Personvernkonsekvenser av lovforslag - En empirisk undersøkelse av et utvalg offentlige utredninger og høringssvar i perioden 2004-2012 Eirik Aronsen og Henrik Lindgren Jensen 31.07.13 1
2
Innhold Forord... 4 1. Innledning... 5 1.1 Problemstilling.... 6 1.2 Metode... 7 2. Personvernkonsekvenser i lovutredninger... 9 2.1 Generelt... 9 2.2 Utvalg av lovsaker som er gjennomgått... 10 2.3 Funn og vurderinger... 11 3 Personvernkonsekvenser ved høring av lovforslag... 14 3.1 Generelt... 14 3.2 Utvalg av saker som er gjennomgått... 14 3.3 Funn og vurderinger:... 16 3.3.1 Om utvalgte høringsinstanser... 16 3.3.2 Departementets respons på argumenter i høringsrunden... 17 3.3.3 Særskilt om høringssvar fra Datatilsynet... 21 4. Evaluering av personvernkonsekvenser av lover... 23 4.1 Generelt... 23 4.2 Utvalg av saker som er gjennomgått... 24 4.3 Funn og vurderinger... 24 4.3.1 Metodekontrollutvalget... 24 4.3.2 Etterkontroll og revisjon av Personopplysningsloven... 25 5. Avsluttende vurderinger... 26 Litteraturliste... 27 3
Forord Denne rapporten er en del av prosjektet Virkninger av lovgivningen på personvernområdet. I rapporten har vi sett på arbeidet med vurdering av personvernkonsekvenser i ulike faser av lovgivning. Arbeid med personvernkonsekvenser i utredningsarbeidet, høringsrunden og evaluering av lovgivning er de overordnede problemstillingene vi ønsker å belyse. Kontaktpersoner i Datatilsynet har vært avdelingsdirektør i tilsyn og sikkerhetsavdelingen, Helge Veum og fagdirektør Knut B. Kaspersen. Veileder har vært Dag W. Schartum ved Senter for rettsinformatikk. Vi ønsker å takke for alle gode innspill og diskusjoner. Oslo, 31.07.2013 Eirik Aronsen Henrik Lindgren Jensen 4
1. Innledning Prosjektet Personvernkonsekvenser av lovforslag ble initiert høsten 2012, og er et samarbeidsprosjekt mellom Datatilsynet og Senter for rettsinformatikk (SERI). Bakgrunnen for prosjektet er et ønske om å kartlegge hvilke personvernkonsekvenser lovgivning har, spesielt hvilke diskusjoner og avveininger som har ligget til grunn for valgene som har blitt tatt. Ved utredning av nye lovbestemmelser vil det ofte være samfunnshensyn lovgiver må vurdere og som kan stå i et motsetningsforhold til personvern. Eksempler på slike hensyn er effektivisering av offentlig virksomhet, kriminalitetsbekjempelse og beskyttelse av liv og helse. Slike mothensyn fører til at det må foretas vurderinger, der personvernet veies opp mot andre hensyn. I noen tilfeller vil personvernet være viktigst, mens andre ganger vil det helt eller delvis måtte vike for andre tungtveiende hensyn. Temaet for denne rapporten er arbeidet med slike vurderinger av personvernkonsekvenser i lovgivningsarbeidet. Temaet kan knyttes til flere sentrale styringsdokumenter. Dette gjelder for eksempel Stortingsmelding nr. 11 (2012-2013) Personvern- utsikter og utfordringar og Fornyings- og administrasjonsdepartementets (FAD) Utredningsinstruks med veiledere. 1 Vi vil kort gjøre rede for utvalgte deler av innholdet i disse dokumentene, og hvilken betydning dette har for diskusjonene i rapporten. I tillegg vil vi kort forklare tilnærmingen Privacy Impact Assesment (PIA) fordi denne nettopp går ut på å utrede konsekvenser for personvern og er mye brukt i andre land. 2 Stortingsmeldingen Personvern- utsikter og utfordringar, bygger på Personvernkommisjonens rapport, Individ og intergritet- personvern i det digitale samfunnet (NOU 2009:1). Rapporten tar for seg utfordringer for personvernet i møte med ny teknologi. Her vil vi trekke ut ett sentralt punkt fra stortingsmeldingen for å vise at regjeringen understreker viktigheten av arbeidet med personvernkonsekvenser i lovgivningsprosessen: Dersom personvernkonsekvensar er godt klårgjorde og drøfta ved førebuing av nye lovreglar, blir personvernkonsekvensar synlege for Stortinget. Dette vil gi Stortinget grunnlag for å ta stilling til personvernkonsekvensane i samband med vedtaking av lovreglane. Sitatet uttrykker et ønske om å utrede konsekvenser for personvern av lovforslag slik at avveiningen kan være gjenstand for politisk vurdering og beslutning. Poenget er å styrke beslutningsgrunnlaget lovgiver skal basere sine vedtak på. Dersom dette arbeidet ikke er gjort grundig, kan konsekvensen være at personvernet blir skadelidende. Manglende utredning kan lett føre til at man ikke er bevisst på hvilke konsekvenser den nye loven vil ha. Det er imidlertid også mulig at utilstrekkelig utredning kan medføre at personvern blir tillagt større vekt enn det er saklig grunnlag for. Utredningsinstruksen med veileder i utredningsarbeid 3 stiller krav til utredning, høring og evaluering av departementenes arbeid med reformer og tiltak. Dokumentet er derfor et viktig grunnlag for denne rapporten. Utredningsinstruksen sier at vesentlige konsekvenser skal utredes, i tillegg til økonomiske og administrative konsekvenser. Veilederen 4 inneholder mer utfyllende informasjon om 1 Utredningsinstruksen - Instruks om utredning av konsekvenser, foreleggelse og høring ved arbeidet med 2 Privacy impact assessment (PIA) 3 Utredningsinstruksen med veileder i utredningsarbeid 4 Veileder til utredningsinstruksen Vurdering av personvernkonsekvenser 5
bestemmelsene i instruksen. Blant annet er det utfyllende informasjon om hvordan utredning kan gjennomføres, samt hvilke områder som skal utredes. Punkt 11.3.11 i veilederen er sentralt for denne rapporten; her står det nærmere om utredning av konsekvenser for personvern. Det er naturlig å se PIA 5 og Utredningsinstruksen med veileder i sammenheng, fordi de har likhetstrekk. Begge beskriver arbeidet med personvernkonsekvenser, og hvordan dette bør gjøres fra starten i arbeidet. En forskjell er at Utredningsinstruksen også tar for seg andre samfunnsmessige hensyn enn personvern, og er derfor mer generell. 