Del I

Datatilsynets budsjett og rammevilkår

Datatilsynets budsjett var i 2008 på i overkant av 26 millioner kroner, en økning på én million fra året før. To millioner kroner var øremerket kommunikasjonsprosjekt. I tillegg fikk Datatilsynet en belastningsfullmakt fra Fornyings- og administrasjonsdepartementet på ytterligere 1,1 millioner kroner for et kunstprosjekt og et filmprosjekt i tilknytning til «Du bestemmer». Det er opprettet to nye stillinger i tilsyns- og sikkerhetsavdelingen som følge av budsjettøkningen. Ca 66 % av det samlede budsjettet går til lønnskostnader, fordelt på 35 medarbeidere. Ut over kommunikasjonsprosjektet er det lite rom for å sette i gang tiltak som ikke direkte knytter seg til juridisk saksbehandling eller tilsynsvirksomhet.

Datatilsynet ble i 2008 tildelt ITAKT-prisen. ITAKT-prisen tildeles til personer eller virksomheter som har utmerket seg når det gjelder kriminalitetsbekjempelse innen telekommunikasjons- og internettsektoren. Datatilsynet fikk ett kunstverk og 20 000 kroner.

Som tilsynsorgan skal Datatilsynet dekke hele landet, inklusive Svalbard, og gjennomføring av tilsyn medfører en del reisevirksomhet.

Organisasjon

Datatilsynet var i 2008 bemannet med 35 årsverk, som fordeler seg slik:

• Direktøren

• Juridisk avdeling: 12 medarbeidere

• Tilsyn- og sikkerhetsavdelingen 7 medarbeidere

• Administrasjonsavdelingen 7 medarbeidere

• Informasjonsavdelingen 8 medarbeidere. Fire av disse er jurister knyttet til Datatilsynets juridiske svartjeneste, Frontservice. Frontservice betjener henvendelser per telefon og e-post ved siden av ordinær saksbehandling.

Datatilsynet vurderer kjønnssammensetningen fortløpende og søker å ta hensyn til å rekruttere i forhold til denne om kvalifikasjonene ellers er like. To kvinner har hele eller deler av virksomhetsåret hatt svangerskapspermisjon.

Datatilsynet har som mål å arbeide aktivt for at etaten til enhver tid gir kvinner og menn like arbeidsforhold og like muligheter til karriereutvikling og faglig utvikling. Gjennomsnittsalderen i Datatilsynet er for tiden 42 år for menn og 39 år for kvinner.

To medarbeidere sluttet i virksomhetsåret.

Datatilsynet ønsker å stimulere til et kulturelt og kompetansemessig mangfold i staben. Videre tilrettelegges det for en personalpolitikk som skal virke motiverende, og hindre utstøting av personer med nedsatt funksjonsevne. Datatilsynet er knyttet til avtalen om inkluderende arbeidsliv. Fokus har også i 2008 vært tiltak som forebygger belastningslidelser. Dette har vært tiltak knyttet til trening, ergonomisk veiledning og instruksjon om hensiktsmessig arbeidsteknikk.

Konsesjoner

I meldingsåret ble det gitt 206 konsesjoner for behandling av (sensitive) personopplysninger. Av disse utgjorde bruk av personopplysninger i forskning godt over halvparten av søknadene. I årsmeldingen for 2006 og 2007 ble det redegjort for konsekvensene i tilknytning til ny forskningslov. Det er ventet at Datatilsynet vil se en merkbar nedgang i antallet konsesjonssøknader når loven er i kraft. Forskningsloven vil, etter det som er kjent i skrivende stund, tre i kraft tidligst 1. juli 2009.

Andre tillatelser verdt å nevne er konsesjoner knyttet til frivillig dopingkontroll på treningssentre, samt kartlegging av boforhold for vanskeligstilte i kommunene.

Meldeplikten

Meldeplikten innebærer at den som ønsker å sette i gang en behandling av personopplysninger skal orientere Datatilsynet senest 30 dager før behandlingen starter. Det er imidlertid en del unntak fra meldeplikten.

I 2008 kom det inn 2910 nye meldinger om behandling av personopplysninger mot 2952 i 2007. Totalt er det nå 8640 meldinger i meldingsdatabasen, mot 8946 året før. Det har med andre ord vært en liten nedgang i antallet meldinger. Noe av nedgangen skyldes antagelig at en del virksomheter som har opprettet personvernombud ikke lenger er meldepliktige til Datatilsynet. 3212 meldinger ble i meldingsåret slettet fra databasen som utløpt på dato i forhold til treårsregelen, mot 2989 året før.

Klagesaker til Personvernnemnda

I meldingsåret oversendte Datatilsynet sju saker til Personvernnemnda for videre klagebehandling: Dette gjaldt:

• Klage på Datatilsynets avgjørelse vedrørende praksis med kredittvurdering av potensielle leietakere

• Sletting av opplysninger i Det sentrale straffe- og politiregister SSP

• Klage over deler av vedtak etter kontroll hos OBOS-megleren – bruk av eMegler

• Klage på kategorisering som ikke kredittverdig hos Lindorff Decision – bruk av adressehistorikk

• Klage på bransjeanalyse for CreditInform AS

• Klage på Datatilsynets avvisningsvedtak – Gjenoppretting av pasientjournal

Samtlige saker ble avgjort i meldingsåret og Datatilsynet fikk medhold i tre av sakene.

For nærmere redegjørelse om de konkrete sakene viser Datatilsynet til Personvernnemndas årsmelding. Datatilsynet vil likevel bemerke at tre av sakene er knyttet til bruk av kredittopplysninger. Klager fikk medhold i to av disse sakene.

Datatilsynet vil i tillegg trekke frem vedtaket knyttet til sletting i Det sentrale straffe- og politiopplysningsregisteret. Her fikk Datatilsynet medhold. Saken har etter tilsynets oppfatning stor prinsipiell betydning, i det Personvernnemnda uttaler seg om grensene for Datatilsynets kompetanse i forhold til rettspleielovene.

I meldingsåret mottok Datatilsynet i tillegg vedtak i tre saker som var oversendt Personvernnemnda i 2007. Dette gjaldt:

• Klage på vedtak om krav om samtykke for registrering i historisk database – Biblioteksystemer

• Klage på avvisningsvedtak – innsyn i personopplysninger hos OBOS

• Klage på vedtak om bruk av fødselsnummer på www.ung1881.no

I samtlige av disse tre sakene ble Datatilsynets vedtak stadfestet.

