Vi viser til høring av forskrift om felles behandlingsansvar for behandling av personopplysninger etter NAV-loven § 14 a, mottatt i KS 16. februar 2023 fra Arbeids- og inkluderingsdepartementet med referanse 23/457.
Våre vesentligste innspill til høringen er satt opp punktvis nedenfor. Disse punktene utdypes i den videre teksten i KS’ høringssvar.
Høringsnotatet tar utgangspunkt i Personvernforordningens (GDPR) krav om tydelige ansvarsforhold når personopplysninger behandles. Departementet mener at disse ansvarsforholdene ikke er tilstrekkelig tydelig og forutsigbart regulert for behandling av personopplysninger etter NAV-loven § 14 a. Hensikten med departementets forslag er å tydeliggjøre dette ansvarsforholdet. På forslagets side 3 konkluderer departementet med at behandlingsansvaret etter NAV-loven § 14 a er lagt til arbeids- og velferdsforvaltningen, og at det dermed foreligger felles behandlingsansvar etter GDPR artikkel 26 mellom Arbeids- og velferdsetaten og den enkelte kommune. Selv om ansvaret er felles, vurderer departementet det dithen at det er ulik ansvarsfordeling mellom statlig og kommunal side.
I høringsbrevet står det at « Departementets forslag til forskrift har til hensikt å uttømmende regulere behandlingsansvaret for behandling av personopplysninger ved vurdering av bistandsbehov etter NAV-loven § 14 a. Det skal ikke være nødvendig med supplerende regulering mellom de behandlingsansvarlige». I vårt høringssvar vil vi i tråd med dette vurdere om forslaget er dekkende for hensikten med forskriften, eller om det er ytterligere forhold som bør reguleres. Vi gir også innspill til om ansvarsfordelingen bør være annerledes enn foreslått i høringsnotatet. I tillegg kommenterer vi selve premisset for ansvarsfordelingen – nemlig at det fastsettes et felles behandlingsansvar.
Våre vesentligste innspill til høringen er satt opp punktvis nedenfor. Disse punktene utdypes i den videre teksten i KS’ høringssvar.
Høringsnotatet tar utgangspunkt i Personvernforordningens (GDPR) krav om tydelige ansvarsforhold når personopplysninger behandles. Departementet mener at disse ansvarsforholdene ikke er tilstrekkelig tydelig og forutsigbart regulert for behandling av personopplysninger etter NAV-loven § 14 a. Hensikten med departementets forslag er å tydeliggjøre dette ansvarsforholdet. På forslagets side 3 konkluderer departementet med at behandlingsansvaret etter NAV-loven § 14 a er lagt til arbeids- og velferdsforvaltningen, og at det dermed foreligger felles behandlingsansvar etter GDPR artikkel 26 mellom Arbeids- og velferdsetaten og den enkelte kommune. Selv om ansvaret er felles, vurderer departementet det dithen at det er ulik ansvarsfordeling mellom statlig og kommunal side.
I høringsbrevet står det at « Departementets forslag til forskrift har til hensikt å uttømmende regulere behandlingsansvaret for behandling av personopplysninger ved vurdering av bistandsbehov etter NAV-loven § 14 a. Det skal ikke være nødvendig med supplerende regulering mellom de behandlingsansvarlige». I vårt høringssvar vil vi i tråd med dette vurdere om forslaget er dekkende for hensikten med forskriften, eller om det er ytterligere forhold som bør reguleres. Vi gir også innspill til om ansvarsfordelingen bør være annerledes enn foreslått i høringsnotatet. I tillegg kommenterer vi selve premisset for ansvarsfordelingen – nemlig at det fastsettes et felles behandlingsansvar.
Generelle vurderinger
Plasseringen av behandlingsansvaret for behandling av personopplysninger etter NAV-loven § 14 a har vært diskutert over lang tid, etter at Arbeids- og velferdsdirektoratet i 2020 utviklet en IT-løsning for vedtak etter nevnte paragraf. På tross av flere forsøk de siste tre årene, har man aldri kommet fram til en omforent forståelse hos Arbeids- og velferdsdirektoratet, KS og de kommunene som har vært involvert. Et avgjørende tema har vært kommunenes ansvar for vurdering av bistandsbehov, og om NAV-loven § 14 a allerede har plassert behandlingsansvaret. Departementets forslag er ment å gi nødvendige avklaringer, noe vi ønsker velkommen. Vi støtter i utgangspunktet departementets synspunkt om at en forskrift kan være hensiktsmessig. Det avgjørende er likevel å avklare dagens juridiske situasjon, der det «[…] ikke fremgår tydelig av gjeldende rett om det er statlig og/eller kommunal del av NAV-kontoret som er behandlingsansvarlig […]», som departementet skriver i høringsnotatet.
Slik vi ser det innebærer et likeverdig partnerskap i de lokale NAV-kontorene også et likeverdig ansvar for samhandlingen og samordningen av tjenestene i kontoret. NAV-loven § 14 a gir innbyggerne rett til å få sitt bistandsbehov vurdert. Bestemmelsen er av mange oppfattet som nøkkelen til målet om én dør inn til NAV, uavhengig av om personen det gjelder har behov for statlige tjenester, kommunale tjenester eller en kombinasjon. Prinsipielt mener vi derfor at kommunene, som en del av et likeverdig partnerskap, bør ha et ansvar for at tjenestene etter § 14 a gis, og må anses delaktige i å bestemme formål og midler for behandlingen av personopplysninger. Vi mener derfor kommunene bør ha et behandlingsansvar jf. GDPR artikkel 4 nr. 7. Et felles behandlingsansvar, jf. GDPR artikkel 26 er i den sammenhengen naturlig, og vil etter vår vurdering antakelig være det mest riktige. Et felles behandlingsansvar kan også bidra til et styrket partnerskap.
