4 Statistisk konfidensialitet, taushetsplikt og informasjonssikkerhet
4.1 Statistisk konfidensialitet ved formidling av offisiell statistikk
4.1.1 Gjeldende rett
Statistikkloven § 2-6 bestemmer at opplysninger som er hentet inn etter fastsatt opplysningsplikt eller som er gitt frivillig, ikke i noe fall skal offentliggjøres slik at de kan føres tilbake til oppgavegiveren eller annen identifiserbar enkeltperson til skade for denne. Det samme gjelder hvis offentliggjøringen kan føre til urimelig skade for selskaper med begrenset ansvar, kommandittselskaper og andre sammenslutninger, stiftelser og offentlige organer og virksomheter.
Den europeiske statistikkforordningen har bestemmelser om vern av fortrolige data. Fortrolige data er data som gir mulighet for direkte eller indirekte identifikasjon av statistiske enheter, og som dermed avslører individuelle opplysninger, jf. artikkel 3 nr. 7. Ved vurderingen av om en statistisk enhet kan identifiseres, skal det tas hensyn til alle midler som med rimelighet kan tenkes anvendt for å identifisere enheten. Prinsippet om statistisk konfidensialitet følger av forordningen artikkel 2 nr. 1 bokstav e, og innebærer at fortrolige data som innhentes direkte til statistiske formål, eller indirekte fra administrative eller andre kilder, skal beskyttes. Av forordningen kapittel V følger det blant annet at fortrolige opplysninger utelukkende skal benyttes for statistiske formål, og at de ikke urettmessig skal gis videre. Myndighetene i det europeiske statistikksystemet pålegges å treffe alle nødvendige rettslige, tekniske og organisatoriske tiltak for å sikre vern av opplysninger. Etter forordningen artikkel 25 skal data fra kilder som er lovlig tilgjengelige for offentligheten, ikke betraktes som fortrolige ved formidling av statistikker som er utarbeidet på grunnlag av disse dataene.
4.1.2 Statistikklovutvalgets vurderinger
Statistikklovutvalget viser til at det ved utvikling, utarbeiding og formidling av offisiell statistikk er nødvendig å beskytte opplysningene på en slik måte at de ikke kommer uvedkommende i hende, brukes til ikke-statistiske formål eller formidles på en måte som urettmessig identifiserer den opplysningene gjelder. For å bevare tillit hos dem som gir fra seg opplysningene, må offisiell statistikk formidles på en måte som verner om enkeltopplysningene statistikken er bygget på.
Utvalget foreslår en egen bestemmelse om statistisk konfidensialitet i ny statistikklov. Etter forslaget skal offisiell statistikk formidles slik at det ikke er mulig, verken direkte eller indirekte, å identifisere den statistiske enheten. Utvalget foreslår et unntak fra denne hovedregelen når den statistiske enheten er en offentlig myndighet og hensynet til beskyttelse av det offentliges interesser er ivaretatt. I tillegg skal det kunne gjøres unntak når den statistiske enheten har samtykket, når unntak følger av statistikkforpliktelser i EØS-avtalen, eller når de statistiske resultatene allerede er åpent tilgjengelige fra offentlige kilder.
Det vises for øvrig til statistikklovutvalgets redegjørelse i NOU 2018: 7 kapittel 8.8.1.
4.1.3 Høringsinstansenes syn
Arbeids- og velferdsdirektoratet foreslår at det også bør gjøres unntak fra konfidensialitet dersom grunndataene er åpent tilgjengelige fra offentlige kilder.
Datatilsynet viser til at det må komme klart frem at det er tale om opplysninger om enkeltpersoner, og viser til personvernforordningens krav til åpenhet overfor de registrerte om dette.
Fiskeridirektoratet tolker forslagene til §§ 2-4 og 2-5 slik at en offentlig etat som i det årlige tildelingsbrevet anmodes om å formidle åpne offentlige data på aktørnivå, har mulighet for å gjøre dette selv om etaten også produserer og formidler offisiell statistikk. Det vil da være innsamlingshjemmelen etaten benytter som er førende for hvordan dataene kan formidles.
