Høringssvar til forslaget til regler om at Skatteetaten og Tolletaten kan bruke personopplysninger til å utvikle og teste it - system.

Like dokumenter
Saksnr. 18/ Høringsnotat - adgang for Skatteetaten og Tolletaten til å bruke personopplysninger ved utvikling og testing av itsystemer

Deres referanse Vár referanse Dato 18/ / /EOL

Bruk av produksjonsdata til testing

Høring Forslag til endringer i utlendingsforskriften Adgang til å ta lyd- og bildeopptak av asylregistreringen

Høringsnotat. 1 Hovedinnholdet i høringsnotatet. 2 Bakgrunnen for forslaget

Vår referanse (bes oppgitt ved svar)

Regelrådets uttalelse. Om: Høyring av forslag om endringar i reglane om informasjonshandsaminga i Skatteetaten Ansvarlig: Finansdepartementet

FORHOLDET MELLOM GDPR OG ARKIV. Domstoladministrasjonen 1

2. Kommentarer til de forslagene hvor dere særskilt ber om innspill

Vedrørende pkt. 2 Bør det fastsettes nasjonale regler om behandling av personopplysninger i kredittopplysningsvirksomhet?

Skattedirektoratet Oslo

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

Helsepersonells taushetsplikt og plikten til å medvirke ved kontroll etter ligningsloven

Statens landbruksforvaltnings høringssvar - Forslag til endringer i naturmangfoldloven kapittel IV om fremmede organismer

HØRING - FORSLAG TIL FORSKRIFT OM FREMMEDE ORGANISMER

Ny personopplysningslov gjennomføring av personvernforordningen i norsk rett høringssvar fra Tolletaten

lntegrerings- og mangfoldsdirektoratet

Høringssvar fra Datatilsynet - endringer i politiregisterloven og forskriften - implementering av direktiv (EU) 2016/680

Høringssvar - Forslag til ny pasientjournallov og ny helseregisterlov

VEDLEGG 2 Vår saksbehandler Håvard Pedersen Vår dato

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

Forslag til endringer i reglene om Skatteetatens informasjonsbehandling høringsinnspill fra Statens vegvesen

Høringsuttalelse - Justis- og politidepartementet - Behandling av personopplysninger - Lov av

Advokatlovutvalgets utredning NOU 2015: 3 Advokaten i samfunnet - Finansdepartementets høringsuttalelse

Personvernperspektivet og oppbevaring av intervjumateriale

Lagringsbegrensning. Cecilie L. B. Rønnevik, advokat Personvernkonferansen

Vår referanse (bes oppgitt ved svar)

Deres ref. Vår ref. Dato 15/ /

Utveksling av grunndata på personinformasjonsområdet - høringsuttalelse

Lovfortolkning - Helsepersonelloven 29c - Opplysninger til bruk i læringsarbeid og kvalitetssikring

Høring - styrking av Tolletatens kontroll med vareførsel over grensen

FYLKESMANNEN I OSLO OG AKERSHUS Sosial- og familieavdelingen

Utlendingsdirektoratets innspill til høring om forslag til endring i utlendingslovens regler om visitasjon i forbindelse med asylregistreringen

DET KONGELIGE KUNNSKAPSDEPARTEMENT JUSTISDFPARTENTfil. Vår ref /EMS. Vi viser til Justisdepartementets brev av 3. Juli d.å.

Forslag til utveksling av personopplysninger for å bekjempe arbeidslivskriminalitet - Høring

Vår ref. (bes oppgitt ved svar) 06/ AFL 28. juni 2006 HØRING - FORSKRIFT OM EIENDOMSREGISTRERING

Høringsuttalelse - Forslag til endringer i sprøyteromsordningen

1 Innledning og bakgrunn. 2 Problemstilling. 3 Gjeldende rett

EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye

Høringsnotat. 4. september 2018

FINANSDEPARTEMENTET 2. JULI 2009

Justis- og beredskapsdepartementet Innvandringsavdelingen Postboks 8005 Dep 0030 Oslo Oslo,

