1. Innledning
For å kunne behandle helseopplysninger kreves både alminnelig behandlingsgrunnlag i personvernforordningens artikkel 6 nr. 1 og særlig behandlingsgrunnlag i forordningens artikkel 9 nr. 2. Kravet om behandlingsgrunnlag er et krav om hjemmel i forordningen for å kunne behandle personopplysninger. Forsikringsnæringen i Norge har hittil benyttet samtykke som behandlingsgrunnlag for å kunne behandle helseopplysninger ved avtaleinngåelsen eller i et skadeoppgjør. Et samtykke skal etter personvernforordningen være frivillig. Forordningen stiller strenge krav før et samtykke kan anses avgitt frivillig. Etter forfatterens mening innebærer frivillighetskravet at samtykke, ikke kan være behandlingsgrunnlag for helseopplysninger eller andre opplysninger som er nødvendig å behandle for å kunne inngå forsikringsavtalen eller kreve oppgjør under avtalen. Når et forsikringsforetak behandler helseopplysninger, har imidlertid foretaket lovlig behandlingsgrunnlag i forordningens artikkel 6 nr. 1 bokstav b om avtale og artikkel 9 nr. 2 bokstav f om rettskrav.
Denne artikkelen er et bearbeidet sammendrag av et par kapitler i min bok om behandling av kundeopplysninger i forsikring i lys av GDPR og taushetsplikt. Boken er nylig utgitt og kan kjøpes ved henvendelse til forfatteren – roy.johansen@frende.no.
2. Oppsummering
Drøftelsen nedenfor viser at samtykke ikke kan være lovlig behandlingsgrunnlag for helseopplysninger som er nødvendig å behandle for å kunne inngå en forsikringsavtale eller kreve oppgjør under avtalen. Det skyldes at personvernforordningen krever at samtykke bare kan være behandlingsgrunnlag, når samtykke er gitt frivillig. Siden forsikringssøkeren etter forsikringsavtaleloven § 13-1 a både har plikt til å gi forsikringsforetaket nødvendige helseopplysninger, og ikke uten alvorlige negative konsekvenser kan trekke tilbake et «samtykke» til å behandle slike opplysninger, er det ikke tale om et frivillig samtykke.
Samtykke fra den person opplysningene gjelder, er imidlertid nødvendig for å kunne innhente helseopplysninger om forsikringssøkeren fra fastlegen eller annet helsepersonell. Dette følger av at helsepersonell er underlagt taushetsplikt etter helsepersonelloven § 21. Samtykke etter helsepersonelloven § 22, er ikke underlagt forordningen strenge frivillighetskrav. Den person som opplysningene gjelder, kan derfor samtykke til at helsepersonell gir forsikringsforetaket tilgang til de helseopplysninger som er nødvendige å behandle for å kunne inngå avtalen eller kreve oppgjør, selv om vedkommende har plikt til å gi foretaket slike helseopplysninger.
3. Generelle krav til samtykke som behandlingsgrunnlag
Det følger av forordningens artikkel 6 nr. 1 bokstav a at personopplysninger kan behandles dersom «den registrerte har samtykket til behandling av sine personopplysninger for ett eller flere spesifikke formål,».
Samtykke er i forordningens artikkel 4 nr. 11 gitt følgende legaldefinisjon:
«… enhver frivillig, spesifikk, informert og utvetydig viljesytring fra den registrerte der vedkommende ved en erklæring eller en tydelig bekreftelse gir sitt samtykke til behandling av personopplysninger som gjelder vedkommende».
Samtykke må innhentes fra den person som opplysningene gjelder. Dette følger av at artikkel 4 nr. 11 fastsetter at det er «den registrerte» som kan gi samtykke til behandling av opplysninger «som gjelder vedkommende». Etter artikkel 7 nr. 1 skal foretaket kunne «påvise at den registrerte har samtykket». I det ligger at foretaket må kunne dokumentere hvordan og når samtykket ble gitt, hvem som har gitt samtykket og hva samtykket omfatter. Videre følger det av artikkel 7 nr. 3 at samtykke når som helst skal kunne trekkes tilbake og at det skal være like enkelt å trekke tilbake som å gi samtykke.
Av ordlyden i artikkel 6 nr. 1 bokstav a følger det at samtykket må gjelde ett eller flere spesifikke formål. Samtykke må etter definisjonen i artikkel 4 nr. 11 gis som en «erklæring eller en tydelig bekreftelse». I dette ligger et krav om at det skal være klart at det er et samtykke som gis. Dette kan for eksempel skje ved at den registrerte undertegner en skriftlig erklæring. Av artikkel 7 nr. 2 følger det at et samtykke må utformes «i en forståelig og lett tilgjengelig form og på et klart og enkelt språk» og skal skilles fra andre forhold. I det siste ligger at samtykke skal skilles ut fra annen informasjon som for eksempel avtalevilkår eller informasjon om den registrertes rettigheter. Videre er det et krav om at samtykke skal være informert. I det ligger et krav om klar og tydelig informasjon om flere forhold. Kravet om et informert samtykke skal sikre at vedkommende forstår hva det samtykkes til.