1.1 Problemstilling. Problemstillingen i denne rapporten gjelder vurderingen av personvernkonsekvenser i tre faser. Vi vil derfor redegjøre for problemstillingen i tre deler. Utredning, høring og evaluering har hver sin delproblemstilling. Tanken er at disse delproblemstillingene samlet sett vil gi svar på den generelle problemstillingen. Utgangspunktet for rapporten var å gjennomgå lovvedtak og forarbeider fra Datatilsynets årsmeldinger fra 2004 2012, med særlig vekt på saker som Datatilsynet mener har hatt stor betydning for personvernet. Målet med gjennomgangen var å finne ut: i. I hvilken grad og på hvilken måte er det i forarbeidene til lover gjort antagelser om konsekvenser for personvernet av lovvedtaket? Vi ønsker å finne ut hvordan det arbeides med utredning av personvernkonsekvenser, herunder om Utredningsinstruksen 6 med veiledere legges til grunn for arbeidet. For å besvare spørsmålet vil vi gjennomgå ni utvalgte lovforslag og se om personvernkonsekvenser faktisk er utredet. ii. iii. Hvilken respons har argumentene fra høringsrundene fått fra departementene, og har høringsinstansene fått gjennomslag? Departementenes vurdering gir svar på hvordan innspill om personvern fra høringsinstansene blir vurdert. For å kunne gi et så godt bilde som mulig, har vi utført denne delen ved å bruke et systematisk opplegg for å identifisere de argumentene høringsinstansene har framført. Vi vil også se på om svarene fra høringsinstansene har hatt effekt på departementets forslag eller ikke, og anslå hvor stor denne effekten eventuelt har vært. I hvilken grad har lovgivning der personvernhensyn er et spesielt viktig hensyn vært gjenstand for evaluering eller etterkontroll? Vi vil undersøke i hvilken grad det har blitt foretatt etterkontroll eller evaluering av slik lovgivning. Det vil være interessant å se på bakgrunnen for evalueringer, hvilke deler av lovgivningen som har vært evaluert og hvilke resultater evalueringen gav. Det vil også 5 Privacy Impact Assessment (PIA) er en fellesbetegnelse på metoder for å foreta vurdering av personvernkonsekvenser i blant annet systemutvikling og lovgivningsarbeidet. Begrepet har ulik betydning i forskjellige sammenhenger, men her legger vi til grunn at PIA betyr at personvernutfordringene skal håndteres på et tidlig stadium i arbeidet. 6 Utredningsinstruksen er en instruks som skal sikre god forståelse og styring med offentlige reformer og regelendringer. Blant annet ved å sikre god kvalitet på utredningene og god prosess mellom avsenderinstans og høringsinstans. 6
være interessant å se på begrunnelsen i de tilfellene hvor man har vurdert å gjennomføre evaluering, men eventuelt har kommet frem til at det ikke er nødvendig. 1.2 Metode Metoden vi benytter i denne rapporten er i hovedsak dokumentstudier. Vi bruker dokumentstudier fordi vi mener den er nødvendig for å gi svar på problemstillingene innen den tidsrammen vi har hatt til rådighet. De personene som har arbeidet direkte med lovsakene, kan ikke forventes å være tilgjengelige. Fordi deler av undersøkelsen gjelder saker som er avsluttet for flere år siden er det trolig, på grunn av tiden som har gått, at involverte personer ikke kunne gitt oss gode svar. Uansett ville et intervjuopplegg gjøre det nødvendig å spore opp en lang rekke personer, noe som ville sprengt den tilgjengelige tidsrammen for arbeidet. Dokumentene som utgjør datagrunnlaget vårt er hovedsakelig Datatilsynets årsmeldinger, lovproposisjoner, NOUer og andre rapporter som belyser sakene vi har sett på. Vi presenterer de ulike dokumentene underveis i rapporten. For å illustrere de ulike fasene med innhold har vi valgt denne grunnfiguren: Utredning Konsekvensutredning av personvern som et ledd i utredningen Planlegge evaluering av personvernkonsekvenser Høring Kommentarer fra høringsinstansene Departementets vurdering av kommentarene Evaluering Gjennomføre evaluering av de fakaske personvernkonsekvensene Presentere resultat, evt foreslå endringer Figur 1.2 Grunnfigur vedrørende vurdering av personvernkonsekvenser. Figuren viser hvordan vurdering av personvernkonsekvenser i de tre fasene av lovgivning bør gjennomføres. I den videre fremstillingen presenteres de tre ulike nivåene hver for seg. Vi ønsker å knytte nivåene opp mot Utredningsinstruksen og andre relevante dokumenter for å poengtere betydningen av hvert nivå, herunder sammenhengen mellom nivåene. Første del av studien gikk ut på å gjennomgå alle saker som er omtalt i Datatilsynets årsmeldinger i perioden 2004 2012, i alt 388 saker. Siden sakene var tatt med i meldingene har vi forutsatt at Datatilsynet har ment at sakene har vært av relativt stor personvernmessig betydning. Med utgangspunkt i alle slike saker har vi gjort et nærmere utvalg for å få en håndterlig mengde saker å analysere nærmere. Utvalget er gjort ut i fra følgende tre hovedretningslinjer: 1) Saker som gjelder lov- og forskriftsarbeid har vært prioritert. 2) På basis av utvalg under 1) har vi valgt ut saker som medarbeidere i Datatilsynet i dag anser for å være mest viktige. Denne prioriteringen har vært gjort i samtale med fagdirektør i tilsyns- og sikkerhetsavdelingen hos Datatilsynet, Knut B. Kaspersen. 7
3) Vi har også lagt vekt på tidsmessig spredning, og har derfor lagt vekt på å få med viktige saker fra alle årsmeldingene i perioden. I vår vurdering av hvilke saker som burde velges ut, har vi også lagt vekt på Datatilsynets vurdering av saken, slik dette kommer til uttrykk i årsmeldingene. Dette innebærer at den innholdsmessige styrken i saksomtalene i årsmeldingene har vært viktig. Vi har for eksempel prioritert saker der Datatilsynet har uttalt sterke meninger om temaet framfor saker der de nøyer seg med å kommentere saksforhold eller kun gjengir saksopplysninger. Alle saker som vi ser nærmere på, omhandler direkte eller indirekte lov- og forskriftsvedtak. Mange av sakene fra de siste årene bygger til en viss grad på tidligere saker, eller kan sees på som en videreføring av tidligere saker. Dette kan i mange tilfeller være en indikasjon på saken(e)s betydning, og er derfor noe vi har tatt hensyn til i utvelgelsesprosessen. Utvalgte saker er vurdert i lys av de tre fasene. Ettersom utvalget ikke er større enn ni saker er det ikke på noen måte representativt, men sakene er fremhevet i årsmeldingene til Datatilsynet og vi mener derfor de er særlig viktige. 8
