Utvalgte hurtiglenker

    Proposisjoner til Stortinget

    Prop. 110 L (2024–2025)

    Lov om Enhetsregisteret (enhetsregisterloven) og lov om Foretaksregisteret (foretaksregisterloven)

    Til innholdsfortegnelse
    Neste kapittel
    Forrige kapittel

    9 Automatiserte avgjørelser og sammenstilling av personopplysninger

    9.1 Gjeldende rett

    Tilpasning av regelverket til digital saksbehandling

    Enhetsregisteret og Foretaksregisteret er heldigitale registre. Brukerne forholder seg hovedsakelig til registrene på digitale plattformer, både ved innsending av meldinger og ved oppslag i registrene. Den manuelle saksbehandlingen gjennomføres i det alt vesentlige i digitale systemer, og noen av meldingene saksbehandles også helautomatisk.

    Andelen automatisert saksbehandling har økt jevnt de siste årene. Andelen helautomatisert saksbehandling var i 2023 på henholdsvis 30 prosent i Foretaksregisteret og 23 prosent i Enhetsregisteret. Brønnøysundregistrenes prosjekt for ny registerplattform, BRsys, skal erstatte gamle saksbehandlingsløsninger, og skal også danne grunnlag for høyere andel automatisert saksbehandling. Se punkt 5.3 om dette.

    Automatisert saksbehandling åpner flere muligheter for rask, sikker og upartisk saksbehandling. Imidlertid betyr også økt bruk av tekniske løsninger at man må løse utfordringer når det gjelder konfidensialitet, integritet og tilgjengelighet.

    I NOU 2019: 5 skrev forvaltningslovutvalget om dette i punkt 18.3.3.1:

    «Saksbehandlingen kan være mer eller mindre automatisert. Den kan være manuell med bruk av automatiserte hjelpemidler. Den kan være delvis automatisert, som der relevante data automatisk hentes fra databaser og deretter behandles manuelt, eller der profiler inngår i en ellers manuell saksbehandling. Saksbehandlingen kan være i stor grad automatisert, som der hele saksbehandlingsprosessen er automatisert med unntak av en manuell rutine for utøving av skjønn. Saksbehandlingen kan også være helautomatisert, slik at saker påbegynnes og sluttføres i systemet uten at noe menneske er involvert i behandlingen av hver sak.
    (…)
    Flere forvaltningsorganer har innført automatiserte beslutningsprosesser. Det gjelder blant annet Lånekassen, NAV, Husbanken og Skatteetaten. Også opptak til videregående opplæring og til høyere utdanning skjer ved automatisert behandling. Det utvikles i dag saksbehandlingssystemer integrert med søknadsdialog som gir muligheter for å fatte automatiserte vedtak umiddelbart.
    Automatisering av beslutningsprosesser kan gi store effektivitetsgevinster, særlig når saksmengden er stor. Automatisering kan også bidra til økt likebehandling, siden alle som etter systemets kriterier er i samme situasjon, automatisk behandles likt. Automatisering gir konsistent gjennomføring av regelverk og kan blant annet forhindre ulik praksis på lokalkontorer.
    Automatisert saksbehandling kan sikre at prosessuelle krav til saksbehandlingen blir fulgt og kan gi økt implementering av rettigheter og plikter. Systemet kan for eksempel automatisk treffe vedtak som innvilger ytelser når det har registrert at vilkårene for det er oppfylt.
    (…)
    Samtidig som automatisert saksbehandling kan realisere en rekke gevinster, kan det ha konsekvenser som lovgiver bør være oppmerksom på. I mange tilfeller er det hensiktsmessig med klare og forutsigbare regler. Noen ganger taler imidlertid behovet for politisk handlingsrom eller for å kunne ta hensyn til særpreget ved den enkelte sak, for at reglene inneholder vurderingspregede elementer. Et ønske om økt automatisering kan i seg selv motivere et ønske om skarpere avgrensete regler, slik at systemet som i utgangspunktet skulle være et virkemiddel for gjennomføringen, i seg selv blir førende for regelutformingen.
    De fleste lovregler som i dag er nedfelt i automatiserte saksbehandlingssystemer, ble ikke utformet med dette for øye. Ved utforming og vedtakelse av ny lovgivning bør det vurderes hvordan reglene kan tilpasses hensiktsmessig teknologi, og hvordan eventuelle problemstillinger som teknologi måtte medføre, best kan løses. Det er et overordnet rettssikkerhetskrav at lovgiver fører demokratisk kontroll med forvaltningens myndighetsutøving, og hvis lite automatiseringsvennlige regler gjøres til gjenstand for automatiseringsprosesser, kan den faktiske gjennomføringen av reglene avvike fra forutsetningen ved vedtakelsen. Generelt kan det sies at lovgivning som er automatiseringsvennlig, inneholder klare og entydige kriterier basert på entydige opplysningstyper. Reglene bør ha en tydelig logisk oppbygning. Reglene bør harmoniseres med andre regler som de skal ses i sammenheng med. For effektivt å kunne dele opplysninger er det nødvendig med systematisk arbeid for å sikre stringente termer og behandlingsregler på tvers av lover.»

    Lovfesting av regler om automatiserte beslutningsprosesser i forvaltningen reiser en del særlige spørsmål. En lovregulering må påse at forordning (EU) 2016/679 om vern av fysiske personer i forbindelse med behandling av personopplysninger (personvernforordningen) følges. Forordningen stiller et generelt krav om at det må være grunnlag i nasjonal rett for å helautomatisere behandling av personopplysninger. Mer spesifikt stiller den blant annet krav om å sikre partens krav til «forsvarlig saksbehandling», og at avgjørelsen ikke kan bygge på skjønnsmessige vilkår med mindre avgjørelsen er utvilsom. Det må også sikres at algoritmene som brukes er rettferdige, ikke-diskriminerende og transparente. Disse spørsmålene er behandlet i dette kapittelet.