Miljødirektoratet og Nasjonal kommunikasjonsmyndighet uttaler at det er noe uklart hva som menes med «åpent tilgjengelige fra offentlige kilder» i lovforslaget § 2-4 tredje ledd. Miljødirektoratet viser til at når en offentlig myndighet innhenter data etter annet lovverk enn statistikkloven, vil dataene ofte ikke være underlagt konfidensialitetsregelverk og kan presenteres på et disaggregert nivå. Direktoratet uttaler at dersom stempelet «offisiell statistikk» medfører at data må aggregeres for å ivareta konfidensialitetshensynet, vil statistikken kunne bli langt mindre nyttig for brukerne. Nasjonal kommunikasjonsmyndighet reiser spørsmål ved om opplysninger som vil måtte gis ut på grunnlag av innsynsbegjæringer skal regnes som åpent tilgjengelige, og viser til den europeiske statistikkforordningen artikkel 25. Dersom Nasjonal kommunikasjonsmyndighets statistikk må formidles på et aggregert nivå for å ivareta konfidensialitetshensynet, vil statistikken ifølge myndigheten i langt mindre grad dekke behovene til brukerne av statistikken.
NSD – Norsk senter for forskningsdata forstår forslaget slik at det innskjerper mulighetene for publisering av offisiell statistikk sammenlignet med dagens praksis. NSD foreslår et tilleggsvilkår om at identifisering vil være til skade for den statistiske enheten og viser til at mye offisiell og nasjonal statistikk er basert på individdata som ikke er sensitive eller taushetsbelagte opplysninger.
Statistisk sentralbyrå foreslår å erstatte «identifisere den statistiske enheten» med «avsløre informasjon om den statistiske enheten». Byrået mener denne terminologien er mer presis og i tråd med internasjonale formuleringer og begreper som brukes innen offisiell statistikk.
Utdanningsdirektoratet viser til at ikke all statistikk de produserer i dag, vil falle inn under unntaket for resultater som er åpent tilgjengelige fra offentlige kilder. Direktoratet uttaler at det ikke vil være en forutsigbar og varig løsning å skulle være bundet av hva andre offentlige kilder gjør, og at det videre arbeidet bør omfatte statistikkens detaljeringsgrad og må ta hensyn til at statistikk skal kunne brukes som lokal styringsinformasjon.
4.1.4 Departementets vurderinger
Departementet er enig i forslaget fra statistikklovutvalget om en egen bestemmelse i statistikkloven om statistisk konfidensialitet ved formidling av offisiell statistikk. Den europeiske statistikkforordningens regler om statistisk konfidensialitet omfatter ikke bare konfidensialitet ved formidling av statistikk. Flere av de øvrige bestemmelsene i lovforslaget er utslag av prinsippet om statistisk konfidensialitet, blant annet § 8 om taushetsplikt og § 14 om tilgang til opplysninger for statistiske resultater og analyser, jf. kapittel 4.2 og 6.2. Departementet foreslår derfor en tilføyelse i overskriften til bestemmelsen sammenlignet med utvalgets forslag, slik at det fremgår at bestemmelsen regulerer statistisk konfidensialitet «ved formidling av offisiell statistikk». Slik også utvalget foreslår, vil bestemmelsen gjelde for alle som formidler offisiell statistikk.
Etter hovedregelen i lovforslaget § 7 første ledd skal offisiell statistikk formidles slik at det ikke er mulig, verken direkte eller indirekte, å identifisere den statistiske enheten og dermed avsløre enkeltopplysninger. Bestemmelsen er, på bakgrunn av høringsinnspill fra Statistisk sentralbyrå, noe endret sammenlignet med utvalgets forslag. Noen høringsinstanser, blant annet NSD, foreslår et tilleggsvilkår om at avsløring må være til skade for den statistiske enheten. Departementet viser til at den europeiske statistikkforordningen ikke gir anvisning på en slik skadevurdering. Departementet foreslår derfor å følge opp utvalgets forslag om at formidling skal skje slik at det ikke er mulig å identifisere den statistiske enheten. Datatilsynet uttaler at det må komme klart frem at det er tale om opplysninger om enkeltpersoner. Etter departementets syn er det ikke et krav at det sies uttrykkelig i lovbestemmelsen at det er tale om opplysninger om enkeltpersoner. Dette kommer etter departementets vurdering klart frem av lovbestemmelsen, og spesielt når bestemmelsen ses i sammenheng med lovforslaget for øvrig, blant annet definisjonen av «statistikk» i § 3 bokstav a.
