Lovudkast, fra erhvervsministeren

13. november 2017
ERHVERVSSTYRELSEN
Dahlerups Pakhus
Langelinie Allé 17
2100 København Ø
Tlf. 35 29 10 00
Fax 35 29 10 01
CVR-nr 10 15 08 17
E-post erst@erst.dk
www.erst.dk
ERHVERVSMINISTERIET
Oversigt over myndigheder og organisationer m.v., der høres over
udkast til forslag til lov om deling af data i Erhvervsstyrelsen
Advokatsamfundet/Advokatrådet
AgroSkat ApS
Akademikernes Centralorganisation
Arbejderbevægelsens Erhvervsråd
Arbejdsmarkedets Tillægs Pension (ATP)
Arbejdsmarkedsstyrelsen
Bryggeriforeningen
Børsmæglerforeningen
Centralorganisationens Fællesudvalg
CEPOS – Center for Politiske Studier
Copenhagen Business School
Danish Venture Capital and Private Equity Association
Danmarks Nationalbank
Danmarks Rederiforening
Danmarks Skibskredit A/S
Danmarks Statistik
Dansk Aktionærforening
Dansk Arbejdsgiverforening
Dansk Erhverv
Dansk Industri
Dansk Investor Relations Forening – DIRF
Dansk Iværksætterforening
Dansk Landbrugsrådgivning – Videncenteret for Landbrug
Dansk Told- og Skatteforbund – DTS
Danske Advokater
Danske Regioner
Datatilsynet
De Samvirkende Købmænd
Den Danske Dommerforening
Den Danske Finansanalytikerforening
Den Danske Fondsmæglerforening
Det Kooperative Fællesforbund
Det Nationale Netværk af Virksomhedsledere
Det Økonomiske Råds Sekretariat
Digitaliseringsstyrelsen
Erhvervs-, Vækst- og Eksportudvalget 2017-18
L 149 Bilag 4
Offentligt
2/2
Domstolsstyrelsen
Erhvervsstyrelsens Team Effektiv Regulering (TER)
Finansforbundet
Finansrådet
Finanssektorens Arbejdsgiverforening
First North
Foreningen af J.A.K. Pengeinstitutter
Foreningen Danske Revisorer
Foreningen Freelance Bogholdere
Forsikring & Pension
FSR – Danske Revisorer
Grønlands Selvstyre
Håndværksrådet
IBIS – International Bistand, International Solidaritet Oxfam
Ingeniørforeningen i Danmark
Komiteen for god Selskabsledelse
Kommunekredit
Kommunernes Landsforening (KL)
Kuratorforeningen
Københavns Universitet
Landbrug og Fødevarer
Landsdækkende Banker
Landsorganisationen i Danmark
Ledernes Hovedorganisation
Liberale Erhvervs Råd
Lokale Pengeinstitutter
Ministerium Beskæftigelsesministeriet
Ministerium Energi-, Forsynings- og Klimaministeriet
Ministerium Justitsministeriet
Ministerium Miljø- og Fødevareministeriet
Ministerium Skatteministeriet
NASDAQ OMX Copenhagen A/S
Realkreditforeningen
Revisornævnet
Rigsadvokaten
Rigsombuddet på Færøerne
Rigsrevisionen
Roskilde Universitetscenter
SKAT
Skattefaglig forening – SRF
Skatterevisorforeningen
Statsadvokaturen for særlig økonomisk kriminalitet
Syddansk Universitet
Team Effektiv Regulering
Aalborg Universitet
Aarhus Universitet


13. november 2017
ERHVERVSSTYRELSEN
Dahlerups Pakhus
Langelinie Allé 17
2100 København Ø
Tlf. 35 29 10 00
Fax 35 29 10 01
CVR-nr 10 15 08 17
E-post erst@erst.dk
www.erst.dk
ERHVERVSMINISTERIET
Til høringsparterne
Høring – Forslag til lov om deling af data i Erhvervsstyrelsen
Erhvervsstyrelsen skal hermed anmode om bemærkninger til vedlagte udkast til
forslag til lov om deling af data i Erhvervsstyrelsen.
Erhvervsstyrelsen skal anmode om eventuelle bemærkninger til lovforslaget
senest mandag 11. december 2017.
Høringssvar kan fremsendes pr. e-mail til leneho@erst.dk og groros@erst.dk.
Eventuelle spørgsmål vedrørende lovforslaget kan rettes til Lene Holst Nielsen,
tlf. 35291183, e-mail: leneho@erst.dk og Gro Rosenmai, tlf. 35291554, e-mail:
groros@erst.dk.
Der vedlægges resumé af lovforslaget og en oversigt over hørte myndigheder
og organisationer m.v.
Med venlig hilsen
Lene Holst Nielsen
Erhvervs-, Vækst- og Eksportudvalget 2017-18
L 149 Bilag 4
Offentligt


1
Forslag
til
Lov om deling af data i Erhvervsstyrelsen
§ 1. Erhvervsstyrelsen kan fra andre offentlige myndigheder og fra offentligt tilgængelige kilder
indsamle og behandle oplysninger, herunder foretage samkøring, når det er nødvendigt af hensyn til
udførelsen af styrelsens opgaver.
Stk. 2. Erhvervsstyrelsen kan behandle, herunder samkøre, de oplysninger, som styrelsen ud over de
i stk. 1 nævnte tilfælde er i besiddelse af, når det er nødvendigt af hensyn til udførelsen af styrelsens
kontrol- og tilsynsopgaver.
Stk. 3. Erhvervsstyrelsen kan få terminaladgang til alle nødvendige oplysninger om fysiske eller
juridiske personers økonomiske eller erhvervsmæssige forhold i indkomstregistret, jf. lov om et
indkomstregister § 7, til brug for udførelsen af styrelsens opgaver.
Stk. 4. Erhvervsstyrelsen kan indsamle og behandle oplysninger, som omfattes af stk. 1-3, samt vi-
deregive disse oplysninger til andre offentlige myndigheder, når det er nødvendigt af hensyn til ud-
førelsen af disse myndigheders kontrol- og tilsynsopgaver.
Stk. 5. Erhvervsministeren fastsætter nærmere regler for Erhvervsstyrelsens indsamling, videregi-
velse og anden behandling af oplysninger efter stk. 1-4, herunder om hvornår og til hvilke formål og
opgaver oplysninger kan indsamles og behandles, hvornår sletning af oplysninger skal finde sted,
og om de tekniske og organisatoriske foranstaltninger, der skal iagttages ved behandlingen.
§ 2. Loven træder i kraft den 1. juli 2018.
§ 3. Loven gælder ikke for Færøerne og Grønland, men kan ved kongelig anordning sættes helt eller
delvist i kraft for Færøerne og Grønland med de ændringer, som de særlige færøske og grønlandske
forhold tilsiger.
Erhvervs-, Vækst- og Eksportudvalget 2017-18
L 149 Bilag 4
Offentligt
2
Bemærkninger til lovforslaget
Almindelige bemærkninger
Indholdsfortegnelse
1. Indledning
2. Lovforslaget hovedpunkter
2.1. Erhvervsstyrelsens deling og samkøring af data
2.1.1. Gældende ret
2.1.2. Erhvervsministeriets overvejelser og den foreslåede ændring
3. Økonomiske og administrative konsekvenser for det offentlige
4. Økonomiske og administrative konsekvenser for erhvervslivet m.v.
5. Administrative konsekvenser for borgerne
6. Miljømæssige konsekvenser
7. Forholdet til EU-retten
8. Hørte myndigheder og organisationer m.v.
9. Sammenfattende skema
1. Indledning
Organiseret svindel med moms og afgifter er en udfordring for skattemyndighederne i både Dan-
mark og andre lande. Blandt andet har grov momskriminalitet og svindel med punktafgifter været
genstand for megen opmærksomhed de senere år.
Regeringen ønsker at styrke skattevæsenets mulighed for at udføre en bedre og mere intelligent
skattekontrol. Derfor har skatteministeren præsenteret en samlet kontrolpakke - Stærkere skattekon-
trol, styrket vejledning. Som en del af kontrolpakken indgår initiativer foreslået af en tværministeri-
el arbejdsgruppe, som blev nedsat for at se på mulighederne for et styrket myndighedssamarbejde
mod svindel med moms og afgifter.
Den tværministerielle arbejdsgruppe har i en rapport ”Forslag til en stærkere myndighedsindsats
mod organiseret svindel” foreslået tre initiativer, som omfatter et nyt koordinationsforum, et myn-
dighedssamarbejde om et nyt fælles risikobillede og et initiativ om styrket kontrol i registreringsfa-
sen. Det sidstnævnte initiativ er forankret i Erhvervsstyrelsen og vedrører dels intelligent kontrol i
virksomhedsregistreringen, dels en forbedring af visse af Erhvervsstyrelsens data. Nærværende lov-
forslag har til formål at skabe lovhjemmel til indførelse af intelligent kontrol i registreringsfasen.
Ved stiftelse af virksomheder indledes registreringsprocessen i alle tilfælde hos Erhvervsstyrelsen,
og derfor kan Erhvervsstyrelsen anses som ”første forsvarslinje” mod virksomheder, som agter at
begå svig med moms og afgifter. Det er dermed essentielt, at en intelligent kontrol er placeret her.
Dette giver mulighed for, at Erhvervsstyrelsen kan stoppe virksomhederne, allerede inden de regi-
3
streres, således at der er mulighed for at tage forholdsregler over for de virksomheder, som anses for
at have en forhøjet risiko for at begå svig med moms og afgifter.
Erhvervsstyrelsen er i besiddelse af data omkring virksomheder og personer, som har relationer til
virksomheder. Det drejer sig bl.a. om oplysninger, som virksomheder er pligtige at indberette i
medfør af eksempelvis selskabsloven, lov om visse erhvervsdrivende virksomheder og årsregn-
skabsloven. Erhvervsstyrelsen har endvidere data, som er indhentet til brug for styrelsens kontrol-
og tilsynsvirksomhed.