Dersom det er tale om «særlige kategorier av personopplysninger», følger det av artikkel 9 nr. 2 bokstav a at den registrerte må ha gitt et uttrykkelig samtykke. «Særlige kategorier av personopplysninger» omfatter i det vesentlige de samme opplysninger som tidligere ble benevnt «sensitive opplysninger». Helseopplysninger omfattes derfor av uttrykket «særlig kategorier av personopplysninger». Etter artikkel 6 nr. 1 bokstav a kreves bare «samtykke».
Begrepet «uttrykkelig samtykke» er ikke definert i forordningen. Det må imidlertid legges til grunn at det stilles strengere krav til et samtykke etter artikkel 9 enn etter artikkel 6. Et slikt standpunkt har også støtte i Artikkel 29 gruppens1 guideline om samtykke2 hvor det heter:
«The term explicit refers to the way consent is expressed by the data subject. It means that the data subject must give an express statement of consent».
Uttalelsen må trolig innebære at et uttrykkelig samtykke stiller strengere krav til hvordan samtykke er kommet til uttrykk. I det må ligge at det etter artikkel 9 nr. 2 bokstav a stilles strengere krav til at foretaket kan dokumentere at det er gitt samtykke, hvilke opplysninger samtykket omfatter og hva opplysningene kan brukes til, enn etter artikkel 6 nr. 1 bokstav a.3 Dette kan ifølge guidelinen4 for eksempel skje gjennom et skriftlig samtykke, eller ved å fylle ut et elektronisk skjema, sende en e-post eller ved å laste opp et scannet signert dokument.
4. Plikt til å gi forsikringsforetaket risikoopplysninger, herunder helseopplysninger
Forsikringsforetak har etter forsikringsavtaleloven5 (heretter fal) §§ 4-1 og 13-1 a rett til å stille alle de spørsmål ved inngåelsen av en forsikring som er nødvendig for en forsvarlig risikovurdering. Videre gir fal §§ 8-1 og 18-1 forsikringsforetaket rett til å be om alle opplysninger som er nødvendige for å kunne foreta et korrekt skadeoppgjør.
Forsikringsforetaket har ikke bare rett til å innhente slike opplysninger. Etter §§ 3-3 og 7-5 i forsikringsvirksomhetsloven6 har et forsikringsforetak plikt til å utforme premietariffer som står i et rimelig forhold til den forsikringsrisiko foretaket påtar seg. For å kunne beregne risikoriktige pristariffer, må foretaket innhente risikoopplysninger før avtalen kan inngås. Forsikringsforetaket har derfor både rett og plikt til å innhente nødvendige risikoopplysninger, før foretaket kan tilby forsikring. Ved forsikringer som krever helsevurdering, innebærer kravet i § 3-3 at foretaket også har rett og plikt til å innhente helseopplysninger.
Forsikringssøkeren har etter fal plikt til å svare på forsikringsforetaket risikospørsmål.7 Slik opplysningsplikt foreligger ved inngåelse av avtale om forsikring. Dette følger av bestemmelsene i §§ 4-1 og 13-1 a. For det andre er det i fal §§ 8-1 og 18-1 gitt regler om opplysningsplikt ved et skadeoppgjør. Kundens opplysningsplikt er omfattende. Ved avtaleinngåelsen skal kunden besvare foretakets spørsmål om vedkommende selv og de eiendeler som ønskes forsikret. Opplysningsplikten omfatter også å gi helseopplysninger dersom vedkommende ønsker å tegne slike forsikringer hvor foretaket kan kreve helsevurdering før avtaleinngåelsen.8 I et skadeoppgjør omfatter opplysningsplikten alle opplysninger som er nødvendig for at forsikringsforetaket skal kunne beregne sitt ansvar og utbetale erstatningen.
Av artikkel 13 nr. 2 bokstav e følger det at foretaket skal gi informasjon om at det er et lovfestet krav om å gi slike opplysninger og eventuelle konsekvenser ved ikke å gi opplysningene. Informasjonskravet innebærer at forsikringsforetaket må opplyse om at forsikringssøkeren etter lov har plikt til å gi slike opplysninger og at vedkommende ikke kan inngå avtale om forsikring eller kreve oppgjør dersom opplysningene ikke gis.
5. Kravet om et frivillig samtykke
Et samtykke skal etter artikkel 4 nr. 11 være frivillig. Dette frivillighetskravet innebærer for det første at den registrerte skal stå helt fritt med hensyn til om vedkommende vil gi samtykke til behandling av personopplysninger om seg selv.
For det andre skal den registrerte kunne si nei, uten at det får negative konsekvenser for vedkommende, jf. fortalepunkt 42 siste punktum som lyder:
«Samtykket skal ikke anses som frivillig dersom den registrerte ikke har en reell valgfrihet, eller ikke er i stand til å nekte å gi eller trekke tilbake et samtykke uten at det er til skade for vedkommende.»