Flere høringsinstanser har merknader om at nytten for brukerne av deres statistikker kan reduseres dersom statistikkene må formidles på et aggregert nivå for å ivareta konfidensialitetshensynet. Departementet viser til at kravet om statistisk konfidensialitet følger av den europeiske statistikkforordningen og gjelder for opplysninger som innhentes for offisiell statistikk. Dette hensynet vil kunne spille inn i vurderingen av hvilke statistikker som skal omfattes av det nasjonale statistikkprogrammet og dermed være offisielle, jf. kapittel 3.2.
Departementet opprettholder utvalgets forslag om unntak fra hovedregelen dersom den statistiske enheten er en offentlig myndighet og hensynet til beskyttelse av det offentliges interesser er ivaretatt, og dersom den statistiske enheten har samtykket eller dersom konkrete unntak er forankret i det europeiske statistikkregelverket.
Departementet opprettholder også forslaget om at det kan gjøres unntak fra hovedregelen når opplysningene som statistikken bygger på, er åpent tilgjengelige. Regelen må tolkes i samsvar med den europeiske statistikkforordningen artikkel 25.
Departementet viser til forslag til ny statistikklov § 7.
4.2 Taushetsplikt
4.2.1 Gjeldende rett
Statistikkloven § 2-4 har regler om taushetsplikt. Den som utfører arbeid eller tjeneste for et organ som forbereder eller utarbeider offisiell statistikk, plikter å hindre at uvedkommende får adgang eller kjennskap til det de under forberedelsen eller utarbeidingen av en statistikk får vite om personlige forhold, drifts- eller forretningsforhold eller tekniske innretninger og fremgangsmåter. Taushetsplikten gjelder bare de opplysningene som er hentet inn med sikte på utarbeiding av offisiell statistikk. Taushetsplikten gjelder også etter at vedkommende har avsluttet arbeidet eller tjenesten. Vedkommende kan heller ikke utnytte opplysningene i egen virksomhet eller i arbeid eller tjeneste for andre. Det er presisert i statistikkloven § 2-4 tredje ledd at forvaltningsloven §§ 13 til 13 e ikke kommer til anvendelse.
Etter statistikkloven § 2-7 opphører taushetsplikten for opplysninger om personlige forhold etter 100 år. For opplysninger om drifts- og forretningsforhold og tekniske innretninger og fremgangsmåter opphører taushetsplikten etter 60 år.
Den europeiske statistikkforordningen har bestemmelser om vern av fortrolige data. Fortrolige data er data som gir mulighet for direkte eller indirekte identifikasjon av statistiske enheter og som dermed avslører individuelle opplysninger, jf. artikkel 3 nr. 7. Ved vurderingen av om en statistisk enhet kan identifiseres, skal det tas hensyn til alle midler som med rimelighet kan tenkes anvendt til å identifisere enheten. Prinsippet om statistisk konfidensialitet følger av forordningen artikkel 2 nr. 1 bokstav e, og innebærer at fortrolige data som innhentes direkte til statistiske formål eller indirekte fra administrative eller andre kilder, skal beskyttes. Av forordningen kapittel V følger det blant annet at fortrolige opplysninger utelukkende skal benyttes for statistiske formål, og at de ikke urettmessig skal gis videre. Myndighetene i det europeiske statistikksystemet pålegges å treffe alle nødvendige rettslige, tekniske og organisatoriske tiltak for å sikre vern av opplysninger. Tjenestemenn og andre ansatte har plikt til å overholde fortroligheten også etter at de har avsluttet arbeidet eller tjenesten.
