top of page
Search

Et innsyn i innsynsnekt.

  • troenaas
  • Sep 11
  • 22 min read

Updated: Sep 24

Innsynsretten er en illusjon
Innsynsretten er en illusjon

Når innsynsretten blir en illusjon

Offentlig forvaltning behandler enorme mengder personopplysninger om oss alle – fra første skrik på fødeavdelingen til siste sukk i folkeregisteret. Det finnes knapt en saksmappe, et vedtak eller et internt notat som ikke på et eller annet vis berører en levende borger. Det kan være navn, adresse, telefonnummer, e-postadresse, helseopplysninger, skatteopplysninger, vurderinger av arbeidsevne, eller et tilsynelatende uskyldig internt notat hvor ditt navn trekkes inn i en diskusjon. Alt dette er personopplysninger i henhold til GDPR artikkel 4.


Og nettopp derfor er retten til innsyn – retten til å se hva staten har skrevet, ment eller antatt om deg – selve fundamentet i personvernet. Men hva skjer når denne retten, i stedet for å bli praktisert, konsekvent skyves til side av de samme myndighetene som skal beskytte deg? Da blir GDPR redusert til et papirflagg i byråkratenes vindu: fint å se på, men fullstendig ubrukelig når stormen blåser.


GDPR artikkel 15 er krystallklar: Du har rett til innsyn i alle personopplysninger som behandles om deg. Likevel nekter norske myndigheter stadig enkeltpersoner denne retten – med henvisning til en nasjonal unntaksregel i personopplysningsloven § 16 e og/eller offentleglova § 14. Hva skjer når en unntaksregel blir brukt som hovedregel? Og hvem passer egentlig på at Norge følger EØS-retten? Dette er ikke bare en juridisk bagatell. Det er et spørsmål om makt: Skal staten kunne definere både spillets regler og når du selv får se kortene? Skal vi som borgere akseptere at det som gjelder for bankene, arbeidsgivere og helsevesenet – nemlig full innsynsrett – plutselig ikke gjelder når det er myndighetene selv som holder opplysningene?


Myndighetenes unntakspraksis setter GDPR til side

Personopplysningsloven § 16 e – en “fribillett” fra GDPR?

Personopplysningsloven § 16 e åpner for unntak for «interne saksforberedelser». Men bestemmelsen var bare ment som en presisering innenfor GDPR artikkel 23 – ikke en selvstendig hjemmel til fritt å nekte innsyn. Artikkel 23 krever en strengt nødvendig og forholdsmessig vurdering før innsyn kan begrenses. Norske organer hopper over dette trinnet. Resultatet? Et mekanisk avslag, uten individuell vurdering eller dokumentasjon.

Når Datatilsynet og Personvernnemnda ikke engang nevner GDPR art. 23, men kun peker på § 16 e, setter de med andre ord nasjonal rett foran EØS-retten. Det er som om en spiller i fotballkampen plutselig erklærer seg som både dommer og målmann – hvem kan da vinne mot systemet?


Offentleglova § 14 – et misbrukt skjold mot innsyn

Myndighetene viser ofte til offentleglova § 14 første ledd (organinterne dokumenter) når de nekter innsyn. § 14 gjelder utkast, notater og interne e-poster, og gir forvaltningen adgang til å unnta slike dokumenter fra offentlig dokumentinnsyn. Men her ligger feilen: GDPR artikkel 15 handler ikke om allmennhetens innsyn, men den registrertes rett til innsyn i egne personopplysninger. EU-domstolen har slått fast at selv interne notater og vurderinger kan være personopplysninger. Dermed kan § 14 aldri brukes til å sette GDPR til side. Å bruke § 14 som skjold mot GDPR er som å dekke solen med en finger – et forsøk på å skape skygge der lyset uansett skal slippe inn.


Forskjellen er grunnleggende: Offentleglova § 14 er en unntaksregel for allmennhetens dokumentinnsyn, mens GDPR art. 15 gir individet rett til innsyn i egne opplysninger. Når norske organer blander disse to, oppstår et rettsbrudd. Den nasjonale bestemmelsen var aldri ment å avskjære EU-rettigheter.


Plikten til merinnsyn – og dobbelt lovbrudd når den ignoreres

Det er ikke bare GDPR som pålegger strenge vurderinger før innsyn kan nektes. Offentleglova § 11 sier uttrykkelig at forvaltningen plikter å vurdere merinnsyn, selv der det finnes en formell unntakshjemmel. Myndighetene må alltid spørre seg: Kan vi likevel gi helt eller delvis innsyn? Hensynet til åpenhet og individets rett til å kontrollere egne opplysninger skal veies mot behovet for hemmelighold.


Unnlatelse av å foreta en slik vurdering er et lovbrudd i seg selv. Og nettopp dette skjer: Når Datatilsynet og Personvernnemnda avslår innsyn etter § 16 e uten å dokumentere en vurdering av merinnsyn, bryter de ikke bare GDPR/EØS-retten, men også norsk offentlighetslov. Rettleiar til offentleglova understreker at unntaksreglene gir forvaltningen en rett, men ingen plikt, til å nekte innsyn – derfor organet alltid vurdere om det likevel bør gis helt eller delvis innsyn (merinnsyn). Å ignorere denne plikten er å ignorere loven. Dette dobbelt-bruddet viser at praksisen ikke bare er uforenlig med EU-retten; den undergraver også Norges egne prinsipper om åpenhet og rettssikkerhet.


