Gå rett til innhold
<
<
Forslag til ny lov om datadeling undervurderer konsekvensene

Forslag til ny lov om datadeling undervurderer konsekvensene

Meninger

Publisert: 09.12.2024
Oppdatert: 09.12.2024

NORCE

NORCE mener de økonomiske, sikkerhetsmessige, administrative og sikkerhetspolitiske konsekvensene er undervurdert i forslaget til ny lov om datadeling. Konsekvensene av lovgivningen må undersøkes nøyere før loven vedtas, og en helhetlig datapolitikk må på plass.

Vi viser til høringsbrev ref. 24/3158. NORCE Norwegian Research Centre AS (NORCE) takker for invitasjonen til å komme med høringssvar til NOU 2024: 14 Med lov skal data deles.

NORCE er et forskningsinstitutt som driver forskning på helse, samfunn, klima, miljø, energi og teknologi. Data og datadeling inngår i økende grad som en sentral del av våre prosjekter og aktiviteter. NORCE mottar data fra andre kilder, forvalter data og produserer egne data. Vi har lang erfaring med bruk av data som kommer næringsliv, samfunnet, innovasjon og forskning til gode. I NORCE Analytics videreutvikler vi vår digitale infrastruktur for integrasjon og analyse av store datamengder fra ulike domener. Denne type infrastruktur er avgjørende for vår evne til å levere nyttig kunnskap av høy kvalitet.

Det er i samfunnets interesse å sørge for bedre tilgang til data, og NORCE støtter formålet om økt deling og viderebruk. Viderebruksutvalgets mandat er å foreslå en mer helhetlig regulering av offentlig informasjon (data). Det er positivt, og utvalgets rapport inneholder mye nyttig informasjon og god drøfting av problemstillinger knyttet til offentlige data, datadeling og viderebruk.

I vår høring vil vi konsentrere oss om det vi mener er uavklarte spørsmål, begrensinger og risiko knyttet til forslagene.


Del 1. Overordnete innspill

1.1 Dataøkonomi

NORCE mener at de økonomiske, administrative og sikkerhetspolitiske konsekvensene av forslagene i utredningen er undervurdert og ikke grundig nok behandlet. De økonomiske konsekvensene av forslagene vil kunne være store for offentlige virksomheter, som har ansvar for data og datadeling. Det er risikabelt å pålegge datadeling i lovs form uten å vite hva det koster.

NORCE mener derfor det er avgjørende å utrede de reelle kostnadene ved å utvikle et sikkert, effektivt og godt data- og datadelingssystem for offentlige virksomheter, før gratis deling pålegges.

Datahåndtering og datadeling krever investeringer og medfører varig økte driftskostnader som til dels er uforutsigbare. Tilgjengeliggjøring, forvaltning, standardisering, lagring, kvalitetsarbeid, drift og deling er ressurskrevende prosesser og oppgaver, som blant annet forutsetter datakunnskap, infrastruktur, sikkerhetsløsninger, teknologisk, juridisk og annen kompetanse. Kostnadene knyttet til datahåndtering har allerede økt betydelig det siste tiåret på grunn av nye og endrede krav. Offentlige virksomheter med dataforvaltning som oppgave, må som hovedregel dekke investeringer og økte driftskostnader innenfor eksisterende budsjetter, mens gevinstene gjerne kommer andre steder og kan være vanskelige eller umulige å spore.

I kapittel 12 fremgår det at «utvalget foreslår å videreføre gjeldende hovedregel etter dagens lovgivning om at offentlig informasjon skal være gratis». Ettersom man ikke kan ta betalt, vil økt etterspørsel etter data, som er ønskelig, føre til økte kostnader som går utover andre formål for virksomheten. Dette vil kunne føre til kø i tilgangen til data og/eller redusert kvalitet og sikkerhet.

Verken utredningen eller nasjonal digitaliseringsstrategi presenterer noen oversikt over kostnadene datadeling vil påføre offentlige virksomheter eller myndigheter, og dokumentene drøfter i liten grad spørsmålet om hvordan investeringer og drift skal dekkes, eller hvordan gevinstene vil bli fordelt.

Det åpnes for å lovhjemle unntak fra hovedregelen om at informasjon skal være gratis, i form av gebyrer. Det er imidlertid ikke sannsynliggjort at gebyrene vil kunne dekke kostnadene, i form av investeringer og drift av et godt og forsvarlig data- og datadelingssystem. Det vil dermed, som i dag, være svake insentiver for å utvikle systemet på en måte som er konkurransedyktig og optimaliserer muligheten til å utnytte den potensielle verdien i data.