Når vi i det følgende kommenterer de spesifikke bestemmelsene som er foreslått, er det ikke konklusjonen om felles behandlingsansvar som vi ser på som problematisk i seg selv. Våre innspill dreier seg om at fastsettelsen av behandlingsansvaret må være fundert på klargjørende tolkning av gjeldene rett, og må være egnet til å avklare de usikkerhetene som hittil har hindret felles konklusjoner. Vi kan ikke se at høringsforslaget ivaretar dette.
Slik vi ser det innebærer et likeverdig partnerskap i de lokale NAV-kontorene også et likeverdig ansvar for samhandlingen og samordningen av tjenestene i kontoret. NAV-loven § 14 a gir innbyggerne rett til å få sitt bistandsbehov vurdert. Bestemmelsen er av mange oppfattet som nøkkelen til målet om én dør inn til NAV, uavhengig av om personen det gjelder har behov for statlige tjenester, kommunale tjenester eller en kombinasjon. Prinsipielt mener vi derfor at kommunene, som en del av et likeverdig partnerskap, bør ha et ansvar for at tjenestene etter § 14 a gis, og må anses delaktige i å bestemme formål og midler for behandlingen av personopplysninger. Vi mener derfor kommunene bør ha et behandlingsansvar jf. GDPR artikkel 4 nr. 7. Et felles behandlingsansvar, jf. GDPR artikkel 26 er i den sammenhengen naturlig, og vil etter vår vurdering antakelig være det mest riktige. Et felles behandlingsansvar kan også bidra til et styrket partnerskap.
Når vi i det følgende kommenterer de spesifikke bestemmelsene som er foreslått, er det ikke konklusjonen om felles behandlingsansvar som vi ser på som problematisk i seg selv. Våre innspill dreier seg om at fastsettelsen av behandlingsansvaret må være fundert på klargjørende tolkning av gjeldene rett, og må være egnet til å avklare de usikkerhetene som hittil har hindret felles konklusjoner. Vi kan ikke se at høringsforslaget ivaretar dette.
Fastsettelse av et felles behandlingsansvar
Fastsettelse av behandlingsansvar bør begrunnes i de generelle reglene
Departementet skriver i høringsnotatet at forslaget til forskrift skal tydeliggjøre behandlingsansvaret, og også at «[b]ehandlingsansvaret for personopplysningene anses å være felles, men med ulik ansvarsfordeling mellom statlig og kommunal side.» I forslaget til forskrift § 3 henviser departementet også til personvernforordningens artikkel 26. Vi forstår det som at departementet vurderer at det etter gjeldende regelverk allerede foreligger felles behandlingsansvar. Med andre ord vurderer departementet at vilkårene for felles behandlingsansvar etter GDPR artikkel 26 er til stede, og følgelig at de behandlingsansvarlige i fellesskap fastsetter formål og midler. Forlaget til forskrift er altså ikke ment å endre på partenes eksisterende juridiske stilling.
KS er enig med departementet i at plasseringen av behandlingsansvar i dette tilfellet bør begrunnes i de generelle vilkårene for fastsettelse av behandlingsansvar i artikkel 4 nr. 7 og felles behandlingsansvar i GDPR artikkel 26. Begrunnelsen for plassering av ansvar bør følgelig være en vurdering av hvem som fastsetter formål med og midlene for behandlingen. Dersom behandlingsansvaret fastsettes uten reell sammenheng med hvem som fastsetter formål og midler, står de behandlingsansvarlige i fare for å ikke kunne ivareta sitt ansvar.
Det mangler en reell vurdering av at formål og midler fastsettes i fellesskap
I høringsnotatet er det uklart hva som er bakgrunnen for konklusjonen om felles behandlingsansvar, spesifikt med tanke på hvordan kommunene og Arbeids- og velferdsetaten i fellesskap fastsetter formål med og midlene for behandlingen.
De juridiske vurderingene som her etterlyses er i stor grad de samme som det tidligere har vist seg vanskelig å komme fram til omforent forståelse av. I NAV-loven § 14 a fjerde ledd gis Arbeids- og velferdsforvaltningen ansvaret for gjennomføring av arbeidsevnevurdering. Sammenhengen mellom plasseringen av dette ansvaret og vilkåret om å fastsette formålet, er et slikt spørsmål som fortsatt står ubesvart. I hvilken grad har kommunen en reell mulighet til å fastsette formålet når Arbeids- og velferdsetaten er ansvarlig for gjennomføringen av vurderingen? Og hvordan har departementet vurdert sammenhengen mellom § 14 a fjerde ledd som plasserer ansvaret for gjennomføring av vurderingen til Arbeids- og velferdsetaten , og Prop. 135 L (2019-2020) punkt 6.1.2.4 som forutsetningsvis gir arbeids- og velferdsforvaltningen behandlingsgrunnlag?
