7. Personvern og taushetsplikt
Dagens arbeids- og velferdsforvaltning håndterer en stor mengde opplysninger om personlige forhold. Det er viktig at brukerne kan ha tillit til at opplysningene ikke spres til uvedkommende og ikke brukes til andre formål enn de er avgitt for.
De reglene som skal sikre dette, er først og fremst personopplysningsloven og lovbestemmelser om taushetsplikt. Når organ-grensene endres ved opprettelse av ny statsetat i felles lokale kontorer med deler av sosialtjenesten, må konsekvensene for regler som gjelder behandling av personopplysninger også vurderes. Reglene må gjennomgås med sikte på å avklare om de må endres for å gi en tilfredsstillende balanse mellom hensynet til forvaltningens arbeidsforhold og hensynet til personvernet.
I proposisjonen redegjøres det nærmere for:
Sentrale krav i personopplysningsloven.
Hva er taushetsbelagte personopplysninger?
Bruk av taushetsbelagte opplysninger i saksbehandling mv., herunder organ-intern bruk av personopplysninger.
Bruk av opplysninger for behandling av saken.
Utveksling av opplysninger mellom organer innen arbeids- og velferdsforvaltningen.
Det nevnes spesielt at adgangen til utveksling av opplysninger mellom organer er i utgangspunktet mer begrenset enn bruk av opplysningene internt. For arbeids- og velferdsforvaltningen gjelder imidlertid egne regler som utvider adgangen til utveksling av opplysninger. Allerede før etableringen av den nye arbeids- og velferdsforvaltningen har arbeidskontorene, trygdekontorene og sosialkontorene adgang til å utveksle opplysninger om personer i betydelig større utstrekning enn det som gjelder forvaltningsorganer i sin alminnelighet. Viktig i denne forbindelsen er bestemmelser som gir rett til å kreve opplysninger utlevert fra andre forvaltningsorganer uhindret av taushetsplikt.
Proposisjonen redegjør nærmere for Bernt-utvalgets forslag til endret plattform for taushetsplikt i sosial- og helsesektoren, jf. NOU 2004:18 Helhet og plan i sosial- og helsetjenestene som tar utgangspunkt i helsepersonellovens regler.
Videre blir det redegjort for personvern og taushetsplikt i en ny arbeids- og velferdsforvaltning. Det er særlig to forhold som her utgjør en utfordring i forhold til personvernhensyn ved en felles førstelinjetjeneste. Det ene er den totale mengden opplysninger som akkumuleres om enkeltpersoner, og kravene til gode måter å behandle opplysningene på. Det andre forholdet er forskjeller i informasjonsbehovet i forvaltning av rettighetsbaserte ytelser og behovsbaserte ytelser. Det må utvikles og forankres internkontrollsystemer med tiltak for å ivareta personvern, taushetsplikt og rettssikkerhet.
Etablering av en ny statsetat på bakgrunn av to tidligere etater og opprettelse av felles lokale kontorer på tvers av grensen mellom statsetat og kommune medfører store utfordringer i forhold til behandling av personopplysninger. Et hovedmål med reformen er samordning av virksomheten på tvers av eksisterende etatsgrenser og på tvers av skillet mellom stat og kommune for å skape en mer brukervennlig og effektiv forvaltning.
Behandling av personopplysninger reguleres av to ulike regelsett, taushetspliktreglene og personopplysningsloven. Departementet viser til lovforslagene og det øvrige arbeidet som pågår med implementering av IKT-løsninger hvor oppfyllelse av de kravene personopplysningsloven stiller, vil være en viktig føring i det pågående utviklingsarbeidet. Reformens praktiske betydning for behandlingen av personopplysninger vil først og fremst være avhengig av de systemene og rutinene som utvikles for saksbehandlingen og bruken av informasjonsteknologi.
Det uttales at det kan være behov for en generell gjennomgang og harmonisering av reglene om taushetsplikt, og at det kan være grunn til å vurdere om organskillet i forvaltningsloven gir den mest hensiktsmessige plattformen for regulering av nødvendig utveksling av personopplysninger i forvaltningens saksbehandling. Dette reiser spørsmål av mer generell karakter som berører langt flere forvaltningsområder enn arbeids- og velferdsforvaltningen. Departementet ser det derfor ikke hensiktsmessig å foregripe denne vurderingen, og de foreslåtte bestemmelsene om taushetsplikt bygger derfor på gjeldende regler i forvaltningsloven.
