Informasjonsdeling for å bekjempe betalingsbedrageri

Hva er mulighetsrommet for å dele data mellom tilbydere av betalingstjenester for å forebygge, etterforske eller avdekke betalingsbedragerier? Og er det et behov for å endre regelverket på feltet? Flere aktører har gått sammen og tatt opp disse spørsmålene i et felles sandkasseprosjekt i regi av Datatilsynet og Finanstilsynet.

Illustrasjon av pengesedler på en tørkesnor

Om prosjektet

DNB, Nordea, SpareBank1, Eika Gruppen og Norsk Regnesentral ønsker å styrke samarbeidet og dele mer kundeopplysninger for å bekjempe svindel i sektoren mer effektivt.

I dette sandkasseprosjektet har foretakene, sammen med Datatilsynet og Finanstilsynet, utforsket dagens regelverk og mulighetsrommet for nettopp å dele data for å forebygge, etterforske eller avsløre betalingsbedragerier.

Sluttrapporten er utarbeidet av DNB, Nordea, SpareBank 1, Eika Gruppen, og Norsk Regnesentral. Den oppsummerer de viktigste vurderingene som er gjort i prosjektet. Vurderingene bygger på veiledning fra Datatilsynet og Finanstilsynet gjennom et samarbeid vi har hatt i de regulatoriske sandkassene våre.

Behovet for regelverksendringer ble også diskutert. Vi brukte erfaringene fra prosjektet som grunnlag for å gi innspill til Finansdepartementets høring om endringer i finansforetaksloven. Erfaringene ble også brukt av Finanstilsynet i deres arbeid med høringsutkastet.

Oppsummering av funn og diskusjoner i prosjektet

Under oppsummerer vi et utvalg av funnene fra sandkasseprosjektet som kan ha overføringsverdi for andre betalingstjenesteytere.

Rapporten inneholder konteksten for vurderingene, og vi anbefaler derfor at rapporten leses i sin helhet..

Det er i hovedsak taushetspliktene i finansforetaksloven som setter begrensninger for hvorvidt et finansforetak kan dele personopplysninger om et kundeforhold med et annet finansforetak. Hvis det ikke er adgang til å dele personopplysninger på grunn av taushetsplikt, vil det heller ikke være adgang til å dele etter personvernregelverket. Derfor må finansforetak identifisere ett eller flere unntak fra taushetsplikten før de vurderer rettslig grunnlag for å dele slike opplysninger etter personvernregelverket.
Finansforetaksloven § 13-21 inneholder unntak fra taushetsplikten og gir betalingstjenesteytere adgang til å dele og behandle personopplysninger når det er nødvendig for å forebygge, etterforske eller avdekke betalingsbedrageri. Samtidig inneholder loven klare begrensninger om hva som kan deles, for hvilke formål og med hvilke aktører.
- På bakgrunn av diskusjonene i sandkassen ble disse begrensningene tatt opp i Finansdepartementets høring om endringer i finansforetaksloven (regjeringen.no). Høringen inkluderte også vurderinger om deling fra foretakene til politiet og teleoperatører.
Betalingstjenesteytere kan finne egnede behandlingsgrunnlag i både personvernforordningen artikkel 6 nr. 1 bokstav e («nødvendig for å utføre en oppgave i allmennhetens interesse») og bokstav f («berettiget interesse») når de skal behandle personopplysninger for formål nevnt i finansforetaksloven § 13-21.
I Finansforetaksloven § 13-21 kan betalingstjenesteytere finne rettslig grunnlag til å behandle opplysninger om straffedommer og lovovertredelser eller tilknyttede sikkerhetstiltak etter personvernforordningen artikkel 10.
- Datatilsynet og Finanstilsynet mener at lovgiver bør klargjøre loven ytterligere for å unngå tvil.

Vi presiserer at det er viktig at betalingstjenesteytere vurderer prinsippet om dataminimering gjennomgående og kontinuerlig. På den måten vil de bare dele og behandle informasjon som er nødvendig for å forebygge, etterforske eller avsløre betalingsbedragerier.

Last ned

Sluttrapport: Datadeling for å bekjempe bedrageri (pdf).

Sluttrapporten er utarbeidet av sandkassedeltakerne: DNB, Norsk Regnesentral, SpareBank 1, Nordea og Eika. De juridiske vurderingene i rapporten er foretatt av virksomhetene, med veiledning fra Datatilsynet og Finanstilsynet.