Utvalde hurtiglenker

    Proposisjoner til Stortinget

    Prop. 52 L (2024–2025)

    Lov om dokumentasjon og arkiv (arkivlova)

    Til innhaldsliste
    Neste kapittel
    Forrige kapittel

    9 Utførsle og lagring av arkiv utanfor Noreg

    9.1 Gjeldande rett

    9.1.1 Hovudregel om utførsle av arkiv

    Gjeldande arkivlov § 9 bokstav b forbyr i utgangspunktet at arkivmaterialet til offentlege organ blir ført ut av landet. Eitt unntak gjeld utførsle som «representerer ein naudsynt del av den forvaltningsmessige eller rettslege bruken av dokumenta». Riksarkivaren kan vidare gi særskilt samtykke til utførsle. Det er etablert ein praksis for at Riksarkivaren tillèt mellombels utførsle av ikkje-digitale arkiv for mediekonvertering i utlandet.

    Forbodet mot utførsle må sjåast i samanheng med gjeldande arkivlov §§ 1 og 6 om at formålet med lova er at arkiv og dokument skal «verta tekne vare på og gjorde tilgjengelege for ettertida» og vere «tryggja som informasjonskjelder for samtid og ettertid».

    Føresegna i arkivlova § 9 bokstav b vart gitt då arkiv i hovudsak handla om analoge medium, men gjeld i takt med utviklinga i informasjonsforvaltninga òg for digitale arkiv. At lagring av digitale arkiv på sørvarar i utlandet er omfatta av forbodet i arkivlova § 9 bokstav b, har reist spørsmål som framleis er uløyste. Riksarkivaren har ikkje innvilga søknader om utførsle av digitale arkiv. Dette skuldast at det er uklart kva for kriterium som skal liggje til grunn for vurderinga, og at det handlar om spørsmål av prinsipiell karakter som Arkivverket meiner bør regulerast i lov eller forskrift.

    Arkivlova § 9 bokstav b blir likevel ikkje sett på som å vere til hinder for lagring av kopiar av digitale arkiv i utlandet eller for bruk av utanlandske skytenester så lenge det same arkivmaterialet er lagra på ein sørvar i Noreg. I eit brev frå Arkivverket til dåverande Kulturdepartementet 16. september 2014 om tolkninga av føresegna, la Arkivverket til grunn at så lenge arkivet og tryggingskopien er i Noreg, kan andre kopiar vere i utlandet. Arkivverket uttala i brevet at:

    Slik vi ser det stiller derfor arkivloven krav om at arkivdatabasen skal være lagret og tilgjengelig på servere som er fysisk plassert i Norge. Dette opnar for at data omfatta av arkivlova kan overførast til utlandet for å nytte tenestene i skya, til dømes utrekningar, programvare, prosesseringskapasitet osv. Føresetnaden er at ein kopi blir lagra i Noreg.

    Dersom ein legg til grunn at ei verksemd har data som ikkje er rekna som arkivpliktig dokumentasjon, kan ein spørje om dokumentasjon som blir til i skya gjennom prosessering av desse dataa er førte ut av landet, eller om det meir er tale om å innføre arkivet til Noreg. Innførsle av arkiv er ikkje regulert i arkivlova. Arkivverket har akseptert at arkivpliktig materiale vert skapt i skya der det skjer ei overføring av dokumentet til norsk sørvar innan fastsette fristar.

    I høyringa av ny arkivforskrift i 2017 låg eit framlegg om større fridom til å lagre digitale arkiv i utlandet. Departementet gjekk ikkje vidare med dette den gongen og viste til at spørsmålet var del av mandatet til Arkivlovutvalet. Lovtolkinga til Arkivverket frå 2014 har lege fast sjølv om det har vore ei omfattande utvikling i teknologi og tenester.

    9.1.2 Sikkerhetsloven

    Lov 1. juni 2018 nr. 24 om nasjonal sikkerhet (sikkerhetsloven) er eit verktøy for å ivareta nasjonale tryggingsinteresser, mellom anna ved å stille krav til vern og skjerming av informasjon som kan skade desse interessene ved at han blir kjend for uvedkomande, går tapt, blir endra eller blir utilgjengeleg, jf. § 5-1. Krava i lova gjeld all lagring og handsaming, og er ikkje avgrensa til data som vart overførte til utlandet.

    Skjermingsverdig informasjon etter § 5-1 er både tryggleiksgradert informasjon og skjermingsverdig ugradert informasjon. Eit informasjonssystem er skjermingsverdig dersom det behandlar skjermingsverdig informasjon, jf. § 6-1. Utanfor definisjonen fell dermed annan sensitiv informasjon med eit vernebehov, men som ikkje blir verna av omsyn til nasjonale tryggingsinteresser, og som dermed blir verna etter andre regelverk, som til dømes beskyttelsesinstruksen.

    Skjermingsverdige informasjonssystem skal vernast etter kravet frå sikkerhetsloven. Systema skal ha eit forsvarleg tryggingsnivå slik at informasjonssystema fungerer som dei skal, uvedkomande ikkje kan få tilgang, at informasjonen i systema ikkje kan endrast eller gå tapt, og at informasjonen i systema er tilgjengeleg ved behov. Dette kan medføre avgrensingar i bruk av leverandørar og plassering av systema. Systema skal også overvakast, slik at ein kan førebyggje, avdekkje og motverke hendingar mot systema som kan skade nasjonale tryggingsinteresser.

    Alle offentlege organ har eit ansvar etter sikkerhetsloven for å gjere vurderingar opp mot nasjonal tryggleik og behovet for nasjonal kontroll, når dei vurderer korleis informasjonen deira blir handsama, lagra og transportert.