    Automatisert saksbehandling i Enhetsregisteret og Foretaksregisteret

    Det er ingen uttrykkelige bestemmelser i enhetsregisterloven og foretaksregisterloven som regulerer automatisert saksbehandling eller adgang til å treffe hel- eller delautomatiserte avgjørelser. Så lenge alminnelige forvaltningsrettslige krav er oppfylt og behandlingen er i samsvar med personvernregelverket, regler i særlovgivning og regler i andre sektorovergripende regelverk, er det regnet som gjeldende rett at Enhetsregisteret og Foretaksregisteret kan automatisere både saksbehandlingen og flere typer avgjørelser.

    Forvaltningens adgang til å automatisere saksbehandlingen uten særskilt hjemmel er omtalt i Prop. 1 LS (2021–2022) punkt 12.3.6 i tilknytning til folkeregisterloven § 9-4 m.fl. Bestemmelsen gir folkeregistermyndigheten hjemmel til å behandle personopplysninger i forbindelse med sammenstilling, profilering og automatiserte avgjørelser. Finansdepartementet uttaler i proposisjonen punkt 12.3.6:

    «Etter departementets oppfatning må skattemyndighetene etter gjeldende rett i stor utstrekning kunne bruke personopplysninger de har innhentet, uten at det er gitt spesifikke bestemmelser om dette. Dette gjelder også sammenstilling av personopplysninger.»

    Etter departementets vurdering er det ikke særskilte forhold ved behandling i Enhetsregisteret og Foretaksregisteret som tilsier at det ikke er tilsvarende adgang til å behandle og sammenstille personopplysninger i utførelsen av deres oppgaver.

    Heller ikke gjeldende forvaltningslov har bestemmelser som spesifikt regulerer forvaltningens adgang til å automatisere saksbehandlingen eller å treffe del- og helautomatiserte avgjørelser. I forvaltningsloven er utgangspunktet at forvaltningsorganer kan automatisere saksbehandlingen uten at det kreves en særskilt bestemmelse. Dette er forutsatt av forvaltningslovutvalget i NOU 2019: 5 kapittel 18.3.3.

    Behandling av personopplysninger i Enhetsregisteret og Foretaksregisteret

    Personvernforordningen regulerer behandling av personopplysninger i EØS. Forordningen skal styrke og harmonisere personvernet for enkeltpersoner, og setter klare rammer for forvaltningsorganers bruk av personopplysninger. Personvernforordningen er gjennomført i norsk rett i personopplysningsloven.

    Ifølge personvernforordningen artikkel 6 nr. 1 bokstav e er behandling av personopplysninger lovlig dersom det er «nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt». Personvernforordningen artikkel 6 nr. 3 bestemmer at grunnlaget for behandlingen skal fastsettes i medlemsstatenes nasjonale rett. Det følger av artikkel 5 nr. 1 bokstav b at personopplysninger skal «samles inn for spesifikke, uttrykkelig angitte og berettigede formål og ikke viderebehandles på en måte som er uforenlig med disse formålene».

    Både Enhetsregisteret og Foretaksregisteret samler og registrerer personopplysninger om personer som har roller i enheter, først og fremst navn, adresse og fødselsnummer i tilknytning til rolle, men også rettigheter og forpliktelser. Det registreres også opplysninger om kunder som bestiller informasjon og som benytter tjenester med gebyr, i hovedsak navn, adresse og e-postadresse. Hovedregelen er at fødselsnummer blir brukt som identifikator. Behandlingen må i alle tilfeller sikre partens krav om forsvarlig saksbehandling og være forenlig med retten til vern av personopplysninger. Se nærmere om Enhetsregisteret og Foretaksregisteret i kapittel 3, og om hvilke opplysninger som skal registreres i kapittel 12.

    Bestemmelsene om registrering og behandling av personopplysninger i enhetsregisterloven og foretaksregisterloven følger personopplysningsregelverket, herunder prinsippene i forordningen artikkel 5 og artikkel 6.

    Helautomatiserte avgjørelser og personvernforordningen artikkel 22

    Utgangspunktet om at det er adgang til å automatisere saksbehandlingen uten særskilte bestemmelser, innskrenkes vesentlig av personvernforordningen artikkel 22. Utgangspunktet i artikkel 22 nr. 1 er at det er forbudt å treffe «en avgjørelse som utelukkende er basert på automatisert behandling, herunder profilering, som har rettsvirkning for eller på tilsvarende måte i betydelig grad påvirker vedkommende».

    Begrepet «avgjørelse» forstås i utgangpunktet vidt, og begrepet omfatter alle beslutninger som enten «har rettsvirkning for» vedkommende eller «på tilsvarende måte i betydelig grad påvirker vedkommende». Dette er forstått som at avgjørelsen påvirker noens rettigheter eller plikter. At avgjørelsen «utelukkende» er basert på automatisk behandling, innebærer at avgjørelsen er tatt uten at noe menneske er involvert. Den automatiserte avgjørelsen kan være både enkeltvedtak og andre avgjørelser.

    I artikkel 22 nr. 2 bokstav a til c er det fastsatt tre unntak fra forbudet mot behandling som «utelukkende» er basert på automatisert behandling (helautomatisert). Unntakene i bokstav a (nødvendig for å inngå eller oppfylle en avtale mellom den registrerte og en behandlingsansvarlig) og bokstav c (basert på samtykke), er ikke aktuelle ved utøvelse av offentlig myndighet. I denne sammenheng er det unntaket i bokstav b som er aktuelt.

