Innlegget er skrevet av juridisk direktør Erlend A. Methi og juridisk spesialrådgiver Miriam Karlsen. Det stod først på trykk i DN 24.11.2025

I fjor forsøkte svindlere å tappe norske banker for over 4,2 milliarder kroner. Faktiske tap ble mer enn 1,2 milliarder, en økning på 32 prosent fra året før. DN har i det siste satt søkelys på problemet, og løsningen virker enkel: Mer deling av informasjon mellom banker, politi og andre aktører, slik også et nytt lovforslag legger opp til.

Datatilsynet støtter forslaget i stort. Vi har i høringsuttalelsen vår bygget på erfaringer fra vår regulatoriske sandkasse med Finanstilsynet og flere finansforetak, der vi diskuterer rammer for hvordan svindel kan forebygges i praksis. En erfaring er tydelig: Informasjonsdeling er viktig, men likevel bare ett virkemiddel.

Andre midler handler gjerne om strengere kontroll av eID, mindre vekt på lettvinte digitale løsninger og tettere samarbeid på tvers av sektorer.

En annen erfaring er at det ikke er personvernforordningen (GDPR) som har hemmet deling, men nasjonale regler om taushetsplikt i finansforetaksloven. Det er disse som nå foreslås endret.

For oss som arbeider i feltet er det ikke ukjent at GDPR brukes som syndebukk, mens bildet i realiteten er mer nyansert og kan handle om manglende tekniske løsninger, kommersielle prioriteringer, overforsiktige fortolkninger, ønske om brukervennlighet og digitaliseringstempo – eller rett og slett andre hensyn og krav.

Forordningen åpner for deling av personopplysninger når det tjener viktige allmenne interesser, som svindelbekjempelse. Ved å gjøre GDPR til festbrems, risikerer vi at diskusjonen ikke kommer dit den bør: Til de virkelige utfordringene og løsningene. Hvordan sikrer vi målrettet og trygg informasjonsdeling – og rammer, kontrollmekanismer og tiltak som faktisk monner?

Formål og rammer for deling er viktige; ikke fordi personvernet til kriminelle veier tyngre enn kampen mot svindel, men fordi finansforetak forvalter store mengder data om oss alle. Satt sammen kan dette gi et detaljert bilde av folks liv. Det er data med stor verdi, mye skjer bak lukkede dører, og formålsutglidning og feil kan få store konsekvenser.

GDPR er ikke hinderet, men snarere et verktøy for å gjøre datadeling og videre bruk trygg, målrettet og tillitvekkende. Slik kan vi bekjempe svindel effektivt, uten å skylle ut noe annet viktig med badevannet.

Utdannings- og forskningskomiteen har nå avgitt sin innstilling om opprettelsen av individregistre over alle barn i barnehager og grunnopplæring. Mandag 26. mai går den til behandling i Stortinget. Til tross for at majoriteten av Stortingets opposisjonspartier går tydelig imot de foreslåtte registrene, ser det ut til at det likevel kan bli flertall for å vedta lovforslaget. Innstillingen viser imidlertid at de fleste er enige om at regjeringen ikke har utredet personvernkonsekvensene godt nok.

Ved å vedta forslaget, aksepteres dermed en stor risiko for at barn og unges personvern nå vil svekkes på uopprettelig vis. I tillegg vil Stortinget gjennom sin aksept muliggjøre ytterligere inngrep ved å gi Kunnskapsdepartementet forskriftshjemler til å utvide individregistrene i omfang og formål. 

Det som overrasker oss mest, er at Høyre og Venstre, som er de eneste partiene som støtter Arbeiderpartiregjeringens lovforslag, i innstillingen snur alle personvernprinsipper og -prosedyrer på hodet. De vil gjennomføre lovarbeidet først, og heller forholde seg til personvernkonsekvensene etterpå. Dette er foruroligende.

Personvernet er under stadig press

To ulike regjeringsoppnevnte personvernkommisjoner har, både i 2009 og 2022, poengtert at barn og unges personvern er under stadig press. Likevel synes ikke myndighetene å kunne stagge sin iver etter å registrere og koble personopplysninger om alle landets innbyggere, innenfor stadig nye områder. I iveren glemmer de å gjøre nødvendige vurderinger av konsekvensene dette medfører for personvernet.

Dette har blitt svært tydelig gjennom de politiske prosessene som danner grunnlag for lovforslaget Stortinget nå skal behandle. 

