9 IKT – utsikter og utfordringar
9.1 Utviklingstrekk og trendar som verkar inn på sikringa av personvernet
Viktige teknologiske utviklingstrekk som har mykje å seie for samfunnet generelt, er auken i bruk av internett1, sosiale medium2, nye lagringsmedium og utsetjing av tenester, for eksempel lagring i nettskya. Desse nyvinningane representerer teknologi som er brukt av både offentleg sektor, privat sektor og folket generelt i eit omfang som det ikkje var mogleg å føreseie då dei vart lanserte. Fordelane ved dei nye bruksområda er opplagde, medan det kan ta lengre tid å setje seg inn i ulempene og risikoane. Forslaget frå EU-kommisjonen til ei generell forordning om personvern blir grunngitt mellom anna i teknologiutviklinga:
«Den hurtige teknologiske udvikling har skabt nye udfordringer, hvad angår beskyttelse af personoplysninger. Omfanget af datadeling og -indsamling er steget drastisk. Teknologien giver både private virksomheder og offentlige myndigheder mulighed for at udnytte personoplysninger i et hidtil uset omfang, når de udøver deres aktiviteter. Fysiske personer udbreder i stigende grad deres personoplysninger offentligt og globalt. Teknologien har ændret både samfundet og det sociale liv. Opbygning af tillid i onlinemiljøet er afgørende for den økonomiske udvikling. Manglende tillid får forbrugerne til at være tilbageholdende med at købe varer på internettet og benytte nye tjenester. Dette kan forsinke udviklingen af innovative anvendelser af nye teknologier. Beskyttelse af personoplysninger spiller derfor en central rolle i den digitale dagsorden for Europa3 og mere generelt i Europa 2020-strategien4.»
Teknologiutviklinga er prega av innovasjon og rask utvikling med ein påfølgjande vilje i samfunnet til å bruke nye og effektive verktøy. Den raske utviklinga kan seiast å ha både positive og negative konsekvensar for personvernet. I det vidare blir nokre teknologiske utviklingstrekk som kan innebere personvernimplikasjonar trekte fram. I tillegg til punkta under blir bruken av lokaliseringsteknologi drøfta nærmare i kapittel 9.4.
9.1.1 Personprofilering og informasjonshandel
Personopplysningar og annan informasjon om forbrukarar har vorte ei av dei største handelsvarene for heile spekteret av IT-verksemder verda rundt. Ikkje berre samlar dei aller fleste internett-aktørane inn informasjon om sine eigne brukarar, men det har òg vakse fram ein økonomi i det å selje brukarprofilar til tredjepartar, noko stadig fleire aktørar spesialiserer seg på. Den kanskje største av desse aktørane på verdsbasis er DoubleClick, som er eigd av Google. Med mange og avanserte sporingsteknologiar knytte til dei aller fleste nettsider er det nærmast umogleg å unngå å late etter seg ein stig av elektroniske spor etter aktivitetar på nettet.
Det er ikkje berre med berbare eller stasjonære datamaskiner at brukarane surfar på internett. Mobiltelefonar og smarttelefonar blir stadig viktigare plattformer når det gjeld å samle inn informasjon. Andre typar einingar, for eksempel nettbrett og e-bøker, er òg nye plattformer for innhenting av informasjon til brukarprofilering. Ei utfordring ved det at informasjonshandelen skjer på så mange ulike plattformer, er at desse har store tekniske forskjellar, og at tilgangen til gode personverninnstillingar varierer. Det er ikkje enkelt å regulere innhenting av personopplysningar på ein einskapleg måte som tek omsyn til forskjellane mellom plattformene.
Problemstillingar knytte til personprofilering og informasjonshandel som har særlege implikasjonar for personvernet, slik som framveksten av lokaliseringstenester og lagring av informasjonskapslar, er omtala i kapittel 9.4.
9.1.2 Nettskya
Dei siste åra har ein sett ein tydeleg auke i utviklinga av ulike tenester baserte på nettskyteknologi, eller Cloud Computing. Både næringsliv og privatpersonar bruker nettskytenester. Somme offentlege verksemder har òg teke i bruk slike tenester til lagring og som programvare. Bruk av nettskytenester inneber at arbeidsoppgåver knytte til IT-funksjonar eller IT-tenester blir sette ut, medan ansvaret framleis ligg hos verksemda som set ut oppgåvene. Nettskyleverandørane er altså å rekne som databehandlarar etter personopplysningslova § 2 nr. 5.
Nettskytenester er ei samlenemning på alt frå databehandling og datalagring til programvare på tenarar som er tilgjengelege frå eksterne tenarparkar knytte til internett. Ein kan i grove trekk skilje mellom tre typar nettskytenester. Den første typen er der nettskya sjølv utgjer ei programvare ferdig til bruk, som brukaren nyttar gjennom nettskytenarane. Dette kan for eksempel vere ei nettbasert e-postteneste eller eit tekstbehandlingsprogram. Den andre er der nettskya utgjer ei plattform der brukaren kan utvikle eiga programvare, for eksempel med verktøy for og lagringskapasitet til å utvikle programvare. Den tredje typen nettskytenester er der nettskya tilbyr infrastruktur til brukaren, medan brukaren sjølv bidreg med eiga programvare. Etter denne siste modellen tilbyr nettskyleverandøren i hovudsak lagrings- og nettverkskapasitet gjennom sine eigne kraftige maskiner og store tenarparkar.
Det ligg eit stort potensial i auka bruk av nettskytenester. Den store lagringskapasiteten til tilbydarane gjer at den behandlingsansvarlege sjølv ikkje treng tilsvarande lagringskapasitet og kunnskap om IT-infrastruktur. Dette fører òg til mindre behov for IT-rådgiving og vedlikehald. Bruken av nettskytenester kan òg bidra til å effektivisere datasystem, ettersom det blir mindre behov for å lagre alt på kvar einskild maskin eller hos kvar einskild aktør. Dette kan føre til raskare og meir velfungerande lokale datasystem som er rimelegare å drifte. Nettskya er dessutan fleksibel på den måten at når den behandlingsansvarlege treng meir lagringskapasitet, leiger han det. Som regel betaler ein berre for kapasiteten som blir brukt. Dette reduserer dei store kostnadene som følgjer med store IKT-investeringar, og kan slik sett vere økonomisk gunstig særleg for mindre verksemder eller verksemder i etableringsfasen.
Bruk av nettskytenester reiser samstundes òg visse personvernutfordringar. Mange eksterne tenarparkar ligg utanfor Noregs grenser, og utfordringa for dei behandlingsansvarlege er å sørgje for at avtalene med nettskyleverandøren er i samsvar med norsk lovgiving. Alle dei reglane som gjeld for behandlingsansvarlege som er etablerte i Noreg og behandlar personopplysningar i Noreg, gjeld òg ved bruk av lagringstenester i nettskya. Det kan vere krevjande å sikre at ein fyller krav til sikring av informasjon og reglane om overføring av personopplysningar til statar utanfor EU/EØS-området. Dette er fordi ein som behandlingsansvarleg ofte ikkje veit kvar dataa blir lagra. Det er heller ikkje sikkert dataa blir lagra på same staden i nettskya gjennom heile lagringsperioden, eller at alle dataa er lagra samla. Databehandlaravtaler skal normalt innehalde punkt om graden av informasjonstryggleik og kva slags tiltak som skal setjast i verk ved eventuelle tryggleiksbrot. I samband med dette må den behandlingsansvarlege gjere grundige risikovurderingar baserte på informasjon frå nettskytilbydaren. Dersom risikovurderingane ikkje er godt nok gjennomførte og dokumenterte, risikerer brukarar av nettskytenester at nettskytilbydaren skriv frå seg ansvaret dersom informasjon kjem på avvegar. Datatilsynet har i 2012 behandla ei sak om Narvik kommune sin bruk av nettskytenesta Google Apps. Datatilsynet varsla opphavleg vedtak som la til grunn at Narvik kommune ikkje hadde gjort tilfredsstillande risikovurderingar, slik det krevst etter personopplysningslova § 13. Ei av utfordringane var at kommunen ikkje hadde godt nok referansegrunnlag til å kunne definere den sannsynlege faren for tryggleiksbrot, mykje på grunn av manglande informasjon frå Google. Google kunne mellom anna ikkje orientere om kvar data til kvar tid blei lagra, og kva tryggingstiltak dataa var omfatta av. Dei ville heller ikkje opplyse om kva land datasentera deira er plasserte i. Datatilsynet hevda, mellom anna på grunnlag av dei manglande opplysningane, at standardavtala som Google bruker, ikkje er tilstrekkeleg jamført med det som blir forventa av ei databehandlaravtale. Datatilsynet oppfordra kommunen til å greie ut saka nærmare og få meir detaljerte opplysningar frå Google før dei inngår ei databehandlaravtale med selskapet. Kommunen har på nytt vore i dialog med Google. Dei kan no mellom anna vise til ei avtale med Google om jamlege revisjonar av tryggingssystema knytte til tenesta, som ein uavhengig tredjepart utfører. Kommunen gjer deretter risikovurderingar ut frå desse revisjonane. Etter å ha gjennomgått den siste utgreiinga frå kommunen godkjende Datatilsynet i september 2012 avtala med Google om å bruke Google Apps.
Det kan tenkjast at mange behandlingsansvarlege, særleg små og mellomstore verksemder, vil få betre trygging av personopplysningar når dei bruker nettskytenester. Dei store leverandørane av nettskytenester har langt betre sikra tenarparkar, høgare IT-kompetanse og betre rutinar for sikring av personopplysningar enn dei behandlingsansvarlege sjølve er i stand til å oppnå. Utfordringa er å finne løysingar på dei informasjonsbarrierane som hindrar tenesteleverandørane i å dokumentere tryggleiksnivået overfor kunden. Ei løysing med jamleg revisjon av ein uavhengig tredjepart, slik Google og Narvik kommune har avtala, kan vere ei mogleg løysing på dette problemet. Det føreset at revisjonen tek føre seg alle dei nødvendige aspekta.
Kontrollane Datatilsynet gjer av verksemder som bruker nettskytenester, har avdekt manglande oversikt hos verksemdene over kva problem dei må ta stilling til, og korleis dei skal gå fram for å sikre personvernet på best mogleg måte. Det må stillast klåre krav til kva risikovurderingar dei behandlingsansvarlege skal gjere, og kva tryggleiksnivå dei ulike aktørane bør liggje på. Gjennomsiktige prosedyrar er nødvendig for at den behandlingsansvarlege skal kunne forvisse seg om at all aktivitet skjer innanfor rammene av norsk personvernlovgiving. Det er her viktig å samarbeide med nettskyleverandørane for å kome fram til løysingar som begge partar kan seie seg fornøgde med, og som på best mogleg vis sikrar personvernet til dei registrerte. Det er òg viktig at norske behandlingsansvarlege både i offentlege og private verksemder blir sette i stand til å gjere gode og rette vurderingar av risiko og personvern når dei inngår slike avtaler.
EU-kommisjonen er òg oppteken av å møte utfordringane og nytte det potensialet som ligg i nettskya. Kommisjonen kom med ein kommunikasjon i september 2012 der dei skisserer tre hovudmål for nettsky i EU5. For det første ønskjer dei å finne fram til ein felles standard for nettsky. For det andre ser dei det som nødvendig å utvikle sikre og balanserte kontraktsvilkår for nettsky. Endeleg har dei sett seg som mål å etablere eit felles europeisk partnarskap i offentleg sektor som skal sikre innovasjon og vekst i utviklinga av nettskyteknologi.
Noreg vil følgje med på EU si politikkutvikling på dette området. Ein arbeider òg med dette på nordisk nivå, i regi av Nordisk ministerråd sitt sekretariat. Noreg deltek i dette arbeidet. Regjeringa ser at skytenester kan bidra til rimelege og fleksible løysingar, både for næringslivet og offentlege verksemder. Regjeringa ønskjer derfor å leggje til rette for sikker og forutsigbar bruk av slike tenester innanfor rammene av det norske regelverket, blant anna ved å utarbeide rettleiingar.
9.1.3 Biometri
Biometrisk teknologi er ei nemning på teknologiar som identifiserer eller stadfestar identiteten til enkeltindivid ved å analysere dei fysiske eigenskapane og åtferda deira. Eksempel på dette kan vere analysar av fingeravtrykk, andletsgeometri, iris, stemme, gangart eller handskrift/tastetrykk.
Bruken av biometrisk teknologi har auka mykje dei siste ti åra, mykje på grunn av den betra tryggleiken som teknologien gir rundt identiteten og autentisiteten til personar. Særleg i samband med tilgangskontroll er det fordelar knytte til bruken av teknologi for måling av biologiske mønster. Bruken av biometri gjer at ein mykje sikrare kan identifisere eller autentisere ein person enn for eksempel ved bruk av passordløysingar, som ikkje er uløyseleg knytte til personar.
