3 Forslaget om tilgang for Digitaliseringsdirektoratet til taushetsbelagte opplysninger i Folkeregisteret
3.1 Gjeldende rett
3.1.1 Folkeregisterloven
I lov 9. desember 2016 nr. 88 om folkeregistrering (folkeregisterloven) skilles det mellom utlevering av taushetsbelagte opplysninger og utlevering av opplysninger som ikke er underlagt taushetsplikt. Etter folkeregisterloven § 10-1 første ledd kan offentlige myndigheter og virksomheter få utlevert ikke-taushetsbelagte opplysninger fra Folkeregisteret, mens utlevering av taushetsbelagte opplysninger krever hjemmel i særlov, jf. folkeregisterloven § 10-2 første ledd. Det finnes per i dag ingen slik hjemmel for løsning av Digitaliseringsdirektoratets oppgaver.
3.1.2 Vergemålsloven
I lov 26. mars 2010 om vergemål (vergemålsloven) §§ 46 og 65 er opplysninger om at en person har fått oppnevnt verge, hvem vergen er og rammene for vergeoppdraget underlagt taushetsplikt, med visse unntak.
Justis- og beredskapsdepartementet har i Prop. 141 L (2021–2022) fremmet forslag om endringer i vergemålsloven knyttet til reglene om taushetsplikt. Proposisjonen er til behandling i Stortinget. Forslaget til lovendring innebærer at opplysning om at en person har verge, ikke skal være underlagt taushetsplikt, men opplysninger om innholdet i vergens fullmakt skal være underlagt taushetsplikt.
3.1.3 Behandling av personopplysninger
Lov 15. juni 2018 nr. 38 (personopplysningsloven), som blant annet fastslår at personvernforordningen (GDPR) gjelder som norsk lov, setter rammer for behandling av personopplysninger. Enhver opplysning om en identifisert eller identifiserbar fysisk person regnes som en personopplysning, jf. personvernforordningen artikkel 4 nr. 1.
Personvernforordningens virkeområde er begrenset til behandling av personopplysninger. Forordningens artikkel 4 nr. 2 definerer behandling som:
«enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger, enten automatisert eller ikke, f.eks. innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring»
Der det skjer behandling av personopplysninger, kreves det blant annet at det foreligger spesifikt, uttrykkelig angitt og berettiget formål, lovlig behandlingsgrunnlag og tilstrekkelig informasjonssikkerhet. Reglene om behandlingsgrunnlag følger av personvernforordningen artikkel 6 nr. 1 bokstavene a til f. Behandling av personopplysninger er bare lovlig dersom og i den grad minst ett av disse behandlingsgrunnlagene er oppfylt.
Det følger av personvernforordningen artikkel 6 nr. 3 at «grunnlaget for behandlingen» som nevnt i artikkel 6 nr. 1 bokstav c og e «skal fastsettes» i unionsretten eller i medlemsstatenes nasjonale rett. Dette innebærer at bokstav c eller e ikke alene kan utgjøre behandlingsgrunnlag, men at den behandlingsansvarlige i tillegg må kunne vise til et supplerende rettsgrunnlag for behandlingen. I Prop. 56 LS (2017–2018) pkt. 6.3.2, omtales det hva et slikt supplerende rettsgrunnlag kan være, og hvilke krav som stilles til det. Til det første uttales det at «[e]tter departementets syn må det legges til grunn at i alle fall lov- og forskriftsbestemmelser kan utgjøre supplerende rettsgrunnlag. Departementet antar at også vedtak fattet i medhold av lov eller forskrift omfattes, ettersom det også i disse tilfellene foreligger et lov- eller forskriftsgrunnlag.» Til det andre uttales det at ordlyden i artikkel 6 nr. 3 samlet sett taler for at det må påvises et supplerende rettsgrunnlag i unionsretten eller nasjonal rett, men at det ikke er nødvendig at det supplerende rettsgrunnlaget uttrykkelig regulerer behandling av personopplysninger. For nærmere omtale henvises det til Prop. 56 LS (2017–2018).