Når høringsnotatet ikke går nærmere inn på lovtolkningen som departementet har lagt til grunn på disse områdene, kan det motvirke hensikten med forskriften; nemlig å tydeliggjøre ansvarsforholdet.
Ansvar for aktivitetene som egne ansatte gjennomfører
Departementet skriver i høringsnotatet at Arbeids- og velferdsetaten og kommunene har ansvar for de aktivitetene som deres ansatte på NAV-kontorene gjennomfører. Dette oppfatter vi at er i strid med §§ 5 og 6 i «Forskrift om rammer for delegering mellom stat og kommune om oppgaveutførelsen i de felles lokale kontorene i arbeids- og velferdsforvaltningen», der det legges til grunn at det er myndighetsområdet som tjenesten utføres innenfor som er avgjørende for oppgaveutførelsen. Dette bidrar til uklarhet om den faktiske plasseringen av ansvar.
Departementet skriver i høringsnotatet at forslaget til forskrift skal tydeliggjøre behandlingsansvaret, og også at «[b]ehandlingsansvaret for personopplysningene anses å være felles, men med ulik ansvarsfordeling mellom statlig og kommunal side.» I forslaget til forskrift § 3 henviser departementet også til personvernforordningens artikkel 26. Vi forstår det som at departementet vurderer at det etter gjeldende regelverk allerede foreligger felles behandlingsansvar. Med andre ord vurderer departementet at vilkårene for felles behandlingsansvar etter GDPR artikkel 26 er til stede, og følgelig at de behandlingsansvarlige i fellesskap fastsetter formål og midler. Forlaget til forskrift er altså ikke ment å endre på partenes eksisterende juridiske stilling.
KS er enig med departementet i at plasseringen av behandlingsansvar i dette tilfellet bør begrunnes i de generelle vilkårene for fastsettelse av behandlingsansvar i artikkel 4 nr. 7 og felles behandlingsansvar i GDPR artikkel 26. Begrunnelsen for plassering av ansvar bør følgelig være en vurdering av hvem som fastsetter formål med og midlene for behandlingen. Dersom behandlingsansvaret fastsettes uten reell sammenheng med hvem som fastsetter formål og midler, står de behandlingsansvarlige i fare for å ikke kunne ivareta sitt ansvar.
Det mangler en reell vurdering av at formål og midler fastsettes i fellesskap
I høringsnotatet er det uklart hva som er bakgrunnen for konklusjonen om felles behandlingsansvar, spesifikt med tanke på hvordan kommunene og Arbeids- og velferdsetaten i fellesskap fastsetter formål med og midlene for behandlingen.
De juridiske vurderingene som her etterlyses er i stor grad de samme som det tidligere har vist seg vanskelig å komme fram til omforent forståelse av. I NAV-loven § 14 a fjerde ledd gis Arbeids- og velferdsforvaltningen ansvaret for gjennomføring av arbeidsevnevurdering. Sammenhengen mellom plasseringen av dette ansvaret og vilkåret om å fastsette formålet, er et slikt spørsmål som fortsatt står ubesvart. I hvilken grad har kommunen en reell mulighet til å fastsette formålet når Arbeids- og velferdsetaten er ansvarlig for gjennomføringen av vurderingen? Og hvordan har departementet vurdert sammenhengen mellom § 14 a fjerde ledd som plasserer ansvaret for gjennomføring av vurderingen til Arbeids- og velferdsetaten , og Prop. 135 L (2019-2020) punkt 6.1.2.4 som forutsetningsvis gir arbeids- og velferdsforvaltningen behandlingsgrunnlag?
Når høringsnotatet ikke går nærmere inn på lovtolkningen som departementet har lagt til grunn på disse områdene, kan det motvirke hensikten med forskriften; nemlig å tydeliggjøre ansvarsforholdet.
Ansvar for aktivitetene som egne ansatte gjennomfører
Departementet skriver i høringsnotatet at Arbeids- og velferdsetaten og kommunene har ansvar for de aktivitetene som deres ansatte på NAV-kontorene gjennomfører. Dette oppfatter vi at er i strid med §§ 5 og 6 i «Forskrift om rammer for delegering mellom stat og kommune om oppgaveutførelsen i de felles lokale kontorene i arbeids- og velferdsforvaltningen», der det legges til grunn at det er myndighetsområdet som tjenesten utføres innenfor som er avgjørende for oppgaveutførelsen. Dette bidrar til uklarhet om den faktiske plasseringen av ansvar.
Kommunenes stilling i foreslått forskrift
Departementet foreslår at Arbeids- og velferdsdirektoratet skal utarbeide rutiner for å ivareta de registrertes rettigheter (§ 5) og for bruk av IT-løsninger (§ 6). Videre foreslås det at alle behandlingsansvarlige (herunder da kommunene) gis plikt til å følge de nevnte rutinene. Arbeids- og velferdsdirektoratet gis også ansvaret for utvikling og forvaltning av IT-løsningene.
Ved felles behandlingsansvar vil det ofte være mest hensiktsmessig å fordele oppgaver og ansvar ulikt mellom de behandlingsansvarlige. Det mener vi også er tilfellet her. Ved et felles behandlingsansvar er det for eksempel vanskelig å se for seg en ordning der de kommunale og statlige aktørene vil ha reell likeverdig styring av informasjonssikkerhet, forvaltning, videreutvikling og drift av felles IT-løsninger. Vi er derfor enig i den generelle tilnærmingen med at de ulike aktørenes ansvar bør differensieres.