For å sette det på spissen: Hva om Skatteetaten kunne nekte deg innsyn i dine egne skatteopplysninger – uten engang å vurdere merinnsyn? Eller om Arbeidstilsynet kunne holde tilbake interne vurderinger i en varslingssak uten at du fikk vite hva som faktisk sto skrevet om deg? Det ville vært uhørt. Likevel er det akkurat denne logikken Datatilsynet og Personvernnemnda praktiserer.


Åpenhet som demokratiets infrastruktur

Som faktasjekkerne i Faktisk.no påpekte nylig: Innsyn er ikke pynt, men selve motoren i ytringsfriheten, forankret i Grunnloven § 100. Uten innsyn dør den opplyste offentlige samtalen. Tallene bekrefter en negativ trend: Norge har falt ned til 86. plass på den globale RTI-rangeringen over innsynslovgivning. Ti år etter Oxford Research sin evaluering av offentleglova har ni justisministre kommet og gått – uten noen helhetlig revisjon. Retningen er tydelig: mindre åpenhet, mer hemmelighold.


I 2023 forsøkte regjeringen til og med å utvide hemmeligholdet ved å foreslå at enkelte interne dokumenter ikke engang skulle journalføres (slik at offentligheten ikke engang får vite at de finnes). Over 3400 høringssvar knuste forslaget – en folkebevegelse for åpenhet. Like fullt ser vi en skjermrefleks i forvaltningen: bruke unntak heller enn åpenhet.


Offentleglova § 14 i praksis: tallene lyver ikke

Oxford Research sin evaluering viser at § 14 om «organinternt» er blant de mest brukte avslagsgrunnene i offentlig sektor. I Kommunal- og moderniseringsdepartementet (KMD) ble hele 70% av innsynsbegjæringer i organinterne dokumenter avslått – mens 79% av innsynskrav totalt ble innvilget. To av tre nei der resten får ja. Hvorfor? Fordi § 14 brukes som et spesialskjold mot ubehagelig innsyn. Enda verre: mange organinterne dokumenter journalføres ikke engang, noe som gjør det umulig å vite hva man er blitt nektet. En rettighet uten synlige spor er en løgn med godkjentstempel.


Merinnsyn som plikt – ikke som pynt

Den samme evalueringen avdekket at merinnsynsvurderingen etter § 11 ofte er en ren pliktøvelse uten reell vurdering. Saksbehandler kan nekte innsyn og krysse av for at “merinnsyn er vurdert” – uten at det foreligger en faktisk begrunnelse eller dokumentasjon. Sivilombudet har flere ganger slått ned på nettopp dette, men praksisen fortsetter. Offentleglova § 11 skal sikre at selv der det kan gis avslag, skal det aktivt vurderes om hensynet til åpenhet veier tyngre. Når dette bare gjøres pro forma, undergraves hele formålet med regelen.


Fasit: Norge skårer lavt internasjonalt, og i praksis brukes § 14 som en effektiv mur mot åpenhet. Innsynsretten, ment som borgernes kontrollmekanisme, blir redusert til et byråkratisk nåløye.

Faktaboks I: Tallene bak innsynskrisen

  • 📉 RTI-rangering: Norge ligger på 86. plass globalt for kvaliteten på innsynslovgivningen.

  • 📑 § 14 organinternt: Blant de mest brukte avslagsgrunnene i offentlig sektor.

  • 🏢 KMD-eksempel: Hele 70 % av innsynsbegjæringer i organinterne dokumenter ble avslått – mens 79 % av innsyn totalt ble innvilget.

  • 🔍 Journalføring: Mange organinterne dokumenter journalføres ikke – borgerne får aldri vite hva som skjules.


👉 Konklusjon: Norge skårer lavt internasjonalt, og i praksis brukes § 14 som en effektiv mur mot åpenhet.


Norge på kollisjonskurs med EU- og EØS-prinsipper

Når offentlig forvaltning - inkludert Datatilsynet og Personvernnemnda - nekter innsyn etter ovennevnte praksis, bryter de ikke bare GDPR artikkel 15. De bryter også med flere grunnleggende prinsipper i EU/EØS-retten:

  • Lojalitetsprinsippet (TEU art. 4 nr. 3): Staten plikter å opptre lojalt og sikre gjennomføringen av EU/EØS-retten. Når norske organer setter § 16 e foran GDPR, opptrer de illojalt – både mot EU og egne borgere.

  • Effektivitetsprinsippet: Det skal ikke være uforholdsmessig vanskelig å håndheve sine EØS-rettigheter. Når innsynsretten gjøres illusorisk gjennom standardavslag, brytes prinsippet om effektiv rettighetsbeskyttelse.

  • Ekvivalensprinsippet: Krav basert på EØS-retten skal ikke behandles dårligere enn tilsvarende krav etter nasjonal rett. Når GDPR-innsyn skyves til side til fordel for forvaltningsrettslige unntak, skapes forskjellsbehandling.

  • Homogenitetsprinsippet: Norske organer har plikt til å tolke og anvende nasjonal rett i tråd med EØS-forpliktelser. Når offentlig forvaltning - inkludert Datatilsynet og Personvernnemda - tolker unntak bredere enn EU-domstolen tillater, bryter de homogeniteten – og skaper et «EØS-light» der norske borgere får svakere vern enn EU-borgere.


👉 Disse prinsippene viser at praksisen i offentlig forvaltning er på kollisjonskurs med selve fundamentet for EØS-avtalen. Vi ender opp med EU-regler på papiret, men en nasjonal praksis som uthuler dem i realiteten.