Det er hensiktsmessig å videreføre de materielle reglene om taushetsplikt i henholdsvis arbeidsmarkeds- og trygdelovgivningen og sosialtjenesteloven. Departementet har vanskelig for å se at det i praksis vil skape problemer at de statlig ansatte er underlagt reglene for statsetaten og sosialkontorets ansatte er underlagt sosialtjenestelovens regler. Når det gjelder statsetaten, ser departementet det likevel som den beste løsningen at gjeldende regler i arbeidsmarkedsloven og folketrygdloven samordnes og innarbeides i den nye loven, jf. § 7 i lovforslaget.
Departementet foreslår også å videreføre reglene i arbeidsmarkedsloven § 21 og folketrygdloven §§ 25-10 og 25-10a om Arbeids- og velferdsetatens plikt til å gi opplysninger til sosialetaten og til kommunen når det gjelder introduksjonsordningen, jf. § 8 i lovforslaget. For utveksling av personopplysninger med de delene av kommunens tjenester som inngår i det enkelte lokale kontoret, er det denne bestemmelsen som vil gjelde, jf. § 16 i lovforslaget.
Siden ikke alle deler av sosialtjenesten vil inngå i kontoret i alle kommuner, er det behov for å opprettholde en bestemmelse om adgang til å gi opplysninger fra Arbeids- og velferdsetaten til kommunen, jf. § 8 i lovforslaget. Det vises til §§ 7 og 8 i lovforslaget.
Når det gjelder behovet for særlige regler om utveksling av personopplysninger ved det felles lokale kontoret er det nødvendig med en uttrykkelig regulering som muliggjør saksbehandling på tvers av det formelle skillet mellom stat og kommune innad ved hvert felles lokalt kontor for å opprettholde regler som bygger på forvaltningslovens system, jf. § 16 i lovforslaget. Bestemmelsen innebærer at det lokale kontoret i forhold til taushetsplikten i praksis blir å betrakte som ett organ, og saksbehandlingen i forhold til disse reglene som organ-intern. Selv om dette formelt sett innebærer en utvidelse av de organisatoriske grensene som opplysninger om enkeltpersoner behandles innenfor, ser ikke departementet at det er prinsipielle forskjeller på en slik løsning og det som blir resultatet ved omorganiseringer og sammenslåinger innenfor rent statlig eller kommunal virksomhet. Både forvaltningsloven og den foreslåtte bestemmelsen krever at utveksling skal være nødvendig, jf. kravet til at opplysningene er tilgjengelige "i den utstrekning som trengs". Den foreslåtte bestemmelsen gjelder bare utveksling av personopplysninger underlagt taushetsplikt i denne loven eller i sosialtjenesteloven og gjelder ikke opplysninger som er innhentet med hjemmel for eksempel i barnevernloven eller av helsepersonell i forbindelse med utføring av helsetjenester. Det betyr at der partene lokalt legger slike oppgaver til kontoret, vil taushetsplikt gjelde innad i kontoret med den konsekvensen at det må opprettes separate systemer for håndtering og arkivering av opplysningene. Den foreslåtte løsningen vil ikke innebære endringer i forhold til dagens regler når det gjelder nødvendig kommunikasjon bakover og oppover i systemet i forhold til førstelinjen.
Selv om reglene ikke inneholder noe samtykkekrav for utveksling av opplysninger internt ved det lokale kontoret, forutsetter departementet at også intern utveksling i de fleste tilfellene vil skje i nært samarbeid med brukeren, jf. blant annet § 15 annet ledd i lovforslaget. Det vises forøvrig til § 16 i lovforslaget.
Når det gjelder oppfølging av kravene i personopplysningsloven redegjøres det nærmere for lovens innhold i proposisjonen. Bestemmelsene i §§ 7, 8 og 16 i lovforslaget legger det lovmessige grunnlaget for behandling av personopplysninger i statsetaten og internt i det felles lokale kontoret uten at det er nødvendig å innhente samtykke, jf. § 15 i lovforslaget som gjelder samhandling med brukeren. Personvern og informasjonssikkerhet går imidlertid lengre enn taushetsplikten. Reformens praktiske betydning for behandlingen av personopplysninger vil først og fremst være avhengig av systemer og rutiner som utvikles for saksbehandlingen og bruk av informasjonsteknologi.