2. Personvernkonsekvenser i lovutredninger Utredning Konsekvensutredning av personvern som et ledd i utredningen Planlegge evaluering av personvernkonsekvenser Figur 2. Utredning Figuren viser hvordan utredning av personvernkonsekvenser i lovgivning kan gjennomføres. En utredning av antatte personvernkonsekvenser ligner på mange måte på en risikoanalyse. I første omgang gjennomføres en analyse og vurdering over antatte konsekvenser lovforslaget vil ha på personvernet. Et eksempel er et lovforslag som går ut på å effektivisere en del av forvaltningen, slik at personopplysninger innhentes direkte fra Folkeregisteret. Dersom dette gjøres uten at den registrerte blir en aktiv del av prosessen, vil det være aktuelt å vurdere hvilke personvernkonsekvenser tiltaket vil kunne ha for den enkelte. Konsekvensene kan eksempelvis gjelde uklarhet om hvem som skal behandle opplysningene, hvem og hvor mange som har tilgang til opplysningene, omfanget av behandlingen, samt hvor lenge opplysningene skal lagres. Som et ledd i utredningen skal det vurderes om konsekvensene man kommer frem til, bør evalueres en gitt tid etter at loven er trådt i kraft. Planleggingen innebærer at man ser på hvilke personvernkonsekvenser som kan oppstå for det aktuelle tiltaket, samt at man bestemmer når og med hvilken metode en evaluering skal gjennomføres. Vi kommer nærmere inn på evaluering nedenfor. 2.1 Generelt Krav til gjennomføring av utredningsarbeid er beskrevet i Utredningsinstruksen med veiledere. En konsekvensutredning skal blant annet inneholde en vurdering og analyse av økonomiske og administrative konsekvenser. I tillegg skal andre vesentlige konsekvenser utredes. Hva som legges i vesentlige konsekvenser presiseres ikke konkret i Utredningsinstruksen. Veileder til utredningsarbeid punkt 11.3 har en liste med eksempler over vesentlige konsekvenser som skal utredes. Blant eksemplene finner vi vurderinger knyttet til miljø, likestilling, næringsliv, befolkningens helse, utdanning, personvern, mv. Personvern er altså eksplisitt nevnt som ett av eksemplene. I veilederen punkt 11.3.11 utdypes dette ytterligere. Her står det blant annet at reformer og tiltak kan ha vesentlige konsekvenser for den enkeltes personvern, og at Norge er forpliktet til å sørge for at tiltak som iverksettes skal tilfredsstille visse personvernkrav i henhold til EØS- avtalen 7 og Den europeiske menneskerettighetskonvensjonens 8 artikkel 8. FAD har utarbeidet en egen veileder for vurdering av personvernkonsekvenser. 9 Her er det lagt opp til en trinnvis modell som kan benyttes i utredningsarbeidet. I Utredningsinstruksen punkt 2.1 står det om å vurdere planlegging av evalueringsarbeid i tilknytning til konsekvensutredningen: Ved lov- og forskriftsarbeid skal det vurderes hvorvidt regelverket bør 7 EØS- avtalen 8 Menneskerettighetskonvensjonen 9 Veileder til utredningsinstruksen Vurdering av personvernkonsekvenser. 9
evalueres etter en bestemt tid. Dette betyr at konsekvensutredningen skal inneholde en vurdering om lov eller forskrift skal evalueres en gitt tid etter vedtaket har trådt i kraft. Det er altså ingen krav om at alt skal evalueres, men man skal vurdere om evaluering er nødvendig. Evalueringer kan begrunnes med at personvern møter motstridende hensyn, og det er usikkert om den løsningen som er valgt er best. Når evaluering planlegges i utredningsfasen, bør det vurderes når og hvordan den skal gjennomføres. 10 I kapittel 4 kommer vi tilbake til spørsmålet om evalueringer faktisk er gjennomført. 2.2 Utvalg av lovsaker som er gjennomgått Tabellen nedenfor viser lovsaker vi har gått gjennom fra perioden 2004 2012. Saker: Prop. 132 L (2011-2012) Endringer i statsborgerloven Prop. 151 L (2009 2010) Endringar i forvaltningslova og straffegjennomføringslova (behandling av personopplysningar i kriminalomsorga, innsyn i benådningssaker o.a) Prop. 23 L (2009-2010) Endringer i helseregisterloven og helsepersonelloven (nasjonalt register over hjerte- og karlidelser, adgang til å gi dispensasjon fra taushetsplikt for kvalitetssikring, administrasjon, planlegging og styring av helsetjenesten) Ot.prp. nr. 108 (2008-2009)Om lov om behandling av opplysninger i politiet og påtalemyndigheten (politiregisterloven) Ot.prp. nr. 76 (2007-2008) Om lov om endringar i folketrygdlova og i enkelte - andre lover (tilbakekrevjing etter feilutbetalingar, - tiltak mot trygdemisbruk, renter og erstatning i - trygdesaker) Ot.prp. nr. 48 (2007-2008) Om lov om endringer i straffeloven 1902 og straffeprosessloven (kriminalisering av kjøp av seksuell omgang eller handling mv.) Ot.prp. nr. 74 (2006 2007) Om lov om medisinsk og helsefaglig forskning (helseforskningsloven) Ot.prp. nr. 47 (2005 2006) Om lov om arbeids- og velferdsforvaltningen (arbeids- og velferdsforvaltningsloven) Ot.prp. nr. 48 (2004 2005) Om lov om utdanningsstøtte Tabell 2.2 Utvalg av saker Vi ønsket først å avdekke om det i disse lovsakene har vært gjennomført utredninger av personvernkonsekvenser, herunder om Utredningsinstruksen har vært benyttet, samt om det har vært planlagt evaluering av personvernkonsekvenser. For å finne svar på spørsmålene har vi benyttet et opplegg med faste søkeord som er benyttet i alle dokumentene. Ordene vi søkte etter var: person*, utredning*, evaluer*, konsekvensutred* og konsekvensanal*. Søkeordet person* ble benyttet for å finne alle forekomster av personvern, personopplysning, personopplysningsloven osv. Ettersom Utredningsinstruksen gjelder for utredningsarbeid har vi også gjennomgått de bakenforliggende utredningene fra ekspertutvalg i form av blant annet NOUer 11. 10 Veileder til Utredningsarbeid punkt 5.3.1 11 Norges offentlige utredninger. 10
2.3 Funn og vurderinger Nedenfor vil vi kort gjøre rede for funn vedrørende utredning av personvernkonsekvenser. Først presenterer vi en tabell hvor vi angir hovedfunn. Deretter kommenterer vi hver sak i utvalget noe nærmere. Saker: Utredning av personvernkonsekvenser Vurdert evaluering Prop. 132 L (2011-2012) Endringer i statsborgerloven Nei Nei Prop. 151 L (2009 2010) Endringar i forvaltningslova og straffegjennomføringslova (behandling av personopplysningar i kriminalomsorga, innsyn i benådningssaker o.a) Ja, men viser ikke til utredningsinstruksen Nei Prop. 23 L (2009-2010) Endringer i helseregisterloven og helsepersonelloven (nasjonalt register over hjerte- og karlidelser, adgang til å gi dispensasjon fra taushetsplikt for kvalitetssikring, administrasjon, planlegging og styring av helsetjenesten) Ot.prp. nr. 108 (2008-2009)Om lov om behandling av opplysninger i politiet og påtalemyndigheten (politiregisterloven) Ot.prp. nr. 76 (2007-2008) Om lov om endringar i folketrygdlova og i enkelte - andre lover (tilbakekrevjing etter feilutbetalingar, - tiltak mot trygdemisbruk, renter og erstatning i - trygdesaker) Ot.prp. nr. 48 (2007-2008) Om lov om endringer i straffeloven 1902 og straffeprosessloven (kriminalisering av kjøp av seksuell omgang eller