    9.1.3 Lov om digital sikkerhet

    Lov 20. desember 2023 nr. 108 om digital sikkerhet (digitalsikkerhetsloven) skal medverke til å sikre grunnleggjande krav til digital tryggleik i verksemder som har særleg mykje å seie for samfunnet ved å førebyggje, avdekkje og motverke uønskte hendingar i nettverks- og informasjonssystem. Verksemder som er underlagde lova må gjere risikovurderingar og på bakgrunn av desse setje i verk formålstenlege og proporsjonale tekniske og organisatoriske tryggingstiltak som samla skal syte for eit tryggingsnivå som er tilpassa risikoen. Lova vil gjennomføre i norsk rett direktiv (EU) 2016/1148 om tiltak for å sikre et høyt felles nivå for sikkerhet i nettverks- og informasjonssystemer i hele Unionen (NIS1-direktivet) og stiller garantikrav òg til tilbydarar av skytenester. Lova er ikkje tredd i kraft per februar 2025.

    Justis- og beredskapsdepartementet har eit pågåande arbeid med implementering av direktiv (EU) 2022/2555 om tiltak for å sikre et høyt felles nivå for sikkerhet i nettverks- og informasjonssystemer i hele Unionen (NIS2-direktivet, som skal erstatte NIS1-direktivet). Direktivet vil få noko å seie for lov om digital sikkerhet og direktiv (EU) 2022/2557 om kritiske enheters motstandsdyktighet (CER-direktivet) som vil setje ytterlegare garantikrav til verksemdene.

    9.1.4 Forordning om fri flyt av andre opplysningar enn personopplysningar i EU (FFD-forordninga)

    EU-parlamentet og Rådet vedtok 14. november 2018 forordning (EU) 2018/1807 om fri flyt av andre opplysningar enn personopplysningar i EU (FFD-forordninga). Forordninga vart teken inn i EØS-avtala 22. september 2023, men avgjerda i EØS-komitéen er ikkje sett i verk per februar 2025. Forordninga er så langt ikkje teken inn i norsk regelverk.

    Etter forordninga skal oppbevaring og lagring av data ikkje kunne avgrensast til eitt medlemsland, og dermed kan lagring eller handsaming av data i eit anna medlemsland ikkje vere forbode eller avgrensa av nasjonale reglar.

    Forordninga gjeld alle typar elektronisk handsaming og lagring av data i vid meining. Den gjeld berre for andre opplysningar enn personopplysningar og grip derfor ikkje inn i personvernforordninga (GDPR) eller kommunikasjonsverndirektivet (e-Privacy directive) som er gjennomført i norsk lov.

    FFD-forordninga inneheld føresegner som skal sikre at norske styresmakter får tilgang til den informasjonen dei treng, også når informasjonen er lagra i eit anna EØS-land. Saman skal FFD-forordninga og personvernforordninga skape eit heilskapleg og samanhengande rettsleg rammeverk som skal sikre fri flyt av alle opplysningar i heile EU/EØS-området. Unntak frå prinsippet om fri flyt av data må grunngivast av omsyn til offentleg tryggleik.

    9.1.5 Overføring av personopplysningar til statar utanfor EØS-området

    Eitt av formåla med personvernforordninga er å sikre fri utveksling av personopplysningar i EU, sjå artikkel 1 nr. 3. Saman med FFD-forordninga er både personopplysningar og ikkje-personopplysningar sikra fri flyt innanfor EU.

    Kapittel V i forordninga inneheld reglar om overføring av personopplysningar til tredjeland og internasjonale organisasjonar. Etter artikkel 44 kan overføring av personopplysningar til tredjeland eller internasjonale organisasjonar berre finne stad dersom vilkåra i kapittel V er oppfylt. Artikkel 44 presiserer vidare at resten av dei alminnelege vilkåra for å handsame personopplysningar må vere til stades. Reglane om overføring kjem med andre ord i tillegg til dei alminnelege krava som forordninga stiller til all handsaming av personopplysningar.

    Ei verksemd må altså kunne peike på om det finst eit overføringsgrunnlag i kapittel V før personopplysningane blir overførte til eit tredjeland eller til ein internasjonal organisasjon. Viss det ikkje finst, er overføringa ulovleg. Verksemda er sjølv ansvarleg for å finne ut kva overføringsgrunnlag i personvernforordninga artikkel 46 som er best eigna for overføringa deira. Internt i EØS kan personopplysningar bli brukte, sende og delte på tvers av landegrensene viss ein har eit handsamingsgrunnlag, sjå nærare omtale av dette i punkt 3.

    9.1.6 Regelverket i andre land

    I Danmark kan offentlege verksemder nytte skytenester innanfor EU så lenge ein tek omsyn til personvernforordninga og nasjonalt regelverk. Dette er ikkje uttrykkjeleg regulert i arkivlovgivinga. Krav om at datasystem som politiet sine register og folkeregisteret skal vere lagra i Danmark, er regulert i sektorregelverk.

    I Finland kan offentlege verksemder nytte skytenester innanfor EU så lenge ein tek omsyn til personvernforordninga og informasjonstryggleiken.

    I Sverige seier arkivlovgivinga ingenting om skytenester. Dette blir rekna som eit spørsmål verksemda sjølv må ta stilling til. Ei god avtale og risikoanalyse er eit vilkår. Den generelle forvaltninga av arkiv er òg regulert av lover som personvernforordninga, «offentlighets- och sekretesslagen» og «säkerhetsskyddslagen». Prinsipielt kan digitale arkiv bli lagra utanfor EU.

    9.1.7 Kulturminneloven

    Lov 9 juni 1978 nr. 50 om kulturminner (kulturminneloven) § 23 forbyr utførsle av «kunst eller kulturmateriale som har stor betydning for bevaring, forsking eller formidling av kulturarv, kunst og historie i Norge» utan løyve frå rett styresmakt. Arkivmateriale som er frå før år 1900 er å rekne som kulturgjenstander og derfor omfatta av dette forbodet, jf. forskrift 1. januar 2007 nr. 1 om utførsel og innførsel av kulturgjenstander § 2. Etter forskrifta § 6 bokstav j) er Riksarkivaren vedtaksinstitusjon for saker om arkivmateriale. Etter forskrifta § 5 kan Riksarkivaren gi samtykke til utførsle av offentlege arkiv dersom utførsla er naudsynt for den forvaltningsmessige og rettslege bruken av arkiva, jf arkivlova § 9 bokstav b.