Stortingets grunnlag for å beslutte opprettelsen av registrene er for svakt

Datatilsynet og Utdanningsforbundet har gjennom lang tid synliggjort hvor mangelfullt Kunnskapsdepartementets lovarbeid har vært. Departementet har blant annet valgt å se bort fra sin egen utredningsinstruks, der det fremheves at tiltak som berører prinsipielle spørsmål må drøftes på en balansert og systematisk måte – en skal «unngå å systematisk overvurdere nyttevirkninger og undervurdere kostnadsvirkninger». 

Som vi gjentatte ganger har påpekt, er ikke dette unngått. Antakelser om individregistrenes potensielle samfunnsnytte overdrives, mens de rent faktiske svekkelsene av personvernet underkommuniseres. Selv om Kunnskapsdepartementet har gjort endringer fra det opprinnelige høringsnotatet til den endelige lovproposisjonen, har det aldri blitt gjort en reell vurdering av de konkrete personvernkonsekvensene opprettelsen av de foreslåtte registrene vil innebære.

Med andre ord preges regjeringens lovforslag av ikke å tilfredsstille forventningene som følger av Norges forpliktelser overfor Den europeiske menneskerettighetskonvensjonen og personvernforordningen. Dermed har heller ikke Stortinget et godt nok grunnlag for å kunne vedta lovendringene som vil gi hjemmel for å opprette individregistrene.

Bedre etter snar enn føre var, Høyre og Venstre?

Personvernkommisjonen anbefalte i 2022 at det skal iverksettes systematiske personvernvurderinger i alle lovarbeider. Dette ble begrunnet med at «dersom personvernkonsekvenser ikke utredes i tilstrekkelig grad som en del av regelverksarbeidet, risikerer vi at det legges til rette for uforholdsmessig store inngrep i personvernet». 

Det ser ut som om Utdannings- og forskningskomiteens medlemmer fra Høyre og Venstre også ser dette, til tross for at de støtter Arbeiderparti-regjeringens individregisterforslag. Medlemmene fra disse partiene, som historisk har vært å anse som personvernpartier som hegner om enkeltmenneskets ukrenkelighet og krav på respekt og vern mot statlig inngripen, forutsetter nemlig at regjeringen ved en eventuell etablering av registrene må gjøre en nøye vurdering av personvernkonsekvensene for barn. Men dette vil i så fall først skje etter at loven er vedtatt, og dermed snur de som sagt alle personvernprinsipper og -prosedyrer på hodet.

Når personvern, som personvernkommisjonen uttrykker det, dypest sett «handler om hvilket samfunn vi ønsker å leve i, i dag og i dagene som kommer», kan man ikke som Høyre og Venstre tilnærme seg personvernspørsmål med innstillingen om at det er bedre etter snar enn føre var. 

Forslaget om et nasjonalt individregister for barn dreier seg ikke om små, tilforlatelige endringer av barnehageloven, opplæringsloven og privatskoleloven. Det handler om opprettelsen av store, inngripende individdataregistre som både utfordrer det grunnlovfestede vernet av barns personlige integritet og personvernet som demokratisk samfunnsverdi, skriver Camilla Nervik og Geir Røsvoll.

Regjeringen har nå lagt frem en lovproposisjon for å kunne registrere en mengde personopplysninger om alle barn og unge i Norge. Opplysningene skal kunne kobles med annen informasjon om barna og deres familier. Lovendringene gir dermed staten mulighet til å overvåke oss alle gjennom livet – fra vugge til grav.

Registreringen av personopplysningene vil skje uten at noen skal bes om samtykke, eller få mulighet til å reservere seg. At den enkelte ikke skal gis mulighet til selv å bestemme over egne personopplysninger, begrunnes med en risiko for at registrene da ikke vil oppfylle sin hensikt. Det anføres at den enkeltes valgfrihet vil medføre skjevrepresentasjon, og at dette særlig vil gå utover de sårbare barna som ofte er underrepresentert i forskning basert på utvalgsundersøkelser. Med dette som bakteppe hevder ulike statlige aktører, som Kunnskapsdepartementet, Barne- og familiedepartementet og Barneombudet, at opprettelsen av de foreslåtte individregistrene er helt nødvendige og til «barnets beste». 