handling mv.) Ot.prp. nr. 74 (2006 2007) Om lov om medisinsk og helsefaglig forskning (helseforskningsloven) Ot.prp. nr. 47 (2005 2006) Om lov om arbeids- og velferdsforvaltningen (arbeids- og velferdsforvaltningsloven) Ja, viser til Utredningsinstruksen Ja, men viser ikke til Utredningsinstruksen Nei Nei Ja, men viser ikke til Utredningsinstruksen Ja, men viser ikke til Utredningsinstruksen Ot.prp. nr. 48 (2004 2005) Om lov om utdanningsstøtte Nei Nei Tabell 2.3 Utvalg av saker med henvisning til utredninger og vurdering av evaluering Tabellen viser alle lovsakene vi har gjennomgått. Midterste kolonne viser om sakene skriftlig viser at det har vært gjennomført utredning av personvernkonsekvenser, herunder om Utredningsinstruksen med veiledere er benyttet. Kolonnen til høyre viser om det er vurdert om personvernkonsekvensene burde evalueres. Det er stor forskjell på sakene vi har gjennomgått. Enkelte saker er forslag om helt nye lover, mens andre foreslår endringer i allerede eksisterende lover. Personvern er helt dominerende i enkelte av lovsakene, mens det i andre saker kun er knyttet til enkeltbestemmelser. For å vise noe av forskjellen trekker vi frem to saker: Endringer i helseregisterloven og helsepersonelloven (nasjonalt register over hjerte- og karlidelser, adgang til å gi dispensasjon fra taushetsplikt for kvalitetssikring, administrasjon, planlegging og styring av helsetjenesten) og Ot.prp. nr. 48 (2004 2005) Om lov om utdanningsstøtte. Prop. 23 L (2009-2010) gjelder en endring i helseregisterloven hvor det foreslås å etablere et nasjonalt register over hjerte- og karlidelser i samsvar med helseregisterlovens 8, det vil si et helseregister hvor det ikke er krav til samtykke fra den registrerte. I denne saken er personvernet til Nei Nei Nei Nei Nei Nei 11
den enkelte svært sentralt. For det første omfatter et slikt register sensitive personopplysninger. 12 For det andre er det i denne saken et spørsmål om avveining mellom personvern på den ene siden, og behovet for kunnskap om befolkingens helse på den andre. Proposisjonen viser til utredning av personvernkonsekvenser i kap. 3.5, og det er henvist til Utredningsinstruksen med veileder om vurdering av personvernkonsekvenser. Det er imidlertid ikke vist til noen vurdering av behov for å evaluere personverneffektene av det registeret som ble foreslått opprettet. Ot.prp. nr. 48 (2004 2005) gjelder ny lov om utdanningsstøtte. Loven erstattet lov om utdanningsstøtte for elever og studenter fra 1985. I denne saken er det 23 om innhenting av opplysninger fra andre som berører personvernet. Paragrafen går ut på at Lånekassen kan innhente opplysninger om den som søker lån og stipend, søkers ektefelle, samboer og forsørger. I denne saken er det kun én paragraf som direkte omhandler personvern. Det er selvsagt ikke antall paragrafer som har betydning for om personvernkonsekvenser skal utredes eller ikke, men til tross for at den nevnte paragrafen har vidtrekkende personvernkonsekvenser ble slik utredning ikke gjennomført i denne saken. Det ble naturlig nok heller ikke vurdert å evaluere virkninger for personvernet. Gjennomgangen viser at det har vært gjennomført en eller annen form for utredning av personvernkonsekvenser i fem av ni saker som Datatilsynet har framhevet som spesielt viktige i sine årsmeldinger. Hvorvidt innholdet av utredningene som er gjennomført er gode eller ei, tar vi ikke stilling til i denne rapporten. Av de fem er det kun én sak som direkte viser til bruk av Utredningsinstruksen og veileder om vurdering av personvernkonsekvenser. To av proposisjonene henviser til utredningene som er gjennomført i NOUene. Et konkret eksempel på dette er Ot.prp. nr. 74 (2006 2007) Om lov om medisinsk og helsefaglig forskning (helseforskningsloven) som viser til NOU 2005: 1 God forskning bedre helse. Denne tar for seg reguleringen av medisinsk forskning på mennesker og humant biologiske materialet. Utvalget som besto av 13 fagpersoner, kom frem til en anbefaling om en ny lov som skulle fremme god og etisk forsvarlig medisinsk og helsefaglig forskning. Difi 13 utarbeidet i mai 2012 en rapport om utredningsarbeid i departementene på oppdrag FAD. 14 Som en del av rapporten gjennomførte Difi en kort e- postundersøkelse blant de største direktoratene i Norge, der 23 respondenter svarte. Blant spørsmålene undersøkelsen stilte er: I hvor mange høringssaker er andre vesentlige konsekvenser godt nok utredet? Spørsmålet gjelder kun høringssaker som er relevante for deres fagområder. Undersøkelsen viser at 48 % mener det i få eller noen saker er en god nok utredning av andre vesentlige konsekvenser. 48 % mener utredningen er god nok i de fleste saker og 4 % mener utredningen i god nok i alle saker. Denne undersøkelsen tar for seg utredninger av lovsaker generelt og behandler ikke utredninger knyttet til personvern særskilt. Respondentene ble også bedt om å komme med utdypende kommentarer. En av respondentene uttrykker bekymring for at personvernkonsekvenser blir for dårlig utredet, selv om dette fremgår av Utredningsinstruksen og at det er utarbeidet en egen veileder for å vurdere personvernkonsekvenser. Etter vår mening stemmer en slik uttalelse godt overens med funnene vi har gjort om utredningsarbeid av personvernkonsekvenser. 12 Pol 8 bokstav c. 13 Direktoratet for forvaltning og IKT 14 DIFI - Graves det dypt nok? Om utredningsarbeidet i departementene 12
Ingen av sakene i vårt utvalg viser at det i proposisjonen er vurdert planlegging av evalueringer av lovvedtakets effekt på personvernet. Det er heller ingen saker hvor spørsmålet er vurdert, og at man har kommet frem til at evaluering ikke er nødvendig. Denne gjennomgangen viser at: Utredningsinstruksens krav til å utrede personvernmessige konsekvenser av lover ikke blir fulgt i alle saker. Dette til tross for at Datatilsynet har ansett sakene for å være viktige. I de saker vi har sett på der personvernkonsekvenser er vurdert, er det sjeldent at analysen skjer med henvisning til FADs veileder om utredning av slike konsekvenser. Vi kan imidlertid ikke utelukke at veilederen også kan ha vært brukt og hatt effekt selv om det ikke er referert til denne. Ikke i noen av sakene vi har gjennomgått er det vurdert om evaluering av personverneffektene av lovvedtaket skal gjennomføres. Dette til tross for at sakene representerer et utvalg der personvernhensyn har vært ansett som spesielt viktige. 13