    Artikkel 22 nr. 2 bokstav b fastsetter at helautomatisert behandling er tillatt når det er hjemlet i unionsretten eller nasjonal rett som den behandlingsansvarlige er underlagt, og det er fastsatt egnede tiltak for å verne den registrertes rettigheter, friheter og berettigede interesser. Det følger også av bokstav b at det er adgang til å gi nasjonale regler om automatiserte avgjørelser som faller innunder artikkel 22 nr. 1. Hjemmelen til behandling må «uttrykkelig» tillate fullstendig automatiserte avgjørelser etter artikkel 22 nr. 1, og det rettslige grunnlaget må være «tydelig og presist», jf. fortalepunkt 71 og 41. Artikkel 22 nr. 2 bokstav b stiller også krav om at hjemmelen fastsetter «egnede tiltak for å verne den registrertes rettigheter, friheter og berettigede interesser».

    Automatiserte avgjørelser som nevnt i personvernforordningen artikkel 22 nr. 2 kan ikke bygge på «særlige kategorier av personopplysninger» nevnt i artikkel 9 nr. 1, med mindre artikkel 9 nr. 2 bokstav a eller g får anvendelse og det er innført egnede tiltak for å verne den registrertes rettigheter, friheter og berettigede interesser.

    Som automatisert behandling regnes også såkalt «profilering». Profilering er definert i personvernforordningen artikkel 4 nr. 4 som «enhver form for automatisert behandling av personopplysninger som innebærer å bruke personopplysninger til å vurdere visse personlige aspekter knyttet til en fysisk person».

    Bestemmelser om helautomatiserte avgjørelser i særlovgivningen

    I særlovgivningen er det gitt flere bestemmelser om forvaltningsorganers adgang til å treffe helautomatiserte avgjørelser på grunnlag av unntaket i personvernforordningen artikkel 22 nr. 2 bokstav b. Folkeregisterloven § 9-4, lov 27. mai 2016 nr. 14 om skatteforvaltning (skatteforvaltningsloven) § 5-11 og lov 17. juni 2005 nr. 67 om betaling og innkreving av skatte- og avgiftskrav (skattebetalingsloven) § 3-5 hjemler bruk av automatiserte avgjørelser på forvaltningsområdene til skatteetaten (fastsetting, innkreving og folkeregistrering). Andre eksempler er lov 16. juni 2006 nr. 20 om arbeids- og velferdsforvaltningen (arbeids- og velferdsforvaltningsloven) § 4 a, lov 11. mars 2022 nr. 9 om inn- og utførsel av varer (vareførselsloven) § 7-15 og lov 28. juni 1957 nr. 12 om pensjonstrygd for fiskere (fiskerpensjonsloven) § 29 a.

    Disse hjemlene i særlovgivningen er vedtatt og satt i kraft de siste tre−fire årene, og er dermed forholdvis nye bestemmelser. Hjemlene har en generell ordlyd og gjelder for det saksområdet som loven regulerer, og for den typen avgjørelser som den aktuelle myndighet fatter. Disse lovbestemmelsene er formulert på en slik måte at de oppfyller kravene til unntak fra forbudet mot helautomatiserte avgjørelser som er fastsatt i artikkel 22 nr. 2 bokstav b.

    Lovene på skatterettens område er mer eller mindre like, og bare folkeregisterloven § 9-4 omtales derfor her. I § 9-4 første ledd fastsettes det at den aktuelle myndighet «kan sammenstille innhentede personopplysninger når det er nødvendig for deres arbeid, …». I arbeids- og velferdsforvaltningsloven § 4 a første ledd er det tilsvarende slått fast at etaten kan behandle personopplysninger «når dette er nødvendig for å utøve myndighet eller utføre andre oppgaver etter de lovene som etaten administrerer». Både fiskerpensjonsloven § 29 a første ledd og vareførselsloven § 7-15 første ledd har tilsvarende reguleringer.

    Folkeregisterloven § 9-4 andre ledd inneholder også en bestemmelse som sier at den aktuelle myndighet kan «treffe avgjørelser som utelukkende er basert på automatisert behandling». Tilsvarende bestemmelse finnes i arbeids- og velferdsforvaltningsloven § 4 a andre ledd, fiskerpensjonsloven § 29 a andre ledd og vareførselsloven § 7-15 andre ledd.

    Det er også satt lovkrav om at behandlingen må sikre partens krav til «forsvarlig saksbehandling og være forenlig med retten til vern av personopplysninger», og krav til at avgjørelsen ikke kan «bygge på skjønnsmessige vilkår i lov eller forskrift, med mindre avgjørelsen er utvilsom». Ifølge bestemmelsen har den registrerte «rett til manuell overprøving av avgjørelsen», se folkeregisterloven § 9-4 andre ledd. Tilsvarende bestemmelser er fastsatt i arbeids- og velferdsforvaltningsloven § 4 a andre ledd, fiskerpensjonsloven § 29 a andre ledd og vareførselsloven § 7-15 andre ledd.

    Når det gjelder profilering, er det fastsatt i folkeregisterloven § 9-4 første ledd at innhentede personopplysninger «kan benyttes til profilering til samme formål, når profileringen er nødvendig for å målrette tiltak som fremmer etterlevelse av loven». Også vareførselsloven § 7-15 første ledd fastsetter hjemmel for profilering.

    Adgang til å benytte særlige kategorier av personopplysninger som nevnt i personvernforordningen artikkel 9 og 10 ved sammenstilling, profilering og automatiserte avgjørelser, er gitt i folkeregisterloven § 9-4 tredje ledd. Tilsvarende er regulert i arbeids- og velferdsforvaltningsloven § 4 a første ledd, fiskerpensjonsloven § 29 a første ledd og vareførselsloven § 7-15 første ledd.

    Adgangen til å gi forskrift om «sammenstilling, profilering og automatiserte avgjørelser, blant annet om formålet med behandlingen, hvilke personopplysninger som kan behandles og hvem det kan behandles personopplysninger om», er gitt til departementet i folkeregisterloven § 9-4 fjerde ledd. Arbeids- og velferdsforvaltningsloven gir forskriftshjemmelen til departementet i § 4 a tredje ledd, og tilsvarende er gjort i fiskerpensjonsloven § 29 a sjette ledd og vareførselsloven § 7-15 tredje ledd.