Biometri kan seiast å vere meir robust enn andre metodar, ettersom dei fysiske eigenskapane og åtferda til ein person til ein viss grad er konstante. Biometri er òg individualiserande, ettersom dei biometriske eigenskapane stort sett berre kan knytast til éin person. Ein kan hevde at biometri òg er meir tilgjengeleg enn andre metodar. Alle har sine biometriske eigenskapar, og dei er òg som regel lette å vise fram. Enkelte biometrimetodar er det lettare for folk å godta enn andre. For eksempel kan det hende at folk synest at det å få andletet avlese ikkje er eit like stort inngrep i integriteten som det å få avlese fingeravtrykk6. På den andre sida kan enkelte biometrimetodar opplevast som eit særleg stort inngrep i integriteten, for eksempel bruken av åtferdsbasert biometri, til dømes ganglagsbiometri.
I dag blir biometri først og fremst brukt til ulike typar tilgangskontroll. System for passkontroll bruker i aukande grad biometri for å kunne slå fast at det er rett person som viser fram eit bestemt pass. Biometriske eigenskapar (hovudsakleg fingeravtrykk) blir registrerte på ein enkelt identitet og knytte til passet til vedkomande. På denne måten sikrar ein at ikkje fleire individ reiser på same pass, og at ikkje ein person kan bruke ulike pass ved ulike reiser. Bruken av biometri i pass gjer òg at det er vanskelegare å forfalske pass utan at det blir oppdaga. Biometri blir brukt i automatiske grensekontrollar (e-gates) og er både sikrare og meir effektivt enn dagens manuelle grensekontroll. Biometri kan òg brukast til andre typar tilgangskontroll, for eksempel til å gi fysisk tilgang til avgrensa område eller tilgang til å kjøpe varer med aldersgrense i butikk 7.
Mange biometrimetodar er enno ikkje i bruk i særleg stor grad, men er under utvikling og på god veg til å bli testa for kommersiell bruk. Ein av desse metodane er den såkalla «face in the crowd»-teknologien. Metoden går ut på at ein installerer videokamera på avgrensa område som skal filme dei som til kvar tid oppheld seg der. Kameraa er knytte til program som analyserer andlet og mellomlagrar malar av dei. Dei mellomlagra andleta blir deretter samanlikna mot ein database av allereie registrerte (og identifiserte) andlet for å finne ut om nokon av dei nye andleta tilhøyrer personar som av ulike grunnar er registrerte i systemet til databehandlaren. Eit mogleg bruksområde for denne teknologien er flyplassar. Her kan metoden for eksempel brukast til å registrere om kriminelle personar eller personar utan autorisert tilgang oppheld seg på dei overvaka områda. «Face in the crowd»-teknologi har mellom anna vore testa ut ved flyplassen Keflavik på Island og under amerikanske Superbowl tidleg på 2000-talet.
Ei anna form for biometri som ein har prøvd å ta i bruk mellom anna i Storbritannia, er ganglagsbiometri. Ved å studere ein video av ein bestemt person, for eksempel frå overvakingskamera, og ta mål av silhuetten og rørslene til vedkomande kan personen bli attkjend frå eitt kamera til eit anna. Desse måla for attkjenning (silhuett og rørsler) kan lagrast i eit register som ein mal for ein bestemt, ikkje-identifisert person. Ein mann vart i 2008 dømd til to års fengsel i Bolton Crown Court i Storbritannia for eit innbrot han hadde gjort seg skuldig i. Ganglagsbiometri vart brukt som bevis i saka. Ein fotspesialist kjende att ganglaget til mannen frå ulike overvakingskamera, og DNA-et samsvara med det som vart funne på åstaden. Ganglagsbiometri kan brukast i etterforskinga av kriminelle handlingar ved at ein analyserer og samanliknar ulike videoopptak frå overvakingskamera for å finne fram til personar som har vore på eller nær åstaden.
Sjølv om det er mange fordelar knytte til bruken av biometri, skaper metoden òg ei viss uro med tanke på personvern og tryggleik. Det er til ein viss grad mogleg å reprodusere eller imitere biometriske data, for eksempel fingeravtrykk. Dette kan føre til forfalsking av biometriske trekk. Det er òg ein viss fare for at biometriske malar som blir lagra i eit register, kan førast tilbake til dei opphavlege biometriske dataa. Dette kan gjerast ved å rekonstruere det biometriske trekket (for eksempel eit fingeravtrykk) som vart brukt til å lage malen. Dette går under namnet «biometri-spoofing». Når ein bruker biometriske eigenskapar til identifisering og autentisering, blir desse eigenskapane omsette til tal i ein database gjennom fleire ledd. Her er det viktig at biometrien blir godt sikra med PKI-baserte sertifikat8.
Ytre faktorar kan medverke til å redusere kvaliteten på dei biometriske dataa eller samanhengen mellom data og person. Dei fysiske omgivnadene (varme, fukt og liknande) kan ha mykje å seie for kor gode data ein får på registreringstidspunktet. Det er derfor ein viss feilmargin knytt til bruk av biometri. Det kan oppstå situasjonar der ein biometrisk eigenskap, for eksempel eit fingeravtrykk, feilaktig blir knytt til identiteten til ein annan person av di den opphavlege registreringa var av låg kvalitet. Feil kan òg skje dersom den automatiske samanlikninga av eigenskapen som blir presentert, og den som er registrert, ikkje er god nok.
Bruk av biometri fører òg med seg andre personvernrisikoar enn faren for feil i systemet eller registreringsprosessen. Visse typar biometri, for eksempel «face in the crowd»-teknologien, fungerer under den føresetnaden at dei som blir skanna inn for å bli kryss-sjekka mot registeret, ikkje veit om det. Bruk av teknologien baserer seg ikkje på samtykke, og dette kan vere problematisk i den perioden alle dei skanna andleta er lagra for å bli samanlikna med registrerte andlet. Det kan òg tenkjast at visse typar biometriske data kan avsløre sensitiv informasjon, til dømes om helsetilstand. Eit fingeravtrykk kan for eksempel brukast av rettsmedisinarar til å lage ein DNA-profil. Det er derimot ikkje ofte det lèt seg gjere å utleie medisinske diagnosar på denne måten.
Bruken av biometri er i dag regulert av personopplysningslova § 12. Bruk av «entydige identifikasjonsmidler» er berre tillate dersom det er sakleg behov for sikker identifisering, og dersom metoden er nødvendig for å oppnå slik identifisering. Det blir i praksis stilt strenge krav til kriteriet om at bruken er nødvendig, og dersom andre metodar kan brukast til å oppnå det same, er det ikkje tillate å bruke biometri.
I stadig fleire av dei biometriske systema som blir nytta i dag, er det lagra malar av biometriske eigenskapar framfor detaljerte avtrykk, for eksempel fingeravtrykksmalar eller andletsmalar baserte på punkt. Personvernnemnda har i fleire vedtak konkludert med at malar av fingeravtrykk ikkje kan definerast som personopplysningar med mindre dei blir knytte til annan identifiserande informasjon, som namn, fødselsnummer eller andre personopplysningar. Malane kan ifølgje nemnda ikkje i seg sjølve reknast som «entydige identifikasjonsmidler». På bakgrunn av dette har dei mellom anna godteke bruken av fingeravtrykksmalar som er knytte til treningskort til bruk på døgnopne, ubemanna treningssenter9. Dei har òg godteke ei løysing for autentisering av myndige personar ved hjelp av fingeravtrykksmalar som er knytte til fødselsdato, til bruk i ein ubemanna daglegvarebutikk10. Det ser ut til at skiljelinene mellom identifisering og autentisering, som bruken av biometriske malar ofte inneber, må avklårast nærmare.
Det har vore ein gradvis auke i bruken av biometri både hos offentlege og private aktørar og både til autentisering og identifisering. Regjeringa ser at det er klåre fordelar ved utvida bruk av biometri på nye område og er positiv til utviklinga av denne typen teknologi. Det er likevel nødvendig å ha ei bevisst haldning til kva føremål som skal kunne gi grunnlag for å ta i bruk biometri. Det er uheldig å bruke biometri til å identifisere eller autentisere enkeltpersonar i situasjonar der det ikkje er absolutt nødvendig. Bruken av biometriteknologi til reint kommersielle føremål er problematisk dersom det ikkje blir stilt strenge krav til frivillig medverknad og samtykke frå dei registrerte.
9.2 Verkemiddel for å oppnå eit best mogleg personvern
Den teknologiske innovasjonstakta står ofte i motsetning til dei tidkrevjande demokratiske reguleringsprosessane. Det er derfor viktig å vurdere andre og meir dynamiske verkemiddel som kan sikre samspelet mellom personvern og teknologisk innovasjon i tillegg til tradisjonell regulering. Bruk av IKT kan utfordre personvernet. Samstundes kan riktig bruk av IKT gi godt grunnlag for å ta vare på personvernet. Nedanfor blir det gjort greie for enkelte forslag til metodar og verkemiddel som kan nyttast for å sikre personvernet når IKT blir teke i bruk.
9.2.1 Teknologinøytral lovgiving
For å sikre at det kontinuerleg blir utvikla ny og innovativ teknologi, er det viktig at ein ikkje har for store lovhinder for arbeidet til forskarar og utviklarar. Lovgiving som stiller strengare krav til visse typar teknologiar enn til andre, kan vere eit slikt hinder. Teknologinøytralitet tilseier derfor at lovgivinga til kvar tid skal vere nøytral med omsyn til teknologi og utvikling. Dersom ein har ei teknologinøytral lovgiving, sikrar ein at det i regelverket ikkje blir diskriminert mot enkelte typar teknologiar, eller at ikkje enkelte teknologiar får fordelar framfor andre.
Målet om ei teknologinøytral lovgiving følgjer ikkje direkte av lovgivinga, men kan utleiast av Grunnlova § 100 sjette leddet, som pålegg styremaktene å leggje forholda til rette for ei open og opplyst offentleg samtale. Denne føresegna blir gjerne omtala som infrastrukturkravet. God infrastruktur inneber at ein innstiller seg på teknologisk utvikling. Dersom ein i størst mogleg grad bruker teknologinøytrale omgrep i lovgivinga, unngår ein at det oppstår situasjonar der teknologiar som i prinsippet har dei same funksjonane og personvernkonsekvensane, er ulike for lova.
9.2.2 Innebygd personvern
Tanken om innebygd personvern («privacy by design») inneber at omsynet til personvernet skal vere ein del av alle ledd i utviklinga og bruken av informasjonsteknologi. Innebygd personvern tyder ikkje berre at personvern er ein del av arkitekturen til kvar enkelt teknologi. Det tyder òg – på eit overordna plan – at personvern er ein naturleg del av alle systema innbyggjarane møter i kvardagen.
Internasjonalt har innebygd personvern vore eit mål i ei årrekkje. Norske aktørar har fram til no i liten grad engasjert seg i dei prinsippa og det vinstpotensialet som ei slik proaktiv sikring av personvernet kan gi. Men i ein digital tidsalder er ikkje lovgiving og regulering tilstrekkeleg for å kunne sikre personvernet. Privatpersonar og kommersielle aktørar må arbeide for å integrere personvern i det daglege arbeidet. Ein bør derfor ha eit prinsipielt mål om innebygd personvern i alle sektorar, og offentlege styremakter bør vere blant dei fremste pådrivarane for å realisere dette prinsippet.
Situasjonar der innebygd personvern med fordel kan takast i bruk, er når ein skal utvikle nye register. Personvern bør spele ei viktig rolle allereie på planleggings- og lovgivingsstadiet. Deretter bør det følgjast opp på utviklingsstadiet og i bruken av registera.
Særleg om ordninga med e-resept
Eit godt eksempel på innebygd personvern er innføringa av ei ordning med elektroniske reseptar (e-resept) i Noreg. Ordninga inneber at pasientar ikkje lenger får resepten utskriven på papir. Legen sender resepten elektronisk til ein sentral database, Reseptformidlaren. Herifrå kan apoteket eller bandasjisten opne resepten og ekspedere han når pasienten kjem for å få utlevert det legen har skrive ut.
Elektroniske reseptar er regulerte av ei eiga forskrift med heimel i helseregisterlova, reseptformidlarforskrifta. Reseptformidlaren er eit ikkje-historisk helseregister der reseptar blir lagra mellombels fram til dei er ferdig ekspederte, trekte tilbake av legen eller utgått på dato. Forskrifta regulerer i detalj kva Reseptformidlaren kan innehalde av opplysningar. E-reseptar er elektronisk signerte av legen, og det blir kontrollert om dei er ekte. Ein kan derfor vere svært trygg på at det ikkje dukkar opp falske reseptar. Vidare står det i forskrifta kven som skal kunne få tilgang til opplysningane, og på kva vilkår. Reseptformidlaren er ikkje eit samtykkebasert helseregister etter helseregisterlova, men tilgang til opplysningane i registeret er basert på samtykke frå pasienten. Ein resept i Reseptformidlaren er berre tilgjengeleg for den som behandlar resepten. All aktivitet i Reseptformidlaren blir logga. Systemet registrerer kven som opnar resepten, og kva som blir gjort med han. Dersom det blir gjort oppslag i Reseptformidlaren som ikkje fører til at det blir utlevert legemiddel, blir dette logga på ein særskild måte, ettersom det kan tyde på ureglementert tilgang.
