Forslag til forskrift om felles behandlingsansvar for behandling av personopplysninger i arbeids- og velferdsforvaltningen etter NAV-loven § 14 a
1 Innledning
Advokatforeningens tillitsvalgte advokater utfører et omfattende frivillig og ulønnet arbeid for å ivareta rettsstaten, rettssikkerheten og menneskerettighetene. En del av dette arbeidet består i å utarbeide høringsuttalelser.
Advokatforeningens høringsarbeid er organisert i 27 lovutvalg og 13 faste utvalg, oppdelt etter særskilte rettsområder og rettslige interesseområder. Om lag hundre høringsuttalelser utarbeides av Advokatforeningens tillitsvalgte advokater hvert år.
Alle våre høringsuttalelser er forfattet av advokater med ekspertise innenfor det rettsområdet som lovforslaget gjelder. En ekspertise som ikke er hentet kun fra juridisk teori, men fra advokatenes praktiske erfaring med å bistå sine klienter – i den norske rettsstatens hverdag. Denne høringsuttalelsen er skrevet ut fra Advokatforeningens ønske om å bidra til gode lovgivningsprosesser, og gode lover.
2 Sakens bakgrunn
Vi viser til høring fra Arbeids- og inkluderingsdepartementet publisert den 6. februar 2023, med høringsfrist den 8. mai 2023. Høringen gjelder Forskrift om felles behandlingsansvar for behandling av personopplysninger i arbeids- og velferdsforvaltningen etter NAV-loven § 14 a.
Dette høringssvaret er i hovedsak utarbeidet av Advokatforeningens lovutvalg for IKT og personvern, bestående av Malin Tønseth (leder), Øyvind Molven, Kari Gimmingsrud, Christopher Sparre-Enger Clausen, Eirin Helen Hauvik, Lars Arnesen og Gry Steen Hvidsten.
3 Kommentarer
3.1 Generelt
Advokatforeningen støtter i hovedsak departementets forslag og syn på behovet for klargjøring av behandlingsansvaret for behandling av personopplysninger som skjer i Arbeids- og velferdsforvaltningen (statlig og kommunal del). Forslaget burde etter Advokatforeningens syn vært noe tydeligere på hva som er innholdet i det felles behandlingsansvaret (hvilke formål og behandlingsaktiviteter) samt på hva som er konsekvensene for det felles behandlingsansvaret når ansvaret for enkelte oppgaver legges til direktoratet (alene).
3.2 Behovet for en forskrift om behandlingsansvar
Advokatforeningen er enig med departementet i at dagens regulering medfører en viss uklarhet om hvilke roller og ansvar som påligger henholdsvis Arbeids- og velferdsetaten og kommunene som er involvert i behandlingen av personopplysninger etter NAV-loven § 14 a, og at dette utgjør en risiko for at kravene som følger av gjeldende personvernlovgivning, herunder de registrertes rettigheter, ikke blir tilstrekkelig ivaretatt.
Advokatforeningen forstår det slik at det kan være både statlige og kommunale tjenester som tilbys av arbeids- og velferdsforvaltningen etter den aktuelle bestemmelsen, som, i tillegg til retten til å få en behovs- og arbeidsevnevurdering, regulerer retten til å delta i utarbeidelsen av en konkret plan for hvordan brukeren skal komme i arbeid (aktivitetsplan). I forarbeidende til bestemmelsen er det vist til at NAV-loven § 14 a forutsetningsvis gir arbeids- og velferdsforvaltningen (dvs. både statlig og kommunal del) behandlingsgrunnlag for å innhente og behandle en rekke opplysninger knyttet til brukers situasjon.
Advokatforeningen støtter i hovedsak forslaget om nærmere regulering i forskrift om felles behandlingsansvar for behandling av personopplysninger i arbeids- og velferdsforvaltningen etter NAV-loven § 14 a. Alternativet til å regulere forholdet i forskrift er at ansvarsforholdene og spørsmål knyttet til dette reguleres gjennom enkeltstående avtaler mellom aktørene. Det ville i praksis bety avtaler mellom Arbeids- og velferdsetaten og landets per i dag 356 kommuner. Dette er etter departementets syn ikke en hensiktsmessig måte å regulere området på. Dette er Advokatforeningen enig i.
3.3 Plassering av behandlingsansvaret
Advokatforeningen oppfatter at departementets vurderinger i høringsnotatet i hovedsak fremstår som rimelige når det gjelder konklusjonen om at det foreligger grunnlag for felles behandlingsansvar for behandling av personopplysninger etter NAV-loven 14 a. Uten mer inngående kunnskap om hvilke tjenester som tilbys og hvilken behandling av personopplysninger som faktisk skjer, er det vanskelig for Advokatforeningen å ha noen mer detaljert oppfatning om hvordan det felles behandlingsansvaret bør fordele seg mellom henholdsvis statlig og kommunal del. Etter Advokatforeningens syn er imidlertid verken høringsnotatet eller forslaget til forskrift tilstrekkelig klart når det gjelder innholdet i det felles behandlingsansvaret, se nærmere kommentarer nedenfor når det gjelder oppgave- og ansvarsdeling.
