Skriftlig spørsmål fra Tone Merete Sønsterud (A) til justis-, beredskaps- og innvandringsministeren

Dokument nr. 15:1470 (2017-2018)
Innlevert: 02.05.2018
Sendt: 03.05.2018
Besvart: 07.05.2018 av justis-, beredskaps- og innvandringsminister Tor Mikkel Wara

Tone Merete Sønsterud (A)

Spørsmål

Tone Merete Sønsterud (A): Jeg viser til den pågående offentlige debatten om IKT-infrastruktur. Om outsourcing av norske data. Data som f.eks. blir lagret, driftet og administrert i et annet land. Det kan være helseopplysninger om det norske folk eller data som er viktig for Norges samfunnssikkerhet og beredskap.
Hvis noen skulle skje med dataene, hvilket lands lovverk er det da som gjelder, og er det norsk lov eller det lovverket til det landet som dataene befinner seg i?

Tor Mikkel Wara (FrP)

Svar

Tor Mikkel Wara: Jeg mener norsk regelverk bør sikre at opplysninger som etter norsk rett har et særskilt vern, for eksempel gjennom reglene om behandling av personopplysninger i personopplysningsloven, også gis et tilstrekkelig vern dersom opplysningene behandles i utlandet på oppdrag fra norske offentlige eller private virksomheter. Etter mitt syn fremstår gjeldende regelverk som tilstrekkelig oppdatert på dette området.
Det finnes ulike norske regelverk som kan komme til anvendelse når det gjelder behandling av data i utlandet. Jeg konsentrerer meg i det følgende om henholdsvis personopplysninger og opplysninger som har betydning for Norges samfunnssikkerhet og beredskap, da dette er særskilt nevnt i spørsmålet.
Når det gjelder personopplysninger, gjelder reglene i personopplysningsloven. Det følger av personopplysningsloven § 4 at loven gjelder for behandlingsansvarlige som er etablert i Norge. Loven vil gjelde selv om selve behandlingen av personopplysningene skjer i utlandet, for eksempel ved at den behandlingsansvarlige inngår en avtale med en utenlandsk databehandler om behandling av opplysningene i utlandet. De opplysningene gjelder (de registrerte) vil i slike tilfeller kunne gjøre sine rettigheter gjeldende direkte overfor den norske behandlingsansvarlige. Helseopplysninger er en underkategori av personopplysninger. Det finnes en rekke særskilte regler om behandling av helseopplysninger som supplerer de generelle reglene i personopplysningsloven. Også når det gjelder helseopplysninger vil utgangspunktet være at det er norske regler som gjelder der den ansvarlige for behandlingen er etablert i Norge.
Regjeringen har i Prop. 56 LS (2017–2018) fremmet forslag om en ny personopplysningslov, som gjennomfører EUs personvernforordning. Saken ligger for tiden til behandling i Stortinget. Etter forslaget til nytt regelverk vil reglene gjelde for behandling av personopplysninger som utføres i forbindelse med aktivitetene ved virksomheten til en behandlingsansvarlig eller en databehandler i Norge, uavhengig av om behandlingen finner sted i EØS eller ikke.
Også når det gjelder data som er av betydning for Norges samfunnssikkerhet og beredskap, vil det i utgangspunktet være slik at norske regler, for eksempel i sikkerhetsloven, regulerer norske virksomheters håndtering av opplysningene, uavhengig av om databehandlingen settes ut til utenlandske aktører.
I tilfeller der data behandles av utenlandske tjenestetilbydere, kan det imidlertid også finnes lovregler i landet der opplysningene behandles, som kommer til anvendelse. Dersom tjenester skal settes ut til utenlandske tilbydere bør virksomheten, som ett av flere momenter i en risikovurdering, vurdere landet som tjenesten tilbys fra. Nasjonale forhold kan påvirke tjenesteleverandørens mulighet til å levere tjenester, for eksempel gjennom kvaliteten på nasjonal infrastruktur eller ved at nasjonal lovgivning gir rett til innsyn i data lagret i vertslandet. Videre vil reglene i kontrakten mellom den norske virksomheten og den som drifter ikt-systemene være av stor betydning. Kontrakten er et viktig instrument for å sørge for god sikkerhet ved leveransen av tjenesten. I kontrakten kan det også avtales hvilket lands rett som skal gjelde, og hvilket lands domstoler som skal ha jurisdiksjon ved en eventuell uenighet mellom partene.
Avslutningsvis vil jeg bemerke at tjenesteutsetting av IKT-tjenester til profesjonelle nasjonale og utenlandske aktører kan gi bedre sikkerhet og mer stabile og tilgjengelige tjenester. Slik tjenesteutsetting kan for eksempel gi tilgang til kompetanse og verktøy virksomheten ikke selv besitter. Samtidig må virksomheter være bevisst hvilken risiko en tjenesteutsetting kan medføre. For å ivareta IKT-sikkerheten ved tjenesteutsetting må det gjøres gode risikovurderinger og stilles strenge krav til IKT-tjenesten og til leverandør.