Utdanningsforbundet og Datatilsynet mener at de foreslåtte registrenes påståtte nytteverdi mangler en overbevisende underbygning. Vi undres: Hvor ble det av vurderingene av barnas personvern? Er det ikke til barnets beste at deres lovfestede rett til vern om sin personlige integritet ivaretas?

«Barnets beste» er ikke et argument i seg selv

Det er ikke mer enn tre år siden personvernkommisjonen poengterte følgende:

«Hva som vil være til beste for det enkelte barn i en konkret situasjon, beror på en individuell og konkret vurdering.»

Det samme uttrykker FNs barnekomité i sin generelle kommentar til barnekonvensjonens artikkel 3 om barnets rett til at hans eller hennes beste skal være et grunnleggende hensyn.

Kunnskapen de foreslåtte individregistrene angivelig vil gi oss, rommer ikke den faktiske konteksten det enkelte barn inngår i. Den gir ikke svar på hvilke grunner barnet har for å gjøre som det gjør, eller hvorfor deres liv – både i og utenfor barnehagen og skolen – tar den retningen det tar. Å påstå at opprettelsen av individregistrene er til barnets beste, er med andre ord direkte misvisende.

Det holder altså ikke bare å påstå at registerdata er til barnets beste, ved å hevde at individregistrene «fremmer barns beste generelt» og vil «være til barns beste på et overordnet nivå», slik Kunnskapsdepartementet har gjort i sitt høringsnotat.

«Barnets beste» er ikke et argument i seg selv. 

Kunnskapsmangel er ikke problemet

Det er vanskelig å se hvordan inngrepene den enkelte må tåle, vil gi direkte verdi tilbake til den som «betaler kostnaden» i form av svekket personvern. Det hevdes at kunnskapsgrunnlaget fra individregistrene skal bidra til utviklingen av bedre skoler og barnehager, men det er uklart hva som egentlig skal endres og forbedres i praksis.

Forskning på registerdata frembringer gjennomsnittskunnskap om grupper av mennesker som deler noen bestemte kjennetegn. Denne typen kunnskap virker sikkert verdifull for den offentlige forvaltningen, men vi mener det er for enkelt å konkludere med at kunnskapen dermed er til barnets beste.

For lærerne i landets barnehager og skoler, er slik gjennomsnittskunnskap til liten nytte i møte med helt unike mennesker. Det er ikke primært individdatabasert kunnskap barnehagene og skolene mangler for å kunne ivareta barnets beste, men at kunnskapen vi allerede har om det som står i veien for å oppfylle barnas rettigheter, omsettes til handling.

Det reelle personverntapet må trumfe usikre gevinstforhåpninger

Et grunnleggende personvernprinsipp, slik det går frem av den europeiske menneskerettskonvensjonens artikkel 8, er at ethvert inngrep i personvernet skal avveies mot nytteverdien og formålet som begrunner inngrepet. 

Det er ingen tvil om, og heller ingen som synes å være uenig i, at opprettelsen av individregistrene innebærer et rent faktisk inngrep i personvernet. Hver ny personopplysning som registreres, og hver kobling som gjøres med andre opplysninger, øker dette inngrepet. Samtidig er det heller usikkert om omfattende registrering av barns personopplysninger fra barnehage og skole, og koblingen av disse opp mot en mengde andre opplysninger, vil føre til at barnehage- og skoletilbudet blir bedre for den enkelte.

De som ønsker at individregistrene opprettes, setter med andre ord et reelt personverninngrep opp mot antakelser og forhåpninger om at registrene vil være til barns beste. Vi mener det reelle tapet av personvern må vurderes nøye, og at eventuelle positive gevinster må presenteres som mer enn en generell ønsketenkning.

Nå må Stortingets politikere være seg sitt ansvar bevisst

Snart skal Stortinget behandle regjeringens lovforslag. For oss er det viktig å understreke at dette ikke dreier seg om små, tilforlatelige endringer av barnehageloven, opplæringsloven og privatskoleloven. Det handler om opprettelsen av store, inngripende individdataregistre som både utfordrer det grunnlovfestede vernet av barns personlige integritet og personvernet som demokratisk samfunnsverdi.

Dette må i stor grad forstås som et samvittighetsspørsmål, og Datatilsynet og Utdanningsforbundet ønsker å minne landets stortingspolitikere om deres individuelle ansvar for å vurdere det reelle personverninngrepet som følger av registrene, og ber dem stille seg følgende spørsmål:

Kan lovforslagene virkelig sies å være til barnets beste, når det ikke tas hensyn til barnas grunnleggende personvernrettigheter? 

