Oppgrader til nyeste versjon av Internet eksplorer for best mulig visning av siden. Klikk her for for å skjule denne meldingen
Ikke pålogget
{{session.user.firstName}} {{session.user.lastName}}
Du har tilgang til Idunn gjennom , & {{sessionPartyGroup.name}}

Når kan et forsikringsselskap behandle helseopplysninger på grunnlag av personvernforordningens artikkel 9 nr. 2 bokstav f om rettskrav?

Advokat, Roy Johansen er advokat i Frende Skadeforsikring, og har bred erfaring i forsikrings- og erstatningsrett etter mer enn 25 år i forsikringsselskapene Tryg og Frende. Han har tidligere utgitt to fagartikler og ga høsten 2019 ut boken Behandling av kundeopplysninger i forsikring i lys av GDPR og taushetsplikt.

Forsikringsselskaper behandler i en rekke tilfeller helseopplysninger om kunder og andre som krever erstatning. Personvernforordningen (GDPR) oppstiller i artikkel 9 nr. 1 et generelt forbud mot å behandle helseopplysninger. I artikkel 9 nr. 2 er det imidlertid gitt en rekke unntak fra dette forbudet. Artikkelen drøfter om et forsikringsselskap kan anvende unntaket i artikkel 9 nr. 2 bokstav f om rettskrav når det behandler helseopplysninger. I artikkelen legges det til grunn at forsikringsselskaper kan anvende unntaket om rettskrav i artikkel 9 nr. 2 bokstav f både ved avtaleinngåelsen, oppgjør under forsikringen, herunder ved et etterfølgende regressoppgjør, og ved en oppsigelse av forsikringen.

Nøkkelord: Rettskrav, utenrettslig behandling, avtaleinngåelsen, skadeoppgjør, regressoppgjør, oppsigelse

1. Artikkelens tema

Artikkelen1 drøfter om personvernforordningens artikkel 9 nr. 2 bokstav f om rettskrav gir et forsikringsselskap adgang til å behandle helseopplysninger når det er nødvendig for å kunne fastsette, gjøre gjeldende eller forsvare rettskrav. Behandling av helseopplysninger i forbindelse med rettskrav kan for eksempel være nødvendig ved avtaleinngåelsen, ved et oppgjør under forsikringen eller i forbindelse med en oppsigelse av forsikringen.

Spørsmålet er aktuelt fordi forordningens artikkel 9 nr. 1 oppstiller et generelt forbud mot å behandle helseopplysninger. I artikkel 9 nr. 2 er det gitt flere unntak fra forbudet i artikkel 9 nr. 1. To av unntakene kan synes aktuelle når forsikringsselskaper behandler helseopplysninger. Det er uttrykkelig samtykke etter bokstav a og bokstav f om rettskrav.

Samtykke er imidlertid problematisk fordi personvernforordningen stiller et strengt krav om at et samtykke skal være frivillig.2 Dette kravet kan vanskelig tilfredsstilles når helseopplysninger behandles ved avtaleinngåelsen eller i et oppgjør. Det skyldes flere forhold. For det første er det nødvendig å behandle helseopplysninger for å kunne inngå avtalen eller for å kunne kreve oppgjør under avtalen. For det andre er forsikringssøkeren etter lov forpliktet til å gi selskapet opplysningene. Se nærmere i punkt 3. For det tredje vil en nektelse av eller tilbaketrekking av samtykke ha en alvorlig negativ konsekvens for vedkommende – vedkommende kan da ikke inngå avtalen eller kreve oppgjør.3

Det er derfor behov for å drøfte om et forsikringsselskap i stedet kan anvende unntaket i artikkel 9 nr. 2 bokstav f om rettskrav når helseopplysninger må behandles i forbindelse med avtaleinngåelsen eller ved et skadeoppgjør.

I punkt 2 gis det først en kort oversikt over personvernforordningens krav om behandlingsgrunnlag for å kunne behandle helseopplysninger. Deretter gis det i punkt 3 en kortfattet oversikt over typiske tilfeller hvor et forsikringsselskap behandler helseopplysninger. I punkt 4 foretas det en nærmere analyse av artikkel 9 nr. 2 bokstav f. På grunnlag av denne gjennomgangen vil det i punkt 5 bli drøftet om selskapet kan anvende bestemmelsen i de tilfellene selskapet må behandle helseopplysninger. I lys av drøftelsene i punktene 4 og 5 gis det i punkt 6 noen ytterligere argumenter for hvorfor samtykke vanskelig kan være anvendelig i stedet for eller ved siden av artikkel 9 nr. 2 bokstav f. Avslutningsvis gis det i punkt 7 en kort konklusjon på det spørsmål som er drøftet i artikkelen.

2. Krav om behandlingsgrunnlag i personvernforordningen

Når et forsikringsselskap behandler personopplysninger, er selskapet underlagt reglene i personvernforordningen. Dette følger av forordningens artikkel 2 nr. 1 første punktum,4 som fastsetter at forordningen

får anvendelse på helt eller delvis automatisert behandling av personopplysninger og på ikke-automatisert behandling av personopplysninger som inngår i eller skal inngå i et register.

Siden forsikringsselskaper i Norge behandler personopplysninger i sine databaserte kunde- og fagsystemer, behandles opplysningene «helt eller delvis automatisert ». Forsikringsselskaper er derfor underlagt personvernforordningen.