Datatilsynet vil bemerke at det ikke bør legges stor vekt på antallet vedtak som blir omgjort eller opprettholdt av Personvernnemnda uten at man samtidig ser hen til det store antallet vedtak som aldri blir påklaget. Datatilsynets erfaring er at de saker som blir oversendt til Personvernnemnda ofte knytter seg til områder der lovgivningen er uklar, og hvor klager, så vel som Datatilsynet, ser seg tjent med å få en avgjørelse fra Personvernnemnda som klargjør rettstilstanden. En annen kategori saker er vedtak som oppleves som begrensende for den klageren, men hvor han likevel velger å påklage, til tross for at rettstilstanden er relativt avklart.

Saksbehandling i tilknytning til internasjonale fora

Datatilsynet mottar en rekke forespørsler og spørreundersøkelser fra artikkel 29-gruppen og de andre internasjonale fora tilsynet deltar i. I tillegg kommer en del henvendelser direkte fra de andre europeiske tilsynsmyndighetene. Datatilsynet har i meldingsåret registrert ca 30 henvendelser fra andre land med spørsmål, samt mottatt fem til dels omfattende spørreskjemaer knyttet til forskjellige felt. Disse spørsmålene og spørreskjemaene bevares i hovedsak uformelt via e-post. Datatilsynet noterer at dette beslaglegger en god del ressurser. Det er imidlertid Datatilsynets oppfatning at det er viktig å behandle denne typen henvendelser, i det de bidrar til en felles forståelse og håndhevning av direktivet i Europa. De er også viktige kanaler for utveksling av erfaringer og kunnskap. Datatilsynet benytter selv disse kanalene for å kartlegge hvordan problemstillinger løses av våre søsterorganisasjoner, særlig dersom reglene er uklare i Norge, eller der den behandlingsansvarlige er etablert i flere land. I meldingsåret har Datatilsynet ved to anledninger benyttet artikkel 29-gruppens e-postliste for å innhente synspunkter fra samtlige av de andre tilsynsorganene. Begge sakene hadde tilknytning til behandling av personopplysninger i virksomheter med stor aktivitet i en rekke land både innen og utenfor EU/EØS-området. Svarene var til god hjelp i saksbehandlingen.

Fra artikkel 29-gruppens side har det vært lagt ned mye arbeid for å finne effektive metoder for å håndtere virksomheter som vil opprettet bindende konsernregler (BCR) for utlevering av personopplysninger til utlandet. I dag behandles disse etter et komplekst system der alle landene kontrollerer om reglene tilfredsstiller de nasjonale kravene til utlevering av personopplysninger. Datatilsynet har blitt med i en prøveordning der man i større grad aksepterer at det land der virksomheten har sitt hovedsete kontrollerer lovligheten av BCR på vegne av de øvrige, berørte tilsynsmyndighetene. Dette er en løsning som på sikt kan spare Datatilsynet for mye arbeid, samtidig som personvernet synes godt ivaretatt.

Personvernombud

Datatilsynet har, ved utgangen av meldingsåret, registrert 124 personvernombud som til sammen representerer over 300 virksomheter. Fokus i 2008 har vært å kvalitetssikre ordningen i forhold til eksisterende ombud. Veksten i antall ombud har vært noe lavere i 2008 sammenlignet med de siste par årene. Datatilsynet har likevel holdt tre foredrag om ordningen basert på invitasjoner fra virksomheter. Av de nye ombudene er det spesielt gledelig at offentlige etater som Arbeids- og inkluderingsdepartementet, Brønnøysundregistrene, Kystverket og Landbruks- og matdepartementet har valgt å implementere ordningen i sin virksomhet.

Datatilsynet arrangerte fire kurs for personvernombudene i 2008. To av kursene var for nye personvernombud. Opplæringskursene tar for seg internkontroll og sentrale begrep i personopplysningsloven. I tillegg gjennomgås rollen som personvernombud, og hvilke krav Datatilsynet stiller til ombudene. Det årlige seminaret for ombudene ble arrangert i mai, og oppslutningen var god. Etter et kort fellesprogram ble det holdt fem parallelle sesjoner for henholdsvis kommune/utdanning, personal/arbeidsliv, bank, inkasso og helse. Datatilsynet arrangerte også et eget seminar hvor temaet var informasjonssikkerhet.

Arbeidsgruppe – lagring av elektronisk spormateriale

Arbeidsgruppen ble nedsatt av Politidirektoratet for å kartlegge dagens regelverk og praksis med hensyn til sikring av elektroniske spor etter at det foreligger rettskraftig dom. I tillegg skal gruppen foreslå hensiktsmessige løsninger for lagring. Gruppen besto av deltagere fra Politidirektoratet, Økokrim, KRIPOS, Oslo politidistrikt, Riksarkivet og Datatilsynet. Det ble avholdt totalt syv møter i tiden fra august til desember. Arbeidsgruppen avleverte sin rapport til Politidirektoratet medio desember. Arbeidsgruppen konkluderer med at det ikke er behov for å lagre elektronisk spormateriale som ikke inngår i straffesaken. Derimot er det behov for å sikre notoritet i behandlingen av det som inngår i straffesaken i alle ledd i straffesakskjeden, samt etablere overordnede rutiner for oppbevaring og lagring av spormateriale for eventuell senere bruk. Konkret påpekes behovet for å bruke lydopptak av alle rettsforhandlinger og regler for lagring av disse. Arbeidsgruppen går for øvrig av sikkerhetsmessige årsaker inn for sentralisert lagring av de elektroniske spor som besluttes lagret. Datatilsynet deltok med en jurist.

Arbeidsgruppe for opprettelse av Offentlig elektronisk postjournal (OEP)

Gruppen ledes av Fornyings- og Administrasjonsdepartementet. Gruppens arbeid har vært satt på vent i 2008 grunnet at lov og forskrift ikke var vedtatt. Reglene ble vedtatt senhøstes 2008 og reglene om OEP er i kraft fra 1. juli 2009. Arbeidet forventes å bli avsluttet innen den tid.

Samarbeidsråd for helsesektoren

Rådet er opprettet av Sosial- og Helsedirektoratet med sikte på å koordinere arbeid med informasjonsteknologi i helsesektoren. Formålet med rådet er å styrke samarbeidet aktørene imellom og med de sentrale myndigheter. Datatilsynet oppfatter rådet som et viktig forum, og deltar som observatør.