Det er imidlertid ikke kun Erhvervsstyrelsen, der har data, som ved en intelligent kontrol vil kunne
anvendes til at vurdere risikoindikatorerne for en virksomhed, men i høj grad også SKAT. Det er
derfor nødvendigt for at kunne etablere en kontrol i registreringsfasen, at denne baseres på data fra
begge myndigheder. Det er centralt, at der er mulighed for at sikre et så stort datagrundlag som mu-
ligt, da vurderingen af virksomheder hermed kan blive mere præcis. Det vil med et tilstrækkeligt
stort datasæt være muligt at identificere virksomheder, som med stor sandsynlighed har intentioner
om at begå svig med moms og afgifter, samtidig med at virksomheder, hvor der ikke vurderes at
være denne risiko, ikke vil blive påvirket af den yderligere kontrol.
De oplysninger, der vil blive anvendt i forbindelse med en styrket kontrol i registreringsfasen, er
oplysninger om virksomheder samt om personer, der har en tilknytning til disse virksomheder. Der
er tillige primært tale om oplysninger, som er anmeldt og registreret som led i udøvelsen af er-
hvervsmæssig virksomhed. Indsamling, behandling og videregivelse af oplysninger vil således om-
fatte de oplysninger, der er nødvendige for at identificere virksomheder, der har til hensigt at begå
svig.
Deling af data i et samarbejde mellem myndigheder med henblik på kontrol af virksomheder, er
anbefalet i Rigsrevisionens beretning om effektiv kontrol, 15/2016, som er afgivet i april 2017. Det
fremgår af beretningens kapitel 3, at det er Rigsrevisionens vurdering, at dataudveksling mellem
myndigheder vil kunne styrke kontrollens effektivitet samt reducere kontrollens belastning for virk-
somhederne.
Kontrollen ved registrering af virksomheder kan styrkes gennem et tættere samarbejde mellem Er-
hvervsstyrelsen, skattemyndighederne og andre relevante myndigheder. Det foreslås konkret, at der
etableres datadrevet kontrol i forbindelse med registrering af virksomheder. Formålet er at hindre
organiseret svig med moms og afgifter allerede ved registrering af den virksomhed, som skal an-
vendes til svig.
Det er i den tværministerielle rapport foreslået, at Erhvervsstyrelsen anvender machine learning i
forbindelse med registrering af virksomheder, hvilket både omfatter virksomheder, der er registreret
i henhold til SKATs samt Erhvervsstyrelsens lovgivning. Machine learning er en teknologi, som
bl.a. kan genkende mønstre og tegn på svig på tværs af data, hvilket gør, at den efterfølgende kon-
trol kan målrettes, således at indsatsen får en større træfsikkerhed. Man kan med machine learning
sammenholde store mængder af data fra mange forskellige datakilder og ved brug af avancerede
algoritmer identificere tegn på fejl og svig. For de virksomheder, som utilsigtet laver fejl, kan tek-
4
nologien bruges til at understøtte og guide virksomheden ved registreringer, så der sker korrekt re-
gistrering.
Anvendelsen af machine learning teknologien er ikke baseret på forudbestemte parametre, men på
statistiske sandsynligheder ud fra data, som ikke på forhånd er bearbejdet. Brugen af teknologien
forudsætter et stort datagrundlag, idet de statistiske indikationer bliver mere pålidelige, des større
datagrundlaget er. Erhvervsstyrelsen vil forud for indsamlingen af data vurdere, om disse er nød-
vendige til brug for styrelsens opgaver og andre offentlige myndigheders kontrol- og tilsynsopga-
ver. Det foreslås i forslagets § 1, stk. 5, at ministeren i en bekendtgørelse kan fastsætte, til hvilke
formål indsamling og behandling af oplysninger kan ske, herunder for hvilke andre offentlige myn-
digheder Erhvervsstyrelsen kan indsamle og behandle oplysninger. Det er endvidere hensigten at
fastsætte i bekendtgørelsen, hvilke offentlige myndigheder Erhvervsstyrelsen kan indsamle og be-
handle oplysninger fra, samt hvilke offentlige myndigheder der kan ske videregivelse af oplysnin-
ger til.
Lovforslaget indebærer, at Erhvervsstyrelsen udvikler og implementerer en model til brug af ma-
chine learning til kontrol ved registrering af virksomheder samt ved registrering af ændringer i eksi-
sterende virksomheders oplysninger. Ved brug af machine learning kan der foretages identifikation
af virksomheder, som har forøget risiko for svig og økonomisk kriminalitet, hvilket skal føre til en
målrettet manuel kontrol hos Erhvervsstyrelsen, SKAT eller begge myndigheder samtidigt. Der
skabes med lovforslagets § 1, stk. 4, hjemmel til, at Erhvervsstyrelsen kan oversende oplysninger til
andre offentlige myndigheder, herunder SKAT, således at myndighederne kan foretage manuel kon-
trol af de relevante sager.
Anvendelsen af machine learning i forbindelse med virksomhedsregistrering vil give en indikation
af risikofaktorerne allerede ved anmeldelsen af stiftelsen af en virksomhed. Når en virksomhed re-
gistreres hos Erhvervsstyrelsen, vil de anmeldte oplysninger om virksomheden kunne sammenhol-
des med tilsvarende oplysninger om andre virksomheder, herunder virksomheder som har begået
svig. Erhvervsstyrelsen vil således ved hjælp af machine learning kunne opdage fælles mønstre for
virksomheder, der har begået svig, og nye virksomheder, der anmeldes til registrering. Dette giver
mulighed for, at Erhvervsstyrelsen kan udtage virksomheden til manuel kontrol og/eller videregive
oplysningerne til SKAT, inden virksomheden er registreret. SKAT vil dermed få mulighed for at
foretage de nødvendige forholdsregler for at imødegå svig, eksempelvis ved at kræve sikkerheds-
stillelse m.v. i henhold til skatte- og afgiftslovgivningen eventuelt samtidigt med, at Erhvervsstyrel-
sen kontrollerer overholdelse af selskabslovgivningen.
Indsatsen ved en manuel kontrol kan ved brug af machine learning fokuseres på de virksomheder,
som på baggrund af en analyse af store mængder data vurderes bevidst at omgå eller med stor sand-
synlighed at have til hensigt at omgå reglerne. Med indførelsen af adgangen til at foretage datasam-
køring ved brug af machine learning vil Erhvervsstyrelsen skulle behandle væsentligt flere sager
manuelt i forbindelse med registrering.
Ved at rette fokus på kontrol af og tilsyn med de virksomheder, som vurderes at have en væsentligt
højere sandsynlighed for at begå svig, følges anbefalingen i Rigsrevisionens beretning om effektiv
5
kontrol. Heraf fremgår det i afsnit 2.2, at en effektiv kontrol forudsætter, at myndighedernes indsats
bør fokuseres på de virksomheder, hvor der er størst risiko for regelbrud.
I takt med den teknologiske udvikling er det stadig mere udbredt, at såvel offentlige myndigheder
som private virksomheder tilgår og benytter offentligt tilgængelige oplysninger som en integreret
del af deres opgaveløsning. Offentligt tilgængelige kilder kan i denne forbindelse være internettet,
som i dag udgør en væsentlig – og i mange sammenhænge den primære – informationskilde på
tværs af samfundet. Eksempelvis kan der findes relevante kortdata, som er offentligt tilgængelige
gennem bl.a. Google. De indsamlede oplysninger kan omfatte enhver type oplysning, herunder per-
sonoplysninger, men også i vidt omfang oplysninger uden tilknytning til fysiske personer.
Det fremgår af ”Den fællesoffentlige digitaliseringsstrategi 2016-2020”, at offentlige data i højere
grad skal deles og genbruges for at kunne skabe en mere overskuelig og sammenhængende offentlig
sektor. Det forudsætter, at myndighederne i højere grad sikkert kan udveksle og tilgå relevante op-
lysninger, som de enkelte myndigheder allerede ligger inde med. Det er ikke mindst nødvendigt, når
flere myndigheder er involveret.
Øget anvendelse og genbrug af data bidrager til et bedre grundlag for effektiv offentlig forvaltning.
Samtidig vil det bidrage til en mere moderne og velfungerende offentlig sektor. Konkret vil genbrug
og deling af data fra offentlige registre bidrage til, at offentlige myndigheder kan effektivisere op-
gavevaretagelsen, herunder kontrol- og tilsynsopgaver, da et større datagrundlag medfører, at myn-
dighederne med større sandsynlighed kan identificere de virksomheder, der vil begå svig med moms
og afgifter eller anden økonomisk kriminalitet. F.eks. kan visse oplysninger i en virksomheds års-
regnskab, der er aflagt efter reglerne i årsregnskabsloven, valideres af visse oplysninger i virksom-
hedens skattemæssige regnskab, der aflægges i henhold til reglerne i skatte- og afgiftslovgivningen.
Det er i den forbindelse afgørende, at regulering sikrer, at de nye teknologiske muligheder, herunder
anvendelsen af machine learning, bliver et aktiv for det danske samfund. De lovgivningsmæssige
rammer skal være tidssvarende, så muligheden for at dele data på tværs af forskellige myndigheder
ikke begrænses unødigt. Indsatsen skal fortsat ske inden for rammerne af forvaltningsloven, og per-
sondatalovgivningen. Der vil i høj grad være tale om behandling af ikke-følsomme oplysninger,
som fysiske personer bl.a. har afgivet som led i deres udøvelse af erhvervsvirksomhed. Lovforslaget
har således til formål at tilvejebringe de retlige rammer for Erhvervsstyrelsens brug af machine
learning.
2. Lovforslagets hovedpunkter
2.1. Erhvervsstyrelsens deling og samkøring af data
Lovforslaget har til formål at skabe klar hjemmel til at indsamle og behandle oplysninger, herunder
få terminaladgang til indkomstregistret, foretage samkøring og videregivelse af oplysninger, både
for så vidt angår styrelsens egne oplysninger, oplysninger fra andre offentlige myndigheder og of-
fentligt tilgængelige kilder.
2.1.1. Gældende ret
2.1.1.1. Lovgivning på Erhvervsministeriets område
6
Erhvervsstyrelsen behandler oplysninger, i det omfang det er nødvendigt for Erhvervsstyrelsens
opgavevaretagelse under hensyn til de regler, som styrelsen administrerer. Denne behandling sker i
elektroniske sagshåndteringssystemer samt i en række elektroniske databaser og registre, som Er-
hvervsstyrelsen er ansvarlig for at drive og vedligeholde, f.eks. CVR-registret, som er offentligt
tilgængeligt.
