Slik får du tilgang til opplysninger fra Skatteetaten

Før du søker om tilgang, er det viktig å avklare om din virksomhet har behandlingsgrunnlag for de aktuelle opplysningene. Hvis du inngår en avtale med Skatteetaten om tilgang til opplysninger, kreves det at organisasjonen har kompetanse og kapasitet for å håndtere mottak og behandling av opplysningene.

Skatteetaten har en rekke føringer som vi må ta hensyn til når vi skal vurdere om opplysninger kan deles. Du kan se oversikt over opplysningene vi deler.

Slik går du frem

Du må

  • ha en faglig forståelse av opplysningene du får og hvordan disse kan brukes
  • ha rutiner og ressurser for å håndtere dine sluttbrukere
  • ha en organisasjon som eier og forvalter mottak og behandling av opplysninger du får
  • være godt kjent med forpliktelsene som ligger i behandlingsansvaret for personopplysninger
  • ha gjort deg kjent med hvilke delingstjenester vi tilbyr
  • ha gjort deg kjent med hvordan vi utvikler tjenester i et teknologisk samarbeid

Hvem gjør hva?

Aktivitet Dere Skatteetaten

Redegjøre behov for data og avklare hjemmel

x  

Holde orden i data og ansvar

  x

Finne data

x  

Gjøre data tilgjengelig og klargjøre for deling

  x

Be om tilgang til data

x  

Vurdere tilgang til data

  x

Dialog for å kartlegge behov

x x

Tilby avtale

  x

Signere avtale og akseptere vilkår

x  

Gi tilgang til data

  x

Få tilgang til data

x  

Dele data

  x

Motta data

x  

Skatteetaten krever at virksomheter som ønsker opplysninger har rettslig grunnlag for å innhente og behandle opplysninger fra Skatteetaten.

Personopplysninger som deles fra Skatteetaten er taushetsbelagt. I henhold til retningslinjene nedfelt i Policy for deling er det to krav som må være oppfylt for å få tilgang til opplysninger:

  • Virksomheten må ha grunnlag for å innhente opplysningene fra Skatteetaten basert på lovhjemmel eller det må være basert på samtykke.
  • Virksomheten må ha grunnlag for å behandle opplysningene (behandlingsgrunnlag) med hjemmel i lov eller forskrift.

Det er virksomhetens ansvar å sikre seg nødvendige grunnlag for innhenting og behandling, og å dokumentere dette overfor Skatteetaten.

Skatteetaten kan ikke dele opplysninger med virksomheter uten hjemmel med et lovregulert behandlingsgrunnlag for taushetsbelagte opplysninger.

Formålet med avgrensningen er å sikre lik behandling av virksomheter som får tilgang til data fra Skatteetaten.

 

Virksomheten må ha grunnlag for å behandle opplysninger (behandlingsgrunnlag).

Skatteetaten forutsetter med dette at virksomheten har et lovregulert behandlingsgrunnlag. Når virksomhetens bruk av opplysninger er lovregulert, har lovgiver vurdert og godkjent formålet med bruken av opplysningene.

Virksomheter uten lovregulert behandlingsgrunnlag må be om samtykke fra alle personer som de behandler personopplysninger om. Skatteetaten har ikke forutsetninger til å vurdere formålet med bruken og vilkårene for utlevering i slike tilfeller.

I tillegg til eget behandlingsgrunnlag må virksomheten ha grunnlag for å få utlevert taushetsbelagte opplysninger fra Skatteetaten. Et slikt grunnlag opphever taushetsplikten og kan være basert på hjemmel eller samtykke.

  • En stor del av opplysningene Skatteetaten forvalter er personopplysninger. Personopplysningsloven gir generelle regler om behandling av personopplysninger, mens det finnes mer detaljerte regler i Skatteetatens særlover. Svært mange av opplysningene Skatteetaten deler er underlagt lovbestemt taushetsplikt.
  • Skatteetatens taushetspliktsregler er strenge og er der for å hindre at uvedkommende får adgang eller kjennskap til bestemte opplysninger.
  • Taushetspliktbestemmelsene skal verne mot at opplysninger blir kjent for uvedkommende og bidra til at tillitsforholdet mellom myndighetene og de opplysningspliktige ivaretas
  • Taushetsplikten er ikke alltid til hinder for å gi ut opplysninger til ulike offentlige myndigheter og noen private virksomheter. Det finnes unntaksregler i både folkeregisterloven og skatteforvaltningsloven, i tillegg til i enkelte særlover. Vi må da vurdere om vilkårene i den aktuelle unntaksregelen er oppfylt i hvert enkelt tilfelle.