Yngve Milde og Elias Meling belyser en rekke utfordringer knyttet til datadeling i Norge i sitt innlegg i Digi.no. De peker blant annet på at en streng tolkning av personvernregler kan hindre effektiv datadeling, noe som igjen kan forsinke digitaliseringen av offentlige tjenester. De mener at Datatilsynet oppleves som «et organ som setter terskelen for akseptabel risiko så høyt at det for mange oppleves som nullrisiko».

Det er viktig å finne en balanse mellom personvern og behovet for datadeling. Datatilsynet har som oppgave å sikre at personvernlovgivningen etterleves, og dette er et regelverk med et klart handlingsrom og som absolutt ikke krever nullrisiko. Formålet med regelverket er å nettopp legge til rette for bruk og deling av data – innenfor trygge rammer.

Slik vi ser det er personvern ikke en hindring, men en ressurs for å sikre forsvarlig digitalisering. Datatilsynet jobber hver dag for at regelverket praktiseres på en måte som legger til rette for innovasjon og utvikling, innenfor de rammene loven gir.​ Vi har både prosjekter i den regulatoriske sandkassen og løpende veiledning som går helt i kjernen av dette. Hvert år har vi over 5000 veiledningssamtaler der vi gir råd i håndtering av regelverket. Vi kjenner oss derfor ikke igjen i Mildes og Melings påstander om at vi utelukkende hindrer datadeling og er ute etter nullrisiko-løsninger.

Vår visjon er at vi skal jobbe sammen for menneskeverd og tillit i det digitale Norge. I dette ligger det at også Datatilsynet skal være med på den utviklingen Norge og samfunnet må ha, for å løse tidens og fremtidens utfordringer. Vi er imidlertid ikke så opptatt av at Norge skal bli verdens mest digitaliserte land innen 2030 – vi vil heller at Norge skal bli verdens best digitaliserte land.

Vi ønsker derfor debatten om datadeling velkommen. Den er viktig for å komme videre, og skape en bedre gjensidig forståelse av utfordringene og hvordan vi skal nå målet. Verken forsiktighetskultur og nullrisiko eller for stor risikoappetitt er positivt. Flere faktorer spiller inn i mulighetsbildet: Både intern kultur, kompetanse, datakvalitet, tekniske løsninger og jussen kan legge begrensninger for datadeling. Det må også konkretiseres hvilke datakilder man ønsker å dele fra og mellom, for å gjøre gode vurderinger av behov, hindringer og løsninger. For å avklare faktiske hindringer trenger vi flere konkrete eksempler og en mer nyansert debatt om balansegangen mellom personvern og datadeling.

I samarbeid med Finanstilsynet utforsker vi nå fem sandkasseprosjekter innen finanssektoren, der målet er å bekjempe økonomisk kriminalitet gjennom trygg og lovlig datadeling. Vår erfaring viser at veiledning fungerer best når vi jobber med faktiske problemstillinger, hvor personvern er med fra start. Vi ønsker derfor at flere bransjer kommer sammen, identifiserer spesifikke utfordringer og tar dem opp med oss i Datatilsynet.

Ansvarlig datadeling er et av Datatilsynets hovedfokusområder. Vårt arbeid må alltid skje innenfor rammene av personvernforordningen (GDPR), som er et felles europeisk regelverk som Norge er forpliktet til å etterleve. Samtidig er det alltid et tolkningsrom i regelverk, og dette rommet er vi i Datatilsynet opptatt av å utforske. Rettsutvikling er imidlertid en prosess som tar tid – saker må behandles, eventuelt overprøves, og i noen tilfeller kan det være behov for nye lover eller forskrifter, noe som er lovgivers ansvar. Nødvendig og etterspurt rettsutvikling er også avhengig av saker som rommer problemstillinger hvor det er behov for endring.

For å sikre best mulig digitalisering i Norge må vi finne løsninger sammen. Vi inviterer derfor næringslivet, offentlig sektor og bransjeaktører til å delta i vår regulatoriske sandkasse og dialogbaserte veiledning. Vi ønsker saker om datadeling, slik at vi sammen kan finne måter å realisere digitaliseringsgevinster uten at personvernet svekkes. La oss ta debatten fra teori til praksis.