Personvernforordningen artikkel 9 nr. 1 oppstiller en hovedregel om at behandling av særlige kategorier av personopplysninger er forbudt. Dette omfatter personopplysninger om rasemessig eller etnisk opprinnelse, politisk oppfatning, religion, filosofisk overbevisning eller fagforeningsmedlemskap, samt genetiske opplysninger og biometriske opplysninger med det formål å entydig identifisere en fysisk person, helseopplysninger eller opplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering. For at behandling av personopplysninger som omfattes av forbudet skal være lovlig, må vilkårene i et av unntakene i artikkel 9 nr. 2 være oppfylt. For nærmere omtale henvises det til Prop. 56 LS (2017–2018) pkt. 7.1.2.
Personvernforordningen artikkel 10 bestemmer at behandling av personopplysninger om straffedommer og lovovertredelser eller tilknyttede sikkerhetstiltak på grunnlag av artikkel 6 nr. 1 bare skal utføres under en offentlig myndighets kontroll, eller dersom behandlingen er tillatt i henhold til unionsretten eller medlemsstatenes nasjonale rett, som sikrer nødvendige garantier for de registrertes rettigheter og friheter. For nærmere omtale henvises det til Prop. 56 LS (2017–2018) pkt. 8.2.
3.2 Forslaget i høringsnotatet
Etter at det ble vedtatt ny folkeregisterlov i 2016, er det inntatt hjemler for tilgang til taushetsbelagte opplysninger i Folkeregisteret i flere lover. Eksempler er opplæringsloven og matrikkelloven. Felles for disse lovene er at spesifikke aktører, for eksempel kommuner eller statlige organer, gis tilgang til taushetsbelagte opplysninger i den grad det er nødvendig for å utføre oppgaver etter den angitte loven.
De oppgavene Digitaliseringsdirektoratet skal bruke opplysningene fra Folkeregisteret til for å utføre, følger ikke av konkrete lover, slik som i eksemplene ovenfor. Det å for eksempel finne ut om noen har rett til å representere andre på et gitt område (ved en eller annen form for fullmakt), er en tverrsektoriell oppgave som ikke følger direkte av en bestemt lov. Det samme gjelder utstedelse av den elektroniske ID-en MinID.
Departementet har vurdert flere mulige lovtekniske løsninger, som hjemmel i vergemålsloven eller forvaltningsloven, eller å lage en ny lov om Digitaliseringsdirektoratets tilgang til taushetsbelagte opplysninger i Folkeregisteret. Departementet foreslo i høringsnotatet en ny lov som regulerer Digitaliseringsdirektoratets tilgang til taushetsbelagte opplysninger i Folkeregisteret.
Departementet hørte også en mulig forskriftshjemmel. Departementet stilte spørsmål om det er tilstrekkelig for å oppfylle kravene til hjemmelsgrunnlag i personvernforordningen at presiseringen av Digitaliseringsdirektoratets oppgaver som begrunner behovet for tilgang til taushetsbelagte opplysninger i Folkeregisteret, fremgår av tildelingsbrev, oppdragsbrev osv., eller om oppgavene skal fremgå av lov eller forskrift.
Departementet hørte derfor to forslag til lovtekst. Alternativ 1 inneholdt en hjemmel for å fastsette forskrift om hvilke oppgaver som krever at Digitaliseringsdirektoratet har tilgang til taushetsbelagte opplysninger fra Folkeregisteret.
3.3 Høringsinstansenes syn
Alle høringsinstansene som har uttalt seg om innholdet i forslaget, og som støtter at Digitaliseringsdirektoratet får tilgang til taushetsbelagte opplysninger i Folkeregisteret, ønsker alternativ 1 i høringsforslaget. Det vil si alternativet med forskriftshjemmel.
Statens kartverk uttaler blant annet:
«Kartverket stiller seg positive til departementets forslag til hjemmel for tilgang til taushetsbelagte opplysninger fra Folkeregisteret. En slik hjemmel vil bidra til at Digitaliseringsdirektoratet kan videreutvikle og utvide sine fellesløsninger, noe som igjen vil bidra til økt digitalisering og samhandling i offentlig sektor.
Både Altinn og fellesløsning for ID-porten er del av de nasjonale felleskomponentene som er avgjørende for få til mer effektiv elektronisk samhandling. Det er derfor viktig at en slik lovhjemmel kommer på plass slik at Digitaliseringsdirektoratets fellesløsninger kan benyttes av hele offentlig sektor og for å sikre økt tilgjengelighet og bruk av offentlige tjenester på en trygg og god måte.»