Tromsø-konvensjonen: Norge bryter sitt eget åpenhetsløfte

I 2009 ble Europarådets konvensjon om innsyn i offentlige dokumenter vedtatt – i Tromsø. Tromsø-konvensjonen (CETS 205) slår fast blant annet:

  • Art. 2: “Each Party shall guarantee the right of everyone [...] to have access, on request, to official documents held by public authorities.” Med andre ord: Alle har rett til innsyn i offentlige dokumenter.

  • Art. 3: “Limitations shall be set down precisely in law, be necessary in a democratic society and be proportionate [...]” – Unntak skal være hjemlet, nødvendige i et demokratisk samfunn og proporsjonale.

  • Art. 6: “If a limitation applies to some of the information [...] the authority should nevertheless grant access to the remainder.” – Myndighetene skal gi delvis innsyn der bare deler av et dokument kan unntas.

  • Art. 8: “An applicant whose request [...] has been denied [...] shall have access to a review procedure before a court or another independent and impartial body.” – Avslag skal alltid begrunnes, og borgerne har rett til en uavhengig klagebehandling.


Dette er ikke EU-rett, men et internasjonalt løfte Norge selv har undertegnet og vært vertskap for. Likevel havner vi altså på 86. plass globalt for åpenhet, og praktiserer unntak som om Tromsø-konvensjonen aldri eksisterte. Når Norge bryter konvensjonen som bærer navnet til en norsk by, er det mer enn et juridisk problem – det er en demokratisk skam.

Faktaboks II: Tromsøkonvensjonen i fire punkter

  • Art. 2: «Each Party shall guarantee the right of everyone [...] to have access, on request, to official documents held by public authorities.»

  • Art. 3: «Limitations shall be set down precisely in law, be necessary in a democratic society and be proportionate [...]»

  • Art. 6: «If a limitation applies to some of the information [...] the authority should nevertheless grant access to the remainder.»

  • Art. 8: «An applicant whose request [...] has been denied [...] shall have access to a review procedure before a court or another independent and impartial body.»


Når unntak blir et dekke for lovbrudd

Offentleglova § 14 gir hjemmel til å unnta organinterne dokumenter fra innsyn. Men unntaksregelen var aldri ment å gi skjul for ulovligheter, saksbehandlingsfeil eller kritikkverdige forhold. Dersom et dokument inneholder opplysninger om saksbehandlingsfeil, kritikkverdige eller straffbare forhold, oppstår tvert imot en plikt til å håndtere det med åpenhet:

  • Journalføre og arkivere dokumentet etter arkivlova – fordi det da er et saksdokument av rettslig betydning, ikke bare “internt”.

  • Vurdere merinnsyn etter offentleglova § 11 – nettopp fordi hensynet til åpenhet veier ekstra tungt når man står overfor mulige overtramp.

  • Varsle eller avverge etter straffeloven eller særlover (f.eks. arbeidsmiljøloven) dersom forholdene er alvorlige.


Internasjonalt skjerpes bildet ytterligere:

  • Tromsø-konvensjonen selv presiserer at unntak aldri kan brukes til å skjule “misconduct, corruption or human rights violations”.

  • EU/EØS (forordning 1049/2001) – EUs innsynsforordning – slår fast at unntak ikke må misbrukes til å undergrave åpenhet, særlig ikke i saker som gjelder korrupsjon eller ulovlige handlinger.

  • OECD-retningslinjer krever integritet og transparens i offentlig sektor – hemmelighold av lovbrudd bryter med alt som heter “good governance”.

  • FN (UNCAC-konvensjonen) forplikter statene til å sikre mekanismer for å avdekke og rapportere korrupsjon og ulovligheter.


👉 Konsekvensen er klar: Selv om et organ på papiret kan vise til § 14, vil hemmelighold av ulovligheter i realiteten være ulovlig – både etter norsk rett og våre internasjonale forpliktelser. Offentleglovas formål er nettopp å avsløre kritikkverdige forhold i forvaltningen, ikke dekke over dem. Når unntaket brukes som skjold for lovbrudd, er det ikke lenger bare et demokratisk problem – da er staten selv blitt lovbryter.


💥 Uten reell innsynsrett blir det umulig å avdekke lovbrudd og kritikkverdige forhold i en offentlig etat dersom den kort og godt kan gjemme seg bak “organinternt”-stempelet. Da er det ikke lenger åpenhet, men selvbeskyttelse – og staten gjør seg selv immun mot kritikk.


Utredningsplikten og misbruk av § 14

Forvaltningsloven § 17 pålegger myndighetene å sørge for at en sak er tilstrekkelig opplyst før vedtak treffes. Når denne plikten svikter – f.eks. at interne faglige innvendinger eller kritiske merknader ikke blir tatt med – kan det i praksis bli fristende for et organ å gjemme seg bak offl. § 14. Interne dokumenter med uenighet eller svakheter i saksgrunnlaget holdes da tilbake, og borgernes mulighet til å kontrollere forvaltningen undergraves.


Sivilombudet har gjentatte ganger uttalt at § 14 ikke kan brukes for å dekke over saksbehandlingsfeil. Prinsippet er klart: Offentleglova er et kontrollverktøy, ikke et skjulested for forvaltningen. Selv der et dokument formelt kan unntas, må organet vurdere merinnsyn etter § 11 – og dersom det er mistanke om mangelfull utredning eller feil, veier hensynet til offentlighet særlig tungt.