Høringsuttalelse - Forslag om forskrift til lov om skatteforvaltning

Høring av endringer i pasientskadeloven og enkelte andre lover og foprskrifter - omorganisering i sentral helseforvaltning

Høringssvar fra Utlendingsdirektoratet politiets tilgang til utlendingsmyndighetenes registre

GDPR HVA ER VIKTIG FOR HR- DATA

Høring - Politiets adgang til å benytte et fremtidig nasjonalt ID-kortregister

Datatilsynets høringsuttalelse lovhjemmel for barnehagers behandling av personopplysninger i forbindelse med dokumentasjon og vurdering

Høring forslag om ny forskrift om tvangsmulkt med hjemmel i lov om offentlige anskaffelser 17

Forslag om opplysningsplikt for formidlingsselskaper mv. Finansdepartementet 18/ /

Personvern og studieadministrasjon. Sadia Zaka Juridisk seniorrådgiver Unit

Personvernforordningen

Deres referanse Vår referanse Dato 17/ / /CDG

Direktoratet for e-helse: Høringssvar på forskrift om befolkningsbaserte helseundersøkelser

Helsedirektorartet viser til ovennevnte høring datert 11. januar 2011.

GDPR TIL GLEDE ELLER BESVÆR? Nye regler for behandling av personopplysninger

Høringssvar om endringer i arbeidsmiljøloven

Høringsnotat - Taushetsplikt for opplysninger i aksjonærregisteret

Høringssvar - utveksling av personopplysninger for å bekjempe arbeidslivskriminalitet

Klage på vedtak om pålegg - informasjonsplikt i medhold av helseforskningsloven

GDPR og ny personvernlovgivning. Advokat (H) Torbjørn Saggau Holm

PERSONVERNERKLÆRING FOR STIFTELSEN PRINSESSE MÄRTHA LOUISES FOND. 1 Behandling av personopplysninger ved Prinsesse Märtha Louises Fond

oyi 3oT c - is- Arkinu.

Hjemmelsgrunnlag for anonymiseringsprosess i forbindelse med etablering av nasjonal, anonym sekvensvariantdatabase

Forslag til endringer i arbeidsmiljølovens bestemmelser om varsling - Høring Vi viser til brev av 20. juni 2016 med vedlegg om ovennevnte.

HØRING - ENDRINGER I UTLENDINGSLOVEN - POLITIETS TILGANG TIL OPPLYSNINGER OM BEBOERE I ASYLMOTTAK POLITIDIREKTORATETS MERKNADER

Vår referanse:

Kommentarer til bestemmelser og temaer i vernepliktsforskriften

5-7fiSDEPARTEMENT. 23 N11117nng. Justis- og politidepartementet Postboks 8005 Dep 0030 OSLO. Avp/K0N-rfpc14: / ". Obk NR ARKIVK-UDE:

Høring - Unntak fra forskrift om offentlige anskaffelser for kjøp av helse- og sosialtjenester til enkeltbrukere

Implementering av det nye personvernregelverket ved UiB

Høring forslag til endringer i forskrifter til konkurranseloven, og forslag til forskrift om ikrafttredelse og overgangsregler

Justis- og beredskapsdepartementet Innvandringsavdelingen Postboks 8005 Dep 0030 Oslo Oslo, 3. september 2014

Høringsnotat - Utvidet lagringstid for opplysninger fra Tolletatens skiltgjenkjenningssystem (ANPR)

HØRING - ENDRINGER I OFFENTLEGLOVA - POLITIDIREKTORATETS MERKNADER

Utlendingsdirektoratets innspill til høring om forslag til endringer i utlendingslovens regler om tvangsmidler

HØRINGSUTTALELSE FRA JUSS-BUSS VEDRØRENDE FORSLAG TIL ENDRINGER I ARBEIDSMILJØLOVEN TILTAK MOT UFRIVILLIG DELTID

Forslag til forskriftsbestemmelser om sentral godkjenning for planforetak

Utkast til ny lov om behandling av opplysninger i kredittopplysningsvirksomhet - høringsuttalelse