Etter forordningens artikkel 6 kreves alminnelig behandlingsgrunnlag for å kunne innhente, registrere eller på annen måte behandle personopplysninger.5 Kravet om alminnelig behandlingsgrunnlag innebærer at det bare er tillatt å behandle personopplysninger dersom man kan vise til at minst ett av alternativene i artikkel 6 er oppfylt. Kravet om behandlingsgrunnlag i artikkel 6 gjelder ved behandling av alle typer personopplysninger. Personopplysninger er etter artikkel 4 nr. 1 alle opplysninger som kan knyttes til en bestemt fysisk person.

Hvilke alminnelige behandlingsgrunnlag i artikkel 6 som er aktuelle når et forsikringsselskap behandler personopplysninger, behandles ikke i artikkelen.6 For oversiktens skyld nevnes likevel kort at både artikkel 6 nr. 1 bokstav b om avtale, bokstav c om rettslig forpliktelse og bokstav f om berettiget interesse er aktuelle alminnelige behandlingsgrunnlag når helseopplysninger behandles i forsikring.

For visse typer personopplysninger er det imidlertid ikke tilstrekkelig med alminnelig behandlingsgrunnlag i artikkel 6. Artikkel 9 nr. 1 oppstiller – som nevnt i punkt 1 – et uttrykkelig forbud mot å behandle «særlige kategorier av personopplysninger» med mindre ett av unntakene i artikkel 9 nr. 2 kan anvendes. Det følger av opplistingen i artikkel 9 nr. 1 at helseopplysninger regnes som «særlige kategorier av personopplysninger».7 Helseopplysninger omfattes derfor av behandlingsforbudet.

Følgelig må forsikringsselskapet – i tillegg til behandlingsgrunnlag i artikkel 6 – kunne vise til et av unntakene i artikkel 9 nr. 2 for å kunne behandle helseopplysninger.

Personvernforordningen stiller en rekke andre krav for å kunne behandle personopplysninger, for eksempel krav om å informere om hvilke alminnelige og særlige behandlingsgrunnlag som selskapet mener gir adgang til å behandle opplysningene, og hva opplysningene ønskes brukt til. Disse kravene blir ikke behandlet her.

3. Behandling av helseopplysninger i forsikring

Både i person- og skadeforsikring må helseopplysninger ofte behandles. Personforsikring omfatter etter forsikringsavtaleloven8 (heretter fal) § 10-1

livsforsikring, ulykkesforsikring og sykeforsikring. Forsikringen kan tegnes på forsikringstakerens eller på en eller flere andre personers liv eller helse.

Skadeforsikring omfatter etter fal § 1-1:

forsikring mot skade på eller tap av ting, rettigheter eller andre fordeler, forsikring mot erstatningsansvar eller kostnader, og annen forsikring som ikke er personforsikring.

Med unntak for ulykkesforsikring foretar selskapet helsevurdering når det inngår personforsikringsavtaler.9 I slike tilfeller må derfor selskapet behandle helseopplysninger ved avtaleinngåelsen. Det samme gjelder i et senere oppgjør under forsikringen. Helseopplysninger må også behandles når selskapet tar stilling til krav om utbetaling under ulykkesforsikringer. I skadeforsikring foretas det ingen helsevurdering ved avtaleinngåelsen. Også her er det imidlertid nødvendig å behandle helseopplysninger ved alle skadeoppgjør som gjelder personskader. Dette er aktuelt ved for eksempel ansvarsforsikring, trafikkansvarsforsikring og yrkesskadeforsikring.

Helsevurdering ved avtaleinngåelsen i personforsikring skjer ved at forsikringssøkeren fyller ut en helseerklæring hvor vedkommende må besvare konkrete spørsmål om sin helse. Forsikringsselskapet har rett til å stille de helsespørsmål ved inngåelsen av forsikringsavtalen som er nødvendig for en forsvarlig risikovurdering. Selskapets rett til å be om nødvendige helseopplysninger korresponderer med en plikt for forsikringssøkeren til å gi selskapet opplysningene.10

Innhenting av helseopplysninger ved avtaleinngåelsen er nødvendig for å kunne beregne risikoriktig pris for den enkelte forsikringssøker og for forsikringsproduktet som helhet. For å kunne beregne riktig pris må derfor forsikringsrisikoen kartlegges. I livsforsikring forsikres risikoen for å dø eller bli ufør før et bestemt tidspunkt. Dermed må selskapet kartlegge den enkelte forsikringssøkers individuelle risiko for å dø eller bli ufør før dette tidspunktet. Etter forsikringsvirksomhetsloven11 § 3-3 må det legges til grunn at forsikringsselskapet ved individuelle personforsikringsavtaler har plikt til å foreta en forsvarlig risikovurdering. Bestemmelsen stiller krav om at et forsikringsselskap skal ha premietariffer som står i et rimelig forhold til den forsikringsrisiko selskapet påtar seg. En forsvarlig risikovurdering er da nødvendig både for å kunne beregne risikoen den enkelte forsikringssøker representerer, og for å kunne vurdere den samlede risiko for forsikringsproduktet som helhet.

Denne risikovurderingen skjer ved at de opplysninger som forsikringssøkeren gir i helseerklæringen, sammenholdes med selskapets historiske risikoopplysninger for det enkelte forsikringsprodukt. Forsikringsselskapet har plikt til å tilby forsikring «på vanlige vilkår » med mindre selskapet har «saklig grunn » til å nekte å tilby forsikring (kontraheringsplikt).12 Dersom forsikringssøkeren har en forhøyet risiko i forhold til gjennomsnittet, kan selskapet kreve premiepåslag. Dersom risikoen overstiger det selskapet mener er forsvarlig å forsikre, kan selskapet enten reservere seg mot de(n) aktuelle sykdom(mer) eller helt avslå å tilby vedkommende forsikring.

