7 Personvern
7.1 Innledning
Lov 14. april 2000 nr. 31 om behandling av personopplysninger (personopplysningsloven) regulerer behandlingen av personopplysninger. I det følgende vil denne loven omtales som personopplysningsloven av 2000 eller forkortet til popplyl. for å skille den fra den nye loven som vil omtales som personopplysningsloven av 2018 med korttittel popplyl18. Formålet med loven er å beskytte den registrerte mot at personvernet blir krenket gjennom behandlingen av personopplysninger om den registrerte. Med «personopplysninger» menes opplysninger og vurderinger som kan knyttes til en enkeltperson. Det følger av popplyl. § 1 annet ledd at «loven skal bidra til at personopplysninger blir behandlet i samsvar med grunnleggende personvernhensyn, herunder behovet for personlig integritet, privatlivets fred og tilstrekkelig kvalitet på personopplysninger.»
I april 2016 vedtok EU en ny forordning, 2016/679 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46EF (generell personvernforordning). Forordningen erstatter og opphever EUs gjeldende personverndirektiv som i dag er innlemmet i EØS-avtalen og gjennomført i norsk rett i personopplysningsloven av 2000. Justis- og beredskapsdepartementet har sendt på høring utkast til ny personopplysningslov som skal gjennomføre personvernforordningen i norsk rett. Justis- og beredskapsdepartementet har i høringen opplyst at den nye personopplysningsloven skal tre i kraft i Norge i mai 2018, på samme tidspunkt som forordningen begynner å gjelde i EU. Den kommende loven vil gjennomføre EUs forordning 2016/679. Loven inkorporerer forordningen samt fastsetter enkelte andre bestemmelser som forordningen krever eller åpner for.
Personvernforordringen innebærer i stor grad en videreføring av dagens rettstilstand. Forordningen presiserer imidlertid og utdyper flere av rettighetene til den registrerte, noen nye rettigheter er kommet til, mens andre bortfaller. Som et eksempel på det siste kan nevnes melde- og konsesjonsplikten som erstattes med en plikt til vurdering av personvernkonsekvenser og forhåndsdrøftinger med tilsynsmyndigheten, som i Norge er Datatilsynet.
Av særlig relevans for lovforslagene som omhandler behandling av personopplysninger i foreliggende lovproposisjon, kan det nevnes at personvernforordningen viderefører adgangen til å behandle personopplysninger når dette er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt, jf. personopplysningsloven av 2000 § 8 første ledd bokstav d og e og forordningen artikkel (art.) 6 nr. 1 bokstav e. Etter gjeldende rett kan behandling som gjøres som et ledd i offentlig myndighetsutøvelse eller i allmenhetens interesse, hjemles direkte i popplyl. § 8 første ledd bokstav d og e. En sentral endring som følger av den nye personvernforordningen, er at art. 6 nr. 1 bokstav e ikke alene kan utgjøre et tilstrekkelig behandlingsgrunnlag. Ut over at behandlingen skjer som et ledd i offentlig myndighetsutøvelse eller i allmenhetens interesse, krever forordningen i tillegg et supplerende rettsgrunnlag. Dette rettsgrunnlaget må finnes i nasjonal rett, jf. art. 6 nr. 3 bokstav b.
7.2 Bestemmelser om behandling av personopplysninger i forbindelse med universiteter og høyskolers studieadministrative systemer og det samordnede opptaket til høyere utdanning
7.2.1 Gjeldende rett
Det er i dag ingen egen bestemmelse i universitets- og høyskoleloven om universiteter og høyskolers behandling av personopplysninger i forbindelse med lokalt opptak til utdanningsinstitusjonene eller i deres studieadministrative systemer. Det er heller ikke bestemmelser i universitets- og høyskoleloven om behandling av personopplysninger ved det samordnede opptaket til høyere utdanning. For behandling av personopplysninger i forbindelse med det samordnede opptaket har departementet lagt til grunn at dette i dag er hjemlet i personopplysningsloven av 2000 § 8 bokstav e, som gjelder utøvelse av offentlig myndighet. For behandling av personopplysninger i utdanningsinstitusjonenes studieadministrative systemer, er vurderingen av behandlingsgrunnlaget mer sammensatt. Etter departementets vurdering er behandlingsgrunnlaget hjemlet i popplyl. § 8 bokstav a; om å oppfylle en avtale med de registrerte og bokstav e; om utøvelse av offentlig myndighet. I visse tilfeller er behandlingsgrunnlaget også samtykke fra den registrerte.
Som nevnt i punkt 7.1 så menes det med «personopplysninger», «opplysninger og vurderinger som kan knyttes til en enkeltperson», jf. popplyl. § 2 nr. 1. Med begrepet «behandling av personopplysninger», menes enhver bruk av personopplysninger, som for eksempel innsamling, registrering, sammenstilling, lagring og utlevering, eller en kombinasjon av slike bruksmåter, jf. popplyl. § 2 nr. 2. Personopplysningsloven gjelder for behandling av personopplysninger som helt eller delvis skjer ved bruk av elektroniske hjelpemidler.
Det er Kunnskapsdepartementet som er ansvarlig for behandlingen av personopplysninger i det samordnede opptaket, mens det er hver enkelt utdanningsinstitusjon som er behandlingsansvarlig for personopplysninger om sine søkere og studenter i sine respektive studieadministrative systemer. Siden det er utdanningsinstitusjonene selv som har et selvstendig ansvar for å vurdere hvilket rettslig grunnlag behandlingene skal hjemles i, har dette ført til ulike vurderinger og begrunnelser for behandlingen av personopplysninger ved institusjonene.
7.2.2 Høringsforslaget
Det ble i høringsnotatet vist til at som en del av arbeidet i forbindelse med utredningen av lovforslaget, innhentet departementet en vurdering av personvernkonsekvensene av forslagene fra daværende Nasjonalt senter for felles systemer og tjenester for forskning og studier (Ceres), som fra 1. januar 2018 ble en del av Kunnskapsdepartementets tjenesteorgan. Dette tjenesteorganet forvalter i dag det samordnede opptaket og er databehandler for det studieadministrative systemet Felles studentsystem (FS). FS er brukt ved alle statlige universiteter og høyskoler, samt ved noen private høyskoler. Personvernkonsekvensutredningen var tilgjengelig på Kunnskapsdepartementets nettside for høringen på regjeringen.no.
I høringsnotatet ble de forskjellige studieadministrative systemene og opptaket til høyere utdanning beskrevet nærmere, se også nedenfor. Det studieadministrative systemet som er mest utbredt i sektoren er nevnte FS. Det samme behandlingsbehovet for personopplysninger som gjelder for FS vil også være til stede for de studieadministrative systemene som brukes av de resterende høyere utdanningsinstitusjonene. Departementet viste til at behandlingsgrunnlaget for personopplysninger i studieadministrative systemer, og i det samordnede opptaket, bør lovfestes i universitets- og høyskoleloven. Dette for å gi bedre forutsigbarhet når det gjelder hvordan personopplysninger om søkere og studenter blir behandlet i sektoren. Det vil også sikre en lik praksis når det gjelder fastsettelse av formålet med, og grunnlaget for, behandlingen av personopplysningene. Dette var også i samsvar med konklusjonene i personvernkonsekvensutredningen.
Høringsnotatet beskrev de forskjellige systemene i sektoren slik:
Studieadministrative systemer
Felles studentsystem (FS) er et studieadministrativt system som er i bruk ved alle de statlige universitetene og høyskolene samt noen private institusjoner som for eksempel det teologiske menighetsfakultet (MF). Institusjonene er behandlingsansvarlig for sine FS-databaser, og Tjenesteorganet har rollen som databehandler.
FS ble etablert før personopplysningsloven av 2000 trådte i kraft. Universitetene og høyskolene fikk den gang innvilget konsesjon av Datatilsynet for behandlingen. I personopplysningsloven av 2000 ble behandlingen av personopplysninger i FS ikke lenger konsesjonspliktig, kun meldepliktig. Meldeplikten innebar at institusjonene selv meldte inn behandlingen og oppga hva de anså for å være behandlingsgrunnlaget. Denne meldeplikten faller nå bort ved innføringen av personopplysningsloven av 2018. Meldeplikten blir erstattet av en vurdering av personvernkonsekvensene og forhåndsdrøfting med tilsynsmyndigheten (Datatilsynet).
Det finnes også andre studieadministrative systemer i sektoren enn FS, men disse omtales ikke nærmere her utover å si at de regler som nå foreslås lovfestet, også vil gjelde for disse. Derfor foreslås det at betegnelsen «studieadministrative systemer» brukes som en fellesbetegnelse i lovforslaget for å inkludere alle studieadministrative systemer i sektoren.
Samordna opptak
Samordna opptak ble opprettet av Utdannings- og forskningsdepartementet i 1994 som et service- og koordineringsorgan for opptak til grunnutdanninger ved universiteter og høyskoler. Samordna opptak ble fra 1. januar 2018 en del av Kunnskapsdepartementets tjenesteorgan. Det er Tjenesteorganet ved Samordna opptak, som forvalter den nasjonale opptaksmodellen. Opptaksmodellen består av flere deler, blant annet Søkerportalen, Nasjonal vitnemålsdatabase (NVB) og Felles studentsystem (FS). Opptak til de fleste grunnutdanninger skjer gjennom Samordna opptak, mens lokale opptak til enkeltemner, enkelte grunnutdanninger og masteropptak, foregår lokalt ved institusjonene gjennom Felles studentsystem og tilhørende applikasjoner (Søknadsweb).
Det samordnede opptaket blir gjennomført gjennom et samarbeid mellom utdanningsinstitusjonene og Samordna opptak. I det samordnede opptaket registrerer søkeren sin søknad, og utdanningsinstitusjonene utfører saksbehandling for hverandre. Det vil si at det er én utdanningsinstitusjon som er ansvarlig for å behandle søknaden, selv om søkeren har søkt på utdanninger ved flere ulike institusjoner. Selve vedtaket blir fattet gjennom opptakssystemet (informasjons-/datasystemet) til Samordna opptak, og det er de som er ansvarlig for å distribuere vedtakene til de enkelte søkerne på vegne av utdanningsinstitusjonene.
I høringsnotatet ble det også redegjort for hvilke personopplysninger som foreslås registrert.
Personopplysninger
I høringsnotatet ble det blant annet vist til at i de fleste tilfeller er det tilstrekkelig å bruke navn og fødselsdato for å sikre riktig identifisering av en person. Imidlertid kan det i forbindelse med behandling av opplysninger om svært mange personer foreligge en reell risiko for at det i systemet er registrert flere personer med samme navn og samme fødselsdato. I den nasjonale opptaksmodellen og i de studieadministrative systemene behandler utdanningsinstitusjonene opplysninger om svært mange personer, og det er derfor behov for entydig identifisering. Fødselsnummeret er et unikt identifiseringsnummer og er med det en personopplysning. Fødselsnummeret regnes ikke som en sensitiv opplysning og er ikke taushetsbelagt. Fødselsnummer kan likevel bare brukes når det er saklig behov for det og sikker identifisering ikke kan oppnås på annen måte. På bakgrunn av dette er det etter departementets vurdering et saklig behov for at fødselsnummer skal anvendes for å identifisere søkere og studenter.