Skattedirektoratet er enige i departementets vurderinger knyttet til lovvalg og støtter forslaget om at Digitaliseringsdirektoratets tilgang til taushetsbelagte opplysninger reguleres i en egen lov fremfor å bli innplassert i forvaltningsloven, folkeregisterloven eller vergemålsloven. Skattedirektoratet uttaler videre:
«En lovbestemmelse slik departementet har foreslått i § 2 anses å være vid. Forslaget ligner imidlertid formuleringen i andre lover for tilgang til taushetsbelagte opplysninger fra Folkeregisteret, eksempelvis vergemålsloven § 66. Vi vil imidlertid tilføye at bruk og behandling av opplysninger hos konsumenten da ofte er nærmere regulert i lov og forskrift. Ettersom direktoratets behandling av personopplysninger eller myndighetsområdet ikke er regulert i lov eller forskrift, kan det tale for at direktoratet bør innføre en forskriftsregulering slik det er foreslått i alternativ 1. Videre skiller direktoratets behandling av personopplysninger seg noe fra andre konsumenter ved at myndighetsområdet er stort og oppgaveporteføljen ikke er like lett tilgjengelig for allmenheten. En forskriftsregulering vil gjøre informasjon om behandlingen av personopplysningene lettere tilgjengelig for allmennheten enn budsjettproposisjonen til Stortinget, direktoratets økonomi – og virksomhetsinstruks og årlige tildelingsbrev gitt av overordnet departement. Forskriftsregulering vil etter Skattedirektoratets syn være mer i tråd med personvernforordningens prinsipp om lovlig, rettferdig og åpen behandling i artikkel 5 nr. 1 bokstav a enn høringsforslagets alternativ 2»
Datatilsynet bemerker blant annet:
«Datatilsynet ser positivt på etableringen av en løsning for digital representasjon. Forslaget innebærer imidlertid personvernkonsekvenser, og nødvendiggjør vurderinger som vi mener burde vært synliggjort i høringsnotatet.
Vi mener alternativ 2 ikke gir et tilstrekkelig klart behandlingsgrunnlag sett opp mot kravene i forordningen artikkel 6 nr. 3. I lovkommentaren til personvernforordningen antas det «… å være tilstrekkelig at behandlingen er en nødvendig forutsetning for å utføre oppgaver eller ivareta formål som er fastsatt i lov, forskrift eller vedtak». Innhenting av taushetsbelagte opplysninger fra Folkeregisteret er en inngripende behandling av personopplysninger, og slik vi forstår det fremgår Digdirs oppgaver hverken av lov, forskrift eller vedtak i medhold av noen av disse.
Alternativ 1 angir etter vår vurdering en bedre løsning med en positiv opplisting av de relevante oppgavene. Det fremstår imidlertid som noe uklart hvilke opplysninger om vergemål som skal behandles i Altinn autorisasjon og hvordan autorisasjonsløsningen fungerer. Vi kan derfor ikke vurdere om den foreslåtte behandlingen er nødvendig for å utføre oppgavene.»
Profesjonelle vergers forening støtter alternativ 1 i høringsnotatet og uttaler:
«PVI støtter alternativ l i høringsnotatet hvor loven får en egen forskrift og hvor det i forskriften fremgår hvordan og på hvilken måte andre tjenestetilbydere enn de med lovhjemmel og tilgang til Altinn autorisasjon skal kunne motta taushetsbelagt informasjon.»
Statens sivilrettsforvaltning støtter forslaget og uttaler:
«Vergemålsforvaltningen oppretter i dag digitale vergefullmakter som skal deles gjennom folkeregisteret. Fullmaktene er underlagt taushetsplikt. At digitaliseringsdirektoratet får tilgang på opplysningene til bruk i sin fellesløsning for tilgangsstyring gjør det mulig for flere å bruke vergefullmaktene til digital fullmaktsrepresentasjon. Forslaget ivaretar vergemålsforvaltningens behov for å gjøre vergefullmaktene tilgjengelig for Digitaliseringsdirektoratets fellesløsning for tilgangsstyring.
