Taushetsplikt og digital forsendelse — hva norsk rett krever
Taushetsplikt og digital forsendelse — hva norsk rett krever
«Taushetsplikten gjelder jo uansett om jeg sender per e-post eller post?»
Ja. Men det betyr ikke at kravene er de samme.
Forvaltningsloven § 13 pålegger taushetsplikt uavhengig av kommunikasjonsform. Taushetsplikten gjelder for opplysninger mottatt i tjenesten — muntlig, skriftlig, digitalt eller fysisk. Men regelverket stiller mer konkrete tekniske krav til digital overføring enn til fysisk post.
Hovedregelen: Medium spiller ingen rolle
Forvaltningsloven § 13 er teknologinøytral. Enhver som utfører tjeneste eller arbeid for et forvaltningsorgan plikter å hindre at andre får kjennskap til «noens personlige forhold» eller forretningshemmeligheter. Plikten gjelder uavhengig av om opplysningene formidles i samtale, i brev, i e-post eller via en digital tjeneste.
Prop. 79 L (2024–2025) kap. 30-30 bekrefter dette: taushetsplikten innebærer at den som er bundet av den, har plikt til å hindre at opplysningene «gjøres kjent for uvedkommende» — uansett form.
Plikten gjelder også etter tjenestens opphør. Og den omfatter også opplysninger man har fått «mer tilfeldig», for eksempel ved undersøkelser i arkivet eller overføring av opplysninger innen organet (Karnov-kommentar til § 13).
Men: Digitalt krever mer
Selv om taushetsplikten er den samme, er de tekniske kravene ved digital overføring strengere i praksis. Grunnen er enkel: digitale kanaler har andre risikoer enn fysisk post.
Forvaltningsloven § 15 a
Gir forvaltningen adgang til elektronisk kommunikasjon, men åpner for forskriftskrav om autentisering, integritet og konfidensialitet. Prop. 79 L presiserer at kravet om «sikker» kommunikasjon innebærer at forvaltningen må sørge for kommunikasjonsmåter som er «tilstrekkelig sikret mot at opplysninger kommer på avveie».
Forvaltningsloven § 13 c
«Dokumenter og annet materiale som inneholder opplysninger undergitt taushetsplikt, skal forvaltningsorganet oppbevare på betryggende måte.»
Prop. 79 L kap. 30-37 utdyper dette med krav om adgangskontroll og sporbarhet. Ny forvaltningslov innfører en plikt til å dokumentere hvilke tiltak som er iverksatt for trygg lagring.
eForvaltningsforskriften § 5
«Risiko for uberettiget innsyn i opplysningene være forebygget på tilfredsstillende måte.»
Ved kryptering skal forvaltningsorganets krypteringsnøkkel benyttes. Forvaltningsorganet skal informere om eventuelle risikoer ved elektronisk overføring.
Karnov-kommentaren til § 13
Kommentaren påpeker at taushetsplikten forutsetter systemer for tilgangskontroll og sporbarhet, og nevner kryptering og passordbeskyttelse som aktuelle tiltak for å hindre spredning utover det loven åpner for.
Ekomloven § 3-10: Tredjepartens taushetsplikt
Når et forvaltningsorgan bruker en tredjepartstjeneste for å sende dokumenter, er det viktig å kjenne til ekomloven § 3-10: Tilbydere og installatører av elektronisk kommunikasjon har selvstendig taushetsplikt om innholdet i kommunikasjon og om andres bruk av kommunikasjonstjenester.
De plikter å «gjennomføre tiltak for å hindre at andre enn de som opplysningene gjelder, får kjennskap til slike opplysninger».
Dette betyr at en tredjepartsleverandør som håndterer dokumentoverføring, har lovbestemt — ikke bare kontraktsbestemt — taushetsplikt. Det gir et ekstra lag med juridisk beskyttelse.
Hva som i praksis kreves ved digital forsendelse
Basert på regelverket og Prop. 79 L bør følgende tiltak vurderes:
Kryptering av innhold: Dokumentet bør krypteres under transport og helst også i hvile. For sensitive opplysninger bør ende-til-ende-kryptering vurderes, der tjenesteleverandøren ikke kan se innholdet.
Tilgangskontroll: Bare autoriserte personer bør ha tilgang til dokumentet. Tilgangen bør begrenses til de med tjenstlig behov.
Sporbarhet og logging: Det bør logges hvem som har sendt, mottatt og åpnet dokumentet, slik at uautorisert tilgang kan avdekkes.
Dokumentasjon av tiltak: Forvaltningsorganet bør dokumentere hvilke sikkerhetstiltak som er iverksatt — den nye forvaltningsloven gjør dette til en eksplisitt plikt.
Autentisering av mottaker: Graden av autentisering bør stå i forhold til risikoen. For dokumentmottak uten rettslig disposisjon kan lavere nivå enn BankID være tilstrekkelig (jf. eIDAS-rammeverket).
Rettspraksis: Begrenset, men retningsgivende
Domstolene har behandlet spørsmål om taushetspliktens rekkevidde, men ikke eksplisitt om teknisk sikring av digitale overføringer. HR-2010-1969-A og HR-2011-1169-U presiserer at taushetsplikten vurderes uavhengig av innsynsrett. HR-2022-2386-F behandler forretningshemmeligheter ved innsynsspørsmål.
Avgjørelsene bekrefter at taushetsplikten anvendes materielt — uavhengig av om materialet formidles digitalt eller fysisk. Men ingen av sakene tester spesifikt teknisk sikring av digital overføring.
Det betyr at feltet er juridisk uavklart for nye digitale kanaler. Organisasjoner som tar i bruk nye løsninger, bør dokumentere risikovurdering og tiltak grundig — for å være på riktig side hvis spørsmålet en dag testes rettslig.
Sjekkliste for forsvarlig digital sending
Inneholder dokumentet taushetsbelagte opplysninger (personlige forhold, forretningshemmeligheter)?
Hvis ja: Er kanalen kryptert (minst TLS, helst ende-til-ende)?
Er tilgangen til dokumentet begrenset til mottaker?
Logges tilgang slik at det kan etterprøves?
Er sikkerhetstiltakene dokumentert?
Har tredjepartsleverandøren selvstendig taushetsplikt (ekomloven § 3-10) og databehandleravtale?
Har du vurdert om mottaker har digitale verktøy til å hente dokumentet — og planlagt alternativ kanal hvis ikke?
Rettskilder brukt i denne artikkelen
- Forvaltningsloven §§ 13, 13 a, 13 b, 13 c, 15 a
- eForvaltningsforskriften § 5
- Ekomloven § 3-10
- Prop. 79 L (2024–2025) kap. 30-30, 30-37
- HR-2010-1969-A, HR-2011-1169-U, HR-2022-2386-F
- Karnov lovkommentar til fvl. § 13
- Ot.prp. nr. 3 (1976–1977)
Relaterte artikler
- Hvorfor du ikke bør sende sensitive dokumenter per e-post
- GDPR og dokumentoverføring: Hva artikkel 32 betyr i praksis
- Det juridiske rammeverket for sikker digital dokumentoverføring
- Zero-knowledge-arkitektur
Håkon Haugen er praktiserende verge og grunnlegger av envei.no.
Håkon Haugen
Praktiserende verge og grunnlegger av envei.no
Trenger du å sende dokumenter sikkert?
Prøv envei gratis →