Folketrygdloven § 21-11 a andre ledd: automatisert behandling
Helsedirektoratets kommentarer
[Tilføyd 12/22]
Overordnet om bestemmelsen
Et vedtak er en avgjørelse som treffes under utøving av offentlig myndighet, og som generelt eller konkret er bestemmende for rettigheter eller plikter til private personer (enkeltpersoner eller andre private rettssubjekter).
Kilde: forvaltningsloven § 2 bokstav a
En hel eller delvis automatisering av avgjørelser gir økt effektivitet og bedre utnyttelse av ressurser. I tillegg kan automatiseringen bidra til å gjøre tjenester enklere og mer brukervennlige.
I personvernforordningen benyttes begrepet «behandlingsansvarlig», som er det samme som «dataansvarlig» i helsesektoren.
Helse- og omsorgsdepartementet har i Prop. 91 L (2021-2022) punkt 6.4
- lagt til grunn at effektiv saksbehandling omfattes av «viktige allmenne interesser» etter personvernforordningen artikkel 9 (lovdata.no/nav) nr. 2 bokstav g
- vurdert at forvaltningslovens regler om den enkeltes adgang til å uttale seg, få en begrunnelse og kunne framsette en klage, ivaretar forordningens krav i tilstrekkelig grad når det gjelder lite inngripende avgjørelser
- vist til at klagebehandlingen ikke i noe tilfelle skal være automatisert
Departementet fant det ikke hensiktsmessig å knytte bruken av automatiserte avgjørelser til nærmere angitte sakstyper, fordi det vil kunne forhindre nødvendig fleksibilitet. Departementet har presisert at automatiserte avgjørelser også kan omfatte særlige kategorier personopplysninger, for eksempel helseopplysninger. Dette fremgår nå eksplisitt av folketrygdloven § 21-11 a andre ledd.
Per i dag omfatter dette rundskrivet om automatisert saksbehandling etter folketrygdloven § 21-11 a annet ledd to områder:
- Blåreseptsøknad: Leger søker om stønad til legemidler og næringsmidler på vegne av pasientene, jf. blåreseptforskriften §§ 3 og 6 og folketrygdloven § 5-25.
- Helserettigheter innenfor EØS-området: Borgere søker om helserettigheter i et annet EØS-land etter EU-forordning 883/2004. Dette inkluderer blant annet Europeisk helsetrygdkort.
Krav til at vedtaket er lite inngripende for den enkelte
Et vedtak er en avgjørelse som treffes under utøving av offentlig myndighet, og som generelt eller konkret er bestemmende for rettigheter eller plikter til private personer (enkeltpersoner eller andre private rettssubjekter).
Kilde: forvaltningsloven § 2 bokstav a
I Prop 91 L pkt 6.4.2 har departementet lagt til grunn at det med «lite inngripende» menes avgjørelser som har begrensede konsekvenser for den det gjelder. Dette kan for eksempel være avgjørelser som gjelder små beløp. Vurderingene må imidlertid være konkrete. Det vil si at Helsedirektoratet blant annet må vurdere omfanget av personopplysninger som behandles, opplysningenes sensitivitet og hvor korrekte det er grunn til å tro personopplysningene er.
Vilkårene for en avgjørelse må også være så klare og objektive at det er enkelt å fastslå om de er oppfylt eller ikke. Det kan ikke fattes en avgjørelse som utelukkende er basert på automatisert behandling av helseopplysninger eller andre personopplysninger, hvis avgjørelsen bygger på skjønnsmessige vilkår. I de tilfellene der vilkårene skal vurderes skjønnsmessig, vil søknaden bli overført til manuell behandling der en saksbehandler gjør de faglige vurderingene.
Skjønnsmessige vilkår kan bare automatiseres hvis den aktuelle rettsregelen oppstiller faste kriterier som resulterer i at vilkår alltid er oppfylt eller ikke, eller der saksbehandlingspraksis viser at avgjørelsen i praksis beror på faste kriterier som for eksempel fremkommer i rundskriv. I tillegg må disse kriteriene la seg standardisere i algoritmene/programkoden slik at en maskin kan treffe avgjørelser hvor resultatet er entydig.
Helautomatisert saksbehandling benyttes i all hovedsak for å innvilge en rettighet. En søknad kan bare stanses underveis i søknadsprosessen eller automatisk avslås i følgende tilfeller:
- en part ønsker å søke om en ytelse som åpenbart ikke dekkes av folketrygden og dens formål
- absolutte vilkår er ikke oppfylt (det aktuelle vilkåret har ingen grad av skjønnsutøvelse)
I disse tilfellene vil ikke en helautomatisert saksbehandling medføre et annet utfall enn det en manuell behandling av søknaden ville gjort
Folketrygdloven § 21-11 a åttende ledd hjemler muligheten til å gi forskrifter som kan gi adgang til å fatte automatiserte vedtak, selv om vedtaket ikke er lite inngripende overfor den enkelte. Mer kompliserte og inngripende avgjørelser krever mer spesifikke regler og mer «tilpassede» rettssikkerhetsgarantier enn det som allerede finnes i helselovgivningen og forvaltningsloven.