Uten nødvendig investering i utvikling av datakunnskap og infrastruktur hos de offentlige virksomhetene, har NORCE begrenset tro på at data faktisk kommer til å bli tilgjengeliggjort i stor skala med tilfredsstillende kvalitet og sikkerhet. Et sannsynlig scenario, som NORCE er bekymret for, er at virksomhetene vil bruke unntakene i lovgivningen (f.eks. argumentere for at det krever «uforholdsmessig stor innsats» eller at det «ikke er mulig» eller «formålstjenlig» eller «hensiktsmessig») for å unngå investeringer og driftskostnader de ikke har tilstrekkelige midler til.

På den annen side er det også en vesentlig risiko hvis offentlige virksomheter lykkes med å dele data. Det vil utvilsomt kunne gi gevinster for private internasjonale aktører med kapasitet til å utnytte slike data. Samtidig er det uklart hvordan det skal gi gevinster i form av konkurransedyktig næringsvirksomhet, arbeidsplasser og forbedring av offentlig virksomhet i Norge, som bærer kostnadene ved å investere i og drifte produksjon, forvaltning og deling.

1.2 Utfordringer med sikkerhet og sikkerhetsvurderinger

Et pålegg om datadeling uten en helhetlig konsekvensvurdering, vil kunne føre til økt risiko for Norges sikkerhet.

Viderebruksutvalget ble oppnevnt i oktober 2021 i et annet sikkerhetspolitisk- og teknologisk klima. Siden den gang har grensen mellom åpne data og sikkerhetsdata blitt mer uklare og omdiskuterte. Offentlige data som virket trygge å dele åpent i 2021, kan i 2024 falle inn under «skjermingsverdig informasjon». Dette kan for eksempel gjelde data om olje- og gassledninger, energisystemet, meteorologiske data og Kartverkets data, som alle gir informasjon om nasjonal infrastruktur.

NORCE støtter utvalgets bestemmelse om å videreføre prinsippet om at data som medlemsstatene bestemmer at skal vernes av hensyn til nasjonal sikkerhet, aldri vil omfattes av datadelingsloven eller dataforvaltningsloven. Selv om Norge skulle velge å innta en mer restriktiv holdning til datadeling på noen utvalgte områder enn de andre EU/EØS-landene, vil de offentlige virksomhetene måtte bruke ressurser på sikkerhetsvurdering. Det å kategorisere data riktig, gjennomføre risikovurderinger og begrunne skjerming av data, kan bli en ressurs- og kunnskapskrevende oppgave for offentlige virksomheter med ansvar for data.

Utvalget foreslår i kapittel 10, på side 128, en rådgivende rolle innen datasikkerhet for Nasjonalt prioriteringsråd, styrket med kompetanse om sikkerhetsfaglige spørsmål. Dette forslaget er ikke reflektert i ordlyden til datadelingslovens § 14. NORCE mener at det er vesentlig å ha på plass både et system for å ivareta skjermingsverdige data, og for kompetanseutvikling i offentlig sektor.

1.3 Private og offentlige data må sees i sammenheng

Forskning og innovasjon for samfunnsutvikling og næringsutvikling krever kvalitetsdata både fra offentlig og privat virksomhet. En helhetlig datapolitikk bør omfatte begge deler. Utviklingen av felles data- og datadelingssystemer i offentlig og privat virksomhet bør reguleres og insentiveres både i næringer og offentlige sektorer, slik at man skal kunne bruke data på tvers av bedrifter, næringer, samfunnssektorer, og landegrenser.

Mandatet til Viderebruksutvalget er begrenset til viderebruk av offentlig informasjon, i tråd med EUs regulering av data. Å begrense reguleringen av datadeling til offentlige data, er etter vår mening, ikke en tilstrekkelig løsning for å møte samfunnsutfordringer, som omstilling av næringslivet og offentlig sektor, klimaendringer og sirkulær økonomi, beredskap, og behovet for mer forskning og innovasjon.

Datadeling kan i mange tilfeller utløse samfunnsmessig verdi først og fremst når den brukes på tvers av offentlig og privat sektor. Det er viktig for offentlig sektor å ha tilgang til data innsamlet av private virksomheter for å møte morgendagens utfordringer. Det er en systemisk svakhet at mange data som samles i Norge ikke kan brukes av offentlig sektor. Et eksempel på dette kan være elbiler, der Norge har subsidiert elbilselskaper betydelig, uten å stille krav om å få kopi av data knyttet til deres virksomhet i Norge. Disse dataene kunne hatt stor betydning for analyser og utvikling av løsninger på samferdselsfeltet.

Sammenhengen mellom offentlige og private data ble, etter vår mening, ikke tilfredsstillende behandlet på EU-nivå, da forordningen om tilgang til data fra private aktører (Data Act) kun regulerer en brøkdel av datadeling, sammenlignet med kravene de europeiske rettsaktene setter for offentlig sektor og offentlig eide selskaper. Krav om større åpenhet, samt kostnader i form av investeringer og drift av datasystemer, kan svekke konkurranseevnen til offentlig eide virksomheter, vis-a-vis de private aktørene, ettersom de offentlig eide virksomhetene kan bli påført større kostnader enn de private.