Uten en slik individuell helsevurdering kan det oppstå såkalt antiseleksjon, dvs. at mange personer som antar at de har høy risiko, vil ønske å forsikre seg. Det vil medføre høye utbetalinger som igjen vil kreve økte premier. Personer som antar at de har lav risiko, vil etter hvert la være å forsikre seg – på grunn av høy pris. Denne uheldige spiralen vil over tid innebære at produktet vil bli ulønnsomt. Selskapet må derfor avvikle forsikringsproduktet.13

Også når selskapet foretar et oppgjør under personforsikringer samt ved personskader under skadeforsikringer, har det rett til å be om de helseopplysninger som er nødvendig for å kunne foreta oppgjøret.14 Den som fremmer krav under forsikringen, har på sin side plikt til å gi de helseopplysninger som er nødvendig for å kunne ta stilling til kravet.15

Det finnes flere tilfeller hvor selskapet må behandle helseopplysninger. For eksempel må helseopplysninger behandles dersom selskapet mener at opplysningssvikt ved inngåelse av forsikringer som krever helsevurdering, gir adgang til å si opp avtalen.16

4. Artikkel 9 nr. 2 bokstav f

4.1 Hva som er et rettskrav

Artikkel 9 nr. 2 bokstav f gir adgang til å kunne behandle helseopplysninger når behandling av slike opplysninger er

nødvendig for å fastsette, gjøre gjeldende eller forsvare rettskrav eller når domstolene handler innenfor rammen av sin domsmyndighet (min utheving).

Det følger av artikkel 9 nr. 2 bokstav f at helseopplysninger kan behandles når det er nødvendig i forbindelse med et «rettskrav ». «Rettskrav» er et velkjent rettslig begrep. Rettskrav er i sivilprosessen beskrevet som et rettsforhold mellom to eller flere parter.17 Et rettskrav foreligger når noen mener å ha et krav mot en annen, kravet reguleres av rettsregler, og kravet kan bringes inn for en domstol.18 En dom om et rettskrav vil dermed avgjøre rettsstillingen mellom partene, dvs. hvilke juridiske rettigheter og forpliktelser partene har overfor hverandre.

Rettskravet kan bygge på en lovbestemmelse. Rettskravet kan også følge av kontrakt, for eksempel retten til å kreve kontraktsforpliktelser oppfylt.19 Etter ordlyden stilles det ikke krav til hva rettskravet må dreie seg om. Rettskravet kan derfor omfatte rett til å kunne inngå forsikringsavtalen20 eller krav på utbetaling under en inngått avtale.

Rettskravet kan være knyttet til et rettsforhold mellom den som opplysningene gjelder, og for eksempel et forsikringsforetak. Bestemmelsen omfatter imidlertid også rettskrav som gjøres gjeldende av eller mot en tredjemann.21 Det kan eksempelvis være aktuelt ved regress mellom to forsikringsselskaper eller ved et regresskrav fra selskapet mot en ansvarlig skadevolder.

4.2 Åpner bestemmelsen for utenrettslig behandling av rettskravet?

Det kan reises spørsmål om bestemmelsen bare kan anvendes etter at rettskravet er brakt inn for en domstol. Av ordlyden synes det å følge at bestemmelsen ikke er begrenset til behandling ved domstolene. Det vises til ordet «eller» foran siste del av bestemmelsen. Videre følger det av fortalepunkt 52 siste punktum i forordningen at unntaket bør gjelde «uansett om det skjer innenfor rammen av en rettergang eller en administrativ eller utenrettslig prosedyre» (min utheving).

Forordningens artikkel 9 nr. 2 bokstav f første alternativ er en videreføring av det tidligere personverndirektivets artikkel 8 bokstav e siste alternativ.22 Dette direktivet ble implementert i norsk rett ved § 9 bokstav e i personopplysningsloven av 2000.23 I forarbeidene24 til lovens § 9 bokstav e heter det om bestemmelsen:

Det er ikke nødvendig at saken bringes inn for domstolene, men det ligger en klar begrensning i at behandlingen må være «nødvendig.

I proposisjonen gis det deretter et par eksempler på praktiske tilfeller hvor § 9 bokstav e etter departementets syn ga behandlingsgrunnlag:25

Et eksempel kan være at en arbeidsgiver har behov for å behandle sensitive personopplysninger om en arbeidstaker for å kunne vurdere om hun har krav på erstatning for usaklig oppsigelse. Det samme gjelder forsikringsselskapers behandling av opplysninger om en forsikringstakers helsetilstand for å ta stilling til om forsikringstakeren har krav på yrkesskadesforsikring.

Departementets uttalelser viser at den tidligere bestemmelsen ikke var begrenset til behandling for domstolene.

Også i juridisk teori om personopplysningsloven fra 2000 ble det lagt til grunn at det ikke var noe krav om at rettsforholdet måtte være brakt inn for domstolene. Det vises til en kommentarbok om personopplysningsloven av 2000, hvor det om § 9 bokstav e heter:26

… opplysningene [må] være nødvendige for at rettskravet skal kunne fastlegges, forsvares eller gjøres gjeldende. Men bestemmelsen stiller ikke krav om at det faktisk anlegges sak for domstolene. Det er tilstrekkelig at rettskravet ikke lar seg fastlegges på annen måte enn gjennom behandling av opplysningene.

Samme forståelse ble lagt til grunn i kommentarene til bestemmelsen i Norsk Lovkommentar:27

Dersom det blir reist krav om utbetaling fra et forsikringsselskap, kan for eksempel selskapet behandle slike sensitive personopplysninger som er nødvendige for å avgjøre kravet.