Etter utlevering av opplysninger fra Skatteetaten, er virksomheten ansvarlig for at all behandling skjer i henhold til relevant regelverk.

 

Virksomheten har ansvar for autorisasjon og autentisering av interne brukere og interne tjenester. Dette innebærer at Skatteetaten vil autorisere en virksomhet, men ikke virksomhetens egne tjenester

Virksomheten har ansvar for å minimere intern bruk. Det vil si å sikre at opplysningene ikke brukes til andre formål enn virksomheten har hjemmel til eller at det brukes flere opplysninger enn nødvendig

Virksomheten kan som behandlingsansvarlig sette ut behandling av data til en databehandler. Databehandlers grunnlag for tilgang til opplysninger forutsettes av virksomhetens behandlingsgrunnlag. Dette endrer ikke ansvarsforholdet.

1 - Deling av opplysninger til organisasjoner

illustrasjon-behandlingsansvarlig-01.PNG

2 - Minimering av opplysninger fra organisasjon til tjeneste

illustrasjon-behandlingsansvarlig-02.PNG

Tilsyn med overholdelse av regelverk er underlagt aktuelle tilsynsmyndigheter (eksempelvis Datatilsynet og sektorspesifikke tilsyn som Finanstilsynet, Helsetilsynet med flere). Skatteetaten fører ikke tilsyn med konsumentenes behandling av opplysninger, men vi kan reagere på brudd eller mistanke om brudd på vilkårene for deling.

Det er viktig å avklare hvilke opplysninger som ivaretar virksomhetens behov, og å sikre at det er en felles forståelse av innholdet i opplysningene (begrepene). Som virksomhet må du i tillegg vurdere kvaliteten på opplysningene og sørge for at organisasjonen er rigget til å håndtere delingen av opplysningene.

Viktig med felles forståelse av innholdet

Det er viktig at du kartlegger prosesser og gjør begrepsavklaringer for å sikre at virksomheten og Skatteetaten har samme forståelse av innholdet i opplysningene som etterspørres. Det er også viktig å sikre at opplysningene dekker virksomhetens behov.

Skatteetaten tilgjengeliggjør i utgangspunktet opplysningene slik de forekommer i Skatteetatens registre. Dette betyr at det i hovedsak er dere som må tilrettelegge og bearbeide opplysningene videre for å dekke deres behov. Se oversikt over opplysninger som Skatteetaten har etablert delingstjenester for.

Kvalitet på opplysningene er tilpasset Skatteetatens behov

Opplysningene som distribueres av Skatteetaten er i flere sammenhenger samlet inn med et annet formål enn distribusjon til eksterne parter. Skatteetaten forvalter opplysningene i kraft av lovhjemler og har egne rutiner og risikovurderinger for å sikre riktig nivå på kvalitet av opplysningene. Dette for å løse etatens egne lovpålagte oppgaver. Virksomheter som mottar ulike opplysninger fra Skatteetaten må vurdere om det er behov for ytterligere kontroll av opplysningene eller om de er egnet for egen oppgaveløsning.

Krav til din virksomhet

  • Du må ha et apparat og ressurser for å håndtere sluttbrukerne av deres tjenester som skal bruke våre opplysninger
  • Du må ha en organisasjon som eier og forvalter mottak og behandling av opplysningene du får

Hvis det er avklart at din virksomhet kan få utlevert opplysninger fra Skatteetaten må det formaliseres hvordan gjennomføringen skal foregå. Det må opprettes en avtale ved at virksomheten aksepterer vilkårene som er satt av Skatteetaten. Virksomheten må også fylle ut og signere en konsumentavtale.