4.2.2 Statistikklovutvalgets vurderinger
Statistikklovutvalget viser til at det fortsatt er nødvendig med en bestemmelse om taushetsplikt i statistikkloven. Mange opplysninger vil kunne påføre den opplysningene gjelder direkte skade eller krenkelse dersom de kommer på avveie, både når det gjelder personopplysninger og opplysninger om foretak. Utvalget viser til at risikoen for slike hendelser vil ha en negativ innvirkning på tillitsforholdet mellom leverandører av opplysninger til statistikk og statistikkmyndigheten.
Etter utvalgets syn bør regler om taushetsplikt for opplysninger som er samlet inn for offisiell statistikk, bare gis i statistikkloven. Utvalget foreslår en bestemmelse om at enhver som har eller har hatt stilling i eller oppdrag for Statistisk sentralbyrå, skal hindre at uvedkommende får kjennskap til opplysninger samlet inn for offisiell statistikk. Tilsvarende taushetsplikt skal gjelde for enhver som har eller har hatt stilling i eller oppdrag for annen offentlig myndighet som er ansvarlig for utvikling, utarbeiding og formidling av offisiell statistikk, når det gjelder opplysninger som utelukkende er samlet inn for dette formålet. Taushetsplikten skal ikke være til hinder for at opplysninger gis til andre myndigheter når slik tilgang følger av statistikkforpliktelser etter EØS-avtalen. Gjeldende bestemmelse om at forvaltningsloven §§ 13 til 13 e ikke kommer til anvendelse, foreslås videreført.
Utvalget foreslår at dagens opphør av taushetsplikt for virksomhetsopplysninger etter 60 år og personopplysninger etter 100 år, fjernes.
Det vises for øvrig til statistikklovutvalgets redegjørelse i NOU 2018: 7 kapittel 8.8.2.
4.2.3 Høringsinstansenes syn
Et betydelig antall høringsinstanser, herunder Arkivverket, De nasjonale forskningsetiske komiteene, Direktoratet for forvaltning og ikt (Difi), Kunnskapsdepartementet (KD), Kulturdepartementet (KUD), Forskerforbundet, Norsk Slektshistorisk forening, Kulturrådet, Den norske historiske forening, Nasjonalt fagråd i historie, Norsk presseforbund, Norsk Journalistlag og Norsk redaktørforening, Norges Kulturvernforbund, Norsk Heraldisk Forening og Slekt og Data, er kritiske til utvalgets forslag om å oppheve begrensingen for taushetsplikt på 100 år for personopplysninger og 60 år for informasjon om virksomheter. Flere instanser viser til at Arkivverket offentliggjør norske folketellinger etter 100 år, og at disse er svært mye brukt både av forskere, demografer, lokalhistorikere, person- og slektshistorikere og andre. Flere høringsinstanser mener at forslaget vil ha store negative konsekvenser for historisk forskning, slektsgransking og kunnskapsformidling, og at tilgang etter utvalgets lovforslag § 3-6 ikke vil gi samme tilbud. Enkelte instanser foreslår at dersom det er behov for å beskytte enkelte typer opplysninger ut over 100 år, kan det gis adgang til å forlenge taushetsplikten på visse vilkår.
Blant annet uttaler Arkivverket:
«Det er ikke heldig å gjøre visse opplysninger taushetsbelagte til evig tid «bare» fordi de en gang ble samlet inn som statistisk grunnlagsmateriale. Som nevnt vil de fleste personaliaopplysningene kunne finnes i andre arkiver, men det vil kreve mer arbeid å finne dem, og de vil være mer uensartede. At personopplysninger i statistisk grunnlagsmateriale i dag er taushetsbelagt i 100 år, er greit ut fra alminnelig levetid. En utvidet taushetsplikt bør kun være aktuelt der opplysningene er av en slik karakter at de kan være til ulempe for senere generasjoner, f.eks. personers opphold i helse- eller straffeinstitusjoner. For slike opplysninger vil det trengs en skjønnsmessig vurdering for å fastsette en utvidet taushetsperiode, noe Arkivverket har lang erfaring med å utøve.»
Difi stiller spørsmål ved utvalgets begrunnelse for forslaget, og mener dagens rettstilstand bør opprettholdes.