Forskriften beskriver ikke en modell for forvaltning og videreutvikling, og det vil heller ikke være hensiktsmessig å forskriftsfeste det. Vi mener likevel at forskriften bør bygge opp under Digitaliseringsrundskrivets prinsipper for samordning med og involvering av kommunal sektor. Fremfor at Arbeids- og velferdsdirektoratet gis et ene-ansvar, mener vi det bør legges føringer som sikrer at strategisk kontroll og styring med aktuelle systemer legges til råd eller utvalg der aktører fra både kommunal og statlig sektor er representert.
Både for innebygd personvern (GDPR artikkel 25) og sikkerhet ved behandlingen (GDPR artikkel 32) skal det gjennomføres egnede tekniske og organisatoriske tiltak. KS er ikke uenig i at ansvar for de rent tekniske tiltakene i hovedsak bør ligge til Arbeids- og velferdsdirektoratet, men de organisatoriske tiltakene bør etter KS’ mening de felles behandlingsansvarlige være sammen om å definere, gjennomføre og dokumentere. Når departementet foreslår i forskriften §§ 5 og 6 at det som KS oppfatter som hovedsakelig organisatoriske tiltak legges til Arbeids- og velferdsdirektoratet alene, begrenser dette det kollektive ansvaret som et felles behandlingsansvar legger opp til. Det er en risiko for at dette reelt sett vil begrense kommunes likeverd i partnerskapet.
Felles behandlingsansvar forutsetter at alle behandlingsansvarlige tar del i å fastsette formål og middel med behandlingen. Arbeids- og velferdsdirektoratet vil med departementets forslag være nærmest alene om å bestemme midlene gjennom ansvar for IT-systemer og rutiner. Dermed svekker forslaget selve grunnlaget for et felles behandlingsansvar. Kommunenes reelle mulighet til å velge system på dette området vil være begrenset. Desto viktigere er det at det foreligger mekanismer som sikrer dem mulighet til å påvirke IT-systemene.
Utforming av IT-løsningene og rutinene, som Arbeids- og velferdsdirektoratet gis ansvar, vil legge avgjørende føringer på kommunenes utføring av de aktuelle oppgavene. Bruk av IT-løsninger og håndtering av de registrertes rettigheter er tett knyttet til hvordan man i praksis yter de tjenestene det her er snakk om. Ved at Arbeids- og velferdsdirektoratet gis omfattende adgang til å på egenhånd å utarbeide IT-løsninger og rutiner, som kommunene er pliktig å følge, forskriftsfestes et statlig organs adgang til å instruere kommunene gjennom rutiner. Slik vi vurderer det står løsningen i et problematisk forhold til kommuneloven §§ 2-1 og 2-2. Det følger av disse bestemmelser at begrensninger i det kommunale selvstyret både må ha hjemmel i lov, og være forholdsmessige for å oppnå nasjonale mål.
Av disse grunner foreslår vi følgende formulering i § 5 andre ledd: «Arbeids- og velferdsdirektoratet skal, i samråd med kommunene, utarbeide nødvendige rutiner for å ivareta de registrertes rettigheter. Alle behandlingsansvarlige skal sørge for at rutinene følges i egen virksomhet, med mindre annen praksis er avtalt med den/dem de er felles behandlingsansvarlig sammen med.»
Videre foreslår vi følgende formulering i § 6 andre ledd: «Arbeids- og velferdsdirektoratet skal, i samråd med kommunene, utarbeide nødvendige rutiner for bruk av IT-løsningene. De behandlingsansvarlige skal sørge for at rutinene følges innenfor egen virksomhet, med mindre annen praksis er avtalt med den/dem de er felles behandlingsansvarlig sammen med.»
Dette vil i praksis innebære at kommunene følger rutinene, med mindre tungtveiende grunner taler for noe annet. Samtidig står ikke en slik regulering i et problematisk rettslig forhold til at forskriften pålegger et felles behandlingsansvar. Det vil også være enklere å utarbeide gode og dekkende rutiner for området, når direktoratet ikke tvinges til å tenke igjennom ethvert unntakstilfelle eller unntakssituasjon som kan oppstå i en konkret kommune.
Ved felles behandlingsansvar vil det ofte være mest hensiktsmessig å fordele oppgaver og ansvar ulikt mellom de behandlingsansvarlige. Det mener vi også er tilfellet her. Ved et felles behandlingsansvar er det for eksempel vanskelig å se for seg en ordning der de kommunale og statlige aktørene vil ha reell likeverdig styring av informasjonssikkerhet, forvaltning, videreutvikling og drift av felles IT-løsninger. Vi er derfor enig i den generelle tilnærmingen med at de ulike aktørenes ansvar bør differensieres.
Forskriften beskriver ikke en modell for forvaltning og videreutvikling, og det vil heller ikke være hensiktsmessig å forskriftsfeste det. Vi mener likevel at forskriften bør bygge opp under Digitaliseringsrundskrivets prinsipper for samordning med og involvering av kommunal sektor. Fremfor at Arbeids- og velferdsdirektoratet gis et ene-ansvar, mener vi det bør legges føringer som sikrer at strategisk kontroll og styring med aktuelle systemer legges til råd eller utvalg der aktører fra både kommunal og statlig sektor er representert.