Udover at behandle oplysninger til brug for Erhvervsstyrelsens egen opgavevaretagelse behandler
og videregiver Erhvervsstyrelsen oplysninger til andre offentlige myndigheder, herunder SKAT, til
brug for understøttelsen af disses opgavevaretagelse, f.eks. i forbindelse med registreringen af virk-
somheder.
Erhvervsstyrelsens indsamling, behandling og videregivelse af oplysninger er – ud over at være
omfattet af forvaltningsloven, databeskyttelsesforordningen og databeskyttelsesloven – omfattet af
enkelte andre regelsæt på styrelsens område, herunder bekendtgørelse om anmeldelse, registrering,
gebyr samt offentliggørelse m.v. i Erhvervsstyrelsen, jf. bekendtgørelse nr. 1466 af 25. november
2016, og lov om fremgangsmåden ved anmeldelse m.v. af visse oplysninger hos Erhvervsstyrelsen
(fremgangsmådeloven), jf. lovbekendtgørelse nr. 1204 af 14. oktober 2013.
Fremgangsmådeloven finder anvendelse på anmeldelser, registreringer og offentliggørelser hos Er-
hvervsstyrelsen, når regler herom er fastsat i lovgivningen, jf. dennes § 1. Det følger af fremgangs-
mådelovens § 2, at Erhvervsstyrelsen af anmelderen og af den, som sagen angår, kan forlange at få
de oplysninger, som er nødvendige for, at der kan tages stilling til, om lovgivningens betingelser for
anmeldelse, registrering og offentliggørelse er overholdt.
Det fremgår af fremgangsmådelovens § 4, at enhver oplysning, som er anmeldt, registreret eller
offentliggjort hos Erhvervsstyrelsen, kan anvendes i styrelsens sagsbehandling inden for alle styrel-
sens kompetenceområder, herunder til intern registersamkøring og sammenstilling af oplysninger i
kontroløjemed. Fortrolige og følsomme oplysninger samt oplysninger om andre rent private forhold
kan udelukkende anvendes inden for samme kompetenceområde, som oplysningerne er indhentet til
brug for, medmindre andet følger af anden lovgivning.
De oplysninger, som Erhvervsstyrelsen behandler, stammer i høj grad fra indberetninger ved virk-
somhedsregistrering. Det er oplysninger, som virksomhederne er pligtige at indsende i henhold til
styrelsens lovgivning, eksempelvis lov om aktie- og anpartsselskaber (selskabsloven), lov om visse
erhvervsdrivende virksomheder samt lov om erhvervsdrivende fonde, og som registreres i henhold
til bekendtgørelse om anmeldelse, registrering, gebyr samt offentliggørelse m.v. i Erhvervsstyrelsen
(anmeldelsesbekendtgørelsen).
Der findes på visse af Erhvervsstyrelsens områder særlige begrænsninger vedrørende deling af data,
tavshedspligt m.v. Dette gør sig eksempelvis gældende på hvidvask- og revisorområdet samt i regu-
leringen af CO2-kvoteregisteret. Disse begrænsninger følger i vidt omfang af EU-regulering. Det
forudsættes, at sådanne særlige begrænsninger iagttages, og der vil derfor skulle foretages en kon-
kret vurdering af, om de pågældende regler er til hinder for deling og samkøring af data.
2.1.1.2. Forvaltningsloven
7
Erhvervsstyrelsens behandling af oplysninger er omfattet af reglerne i forvaltningsloven, jf. lovbe-
kendtgørelse nr. 433 af 22. april 2014. Det følger af forvaltningslovens § 28, stk. 1, at for videregi-
velse af oplysninger om enkeltpersoner (personoplysninger) til en anden forvaltningsmyndighed
gælder reglerne i § 5, stk. 1-3, §§ 6-8, § 10, § 11, stk. 1, § 38 og § 40 i lov om behandling af per-
sonoplysninger, jf. lovens § 1, stk. 3.
Endvidere følger det af forvaltningslovens § 28, stk. 2, at oplysninger af fortrolig karakter, som ikke
er omfattet af stk. 1, kun må videregives til en anden forvaltningsmyndighed, når 1) den, oplysnin-
gen angår, udtrykkeligt har givet samtykke, 2) det følger af lov eller bestemmelser fastsat i henhold
til lov, at oplysningen skal videregives, eller 3) det må antages, at oplysningen vil være af væsentlig
betydning for myndighedens virksomhed eller for en afgørelse, myndigheden skal træffe. Forvalt-
ningslovens § 28, stk. 2, tager sigte på oplysninger af fortrolig karakter, som ikke angår identificer-
bare fysiske personer, dvs. fortrolige oplysninger om juridiske personer og fortrolige oplysninger,
som hverken angår juridiske personer eller identificerbare fysiske personer.
Derudover følger af det forvaltningslovens § 29, stk. 1, at i sager, der rejses ved ansøgning, må op-
lysninger om ansøgerens rent private forhold ikke indhentes fra andre dele af forvaltningen eller fra
en anden forvaltningsmyndighed. Bestemmelsen tager sigte på en ansøgers personoplysninger, som
har fortrolig karakter. Bestemmelsen i § 29, stk. 1, gælder dog ikke, hvis 1) ansøgeren har givet
samtykke hertil, 2) andet følger af lov eller bestemmelser fastsat i henhold til lov eller 3) særlige
hensyn til ansøgeren eller tredjemand klart overstiger ansøgerens interesse i, at oplysningen ikke
indhentes.
I forvaltningslovens § 31 er det fastsat, at i det omfang en forvaltningsmyndighed er berettiget til at
videregive en oplysning, skal myndigheden på begæring af en anden forvaltningsmyndighed vide-
regive oplysningen, hvis den er af betydning for myndighedens virksomhed eller for en afgørelse,
som myndigheden skal træffe. Bestemmelsen gælder både for personoplysninger og andre oplys-
ninger.
2.1.1.3. Databeskyttelsesforordningen og databeskyttelsesloven
Erhvervsstyrelsens behandling af personoplysninger er i dag generelt reguleret i persondataloven.
Det foreslås imidlertid i nærværende lovforslags § 2, at den foreslåede lov træder i kraft den 1. juli
2018. Ved den foreslåede lovs ikrafttrædelsestidspunkt vil reglerne for Erhvervsstyrelsens behand-
ling af personoplysninger være omfattet af bestemmelserne i Europa-Parlamentets og Rådets for-
ordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behand-
ling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv
95/46/EF (generel forordning om databeskyttelse). Databeskyttelsesforordningens regelsæt finder
anvendelse fra den 25. maj 2018.
Justitsministeren har endvidere den 25. oktober 2017 fremsat forslag til lov om supplerende be-
stemmelser til forordningen om beskyttelse af fysiske personer i forbindelse med behandling af per-
sonoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven). Lovforslaget
foreslås at træde i kraft den 25. maj 2018, jf. forslaget til databeskyttelseslovens § 46, stk. 1. Det
8
fremgår af lovforslagets § 46, stk. 2, at lov nr. 429 af 31. maj 2000 om behandling af personoplys-
ninger, som senest ændret ved lov nr. 426 af 3. maj 2017, ophæves. Databeskyttelsesloven supplerer
databeskyttelsesforordningen, jf. forslaget til databeskyttelseslovens § 1, stk. 1.
Det følgende tager derfor udgangspunkt i databeskyttelsesforordningen og databeskyttelseslovens
regler om behandling af personoplysninger.
Databeskyttelsesforordningen finder ifølge forordningens artikel 2, stk. 1, anvendelse på behandling
af personoplysninger, der helt eller delvist foretages ved hjælp af automatisk databehandling, og på
anden ikke-automatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register.
Ved behandling af personoplysninger forstås ifølge forordningens artikel 4, nr. 2, enhver aktivitet
eller række af aktiviteter – med eller uden brug af automatisk behandling – som personoplysninger
eller en samling af personoplysninger gøres til genstand for, f.eks. indsamling, registrering, organi-
sering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregi-
velse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller
samkøring, begrænsning, sletning eller tilintetgørelse.
Samkøring er en særlig form for behandling, som bl.a. personoplysninger kan gøres til genstand for.
Samkøring er en fælles betegnelse for forskellige tekniske løsninger, som vedrører sammenkobling
af oplysninger, der kommer fra forskellige registre. Under samkøring hører maskinelle overførsler,
hvorved et register tilføres oplysninger fra et andet register, således at det modtagende register ud-
vides med disse oplysninger. Til begrebet samkøring henregnes endvidere maskinelle sammenstil-
linger af oplysninger fra forskellige registre, hvorved der dannes et nyt ”uddata-produkt”, f.eks. et
nyt register.
Databeskyttelsesforordningens kapitel II indeholder de såkaldte behandlingsregler. I forordningens
artikel 5 er der fastsat en række grundlæggende principper, der gælder for alle behandlinger af per-
sonoplysninger, som omfattes af forordningen. Bestemmelsen fastsætter således, at personoplysnin-
ger skal behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede. Det
fastsættes endvidere, at personoplysninger skal indsamles til udtrykkeligt angivne og legitime for-
mål og ikke må viderebehandles på en måde, der er uforenelig med disse formål. Personoplysninger
skal også være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de
formål, hvortil de behandles (”dataminimering”). Endvidere gælder, at personoplysninger skal være
korrekte og om nødvendigt ajourførte, og der skal tages ethvert rimeligt skridt for at sikre, at per-
sonoplysninger, der er urigtige i forhold til de formål, hvortil de behandles, straks slettes eller berig-
tiges (”rigtighed”). Det fastlægges tillige i artikel 5, at personoplysninger skal opbevares på en så-
dan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er
nødvendigt til de formål, hvortil de pågældende personoplysninger behandles (”opbevaringsbe-
grænsning”). Endelig skal personoplysninger behandles på en måde, der sikrer tilstrækkelig sikker-
hed for de pågældende personoplysninger, herunder beskyttelse mod uautoriseret eller ulovlig be-
handling og mod hændeligt tab, tilintetgørelse eller beskadigelse, under anvendelse af passende
tekniske eller organisatoriske foranstaltninger (”integritet og fortrolighed”).