En lovbestemmelse i universitets- og høyskoleloven som tillater behandling av personopplysninger i opptakssystemet, bør også inneholde en hjemmel til å tillate behandling av sensitive personopplysninger. I dag behandler både Samordna opptak og utdanningsinstitusjonene sensitive opplysninger i forbindelse med blant annet opptak til studier og søknad om utsatt eksamen. Med sensitive opplysninger menes her opplysninger om helse og sosiale forhold. I dag blir ikke sensitive opplysninger lastet opp i Søkerportalen, men behandles manuelt ved institusjonen. Tjenesteorganet har fått tilbakemeldinger fra institusjonene om at det er ønskelig med elektronisk behandling av slik dokumentasjon siden dagens ordning er tungvinn og tidkrevende, både for institusjonene og søkerne.
Når det gjelder de studieadministrative systemene og det samordnede opptaket, er det søkeren som er ansvarlig for å legge frem dokumentasjon om helse og sosiale forhold som er nødvendige for å begrunne søknader om tilrettelegging av undervisning, utsatt eksamen, opptak etter særskilt vurdering og lignende. Forslaget i høringsnotatet gir utdanningsinstitusjonene adgang til å innhente og behandle sensitive personopplysninger når studenten selv har gitt disse opplysningene til institusjonen eller har samtykket til at institusjonen kan innhente disse. Det ble presisert i høringsforslaget at utdanningsinstitusjonene og tjenesteorganet må behandle disse opplysningene i samsvar med forvaltningslovens regler om taushetsplikt.
Høringsnotatet omtalte også spørsmålet om hvem som skulle være behandlingsansvarlig for personopplysningene i de digitale systemene.
Behandlingsansvarlig for personopplysningene
Når det gjelder opptakssystemet til Samordna opptak er det Kunnskapsdepartementet som i dag er behandlingsansvarlig for personopplysningene. Selv om departementet var behandlingsansvarlig, var det daglige behandleransvaret frem til 1. januar 2018 delegert til Universitetet i Oslo i kraft av å være vertsinstitusjon for Samordna opptak, jf. uhl. § 1-4 fjerde ledd. Samordna opptak ble fra denne datoen, som nevnt tidligere, en del av Kunnskapsdepartementets tjenesteorgan.
Departementet mener at det er hensiktsmessig at det er det organet som er ansvarlig for det samordnede opptaket til høyere utdanning, som blir behandlingsansvarlig for personopplysningene i forbindelse med det samordnede opptaket. Det er dette organet, tjenesteorganet, som vil være best egnet til å overholde forpliktelsene som følger av personvernforordningen. Departementet delegerte i vedtak av 8. desember 2017 det daglige behandlingsansvaret til tjenesteorganet med virkning fra og med 1. januar 2018.
Når det gjelder behandlingsansvaret for de studieadministrative systemene, inkludert FS, så er det utdanningsinstitusjonene selv som er behandlingsansvarlig for data om sine søkere og studenter. Lovforslaget innebærer ingen endring av dette.
Til slutt ble det i høringsnotatet vist til et forslag om å åpne for automatiserte avgjørelser i universitets- og høyskoleloven som følge av at personvernforordningen gir de registrerte rett til ikke å være gjenstand for automatisert behandling, samt et forslag som åpner for elektronisk behandling av digitale politiattester som følge av politiets innføring av digitale politiattester.
Automatiserte avgjørelser
Automatiserte avgjørelser er beslutninger som er avgjørende for rettighetene og pliktene til en enkeltperson og som utelukkende baseres på maskinell behandling. Ved automatisert saksbehandling er rettsreglene blitt formalisert og programmert i digitale systemer.
Automatisert saksbehandling kan bidra til å sikre den enkeltes rettssikkerhet på en bedre måte, siden den bidrar til effektivitet, kvalitet og likebehandling i saksbehandlingen. Men, for å sikre den registrertes rettigheter i møte med automatiserte avgjørelser, oppstiller personvernforordningen regler for denne typen avgjørelser. Artikkel 22 nr. 1 gir den registrerte rett til ikke å være gjenstand for en avgjørelse som utelukkende er basert på automatisert behandling når avgjørelsen har rettsvirkning, eller i betydelig grad påvirker vedkommende. Regelen er i stor grad en videreføring av popplyl. § 25, jf. § 22. Art. 22 nr. 2 bokstav a til c gjør unntak fra hovedregelen, hvor bokstav b sier at automatisert behandling kan skje dersom behandlingen er hjemlet i nasjonal rett. Etter art. 22 nr. 3 skal den registrerte i dette tilfellet blant annet ha rett til menneskelig inngripen fra den behandlingsansvarlige, rett til å uttrykke sine synspunkter og rett til å bestride avgjørelsen. Til slutt følger det av art. 22 nr. 4 at avgjørelsene nevnt i nr. 2 ikke kan bygge på sensitive personopplysninger med mindre det foreligger samtykke etter art. 9 nr. 2 bokstav a, eller behandlingen er nødvendig av hensyn til viktige samfunnsinteresser etter art. 9 nr. 2 bokstav g og det er innført egnede tiltak for å verne den registrertes rettigheter, friheter og berettigede interesser.
Som et eksempel på automatisert saksbehandling i det samordnede opptaket, kan det nevnes automatisk beregning av poengsum fra elektroniske vitnemål. Når det gjelder de studieadministrative systemer, er innvilgelse av eksamens- og undervisningsmeldinger gjenstand for automatisert saksbehandling.
Forvaltningslovens regler om saksbehandling vil også gjelde i tilfeller hvor det fattes vedtak ved bruk av automatisert saksbehandling. Den personen som vedtaket retter seg mot, vil derfor ha rettigheter både som «den registrerte» etter personvernregelverket, og som «part» etter forvaltningsloven. For eksempel vil kravene om veiledning, utredningsplikt, begrunnelse og klagerett i forvaltningsloven også gjelde ved automatisert saksbehandling. En rett til manuell overprøving som supplerer den alminnelige klageretten etter forvaltningsloven, vil etter departementets vurdering i tilstrekkelig grad ivareta rettighetene og interessene til den registrerte. Overprøvingen vil innebære at det foretas en manuell kontroll av om de digitale studieadministrative- og opptakssystemene har fattet et korrekt vedtak i henhold til gjeldende lover og forskrifter.
Som nevnt i høringsnotatet, ved å hjemle muligheten til automatisert saksbehandling i universitets- og høyskoleloven, vil det skape forutsigbarhet for både søkere, studenter, doktorgradskandidater og allmennheten for øvrig. Det vil synliggjøre at automatisert saksbehandling foregår i universitets- og høyskolesektoren, og det kan også legges føringer på i hvilke tilfeller automatisert saksbehandling kan og bør anvendes.
Departementets forslag innebærer at det fastsettes en egen bestemmelse i universitets- og høyskoleloven, som gir direkte hjemmel til automatiserte avgjørelser, og det er departementets vurdering at dette oppfyller kravet i forordningens art. 22 nr. 2 bokstav b.
Digitale politiattester
Ved enkelte opptak til studieprogrammer kan det være krav om å fremlegge politiattest før man kan begynne på studiet. Kravet om politiattest er fastsatt i uhl. § 4-9. Et eventuelt krav om å fremlegge politiattest vil fremgå av tilbudsbrevet om studieplass som Samordna opptak sender ut. Studenten får normalt tre uker på seg til å levere inn politiattesten. Attesten skal da leveres direkte til utdanningsinstitusjonen.
Politiet har innført digitale politiattester. Selv om politiattestene i utgangspunktet er digitale, er det i praksis slik at studenten mottar politiattesten i sin digitale postkasse, skriver den ut på papir, for deretter å levere den til utdanningsinstitusjonen. Ordningen innebærer en risiko for at politiattesten kan bli forfalsket før den blir innlevert til utdanningsinstitusjonen. Dersom institusjonen ønsker å verifisere politiattesten, må de i dag be studenten møte opp fysisk og logge seg inn på sin digitale postkasse for å vise frem den digitale attesten til institusjonen. En slik fremgangsmåte for verifisering er tungvint og krevende, spesielt siden det er et stort antall studenter som skal levere politiattester hvert år, og en verifisering bør skje av alle politiattestene som leveres. For å sikre at de politiattestene som blir levert til institusjonene er autentiske, mener departementet at det bør åpnes for en løsning som gjør det mulig for studentene å levere politiattestene elektronisk til utdanningsinstitusjonene.
I dag foreligger verken lovhjemmel eller konsesjon som tillater opplasting av politiattester i digitale systemer. En politiattest med merknader vil inneholde sensitive personopplysninger. Det fremgår av personvernforordringens art. 10 at behandlingen av opplysninger om straff krever hjemmel i nasjonal lov. Det foreslås at utdanningsinstitusjonene kan kreve at politiattester som er utstedt og signert digitalt, leveres til institusjonen i digital form. For å sikre verifisering av politiattestene, forutsettes det at politiattestene er digitalt signerte pdf-filer. Det er studenten selv som skal legge frem attesten for utdanningsinstitusjonen ved digital opplasting i den aktuelle institusjons studieadministrative system. Departementet foreslår derfor å hjemle dette i uhl. § 4-15 femte ledd hvor det foreslås at digitale politiattester kan lastes opp digitalt og behandles i de studieadministrative systemene.
7.2.3 Høringsinstansenes uttalelser
Ceres, Datatilsynet, Høgskolen i Oslo og Akershus, Høgskolen i Østfold, Høgskolen på Vestlandet, Lovisenberg diakonale høgskole, Nord universitet, Norges handelshøyskole, Norges miljø- og biovitenskapelige universitet, Norges musikkhøgskole, Norges teknisk-naturvitenskapelige universitet, Norsk studentorganisasjon, Norsk sykepleieforbund, Politihøgskolen, Studentdemokratiet i Sørøst-Norge, Studentorganisasjonen i Agder, Universitetet i Agder, Universitetet i Bergen, Universitetet i Oslo og Universitetet i Tromsø – Norges arktiske universitet støtter forslaget.
Selv om Norges teknisk-naturvitenskapelige universitet (NTNU) skriver at «[d]et er positivt at departementet foreslår egne bestemmelser i universitets- og høyskoleloven om behandling av personopplysninger som skal oppfylle kravene om nasjonale, lovgivningsmessige supplerende grunnlag, jf. forordningen artikkel 6 nr. 3 bokstav b slik forutsatt i EUs personvernforordning», mener NTNU at:
«Den foreslåtte bestemmelsen i § 4-15 (1) vil neppe dekke de behov som utdanningsinstitusjonene har for behandling av personopplysninger om studentene. […] Spørsmålet blir om formålet slik det er angitt i § 4-15 (1) blir klart nok eller om det blir for generelt etter forordningens artikkel 5 nr. 1 bokstav b. Aktuelle områder hvor hjemmelsgrunnlaget kan være usikkert er behandling av personopplysninger i forbindelse med læringsanalyse, utvikling og forbedring av kvalitet i utdanningen, adgangskontroll, utveksling av opplysninger mellom institusjon og praksissted samt lagring av besvarelser i plagieringssystemet.