Forslaget innebærer en utvidelse i forhold til forslaget som har vært hørt tidligere i høring om endringer i vergemålsloven – taushetsplikt og digitale vergefullmakter. Utvidelsen består i at Digitaliseringsdirektoratet vil få tilgang til annen taushetsbelagt informasjon enn informasjon om vergemål. Det gjør det mulig for Digitaliseringsdirektoratet å legge til rette for andre former for digital fullmaktsrepresentasjon i fremtiden, slik som representasjon på bakgrunn av foreldreansvaret, på bakgrunn av fremtidsfullmakter eller på bakgrunn av legalfullmakten i vergemålsloven § 94. SRF mener adgang til digital fullmaktsrepresentasjon er viktig for å minske diskriminerende effekter av digital ekskludering.»
Justis- og beredskapsdepartementet mener det bør vurderes nærmere om det er nødvendig med en egen lov om dette, eller om de foreslåtte bestemmelsene kan innplasseres i eksisterende lovgivning. Departementet uttaler videre:
«Vi støtter i utgangspunktet det foreslåtte alternativ 1 til lovtekst. Det er imidlertid noe uklart for oss hva som er ment med forslaget til forskriftsregulering. Det foreslås i § 2 der å regulere hvilke oppgaver som krever innhenting og behandling av taushetsbelagte opplysninger fra Folkeregisteret, men ikke at Digitaliseringsdirektoratet faktisk skal kunne innhente og behandle de aktuelle opplysningene. Reguleringen framstår dermed ufullstendig og heller ikke i samsvar med den foreslåtte forskriftshjemmelen, hvor det heter at «Kongen kan gi forskrift om Digitaliseringsdirektoratets tilgang til taushetsbelagte opplysninger i Folkeregisteret…».
3.4 Departementets vurdering og forslag
Departementet foreslår at Digitaliseringsdirektoratet får tilgang til taushetsbelagte opplysninger i folkeregisteret i tråd med alternativ 1, gjennom vedtagelse av en lov med forskriftshjemmel.
Enkelte høringsinstanser har påpekt at det er uvanlig at tilgang til taushetsbelagte opplysninger i Folkeregisteret reguleres på denne måten. Departementet har vurdert å innta en hjemmel i forvaltningsloven, folkeregisterloven eller vergemålsloven, men anser en egen lov for å være mest hensiktsmessig.
Forvaltningsloven er en generell lov som hjemler forvaltningens regler for saksbehandling, habilitet, klagebehandling m.m. Departementet mener at en spesifikk hjemmel som kun gjelder et enkelt direktorats tilgang til taushetsbelagte opplysninger i Folkeregisteret, lovteknisk sett ikke passer i forvaltningsloven.
De samme hensyn som omtalt ovenfor når det gjelder forvaltningsloven, gjør seg også gjeldende når det gjelder folkeregisterloven. Departementet mener at en spesifikk hjemmel som kun gjelder et enkelt direktorats tilgang til taushetsbelagte opplysninger i Folkeregisteret, lovteknisk sett ikke passer i folkeregisterloven.
Som nevnt i kapittel 3.1.2 har Justis- og beredskapsdepartementet fremmet en lovproposisjon om endringer i vergemålsloven (Prop. 141 L (2021–2022)). Forslaget som var på høring, omfattet blant annet en hjemmel for Kongen til å gi nærmere regler i forskrift om adgangen til å gjøre opplysninger om vergemål kjent for andre, samt en forskriftshjemmel for Digitaliseringsdirektoratets tilgang til taushetsbelagte opplysninger om vergemål. Justis- og beredskapsdepartementets forslag i høringsnotatet dekket imidlertid ikke hjemmelsbehovet til Digitaliseringsdirektoratet fullt ut, ettersom endringen ikke dekket tilgang til taushetsbelagte opplysninger i Folkeregisteret knyttet til foreldre, barn, foreldreansvar og familierelasjon. Justis- og beredskapsdepartementet viser i proposisjonen om endringer i vergemålsloven, til at Kommunal- og distriktsdepartementet jobber med en egen lov om slik tilgang, og følger derfor ikke opp høringsnotatets forslag til nevnte forskriftshjemler.
Digitaliseringsdirektoratet har behov for tilgang til taushetsbelagte opplysninger i Folkeregisteret. Departementet forslår i forslaget § 1 at Digitaliseringsdirektoratet uten hinder av taushetsplikt kan innhente og behandle opplysninger fra Folkeregisteret som er nødvendige for å løse direktoratets oppgaver slik disse fremgår av forskrift.