    9.2 Framlegget frå Arkivlovutvalet og høyringa av det

    Arkivlovutvalet tilrådde å vidareføre gjeldande rett om ikkje-digitale arkiv og tillate lagring av digitale arkiv i utlandet på visse vilkår. Det vart vist til vilkåra for overføring av personopplysningar til tredjestatar eller internasjonale organisasjonar i personvernforordninga artikkel 44 og 45. Digitale arkiv skulle kunne lagrast i EU og i land EU har vurdert å ha tilstrekkeleg beskyttelsesnivå etter personvernforordninga artikkel 45 nr. 1. Det vart i utkastet til føresegn stilt krav om å gjere risikovurderingar og krav om at det måtte føreliggje ei avtale om databehandling mellom kunden og skytenesta. Arkivlovutvalet foreslo også at norske styresmakter skulle kunne føre tilsyn med arkivet i det landet arkivet vart lagra i. Forslaget innebar at ein kopi skulle vere i Noreg når digitale arkiv blir langtidsbevart i utlandet.

    Utvalet la til grunn at reglane i sikkerhetsloven gir tilstrekkeleg tryggleik for at nasjonale tryggingsbehov blir tekne vare på, slik at det ikkje er behov for ytterlegare regulering i arkivlova. Dersom eit arkiv inneheld gradert materiale, eller materiale som av andre grunnar blir omfatta av sikkerhetsloven, skal reglane i sikkerhetsloven følgjast. Dette gjeld sjølv om berre delar av materialet er graderte.

    Det var få innvendingar til å vidareføre forbodet mot utførsle av ikkje-digitale arkiv. Det var òg få av høyringssvara som var mot å opne opp for lagring av digitale arkiv i utlandet. Enkelte instansar peika på uavklarte spørsmål om jurisdiksjon og råderetten over dokumenta. Dei peika i tillegg på at ulike truslar potensielt kunne bli større av at digitale arkiv frå offentleg sektor blir flytta ut av landet. Nokre meinte også at det ville vere lettare å beskytte mot truslar innanfor eigne landegrenser. Fleire framheva behovet for rettleiing og auka kompetanse om bruk av skytenester.

    Fleire arkivinstitusjonar trekte fram at ein kopi av arkiv som skal langtidslagrast, bør vere i Noreg for å sikre tilgangen framtidige generasjonar har til arkiva. Finansdepartementet meinte derimot at framlegget om at ein kopi skal vere i Noreg ved langtidsbevaring i utlandet, kan svekkje intensjonen i framlegget. Nasjonalt tryggingsorgan (NSM) hadde ikkje merknader til framlegget. Justis- og beredskapsdepartementet meinte kravet om risikovurdering ikkje bør knytast særskilt til lagring i utlandet, men gjerast etter ei vurdering av risikoen sett opp mot krava til dokumentasjonsforvaltninga generelt. Norsk Arkivråd meinte at referansen til plikter som blir regulerte av personvernforordninga var for snever, sidan verksemdskritisk dokumentasjon ikkje treng å innehalde personopplysningar.

    9.3 Høyringsnotatet frå departementet

    9.3.1 Hovudtrekk

    Departementet tilrådde i høyringsnotatet å vidareføre utførsleforbodet i gjeldande arkivlov, men i tillegg skrive inn ein heimel til å gi forskrift om lagring av digitale arkiv innanfor EØS-området. Framlegget i høyringsnotatet opna altså for lagring av digitale arkiv utanfor Noreg, men ikkje utanfor EØS-området.

    Grunngivinga for å vidareføre forbodet var at offentlege arkiv ikkje skulle setjast i fare for å gå tapt eller bli gjorde utilgjengelege på andre måtar. Skulle norske styresmakter kome til å tape råderetten over arkiva, og skulle råderetten i staden kome på andre statar eller utanlandske aktørar sine hender, vil det potensielt kunne utgjere ein trussel mot nasjonal tryggleik og offentlege tenester.

    9.3.2 Ikkje-digitale arkiv

    Departementet rådde til at det framleis skulle gjelde unntak for utførsle i samband med forvaltningsmessig eller rettsleg bruk. Dette unntaket gjeld til dømes når ein har med seg fysiske arkivdokument i samband med eit møte eller ei rettsforhandling i utlandet.

    Det vart gjort framlegg om eit unntak for mellombels utførsle i samband med mediekonvertering, konservering og trygging av ikkje-digitalt arkivmateriale der det er arkivfagleg forsvarleg. I dag er det etablert ein praksis der Riksarkivaren godkjenner slik utførsle etter søknad.

    Ut frå dei mange bruksområda arkiv har, kan det truleg òg oppstå andre tilfelle der utførsle vil vere ønskjeleg og forsvarleg, for eksempel i samband med utstillingar. Det vart tilrådd at Nasjonalarkivet kunne gi samtykke til slik utførsle av arkiv.

    9.3.3 Digitale arkiv

    Departementet meinte i motsetnad til Arkivlovutvalet at det ikkje var tenleg å regulere i lova vilkåra for å lagre digitale arkiv i utlandet. Departementet gjekk i staden inn for ein heimel i lova til å gi forskrift «om lagring av digitale arkiv innanfor EØS-området». Dette innebar ei avgrensing ved at forskrifta ikkje kunne tillate lagring utanfor EØS-området.

    Departementet påpeika at det er ein føresetnad ved all utførsle av arkiv at utførsla skal vere arkivfagleg forsvarleg med omsyn til at arkiva skal vere tryggja som informasjonskjelder for samtid og ettertid. Utførsle kunne heller ikkje stride mot sikkerhetsloven eller anna regelverk. Heimelen opna for at styresmaktene kunne velje å ikkje vidareføre kravet om at digitale arkiv òg skal vere lagra i Noreg.