Oppsummert: Når § 14 brukes for å skjule svakheter i saksbehandlingen, bryter staten ikke bare med åpenhetsprinsippet. Den bryter selve kjernen i forvaltningsretten: plikten til å utrede saken forsvarlig. Da er det ikke borgernes kontroll som ivaretas – men maktens eget selvforsvar.


Datatilsynets saksmanual: GDPR-artikkel 15 glimrer med sitt fravær

Datatilsynet skal være garantisten for at borgernes innsynsrett etter GDPR artikkel 15 ivaretas. Likevel viser det seg at deres egen interne saksbehandlingsrutiner for innsynsbegjæringer ikke nevner artikkel 15 i det hele tatt – kun forvaltningslovens regler om dokumentinnsyn (§§ 18–19) blir fremhevet. Det vil si at Tilsynet i sin veiledning til egne ansatte kun fokuserer på tradisjonell forvaltningslov (partsinnsyn) og offentlighetslov, og overser GDPRs særregler om rett til innsyn for den registrerte.

Dette er ikke bare en bagatell, men et systematisk problem. Når saksmanualen utelater selve GDPR-bestemmelsen om innsyn, signaliserer det at Datatilsynet primært opererer etter gamle vaner i forvaltningsretten. Hvordan kan de da beskytte en rettighet de ikke engang nevner? Det er som å ha en brannstasjon uten brannslanger – symbolsk til stede, men ubrukelig i praksis.


Alvoret: Tilsynsmyndighet uten fokus på kjerneoppgaven

GDPR artikkel 15 er en av de registrertes grunnleggende rettigheter. At Datatilsynet – som skal håndheve og beskytte denne retten – utelater art. 15 i sin egen manual, er alvorlig på flere nivåer:

  • Rettighetsnivå: Artikkel 15 er like grunnleggende som retten til retting eller sletting. Når tilsynet ignorerer den, uthules selve fundamentet i GDPR.

  • Tilsynsplikten: Etter GDPR art. 57 (1) (f) er Datatilsynet forpliktet til å behandle klager på brudd på art. 15. Uten at art. 15 operasjonaliseres i rutiner og opplæring, svekkes denne plikten dramatisk.

  • Tillit: Saksbehandlingsrutiner setter standarden for lik behandling. Når innsynsretten glimrer med sitt fravær, svekkes borgernes tillit til at klager faktisk blir behandlet i tråd med EØS-retten.

  • Symbolikk: Et tilsyn som overser artikkel 15 fremstår ikke som folkets vaktbikkje, men som maktens sekretær.


Kort sagt: Det er svært alvorlig. Når Datatilsynet selv ser bort fra innsynsretten i sitt eget arbeid, reduseres GDPR til et papirvern – og borgernes rettigheter til tomme løfter. “En brannstasjon uten slanger” er et treffende bilde: Vi har en institusjon som skal slokke branner, men som har gjemt bort brannslangen i skapet.


Lovgivers føringer: unntak skulle være snevre og nødvendige

Stortingets egne forarbeider viser hvor snevert unntaket for interne dokumenter egentlig var ment. I Prop. 56 LS (2017–2018) – da GDPR skulle innlemmes i norsk rett – understreket departementet at den gamle regelen om interne dokumenter måtte strammes inn: GDPR artikkel 23 krever at unntak bare kan gjøres i den grad det er nødvendig og forholdsmessig. Derfor la de til et tilleggsvilkår i loven om at hemmelighold må være nødvendig for å sikre forsvarlige interne avgjørelsesprosesser. Departementet skrev: «Dette vil utgjøre et proporsjonalt unntak, jf. artikkel 23 nr. 1.» Med andre ord: Unntaket for interne dokumenter ble videreført i norsk lov, men med en tydelig presisering – det kan bare brukes når det er strengt nødvendig.


Også nyere forarbeider gir et klart varsko. I Prop. 158 L (2020–2021) – en proposisjon som bl.a. omhandlet innsynsretten – presiserte departementet flere forhold direkte relevant her:

  • Nødvendighets- og proporsjonalitetskravet: Unntak fra innsyn må være nødvendige og forholdsmessige i et demokratisk samfunn – de kan ikke brukes mekanisk eller rutinemessig.

  • Tolkningspresumsjon for åpenhet: Myndighetene bør som utgangspunkt unngå GDPR-unntak dersom regelverket kan tolkes slik at utlevering kan skje etter offentleglova. Med andre ord: Er det mulig å gi innsyn via nasjonale regler, skal man ikke umiddelbart ty til GDPR-unntak.

  • Offentleglova § 26 (6): Det ble innført et smalt unntak for såkalte “sammenstillinger” – dokumenter som kun oppstår fordi en registrert ber om innsyn etter GDPR art. 15. Dette unntaket er snevert, formålsstyrt og ment å gjelde midlertidig for slike tilfeller. Det kan ikke utvides til å blokkere eksisterende dokumenter som inneholder personopplysninger. Prop. 158 L viser at lovgiver bevisst ville begrense unntaket til denne snevre kategorien.

  • Merinnsyn: Flere høringsinstanser etterlyste kriterier for merinnsyn selv innenfor det nye unntaket (§ 26 (6)), nettopp for å sikre at forvaltningen også da vurderer å gi ut deler av informasjonen. Dette viser at selv der lovgiver åpner for et nytt unntak, ligger det en forventning om at åpenhet fortsatt skal praktiseres så langt som mulig.