9
I databeskyttelsesforordningens artikel 6 fastsættes de generelle betingelser for, hvornår behandling
af oplysninger må finde sted. Af bestemmelsen følger, at behandling kun er lovlig, hvis mindst en af
betingelserne i litra a-f er opfyldt, herunder hvis behandling er nødvendig for at overholde en retlig
forpligtelse, som påhviler den dataansvarlige, jf. litra c, eller som er nødvendig af hensyn til udfø-
relse af en opgave i samfundets interesse, eller som henhører under offentlig myndighedsudøvelse,
som den dataansvarlige har fået pålagt, jf. litra e. Vedrørende forordningens artikel 6, stk. 1, litra c,
fremgår det af præambelbetragtning nr. 45, at hvis behandling foretages i overensstemmelse med en
retlig forpligtelse, som påhviler den dataansvarlige, eller hvis behandling er nødvendig for at udføre
en opgave i samfundets interesse, eller som henhører under offentlig myndighedsudøvelse, bør be-
handlingen have et retsgrundlag i EU-retten eller medlemsstaternes nationale ret. Der henvises
nærmere Justitsministeriets betænkning nr. 1565/2017 om databeskyttelsesforordningen, side 129-
130.
Videregivelse og behandling af følsomme personoplysninger er i øvrigt reguleret i forordningens
artikel 9 og 10. De oplysninger, der omfattes af artikel 9, er personoplysninger om race eller etnisk
oprindelse, politisk, religiøs eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold
samt behandling af genetiske data, biometriske data med det formål entydigt at identificere en fy-
sisk person, helbredsoplysninger eller oplysninger om en fysisk persons seksuelle forhold eller sek-
suelle orientering. Forordningens artikel 10 omfatter behandling af personoplysninger vedrørende
straffedomme og lovovertrædelser eller tilknyttede sikkerhedsforanstaltninger på grundlag af artikel
6, stk. 1.
I forhold til samkøring vil gennemførelsen af lovforslaget sikre, at der er et klart og sikkert rets-
grundlag, idet det dog bemærkes, at databeskyttelsesforordningen ikke indeholder et udtrykkeligt
krav om, at der skal være en direkte lovhjemmel til samkøring. Der henvises i øvrigt til lovforsla-
gets pkt. 2.1.2. Herved bemærkes, at databeskyttelsesforordningen heller ikke fastsætter krav om, at
myndighedens tilladelse skal indhentes, når der foretages samkøring af oplysninger, eller at der skal
gives information til den registrerede, inden samkøringen foretages. Efter databeskyttelsesforord-
ningen vil samkøring således skulle leve op til de almindelige principper for og regler om behand-
ling. Da samkøring per definition vil være en indgribende behandlingssituation, vil forordningens
artikel 5 om principper for behandling af personoplysninger, herunder proportionalitetsprincippet,
være særligt relevant. Der henvises om samkøring til Justitsministeriets betænkning nr. 1565/2017
om databeskyttelsesforordningen, side 86-87 og side 96-97.
Efter lovforslagets § 1, stk. 5, fastsætter erhvervsministeren nærmere regler for Erhvervsstyrelsens
indsamling, videregivelse og anden behandling af oplysninger efter stk. 1-4, herunder om hvornår
og til hvilke formål og opgaver oplysninger kan indsamles og behandles, til hvilke myndigheder,
der kan ske videregivelse, hvornår sletning af oplysninger skal finde sted, og om de tekniske og
organisatoriske foranstaltninger, der skal iagttages ved behandlingen. Det forudsættes, at denne be-
myndigelse kan bruges til at fravige formålsbestemthedsprincippet i databeskyttelsesforordningens
artikel 5, og at denne fremgangsmåde er forenelig med forordningens artikel 23. Der henvises nær-
mere til lovforslaget pkt. 2.1.2.2 samt bemærkningerne til § 1, stk. 5.
10
2.1.2. Erhvervsministeriets overvejelser og den foreslåede ændring
For at imødegå organiseret svindel med moms og afgifter er det essentielt, at der indføres en intelli-
gent kontrol ved virksomhedsregistrering, idet dette giver mulighed for, at Erhvervsstyrelsen allere-
de inden registreringen kan stoppe de virksomheder, der med stor sandsynlighed har til hensigt at
begå svig med moms og afgifter, allerede inden registreringen. Det er på baggrund heraf nødven-
digt, at Erhvervsstyrelsen har lovhjemmel til at indsamle og behandle oplysninger fra andre offent-
lige myndigheder, særligt SKAT, samt offentlige tilgængelige kilder.
Efter Erhvervsministeriets opfattelse er det nødvendigt, at Erhvervsstyrelsens kontrol- og tilsynsop-
gaver som udgangspunkt tilrettelægges med en risikobaseret tilgang, således at det alene er de virk-
somheder, hvor der er en særligt høj risiko for, at de ikke overholder lovgivningen, som udsættes
for ekstra kontrol. Deling og samkøring af Erhvervsstyrelsens egne data vil bidrage til, at styrelsen
med den risikobaserede tilgang med større sandsynlighed kan identificere de virksomheder, der ikke
overholder lovgivningen på Erhvervsstyrelsens områder.
Herudover vil adgang til visse andre offentlige myndigheders, herunder SKATs, registre kunne bi-
drage væsentligt til risikobilledet, således at SKAT har mulighed for at behandle sager, hvor der er
en særlig risiko for svig med moms og afgifter, førend registrering af virksomheden sker i Er-
hvervsstyrelsen. Det er derfor endvidere nødvendigt, at Erhvervsstyrelsen har lovhjemmel til at vi-
deregive nødvendige oplysninger til andre offentlige myndigheder.
I en situation, hvor der skal ske registrering af stiftelsen af en virksomhed, er der således behov for,
at Erhvervsstyrelsen ved hjælp af machine learning kan samkøre data fra styrelsens registre samt
SKATs registre. Det vil på denne baggrund kunne vurderes, om en sag om registrering af stiftelsen
af en virksomhed bør udtages til en manuel kontrol hos Erhvervsstyrelsen, SKAT eller begge myn-
digheder.
Ovenstående følger også af Rigsrevisionens beretning om effektiv kontrol, idet det i dennes kapitel
3 anbefales, at myndigheder samarbejder systematisk om kontrollen på tværs, idet myndighederne
har en række ensartede problematikker i forbindelse med at tilrettelægge en effektiv kontrol.
Anvendelsen af machine learning kan ved samkøringen af oplysninger identificere mønstre og tegn
på svig, som ikke ellers ville være opdaget. Mønstrene dannes ud fra de sager, hvor der er konstate-
ret svig, og det vil således være disse, der ligger til grund for, at nye sager bliver udtaget til manuel
kontrol. Det kan eksempelvis være, at der ved de sager, hvor der tidligere er konstateret svig, gør
sig særlige forhold gældende for så vidt angår indkomsten for de personer, som indsættes som le-
delsen i en virksomhed, og det vil dermed være muligt at udtage sager, hvor de indsatte personer
har tilsvarende særlige forhold i indkomsten. Et andet eksempel kan være, at personer, som tidligere
har været involveret i virksomheder, hvori der er konstateret svig, har et særligt mønster for ind- og
udtræden af ledelseshverv i andre virksomheder, og det vil hermed være muligt at udtage sager,
hvor de indsatte personer har et tilsvarende mønster.
Ved anvendelsen af machine learning er det ikke på forhånd givet, hvilke kriterier der ligger til
grund for, at en sag udtages til manuel sagsbehandling, idet det vurderes, om de mønstre, der gør sig
11
gældende for virksomheder, der har begået svig, tilsvarende gør sig gældende for nye virksomheder,
som dermed kan formodes også at have til hensigt at begå svig. Derfor er det nødvendigt at anvende
et relativt stort datasæt, som omfatter oplysninger fra både Erhvervsstyrelsen og andre myndighe-
der, herunder især SKAT.
Det vil ligeledes være muligt at sammenholde de til Erhvervsstyrelsen indberettede oplysninger
med de til SKAT indberettede oplysninger. Det vil således fx være muligt at opdage, hvis det i et
selskabs årsregnskab oplyste ikke svarer til det, der er indberettet i selskabets selvangivelse til
SKAT. Dette vil kunne danne baggrund for, at en sag udtages til manuel behandling.
Erhvervsstyrelsen har forskellige beføjelser, som anvendes ved den manuelle kontrol. Styrelsen kan
under visse betingelser nægte registrering, kræve dokumentation og/eller berigtigelse, kræve revisi-
on af årsregnskaber og oversende selskaber til tvangsopløsning ved skifteretterne. Det er ikke hen-
sigten med lovforslaget, at Erhvervsstyrelsen alene på baggrund af resultaterne, som genereres ved
machine learning, skal kunne nægte registrering af en virksomhed. En virksomhed, som er udtaget
til manuel kontrol på baggrund af resultatet af machine learning, vil først her kunne nægtes registre-
ring i Erhvervsstyrelsen efter de nugældende regler herom. Afgørelser i sager, som er udtaget til
manuel behandling på baggrund af resultatet af machine learning, vil kunne påklages i samme om-
fang som hidtil. Det bør imidlertid efter et tidsrum, hvor anvendelsen af machine learning er udvik-
let og implementeret, evalueres, om de nuværende beføjelser er tilstrækkelige, eller om der bør ind-
føres yderligere sanktionsmuligheder for Erhvervsstyrelsen. Forud for den næstkommende revision
af årsregnskabsloven, jf. lovbekendtgørelse nr. 1580 af 10. december 2015, skal det bl.a. vurderes,
om der er grundlag for at etablere hjemmel til, at Erhvervsstyrelsen kan beslutte, at revision ikke
kan fravælges ved stiftelsen, for virksomheder som opfylder nærmere definerede forhold.
Når anvendelsen af machine learning ved en virksomheds registrering af stiftelsen indikerer, at der
er en forhøjet risiko for, at der vil ske svig med moms og afgifter, vil SKAT have mulighed for at
behandle sagen manuelt, inden stiftelsen registreres i Erhvervsstyrelsen. SKAT vil således have
mulighed for at tage forholdsregler, førend virksomheden får et CVR-nummer. Der kan eksempel-
vis være tale om sikkerhedsstillelse, forkortede afregningsperioder m.v. efter skatte- og afgiftslov-
givningen.