Eksemplene som de norske forarbeidene viste til i forbindelse med § 9 bokstav e i personopplysningsloven fra 2000, viser at lovgiver i 2000 åpenbart la til grunn at den gamle bestemmelsen åpnet for behandling utenfor domstolene. I proposisjonen28 til personopplysningsloven fra 2018 heter det om artikkel 9 nr. 2 bokstav f om rettskrav at «[b]estemmelsen viderefører § 9 første ledd bokstav e i gjeldende lov». Dette må innebære at lovgiver også i 2018 la til grunn at bestemmelsen om rettskrav fortsatt åpner for behandling utenfor domstolene. Videre er forordningens ordlyd på dette punkt lik direktivets ordlyd. Dette taler for at artikkel 9 nr. 2 bokstav f i forordningen fra 2016 må forstås på samme måte som artikkel 8 bokstav e i direktivet fra 1995.

Jeg er ikke kjent med om det foreligger relevant rettspraksis fra EU-domstolen. Verken Personvernrådet29 eller det norske Datatilsynet har – etter det jeg kan se – gitt noen nærmere redegjørelse for hvordan artikkel 9 nr. 2 om rettskrav skal forstås.

Personvernnemnda har i en sak som gjaldt klage på Datatilsynets vedtak om sletting av personopplysninger fra elevmappe, lagt til grunn at kommunens lagring kan ha grunnlag i artikkel 9 nr. 2 f, selv om det ikke forelå en tvist for domstolene.30

Det er videre av interesse at det britiske datatilsynet (ICO31) har gitt klart uttrykk for at bestemmelsen gir adgang til å behandle helseopplysninger også utenfor domstolene så lenge dette er nødvendig for å kunne fastsette, gjøre gjeldende eller forsvare rettskrav.32 Uttalelser fra andre lands datatilsyn må kunne tillegges vekt ved tolkningen siden forordningen er ment å forstås likt i alle land forordningen gjelder for. Særlig må det gjelde i mangel av andre mer autoritative rettskilder.

Det britiske datatilsynet omtaler bestemmelsen slik (mine uthevinger):

You must show that the purpose of the processing is to establish, exercise or defend legal claims. ‘Legal claims’ in this context is not limited to current legal proceedings. It includes processing necessary for:

– actual or prospective court proceedings;

– obtaining legal advice;

– or establishing, exercising or defending legal rights in any other way.

Deretter gir det britiske datatilsynet følgende tre eksempler:

Example

An employer is being sued by one of its employees following an accident at work. The employer wants to pass the details of the accident to its solicitors to obtain legal advice on its position and potentially to defend the claim. The information about the accident includes details of the individual’s injuries, which qualify as health data. The purpose of the disclosure is to establish its legal position and to defend the claim.

 

Example

A professional trust and estate practitioner advises a client on setting up a trust to provide for a disabled family member. The adviser processes health data of the beneficiary for this purpose. Although there is no active legal claim before the courts, this is still for the purpose of establishing the legal claims of the trust beneficiary for the purposes of this condition.

 

Example

A hairdresser conducts a patch test on a client to check that they will not have an allergic reaction to a hair dye. The hairdresser records when the test was taken and the results. The hairdresser is therefore processing health data about the client’s allergies. Although there is no actual or expected court claim, the purpose is to establish that the hairdresser is fulfilling their duty of care to the client, and to defend against any potential personal injury claims in the event of an adverse reaction.

Her fastslås det med bred penn at bestemmelsen ikke er begrenset til «current legal proceedings». Alle de tre eksemplene som det britiske datatilsynet gir, viser videre at helseopplysninger kan behandles utenfor domstoler eller andre tvisteløsningsorganer. Det er bare krav om at det er nødvendig å behandle opplysningene for å kunne fastsette, gjøre gjeldende eller forsvare rettskrav. Eksemplene viser at artikkel 9 nr. 2 bokstav f om rettskrav synes å ha et nokså bredt anvendelsesområde. Eksempel to om trusten må ha overføringsverdi til livs- og pensjonsforsikring. Eksempel tre viser at artikkel 9 nr. 2 bokstav f åpner for å behandle helseopplysninger også når det er nødvendig av hensyn til muligheten for at det kan bli fremmet et erstatningskrav i fremtiden.

Basert på denne gjennomgangen av disse rettskildene må det klart legges til grunn at det ikke er et vilkår at rettskravet må behandles ved en domstol eller annen form for tvisteløsning.33 Det innebærer at bestemmelsen åpner for å behandle særlige kategorier av personopplysninger utenfor domstolene eller andre tvisteløsningsorganer – dvs. også ved en utenrettslig behandling av opplysningene.

Etter dette må vi kunne oppsummere med at bestemmelsen gir adgang til at helseopplysninger kan behandles utenrettslig for å kunne fastsette et rettskrav mellom to parter, dvs. for å fastsette om den ene parten har et rettskrav mot den annen. Videre åpner bestemmelsen for at helseopplysninger kan behandles utenrettslig når dette er nødvendig for å kunne gjøre gjeldende et rettskrav mot en annen, og for at noen utenrettslig kan forsvare seg mot et rettskrav fra en annen.

4.3 Må rettskravet være gjort gjeldende?

I juridisk teori34 gis det uttrykk for at artikkel 9 nr. 2 bokstav f ikke kan anvendes hvis særlige kategorier av personopplysninger behandles:

merely in anticipation of a potential dispute without a formal claim having been asserted or filed, or without any indication that a formal claim is imminent.