    9.4 Synspunkt frå høyringsinstansane

    Høyringsinstansane var i hovudtrekk positive til framlegget om ei lovføresegn om utførsle av arkiv som løyste einskilde spørsmål om ikkje-digitale arkiv og gav heimel for ei forskrift som skulle trekkje dei nærare grensene for utførsle av digitale arkiv. Ei rekkje offentlege organ støtta hovudtrekka i framlegget: Politidirektoratet, Skate (Styring og koordinering av tjenester i e-forvaltning), Skattedirektoratet, Statens Vegvesen, Statens Pensjonskasse, Statsbygg, Vestfold og Telemark fylkeskommune, Arbeids- og velferdsdirektoratet, Direktoratet for forvaltning og økonomistyring, Kommunal- og distriktsdepartementet, Stavanger kommune, Arkivverket og Lotteri- og stiftelsestilsynet. Den private verksemda Amazon Web Services (AWS) og KS – kommunesektorens organisasjon støtta òg framlegget.

    Kommunal- og distriktsdepartementet uttala:

    Kommunal- og distriktsdepartementet er opptatt av at offentlige virksomheter skal kunne drifte og forvalte sine IKT-løsninger på en hensiktsmessig og kostnadseffektiv måte. Skytjenester kan ofte tilby både sikrere og mer fleksible løsninger enn det virksomhetene selv klarer å etablere. Derfor er det viktig at ny arkivlov ikke hindrer virksomhetene i å velge de beste løsningene for drift og forvaltning av sin IKT. Departementet ser derfor positivt på at Kulturdepartementet i sitt forslag til ny arkivlov viderefører Arkivlovutvalgets forslag om å åpne opp for å lagre digitale arkiv utenfor Norge, som et unntak fra utførselsforbudet. Vi støtter tilnærmingen der mer detaljert regulering av unntaket legges i forskrift.

    Arkivverket uttala:

    Arkivverket antar fortsatt, at det vil være et behov for utførsel av offentlige arkiv, særlig ved bruk av sky-tjenester. Det vesentlige fra et arkivfaglig perspektiv er at utførsel må være arkivfaglig forsvarlig. Det innebærer også at arkivet ikke står i fare for å gå tapt, som synes å være departementets begrunnelse for at utgangspunktet er utførselsforbud. Det er imidlertid viktig å skape fleksible løsninger som muliggjør enklere dokumentasjonsprosesser i offentlig forvaltning. Det kan være fornuftig å innta mer detaljert regulering i forskrift og Arkivverket har ingen innvendinger mot slik regulering.

    Skate (Styring og koordinering av tenester i e-forvaltninga) uttala at «[g]itt at et generelt forbud som utgangspunkt opprettholdes, mener Skate det er positivt at det åpnes for bruk av tjenester innenfor EØS-området lovlig gjennom forskriftsregulering på et senere tidspunkt.» Dei peika på at høyringsnotatet ikkje problematiserer «verken sikkerhetsaspekter eller merkostnader ved at det må velges løsninger kun lokalisert i Norge». Denne høyringsinstansen føresette at utførsla må vere arkivfagleg tilrådeleg og vere basert på gode risikovurderingar, og skriv vidare:

    Et eventuelt generelt forbud mot å føre arkiv ut av landet kan begrense tilgang til den nyeste teknologien, og slik sett hindre utvikling. Utenlandske tjenesteleverandører, som for eksempel leverandører av skytjenester, kan ha løsninger som bidrar med sikkerhetsgevinster, som rask distribusjon av sikkerhetsoppdateringer, samt mulighet til å distribuere last på flere lokasjoner.

    Statens pensjonskasse var oppteken av at det raskt kjem forskrifter slik at reguleringa «tar høyde for fremveksten av digitale plattformer, stadig økende informasjonsmengde og den teknologiske utviklingen (skytjenester)». Skattedirektoratet, Statens vegvesen og Statsbygg uttala seg i same lei.

    Kritiske merknader til framlegget kom frå fleire hald. Ei innvending kom frå OsloMet (v/det arkivvitskaplege fagmiljøet) som primært gjekk inn for å oppheve forbodet mot å føre arkiv ut av landet, og som meinte at eventuelle avgrensingar i høvet til å lagre digitale arkiv i utlandet burde følgje av anna regelverk. Dei uttala:

    Eit generelt forbod mot utførsel tener i seg sjølv ikkje noko formål knytt til å sikre autentisitet, integritet eller tilgjenge. Det finst mange vektige grunnar til at forvaltningsorgan treng å handtere arkiv utanfor landet, i heilt andre former og i større omfang enn det som er knytt til forvaltningsmessig eller rettsleg bruk. […] Det finst ulike andre lover som kan sette grenser for utførsel når det trengs, og som gjer dette på betre måtar enn arkivlova. Anten grunnen til å sette slike grenser er nasjonal tryggleik, personvern, eller nasjonal kontroll med kulturminne, legg lovene på disse områda betre og meir fleksibelt til rette for å vurdere tilhøva mellom nytte og risiko. Den forma forbodet mot utførsel i arkivlova har, fører til ein høgre terskel enn den som følger av andre lover, utan at ein slik høg terskel eigentleg er eit nødvendig verkemiddel for å sikre arkiv.

    Norsk Arkivråd viste til at utførsle av arkiv har «stor betydning for effektiv oppgaveløsing i forvaltningen da den settes i sammenheng med bruk av skyløsninger» og meinte at «forslaget som foreligger ikke ivaretar forvaltningens behov». Dei skreiv vidare: «En bestemmelse med så stor betydning for hvordan forvaltningen kan ta i bruk viktige og toneangivende IT systemer må også fremme effektiv oppgaveløsning, utvikling og innovasjon». Denne høyringsinstansen var vidare oppteken av at tilhøva kan endre seg og at reguleringa bør skje på ein måte som kan reflektere slike endringar.

    IKT-Norge meinte at framlegget i høyringsnotatet inneber «at man står på stedet hvil i dette spørsmålet. Framlegget frå Arkivlovutvalet burde i kombinasjon med øvrige lovverk gi en tilstrekkelig sikkerhet til at det i utgangspunktet åpnes for lagring utenfor Norge, og hvor eventuelle begrensninger fastsettes direkte i loven.» Denne høyringsinstansen ønskte ei regulering av utførsle i lova og var ikkje nøgd med ein heimel for forskrift som kunne tillate å føre digitale arkiv ut av landet. IKT-Norge ønskte «en klar hjemmel for bruk av slike tjenester, og man bør unngå unødvendige hindringer mot bruk av slike tjenester».