De nasjonale forskningsetiske komiteene skriver at det er viktig å sikre at forskere fra ulike fagområder får tilgang til Statistisk sentralbyrås opplysninger, og at tilgangen ikke praktiseres for restriktivt. Byråets opplysninger som ikke er helseopplysninger bør gjøres tilgjengelige for allmennheten, herunder forskere, etter et visst tidsrom.
Forskningsinstituttenes Fellesarena (FFA) viser til at Norge allerede i dag har strengere regler enn våre naboland. De mener det er vanskelig å finne argumenter for en evigvarende taushetsplikt, for eksempel gjelder ikke personvernet for avdøde personer. FFA viser til at det er mulig å gjøre begrensninger på oppheving av taushetsplikt, for eksempel begrense til helsedata som har betydning for nålevende eller overlate det til Statistisk sentralbyrås og Arkivverkets skjønn. Det vil etter FFAs syn da være en meget liten andel av de aktuelle dataene som vil beholde taushetsplikten utover dagens 60- og 100-årsgrense. FFA viser til at dataene er viktige i en rekke forskningsprosjekter, og at forslaget i praksis vil gjøre at dataene ikke blir tilgjengelige for forskning. FFA trekker også frem at forslaget strider mot utvalgets øvrige argumentasjon om at data bør bli mer tilgjengelige.
KD og KUD ber om at det foretas en grundig utredning av konsekvensene av dette forslaget.
Norsk presseforbund, Norsk Journalistlag og Norsk redaktørforening går sterkt imot forslaget om å oppheve tidsbegrensningen, og mener at endringene i stedet bør gå i motsatt retning, slik at statistikkloven i større grad legger til rette for åpenhet og allmennhetens bruk av data.
Justis- og beredskapsdepartementet (JD) mener at forslaget til § 2-5 bør omarbeides og klargjøres, og at det bør vurderes nøye hva det er nødvendig å underlegge taushetsplikt. Dette bør generelt begrenses til de opplysningene det er et reelt behov for å hemmeligholde. Etter JDs vurdering vil taushetsplikten i forslaget til § 2-5 favne betydelig videre enn taushetsplikten etter gjeldende rett. JD savner en nærmere redegjørelse for hvorfor dette er nødvendig og for rekkevidden av den foreslåtte taushetsplikten, samt en begrunnelse for hvorfor det skal opereres med egne bestemmelser om taushetsplikt for opplysninger samlet inn for «offisiell statistikk», i motsetning til for annen statistikk. Det reises spørsmål ved om taushetsplikten for eksempel skal omfatte anonymiserte opplysninger.
JD antar videre at det i praksis vil være krevende å avklare hvilke opplysninger som er underlagt taushetsplikten etter § 2-5 første ledd for de som utfører arbeid eller oppdrag for Statistisk sentralbyrå. Dette vil i enda større grad gjelde for den tilsvarende taushetsplikten for de som utfører arbeid eller tjeneste for andre offentlige myndigheter som arbeider med offisiell statistikk, siden denne taushetsplikten bare skal gjelde opplysninger som «utelukkende» er samlet inn for formålet å utvikle, utarbeide og formidle offisiell statistikk.
JD viser til at det generelt i lovverket er innholdet i opplysninger som avgjør om de er omfattet av taushetsplikt, og ikke formålet som lå til grunn for å samle dem inn. JD mener at problemstillinger knyttet til formålet med innsamlingen av opplysningene bør ivaretas gjennom personopplysningsregelverket så langt det rekker, og ikke gjennom taushetsplikt. Etter JDs syn er det også uklart hvilken taushetsplikt etter forslaget til § 2-5 som skal gjelde etter forslaget til § 3-6 femte ledd.