Kunden skal for eksempel kunne si nei til direkte markedsføring basert på profilering uten at dette skal ha noen betydning for avtaleforholdet for øvrig.
Et samtykke skal for det tredje til enhver tid kunne trekkes tilbake, jf. artikkel 7 nr. 3. Heller ikke en tilbaketrekking av samtykke, skal ha noen negative konsekvenser for den registrerte.
Dersom et forsikringsforetak vil innhente risikoopplysninger på grunnlag av samtykke fra den som ønsker forsikring, blir spørsmålet hvordan frivillighetskravet i forordningen skal forstås når vedkommende har en lovfestet plikt til å gi slike opplysninger. I en kommentarbok om forordningen (GDPR) heter det om dette:9
«Forsikringsselskaper har tradisjonelt benyttet samtykke som grunnlag for behandling av personopplysninger. Det er imidlertid vanskelig å tenke seg at kundene skal kunne tilbakekalle et samtykke til behandling av personopplysninger uten at det får konsekvenser for kundeforholdet. Det kan derfor stilles spørsmål ved frivilligheten i de samtykkene forsikringsselskapene i mange sammenhenger innhenter. Trolig vil artikkel 6 nr. 1 bokstav b være et tryggere rettslig grunnlag enn samtykke».
Det videre utgangspunkt for drøftelsen av frivillighetskravet tas i artikkel 7 nr. 4. Denne gir veiledning om hva som skal vektlegges ved vurderingen av om et samtykke skal anses gitt frivillig. Denne lyder:
«Ved vurdering av om et samtykke er gitt frivillig skal det tas størst mulig hensyn til blant annet om oppfyllelse av en avtale, herunder om yting av en tjeneste, er gjort betinget av samtykke til behandling av personopplysninger som ikke er nødvendig for å oppfylle nevnte avtale.» (min utheving)
Det er ikke umiddelbart klart hva som ligger i at det skal «tas størst mulig hensyn til» om samtykke «er nødvendig for å oppfylle nevnte avtale.» Lest etter sin ordlyd synes bestemmelsen å fastsette at dersom opplysningene er nødvendige for å kunne inngå eller oppfylle avtalen, så vil det kunne være et frivillig samtykke. Derimot vil det ikke være et frivillig samtykke dersom opplysningene ikke er nødvendige for å kunne inngå eller oppfylle avtalen. En slik forståelse av artikkel 7 nr. 4 har en viss støtte i fortalepunkt 43 siste punktum, hvor det heter:
«Samtykket antas å ikke være gitt frivillig dersom … oppfyllelsen av en avtale, herunder yting av en tjeneste, avhenger av samtykket, til tross for at et slikt samtykke ikke er nødvendig for å oppfylle avtalen.»
Også dette fortalepunkt kan leses slik at det ikke er et frivillig samtykke dersom opplysningene ikke er nødvendige for oppfyllelse av avtalen, men at det kan være et frivillig samtykke dersom opplysningene er nødvendige for å kunne inngå eller oppfylle avtalen.
Av artikkel 29 gruppens guidelines om samtykke10 følger det imidlertid at artikkel 7 nr. 4 ikke er anvendelig i tilfeller hvor opplysningene er nødvendige for å kunne inngå eller oppfylle avtalen. I guidelinen heter det om dette:
“Article 7(4) is only relevant where the requested data are not necessary for the performance of the contract, (including the provision of a service), and the performance of that contract is made conditional on the obtaining of these data on the basis of consent. Conversely, if processing is necessary to perform the contract (including to provide a service), then Article 7(4) does not apply.” (min utheving)
Dette synspunktet har støtte i fortalepunkt 42 siste punktum som kategorisk slår fast at:
«Samtykket skal ikke anses som frivillig dersom den registrerte ikke har en reell valgfrihet, eller ikke er i stand til å nekte å gi eller trekke tilbake et samtykke uten at det er til skade for vedkommende.»
Fortalepunkt 42 siste punktum må derfor innebære at kunden ikke kan gi samtykke til behandling av opplysninger som kunden er tvunget til å gi på grunn av opplysningsplikt eller som er nødvendig å gi for å kunne inngå eller oppfylle avtalen.11 Slik tolkes frivillighetskravet også av artikkel 29 gruppen. Det vises til guidelinen12 hvor det heter:
«If a controller seeks to process personal data that are in fact necessery for the performance of a contract, then consent is not the appropriate lawful basis.»
Guidelinen fastsetter at behandlingsgrunnlag i slike tilfeller vil være artikkel 6 nr. 1 bokstav b om avtale.13 Samme forståelse av frivillighetskravet legges også til grunn i EUs håndbok14 hvor det heter;
“The existence of free consent is only valid if the data subject is able to exercise a real choice and there is no risk of deception, intimidation, coercion or significant negative consequences if he/she does not consent.”