Høringsuttalelse - endringer i introduksjonsloven og tilhørende forskrifter

Personvern - vurdering av personvernkonsekvenser - DPIA

Høringsuttalelse fra Arkivverket - forslag til ny folkeregisterlov

Personvernerklæring for Fredrikstad kemnerkontor

Høringsuttalelse: Ny lov om offisiell statistikk og Statistisk sentralbyrå

Juristforbundets fagutvalg for personvern bistår Juristforbundet i spørsmål om personvern og gjennomgår høringssaker innenfor utvalgets fagområde.

Høring - forskrift om uttak og utnytting av genetisk materiale - bioprospektieringsforskriften

Høringsuttalelse - Forslag til endringer i plandelen av plan-og bygningsloven - underretting om vedtak

Klage fra SpareBank 1 Markets AS på Datatilsynets vedtak

Deres ref Vår ref Dato

t. Skattedirektoratet

Høringsnotat: Enklere tilgang til helseopplysninger for kvalitetssikring av helsehjelp og egen læring

HØRING - FORSLAG TIL NY LOV OM UTPRØVING AV SELVKJØRENDE KJØRETØY PÅ VEG POLITIDIREKTORATETS MERKNADER

Høringssvar - Bruk av lærlinger ved offentlige anskaffelser

Riksrevisjonen vil derfor oppfordre til at revisjonsberetningen publiseres sammen med årsregnskapet.

Høringsuttalelse - forslag om ny nemndsstruktur på skatte- og merverdiavgiftsområdet

Høring - bokføringsregler for kommuner og fylkeskommuner

Hvordan ivareta personvernet ved skikkethetsvurderinger?

Høringsbrev - forslag til lov- og forskriftsendringer som følge av a- opplysningsloven

likestillings- og inkluderingsdepartementet

Transkript:

Tolldirektoratet Toll - og vareførselsavdelingen Rettsseksjonen Vår ref: 18/21310-10 Arkivkode : 008 Vår dato: 01.08.2018 Deres d ato: 24.05.2018 Deres ref: 18/1077 SL HLY/KR Finansdepartementet Postboks 8008 Dep 0030 Oslo Høringssvar til forslaget til regler om at Skatteetaten og Tolletaten kan bruke personopplysninger til å utvikle og teste it - system. Innledning Vi viser til høringsbrev av 24. mai 2018 der Finansdepartementet foreslår regler om at Skatteetaten og Tolletaten kan bruke nødvendige personopplysninger ved utvikling og testing av it - systemer. Formålet med fors l aget er å klargjøre at Skatteetaten og Tol letaten har rettslig adgang til å bruke personopplysninger til dette formålet. Forslaget vil også føre til at det blir klart for de registrerte hva Skatteetaten og Tolletaten kan bruke personopplysningene deres til. Tolldirektoratet støtter departementets forsl ag, og viser i all hovedsak til departementets redegjørelse i høringsnotatet. Under følger likevel merknader og utfyllende opplysninger til høringen. Behovet for å bruke identifiserbare opplysninger til testing og utvi kling av it - syst emer I medhold av tolloven er Tolletaten pålagt et betydelig ansvar med å føre kontroll med vareførselen til og fra Norge, og at gjeldene regelverk om vareførselen overholdes. I tillegg har Tolletaten ansvar for å beregne og fastsette toll i samsvar med tollovgivningen. Fo r å kunne utføre dette oppdrag på en trygg og effektiv måte, må Tolletaten samle inn og behandle en meng d e informasjon om varer og aktører, herunder personopplysninger. I tråd med samfunnsutviklingen er vi også avhengige av god og sikre it - systemer for å k unne løse vårt oppdrag på en smart og samfunnsøkon omisk må te. Postadresse : Besøksadresse : Org.nr: 974761343 Vår saksbehandler: Postboks 2103 Vika Schweigaards gate 15 E - post: post@toll.no Anne Merethe Moe Dahlen 0125 OSLO Oslo Internett: www.toll.no Tlf. direkte: 22 86 06 47 Sentralbord: +47 2286 03 12