Statistisk sentralbyrå støtter utgangspunktet om at det ikke bør være automatikk i opphevelse av taushetsplikt, da kompleksiteten i data, og dermed det nødvendige hensynet til personvern, har økt over tid. Byrået mener det bør tas inn et nytt ledd i forslaget til bestemmelse om taushetsplikt som åpner for at byrået kan oppheve taushetsplikten etter 100 år for personopplysninger eller etter 60 år for virksomhetsopplysninger dersom sterke samfunnsinteresser tilsier det. Dette vil gjøre det mulig, etter en konkret skjønnsmessig vurdering, å videreføre dagens bestemmelse om opphør av taushetsplikt for opplysninger der samfunnsinteressen for tilgang er stor og det ikke påfører noen ulempe eller skade eller påvirker den alminnelige tilliten til Statistisk sentralbyrå, for eksempel for å kunne videreføre Historisk befolkningsregister. Byrået legger til grunn at Arkivverket overtar denne kompetansen for opplysninger som er avlevert fra byrået i henhold til arkivregelverket. Statistisk sentralbyrå uttaler også at årsgrensene bør gjelde fra innsamlingstidspunktet.
4.2.4 Departementets vurderinger
Departementet er enig i utvalgets forslag om en egen bestemmelse i statistikkloven om taushetsplikt. Taushetsplikten skal gjelde opplysninger som er samlet inn for offisiell statistikk.
Justis- og beredskapsdepartementet etterlyser en begrunnelse for rekkevidden av taushetsplikten, og mener at taushetsplikten etter utvalgets forslag vil favne betydelig videre enn taushetsplikten etter gjeldende rett. Finansdepartementet viser til at den europeiske statistikkforordningen krever at opplysninger om statistiske enheter skal behandles fortrolig. Opplysninger som er samlet inn for bruk til offisiell statistikk, vil omhandle statistiske enheter. Etter departementets syn er det da behov for at taushetsplikten gis en slik rekkevidde. Etter departementets vurdering innebærer forslaget heller ingen vesentlig utvidelse av taushetsplikten sammenlignet med gjeldende rett. Departementet viser til at taushetsplikten etter gjeldende statistikklov § 2-4 gjelder for opplysninger om «personlige forhold, drifts- eller forretningsforhold, eller tekniske innretninger og fremgangsmåter». Denne taushetsplikten er videre enn taushetsplikten etter forvaltningsloven.
Både etter gjeldende statistikklov og etter forslaget er taushetsplikten knyttet til opplysninger som er hentet inn med sikte på utarbeiding av offisiell statistikk, jf. gjeldende statistikklov § 2-4 første ledd siste punktum. Formålet med innhentingen av opplysningene er dermed relevant både etter den europeiske statistikkforordningens regler om fortrolighet og etter gjeldende statistikklovs regler om taushetsplikt. Siden statistikkloven skal regulere offisiell statistikk, vil taushetsplikten bare gjelde for slike statistikker, og ikke annen statistikk. Anonymiserte opplysninger er ment å reguleres uttømmende av lovforslaget § 15, se kapittel 6.3.
Departementet viser også til forslaget om at Statistisk sentralbyrå skal kunne pålegge opplysningsplikt uavhengig av taushetsplikt, jf. kapittel 5.1 og lovforslaget § 10. Etter departementets vurdering er det da hensiktsmessig at alle opplysningene som er samlet inn for offisiell statistikk, underlegges taushetsplikt i Statistisk sentralbyrå.
Taushetsplikten vil gjelde for opplysninger som knytter seg til en statistisk enhet.
Etter hovedregelen i lovforslaget § 8 første ledd gjelder taushetsplikten for enhver som utfører eller har utført arbeid eller tjeneste for Statistisk sentralbyrå. Departementet er enig i utvalgets forslag om at tilsvarende taushetsplikt skal gjelde for enhver som utfører eller har utført arbeid eller tjeneste for annen offentlig myndighet som er ansvarlig for utvikling, utarbeiding eller formidling av offisiell statistikk, men bare for opplysninger som utelukkende er samlet inn for dette formålet, jf. lovforslaget § 8 annet ledd. Departementet foreslår å endre ordlyden til at den offentlige myndigheten er ansvarlig for utvikling, utarbeiding «eller» formidling av offisiell statistikk, siden det skal være tilstrekkelig at myndigheten har ansvaret for én av oppgavene.
Taushetsplikten skal ikke være til hinder for at opplysninger gis til andre myndigheter når slik tilgang følger av statistikkforpliktelser etter EØS-avtalen. Dette er i samsvar med utvalgets forslag.