  • Datatilsynets advarsel: Det er verdt å merke seg at Datatilsynet selv, i høringen til Prop. 158 L, advarte mot å utforme lovverket slik at det åpner for flere unntak enn GDPR tillater. Ironisk nok er det nettopp en for vid unntakspraksis vi ser hos Datatilsynet og Personvernnemnda i dag.


Både Prop. 56 LS og Prop. 158 L gir et entydig bilde: Unntak fra innsynsretten skal være snevre, dokumenterte og midlertidige – ikke mekaniske standardavslag. Når Datatilsynet og Personvernnemnda likevel praktiserer § 16 e og offl. § 14 som “default” i innsynssaker, bryter de ikke bare EØS-retten – de bryter med Stortingets egne klare føringer.


NOU 2022:11 og NOU 2024:7: Demokratisk varsko

  • NOU 2022:11: Slår fast at personvern er en demokratisk grunnpilar, og at innsyn må være enkelt og effektivt – ikke en kamp mot byråkratiske murer.

  • NOU 2024:7: Understreker at GDPR gir borgerne grunnleggende rettigheter direkte i Norge via EØS, og peker på økende demokratisk underskudd.


Når Datatilsynet og Personvernnemnda praktiserer unntak for vidt, forsterkes dette demokratiproblemet.


EU-retten: Innsynsretten som grunnleggende prinsipp

EU-domstolen har i flere dommer, bl.a. Nowak (C-434/16) og Pankki S (C-579/21), fastslått det opplagte: selv interne notater og vurderinger er “personopplysninger” dersom de kan knyttes til en person. Poenget er enkelt: Uten innsyn kan du ikke kontrollere lovligheten av hvordan opplysningene dine behandles. Innsynsretten er selve nøkkelen til å utøve de øvrige personvernrettighetene – du må kunne se hva som finnes for å kunne kreve noe rettet eller slettet.


Hva er verdien av en rettighet hvis staten kan låse døra og kaste nøkkelen idet du banker på? Når Datatilsynet og Personvernnemnda nekter innsyn i interne dokumenter om deg, fratar de i praksis enkeltpersoner muligheten til å kontrollere makten – og det er selve definisjonen på et demokratisk underskudd.


Dom C-413/23 P: Når pseudonymisering blir maktens siste skalkeskjul

EU-domstolen minnet oss nylig på en selvfølge: selv når staten pakker inn opplysninger i et lag pseudonymisering, slipper den ikke unna. I C-413/23 P (EDPS v SRB) slo domstolen fast at spørsmålet alltid er om mottakeren faktisk har «rimelige midler» til å koble data tilbake til deg. Det holder altså ikke å mumle «anonymisert» og håpe at borgeren går hjem igjen.


Og like viktig: selv når data anses pseudonymisert, ligger opplysningsplikten fast. Myndighetene må fortelle deg hvem som får opplysningene, på hvilke vilkår, og hvorfor. Med andre ord – ingen flere standardavslag, ingen flere «organinternt»-stempler brukt som tryllestøv. EU krever en konkret, dokumentert vurdering – ikke en refleksmessig nei-knapp.


Dommen passer som hånd i hanske inn i den norske konteksten: mens Datatilsynet og Personvernnemnda deler ut avslag som smågodt, sier EU-domstolen at innsynsretten krever reell prøving, proporsjonalitet og transparens. Å kalle pseudonymisering for et frikort fra GDPR er like overbevisende som å kalle en mørk solbrille for en nattkikkert.


EDPB: Ingen unnskyldning for standardavslag

De europeiske personvernmyndighetenes fellesorgan EDPB (European Data Protection Board) har i sine retningslinjer (Guidelines 01/2022, oppdatert 2023) presisert flere ting som er høyst relevante for Norge:

  • Innsynsretten er ubetinget: Alle personopplysninger som kan knyttes til en registrert omfattes av retten – også notater, interne vurderinger og annet subjektivt innhold om personen. Selv et dokument som inneholder meninger eller vurderinger om deg, utløser rett til innsyn i disse delene.

  • Ingen begrunnelsesplikt for den registrerte: Den som ber om innsyn trenger ikke oppgi noen grunn for sin forespørsel. Databehandleren (behandlingsansvarlig) kan følgelig ikke avslå et innsynskrav fordi de mistenker at opplysningene vil brukes i en rettssak eller til å kritisere forvaltningen . EDPB er krystallklar: Formålet eller motivasjonen til den registrerte er irrelevant for retten til innsyn.

  • Strenge vilkår for unntak etter art. 23: Unntak under GDPR artikkel 23 kan bare brukes dersom de er strengt nødvendige, og myndigheten må dokumentere hvorfor innsyn vil skade de interessene som beskyttes. Det skal gjøres en konkret vurdering i hvert tilfelle – og så fort årsaken til unntaket ikke lenger er til stede, skal innsyn gis. Massebruk av § 16 e uten dokumentasjon bryter ånden i disse retningslinjene.


Spørsmålet blir da: Hvem kontrollerer kontrollørene? Når selv Datatilsynet og Personvernnemnda – institusjonene som skal være våre garantister – rutinert bruker standardavslag uten dokumentasjon, står vi igjen med en tilsynsstat uten tilsyn.


EØS-rettens forrang – en ignorert realitet

EØS-loven § 2 slår fast at EØS-retten går foran norsk lov ved motstrid. Høyesterett bekreftet dette første gang i Finanger I (Rt. 2000 s. 1811) – og senest i HR-2025-490-S. Likevel ser vi at:

  • Datatilsynet bruker § 16 e som “skjold” mot innsyn i personopplysninger.