Det finnes også gode eksempler på regulering av dataforvaltning og deling. I norsk petroleumsvirksomhet har Sokkeldirektoratet (tidligere Oljedirektoratet) siden 1970-tallet stilt krav om å samle og dele data fra selskapene som har fått konsesjon til leting og utvinning av olje og gass. Ordninger inspirert av dette bør etter vårt syn utvikles i andre næringer med både offentlige og private aktører, som for eksempel innenfor energisystemet. Dette vil også kreve mer felles forvaltning og regulering av data fra offentlig og privat virksomhet.

1.4 Riktig lisensiering av data

Kreditering og sporing av data er avgjørende for kvalitet og verdi. Kvaliteten på data er tett knyttet til informasjon om hvor de stammer fra. Kreditering spiller en svært viktig rolle for forskningen og samfunnet, blant annet fordi den muliggjør kildekritikk og kvalitetskontroll. Offentliggjøring av data under Creative Commons CC0-lisens kan ha negative konsekvenser for datakvalitet, samt for muligheten til å realisere og tilbakeføre verdien av data.

Selv om lovforslaget i § 9 ikke definerer pålegg om en bestemt type av åpen lisens, men overlater dette til forskrift, drøfter Viderebruksutvalget i NOUs kap.11.8.2. fordeler med å anvende Creative Commons «No rights reserved» lisens, CC0. Lisensen har ingen opphavsrettslige begrensinger, slik at datasett kan brukes, endres og distribueres fritt av hvem som helst, uten å kreditere den opprinnelige kilden. Det kan ha mange negative konsekvenser å gjøre data tilgjengelig uten kontroll og uten opphavsrettslige krav. Dette er godt beskrevet av Meteorologisk Institutt i deres høringsuttalelse, under punktet om «Bruk av lisenser».

NORCE støtter Meteorologisk Institutt sine argumenter. Informasjon om hvor data stammer fra, har helt avgjørende betydning for forskning, og for andre brukere av data. Mange sluttbrukere kommer ikke til å ha tilgang til metadata, eller kunnskap til å ekstrahere data om opphavet. Vi slutter oss også til Meteorologisk Institutt sine argumenter om at data mister verdi uten navngivelse, at opphavet er spesielt viktig for trening av spesialiserte KI-modeller, og at navngivelse er viktig for å synliggjøre rollen til offentlige organisasjoner som samler data og gjør dem tilgjengelig.

Vi ønsker å understreke hvilke rolle sporbarhet og kreditering (navngivelse) har for forskning. Ved å frasi seg alle rettigheter, mister forskningsorganisasjoner kontrollen over hvordan data brukes. Det kan føre til at data kan bli misbrukt, feiltolket, eller brukt i sammenhenger som kanskje ikke støtter organisasjonenes forskningsetiske mål. Dersom forskningsdata utgjør åndsverk, ville det å offentliggjøre under CC0 ofte ikke være mulig, så lenge åndsverkslovens § 5 verner ideelle rettigheter. Fratas kravet om kreditering kan dette føre til at forskere og forskningsinstitusjoner ikke mottar den annerkjennelsen de fortjener for deres arbeid. Det kan hindre utviklingen av forskningskarrierer og forskningsinstitusjoner.

NORCE anbefaler at det ikke pålegges krav om bruk av CC0-lisens. Istedenfor foreslår vi etablering av "minstekrav" for lisenser. Disse kravene bør sikre at informasjon om produsenten av de aktuelle dataene følger med dataene, og at det refereres til dataene i produkter som benytter disse, eller som baserer seg på dem.

Del 2. Innspill og kommentarer til lovforslaget: ønske om større klarhet

2.1 Tolkningstvil om hvilke rettssubjekter som er omfattet av plikt til å dele data til viderebruk

Definisjon av «offentlige virksomheter» i datadelingsloven er bredere enn i offentleglova (Lov om rett til innsyn i dokument i offentleg verksemd (offentleglova) - Lovdata). Det kan skape tolkningstvil; siden utvalget har bestemt at plikt til å dele offentlige data fremdeles skal være lovfestet primært i offentleglova, og ikke i datadelingsloven. Dermed blir det en kategori av offentlige virksomheter som blir underlagt datadelingsloven (f.eks. datadelingslovens § 2 første ledd bokstav b, § 2 andre ledd og § 2 fjerde ledd) uten å ha en plikt til å dele data. Disse virksomhetene blir uansett omfattet av nye plikter knyttet til anskaffelser, ref. lovforslagets § 5 fjerde ledd. NORCE mener at dette er krevende lovteknisk, og foreslår at man har samme definisjon i datadelingsloven som i offentleglova.