Vår ref.: 18/21310-10 Side 2 Tolletaten jobber kontinuerlig med å påse at eksisterende it-systemer fungere slik de skal og med betryggende grad av informasjonssikkerhet, samtidig som vi også utvikler nye it-systemer for å kunne tilby våre tjenestemenn oppdatert og bredere systemstøtte for oppdragsutførelsen. Det stilles høye krav til systemenes drift og funksjonalitet. Systemene skal kunne håndtere en betydelig informasjonsmengde og systematisere denne på en måte som er hensiktsmessig for virksomhetsutførelsen. En stor andel av den registrerte informasjonen er taushetsbelagt for tollmyndighetene, og vil ofte kunne kategoriseres som sensitiv for den det gjelder, enten det er virksomhetsopplysninger eller personopplysninger. Tolletaten er opptatt av at våre it-systemer skal gi en betryggende grad av sikkerhet for de registrerte opplysningene, og at integriteten og konfidensialiteten til personopplysningene ivaretas. For å sikre dette på best måte, må det nedlegges et grundig arbeid i forbindelse med test og utvikling. Tolletaten er enig med Finansdepartementets utgangspunkt om at personvern tilsier at utvikling og testing av it-systemer bør foregå på anonyme og fiktive opplysninger. Bruk av personopplysninger til test og utvikling utfordrer grunnleggende personvernprinstipper som formålsberegninger og dataminimering. På en annen sider er det også viktige prinsipper at personopplysningene skal være korrekte og at de behandles på en måte som sikrer tilstrekkelig grad av sikkerhet for personopplysningene. Departementet har også uttalt seg om dette på side 5 i høringsnotatet, hvor det i denne sammenheng uttales at det i mange it-systemer eksiterer et stort antall grensetilfeller som må kontrolleres grundig. I en del tilfeller er det svært tid- og ressurskrevende å lage anonyme eller fiktive testopplysninger som dekker alle grensetilfeller. Fiktive testopplysninger vil ofte ha for lite variasjon, være sterkt statisk eller ikke gjenspeile produksjonssituasjonen. Tolletaten understøtter disse momentene, og fremhever at det er et reelt og legitimt behov for å behandle personopplysninger ved testing og utvikling av it-systemer. Som foreslått i høringsnotatet er det strenge vilkår for bruk av reelle data. Kun når det ellers er uforholdsmessig vanskelig å oppnå formålet med testingen utelukkende ved bruk av anonyme eller fiktiv opplysninger, kan det benyttes reelle data. Produksjonsdata skal følgelig ikke brukes for alle testaktiviteter i hele utviklingsløpet, og skal bare behandles dersom formålet ikke med rimelighet kan oppfylles på en annen måte. Hovedtyngden av test- og utviklingsoppgaver må derfor nødvendigvis gjøres på syntetiske eller anonymiserte data. Syntetiske data vil i mange tilfeller være bedre egnet til bruk av testing. Enkelte type tester og tilfeller krever imidlertid bruk av reelle data for å verifisere at løsningen i produksjon nettopp