  • Personvernnemnda følger samme linje, uten å foreta den påkrevde forholdsmessighetsvurderingen etter artikkel 23.


Det er en juridisk selvmotsigelse: Norge har selv bundet seg til å gi GDPR forrang via EØS, men myndighetene praktiserer det motsatte. Vi har et “juridisk Janusansikt” der man utad lover å følge GDPR, men innad setter nasjonale skylapper på.


Når bare retten kan åpne dørene: Tvisteloven overstyrer hemmeligholdet

Fra skjold til plikt

Utenfor retten kan staten gjemme seg bak offentleglova § 14 og personopplysningsloven § 16 e. Men i domstolen hjelper ikke «organinternt». Da gjelder tvisteloven – og reglene er brutale: opplysningsplikt etter tvisteloven § 21-4 og bevisføringsplikt etter § 24-3. Partene skal sørge for at saken blir «riktig og fullstendig opplyst» og kan pålegges å legge frem dokumenter og bevis – unntak kun ved lovbestemt taushetsplikt eller dersom beviset er uten betydning.


Retten bestemmer, ikke staten

Summen er enkel: I en sivil rettssak gjelder ubegrenset innsyn i sakens dokumenter. Ingen særnorske unntak for “organinternt” gjelder da. Høyesteretts ankeutvalg har uttrykkelig slått fast at slike unntak ikke supplerer tvisteloven, og at innsynsspørsmålet kun avgjøres etter tvistelovens bevisregler. Retten har pekt på at hensynet til å få saken korrekt opplyst veier tyngre enn forvaltningens behov for hemmelige rom.


Juridisk paradoks – «hemmelig, til du saksøker oss»

Resultatet er absurd:

  • Utenfor retten: Staten kan nekte innsyn ved å stemple dokumenter som «organinterne».

  • I retten: De samme dokumentene må legges på bordet, fordi tvisteloven krever det.


👉 Dermed får du ikke innsyn som borger – men som saksøker. Ironien er åpenbar: GDPR og EØS-retten gir deg en rett på papiret, men i praksis må du ta staten til retten før den respekteres.


Sivilombudets advarsel: Innsyn som demokratiets sikkerhetsventil

Sivilombudet har gjentatte ganger minnet om hvor sentralt innsyn er i demokratiet. I Innsynsguiden (2025) skriver ombudets leder at innsyn er en forutsetning for å avdekke kritikkverdige forhold i forvaltningen. Likevel glimrer to helt avgjørende rettslige mekanismer med sitt fravær: GDPR artikkel 15 og tvistelovens regler om opplysnings- og bevisplikt.


Dette er ikke en bagatell, men en alvorlig mangel:

  • Manglende GDPR-referanse: Guiden presenterer innsyn kun som et nasjonalt spørsmål. Dermed forsvinner koblingen til EØS-forpliktelsene og forrangsregelen i EØS-loven.

  • Utelatelse av tvisteloven: Enda mer påfallende er at guiden ikke nevner at i en rettslig prosess gjelder tvisteloven §§ 21-4 og 24-3. Da har staten opplysnings- og bevisplikt – og Høyesterett har slått fast at organinterne unntak fra offentleglova ikke gjelder i retten. Innsynsspørsmålet avgjøres utelukkende etter tvisteloven, hvor hensynet til en «riktig og fullstendig opplyst» sak veier tyngre enn forvaltningens behov for hemmelighold.

👉 Konsekvensen er at Innynsguiden etterlater borgerne med et ufullstendig bilde: Den viser hvordan staten kan si nei, men ikke hvordan retten kan tvinge staten til å si ja. Dermed fremstår guiden mer som en bruksanvisning for forvaltningens hemmelighold enn som et redskap for borgernes kontroll.


Ytringsfrihetskommisjonen: Offentlighet som kontroll

NOU 2022:9 slår fast at ytringsfriheten hviler på tre søyler: informasjonsfrihet, offentlig meningsutveksling og offentlighet som kontroll. Uten innsyn i myndighetenes dokumenter kollapser hele grunnmuren for en opplyst samfunnsdebatt.

  • Informasjonsfrihet: Borgerne må ha kunnskap om beslutningsprosesser for å kunne delta meningsfullt.

  • Offentlighet som kontroll: Innsyn er en demokratisk sikkerhetsventil. Uten den kan makten skjule sine feil.

  • Grunnloven § 100: Staten har et konstitusjonelt ansvar for å legge til rette for en åpen og opplyst offentlig samtale.


Kommisjonen advarer dessuten mot at hemmelighold gir grobunn for konspirasjoner og mistro, mens åpenhet bygger tillit. Når myndighetene misbruker Offentleglova § 14 som et universalskjold, bryter de ikke bare EØS-retten og Tromsøkonvensjonen – de bryter med selve kjernen i Grunnloven. Da undergraves ikke bare innsynsretten, men selve demokratiets legitimitet.


Menneskerettslig perspektiv: EMK art. 10 og Grunnloven § 100

Den europeiske menneskerettsdomstolen (EMD) har i flere storkammer- og kammeravgjørelser slått fast at EMK artikkel 10 i visse tilfeller gir rett til innsyn:

  • Magyar Helsinki Bizottság v. Hungary (2016, GC): Art. 10 kan gi innsyn når informasjon er av offentlig interesse og søkeren har en «watchdog»-rolle.

  • Youth Initiative for Human Rights v. Serbia (2013): Krenkelse da NGO ble nektet tall om overvåkning – myndighetene må faktisk gi ut data.