Både for innebygd personvern (GDPR artikkel 25) og sikkerhet ved behandlingen (GDPR artikkel 32) skal det gjennomføres egnede tekniske og organisatoriske tiltak. KS er ikke uenig i at ansvar for de rent tekniske tiltakene i hovedsak bør ligge til Arbeids- og velferdsdirektoratet, men de organisatoriske tiltakene bør etter KS’ mening de felles behandlingsansvarlige være sammen om å definere, gjennomføre og dokumentere. Når departementet foreslår i forskriften §§ 5 og 6 at det som KS oppfatter som hovedsakelig organisatoriske tiltak legges til Arbeids- og velferdsdirektoratet alene, begrenser dette det kollektive ansvaret som et felles behandlingsansvar legger opp til. Det er en risiko for at dette reelt sett vil begrense kommunes likeverd i partnerskapet.
Felles behandlingsansvar forutsetter at alle behandlingsansvarlige tar del i å fastsette formål og middel med behandlingen. Arbeids- og velferdsdirektoratet vil med departementets forslag være nærmest alene om å bestemme midlene gjennom ansvar for IT-systemer og rutiner. Dermed svekker forslaget selve grunnlaget for et felles behandlingsansvar. Kommunenes reelle mulighet til å velge system på dette området vil være begrenset. Desto viktigere er det at det foreligger mekanismer som sikrer dem mulighet til å påvirke IT-systemene.
Utforming av IT-løsningene og rutinene, som Arbeids- og velferdsdirektoratet gis ansvar, vil legge avgjørende føringer på kommunenes utføring av de aktuelle oppgavene. Bruk av IT-løsninger og håndtering av de registrertes rettigheter er tett knyttet til hvordan man i praksis yter de tjenestene det her er snakk om. Ved at Arbeids- og velferdsdirektoratet gis omfattende adgang til å på egenhånd å utarbeide IT-løsninger og rutiner, som kommunene er pliktig å følge, forskriftsfestes et statlig organs adgang til å instruere kommunene gjennom rutiner. Slik vi vurderer det står løsningen i et problematisk forhold til kommuneloven §§ 2-1 og 2-2. Det følger av disse bestemmelser at begrensninger i det kommunale selvstyret både må ha hjemmel i lov, og være forholdsmessige for å oppnå nasjonale mål.
Av disse grunner foreslår vi følgende formulering i § 5 andre ledd: «Arbeids- og velferdsdirektoratet skal, i samråd med kommunene, utarbeide nødvendige rutiner for å ivareta de registrertes rettigheter. Alle behandlingsansvarlige skal sørge for at rutinene følges i egen virksomhet, med mindre annen praksis er avtalt med den/dem de er felles behandlingsansvarlig sammen med.»
Videre foreslår vi følgende formulering i § 6 andre ledd: «Arbeids- og velferdsdirektoratet skal, i samråd med kommunene, utarbeide nødvendige rutiner for bruk av IT-løsningene. De behandlingsansvarlige skal sørge for at rutinene følges innenfor egen virksomhet, med mindre annen praksis er avtalt med den/dem de er felles behandlingsansvarlig sammen med.»
Dette vil i praksis innebære at kommunene følger rutinene, med mindre tungtveiende grunner taler for noe annet. Samtidig står ikke en slik regulering i et problematisk rettslig forhold til at forskriften pålegger et felles behandlingsansvar. Det vil også være enklere å utarbeide gode og dekkende rutiner for området, når direktoratet ikke tvinges til å tenke igjennom ethvert unntakstilfelle eller unntakssituasjon som kan oppstå i en konkret kommune.
Ansvar for IT-løsningene
Vi forstår det som at departementet i høringsforslaget § 6 første ledd forutsetter en situasjon der alle som gjør oppgaver etter § 14 a benytter samme IT-system, og at IT-systemet eies av Arbeids- og velferdsdirektoratet. Det står eksplisitt i høringsnotatet på side 13 at "Arbeids- og velferdsdirektoratet eier og har ansvar for IT-løsningene som brukes til behandlingen av personopplysninger som skjer med hjemmel i NAV-loven § 14 a.” Departementet mener videre at det er “disse IT-løsningene” direktoratet skal ha ansvar for. Men det er ikke tydelig uttrykt i høringsforslaget. KS mener at det må presiseres også i den nye forskriften at direktoratets ansvar gjelder de systemene de selv eier og har ansvar for.
Under disse forutsetningene støtter KS at ansvaret for oppfyllelse av kravene til informasjonssikkerhet og IKT-sikkerhet på teknisk nivå i IT-løsningene som direktoratet eier og har ansvaret for, legges til Arbeids- og velferdsdirektoratet. Uten en slik presisering vil det være mulig å tolke forslaget til forskrift dit hen at direktoratet også har ansvar for teknisk sikkerhet i de systemene som kommunene bruker i sin egen saksbehandling på NAV-kontorene, typisk sosialtjenestesystem. Det er ikke hensiktsmessig at Arbeids- og velferdsdirektoratet skal påta seg ansvar for sikkerheten i IT-systemer de verken eier eller har ansvaret for.