Dersom ein pasient ønskjer å verne opplysningane sine ekstra godt, kan vedkomande velje ein låst resept. Ein låst resept kan berre søkjast opp med referansenummeret til resepten. Pasienten kan be om å få låst resept hos legen og får då skrive ut referansenummeret. Nummeret må visast fram på apoteket eller hos bandasjisten for å få ekspedert resepten. Ein låst resept er teknisk sperra for opning frå andre enn den som kjenner referansenummeret.
For å styrkje personvernet ytterlegare har forskrifta reglar om at opplysningar ikkje kan leverast ut til arbeidsgivar, til påtalemakt/domstol eller til forskingsføremål, sjølv om den registrerte samtykkjer i det. Fleire av helseregistera som er heimla i helseregisterlova, har eit slikt forbod mot gjenbruk.
Personvern er ein del av arkitekturen i løysinga, mellom anna på den måten at e-resept-funksjonaliteten er integrert i fagsystema til legar og apotek. Reseptformidlaren, reseptutskrivarane, apoteka og bandasjistane er òg knytte til Norsk helsenett. Dei er forplikta til å følgje Norm for informasjonssikkerhet i helse-, omsorgs- og sosialsektoren (Norma).
Innebygd personvern som mål
Prinsippet om innebygd personvern er samansett. Når ein utviklar IKT-system og annan informasjonsteknologi, bør ein for det første sørgje for å velje tekniske løysingar som gir best mogleg informasjonstryggleik og vern av personopplysningar. Oppdragsgivarar må innarbeide personvern som ein grunnleggjande verdi i verksemda, og utviklarar må vere bevisste på å gjere spørsmål om personvern til ein integrert del av utviklinga og utforminga av produkta og systema sine. I tanken om innebygd personvern ligg det òg at ein skal ta utgangspunkt i å bevare eit best mogleg personvern når ein skal halde ved like og oppdatere IKT-system og informasjonsteknologi. Dei automatiske førehandsinnstillingane i IKT-system og informasjonsteknologi bør ta utgangspunkt i den mest personvernvenlege løysinga, slik at brukaren sjølv kan avgjere om han eller ho ønskjer å ta i bruk ei mindre personvernvenleg løysing der det er mogleg. På denne måten er brukaren sikra eit best mogleg personvern sjølv om han eller ho ikkje gjer nokon endringar i førehandsdefinerte brukarinnstillingar.
Bruk av teknologi bør skje på ein måte som fremjar personvernet. Ved å stille krav til informasjon om teknologien som blir brukt, til behandlinga av personopplysningar og til kven som har tilgang til opplysningane, og dessutan ved å gi klåre reglar om føremålet kan ein sørgje for at brukaren nyttar teknologien på ein medviten måte for å sikre sitt eige personvern. Kunnskap og medvit er ein spesielt viktig del av prosessen med å byggje personvernet inn i alle dei systema innbyggjarane møter i kvardagen. Ein føresetnad for at teknologien blir brukt bevisst, er at brukaren faktisk forstår problematikken rundt personvern. Større kunnskap blant folk om personvern og konsekvensane av dårleg personvern er med andre ord ein føresetnad for innebygd personvern. Ein del av prosessen med å oppnå innebygd personvern handlar derfor om informasjon og om at informasjonen må vere klår. Informasjonskampanjar er berre éin måte å opplyse brukarane om problemstillingar knytte til personvern på. Ein annan og kanskje viktigare måte er å nytte informasjonen brukarane får når dei nyttar IKT-system, nemleg den som finst i personvernpolicyar, såkalla «Terms of Service»- og «Terms of Use»-avtaler, og elles på nettsidene til ulike aktørar. Brukarvenlege opplegg må vere eit mål for alle aktørar, og samarbeid om brukarvenlege standardar kan vere ein måte å sikre at folket får meir kunnskap om personvern på.
Ei innvending mot innebygd personvern kan vere at for sterkt personvernfokus blant teknologar og utviklarar kan verke hemmande på innovasjon og teknologisk nyskaping. Det kan dermed òg gå ut over konkurransedugleiken til teknologien. Eit langsiktig mål må vere å utvikle standardar og bransjenormer som skal gjelde for teknologiutviklarar uavhengig av kor store aktørane er, og på tvers av landegrensene. Dette krev internasjonalt samarbeid. Det er god grunn til å tru at det er lettare for aktørane å etterleve personvernkrav som blir stilte gjennom bransjenormer og standardar. Sertifiseringsordningar, der styremaktene ope går god for at ein aktør praktiserer ein tilfredsstillande grad av personvern i aktivitetane sine, kan òg gi desse aktørane insentiv til i større grad å byggje personvern inn i heile praksisen.
9.2.3 Personvernfremjande teknologi
Personvernfremjande teknologiar («privacy-enhancing technologies» eller PETs) er tekniske løysingar og teknologiar som er utvikla med det konkrete føremålet å verne om personopplysningane til brukarane. Dataminimalitet er slik sett hovudføremålet med desse teknologiane. Anonymiseringsverktøy og verktøy for å slette historikk i nettlesarar er eksempel på personvernfremjande teknologiar. PETs skil seg frå innebygd personvern på den måten at dei blir implementerte i teknologiar, system og praksisar som allereie eksisterer. Dersom ein får på plass innebygd personvern i alle teknologiar og praksisar, har ein ikkje behov for eigne PETs. Mykje talar derimot for at ein i framtida kjem til å trenge begge løysingane.
Tradisjonelt har ein sett på PETs som tekniske og organisatoriske tiltak for å kontrollere moglege måtar å identifisere brukaren på. Eit eksempel på bruk av personvernfremjande teknologi i offentlege verksemder er implementeringa av ein immuniseringsfunksjon for søkjemotoren i Offentleg elektronisk postjournal (OEP). Denne funksjonen «immuniserer» personopplysningar, slik at søkjemotoren ikkje får treff på namnesøk i dokument som har vore lagra i meir enn tolv månader. Slik søkjemotorimmunisering vart tilrådd av Personvernkommisjonen i 2009, og det kan vere aktuelt å implementere det i andre søkjemotorar òg.
Ein annan og særleg aktuell type personvernfremjande teknologi er «do not track»-teknologien. «Do not track» er ein nettstandard som gjer at brukaren kan gi uttrykk for at han eller ho ikkje ønskjer at nettsidene han eller ho besøkjer, skal sporast på tvers av nettstader. Standarden blir brukt i nettlesarar og inneber at det blir lagt til ein beskjed i adressefeltet i nettlesaren – «do not track» – som fortel nettsida at brukaren ikkje ønskjer å bli spora av tredjepartar. World Wide Web Consortium (W3C) har oppretta ei «do not track»-arbeidsgruppe for å få standardisert denne teknologien. Fleire av dei største internett-aktørane i verda er representerte i gruppa. Ho arbeider med ein felles standard for «do not track» som alle aktørar som sporar brukarar på nett, bør nytte. Dei ønskjer òg å utarbeide standardmekanismar som dei ulike nettaktørane kan bruke for å fortelje brukarane at dei faktisk respekterer ønsket deira om ikkje å bli spora. Gruppa har som mål å lage ei tilråding til ein «do not track»-standard innan utgangen av april 2013. Svært mange av dei store internasjonale aktørane, mellom andre Microsoft, Apple og IBM, deltek i arbeidet, i tillegg til forskarar og representantar frå ulike interessegrupper for personvern. Arbeidet til gruppa har fått positiv respons frå EU-hald. EU-kommisjonen ønskjer meir fokus på «do not track»-teknologi, og stør initiativa til å utarbeide ein standard for «do not track»11. Dersom den endelege tilrådinga frå gruppa er tilfredsstillande, vil regjeringa leggje til rette for at «do not track»-standarden blir implementert og etterlevd på nettstadene til norske offentlege og private verksemder.
9.2.4 Bruk av standardar/bransjenormer
Det er spesielt viktig å utarbeide standardar og bransjenormer som tek omsyn til personvernet. Det kan vere lite føremålstenleg at styremaktene detaljstyrer praktiseringa av personverntiltak på område der det finst bransjeorganisasjonar som er betre rusta til å vurdere kva behov og problemstillingar som særmerkjer bransjen. Utarbeiding av personvernvenlege standardar og bransjenormer kan vere ein raskare og meir effektiv måte å implementere personvern på enn at styremaktene regulerer det. Det er allereie fleire gode eksempel på bransjenormer og standardar som er utarbeidde med tanke på å betre personvernet i bestemte sektorar.
Bransjenorm for personvern og informasjonstryggleik i elektronisk billettering
Eit mål i kollektivtrafikken er å sørgje for at kundane kan bruke eitt og same reisekort uavhengig av reisestrekning og transportselskap. Reiser med elektroniske billettar som er identifiserande, og spesielt billettar som kan brukast på tvers av transportselskapa, gir ei rekkje utfordringar med omsyn til personvern. Kollektivtransportbransjen tok derfor sjølv initiativ til å utvikle ei bransjenorm for elektronisk billettering, som forpliktar aktørane til å sikre personvernet til alle som bruker elektroniske billettar. Bransjenorma for elektronisk billettering i kollektivtransporten vart innført ved årsskiftet 2011/2012. Ho skal medverke til at alle kundar som bruker elektronisk billett, kan reise anonymt med båt, buss, bane og tog dersom dei føretrekkjer det. Trafikantar som reiser anonymt skal få tilgang til dei same fordelane og den same servicen som trafikantar som vel å inngå personlege avtaler med transportselskapet. Det er viktig at det ikkje skal hefte ulemper ved det å velje anonyme løysingar framfor løysingar som inneber at passasjeren kan sporast. Bransjenorma legg til rette for at utviklinga av betalingsløysingar skal skje på ein personvernvenleg måte.
Norm for informasjonstryggleik i helse- og omsorgssektoren
Bransjenorma for informasjonstryggleik i helse- og omsorgssektoren vart utarbeidd i juni 2010 av representantar for helsesektoren og er bindande for alle private og offentlege verksemder som er knytte til Norsk helsenett.
Føremålet med norma er å få tilfredsstillande informasjonstryggleik i sektoren. Ho er òg meint å skulle vere eit hjelpemiddel til kvar enkelt verksemd i arbeidet med informasjonstryggleik. I norma blir det stilt krav som detaljerer og supplerer det gjeldande regelverket. Dersom desse krava blir oppfylte, oppfattar sektoren det slik at krava om tilfredsstillande informasjonstryggleik i det gjeldande regelverket òg er oppfylte. Norma og krava som norma omfattar, blir juridisk bindande ved avtale, i den grad innhaldet ikkje allereie går fram av lov eller forskrift.
Norma er først og fremst basert på kravet i personvern- og helselovgivinga om at ein må etablere tilfredsstillande informasjonstryggleik for system som inneheld helse- og personopplysningar, jf. personopplysningslova § 13, helseregisterlova § 16 og personopplysningsforskrifta kapittel 2. Norma dekkjer alle verksemdene i helse- og omsorgssektoren i tillegg til arbeids- og velferdsetaten. Men ho kan òg ha stor overføringsverdi som mal for andre sektorar. Totalt gjeld norma for frå 20 000 til 27 000 verksemder, alt frå store Oslo universitetssjukehus HF og Nav-kontor til små legekontor, tannlegeklinikkar, fysioterapiklinikkar og apotek.
Norma inneber ei konkretisering av dei generelle personvernreglane som gjeld for helse- og omsorgssektoren etter personopplysningslova, personopplysningsforskrifta og helseregisterlova. Mellom anna inneber norma at det blir stilt konkrete krav til kva ei risikovurdering etter personopplysningsforskrifta § 2-4 skal innehalde, og kva reglar som skal gjelde for autorisering, tilgangsstyring og autentisering. Det er allereie gjennomført omfattande opplæringstiltak i samband med norma, og det blir no førebudd kurs og instruktørutdanning for stadig fleire delsektorar.
9.3 Informasjonstryggleik og personvern
Informasjonstryggleik er eit viktig verkemiddel for å sikre godt personvern. God informasjonstryggleik er òg ein føresetnad for at digitale tenester blir tekne i bruk. Tilfredsstillande rammer rundt det å samle inn og behandle personopplysningar gir nødvendig tillit og gjer behandlinga pårekneleg for alle partar.
Eit overordna bilete av dagens situasjon når det gjeld informasjonstryggleik i Noreg, er gitt i stortingsmeldinga om samfunnstryggleik12. I kapittel 9 om IKT-tryggleik skisserer regjeringa ei rekkje utfordringar og trendar som kan påverke informasjonstryggleiken. For å møte desse utfordringane blir fleire overordna tiltak for å styrkje informasjonstryggleiken i samfunnet lanserte.
For å møte tryggleiksutfordringane på IKT-området har regjeringa laga ein nasjonal strategi for informasjonstryggleik. Strategien peiker på kva retningsval og kva prioriteringar som skal liggje til grunn for arbeidet styremaktene skal gjere for å få betre informasjonstryggleik i åra som kjem. I samband med gjennomføringa av strategien kan fylkeskommunar, kommunar og verksemder i privat sektor involverast i konkrete tiltak.
Regjeringa har i budsjettproposisjonen for 2013 føreslått å løyve ekstra midlar til Direktoratet for forvaltning og IKT (Difi) slik at direktoratet kan etablere eit kompetansemiljø som skal arbeide med å betre informasjonstryggleiken i statsforvaltninga.
Sjølv om styremaktene har eit overordna ansvar for å sikre informasjonstryggleik i sektorane sine, har lovgivaren føresett at den behandlingsansvarlege set i verk tilstrekkelege tiltak for å hindre at data kjem på avvegar. Verksemdene må gjere ei risikovurdering ut frå sin eigen situasjon: Kva trugsmål er verksemda utsett for, kor sårbar er verksemda overfor desse trugsmåla, og kva konsekvensar vil eit eventuelt tryggleiksbrot få? Risikovurderinga fører ofte til at ein oppdagar eit behov for å heve tryggleiksnivået.
9.3.1 Konfidensialitet, integritet og tilgang
Informasjonstryggleik etter personopplysningslova § 13 handlar om å verne personopplysningar tilstrekkeleg med omsyn til fortrulegskap, integritet og tilgang. Dette inneber i praksis å sikre desse tre likeverdige føremåla:
vern mot uautorisert innsyn i personopplysningane (konfidensialitet)
vern mot uautorisert endring av personopplysningane (integritet)
tilgang til relevant informasjon til rett tid
Det må setjast i verk tiltak for å oppnå dette. Ein kan for eksempel verne om konfidensialiteten ved å styre tilgangen til personopplysningane på ein effektiv måte, gjennomføre fysiske tryggingstiltak, opprette brannmurar og liknande. Tilsvarande kan ein sikre tilgangen ved å bruke avbrotsfri straumforsyning, alternativ tilgang til nettverk og liknande.
Mangel på god informasjonstryggleik i ei verksemd kan føre til at tilliten hos den registrerte og samarbeidande verksemder blir redusert. For private verksemder kan dette innebere at kundeforholdet eller samarbeidet blir avslutta, medan det for offentlege verksemder kan føre til at innbyggjaren blir mindre villig til å dele personopplysningar med verksemda. For begge typane verksemder kan uansvarleg handtering av personopplysningar føre til erstatningsansvar og tap av omdøme.
9.3.2 Verkemiddel for å oppnå informasjonstryggleik
Kontrolltiltak
Kontrolltiltak som kan takast i bruk for å styrkje informasjonstryggleiken, er for eksempel å vedta lover og forskrifter eller utarbeide bransjeavtaler og -normer. I dag har ein fleire eksempel på slike reglar, mellom anna i personopplysningslova, ekomlova, esignaturlova, eforvaltnings- og IKT-forskriftene og tryggingslova. Her finn ein mellom anna reglar for kva plikter verksemder har til å setje i verk sikringstiltak.
Ei anna form for kontrolltiltak er dei av økonomisk art. Om ein innfører økonomiske fordelar for aktørar som gjennomfører sikringstiltak, vil verksemder ha ei økonomisk interesse av å vere opptekne av informasjonstryggleik. Insentivordningar, skattelettar eller at verksemdene ikkje blir bøtelagde, er alle eksempel på slike økonomiske verkemiddel.
Dei organisatoriske tiltaka er òg ein viktig type kontrolltiltak. Verksemder bør med jamne mellomrom risikovurdere eigne informasjonssystem og ordningar for å avdekkje sårbare punkt og eventuelt setje i gang sikringstiltak. Ein annan måte å sikre informasjon gjennom organisatoriske tiltak på, er å styre tilgangen til informasjon eller gradere informasjon og kommunikasjonsnivå. Dette blir drøfta nærmare i kapittel 9.5.
Informasjonstiltak og haldningsskapande arbeid
Informasjonstiltak er òg eit viktig verkemiddel for å oppnå god informasjonstryggleik. Mange verksemder manglar som nemnt kompetanse på området, særleg mindre verksemder som ikkje har IKT som hovudarbeidsområde, men som likevel behandlar informasjon elektronisk og dermed har plikt til å sikre informasjonen mot misbruk. Det er viktig at denne typen verksemder har tilgang til god informasjon og eit hjelpeapparat når dei har spørsmål om informasjonstryggleik. Det er for eksempel ikkje enkelt å setje seg inn i alle moment som bør vere med i ei risikovurdering. Derfor bør verksemder som treng informasjon om og hjelp til å gjennomføre slike vurderingar, ha tilgang til det. Datatilsynet, Nasjonalt tryggingsorgan, NorSIS og Difi gjer alle eit viktig arbeid med å utarbeide rettleiingar og informasjonsskriv til verksemder som treng hjelp til å praktisere god informasjonstryggleik. Regjeringa er svært positiv til informasjonsarbeidet desse aktørane utfører, og meiner dette arbeidet bør halde fram.
I tillegg til at verksemder som behandlar personopplysningar, har tilgang til generell informasjon om informasjonstryggleik, er det viktig at både verksemder og enkeltpersonar faktisk set pris på god informasjonstryggleik. Dette er eit haldningsspørsmål. Ei fornuftig haldning til informasjonstryggleik krev at ein har god kunnskap både om tilgjengelege tiltak og motiva for dei ulike tiltaka. Det er derfor viktig at det blir drive godt haldningsskapande arbeid, og at ein skaper ein god kultur for informasjonstryggleik hos norske aktørar.
Teknologiske tiltak
Det er dei teknologiske sikringstiltaka som er absolutt viktigast i arbeidet med å oppnå informasjonstryggleik.
Det er lettare å oppretthalde god informasjonstryggleik i dei enkle informasjonssystema enn i dei kompliserte. Dess meir informasjon som er samla, og dess fleire delar i eit informasjonssystem som er avhengige av kvarandre, dess enklare er det å finne ein veg inn i (og ut av) systemet. Ein måte å løyse dette problemet på er å dele systemet inn i nokre få pålitelege komponentar og fleire potensielt upålitelege komponentar. Mesteparten av informasjonen blir lagra i dei mindre pålitelege komponentane, medan den viktigaste og mest sensitive informasjonen blir lagra i dei pålitelege komponentane. Denne organiseringa går under namnet Trusted Computing Base (TCB). Sjølv om det er vanskeleg i større informasjonssystem å til kvar tid ha få pålitelege komponentar, er dette likevel noko ein bør ha som mål.
Vidare er det viktig for å halde ved lag god informasjonstryggleik at det blir brukt programvare som sikrar at uvedkomande ikkje får tilgang til systemet. Denne typen programvare kan for eksempel vere brannmurar, tryggingsfilter og applikasjonar eller antivirusprogram. Alle informasjonssystem bør ha slike sikringstiltak.
Løysingar for avbrotsfri straumforsyning kan bidra til å sikre tilgangen til eit system. Slike løysingar kan for eksempel vere batteri eller andre elektriske apparat som forsyner system med straum når straumbrot oppstår. Ei anna løysing som kan sikre tilgangen til eit system, er bruk av alternative nettverk, slik at ein kan logge seg på også i situasjonar der hovudnettverket er nede eller har vore utsett for hacking. Det er viktig at ein nyttar denne typen tiltak i større informasjonssystem.
Kryptering av viktig informasjon og kommunikasjon er ein tryggleiksføresetnad for større, meir kompliserte og dermed òg meir sårbare informasjonssystem. Ved å kryptere kommunikasjonen kan ein sende informasjon over infrastrukturar sjølv om dei er usikra, fordi informasjonen blir gjord utilgjengeleg for uvedkomande. Dei to alternative metodane for kryptering er kanalkryptering og innhaldskryptering. Kanalkryptering går ut på å kryptere kommunikasjonslina mellom avsendar og mottakar, slik at uvedkomande for eksempel ikkje kan avlytte kommunikasjon over nettverket. Innhaldskryptering består i å kryptere innhaldet i kommunikasjonen, for eksempel ved å kryptere innhaldet i ein e-post, slik at berre ein mottakar som har nøkkelen til å dekryptere informasjonen, får lese han. Innhaldskryptering er ikkje avhengig av at kommunikasjonen skjer over sikra nettverk. Dette inneber for eksempel at ein kan sende ein sensitiv arbeidsrelatert e-post frå ein internett-kafé utan å risikere tryggleiksbrot. Det gir betre personvern og tryggleik å bruke innhaldskryptering framfor kanalkryptering. Dette er derimot meir kostbart og tidkrevjande, ettersom det trengst ein ekstra operasjon både hos avsendaren og hos mottakaren når ein e-post skal krypterast og dekrypterast.
System for identitetsforvalting, tilgangskontroll og logging er blant dei viktigaste teknologiske verkemidla for informasjonstryggleik. Identitetsforvalting inneber å handtere opplysningar om kven nokon er, og kva rolle denne personen har. Tilgangskontroll er ein måte å sikre informasjonssystem på, for eksempel gjennom passordløysingar og liknande løysingar for autentisering og differensiering av tilgangsnivå og brukarroller. Tilgangskontroll sikrar også at rett person har tilgang til relevant informasjon til rett tid. Logging er eit tryggingstiltak som inneber å etterkontrollere informasjonssystem. Det er viktig å skilje mellom nettverksbasert logging og innsynslogging. Den nettverksbaserte logginga inneber at dataflyten inn i og ut av nettverket blir logga. Dette kan medverke til at datainnbrot og virus blir oppdaga, og at mistenkjelege typar datatrafikk kan oppdagast og undersøkjast nærmare.
Innsynslogginga (som på fagspråket blir kalla klientbasert logging) er den som skjer internt i eit system. Innsynslogging omfattar mange ulike typar loggar. Typiske innsynsloggar er dei «som dokumenterer vellykkede og mislykkede innloggingsforsøk, brudd på rettigheter tildelt brukeren, oppnådd adgang til filområder, og andre hendelser på systemet»13. Med klientbasert logging kan ein mellom anna avdekkje såkalla «snoking» i registera.
Problemstillingar som gjeld identitetsforvalting, tilgangskontroll og logging blir nærmare omtala i kapittel 9.5.
9.3.3 Utfordringar
Den største personvernutfordringa når det gjeld tryggleik, knyter seg til det å verkeleg få sett informasjonstryggleik på agendaen i norske verksemder. Først når verksemdene har teke regelverket inn over seg, bestemt seg for å etterleve det, gjennomført nødvendige prosessar og arbeidd med å gjere tryggleik til ein del av kulturen i verksemda, har dei oppnådd intensjonen med regelverket. Det er viktig å ha ei balansert tilnærming til kombinasjonen av verkemiddel. Verksemdene må føle at tilsynsstyremakta er til stades ved at det blir gjennomført kontrollar. Dette er viktig for å sikre at det ikkje skal løne seg å neglisjere regelverket. Styremaktene må vere tilgjengelege for å gi rettleiing til verksemder som treng spesiell støtte for å etterleve regelverket. Vidare må styremaktene gi god allmenn informasjon som kan stø opp under prosessane i verksemdene, og verksemdene må få hjelp med å leggje til rette gode teknologiske løysingar for informasjonstryggleik.
Det er òg viktig at ein med jamne mellomrom drøftar behovet for nye sikringsmetodar for IKT-systema i både offentlege og private verksemder. Andre moglege tiltak for å sikre informasjonstryggleiken og personvernet knyter seg til system for identitetsforvalting og logging. Desse blir presenterte i kapittel 9.5.
Arbeidet styremaktene gjer, bør òg i framtida vere ein kombinasjonen av tilsyn, rettleiing og informasjon. Ein bør intensivere arbeidet med å få til ei betre koordinering av regelverket. I dette arbeidet bør departementa ha ei sentral rolle.
9.4 Elektroniske spor
Nordmenn lever i aukande grad i ein teknologisk og interaktiv kvardag. Ein bruker e-post både privat og på jobb, deltek i sosiale nettverk, kjøper varer på nett og med bankkort, bruker GPS i bilen og på mobilen og googlar informasjon om alt frå medisinske diagnosar til neste feriemålet. Heile dagen igjennom lèt innbyggjarane etter seg ein stig av elektroniske spor.
Desse spora kan følgjast av ulike aktørar. Politiet får mellom anna rett til å hente inn telefonloggar og IP-loggar under gitte føresetnader. Finansinstitusjonar har oversikt over kor mykje pengar ein bruker, og når, kvar og korleis ein bruker dei. Sosiale nettverk kan vise annonsar som er spesialtilpassa profilen til den enkelte etter analysar dei har gjort av åtferda i nettverket.
Samfunnet blir meir og meir avhengig av å ha velfungerande elektroniske kommunikasjonsnett og -tenester. Innbyggjarane utfører stadig fleire tenester ved hjelp av elektronisk kommunikasjon, og trafikkmengda i elektroniske kommunikasjonsnett aukar. Bruk av elektronisk kommunikasjon lèt etter seg detaljerte spor mellom anna om kvar ein oppheld seg, korleis ein bevegar seg, kva omgangskrins ein har, og kva interesser og meiningar ein har. Jamvel når utstyr som mobiltelefonar og nettbrett ikkje er i bruk, men berre aktiverte, kan dei late etter seg elektroniske spor i nettverket dei er kopla opp mot.
Elektroniske spor blir i stadig større grad knytte saman med kvarandre av teknologar, forretningsfolk, offentlege styremakter og analytikarar. Somme hevdar at vi lever i tidsalderen for «Big Data», det vil seie at vi lever i eit samfunn der det uunngåeleg eksisterer enorme sett med data knytte til kvar enkelt person og rørslene, vala og kommunikasjonen hans eller hennar. Eit viktig spørsmål alle bør stille seg, er kva opplysningar som blir innsamla, av kven og til kva føremål. Nedanfor blir det gjort greie for nokre av dei mest aktuelle teknologiane for datainnsamling ved hjelp av elektroniske spor.
9.4.1 Geolokalisering
Lokaliseringsteknologi er eit tema som har vore mykje diskutert dei siste åra. Datatilsynet har i stadig større grad vorte kontakta om ulike former for lokaliseringsteknologi, særleg GPS-sporing. Denne typen sporing har etter kvart vorte vanleg i store delar av transportsektoren. I visse delar av sektoren har dei òg teke aktivt i bruk detaljregistreringar i form av ferdsskrivarar, gravitasjonssensorar som registrerer akselerasjon, nedbremsing og gravitasjonskrefter i svingar, og dessutan køyrecomputarar, for eksempel for å sjå korleis sjåførane utfører arbeidsoppgåvene sine. Ein annan og meir omfattande type geolokalisering skjer ved hjelp av GPS eller gjennom å analysere IP-adresser. Ekomtilbydarar verda over gjer dette dagleg, ettersom det i dag er mogleg på grunn av den omfattande bruken av smarttelefonar.
Det er i hovudsaka tre typar aktørar som registrerer lokaliseringsdata: ekomtilbydarar, internettleverandørar og enkelte andre internett-aktørar. Ekomtilbydarane har tilgang til lokaliseringsdata gjennom basestasjonane dei kontrollerer. Ofte er ekomtilbydarane internettleverandørar i tillegg, slik som Telenor og NetCom, og desse har òg tilgang til lokaliseringsdata gjennom dei trådlause nettverka og IP-adressene dei administrerer. Det er òg mogleg for andre internett-aktørar, for eksempel program- og applikasjonsleverandørar, å finne fram til kvar brukarane oppheld seg. Dette kan dei gjere ved å analysere IP-adressa til brukaren eller ved å analysere andre unike identifikatorar knytte til det utstyret brukaren er kopla til nettet med.
Ei personvernutfordring når det gjeld bruk av geolokalisering, er at smarttelefonar, og i mange tilfelle datamaskiner, ofte er direkte knytte til enkeltpersonar, og at informasjon om kvar det tekniske utstyret er plassert, derfor ofte er synonymt med informasjon om kvar ein enkeltperson oppheld seg. Dette inneber at lokaliseringsinformasjon for ei mobil eining ofte er å rekne som personopplysningar. Sporingsinformasjon om rørslemønsteret til enkeltpersonar er noko ein bør vere svært forsiktig med å bruke. Retten til fri ferdsel og privatliv er grunnleggjande og ukrenkjeleg. Dersom ein skal gjere inngrep i denne retten, må ein ha ein klår lovheimel eller samtykke frå den som blir lokalisert. Når det gjeld mobiltelefonar, er det samtykke som er det aktuelle grunnlaget for bruk av GPS-lokalisering. Det er derfor ei utfordring at mange smarttelefonar i dag har GPS-lokalisering aktivert som førehandsdefinert innstilling. Artikkel 29-arbeidsgruppa har kome med ei fråsegn om geolokalisering av smarttelefonar14. Gruppa peiker mellom anna på at teknologien gir større risiko for at ein arbeidsgivar overvakar dei tilsette. Dei understrekar òg at dei teknisk moglege måtane å overvake telefonen på utan å informere eigaren er urovekkjande.
Eit anna viktig tema er geolokalisering av barn. Teknologien gjer det mogleg for foreldre å GPS-spore sine eigne barn gjennom smarttelefonane deira. Tele2 har lansert eit mobilabonnement for barn som kan administrerast av foreldra eller andre ressurspersonar. Abonnementet inneber mellom anna at foreldra kan avgjere kven barnet kan ringje til og når, og dessutan kor mange ringjeminutt eller meldingar barnet har lov til å bruke på dei ulike kontaktgruppene, for eksempel vener og familie. Det er òg mogleg for foreldre å lokalisere mobiltelefonen til barna. Det kan diskuterast om ein slik kontroll inneber ei krenking av barna sitt privatliv og rett til fri ferdsel. Regjeringa helser denne debatten velkomen.
Mange lokaliseringstenester som er i bruk i dag, er aktiverte i dei førehandsdefinerte innstillingane på smarttelefonar og anna utstyr. Lokaliseringsinformasjon er personopplysningar når dei kan knytast til ein kunde eller eit abonnement. Aktivering av lokaliseringstenester krev derfor frivillig, informert og uttrykkeleg samtykke frå brukaren etter norsk lov. Artikkel 29-arbeidsgruppa framhevar i den tidlegare nemnde fråsegna om geolokalisering av smarttelefonar at lokaliseringstenester må vere avslått i dei førehandsdefinerte innstillingane på telefonen for at samtykkekravet skal vere oppfylt. Dei gir òg uttrykk for at samtykke til geolokalisering ikkje kan innhentast gjennom standardvilkår.
Ut ifrå personvernomsyn er det klårt å føretrekkje at lokaliseringstenester blir aktiverte av brukaren sjølv, og at aktive lokaliseringstenester ikkje er del av dei førehandsdefinerte innstillingane på telefonar, nettbrett og anna utstyr. I tillegg kan ein kanskje styrkje personvernet ved å innføre jamlege påminningar om at brukaren har aktivert lokaliseringstenester, saman med ei rettleiing om korleis vedkomande kan slå av desse tenestene.
9.4.2 Sporing av reisande
Ei anna og meir generell form for sporing som òg er omdiskutert, er sporing av trafikantar. Retten til anonym ferdsel har spesielt vore diskutert i samband med kollektivtransport og bompengestasjonar. Både i offentlege transportsystem, som buss og t-bane, og i bompengeanlegg er det lagra opplysningar knytte til dei reisande i form av tilgangskontrollar, tidsstempling og passeringsdata. Når det gjeld kollektivtransporten, hadde ein ved innføringa av elektroniske reisekort i mange norske byar ein debatt rundt graden av anonymitet som desse elektroniske korta kunne tilby dei reisande. Etter at det kom fram at det vart lagra svært detaljert informasjon om reiseruter og reisetider som kunne knytast direkte til dei reisande, oppstod det ein debatt om moglege anonyme løysingar også for dei elektroniske reisekorta. Dette førte til at ei bransjenorm for personvern og informasjonstryggleik innan elektronisk billettering vart innført ved årsskiftet 2011/2012, slik det er nemnt i kapittel 9.2.4. På same måten som ein kan reise anonymt med kollektivtransport ved hjelp av papirbasert enkeltbillett, fleirreise- og/eller periodekort, vil ein ha det same høvet til å reise anonymt med båt, buss, bane og tog ved hjelp av elektronisk billett så lenge bransjenorma for personvern ligg til grunn.
Dei siste åra har òg norske bompengeanlegg i stadig større grad vorte heilautomatiserte via AutoPASS. Desse heilautomatiserte anlegga er effektive og kostnadssparande, men ein kan ikkje passere anonymt ved å betale med mynt. Dette gjer det vanskeleg å ferdast anonymt, ettersom alle bilar som passerer, lèt etter seg informasjon om kven som har betalt for passeringa, tidspunktet for passeringa og nøyaktig kvar passeringa skjedde. Det er dei same dataa som blir lagra uansett kva type køyretøy som passerer. Dette inneber at anten ein passerer som privatperson eller i tenestesamanheng, blir dei same opplysningane lagra. I samsvar med vedtak i Personvernnemnda15 blir passeringsdata lagra i ti år. Det finst per i dag eit såkalla «sporfritt alternativ», der passeringsdata maksimalt blir lagra i 72 timar. Ein kan velje dette alternativet når ein inngår ei AutoPASS-avtale. Passeringane blir då krypterte etter maksimalt 72 timar. Lokalisering og datoar blir fjerna, slik at det einaste som blir liggjande att i systemet, er namnet på bileigaren og talet på passeringar. Når ein vel dette alternativet, seier ein derimot frå seg klageretten, ettersom det ikkje vil gå fram av fakturaen kva bompengeanlegg ein har passert. Datatilsynet er ikkje fornøgd med denne løysinga.
På bakgrunn av dette har regjeringa i stortingsproposisjonen om Oslopakke 3 varsla eit interdepartementalt samarbeid om anonymitet ved passering av bomstasjonar, jf. St.prp. nr. 40 (2007-2008) og oppfølgjande omtale i St.meld. nr. 16 (2008-2009) Nasjonal transportplan 2010–2019.
9.4.3 RFID (Radio Frequency Identification) og NFC (Near Field Communication)
RFID (Radio Frequency Identification) er ein metode for å verifisere identiteten til ein ting basert på informasjon som serienummer eller liknande som er lagra i såkalla RFID-brikker. Desse brikkene blir for eksempel bygde inn i produkt som elektronikk og fraktpallar i varehus av ulike typar til sporingsføremål. Det finst forskjellige typar RFID-brikker som kan sporast i varierande grad og ved hjelp av ulike metodar. Såkalla aktive RFID-brikker sender sjølve ut elektromagnetiske bølgjer. Desse kan avlesast på ein bestemt radiofrekvens frå RFID-basar som ligg i nærleiken av den staden der brikka til kvar tid er. Dei passive RFID-brikkene er derimot dei mest brukte, og dei sender berre ut signal dersom dei blir aktiverte med signal frå ein sendar. Slike sendarar sender signal over svært korte avstandar. For å kunne registrere dei fleste av desse brikkene må dei vere svært nær ein avlesar.
Ein metode for sporing som baserer seg på RFID, er NFC (Near Field Communication). Ved hjelp av NFC byggjer ein sporingsbrikker inn i ting for å kunne kommunisere med andre ting, med ein maksimal avstand på rundt 10 cm. Kommunikasjonen blir aktivert av ein avlesar som startar kommunikasjonen med brikka. Mobiltelefonprodusentar, ekomtilbydarar og bankar bruker i dag NFC til å gjennomføre ulike typar transaksjonar ved hjelp av brikker som er bygde inn i smarttelefonar og andre berbare apparat. Eit eksempel på system der ein har hatt suksess med bruk av NFC-teknologi, er trikke- og metrosystem. I Frankrike har ein teke i bruk NFC-teknologien for å utvikle eit nytt betalingssystem for trikkesystemet i Nice, og i Strasbourg planlegg ein å ta i bruk det same. Dei reisande får kjøpt eigne smarttelefonar som er knytte til trikkeselskapet, og registrerer reiser ved å halde telefonane tett opp mot registreringseiningane. Reiserekninga får dei saman med telefonrekninga. Dei har òg visse rabattsystem for butikkar knytte til telefonane, noko stadig fleire lokale butikkar deltek i. Det er planlagt å implementere teknologien for transportsystemet i London i løpet av 2013, og visse norske aktørar har òg testa ut NFC-teknologi med tanke på betaling gjennom smarttelefonar. Denne teknologien er i rask utvikling og kjem til å bli teken i bruk i stadig større grad dei neste åra. Det er god grunn til å tru at teknologien kan erstatte kort- og kontantbetaling for visse typar betaling ved mindre beløp. Nokon nasjonal standard for bruk av NFC-teknologi innan kollektivtransporten i Noreg er førebels ikkje utarbeidd, men det er planlagt å knyte ein slik standard til nasjonal standard for elektronisk billettering.
Eit område som er spesielt aktuelt til bruk av NFC-teknologi i framtida, er marknadsføring. Det er mogleg å overføre informasjon frå avlesarar til brikkene, som så kan visast på smarttelefonen. Dette kan utgjere ein heilt ny marknad for åtferdsretta reklame. Ein kjem òg til å kunne lagre biometrisk informasjon i brikkene, noko som for eksempel kan tenkjast å bli brukt i tryggleikskontrollen på flyplassar.
Ei tryggleiksutfordring ved bruken av NFC-teknologi er at det ikkje er noko krav om kryptering av kommunikasjonen mellom smarttelefonane (eller andre ting med sporingsbrikker) og avlesaren. Dette gjer at kommunikasjonen blir sårbar for angrep, for eksempel avlytting, modifisering av data og svindel. Dersom det er personopplysningar (for eksempel kontoopplysningar og kontaktinformasjon) knytte til kommunikasjonen, vil dette utgjere eit potensielt trugsmål for personvernet til brukarane.
9.4.4 Lagring av informasjonskapslar
Informasjonskapslar, eller http-cookies, er den aller vanlegaste sporingsteknologien i bruk på internett. Det finst svært mange ulike typar informasjonskapslar, og dei blir brukte til mange ulike føremål. Teknisk sett er informasjonskapslar korte tekststrenger som blir sende frå ei nettside til harddisken til brukaren. Desse tekststrengene blir så lagra på harddisken og sende tilbake til nettsida kvar gong brukaren besøkjer denne nettsida att. Frå innhaldet i informasjonskapslar kan ein utleie opplysningar om alt frå besøkstidspunktet og lengda på besøket til lokalisering, referansesider (kvar brukaren kom seg til nettsida frå i utgangspunktet), søkjeord og kva delar av nettsida brukaren besøkte. Ein skil gjerne mellom informasjonskapslar som blir lagra mellombels, og dei som blir lagra varig, og vidare mellom informasjonskapslar lagra av ein førstepart (nettsida brukaren besøkjer) eller ein tredjepart (ofte samarbeidspartnarar eller annonsørar med koplingar til førsteparten). Det er dei varige informasjonskapslane som blir lagra av tredjepartar som byr på størst problem for personvernet.
Eit spørsmål som ofte kjem opp når ein drøftar informasjonskapslar i eit personvernperspektiv, er om kapslane inneheld personopplysningar. Personopplysningar er opplysningar og vurderingar som kan knytast til ein enkeltperson, dette følgjer av personopplysningslova § 2 nr. 1. Alle informasjonskapslar og opplysningane som blir lagra i kapslane, kan knytast mot unike identifikatorar i kommunikasjonsutstyret dei blir lagra i. Når utstyret er knytt opp mot internett, kan kapslane òg knytast opp mot IP-adressa som blir brukt i påloggingsøkta. Sjølv om desse unike identifikatorane og IP-adressene ikkje alltid kan knytast til enkeltpersonar, er det vanskeleg på førehand å seie om tilknytinga er der eller ikkje. I norsk rett ser ein derfor i praksis på lagring av IP-adresser som behandling av personopplysningar. Dette talar for at ein òg bør sjå lagring av informasjonskapslar som behandling av personopplysningar.
Bruken av informasjonskapslar er svært omfattande. Ein stor del av informasjonskapslane som blir lagra av nettsider i dag, er det gode grunnar til å lagre. Mellom anna er informasjonskapslar nødvendige for at ein skal kunne aktivere automatisk innlogging på nettsider og for å hugse informasjon om handelstransaksjonar frå ei nettsidevising til ei anna. Informasjonskapslane blir i tillegg brukte til å gjenopprette vindauge som er lukka ved ein feil, og til å setje språkinnstillingar for ei nettside, slik at brukarane straks kan lese nettsida på sitt eige språk. Mykje av logginga på nettsider skjer òg ved hjelp av informasjonskapslar. Det er viktig å merke seg at det ikkje er absolutt teknisk nødvendig å lagre informasjonskapslar for at nettsider skal fungere. Kapslane medverkar likevel ofte til å gjere sidene meir brukarvenlege, for eksempel ved at ein kan aktivere tenester for automatisk innlogging. Likevel er det er viktig å skilje mellom lagring av informasjonskapslar for å gjere nettsider meir brukarvenlege og lagring til reint kommersielle føremål. Desse siste krev at brukaren blir informert om lagringa på førehand. Dette er regulert i ekomforskrifta § 7-3.
Ein stor del av informasjonskapslane som blir lagra på utstyret til brukarane, blir lagra til kommersielle føremål, for eksempel brukarprofilering til annonsesal og reklame. Brukarane har til ein viss grad høve til å slette denne typen informasjonskapslar frå nettlesaren. Den tidlegare nemnde «do not track»-standarden kan òg bidra til at brukarane får betre kontroll over lagringa av informasjonskapslar på sitt eige utstyr dersom standarden blir implementert. Ettersom ein har vorte meir bevisste på lagring av kapslane, er det utvikla nye og spesielt hardføre typar informasjonskapslar, mellom anna såkalla «flash cookies», «supercookies» og «evercookies». Desse typane informasjonskapslar utgjer eit stort trugsmål mot personvernet til brukarane, ettersom brukaren korkje blir informert om eller merkar noko til at dei blir lagra. Det er dermed umogleg for brukaren å late vere å samtykkje eller å slette kapslane når dei først er lagra. Det er òg lite truleg at dei som lagrar denne typen informasjonskapslar, i nokon særleg grad vil respektere eit ønske frå brukarane etter «do not track»-standarden.
Etter praksis i dag blir informasjonskapslar lagra med heimel i personopplysningslova § 8 a eller f. Lagringa blir då rekna som nødvendig for å kunne oppfylle ei avtale med den registrerte, eller den behandlingsansvarlege blir rekna for å ha ei rettkomen interesse av å lagre informasjonskapslar som ikkje overstig interessa den registrerte har av å sikre sitt eige personvern. På mange av dei vanlegaste nettlesarane er praksisen slik at informasjonskapslar blir lagra på utstyret til brukarane basert på at førehandsinnstillingane i nettlesaren er sette til å godta slik lagring. Brukarar som ikkje ønskjer at informasjonskapslar skal bli lagra, må aktivt reservere seg mot dette ved å endre innstillingane i nettlesaren. Ein praktiserer altså lagring med heimel i nødvendiggjerande grunn, men med ein reservasjonsrett for brukarane.
Krava til lagring av informasjonskapslar er innskjerpa på EU-nivå gjennom kommunikasjonsverndirektivet og tillegget frå 2009, populært kalla «cookie-direktivet». Dette direktivet er EØS-relevant, og regjeringa vil kome tilbake til Stortinget med forslag til gjennomføring av det i norsk rett. Etter artikkel 5 (3) i direktivet blir det no stilt strengare krav til at brukarane sjølve skal samtykkje til lagring av informasjonskapslar som ikkje er heimla i lov, eller blir lagra av tekniske årsaker. Der kravet tidlegare har vore at brukaren berre skal informerast om lagringa av desse typane informasjonskapslar, er det bestemt at den behandlingsansvarlege i tillegg skal hente inn samtykke frå brukaren ved slik lagring. Dette kan mellom anna ramme aktørar som driv med interaktiv reklame.
Artikkel 29-arbeidsgruppa har i ei fråsegn om samtykke til lagring av informasjonskapslar16 uttala seg om kva typar lagringsføremål dei meiner vil krevje samtykke frå brukarane etter artikkel 5 (3), og kva føremål som fell inn under unntaket for lagring som er teknisk nødvendig. Blant føremåla som etter arbeidsgruppa si meining ikkje krev samtykke, er autentisering ved innloggingstenester, memorisering av inntasting i elektroniske skjema eller handlekorger i løpet av ei økt, eller det å gjere det teknisk mogleg å spele av video eller lyd når brukaren ber om det. Føremål som etter arbeidsgruppa si meining derimot krev samtykke, er mellom anna åtferdsretta eller interaktiv marknadsføring og sporing av brukarar gjennom sosiale «plugin-modular», for eksempel Likar-knappen på Facebook.
Spørsmålet om samtykke til lagring av informasjonskapslar har vore mykje omdiskutert. Særleg gjeld dette spørsmålet om ein skal innføre krav om aktivt samtykke, eller om ein skal nøye seg med at brukaren har høve til å reservere seg mot lagring av informasjonskapslar gjennom innstillingar i nettlesaren sin.
9.5 Identitetsforvalting: identifisering, autentisering og tilgangsstyring
Det finst inga plikt til å ha med seg legitimasjonsbevis til dagleg i Noreg. Likevel er det vanleg at ein i ulike situasjonar må godtgjere alder, namn og liknande. Derfor har dei fleste eit fysisk legitimasjonsbevis med seg. Både overfor offentlege styremakter og private verksemder må enkeltpersonar i mange tilfelle godtgjere identiteten sin ved å vise fram for eksempel pass, bankkort eller førarkort for å få tilgang til rettar eller tenester. Ved bruk av elektroniske tenester er det òg behov for identitetskontroll. Enkeltpersonar kan då nytte elektroniske identitetsbevis (e-ID), slik som MinID, BankID eller Buypass e-ID.
I IKT-system der store mengder personopplysningar blir behandla, er det eit spesielt stort behov for å ha gode tryggings- og personverntiltak. Det offentlege administrerer mange svært omfattande register med personopplysningar, mellom anna registera til helse- og omsorgstenesta. For at ein skal kunne garantere tryggleiken og personvernet til dei registrerte, er det viktig å ha system på plass som kan skilje mellom ulike roller og tilgangsnivå, slik at dei rette personane får den tilgangen dei skal ha.
Identitetsforvalting vil seie å administrere identitetar, og handlar i vid forstand om å identifisere individ og kontrollere tilgangen til ulike ressursar. Identitetsforvalting femner om registrering, identifisering, autentisering og autorisering.
Medan identifisering dreiar seg om å skilje personar frå kvarandre, handlar autentisering om å slå fast om ein person er den han eller ho gir seg ut for å vere. På fysiske legitimasjonsdokument blir personar gjerne identifiserte med namn og fødselsdato, eventuelt fødselsnummer. Eit fødselsnummer identifiserer ein person, medan det i kombinasjon med eitt eller fleire passord, PIN-kodar eller for eksempel eit personleg smartkort kan autentisere ein person. Ein skil ofte mellom tre måtar å identifisere seg på: gjennom noko ein veit (passord, pin-kodar), noko ein har (smartkort, identitetskort) eller noko ein er (biometri).
Autoriseringa av ein person regulerer kva denne personen kan gjere etter at autentiseringa er gjennomført, for eksempel kva informasjon vedkomande får tilgang til, eller kva oppgåver vedkomande kan utføre.
9.5.1 Tillitsnivå
Det finst ulike metodar for å identifisere eller autentisere seg for å få tilgang til eit IKT-system som er identitetsforvalta.
Ein enkel metode er å bruke personlege brukarnamn og passord som kvar einskild får tildelt, og som han eller ho beheld i den autoriserte perioden. Dette går òg under namnet ein-faktor-autentisering, det vil seie at ein autentiserer seg ved bruk av eitt passord. Dette er ein metode som har liten grad av tryggleik. Metoden kan òg kombinerast med å be om eingongspassord, som for eksempel blir sendt til mobiltelefonen til brukaren. Då får ein det som kallast to-faktor-autentisering, noko som har større grad av tryggleik. Dette blir mellom anna gjort for å logge seg på ID-porten ved bruk av MinID, ei løysing svært mange bruker.
Ein annan metode er å bruke innlogging basert på PKI (Public Key Infrastructure). PKI er eit system for å ferde ut digitale sertifikat som stadfestar identiteten til brukaren og at identiteten er gitt av ei offentleg styremakt. PKI er basert på to «nøkkelsett», ein offentleg nøkkel som er tilgjengeleg for alle og blir brukt til å kryptere innhald, og ein privat nøkkel som blir brukt av ein person til å dekryptere innhaldet som vart kryptert med den tilhøyrande offentlege nøkkelen. Dei private nøklane blir for eksempel utferda som smartkort eller USB-pinnar som inneheld ein elektronisk ID. Dei kan òg lagrast på nett, då blir det kalla nettsentrisk lagring av nøklar. Ein aktør som leverer løysingar baserte på PKI, er Buypass. Dei bruker smartkort til dei private nøklane til brukarane, og tilbyr mellom anna løysingar for trygg tilgang til Altinn og leverer tippekortløysingar til Norsk Tipping. I dag er mellom anna infrastrukturen for pass basert på PKI, for å verne fingeravtrykk og andletsbiometri som er lagra i passet. BankID er ein annan aktør som bruker denne teknologien. Ved bruk av BankID er dei private nøklane til brukarane lagra hos bankane. Infrastrukturen for pass bruker òg PKI-teknologien for å verne fingeravtrykk og andletsbiometri som er lagra i passet. PKI-teknologien og bruk av nøkkelsett blir rekna for å vere den sikraste teknologien for autentisering av brukarar.
Ein aktuell metode både for identifikasjon og autentisering er å bruke biometri, for eksempel fingeravtrykk- eller irisavlesing. Biometri har fordelar framfor dei meir tradisjonelle autentiseringsmetodane som det er gjort greie for ovanfor. Eit mangfald av brukarnamn og passord kan ofte føre til auka risiko for misbruk ved at dei for eksempel kan skrivast ned og bli sedde av eller delte med andre. Biometri gir høg grad av tryggleik i den forstand at biometriske trekk i utgangspunktet er uløyseleg knytte til ein person, og at desse trekka normalt ikkje kan overdragast til andre. Biometri kan òg nyttast berre til å autentisere, slik som å slå fast at det er same personen som autentiserer seg ved to ulike høve. For eksempel brukte SAS i ein periode fingeravtrykk ved innsjekking av bagasje og så igjen ved ombordstiging for å sjekke at det var den personen som hadde sjekka inn bagasje, som òg gjekk om bord i flyet. Personvernnemda har i løpet av 2012 kome med to avgjerder som opnar for utvida bruk av biometri der ein berre autentiserer og ikkje identifiserer17.
9.5.2 Tilgangsstyring
Ein har alle ulike roller i ulike situasjonar og til ulike tidspunkt. Desse rollene utviklar og endrar seg med tida, og ein får nye roller samtidig som andre fell bort. Det er òg mange roller som er svært samansette i dei ulike IKT-systema. Ein mellombels tilsett kan for eksempel ha svært avgrensa tilgang til enkelte delar av det konfidensielle fillageret til eit firma, men likevel ha behov for vid tilgang til data innanfor eit meir snevert område. Det motsette kan òg vere tilfelle, for eksempel når det er behov for å gi ein leiar vid tilgang til områda i eit IKT-system, men med viktige unntak for enkelte sensitive dokument som berre er tilgjengelege for dei tilsette på personalavdelinga.
Det er krevjande å lage dekkjande roller for tilgangsstyring i IKT-system. I enkelte sektorar, for eksempel helse- og omsorgssektoren, trengst det større tilgang i spesielle situasjonar, og ein må vege behovet for å sikre konfidensialitet opp mot behovet for å gi tilgang. Ei utfordring for dei som skal praktisere den tekniske identitetsforvaltinga, er å oppdatere systemet etter kvart som rollene og behovet for tilgang endrar seg. Det er for eksempel viktig å oppdatere tilgangsforvaltinga når nokon sluttar i jobben, eller når nokon begynner å arbeide med nye oppgåver. Det ligg òg ei utfordring i det å utvikle nye roller og nye handlingar i eit system. Kompleksiteten i eit system for identitetsforvalting viser nettopp kor komplekse alle dei ulike rollene våre og tilhøvet mellom dei er.
Det er viktig at aktørar som bruker system for identitetsforvalting, nyttar metodar for tilgangsstyring som er sikre og effektive. Passordløysingar er enkle å bruke, men ikkje særleg sikre, ettersom ein ikkje har nokon garanti for at uautoriserte personar ikkje får kjennskap til innloggingsinformasjonen til ein som er autorisert. Bruk av passord er for eksempel sårbart for skuldersurfing, tastaturavlytting og liknande. Og der eigaren lagar sitt eige passord, kan ein risikere at passordet ikkje er sterkt nok. Dersom ein bruker digitale sertifikat, er terskelen truleg høgare for å kunne overdra dei til uvedkomande. Dersom ein skal oppnå tilfredsstillande og tilpassa tryggleik, bør det leggjast til rette for å bruke løysingar for sikker e-ID framfor passordløysingar og liknande for å få tilgang til register som behandlar sensitive personopplysningar.
9.5.3 Løysingar i offentleg sektor
Det som ligg til grunn for autentisering og identifikasjon av innbyggjarar og verksemder mot offentlege digitale løysingar, er Rammeverk for autentisering og uavviselighet i elektronisk kommunikasjon med og i offentlig sektor18. Rammeverket består av tilrådingar om korleis ein gjennomfører risikoanalysar og vel tryggleiksnivå når ein skal autentisere brukarar av digitale tenester frå forvaltninga og brukarar i offentleg sektor som kommuniserer internt. Vidare inneheld rammeverket overordna tilrådingar om korleis ein vel tryggleiksnivå når ein har behov for å knyte ein brukar til ein elektronisk transaksjon. Rammeverket definerer fire tryggleiksnivå. Alle løysingar på eit høgare nivå kan brukast på eit lågare tryggleiksnivå.
Offentlege verksemder må gjennomføre risiko- og sårbarheitsanalysar når dei etablerer nye elektroniske tenester, og når dei reviderer eksisterande tenester. Verksemda må då vurdere kva konsekvensar uheldige hendingar kan få for brukarane av tenesta, den offentlege verksemda sjølv og offentleg sektor som heilskap. Deretter må verksemda vurdere kor sannsynleg det er at konsekvensar dei har identifisert, kjem til å inntreffe. Kvar offentleg verksemd må derfor sjølv vurdere kva som er eit akseptabelt risikonivå, og kva tryggleiksnivå som gir god nok tryggleik for verksemda og brukarane.
ID-porten er ei felles påloggingsløysing for offentlege tenester på nettet. Per desember 2012 kan ein bruke fire ulike elektroniske ID-ar når ein skal logge seg på offentlege tenester. MinID er utvikla og blir drifta av Direktoratet for forvaltning og IKT og plasserer seg på tryggleiksnivå 3, medan elektronisk ID frå høvesvis Bank ID, Buypass og Commfides er plassert på tryggleiksnivå 4. Alle er personlege elektroniske ID-ar som ein kan bruke når ein loggar seg på tenester frå for eksempel arbeids- og velferdsetaten, Lånekassen, Utlendingsdirektoratet og skatteetaten.
ID-porten stør berre bruk av identitetsbevis for fysiske personar. Påloggingsløysinga kan nyttast både til å utføre oppgåver i eigenskap av privatperson og til oppgåver på vegner av andre. Det er òg mogleg å opprette identitetsbevis for juridiske personar (for eksempel verksemdssertifikat). Slike sertifikat blir i stor grad nytta for nettenester (SSL-sertifikat).
I utdanningssektoren er det etablert ei særleg løysing for tilgangsstyring, Feide (Felles Elektronisk IDEntitet). I Feide-systemet kan skulen sjølv styre kven som skal få tildelt brukarnamn og passord, og kva type brukarkonto dei skal få tildelt. Foreldre vil ikkje sjølve vere Feide-brukarar med eigne brukarnamn og passord. Skulen kan gi dei tilgang ved at deira eiga eID-løysing, for eksempel MinID, blir kopla til Feide-identiteten til barnet deira. På den måten kan innsynet foreldra har i elev-lærar-forholdet avgrensast, sjølv om foreldra får innsyn i den kommunikasjonen som er viktigast for dei. Elevane kan på same måten skjermast for kommunikasjon mellom lærarane og foreldra der dette er føremålstenleg. Det er vidare mogleg å gi tilgang til berre éin forelder i tilfelle der den andre av ulike grunnar ikkje bør ha tilgang. Det at ein har opna for å gjere slike skjønsvurderingar, kan føre til at det blir teke betre omsyn til kvar enkelt elev og personvernet hans eller hennar.
9.5.4 Løysingar i privat sektor
Det finst mange ulike autentiseringsløysingar i privat sektor. Bankane har utvikla BankID for pålogging til nettbank, og Norsk Tipping nyttar løysingane frå Buypass for tipping på nett. Saman med tenestene frå den tredje norske aktøren, Commfides, er dette løysingar på tryggingsnivå 4. Alle desse aktørane er sjølvdeklarerte hos Post- og teletilsynet. Det inneber at leverandørane frivillig har erklært til tilsynet at dei oppfyller nærmare fastsette krav for å kunne skrive ut sertifikat på nivå 4. Ordninga er frivillig og medverkar til auka tillit til sertifikattenester. Det gir òg Post- og teletilsynet høve til å føre tilsyn med aktørane og krevje revisjon frå tredjepart.
I tillegg ser ein tendensar til at også store private aktørar som Facebook og Google innfører eigne system for identitetsforvalting gjennom å tilby påloggingsløysingar for ulike system gjennom Facebook. Origo, som er eit av dei største sosiale nettverka i Noreg, tilbyr for eksempel innlogging gjennom både Facebook, Twitter og Google.
9.5.5 Sterkare grep om identitetsforvalting
Grunnidentifisering og registrering av norske borgarars identitet i offentlege register er eit ansvar for styremaktene. Dette skjer i dag ved utferding av fødselsattest og seinare første gongen ein får utferda pass. Utanom pass finst det i dag ingen andre identitetskort utferda av offentlege styremakter. Til å identifisere seg i det daglege bruker ein som oftast førarkort eller bankkort, sidan passet ikkje høver til dagleg bruk.
Dette er noko av bakgrunnen for at regjeringa no arbeider med ei løysing for nasjonalt ID-kort med e-ID i Noreg. Nasjonalt ID-kort skal knytast til utferding av pass, både organisatorisk og teknisk. Det vil derfor ha same graden av tryggleik som passet, ved at det blir utferda av politiet og krev personleg oppmøte. Den elektroniske ID-en på kortet vil tilfredsstille krava til nivå 4, og ein vil kunne bruke det til alle offentlege tenester på nett. Ei satsing på nasjonalt ID-kort vil innebere auka tryggleik med tanke på identifisering i det daglege og vil òg heve kvaliteten på utferdinga av andre legitimasjonsbevis i samfunnet. Sikker identifisering er òg viktig for å kunne realisere det målet regjeringa har om eit digitalt førsteval. Tilrettelegging for sikker identifikasjon av norske innbyggjarar er ei viktig oppgåve for styremaktene og står sentralt i innsatsen mot kriminalitet reint allment, mot ID-tjuveri og mot internettkriminalitet.
9.6 Innsynslogging
Ein effektiv måte å unngå at uvedkomande får innsyn og «snokar» i opplysningar dei ikkje har behov for å sjå, er å loggføre kvar enkelt sin bruk av systemet. Dersom ein fører kontroll med kva dokument og område kvar enkelt rolleinnehavar bruker eller prøver å bruke, kor lenge og når, kan ein avdekkje og førebyggje ureglementert innsyn. Innsynslogging kan vere føremålstenleg å gjennomføre i store register.
Regjeringa meiner at plikta til å logge og retten til å få innsyn i eigne loggar skal vere eit berande prinsipp for alle større offentlege og private register. Med logging meiner regjeringa i denne samanhengen innsynslogging, slik det er presentert i kapittel 9.3.2. Behandlingsansvarlege har allereie ei generell plikt til å utføre nettverksbasert logging etter personopplysningslova § 13.
Innsynslogging kan sjåast som ei form for internkontroll og blir i større eller mindre grad brukt i nokre av dei store registera, som helseregistera, politiregistera og Nav-registera. For desse registera må ein opprette klåre loggingskategoriar. Nokre av kategoriane bør derimot vere meir elastiske enn andre. Ein kan for eksempel tenkje seg at dei som har leiarroller med mykje ansvar, bør ha vidare tilgang enn andre. Slik vid tilgang kan kombinerast med å stille leiarar til ansvar dersom dei misbruker denne tilgangen.
Verksemdene som er ansvarlege for tilgangsstyringa, må tenkje nøye gjennom kva rammer det skal setjast for tilgangen, og korleis dei vil balansere tilgangen til opplysningar mot omsynet til personvernet basert på ei konkret risikovurdering. Dersom ein for eksempel har klåre grenser for kor mange personar som kan ha tilgang, blir den som tildeler roller med tilgang, òg meir restriktiv i tildelinga. Slike klåre grenser kan setjast gjennom veldefinerte parametrar for tilgang i eit system. Slike parametrar må òg vere rettleiande for logginga og kva hendingar som bør få det til å ringje ei varselbjølle. Systema for identitetsforvalting og tilgangsstyring og systema for logging heng slik sett nært saman, og det er ikkje føremålstenleg å praktisere det eine utan det andre.
Ein fare ved å praktisere detaljert innsynslogging er at ho kan føre til at det blir trekt feilaktig negative slutningar som kan få konsekvensar for dei som figurerer i loggane. Dette vil særleg kunne skje dersom det er eksterne aktørar eller nokon som ikkje kjenner til lokale forhold hos den aktuelle behandlingsansvarlege, som les av loggane. I personopplysningslova § 13 blir det stilt krav om at den behandlingsansvarlege skal sørgje for god nok informasjonstryggleik med omsyn til integriteten til opplysningane. Dette må òg reknast for å gjelde loggdata, og den behandlingsansvarlege pliktar slik sett å sikre integriteten til loggen. Dersom ein trekkjer konklusjonar frå loggen åleine, kan det oppstå situasjonar der personar blir skulda for å ha «snoka» i dokument i situasjonar der dei for eksempel har fått munnleg fullmakt til å gjere det. Det er mange tenkjelege situasjonar der det kan vere gode grunnar for ei handling som er loggført som mistenkjeleg, og dei faktiske forholda vil tilseie at handlinga var reglementert. Sjølv om innsynslogging er eit kontrolltiltak som klårt kan tillatast etter arbeidsmiljølova kapittel 9, er den mistenkjeleggjeringa som omfattande bruk av logging kan føre med seg, uheldig. Regjeringa meiner derfor at det er viktig å innføre gode rutinar for å verifisere loggdata og følgje opp mistenkjelege loggdata.
Plikta til innsynslogging kan ikkje gjelde utan unntak. Det er ikkje all informasjon ein treng loggføre av omsyn til personvernet, og overflødig informasjon bør ikkje loggast. Det er derimot viktig å få eit fullstendig bilete av kva handlingar som blir utførte i eit system. For det første er det nødvendig å loggføre kven som får innsyn og når, og dessutan mislukka forsøk på innsyn. Det kan òg vere føremålstenleg å loggføre kvar det blir oppnådd innsyn, kor lenge vedkomande hadde innsyn, og eventuelt kva søkjeord som er brukt for å finne det aktuelle dokumentet. Det blir utvikla stadig fleire program for såkalla «flagging» av bruksmønster som kan indikere mogleg snoking. Søkjemønsteret til ein brukar og korleis vedkomande bruker informasjonssystemet, kan bli flagga dersom bruken endrar seg merkbart. Dette må deretter følgjast opp av personell som er ansvarleg for å gå gjennom loggar, og eventuelt av den overordna til den aktuelle brukaren. Slike flaggingssystem kan, dersom dei blir implementerte på rett måte, medverke til at innsynsloggar blir handterte på ein betre og meir effektiv måte.
I helse- og omsorgssektoren har ein eigne reglar for innsynslogging og innsyn i loggar. Pasientar har fått rett til innsyn i eigen journal og i loggar frå behandlingsretta register etter pasientrettslova § 5-1 og helseregisterlova § 13 sjette leddet. Dei nærmare krava til innsynslogginga i helseregistera er fastsette i helseinformasjonstryggingsforskrifta19 § 16. Det er for tida arbeid i gang med prosjekt i helse- og omsorgssektoren for korleis program for attkjenning av mønster kan medverke til meir effektiv gjennomgang av loggar. Dette er eit krevjande arbeid, særleg på grunn av den store mengda av opplysningar som blir behandla, og dei mange rollene som ligg i IKT-systema i helse- og omsorgssektoren. Det er òg viktig å ta omsyn til det særlege behovet som helsepersonell kan ha for tilgang til helseopplysningar i nødssituasjonar. Sjølv om arbeidet med effektiv logging er krevjande, er det likevel eit svært viktig arbeid. Dette er noko som bør gjerast i alle sektorar med større register.
9.6.1 Innsyn i loggar som handlar om aktivitet knytt til eigne opplysningar
Det at den registrerte skal få innsyn i eigne personopplysningar, er eit viktig personvernprinsipp. Innsynet blir mellom anna grunngitt med at ein gjerne har interesse av å kontrollere kva opplysningar andre har om ein sjølv, og interesse av å kunne be om å få opplysningar retta eller sletta. Etter personopplysningslova § 18 har kvar den som ber om det, rett til å få innsyn i behandlinga av personopplysningar om seg sjølv og omstenda rundt denne behandlinga. Dette bør òg gjelde for innsynsloggane i ulike register.
Det er viktig at kvar einskild blir informert om retten til å få innsyn i innsynsloggane til dei registera der han eller ho er oppført. Viss informasjonen som blir gitt til dei registrerte om innsynsretten, ikkje er god, kan denne retten til innsyn i loggar raskt bli ein rett som det er vanskeleg å praktisere. Det er derfor spesielt viktig for dei behandlingsansvarlege som lagrar sensitive personopplysningar, for eksempel sjukehus og legekontor, å gi god informasjon om innsynsretten.
Ein viktig føresetnad for at innsynsretten skal kunne praktiserast, er at loggføringa er presis, og at den informasjonen som ligg i loggane, har god integritet. Ein må kunne vite heilt sikkert at den som har hatt innsyn i opplysningane, faktisk er den personen som har fått tilgang. Det er viktig at påloggingsrutinane for dei ulike registera og systema er gode og sikre, og at metodane for identifisering/autentisering er best mogleg. Dersom systema for identitetsforvalting ikkje er gode nok, blir heller ikkje systema for logging gode nok.
Vidare må ein vurdere om den registrerte skal få innsyn i heile loggen eller berre dei delane av loggen som er viktige for at han eller ho skal kunne nytte rettane sine. Det viktigaste i denne samanhengen er at omfanget av innsyn i loggane skal vere tilstrekkeleg til at den registrerte kan få brukt rettane sine på ein god måte. Det kan tenkjast at omfanget av innsyn i loggar bør variere noko frå register til register. I somme register kan det vere behov for eit noko avgrensa innsyn av omsyn til integritet eller sikring av personvernet til andre. For andre loggar kan det vere nødvendig å praktisere ein noko utvida innsynsrett. Det er likevel mykje som talar for at innsynsretten i dei ulike registera bør vere så lik som mogleg, slik at dei registrerte opplever at dei har den same innsynsretten uavhengig av kva register det dreiar seg om.
9.6.2 Logging i større offentlege og private register
Logging er spesielt viktig i dei store registera der ein behandlar sensitive personopplysningar. Nedanfor er omtale av nokre av sektorane der det er spesielt viktig å praktisere innsynslogging på ein god måte.
Eit område der ein har vedteke å utvide graden av innsynslogging, er registera til politiet. I den nye politiregisterlova er det vedteke eit krav om at opplysningane skal kunne sporast. Kravet inneber at opplysningar om bruk av systemet skal lagrast i eitt til tre år. Føremålet med lagringa er å avdekkje tryggleiksbrot og urettkomen behandling av personopplysningar.
I samband med avgjerda om å modernisere arbeids- og velferdsetaten er det sett i gang ei omfattande modernisering av datasystema til etaten. Her skal det mellom anna utviklast meir moderne system for tilgangskontroll. Etaten har allereie etablert system for logging i samsvar med føresegnene om informasjonstryggleik i personopplysningsforskrifta. Datatilsynet har derimot påpeikt, etter at dei i november 2010 gjennomførte kontrollar ved utvalde Nav-kontor20, at sikringa av fortrulegskap gjennom tilgangsstyring og logging ikkje er god nok. Det gjekk mellom anna fram av kontrollrapporten at innsynslogging ikkje var implementert i alle fagsystema som er i bruk i arbeids- og velferdsetaten. Vidare uttala Datatilsynet at den manglande gjennomgangen av loggane var uheldig. Hovudutfordringane med dagens system er knytte til etablering og oppfølging av dei etablerte loggane, sikring av tilfredsstillande tilgangskontroll i datasystema til etaten og forankring av eit godt styringssystem for informasjonstryggleik. Som ein del av moderniseringsarbeidet må dei gå gjennom dei eksisterande rutinane for innsynslogging og vurdere om det er nødvendig å gjere endringar i dei. Nav arbeider for tida med å møte desse utfordringane, og dette er under evaluering av både Riksrevisjonen og Datatilsynet.
I finanssektoren er det òg viktig med logging. Både finansverksemder og forsikringsverksemder treng konsesjon frå Datatilsynet for å kunne behandle personopplysningar. Etter at konsesjonsvilkåra for bankar og finansinstitusjonar vart omgjorde våren 2010, vart det mellom anna innført strengare krav til korleis finansverksemdene skal praktisere tilgangskontroll og logging. Det vart òg avgjort at ein skulle gi kundane rett til innsyn i logg over elektroniske oppslag. Dei nye vilkåra inneber at dei elektroniske oppslaga tilsette gjer i personopplysningar skal loggast og lagrast i minst tre månader, og at kundane skal få innsyn i kor mange elektroniske oppslag tilsette har gjort, og når dei gjorde det. Dei nye konsesjonsvilkåra tok i utgangspunktet til å gjelde 1. januar 2011. På grunn av implikasjonane dei «nye» vilkåra for mellom anna logging og innsyn i loggar fekk for IKT-systema til bankane, vart implementeringsfristen for desse vilkåra utsett, først til 1. juli 2012 og seinare til 31. mai 2013. Fleire norske bankar samarbeider no med Finansnæringens Fellesorganisasjon (FNO) for å oppfylle dei nye vilkåra innan implementeringsfristen. Forsikringsverksemder har eigen konsesjon frå Datatilsynet. Konsesjonsvilkåra stiller ikkje noko krav om at forsikringsverksemder skal praktisere logging av oppslag, og dermed heller ikkje om at kundane skal få noko innsyn i slike loggar. Forsikringsselskap behandlar mange og sensitive opplysningar om kundane sine, og dei har svært omfattande register. Dette gjeld særleg på området for livsforsikringar. Ein bør vurdere om det bør stillast liknande vilkår om logging og utvida innsyn til forsikringsverksemder som til finansverksemder.
9.6.3 Utgreiing om praktisering av logging og innsyn i loggar
I samband med stortingsbehandlinga av forslaget om å implementere datalagringsdirektivet i norsk rett bad Stortinget i Innst. 275 L (2010-2011) punkt 12, jf. vedtak nr. 473 11. april 2011, regjeringa om å drøfte desse spørsmåla i meldinga til Stortinget om personvern:
Kva avgrensingar som bør gjerast i loggplikta.
Retten til innsyn i loggar og omfanget av innsynet i kvart enkelt forhold.
Framdrifta i arbeidet med å verkeleggjere prinsippet om loggplikt og innsynsrett.
Å kartleggje praktiseringa av logging og innsyn i loggar i dei store registera, og særleg dei som inneheld sensitive personopplysningar i helse- og omsorgssektoren, finanssektoren, hos politiet og i arbeids- og velferdssektoren, er eit omfattande arbeid.
Det finst generelt lite informasjon om korleis innsynslogging blir praktisert i dei ulike større registera. Dette kjem i stor grad av at det er opp til kvar enkelt verksemd å bestemme rutinane for logging og korleis loggane skal verifiserast. Det finst ingen sentrale retningsliner for korleis dette skal gjerast i kvar einskild sektor. På grunn av uvissa om kva praksis som gjeld i ulike sektorar og verksemder, er det svært vanskeleg å kome med konkrete tilrådingar om korleis loggplikta og innsynsretten i loggar bør avgrensast. Derfor har regjeringa bestemt at det skal setjast ned ei arbeidsgruppe som skal kartleggje praktiseringa av logging og innsyn i loggar i dei store offentlege og private registera, særleg dei som inneheld sensitive personopplysningar. På grunnlag av funna dei gjer, skal gruppa utarbeide retningsliner for praktisering av logging og innsyn i dei sektorane det gjeld. Arbeidsgruppa skal leiast av Fornyings-, administrasjons- og kyrkjedepartementet og ha medlemer frå dei departementa arbeidet gjeld.
9.7 Samandrag og tilrådingar
Den generelle auken i bruk av internett og sosiale medium og utviklinga av avanserte metodar for lagring og sporing fører med seg nye og viktige problemstillingar knytte til personvernet. Det teknologiske landskapet er prega av at endring er den einaste konstanten. Dersom ein ikkje tek mål av seg til å møte utviklinga av ny teknologi i framtidig personvernregulering, kan det få konsekvensar for personvernet. Det overordna målet i dette kapittelet har derfor vore å understreke kor viktig det er med innebygd personvern. Ikkje berre i lovgivingsprosessane, men òg i prosessane der det blir utvikla og implementert ny teknologi, må ein krevje at personvernet blir sikra på ein god måte.
Det offentlege har ansvar for å gå føre med eit godt eksempel når det gjeld implementering av godt personvern. Dette blir gjort både ved at personvern blir bygd inn i offentlege løysingar, og ved at offentlege styremakter arbeider godt og målretta for å opplyse innbyggjarane og dei private aktørane om personvern. Ein bør derfor fastsetje eit prinsipielt mål om innebygd personvern i alle sektorar. For å oppnå dette er det spesielt viktig å stille krav i dei ulike sektorane, eksempelvis gjennom bransjenormer, om at dei mest personvernvenlege løysingane skal byggjast inn i utstyr, system og programvare som førehandsdefinerte standardinnstillingar.
Blant dei viktigaste nye teknologiane som opnar for betre effektivitet og tryggleik, er nettskyteknologien og bruken av biometri. Teknologiane inneber likevel visse utfordringar for personvernet. Regjeringa ønskjer å leggje til rette for sikker og forutsigbar bruk av nettskytenester innanfor rammene av det norske regelverket, blant anna ved å utarbeide rettleiingar. Når det gjeld biometri, ser regjeringa at det trengst ein brei diskusjon rundt kva typar føremål det er ønskjeleg å bruke desse teknologiane til.
Ein annan tendens i den teknologiske utviklinga er at ny teknologi i stadig større grad gjer det mogleg med elektronisk sporing av enkeltpersonar. Det kan for eksempel dreie seg om lokaliseringstenester på smarttelefonar, sporing av bilar, sporing av internettsøk eller lagring av informasjonskapslar til ulike føremål. Regjeringa meiner at det skal leggjast til rette for å bruke anonyme alternativ for dei som ønskjer det, og bruken av slike alternativ skal ikkje innebere noka ulempe for dei som vel dei. Det er dessutan viktig å presisere at der det er påkravd med samtykke til bruk av sporingsteknologi, bør ein unngå tekniske løysingar for innhenting av samtykke som grensar mot implisitt samtykke eller ei form for reservasjonsrett.
Identitetsforvalting og tilgangsstyring er viktige verkemiddel for å sikre personvernet til dei som er registrerte i større register. Det er svært viktig å sikre at rett person får tilgang til dei rette opplysningane til rett tid. Dette føreset gode løysingar for å identifisere og autentisere dei personane som er autoriserte for tilgang i registera. Eit mål må vere å innføre sikker e-ID for tilgang der dette er mogleg.
For å sikre at identitetsforvaltinga i IKT-system fungerer som ho skal, må plikta til klientbasert logging og retten til innsyn i eigne loggar vere eit berande prinsipp for alle større offentlege og private register. Ettersom ein per i dag ikkje har noka god oversikt over korleis logging og innsyn i loggar blir praktisert i dei ulike registera, er det behov for å undersøkje dette nærmare.
Boks 9.1 Hovudpunkt kapittel 9
Det bør fastsetjast eit prinsipielt mål om innebygd personvern i alle sektorar.
Dei førehandsdefinerte standardinnstillingane på utstyr, i system og i program bør setjast til den mest personvernvenlege løysinga.
Det bør leggjast til rette for sikker og forutsigbar bruk av nettskytenester innanfor rammene av det norske regelverket, blant anna ved å utarbeide rettleiingar.
Der samtykke blir brukt som heimelsgrunnlag for behandling av personopplysningar, bør ein unngå tekniske løysingar for innhenting av samtykke som grensar mot implisitt samtykke eller ei form for reservasjonsrett.
Det skal setjast ned ei interdepartemental arbeidsgruppe som skal greie ut klientbasert logging og retten til innsyn i desse loggane i dei større offentlege og private registera.
Fotnotar
Opinion 04/2012 on Cookie Consent Exemption (WP 194).