Bransjenorm for helsesektoren

Sosial- og Helsedirektoratet har gjennomført et større prosjekt hvor formålet var å utvikle en bransjenorm for helsesektoren. Normen skal bidra til å harmonisere nivået i helsesektoren hva gjelder informasjonssikkerhet. Datatilsynet har bistått med råd og veiledning ved utforming av normen. Arbeidet med normen ble avsluttet september 2006, men det utvikles stadig tilhørende faktaark som utdyper normen. En styringsgruppe, som Datatilsynet deltar i, har overtatt ansvaret for forvaltning av normen. Arbeidet består nå i å få en hensiktsmessig spredning og implementering av normen i sektoren. Dette skaper store utfordringer gitt sammensetningen av små, mellomstore og store aktører.

I meldingsåret deltok Datatilsynet i arbeidet med å utforme to veiledere.

1. Veileder for kommuners tilknytning til helsenett .

   Veilederen gir førende anbefalinger og råd om hva som må ivaretas av gjeldende tekniske og administrative krav til informasjonssikkerhet når en kommune eller fylkeskommune tilnyttes helsenettet.

2. Veiledning i informasjonssikkerhet for forskning

   Veilederen bygger på den nye helseforskningsloven med forskrifter, og er utarbeidet i samarbeid med representanter fra sektoren.

KIS – Koordineringsutvalget for informasjonssikkerhet

Utvalget består av representanter for sju departementer, Statsministerens kontor og ni direktorater. Opprettelsen av koordineringsutvalget er et ledd i gjennomføringen av Nasjonal strategi for informasjonssikkerhet. Arbeidet omfatter alminnelig IT-sikkerhet og spørsmål knyttet til rikets sikkerhet, vitale nasjonale sikkerhetsinteresser og kritiske samfunnsfunksjoner. Utvalget skal samordne videreutviklingen av IT-sikkerhetsregelverket, få frem felles standarder, normer, metoder og verktøy for IT-sikkerhet og sørge for samordning av tilsynspraksis. Utvalget skal også drøfte aktuelle risiko- og sårbarhetsspørsmål og bidra til koordinering av informasjonstiltak og beredskapsplanlegging. Mye av arbeidet i KIS delegeres til arbeidsgrupper. Datatilsynet har prioritert å være aktiv i disse arbeidsgruppene.

KOBI – begrepsapparat innen regulering av informasjonssikkerhet

Koordineringsutvalget opprettet KOBI som en ny gruppe i 2006. Alle myndigheter som regulerer informasjonssikkerhet sitter i denne gruppen. Siktemålet er å lage en metode for klassifisering av informasjon med utgangspunkt i behovet for beskyttelse.

Koordineringsutvalget for E-forvaltning

Utvalget skal arbeide med samordning mellom forskjellige offentlige organer for å realisere IT-politisk plan. Møtene ledes av Fornyings- og administrasjonsministeren. Arbeidet fokuserer på hvordan målene i planen kan realiseres, og hvordan de enkelte aktørene kan bidra.

NAFAL

NAFAL er et tilpasningsråd for sivil luftfart. Hovedtemaet i rådet er implementering av sikkerhetsløsninger på flyplasser. Innen denne tematikken reises en rekke spørsmål i forhold til personvern.

Artikkel 29-gruppen

Den norske personopplysningsloven reflekterer personvernprinsippene som er nedfelt i EU-direktivet om personvern. Datatilsynet deltar som observatør i arbeidsgruppen opprettet etter direktivets artikkel 29. Gruppen har som oppgave å drive frem koordinering og synkronisering av EU/EØS-landenes nasjonale personvernarbeid, med utgangspunkt i personverndirektiv 46/95. Gruppen har en rådgivende funksjon overfor Kommisjonen og står fritt til å tolke og konkretisere direktivets innhold. I løpet av meldingsåret avholdt gruppen fem møter i Brüssel. Datatilsynet deltok på samtlige møter med direktøren, samt en saksbehandler i tillegg på tre møter.

Gruppen arbeider ofte med utgangspunkt i dokumenter fra uformelle arbeidsgrupper, der alle medlemslandene kan være med. Uten at det foreligger noe formelt vedtak, er det i praksis akseptert at også observatørland kan tiltre disse gruppene. Datatilsynet har i meldingsåret vært representert i to slike arbeidsgrupper.

• Medical Data. Arbeidsgruppen har hovedfokus på helsejournaler. Datatilsynet har deltatt på ett møte i 2008.

• Technology subgroup (tidigere Internet task force) . Arbeidsgruppen arbeider med internettrelaterte spørsmål, med vekt på det tekniske. Datatilsynet har deltatt på to møter.

Berlin-gruppen

Den internasjonale arbeidsgruppen for personvern innen telekommunikasjon, Berlin-gruppen, er primært nedsatt for å arbeide med tekniske problemstillinger knyttet til telekommunikasjon, men behandler også andre tekniske problemstillinger. Blant de mest sentrale saker i meldingsåret var:

• Bruk av «svarte bokser» i kjøretøy. Hvilken ­informasjon lagres og hvordan benyttes slike data?

• Lagring av innhold i SMS for lovhåndhevelse.

• Utvikling og bruk av PET-teknologi.

• Personvern i sosiale nettverk.

• Veiprising og personvern.

• Digitale rettigheter – hvordan ivareta personvernet.

En rekke andre tekniske problemstillinger var gjenstand for drøftelser i gruppen. Arbeidet i gruppen gir Datatilsynet viktige bidrag i sitt arbeid med tekniske problemstillinger.

Spring Conference

Hver vår avholdes et større «vårmøte» der artikkel 29-gruppen inviterer tilsynsmyndigheter fra land som ikke er del av EU/EØS, som for eksempel Sveits. Møtet ble i år arrangert i Roma. Datatilsynet deltok med direktøren og en saksbehandler.

Working Party on Police and Justice

Gruppen arbeider med spørsmål vedrørende politisamarbeid som faller inn under tredje søyle, det vil si utenfor det indre marked. Gruppen rapporterer til Spring Conference og eventuelle forslag og resolusjoner vedtas her. I 2008 arbeidet gruppen blant annet med forhold knyttet til Lisboa-avtalen, samt spørsmål om behandling av personopplysninger i tilknytning til Cybercrime-konvensjonen. Datatilsynet er representert med en saksbehandler. Det er avholdt tre heldagsmøter i meldingsåret.

Joint Supervisory Authority

JSA er det felles tilsynsorganet for Schengen Informasjonssystem (SIS). Informasjonssystemet inneholder opplysninger om personer som er ettersøkt, savnet, nektet innreise til Schengen-området, eller er straffedømt i et av medlemslandene. Møtene avholdes normalt i tilknytning til møtene i Working Party on Police and Justice i Brüssel, og Datatilsynet er representert med ett medlem i gruppen. I tillegg har en informasjonsmedarbeider bistått i arbeidet med å utvikle informasjonsmateriell knyttet til innføringen av SIS II.