Deretter heter det på side 146 i håndboken: “The GDPR is rather strict in forbidding the bundling of consent with the provision of goods and services” før det gis følgende eksempel:
“Passengers’ agreement to an airline that transmits so-called passenger name records (i.e. data on their identities, eating habits or health problems) to the immigration authorities of a specific foreign country cannot be considered valid consent under data protection law, as the travelling passengers have no choice if they want to visit this country. If such data are to be transmitted lawfully, some legal basis other than consent is required, most likely a specific law.” (min uthevning)
Plikten til å gi helseopplysninger for å få innreisetillatelse, har klare likhetstrekk med plikten til å gi helseopplysninger for å kunne inngå en forsikringsavtale. I begge tilfeller er henholdsvis innreise og forsikring betinget av at vedkommende utleverer helseopplysninger. Uttalelsen må derfor kunne overføres til forsikring.
På grunnlag av fortalepunkt 42 siste punktum og den klare uttalelsen fra artikkel 29 gruppen, må det legges til grunn at frivillighetskravet er noe nær absolutt. Dette har også støtte i artikkel 29 gruppens uttalelse15 om at;
“As the wording of Article 7(4) is not construed in an absolute manner, there might be very limited space for cases where this conditionality would not render the consent invalid. However, the word “presumed” in Recital 43 clearly indicates that such cases will be highly exceptional.” (min utheving)
Plikten til å gi forsikringsforetaket tilgang på relevante risikoopplysninger, herunder helseopplysninger, innebærer som nevnt at vedkommende nettopp ikke står fritt. Dertil kommer at dersom vedkommende ikke vil gi opplysningene, så kan ikke avtale inngås og oppgjør kan ikke kreves. Dersom vedkommende ikke vil gi samtykke, har derfor nektelsen en alvorlig negativ konsekvens. Til dette kommer at vedkommende ikke kan trekke tilbake sitt samtykke uten alvorlige negative konsekvenser. Behandlingen av opplysningene må da opphøre og avtalen må avsluttes. Når man er tvunget til å gi samtykke og ikke kan inngå avtalen eller kreve oppgjør uten et slikt «samtykke» og heller ikke uten alvorlig negativ konsekvens kan trekke det tilbake, kan det vanskelig være tale om et frivillig samtykke i forordningens forstand. Å godta samtykke som behandlingsgrunnlag i et slikt tilfelle, vil bryte med forordningens strenge frivillighetskrav – slik blant annet Artikkel 29 gruppen og EUs håndbok tolker kravet.
Artikkel 29 gruppen bygger sin forståelse av frivillighetskravet på at behandlingsgrunnlag for slike nødvendige opplysninger, er artikkel 6 nr. 1 bokstav b om avtale. Det er derfor ikke noe behov for å bygge på samtykke som behandlingsgrunnlag for slike opplysninger.
Også i annen litteratur gis det uttrykk for at inngåelse og gjennomføring av forsikringsavtaler, må hjemles i artikkel 6 nr. 1 bokstav b om avtale. I en kommentarutgave til GDPR heter det for eksempel om dette:16
«Behandling av personopplysninger er for eksempel helt nødvendig i forbindelse med inngåelse og gjennomføring av forsikringsavtaler, og bør derfor hjemles i art. 6 nr. 1 bokstav b i stedet for i bokstav a.»
At en kunde må akseptere de avtalebetingelser som gjelder i det aktuelle avtaleforholdet, innebærer følgelig ikke at kundens aksept av avtalebetingelsene samtidig er et frivillig samtykke til at foretaket kan behandle de personopplysninger som er nødvendige for å kunne inngå og betjene avtalen. Kundens aksept innebærer bare at han ønsker å inngå avtalen.
Opplysninger som er nødvendige å gi for å kunne inngå eller kreve oppfyllelse under forsikringsavtalen, kan etter dette ses som avtaleforutsetninger eller avtalebetingelser ettersom opplysningene er nødvendige betingelser for å kunne inngå en avtale eller kreve oppfyllelse under avtalen. Behandlingsgrunnlag for slike avtalebetingelser må som nevnt søkes i artikkel 6 nr. 1 bokstav b om avtale. Dersom kundens opplysningsplikt omfatter helseopplysninger, kreves også unntak fra behandlingsforbudet for slike opplysninger. Her er det særlig artikkel 9 nr. 2 bokstav f om rettskrav som er aktuelt. Se punkt 7 nedenfor.
Samtykke som behandlingsgrunnlag i forsikring synes etter dette begrenset til behandling av opplysninger som ikke er underlagt opplysningsplikt eller som ikke er nødvendig å behandle for å kunne inngå eller oppfylle avtalen. Det innebærer at samtykke vil være et relevant behandlingsgrunnlag, dersom foretaket ønsker å benytte opplysningene for andre formål enn det som er nødvendig for å kunne inngå eller oppfylle avtalen. Samtykke er for eksempel aktuelt når foretaket ønsker å markedsføre andre produkter enn forsikring. Samtykke kan også være aktuelt dersom foretaket vil gjennomføre automatiserte avgjørelser, jf. artikkel 22.