3.4 Felles behandlingsansvar, ulik oppgave- og ansvarsfordeling
Departementet er tydelig på at et felles behandlingsansvar mellom Arbeids- og velferdsetaten og kommunene ikke betyr at oppgaver og ansvar er likt fordelt mellom partene. Tvert imot anser departementet at et likt fordelt ansvar verken er realistisk eller hensiktsmessig. Departementet understreker at det ikke er noen motsetning mellom å være felles behandlingsansvarlige, og å ha en ulik innbyrdes ansvarsfordeling mellom de behandlingsansvarlige. Advokatforeningen er enig i dette utgangspunktet, men oppfatter at forslaget på dette punktet etterlater en viss usikkerhet med hensyn til hvilken ansvarsdeling som er ment å foreligge mellom henholdsvis statlig og kommunal del. Uklarheten skyldes trolig dels at høringsnotatet i liten grad positivt beskriver hvilke formål og tilhørende behandlingsaktiviteter som skal være omfattet av det felles behandlingsansvaret og dels at ansvar for visse oppgaver/oppfyllelsen av visse regulatoriske krav er lagt til Arbeids- og velferdsdirektoratet, uten at det er klargjort hvilken betydning dette har for behandlingsansvaret som ligger hos kommunene, herunder om kommunen fortsatt er (felles) behandlingsansvarlig for behandlingen av personopplysninger, selv om direktoratet har fått ansvaret for oppfyllelsen av enkelte av lovens krav.
3.5 De behandlingsansvarliges ansvar for etterlevelse i egen virksomhet
Departementet legger til grunn at de behandlingsansvarlige, dvs. både Arbeids- og velferdsetaten (ved Arbeids- og velferdsdirektoratet) og den enkelte kommune, har det overordnede ansvaret for at krav i personvernregelverket (personopplysningsloven og personvernforordningen) etterleves. De behandlingsansvarlige må derfor sikre at behandlingsansvaret er ivaretatt innenfor egen virksomhet. Dette utgangspunktet er Advokatforeningen enig i.
I forslag til § 6 i forskriften foreslår da også departementet at Arbeids- og velferdsdirektoratet skal ha "ansvar for personvern i IT-løsningen" som benyttes i behandlingene. I høringsnotatet sier departementet at dette innebærer at kommunene ikke har ansvar for personvern knyttet til utvikling og forvaltning av selve IT-løsningene. Videre uttaler departementet at kommunene derimot har ansvar for at bruken av IT-løsningene som skjer innenfor deres egen virksomhet bidrar til å overholde nødvendig sikkerhet for behandlingene.
Etter Advokatforeningens syn er det ikke åpenbart hva som blir grensesnittet mellom det statlige og det kommunale behandlingsansvaret på dette punktet, herunder er det uklart om ordlyden i forskriften § 6 betyr at direktoratet vil være behandlingsansvarlig alene for enkelte behandlingsaktiviteter og/eller om bestemmelsen kun er ment å tillegge direktoratet ansvaret for å sikre og dokumentere etterlevelse av enkelte lovkrav, se nærmere om dette nedenfor.
3.6 Arbeids- og velferdsdirektoratets ansvar
Det fremgår av høringsnotatet at Arbeids- og velferdsdirektoratet eier og har ansvar for IT-løsningene som brukes til behandlingen av personopplysninger som skjer med hjemmel i NAV-loven § 14 a. Departementet mener det både er rimelig og hensiktsmessig at ansvar for personvern og sikkerheten for behandlingene i disse IT-løsningene ligger til direktoratet. I høringsnotatet forklarer departementet at forskriften § 6 er ment å innebære at Arbeids- og velferdsdirektoratet i sin utvikling og forvaltning av IT-løsningene skal "ivareta alle forpliktelsene som ligger til behandlingsansvarlig etter personvernforordningen" og det listes opp at dette omfatter oppfyllelsen av kravene personvernforordningen artikkel 35, artikkel 32, artikkel 25, kapittel III og artikkel 13. Videre fremgår det imidlertid at departementet i forslag til § 4 andre ledd første setning foreslår en informasjonsplikt som skal sørge for nødvendig informasjonsutveksling mellom de behandlingsansvarlige.
Samlet sett er disse uttalelsene og forslagene i høringsnotatet egnet til å etterlate et inntrykk av at det felles behandlingsansvaret skal ligge fast, og at departementet ikke har ment at direktoratet alene er behandlingsansvarlig for spesifikke behandlingsaktiviteter. Departementets uttalelser i punkt 3.7 om bruk av databehandlere trekker imidlertid i motsatt retning. Det samme gjør til dels uttalelser og forslag omtalt i punkt 3.8.