Bestemmelsens overskrift […] er dekkende for den tradisjonelle behandlingen av personopplysninger i forbindelse med opptak, eksamen, sensur, vitnemål mm. som er nødvendig for å treffe vedtak, dvs. utøve offentlig myndighet. Behandling av personopplysninger om studentene vil imidlertid i økende grad i fremtiden skje i andre sammenhenger, f.eks. i forbindelse med digitalisering av undervisningen. Dette vil være en behandling hvor det kan reises spørsmål ved om institusjonene er innenfor forordningens bestemmelse om at behandlingen er nødvendig for å utøve offentlig myndighet eller oppfylle en rettslig forpliktelse.»
NTNU støtter ellers forslaget til ny § 4-16 om innhenting og behandling av personopplysninger i Samordna opptak.
Universitetet i Oslo (UiO) stiller spørsmål ved om formålet slik det er foreslått i § 4-15 første ledd blir tilstrekkelig klart uttrykt.
UiO viser til at behandling av personopplysninger om studentene i økende grad vil skje i andre sammenhenger enn de tradisjonelt studieadministrative. Det vises blant annet til at:
«I KDs digitaliseringsstrategi legges det stor vekt på digitalisering av undervisningen og bruk av læringsanalyse for å forbedre undervisning og læring. Dette vil blant annet basere seg på registrering av studentenes aktivitet og bruk av opplysningene for å legge til rette for bedre og mer tilpasset læring. Spørsmålet blir om institusjonene har hjemmel for å registrere opplysninger om studentenes aktivitet som skal danne grunnlag for læringsanalyse uten å måtte be om samtykke fra den enkelte student, som vi igjen anser som å kunne være problematisk basert på kravet om frivillighet vil kunne bli oppfylt.»
UiO viser også til at et annet moment er gjennomføring av praksis og utveksling av informasjon mellom praksissted og institusjon.
«Det framstår mest klargjørende med en tydelig hjemmel om at slik utveksling av informasjon kan skje, slik at heller ikke praksisstedene er i tvil om at de har behandlingsgrunnlag.
Dette er særlig viktig i utdanningen med skikkethetsvurdering, hvor det kan oppstå tvil om en student kan fortsette praksisoppholdet eller spørsmål om underkjenning av praksis grunnet manglende skikkethet.»
UiO viser til slutt til at forslaget i § 4-15 tredje ledd gjelder behandling av opplysninger om helse, sosiale forhold og andre sensitive opplysninger. I den norske oversettelsen av EUs personvernforordning brukes ikke begrepet «sensitive» opplysninger, men dette omtales som «særlige kategorier av personopplysninger», jf. art. 9. UiO stiller spørsmål om det som omtales som «sensitive» opplysninger i lovbestemmelsen er avgrenset til opplysninger i personvernforordningens art. 9 eller går denne lenger. UiO antar at dette «relaterer seg til artikkel 9 og foreslår at samme avgrensning som i artikkel 9 brukes med hensyn til hvilke opplysninger dette gjelder.»
Ceres skriver blant annet i sin høringsuttalelse at ordlyden i §§ 4-15 og 4-16 bør få:
«[E]n ordlyd som tar høyde for fremtidig digitalisering i sektoren. For eksempel at ordlyden i disse bestemmelsene ikke er til hinder for muligheter for gjenbruk av personopplysninger i offentlig sektor. Dersom det blir nødvendig å be om lovendring hver gang det åpner seg nye muligheter, vil dette skape hindringer for videre digitalisering i sektoren. Vi ber derfor departementet presisere i lovkommentarene til § 4-15 og § 4-16 at departementet i forskriftsform kan tillate innhenting og behandling av også andre personopplysninger enn de som er nevnt i selve lovbestemmelsene.»
Norges musikkhøgskole ber:
«[D]epartementet vurdere om en bestemmelse tilsvarende siste setning i § 7-8 (5) (om at opplysningene kan også utleveres til andre departementer og statlige organer), også bør tas inn i § 4-15. Bestemmelsen i § 7-8 er begrenset til de opplysninger som er registrert i DBH, mens det kan være andre opplysninger som er registrert av institusjonene i medhold av § 4-15 som ikke er overført til DBH, men som det likevel er legitime behov for kunne behandle på tvers av institusjoner. Et konkret eksempel er søknads- og opptaksstatistikk for opptak som gjøres utenom Samordna opptak. Slik statistikk er i dag ytterst mangelfull fordi det ikke foretas tilsvarende kobling av personopplysninger på tvers av institusjonene, som automatisk gjøres gjennom samordna opptak for søknader som behandles der.»
Datatilsynet «er enig med KD i at det gir bedre forutsigbarhet med hensyn til personvern å lovfeste adgangen til å behandle personopplysninger i Samordna opptak og studieadministrative systemer. Dersom dette kan bidra til lik praktisering av regelverket er dette også positivt.»
Datatilsynet viser til at høringsnotatet beskriver at det kommer nye regler knyttet til automatiserte avgjørelser i den nye personvernforordningen, art. 22.
«Bestemmelsen er ment som en rettssikkerhetsgaranti for den registrerte i møte med automatiserte avgjørelser. Utgangspunktet etter denne bestemmelsen er at den registrerte skal ha en rett til å ikke bli gjenstand for en beslutning basert utelukkende på en automatisert behandling.»
Det vises til at dette utgangspunktet kan fravikes dersom behandlingen er basert på at det er nødvendig for å oppfylle kontrakt, det foreligger en lovhjemmel eller at det foreligger et samtykke. Datatilsynet presiserer at det er et tilleggskrav for lovhjemlet behandling, og det er at det skal fastlegges egnede tiltak for å verne den registrertes rettigheter.
«Forordningens fortale punkt 71 nevner noen eksempler på tiltak som […] rett til menneskelig inngripen å uttrykke sine synspunkter å få en forklaring på beslutningen som er truffet innsigelse mot beslutningen.»
Datatilsynet viser til slutt til at:
«[KD] skriver på side 14 at etter personvernforordningen er ikke lengre opplysninger om at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling sensitive personopplysninger. Dersom dere med dette mener at dette er opplysninger som er kategorisert som «ordinære personopplysninger» uten ekstra terskel for behandling så er ikke dette helt presist. Behandling av denne særskilte typen opplysninger er tatt inn i en egen artikkel – art. 10 – med særskilte vilkår.»
Justis- og beredskapsdepartementet og Universitets- og høgskolerådet har ikke konkret uttalt hvorvidt de støtter forslaget eller ei.
Justis- og beredskapsdepartementet (JD) viser til at forslaget i bestemmelsens tredje ledd hjemler utdanningsinstitusjoners adgang til å innhente og behandle sensitive personopplysninger gitt at dette er opplysninger som studenten selv har gitt institusjonen eller har samtykket til at institusjonen skal få. JD bemerker at:
«Det fremstår som noe uklart hvilke konsekvenser forslaget vil få for de særskilte skikkethetsvurderingene til utdanningsinstitusjoner som er pålagt slike etter forskrift om skikkethet i høyere utdanning § 1 tredje ledd, jf. universitets- og høyskoleloven § 4-10 første ledd.
[…]
Etter forvaltningsloven § 13 b nr. 3 og nr. 5, jf. skikkethetsforskriftens § 2 siste ledd, vil en utdanningsinstitusjon ha en viss adgang til å utveksle informasjon med andre organer i forbindelse med institusjonens skikkethetsvurderinger. For eksempel vil en utdanningsinstitusjon som får overført en student fra en annen utdanningsinstitusjon, kunne få tilgang til tvilsmeldinger knyttet til den aktuelle studenten i medhold av forvaltningsloven § 13 b nr. 3. En slik adgang til overføring av sensitive personopplysninger vil også være avgjørende for at studenter som gjennomfører sine studieløp i én institusjon, ikke risikerer en negativ forskjellsbehandling sammenliknet med studenter som velger å gjennomføre sine studieløp ved flere institusjoner. En utdanningsinstitusjon vil også, i helt særlige tilfeller, kunne ha et legitimt behov for å innhente nødvendig informasjon fra helsepersonell i forbindelse med institusjonens skikkethetsvurderinger dersom helsepersonelloven § 23 nr. 4 åpner for dette.»
JD ber departementet om å utrede nærmere hvorvidt den foreslåtte § 4-15 tredje ledd vil kunne medføre en utilsiktet innsnevring i, eller vanskeliggjøring av, de relevante utdanningsinstitusjoners muligheter til å utføre sin lovpålagte oppgave etter universitets- og høyskolelovens § 4-10.
Universitets- og høgskolerådet stiller spørsmål om:
«[B]egrepet «studieadministrative formål» er det mest hensiktsmessige å bruke i overskriften av § 4-15. Det vil kunne tenkes formål, blant annet knyttet til kvalitetsutvikling av utdanningene, der det også kan vise seg nyttig med tilgang til personopplysninger, for eksempel i læringsstøttesystemer og eksamenssystemer. Dette vil handle om kvalitetsutvikling av utdanningene. En streng tolkning av «studieadministrative forhold» vil kunne sette strengere begrensninger enn det som er hensiktsmessig.»
7.2.4 Departementets vurdering
Departementet viser til at det følger av personopplysningsloven av 2000 (popplyl.) § 11 første ledd at en rekke krav må være oppfylt ved behandlingen av personopplysninger. Den behandlingsansvarlige skal sørge for at personopplysningene bare behandles når det foreligger et behandlingsgrunnlag i medhold av popplyl. §§ 8 og 9. Personopplysningene skal bare nyttes til uttrykkelig angitte formål som er saklig begrunnet i den behandlingsansvarliges virksomhet, og de kan ikke senere brukes til formål som er uforenlige med det opprinnelige formålet med innsamlingen, med mindre den registrerte samtykker. Opplysningene må være tilstrekkelig og relevante for formålet med behandlingen, og ikke lagres lenger enn det som er nødvendig ut fra formålet med behandlingen. I den nye personvernforordningen er prinsippene for behandling av personopplysninger i all hovedsak videreført i artikkel (art.) 5 nr. 1 bokstav a til f.
Popplyl. § 8 og forordringens art. 6 nr. 1 angir når personopplysninger kan behandles. Hovedregelen etter personvernloven av 2000 er at behandling kan skje når den registrerte har samtykket. Behandling kan også skje når det er fastsatt i lov at det er adgang til det, eller hvis minst ett av seks opplistede vilkår er oppfylt. For den behandlingen av personopplysninger som er omtalt i denne lovproposisjon, er det å oppfylle en avtale med den registrerte, jf. popplyl. § 8 bokstav a og personvernforordningen art. 6 nr. 1 bokstav b, å utføre en oppgave av allmenn interesse, jf. § 8 bokstav d og art. 6 nr. 1 bokstav e, og å utøve offentlig myndighet, jf. § 8 bokstav e og art. 6 nr. 1 bokstav e, som er de mest aktuelle behandlingsgrunnlagene.