Kontrollkommisjonen for Interpol

Datatilsynets representant i JSA er oppnevnt som vararepresentant i kontrollkommisjonen for Interpols register. Kommisjonen skal bistå i arbeidet med å sikre den enkeltes rettigheter i tilknytning til behandling av opplysninger om dem hos Interpol. Kommisjonen skal overvåke anvendelsen av personvernlovgivning innen dette området, samt behandle forespørsler om innsyn i Interpols registre. Vervet har medført deltagelse på to heldagsmøter i Lyon i meldingsåret.

Det internasjonale datatilsynssjefsmøtet

Hvert år holdes det en internasjonal konferanse for datatilsynssjefer med deltakere fra hele verden. Konferansen inneholder en åpen del som også andre enn datatilsynssjefene kan delta på. I 2008 ble konferansen holdt i Strasbourg, Frankrike. Datatilsynet deltok med direktøren, informasjonsdirektøren og en saksbehandler.

Internasjonalt saksbehandlermøte

Dette er et internasjonalt samarbeidsforum for juridiske saksbehandlere. Det ble avholdt to møter, henholdsvis i Ljubljana og Bratislava. Diskusjonene omhandlet blant annet behandling av personopplysninger på Internett og bruk av biometri. I tillegg har temaer som personvern kontra ytringsfrihet og behandling av personopplysning i løsninger for varsling i arbeidslivet stått på agendaen. Datatilsynet var representert med to saksbehandlere på disse møtene.

Nordisk datatilsynsjefmøte

Dette er et møte for direktørene i de nordiske datatilsynene, og arrangeres annet hvert år. I meldingsåret er det ikke avholdt møte.

Nordisk saksbehandlermøte

Dette er et årlig nordisk forum for saksbehandlere. Arrangementet ble i 2008 avholdt i Stockholm. Møtet hadde særlig fokus på kameraovervåking, som følge av at man i Danmark hadde innført en ny lov om privat kameraovervåking. Disse møtene er ellers et viktig forum for utveksling av erfaringer mellom de nordiske landene. Datatilsynet var representert med tre saksbehandlere.

Nordisk teknologimøte

Det ble avhold et møte i Oslo hvor det var deltakere fra øvrige Datatilsyn i Norden. Blant de sentrale spørsmål som ble drøftet var:

• Datalagringsdirektivet

• Tekniske funn på kontroller

• Google

• Sikkerhet ved Facebook

• e-billettering og RFID

• e-ID, elektroniske signaturer og nettbanker

• Pass og fingeravtrykk

• Nettbanker og e-faktura.

Undervisningsopplegget «Du bestemmer»:

Undervisningsopplegget «Du bestemmer» er utviklet i samarbeid med Teknologirådet og Utdanningsdirektoratet, og ble lansert januar 2007. Opplegget retter seg primært mot ungdom på 14-16 år, og handler om hvordan man kan ta kontroll over egne personopplysninger, og respektere andres integritet. Ved utgangen av 2008 var det til sammen sendt ut 7 341 klassesett på bakgrunn av bestillinger fra skoler og andre. Dette utgjør over 220 000 brosjyrer.

Filmproduksjon

Basert på den positive mottakelsen av undervisningsopplegget og tilbakemeldinger fra skoler og elever om at man ønsket mer film som diskusjonsgrunnlag, ble det besluttet å la ungdom selv lage filmer. Det ble derfor utlyst en manuskonkurranse med personvern og digitale medier som tema. Juryleder Harald Zwart plukket ut vinnermanusene. Seks vinnerteam fordelt på videregående skoler fra hele landet fikk hjelp fra profesjonelle filmfolk til å arbeide med utvikling av manus og filmproduksjon. I mars 2008 hadde filmene premierevisning på Filmens Hus.

Datatilsynet gikk også inn som sponsor for Amandusfestivalens manuskonkurranse, noe som resulterte i nok en kortfilm. Til sammen er det dermed produsert 12 filmer om personvern knyttet til «Du bestemmer». Alle disse filmene ble høsten 2008 distribuert til alle landets ungdomsskoler, sammen med et nytt hefte med tilvalgsstoff og oppgaver knyttet til filmene. Alle filmene er tekstet på bokmål, nynorsk, engelsk og nordsamisk.

Filmprosjektet ble nominert til PR-byråenes egen bransjepris «Gullkorn» i klassen for Årets holdningskampanje. «Du bestemmer» har tidligere også fått en internasjonal personvernpris («First special mention»).

Satsing mot mellomtrinnet

Inspirert av erfaringene med «Du bestemmer» rettet mot ungdom, har samarbeidspartnerne Utdanningsdirektoratet, Teknologirådet og Datatilsynet utvidet samarbeidet til også å utvikle et undervisningsopplegg for elever i 5-7. klasse. Bakgrunnen for dette er at mange har etterspurt et lignende opplegg mot de noe yngre elevene. Den nye skolepakken vil være ferdig i løpet av første halvår 2009. Dette materiellet vil naturlig nok ha en noe annen tilnærming, og berøre temaer som er særlig relevant for aldersgruppen, blant annet digital mobbing.

Internasjonal oppmerksomhet

«Du bestemmer» har vært gjenstand for stor internasjonal oppmerksomhet. Undervisningsopplegget er blitt presentert på flere internasjonale møter og konferanser. Mange land har allerede benyttet hele eller deler av materialet slik det foreligger, oversatt til eget språk. Spania har lansert undervisningsopplegget på spansk og baskisk. Også Makedonia og Slovenia har tatt i bruk materialet fra Norge. Det har i tillegg kommet henvendelser fra Tyskland, Sveits, Danmark og Isle of Man med tanke på kunne benytte dette. Kanadiske personvernmyndigheter har for sin del etablert en filmkonkurranse for ungdom, i følge dem selv etter inspirasjon fra «Du bestemmer».

Bilder av barn på Internett

I oktober ble en veileder om bilder av barn på Internett distribuert til alle landets barnehager, samt skoler med 1 -7 trinn. Dette førte til en rekke etterbestillinger, og tilbakemeldingene har vært overveldende positive. Informasjonsbehovet har åpenbart vært stort. Veilederen har blitt brukt som grunnlag for diskusjon både på personal- og foreldremøter, og bevisstheten i skoler og barnehager om deres publisering av bilder av barn ser ut til å ha økt. Allerede i desember gikk første opplag av brosjyren (40 000 eksemplarer) tomt, og nytt måtte trykkes.

Brosjyren ble lastet ned 5 528 ganger fra Datatilsynets hjemmeside.