Advokatforeningen finner uansett grunn til å nevne at, gitt det særlige ansvaret direktoratet er tillagt for IT-løsningene, kan det tenkes at direktoratet for eksempel alene vil/bør være behandlingsansvarlig for behandlingsaktiviteter som utføres for å ivareta informasjonssikkerheten i løsningen. Dette har imidlertid ikke Advokatforeningen grunnlag for å mene noe mer om. Etter Advokatforeningens syn bør disse forholdene uansett klargjøres ytterligere, herunder er det trolig en fordel om det felles behandlingsansvaret klargjøres noe bedre, jf. merknader over under punkt 3.4 og 3.3 og nedenfor under punkt 3.6.
3.7 Bruk av databehandlere
Departementet skriver i punkt 3.6 at i forbindelse med utførelse av NAV-loven § 14 a vil bruk av databehandlere være mest aktuelt for Arbeids- og velferdsdirektoratet som ansvarlig for IT-løsningene som brukes. Et praktisk eksempel kan være at Arbeids- og velferdsdirektoratet vil bruke eksterne skytjenester som en del av IT-løsningene.
Uttalelsene i dette punktet i høringsnotatet etterlater inntrykk av at departementet mener direktoratet alene vil opptre som behandlingsansvarlig for enkelte behandlingsaktiviteter, uten at dette er nærmere klargjort verken i høringsnotatet eller forslaget til forskrift. Uttalelsene her virker også å stå i et motsetningsforhold til enkelte andre deler av høringsnotatet/forskriften.
3.8 Avvik og håndtering av brudd på sikkerheten ved behandlingen av personopplysninger
Advokatforeningen oppfatter også på dette punktet forslaget som noe uklart hva gjelder roller og ansvar. Departementet gir i høringsnotatet uttrykk for at det ikke er hensiktsmessig å gi særreguleringer om ansvar for håndtering av brudd på personopplysningssikkerheten, der dette allerede følger av forordningen. Dette er det naturlig å forstå dithen at hver enkelt behandlingsansvarlig må svare for seg og sitt. Deretter uttaler imidlertid departementet at man finner det rimelig og hensiktsmessig at ansvaret for håndtering av brudd på sikkerheten ved behandlingen som hovedregel ligger på Arbeids- og velferdsdirektoraret og at det etter departementets syn en naturlig forlengelse av at direktoratet også har ansvar for IT-løsningene. I forskriften § 7 er det foreslått at Arbeids- og velferdsdirektoratet har "ansvar for håndtering av brudd på sikkerheten ved behandlingen, inkludert i IT-løsningene".
Samtidig vises det til at det kan være tilfeller der bruddet ikke er knyttet til IT-løsningene, men derimot knyttet til forhold som helt og holdent er innenfor en kommunes kontrollsfære. Hva som er helt og holdent innenfor kommunens sfære, må alltid vurderes konkret. Departementet foreslår derfor et unntak fra hovedregelen knyttet til slike situasjoner. Advokatforeningen antar det er forslaget i forskriften § 7 første ledd tredje punktum det siktes til her, hvorav det følger at kommunen likevel har ansvar for håndtering av bruddet, hvis bruddet helt og holdent er innenfor en kommunes virksomhet og ansvar.
Det er etter Advokatforeningens syn uklart hva som ligger i ansvaret for håndtering av brudd på personopplysningssikkerheten, herunder hva dette har å si når det gjelder behandlingsansvar og tilhørende meldeplikt til Datatilsynet. Advokatforeningen oppfatter forslaget som uklart med hensyn til om og eventuelt for hva direktoratet alene er behandlingsansvarlig og mener det er svært viktig at både stat og kommune har en tilstrekkelig klar regulering å forholde seg til her.
3.9 Oversikt over ansvar og oppgaver
Advokatforeningen er positiv til en opplisting over fordelingen av ansvar for bestemte oppgaver for henholdsvis statlig og kommunal del, men oppfatter som påpekt foran at det likevel er visse grunnleggende uklarheter med hensyn til hva som er omfattet av det felles behandlingsansvaret og hva som eventuelt er direktoratets behandlingsansvar alene som medfører at denne oversikten ikke gir tilstrekkelig avklaring.
4 Avslutning/oppsummering
Som det fremgår over finner Advokatforeningen å kunne støtte formålet og intensjonen bak den foreslåtte forskriftsreguleringen, og departementets syn på at det foreligger en form for felles behandlingsansvar mellom Arbeids- og velferdsetaten og kommunen, når det gjelder behandling av personopplysninger som skjer med hjemmel i NAV-loven § 14 a. Det er som allerede påpekt imidlertid behov for nærmere klargjøringer av roller og ansvar i relasjon til flere av forskriftens bestemmelser.
Vennlig hilsen
Jon Wessel-Aas Merete Smith
leder generalsekretær