    9.2 Forslaget i høringsnotatet

    I høringsnotatet punkt 6.3 foreslo departementet å innføre en uttrykkelig hjemmel i enhetsregisterloven og foretaksregisterloven for å kunne fatte helautomatiserte avgjørelser som omfatter behandling av personopplysninger.

    Departementet skrev at dette vil imøtekomme kravet i personvernforordningen om at helautomatisert behandling skal hjemles i nasjonal rett som den behandlingsansvarlige er underlagt. En uttrykkelig hjemmel vil også ivareta rettssikkerhet og forutsigbarhet for brukerne. Hjemmelen ble foreslått utformet på samme måte som folkeregisterloven § 9-4.

    9.3 Høringsinstansenes syn

    Statistisk sentralbyrå (SSB) støtter forslaget om nye regler som gir mulighet til helautomatiserte avgjørelser, sammenstilling av personopplysninger og profilering, og fremhever fordelene som redusert saksbehandlingstid og økt forebygging av kriminalitet.

    Den Norske Advokatforening (Advokatforeningen) har flere merknader til forslaget i høringsnotatet både når det gjelder personvern, forvaltningsprinsipper og forutsigbarhet.

    Når det gjelder sammenstilling og profilering, bemerker Advokatforeningen at høringsnotatet inneholder få vurderinger av personvernsaspekter ut over kravet til hjemmel. Advokatforeningen skriver at automatisering og profilering kan være svært inngripende for enkeltpersoners friheter og rettigheter. Foreningen mener at forslaget fremstår som ubalansert uten en vurdering av personvernkonsekvensene. Foreningen peker særlig på opplysninger som kan omfatte særlige kategorier av personopplysninger som er regulert under personvernforordningen artikkel 9. Advokatforeningen skriver også at departementets konklusjon om at de opprinnelige formålene med innhenting av personopplysninger er forenlige med formålene knyttet til profilering og sammenstilling, burde vært grundigere vurdert.

    Advokatforeningen skriver at lovteksten gir et for bredt, udefinert og uforutsigbart hjemmelsgrunnlag for profilering, og at legalitetsprinsippet innebærer at behandling av personopplysninger må ha en klar og forutsigbar hjemmel.

    Når det gjelder ordlyden i forslaget til enhets- og foretaksregisterloven §§ 1-3, mener Advokatforeningen at hjemmelen ikke gir en tilstrekkelig klar og forutsigbar hjemmel for profilering ved bruk av personopplysninger. Advokatforeningen skriver at det er behov for regler som sikrer dokumentasjon og gjennomsiktighet i automatiserte prosesser slik at enkeltpersoner kan motsi resultater fra automatisert saksbehandling og ha grunnlag for klage eller manuell overprøving.

    Samlet sett mener Advokatforeningen at de potensielle konsekvensene for personvernet må utredes grundigere særlig med tanke på de vide formålene som skisseres i høringsnotatet samt de alvorlige konsekvensene bruken av personopplysninger i profilering kan få for enkeltindivider.

    Norsk Presseforbund, Norsk Journalistlag og Norsk Redaktørforening (felles uttalelse) støtter forslaget om å lovfeste en plikt for registerføreren til å dokumentere og offentliggjøre det rettslige innholdet i automatiserte saksbehandlingssystemer som er brukt i Enhetsregisteret og Foretaksregisteret. De mener også at det bør lovfestes innsynsrett i algoritmene og kildekoden for å sikre allmennhetens mulighet til å kontrollere systemene.

    Skattedirektoratet påpeker at offentliggjøring av kriteriene for profilering kan gjøre det enklere for kriminelle å omgå reglene, og mener at omfanget og detaljnivået av slik offentliggjøring bør vurderes nøye.

    9.4 Departementets vurdering

    Behov for regulering av sammenstilling, profilering og automatiserte avgjørelser i foretaksregisterloven og enhetsregisterloven

    Enhetsregisterets og Foretaksregisterets saksbehandling omlegges i økende grad fra manuell til automatisert behandling. Brønnøysundregistrene har ambisjon om 100 prosent digital innrapportering og tilgjengeliggjøring, og størst mulig grad av strukturerte og maskinlesbare data. Strukturerte og maskinlesbare data er en forutsetning for automatisert saksbehandling.

    Automatisert saksbehandling kan komme samfunnet til gode på forskjellige måter, blant annet i form av mer effektiv ressursutnyttelse og kortere saksbehandlingstid, særlig fordi Enhetsregisteret og Foretaksregisteret behandler svært mange saker; se kapittel 3 og 4 om dette. Automatisering kan også bidra til økt likebehandling og konsistent gjennomføring av regelverk fordi det kan forhindre ulik praksis, samt til økt implementering av rettigheter og plikter. Departementet viser til forvaltningslovutvalgets redegjørelser for gevinstene ved automatisering av saksbehandlingen i NOU 2019: 5 punkt 18.3.3.

    Enhetsregisteret og Foretaksregisteret mottar og behandler en stor mengde opplysninger. For fortsatt å kunne utvikle og tilby gode offentlige tjenester, må registrene behandle opplysninger på en slik måte at de kan utføre sine oppgaver raskt og effektivt, og bruke ressursene målrettet. Kravene til effektivitet og digitalisering medfører økt oppmerksomhet om bruk av opplysninger og automatisering i ulike prosesser. Samtidig må registrenes behandling av opplysninger ivareta borgernes rettssikkerhet og personvern.