Et betydelig antall høringsinstanser er negative til utvalgets forslag om å fjerne gjeldende regler om opphør av taushetsplikt for virksomhetsopplysninger og personopplysninger etter henholdsvis 60 og 100 år. Departementet følger ikke opp utvalgets forslag på dette punktet, og foreslår å videreføre gjeldende regler om opphør av taushetsplikt etter 60 år for virksomhetsopplysninger og 100 år for personopplysninger. Også forvaltningsloven har regler om at taushetsplikt bortfaller etter 60 år når ikke annet er særskilt bestemt, jf. § 13 c tredje ledd.
Departementet ser likevel at det kan være behov for at Statistisk sentralbyrå i enkelte tilfeller, hvor særlige hensyn gjør seg gjeldende, kan gjøre unntak fra regelen om opphør av taushetsplikt. Det kan for eksempel være tilfeller hvor opplysninger gjelder spesielt sårbare grupper eller opplysningene er spesielt sensitive, jf. Arkivverkets og Statistisk sentralbyrås høringsmerknader. Helseopplysninger kan nevnes som et konkret eksempel. Departementet foreslår derfor at Statistisk sentralbyrå, dersom særlige grunner foreligger, kan gjøre unntak fra reglene om opphør av taushetsplikt. Bestemmelsen er kun ment å fungere som en sikkerhetsventil.
Departementet følger opp utvalgets forslag om å videreføre gjeldende bestemmelse om at forvaltningsloven §§ 13 til 13 e ikke kommer til anvendelse på opplysninger samlet inn for offisiell statistikk.
Departementet viser til forslag til ny statistikklov § 8.
4.3 Informasjonssikkerhet
4.3.1 Gjeldende rett
Statistisk sentralbyrå behandler store mengder opplysninger, herunder personopplysninger og andre sensitive opplysninger, noe som stiller krav til god informasjonssikkerhet. Det innebærer å sikre at informasjonen ikke blir kjent for uvedkommende (konfidensialitet), ikke blir endret utilsiktet eller av uvedkommende (integritet) og er tilgjengelig ved behov (tilgjengelighet). Det vil alltid foreligge en viss risiko for at opplysninger kommer på avveie, blir misbrukt eller feilaktig endres. Informasjonssikkerhet må innrettes for å håndtere denne risikoen, slik at opplysninger sikres på en tilfredsstillende måte.
Gjeldende statistikklov har ingen eksplisitt bestemmelse om informasjonssikkerhet. Krav om sikring følger likevel implisitt, blant annet av lovens bestemmelse om taushetsplikt som forutsetter tiltak for å forhindre at opplysninger kommer på avveie. For personopplysninger er Statistisk sentralbyrå underlagt personopplysningslovens og personvernforordningens regler om informasjonssikkerhet.
4.3.2 Statistikklovutvalgets vurderinger
Utvalget viser til at Statistisk sentralbyrå fortsatt skal være underlagt personopplysningsloven og personvernregelverket for øvrig. For å unngå dobbeltregulering, bør krav som følger av dette lovverket ikke gjentas i statistikkloven. Byrået behandler imidlertid også opplysninger som faller utenfor personopplysningsloven, inkludert markedssensitiv informasjon om foretak. Det bør derfor etter utvalgets mening tas inn en generell bestemmelse om informasjonssikkerhet i statistikkloven som omfatter alle opplysninger.
Det kan være grunn til å behandle ulike opplysninger ulikt, og derfor bør bestemmelsen etter utvalgets mening være av nokså generell karakter. Den bør gå lenger enn den generelle bestemmelsen om taushetsplikt og gi tydelige føringer for informasjonssikkerheten. Bestemmelsen bør etter utvalgets mening også være så fleksibel og teknologinøytral at den ikke står i veien for at byrået kan utvikle og ta i bruk nye organisatoriske og tekniske løsninger.
Det vises for øvrig til utvalgets redegjørelse i NOU 2018: 7 kapittel 8.8.3.