Krav til saksbehandlingen
Forvaltningsloven (lovdata.no/nav) er i utgangspunktet teknologinøytral. Dette innebærer at reglene som gjelder for enkeltvedtak, også gjelder når enkeltvedtak treffes ved automatisert behandling av personopplysninger.
Forvaltningsloven stiller krav om forsvarlighet i saksbehandlingen. For å kunne vurdere om en automatisert saksbehandling og avgjørelse er forsvarlig, må Helsedirektoratet vurdere om det underliggende regelverket egner seg for automatisering. Hvorvidt det er mulig å utlede rettsregler som lar seg programmere slik at en maskin kan treffe avgjørelser hvor resultatet er entydig, vil bero på en tolkning av regelverket. Rettsregler som gjør at maskinen ikke kan komme frem til forhåndsdefinerte avgjørelser skal ikke automatiseres.
En algoritme som fatter avgjørelser som utelukkende er basert på automatisert behandling av helseopplysninger og andre personopplysninger, må være tilstrekkelig testet og kontrollert før den settes i produksjon. Videre må det være avklart hvordan regelverket i en automatisert prosess vil slå ut for borgerne – både for den enkelte borger og for grupper av borgere. Det må særlig vurderes om en automatisert avgjørelse kan føre til usaklig forskjellsbehandling.
Utrednings- og informasjonsplikten
Utredningsplikten som følger av forvaltningsloven § 17 (lovdata.no) innebærer at saken må være tilstrekkelig opplyst før den automatiserte saksbehandlingen starter, slik at det automatiserte vedtaket bygger på riktige og oppdaterte helseopplysninger og andre personopplysninger.
Hva som er nødvendig og korrekte personopplysninger, vurderes ut fra hva som er formålet med innhenting og bruk av personopplysningene.
Nødvendige helseopplysninger og eventuelt andre personopplysninger kan hentes til den elektroniske løsningen fra
- borgeren eller helseaktøren, for eksempel via et søknadsskjema eller i en søknadsdialog
- offentlige registre (for eksempel folkeregisteret og Aa-registeret)
- Helsedirektoratets og Helfos egne databaser
Når Helfo fatter et automatisert vedtak, skal det i søknadsprosessen gis relevant og veiledende informasjon før, under og etter at vedtaket treffes, samt en begrunnelse for avgjørelsen. Det skal også opplyses om adgangen til å få avgjørelsen overprøvd. Dette følger av informasjonsplikten etter forvaltningsloven.
Krav til likebehandling
Helsedirektoratet må sikre at den automatiserte behandlingen og avgjørelsen er i tråd med folketrygdlovens bestemmelser og formål.
For at en helautomatisk behandling skal være forsvarlig, må kravet til likebehandling og likhet for loven være ivaretatt. Dette innebærer at saksbehandlingen som foregår i den helautomatiske prosessen, ikke skal være annerledes enn om den hadde blitt gjort manuelt. Det skal ikke legges andre opplysninger til grunn for avgjørelsen, og regelverket skal ikke anvendes på en annen måte.
Det samme faktagrunnlaget skal gi det samme resultatet uavhengig av om behandlingen skjer manuelt eller automatisk. Dette betyr for eksempel at den manuelle behandlingen ikke kan medføre en strengere vilkårsvurdering enn den vurderingen som gjøres maskinelt. Videre skal saksbehandleren i en sak som har kommet til manuell behandling, ikke på nytt vurdere vilkår som i løsningen allerede er vurdert oppfylt. Unntak gjelder når det er helt tydelig at borgeren eller helseaktøren har benyttet feil søknadskjema eller gjort valg underveis i søknadsprosessen som har medført at hen har truffet feil søknadstype eller regelsett.
Effektiv forvaltning
Kravet om effektivitet i forvaltningen innebærer at Helsedirektoratet og Helfo skal legge til rette for at saksbehandlingen kan skje raskt og riktig, og at arbeidsprosesser er minst mulig ressurskrevende. Automatisert saksbehandling bygger i utgangspunktet opp under dette kravet, fordi det flytter oppgaver bort fra saksbehandlere som i dag fatter vedtak manuelt, og dermed frigir ressurser til andre oppgaver.
Et dynamisk søknadsskjema betyr at man stiller relevante spørsmål i brukerdialogen når det søkes om en ytelse. Alt etter hva borgeren eller helseaktøren krysser av for, veiledes vedkommende videre til spørsmål som er aktuelle for det svaret som er gitt.