Popplyl. § 9 og art. 9 i personvernforordningen stiller ytterligere krav til behandling av sensitive personopplysninger. I forordningen omtales dette som «særlige kategorier av personopplysninger». Denne kategorien av personopplysninger omhandler blant annet opplysninger om en persons rasemessige eller etniske opprinnelse, politisk oppfatning, religion og helse. Art. 9 nr. 1 oppstiller en hovedregel om at behandling av opplysninger som regnes som sensitive, er forbudt. Slike opplysninger kan bare behandles dersom behandlingen både oppfyller et av vilkårene i popplyl. § 8 og et av vilkårene i § 9 første ledd, jf. art. 9 i forordningen. Sensitive personopplysninger kan behandles ved samtykke fra den registrerte, eller ved lovbestemt adgang til slik behandling.
Departementet viser til at i de fleste tilfeller er det tilstrekkelig å bruke navn og fødselsdato for å sikre riktig identifisering av en person. Imidlertid kan det i forbindelse med behandling av opplysninger om svært mange personer, foreligge en reell risiko for at det i systemet er registrert flere personer med samme navn og samme fødselsdato. I den nasjonale opptaksmodellen og i de studieadministrative systemene behandler utdanningsinstitusjonene opplysninger om svært mange personer, og det er derfor behov for entydig identifisering. Fødselsnummeret er et unikt identifiseringsnummer og er med det en personopplysning. Fødselsnummeret regnes ikke som en sensitiv opplysning og er ikke taushetsbelagt. Fødselsnummer kan likevel bare brukes når det er saklig behov for det og sikker identifisering ikke kan oppnås på annen måte. På bakgrunn av dette er det etter departementets vurdering et saklig behov for at fødselsnummer skal anvendes for å identifisere søkere og studenter, jf. personopplysningsloven av 2018 § 11 («Fødselsnummer og andre entydige identifikasjonsmidler kan bare behandles når det er saklig behov for sikker identifisering og metoden er nødvendig for å oppnå slik identifisering.»). Lovforslaget om behandling av personopplysninger i opptakssystemet inneholder også en hjemmel til å tillate behandling av sensitive personopplysninger. Med sensitive opplysninger menes her opplysninger om helse og sosiale forhold. Dette er også omtalt nedenfor.
Departementets forslag i § 4-15 fjerde ledd innebærer at det settes inn en egen bestemmelse i universitets- og høyskoleloven som gir direkte hjemmel til automatiserte avgjørelser, og det er departementets vurdering at dette oppfyller kravet i forordningens art. 22 nr. 2 bokstav b. Automatiserte avgjørelser er beslutninger som er avgjørende for rettighetene og pliktene til en enkeltperson og som utelukkende baseres på maskinell behandling. Ved automatisert saksbehandling er rettsreglene blitt formalisert og programmert i digitale systemer. Ved å hjemle muligheten til automatisert saksbehandling i universitets- og høyskoleloven, vil dette skape forutsigbarhet. Det vil synliggjøre at automatisert saksbehandling foregår i universitets- og høyskolesektoren, og det kan også legges føringer på i hvilke tilfeller automatisert saksbehandling kan og bør anvendes. Forvaltningslovens regler om saksbehandling vil også gjelde i tilfeller hvor det fattes vedtak ved bruk av automatisert saksbehandling. Den personen som vedtaket retter seg mot vil derfor ha rettigheter både som «den registrerte» etter personvernregelverket, og som «part» etter forvaltningsloven. For eksempel vil kravene om veiledning, utredningsplikt, begrunnelse og klagerett i forvaltningsloven også gjelde ved automatisert saksbehandling. En rett til manuell overprøving som supplerer den alminnelige klageretten etter forvaltningsloven, vil etter departementets vurdering i tilstrekkelig grad ivareta rettighetene og interessene til den registrerte.
Ved enkelte opptak til studieprogrammer kan det være krav om å fremlegge politiattest før man kan begynne på studiet. Kravet om politiattest er hjemlet i uhl. § 4-9. Politiet har innført digitale politiattester. For å sikre at de politiattestene som blir levert til institusjonene er autentiske, mener departementet at det i loven bør åpnes for en løsning som gjør det mulig for studentene å levere politiattestene elektronisk til utdanningsinstitusjonene. I tillegg så inneholder en politiattest med merknader sensitive personopplysninger. Det fremgår av personvernforordringens art. 10 at behandlingen av opplysninger om straff krever hjemmel i nasjonal lov. Departementet foreslår derfor at det i uhl. § 4-15 femte ledd fastsettes at digitale politiattester kan lastes opp digitalt og behandles i de studieadministrative systemene.
Departementet er av den oppfatning at det er hensiktsmessig at det er det organet som er ansvarlig for det samordnede opptaket til høyere utdanning, Kunnskapsdepartementets tjenesteorgan, som blir behandlingsansvarlig for personopplysningene i forbindelse med det samordnede opptaket. Det er tjenesteorganet som vil være best egnet til å overholde forpliktelsene som følger av personvernforordningen. Når det gjelder behandlingsansvaret for de studieadministrative systemene, er det utdanningsinstitusjonene selv som er behandlingsansvarlig for de personopplysningene som behandles der, og lovforslaget innebærer ingen endring av denne rettstilstanden.
Departementet har merket seg Universitetet i Oslo og Norges teknisk-naturvitenskapelige universitets høringsuttalelse som blant annet viser til at behandling av personopplysninger om studentene i økende grad vil skje i andre sammenhenger enn de tradisjonelt studieadministrative. Det vises til at Kunnskapsdepartementets digitaliseringsstrategi legger stor vekt på digitalisering av undervisningen og bruk av læringsanalyse for å forbedre undervisning og læring. Dette vil blant annet basere seg på registrering av studentenes aktivitet og bruk av opplysningene for å legge til rette for bedre og mer tilpasset læring. Det er også reist spørsmål om institusjonene har hjemmel for å registrere opplysninger om studentenes aktivitet som skal danne grunnlag for læringsanalyse uten å måtte be om samtykke fra den enkelte student. Også tjenesteorganet (tidligere Ceres) har bemerket at ordlyden i uhl. § 4-15 og § 4-16 bør ta høyde for fremtidig digitalisering i sektoren og for muligheter for gjenbruk av personopplysninger i offentlig sektor.
Departementet viser til at de foreslåtte bestemmelsene i henholdsvis uhl. § 4-15 og § 4-16 ikke vil dekke alle de behov som utdanningsinstitusjonene har når det gjelder behandlingen av personopplysninger, men dette har heller ikke vært hensikten da bestemmelsene ble foreslått. Ut fra høringsuttalelsene ser det ut til at Universitetet i Oslo og Norges teknisk-naturvitenskapelige universitet mener digitalisering av undervisning og bruk av læringsanalyse ikke er å anse som «studieadministrasjon». Dersom utdanningsinstitusjonene mener de har behov for å behandle personopplysninger i forbindelse med utførelse av oppgaver og/eller plikter som de mener ikke hører inn under studieadministrasjon eller opptak, må institusjonene kartlegge dette, begrunne forslaget og melde inn sitt behov for ytterligere lovhjemler til departementet.
Departementet er av den oppfatning at man ikke uten ytterligere utredning av konsekvenser og behov, kan gi vide hjemler som skal ta høyde for «alt». Lovhjemmelen må være avgrenset til det man har et legitimt behov for, og hvor dette hensynet alltid må måles opp mot inngrepet i den enkeltes registrertes personvern. Selv om enkelte høringsinstanser har bedt om at bestemmelsen får en ordlyd som tar høyde for fremtidig digitalisering i sektoren, er det strenge regler som gjelder på personvernområdet. En eventuell inkludering må vurderes konkret i hvert enkelt tilfelle. Selv om departementet har forståelse for at det å be om en lovendring hver gang det åpner seg nye digitale muligheter kan skape hindringer for videre digitalisering i sektoren, er departementet av den oppfatning at det vil være i strid med forordningen å ta høyde for alle eventualiteter nå. Reglene om personvern må tolkes strengt av hensyn til de registrertes rettigheter.
Departementet har merket seg Justis- og beredskapsdepartementets uttalelse om hvilke konsekvenser forslaget vil få for de særskilte skikkethetsvurderingene til utdanningsinstitusjoner som er pålagt slike etter forskrift om skikkethet i høyere utdanning § 1 tredje ledd, jf. universitets- og høyskoleloven § 4-10 første ledd.
Ordningen med skikkethetsvurdering skal sikre at kandidatene er i stand til å møte kravene til den yrkes- eller profesjonsrollen de skal gå inn i. Skikkethetsvurderingen skiller seg fra den autorisering og godkjenning som kreves for utøving av yrker innenfor helsevesenet, rettsvesenet med mer, ved at vurderingen skjer mens vedkommende er student. I utgangspunktet vurderer institusjonen studentenes ferdigheter gjennom eksamener og prøver som må bestås, eller praksis som må godkjennes. I de aller fleste tilfeller vil det forhold at en student ikke er skikket til vedkommende yrke, komme til uttrykk ved at vedkommende ikke får godkjent praksisperioden. Det er også lagt til grunn at det kan fastsettes at en student som har strøket i praksis, som hovedregel bare gis mulighet til å gjennomføre kun én ny praksisperiode. Skikkethetsvurderingen kommer imidlertid i tillegg til disse formene for prøving av studentens kvalifikasjoner og kan få følger også for studenter som har bestått praksis.
Bestemmelser om skikkethetsvurdering kommer også i tillegg til de generelle reglene om bortvisning og utestengning i uhl. §§ 4-8 og 4-9. Disse bestemmelsene gir blant annet mulighet for å bortvise eller utestenge studenter som gjentatte ganger opptrer grovt forstyrrende, eller som grovt klanderverdig opptrer på en måte som skaper fare for liv eller helse til for eksempel elever og barnehagebarn. Det er også mulig å nekte opptak eller utestenge fra bestemte typer praksis eller opplæring på grunn av visse typer straffbare forhold. Ved vurderingen av en students skikkethet vil institusjonen kunne legge vekt på at studenten har vært utvist etter § 4-8, men en slik utvisning behøver ikke i seg selv være tilstrekkelig for at studenten vurderes som ikke skikket.