Som nevnt er det rimelig, og for mange formål praktisk nødvendig, at den som kontrollerer IT-løsningen også får ansvaret for å ivareta sikkerheten i løsningen. Men vi opplever det som uklart hva departementet vurderer at ligger innenfor dette ansvaret. I følge GDPR artikkel 25 skal utvikling av løsningen skje slik at den oppfyller kravene til innebygd personvern og personvern som standardinnstilling. Dette må ligge til den som kontrollerer utviklingen av IT-systemet. Departementet viser i forslaget til artikkel 32, som omhandler sikkerhet ved behandlingen, og derigjennom vurdering av egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen. Også her er det naturlig at den som eier og har ansvar for IT-systemet har et særlig ansvar, særlig for de tekniske tiltakene. Både GDPR artikkel 25 og artikkel 32 omhandler en helhet, der tekniske tiltak sees i sammenheng med organisatoriske tiltak. Det er her det er uklart for oss hvilket ansvar som Arbeids- og velferdsdirektoratet er tildelt i forskriften. Punktene som er satt opp på side 13 som (utfyllende?) oppsummering av hva direktoratet skal ha ansvar for, er etter vår mening i stor grad organisatoriske tiltak og i mindre grad tekniske tiltak. Uansett skal organisatoriske og tekniske tiltak ses i sammenheng.
KS mener at det er urimelig at Arbeids- og velferdsdirektoratet alene skal ha ansvaret også for de organisatoriske tiltakene. Departementet skriver på side 13 at “Det kan styrke sikkerheten i IT-løsningen at ansvaret er tydelig plassert hos én aktør”. KS mener at dette er en riktig vurdering for de tekniske tiltakene internt i selve løsningen, påloggingsrutiner mv., men for de organisatoriske tiltakene bør dette være et felles ansvar.
Det er også uklart hvilket ansvar som vil ligge på alle behandlingsansvarlige. At den som utvikler IT-løsningen har ansvar for informasjonssikkerhet og IKT-sikkerhet er åpenbart. Men i hvilken grad kan man forvente at rutiner som er fastsatt av direktoratet alene er tilstrekkelig for de vurderingene veileder på NAV-kontoret må gjøre som et organisatorisk tiltak? Hvis en kommunal veileder følger rutiner og bruker løsningene slik som anbefalt, hvilket ansvar har da kommunen for (mangel på) oppfyllelse av for eksempel GDPR artikkel 25 og artikkel 32?
Et annet eksempel som illustrerer en tilsvarende uklarhet gjelder Personvernforordningens bestemmelser om innsyn (GDPR artikkel 15), retting (GDPR artikkel 16) og sletting (GDPR artikkel 17). I høringsnotatet side 21 står det at “ Ansvaret [for å utarbeide nødvendige rutiner for å ivareta de registrertes rettigheter] er plassert til direktoratet ettersom oppfyllelsen av rettighetene i stor grad er knyttet til IT-løsningen. Det er for eksempel direktoratet som må håndtere krav om innsyn i personopplysningene som er behandlet i IT-løsningen, eller krav om retting eller sletting av slike opplysninger ”. KS mener at dette er feil fra departementets side. KS mener at dette er vurderinger knyttet til selve saksbehandlingen, som hver av de behandlingsansvarlige har ansvar for, uavhengig av IT-løsningene. Skal det være et reelt felles behandlingsansvar må både kommunene og Arbeids- og velferdsetaten kunne ta nødvendige avgjørelser knyttet til hva som er riktige organisatoriske tiltak, og hva som er korrekt saksbehandling. Dette er operasjoner som må involvere bruk av IT-løsningene, ettersom de opplysningene som den registrerte ønsker at skal gis innsyn i eller rettes/slettes er lagret i IT-systemet. Men å ivareta den registrertes rettigheter på disse områdene er knyttet til selve saksbehandlingen – det er de som utfører saksbehandlingen som har ansvar for å ta stilling til om den registrerte kan få ivaretatt sine ønsker. Retten til sletting får ikke anvendelse for eksempel dersom denne slettingen vil hindre kommunen i å utøve offentlig myndighet (GDPR artikkel 17 nr. 3 bokstav b). KS mener derfor at det er lite hensiktsmessig at forskriften vurderer dette som rent tekniske aktiviteter. KS mener at det må være et felles ansvar på dette området, fordi beslutningen om innsyn, retting og sletting må vurderes i et juridisk og organisatorisk perspektiv. Deretter kan saksbehandlerne bestille selve det tekniske tiltaket fra direktoratet.
Dersom Arbeids- og velferdsdirektoratet gis myndighet til å overprøve kommunenes og Arbeids- og velferdsetatens beslutninger av datatekniske grunner, eller fatte vedtak fra et datateknisk perspektiv, kan de vanskelig ivareta sitt eget behandlingsansvar. Kommunene må som felles behandlingsansvarlig kunne rette feilaktig informasjon i løsningene. For å oppnå formålet med forskriften må den bidra til å gjøre kjent for den registrerte hvordan de behandlingsansvarlige har fordelt ansvaret mellom seg, jf. GDPR artikkel 26. Hvilket detaljnivå som er hensiktsmessig å forskriftsfeste, vil være en avveiing. Vi mener imidlertid at det må tilstrebes særlig tydelighet på ansvarsfordelingen når det gjelder den registrertes rettigheter og de behandlingsansvarliges plikter etter GDPR artikkel 12 – 22.