2.2 Nye krav for offentlige anskaffelser

Det var dissens mellom utvalgets medlemmer om hvorvidt de offentlige virksomhetene skal pålegges nytt krav i anskaffelser og utvikling av systemer, ref. lovforslagets § 5 fjerde ledd.

NORCE støtter forslaget til at § 5 fjerde ledd skal lyde:

«(4) I tråd med prinsippene om innebygd åpenhet og åpenhet som standardinnstilling skal offentlige virksomheter ved anskaffelser og ved design av egne systemer sørge for løsninger som letter deling av data for økt viderebruk.»

Bakgrunnen for dette er at det er det minst inngripende forslaget.

2.3 Definisjonen av forskningsdata og plikt til gratis deling bør ikke være mer omfattende enn i Åpne data-direktivet

Datadelingslovens § 8 definerer «forskningsdata» knyttet til et subjekt som har frembrakt dem og dets finansiering. I tillegg regulerer lovforslagets § 10 annet ledd en absolutt plikt om at «forskningsdata skal alltid være gratis».

Utvalgets lovforslag er mer omfattende og mindre presis enn direktivet:

  • Kategorien «delvis» finansiering av offentlige midler er ikke presis, og går videre enn direktivets art. 10 paragraf 2 («publicly funded»). Det at marginal støtte fra offentlige midler skal utløse plikt til gratis data, kan påføre forskningsinstitusjoner som opererer primært på markedsvilkår uforholdsmessige kostnader.
  • Lovforslaget til datadelingsloven inneholder ikke noe unntak for viderebruk av forskningsdata, i motsetning til Åpne data-direktivets artikkel 10 (2) som understreker at «In that context, legitimate commercial interests, knowledge transfer activities and pre-existing intellectual property rights shall be taken into account.” NORCE ber om at dette reflekteres i lovforslaget.
  • Ordlyden «Forskningsdata skal alltid være gratis.» i lovforslagets § 10 annet ledd andre punktum, er upresis. Det er tilgang til data for viderebruk som helst bør være gebyrfri. Dette er viktig å presisere, ettersom viderebruk av data kun gjelder data som har blitt offentliggjort.

Det er viktig at norsk lov samsvarer med Åpne data-direktivet når det kommer til forskningsdata. En stor del av forskningen skjer i internasjonale konsortier og data er ofte skapt av partnere fra forskjellige land. Det er et viktig ressurssparende tiltak å harmonisere reglene innen EU/EØS.

3. Oppsummering

Tilgang på gode data er vesentlig for forskning og innovasjon, og for å utvikle næringslivet og offentlig sektor. Lovforslaget fra Viderebruksutvalget kan føre til store kostnader knyttet til investeringer, forvaltning, drift og infrastruktur. Uten nødvendige investeringer, kan data som gjøres tilgjengelig for viderebruk bli av dårlig, eller ukjent kvalitet. Slike data har begrenset verdi.

Både for forskningsinstitusjoner og andre er det avgjørende å ha tilgang til kvalitetsdata, og datadeling er et viktig virkemiddel. Dette innebærer også at opphavet til data må være lett sporbart.

Det er behov for mer utredning. NORCE mener at effekten av lovgivningen må beregnes før loven vedtas, og at man bør etablere en helhetlig datapolitikk og dataøkonomi, inspirert av forvaltningen av petroleumsvirksomheten. Denne datapolitikken må tilrettelegge for bruk av data på tvers av offentlig og privat sektor, på tvers av bedrifter, næringer, samfunnssektorer, og landegrenser.

Vi mener at behovet for og omfanget av en helhetlig datapolitikk, dataforvaltning og dataøkonomi er undervurdert, og at det derfor er risikabelt å legge til rette for deling av offentlige data gratis. Et pålegg om datadeling uten en helhetlig konsekvensvurdering, vil også kunne føre til økt risiko for Norges sikkerhet.

Data bør forvaltes som en nasjonal ressurs. Verdien av data må komme samfunnet til gode der disse produseres, forvaltes og deles, og der de er finansiert av det offentlige og fellesskapets midler. Lovgivning om datadeling i offentlig sektor er ikke tilstrekkelig for å sikre at verdien av data kommer samfunnet til gode.

Dersom ambisjonen om at Norge skal være «verdens mest digitaliserte land innen 2030» skal nås, anbefaler vi at det utarbeides en ny overordnet strategi for deling av data, med konkrete tiltak og beregning av nødvendige ressurser, og hvordan verdien av data skal komme samfunnet og næringsutviklingen i Norge til gode. Å vedta lover uten en overordnet strategi og midler til å støtte gjennomføringen, kan gjøre det vanskeligere å nå ambisjonen.

Kontaktperson

Lidia Joanna Puka-Kjøde

Seniorrådgiver kontrakt/Advokat - Bergen
lipu@norceresearch.no
+47 56 10 70 49