Her oppstilles en begrensning om at opplysningene ikke kan behandles dersom behandlingen bare foretas av hensyn til potensielle rettskrav. Dette står i motstrid både med den norske Personvernnemndas avgjørelse i PVN-2020-05 og uttalelsene fra det britiske datatilsynet samt det andre og det tredje eksemplet som det britiske datatilsynet gir for å illustrere bestemmelsen. Det vises til at eksempel 2 angir at trusten kan behandle opplysningene for at den skal kunne foreta fremtidige utbetalinger, og at frisøren i eksempel 3 kan behandle opplysningene med tanke på et potensielt erstatningskrav.

Etter mitt syn er det gode grunner til at helseopplysninger kan behandles med tanke på et mulig senere rettskrav. Dersom opplysningene ikke bevares, vil det være vanskelig å kunne ta stilling til et fremtidig rettskrav dersom helseopplysningene er avgjørende for om det er grunnlag for kravet. Et samtykke til å behandle (lagre) opplysningene vil for eksempel stille en påstått erstatningsansvarlig i en utsatt posisjon dersom den som opplysningene gjelder, trekker tilbake sitt samtykke. Behandling av helseopplysninger med tanke på potensielle rettskrav bør derfor kunne bygge på unntaket om rettskrav i bokstav f dersom et potensielt rettskrav fremstår som en realistisk mulighet.

Når forsikringsselskaper behandler helseopplysninger i de tilfellene som denne artikkelen omhandler, er det imidlertid ikke tale om hypotetiske eller fremtidige krav. Både ved avtaleinngåelsen, i en oppgjørssak eller i et regressoppgjør og ved en oppsigelse av forsikringen er det tale om rettskrav som gjøres gjeldende henholdsvis ved avtaleinngåelsen, ved oppgjøret og ved oppsigelsen. Det vises til at rettskravet om å kunne inngå avtale på vanlige vilkår etter fal § 12-12 oppstår når forsikringssøkeren ber om å få et tilbud på forsikring. Ved oppgjøret oppstår rettskravet når den som krever oppgjør, fremsetter krav under forsikringen. I opphørssituasjonen oppstår rettskravet når selskapet gjør gjeldende at det mener seg berettiget til å si opp forsikringen.

Dette innebærer at selv om man legger til grunn at artikkel 9 nr. 2 bokstav f ikke kan anvendes dersom det på behandlingstidspunktet bare er tale om potensielle rettskrav – slik kommentarboken angir – så er det vanskelig å se at en slik begrensning treffer de typetilfellene som denne artikkelen omhandler.

4.4 Må rettskravet være omtvistet?

I forlengelsen av spørsmålet om rettskravet må være gjort gjeldende mot selskapet, kan det spørres om bestemmelsen bare åpner for behandling etter at det har oppstått en tvist om rettskravet. Et slikt krav følger ikke av ordlyden. Tvert om synes uttrykksmåten «fastsette […] rettskrav » å innebære at det er tilstrekkelig at forsikringsselskapet må ta stilling til (fastsette) om noen har et rettskrav mot selskapet. For det andre følger det av drøftelsen ovenfor at bestemmelsen ikke er begrenset til behandling ved domstoler eller andre tvisteløsningsorganer.

Omtalen av artikkel 9 nr. 2 bokstav f og eksempel 2 og 3 som det britiske datatilsynet gir, trekker videre klart i retning av at bestemmelsen ikke er begrenset til tvistebehandling. I en avgjørelse35 fra det danske datatilsynet legger tilsynet til grunn at forsikringsselskapet kunne anvende unntaket om rettskrav når helseopplysninger måtte behandles for å ta stilling til et krav om erstatning mot selskapet. Langt de fleste oppgjør gjennomføres uten at det oppstår noen tvist mellom selskapet og kravstiller. Uttalelsen gir ikke grunnlag for en slutning om at bestemmelsen bare kan anvendes i de tilfeller hvor det har oppstått en tvist om rettskravet.

Dersom bestemmelsen bare kan anvendes etter at tvist er oppstått, må den behandlingsansvarlige i tilfelle ha et annet behandlingsgrunnlag enn bokstav f for å kunne behandle helseopplysninger før det oppstår en tvist om rettskravet. Å operere med ulike behandlingsgrunnlag for å kunne behandle de samme opplysninger for det samme formål før og etter at det er oppstått en tvist, er etter mitt syn både uheldig og kunstig. Det eneste mulige alternativ til bokstav f om rettskrav er som tidligere nevnt uttrykkelig samtykke. På grunn av frivillighetskravet er samtykke – som tidligere nevnt – problematisk. Dette blir ytterligere problematisk dersom selskapet kan anvende bokstav f om rettskrav i stedet for samtykke bare etter at det har oppstått en tvist om rettskravet.

Alt i alt må det etter mitt syn kunne legges til grunn at adgangen til å behandle helseopplysninger for å fastsette et rettskrav ikke er betinget av at det må ha oppstått en tvist om rettskravet.

5. Gjennomgang av typetilfeller i forsikring

5.1 Innledning

I lys av ovennevnte gjennomgang av bestemmelsen drøftes noen typetilfeller hvor et forsikringsselskap behandler helseopplysninger og hvor det er spørsmål om selskapet ved behandlingen enten fastsetter et rettskrav, gjør gjeldende et rettskrav eller forsvarer seg mot et rettskrav.