Som det fremgår af pkt. 2.1.1, er det udgangspunktet, at Erhvervsstyrelsens indsamling og behand-
ling af oplysninger kan ske inden for forvaltningslovens og – pr. 25. maj 2018 – databeskyttelses-
forordningen samt databeskyttelseslovens rammer samt inden for rammerne af de særlige bestem-
melser om tavshedspligt m.v. på styrelsens område. Som beskrevet under lovforslagets pkt. 2.1.1.1
har Erhvervsstyrelsen således allerede i dag i et vist omfang mulighed for intern registersamkøring
og sammenstilling af oplysninger i kontroløjemed for de oplysninger, som er anmeldt, registreret
eller offentliggjort hos Erhvervsstyrelsen.
Der er dog efter de gældende regler generelt ikke mulighed for at koordinere indsatsen med oplys-
ninger, som indeholdes i registre m.v., som føres af andre offentlige myndigheder. Erhvervsstyrel-
sen har heller ikke klar hjemmel til at indhente oplysninger fra andre offentlige myndigheders data-
kilder og registre foruden den almindelige adgang til at indhente og behandle oplysninger til brug
12
for behandlingen af konkrete sager. Endelig har Erhvervsstyrelsen ikke klar hjemmel til at videregi-
ve oplysninger til andre offentlige myndigheder, herunder SKAT, i det omfang det er nødvendigt til
brug for deres kontrol- og tilsynsopgaver.
De datakilder og registre fra andre offentlige myndigheder, som Erhvervsstyrelsen indledningsvist
vil indhente oplysninger fra, indeholder oplysninger om fysiske personers indkomst og økonomiske
forhold i øvrigt (indkomstregistret, skatteoplysninger (R75-oplysninger) og skattekontoen), oplys-
ninger om hvorvidt fysiske eller juridiske personer har påført eller forsøgt at påføre det offentlige
væsentlige tab (KINFO), oplysninger om fysiske eller juridiske personers indberetninger om moms
eller afgifter (erhvervssystemet), oplysninger om fysiske eller juridiske personer, der er blevet næg-
tet registrering, fordi de ikke har stillet den krævede sikkerhed (træskoregistret), oplysninger om
juridiske personers selvangivelser, omstruktureringer og underskudsregister (DIAS), og oplysninger
om fysiske personer, der ved dom er frataget muligheden for at deltage i ledelsen af en erhvervs-
virksomhed uden at hæfte personligt og ubegrænset for virksomhedens forpligtelser (konkurskaran-
tæneregistret).
Erhvervsstyrelsen vil endvidere få mulighed for at indhente og behandle oplysninger fra offentligt
tilgængelige kilder. Denne adgang vil i første omgang blive anvendt til at indhente oplysninger om
kortdata gennem bl.a. Google, som kan anvendes til at verificere udenlandske adresser for virksom-
heder og personer i forbindelse med registrering.
Lovforslaget giver et klart retligt grundlag for, at Erhvervsstyrelsen fra andre offentlige myndighe-
der og offentligt tilgængelige kilder kan indsamle og behandle oplysninger, herunder foretage sam-
køring, når det er nødvendigt af hensyn til udførelsen af styrelsens opgaver eller andre offentlige
myndigheders kontrol- og tilsynsopgaver, jf. forslaget til § 1, stk. 1, med tilhørende bemærkninger.
Det fremgår af Databeskyttelsesforordningens præambelbetragtning nr. 10, at i forbindelse med
behandling af personoplysninger for at overholde en retlig forpligtelse eller for at udføre en opgave
i samfundets interesse, eller som henhører under offentlig myndighedsudøvelse, som den dataan-
svarlige har fået pålagt, bør medlemsstaterne kunne opretholde eller indføre nationale bestemmelser
for yderligere at præcisere anvendelsen af denne forordnings bestemmelser. Det bemærkes, at der
ikke af Erhvervsstyrelsen vil blive truffet automatisk afgørelse på baggrund af datasamkøringen,
idet sager, hvor der vurderes at være en høj risiko for, at der kan ske overtrædelse af den lovgiv-
ning, Erhvervsstyrelsen administrerer, vil blive behandlet manuelt og afgjort efter en konkret vurde-
ring.
Forslaget indebærer endvidere, at styrelsen har mulighed for at foretage samkøring af oplysninger
og anden form for behandling vedrørende oplysninger, som styrelsen i øvrigt er i besiddelse af, når
det er nødvendigt af hensyn til udførelsen af styrelsens kontrol- og tilsynsopgaver, jf. lovforslagets
§ 1, stk. 2, med tilhørende bemærkninger. Den foreslåede bestemmelse omfatter dermed alle øvrige
oplysninger, som styrelsen lovligt behandler, herunder følsomme personoplysninger. Hvor lov-
forslagets § 1, stk. 1, vedrører oplysninger fra andre myndigheder, omhandler forslagets § 1, stk. 2,
således de data, som Erhvervsstyrelsen allerede er i besiddelse af. Det kan eksempelvis være oplys-
ninger, som virksomheder har indberettet til Erhvervsstyrelsen som følge af deres indberetnings-
13
pligter i selskabslovgivningen, eller det kan være kontrolsager, hvor Erhvervsstyrelsen har indhentet
oplysninger fra virksomhederne.
Formålet med den øgede mulighed for at dele og behandle, herunder samkøre oplysninger, som
Erhvervsstyrelsen er i besiddelse af, mellem Erhvervsstyrelsens kontrol- og tilsynsområder er navn-
lig at opnå en øget koordinering mellem disse områder og dermed en mere effektiv kontrol- og til-
synsindsats. Tværgående datadeling og samkøring af data er en vigtig forudsætning herfor. Det
skyldes, at overtrædelse på et lovområde (f.eks. revisortilsyn) meget sandsynligt også kan betyde
lovovertrædelser på andre lovområder (f.eks. selskabskontrollen). Derudover vil datadeling mellem
kontrol- og tilsynsområderne også medføre, at de udarbejdede risikomodeller kan tilpasses og præ-
ciseres ud fra et større datagrundlag. Hvidvask- og selskabskontrollen kan f.eks. optimeres ud fra
oplysninger, som benyttes i revision- og regnskabskontrol. Yderligere datagrundlag fra andre områ-
der i Erhvervsstyrelsen vil endvidere give mulighed for en styrket kontrol- og tilsynsindsats.
Forslaget indebærer endvidere, at Erhvervsstyrelsen kan få terminaladgang til alle nødvendige op-
lysninger om fysiske eller juridiske personers økonomiske eller erhvervsmæssige forhold i ind-
komstregistret, jf. § 7 i lov om et indkomstregister, til brug for udførelsen af styrelsens opgaver, jf.
forslaget til § 1, stk. 3, med tilhørende bemærkninger.
Forslaget indebærer tillige, at Erhvervsstyrelsen kan indsamle og behandle oplysninger, som er
nævnt i lovforslagets § 1, stk. 1-3, samt videregive disse oplysninger til andre offentlige myndighe-
der, når det er nødvendigt til udførelse af deres kontrol- og tilsynsopgaver, jf. forslaget til § 1, stk. 4,
med tilhørende bemærkninger. Behandling og videregivelse af oplysninger i medfør af lovforslagets
§ 1, stk. 3, kan alene ske til andre offentlige myndigheder, der har klar lovhjemmel til at anvende
disse oplysninger.
Lovforslaget indebærer endelig, at erhvervsministeren kan fastsætte nærmere regler for Erhvervs-
styrelsens indsamling og behandling af oplysninger efter § 1, stk. 1-4, herunder om til hvilke formål
og opgaver oplysninger kan indsamles og behandles, til hvilke myndigheder, der kan ske videregi-
velse til, hvornår sletning af oplysninger skal finde sted, og om de tekniske foranstaltninger, der
skal iagttages ved behandlingen, jf. lovforslagets § 1, stk. 5, med tilhørende bemærkninger.
Det er Erhvervsministeriets vurdering, at detaljerede regler om Erhvervsstyrelsens behandling af
oplysninger mest hensigtsmæssigt fastsættes på bekendtgørelsesniveau, hvorfor der foreslås be-
myndigelse hertil i lovforslagets § 1, stk. 5. Baggrunden herfor er at sikre en så konkret og agil re-
gulering som muligt. Samtidig vil det kunne sikres, at der – som det hidtil har været tilfældet i for-
hold til Erhvervsstyrelsens behandling af oplysninger – løbende vil kunne tages hensyn til og fore-
tages nærmere regulering af nye værktøjer, systemer m.v., som Erhvervsstyrelsen tager i brug inden
for de rammer, som lovforslaget etablerer. Endvidere vil det kunne sikres, at de teknologiske mu-
ligheder for behandling af store datamængder ledsages af detaljerede regler om behandlingssikker-
hed, herunder om adgang til data. Erhvervsstyrelsen vil herudover fastsætte regler om, hvilke myn-
digheder som styrelsen vil videregive oplysninger til i medfør af lovforslagets § 1, stk. 4.
14
Det bemærkes, at databeskyttelsesforordningen og databeskyttelseslovens regler om behandlings-
sikkerhed fortsat skal iagttages. Baggrunden for, at det foreslås, at erhvervsministeren bemyndiges
til at fastsætte regler om de tekniske og organisatoriske foranstaltninger, der skal iagttages ved be-
handlingen, er, at lovforslaget giver anledning til behandling af store mængder data, herunder per-
sonfølsomme oplysninger, hvorfor der kan være behov for klare regler om behandlingssikkerhed.
Lovforslagets § 1, stk. 5, vil endvidere kunne udnyttes til at skabe et klart retligt grundlag for de
indledende test ved anvendelse af de data, som omfattes af de foreslåede bestemmelser i § 1, stk. 1-
4. Formålet er i læringsøjemed at udvikle Erhvervsstyrelsens model, således at denne kan genkende
mønstre og tegn på svig på tværs af data. Herved kan identificeres virksomheder med forhøjet risiko
for at begå svig med moms og afgifter samt anden økonomisk kriminalitet. Det bemærkes, at de
almindelige krav om proportionalitet og dataminimering fortsat gælder ved test af data. Det forud-
sættes derfor, at adgangen til at anvende test ikke benyttes i et videre omfang, end hvad der er nød-
vendigt for at sikre, at den efter lovforslaget tilsigtede model vedrørende deling og samkøring af
data er operationel og virker efter hensigten.
Der henvises i øvrigt til lovforslagets § 1, stk. 5, med tilhørende bemærkninger.