Samtykke er videre nødvendig for å kunne utveksle kundeopplysninger i et konsern utover de begrensede opplysningene som følger av finansforetaksloven § 18-5. Samtykke må også innhentes dersom foretaket ønsker å bruke opplysningene til et formål som er uforenlig med det formål som ble oppgitt ved innsamling av opplysningene. Dersom behandlingen derimot ikke er uforenlig med det opprinnelige formålet, vil det samme behandlingsgrunnlag som opplysningene ble innhentet for, også hjemle gjenbruken, jf. fortalepunkt 50 annet punktum. Samtykke er videre nødvendig for å kunne benytte elektroniske dokumenter og elektronisk kommunikasjon i stedet for papirdokumenter og brev ved betjening av avtalen og ved skadeoppgjør. Dette følger både av at elektroniske dokumenter og elektronisk kommunikasjon ikke er en nødvendig betingelse for å administrere eller oppfylle avtalen, og av kravet i fal § 20-3. Denne opplistingen av når samtykke kan eller må benyttes, er ikke uttømmende.
6. Avtale som alminnelig behandlingsgrunnlag
Det følger av artikkel 6 nr. 1 bokstav b at personopplysninger kan behandles når
«behandlingen er nødvendig for å oppfylle en avtale som den registrerte er part i, eller for å gjennomføre tiltak på den registrertes anmodning før en avtaleinngåelse,»
Som nevnt ovenfor er det nødvendig å innhente en rekke personopplysninger for å kunne tilby noen en forsikringsavtale. Opplysningene benyttes for å kunne beregne risikoen og for å kunne betjene forsikringen. Opplysningene benyttes også ved et oppgjør under forsikringen.
Ved et skadeoppgjør er det i tillegg nødvendig å innhente ytterligere opplysninger av betydning for oppgjøret. Drøftelsen i kapittel 5 ovenfor har vist at samtykke ikke kan være behandlingsgrunnlag når foretaket innhenter opplysninger som forsikringssøkeren har plikt til å gi eller som er nødvendig for å kunne inngå eller oppfylle en forsikringsavtale. Behandling av personopplysninger for å kunne inngå og administrere avtalen eller foreta oppgjør, har imidlertid alminnelig behandlingsgrunnlag i artikkel 6 nr. 1 bokstav b om avtale.
6.1 Behandling av opplysninger for å kunne inngå avtalen
Etter ordlyden gir artikkel 6 nr. 1 bokstav b behandlingsgrunnlag for å behandle opplysninger før avtalen inngås, jf. uttrykket «gjennomføre tiltak på den registrertes anmodning før en avtaleinngåelse.» Bestemmelsen gir foretaket adgang til å innhente og behandle de opplysninger som er nødvendig for å kunne inngå avtalen. Dette omfatter for det første administrative opplysninger som navn, adresse, kontonummer osv. For det andre omfatter det risikoopplysninger om kunden selv og vedkommende sine eiendeler. For det tredje omfattes opplysninger som er nødvendig å innhente og behandle for å kunne foreta kundekontroll og løpende oppfølgning av kundeforholdet i samsvar med hvitvaskingslovens bestemmelser.17
Bestemmelsen gir adgang til å innhente og behandle opplysninger ikke bare fra den registrerte selv, men også fra andre kilder. For eksempel opplysninger fra eiendomsregisteret eller andre offentlige kilder, men bare i den utstrekning opplysningene er nødvendige for å kunne inngå, administrere eller oppfylle avtalen. Bestemmelsen gir også adgang til å behandle opplysningene for å kunne gi vedkommende informasjon og råd om relevante forsikringer og dekninger i henhold til fal §§ 2-1 og 11-1.
Artikkel 6 nr. 1 bokstav b om avtale er også et relevant alminnelig behandlingsgrunnlag for helseopplysninger. (I tillegg kreves som allerede nevnt særlig behandlingsgrunnlag i artikkel 9 nr. 2, se punkt 7 nedenfor.) Helseopplysninger er nødvendig å behandle for å kunne inngå avtale om personforsikringer som krever helsevurdering. Når forsikringsforetaket kan kreve at forsikringssøkeren gir foretaket nødvendige helseopplysninger, er tilgang til slike helseopplysninger en nødvendig betingelse for å kunne inngå avtalen. At foretaket både har rett og plikt til å kreve helseopplysninger, følger av kravene til pristariffer i § 3-3 i forsikringsvirksomhetsloven. Innhenting og behandling av helseopplysninger er for det andre nødvendig for å kunne foreta riktig oppgjør under en personforsikring eller ved personskade under skadeforsikringer. For det tredje er det aktuelt når foretaket behandler en oppsigelse av avtalen på grunnlag av tilbakeholdte eller uriktige helseopplysninger.