5.2 Avtaleinngåelsen

Som nevnt i punkt 3 har forsikringsselskapet etter fal § 12-12 som hovedregel plikt til å tilby forsikring «på vanlige vilkår » med mindre selskapet har «saklig grunn » til å nekte å tilby forsikring. Bestemmelsen innebærer at forsikringssøkeren kan kreve å inngå forsikringsavtale på vanlige vilkår med mindre selskapet har rett til å avslå kravet eller rett til å stille særvilkår. Både forsikringssøkerens krav og selskapets rett til å avslå eller stille særvilkår reguleres av rettsregler og kan bringes inn for domstolene. For både forsikringssøkeren og selskapet er det derfor klart nok tale om et rettskrav.

Når forsikringssøkeren ber om tilbud på forsikring, må dette anses som et krav etter fal § 12-12 om å kunne inngå avtale på vanlige vilkår. Denne kontraheringsplikten er det rettslige grunnlaget for at det foreligger et rettskrav ved avtaleinngåelsen. Når selskapet behandler forespørselen, må selskapet fastsette om forsikringssøkeren kan kreve å inngå avtale på vanlige vilkår. Man kan vanskelig se det slik at det først er tale om å fastsette et rettskrav i de tilfeller hvor selskapet avslår å gi tilbud og forsikringssøkeren deretter bestrider avslaget. Dette vil i realiteten innebære at artikkel 9 nr. 2 bokstav f først kan anvendes etter at det har oppstått en tvist mellom partene. Dette kan det – som nevnt ovenfor – ikke være grunnlag for. Det er som nevnt ikke noe krav om at rettskravet må være omtvistet i de tilfeller selskapet tar stilling til om forsikrede kan kreve oppgjør under forsikringen. Da kan det heller ikke oppstilles et slikt krav når rettskravet fastsettes ved avtaleinngåelsen.

Opplysningene som ble gitt ved avtaleinngåelsen, er bestemmende for om forsikringen er inngått på vanlige vilkår eller om avtalen inneholder særvilkår. Selskapet må dermed lagre opplysningene for å kunne dokumentere avtalens innhold. Ved et senere krav under forsikringen må selskapet behandle disse opplysningene for å kunne foreta et oppgjør. Opplysningene benyttes derfor både ved avtaleinngåelsen og ved et senere oppgjør under forsikringen. Når det legges til grunn at selskapet ved oppgjøret kan behandle opplysningene på grunnlag av unntaket i bokstav f om rettskrav, må det samme gjelde når selskapet behandler opplysningene ved avtaleinngåelsen.

Når selskapet tar stilling til om forsikringssøkeren har rett til å inngå forsikring på vanlige vilkår, må det etter dette legges til grunn at selskapet fastsetter hvorvidt forsikringssøkeren har et rettskrav overfor selskapet. Artikkel 9 nr. 2 bokstav f må da kunne åpne for at selskapet ved avtaleinngåelsen kan behandle helseopplysninger fordi det er nødvendig for å ta stilling til om selskapet har plikt til å tilby vedkommende forsikring – eller om det kan avslå å tilby forsikring, ta reservasjon for visse sykdommer eller kreve premietillegg.

5.3 Oppgjør under forsikringen

I en oppgjørssak i personforsikring eller ved en personskade i skadeforsikring tar selskapet stilling til om det har plikt til å utbetale under avtalen. I slike oppgjør må selskapet behandle helseopplysninger for å kunne beregne sin erstatningsplikt. Kravet som rettes mot selskapet, er klart nok et krav som reguleres av rettsregler og som kan bringes inn for en domstol. Derved innebærer selskapets behandling av opplysningene ved oppgjøret at det fastsetter om det foreligger et rettskrav mot selskapet.

Dersom forsikringssøkeren i personforsikring har holdt tilbake eller gitt uriktige helseopplysninger ved avtaleinngåelsen eller ved et oppgjør under forsikringen, kan selskapets ansvar reduseres eller falle bort.36 Det samme gjelder dersom sikrede bevisst har gitt uriktige helseopplysninger i et skadeoppgjør i skadeforsikring.37 Dersom forsikringsselskapet avslår et krav fordi det mener at det er gitt uriktige opplysninger i forbindelse med oppgjøret eller ved etablering av forsikringen, gjør selskapet gjeldende at det etter lov har adgang til å avslå kravet. Selskapet gjør da gjeldende et rettskrav overfor forsikringstakeren. Dersom skadelidte bestrider selskapets avslag, forsvarer forsikringsselskapet seg mot kravstillers rettskrav mot selskapet.

At artikkel 9 nr. 2 bokstav f kan anvendes i et erstatningsoppgjør, støttes både av avgjørelsen fra det danske datatilsynet som er nevnt ovenfor, uttalelsene og eksemplene fra det britiske datatilsynet og av norsk juridisk teori om den tidligere bestemmelsen i pol 2000 § 9 bokstav e.

5.4 Oppsigelse av avtalen

Dersom forsikringssøkeren i personforsikring har holdt tilbake eller gitt uriktige helseopplysninger ved avtaleinngåelsen, kan selskapet ikke bare avslå kravet, men kan også ha adgang til å si opp forsikringen.38 Det samme gjelder dersom det er gitt uriktige opplysninger ved et oppgjør under en person- eller en skadeforsikring.39

Dersom selskapet mener at opplysningssvikten i slike tilfeller gir grunnlag for å si opp avtalen etter reglene i fal,40 gjør selskapet gjeldende et rettskrav. De aktuelle helseopplysninger må behandles for å kunne ta stilling til dette rettskravet. Følgelig må selskapet kunne behandle helseopplysninger i slike tilfeller på grunnlag av artikkel 9 nr. 2 bokstav f.