2.1.2.1. Forholdet til lovgivningen på Erhvervsstyrelsens område
Lovforslaget berører ikke fremgangsmådelovens regler om at foretage intern registersamkøring og
sammenstilling af oplysninger, jf. fremgangsmådelovens § 4, stk. 1. Lovforslagets § 1, stk. 1-4, gi-
ver dog hjemmel til, at fortrolige oplysninger samt oplysninger om andre rent private forhold kan
anvendes inden for andre kompetenceområder end det, som oplysningerne umiddelbart er indhentet
til brug for. Inden for lovforslagets anvendelsesområde sker der dermed en fravigelse af frem-
gangsmådelovens § 4, stk. 2.
Lovforslaget fraviger ikke reglerne vedrørende tavshedspligt eller andre nationale og EU-retlige
specifikke begrænsninger i behandlingen af oplysninger. Behandling og videregivelse af oplysnin-
ger omfattet af reglerne i særlige tavshedspligtsbestemmelser overholdes og administreres efter de
betingelser, som følger af de enkelte tavshedspligtsbestemmelser. Der henvises nærmere til lov-
forslagets pkt. 2.1.1.1.
2.1.2.2. Forholdet til forvaltningsloven
Med lovforslaget skabes der hjemmel til, at oplysninger, herunder oplysninger af fortrolig karakter,
kan indhentes af Erhvervsstyrelsen, når det er nødvendigt at hensyn til udførelsen af styrelsens op-
gaver, jf. lovforslagets § 1, stk. 1. Det gælder både i sager, som rejses på Erhvervsstyrelsens initia-
tiv, og i ansøgningssager.
Lovforslaget giver endvidere hjemmel til, at Erhvervsstyrelsen kan videregive oplysninger, som
omfattes af lovforslagets § 1, stk. 1-3, til andre offentlige myndigheder, når det er nødvendigt for
deres myndighedsudøvelse i kontrol- og tilsynsøjemed, jf. lovforslagets § 1, stk. 4.
De foreslåede bestemmelser indebærer, at videregivelse kan ske i medfør af udtrykkelig lovhjem-
mel, jf. forvaltningslovens § 28, stk. 2, nr. 2, og § 29, stk. 2, nr. 2, og at samtykke derfor ikke vil
15
være fornødent. Det bemærkes, at lovforslaget ikke sigter til at ændre på det grundlæggende kriteri-
um om, at anvendelse af oplysninger, herunder personoplysninger, kræver et sagligt formål, og at
behandlingen ikke skal være mere omfattende, end forholdet tilsiger.
2.1.2.3. Forholdet til databeskyttelsesforordningen og databeskyttelsesloven
Lovforslaget har til formål at skabe en klar hjemmel til at indsamle og behandle oplysninger, herun-
der få terminaladgang til indkomstregistret, foretage samkøring og videregivelse af oplysninger,
både for så vidt angår styrelsens egne oplysninger, oplysninger fra andre offentlige myndigheder og
offentligt tilgængelige kilder.
Lovforslaget giver endvidere hjemmel til, at personoplysninger fremover kan indsamles og behand-
les af Erhvervsstyrelsen med henblik på læring og opbygning af en machine learning-model.
De oplysninger, som behandles efter lovforslaget, har i vidt omfang karakter af oplysninger, som
virksomheder er pligtige til at indberette i medfør af eksempelvis selskabsloven, lov om visse er-
hvervsdrivende virksomheder og årsregnskabsloven. Lovforslaget omfatter imidlertid også – men i
mindre grad – oplysninger om personer, som har tilknytning til de pågældende virksomheder. En
del af de omhandlede oplysninger, der er nødvendige at inddrage i forbindelse med machine lear-
ning-modellen, er derfor personoplysninger omfattet af databeskyttelsesforordningen og -loven.
Inddragelsen af disse er nødvendige, idet det øger sandsynligheden for at identificere mønstre og
tegn på, at lovgivningen ikke bliver overholdt.
De behandlinger af personoplysninger, som foretages hos Erhvervsstyrelsen efter lovforslaget, skal
leve op til de regler, som er fastlagt i databeskyttelsesforordningen og databeskyttelsesloven. Lov-
forslaget indebærer således ikke nogen fravigelse af databeskyttelsesforordningen eller databeskyt-
telsesloven, jf. dog nedenstående afsnit.
Erhvervsministeren vil i medfør af lovforslagets § 1, stk. 5, og inden for rammerne af databeskyttel-
sesforordningens artikel 23 fastsætte nærmere regler om, at Erhvervsstyrelsen må behandle person-
oplysninger til andre formål, end de formål, hvortil oplysningerne oprindeligt var indsamlet, uaf-
hængigt af, om der er forenelighed mellem disse formål, og det formål, som de anvendes til ved
styrelsens læring og udvikling af modeller. Det indebærer konkret, at Erhvervsstyrelsen får adgang
til at udnytte og foretage læring og test med de data, som omfattes af de foreslåede bestemmelser i §
1, stk. 1-4, samt udnytte disse til konkret sagsbehandling. Det fremgår af Justitsministeriets betænk-
ning nr. 1565/2017 om databeskyttelsesforordningen, side 158, at en sådan fremgangsmåde, hvoref-
ter der i lovgivningen foretages fravigelser af forordningen, er i overensstemmelse med databeskyt-
telsesforordningen, såfremt fravigelsen opfylder de krav, som er fastlagt i forordningens artikel 23.
Det følger således af forordningens artikel 23, at en medlemsstats nationale ret kan begrænse ræk-
kevidden af de forpligtelser og rettigheder, der er omhandlet i bl.a. artikel 5, når en sådan begræns-
ning respekterer det væsentligste indhold af de grundlæggende rettigheder og frihedsrettigheder og
er en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund af hensyn til bl.a. kon-
trol-, tilsyns- eller reguleringsfunktioner, der er forbundet med offentlig myndighedsudøvelse i de
16
tilfælde, der er omhandlet i litra a)-e) og g). Det omfatter bl.a. en medlemsstats væsentlige økono-
miske eller finansielle interesser, herunder budget- og skatteanliggender.
Formålet med begrænsningen af formålsbestemthedsprincippet er i læringsøjemed at udvikle Er-
hvervsstyrelsens anvendelse af en machine learning-model, således at denne kan genkende mønstre
og tegn på svig på tværs af data. Herved kan virksomheder med forhøjet risiko for at begå svig med
moms og afgifter samt anden økonomisk kriminalitet identificeres. Det bemærkes, at de almindelige
krav om proportionalitet og dataminimering fortsat gælder ved test af data. Adgangen til at anvende
oplysninger til læring og test samt udnyttelse af modelresultaterne vil således ikke kunne benyttes i
et videre omfang, end hvad der er nødvendigt for at sikre, at den efter lovforslaget tilsigtede model
vedrørende deling og samkøring af data er operationel og virker efter hensigten. Uanset, at der fore-
tages en begrænsning af formålsbestemthedsprincippet, respekterer begrænsningen det væsentligste
indhold af de grundlæggende rettigheder og frihedsrettigheder, og fravigelsen hviler på væsentlige
samfundsmæssige hensyn til kontrol og misbrugsbekæmpelse på bl.a. skatteområdet. Udviklingen
af machine learning-modellen er en nødvendig forudsætning for, at lovforslagets ordning kan ud-
møntes i praksis. Begrænsningen af formålsbestemthedsprincippet relaterer sig udelukkende til de
teknisk nødvendige tiltag forud for ibrugtagningen af machine learning-modellen. Forudgående
udvikling af modellen indebærer i øvrigt, at modellens træfsikkerhed øges, hvilket får betydning
for, hvilke sager som behandles manuelt af Erhvervsstyrelsen eller SKAT. Dermed kan det sikres,
at den manuelle behandling af oplysninger, som foretages af fysiske sagsbehandlere, fokuseres på
de virksomheder, som med høj sandsynlighed har til hensigt at begå svig.
Begrænsningen af formålsbestemthedsprincippet vurderes på denne baggrund at være en nødvendig
og forholdsmæssig foranstaltning i et demokratisk samfund af hensyn til Erhvervsstyrelsens og an-
dre offentlige myndigheders, herunder SKATs, kontrol-, tilsyns- og reguleringsfunktioner. Disse
funktioner er en central del af den offentlige myndighedsudøvelse og har tilknytning til bl.a. væ-
sentlige økonomiske og finansielle interesser. Begrænsningen af formålsbestemthedsprincippet vur-
deres således i denne henseende at opfylde kravene til fravigelser i databeskyttelsesforordningens
artikel 23. Det bemærkes, at det ved fastsættelsen af regler efter bestemmelsen skal vurderes, om
betingelserne i artikel 23 er opfyldt.
Bemyndigelsesbestemmelsen i lovforslagets § 1, stk. 5, vil således kunne anvendes til at fravige
formålsbestemthedsprincippet i relation til i læringsøjemed at udvikle modeller m.v., der kan gen-
kende mønstre og tegn på svig på tværs af data, men at der ikke foretages øvrige begrænsninger i de
registreredes rettigheder. Da der ikke i øvrigt foretages nogen fravigelse af databeskyttelsesforord-
ningen og databeskyttelsesloven, skal spørgsmålet om underretning og indsigt i data m.v. derfor
afgøres efter de almindelige regler i databeskyttelsesforordningen og databeskyttelsesloven.
Der henvises i øvrigt til lovforslagets § 1, stk. 5, med tilhørende bemærkninger.
2.1.2.4. Forholdet til den Europæiske Menneskerettighedskonvention
17
Den behandling af personoplysninger, som lovforslaget omfatter, vil kunne udgøre et indgreb i ret-
ten til respekt for privatliv, jf. EMRK artikel 8, stk. 1. Et sådant indgreb vil alene kunne retfærdig-
gøres efter EMRK artikel 8, stk. 2, hvis indgrebet er foreskrevet ved lov, hvis det varetager et eller
flere anerkendelsesværdige formål, og hvis det er nødvendigt i et demokratisk samfund for at opnå
det eller de anførte formål (krav om proportionalitet).
Lovforslaget har bl.a. til formål at styrke Erhvervsstyrelsens og andre offentlige myndigheders, her-
under SKATs, kontrol og tilsyn, således at svig med moms og afgifter og anden økonomisk krimi-
nalitet hindres, hvilket vurderes at være et anerkendelsesværdigt formål.