I relasjon til artikkel 6 nr. 1 bokstav b om avtale, uttaler artikkel 29 gruppen18 følgende om behandling av risikoopplysninger før inngåelse av en forsikringsavtale:
«… if an individual requests a quote from an insurer for his car, the insurer may process the necessary data, for example, the make and age of the car, and other relevant and proportionate data, in order to prepare the quote.
However, detailed background checks, for example, processing the data of medical check-ups before an insurance company provides health insurance or life insurance to an applicant would not be considered as necessary steps made at the request of the data subject.»
Artikkel 29 gruppens standpunkt er verken drøftet eller grunngitt. Dersom uttalelsen skal forstås slik at ingen helseopplysninger kan anses nødvendig å behandle for å kunne tegne visse personforsikringer, kan uttalelsen vanskelig være riktig. I hvert fall ikke for norske forhold. Det vises til at kravene til pristariffer i § 3-3 i forsikringsvirksomhetsloven, innebærer at helseopplysninger må innhentes og behandles før avtaleinngåelsen. Røsægutvalgets19 drøftelser viser nødvendigheten av at forsikringsforetaket foretar en forsvarlig helsevurdering før livsforsikringsavtaler inngås.20 Nødvendighetskravet i artikkel 6 nr. 1 bokstav b må da klart nok være oppfylt. Uttalelsen er kanskje ment å angi begrensninger for hvor omfattende helsesjekken kan være. Slike begrensninger følger imidlertid allerede av norsk lovgivning.21
6.2 Behandling av opplysninger for å kunne oppfylle avtalen
Videre gir artikkel 6 nr. 1 bokstav b om avtale adgang til å behandle opplysningene etter avtaleinngåelsen, jf. uttrykket «for å oppfylle en avtale». Dette innebærer at opplysningene som ble innhentet ved avtaleinngåelsen, også kan benyttes for å kunne betjene avtalen. For eksempel administrasjon av avtalen gjennom fakturering og løpende informasjon etter
forsikringsavtaleloven §§ 3-3 og 12-7 i forbindelse med fornyelse av avtalen. Videre omfattes endringer av en løpende avtale.
Uttrykket «oppfylle en avtale» omfatter videre behandling i forbindelse med et skadeoppgjør under forsikringen. Bestemmelsen gir forsikringsforetaket adgang til å innhente og behandle de opplysninger som er nødvendig for å ta stilling til om det er inntrådt et forsikringstilfelle, dvs. om noen har krav på utbetaling under forsikringen. For å kunne avgjøre om det er inntrådt et forsikringstilfelle, må forsikringsforetaket undersøke om alle betingelser for erstatningsplikt er oppfylt. I det ligger at foretaket må undersøke om betingelsene i selve forsikringsavtalen er oppfylt. For eksempel om skaden er forårsaket av en fare eller hendelse som omfattes av forsikringen og om tapet som kreves erstattet, er omfattet av forsikringen.
Videre må det tas stilling til om alle betingelser eller begrensninger som følger av lov er oppfylt. For eksempel om forsikringen er opphørt på grunn av manglende betaling.22 Et annet eksempel er adgangen til å avkorte eller avslå kravet når skaden skyldes brudd på sikkerhetsforskrifter.23 Et tredje eksempel er reglene24 som åpner for at foretaket kan avkorte eller avslå en skade som er voldt ved grov uaktsomhet. Et fjerde eksempel er adgangen til å avslå ethvert ansvar og si opp forsikringen, dersom det svikaktig er gitt uriktige opplysninger ved avtaleinngåelsen eller i skadesaken.25 Endelig har vi reglene som innebærer at en skade som er voldt forsettlig, kan avslås.26
Gjennomgangen ovenfor er ment å illustrere at det kreves en omfattende behandling av mange spørsmål for å kunne avgjøre om forsikringsforetaket har en betalingsforpliktelse etter forsikringsavtalen. Foretaket har både rett og plikt til å ta stilling til disse spørsmålene. For å kunne avgjøre om foretaket har betalingsplikt, må foretaket behandle alle opplysninger som er nødvendig for å kunne ta stilling til disse spørsmålene. Det kan ikke være tvilsomt at forsikringsforetaket har behandlingsgrunnlag i artikkel 6 nr. 1 bokstav b om avtale for å kunne behandle opplysningene for å kunne ta stilling til disse spørsmålene. Bokstav b gir også behandlingsgrunnlag for å behandle krav som reises etter opphør av avtalen siden et slikt krav omfattes av uttrykket «oppfylle en avtale». Krav om erstatning eller utbetaling kan som kjent reises under en rekke forsikringer også etter at forsikringsavtalen er opphørt.