    Fagforbundet meinte «[…] at offentlige tjenester bør foregå i egenregi, og […] at et offentlig driftet og nasjonalt eid skytjeneste er gunstig og bør vurderes.»

    Politidirektoratet uttala at eit ønskje om nasjonalt rådvelde over arkiva kan kombinerast med fordelane ved skytenester dersom det blir stilt krav om ein kopi av digitalt arkiv i Noreg. Denne høyringsinstansen meinte:

    […] at formålet med forslaget til ny § 7 vil være å sikre nasjonal rådighet over arkivmaterialet, og at dette fullt ut kunne sikres for digitale arkiver dersom det stilles krav til at en kopi skal oppbevares i Norge. […]
    Vi mener det er viktig at det inntas bestemmelser i forskrift som gjør unntak fra utføringsforbudet i § 7 slik at arkivskapere i Norge får anledning til å benytte seg av fordeler forbundet med bruk av skytjenester og annen fremtidig teknologi.

    Nasjonalt tryggingsorgan (NSM) uttala:

    I lovforslagets § 7 gis det bestemmelser om utføring av arkiv ut av landet. Det foreslås også en forskriftshjemmel for lagring av digitale arkiv innenfor EØS-området. For arkiver som inneholder sikkerhetsgradert informasjon, eller hvis et arkiv anses som skjermingsverdig informasjonssystem, infrastruktur eller objekt, vil det ved utførsel til utlandet også måtte gjøres vurderinger opp mot krav i sikkerhetsloven. NSM slutter seg derfor til departementets uttalelser i høringsnotatets kapittel 9 om at det vil være en forutsetning for utførsel av arkiv at dette ikke er i strid med sikkerhetsloven eller annet regelverk. Det bør etter vår oppfatning vurderes om dette forbeholdet bør tydeliggjøres direkte i lovteksten.

    IKA Møre og Romsdal var bekymra for tryggleiken til arkivet ved utførsle av arkiv til andre EØS-land og ønskjer detaljert regulering i forskrifta.

    Skattedirektoratet og Amazon Web Services (AWS) uttala seg i same retning. Skattedirektoratet la til at det er ei tydeleg retning i dag at fagsystem i framtida vil basere seg på skytenester. Arbeids- og velferdsdirektoratet (NAV) såg den same trenden, og peika på at dette stiller krav om at verksemdene gjer vurderingar:

    Utviklingen går i retning av at stadig større del av datalagringen vil skje i skyen og at morgendagens IT-løsninger vil være skybaserte. Å gå ut i skyen krever egne vurderinger og særlig risikovurderinger, enten denne skyen befinner seg i datahaller i Norge eller EØS-området. (…) Det bør være arkivfaglige vurderinger, herunder grundige sikkerhets- og risikovurderinger, som ligger bak en eventuell utførsel, ikke ønsket om å spare penger eller oppnå effektiv drift på bekostning av arkivfaglige krav.[…]
    Forskriften bør kreve at arkiveier ikke bare skal gjøre en risikovurdering når en skytjeneste tas i bruk, men at det også skal gjøres en løpende vurdering av risiko etter at eventuelle skytjenester er tatt i bruk, slik at man til enhver tid har tilstrekkelig beredskap og ressurser til å følge opp med tiltak for å sikre arkivet og arkivdata ved et endret trusselbilde eller endrede forutsetninger.

    IKT-Norge meinte at framlegget til Arkivlovutvalet peika ut dei naudsynte vurderingane verksemdene må gjere før dei tek i bruk skytenester:

    IKT-Norge mener at en klar og tydelig adgang til bruk av skytjenester er helt nødvendig for å sikre effektiv digitalisering av forvaltningen. Vi anerkjenner samtidig at arkivmateriale må sikres, være underlagt nasjonal råderett og vernes mot kriminalitet og annen ytre påvirkning. Vi kan imidlertid ikke se at fordelene med en så restriktiv tilnærming som departementet foreslår, er hensiktsmessig veid opp i mot det hinderet mot digitalisering som restriksjonene innebærer. På dette punktet mener IKT-Norge at Arkivlovutvalgets forslag i langt større grad er forenlig med behovet for digitalisering, selv om også dette forslaget stiller strenge krav til utførsel av digital dokumentasjon.

    Statsbygg peika på at skytenester ikkje alltid inneber utførsle fordi «flere store sky-leverandører har etablert datasentre i Norge, i tillegg til at det finnes helnorske alternativer». Dei meinte vidare at departementet burde vurdere om nasjonal råderett over arkiva kan sikrast ved «å sette krav til at arkiv skal lagres på norsk jord fremfor å sette forbud mot utførsel tror vi det kan bli enklere å tolke loven i relasjon til skyløsninger».

    Den same høyringsinstansen peika samstundes på at eit krav om lagring på norsk jord ville ha økonomiske og administrative konsekvenser for etablerte fagsystem som «er anskaffet med langvarige kontrakter, og det vil bli svært dyrt og krevende å eventuelt gå ut av kontraktene og gå på nye anskaffelser med krav om lagring på norsk jord».

    Fagforbundet var skeptiske til lagring av arkiv i skytenester i utlandet:

    Skytjenester i utlandet reiser en rekke problemstillinger. Informasjon kan lagres på ulike steder og på denne måten flyter informasjonen fritt mellom ulike land. Dermed er arkiv som befinner seg i utlandet ikke underlagt norsk jurisdiksjon. Fagforbundet mener dette ikke er tjenlig fordi sikkerhetsrisikoen vil øke når informasjonen ikke lagres i Norge, og dette vil kunne medføre store konsekvenser.

    Nokre høyringsinstansar uttala seg om framlegget om at forskriften berre kunne tillate lagring av digitale arkiv innanfor EØS.

