås det som at det som står i regelverket hindrer datadeling. Men det er også utredninger som konkluderer med at regelverket har en rekke åpninger for deling av data, men at usikkerhet om hvordan reglene skal tolkes, og den generelle, og forsåvidt relevante, risikoaversjonen, gjør at data ikke blir delt. Et eksempel er en kartlegging som ble foretatt i 2013 av hindringer i regelverk for digital kommunikasjon:
“Kartleggingen viser at det først og fremst er mangel på felles forståelse av hvordan reglene forholder seg til hverandre som er problemet, og at manglende kunnskap om reglene kan utgjøre praktiske hindringer for deling av opplysninger og økt samhandling.”
Se: https://www.regjeringen.no/no/dokumenter/kartlegging-av-hindringer-i-regelverk-fo/id738939/
En stor svakhet ved det foreliggende lovforslaget i NOU-en er at det ikke foreligger en klargjøring av reglene for å dele data når den juridiske eller fysiske personen dataene gjelder, ønsker at delingen skal skje, f.eks. gjennom samtykke. Gjennomgangen av gjeldende rett inkluderer ikke omtale av forvaltningslovens § 13a nr. 1, som lyder:
"Taushetsplikt etter § 13 er ikke til hinder for: 1. at opplysninger gjøres kjent for dem som de direkte gjelder, eller for andre i den utstrekning de som har krav på taushet samtykker,"
Det er Norstellas konklusjon at den manglende klargjøringen av vilkårene for bruk av samtykke i praksis vil føre til at lovforslaget vil ha svært begrenset effekt, spesielt på målene om innovasjon og næringsutvikling.
Nedenfor følger først en nærmere begrunnelse for denne konklusjonen og deretter vår anbefaling.
“Kartleggingen viser at det først og fremst er mangel på felles forståelse av hvordan reglene forholder seg til hverandre som er problemet, og at manglende kunnskap om reglene kan utgjøre praktiske hindringer for deling av opplysninger og økt samhandling.”
Se: https://www.regjeringen.no/no/dokumenter/kartlegging-av-hindringer-i-regelverk-fo/id738939/
En stor svakhet ved det foreliggende lovforslaget i NOU-en er at det ikke foreligger en klargjøring av reglene for å dele data når den juridiske eller fysiske personen dataene gjelder, ønsker at delingen skal skje, f.eks. gjennom samtykke. Gjennomgangen av gjeldende rett inkluderer ikke omtale av forvaltningslovens § 13a nr. 1, som lyder:
"Taushetsplikt etter § 13 er ikke til hinder for: 1. at opplysninger gjøres kjent for dem som de direkte gjelder, eller for andre i den utstrekning de som har krav på taushet samtykker,"
Det er Norstellas konklusjon at den manglende klargjøringen av vilkårene for bruk av samtykke i praksis vil føre til at lovforslaget vil ha svært begrenset effekt, spesielt på målene om innovasjon og næringsutvikling.
Nedenfor følger først en nærmere begrunnelse for denne konklusjonen og deretter vår anbefaling.
3.1 Begrunnelse: Lang erfaring med uklarhet og diskusjon
Konklusjonen er basert på de prosjektene og de diskusjonene som vi har sett i Norge de siste ti årene.
Stiftelsen Norstella har vært engasjert i temaet gjenbruk og viderebruk av data i mange år, og har bl.a. jevnlig arrangert samhandlingsarena, som startet som del av Semicolon-prosjektet. Det første arrangementet ble arrangert i 2011, og denne høsten arrangerte vi det 20. arrangementet.
Blant de mest omtalte og bejublede prosjektene der data fra det offentlige brukes i næringslivet og skaper stor verdi, er samtykkebasert lånesøknad (SBL). Det er knapt et offentlig dokument om digitalisering de siste årene som ikke omtaler dette prosjektet. Med god grunn, ettersom det estimeres en samlet gevinst for samfunnet på 13 milliarder (Finans Norge i 2021 - https://www.finansnorge.no/artikler/2021/q4/dsop-programmet-sparer-samfunnet-for-milliarder/ ).
SBL ble lansert høsten 2017. Men enda viktigere enn verdien av SBL alene, er måten SBL bidro til å etablere en fellesfunksjonalitet i Altinn som alle etater kan ta i bruk for å la innbygger eller næringslivet bekrefte at de ønsker å dele opplysninger om seg selv.