  • Österreichische Vereinigung v. Austria (2013): Innsyn i forvaltningsvedtak måtte gis, fordi det var del av legitim informasjonsinnhenting.

  • Társaság a Szabadságjogokért v. Hungary (2009): Staten skal ikke hindre tilgang til lett tilgjengelig informasjon av offentlig interesse.

  • Kenedi v. Hungary (2009): Obstruksjon og langvarige nektelser av arkivtilgang krenket art. 10.


👉 Fellesnevneren er klar: Når informasjonen har stor offentlig interesse og søkeren har en vaktbikkje-rolle, må staten gi en streng, konkret begrunnelse for avslag. Brede «organinternt»-avslag uten reell merinnsynsvurdering harmonerer dårlig med EMK.


Også norsk Høyesterett har lagt dette til grunn:

  • Treholt-opptakene (2013): Pressens krav måtte vurderes konkret i lys av art. 10.

  • NRK/legevaktsvideoen (2015): Avslag var uforholdsmessig – allmenn interesse og pressens rolle tilsa delvis utlevering.

  • Våpensaken HR-2021-526-A: Høyesterett anerkjente at art. 10 kan gi innsyn selv i straffesaksdokumenter, men fant avslag lovlig etter konkret proporsjonalitetsvurdering.


NOU 2022:9 minner om at Grunnloven § 100 (5) gir en konstitusjonell innsynsrett som bare kan begrenses av tungtveiende hensyn, og at EMK art. 10 kan gi selvstendig grunnlag for innsyn. Dermed er det ikke bare EØS og Tromsøkonvensjonen som brytes når § 14 brukes mekanisk – men også menneskerettighetene og Grunnloven.


👉 Når EMD krever streng begrunnelse og Høyesterett allerede har gitt innsyn basert på art. 10, er det skandaløst at norske forvaltningsorganer fortsatt gjemmer seg bak et mekanisk «organinternt». Det er ikke bare dårlig forvaltning – det er et menneskerettsbrudd.


Konsekvensen: et brudd på rettsstaten

Når innsynsretten uthules, undergraves både personvernet og demokratiet.

  • Hvordan kan en borger påpeke feil i sin sak når vedkommende nektes innsyn i egne opplysninger?

  • Hvordan kan vi snakke om gjennomsiktighet i forvaltningen når de mest sentrale opplysningene holdes tilbake?

  • Hvor lenge kan vi kalle dette et demokrati når staten opptrer som både dommer og part i egen sak?


Dette er ikke bare et juridisk problem. Det er et demokratisk faresignal. Vi står i fare for å få en “rettsløs” forvaltning som verner seg selv mot innsyn, stikk i strid med både lovens bokstav og intensjon.


Riksrevisjonen: Når «organinternt» blir tryllestøv for hemmelighold

Riksrevisjonen har allerede sagt det rett ut: forhåndsunntak brukes altfor ofte, og det undergraver hovedregelen i offentleglova. I oppfølgingsrapporten Dokument 3:3 (2021–2022) slår de fast: «Forhåndsunntak av dokumenter er fortsatt utbredt … Vi mener dette undergraver hovedregelen i offentleglova om innsyn i offentlige dokumenter og gjennomsiktighet i forvaltningen.» Når selv statens egen vaktbikkje sier at departementene bruker «organinternt» som et frikort til å slippe unna journalføring, er det grunn til å rope varsko. For hva betyr det? At viktige dokumenter aldri engang blir synlige i journalen – og dermed aldri kan etterprøves. Hemmeligholdet blir ikke unntaket, men selve systemet.


Og dette er ikke nytt. Allerede i hovedundersøkelsen Dokument 3:10 (2016–2017) fant Riksrevisjonen at forhåndsunntak brukes uten rettslig holdbart grunnlag, at merinnsynsvurderinger ofte bare er skinnprosesser, og at mangelfull arkivering gjør det nesten umulig for borgere eller journalister å vite hva de skal be om. Resultatet? En forvaltning som styrer hvilken virkelighet som får slippe ut i offentligheten – og hvilken som forblir i mørket.


I vår sammenheng blir dette krystallklart: Datatilsynets kategoriske bruk av «organinternt»-stempelet er et skoleeksempel på nettopp det Riksrevisjonen advarer mot. Bred hemmeligholdspraksis, svake merinnsynsvurderinger og begrunnelser som ignorerer offentlighetens behov for kontroll. Når tilsynet som skal være garantist for GDPR selv spiller på lag med hemmeligholdskulturen, får vi et system der borgernes rettigheter først taper – og så forsvinner. Riksrevisjonens konklusjon peker én vei: innsyn må gis, eventuelt med sladding, fremfor totalnekt.


Konklusjon: ESA må på banen

Norske myndigheter bryter GDPR artikkel 15 når de lar § 16 e overskygge EU-retten. Når selv Personvernnemnda ignorerer artikkel 23, er det klart at praksisen er på kollisjonskurs med EØS. ESA må derfor gripe inn. Hvis ikke, er innsynsretten redusert til et papirvern – et symbol uten substans.


Dette viser hvorfor mange mener Norge er på kollisjonskurs med EØS-retten: fordi borgere i praksis har sterkere rettigheter i retten enn i forvaltningen, mens EU-retten legger opp til at retten til innsyn skal være effektiv også på forvaltningsnivå. Denne asymmetrien setter spørsmålstegn ved om dagens norske praksis er forenlig med EØS-forpliktelsene.