Direktoratets tilgang til taushetsbelagte opplysninger i Folkeregisteret er for eksempel avgjørende for Altinn autorisasjon. Dette gjelder for eksempel tilgang til opplysninger om vergemål og opplysninger om foreldreansvar, foreldre, barn og familierelasjon.
Opplysning om foreldreansvar, foreldre, barn og familierelasjon i Folkeregisteret er underlagt taushetsplikt etter folkeregisterloven. Offentlige virksomheter trenger egen hjemmel i lov for tilgang til taushetsbelagte opplysninger i Folkeregisteret, jf. omtale av folkeregisterloven i kapittel 3.1 ovenfor.
Digitaliseringsdirektoratet, som er forvalter av blant annet Altinn autorisasjon, har p.t. ikke hjemmel til å få utlevert taushetsbelagte opplysninger fra Folkeregisteret. Hjemmel i lov til å motta taushetsbelagte opplysninger fra Folkeregisteret, er derfor en forutsetning for at blant annet digital representasjon av vergeforhold og foreldreansvar i Altinn autorisasjon skal fungere.
Altinn autorisasjon er en nasjonal fellesløsning som kan benyttes av hele offentlig sektor for tilgangsstyring og tilgangskontroll.
Behovet for en fullmaktsfunksjonalitet for innbyggere øker når flere tjenester fra det offentlige digitaliseres (prinsippet om digitalt førstevalg), samtidig som en del grupper ikke selv fullt ut kan benytte digitale tjenester.
Personer har ulike forutsetninger for digital deltakelse. Noen kan bruke digitale verktøy, men likevel ikke ta del i det offentlige digitale tjenestetilbudet. Digitalt utenforskap innebærer manglende tilgang til eller mulighet til å bruke digitale tjenester som er nødvendige for å få innfridd sine rettigheter. Befolkningen i Norge bruker internett og digitale verktøy ofte og mye. Det er imidlertid flere faktorer som påvirker sannsynligheten for at personer ikke bruker digitale verktøy, sånn som alder, funksjonsnedsettelser og digitale ferdigheter. Så mange som 600.000 nordmenn er ikke-digitale.
Tiltaket «Fullmakter og andre representasjonsforhold for innbyggere» (Fufinn) er et tverretatlig samarbeid initiert av Skate (Styring og koordinering av tjenester i e-forvaltning). Prosjektet koordineres av Digitaliseringsdirektoratet. Øvrige deltakere er NAV, Sivilrettsforvaltningen, Skatteetaten, Direktoratet for e-helse, Tilsynsrådet for advokatvirksomhet og KS.
Fufinn handler overordnet om behovet for å kunne sørge for en digital, sikker og effektiv kommunikasjon mellom forvaltningen og innbygger som ivaretar nødvendig rettssikkerhet og personvern – både for innbyggere som representerer seg selv og for dem som representeres av andre. Fellesfunksjonaliteten for fullmakter og andre representasjonsforhold for innbyggere er lagt til Altinn autorisasjon. I autorisasjonsløsningen skal opplysningene om blant annet vergemålet og omfanget av vergens fullmakt (detaljerte vergemålsopplysninger) benyttes for at verger skal få tilgang til å utføre nødvendige tjenester på vegne av vergehaver, og opplysninger om foreldre, barn, familierelasjon og foreldreansvar benyttes for at en forelder skal kunne opptre på vegne av barn.
Altinn autorisasjon skal ikke utlevere taushetsbelagte opplysninger fra Folkeregisteret til andre offentlige etater. Opplysningene brukes på den måten at en offentlig etat, for eksempel NAV, kan gjøre en spørring mot Altinn autorisasjon – har Hans Hansen rett til å representere Kari Olsen i denne konkrete tjenesten? – og få et bekreftende eller avkreftende svar tilbake. NAV får da ikke vite hvorfor Hans Hansen har rett til å representere Kari Olsen – om det for eksempel er på bakgrunn av vergemål eller en fullmakt av et annet slag.