Vår ref.: 18/21310-10 Side 3 ivaretar kravene til konfidensialitet, integritet og tilgjengelighet. Alternativet vil være at testingen skjer i produksjonsmiljøet med de svært uheldige konsekvenser dette kan medfølge. Ved å konstruere syntetiske data vil det kunne lages et variert testdatasett, for eksempel ved å kartlegge og analysere hvilke data som er mulig og ut fra dette beregne hvilke kombinasjoner som utgjør et tilstrekkelig datasett. Produksjonsdata vil imidlertid være bedre egner for å teste på uventede kombinasjoner, verdier, input, prosessteg mv. som ikke lar seg forutse, og som vil kunne føre til feil eller andre utilsiktede eller uønskede hendelser i produksjon. I kritiske systemet, som Tolletaten har, så er det av vesentlig betydning å kunne avdekke slike tilfeller før man når produksjonsmiljøet. I flere situasjoner vil det være av lavere prioritet å teste på scenarier som ikke forekommer i produksjon, og tilsvarende høyere prioritet å avdekke feil som følge av scenarier som faktisk forekommer i produksjon. Den mest egnede måten å avdekke slike feil som kan forekomme i produksjon vil være å bruke data som gjenspeiler produksjonssituasjonen. Dynamikken i produksjonsdata er også nødvendig for å kunne avdekke feilsituasjoner relatert til uforutsette endringer, prosesser eller transaksjoner. Man kan generere dynamikk også i syntetisk testdata, men da vil det i hovedsak dreie seg om tilfeller og situasjoner som man med rimelighet kan forutse. Selv om tester utføres gjennom hele utviklingsløpet tilsier ikke det at man gjør samme type tester eller har samme behov for testdata i de ulike fasene. Det skilles for eksempel på test- og utviklingsoppgaver, og det benyttes ulike, fysisk adskilte miljøer med ulike former for testdata. Enhetstester vil for eksempel ikke behøve testdata overhode, automatiserte tester vil være best egnet på syntetiske og statiske data, og testing av normalsituasjoner vil være best på syntetiske data. I forbindelse med kritiske feil i produksjonen, vil det kunne være nødvendig å teste på reelle data for å finne utav og løse feilsituasjoner. Forslaget til ny bestemmelse om test og utvikling Etter Tolletatens oppfatning er det ikke grunnlag for å innfortolke et totalforbud mot å bruke personopplysninger for å teste og/eller utvikle it-systemer, verken etter eksisterende personopplysningslov eller ny personvernforordning. Vurderingen av lovlighet må langt på vei være den samme som enhver annen behandling, i hvert tilfelle må det foretas en vurdering av om bruken av personopplysningene er innenfor innsamlingsformålet. Hvis bruken regnes som et nytt formål må det vurderes om den nye bruken (test og/eller utvikling) er uforenelig med innsamlingsformålet. Hvis bruken er forenlig, kreves ikke ytterligere behandlingsgrunnlag for dette formålet. Hvis bruken derimot er uforenlig må det foreligge særskilte

Vår ref.: 18/21310-10 Side 4 behandlingsgrunnlag for viderebehandlingen, enten ved at det innhentes samtykke eller lovhjemmel. Enn kan se for seg tilfeller hvor det lar seg hevde at test som er nødvendig for at en tjeneste skal kunne fungere, ligger innenfor det formålet som opplysningene opprinnelig er innsamlet for. I tillegg vil en kompatibilitetsvurdering av de ulike formålene ofte innebære at en viderebehandling til test er lovlig. Vurderingen må foretas i hvert enkelt tilfelle der test og/ eller utvikling med personopplysninger er aktuelt. Det er imidlertid noe uklart hvor langt et slikt behandlingsgrunnlag rekker, og prinsipper om forutberegnelighet og åpenhet omkring behandling av personopplysninger støtter at det innføres en klargjørende hjemmel i lov. Finansdepartementet har således foreslått en ny bestemmelse i tolloven 12-18, som setter rammene for i hvilke tilfeller og hvilke personopplysninger som kan benyttes til test og utvikling av it-systemer. Tilsvarende bestemmelser er forslått for Skatteetaten i de ulike lover der er omfattet av. Følgende ordlyd er foreslått: «(Myndighetene) kan bruke nødvendige personopplysninger som de har hjemmel for å innhente, også personopplysninger etter personvernforordningen artikkel 9 og artikkel 10, for å utvikle og teste it-systemer, men bare dersom det er umulig eller uforholdsmessig vanskelig å oppnå formålet ved å bruke anonyme eller fiktive opplysninger.» Tolletaten mener vilkårene som oppstilles i den foreslåtte bestemmelsen ivaretar personvernprinsippene på en god måte. Bestemmelsene hjemler bruk av personopplysninger til testing og utvikling «når det er umulig eller uforholdsmessig vanskelig» å oppnå formålet ved å bruke anonyme eller fiktive opplysninger. Ordlyden bekrefter hovedregelen om at test og utvikling skal skje med anonyme eller fiktive opplysninger, og at bruke av personopplysninger kun skal skje unntaksvis der vilkårene er oppfylt. Forståelsen av vilkårene «umulig» eller «uforholdsmessig» omtales bare kort i høringsnotatet. Det vises for eksempel til tilfeller der det faktisk ville være umulig å utarbeide testdata uten personopplysninger, eller tilfeller der det ville være svært tid- og ressurskrevende å lage anonyme eller fiktive testdata som dekker alle grensetilfeller som må testes her må omfanget og kompleksiteten av det aktuelle it-systemet også tas i betraktning. Tolletaten oppfatter ordlyden slik at terskelen for bruk av personopplysninger til test- og utviklingsarbeid skal være forholdsvis høy, men det er viktig at den heller ikke tolkes så restriktivt at anvendelsesområdet kun blir teoretisk. Bestemmelsene må fortolkes i lys av