Hensynet til taushetsplikt og personvern må ivaretas ved summen av de lovreglene, sikkerhetstiltak, prosess og mekanismer for styring av tilgang til informasjon i IKT-systemene og regimet for kontroll og oppfølging av dette som tilrettelegges. For å ivareta informasjonssikkerhet, herunder sikre prinsippet om at ingen skal ha tilgang til flere personopplysninger enn det de trenger for å utøve sine arbeidsoppgaver, er det viktig med et kontrollregime som følger opp informasjonssikkerheten.
Det redegjøres nærmere for noen sentrale elementer i forhold til sikkerhetsledelse og internkontroll som må utformes.
Med den friheten det enkelte kontoret har i forhold til inkludering av kommunale tjenester og dermed også IKT-systemer, blir det å sikre tilstrekkelig sikkerhet, kontroll og oppfølging en viktig del av organiseringen av det enkelte kontoret gjennom partenes avtale. Videre vil det lokale arbeidet med etablering av fysisk organisering av publikumsmottak og sikring av fysisk informasjon også kunne legges til rette gjennom lokale avtaler etter mønster i rammeavtalen med KS.
Plassering av behandlingsansvaret og gjennomføring av et internkontrollsystem, må reguleres fra sentralt hold og ikke i de lokale avtalene og det enkelte lokale kontoret, jf. høringsuttalelsene. Samordning og samarbeid mellom de behandlingsansvarlige vil være nødvendig og bør reguleres i samarbeidsavtalen, jf. § 14 første ledd. I tillegg foreslås en hjemmel for at departementet kan gi forskrift om nærmere regulering av behandlingsansvaret hvis dette viser seg nødvendig og hensiktsmessig i forhold til opplysninger som innhentes og brukes både i forhold til statsetaten og kommunesektoren. Det vises for øvrig til § 3 tredje ledd og § 14 første ledd i lovforslaget.
Arbeids- og velferdsforvaltningen skal tilby tjenester til brukerne innenfor de samme innsatsområdene som tidligere, men i en ny sammenheng med samordning av oppgaveløsning på tvers. Selv om taushetspliktreglene åpner for utveksling av personopplysninger innen de felles lokale kontorene, er det et sentralt sikkerhetsprinsipp at ingen skal ha tilgang til flere personopplysninger enn det de trenger for å utøve sine arbeidsoppgaver. Samtidig må saksbehandlere ha tilgang til den informasjonen de trenger når de trenger den.
Det gis i proposisjonen en overordnet og kortfattet beskrivelse av hvordan prosessen for å få tilgang til informasjon i IKT-systemer bør være for å sikre personvern og informasjonssikkerhet, og organisatoriske, administrative og tekniske mekanismer som må være tilstede for at dette skal fungere.
Komiteens flertall, medlemmene fra Arbeiderpartiet, Høyre, Sosialistisk Venstreparti, Kristelig Folkeparti, Senterpartiet og Venstre, understreker at behovet for samordning av virksomheter og koordinering av tiltak fordrer at saksbehandlere får flere opplysninger om en person og samarbeider tettere. I tillegg kreves det særlige regler som regulerer og muliggjør saksbehandling på tvers av det formelle skillet mellom stat og kommune. Det er derfor foretatt en generell gjennomgang og harmonisering av reglene om personvern og taushetsplikt. Flertallet er enig i at en brukervennlig og effektiv forvaltning kan etableres nå ved å bygge på gjeldende regler. Flertallet støtter at någjeldende regler for etatene samordnes. Dette innebærer at de lokale kontorene kan betraktes som et organ for saksbehandlingen og dermed utveksle nødvendig informasjon.
Komiteen understreker at behandlingsansvar må reguleres sentralt. Komiteen viser videre til at det ved utvikling av IKT-systemer bygges på det sentrale sikkerhetsprinsippet om at ingen skal ha tilgang til flere personopplysninger enn det som er nødvendig for å utøve arbeidsoppgavene. Komiteen legger vekt på at det kan sikres ved helhetlige rutiner og enkle internkontrolltiltak.
Komiteens medlemmer fra Fremskrittspartiet viser til sine merknader under pkt. 1.4 i dette dokument, og sitt forslag til ny § 3 under pkt. 3.4 hvor det tas inn i loven et krav til loggføring.
Komiteens medlem fra Venstre vil påpeke at det savnes en skikkelig redegjørelse for hvor mange som skal ha tilgang til personopplysningene, som NAV åpner for med en sammenslåing av så store etater og et felles datasystem.