4.3.3 Høringsinstansenes syn
Statistisk sentralbyrå skriver:
«Når det gjelder § 2-6 om informasjonssikkerhet, så vil kravet i tredje ledd om at identifikator skal lagres og behandles adskilt fra data i mange tilfeller måtte håndteres noe ulikt for personopplysninger og virksomhetsopplysninger. Kravet vil i mange tilfeller vanskeliggjøre klargjøringen og kvalitetssikringen som SSB i dag gjør på virksomhetsstatistikkområdet. Vi støtter eksemplene som nevnes i NOU-en for når adskilt behandling ikke vil være nødvendig. Vi påpeker imidlertid at det klart bør fremkomme at eksemplene ikke er uttømmende, og at det vil måtte bero på SSBs faglige skjønn å vurdere når det faktisk vil være nødvendig å gi autorisert personell tilgang til identifiserbare data, for å sikre effektive og håndterbare produksjonsprosesser som fremmer kvalitet i statistikken.»
4.3.4 Departementets vurderinger
Departementet er enig med utvalget i at det bør tas inn en egen bestemmelse om informasjonssikkerhet i ny statistikklov.
Krav til informasjonssikkerhet i statistikkloven bør, slik også utvalget viser til, være harmonisert med de overordnende kravene i personvernforordningen. Etter personvernforordningen plikter den behandlingsansvarlige og databehandleren å gjennomføre egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen, jf. artikkel 32 nr. 1. Behandling av personopplysninger for arkiv-, forsknings- og statistikkformål skal omfattes av nødvendige garantier i samsvar med forordningen for å sikre den registrertes rettigheter og friheter, jf. personvernforordningen artikkel 89 nr. 1.
Utvalget viser til at tiltak som sikrer nødvendig dataminimering som eksempel på en slik garanti. Prinsippet om dataminimering innebærer at personopplysningene skal være adekvate, relevante og begrenset til det som er nødvendig for formålet, jf. personvernforordningen artikkel 5 nr. 1 bokstav c. Én måte å oppnå dataminimering på, er å behandle og lagre direkte identifiserende kjennetegn adskilt fra den øvrige informasjonen om personen eller virksomheten. Tilgang bør styres strengt basert på hvem i organisasjonen som har tjenstlig behov.
I tillegg bør det gjennomføres loggføring for å avdekke uautorisert tilgang og forebygge sikkerhetsbrudd. Dessuten bør det være etterfølgende kontroll. Tiltakene må vurderes i lys av formålet med behandlingen av opplysninger, opplysningens art og risiko basert på kvalifiserte risikoanalyser. I enkelte tilfeller vil det være hensiktsmessig eller nødvendig å behandle opplysninger med direkte identifiserende kjennetegn. Eksempelvis bør grunndata om næringslivet i byråets virksomhets- og foretaksregister kunne behandles med organisasjonsnummer.
Opplysninger som benyttes i forbindelse med avgrensning av statistiske utvalg, vil også måtte være tilgjengelige med identifiserende kjennetegn som fødselsnummer på noen stadier i behandlingen. Tilsvarende krav vil måtte gjelde for andre offentlige myndigheter som behandler opplysninger omfattet av taushetsplikt etter § 8, når det gjelder opplysninger som utelukkende er samlet inn for offisiell statistikk. Offentlig myndighet som behandler opplysninger som er omfattet av taushetsplikt etter § 8, skal gjennomføre tekniske og organisatoriske tiltak for å oppnå et tilfredsstillende sikkerhetsnivå. Dette innebærer blant annet å sørge for tilstrekkelig tilgangsstyring, logging og etterfølgende kontroll. Direkte identifiserende opplysninger skal behandles og lagres adskilt fra øvrige opplysninger, med mindre det vil være uforenelig med formålet med behandlingen eller åpenbart unødvendig.
Bestemmelsen om informasjonssikkerhet vil også ivareta hensynet til samfunnssikkerhet gjennom digital sikkerhet, for eksempel sikring mot at uvedkommende kan komme seg inn i datasystemene og få tilgang til, manipulere eller ødelegge data av betydning for nasjonal statistikk.
Departementet viser til forslag til ny statistikklov § 9.