3 Personvernkonsekvenser ved høring av lovforslag Figuren nedenfor viser hvordan alminnelig høring av lovforslag normalt foregår. Høring Kommentarer fra høringsinstansene Departementets vurdering av kommentarene Figur 3. Høring Det ansvarlige departementet sender lovforslaget ut til høringsinstansene, som deretter kommer med sine innspill til departementet. Departementet vil deretter foreta en vurdering av innspillene. Ordningen med alminnelig høring er beskrevet i Utredningsinstruksen punkt 5, og inngår som en del av lovutredningsarbeidet. Høringsrunden skal belyse saken så godt som mulig og avdekke berørte parters og interessenters synspunkter på forslaget. 3.1 Generelt Høring foregår ved at alle offentlige og private institusjoner og organisasjoner som berøres av saken, blir invitert til å være høringsinstans. Alle interesserte kan i prinsippet uttale seg. Dersom departementene har underliggende instanser som er berørt av saken, skal departementet sørge for at også disse blir gitt mulighet til å uttale seg. Normalt er høringsfristen satt til tre måneder fra saken sendes ut, minimumstiden er seks uker. Utredningsinstruksens veileder i utredningsarbeid utdyper krav til utsendelse, og utforming av høringsbrevet. Datatilsynet vil bli forelagt dokumenter som høringsinstans i saker som faller inn under tilsynets arbeidsområde, det vil si saker som omhandler personvern og behandling av personopplysninger. Rollen som høringsinstans samsvarer med personopplysningsloven 42 der tilsynets oppgave bl.a. angis å være identifisere farer for personvernet, og gi råd om hvordan de kan unngås eller begrenses (nr. 5), jf. også etter henvendelse eller av eget tiltak gi uttalelse i spørsmål om behandling av personopplysninger (nr. 7). Etter høringsrunden vil ansvarlig departement ha mulighet til å gjengi innspillene fra høringsinstansene i proposisjonen, kommentere svarene, og eventuelt endre lovforslaget i lys av høringsuttalelser eller argumentere mot høringsinstansen. Dersom endringene er vesentlige kan det være aktuelt å sende forslaget ut på ny høring. 3.2 Utvalg av saker som er gjennomgått Tabellen nedenfor viser de samme sakene som i utredningen, men her begrenser vi oss til å se på kapitler i proposisjonene som omhandler høringsinstansenes syn og departementets vurdering i høringsrunden. Saker Ot.prp. nr. 48 (2004 2005) Om lov om utdanningsstøtte År 2004 14
Ot.prp. nr. 47 (2005 2006) Om lov om arbeids- og velferdsforvaltningen (arbeids- og velferdsforvaltningsloven) Ot.prp. nr. 48(2007 2008) Om lov om endringer i straffeloven 1902 og straffeprosessloven (kriminalisering av kjøp av seksuell omgang eller handling mv.) Ot.prp. nr. 76 (2007-2008) Om lov om endringar i folketrygdlova og i enkelte - andre lover (tilbakekrevjing etter feilutbetalingar, - tiltak mot trygdemisbruk, renter og erstatning i - trygdesaker) Ot.prp. nr. 74 (2006 2007) Om lov om medisinsk og helsefaglig forskning (helseforskningsloven) Prop. 23 L (2009-2010) Endringer i helseregisterloven og helsepersonelloven (nasjonalt register over hjerte- og karlidelser, adgang til å gi dispensasjon fra taushetsplikt for kvalitetssikring, administrasjon, planlegging og styring av helsetjenesten) Prop. 151 L (2009 2010) Endringar i forvaltningslova og straffegjennomføringslova (behandling av personopplysningar i kriminalomsorga, innsyn i benådningssaker o.a) Ot.prp. nr. 108 (2008-2009) Lov om behandling av opplysninger i politiet og påtalemyndigheten (politiregisterloven) Prop. 132 L (2011-2012) Endringer i statsborgerloven og statsborgerforskriften Tabell 3.2.1 Utvalg av saker for høring 2005 2006 2007 2008 2009 2010 2011 2012 I denne gjennomgangen gjorde vi en innholdsmessigvurdering av alle høringsuttalelser i tilknytning til hver lovsak. Deretter samlet vi uttalelser som omhandlet personvern, og vurderte om departementet hadde tatt hensyn til disse. Vi gjorde denne vurderingen ved å se på om departementet hadde kommentert høringsinstansens innspill under avsnitt om Departementets vurdering i proposisjonen. Dersom departementet hadde kommentert innspillet der, vil det også komme fram om departementet er enig eller uenig i avgjørelsen, og om innspillet hadde ført til endring av lovforslaget. Resultatet fra dette arbeidet er systematisert i tabeller, slik at det tydelig fremgår hvilke resultater vi fant. Et eksempel på hvordan vurderingen av høringsinstansenes syn ser ut: Ot.prp. nr. 48 (2004 2005) Om lov om utdanningsstøtte - referanse: Utdanningsstøtteloven 23 (innhenting av opplysninger fra andre) HS argument 1: Datatilsynet: anser innsamling av opplysninger om andre enn søker/låntaker etter 23 som et inngrep i personvernet overfor personer som ikke er søkere/låntakere i Lånekassen. HS argument 2: Datatilsynet: innhenting av opplysninger om kontonummer fra private registre burde bygge på den enkeltes samtykke. HS argument 3: BI og Kunsthøgskolen i Oslo: påpeker at det er viktig at Lånekassen oppretter gode rutiner for rask sletting av overskuddsopplysninger. HS argument 4: Studentparlamentet Høgskolen i Sør- Trøndelag (Studentparlamentet): og Studentenes Landsforbund: er imot at Lånekassen skal ha tilgang til private registre. HS argument 5: Skattedirektoratet kommenterer at utkastet til lovtekst synes å ha fått en videre ordlyd en tilsiktet. Tilgang til private registre burde ikke omfatte også personer som ikke er kunder i Lånekassen. HS argument 6: Justisdepartementet påpeker at det bør fremgå av lovteksten at 15