    For å kunne videreutvikle gode tjenester for brukerne er det nødvendig å utføre analyser hvor det brukes metoder som forutsetter sammenstilling av personopplysninger, for eksempel gjennom bruk av prediktive modeller og risikobasert tilnærming. Slik sammenstilling vil i noen tilfeller medføre profilering. Bruk av personopplysninger til profilering innebærer kategorisering av personer som er registrert, herunder innsender, i Enhetsregisteret og Foretaksregisteret. Profilering gjennom prediktive modeller, for eksempel maskinlæringsmodeller, kan gi Enhetsregisteret og Foretaksregisteret mulighet til å gjøre kvalifiserte antakelser som kan benyttes til veiledningsformål, for eksempel til å kartlegge hvilke grupper som har behov for særskilt veiledning. Både bruk av analyser som sammenstiller personopplysninger og profilering kan derfor hjelpe registrene med å velge riktige tiltak for å sikre eller påvirke etterlevelsen og kvaliteten i registrene.

    Når registrene får mulighet til å utnytte flere av de mulighetene IKT-verktøy og teknologiutviklingen gir til data- og informasjonsbehandling, vil det bidra til god datakvalitet. Ulike metoder kan benyttes til utplukk av hvem som bør kontrolleres ut over den maskinelle kontrollen, til å gjennomføre etterfølgende kontroller eller andre tiltak som sikrer etterlevelse og bedre kvalitet, som for eksempel dulting («nudging»). Dulting er små tiltak som har til formål å påvirke folks handlinger i ønsket retning uten bruk av tvang, straff eller økonomisk belønning. For nærmere omtale av dulting, se stortingsmeldingen om økonomisk kriminalitet, Meld. St. 15 (2023–2024) punkt 10.4.

    Det vil også kunne være behov for å sammenstille personopplysninger som ledd i forebygging av både økonomisk kriminalitet og arbeidslivskriminalitet. Brønnøysundregistrene har ambisjoner om å bidra til forebygging av slik kriminalitet. I tildelingsbrevet til Brønnøysundregistrene for 2025 står det i punkt 4.4:

    «Brønnøysundregistrene forvalter flere sentrale registre, som utgjør en viktig datakilde for både offentlige og private virksomheter. Brønnøysundregistrene skal gjennom kontroll med registrering og tilgjengeliggjøring av disse dataene gi tilgang til informasjon som er viktig ved i forebygging og oppfølging av økonomisk og arbeidslivskriminalitet.
    Brønnøysundregistrene skal gjennom lovbestemt kontroll sikre god registerkvalitet, utprøving av ny teknologi, etterfølgende kontroll og analyser, og samarbeid med andre, bidra til å forebygge at etatens data og registre utsettes for eller benyttes til økonomisk og arbeidslivskriminalitet. Brønnøysundregistrene skal innenfor lovens rammer formidle informasjon til berørte virksomheter om straffbare forhold der dette avdekkes, herunder også anmelde forhold der de er fornærmet til politiet.»

    Effektivisering og digitalisering av tjenester kan også utgjøre en risiko for blant annet manipulering av registrene. Behandling av personopplysninger til blant annet etterkontroller kan bidra til å avsløre og forebygge manipulering. Meld. St. 15 (2023–2024) er også tydelig på at forebygging av økonomisk kriminalitet er lønnsomt, se stortingsmeldingen punkt 8.1. Dersom registrene klarer å utnytte de mulighetene som ligger i digitalisering, vil det kunne bidra til å forebygge økonomisk kriminalitet, for eksempel ved å analysere og kartlegge risikoer for misbruk. Selv om forebygging av økonomisk kriminalitet og arbeidslivskriminalitet er et mål i seg selv, vil det også føre til bedre registerkvalitet ved at registrerte opplysninger er korrekte.

    Samlet sett fører dette til et større behov for å anvende metoder som forutsetter sammenstilling av personopplysninger, for eksempel gjennom prediktive modeller og risikobasert tilnærming.

    Profilering og sammenstilling av personopplysninger forutsetter at registrene bruker personopplysningene som er innhentet i forbindelse med registrering av enheter og foretak, til et annet formål enn det de er innhentet for. Formålet med innhentingen av opplysningene er å gjennomføre registrenes oppgaver med å samle inn, kontrollere og registrere opplysninger om enheter og foretak. Formålet med å benytte personopplysninger til profilering og sammenstilling er å forbedre registrenes tjenester, effektivisere saksbehandlingen, forbedre veiledningen til brukerne og forbedre registrenes kontrollfunksjon. Departementet vurderer at formålene ikke er uforenlige med formålene med innhentingen av personopplysningene, og at det derfor ikke kreves at personopplysningene innhentes på nytt for å kunne utføre profilering og sammenstilling. Departementet legger til grunn at opplysningene som brukes til sammenstilling og profilering er innhentet, og ikke er kommet inn til registrene i form av overskuddsinformasjon. Dette kan for eksempel være opplysninger som antall roller en person har, hvilke roller og hvilke meldinger en person sender inn til Enhetsregisteret og Foretaksregisteret.

    Som nevnt i punkt 9.2 foreslo forvaltningslovutvalget i NOU 2019: 5 å lovhjemle en adgang til automatisert saksbehandling i forslaget til ny forvaltningslov. Når proposisjonen med forslag til ny forvaltningslov legges frem, vil departementet vurdere om en eventuell slik hjemmel vil være tilstrekkelig hjemmelsgrunnlag for helautomatiserte avgjørelser i Enhetsregisteret og Foretaksregisteret, og eventuelt foreta tilpasninger.

    Det er aktuelt å bruke kunstig intelligens i forbindelse med automatisert saksbehandling. EU vedtok forordningen om kunstig intelligens (EU) 2024/1689 i 2024. Den skal sikre trygg og forsvarlig utvikling og bruk av slik teknologi, og bidra til innovasjon. Forordningen har en risikobasert tilnærming. Derfor klassifiserer og regulerer forordningen KI på bakgrunn av hvilken risiko den utgjør for samfunnet og enkeltmennesker. Forordningen blir den første direkte reguleringen av KI i Norge, og den stiller krav om nasjonal forvaltningsstruktur for å håndheve regelverket på nasjonalt nivå. Gjeldende rett har imidlertid teknologinøytrale regler som også er relevante for KI.