Det er ikke departementets intensjon å endre rettstilstanden for dette, eller innsnevre institusjonenes adgang til å utveksle informasjon om studenter i forbindelse med skikkethetsvurdering. Slik informasjonsutveksling er noe utdanningsinstitusjonene har mulighet til å gjøre med hjemmel i fvl. § 13b nr. 5, og de nye bestemmelsene i uhl. § 4-15 og § 4-16 er ikke ment å endre dette. Departementet ser derfor grunn til å presisere i merknadene til disse bestemmelsene at endringene ikke er ment å innskrenke institusjonenes mulighet til å utveksle sensitive opplysninger om skikkethetsvurderinger eller politianmeldelser med hjemmel i fvl. § 13b. Det vil også presiseres i lovforslaget at det ved behandling av skikkethet fortsatt vil være nødvendig å innhente sensitive opplysninger uten at nødvendigvis samtykke foreligger. Departementet legger derfor til grunn av forslaget ikke innskrenker den adgangen som allerede ligger i loven for utdanningsinstitusjonene til å innhente eller behandle sensitive opplysninger i forbindelse med for eksempel utestenging etter skikkethetsvurdering eller andre saker som faller inn under bestemmelsen i uhl. § 4-12.
Enkelte høringsinstanser har vist til at i den norske oversettelsen av EUs personvernforordning brukes ikke begrepet «sensitive» opplysninger, men at dette omtales som «særlige kategorier av personopplysninger», jf. art. 9. Det stilles derfor spørsmål om det som omtales som «sensitive» opplysninger i lovbestemmelsen er avgrenset til opplysninger i personvernforordningens art. 9 eller om dette går lenger.
Når det gjelder kommentarene til formuleringen «helse, sosiale forhold og andre sensitive opplysninger», er det riktig at det i personvernforordningen brukes «særlige kategorier av personopplysninger» i den uoffisielle norske oversettelsen, om det som tidligere ble omtalt som «sensitive personopplysninger». Art. 9 nr. 1 oppstiller en hovedregel om at behandling av opplysninger som regnes som sensitive, er forbudt. Opplysningene som omfattes av artikkel 9, omtales også som «sensitive opplysninger» i en parentes i fortalepunkt 10, men i fortalen for øvrig, og i forordningens artikler, brukes som nevnt termen «særlige kategorier av personopplysninger». Som nevnt ovenfor bruker departementet primært betegnelsen sensitive opplysninger, som er et kjent begrep i sektoren.
For at behandling av opplysninger som regnes som sensitiv etter forordningen, skal være lovlig, må vilkårene i et av unntakene i art. 9 nr. 2 være oppfylt. I tillegg må det foreligge behandlingsgrunnlag etter artikkel 6, hvor det fremgår at også de allmenne prinsippene og de andre reglene i forordningen får anvendelse, «særlig når det gjelder vilkårene for lovlig behandling». Unntaksregelen i art. 9 nr. 2 bokstav a gir adgang til å behandle sensitive personopplysninger når den registrerte gir uttrykkelig samtykke, og viderefører § 9 første ledd bokstav a i dagens lov. Når det gjelder hvilke kategorier av særlige personopplysninger som bestemmelsen skal omfatte, kan det bli problematisk å begrunne eller tillate at alle de kategoriene som er nevnt i personvernforordningen artikkel 9 skal omfattes. I personkonsekvensutredningen er det kun behandlingen av opplysninger om helse og sosiale forhold som er utredet og vurdert. Dersom det skal behandles andre kategorier av sensitive personopplysninger/særlige kategorier av personopplysninger, må dette utredes nærmere. Det vises til at utgangspunktet etter personvernforordningen er at behandling av særlige kategorier av personopplysninger er forbudt, med mindre behandlingen er nødvendig av hensyn til viktige samfunnsinteresser, behandlingen er hjemlet i lov, det er iverksatt egnede og særlige tiltak osv. Det er strenge vilkår som må oppfylles før unntak kan tillates, jf. personvernforordningen art. 9 bokstav g.
Norges musikkhøgskole ønsker en hjemmel i § 4-15 som tilsvarer forslaget til den nye bestemmelsen i uhl. § 7-8 femte ledd. En slik bestemmelse vil innebære at personopplysninger fra studieadministrative systemer kan utleveres til andre departementer og statlige organer for å fremme forskning og utredning om høyere utdanning.
Departementet viser til at formålet med Database for statistikk om høyere utdanning (DBH) er å fremme forskning og utredning om høyere utdanning, mens formålet med studieadministrative systemer er begrunnet i andre hensyn. Man kan ikke uten videre tillate at personopplysningene brukes til andre formål enn det de er samlet inn for, jf. personopplysningsloven av 2000 § 11 og personvernforordningen art. 5. Men departementet viser i den anledning til at forordningens art. 5 nr. 1 bokstav b slår fast at bruk av data til forskning «ikke anses som uforenelige med de opprinnelige formålene» der hvor dette er aktuelt. Dersom det er andre organer som ønsker å få utlevert personopplysninger fra studieadministrative systemer, stilles det i dag blant annet krav om at disse organene påberoper seg et behandlingsgrunnlag, det vil si hjemmel for utleveringen, og oppgir formålet med behandlingen. Det foretas deretter en vurdering av om det er lovlig og forsvarlig å utlevere opplysningene. Det er derfor mulig å få utlevert personopplysninger fra studieadministrative systemer dersom man kan vise til et rettslig grunnlag. For eksempel blir personopplysninger i dag utlevert til Lånekassen og SSB, fordi disse organene kan vise til rettslige grunnlag i særlovgivningen.
Departementet mener at den opprinnelige overskriften til bestemmelsen § 4-15 «Innhenting og behandling av personopplysninger til studieadministrative formål», bør endres til «Innhenting og behandling av personopplysninger i studieadministrative systemer», da det etter departementets vurdering bedre beskriver hva bestemmelsen omhandler.
Det er departementets oppfatning at det ikke har fremkommet innsigelser i høringsrunden av en slik karakter som skulle tilsi at forslaget ikke fremmes. Departementet viser til vurderingene fremkommet ovenfor. Lovforslaget videreføres med enkelte språklige justeringer.
Det vises til de nye lovforslagene §§ 4-15 og 4-16.
7.3 Behandlingsansvarlig for personopplysninger i Nasjonal vitnemåls- og karakterportal
7.3.1 Gjeldende rett
Nasjonal vitnemåls- og karakterportal (Vitnemålsportalen) ble på oppdrag fra Kunnskapsdepartementet utviklet av daværende Nasjonalt senter for felles systemer og tjenester for forskning og studier (Ceres). Ceres var et nasjonalt senter som blant annet forvaltet, utviklet og driftet IT-systemene i universitets- og høyskolesektoren.
Departementet la til grunn at Ceres ikke formelt kunne være behandlingsansvarlig for personopplysningene i Vitnemålsportalen og departementet var derfor behandlingsansvarlig for dette. Det daglige behandleransvaret var frem til 1. januar 2018 delegert til Universitetet i Oslo i kraft av å være vertsinstitusjon for Ceres, jf. uhl. § 1-4 fjerde ledd. Det var i realiteten Ceres som forvaltet Vitnemålsportalen og behandlet personopplysningene i portalen på vegne av departementet. Universitetet i Oslo opphørte fra 1. januar 2018 å være vertsinstitusjon for Ceres og Ceres er nå en del av Kunnskapsdepartementets tjenesteorgan.
I vedtak av 8. desember 2017, som følge av at forskrift om Nasjonal vitnemåls- og karakterportal ble endret, ble behandlingsansvaret for personopplysninger i Vitnemålsportalen delegert fra Kunnskapsdepartementet til Kunnskapsdepartementets tjenesteorgan med virkning fra 1. januar 2018.
7.3.2 Høringsforslaget
I dag er det som nevnt Kunnskapsdepartementet som formelt er behandlingsansvarlig for Vitnemålsportalen. Som ledd i omorganisering av den sentrale forvaltningen under Kunnskapsdepartementet ble det vedtatt å opprette et nytt forvaltningsorgan, Kunnskapsdepartementets tjenesteorgan, som fra 1. januar 2018 består av de organene som tidligere het Ceres og Bibsys, i tillegg til oppgaver som er overført fra UNINETT AS.
Departementet viste i høringsnotatet til at det er tjenesteorganet som har forvaltningsansvaret for Vitnemålsportalen og derfor også bør være behandlingsansvarlig for behandlingen av personopplysningene i denne portalen. Det er tjenesteorganet som vil ha instruksjonsmyndighet når det gjelder fastsettelse av formålet med behandlingen av opplysningene i portalen og hvilke hjelpemidler som skal brukes.
Departementet foreslo også enkelte språklige endringer i lovteksten for å gjøre den likere tilsvarende lovbestemmelse foreslått i den nye fagskoleloven, jf. Prop. 47 L (2017 – 2018) Lov om fagskoleutdanning (fagskoleloven). De språklige endringene medfører ingen materiell endring av gjeldende rett.
7.3.3 Høringsinstansenes uttalelser
Akademikerne, Fagskolen Aldring og helse, Forskerforbundet, Handelshøyskolen BI, Høyskolen Kristiania, Helse Vest RHF, Høgskolen i Sørøst-Norge, Kunnskapsdepartementets tjenesteorgan, Nord universitet, Norsk studentorganisasjon, Universitetet i Oslo og Universitets- og høgskolerådet støtter forslaget. Det var ingen av høringsinstansene som uttalte seg om forslaget som var imot dette.
7.3.4 Departementets vurdering
Formålet med Vitnemålsportalen er å tilby en digital tjeneste der personer på en enkel måte kan synliggjøre resultatene sine for potensielle arbeidsgivere, utdanningsinstitusjoner og andre som har bruk for dem, og der mottakerne kan stole på at resultatene er korrekt gjengitt.
Informasjonen som formidles gjennom tjenesten, hentes fra datakilden der informasjonen opprinnelig er lagret, det vil si hos den enkelte utdanningsinstitusjon. Det betyr at systemet i seg selv ikke inneholder resultater i form av vitnemål og karakterer, men kun er et system for å hente denne informasjonen fra utdanningsinstitusjonenes databaser.
Informasjon om karakterer og vitnemål overføres fra utdanningsinstitusjonen og til portalen når den som informasjonen gjelder selv tar initiativ til det. Når en person velger å dele resultatene sine med, for eksempel, en bedrift eller utdanningsinstitusjon, vil portalen kun formidle resultatene som vedkommende har bestemt skal deles og kun i den perioden vedkommende har bestemt at resultatene skal være tilgjengelig.
I Vitnemålsportalen behandles informasjon om personopplysninger som navn og fødselsnummer. For en nærmere redegjørelse av personvernkonsekvensene av denne behandlingen, vises det til Prop. 81 L (2015 – 2016) Endringer i universitets- og høyskoleloven (NOKUTs tilsyn, nasjonal vitnemåls- og karakterportal mv.) hvor hjemmelen til nasjonal vitnemåls- og karakterportal i sin tid ble foreslått og senere vedtatt av Stortinget den 9. juni 2014, jf. gjeldende uhl. § 4-14.
