Datatilsynets brev til nettselskapene og Reguleringsmyndigheten for energi i NVE (RME) tilsvar om ulovlig innhenting av helseopplysninger, samt Personvernnemndas avgjørelse.
Behandling av personopplysninger er bare lovlig dersom det finnes et behandlingsgrunnlag, jf. personvernforordningen (GDPR) art. 6 nr. 1. Når det gjelder helseopplysninger – som faller inn under "særlige kategorier" – er behandlingen i utgangspunktet forbudt og må i tillegg omfattes av unntakene i art. 9 nr. 2.
Nettselskapene må ha særskilt hjemmel i forskriften for å kunne behandle slike opplysninger. Dette må fremgå eksplisitt – for eksempel som i førerkortforskriften vedlegg 1 § 4 om helseattest. Ifølge nettselskapenes svar på Datatilsynets brev av 16. desember 2020, kan de ikke dokumentere at de har et slikt behandlingsgrunnlag.
Datatilsynets brev til nettselskapene
Den 16. desember 2020 sendte Datatilsynet brev til en rekke nettselskaper – både de som var nevnt i klager og et utvalg selskaper med mange kunder – hvor de ba om en redegjørelse for behandlingen av helseopplysninger. Tilsynet vurderte at den gjeldende praksisen rammer langt flere enn dem som har klaget. Svarene fra de ulike nettselskapene ble senere offentliggjort og er tilgjengelige nederst på siden.
Datatilsynets brev til Reguleringsmyndigheten for energi (RME)
Den 30. august 2021 ba Datatilsynet RME om en redegjørelse for forvaltningspraksisen som krever legeerklæring for AMS-fritak. Ifølge NVE-RMEs egen praksis kan fritak gis dersom kunden fremlegger erklæring fra lege eller psykolog som bekrefter frykt eller ubehag som antas å være knyttet til AMS.
Datatilsynets avslutning av klagesak – behandling av helseopplysninger ved søknad om AMS-fritak.
Den 30. mars 2022 avsluttet Datatilsynet en klagesak knyttet til nettselskapenes behandling av helseopplysninger i forbindelse med søknader om fritak fra installasjon av AMS-kommunikasjonsenhet. Avslutningen har blitt påklaget, og klagen behandles nå av Personvernnemnda. En avgjørelse er forventet i løpet av første kvartal 2023.
Flere har uttrykt bekymring for at Datatilsynet ikke har tatt en selvstendig vurdering i saken, men i stedet overlatt beslutningen til Personvernnemnda. Det stilles også spørsmål ved om tilsynet har vært tilbakeholdent med å utfordre Reguleringsmyndigheten for energi (RME) – et annet statlig organ – på grunn av manglende vilje til å ta stilling til deres forvaltningspraksis.
Relevant presedens: PVN-2022-05
En lignende sak ble behandlet av Personvernnemnda våren 2022 (PVN-2022-05), hvor Statsforvalterens innhenting av helseopplysninger i forbindelse med stadfestelse av en fremtidsfullmakt ble vurdert. I den saken ble Datatilsynets vedtak omgjort, noe som gir håp til de som ønsker en annen utfall i AMS-saken.
Kommentarer til Datatilsynets vurdering
Avslutningsbrevet fra Datatilsynet inneholder få begrunnelser for hvorfor saken ble avsluttet. Det vises til «allmenhetens interesse» som et argument for at nettselskapene skal kunne behandle helseopplysninger – uten samtidig å fastsette krav om taushetsplikt. Dette har vakt reaksjoner.
Et sentralt spørsmål er om noe som installeres i et privat hjem – som AMS – virkelig kan sies å være av allmenn interesse, særlig når installasjonspunktet ikke eies eller kontrolleres av nettselskapet. Grunnloven § 102 gir enkeltpersoner rett til respekt for sitt privatliv og sin kommunikasjon, noe flere mener ikke er tilstrekkelig vurdert av Datatilsynet. Det reises også spørsmål om tilsynet har fått eller benyttet mangelfull eller feilaktig informasjon fra RME i sin vurdering.
Personvernnemndas avgjørelse PVN-2022-17 (Datatilsynets referanse: 20/04691-27) 28. februar 2023
Nettselskapers behandling av helseopplysninger ved søknad fra kunder om fritak for installasjon av avanserte måle- og styringssystemer (AMS)
Kommentar til Personvernnemndas behandling av klager om AMS og helseopplysninger
Det er alvorlig og foruroligende at Personvernnemnda i sin behandling av klagesaken ikke adresserte de konkrete og sentrale spørsmålene som ble reist av klagerne – særlig knyttet til manglende rettslig grunnlag for innhenting av helseopplysninger ved fritak fra AMS-kommunikasjonsenhet.
Saken reiser et prinsipielt viktig spørsmål: Hvordan kan både Datatilsynet og Personvernnemnda konkludere med at forbrukerens strømforbruk – og de tilhørende målerdataene – er av allmenn interesse, når det dreier seg om personopplysninger som tilhører kunden? Disse dataene reflekterer aktivitetsmønstre i private hjem og må anses som beskyttet informasjon etter både personvernforordningen (GDPR) og Grunnloven § 102.
I tillegg gjelder det mest alvorlige aspektet: Nettselskapenes systematiske praksis med å kreve og lagre lege- og psykologerklæringer fra kunder som søker fritak. Helseopplysninger er etter GDPR artikkel 9 en særskilt kategori som det er forbudt å behandle med mindre ett av de strenge unntakene i artikkel 9 nr. 2 er oppfylt – og det foreligger eksplisitt hjemmel i lov eller forskrift. En slik hjemmel finnes ikke i avregningsforskriften § 4-1.
At tilsynsmyndigheter ser bort fra dette kravet, og at forvaltningspraksis fra RME vektlegges i stedet for eksplisitt lovhjemmel, gir grunn til alvorlig bekymring. Det fremstår som om systemet er rigget for å legitimere en praksis som er i strid med personvernlovgivningen og grunnleggende rettigheter for enkeltindivider.
Kommentar: Kontrasten mellom kommunal praksis for vannmålere og Datatilsynets behandling av AMS-saker
Veilederen «Smarte Vannmålere» (januar 2024, s. 11) fremhever en praksis som tydelig viser hvordan kommunesektoren evner å håndtere innbyggeres bekymringer på en pragmatisk og respektfull måte. Her åpnes det for at abonnenter kan be om fritak fra fjernavleste vannmålere – for eksempel på bakgrunn av frykt for stråling – og at slike ønsker kan innvilges uten krav om legeattest.
Dette står i skarp kontrast til hvordan Datatilsynet og Personvernnemnda har håndtert tilsvarende problemstillinger knyttet til det misvisende begrepet "AMS-målere". Der har det vært praksis for å kreve lege- eller psykologerklæring for fritak, til tross for at helsemyndighetene – blant annet Helsedirektoratet – eksplisitt fraråder at slike attester utstedes. Veilederen for vannmålere refererer nettopp til dette og konkluderer at dokumentasjonskrav ikke er rimelig.
Oppsummeringen i veilederen er krystallklar:
• Ønske om fritak bør aksepteres
Dette illustrerer at det finnes juridisk og administrativt handlingsrom for å ta hensyn til borgernes egne vurderinger uten å krenke personvernet ved å innhente eller lagre sensitive helseopplysninger. Den kommunale tilnærmingen viser at det er fullt mulig å balansere teknologisk fremdrift med individets rett til privatliv og selvbestemmelse – uten å gripe til tvang eller rettslig usikre praksiser.
Datatilsynet og Personvernnemnda bør merke seg dette som et eksempel på hvordan forvaltningsansvar også innebærer å ivareta rettssikkerhet og tillit – ikke bare regelanvendelse for å tilpasse seg føringer fra Reguleringsmyndigheten for energi (RME). Når kommuner kan tilby et reelt fritaksalternativ uten å presse frem medisinsk dokumentasjon, bør det samme forventes i behandlingen av AMS-saker. Alt annet fremstår som inkonsekvent og prinsippløst.
Kritiske betraktninger om Datatilsynets håndtering av helseopplysninger i AMS-saker
Det at en kunde har installert en strømmåler i sitt hjem, er i utgangspunktet ikke av allmenn interesse. Det dreier seg om en privatrettslig avtale mellom kunden og nettselskapet for å muliggjøre strømleveranse – en transaksjon på linje med andre tjenestekjøp. Likevel ser det ut til at både nettselskapene og Datatilsynet i visse tilfeller har vist en ufullstendig forståelse av de personvernrettslige rammene for behandling av helseopplysninger.
Flere nettselskaper har tolket seg frem til et rettslig grunnlag for behandling av personopplysninger etter artikkel 6 i personvernforordningen (GDPR) og stanset lesningen der. Dette er i seg selv problematisk, ettersom helseopplysninger tilhører en særskilt kategori og derfor faller inn under artikkel 9, som i utgangspunktet forbyr slik behandling – med mindre et konkret unntak i artikkel 9 nr. 2 foreligger.
Når Reguleringsmyndigheten for energi (RME) hevder at dokumentert ulempe innebærer en lege- eller psykologerklæring, bringer dette helseopplysninger direkte inn i saksbehandlingen. Dermed aktiveres artikkel 9. I slike tilfeller er det ikke tilstrekkelig å vise til artikkel 6 alene. At Datatilsynet likevel har basert sin vurdering på artikkel 6 – uten samtidig å drøfte artikkel 9 – er urovekkende.
Dette reiser alvorlige spørsmål: Har saksbehandlerne i Datatilsynet faktisk forstått det rettslige rammeverket fullt ut? Og hvordan kan man stole på at tilsynet vil treffe riktige avgjørelser i fremtiden dersom de overser sentrale bestemmelser i personvernregelverket?
I tillegg oppstår det bekymring rundt forholdet mellom Datatilsynet og RME. Dersom det stemmer at RME truer med å fjerne fritaksordningen i avregningsforskriften § 4-1 dersom nettselskapene nektes å behandle helseopplysninger, er dette en form for press som overskrider RMEs myndighetsområde. RME bør ikke veilede eller legge føringer for tolkningen av personvernlovgivningen – et ansvarsområde som ligger hos Datatilsynet.
Datatilsynet har selv uttalt at de ikke blander seg inn i RMEs tolkning av eget regelverk. Likevel virker det som om tilsynet i praksis lar seg påvirke av RMEs forvaltningspraksis – en praksis som til og med kan være i strid med personvernlovgivningen. Det setter personvernet og rettssikkerheten til forbrukerne i fare.
Datatilsynet må sikre at nettselskapenes praksis er i samsvar med personvernforordningen – uavhengig av føringer eller antakelser fra andre myndigheter. Det er nettopp dette tilsynets rolle skal være.
Glitre Energi Nett (GEN) har valgt å sende ut søksmålsvarsler til kunder som ikke ønsker å levere helseattester i forbindelse med fritak fra AMS-kommunikasjonsenhet. Dette skjer til tross for at Datatilsynets vedtak om å avslutte saken er påklaget og nå er til behandling i Personvernnemnda. At et nettselskap i denne situasjonen igangsetter rettslige skritt fremstår som både forhastet og uansvarlig.
I et brev signert av kundesjef Espen Lundberg Pedersen vises det til en uttalelse fra Reguleringsmyndigheten for energi (RME) i et vedtak av 11. november 2021. Denne saken er imidlertid fortsatt ikke rettskraftig, ettersom den ble påklaget 4. desember 2021 og først oversendt Energiklagenemnda 31. mars 2022. Å bruke denne typen pågående saker som rettslig grunnlag virker problematisk, og reiser spørsmål om GENs forståelse av rettsprosessens prinsipper.
Usikker avtalepraksis og henvisning til nye vilkår
GEN viser i søksmålsvarselet også til standardvilkår for nettleie fra 2021. Disse er det uklart om kundene faktisk har gitt et aktivt samtykke til, noe som er et krav etter markedsføringsloven § 22 om urimelige avtalevilkår. Ved vesentlige endringer i avtaleforholdet må kunden gi uttrykkelig aksept for at nye vilkår skal være bindende. Å påtvinge nye vilkår uten samtykke kan derfor være i strid med forbrukerbeskyttelsen. Les om de nye vilkårene her.
Viktigst er likevel at kunden ikke har motsatt seg selve målerbyttet, men kun reservert seg mot AMS-kommunikasjonsdelen – en komponent det ikke foreligger noen absolutt plikt til å akseptere, jf. tidligere praksis og rettslige vurderinger, som eksempelvis Kristiansand tingretts kjennelse 17. september 2018.
Behov for tydelig myndighetsansvar
Datatilsynet har tidligere varslet GEN om at deres behandling av helseopplysninger reiser alvorlige spørsmål etter personvernforordningen. Det er bekymringsfullt at GEN likevel fortsetter å presse kundene basert på henvisninger til saker og rettsgrunnlag som ennå ikke er endelig avgjort. Dette skaper rettsusikkerhet og kan oppfattes som maktmisbruk.
Myndighetsorganer som Datatilsynet må nå ta et tydelig ansvar for å klargjøre grensene for nettselskapenes praksis – både når det gjelder personvern og avtaleforhold – og sikre at kunders rettigheter ikke undergraves i møte med teknologiske krav og fortolkninger uten hjemmel.
Agder Energi Nett Svar til Datatilsynet – Nettselskapers behandling av helseopplysninger 20.1.2021. Seksjonsleder Ole-Herman Cappelen.
Ams.monster kommentar på svaret fra Agder Energi Nett.
BKK NETT Svar på krav om redegjørelse for nettselskapers behandling av helseopplysninger 28.1.2021. Leder kunde: Mads Didriksen og seksjonsleder Berit Joli Haaland.
Elvia Svar på krav om redegjørelse for nettselskapers behandling av helseopplysninger 20.1.2021. Direktør Nettstrategi: Anne Sagstuen Nysæther og Jon Eivind Johannessen.
Ams.monster kommentar på svaret Elvia til Datatilsynet
Glitre Energi Nett Svar på krav om redegjørelse for nettselskapers behandling av helseopplysninger 20.1.2021. Avdelingsleder Kunde: Espen Lundberg Pedersen og Seksjonsleder Kundeservice: Monica Dos Santos.
Ams.monster kommentar på svaret fra Glitre Energi Nett.
Haugaland Kraft Nett - Svar på krav om redegjørelse for nettselskapers behandling av helseopplysninger 2.2.2021. Prosjektdirektør: Asbjørn Tverdal.
Lyse Elnett - Svar på krav om redegjørelse for nettselskapers behandling av helseopplysninger 2.2.2021. Leder rammebetingelser: Åse Helland.
Norgesnett svar - Krav om redegjørelse - Nettselskapets behandling av helseopplysninger 20.1.2021. Leder: Terje Gabrielsen.
Skagerak Nett AS (Lede AS) redegjørelse om hvordan helseopplysninger behandles 26.1.2021. Juridisk Fagsjef - Advokat: Thomas Åtland Ellefsen. Advokaten sier imot lovverket. Burde vært meldt inn til advokatforeningen på brudd på god advokatskikk. En god advokat skal fremme rett og hindre urett.
Ams.monster kommentar på svaret fra Skagerak Nett.
Tensio - Redegjørelse - Nettselskapers behandling av helseopplysninger 3.2.2021. Seksjonsleder Hanne Reidun Slapgård.
Troms Kraft Nett (nå Arva) besvarte ikke Datatilsynets brev av 16.12.2020. Nettdirektør: Eirin Kjølstad.