Et annet område der Digitaliseringsdirektoratet har behov for tilgang til opplysninger som er taushetsbelagt er utstedelse av MinID. Digitaliseringsdirektoratet er selvdeklarert utsteder av MinID, en eID som oppfyller krav til eIDAS nivå betydelig. MinID er allerede lettere tilgjengelig enn eIDene på nivå høyt. Første del av utstedelsesprosessen er sending av aktiveringsbrev til innbyggers folkeregistrerte adresse. Dette er et tiltak som skal sikre at det er rett person som innehar eIDen i tråd med kravene i forskrift om selvdeklarasjon av ordninger for elektronisk identifikasjon. For innbyggere som har klientadresser og adresser som er fortrolige utgjør taushetsplikten etter folkeregisterloven et hinder for utstedelse av MinID. Ved å også kunne hente adresser som er underlagt taushetsplikt, vil man i større grad kunne forhindre digital utenforskap og sikre flere tilgang til offentlige digitale tjenester.
I tillegg til behovene Digitaliseringsdirektoratet har for tilgang til taushetsbelagte opplysninger knyttet til Altinn autorisasjon og MinID, vil direktoratet kunne ha behov for tilgang til taushetsbelagte opplysninger i Folkeregisteret i forbindelse med gjennomføring av andre oppgaver. Konkretisering av hvilke oppgaver Digitaliseringsdirektoratet har som krever tilgang til taushetsbelagte opplysninger i Folkeregisteret, vil gjøres i forskrift etter lovforslaget § 1.
Ved å forskriftsfeste behovene for tilgang til taushetsbelagte opplysninger i Folkeregisteret, tar departementet høyde for en rask digital utvikling og endring av behov, samtidig som kravene etter personvernforordningen ivaretas. En detaljering i lovtekst vil være lite fleksibelt for videre utvikling av de løsninger og oppgaver som Digitaliseringsdirektoratet har, og vil kunne få, fremover.
Nye behov vil bli underlagt en vurdering av om behandling av personopplysningene er i tråd med personvernforordningens artikkel 5 om prinsipper for behandling av personopplysninger, før det er aktuelt å innta behovene i forskriften. Forskriftsendringer vil også sendes på alminnelig høring.
Departementet foreslår at hjemmelen i § 1, kombinert med forskrift, gir Digitaliseringsdirektoratet supplerende hjemmelsgrunnlag i nasjonal rett for behandling av taushetsbelagte opplysninger utlevert fra Folkeregisteret, jf. personvernforordningen art. 6 nr. 1 og omtalene av gjeldende rett under kapittel 3.1.3.
Datatilsynet har påpekt at det i høringsnotatet burde vært tatt eksplisitt stilling til hva det aktuelle grunnlaget i personvernforordningen er. De antar at det aktuelle grunnlaget vil være art. 6 nr. 1 bokstav e. Grunnlaget for den enkelte behandlingen av de taushetsbelagte opplysningene kan variere utfra hvilket formål behandlingen har. For eksempel vil grunnlaget for behandling av opplysninger fra Folkeregisteret om vergemål kunne være et annet enn for behandling av opplysninger fra Folkeregisteret om adresser som er fortrolige, strengt fortrolige eller klientadresser. Behandlingsgrunnlag for det enkelte behov vil bli vurdert i forbindelse med vedtakelse og endringer av forskrift etter forslaget § 1.
Personvernforordningen stiller særlige krav til lovligheten av behandlingen når opplysningene som deles, utgjør «særlige kategorier» av personopplysninger. Dette omfatter blant annet helseopplysninger, som etter forholdene kan fremgå direkte og indirekte av granulerte opplysninger om vergemål. Behandling av slike opplysninger kan bare skje når vilkårene i personvernforordningen artikkel 9 nr. 2 er oppfylt. Departementet mener vilkårene i artikkel 9 nr. 2 bokstav g er oppfylt ved regulering i forskrift etter forslaget § 1.
Forskrift hjemlet i forslaget § 1 vil også kunne regulere behandling av personopplysninger som regulert i personvernforordningen artikkel 10. Det vil kunne tenkes behov for at Digitaliseringsdirektoratet behandler opplysninger som viser at personer har bostedsadresse i for eksempel et fengsel. Ustedelse av MinID og bruk av adresser i den sammenheng, vil derfor kunne innebære behandling av opplysninger som kan tenkes omfattet av forordningen artikkel 10.