Vår ref.: 18/21310-10 Side 5 formålet ved vedtakelsen, og behovet bestemmelsen er ment å dekke (jf. redegjørelse i høringsnotatet). Videre er det bare «nødvendige» personopplysninger som skal benyttes. Dette er helt i tråd med de generelle vilkårene for bruk av personopplysninger i personvernforordningen og prinsippet for dataminimering. Oppsummering inkl tekniske og organisatoriske tiltak Tolletaten har generelt stort fokus på personvern og informasjonssikkerhet i vårt daglige arbeid. Tolletaten ønsker å benytte syntetiske eller anonymiserte opplysninger som testdata når det er den mest egnede metoden. Samtidig støtter vi forslaget om å kunne bruke produksjonsdata når dette er nødvendig for å utvikle it-systemer av best mulig kvalitet. Tolletaten deltar i et tverretatlig testsamarbeid bestående av ulike arbeidsgrupper med deltakelse fra Skatt, NAV, BRREG, SPK, UDI, E-helse m.fl. om testing av anonymiserte/syntetiske testdata som understøtter felles verdikjedetester og flyten av informasjon mellom de ulike aktørene. Det er svært komplisert å lage testdata for, og erfaringsutveksling og samarbeid mellom de ulike aktørene er sentralt her. Tolletaten har et eget prosjekt med oppdrag å få opp anonymiserte testadata og dermed minimalisere behovet for bruk av produksjonsdata til test/utvikling. Tolletaten vil videreutvikle våre retningslinjer for forvaltning og bruk av testdata. Datatilsynets har oppfordret til at Skattedirektoratet gis midler til å utvikle ett eller flere testdatasett til bruk for offentlige etater, som forvaltere av Folkeregisteret. Dersom populasjon i et slikt datasett vil være Folkeregisteret, bemerkes at Tolletatens samfunnsoppdrag også omfatter utenlandske personer som ikke er i Folkeregisteret. For eksempel reisende, mannskap, sjåfører og næringsdrivende som bor utenfor Norge. Økonomiske og administrative konsekvenser I utgangspunktet medfører ikke Finansdepartementet forslag betydelige økonomiske og administrative konsekvenser for Tolletaten. Hvis det blir strenger krav enn det som følger av departementets forslag, vil det trolig føre til betydelige økonomiske konsekvenser. Dette gjelder særlig hvis etaten må utvikle egne mer omfattende og komplette datasett med anonymiserte eller fiktive opplysninger.

Vår ref.: 18/21310-10 Side 6 Med hilsen Aud Børset Dellrud underdirektør Anne Merethe Moe Dahlen rådgiver Dokumentet er elektronisk godkjent.

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding