Når du ønsker tilgang til data fra folkeregisteret, er det regulert i folkeregisterloven hvilke opplysninger du kan få tilgang til. Det finnes ulike rettighetspakker tilpasset disse reguleringene.

Fra Folkeregisteret deles både taushetsbelagte og ikke-taushetsbelagte opplysninger.

Ikke-taushetsbelagte opplysninger
Vi kan dele ikke-taushetsbelagte opplysninger med offentlige myndigheter og virksomheter, finansforetak og private virksomheter som utfører lovpålagte oppgaver eller oppgaver på vegne av det offentlige. Med øvrige private virksomheter kan vi dele ikke-taushetsbelagte opplysninger om navngitte og identifiserbare personer. For øvrige private virksomheter er det krav om begrunnet behov for utlevering av ikke taushetsbelagt opplysning om fødsels- og d-nummer.

Taushetsbelagte opplysninger
Vi kan dele taushetsbelagte opplysninger med offentlige myndigheter og virksomheter og private virksomheter som har hjemmel i lov til å innhente opplysninger fra Folkeregisteret uten hinder av taushetsplikt.

Du har et behandlingsansvar

Når du mottar data fra Folkeregisteret, mottar du personopplysninger som krever behandling i tråd med deres behandlingsgrunnlag.

Virksomheten din blir behandlingsansvarlig når dataene mottas og har ansvaret for å etterleve pliktene etter personopplysningsloven. Dette bekrefter dere ved aksept av bruks- og delingsvilkår i forbindelse med søknad om tilgang til Folkeregisteret.

Virksomheten din har ansvar for å sikre at dataene brukes i tråd med lovregulerte vilkår for deling, i henhold til virksomhetens behandlingsgrunnlag og at det ikke brukes flere opplysninger enn nødvendig.

Skal du bruke en systemleverandør som mottar og behandler dataene, får de rollen som databehandler. Databehandler er den som behandler personopplysninger på vegne av den behandlingsansvarlige. Det er fremdeles din virksomhet som har det overordnede ansvaret for behandlingen av dataene. I tillegg vil databehandlere få egne plikter som må etterfølges.

Bruker du systemleverandør må du ha en databehandleravtale med systemleverandøren du bruker.

Du kan lese mer om retningslinjene våre i Policy for deling, eller lese mer om behandlingsgrunnlag hos Datatilsynet.

Behandlingsansvarlig og databehandler

Hvem er behandlingsansvarlig, og hvem er databehandler?

En virksomhet kan være både databehandler og behandlingsansvarlig på samme tid. For eksempel kan hoveddelen av virksomheten innebære å opptre som databehandler for en behandlingsansvarlig virksomhet. Samtidig vil virksomheten behandle personopplysninger om sine egne ansatte som behandlingsansvarlig.

Har virksomheten din behov for å innhente folkeregisteropplysninger i rollen som behandlingsansvarlig skal virksomheten søke om egen tilgang og benytte denne i tråd med virksomhetens behandlingsgrunnlag. Dersom virksomheten din skal innhente folkeregisteropplysninger på vegne av en annen virksomhet, i rollen som databehandler, må imidlertid delegert tilgang fra den behandlingsansvarlige virksomheten benyttes. Dette skyldes at Skatteetaten, som behandlingsansvarlig på sin side, trenger å vite hvilken behandlingsansvarlig det er delt med, i det enkelte tilfelle. Det er den behandlingsansvarlige som har ansvar for at riktig tilgang benyttes.

Skatteetaten logger alle oppslag som gjøres mot Folkeregisteret.

Skatteetaten har plikt til å informere Datatilsynet ved brudd på personvernregelverket.

Hente data fra Folkeregisteret i rollen som databehandler

Som databehandler må du bruke den delegerte tilgangen fra behandlingsansvarlig ved innhenting av opplysninger i Folkeregisteret. Én databehandler kan behandle opplysninger på vegne av flere behandlingsansvarlige. Som databehandler må du bruke tilgangen fra riktig behandlingsansvarlig for hver innhenting av opplysninger.

Dersom for eksempel en databehandler henter folkeregisteropplysninger på vegne av tre kommuner, innebærer dette at databehandleren må bytte tilgang avhengig av hvilken kommune databehandleren opptrer på vegne av. Tilgangen fra kommune A må brukes ved innhenting av opplysninger for kommune A osv.

Dersom du som databehandler ajourholder et personregister for hver av de tre behandlingsansvarlige kommunene, må du som databehandler benytte hver enkelt tilgang for ajourhold av disse. Hvis for eksempel en person fremgår i samtlige av personregistrene som databehandleren ajourholder på vegne av de tre kommunene, må databehandleren fange opp endringer for denne personen via hendelseslisten i hver av de tre tilgangene. I tillegg må det gjøres oppslag i Folkeregisteret med hver av de tre tilgangene for oppdatering av hvert av de respektive personregistrene.

Hvordan vite hvilken tilgang man skal benytte?

Som databehandleren må du vite hvilken behandlingsansvarlig virksomhet du opptrer på vegne av når det innhentes data fra Folkeregisteret. Før delingstjenestene benyttes må du som databehandleren ha nok informasjon til å vite om det er kommune A, kommune B eller kommune Cs tilgang som skal benyttes.

Fylkes-/kommunale foretak og interkommunale foretak

Kommunalt eller fylkeskommunalt foretak er ikke en egen juridisk person, men er en del av kommunen eller fylkeskommunen. Kommunale eller fylkeskommunale foretak får følgelig ikke egen tilgang til Folkeregisteret, og må i stedet bruke eierkommunen eller fylkeskommunens tilgang.

Interkommunale selskaper kan ha rettigheter, forpliktelser og partsstilling overfor domstol og andre myndigheter. Interkommunale selskaper kan følgelig etter søknad få egen tilgang til Folkeregisteret. Interkommunale selskaper vil normalt være databehandler for deltakerne i selskapet, samtidig som selskapet kan være behandlingsansvarlig for øvrige personopplysninger i virksomheten. Egen tilgang til Folkeregisteret kan dermed benyttes for å behandle personopplysninger for egne formål, mens tildelegerte tilganger fra deltakerne må benyttes når selskapet henter folkeregisteropplysninger i rollen som databehandler.

Du må ta hensyn til informasjonssikkerhet og personvern

Du må selv avklare om det er behov for spesielle krav til informasjonssikkerhet og personvern. Eksempelvis å gjøre tiltak for informasjonssikkerheten med hensyn til konfidensialitet, integritet og tilgjengelighet. Du må også se til at personopplysninger du behandler er oppdaterte og korrekte, ikke blir lagret lenger enn nødvendig og sørge for sletting av opplysninger som ikke lenger benyttes.

Du kan lese mer i bruksvilkårene til Folkeregisteret.

Du har taushetsplikt

Fra Folkeregisteret deles både taushetsbelagte og ikke-taushetsbelagte opplysninger. Hvorvidt din virksomhet , har  taushetsplikt om opplysningene vi deler med dere, vil avhenge av lovgivingen som regulerer din virksomhet. Eksempelvis har forvaltningsloven, finansforetaksloven, helsepersonelloven og pasientjournalloven regler om taushetsplikt. Ved aksept av bruks- og delingsvilkår i forbindelse med søknad om tilgang til Folkeregisteret bekrefter dere at dataene vi deler med din virksomhet skal behandles henhold til lovregulert taushetsplikt.

Mulige behov for lovendringer

I enkelte tilfeller er det behov for lovendringer for å dele data med virksomheten. Disse endringene kan være tidkrevende, og krever at virksomheten, i samarbeid med Skatteetaten, beskriver behovet for lovendringen.

Ta kontakt med oss om dette er aktuelt for din virksomhet

 

Ressurser til å utvikle og tilpasse tjenestene

Når virksomheten ønsker å motta data fra oss, må du ha ressurser på plass til å utvikle og tilpasse tjenester som kan motta data til bruk i deres systemer. Du kan ha behov for faglige, tekniske og juridiske ressurser i perioden frem til virksomheten får tilgang til data.

Du trenger rutiner og ressurspersoner

For å kunne motta data fra oss skal du sørge for å ha rutiner og nødvendige ressurspersoner for å kunne forvalte dataene. Du skal ha rutiner for å kunne håndtere endringer eller hendelser som oppstår. Virksomheten skal ha egne kontaktpersoner både fra teknisk og faglig side som tar ansvar for forvaltningen.

Du skal også kunne håndtere henvendelser, forespørsler og ønske om innsyn fra sluttbrukere og eksterne brukere.

Tid til forberedelser og gjennomføring for å hente folkeregisterdata avhenger av hvilke tjenester du velger å benytte:

• Oppslag direkte i nettleseren, vil kreve liten tid for å komme i gang med å bruke løsningen
• API, du må beregne noe mer tid til utvikling og tilpasning i egne løsninger

 

Slik henter du data via API

Når du har søkt og fått bekreftet tilgang til Folkeregisteret, er neste steg å etablere eller finne en teknisk løsning som gir deg tilgang til dataene. Den tekniske løsningen gjør at data utveksles mellom Folkeregisteret og din virksomhet.

Det finnes ulike tekniske løsninger du kan bruke for å få tilgang til og hente data fra Folkeregisteret. Du står fritt til å velge løsning. Din virksomhet kan bruke Folkeregisteret

• via Skatteetatens systemer (API fra maskin til maskin)
• via en systemleverandør

Vi bruker Maskinporten for tilgangsstyring i våre tjenester. Du kan lese mer om Maskinporten på Digdir sine sider.

 

Du må kunne tilpasse tjenestene til egen virksomhet

Når du mottar data fra oss, må virksomheten din selv gjøre tilpasninger i egne løsninger. Vi sikrer på vår side at APIene er tilgjengelige for dere.

 

 

Informasjonsmodeller for å beskrive innhold

Vi bruker blant annet informasjonsmodeller til å beskrive innholdet eller verdier du mottar gjennom APIene våre.

I tilknytning til informasjonsmodellene finner du oversikt over hvilke koder som kan inngå i dataene vi deler. Ved at vi har en felles forståelse for kodene, vil du som bruker dataene være sikker på at dataene vi deler blir oppfattet på tiltenkt måte.

Du finner informasjonsmodeller under API-navnene på GitHub: Skatteetatens delingstjenester for Folkeregisteret.