Under disse forutsetningene støtter KS at ansvaret for oppfyllelse av kravene til informasjonssikkerhet og IKT-sikkerhet på teknisk nivå i IT-løsningene som direktoratet eier og har ansvaret for, legges til Arbeids- og velferdsdirektoratet. Uten en slik presisering vil det være mulig å tolke forslaget til forskrift dit hen at direktoratet også har ansvar for teknisk sikkerhet i de systemene som kommunene bruker i sin egen saksbehandling på NAV-kontorene, typisk sosialtjenestesystem. Det er ikke hensiktsmessig at Arbeids- og velferdsdirektoratet skal påta seg ansvar for sikkerheten i IT-systemer de verken eier eller har ansvaret for.
Som nevnt er det rimelig, og for mange formål praktisk nødvendig, at den som kontrollerer IT-løsningen også får ansvaret for å ivareta sikkerheten i løsningen. Men vi opplever det som uklart hva departementet vurderer at ligger innenfor dette ansvaret. I følge GDPR artikkel 25 skal utvikling av løsningen skje slik at den oppfyller kravene til innebygd personvern og personvern som standardinnstilling. Dette må ligge til den som kontrollerer utviklingen av IT-systemet. Departementet viser i forslaget til artikkel 32, som omhandler sikkerhet ved behandlingen, og derigjennom vurdering av egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen. Også her er det naturlig at den som eier og har ansvar for IT-systemet har et særlig ansvar, særlig for de tekniske tiltakene. Både GDPR artikkel 25 og artikkel 32 omhandler en helhet, der tekniske tiltak sees i sammenheng med organisatoriske tiltak. Det er her det er uklart for oss hvilket ansvar som Arbeids- og velferdsdirektoratet er tildelt i forskriften. Punktene som er satt opp på side 13 som (utfyllende?) oppsummering av hva direktoratet skal ha ansvar for, er etter vår mening i stor grad organisatoriske tiltak og i mindre grad tekniske tiltak. Uansett skal organisatoriske og tekniske tiltak ses i sammenheng.
KS mener at det er urimelig at Arbeids- og velferdsdirektoratet alene skal ha ansvaret også for de organisatoriske tiltakene. Departementet skriver på side 13 at “Det kan styrke sikkerheten i IT-løsningen at ansvaret er tydelig plassert hos én aktør”. KS mener at dette er en riktig vurdering for de tekniske tiltakene internt i selve løsningen, påloggingsrutiner mv., men for de organisatoriske tiltakene bør dette være et felles ansvar.
Det er også uklart hvilket ansvar som vil ligge på alle behandlingsansvarlige. At den som utvikler IT-løsningen har ansvar for informasjonssikkerhet og IKT-sikkerhet er åpenbart. Men i hvilken grad kan man forvente at rutiner som er fastsatt av direktoratet alene er tilstrekkelig for de vurderingene veileder på NAV-kontoret må gjøre som et organisatorisk tiltak? Hvis en kommunal veileder følger rutiner og bruker løsningene slik som anbefalt, hvilket ansvar har da kommunen for (mangel på) oppfyllelse av for eksempel GDPR artikkel 25 og artikkel 32?
Et annet eksempel som illustrerer en tilsvarende uklarhet gjelder Personvernforordningens bestemmelser om innsyn (GDPR artikkel 15), retting (GDPR artikkel 16) og sletting (GDPR artikkel 17). I høringsnotatet side 21 står det at “ Ansvaret [for å utarbeide nødvendige rutiner for å ivareta de registrertes rettigheter] er plassert til direktoratet ettersom oppfyllelsen av rettighetene i stor grad er knyttet til IT-løsningen. Det er for eksempel direktoratet som må håndtere krav om innsyn i personopplysningene som er behandlet i IT-løsningen, eller krav om retting eller sletting av slike opplysninger ”. KS mener at dette er feil fra departementets side. KS mener at dette er vurderinger knyttet til selve saksbehandlingen, som hver av de behandlingsansvarlige har ansvar for, uavhengig av IT-løsningene. Skal det være et reelt felles behandlingsansvar må både kommunene og Arbeids- og velferdsetaten kunne ta nødvendige avgjørelser knyttet til hva som er riktige organisatoriske tiltak, og hva som er korrekt saksbehandling. Dette er operasjoner som må involvere bruk av IT-løsningene, ettersom de opplysningene som den registrerte ønsker at skal gis innsyn i eller rettes/slettes er lagret i IT-systemet. Men å ivareta den registrertes rettigheter på disse områdene er knyttet til selve saksbehandlingen – det er de som utfører saksbehandlingen som har ansvar for å ta stilling til om den registrerte kan få ivaretatt sine ønsker. Retten til sletting får ikke anvendelse for eksempel dersom denne slettingen vil hindre kommunen i å utøve offentlig myndighet (GDPR artikkel 17 nr. 3 bokstav b). KS mener derfor at det er lite hensiktsmessig at forskriften vurderer dette som rent tekniske aktiviteter. KS mener at det må være et felles ansvar på dette området, fordi beslutningen om innsyn, retting og sletting må vurderes i et juridisk og organisatorisk perspektiv. Deretter kan saksbehandlerne bestille selve det tekniske tiltaket fra direktoratet.