Sentrale personvernbestemmelser
Helautomatisert avgjørelse versus delautomatisert avgjørelse
Personvernforordningen artikkel 22 regulerer et forbud mot helautomatiserte individuelle avgjørelser. Unntak er hvis en helautomatisert avgjørelse er
- nødvendig for å oppfylle en avtale mellom en registrert og en behandlingsansvarlig
- basert på samtykke
- tillatt etter unionsretten eller nasjonal rett
Automatiserte vedtak forutsetter at regelverket tolkes og spesifiseres, og deretter programmeres til algoritmer som uttrykker dette regelverket. For at en avgjørelse skal anses for å være helautomatisert, må avgjørelsen fattes ved at algoritmen anvendes på personopplysninger som er hentet inn i systemløsningen, uten involvering av en saksbehandler.
En avgjørelse er ikke helautomatisert hvis en saksbehandler har vært involvert i saksbehandlingen før avgjørelsen blir truffet, blant annet hvis hen har
- brukt en rettsregel på et konkret saksforhold (subsumsjon)
- gjennomgått og tatt stilling til opplysninger som den automatiserte avgjørelsen ikke har tilgang til eller har kunnet ta stilling til
- gjennomgått og tatt stilling til et forslag til vedtak basert på en
En elektronisk beslutningsstøtte er et IT-verktøy / en regelmotor som kombinerer programmerte rettsregler med konkrete helse- og personopplysninger, og som lager forslag til vedtak som en saksbehandler kan ta stilling til.
Avgjørelsen har rettsvirkninger eller tilsvarende påvirkning for den registrerte
Et enkeltvedtak er vedtak som gjelder rettigheter eller plikter til én eller flere bestemte personer.
Den registrertes rettigheter
En automatisering vil kunne berøre grunnleggende rettigheter og friheter, som retten til et privatliv og personvern. Bruk av automatiserte avgjørelser utgjør en form for inngrep som krever særlig varsomhet for å unngå urettmessig bruk av personopplysninger.
Helsedirektoratet kan beslutte at Helfo kan fatte automatiserte avgjørelser hvis det er fastsatt egnede tiltak for å verne den registrertes rettigheter, friheter og berettigede interesser, jf. personvernforordningen artikkel 22 (lovdata.no) nr. 2 bokstav b og personvernforordningen artikkel 9 (lovdata.no/nav) nr. 2 bokstav g, jf. artikkel 22 nr. 4.
Egnede tiltak skal sikre at den automatiserte behandlingen er rettferdig og åpen, minimere risikoen for feil og hindre diskriminering.
Prinsippet om dataminimering
I forbindelse med den automatiserte avgjørelsen skal man bare behandle personopplysninger som er adekvate (tilstrekkelige), relevante (vesentlige) og nødvendige for formålet. Dette går frem av prinsippet om dataminimering, som blant annet innebærer
- å begrense mengden personopplysninger som hentes inn og behandles, til det som er nødvendig for å oppnå formålet
- at personopplysninger skal slettes når det ikke lengre er nødvendig å lagre dem for formålet de behandles for (Helsedirektoratet og Helfo skal imidlertid etterleve arkivregelverket og økonomiregelverket)
Det må gjøres tilstrekkelige vurderinger av hvilke personopplysninger det er nødvendig å behandle. Dette gjelder i forbindelse med
- analyser, utvikling og test av den automatiserte løsningen før den er satt i produksjon
- den automatiserte avgjørelsen etter at løsningen er satt i produksjon
Informasjon til den registrerte
Hvis helseopplysninger eller andre personopplysninger skal behandles for å treffe automatiserte avgjørelser, skal den registrerte få informasjon om
- at den registrertes personopplysninger blir behandlet i helautomatiserte avgjørelser, jf. personvernforordningen artikkel 13 (lovdata.no) nummer 2 bokstav f og personvernforordningen artikkel 14 (lovdata.no) nummer 2 bokstav g
- eventuelle saker som vil gå til manuell behandling
- betydningen og de forventede konsekvensene av en slik behandling for den registrerte, jf. personvernforordningen artikkel 13 nr. 2 bokstav f og artikkel 14 nr. 2 bokstav g
- rett til innsyn i egne personopplysninger etter personvernforordningen artikkel 15 (lovdata.no)
Denne informasjonen vil fremgå av søknadsløsningen, vedtaket og/eller på relevant nettside.
Videre skal den registrerte kunne finne informasjon om den underliggende logikken i en slik automatisert behandling (for eksempel hvilke rettsregler som er bygget inn i løsningen, og hvordan og når disse vurderes), jf. personvernforordningen artikkel 13 nr. 2 bokstav f og artikkel 14 nr. 2 bokstav g.
Se vedlegg til rundskriv til folketrygdloven kapittel 21 – § 21-11 a andre ledd: automatisert behandling for beskrivelser av løsningene hvor Helsedirektoratet og Helfo i dag benytter automatisert behandling.