nødvendige opplysninger kan gis uhindret av taushetsplikt, jf forvaltningsloven 13 f annet ledd. Departementets HS argument 1: Uenig (effektivitetshensyn) vurdering: HS argument 2: Enig HS argument 3: Ikke kommentert HS argument 4: ikke kommentert HS argument 5: Enig HS argument 6: Enig Endringer: Skattedirektoratets og Justisdepartementets merknader er tatt hensyn til og lovteksten er blitt endret. Evaluering: Ingen evaluering er planlagt/gjennomført Tabell 3.2.2 Oppsett for gjennomgang av høringsrunden HS argument i tabellen angir argument i høringssvar. Hvem som har framført argumentet går fram av institusjonsangivelsen først i hver celle i annen kolonne. Alle argumenter i alle høringssvar som direkte gjelder personvern er med i vårt materiale. Hva som skal anses som ett argument, er selvsagt en skjønnsmessig vurdering, og vi kan ikke garantere for at vi har ytet alle høringsinstanser full rettferdighet. 3.3 Funn og vurderinger: 3.3.1 Om utvalgte høringsinstanser Ved gjennomgangen av høringsrundene har vi registrert 122 argumenter som gjelder personvern. Variasjonen i antall argumenter pr. sak er stor. Saken med færrest argumenter har kun ett, mens saken med flest argumenter har 29. Totalt har 47 høringsinstanser kommet med uttalelser om personvernspørsmål i vårt utvalg av lovsaker. Først vil vi kort redegjøre for de fem høringsinstansene som har bidratt med flest argumenter i vårt utvalg saker. Datatilsynet: Datatilsynet ble opprettet 1. januar 1980 og er et uavhengig forvaltningsorgan som ligger under FAD. Tilsynet fører en offentlig fortegnelse over all behandling av personopplysninger de får melding om, i tillegg behandler de søknader om konsesjon. Videre fungerer de som tilsynsmyndighet ved at de kontrollerer at lover og forskrifter om behandling av personopplysninger følges, og at feil og mangler blir rettet. De innehar også en ombudsrolle gjennom rådgivning og ved å gi informasjon til enkeltpersoner. En av flere oppgaver Datatilsynets har, er å være høringsinstans i saker som berører personvern. 15 I vår rapport er det Datatilsynet som helt klart har kommet med flest argumenter i høringsrundene. Hele 39 av argumentene tilhører Datatilsynet, det er en andel på ca 32 %. De er den eneste høringsinstansen som har uttalt seg i alle saker i vårt utvalg. Den norske legeforening Den norske legeforeningen (Legeforeningen) er en interesseorganisasjon for leger og legestudenter som ble stiftet i 1886. Legeforeningen fungerer som fagforening, samt at de arbeider med å fremme medisinsk utdannelse og forskning. I tillegg deltar de i helsepolitiske debatter for å fremme synspunkter for å bedre befolkningens helse. 16 I vårt utvalg av saker bidrar Legeforeningen med seks 15 Datatilsynet 16 Den norske legeforeningen 16
argumenter i høringsrundene. Dette tilsvarer en andel på ca 5 %. Legeforeningen har totalt uttalt seg i tre av sakene i vårt utvalg. Akademikerne Akademikerne er en arbeidstakerorganisasjon for langtidsutdannede som ble stiftet i 1997. Organisasjonen består av 13 fagforeninger som har i alt ca 170 000 medlemmer. De oppgir at de jobber for en sterk offentlig sektor, samtidig som det legges til rette for at privat sektor skal oppnå verdiskapning. Videre uttaler de på sine hjemmesider at offentlige virksomheter må preges av kvalitet, rettssikkerhet og effektivitet. 17 Akademikerne har bidratt med fem argumenter i høringsrundene som inngår i vår undersøkelse, dette tilsvarer en andel på ca 4 %. De har uttalt seg i to av sakene i vårt utvalg. Helsedirektoratet Helsedirektoratet er et fagdirektorat og myndighetsorgan som ligger under, og blir etatsstyrt av Helse- og omsorgsdepartementet. Direktoratet har som oppgave å følge med på forhold som påvirker folkehelsen og utviklingen i helse- og omsorgstjenesten. I tillegg skal de fortolke og benytte de lovene og det regelverket som Helse- og omsorgsdepartementet har bestemt. 18 Helsedirektoratet har kommet med fem argumenter i de høringsrundene vi har analysert, en andel på ca 4 %. De har uttalt seg i tre av sakene i vårt utvalg Den norske advokatforening Den norske advokatforening (Advokatforeningen) er advokatenes profesjons- og interesseorganisasjon i Norge. Advokatforeningen har et eget lovutvalg innen IKT og personvern som blant annet bidrar med å utarbeide forslag til høringsuttalelser, følge med i lovgivningsarbeidet, avgi uttalelser samt komme med råd. 19 I vårt utvalg har de fire argumenter i høringsrundene. Det tilsvarer en andel på ca 2 %. Advokatforeningen har uttalt seg i to av sakene i utvalget. 3.3.2 Departementets respons på argumenter i høringsrunden Vi har valgt å klassifisere høringsuttalelsene i forhold til departementenes respons. For ordens skyld minner vi om at utvalget innebærer at det bak departementet vil være ulike departementet avhengig av hvem som har ansvaret for vedkommende lovsak. Det er dessuten viktig å understreke at vurderingen vi har gjort er skjønnsmessig. I mange tilfeller har det ikke vært trivielt å vurdere departementets standpunkt til høringsuttalelsen. Klassifiseringen ser slik ut: Klassifisering av departementets vurdering Helt uenig Delvis uenig Delvis enig Kriterier for klassifisering Departementet er helt uenig med høringsinstansen, og uttalelsen har ikke ført til endringer. Departementet er for det mest uenig med høringsinstansen, og uttalelsen har ikke ført til endringer. Departementet er delvis enig med høringsinstansen, og uttalelsen har fått delvis gjennomslag for endringer. 17 Akademikerne 18 Helsedirektoratet 19 Advokatforeningen 17
Helt enig Departementet er helt enig med høringsinstansen, og uttalelsen har ført til endringer. Misforstått Departementet har ikke forstått høringsuttalelsen. Ikke kommentert Departementet har ikke kommentert høringsuttalelsen særskilt. Tabell 3.3.2.1 Klassifisering av departementets vurdering Tabellen viser hvilken inndeling vi har valgt for høringsuttalelsene i forbindelse med departementenes vurdering. I venstre kolonne finner vi hvilke begrep vi har valgt for den enkelte høringsuttalelse. I høyre kolonne er begrepet forklart. Departementene som har svart på høringsargumenter til de ulike proposisjonene er listet opp i tabellen nedenfor: Saker Ot.prp. nr. 48 (2004 2005) Ot.prp. nr. 47 (2005 2006) Ot.prp. nr. 48(2007 2008) Ot.prp. nr. 76 (2007-2008) Ot.prp. nr. 74 (2006 2007) Prop. 23 L (2009-2010) Prop. 151 L (2009 2010) Ot.prp. nr. 108 (2008-2009) Departement Kunnskapsdepartementet Arbeidsdepartementet Justis- og beredskapsdepartementet Arbeidsdepartementet Helse- og omsorgsdepartementet Helse- og omsorgsdepartementet Justis- og beredskapsdepartementet Justis- og beredskapsdepartementet Prop. 132 L (2011-2012) Barne-, likestillings- og inkluderingsdepartementet Tabell 3.3.2.2 Oversikt over ansvarlig departement Vårt veldig begrensende materiale gjør det ikke meningsfullt å analysere forskjeller i departementenes reaksjonsmønster i høringsrunden. Responsen fra departementene varierer veldig fra sak til sak. I noen få saker blir høringsinstansenes argumenter kommentert aktivt, mens de i andre saker knapt nok nevnes. Samtidig er variasjonen stor når det kommer til om departementene er enige eller uenige i argumentene til høringsinstansene. For å illustrere forskjellene har vi valgt å trekke frem tre saker. Den første saken vi vil trekke frem er Ot.prp. nr. 108 (2008-2009) Lov om behandling av opplysninger i politiet og påtalemyndigheten (politiregisterloven). Proposisjonen foreslår å avløse lov om strafferegister (strafferegisterloven) fra 1971 med en ny lov om av opplysninger i politiet og påtalemyndigheten (politiregisterloven). Dette er saken hvor flest argumenter er tatt til følge, her er ni av totalt 21 argumenter tatt til følge, det er en andel på ca. 43 %. 18