Lovforslaget varetager hensyn, som efter Erhvervsministeriets opfattelse må anses for nødvendigt i
et demokratisk samfund. Ministeriet har herved bl.a. lagt vægt på, at samkøring og anden behand-
ling af oplysninger, herunder personoplysninger, er en naturlig og grundlæggende forudsætning for
Erhvervsstyrelsens og andre offentlige myndigheders, herunder SKATs, bekæmpelse af svig og
økonomisk kriminalitet under anvendelse af større og større datamængder.
Erhvervsministeriet finder på den baggrund, at lovforslaget kan gennemføres inden for rammerne af
Danmarks forpligtelser efter EMRK. Ved udstedelse af bekendtgørelser efter bemyndigelsen i § 1,
stk. 5, skal det sikres, at de formål og hensyn, som den konkrete dataanvendelse skal varetage, er
nødvendige og står i rimeligt forhold til den involverede behandling af de registreredes oplysninger.
3. Økonomiske og administrative konsekvenser for det offentlige
Lovforslaget medfører betydelige administrative konsekvenser, da det kræver ressourcer til imple-
mentering af datadrevet kontrol, til efterbehandling og til en indsats vedrørende datakvalitet. Det er
en forudsætning, at den nødvendige finansiering tilvejebringes.
Den foreslåede model indebærer øget manuel sagsbehandling for den del af virksomhedsregistre-
ringerne, hvor der er risiko for svig med moms og afgifter eller anden økonomisk kriminalitet. Det
vil endvidere medføre øget manuel kontrol og tilsyn efterfølgende inden for Erhvervsstyrelsens og
andre offentlige myndigheders kontrol- og tilsynsområder.
4. Økonomiske og administrative konsekvenser for erhvervslivet m.v.
Lovforslaget vurderes ikke at have økonomiske og administrative konsekvenser for erhvervslivet.
5. Administrative konsekvenser for borgerne
Lovforslaget vurderes ikke at have administrative konsekvenser for borgerne.
6. Miljømæssige konsekvenser
Lovforslaget har ingen miljømæssige konsekvenser.
7. Forholdet til EU-retten
Lovforslaget indeholder ikke EU-retlige aspekter.
18
8. Hørte myndigheder og organisationer m.v.
xx
9. Sammenfattende skema
Positive konsekvenser/mindre
udgifter
Negative konsekven-
ser/merudgifter
Økonomiske og administrative
konsekvenser for det offentlige
Det forventes, at anvendelsen
af machine learning vil have en
positiv effekt på skattegabet.
Lovforslaget indebærer anven-
delse af ressourcer til imple-
mentering af datadrevet kon-
trol, til efterbehandling og til
en indsats vedrørende datakva-
litet.
Økonomiske og administrative
konsekvenser for erhvervslivet
m.v.
Ingen Ingen
Administrative konsekvenser
for borgerne
Ingen Ingen
Miljømæssige konsekvenser Ingen Ingen
Forholdet til EU-retten Lovforslaget indeholder ikke EU-retlige aspekter.
Overimplementering af EU-
retlige minimumsforpligtelser
(sæt X)
JA NEJ
X
Bemærkninger til lovforslagets enkelte bestemmelser
Til § 1
Den foreslåede § 1 har til formål at etablere et klart retligt grundlag for, at Erhvervsstyrelsen kan
indsamle og behandle en række oplysninger i form af deling og samkøring af data, når det er nød-
vendigt af hensyn til udførelsen af Erhvervsstyrelsens opgaver.
Det er ikke hensigten med bestemmelsen – eller lovforslaget i øvrigt – at fravige tavshedspligtsbe-
stemmelser m.v. på Erhvervsstyrelsens områder, og disse vil derfor fortsat skulle overholdes ved
udnyttelse af oplysninger til deling og samkøring af data efter den foreslåede bestemmelse.
Efter det foreslåede stk. 1 kan Erhvervsstyrelsen fra andre offentlige myndigheder og offentligt til-
gængelige kilder indsamle og behandle oplysninger, herunder foretage samkøring, når det er nød-
vendigt af hensyn til udførelsen af styrelsens opgaver eller andre offentlige myndigheders kontrol-
og tilsynsopgaver. Dette omfatter både almindelige, fortrolige og følsomme oplysninger.
Oplysningerne, som indsamles og behandles efter bestemmelsen, vil i første række være oplysnin-
ger om fysiske personers indkomst og økonomiske forhold i øvrigt (indkomstregistret, skatteoplys-
ninger (R75) og skattekontoen), oplysninger om hvorvidt fysiske eller juridiske personer har påført
eller forsøgt at påføre det offentlige væsentlige tab (KINFO), oplysninger om fysiske eller juridiske
19
personers indberetninger om moms eller afgifter (erhvervssystemet), oplysninger om fysiske eller
juridiske personer, der er blevet nægtet registrering, fordi de ikke har stillet den krævede sikkerhed
(træskoregistret), oplysninger om juridiske personers selvangivelser, omstruktureringer og under-
skudsregister (DIAS), og oplysninger om fysiske personer, der ved dom er frataget muligheden for
at deltage i ledelsen af en erhvervsvirksomhed uden at hæfte personligt og ubegrænset for virksom-
hedens forpligtelser (konkurskarantæneregistret).
Der vil kunne indhentes og behandles offentligt tilgængelige oplysninger, herunder fra søgemaski-
ner som f.eks. Google, kortdata og adresseoplysninger m.v. Indsamlingen og behandlingen, herun-
der samkøringen, efter den foreslåede stk. 1 vil navnlig blive brugt til at styrke kontrol ved virk-
somhedsregistrering hos Erhvervsstyrelsen.
Det er Erhvervsstyrelsens vurdering, at der bør fastsættes en udtrykkelig hjemmel til at indsamle,
behandle og videregive oplysninger fra offentligt tilgængelige kilder, henset til den øgede brug af
oplysninger fra offentligt tilgængelige kilder sammenholdt med den øgede digitalisering og de sti-
gende datamængder fra offentligt tilgængelige kilder. Lovforslaget indebærer ikke en udvidet ad-
gang til at indsamle oplysninger fra offentligt tilgængelige kilder, men sikrer alene et klart hjem-
melsgrundlag for Erhvervsstyrelsens indsamling og behandling af – ofte betydelige mængder – op-
lysninger fra offentligt tilgængelige kilder. I forbindelse med beslutningen om, hvilke offentligt
tilgængelige oplysninger, som Erhvervsstyrelsen vil indhente og behandle, vil Erhvervsstyrelsen
foretage en vurdering af, hvorvidt det er proportionalt at indsamle og behandle den pågældende type
oplysning. Derved sikres det, at den pågældende type oplysning alene indsamles og behandles, så-
fremt det er sagligt og nødvendigt og ikke går videre, end hvad formålet tilsiger.
Begrebet ”offentligt tilgængelige kilder” skal forstås bredt og omfatter således både personoplys-
ninger og andre oplysninger fra enhver offentligt tilgængelig kilde, herunder enhver informations-
kilde af både elektronisk og ikke-elektronisk karakter, som inden for rammerne af gældende ret kan
tilgås i det offentlige rum. Oplysninger og kilder, der er tilgængelige på almindelige kommercielle
vilkår, f.eks. gennem betaling af abonnement eller andre former for betalingstjenester, anses tillige
som offentligt tilgængelige.
Med ”nødvendigt af hensyn til udførelsen af Erhvervsstyrelsens opgaver eller andre offentlige myn-
digheders kontrol- og tilsynsopgaver” sigtes til, at der ikke ændres på det grundlæggende kriterium
om, at anvendelse af oplysninger, herunder personoplysninger, kræver et sagligt formål, og at be-
handlingen ikke skal være mere omfattende, end forholdet tilsiger. Der er ikke tilsigtet nogen fravi-
gelse af databeskyttelsesforordningen eller databeskyttelseslovens regler i den forbindelse.
Det forhold, at Erhvervsstyrelsen kan indhente og behandle oplysninger til brug for andre offentlige
myndigheders kontrol- og tilsynsopgaver, medfører ikke en ændring af andre offentlige myndighe-
ders kompetencer, herunder SKATs nuværende myndighedsrolle i forhold til skatte- og afgiftslov-
givningen. Det er således alene SKAT, der træffer afgørelser om, hvorvidt en virksomhed skal regi-
streres i forhold til skatte- og afgiftslovgivningen. Et sådant øget samarbejde mellem offentlige
myndigheder må anses for nødvendigt i indsatsen mod svig.
20
Efter det foreslåede stk. 2 kan Erhvervsstyrelsen behandle, herunder samkøre, de oplysninger, som
styrelsen i øvrigt er i besiddelse af, når det er nødvendigt af hensyn til udførelsen af styrelsens kon-
trol- og tilsynsopgaver. Den foreslåede bestemmelse omfatter dermed alle øvrige oplysninger, som
styrelsen lovligt behandler. Det kan eksempelvis være oplysninger, som virksomheder har indberet-
tet til Erhvervsstyrelsen, som følge af deres indberetningspligter i selskabslovgivningen, eller det
kan være kontrolsager, hvor Erhvervsstyrelsen har indhentet oplysninger fra virksomhederne. Reg-
len vil blive anvendt til at udnytte Erhvervsstyrelsens eksisterende oplysninger til at styrke Er-
hvervsstyrelsens kontrol- og tilsynsfunktioner også på tværs af styrelsens områder.
Det foreslåede stk. 2 fraviger inden for bestemmelsens anvendelsesområde fremgangsmådelovens §
4, stk. 2, jf. afsnit 2.1.1.1, som ellers foreskriver, at fortrolige og følsomme oplysninger samt oplys-
ninger om andre rent private forhold udelukkende kan anvendes inden for samme kompetenceom-
råder, som oplysningerne er indhentet til brug for. Hvor den foreslåede stk. 2 ikke finder anvendel-
se, vil fremgangsmådelovens § 4, stk. 2, fortsat i givet fald skulle overholdes.
Det foreslås i bestemmelsens stk. 3, at Erhvervsstyrelsen til brug for udførelsen af styrelsens opga-
ver kan få terminaladgang til alle nødvendige oplysninger om fysiske eller juridiske personers øko-
nomiske eller erhvervsmæssige forhold i indkomstregistret, jf. lov om et indkomstregister § 7. Det
foreslåede stk. 3 har til formål at tilvejebringe klar hjemmel til at anvende registret til sammenstil-
ling og samkøring af oplysninger i det omfang, der er afgørende hensyn, der begrunder, at registret
anvendes på denne måde.