7. Rettskrav som særlig behandlingsgrunnlag
Det følger av artikkel 9 nr. 1 at alminnelig behandlingsgrunnlag i artikkel 6 nr. 1, ikke er tilstrekkelig for å kunne behandle «særlige kategorier av personopplysninger». Behandling av slike opplysninger krever at foretaket også har særlig behandlingsgrunnlag i artikkel 9 nr. 2. For vårt spørsmål er det artikkel 9 nr. 2 bokstav f om rettskrav, som er aktuelt. Denne bestemmelsen gir adgang til å behandle «særlige kategorier av personopplysninger» når:
«[b]ehandlingen er nødvendig for å fastsette, gjøre gjeldende eller forsvare rettskrav eller når domstolene handler innenfor rammen av sin domsmyndighet.»
Bestemmelsen er omtalt i fortalepunkt 52. Særlige kategorier av personopplysninger omfatter som nevnt i punkt i 3 i hovedsak de samme opplysninger som tidligere ble benevnt sensitive opplysninger, for eksempel helseopplysninger.
Artikkel 9 nr. 2 bokstav f fastsetter følgelig at helseopplysninger kan behandles når det er nødvendig i forbindelse med et «rettskrav». Den engelske originalteksten benytter uttrykket «legal claims». Etter tvisteloven § 1-3 er det bare rettskrav som kan bringes inn for domstolene. Rettskrav er i sivilprosessen beskrevet som et rettsforhold mellom to eller flere parter.27 Et rettskrav foreligger når noen mener å ha et krav mot en annen og dette kravet reguleres av rettsregler og kravet kan bringes inn for en domstol.28 En dom om et rettskrav vil dermed avgjøre rettsstillingen mellom partene, dvs. hvilke juridiske rettigheter og forpliktelser partene har overfor hverandre.
Etter dette må uttrykket «fastsette, gjøre gjeldende eller forsvare rettskrav» omfatte for det første de tilfeller hvor foretaket må ta stilling til et rettskrav. For eksempel når det beregner foretakets erstatningsplikt i en oppgjørssak i livsforsikring eller ved en personskade i skadeforsikring. For det andre omfattes de tilfeller når foretaket fremmer et krav mot noen, for eksempel når forsikringsforetaket krever regress mot noen etter utbetaling i en personskade. For det tredje omfattes tilfeller et forsikringsforetak forsvarer seg mot et krav, for eksempel når foretaket bestrider et krav i en personskade som foretaket mener er uberettiget. For det fjerde omfattes de tilfeller når foretaket har rett til å avslå å tilby forsikring, ta reservasjon eller premietillegg ved inngåelse av en livsforsikringsavtale. For det femte omfattes tilfeller når foretaket har rett til å unnlate å fornye eller si opp en løpende livsforsikringsavtale.
Bestemmelsen er dermed aktuell ved avtaleinngåelsen i de tilfeller foretaket kan kreve at den forsikrede avgir helseopplysninger for å kunne inngå avtalen. Et slikt krav kan som kjent foretaket stille i livsforsikringer og sykeforsikringer. Helseopplysninger er da nødvendig å innhente og behandle for å kunne ta stilling til om forsikringsforetaket har plikt til å tilby forsikring etter § 12-12 i forsikringsavtaleloven, eller om foretaket kan avslå, ta reservasjon for visse sykdommer eller kreve premietillegg. Videre er bestemmelsen aktuell i alle oppgjørssaker i livs- og skadeforsikring hvor helseopplysninger må behandles for å kunne beregne riktig oppgjør eller ta stilling til om det er gitt uriktige opplysninger i skadeoppgjøret eller ved etablering av forsikringen. Bestemmelsen gir også adgang til å behandle helseopplysninger i forbindelse med administrasjon og betjening av avtalen. Endelig er bestemmelsen aktuell ved et opphør av avtalen.
I praksis vil rettskravet ofte være knyttet til et rettsforhold mellom den person opplysningene gjelder og forsikringsforetaket som har innhentet helseopplysningene. Etter ordlyden stilles det imidlertid ikke nærmere krav til hva rettskravet må dreie seg om eller hvem rettskravet må være mellom. Det kan for eksempel være et rettskrav som den registrerte eller forsikringsforetaket har mot en tredjemann eller gjelde et rettskrav som tredjemann har mot den registrerte eller forsikringsforetaket.29 For eksempel et regresskrav forsikringsforetaket mener å ha mot et annet forsikringsforetak. Det omfatter også tilfeller når den registrerte mener å ha et krav mot flere forsikringsforetak.
8. Samtykke er nødvendig for å oppheve taushetsplikten etter helsepersonelloven
Ovenfor er det forutsatt at helseopplysningene innhentes fra forsikringssøkeren selv. Dersom helseopplysninger må innhentes fra forsikringssøkerens fastlege eller fra et helseforetak, må forsikringssøkeren gi samtykke etter helsepersonelloven § 22 til at legen eller helseforetaket kan utlevere opplysningene. Dette følger av at legen og annet helsepersonell har taushetsplikt etter helsepersonelloven § 21. Helsepersonell omfatter foruten leger og sykepleiere ytterligere 27 yrkesgrupper som er opplistet i helsepersonelloven § 48.