I SBL er det inntektsopplysninger fra Skatteetaten en innbygger kan dele med banken. Men den samme funksjonaliteten brukes for eksempel for å la bedrifter samtykke til at offentlige innkjøpere får tilgang til f.eks. skattedokumentasjon (eBevis), innbyggere for å se studielånet i nettbanken, og innbyggere til å samtykke til at Nav kan utlevere informasjon om status som ufør til forsikringsselskap, slik at behandlingstiden for å få utbetalt forsikring er redusert fra måneder til dager.
NOU 2024:14 foreslår å innta dataforvaltningsforordningens som norsk lov. Forordningens artikkel 5 handler om hvordan det offentlige skal legge til rette for å dele beskyttede data. En av mekanismene er å legge til rette for å be om samtykke fra de dataene gjelder. Denne delen av artikkel 5 er knapt omtalt i NOU-en. Det er heller ingen eksempler på eksisterende løsninger og prosjekter som baserer seg på deling basert på samtykke, noe som gjør oss usikre på om utvalget i det hele tatt har vært klar over koblingen mellom artikkel 5 og denne typen deling av data som prosjektene vi har omtalt over representerer.
Å legge til rette for å be om samtykke er altså noe norske myndigheter etablerte en fellesløsning for allerede i 2017.
Når konklusjonen vår er så pessimistisk er det fordi det mest slående i disse årene etter 2017 ikke er de store gevinstene vi har fått i de nevnte prosjektene, men det store antallet prosjekter som ikke har tatt denne løsningen i bruk.
Vi vet det er en rekke private aktører som har forsøkt å få tilgang til data gjennom samtykke i den samme perioden. Et konkret eksempel er Justify, en digital tilbyder av juridiske rådgivning, f.eks. til fremtidsfullmakt og testamente, tjenester som er relevante for en stor andel av Norges befolkning til enhver tid, og som samtidig ikke er aktuelt for myndighetene å tilby.
Våren 2024 arrangerte Stiftelsen Norstella i samarbeid med Digitaliseringsdirektoratet en samhandlingsarena der Justify blant annet beskrev hvordan de kunne forbedret eksisterende tjenester til innbyggernedersom de bl.a. hadde fått tilgang til de samme dataene som bankene får i samtykkebasert lånesøknad.
Se lederen for Justify, Dag Josef Foss, snakker omt dette fra 2:16:30 til 2:22:30 i opptaket som er publisert her: https://www.digdir.no/digitalisering-og-samordning/behov-en-mer-helhetlig-strategi-livshendelser/5655
Så hvorfor får bankene data fra Skatteetaten og Lånekassen, og forsikringsselskapene data fra Nav, og offentlige innkjøpere data fra Skatteetaten -- gjennom den samme løsningen -- samtidig som Justify og andre har fått nei?
Stiftelsen Norstella mener årsaken er uklarhet og uenighet om hvilke regler som gjelder for å samtykke til deling av data. Dette vet vi både fra kjennskap til diskusjoner i enkelte prosjekter, men også fra arbeidet med rapporten "Juridiske hindre for digitalisering", som ble laget i 2019, på initiativ fra Den norske dataforeningen og Norstella, av en rekke eksperter fra både offentlig og privat sektor.
Spørsmål om samtykke kontra hjemmel i lov og forskrift var også tema i to runder med skriftlige spørsmål fra Stortinget til daværende statsråd Jan Tore Sanner i 2017 og 2018, da med hovedvekt på adgangen til å bruke samtykke til datadeling internt i offentlig sektor.
Opprinnelig spørsmål: https://www.stortinget.no/no/Saker-og-publikasjoner/Sporsmal/Skriftlige-sporsmal-og-svar/Skriftlig-sporsmal/?qid=70451
Oppfølgingsspørsmål: https://www.stortinget.no/no/Saker-og-publikasjoner/Sporsmal/Skriftlige-sporsmal-og-svar/Skriftlig-sporsmal/?qid=70744
Disse diskusjonene ble lagt fanget opp av Difi/Digitaliseringsdirektoratet, og ble foreslått adressert. I flere omganger er det blitt annonsert behov for og planer om å avklare mulighetene til å bruke samtykke, uten at det har kommet en slik avklaring.