    Amazon Web Services (AWS) uttala:

    Vi har flere datasentre i EU/EØS, deriblant i Sverige, Tyskland og Irland slik at kunder kan velge å lagre innehold i EU/EØS med visshet om at deres data vil forbli i den AWS-regionen de har valgt.

    Arbeids- og velferdsdirektoratet (NAV) uttala:

    Vi mener at det er riktig å begrense adgangen til å eksportere digitale arkiv til EØS-området, slik utkastet foreslår. Gjennom EØS-samarbeidet har Norge bundet seg til samme regelverk når det gjelder håndtering av personopplysninger og datasikkerhet som EØS-landene. Gjennom å følge EØS-landene her kan Norge stå sterkere i forhold til de store leverandørene, som gjerne kan komme fra land med andre lover og verdier når det gjelder f.eks. vern av personopplysninger og menneskers rett til privatliv, også overfor sitt lands myndigheter.

    Kommunal- og distriktsdepartementet meinte at det var uheldig at lovteksten avgrensa forskrifta til å omfatte skytenester innanfor EØS-området:

    Vi er i utgangspunktet enig i at EØS-området er en fornuftig avgrensing. Men vi mener likevel at det kan være hensiktsmessig at spørsmålet om hvor digitale arkiv kan lagres reguleres i forskriften, snarere enn i loven. Brexit har for eksempel gjort at Storbritannia ikke lenger er en del av EØS – men det kan likevel være at en nærmere vurdering viser at det er hensiktsmessig å åpne opp for lagring av arkiv i Storbritannia. Det samme kan gjelde andre tredjeland som er godkjent for lagring og behandling av europeiske personopplysninger.

    KS – Kommunesektorens organisasjon opna for utførsle til land utanfor EØS og Norsk Arkivråd meinte at føresegna burde vise til den ein kvar tid gjeldande nasjonale strategien for digital lagring.

    Stavanger kommune meinte at langtidsbevaring berre burde kunne skje i eige land. Interkommunalt arkiv i Hordaland IKS og Aust-Agder museum og arkiv IKS uttala seg i same leia.

    Statsbygg viste til at «[i] tråd med digitaliseringsrundskrivet har Statsbygg, som mange andre offentlige virksomheter, de senere årene valgt skyløsninger der det gir den mest hensiktsmessige og kostnadseffektive løsningen.» Statsbygg peika på at dersom utførsleforbodet òg gjeld dokumentasjon i administrativ bruk, vil praksisen deira bli ulovleg.

    Skattedirektoratet viste til at «[d]et er en tydelig retning i dag at fagsystemer i fremtiden vil være basert på skytjenester». Slik denne høyringsinstansen såg det, kan det vere ein fordel om arkivmaterialet kan bli verande i systemet i skya der det vart skapt:

    Flere hensyn taler for at arkivmateriale ideelt bør tas vare på som del av selve fagsystemet, og ikke i en ekstern eksport. En slik ekstern eksport vil nødvendigvis ha dårligere kvalitet og være begrenset i forhold til originalen. Det er både enklere og billigere dersom arkivet kjører på samme plattform som fagsystemet.

    Stavanger kommune las forskriftsheimelen i høyringsnotatet slik at han tillet mellombels lagring i utlandet. Dei føresette derfor at den konkrete reguleringa med utgangspunkt i heimelen ikkje sette unødvendige tidsavgrensingar.

    Universitetet i Bergen meinte at forbodet har vore ein «sovende paragraf» og at ei vidareføring vil skape behov for «at offentlige organ får den veiledningen de trenger for å innrette seg etter den.» Skate (Styring og koordinering av tenester i e-forvaltninga) peika òg på at verksemdene vil trenge rettleiing:

    Uavhengig av om man åpner for skylagring i EØS-området i lovtekst eller senere gjennom forskrift, ser vi at det krever veiledning for å kunne gjennomføre dette på en tilfredsstillende måte. Denne veiledningsmyndigheten burde naturlig ligge til organer med kompetanse på de forskjellige områdene, som Digitaliseringsdirektoratet, DFØ og Nasjonalarkivet.

    Skattedirektoratet uttala seg i same leia:

    Skattedirektoratet er opptatt av at en eventuell utførsel av arkiv må baseres på gode arkivfaglige og sikkerhetsmessige vurderinger hvor relevante risikoelementer hensyntas. Således er det viktig at reguleringen rundt dette gir tydelige føringer omkring rammene, og at det gis god veiledning fra de relevante myndighetene på området.

    Molde kommune viste til at framlegget «vil gjøre det lettere for arkiveiere å utlevere arkiv til mediekonvertering til utlandet og det vil kunne ha en negativ innvirkning på IKA-ene sin stilling på digitaliseringsmarkedet». Rauma kommune uttala seg i same leia.

    9.5 Vurderingar og framlegg frå departementet

    9.5.1 Vidareføre gjeldande rett om ikkje-digitale arkiv

    Departementet meiner det er gode grunnar til å vidareføre gjeldande rett når det gjeld utførsle av ikkje-digitale arkiv. Departementet gjer i § 11 første ledd framlegg om ei eiga føresegn med forbod mot utførsle av dokumentasjon i arkiv som er lagra på fysiske medium med dei unntaka som blir praktiserte i dag. Det er viktig å unngå arkivtap, og departementet meiner at etablert praksis gir ei tenleg avveging mellom omsynet til effektiv dokumentasjonsforvaltning og sikring.

    At ikkje-digitale arkiv er skilde ut, er ei endring etter høyringa. I daglegtale er skiljet mellom digitale og ikkje-digitale arkiv klart nok, men departementet tilrår av omsyn til presisjon at lova refererer til arkiv på fysisk lagringsmedium.