5.5 Regresstilfeller

Videre synes artikkel 9 nr. 2 bokstav f å åpne for at selskapet kan behandle helseopplysninger når det er nødvendig i forbindelse med å fremme eller forsvare seg mot et regresskrav. Dette er aktuelt når et forsikringsselskap etter et oppgjør under forsikringen krever regress mot for eksempel et annet forsikringsselskap eller en ansvarlig skadevolder. Ved behandlingen av regresskravet gjør selskapet som krever regress, gjeldende et rettskrav, mens det selskap som får regresskravet rettet mot seg, forsvarer seg mot et rettskrav. Dersom selskapet er avhengig av samtykke fra den som opplysningene gjelder, vil manglende samtykke avskjære regressretten. Selskapet kan ikke være avhengig av et slikt samtykke for å kunne gjøre regressretten gjeldende. Artikkel 9 nr. 2 bokstav f må derfor være anvendelig også i regresstilfeller.

6. Uttrykkelig samtykke som alternativ til bestemmelsen om rettskrav

Etter mitt syn er samtykke etter artikkel 9 nr. 2 bokstav a ikke et egnet alternativ til bokstav f om rettskrav i de typetilfeller som er gjennomgått ovenfor. I tillegg til de hensyn som det er redegjort for i punkt 1, vil bruk av samtykke som unntak fra behandlingsforbudet innebære at forsikringssøkeren har rett til å velge hvilke helseopplysninger som selskapet kan behandle. En slik valgrett står i skarp motstrid til reglene i fal § 13-1 a første ledd om forsikringssøkers opplysningsplikt. Denne opplysningsplikten innebærer at selskapet kan be om alle opplysninger «som kan ha betydning for dets vurdering av risikoen». Forsikringssøkeren «skal gi riktige og fullstendige svar på selskapets spørsmål». Noen reell valgfrihet er det derfor ikke tale om. Opplysningsplikten må her innebære at samtykke ikke kan være anvendelig ved avtaleinngåelsen. Det samme må i lys av kravstillers opplysningsplikt etter fal §§ 8-1 og 18-1 også gjelde ved et oppgjør.

Dersom selskapet anvender artikkel 9 nr. 2 bokstav f i de tilfeller denne artikkelen omhandler, kan ikke selskapet også be om forsikringssøkerens samtykke til slik behandling. Se for eksempel det britiske datatilsynets uttalelse om dette:41

If you would still process the personal data on a different lawful basis even if consent were refused or withdrawn, then seeking consent from the individual is misleading and inherently unfair. It presents the individual with a false choice and only the illusion of control. You must identify the most appropriate lawful basis from the start.

Samtykke er derfor ikke et reelt behandlingsgrunnlag dersom selskapet kan anvende et annet behandlingsgrunnlag dersom samtykke ikke gis eller trekkes tilbake.

7. Konklusjon

På grunnlag av drøftelsen ovenfor må det være klart at artikkel 9 nr. 2 bokstav f om rettskrav gir adgang til utenrettslig behandling av helseopplysninger. Med utenrettslig behandling menes behandling utenfor domstoler eller andre tvisteløsningsorganer. Det er bare krav om at det er nødvendig å behandle helseopplysninger for enten å kunne fastsette, gjøre gjeldende eller forsvare et rettskrav.42

Etter mitt syn kan ikke artikkel 9 nr. 2 bokstav f begrenses til omtvistede rettskrav. Bestemmelsen synes også å åpne for at helseopplysninger kan behandles når det er nødvendig for å kunne fastsette, gjøre gjeldende eller forsvare seg mot potensielle rettskrav – i hvert fall dersom slike krav fremstår som en reell mulighet. I de tilfellene som drøftes i denne artikkelen, er det imidlertid ikke tale om potensielle rettskrav.

Både ved avtaleinngåelsen og i et oppgjør under de personforsikringer som denne artikkelen omhandler, er det helt nødvendig å behandle helseopplysninger. Det samme gjelder ved personskader i skadeforsikring og ved et eventuelt regresskrav. Det samme kan være tilfellet i forbindelse med en oppsigelse av slike forsikringer etter reglene om misligholdt opplysningsplikt. I alle disse tilfellene er det tale om rettskrav som må fastsettes, gjøres gjeldende eller forsvares henholdsvis på tidspunktet for avtaleinngåelsen, ved oppgjøret eller ved oppsigelsen. Når selskapet i disse fire typetilfellene behandler helseopplysninger, er det derfor tale om å fastsette, gjøre gjeldende eller forsvare seg mot rettskrav som har oppstått. Dette må innebære at et forsikringsselskap i slike tilfeller må kunne vise til unntaket i artikkel 9 nr. 2 bokstav f om rettskrav.