Dersom Arbeids- og velferdsdirektoratet gis myndighet til å overprøve kommunenes og Arbeids- og velferdsetatens beslutninger av datatekniske grunner, eller fatte vedtak fra et datateknisk perspektiv, kan de vanskelig ivareta sitt eget behandlingsansvar. Kommunene må som felles behandlingsansvarlig kunne rette feilaktig informasjon i løsningene. For å oppnå formålet med forskriften må den bidra til å gjøre kjent for den registrerte hvordan de behandlingsansvarlige har fordelt ansvaret mellom seg, jf. GDPR artikkel 26. Hvilket detaljnivå som er hensiktsmessig å forskriftsfeste, vil være en avveiing. Vi mener imidlertid at det må tilstrebes særlig tydelighet på ansvarsfordelingen når det gjelder den registrertes rettigheter og de behandlingsansvarliges plikter etter GDPR artikkel 12 – 22.
Arkivformål i allmennhetens interesse
På side 19 i høringsdokumentet skriver departementet at forskriften ikke regulerer andre plikter enn de som følger av “personvernregelverket”. Dette gjelder for eksempel forpliktelser etter arkivregelverket. KS mener at det er hensiktsmessig at forskriften ikke regulerer ordinære krav til journalføringsplikt og arkiveringsplikt, ettersom dette er fastsatt i arkivloven og offentleglova. Men personvernforordningen regulerer arkiv for allmennhetens interesse flere steder, for eksempel GDPR artikkel 5 bokstav b og e, GDPR artikkel 17 nr. 3 bokstav d og GDPR artikkel 89. I arkivformål for allmennhetens interesse ligger at arkivet er bevaringsverdig, og skal avleveres til depotinstitusjon. Ettersom det felles IT-systemet inneholder dokumentasjon fra både statlig og kommunal sektor, mener KS at det er behov for å fastsette hvem som har ansvar for arkiv for allmenhetens interesse. KS mener at det er Arbeids- og velferdsdirektoratet som har ansvaret for å sørge for at det bevaringsverdige arkivet avleveres til arkivdepotinstitusjon, som da vil være Arkivverket. KS foreslår derfor en bestemmelse som tas inn i forskriften: “Arbeids- og velferdsdirektoratet er ansvarlig for å sikre overføring av bevaringsverdig arkiv til Arkivverket fra de IT-systemene som kommer inn under denne forskriften.”
Økonomiske og administrative konsekvenser
Departementet legger til grunn at forslaget ikke innebærer noen endring i de ulike aktørenes juridiske stilling eller rolle, men er en mindre administrativ forenkling. Slik forslaget foreligger får kommunene et behandlingsansvar, men med sterkt reduserte muligheter til å bestemme formål og midler. Flesteparten av kommunenes oppgaver vil gis gjennom rutiner som ennå ikke er kjent. KS anser derfor at vi ikke har grunnlag for å vurdere hvilke konsekvenser det kan få for kommunene, verken økonomisk eller organisatorisk.
Vi registrerer at Arbeids- og velferdsdirektoratet i § 6 får ansvar for å utvikle og vedlikeholde IT-løsninger. Dette vil nødvendigvis ha en kostnad, uten at høringsnotatet omtaler finansieringen. Slik høringsnotatet legger opp til vil det dreie seg om statlige IT-løsninger som gjøres tilgjengelig for kommunene. Etter vår vurdering bør finansieringen av disse løsningene være statlig. Det er likevel avgjørende at prinsippene for samordning med kommunal sektor, som nedfelt i Digitaliseringsrundskrivet, følges. Dette vil være å regne som et nasjonalt digitaliseringsarbeid som berører kommunal sektor. Å sikre likeverdighet, innflytelse, representativitet og involvering hele veien kan gi organisatoriske konsekvenser i forvaltningen av løsningen. Selv om det ikke følger direkte av plassering av behandlingsansvaret mener vi det bør tas med i en helhetsvurdering av konsekvensene ved en ordning der stat og kommune sammen bestemmer midlene.
Forskning, innovasjon og digitalisering
Strategisk IKT og digitalisering
Dokumentet er elektronisk godkjent og har ingen signatur
Vi registrerer at Arbeids- og velferdsdirektoratet i § 6 får ansvar for å utvikle og vedlikeholde IT-løsninger. Dette vil nødvendigvis ha en kostnad, uten at høringsnotatet omtaler finansieringen. Slik høringsnotatet legger opp til vil det dreie seg om statlige IT-løsninger som gjøres tilgjengelig for kommunene. Etter vår vurdering bør finansieringen av disse løsningene være statlig. Det er likevel avgjørende at prinsippene for samordning med kommunal sektor, som nedfelt i Digitaliseringsrundskrivet, følges. Dette vil være å regne som et nasjonalt digitaliseringsarbeid som berører kommunal sektor. Å sikre likeverdighet, innflytelse, representativitet og involvering hele veien kan gi organisatoriske konsekvenser i forvaltningen av løsningen. Selv om det ikke følger direkte av plassering av behandlingsansvaret mener vi det bør tas med i en helhetsvurdering av konsekvensene ved en ordning der stat og kommune sammen bestemmer midlene.
Forskning, innovasjon og digitalisering
Strategisk IKT og digitalisering
Dokumentet er elektronisk godkjent og har ingen signatur