Veilederen er bygd opp rundt intervju med personer som har ulike innfallsvinkler til nettpublisering; Barneombudet, en etterforsker i Kripos, en pedagog, en forelder og en ungdom. Hvert intervju avsluttes med noen tommelfingerregler og diskusjonsoppgaver. Det er også med en del konkret fakta, for eksempel om lovverket og barnekonvensjonens bestemmelser.

Personvern i kunsten

Sommeren 2007 bevilget Fornyings- og administrasjonsdepartementet ekstra midler til et prosjektet hvor personvern skulle uttrykkes gjennom kunst. Datatilsynet ønsket å skape debatt og refleksjon rundt personvern gjennom å involvere kunstneriske uttrykk. Tilsynets hovedstrategi for å nå dette målet var å oppnå bred pressedekning og oppmerksomhet både i forkant av og under selve utstillingsperioden. For å sikre den kunstfaglige kompetansen ble det inngått en avtale med KORO (Kunst i offentlige rom, tidligere Statens utsmykningsfond). Når det gjelder utstillingslokaler ble det inngått samarbeid med Rom for kunst på Oslo S (ved Kulturbyrået Mesèn). I februar ble det utlyst en idékonkurranse med tittelen «Privatlivets fred». Innleveringsfrist, juryering og kåring av fire vinnere foregikk i april. Utstillingen «Privatlivets fred» ble åpnet av statsråd Heidi Grande Røys midt i ankomsthallen på Oslo S den 1. oktober. Der stod den til 26. november.

Dette har vært et utradisjonelt prosjekt for Datatilsynet og det var derfor vanskelig å forutse mottagelsen blant publikum og presse. Utstillingen med de fire kunstverkene oppnådde stor pressedekning, til sammen 43 oppslag i hele perioden fordelt på aviser, magasiner, radio og tv. I utstillingsperioden stod Datatilsynet også på stand på Oslo S. Dette viste seg å være en fin måte for Datatilsynet å gjøre seg synlig og tilgjengelig for publikum, samt å få tilgjengeliggjort tilsynets informasjonsmateriell.

Personvernrapporten

«Personvernrapporten 2008 – hva er vi redde for?» handler om hva som skjer i pressituasjoner der den grunnleggende muligheten til personvern blir svært vanskelig – eller umulig. Datatilsynet ser at det ofte er i bekjempelsen av det vi frykter mest, som kriminalitet, terror, helsesvikt og så videre, at de mest inngripende forslagene kommer. Under slike omstendigheter godtar vi kanskje lettere at de berørte blir fratatt selv den siste lille rest av personvern. Rapporten inneholder også funn fra en fersk personvernundersøkelse, artikler om personvern og offentlighet, id-tyveri og datalagringsdirektivet.

Personvernrapporten ble lansert i april med en pressefrokost, som resulterte i solid medieomtale og påfølgende bestillinger. Den ble også førstegangsdistribuert til over seks tusen mottakere. Ved årsskiftet var det kommet inn 463 etterbestillinger av til sammen 1782 eksemplarer. Rapporten har i tillegg blitt lastet ned mer enn 7200 ganger fra Datatilsynets hjemmeside.

Utstilling om ID-tyveri

Datatilsynet deltok i løpet av meldingsåret i utviklingen av en såkalt «hot-spot»-utstilling om ID-tyveri. Georg Apenes forestod åpningen av utstillingen, som stod på Teknisk Museum fra medio juni til medio september. Målet med utstillingen var å bidra til å styrke bevisstheten om identitetstyveri. Den viste, blant annet gjennom interaktive installasjoner, hvordan kriminelle får tak i våre personopplysninger, hvordan disse kan misbrukes og hvordan vi kan beskytte oss mot tyveriene. Andre bidragsytere var Kripos, Teknologirådet, NorSIS og Security Valley. Datatilsynet mener denne utstillingen på en fin og lettfattelig måte demonstrerer hva begrepet ID-tyveri innebærer, og hvorfor det er relevant for alle som i en eller annen sammenheng oppgir sine personopplysninger. Datatilsynet har derfor tatt initiativ til å få videreført utstillingen på vitensentre andre steder i landet.

Datatilsynets hjemmeside

Hjemmesiden www.datatilsynet.no er en viktig kanal for Datatilsynet. Det legges stor vekt på å bruke nettsiden aktivt. I 2008 ble det publisert 80 egenproduserte nyhetssaker. I tillegg har Datatilsynet fortsatt den planmessige oppbyggingen og gjennomgangen av informasjonen om sektorer og teknologier.

Når forsiden oppdateres, sender Datatilsynet varsel til 3 322 abonnenter som selv har meldt seg på varslingslisten. Nytt i meldingsåret er at Datatilsynet, i tillegg til nyhetsvarselet per epost, også har gjort det mulig for leserne å melde seg på en rss-tjeneste. Her vil abonnenter få tilgang til nye saker i det øyeblikket de blir publisert. Det ser ut til at denne tjenesten er blitt vel mottatt. Bare i desember 2008 hadde Datatilsynet over 16 000 treff på denne tjenesten.

Mediekontakt

2008 har vært et aktivt år også når det gjelder arbeidet opp mot mediene. Dette skyldes blant annet den store oppmerksomheten omkring temaer som datalagringsdirektivet og identitetstyveri.

I løpet av 2008 har Datatilsynet registrert hele 1 614 henvendelser fra mediene, formidlet via Informasjonsavdelingen. Det ble i de aller fleste tilfellene gitt intervjuer og kommentarer til aviser, tv, radio eller internettbaserte medier. Dette har resultert i over seks tusen registrerte medieoppslag hvor Datatilsynet er omtalt.

Noen saker som fikk særlig stor medieomtale i 2008 er:

• Datalagringsdirektivet

• Den svenske FRA-loven

• Identitetstyveri

• Skattedirektoratets lekkasje av personopplysninger

• Kunnskapsdepartementets forslag om elevregister

• Elevundersøkelse stoppet av Datatilsynet

• Kameraovervåking på skoler og badeanlegg

• Nasjonalbibliotekets lagring av blogger mv

Datatilsynet har i meldingsåret også utarbeidet flere egenproduserte artikler og debattinnlegg enn tidligere.