Departementet opprettholder vurderingen fra høringsnotatet om at det er naturlig at tjenesteorganet blir behandlingsansvarlig for personopplysningene i portalen. Dette fordi det vil være tjenesteorganet som skal forvalte fellestjenester for universitets- og høyskolesektoren, herunder Vitnemålsportalen. Det er dette organet som vil være nærmest og best egnet til å overholde forpliktelsene som følger av den nye personvernforordningen. Det er også dette organet som vil ha den formelle instruksjonsmyndighet når det gjelder fastsettelse av formålet med behandlingen av personopplysningene i Vitnemålsportalen. Det har heller ikke vært noen høringsinstanser som har motsatt seg dette forslaget.
Departementet foreslår, som nevnt også i høringsnotatet, å gjøre noen mindre språklige endringer i bestemmelsene om Vitnemålsportalen i både i uhl. § 4-14 og i forslaget til § 41 i ny fagskolelov slik at bestemmelsene er tilnærmet like. Forslag til ny fagskolelov er behandlet i Prop. 47 L (2017 – 2018) Lov om fagskoleutdanning (fagskoleloven). De språklige endringene vil ikke resultere i endring av gjeldende rett på dette området.
Det vises til lovforslaget § 4-14.
7.4 Behandling av personopplysninger ved rapportering av individdata til Database for statistikk om høyere utdanning
7.4.1 Gjeldende rett
Database for statistikk om høgre utdanning (DBH) er en nasjonal database for statistikk om studenter, utdanning, forskning, personale og økonomien mv. ved universiteter og høyskoler i Norge. Behandlingen av personopplysninger i DBH er hjemlet i vilkåret om at behandlingen er nødvendig for å utøve offentlig myndighet, jf. personopplysningsloven av 2000 (popplyl.) § 8 bokstav e. Data og statistikk fra DBH danner blant annet grunnlaget for Kunnskapsdepartementets forvaltning og styring av universiteter og høyskoler og offentlige myndighetsutøvelse.
I DBH registreres i dag følgende personopplysninger om studenter, doktorgradskandidater og ansatte ved utdanningsinstitusjonene: fødselsnummer, navn, kjønn, statsborgerskap og e-postadresse. For studenter registreres i tillegg eventuelt midlertidig fødselsnummer, postadresse og opplysninger om studieprogresjon. Dataene på aggregert nivå i DBH er åpent tilgjengelig på nett og er også viktig for forskning og kunnskapsgrunnlaget om sektorens resultater og utvikling.
I dag skjer innrapporteringen av individdata om studenter og ansatte i universitets- og høyskolesektoren med grunnlag i departementets instruksjonsmyndighet. De statlige utdanningsinstitusjonene er forvaltningsorganer under Kunnskapsdepartementet og dermed underlagt departementets instruksjonsmyndighet.
Uhl. § 8-6 som har bestemmelser om rapporterings- og meldeplikt for private høyskoler, trådte i kraft 1. januar 2018. Private høyskoler skal rapportere regnskapsinformasjon og sammenstilte data om studietilbud, studenter og personale til departementet, jf. uhl. § 8-6 første ledd. For private høyskoler som mottar statstilskudd, har Kunnskapsdepartementet i det årlige tilskuddsbrevet fra departementet fastsatt krav om at slik rapportering skal skje til DBH på samme måte som for statlige institusjoner. Private høyskoler som ikke mottar tilskudd er også omfattet av kravet om rapportering mv. i § 8-6 første ledd. Departementet kan gi forskrift om det nærmere innholdet i, og formkrav til, denne rapporteringsplikten, jf. uhl § 8-6 tredje ledd. Departementet har foreløpig ikke fastsatt krav til rapportering i DBH for private høyskoler som ikke mottar statstilskudd, men viser til at loven åpner for at dette kan fastsettes i forskrift og at dette derfor kan bli aktuelt på et senere tidspunkt.
7.4.2 Høringsforslaget
Det ble i høringsnotatet vist til at individdata om studenter og ansatte ved utdanningsinstitusjonene er viktig for departementets strategiske arbeid knyttet til utviklingen og oppfølgingen av høyere utdanning og fagskoleutdanning i Norge. Rapportering av disse dataene danner, sammen med rapporteringen av regnskap og resultatdata, grunnlag for utarbeidelse av Kunnskapsdepartementets årlige tilstandsrapporter for henholdsvis høyere utdanning og fagskoleutdanning. Formålet med tilstandsrapportene er å gi en oversikt og en vurdering av tilstanden i universitets- og høyskolesektoren og fagskolesektoren. Tilstandsrapportene er også et redskap for departementet i styringen av sektorene, blant annet i budsjettarbeidet. Innsamlingen av individdata om studenter, doktorgradskandidater og ansatte i universitets- og høyskolesektoren, og om studenter og ansatte i fagskolesektoren, legger videre til rette for forskning på utdanningssektoren. Tilsvarende hjemmel for å innrapportere individdata om studenter og ansatte i fagskolesektoren foreslås i Prop. 47 L (2017 – 2018) Lov om fagskoleutdanning (fagskoleloven).
For å oppfylle formålene med DBH er det nødvendig at databasen inneholder kvalitetssikrede og fullstendige data om utdanningssektoren på individnivå. I dag er det ikke alle utdanningsinstitusjoner som har rapportert inn individdata. Dette innebærer at de dataene departementet legger til grunn for sin styringsvirksomhet, er mangelfulle for flere utdanningsinstitusjoner og vanskeliggjør departements styring.
Departementet redegjorde derfor i høringsnotatet for behovet for en lovhjemmel og viste i den forbindelse til en tidligere høring i 2016 om hjemmel for rapportering av individdata. Den høringen viste at flere høringsinstanser syntes at hjemmelsgrunnlaget for behandlingen av individdata var uklart. Departementet fikk derfor NSD og Ceres til å utrede personvernkonsekvensene i forbindelse med utarbeidelsen av et lovforslag, og denne utredningen var tilgjengelig på nettsiden til foreliggende høring på regjeringen.no. På bakgrunn av disse innspillene og det nye kravet til rettslig grunnlag i nasjonal rett, jf. personvernforordningen art. 6 nr. bokstav b, foreslo departementet en bestemmelse i universitets- og høyskoleloven som hjemler innrapportering og behandlingen av personopplysninger i DBH.
Departementet viste også i høringsnotatet til at det hadde blitt foretatt en vurdering av om samtykke kunne være et egnet grunnlag for behandling av individdata i DBH. Departementet la til grunn at det teknisk sett var mulig for utdanningsinstitusjonene å innhente et elektronisk samtykke fra sine studenter og ansatte til innhentingen av disse dataene. Det er likevel her snakk om en database som skal inneholde informasjon om en svært stor gruppe mennesker. Dette gjør det uforholdsmessig tid- og arbeidskrevende å innhente samtykke fra den enkelte. En innrapportering basert på samtykke innebærer i tillegg en reservasjonsrett for den enkelte som vil gi et svekket datagrunnlag i DBH, noe som dermed gjør det vanskelig å oppfylle formålet med innsamlingen av personopplysninger. Rapportering av data om studenter, ansatte og stipendiater basert på samtykke vil kunne føre til at informasjonen i DBH blir mangelfull, og at dette vil vanskeliggjøre både forskning og departements virksomhetsstyring. Samtykke er etter departementets vurdering et lite egnet behandlingsgrunnlag.
Den foreslåtte lovhjemmelen angir formålet med innrapporteringen av personopplysningene, hvilke opplysninger som skal innrapporteres, samt hvem som har behandlingsansvaret. Når det gjelder bruken av individdata til forskning, foreslo departementet i høringsnotatet å avgrense dette til å gjelde forskning på utdanningssektoren.
Høringsnotatet hadde videre med en kort omtale av DBH.
Om DBH
Database for høyere utdanning (DBH) er en database med et bredt spekter av informasjon om universiteter, høyskoler og fagskoler. Databasen ble etablert på initiativ fra Kunnskapsdepartementet for å samle og gjøre tilgjengelig data om høyere utdanning og forskningssektoren i Norge. Forvaltningen og driften av databasen er lagt til Norsk senter for forskningsdata (NSD), som er en forskningsinstitusjon som arkiverer, tilrettelegger og formidler data til forskningsmiljøer i Norge og internasjonalt. DBH inneholder data om studenter, utdanning, forskning, ansatte, museum, areal, økonomi og selskaper. Dataene i DBH skal være tilgjengelig for forskning på utdanningssektoren og for planlegging både sentralt i departementet og lokalt ved hver enkelt institusjon. Dataene har noe mindre omfang for fagskolene. Innrapportering og bruk av personopplysningene i sektoren er systematisk, med et klart formål om styring, kontroll og statistikk for departementet og utover dette til bruk i forskning.
Det ble videre i høringsnotatet omtalt hvilke personopplysninger som skulle registreres, hvem som skulle være behandlingsansvarlig for disse opplysningene samt vurderinger rundt sammenstilling og utlevering av dette til forsknings- og utredningsformål.
Personopplysninger som forslås registrert
I høringsnotatet ble det redegjort for hvilke opplysninger som skulle behandles i DBH. Departementet foreslo at blant annet navn og fødselsnummer skulle kunne rapporteres inn for å sikkert kunne identifisere individer, samt informasjon om statsborgerskap, postnummer, e-post, yrke og arbeidssted. Disse opplysningene er ikke å anse som sensitive etter personopplysningsloven av 2000 (popplyl.) § 2 nr. 8, og faller heller ikke inn under «særlig kategori av personopplysninger» i forordningens artikkel 9. I utgangspunktet er de heller ikke taushetsbelagte etter forvaltningslovens (fvl.) § 13 første ledd nr. 1. Fødselsnummer skal i henhold til popplyl. § 12 kun brukes der det er nødvendig for å oppnå sikker identifisering. Departementet kom etter personvernkonsekvensvurderingen frem til at det ikke var nødvendig å samle inn ytterligere opplysninger om adresse, og forslaget omfattet derfor ikke at det rapporteres inn adressene til studenter, de ansatte eller doktorgradskandidatene.
Utgangspunktet er at opplysninger om bestått utdanning, som for eksempel avlagte eksamener og prøver, gjennomførte kurs, oppnådde grader og lignende, ikke er taushetsbelagte opplysninger. For karakterer kan saken stille seg annerledes, og her skilles det også mellom karakterer fra grunnskolen/videregående opplæring og karakterer fra høyere utdanning. Karakterer fra videregående opplæring og grunnskolen er å anse som taushetsbelagte opplysninger etter fvl. § 13 første ledd nr. 1. Det ble i høringsnotatet foreslått at i DBH vil det bli behandlet opplysninger om karakterpoeng fra videregående opplæring, og at dette må anses som taushetsbelagte opplysninger.
Departementet viste også til at når det gjelder personopplysninger om ansatte, vil behandlingen også omfatte opplysninger om arbeid og lønn. Generelle opplysninger om arbeidssted, arbeidstid, yrke og stilling er ikke taushetsbelagte opplysninger. Opplysninger om lønn og godtgjørelse når det gjelder arbeid utført for det offentlige er heller ikke taushetsbelagte. Når det gjelder opplysninger om lønn og godtgjørelse til ansatte ved private institusjoner, utover det som fremgår av offentlige skattelister, kan dette være omfattet av taushetsplikt etter fvl. § 13 første ledd. Det ble i høringsnotatet vist til at det i dag blir hentet inn opplysninger om fast lønn og faste tillegg for tilsatte, men at private høyskoler ikke er pålagt å rapportere disse opplysningene. I det lovforslaget som fremkommer av høringsnotatet, er det derfor tatt inn en bestemmelse om at departementet kan pålegge henholdsvis universiteter og høyskoler å rapportere inn disse personopplysningene uten hinder av lovbestemt taushetsplikt.