Dersom forsikringssøkeren ikke samtykker til at legen eller helseforetaket kan utlevere helseopplysningene, vil forsikringsforetaket ikke få tilgang til opplysningene. I et slikt tilfelle vil imidlertid den det gjelder verken kunne inngå avtalen eller kreve oppgjør under forsikringen.
Helsedirektoratet har i et rundskriv30 om helsepersonells taushetsplikt angitt følgende krav til samtykke etter § 22:
Frivillighetskravet i forordningen kan åpenbart ikke overføres til helsepersonelloven. Dersom det strenge frivillighetskravet ble overført til helsepersonelloven, ville det gjort det umulig å gi et lovlig samtykke til innhenting av helseopplysninger i de tilfeller kunden har plikt etter lov til å gi helseopplysninger for å kunne inngå avtale eller kreve oppgjør. Selv om vedkommende verken kan inngå avtale om forsikring eller kreve oppgjør uten å samtykke til utlevering av helseopplysninger, hinder derfor ikke at det er tale om et frivillig samtykke etter helsepersonelloven. For at et forsikringsforetak skal kunne innhente helseopplysninger, må foretaket i praksis fremlegge for legen eller annet helsepersonell et skriftlig samtykke fra den som har krav på taushet.
9. Avsluttende bemerkninger
Selv om selskapene hittil har påberopt seg samtykke som behandlingsgrunnlag, er det spørsmål om ikke forsikringsforetakene snarest må legge om sin praksis på dette felt.
Roy Johansen advokat
1 Artikkel 29 gruppen er sammensatt av personer fra Datatilsynet i de enkelte EU/EØS land og har avgitt uttalelser om forståelsen av forordningen. Artikkel 29 gruppen heter nå «Personvernrådet». Se artikkel 68 flg.
2 Guidelines on consent under Regulation 2016/679, WP 259, (heretter WP 259) side 18.
3 Jon Wessel-Aas og Magnus Ødegaard Personvern, gir i sin bok «Personvern», anvisning på en slik forståelse under henvisning til det danske Datatilsynets veileder om uttrykkelig samtykke. Se boken side 164.
4 WP 259 side 18.
5 Lov 16 juni 1989 nr. 69 – lov om forsikringsavtaler – forsikringsavtaleloven.
6 Lov 10 juni 2005 nr. 44 om forsikringsvirksomhet – forsikringsvirksomhetsloven.
7 Regler om opplysningsplikt finnes også i andre forhold. For eksempel overfor det offentlige ved søknad om stønad etter folketrygdloven, jf. folketrygdloven § 21-3.
8 Forsikringer som krever helsevurdering før avtaleinngåelsen, er livs- og uføreforsikring og sykeforsikringer herunder lisensforsikring, barneforsikring og forsikring mot kritisk sykdom.
9 Personvernforordningen (GDPR) kommentarutgave av Bergseng Skullerud, Rønnevik, Skorstad og Pellerud, Universitetsforlaget 1 utgave 2018, side 66-67.
10 WP 259, øverst på side 9.
11 Slik også Wessel-Aas og Ødegaard Personvern side 136.
12 Nederst på side 8 i WP 259.
13 Note 23 side 8 i WP 259: «The appropriate lawful basis could then be Article 6(1)(b) (contract).»
14 “Handbook on European data protection law”, side 143 og 146. Boken er utgitt av EU Agency for Fundamental Rights (FRA) sammen med the Council of Europe.
15 WP 259 side 9.
16 Bergseng Skullerud mfl., side 82.
17 Slik behandling kan også forankres i artikkel 6 nr. 1 bokstav c om rettslig forpliktelse.
18 Opinion 06/2014 on notion of legitimate interests of the data controller under article 7 of Directive 95/46 EC, WP 217 (heretter WP 217) side 18.
19 NOU 2000:23 side 17-21. Se særlig punkt 4.1.3.
20 Dommen i Rt. 2000-59 (Riksfjorddommen) illustrerer at forsikringsforetaket må stille konkrete, spesifikke og presise spørsmål ved innhenting av helseopplysninger.
21 Se for eksempel § 5-8 i bioteknologiloven og § 13-1 b i forsikringsavtaleloven.
22 Fal §§ 5-2 og 14-2.
23 Fal §§ 4-8 og 13-9.
24 Fal §§ 4-9 og 13-9.
25 Fal §§ 8-1 og 18-1.
26 Fal §§ 4-9 og 13-8.
27 Note 21 til tvisteloven § 1-3 i Norsk lovkommentar
28 Side 41 flg. i kommentarutgaven til Tvisteloven bind 1 av Schei, Bårdsen, Bugge Nordén, Reusch og Øie.
29 Tilsvarende i Bergseng Skullerud mfl., side 109.
30 Rundskriv fra Helsedirektoratet - IS-2010-06 om helsepersonells taushetsplikt. Vern av pasientens integritet i muntlig kommunikasjon mellom pasient og helsepersonell.