Men dette handler ikke bare om EØS. Når Offentleglova § 14 brukes mekanisk, brytes også Grunnloven § 100s ideal om en åpen og opplyst samfunnsdebatt. Og når staten gir standardavslag uten konkret begrunnelse, undergraves EMK art. 10 – retten til informasjon som er avgjørende for offentlig kontroll.


Og her ligger paradokset: Skulle du ta saken til domstolene, har tvisteloven allerede gjort jobben klar – opplysningsplikt (§ 21-4, § 21-5) og bevisplikt (§ 21-6, § 21-7) tvinger staten til å spille med åpne kort. Men så lenge saken behandles i forvaltningen, kan Datatilsynet og Personvernnemnda gjemme kortene i innerlommen. Resultatet er et rettssystem der borgerne får mer innsyn mot staten i en domstol enn hos tilsynet som skal beskytte dem. Det er bakvendtland satt i system.


Derfor må ESA – EFTAs overvåkingsorgan – gripe inn. For hva er vitsen med en innsynsrett som bare fungerer når du drar staten for retten, og ikke når du banker på døra hos Datatilsynet eller Personvernnemnda? Da blir innsynsretten redusert til et papirvern: fin på trykk, men verdiløs i praksis.


La oss være krystallklare: hvis unntaksreglene brukes til å skjule at myndighetene selv bryter loven, er vi ikke lenger i en rettsstat, men i en stat der makten beskytter seg selv mot kontroll. Innsynsretten er laget nettopp for å avsløre kritikkverdige forhold. Å nekte innsyn fordi det avslører ulovlighet, er selve definisjonen på maktmisbruk.


Umulig å avdekke kritikkverdige forhold uten innsyn. Når staten nekter innsyn i egne prosesser, blir det umulig for borgerne å kontrollere makten. Offentlighetsprinsippet dør, og demokratiet mister sin sikkerhetsventil.


👉 Kort sagt: Norge står nå i en trippel-konflikt – med EØS-retten, med Grunnloven og med menneskerettighetene. Hvor lenge kan vi leve med et demokrati der staten selv er den største bremseklossen for innsyn og åpenhet?


Call to Action:

Har du opplevd å bli nektet innsyn i egne personopplysninger? Del gjerne din erfaring – og krev at Datatilsynet og Personvernnemnda begynner å praktisere GDPR slik de er forpliktet til. Innsynsretten angår oss alle, og press fra borgere (og eventuelt ESA) kan tvinge frem endring.



FAQ

1. Har jeg alltid rett til innsyn i egne personopplysninger? Ja – med mindre et snevert unntak etter GDPR art. 23 kommer til anvendelse. Det skal svært mye til. Norske myndigheter tolker i dag unntakene altfor vidt, i strid med forordningens krav.

2. Kan nasjonal lov gå foran GDPR? Nei. EØS-loven § 2 slår fast at EØS-retten (herunder GDPR) har forrang ved motstrid. GDPR gjelder fullt ut i Norge, og nasjonale regler må tolkes innskrenkende dersom de kolliderer med GDPR.

3. Hvorfor nekter Datatilsynet innsyn? De viser til “interne saksforberedelser” i § 16 e, men hopper bukk over den nødvendige vurderingen etter GDPR art. 23. Det vil si at de ikke dokumenterer hvorfor innsyn angivelig må nektes – noe de egentlig er forpliktet til.

4. Hva kan jeg gjøre hvis jeg blir nektet innsyn? Klage til Personvernnemnda – og om nødvendig til ESA. Du kan også ta kontakt med Sivilombudet. Norge kan ikke lovlig begrense dine rettigheter utover det GDPR tillater, og EØS-tilsynet (ESA) er opprettet nettopp for å stoppe eventuelle brudd i EØS-land.

5. Er dette bare et juridisk spørsmål? Nei. Dette handler om maktbalanse og borgernes kontroll med staten. Når staten holder tilbake informasjon om deg, fratar den deg muligheten til å forsvare dine rettigheter og interesser. Innsynsretten er der for at du som borger skal kunne holde staten ærlig – uten den mister vi en hjørnestein i demokratiet.


English Short Version

GDPR Article 15 Violations in Norway: When National Law Undermines EU Rights


GDPR Article 15 is clear: individuals have the right to access all personal data held about them. Yet, Norwegian authorities repeatedly deny such requests, citing a national exception (§ 16 e of the Personal Data Act). This exception, meant only as a narrow implementation of GDPR Article 23 (letters a and e), is applied broadly and mechanically. The required test of necessity and proportionality under Article 23 is simply skipped.


NOU 2024:7 highlights Norway’s EEA obligations, while NOU 2022:11 stresses that transparency and access are democratic cornerstones. The EDPB’s Guidelines 01/2022 confirm that access must always be granted unless a strictly necessary and documented restriction applies. Yet Datatilsynet and the Privacy Appeals Board routinely ignore this.


The Court of Justice of the EU has stressed in Nowak and Pankki S that even internal notes and evaluations count as personal data. Without access, individuals cannot verify legality or accuracy. Denying access therefore strikes at the very core of data protection rights.

This is more than a technicality – it is a democratic concern. Transparency is lost when individuals are barred from seeing how their cases are handled. The solution? ESA intervention. Without it, the right of access risks becoming a hollow promise.



Comments

Rated 0 out of 5 stars.
No ratings yet
Add a rating

Har du et spørsål eller en kommentar? Ta kontakt med Personvernvokteren idag.

Takk for at du tar kontakt

© 2021 Personvernvokteren. All rights reserved.

Privacy policy

bottom of page