Personopplysningsloven av 2000 har en definisjon av sensitive personopplysninger i § 2 nr. 8. Den nye personvernforordningen har en tilsvarende definisjon av «særlige kategorier av personopplysninger», jf. artikkel 9. De personopplysningene som skal behandles i DBH faller ikke inn under disse definisjonene, og det vil følgelig ikke registreres sensitive personopplysninger i databasen.
Behandlingsansvarlig for personopplysningene
Det er Kunnskapsdepartementet som er behandlingsansvarlig for individdataene som samles inn i DBH, mens NSD er databehandler. I henhold til databehandleravtalen skal NSD, på vegne av Kunnskapsdepartementet, samle inn personopplysninger fra universiteter, høgskoler og fagskoler. Avtalen sier også at NSD på visse vilkår kan utlevere personopplysninger til mottakere som har lovlig behandlingsgrunnlag. Data fra DBH samordnes og utleveres i dag blant annet til Helsedirektoratet, NOKUT, Nordisk institutt for studier av innovasjon, forskning og utdanning (NIFU), Lånekassen, Senter for internasjonalisering av utdanning (SiU) og SSB. Hver av disse organene blir behandlingsansvarlig for personopplysningene de mottar.
Sammenstilling og utlevering av opplysninger til forsknings- og utredningsformål
Departementet viste også i høringsnotatet til at det vil kunne bli aktuelt å sammenstille og utlevere opplysninger til forsknings- og utredningsformål. NSD kan sammenstille ulike opplysninger i DBH, for eksempel en sammenstilling av data innenfor fagskoleutdanningen og høyere utdanning. NSD kobler imidlertid ikke selv opplysninger fra DBH med eksterne datasett. Dersom det blir aktuelt å koble personopplysninger fra DBH med for eksempel registerdata fra SSB, vil det være naturlig at koblingen foretas av SSB.
Gjennom DBH koordinerer NSD innsamlingen av personopplysninger fra universitets- og høyskolesektoren og fagskolesektoren. Universiteter, høyskoler og fagskoler får ett rapporteringspunkt, og organene som trenger opplysningene kan hente disse fra DBH i stedet for å samle dem inn selv.
Utleveringen av personopplysninger fra databasen må være i tråd med gjeldende personvernlovgivning. Det må blant annet avklares at mottaker har lovlig grunnlag for å behandle personopplysninger, og at omfanget og typen personopplysninger som utleveres, begrenses til det som er nødvendig for mottakerens formål. Videre legges det opp til at utleveringen skjer på bakgrunn av en avtale med mottaker som fasetter rammene for mottakerens behandling av personopplysningene.
7.4.3 Høringsinstansenes uttalelser
Ceres, Lovisenberg diakonale høgskole, NOKUT, Norges teknisk-naturvitenskapelige universitet, Norsk senter for forskningsdata (NSD), Norsk studentorganisasjon, Norsk sykepleieforbund, Politihøgskolen, Universitetet i Tromsø – Norges arktiske universitet og Universitets- og høgskolerådet støtter forslaget.
Universitets- og høgskolerådet forslår en endring i første ledd om at det bør «presiseres utdanningsinstitusjonenes behov for tilgang til denne typen data. Det må være en grunnleggende forutsetning at institusjonenes eierskap til egne data sikres.»
NOKUT viser blant annet til at:
«NOKUT vil poengtere viktigheten av at DBH dekker all høyere utdanning og fagskoleutdanning i Norge, uavhengig av om institusjonene er statlige, private eller om de ligger under et annet departementet enn Kunnskapsdepartementet.
Dette vil gi et mer dekkende og dermed bedre datagrunnlag for NOKUTs tilsyns-, og analysevirksomhet. Det er dessuten ressurseffektivt at bare én aktør samler inn statistikk innen tertiær utdanning. DBH fungerer som en viktig kilde for statistikk og kunnskap om høyere utdanning; ovenfor media, organisasjoner, forskere, myndighetsapparatet og institusjonene selv. Også av den grunn bør DBH dekke all høyere utdanning.»
Datatilsynet støtter ikke forslaget. Datatilsynet skriver blant annet at de tidligere har stilt spørsmål ved nødvendigheten av at rapporteringen skjer på individnivå. Datatilsynet kan ikke se at dette er adressert i verken den første høringen i 2016, eller i det foreliggende forslaget.
Datatilsynet viser til at:
«Det forrige høringsnotatet var kort og begrunnet ikke nødvendigheten av personopplysninger inn i DBH. Som bakgrunn for det foreliggende forslaget er det utarbeidet en «Utredning av personvernkonsekvenser», men det er fortsatt ingen begrunnelse for hvorfor Kunnskapsdepartementet trenger rapportering på individnivå. I likhet med forrige høringsrunde legger departementet bare til grunn at innrapportering og behandling av individdata om studenter og ansatte ved universiteter og høyskoler er nødvendig for Kunnskapsdepartementets forvaltning og offentlige myndighetsutøvelse.
Vi etterspør igjen en begrunnelse for hvorfor personopplysninger er nødvendig. Utøvelse av offentlig myndighet gjør departementet ovenfor institusjonene og disses ansvarlige, og ikke ovenfor den enkelte student og ansatt. Utøvelse av offentlig myndighet er følgelig ikke er grunnlag som gjør det nødvendig med personopplysninger.
Hvis departementets påstand om at individdata er nødvendig for forvaltningen av sektoren er korrekt betyr det at det er legitimt for ethvert departement å opprette registre med personopplysninger om ansatte og andre registrerte i sektoren. Vi etterlyser en kommentar til dette.
Benevnelsen av registeret tilsier for øvrig at innholdet er statistikk, og det bør dermed være tilstrekkelig med aggregerte data. Dersom Kunnskapsdepartementet mener at utarbeidelse av statistikk krever tilgang til personopplysningene, så bør departementet begrunne hvorfor utarbeidelse av statistikk er en oppgave som departementet tar seg av selv all den tid vi har et dedikert organ – SSB – som utfører denne type tjenester på forvaltningens vegne.
Kunnskapsdepartementet har lagt til grunn at de personopplysningene som skal registreres i DBH ikke faller inn under betegnelsen «sensitive» i henhold til personopplysningsloven, og legger på den bakgrunn til grunn at personverninteressen i å bestemme over bruk og tilgang til egne personopplysninger ikke gjør seg særlig gjeldende. Dette mener Datatilsynet er feil.
For det første er det ikke hvorvidt personopplysningene er sensitive som er avgjørende for om hver enkelt ønsker og ha kontroll på sine personopplysninger.
For det andre er det flere av de opplysningene som er planlagt registrert er å anse som konfidensielle og som de registrerte vil ha en forventning om at kun blir brukt av lærestedet for dets formål med å administrere enten relasjonen mellom student og lærested eller ansatt og arbeidsgiver. Dette mener vi er tilfelle med for eksempel statsborgerskap, e-postadresse, karakterer fra videregående og fra høyere utdanning og opplysninger om lønn.
[…]
Det at Kunnskapsdepartementet må spesifisere formål og nødvendighet med innhenting av personopplysninger gjelder for øvrig alle variabler som inngår i registeret. En slik øvelse mener vi ville vært en naturlig del av utredningen av personvernkonsekvenser.
Oppsummert mener Datatilsynet at det i avveiningen av interesser er lagt uforholdsmessig mye vekt på viktigheten av rapporteringen i forhold til personverninteressen i å ha kontroll på egne data. Nødvendigheten av å opprette et sentralt register over studenter og ansatte i høyskolesektoren er ikke tilstrekkelig begrunnet.»
7.4.4 Departementets vurdering
Innhenting og behandling av individdata har personvernkonsekvenser. Personvern er et uttrykk for den enkeltes og samfunnets behov for beskyttelse av den personlige integritet. Enhver skal i utgangspunktet kunne bestemme over hva andre skal få vite om deres personlig forhold. Personvernregelverket skal blant annet sikre at det ikke behandles flere opplysninger enn det som er nødvendig for et konkret formål, og at det bare behandles opplysninger for formål som er legitime. Videre skal personopplysningene være korrekte, fullstendige, relevante og tilstrekkelige for det enkelte formål. Den enkeltes interesse i selv å ha kontroll på hva det offentlige bruker av opplysninger om ham eller henne er sentral. Det er også viktig at den enkelte er orientert om bruken av informasjon som kan få konsekvenser for ham eller henne. Den enkeltes interesse av at opplysningene er så korrekte og fullstendige som mulig, styrker betydningen av å være kjent med hvilke opplysninger som brukes.
Samtidig er det gode argumenter for å kunne bruke personopplysninger, for eksempel nødvendigheten av å utøve sentrale samfunnsfunksjoner som styring og kontrollvirksomhet. Personopplysninger gir også grunnlag for forskning som ikke er mulig uten slike data. Ved gjenbruk av personopplysninger kan brukere av offentlige tjenester slippe å gi samme opplysninger flere ganger, fordi disse allerede er tilgjengelige. Dette gir også store samfunnsmessige effektivitetsgevinster, for eksempel innenfor offentlig forvaltning.
Et tiltak som innebærer inngrep i personvernet, må veies opp mot relevante samfunnshensyn og andre interesser. Sentrale elementer i denne vurderingen vil være hvor sensitive opplysninger det er tale om å behandle, hvor stor integritetskrenkingen mot den registrerte det er, samt hvor tungtveiende samfunnsinteresser, eller andre interesser man søker å verne, representerer.
Selv om opplysninger i DBH samles inn om det enkelte individ, for eksempel en bachelorstudent, benyttes alltid tall på aggregert nivå i styringen av sektoren og ved publisering i DBH eller i departementets publikasjoner. Formålet med DBH er å legge til rette for statistikk, utredning og forskning, og for departementets forvaltning og styring av høyere utdanning. Personopplysningene skal kun brukes i den utstrekning det er nødvendig for å oppnå dette formålet, og behandlingen er ellers underlagt øvrige begrensninger etter til enhver tid gjeldende personvernregelverk. På bakgrunn av dette, og at personopplysningene er nødvendige for å gjennomføre styring av universitets- og høyskolesektoren i tråd med styringsprinsippene i staten, mener departementet at hensynet til det offentliges interesser veier tyngre enn den enkeltes interesse i at disse opplysningene ikke behandles gjennom DBH.