Foredragsvirksomhet

Datatilsynet tilbyr normalt ikke egne seminarer eller kurs ut over de som arrangeres i forbindelse med personvernombudsordningen. Så langt tilsynet har tilgjengelige ressurser stiller vi imidlertid med foredragsholder på kurs og seminarer i regi av andre. Datatilsynets inntrykk er at våre foredrag/foredragsholdere er populære, da vi året igjennom mottar en jevnt høy strøm av forespørsler om foredragsholdere. I 2008 har vi holdt flere foredrag enn noen gang tidligere. Dette skyldes i stor grad oppmerksomheten omkring temaene datalagringsdirektivet og id-tyverier. I tillegg til foredrag i regi av andre har vi også hatt fire klassebesøk i 2008. Vi tok også initiativet til et seminar om kameraovervåking, holdt i samarbeid med Næringsforeningen i Trondheim og Samarbeidsgruppen Midtby"n.

Publikumsveiledning

Datatilsynet legger stor vekt på å være til stede og yte god bistand overfor de enkeltpersoner og representanter for virksomheter som på eget initiativ tar kontakt for å søke råd og veiledning. De aller fleste direkte publikumshenvendelser blir derfor besvart av en juridisk svartjeneste, som trekker på teknologisk kompetanse når det er nødvendig.

Den juridiske svartjenesten har i 2008 registrert 7 070 besvarte telefonhenvendelser, mot tilsvarende 7 300 året før. Dette utgjør en marginal nedgang. Imidlertid er det en oppgang i antallet henvendelser per e-post. Sett samlet har dermed antallet mer uformelle henvendelser per telefon og e-post gått noe opp i forhold til året før. Tilgjengelighet/svartid på telefonservicen vurderes gjennomgående å være meget god.

Hva handler henvendelsene om?

Tabellen nedenfor viser telefonhenvendelsene besvart av den juridiske svartjenesten. Henvendelsene er fordelt på tema, og hvorvidt innringer opptrer som (eller på vegne av) plikt- eller rettighetshavere.

Tilsyns- og sikkerhetsavdelingen besvarte om lag 1000 henvendelser om informasjonssikkerhet.

Arbeidsliv er fortsatt det temaet det kommer flest henvendelser om, selv om det har vært en nedgang fra året før. Hele 15 prosent av henvendelsene gjelder dermed spørsmål knyttet til innsyn i e-post samt kameraovervåking og annen overvåking i arbeidslivet. I tillegg er en del av de henvendelser som er kategorisert som «biometri» relatert til arbeidslivet. Det har vært en relativt stor prosentvis økning i henvendelser knyttet til bruk av fødselsnummer sammenlignet med fjorårets tall (ni prosent). Dette kan trolig knyttes til at Datatilsynet har hatt et økt fokus på fødselsnummer som kilde til identitetstyveri. Temaet har også vært mye omtalt i mediene.

Nedgangen i antallet henvendelser om direkte markedsføring, særlig knyttet til reservasjonsregisteret, fortsetter. Datatilsynet mottok 433 telefonhenvendelser fra rettighetshavere i 2008. Dette er en betydelig nedgang, særlig sett opp mot nær 1 500 henvendelser fire år tidligere.

Henvendelser pr e-post

Det har kommet inn 3 054 henvendelser per e-post til den juridiske svartjenesten, mot 2 673 året før.

Henvendelsene fordeler seg tematisk omtrent som ved telefonhenvendelser, dog slik at spørsmål vedrørende Internett og fødselsnummer utgjør en noe større andel av e-posthenvendelsene enn pr. telefon. Dette er helt på linje med resultatene fra 2007.

Den juridiske svartjenesten har nå gode rutiner mht besvarelse av e-post, slik at målsettingen om at gjennomsnittlig svartid på e-post ikke skal overstige to virkedager oppfylles. Ved årsskiftet var det ingen ubesvarte e-posthenvendelser.

Tilsyns- og sikkerhetsavdelingen besvarte i overkant av 500 e-posthenvendelser.

Veiledningsmøter om informasjonssikkerhet

Datatilsynet gjennomførte i underkant av 70 veiledningsmøter hvor innholdet primært var av teknisk art. Problemstillingene som ble drøftet var hvordan behandlingsansvarlig kan oppnå tilfredstillende beskyttelse av personopplysninger. Datatilsynet gir råd i forhold til konkrete problemstillinger og veileder virksomheten i forhold til hva de bør settes fokus på i informasjonssikkerhetsarbeidet. Ofte deltar også leverandører eller konsulenter til behandlingsansvarlig. Datatilsynet ser slike møter som et viktig bidrag til å oppfylle veiledningsplikten etter forvaltningsloven. Tilbudet blir godt mottatt av virksomhetene

Veileder om databehandleravtaler

Gjennom flere tilsyn har Datatilsynet avdekket uryddige tilstander i forholdet mellom behandlingsansvarlig og databehandler. I denne type forhold er det ofte databehandleren som sitter med alle kortene på hånden. Slik skal det ikke være. Databehandleravtalen skal skape likevekt i forholdet.

I mange tilfeller eksisterer det ingen databehandleravtale. I andre tilfeller mener man at andre avtaler mellom partene regulerer dette godt nok. Selv der man har laget en databehandleravtale er det ofte betydelige mangler ved den.

Databehandleravtalen kan gjerne inngå som et eget kapittel i egne tjenesteavtaler (driftsavtaler) mellom partene. Avtalen må imidlertid inneholde et minimum av bestemmelser som ivaretar de registrertes rettigheter etter personopplysningsloven. All bruk av personopplysninger mellom start- og sluttidspunkt må reguleres i avtalen. Datatilsynet mener avtalen ikke uten videre kan standardiseres, og har som en konsekvens av dette laget et informasjonsskriv om hva databehandleravtalen som et minimum må inneholde.

Ny veileder: «Når ulykken er ute»

Datatilsynet har utarbeidet en veileder med tittelen «Når ulykken er ute». Denne gir virksomhetene konkrete råd når personopplysninger er på avveier eller står i fare for å komme på avveier. Veilederen er også integrert i bransjenormen for helsesektoren.

DEL II

1) Uklare ansvarsforhold

Personopplysningsloven legger ansvaret for behandlingen av personopplysninger til en behandlingsansvarlig. Bakgrunnen for ansvarsplasseringen er at en definert instans skal ha ansvaret for at personvernet blir ivaretatt, både forholdet til borgernes rettigheter, og myndighetenes krav.

Tilsynene i 2008 viser uklare ansvarsforhold for mange databaser og registre med personopplysninger. I noen sammenhenger har uklarhetene utspring i en komplisert organisering av en virksomhet, som for eksempel i konsernstrukturer eller i arbeidsfellesskaper mellom privatpraktiserende leger eller advokater.