Det er spesielt illustrerende at både daværende ansvarlig departement for digitalisering, Kommunal- og moderniseringsdepartementet, og fagdirektoratet Digitaliseringsdirektoratet, begge etterlyste avklaringer om bruk av samtykke i forbindelse med en høring vinteren 2022. Dessverre førte ikke ønsket om avklaring til noen vesentlig endring i den veilederen som var på høring.
Se høringssvarene til veilederen her: https://www.regjeringen.no/no/dokumenter/horing-utkast-til-veileder-om-taushetsplikt-opplysningsplikt-og-opplysningsrett-i-forvaltningen/id2834815/?expand=horingssvar
Digitaliseringsdirektoratet bekrefter høsten 2024 at en planlagt veiledning for juridiske rammer for deling av data ikke er blitt laget, uten at begrunnelsen er kjent. Det er ihvertfall vanskelig å se at den ble lagt på is fordi det ikke var behov for den, ettersom Digitaliseringsdirektoratet selv påpekt behovet for slik avklaring i den nevnte høringen i 2022, så man kan spekulere i om det er fordi det rett og slett har vært for vanskelig å få enighet.
Stiftelsen Norstella har vært engasjert i temaet gjenbruk og viderebruk av data i mange år, og har bl.a. jevnlig arrangert samhandlingsarena, som startet som del av Semicolon-prosjektet. Det første arrangementet ble arrangert i 2011, og denne høsten arrangerte vi det 20. arrangementet.
Blant de mest omtalte og bejublede prosjektene der data fra det offentlige brukes i næringslivet og skaper stor verdi, er samtykkebasert lånesøknad (SBL). Det er knapt et offentlig dokument om digitalisering de siste årene som ikke omtaler dette prosjektet. Med god grunn, ettersom det estimeres en samlet gevinst for samfunnet på 13 milliarder (Finans Norge i 2021 - https://www.finansnorge.no/artikler/2021/q4/dsop-programmet-sparer-samfunnet-for-milliarder/ ).
SBL ble lansert høsten 2017. Men enda viktigere enn verdien av SBL alene, er måten SBL bidro til å etablere en fellesfunksjonalitet i Altinn som alle etater kan ta i bruk for å la innbygger eller næringslivet bekrefte at de ønsker å dele opplysninger om seg selv.
I SBL er det inntektsopplysninger fra Skatteetaten en innbygger kan dele med banken. Men den samme funksjonaliteten brukes for eksempel for å la bedrifter samtykke til at offentlige innkjøpere får tilgang til f.eks. skattedokumentasjon (eBevis), innbyggere for å se studielånet i nettbanken, og innbyggere til å samtykke til at Nav kan utlevere informasjon om status som ufør til forsikringsselskap, slik at behandlingstiden for å få utbetalt forsikring er redusert fra måneder til dager.
NOU 2024:14 foreslår å innta dataforvaltningsforordningens som norsk lov. Forordningens artikkel 5 handler om hvordan det offentlige skal legge til rette for å dele beskyttede data. En av mekanismene er å legge til rette for å be om samtykke fra de dataene gjelder. Denne delen av artikkel 5 er knapt omtalt i NOU-en. Det er heller ingen eksempler på eksisterende løsninger og prosjekter som baserer seg på deling basert på samtykke, noe som gjør oss usikre på om utvalget i det hele tatt har vært klar over koblingen mellom artikkel 5 og denne typen deling av data som prosjektene vi har omtalt over representerer.
Å legge til rette for å be om samtykke er altså noe norske myndigheter etablerte en fellesløsning for allerede i 2017.
Når konklusjonen vår er så pessimistisk er det fordi det mest slående i disse årene etter 2017 ikke er de store gevinstene vi har fått i de nevnte prosjektene, men det store antallet prosjekter som ikke har tatt denne løsningen i bruk.
Vi vet det er en rekke private aktører som har forsøkt å få tilgang til data gjennom samtykke i den samme perioden. Et konkret eksempel er Justify, en digital tilbyder av juridiske rådgivning, f.eks. til fremtidsfullmakt og testamente, tjenester som er relevante for en stor andel av Norges befolkning til enhver tid, og som samtidig ikke er aktuelt for myndighetene å tilby.
Våren 2024 arrangerte Stiftelsen Norstella i samarbeid med Digitaliseringsdirektoratet en samhandlingsarena der Justify blant annet beskrev hvordan de kunne forbedret eksisterende tjenester til innbyggernedersom de bl.a. hadde fått tilgang til de samme dataene som bankene får i samtykkebasert lånesøknad.
Se lederen for Justify, Dag Josef Foss, snakker omt dette fra 2:16:30 til 2:22:30 i opptaket som er publisert her: https://www.digdir.no/digitalisering-og-samordning/behov-en-mer-helhetlig-strategi-livshendelser/5655
Så hvorfor får bankene data fra Skatteetaten og Lånekassen, og forsikringsselskapene data fra Nav, og offentlige innkjøpere data fra Skatteetaten -- gjennom den samme løsningen -- samtidig som Justify og andre har fått nei?
Stiftelsen Norstella mener årsaken er uklarhet og uenighet om hvilke regler som gjelder for å samtykke til deling av data. Dette vet vi både fra kjennskap til diskusjoner i enkelte prosjekter, men også fra arbeidet med rapporten "Juridiske hindre for digitalisering", som ble laget i 2019, på initiativ fra Den norske dataforeningen og Norstella, av en rekke eksperter fra både offentlig og privat sektor.
Spørsmål om samtykke kontra hjemmel i lov og forskrift var også tema i to runder med skriftlige spørsmål fra Stortinget til daværende statsråd Jan Tore Sanner i 2017 og 2018, da med hovedvekt på adgangen til å bruke samtykke til datadeling internt i offentlig sektor.
Opprinnelig spørsmål: https://www.stortinget.no/no/Saker-og-publikasjoner/Sporsmal/Skriftlige-sporsmal-og-svar/Skriftlig-sporsmal/?qid=70451
Oppfølgingsspørsmål: https://www.stortinget.no/no/Saker-og-publikasjoner/Sporsmal/Skriftlige-sporsmal-og-svar/Skriftlig-sporsmal/?qid=70744
Disse diskusjonene ble lagt fanget opp av Difi/Digitaliseringsdirektoratet, og ble foreslått adressert. I flere omganger er det blitt annonsert behov for og planer om å avklare mulighetene til å bruke samtykke, uten at det har kommet en slik avklaring.
Det er spesielt illustrerende at både daværende ansvarlig departement for digitalisering, Kommunal- og moderniseringsdepartementet, og fagdirektoratet Digitaliseringsdirektoratet, begge etterlyste avklaringer om bruk av samtykke i forbindelse med en høring vinteren 2022. Dessverre førte ikke ønsket om avklaring til noen vesentlig endring i den veilederen som var på høring.
Se høringssvarene til veilederen her: https://www.regjeringen.no/no/dokumenter/horing-utkast-til-veileder-om-taushetsplikt-opplysningsplikt-og-opplysningsrett-i-forvaltningen/id2834815/?expand=horingssvar
Digitaliseringsdirektoratet bekrefter høsten 2024 at en planlagt veiledning for juridiske rammer for deling av data ikke er blitt laget, uten at begrunnelsen er kjent. Det er ihvertfall vanskelig å se at den ble lagt på is fordi det ikke var behov for den, ettersom Digitaliseringsdirektoratet selv påpekt behovet for slik avklaring i den nevnte høringen i 2022, så man kan spekulere i om det er fordi det rett og slett har vært for vanskelig å få enighet.
3.2 Anbefaling: Sørg for klargjøring
Før lovforslaget legges frem for Stortinget er det en sterk oppfordring fra Stiftelsen Norstella at omtalen av artikkel 5 ledsages av en klargjøring av mulighetene til å dele data basert på samtykke.
Vi mener at det offentlige kan dele taushetsbelagte data basert på regelen i forvaltningsloven § 13a nr.1 , som referert over. Dette støttes også av den tidligere nevnte veilederen. Dersom opplysningene er personopplysninger, er det viktig å være klar over at den relevante regelen om rettslig behandlingsgrunnlag etter personvernforordningen ikke er forordningens regel om samtykke (artikkel 6, 1a). Det rettslige grunnlaget er er derimot artikkel 6, 1c, “behandlingen er nødvendig for å oppfylle en rettslig forpliktelse som påhviler den behandlingsansvarlige”. Den rettslige forpliktelsen er fastsatt i nasjonal lov, gjennom forvaltningslovens § 13a nr. 1.
Det betyr at den normale tolkningen av personvernforordningen, om at myndigheter ikke må bruke samtykke som behandlingsgrunnlag, på grunn av skjevt styrkeforhold, ikke er relevant i denne sammenhengen, siden det ikke er samtykke som er behandlingsgrunnlaget etter forordningen.
Men, samtidig er det relevant å se hen til kravene i personopplysningsreglene for å avgjøre hva som er et gyldig samtykke. Dette fremgår både av veilederen vi har vist til tidligere, og av forvaltningslovutvalget (NOU 2019:5), som veilederen viser til.
Dessverre unngår de to kildene å presisere at problematikken med at samtykke overfor myndighetene normalt sett innebærer et skjevt maktforhold, ikke er relevant.
Hele poenget med forvaltningsloven er å lage kjøreregler som reduserer muligheten for at innbyggere og næringsliv blir ofre for vilkårlig maktutøvelse. Regelen om at taushetsplikten ikke er til hinder for å dele opplysninger med den opplysningene gjelder, og den tilhørende regelen om samtykke, er der for å styrke makten til innbyggere og næringsliv. Å avskjære denne rettigheten med henvisning til skjevt maktforhold vil få det paradoksale resultatet at maktforholdet blir ytterligere skjevt.
I tillegg mener Stiftelsen Norstella at dette ikke bare en regel som åpner for å dele opplysninger som er underlagt taushetsplikt, når den det gjelder ønsker det. Det er etter vår mening en rettighet, og derfor er det myndighetenes ansvar å eventuelt forsvare hvorfor de ikke legger til rette for slik deling.
Både regelen om dataportabilitet i GDPR og den nye regelen om deling basert på samtykke i dataforvaltningsforordningen, viser at lovgiver ønsker å styrke mulighetene som den som har opplysninger registrert om seg, skal ha til å ha kontroll over egne opplysninger, og kunne følge sine interesser og dele dem i de situasjonene de selv ønsker.
Vi mener at det offentlige kan dele taushetsbelagte data basert på regelen i forvaltningsloven § 13a nr.1 , som referert over. Dette støttes også av den tidligere nevnte veilederen. Dersom opplysningene er personopplysninger, er det viktig å være klar over at den relevante regelen om rettslig behandlingsgrunnlag etter personvernforordningen ikke er forordningens regel om samtykke (artikkel 6, 1a). Det rettslige grunnlaget er er derimot artikkel 6, 1c, “behandlingen er nødvendig for å oppfylle en rettslig forpliktelse som påhviler den behandlingsansvarlige”. Den rettslige forpliktelsen er fastsatt i nasjonal lov, gjennom forvaltningslovens § 13a nr. 1.
Det betyr at den normale tolkningen av personvernforordningen, om at myndigheter ikke må bruke samtykke som behandlingsgrunnlag, på grunn av skjevt styrkeforhold, ikke er relevant i denne sammenhengen, siden det ikke er samtykke som er behandlingsgrunnlaget etter forordningen.
Men, samtidig er det relevant å se hen til kravene i personopplysningsreglene for å avgjøre hva som er et gyldig samtykke. Dette fremgår både av veilederen vi har vist til tidligere, og av forvaltningslovutvalget (NOU 2019:5), som veilederen viser til.
Dessverre unngår de to kildene å presisere at problematikken med at samtykke overfor myndighetene normalt sett innebærer et skjevt maktforhold, ikke er relevant.
Hele poenget med forvaltningsloven er å lage kjøreregler som reduserer muligheten for at innbyggere og næringsliv blir ofre for vilkårlig maktutøvelse. Regelen om at taushetsplikten ikke er til hinder for å dele opplysninger med den opplysningene gjelder, og den tilhørende regelen om samtykke, er der for å styrke makten til innbyggere og næringsliv. Å avskjære denne rettigheten med henvisning til skjevt maktforhold vil få det paradoksale resultatet at maktforholdet blir ytterligere skjevt.
I tillegg mener Stiftelsen Norstella at dette ikke bare en regel som åpner for å dele opplysninger som er underlagt taushetsplikt, når den det gjelder ønsker det. Det er etter vår mening en rettighet, og derfor er det myndighetenes ansvar å eventuelt forsvare hvorfor de ikke legger til rette for slik deling.
Både regelen om dataportabilitet i GDPR og den nye regelen om deling basert på samtykke i dataforvaltningsforordningen, viser at lovgiver ønsker å styrke mulighetene som den som har opplysninger registrert om seg, skal ha til å ha kontroll over egne opplysninger, og kunne følge sine interesser og dele dem i de situasjonene de selv ønsker.