Virksomheter som har behov for de samme opplysningene fra Skatteetaten og som dermed er en del av et segment, kan lese mer om segmenter og segmentansvarlige.

illustrasjon-avtale-01.PNGDette står i vilkårene

Vilkårene setter rammene for hvordan deling av opplysninger fra Skatteetaten skal gjennomføres. I tillegg er det en del sentrale juridiske bestemmelser som gjelder ved utveksling av personopplysninger. Vilkårene er satt av Skatteetaten og gjelder slik de står beskrevet i dokumentene under. Vilkårene trenger ingen videre bearbeiding eller utfylling av virksomheten, og er delt inn i to dokumenter:

  • Delingsvilkår – gjelder all deling
  • Bruksvilkår – er knyttet til en spesifikk delingstjeneste (maskin til maskin)

I delingsvilkår finner du generelle vilkårene som gjelder når Skatteetaten deler opplysninger (personopplysninger). Disse vilkårene gjelder generelt og uavhengig av hvilket format og hvilken kanal opplysningene deles i. Dette betyr at delingsvilkårene gjelder når Skatteetaten deler opplysninger via telefon, per e-post eller via et elektronisk grensesnitt (maskin til maskin).

Bruksvilkårene er teknisk rettet og beskriver hva som gjelder hvis du benytter et elektronisk grensesnitt (maskin til maskin) for å hente opplysninger fra Skatteetaten. Her finner du blant annet forpliktelsene du må oppfylle når du tar i bruk delingstjenesten og hvilket tjenestenivå (SLA) Skatteetaten tilbyr. Bruksvilkår utfyller delingsvilkårene og gjelder i tillegg til disse.  

Det vil bli utarbeidet egne bruksvilkår for de ulike grensesnittene Skatteetaten tilbyr. Under finner du bruksvilkårene for flere av de moderniserte API-ene.

Skatteetaten må vite hvem vi deler opplysninger med og hvilket rettslig grunnlag (hjemmel) som gjelder for utleveringen og deres behandling av opplysningene. Vi må også vite hvem vi skal ta kontakt med hos dere, ved behov for det. Opplysninger om dette skal stå i konsumentavtalen. 

Et annet viktig aspekt ved konsumentavtalen er at den som har signeringsmyndighet erklærer at virksomheten skal behandle opplysninger etter formålet definert av det rettslige grunnlaget, og ikke for andre formål som ligger utenfor avtalen.

I konsumentavtalen er det en rekke felt som må fylles ut av konsumenten. Konsumentavtalen signeres av konsumenten.

Virksomheten må dekke egne kostnader til utvikling og drift. Ytelse og oppetid er beskrevet i Skatteetatens bruksvilkår, og delingstjenestene er standardiserte.

Hvem utvikler og forvalter hva

Skatteetaten tilbyr delingstjenestene via et grensesnitt uten noen form for betaling. Virksomheten dekker egne kostnader for tilrettelegging av egne systemer og eventuell drift og videreutvikling av disse.

Plikter, ansvar og rettigheter ved bruk av våre delingstjenester

Bruksvilkårene som fastsettes for delingstjenesten omfatter Skatteetatens og virksomhetens plikter, ansvar og rettigheter ved bruk av delingstjenester fra Skatteetaten, f.eks. hvilken ytelse, oppetid og varsling som kan forventes. Disse vilkårene må aksepteres av virksomheten for at deling skal kunne skje.

Standardisering og dataminimering

For å sikre en effektiv og skalerbar deling av opplysninger må delingstjenestene være begrenset, standardisert og tilpasset hensikten med deling. Skatteetaten kan ikke imøtekomme alle konsumenters behov og ønsker knyttet til delingstjenester. Skatteetaten deler derfor via standardiserte tjenester og grensesnitt som kan brukes av flere virksomheter i samsvar med felles føringer i arkitekturrammeverket for offentlig sektor.

Skatteetaten sikrer minimering av opplysninger gjennom bruk av filtre, rettighetspakker og andre mekanismer.

Du finner mer teknisk dokumentasjon om Skatteetatens delingstjenester på github for Folkeregisteret og github for øvrige delingstjenester.

Når du vet at du oppfyller kravene ovenfor, kan du søke tilgang. Fremgangsmåten er litt ulik avhengig av hva du søker tilgang til:

Hvilke opplysninger trenger du tilgang til?