Departementet har merket seg Datatilsynets høringsuttalelse til den foreslåtte bestemmelsen. Datatilsynet skriver blant annet at de stiller spørsmål ved nødvendigheten av at rapporteringen skjer på individnivå og de etterspør en begrunnelse for hvorfor personopplysninger er nødvendig. De presiserer at utøvelse av offentlig myndighet gjør departementet ovenfor institusjonene og ikke ovenfor den enkelte student og ansatt. I avveiningen av interesser mener Datatilsynet at det er lagt uforholdsmessig mye vekt på viktigheten av rapporteringen i forhold til personverninteressen i å ha kontroll på egne data og de konkluderer at nødvendigheten av å opprette et sentralt register over studenter og ansatte i høyskolesektoren ikke er tilstrekkelig begrunnet.
Selv om de som personopplysningene kan knyttes til (de registrerte), vil ha liten kontroll over hvem som skal få tilgang til deres personopplysninger, er det viktig å ta i betraktning at behandlingen ikke på noen måte skal brukes til kontroll, overvåking eller lignende som kan være til den registrertes ugunst. Det vil heller ikke bli innsamlet eller behandlet sensitive personopplysninger eller særlige kategorier av personopplysninger omtalt i art. 9, om de registrerte. Det som er viktig for departementet er å kunne benytte aggregerte individdata for å se i hvor stor grad studenter som begynner på høyere utdanning også fullfører, da det er en viktig indikator for vurdering av utdanningskvaliteten både på utdannings-, skole- og nasjonalt nivå. Det er også viktig for departementet å kunne få kunnskap om hvordan det går med studenter fra skolebenken og inn i arbeidsmarkedet mv., alt dette er avhengig av tilgangen på individdata.
Kunnskapsdepartementet driver mål- og resultatstyring av universiteter og høyskoler. Dette er i tråd med statens prinsipper for departementenes styring av underliggende virksomheter. Dette innebærer at departementet er avhengig av god kunnskap om resultatene i sektoren og om hvilke tiltak som fungerer og hvilke som ikke fungerer. Slik kunnskap får departementet fra statistikk og indikatorer, og fra forskning og analyser. Et godt datagrunnlag med data på individnivå er nødvendig for å sikre et godt kunnskapsgrunnlag for styringen av sektoren. I tillegg til betydningen av et godt kunnskapsgrunnlag for styring og politikkutvikling, er det viktig med forskning som bidrar til økt kunnskap om utdanningssystemet mer generelt og om hvordan utdanning virker inn på andre viktige samfunnsområder som arbeid, helse, livskvalitet og deltakelse i samfunnslivet. For slik forskning vil tilgang på opplysninger om individers utdanningsbakgrunn være vesentlig.
I universitets- og høyskolesektorens målstruktur inngår blant annet mål om høy kvalitet i utdanning og forskning. Under dette målet har departementet innført styringsparametere for andelen bachelor- og masterkandidater som gjennomfører på normert tid. Dette er to av flere indikatorer på måloppnåelse under målet om høy kvalitet. Begge disse indikatorene krever at departementet har data på individnivå. For å beregne andelen som fullfører på normert tid, må departementet vite når den enkelte bachelor- og masterstudent påbegynte studiet og når vedkommende fullførte. Indikatorene brukes, sammen med mye annen informasjon, som underlag for den årlige etatsstyringen med de statlige universitetene og høyskolene. Uten individdata som gjør det mulig å følge gjennomføringsandelen, vil departementet ikke kunne gjennomføre mål- og resultatstyring i universitets- og høyskolesektoren etter gjeldende styringsprinsipper. Studenter kan skifte institusjon underveis i utdanningsløpet. Disse studentene vil da tilsynelatende ha falt fra sett fra den enkelte institusjons perspektiv. De vil likevel kunne ha gjennomført studiet på normert tid. Det er derfor viktig å ha en identifikator som kan identifisere studentene entydig på tvers av institusjoner. Fødselsnummer, som innenfor Norge er en universell identifikator, tilfredsstiller et slikt krav. For videre bruk av dataene i forskning er det også viktig med en entydig identifikasjon av personer. For eksempel er utdanning og sosial mobilitet et aktuelt forskningstema i sosiologi. For å kunne følge personer gjennom utdannings- og yrkesløp over tid på tvers av organisasjoner og sektorer, trengs det en universell identifikator, som fødselsnummer.
I styringen av sektoren og ved publisering i DBH, eller i departementets publikasjoner, benyttes alltid data på aggregert nivå, for eksempel i Tilstandsrapport for høyere utdanning. Data fra DBH har også betydning som grunnlag for KDs finansieringssystem da den nye kandidatindikatoren i finansieringsmodellen krever rapportering på individnivå.
Bruk av individdata er etter departementets vurdering den beste metoden for å beregne gjennomføring av utdanning. Det er også den vanligste metoden internasjonalt. OECD publiserer hvert år utdanningsstatistikk for medlemslandene i publikasjonen Education at a glance (EAG). 2016-utgaven av EAG viste at 15 OECD-land, inkludert Norge, benytter denne mest presise metoden for å beregne gjennomføring. SSB har kun deler av den statistikken om høyere utdanning som er nødvendig for at departementet skal få tilstrekkelig styringsinformasjon. DBH har mer omfattende statistikk innenfor utdanning enn SSB, og dekker i tillegg områder som forskning, personal og økonomi. Departementet mener derfor det er nødvendig å behandle slike individdata i DBH.
Det er departementets oppfatning at det er tilstrekkelig med rapportering av fødselsnummer, navn og statsborgerskap for sikkert å identifisere individer. Disse opplysningene er ikke å anse som sensitive etter gjeldende popplyl. § 2 nr. 8, og faller heller ikke inn under «særlige kategorier av personopplysninger» nevnt i art. 9 i forordningen. I utgangspunktet er de heller ikke taushetsbelagte etter fvl. § 13 første ledd nr. 1. I henhold til popplyl § 12 skal fødselsnummer kun brukes der det er nødvendig for å oppnå sikker identifisering.
For ansatte er det i tillegg ønskelig at det kan rapporteres opplysninger knyttet til stillingsforhold og finansiering av stillingen. På vegne av departementet har DBH hentet inn data fra institusjonene i lang tid på aggregert nivå. For eksempel en angivelse av en utdanningsinstitusjons årsverk i hver enkelt stillingskode, herunder finansieringen av disse (grunnbudsjett, Forskningsrådet, andre eksterne kilder). For departementets direkte, løpende behov knyttet til statistikk om, og styring av, sektoren vil aggregerte data vært tilstrekkelige. Men DBH samler inn opplysninger på vegne av andre aktører som trenger individdata for å utføre forsknings- og utredningsprosjekter. Dette kan også være oppdrag for departementet for å få undersøkt forhold av betydning for departementets politikkområder, som et eksempel på dette kan nevnes NIFUs forskerpersonalregister. Forskerpersonalregisteret er et register der alle forskere i universitets- og høyskolesektoren, i instituttsektoren og ved universitetssykehusene i Norge er unikt identifisert. Det vil dermed være mulig for NIFU, og andre aktører som søker NIFU om utlevering av data til forskningsformål, å gjøre forskningsprosjekter der det å kunne følge den enkelte forsker er en forutsetning for gjennomføring. Et eksempel på slike prosjekter finansiert av Kunnskapsdepartementet er «Stipendiater og doktorgradsgjennomføring» fra 2012, der NIFU undersøkte utviklingen over tid i stipendiatenes gjennomføring av doktorgraden. NIFU så i dette prosjektet også på forskjeller i gjennomføring avhengig av stipendiatenes finansieringskilde. Et annet eksempel er temadelen i «Forskningsbarometeret 2014» om forskermobilitet blant annet på tvers av sektorer. Ingen av disse prosjektene ville vært mulig uten data på individnivå. Departementet ville da hatt dårligere kunnskap både om doktorgradsutdanningen og forskermobilitet, og dermed svakere grunnlag for kunnskapsbasert politikkutvikling.
Som nevnt over stiller Datatilsynet spørsmål ved nødvendigheten av at rapporteringen skjer på individnivå og etterspør en begrunnelse for hvorfor personopplysninger er nødvendig. Datatilsynet viser til at et sentralt prinsipp etter personvernregelverket er kravet til uttrykkelig formål med bruk av personopplysninger, og det mener de at departementet ikke har begrunnet.
Departementet er enig med Datatilsynet i at departementet kunne tydeliggjort behovene for individrapportering bedre i høringsnotatet. Departementet viser til at en rekke organer er avhengig av informasjonen som finnes i DBH, dette inkluderer blant annet Statistisk sentralbyrå (SSB). SSB henter i dag data fra DBH med hjemmel i statistikkloven for å publisere offisiell statistikk. SSB har i henvendelse til departementet vist til at det er noen tusen studenter med ugyldig fødselsnummer i data de mottar fra DBH. For om mulig å kunne finne riktig fødselsnummer, ber SSB om at det også rapporteres navn. I all hovedsak dreier det seg om utenlandske studenter. Det er derfor ønskelig fortsatt å få rapportert statsborgerskap i tillegg til fødselsnummer. Dette er relevant for norsk statistikk om studentmobilitet. Dette er også opplysninger som Norge er pålagt å rapportere til Eurostat/OECD/UNESCO i forbindelse med studentmobilitet.
Som også nevnt i høringsnotatet er opplysninger om bestått utdanning, herunder avlagte eksamener og prøver, gjennomførte kurs, oppnådde grader og lignende ved høyere utdanningsinstitusjoner ikke taushetsbelagte opplysninger. Opplysninger om bestått utdanning på individnivå er nødvendig for at departementet skal kunne følge med på gjennomføringen og fullføringen av utdanning da departementet har styringsparametere på dette. Karakterer fra videregående opplæring og grunnskolen er dog å anse som taushetsbelagte opplysninger etter fvl. § 13 første ledd nr. 1. Dette var i høringsnotatet foreslått innrapportert, men departementet har kommet frem til at dette ikke er nødvendig for departementets styring av universitets- og høyskolesektoren, og dette vil derfor ikke bli videreført i forslaget.
Departementet presiserer også at for visse forsknings- og utredningsformål kan det være nødvendig å sammenstille opplysninger fra DBH. NSD kan sammenstille ulike opplysninger i DBH, for eksempel en sammenstilling av data innenfor fagskoleutdanningen og høyere utdanning. NSD kobler imidlertid ikke selv opplysninger fra DBH med eksterne datasett. Dersom det blir aktuelt å koble personopplysninger fra DBH med for eksempel registerdata fra SSB, vil sammenstillingen foretas av SSB.
Personopplysningene i DBH er ikke taushetsbelagte eller sensitive. For å oppfylle formålene med DBH er det nødvendig at databasen inneholder kvalitetssikrede og fullstendige data om utdanningssektoren på individnivå. Det er derfor nødvendig å lovfeste en tydelig hjemmel i universitets- og høyskoleloven for både registrering og annen behandling av personopplysninger om studenter, doktorgradskandidater og ansatte i universitets- og høyskolesektoren.
Departementet fremmer lovforslaget i henhold til endringene omtalt ovenfor. Det vises til det nye lovforslaget § 7-8.