Det foreslås i bestemmelsens stk. 4, at Erhvervsstyrelsen kan indsamle og behandle oplysninger,
som omfattes af stk. 1-3, samt videregive disse oplysninger til andre offentlige myndigheder, når
det er nødvendigt for deres myndighedsudøvelse i kontrol- og tilsynsøjemed. Oplysninger, som er
indsamlet efter lovforslagets § 1, stk. 3, kan alene videregives til andre offentlige myndigheder, som
har udtrykkelig hjemmel i lov til at anvende disse oplysninger.
Den foreslåede bestemmelse indebærer, at de oplysninger, som omfattes af stk. 1-3, kan indsamles
og behandles, samt at oplysningerne kan videregives til andre offentlige myndigheder, når det er
nødvendigt som led i deres kontrol- og tilsynsopgaver.
De kontrolresultater, som andre offentlige myndigheder, herunder SKAT, opnår som følge af de
oplysninger, der videregives fra Erhvervsstyrelsen i medfør af lovforslagets stk. 4, kan have betyd-
ning for Erhvervsstyrelsens fremadrettede vurdering af risikoen for, om virksomheder m.v. vil begå
svig og anden økonomisk kriminalitet omfattet af andre offentlige myndigheders lovgivning, herun-
der skatte- og afgiftslovgivningen. Adgangen til at indsamle og behandle oplysninger efter lov-
forslagets stk. 1 og 4, omfatter derfor også andre offentlige myndigheders, herunder SKATs, kon-
trolresultater, som er dannet på grundlag af Erhvervsstyrelsens videregivelse af oplysninger til disse
andre offentlige myndigheder. Det vil i bekendtgørelse udstedt i medfør af lovforslagets § 1, stk. 5,
blive fastsat, til hvilke andre offentlige myndigheder Erhvervsstyrelsen kan videregive oplysninger.
Det foreslåede stk. 4 har til formål at give Erhvervsstyrelsen et klart retsgrundlag for, at styrelsen af
egen drift kan videregive oplysninger til andre offentlige myndigheder, som ved brug af machine
21
learning vurderes at være af væsentlig betydning for disse myndigheders kontrol- og tilsynsopgaver.
Vurderingen af, hvilke oplysninger som vil være af væsentlig betydning for andre offentlige myn-
digheders kontrol- og tilsynsopgaver, foretages på grundlag af på forhånd fastsatte kriterier. Dette
kan f.eks. i relation til videregivelse til SKAT være tilfælde, hvor machine learning-modellen vur-
derer, at der er høj risiko for, at en virksomhed vil begå svig eller anden økonomisk kriminalitet.
Erhvervsstyrelsen tager stilling til kriterierne, som dels sikrer, at videregivelse af oplysninger tjener
et sagligt formål, dels at oplysningerne er begrænsede til, hvad der er nødvendigt i forhold til den
modtagende myndigheds kontrol- og tilsynsopgaver.
Det bemærkes, at der med den foreslåede bestemmelse ikke er tilsigtet nogen ændring af andre of-
fentlige myndigheders adgang til efter anmodning at få udleveret de oplysninger, som styrelsen af
er i besiddelse af, herunder oplysninger indhentet i medfør af lovforslagets stk. 1-3. Der er med den
foreslåede bestemmelse endvidere ikke tilsigtet nogen ændring af, i hvilket omfang styrelsen på
baggrund af en manuel vurdering kan videregive oplysninger til andre offentlige myndigheder. Dis-
se spørgsmål afgøres efter de almindelige regler om videregivelse af oplysninger mellem offentlige
myndigheder, herunder de regler, som er fastlagt i databeskyttelsesloven, databeskyttelsesforord-
ningen og forvaltningsloven. Derudover kan oplysninger i medfør af lovforslagets § 1, stk. 3, alene
videregives til andre offentlige myndigheder, som har klar lovhjemmel til at anvende disse.
Der foreslås i bestemmelsens stk. 5 indsat hjemmel for erhvervsministeren til at fastsætte nærmere
regler for Erhvervsstyrelsens indsamling, behandling og videregivelse af oplysninger, herunder om
hvornår og til hvilke formål oplysninger kan indsamles og behandles, hvornår sletning af oplysnin-
ger skal finde sted, hvilke myndigheder Erhvervsstyrelsen kan videregive oplysninger til og om de
tekniske og organisatoriske foranstaltninger, der skal iagttages ved behandlingen. Adgangen til at
fastsætte regler skal ske inden for rammerne af arkivlovens regler om bevaring og kassation af of-
fentlige arkivalier m.v., samt anden lovgivning, som indeholder krav til opbevaring og sletning. Ved
sletning forstås i overensstemmelse hermed arkivering og kassation af de omfattede oplysninger.
Det forudsættes, at erhvervsministeren udnytter hjemlen i det foreslåede stk. 5, således at det er en
betingelse for behandling af oplysninger efter den foreslåede § 1, stk. 1-4, at der er fastsat nærmere
regler på bekendtgørelsesniveau med konkrete rammer for Erhvervsstyrelsens indsamling, videregi-
velse og anden behandling af oplysninger, herunder om til hvilke formål behandlingen sker, og til
hvilke myndigheder Erhvervsstyrelsen kan videregive oplysninger.
Bestemmelsen indebærer herudover, at erhvervsministeren skal fastsætte regler, som sikrer et pas-
sende beskyttelsesniveau i forbindelse med Erhvervsstyrelsens gennemførelse af datadeling og
samkøring i tillæg til de almindelige regler i databeskyttelsesforordningen. I medfør af bestemmel-
sen vil der bl.a. blive fastsat nærmere regler om, til hvilke formål oplysninger kan behandles, hvor-
når sletning af oplysninger skal finde sted, samt om de eventuelle supplerende tekniske og organisa-
toriske foranstaltninger, der særligt skal iagttages ved den dataanvendelse, som finder sted i forbin-
delse med udvikling af modellerne og anvendelsen af disse.
Som nævnt i pkt. 2.1.2 og 2.1.2.3 i de almindelige bemærkninger vil erhvervsministeren i medfør af
lovforslagets stk. 5 og inden for rammerne af databeskyttelsesforordningens artikel 23 fastsætte
22
nærmere regler om, at Erhvervsstyrelsen må viderebehandle personoplysninger til andre formål, end
de oprindeligt var indsamlet til, uafhængigt af formålenes forenelighed (formålsbestemthedsprin-
cippet). Det indebærer konkret, at Erhvervsstyrelsen får adgang til at foretage test med de data, som
omfattes af de foreslåede bestemmelser i stk. 1-4. Det fremgår af Justitsministeriets betænkning nr.
1565/2017 om databeskyttelsesforordningen, side 158, at en sådan fremgangsmåde, hvorefter der i
lovgivningen foretages fravigelser af forordningen, er i overensstemmelse med databeskyttelsesfor-
ordningen, såfremt fravigelsen opfylder de krav, som er fastlagt i forordningens artikel 23.
Begrænsningen af formålsbestemthedsprincippet vurderes at være en nødvendig og forholdsmæssig
foranstaltning i et demokratisk samfund af hensyn til Erhvervsstyrelsen og andre offentlige myn-
digheders, herunder SKATs, kontrol-, tilsyns- og reguleringsfunktioner, der udgør offentlig myn-
dighedsudøvelse.
Formålet er bl.a. at sikre det lovgivningsmæssige grundlag for, at der i læringsøjemed (machine
learning) kan udvikles modeller m.v., der kan genkende mønstre og tegn på svig på tværs af data.
Herved kan virksomheder identificeres, der med en forhøjet risiko vil begå svig med moms og af-
gifter samt anden økonomisk kriminalitet. Det bemærkes, at de almindelige krav om proportionali-
tet og dataminimering fortsat gælder ved anvendelse af data. Det forudsættes derfor, at adgangen til
at fastsætte regler om, at der kan anvendes oplysninger til læringsformål for modeludviklingen ikke
benyttes i et videre omfang, end hvad der er nødvendigt for at sikre, at den efter lovforslaget tilsig-
tede model vedrørende samkøring af data er operationel og virker efter hensigten.
Den foreslåede bestemmelse i stk. 5 kan alene anvendes til at fravige formålsbestemthedsprincippet
i relation til de konkrete anvendelser, som følger af regler udstedt i medfør af bemyndigelsen for
stk. 1-4. Det skal vurderes konkret, om fravigelser, der fastsættes i medfør af bestemmelsen, lever
op til databeskyttelsesforordningens artikel 23.
Der foretages ikke i øvrigt fravigelse af reglerne i databeskyttelsesforordningen, herunder de regi-
streredes rettigheder. Spørgsmålet om underretning og indsigt i data m.v., som behandles i medfør
af stk. 1-4, skal derfor afgøres efter de almindelige regler i databeskyttelsesforordningen og databe-
skyttelsesloven.
Der henvises i øvrigt til pkt. 2.1.2 og 2.1.2.3 i lovforslagets almindelige bemærkninger.
Til § 2
Det foreslås i § 2, at loven træder i kraft den 1. juli 2018.
Til § 3
Bestemmelsen vedrører lovens territoriale gyldighed.
Det foreslås i § 3, at loven ikke skal gælde ikke for Færøerne og Grønland, men at loven ved konge-
lig anordning helt eller delvis kan sættes i kraft for Færøerne og Grønland med de ændringer, som
de færøske og grønlandske forhold tilsiger.
23


Folketingets Erhvervs-, Vækst- og Eksportudvalg
Vedlagt fremsender jeg til udvalgets orientering høringsbrev, høringsliste
samt udkast til forslag til lov om Erhvervsstyrelsens behandling af data,
der blev sendt i høring.
Med venlig hilsen
Brian Mikkelsen
ERHVERVSMINISTEREN
15. april 2018
ERHVERVSMINISTERIET
Slotsholmsgade 10-12
1216 København K
Tlf. 33 92 33 50
Fax 33 12 37 78
CVR-nr. 10 09 24 85
EAN nr. 5798000026001
em@em.dk
www.em.dk
Erhvervs-, Vækst- og Eksportudvalget 2017-18
L 149 Bilag 4
Offentligt