    KI-forordningen blir et sentralt rammeverk for utvikling og bruk av KI i Norge fremover. Bestemmelsene i forordningen tar til å gjelde trinnvis i EUs medlemsstater frem til 2027.

    Forordningen er ikke innlemmet i EØS-avtalen per 10. april 2025.

    Generelt om forslaget til lovhjemmel

    Enhetsregisteret og Foretaksregisteret behandler en rekke opplysninger om personer som innehar roller i virksomheter som skal registreres. Bruk av helautomatiserte avgjørelser der personopplysninger behandles i Enhetsregisteret og Foretaksregisteret krever rettsgrunnlag i nasjonal rett.

    Departementet opprettholder forslaget i høringsnotatet om at det fastsettes særskilte hjemler for automatiserte avgjørelser som omfatter behandling av personopplysninger i Enhetsregisteret og Foretaksregisteret. En uttrykkelig hjemmel vil ivareta rettssikkerhetshensyn og bidra til forutsigbarhet for brukerne som de helautomatiserte avgjørelsene retter seg mot. Dette er også i tråd med vurderingene som er gjort på skatterettens område og for NAVs saksbehandling. Det kom ikke innvendinger mot dette forslaget i høringen.

    Registrene behandler også opplysninger som kan omfattes av personvernforordningen artikkel 9 og 10. Dette gjelder for eksempel opplysninger om menigheter, trossamfunn, foreninger og organisasjoner som fremmer interessene til LHBT (lesbiske, homofile, bifile og transpersoner). Registrene behandler også opplysninger knyttet til fratakelse av rettslig handleevne, rettighetstap og konkurskarantene.

    Tiltak for å ivareta personvernet

    Departementet er enig med Advokatforeningen i at det vil ha konsekvenser for personvernet å lovhjemle en adgang til å sammenstille og profilere personopplysninger, samt å automatisere saksbehandlingen i Enhetsregisteret og Foretaksregisteret.

    Sammenstilling og profilering av personopplysninger vil innebære omfattende behandling av data som kan gi et detaljert bilde av enkeltpersoners aktiviteter og egenskaper. Dette kan føre til økt risiko for personvernkrenkelser, spesielt hvis dataene brukes til formål som de registrerte ikke har samtykket til eller er klar over. Artikkel 22 i personvernforordningen gjelder helautomatiserte avgjørelser som har rettsvirkninger eller som på annen måte betydelig påvirker den registrerte. Det er derfor relativt snevre unntak fra bestemmelsen.

    Automatisering av saksbehandlingen kan også medføre utfordringer knyttet til transparens og rettferdighet. Selv om automatisering kan øke effektiviteten og redusere behandlingstiden, må det sikres at algoritmene som brukes er rettferdige, ikke-diskriminerende og transparente. Dette innebærer at de registrerte må informeres om hvordan deres data behandles og hvilke kriterier som ligger til grunn for automatiserte avgjørelser. Artikkel 5 i personvernforordningen oppstiller også et prinsipp om ansvarlighet. I dette prinsippet ligger blant annet at behandlingsansvarlig må dokumentere sine vurderinger. I enkelte tilfeller, der risikoen ved behandlingen er høy, kreves det at det gjøres en personvernkonsekvensvurdering. Det ligger også et prinsipp om rettferdighet og åpenhet i artikkel 5. Artikkel 13 og 14 i personvernforordningen krever at den behandlingsansvarlige gir de registrerte tilstrekkelig informasjon om behandlingen av deres personopplysninger, inkludert formålet med behandlingen og logikken bak automatiserte avgjørelser.

    Det må også implementeres sikkerhetstiltak for å beskytte personopplysningene mot uautorisert tilgang, tap eller misbruk. Dette inkluderer tekniske og organisatoriske tiltak som kryptering, tilgangskontroll og regelmessige sikkerhetsrevisjoner. Artikkel 32 i personvernforordningen pålegger den behandlingsansvarlige å sikre et passende sikkerhetsnivå, inkludert tiltak for å sikre konfidensialitet, integritet og tilgjengelighet av personopplysninger.

    Det er viktig å ivareta de registrertes rettigheter så som retten til innsyn, retting og sletting av personopplysninger. Automatiserte systemer må derfor utformes slik at de registrerte kan be om innsyn og at personopplysninger kan rettes, slettes eller skjules. Dette innebærer at systemene må ha tilstrekkelig funksjonalitet til å kunne håndtere forespørsler effektivt.

    Adgang til å sammenstille og profilere personopplysninger, samt å automatisere saksbehandlingen i Enhetsregisteret og Foretaksregisteret, krever tiltak for å sikre at personvernet ivaretas. Dette inkluderer å sikre lovlighet, transparens, sikkerhet og respekt for de registrertes rettigheter.

    Brønnøysundregistrene er i likhet med alle andre som behandler personopplysninger underlagt personopplysningsregelverket. For å beskytte personopplysningene har Brønnøysundregistrene implementert flere sikkerhetstiltak. Dette inkluderer tilgangskontroll, kryptering og regelmessige sikkerhetsrevisjoner. Brønnøysundregistrene har retningslinjer for hvordan personopplysninger skal behandles, inkludert regler for sletting av opplysninger når de ikke lenger er nødvendige for formålet de ble samlet inn til.

