Masseutlevering etter offentlighetsloven

Digitalisering og sammenstilling av informasjon fra offentlig forvaltning har ført til mer spredning og annen bruk av personopplysninger enn man trolig hadde i tankene når offentlighetsloven åpnet for innsyn i sammenstillinger fra registre og databaser.

Analysefirmaet Oxford Research har gjennomført en evaluering av offentlighetsloven, etter oppdrag frå Justis- og beredskapsdepartementet. Evalueringen tar for seg mange sentrale sider ved offentleglova og innsynsretten.

Problematisk masseutlevering

Offentlighetsloven § 9 gir hjemmel for innsyn i sammenstillinger fra registre og databaser. Vilkårene for innsyn etter denne bestemmelsen er at sammenstillingen kan etableres på grunnlag av opplysninger som finnes elektronisk lagret i databasene, og at sammenstillingen kan gjøres ved hjelp av enkle fremgangsmåter.

Datatilsynet viser i en høringsuttalelse til at dette kan ha utilsiktede konsekvenser. Muligheten for å kunne sammenstille store menger personopplysninger har ført til en spredning og en annen bruk av opplysningene enn lovgiver trolig hadde i tankene da bestemmelsen ble innført i offentlighetsloven.

Datatilsynet oppfordrer derfor Justis- og beredskapsdepartementet å kartlegge hvilke konsekvenser en slik masseutlevering kan føre til, særlig når det gjelder barn. Det bør også vurderes om man for enkelte typer opplysninger bør sette tekniske begrensninger, eller fastsette vilkår for utlevering. Det bør vurderes å pålegge offentlige etater en plikt til å informere om at utlevering av sammenstilte personopplysninger kan skje.

Fulltekstpublisering av dokumenter

I rapporten vises det til at flere kommuner benytter seg av muligheten til å legge ut dokumenter i fulltekst, slik offentlighetsforskriften åpner for.

Fulltekstpublisering av dokumenter på internett forutsetter at kommunene har gjort risikovurderinger i forkant, at de har etablert gode rutiner, og gitt medarbeidere nødvendig opplæring. Dette må gjøres for å redusere risikoen til et minimum for at dokumenter med sensitive personopplysninger blir publisert.

Datatilsynet erfarer imidlertid at det har skjedd flere tilfeller av feilpublisering av dokumenter som inneholder sensitive opplysninger. Dette skjer fordi kommunene ikke har gjort risikovurderinger i forkant og at de ikke har etablert gode nok rutiner.

Unntak ved tilsyn

Lovgiver bør også vurdere å gi unntak fra offentlighet for dokumentasjon som samles inn i forbindelse med Datatilsynets kontroller. Det blir ofte bedt om dokumentasjon som må regnes som bedriftsintern, men som dagens lovgivning ikke gir unntak for.

Les hele høringsuttalelsen
Les evalueringsrapporten om offentlighetsloven