Det finnes imidlertid også uklare ansvarsforhold for databaser de fleste ville tro har en trygg forankring i en etat eller et forvaltningsorgan. Datatilsynet så i meldingsåret på to støttesystemer for kostnadsfordeling opprettet i Helse Sør-Øst RHF. Datatilsynet mente at det regionale helseforetaket instruerte sine underliggende helseforetak til å gå inn i ulovlig praksis ved å koble seg til disse to systemene. Systemene var bestemt og fastlagt av det regionale helseforetaket, mens de underliggende helseforetakene ble utpekt som behandlingsansvarlig. De sistnevnte hadde imidlertid ikke reelle muligheter til å ivareta sine plikter etter personopplysningsloven. Les mer om dette i avsnittet om helse og forskning.

Kontroller i 2008 viste at plikten til å informere berørte parter om politiets fingeravtrykksregister AFIS ikke ble etterlevd. Fingeravtrykkene blir lagret i AFIS samtidig med at de blir lagt inn i EURODAC, et strengt regulert europeisk fingeravtrykksregister. Der opplysninger i AFIS kan brukes i etterforskning, vil opplysninger i EURODAC ikke være tillatt brukt til dette formålet. Resultatet av manglende informasjon er dermed at asylsøkerne ikke får vite at fingeravtrykkene de har avgitt kan bli brukt i etterforskning. Utlendingsloven fastslår at Kripos er registeransvarlig, og Justisdepartementet er registereier for AFIS. Kripos problematiserte imidlertid ansvarsfastsettelsen. Saken er ikke avklart når årsmeldingen skrives. Les mer i kapittelet om justissektoren, avsnittet om utlendingsfeltet.

Forslaget til ny folkeregisterlov, fremlagt i meldingsåret, legger opp til at det nye folkeregisteret skal være et slags «dugnadsprosjekt» der ansvaret for at personopplysningene er korrekte, oppdaterte og tilstrekkelige er tenkt lagt til flere aktører med tilgang til registeret. Datatilsynet var i sin høringsuttalelse bekymret for at ansvaret blir pulverisert når det ikke er tydelig plassert.

Eksemplene nevnt ovenfor er typiske uklarheter som kan gi store personvernkonsekvenser for den enkelte.

Datatilsynet understreker at det er spesielt viktig at den som lager datasystemer der flere instanser skal bidra med, eller bruke, personopplysninger, også plasserer ansvaret tydelig, samt ser til at ansvarshaveren har midler og reell myndighet til å følge opp sine plikter.

2) Uryddige databehandleravtaler

Noen virksomheter velger å sette ut hele eller deler av behandlingen av personopplysninger til andre virksomheter, såkalte databehandlere. Valget kan skyldes at virksomheten mangler kompetanse til å forestå driften selv, eller at virksomheten vurderer det som hensiktsmessig eller lønnsomt av andre årsaker. Ofte vil databehandlere ha spesialkompetanse innen «sine» tjenesteområder. Selv om den behandlingsansvarlige virksomheten bruker databehandlere, har den fortsatt ansvaret for å sikre, gjennom avtaler og oppfølging, at personopplysninger behandles i tråd med regelverket, og at sikkerheten er tilstrekkelig.

Funn under kontrollvirksomheten viser at mange av virksomhetene som bruker databehandlere, ikke har etablert tilstrekkelige avtaler, slik personopplysningslovens § 15 krever. Konsekvensen er at den enkelte registrerte får et betydelig dårligere rettsvern enn han eller hun skulle hatt etter personopplysningsloven.

Regelverket forutsetter at det er den behandlingsansvarlige som skal sette premissene. Tilsynene i 2008 viser imidlertid at dette ofte ikke er tilfellet. Den behandlingsansvarliges muligheter til å disiplinere databehandlere oppleves i mange tilfeller som begrenset. Den behandlingsansvarlige oppfatter at den enten må akseptere standardavtalen til databehandleren, eller finne seg en annen leverandør.

3) Manglende systematisk internkontroll

Internkontroll er den behandlingsansvarliges virkemiddel for å sikre at virksomheten opererer i samsvar med regelverket. Fravær av et slikt system overlater etterlevelsen av regelverket i for stor grad til tilfeldighetene. Mer enn halvparten av kontrollerte virksomheter får anmerkninger om manglende eller utilstrekkelig internkontroll. Ofte har virksomheten ikke laget sentrale rutiner. I noen tilfeller har Datatilsynet observert at det ikke har vært arbeidet med ivaretakelse av internkontrollplikten i det hele tatt.

Virker det nye forbudet mot snoking i pasientjournal?

Selv om noen helseforetak har arbeidet systematisk for å forebygge snoking, viser det seg at de fleste har problemer med å etablere løsninger som sikrer at kun personer med tjenstlig behov får tilgang. Stortinget vedtok i meldingsåret et forbud mot snoking i pasientjournaler. I helseregisterlovens § 13a heter det at: «Det er forbudt å lese, søke etter eller på annen måte tilegne seg, bruke eller besitte helseopplysninger som behandles etter denne loven uten at det er begrunnet i helsehjelp til pasienten, administrasjon av slik hjelp eller har særskilt hjemmel i lov eller forskrift.» Brudd på bestemmelsen kan medføre bøter eller fengsel i inntil tre måneder.

Datatilsynet er opptatt av at man sikrer at dette forbudet får et reelt innhold. I meldingsåret hadde Helsetilsynet saker vedrørende snoking til behandling, uten at det har ført til reaksjoner. I ett tilfelle mente Helsetilsynet at det fantes en for stor mulighet for at andre enn passordinnehaveren hadde logget seg inn i pasientjournalen, og at identiteten til snokeren dermed ikke var tilstrekkelig dokumentert. Tilgangen til pasientjournalen var passordbeskyttet i tråd med dagens anbefalinger, men passordet ble oppbevart i nærheten av terminalen. Dette var i strid med interne retningslinjer ved helseforetaket. Datatilsynet frykter at forbudet mot snoking ikke vil virke etter sin hensikt dersom ikke kravene til sikkerhet også styrkes, slik at helseforetakene har reelle mulighet til å påvise hvem som har skaffet seg tilgang til hvilke opplysninger.

Etterfølgende kontroll av logger i stedet for tilgangskontroll

Datatilsynet ser en tendens til at virksomheter velger å gi sine ansatte bred tilgang til databasene fremfor smal, oppgavebegrenset tilgang. I stedet for å begrense hvem som skal ha tilgang til hva, velger man eventuelt å logge oppslag i databasene.

Datatilsynet vil understreke at logging ikke kan erstatte tilgangskontroll ut fra personvernmessige betraktninger.