    9.5.2 Utførsle av dokumentasjon i digitale arkiv

    9.5.2.1 Bakgrunn

    Den gjeldande arkivlova har vorte tolka slik at norske, offentlege verksemder kan ta i bruk skytenester der sørvaren står i utlandet, berre dersom det finst ein kopi av arkivet i Noreg. Skytenester har så mange fordelar at Kommunal- og distriktsdepartementet i digitaliseringsrundskrivet for 2022 oppmoda departement og statlege verksemder til å velje skytenester. Skate (Styring og koordinering av tenester i e-forvaltninga) skreiv til Justis- og beredskapsdepartementet 22. juni 2023:

    Bruk av skytjenester er en klar trend internasjonalt og nasjonalt, på tvers av sektorer. I Norge har flere offentlige virksomheter tatt i bruk skytjenester. Å gjøre lagring, programmer og tjenester tilgjengelig fra store felles datasentre over nettverk, fremfor å være avhengig av at det leveres fra lokale servere og maskiner, gir økt innovasjon og fleksibilitet, og innebærer ofte også økt sikkerhet og kostnadsreduksjon.

    Ved skytenester og andre IKT-tenester leverte via internett, har kunden til vanleg ikkje detaljert oversyn over kvar deira data blir behandla og lagra. Ofte skjer dette på sørvarar i utlandet. I standardavtaler mellom leverandøren av skytenesta og kunden vil leverandøren, om ikkje anna er tydeleg spesifisert, normalt kunne lagre informasjonen på fleire ulike stader. Dette blir mellom anna gjort av omsyn til informasjonstryggleiken. Dermed kan informasjonen bli flytt mellom ulike land og verdsdelar. Kunden kan ha høve til å velje kva geografiske område lagringa og handsaminga skal avgrensast til, til dømes innan EØS-området.

    Spørsmålet om å opne for å føre digitale arkiv ut av landet handlar mellom anna om informasjonstryggleik. Ein må vurdere om det er fare for at arkivet går tapt, eller at arkiveigaren mister tilgjenge. Ein må òg vurdere om det er fare for at andre statar eller private verksemder får tilgang til data dei ikkje skulle ha. Problemstillinga er ikkje eindimensjonal. Informasjonstryggleiken kan vere like dårleg på ein sørvar som står i Noreg som i ei kommersiell skyteneste som ikkje opplyser kvar sørvarane står. Spørsmålet dreiar seg om tilgjenge, informasjonstryggleik, teknologi og avtaler. Det er ikkje grunn til å tru at data lagra i lokala til eigaren og køyrt med programvare som ligg lokalt, naudsynleg er tryggare enn i sky, all den tid ein elles er tilkopla internett. All tilkopling til internett gjer ein meir sårbar.

    Arkiv som er i utlandet, er ikkje underlagde norsk jurisdiksjon. I utgangspunktet er materialet underlagt den nasjonale lovgivinga i landet der det er. Ved skylagring kan lovverket i fleire land vere gjeldande, til dømes om ivaretaking av konfidensialitet. Ei sentral problemstilling er derfor kva lovgiving om handtering og lagring av informasjon som finst i dei ulike landa, og kor langt norsk rett gjeld. Arkiveigaren vil måtte følgje arkivlova uansett kvar arkivet er lagra. Kravet om å ha tilgang til arkivet sitt vil gjelde uansett.

    Dokumentasjonsforvaltninga i offentleg sektor har utvikla seg på ein måte som ikkje fullt ut tek omsyn til føresegna i den gjeldande arkivlova om utførsle av arkiv. Ordlyden i arkivlova frå 1992 tok ikkje høgd for den teknologiske utviklinga som følgde. Arkivlova gjeld i dag alle system som inneheld arkivverdig materiale. Ein kommune kan ha fleire hundre ulike fagsystem, og mange kan vere tufta på prosessering, programvare og lagring i skya.

    I tråd med Hurdalsplattforma har Nasjonalt tryggingsorgan (NSM) gjennomført ei konseptvalutgreiing for etablering av ei nasjonal skyteneste for ugradert skjermingsverdig og annan verneverdig informasjon (samleomgrep «verneverdige data og system»). Nasjonalt tryggingsorgan tilrår eit konsept med ei lukka statleg sky for verneverdige data og system som blir sikra med høg grad av nasjonal kontroll, kombinert med ei lukka kommersiell sky med middels grad av nasjonal kontroll. Alle konsepta som har vore vurderte, legg til grunn at regelverk blir gjorde meir tydeleg og at eit nasjonalt sett med krav blir etablert. Den samfunnsøkonomiske analysen viser at kostnader med auka nasjonal kontroll er store. Samtidig er det vanskeleg å fastslå verdien av nasjonal kontroll. Det er i etterkant av konseptvalutgreiinga gjennomført ei ekstern kvalitetssikring. Denne stilte spørsmål ved nokre av Nasjonalt tryggingsorgan sine vurderingar. Justis- og beredskapsdepartementet ga hausten 2023 i oppdrag til Nasjonalt tryggingsorgan å gå vidare med å vurdere eit konsept basert på ei lukka kommersiell skyteneste, basert på ei avtale med ein eller nokre få kommersielle aktørar som skal eige, levere, vidareutvikle og drifte tenesta.

    Arkivutførsle gir utfordringar med tryggleik. Særleg er det utfordringar knytt til informasjon som kan bli naudsynt å ha tilgjengeleg for å halde oppe kritiske samfunnsfunksjonar, men som ikkje er underlagt andre føresegner, slik som til dømes tryggleiksgradert informasjon er.

    Det har vore ei generell uro for at samfunnskritiske IKT-tenester blir tenesteutsett utan at gode nok risikovurderingar og tryggingstiltak blir vurdert. Samstundes kan tenesteutsetjing av IKT-tenester til profesjonelle aktørar gi betre tryggleik og meir stabile og tilgjengelege tenester. Nasjonalt tryggingsorgan har utarbeidd tryggleiksfaglege tilrådingar for utsetjing av IKT-tenester.

    9.5.2.2 Heimel for å regulere i forskrift

    Det samansette regelverket på feltet talar for at arkivlova bør gi heimel for ei forskrift som kan setje vilkår for å lagre digitale arkiv utanfor Noreg. Rettspedagogiske omsyn talar for at norske styresmakter bør gi ei meir detaljert regulering av lagringsstad for digitale arkiv. Det blir då lettare for offentlege organ å innrette seg på rett side av lova utan å gjennomføre omfattande vurderingar. I motsett retning peiker omsynet til fleksibilitet til å tilpasse lagringsstaden til behova for verksemda.