Figur 3.3.2.1 Departementets vurdering av høringsuttalelser til Ot.prp. nr. 108 (2008-2009) Den andre saken vi vil bruke som eksempel er Prop. 151 L (2009 2010) Endringar i forvaltningslova og straffegjennomføringslova (behandling av personopplysningar i kriminalomsorga, innsyn i benådningssaker o.a) som blant annet foreslår et hjemmelsgrunnlag i straffegjennomføringsloven for å behandle personopplysninger i kriminalomsorgen. Dette er saken hvor departementet flest ganger er helt uenig i argumentene fra høringsinstansene. Her er andelen åtte av totalt 23 argumenter, det vil si ca. 35 %. Legg også merke til den store andelen argumenter som ikke er kommentert av departementet, denne andelen er seks av 23 argumenter. Figur 3.3.2.2 Departementets vurdering av høringsuttalelser til Prop. 151 L (2009 2010) Den tredje saken vi vil fremheve er Ot.prp. nr. 76 (2007-2008) Om lov om endringar i folketrygdlova og i enkelte - andre lover (tilbakekrevjing etter feilutbetalingar, - tiltak mot trygdemisbruk, renter og erstatning i - trygdesaker). Proposisjonen foreslår blant annet en endring i lov om arbeids- og velferdsforvaltningen (arbeids- og velferdsforvaltningsloven) fra 2006 for og lettere kunne ha kontroll med personer man mistenker bedriver trygdemisbruk. Dette er saken hvor departementet flest ganger ikke har kommentert argumentene fra høringsinstansene. Andelen er 12 av 22, ca. 55 %. Sammen med det høye antall argumenter der departementet er helt eller delvis uenig, gir dette inntrykk av en lite lydhør behandling av høringssakene. 19
Figur 3.3.2.3 Departementets vurdering av høringsuttalelser til Ot.prp. nr. 76 (2007-2008) Det totale antallet argumenter er presentert i figuren nedenfor. Av totalt 122 argumenter er det flest (40) som ikke er kommentert, det vil si 33 %. Videre utgjør kategorien helt uenig 25 % av argumentene i de utvalgte sakene. Til sammenligning utgjør kategoriene helt enig og delvis enig henholdsvis 15 % og 12 %. Figur 3.3.2.4 Departementets vurdering av det totale antall høringssvar Vår gjennomgang gir et inntrykk av at personvernargumenter i mange tilfeller får relativt lite gjennomslag. Departementene har kun sagt seg helt eller delvis enig i 27 % av argumentene. Samtidig er departementene helt eller delvis uenig i 39 % av argumentene. Uenighet kan ofte skyldes ulike oppfatninger om faktiske forhold, verdier og politiske prioriteringer, noe som selvsagt er helt legitimt. Det er mer problematisk at så mange argumenter ikke har blitt kommentert av vedkommende departement. Hele 33 % av argumentene er ikke kommentert. Det kan være flere grunner til dette. Manglende kommentar kan eksempelvis skyldes at argumentet for departementet framstår som urimelig eller uinteressant, eller at en videre kommentar ansees som unødvendig. Høringsinstansene vil imidlertid ofte representere en betydelig faglig tyngde og avgir uttalelse etter en organisasjonsmessig behandling av regjeringens forslag. Slike uttalelser vil ofte kreve vesentlige ressursinnsats fra høringsinstansenes side. Det kan derfor hevdes at flere av argumentene som er 20
fremsatt burde vært kommentert og diskutert nærmere fra departementets side. Dette vil kunne føre til en bredere diskusjon rundt tema og tilstrekkelig saksutredning, som eksempelvis kan oppklare meningsinnholdet i forslaget. Samtidig ville kommentarer til flere argumenter fra høringsinstansene vise større respekt for den demokratiske kanal høringsordningen er. 3.3.3 Særskilt om høringssvar fra Datatilsynet I de sakene vi har gjennomgått har Datatilsynet framført flest argumenter i sine høringssvar. Som en del av undersøkelsen ønsker vi å vise hvordan departementene svarer på tilsynets argumenter i høringsrunden. Departementets vurdering av DataZlsynets høringsargumenter Ikke kommentert 31 % Helt uenig 28 % Helt enig 15 % Delvis enig 16 % Delvis uenig 10 % Figur 3.3.3 Departementets svar på Datatilsynets argumenter i høringsrundene Figuren viser prosentvis andelen høringsargumenter fra Datatilsynet, med tilhørende respons fra departementene. Departementene er ofte uenig med Datatilsynets høringsargumenter. Departementene har vært helt uenig i ca 28 % av innspillene vi har vurdert. Tar vi også med de tilfellene hvor departementene har vært delvis uenig, blir tallet 38 %. Departementene har kun vært helt enig i 15 % av innspillene fra Datatilsynet. Tar vi også med de sakene hvor vi har vurdert at departementet er delvis enig utgjør dette 31% av utvalget. En stor del av argumentene fra Datatilsynet har ikke blitt kommentert av departementene. Det kan være flere grunner til at et departement ikke uttaler seg om et innspill, og manglende kommentar i lovproposisjonen betyr ikke at argumentet ikke er vurdert av departementet. Det er imidlertid problematisk at så mange argumenter ikke inngår i det dokumentet som bærende for Stortingets behandling av lovsaken. Når hele 31 % av argumentene som framføres av den instans som etter personopplysningsloven skal være personvernets vokter ikke framkommer og er kommentert i lovproposisjonen, kan dette vanskelig sies å representere en tilfredsstillende opplysning om aktuelle 21
personvernhensyn. Departementene har ikke i noen saker misforstått Datatilsynet argumenter i høringsrunden. Tallene som gjelder for departementenes respons på Datatilsynets høringsargumenter, er i stor grad i samsvar med høringsargumentene generelt. 31 % av alle høringsargumenter blir ikke kommentert. Det tilsvarende tallet for Datatilsynet er 33 %. Femten prosent av Datatilsynets argumenter i de undersøkte høringsrundene har blitt tatt til følge, noe som også tilsvarer gjennomsnittet. Det er grunn til å understreke at Datatilsynet ikke bare øver innflytelse gjennom høringsrunden. I tillegg vil de ofte ha innflytelse ved at de enten selv har deltatt i utredningsarbeidet som ligger til grunn for lovproposisjonen, eller på annen måte har blitt hørt gjennom møter med vedkommende offentlig utvalg eller lignende. Et eksempel på førstnevnte påvirkningsmåte er utredningen fra Politiregisterutvalget som er bakgrunnen for Ot.prp. nr. 108 (2008-2009), hvor Datatilsynet var representert i utvalget. Tallene gir derfor ikke noe samlet uttrykk for Datatilsynets gjennomslag i lovsaker; verken generelt eller i de utvalgte sakene som er med i denne undersøkelsen. 22