    Brønnøysundregistrene skal sørge for at personopplysninger beskyttes på tilfredsstillende måte. Brønnøysundregistrene har etablert et styringssystem for informasjonssikkerhet (internkontroll) i tråd med ISO 27001. Styringssystemet skal sikre Brønnøysundregistrenes evne til å ha et enhetlig regime for vurdering og håndtering av risiko for alle domener innen risikostyring, herunder personvernrisikostyring. I styringssystemet inngår blant annet policy for risikostyring, behandling av personopplysninger, innebygd personvern og vurdering av personvernkonsekvenser. Brønnøysundregistrene har implementert sikkerhetstiltak som tilgangsstyring og kryptering, og alle ansatte har taushetsplikt. Det nye saksbehandlingssystemet (BRsys) bygger på en løsningsarkitektur som søker å ivareta personvernprinsippene i så stor grad som mulig. Personopplysningene lagres ikke i det enkelte register, men i en fellesmodul som oppdateres fortløpende mot Folkeregisteret. I det enkelte register lagres det kun en peker, en intern og ellers informasjonsløs ID, som viser til en person i fellesmodulen.

    Brønnøysundregistrenes personvernerklæring gir publikum informasjon om hvilke personopplysninger registrene behandler, hvordan disse blir behandlet og hvilke rettigheter den registrerte har. Brønnøysundregistrenes personvernerklæring kan leses her: https://www.brreg.no/personvernerklaering/.

    Utforming av bestemmelsene

    Departementet opprettholder forslaget i høringsnotatet om at paragrafen i ny enhetsregisterlov og ny foretaksregisterlov utformes slik at de i så stor grad som mulig, samsvarer med tilsvarende regler i særlovgivningen, særlig folkeregisterloven § 9-4.

    Norsk Presseforbund, Norsk Journalistlag og Norsk Redaktørforening (felles uttalelse), SSB og Advokatforeningen støtter forslaget om en hjemmel som gir mulighet til å fatte helautomatiserte avgjørelser. Advokatforeningen mener imidlertid at lovforslaget gir et for bredt, udefinert og uforutsigbart hjemmelsgrunnlag for profilering ved bruk av personopplysninger. Foreningen skriver at formålet fremstår som vidtrekkende og lite klart.

    Departementet bemerker at lovforslaget er formulert slik at det er så likt den tilsvarende bestemmelsen i folkeregisterloven § 9-4 som mulig. Denne bestemmelsen trådte i kraft i 2022, og ble gitt samtidig med tilsvarende bestemmelser innenfor andre av skatteetatens forvaltningsområder. Disse er omtalt under gjeldende rett i punkt 9.1. Etter departementets syn vil like bestemmelser i særlovgivningen bidra til felles forståelse i forvaltningen for hvordan og på hvilken måte forvaltningen kan ta i bruk automatisert saksbehandling. Departementet bemerker også at Stortinget har vurdert og vedtatt disse lovendringene. I Innst. 4 L (2021−2022) punkt 9.3 fremgår det at komiteen sluttet seg til regjeringens forslag. Det samme gjelder for adgang til profilering. En eventuell regulering i ny forvaltningslov vil også virke inn på forvaltningens generelle adgang til å fatte automatiserte avgjørelser. Når eventuelle regler i forvaltningsloven om automatiserte avgjørelser trer i kraft, vil departementet vurdere i hvilken grad de vil gjøre det nødvendig å foreta tilpasninger i registerregelverket.

    Departementet opprettholder derfor forslaget om at første ledd i paragrafene gjør det tydelig at Enhetsregisteret og Foretaksregisteret har adgang til å sammenstille personopplysninger, gjennomføre profilering og treffe automatiserte avgjørelser. Formålet med forslaget er å klargjøre registrenes rettslige adgang til å behandle personopplysninger i visse sammenhenger. Formuleringen «sammenstille innhentede personopplysninger» innebærer å koble sammen opplysninger om den enkelte fra flere kilder og å koble sammen opplysninger om grupper av personer. Opplysningene som blir brukt til sammenstilling kan komme fra innsendere av meldinger til registrene, tredjeparter, offentlige myndigheter eller andre kilder.

    Når det gjelder fremtidig bruk av profilering, vil økonomiske aspekter, innsenders eller rolleinnehavers pålitelighet og adferd, plassering og bevegelser kunne være egnet for analyse i kontroll- eller etterkontrollsammenheng i Enhetsregisteret og Foretaksregisteret. Departementets vurdering er at det vil være nyttig for Enhetsregisteret og Foretaksregisteret, dersom det finnes nødvendig og formålstjenlig, å ha mulighet til å kunne avdekke mønstre rundt en person eller grupper av personer. Det er ikke tatt konkret stilling til hvilke aspekter som kan være aktuelle å ta i betraktning til kontroll- eller etterkontrollformål. Et eksempel på bruk som kan bli aktuelt er å bruke profilering til å beregne sannsynlighet for bevisst feilaktige meldinger. Disse kan neppe nektes maskinelt, men profileringen vil kunne «flagge» en melding basert på aspekter ved innsender, rolleinnehaver eller lignende og gjøre saksbehandler oppmerksom på at det kan være noe ved meldingen som bør kontrolleres.

    Departementet opprettholder også forslaget i høringsnotatet om formuleringen i utkastet til § 1-3 andre ledd. Departementet foreslår å fastslå tydelig at registerføreren kan treffe avgjørelser som «utelukkende er basert på automatisert behandling». Dette kan for eksempel være vedtak om registrering eller nekting av registrering, og den automatiserte avgjørelsen kan være både enkeltvedtak og andre beslutninger som «i betydelig grad påvirker» noen. Departementet foreslår at det tas uttrykkelig inn i bestemmelsen at behandlingen må sikre partens krav om forsvarlig saksbehandling og være forenlig med retten til vern av personopplysninger. Departementet opprettholder også forslaget om at bestemmelsen skal inneholde krav om at helautomatiserte avgjørelser ikke kan bygge på skjønnsmessige vilkår, med mindre avgjørelsen er utvilsom. Også utkastet til denne bestemmelsen er formulert på samme måte som de nevnte bestemmelsene i særlovgivningen.