1Advokat Jan Sandtrø har lest og kommentert en tidlig versjon av artikkelen. Personvernombud i Frende, adv.flm. Ørjan Kamhaug Hansen, har også lest og kommentert artikkelen. Endelig har advokat Rune Opdahl i Wiersholm og advokat Thomas Olsen i Simonsen Vogt Wiig lest og kommentert artikkelen. Alle har bidratt med gode innspill. Jeg gir min beste takk til alle fire. Eventuelle feil og mangler er alene mitt ansvar.
2Forordningens artikkel 4 nr. 11.
3Se nærmere om kravet til samtykke i Roy Johansen, Behandling av kundeopplysninger i forsikring. Se nærmere om boken https://www.gdprogtaushetspliktadvokaten.no/. Se også samme forfatters artikkel om bruk av samtykke som behandlingsgrunnlag i Nordisk forsikringstidsskrift nr. 4 for 2019 – https://nft.nu/sv/samtykke-kan-ikke-vaere-behandlingsgrunnlag-helseopplysninger-som-er-nodvendig-behandle-kunne-innga
4Forordningen er implementert i Norge ved at lov om behandling av personopplysninger av 15. juni 2018 nr. 38 – personopplysningsloven (heretter pol 2018) har inkorporert personvernforordningen.
5Jf. artikkel 6 nr. 1, «Behandlingen er bare lovlig dersom og i den grad minst ett av følgende vilkår er oppfylt: ».
6Dette er grundig behandlet i boken og artikkelen som er omtalt i note 3.
7Artikkel 9 nr. 1 lyder: «Behandling av personopplysninger om rasemessig eller etnisk opprinnelse, politisk oppfatning, religion, filosofisk overbevisning eller fagforeningsmedlemskap, samt behandling av genetiske opplysninger og biometriske opplysninger med det formål å entydig identifisere en fysisk person, helseopplysninger eller opplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering, er forbudt.»
8Lov om forsikringsavtaler av 16. juni 1989 nr. 69 – forsikringsavtaleloven.
9Helsevurdering foretas ved inngåelse av livs- og uføreforsikring, sykeforsikring, lisensforsikring, barneforsikring og forsikring mot kritisk eller alvorlig sykdom.
10Både selskapets rett til å be om opplysninger og plikten til å gi opplysninger følger av fal § 13-1a.
11Lov 10. juni 2005 nr. 44 om forsikringsvirksomhet – forsikringsvirksomhetsloven.
12Fal § 12-12.
13Behovet for å kartlegge risikoen i personforsikring er meget godt beskrevet på side 17–20 i NOU 2000: 23. Her gis det talleksempler som illustrerer hvor sårbar balansen mellom risiko og premie kan være.
14Selskapets rett til å be om opplysninger i personforsikring følger forutsetningsvis av fal § 18-1 første ledd, mens kravstillers opplysningsplikt følger direkte av fal § 18-1 første ledd.
15Selskapets rett til å be om helseopplysninger og sikredes plikt til å gi helseopplysninger ved personskader i skadeforsikring følger av fal § 8-1.
16Fal §§ 13-3 og 13-4.
17Norsk Lovkommentar – note 21 til tvisteloven § 1-3.
18Side 41–42 i kommentarutgaven til Tvisteloven bind 1 av Schei, Bårdsen, Bugge Nordén, Reusch og Øie. Samme forståelse av begrepet «rettskrav» legges til grunn i NOU 1997: 19 Et bedre personvern, side 140.
19Denne retten er for så vidt også lovfestet. Se prinsippet om pacta sunt servanda i NL 5-1-2.
20Fal § 12-12.
21Slik også Bergseng Skullerud, Rønnevik, Skorstad og Engh Pellerud i Personvernforordningen (GDPR) – kommentarutgave, Universitetsforlaget 2018, side 109.
22Direktivets artikkel 8 bokstav e lyder: «(e) the processing relates to data which are manifestly made public by the data subject or is necessary for the establishment, exercise or defence of legal claims.»
23Lov om behandling av personopplysninger av 14. april 2000 nr. 31. Paragraf 9 bokstav e åpnet for behandling når «behandlingen er nødvendig for å fastsette, gjøre gjeldende eller forsvare et rettskrav».
24NOU 1997: 19 Et bedre personvern, side 140 annen spalte.
25Ot.prp. nr. 92 (1998–99) side 110 annen spalte.
26Personopplysningsloven. Kommentarutgave av Wiik Johansen, Kaspersen og Skullerud, side 109.
27Schartum, note 43 til pol 2000 § 8 bokstav e.
28Prop. 56 LS (2017–2018) side 39.
29Personvernrådet er sammensatt av representanter fra datatilsynsmyndighetene i EU- og EFTA-landene, EUs datatilsyn (EDPS) samt EU-kommisjonen, og avgir uttalelser om forståelsen av forordningen. Se forordningens artikkel 68 flg. Personvernrådet avløser Artikkel 29-gruppen som ble opprettet i forbindelse med det tidligere personverndirektivet – EU direktiv 95/46.
30PVN-2020-5, vedtak 28. april 2020.
31Information Commissioner’s Office – det britiske datatilsynet.
32Se https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/special-category-data/what-are-the-conditions-for-processing/#conditions6
33Dersom rettskravet bringes inn for retten, reguleres for øvrig behandlingen av rettskravet av tvisteloven (eller en av de andre rettspleielovene). Dette følger av pol 2018 § 2 annet ledd bokstav b.
34Kuner, Bygrave & Docksey (red.), The EU General Data Protection Regulation. A Commentary, Oxford 2020, s. 379.
35Avgjørelse med journalnummer 2018-31-1093. Se https://www.datatilsynet.dk/tilsyn-og-afgoerelser/afgoerelser/2019/nov/klage-over-deling-af-oplysninger-mellem-afdelinger-i-forsikringsselskab/
36Fal §§ 13-2 og 18-1 fjerde ledd.
37Fal § 8-1.
38Fal §§ 13-3 flg.
39Fal §§ 18-1 fjerde ledd og 8-1.
40Fal §§ 8-1, 13-3 og 18-1.
41Se https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/consent/when-is-consent-appropriate/#when4
42Som nevnt i punkt 2 kreves selvsagt også alminnelig behandlingsgrunnlag i artikkel 6.

Idunn bruker informasjonskapsler (cookies). Ved å fortsette å bruke nettsiden godtar du dette. Klikk her for mer informasjon