4. Evaluering av personvernkonsekvenser av lover Figuren nedenfor viser de ulike trinnene i en evalueringsprosess. Evaluering Gjennomføre evaluering av de fakaske personvernkonsekvensene Presentere resultat, evt foreslå endringer Figur 4. Evaluering I kap 2 beskrev vi at evaluering av personvernkonsekvenser skal vurderes som ledd i utredningsarbeidet, jf. Utredningsinstruksen punkt 2.1. Evalueringen skal eksempelvis avdekke om loven som er trådt i kraft har fått uakseptable konsekvenser for personvernet. Den kan også avdekke at de negative personvernkonsekvensene er akseptable i forhold til hva alternativet av å ikke innføre loven vil være. Uansett resultat må disse presenteres, sammen med eventuelle forslag til endringer. Etter at evalueringen er gjennomført og resultatene fra analysene foreligger, er neste steg å vurdere behovet for endringer, samt og foreslå videre arbeid. Dersom det er grunn til å endre bestemmelsene vil man starte en ny prosess med utredning, høring og eventuelt en ny evaluering. 4.1 Generelt Veilederen til Utredningsinstruksens punkt 12 omhandler evaluering, og har et eget avsnitt om evaluering av lover. I tillegg har Finansdepartementet utarbeidet en veileder til gjennomføring av evalueringer, 20 og Justis- og beredskapsdepartementet har en egen veileder for evaluering av lover. 21 Evalueringer går ut på å måle hvilke effekter beslutninger som er truffet har fått. Det er særlig aktuelt å evaluere saker hvor det er knyttet usikkerhet og uenighet til hva den faktiske effekten av beslutningen vil være. Evaluering vil også være aktuelt dersom samfunnsutviklingen tilsier at beslutningen kan få andre utfall enn det som var tiltenkt. I Justis- og beredskapsdepartementets lovteknikkhefte er etterkontroll av regelverk beskrevet. Etterkontroll kan sees på som en kontroll om regelverket har virket etter hensikten, mens evalueringer favner noe bredere ved at det gjerne gjennomføres systematisk datainnsamling, analyse og vurdering av regelverket mv. Når det gjelder evaluering og etterkontroll av regelverk vil dette rette seg spesielt mot tre forhold: 1) Innholdet i bestemmelsene, 2) den tekniske utformingen, eller 3) en kombinasjon av 1) og 2). Innholdet går ut på å vurdere om regelverket har virket etter formålet. Det vil si om effektene av loven er slik man trodde på forhånd. Den tekniske utformingen sier noe om hvor enkelt og oversiktlig 20 Veileder- Veileder til gjennomføring av evalueringer, 2005. 21 Veileder Evaluering av lover, 2009. 23
regelverket oppleves av brukerne. Det kan gjelde oppsettet av lovteksten, eller hvor enkelt det er å forstå det språklige innholdet i loven. Det er imidlertid slik at det ene ofte kan påvirke det andre, for eksempel kan brukerne ha problemer med å forstå meningen med bestemmelsen dersom den tekniske utformingen er dårlig. 4.2 Utvalg av saker som er gjennomgått Da vi startet denne undersøkelsen var det en hovedambisjon å kartlegge evalueringer av personvernkonsekvenser i tilknytning til lov- og forskriftsvedtak. Etter hvert som vi gjennomførte dokumentstudier av sakene fra utvalget, kom vi imidlertid frem til at vi ikke fant slike. For ikke å utelukke at slike evalueringer har vært planlagt, eller har vært gjennomført, forhørte vi oss med direktøren for juridisk avdelingen hos Datatilsynet om han kjente til slikt arbeide. Spørsmålet ble videresendt til alle på avdelingen, uten positiv respons. Ettersom vi ikke fant noen gjennomførte evalueringer i de sakene vi har gjennomgått, tok vi utgangspunkt i to andre saker hvor evaluering og etterkontroll er gjennomført. Vi kom frem til disse sakene etter diskusjon med ansatte i Datatilsynet og veileder for prosjektet. Sakene er på mange måte forskjellige, og vi vil kun kort gjengi hovedtrekkene. 4.3 Funn og vurderinger 4.3.1 Metodekontrollutvalget Metodekontrollutvalget leverte i 2009 sin evaluering av lovgivningen om politiets bruk av skjulte tvangsmidler og behandling av informasjon i straffesaker. Utvalget vurderte forholdet mellom personvern, rettsikkerhet og effektiv kriminalitetsbekjempelse. Særlig er det vurderingene som omhandler personvernvurderinger som er interessant å se på i vår rapport. Det ble fastslått i Ot.prp. nr. 64 (1998-99) Om lov om endringer i straffeprosessloven og straffeloven m.v (etterforskningsmetoder m v) Kap. 22 at en etterkontroll av bestemmelsene burde gjennomføres første gang tre- fire år etter at loven var trådt i kraft. Bakgrunn for etterkontrollen var sterke motstridende hensyn mellom personvern og rettsikkerhet på den ene siden, og den reelle nytten av etterforskningsmetoder på den andre. Metodekontrollutvalget skulle vurdere om etterforskningsmetodene hadde den betydningen for etterforskningen som proposisjonen forutsatte, samtidig som hensynet til personvern og rettsikkerhet for den mistenkte og andre berørte ble tilstrekkelig ivaretatt. I mandatet til Metodekontrollutvalget står det at de skal komme med eventuelle forslag til lovendringer som gir et bedre regelverk. I en artikkel fra 2010 omtaler Ingvild Bruce arbeidet som ble foretatt i Metodekontrollutvalget. 22 Utvalget ble i utgangspunktet bedt om å foreta en etterkontroll av regelverket, men det ble raskt klart at arbeidet heller måtte betegnes som en evaluering. Grunnen til dette er at utvalget måtte innhente et vidstrakt tallmateriale og andre kilder for å besvare evalueringsspørsmålene som ble utarbeidet, noe som går utover det som ligger i begrepet etterkontroll. Bruce påpeker at en etterkontroll tradisjonelt har blitt utført av departementet, og omhandler behovet for tilpasninger og oppdateringer, og at arbeidet i Metodekontrollutvalget favnet bredere. I artikkelen stiller Bruce seg kritisk til flere aspekter ved opplegget som ble benyttet i arbeidet i Metodekontrollutvalget. Blant annet kritiseres manglende planlegging i utredningen, med tanke på 22 Bruce, Ingvild, 2010, Schartum, Dag Wiese (red.), Kap. 18 24