    Departementet vurderer at eit forbod mot utførsle av digitale arkiv ikkje bør setjast i lova. Departementet viser til at ei rekkje spørsmål er i endring, mellom anna implementeringa av sikkerhetsloven og lov om digital sikkerhet, FFD-forordninga og nasjonal sikker sky. Det kan derfor vere tenleg med ein heimel til å gi ei forskrift med ei særskilt regulering av spørsmålet om lagring av digitale arkiv utanfor Noreg. Forskrifta kan opphevast den dagen det ikkje lenger er behov for henne.

    Forskriftsheimelen kan nyttast til å stille krav som gjeld alle digitale arkiv omfatta av arkivlova. Til dømes kan forskrifta nyttast til å gjere det heilt forbode å lagre digitale arkiv i utlandet eller forbode å lagre dei utanfor EØS-området. Slike avgrensingar må ikkje stride med anna regelverk og må vurderast opp mot behova for slikt regelverk til ein kvar tid. Dei einskilde departementa kan òg for sine sektorområde stille nærare vilkår om lagringsstad for digitale arkiv i sektorregelverket. Arkivlova og forskrifta bør vere eit generelt, sektorovergripande regelverk.

    Videre kan forskrifta stille krav om at ein kopi blir lagra i Noreg som ei ekstra sikring mot tap, ved til dømes brot på infrastruktur eller andre omstende som fører til tapt tilgang eller tapt råderett. Oppfyller ein i slike høve andre regelverk om tryggleik og personvern, kan ei lagring av kopi i Noreg opne for skylagring i utlandet, i tråd med slik gjeldande regelverk òg har vorte tolka.

    Departementet legg til grunn at det inntil vidare vil vere behov for å vidareføre i forskrift den gjeldande forståinga av utførsleforbodet for digitale arkiv, slik at kopiar av dokumentasjon i digitale arkiv berre kan lagrast på sørvarar i utlandet, så lenge det komplette arkivet òg er tilgjengeleg på ein sørvar i Noreg. Departementet legg til grunn at ei slik forskrift vil kunne bli fjerna på sikt.

    Skytenester gir store moglegheiter både i arkivdanninga og i bevaringsfasen. Offentlege organ og andre som følgjer arkivlova bør, etter departementets vurdering, ikkje vere hindra frå å nytte ny teknologi og nye tenester meir enn det som er påkravd av omsyn til mellom anna nasjonal tryggleik og det som er arkivfagleg forsvarleg.

    Lova vil stille krav til korleis verksemdene skal forvalte arkiva sine. Arkiv skal sikrast slik at dei ikkje går tapt, ikkje blir endra, er tilgjengelege for framtidig nytte osv. Det er såleis grunnleggjande at arkiv heller ikkje skal gå tapt etter ei arkivfagleg vurdering. Skulle behovet for forskrifta ikkje lenger vere der, vil framleis desse reglane i arkivlova gjelde.

    Tap av nasjonal kontroll over informasjon som er viktig for den nasjonale beredskapen, kan gi negative konsekvensar. Dette er eit sentralt moment i vurderinga av lagring av dokumentasjon i arkiv i utanlandske skytenester. Utfordringane er etter departementet sitt syn ikkje direkte relatert til tryggingsnivået i skytenester. For mange verksemder medfører det å nytte skytenester ein gevinst med omsyn til tryggleiken. Samstundes, å vurdere i kva utstrekning enkeltinformasjon i verksemdene utgjer ein del av den samla samfunnsrisikoen, er nok ei for stor utfordring for dei fleste verksemder. Dette gjer det naudsynt å inntil vidare regulere lagring av digitale arkiv utanfor Noreg i ei forskrift.

    9.5.3 Same reglar for alle fasar i verdikjeda

    Som det går fram av punkt 8 og framlegget til § 5 første ledd, omfattar arkivplikta informasjon som blir til som ledd i verksemda. Arkivplikta omfattar data i fagsystem som blir nytta i kvardagen i offentlege verksemder.

    Dei same reglane om lagring av digitale arkiv utanfor Noreg gjeld i dag for alle fasar av verdikjeda der dokumentasjon og arkiv blir handtert. Skytenester kan effektivisere produksjonen i kvardagen, men òg for avleverte arkiv kan skytenester gi fordelar når det gjeld tryggleik og tilgjenge.

    Arkivlova regulerer ikkje spørsmålet om offentleg tilsette kan ta med teneste-pc eller teneste-telefon til utlandet. Eit forbod mot å ta med teneste-pc eller teneste-telefon til visse land, må eventuelt følgje av andre lover eller interne reglar i verksemda. Det vil ikkje innebere utførsle av arkiv om til dømes ein statstilsett opnar systemet for sakshandsaming på ein pc medan hen er i utlandet, innanfor eller utanfor området det er tillate å lagre arkivet.

    9.5.4 Konkurranse om digitaliseringsoppdrag

    To kommunar innvende at framlegget ville svekke posisjonen til interkommunale arkivinstitusjonar som tilbydar av digitaliseringstenester. Departementet meiner det bør vere greitt å føre papirarkiv ut av landet for å få det digitalisert dersom det er arkivfagleg forsvarleg. At norske leverandørar av digitaliseringstenester får konkurranse frå EU- og EØS-land, er ein konsekvens av å vere med i EØS.

    9.5.5 Tilsyn med digitale arkiv lagra i utlandet

    Departementet meiner at tilsyn med digitale arkiv lagra utanfor Noreg kan førast på ulike vis. Nasjonalarkivet vil ved tilsyn normalt ikkje vere avhengig av fysisk tilgang til rommet der sørvarane står. Tilfredsstillande omstende der lagring skjer handlar i hovudsak om informasjonstryggleik. For å føre tilsyn vil det vere relevant å sjå på rapportar om informasjonstryggleiken som arkiveigar skaffar frå den som leverer lagringstenesta.

    Neste kapittel
    Forrige kapittel
    Neste kapittel
    Forrige kapittel
    Til forsida
    Til toppen