    Departementet opprettholder også forslaget i høringsnotatet om at særlige kategorier av personopplysninger etter personvernforordningen artikkel 9 og 10 kan inngå i avgjørelsen, ettersom Enhetsregisteret og Foretaksregisteret behandler opplysninger som kan omfattes av disse bestemmelsene. Automatiserte avgjørelser kan etter personvernforordningen ikke bygge på særlige kategorier av personopplysninger med mindre behandlingen er nødvendig av hensyn til «viktige allmenne interesser» etter artikkel 9 nr. 2 bokstav g, jf. artikkel 22 nr. 4, og det er innført egnede og særlige tiltak for å verne den registrertes grunnleggende rettigheter, friheter og berettigede interesser. Departementet legger til grunn at effektiv saksbehandling i Enhetsregisteret og Foretaksregisteret omfattes av «viktige allmenne interesser».

    Også forslaget om å lovfeste at behandlingen må sikre partens krav om forsvarlig saksbehandling og at den registrerte har rett til manuell overprøving av avgjørelsen foreslås opprettholdt. Dette vil gjelde i tillegg til alminnelige saksbehandlingsregler i forvaltningsloven, enhetsregisterloven og foretaksregisterloven. Ordlyden i forslaget er også her lik ordlyden i de omtalte bestemmelsene i særlovgivningen.

    Rett til manuell overprøving innebærer at det ved forespørsel, må gjøres en manuell kontroll av den automatiserte avgjørelsen. Den manuelle kontrollen må gjøres av et menneske. Hvordan kontrollen gjøres vil avhenge av hvilken type automatisert avgjørelse som er truffet. Enhetsregisteret eller Foretaksregisteret må gjøre greie for de forhold som den registrerte har bedt om svar på, og kan også vurdere andre sider av saken. Dersom overprøvingen viser at avgjørelsen er truffet på feil grunnlag, må de riktige opplysningene legges inn, og avgjørelsen treffes på nytt. Et krav om manuell overprøving betyr imidlertid ikke at selve systemet skal undersøkes, men hvis feil i systemet oppdages gjennom en manuell overprøving, må systemet rettes.

    Hvis retten til manuell overprøving gjelder et enkeltvedtak, vil avgjørelsen prøves manuelt i forbindelse med klagebehandlingen. De alminnelige klagereglene i forvaltningsloven og foretaksregisterloven vil i så fall gjelde, herunder frister. Frister for å kreve manuell overprøving for andre typer avgjørelser, vil bli regulert i forskrift.

    Når det gjelder forslaget i høringsnotatet om å lovfeste en plikt for registerføreren til å dokumentere og offentliggjøre det rettslige innholdet i automatiserte saksbehandlingssystemer i § 1-3 tredje ledd, kom det ulike innspill i høringen. Norsk Presseforbund, Norsk Journalistlag og Norsk Redaktørforening støtter forslaget i sitt felles høringsinnspill, og mener i tillegg at det bør lovfestes innsynsrett i algoritmene og kildekoden for å sikre allmennhetens mulighet til å kontrollere systemene. Skattedirektoratet peker på den annen side på at offentliggjøring av kriteriene for profilering kan gjøre det enklere for kriminelle å omgå reglene, og mener at omfanget og detaljnivået av slik offentliggjøring bør vurderes nøye.

    Departementet foreslo å lovhjemle at registerføreren skal dokumentere og offentliggjøre det rettslige innholdet i automatiserte saksbehandlingssystemer. I forvaltningslovutvalgets forslag til ny forvaltningslov foreslo utvalget at forvaltningsorganet skal dokumentere og offentliggjøre det rettslige innholdet i automatiserte saksbehandlingssystemer, med mindre «annet følger av lov eller særlige hensyn taler mot det». Her foreslo altså utvalget en sikkerhetsventil som ikke var lagt inn i departementets forslag til hjemmel i ny enhetsregisterlov og ny foretaksregisterlov. Etter departementets vurdering vil offentliggjøring bidra til forutsigbarhet og rettssikkerhet for de registrerte, og åpenhet, tillit og kontroll med rettsanvendelsen som ligger til grunn for forvaltningens avgjørelser. Departementet er på den annen side også enig med Skattedirektoratet i at en sikkerhetsventil som forvaltningslovutvalget foreslo, i særlige tilfeller kan være fornuftig. Departementet foreslår derfor å innta en tilsvarende sikkerhetsventil i enhetsregisterloven og foretaksregisterloven. Først og fremst vil muligheten til ikke å offentliggjøre det rettslige innholdet, være aktuelt i tilfeller der det kan utgjøre en sikkerhetsrisiko. Sikkerhetsrisiko i denne sammenheng er for eksempel en situasjon der offentliggjøring kan gi innsikt i potensielle angripere som kan utnyttes til å undergrave systemet. Det vil også være aktuelt å unnlate offentliggjøring hvis det kan medføre at sensitive opplysninger avsløres. Dette omtales nærmere i merknaden til bestemmelsen. En sikkerhetsventil forhindrer ikke at hovedregelen vil være offentliggjøring.

    Departementet opprettholder også forslaget i høringsnotatet om at departementet kan gi forskrift om sammenstilling, profilering og automatiserte avgjørelser. Dette inkluderer blant annet regler om formålet med behandlingen, hvilke personopplysninger som kan behandles og hvem det kan behandles personopplysninger om. Formålet med forskriftshjemmelen er å kunne ta høyde for en eventuell utvikling i personvernregelverket som kan påvirke registrenes adgang til sammenstilling av personopplysninger, profilering og automatiserte avgjørelser. Det kan for eksempel være nødvendig å regulere krav om jevnlig kontroll og revisjon av de reglene og algoritmene som er brukt for å begrense faren for feil. Det kan også være aktuelt å gi nærmere regler om bestemte typer automatiserte avgjørelser, herunder med nærmere angivelse av formål, hvilke typer ytelser mv.

    Se forslagene til ny enhetsregisterlov § 1-3 og ny foretaksregisterlov § 1-3.

    Neste kapittel
    Forrige kapittel
    Neste kapittel
    Forrige kapittel
    Til forsiden
    Til toppen