Ledelse
Ikke fritt fram for digital innhenting av kontoinformasjon i sanntid
I snart 10 måneder har saken ligget til vurdering i Justisdepartementet: Har politiet, NAV og Skatteetaten rett til å få automatisk tilgang til så å si all kontoinformasjon på personer og bedrifter fra bankene? Nå har de konkludert: Svaret er nei – ikke uten nærmere regulering.
Som et ledd i et stort digitaliseringsprosjekt av offentlige tjenester og etater, har Nav, Skatteetaten og Politiet samarbeidet med finansnæringen om utvikling av en teknologisk løsning som gir de nevnte myndighetene automatisk tilgang til kontoinformasjon om privatpersoner og bedrifter. Dette systemet er noe de offentlige etatene svært gjerne vil ha på plass, da det vil effektivisere og forenkle arbeidet deres i kampen mot økonomisk kriminalitet, skattesnytere og trygdesvindel.
Denne typen informasjon har både Skatteetaten, Politiet og Nav også tilgang til i dag. Men da gjennom manuelle forespørsler, som er konkrete og avgrensede, for eksempel i form av hvilke konti og tidsperioder.
Det automatiserte systemet − som har fått det klingende navnet «DSOP kontrollinformasjon» − vil, slik det foreligger, gi de offentlige etatene automatisk tilgang på nærmest alle bankdata, og dermed er sjansen stor for at de får tak i mye mer informasjon enn de strengt tatt trenger.
Dog kan man også «stille inn» det automatiske systemet slik at man for eksempel begrenser tidsperioden for informasjonen eller på andre måter innskrenker mengde og type informasjon. Men dette krever at bankene selv gjør en slik jobb i sin «ende» av prosessen.
Spørsmålet er uansett om systemet er i tråd med eksisterende lovgivning.
«Betydelig tvil om lovligheten»
Dette har gjort at både Datatilsynet og bankene har uttrykt bekymring over lovligheten av denne typen automatiserte informasjonsinnhenting. Datatilsynet hadde blant annet følgende bekymring så tidlig som i mars 2021:
«Etter vårt syn er dette en meget prinsipiell sak. Det er en betydelig forskjell på å utlevere opplysninger etter en manuell behandling, og å gi etatene direkte tilgang på å hente ut opplysninger fra bankenes systemer».
Dagens Perspektiv skrev om denne problemstillingen allerede i mars 2021, da implementeringen av den teknisk sett ferdige løsningen var «rett rundt hjørnet».
Senere har denne bekymringen vokst seg større, og i oktober 2021 skrev Finans Norge et brev til både Justis- og Finansdepartementet der de ba om at Justisdepartementets lovavdeling avklarte «det rettslige grunnlaget» for en eventuell utrulling av DSOP kontrollinformasjon.
«Det er ingen uenighet mellom partene i DSOP-samarbeidet om etatenes hjemler for å be om informasjon som er nødvendig for å oppfylle en rettslig forpliktelse og som behandles manuelt. DSOP Kontrollinformasjon er imidlertid en løsning som vil hente ut data informasjon uten en manuell behandling eller kontroll, og som krever juridisk avklaring», skriver Finans Norge i brevet, som er undertegnet av administrerende direktør Idar Kreutzer.
Det er altså lovligheten av denne typen innhenting av informasjon, finansbransjen er bekymret for. I brevet heter det:
«Den rettslige uklarheten som gjør at det oppstår betydelig tvil knyttet til lovligheten, er knyttet til at verken ordlyden i de ulike bestemmelsene eller forarbeidene til de aktuelle lovene* i særlig grad støtter oppunder en slik direkte tilgang og automatisert innsamling/utlevering som API-løsningen** tilrettelegger for. API-løsningen er også vanskelig å forene med de rettsikkerhetsgarantier som ligger i gjeldende regler knyttet til a kunne motsette seg utleveringspålegg og klage eller kreve rettslig prøving/anke. Disse forhold gjør at det må stilles spørsmål ved om det verktøy for informasjonstilgang som API-løsningen i realiteten er, har den nødvendige forankringen i lov».
* de aktuelle lovene er bl.a. til Skatteforvaltningsloven, Folketrygdloven, Straffeprosessloven, Hvitvaskingsloven og andre lover som danner hjemmelsgrunnlaget for innhenting av denne typen kontrollinformasjon.
** API-løsningen er den tekniske løsningen som gjør det mulig å innhente denne typen informasjon automatisk og digitalt.
Svaret fra departementet har latt vente på seg. Som svar på en henvendelse om status i saken fra Finans Norge i mars i år, svarte departementet at de «jobber med saken i tråd med opplegget».
Lovavdelingen er skeptisk
Og endelig, sist uke kom svaret fra Justisdepartementets lovavdeling:
Den digitale løsningen for automatisk innhenting av kontrollinformasjon kan være i strid med Straffeprosessloven. Den skaper utfordringer for personvernet og «privatlivets fred», slik dette er beskrevet i Grunnloven.
«Etter vårt syn er det en viss tvil knyttet til om straffeprosessloven åpner for at utleveringen det her er snakk om, kan skje ved at politiet selv henter ut opplysninger fra finansinstitusjonenes systemer gjennom en automatisert oppslagstjeneste. I alle tilfeller oppstår spørsmålet om bestemmelsene oppfyller kravene som stilles til rettsgrunnlagets «kvalitet» etter personvernforordningen, Grunnloven § 102 og EMK (Den europeiske menneskerettighetskonvensjonen)», skriver juristene i Justisdepartementet.
«Samlet mener vi at en ordning hvor politiet selv kan hente ut detaljerte finansopplysninger gjennom en automatisert oppslagstjeneste, vil kunne utgjøre et betydelig inngrep i retten til respekt for privatlivet etter Grunnloven § 102 og EMK artikkel 8», heter det den rettslige vurderingen fra departementet, som konkluderer med følgende:
«Vår samlede vurdering er på denne bakgrunn, om enn under noe tvil, at kravene etter Grunnloven § 102, EMK artikkel 8 og personvernforordningen antakelig ikke fullt ut er oppfylt».
Departementet mener at det trengs ytterligere reguleringer, dersom den digitale informasjonsinnhentingen skal kunne tas i bruk fullt ut. Enten gjennom en lovendring, som da må behandles i Stortinget, eller gjennom nye forskrifter til eksisterende lovverk.
Å gjøre løsningen «mindre automatisk» − ved at man «legger inn manuelle kontrollposter på veien», kan også være en mulig løsning.
Uansett, situasjonen nå er at denne teknisk helt ferdigutviklede digitale løsningen ennå ikke kan tas i bruk, da den utfordrer lovverket slik det fungerer i dag.
Vi ser altså et typisk eksempel på at ny teknologi krasjer i møtet med «gamle lover».