Hopp til hovedinnhold

Juridiske krav

Deling av opplysninger skal være i samsvar med loven. Sentrale lover som forvaltningsloven, personopplysningsloven og særlovgivning på det enkelte området stiller krav til de forskjellige aktørene involvert i delingen.

De mest sentrale lovkravene for deling av opplysninger har å gjøre med taushetsplikt og personvern. I dette kapittelet gir vi en overordnet beskrivelse av grunnleggende plikter og krav knyttet til de forskjellige rollene aktørene har ved deling av opplysninger, slik de fremkommer i personvernregelverket og taushetspliktbestemmelsene i forvaltningsloven.

Taushetsplikt

Taushetspliktbestemmelsene skal verne mot at opplysninger blir kjent for uvedkommende og bidra til å ivareta tillitsforholdet mellom myndighetene og brukere. Reglene om taushetsplikt pålegger virksomheter å hindre at uvedkommende får adgang eller kjennskap til bestemte opplysninger. Om offentlige myndigheter eller private virksomheter kan få utlevert opplysninger som er underlagt taushetsplikt, følger av unntaksbestemmelsene i forvaltningsloven eller av særlov. Brudd på taushetsplikt vil i noen tilfeller kunne være straffbart.

Personvern

Personvernregelverket setter rammer for behandlingen av personopplysninger. Sentrale krav er å sikre rettferdig, åpen og lovlig behandling av personopplysninger, sikre enkeltpersoners innflytelse på bruk og spredning av personopplysninger om seg selv, samt å sikre at beslutninger tas basert på riktige og fullstendige opplysninger. Dette siste hensynet sammenfaller med kvalitetshensyn i offentlig forvalting, som skal sikre at forvaltningen har et tilstrekkelig godt beslutningsgrunnlag for sin myndighetsutøvelse.

Oversikt over grunnleggende plikter og krav

I tabellen under oppsummeres de grunnleggende plikter og krav for deling av opplysninger mellom en tilbyder og en konsument. Det legges til grunn at offentlige virksomheter har tillit til hverandre og kan forutsette at alle aktørene utfører sin rolle i samsvar med gjeldende regelverk og felles føringer.

Har behandlingsansvar for all behandling av opplysningen til og med deling (inkludert ‘transporten’ av opplysninger). Tilbyder har ikke ansvar for behandling av opplysningene etter at datakonsumenten har mottatt opplysningene. Tilbyder skal også sikre og dokumentere at all behandling av personopplysninger, inkludert deling, er i samsvar med personvernregelverket.

Dette omfatter blant annet:

  • sørge for tilstrekkelige informasjonssikkerhetstiltak for å sikre personopplysningens integritet, tilgjengelighet og konfidensialitet frem til utlevering. Tilbyder er ikke rettslig forpliktet til å verifisere informasjonssikkerhetstiltak hos konsument.
  • sikre og dokumentere at utlevering av personopplysningene har et behandlingsgrunnlag i art. 6 i personvernforordningen.

Har behandlingsansvar for all behandling fra og med mottak av personopplysningene. Konsumenten må vurdere om det foreligger formålskonflikter. Skal opplysningene brukes til formål som er uforenelige med det opprinnelige formålet? Er kravet til forholdsmessighet/proporsjonalitet ivaretatt ved bruk på nye områder (gevinsten ved bruk skal være proporsjonal sett i forhold til taushetshensyn)? Konsumenten skal også sikre og dokumentere at all behandling av personopplysninger, inkludert mottak av personopplysninger fra tilbyder, er i samsvar med personvernregelverket.

Dette omfatter blant annet:

  • sørge for tilstrekkelige informasjonssikkerhetstiltak som sikrer personopplysningenes integritet, tilgjengelighet og konfidensialitet etter mottak
  • sikre og dokumentere at innhentingen av personopplysninger har et behandlingsgrunnlag i art. 6 i personvernforordningen.

Vurderer om vilkårene i den aktuelle unntaksregelen i taushetspliktbestemmelsene er oppfylt i hvert enkelt tilfelle.

Fastsetter eventuelle bruksvilkår.

Der det er aktuelt, forvalte hjemmel til å ilegge sanksjoner (som bøter og utestengelse fra bruk av tjenestene) til konsumenter som bryter vilkårene for utlevering.

Vurderer om man har hjemmel i lov for å, uhindret av taushetsplikt, kunne hente inn opplysninger, eller om det foreligger samtykke fra den opplysningen omhandler.

Bruker den taushetsbelagte opplysningen i samsvar med eventuelle vilkår for utleveringen.