4. Uklar prioritering: Behov for justering av Digitaliseringsrundskrivet
Videre ønsker Stiftelsen Norstella å påpeke motsetningen mellom lovforslaget og det gjeldende Digitaliseringsrundskrivet. Om næringslivet får tilgang til data eller ei, vil til syvende og sist handle om at de offentlige myndighetene prioriterer å legge til rette for å dele dem. Derfor blir alle prioriteringsregler svært viktige. I Digitaliseringsrundskrivet står det idag en slik regel: “Utveksling av data som andre offentlige virksomheter har krav på, skal prioriteres.” Men det finnes ikke en god, samfunnsøkonomisk begrunnelse for å gi offentlige etaters behov for data en slik "forkjørsrett".
Dessuten vil det i praksis være sånn at deling mellom offentlige etater baseres på etablering av lovhjemmel i lov/forskrift fordi det er veiledning og føringer om at det er den rette måten å gjøre det på, se for eksempel Digitaliseringsdirektoratets veileder om digitaliseringsvennlig regelverk. Det betyr i praksis at den delingen som da etableres ikke kan gjenbrukes av næringslivet.
Men det motsatte er både mulig, og etter vår mening ønskelig. Dersom det etableres en løsning for deling av data med næringslivet, kan den alltid gjenbrukes i det offentlige. For i motsetning til hva mange tror, finnes det ikke et forbud mot å bruke samtykke til datadeling internt i offentlig sektor, det avgjørende er om det finnes alternative måter å levere relevant dokumentasjon på, slik at et samtykket til datadeling er frivillig, og ikke en forutsetning for å oppnå en offentlig tjeneste. Når en datadeling er satt opp med bruk av samtykke, kan den også utnyttes av det offentlige ved å bruke den samme samtykkemekanismen, eller ved å koble seg direkte på det bakenforliggende API-et, der hvor det finnes hjemmel i lov/forskrift som gjør det lovlig.
Dessuten vil det i praksis være sånn at deling mellom offentlige etater baseres på etablering av lovhjemmel i lov/forskrift fordi det er veiledning og føringer om at det er den rette måten å gjøre det på, se for eksempel Digitaliseringsdirektoratets veileder om digitaliseringsvennlig regelverk. Det betyr i praksis at den delingen som da etableres ikke kan gjenbrukes av næringslivet.
Men det motsatte er både mulig, og etter vår mening ønskelig. Dersom det etableres en løsning for deling av data med næringslivet, kan den alltid gjenbrukes i det offentlige. For i motsetning til hva mange tror, finnes det ikke et forbud mot å bruke samtykke til datadeling internt i offentlig sektor, det avgjørende er om det finnes alternative måter å levere relevant dokumentasjon på, slik at et samtykket til datadeling er frivillig, og ikke en forutsetning for å oppnå en offentlig tjeneste. Når en datadeling er satt opp med bruk av samtykke, kan den også utnyttes av det offentlige ved å bruke den samme samtykkemekanismen, eller ved å koble seg direkte på det bakenforliggende API-et, der hvor det finnes hjemmel i lov/forskrift som gjør det lovlig.
5. Unntak for å hindre etablering eller styrking av monopoler
Stiftelsen Norstella er opptatt av det norske næringslivet. Et forhold vi savner i utredningen er faren for at deling av data fra det offentlige kan bidra til å etablere eller styrke monopoler/aktører med dominerende posisjon. Digitalisering har generelt økt faren for at aktører kan få dominerende posisjoner, på grunn av nettverkseffekter og stordriftsfordeler. Vi vil oppnå veldig begrenset verdiskaping i det norske samfunnet dersom data som deles går til å styrke multinasjonale aktørers dominerende posisjon.
Vi foreslår derfor at det etableres unntak for deling av data som åpne data, der det vurderes som risiko for at dataene vil bli brukt til å styrke eksisterende monopoler. Isteden kan dataene begrenses til å deles med aktører som inngår avtaler. Vi vet at f.eks. Lyon Metropole hadde en sånn klausul, og på den måten hindret Google å få tilgang til sanntidsdata om kollektivtrafikk.
Vi foreslår derfor at det etableres unntak for deling av data som åpne data, der det vurderes som risiko for at dataene vil bli brukt til å styrke eksisterende monopoler. Isteden kan dataene begrenses til å deles med aktører som inngår avtaler. Vi vet at f.eks. Lyon Metropole hadde en sånn klausul, og på den måten hindret Google å få tilgang til sanntidsdata om kollektivtrafikk.