Virksomheter som argumenterer for at logging gir tilstrekkelig vern, mener ofte det vil være en altfor omfattende jobb å finne ut hvem som trenger tilgang til hva, og hvilke opplysninger virksomheten behandler. En slik oversikt er imidlertid et grunnleggende krav i personopplysningsloven.

Datatilsynet har tidligere påpekt at ansattes taushetsplikt blir brukt som argument for at den som har ansvar for å sikre opplysninger i et datasystem ikke innfører tilstrekkelig tilgangskontroll til opplysningene. Datatilsynet ser på dette som en ansvarsfraskrivelse på systemnivå, og er bekymret for at personvernet kun skal være opp til den enkelte ansattes integritet og egne vurderinger.

Flere bruker falske overvåkingskameraer

Datatilsynet får stadig flere henvendelser fra personer som opplever sitt personvern krenket av overvåkingskameraer som ved nærmere ettersyn viser seg å være etterligninger, ikke ordentlige overvåkingskameraer. Bruk av slike dummy-kameraer reiser vanskelige, prinsipielle spørsmål.

Mange av sakene omhandler dummy-kameraer i nabolag og boligområder, men Datatilsynet ser også dummy-kameraer i bruk hos profesjonelle aktører, både utendørs og innendørs. I mange tilfeller er dummy-kameraene plassert slik at de ville representert en ulovlig overvåking dersom kameraene var ekte.

Selv om overvåkingen ikke er reell, vil følelsen av å være overvåket være ekte. I verste fall kan et ubrukelig plastikkamera gripe kraftig inn menneskers opplevelse av egen hverdag. Det være seg fordi man er forledet til å tro at naboen overvåker det man gjør hjemme, eller at arbeidsplassen er nærmest totalovervåket.

Datatilsynet oppfatter at mange tror at bruk av dummykameraer skåner den enkelte i høyere grad enn reell overvåking vil gjøre: Folk gis «bare» en følelse av å bli overvåket. Datatilsynet ser store problemer med en slik tilnærming. Det må stilles spørsmål ved om samfunnet er tjent med at borgernes handlinger blir forsøkt manipulert, eller for den saks skyld «forbedret», gjennom tilsynelatende overvåking.

Selv om det verken innsamles, lagres eller tilgjengeliggjøres personopplysninger, vil dummy-kameraer true sentrale personvernprinsipper. Ryddig og sannferdig informasjon er bærende elementer i personvernregelverket. Borgeren er avhengig av å kunne ha tillit hva han blir presentert for, det være seg informasjon i en samtykkeerklæring, informasjon på varselsskilter eller synlige overvåkingskameraer. Usannheter og tilbakeholdelse av informasjon svekker en viktig ressurs, nemlig tillit.

Utilstrekkelig politiregisterregelverk

Det har lenge vært enighet om at det norske politiregisterregelverket er utilstrekkelig. I følge Justisdepartementet ble det i 2008 arbeidet med å ferdigstille et forslag til en ny lov for dette området. Arbeidet har blitt forsinket, blant annet har man avventet et EU-initiativ,

«Rammebeslutning om beskyttelse av personopplysninger i forbindelse med politisamarbeid og rettslig samarbeid i kriminalsaker».

Denne EU-beslutningen ble ferdigstilt mot slutten av 2008, som et minimumsregelverk som ikke stiller store krav til nasjonal lovgivning. Datatilsynet er bekymret for at man, inspirert av dette rammeverket, vil velge en for svak beskyttelse av personopplysninger i politisektoren nasjonalt.

Datatilsynet har hatt fokus på justissektoren gjennom tilsyns-, hørings- og utvalgsarbeid gjennom flere år. Gjennom arbeidet har Datatilsynet understreket følgende:

• Det er behov for klare regler for sletting eller sanering av opplysninger hos politiet. Ved utvikling av politiets databaser har man hatt fokus på hvilke handlinger som skal kvalifisere for å bli registrert i politiets registre. Spørsmålet om når opplysninger skal ut av databasene har sjelden vært berørt. Problemstillingen kommer til å bli ytterligere aktualisert i årene fremover i tråd med den planmessige oppbyggingen av utveksling mellom databaser innenlands og utenlands, og bedre muligheter til samtidige søk i flere databaser.

• Det er behov for avklarte ansvarsforhold og ryddig rollefordeling for behandlingen av personopplysninger mellom aktører innen politisektoren, og innen tilstøtende organer der dette er aktuelt, for eksempel hos utlendingsmyndighetene.

• Det er behov for å etablere gode prinsipper for tilgangsstyring internt i politiet basert på at ansatte kun får tilgang til de opplysningene de har behov for i sitt arbeide.

• Datatilsynet ser at en regulering av politiets taushetsplikt bør være en del av arbeidet med en ny politiregisterlov.

• Datatilsynet etterlyser en bedre regulering av politiets tilgang til andre aktørers databaser.

I tillegg har Datatilsynet oppfordret politisektoren til å oppnevne et personvernombud.

Sletting i politiregister

Personvernnemnda har i 2008 tatt stilling til en slettesak i politiregisteret Det sentrale straffe- og politiopplysningsregisteret (SSP).

Saken gjaldt en person som ble stoppet ved en grensepassering i 1988, og varetektsfengslet etter mistanke om besittelse av hasj. Klageren ble holdt i varetekt i tre uker, og senere sluppet fri, uten at det ble reist tiltale i saken.

Klageren var ikke oppmerksom på at disse opplysningene fremdeles befant seg i politiets registre, før politiet konfronterte ham med den gamle saken 16 år senere, ved en annen grensepassering.

Personopplysningsloven gjelder ikke for saker som behandles i medhold av rettspleielovene, etter et unntak i personopplysningsforskriften. Datatilsynet mente imidlertid at personopplysningsloven kom til anvendelse på opplysningene i denne saken, fordi lovgiver ikke har tatt stilling til hvor lenge opplysninger i politiopplysningsdelen i SSP bør lagres. Derfor vil personopplysningsloven, etter Datatilsynets mening, gi utfyllende bestemmelser.

Kripos mente at opplysningene ikke ble omfattet av personopplysningsloven, og at Datatilsynet derfor ikke hadde kompetanse til å kreve sletting.

Personvernnemnda sa seg enig med Datatilsynet, og mente at personopplysningsloven kom til anvendelse. Personvernnemnda kommer frem til at det er en grense for hvor lenge man må tåle å stå registrert i et nasjonalt register: Inntil domstolen har fattet sin beslutning, vil opplysningene være unntatt bestemmelsene i personopplysningsloven. Etter at domstolen har sagt sitt, vil personopplysningsloven regulere videre bruk og tilgjengeliggjøring.

Saksgangen avdekket en svært vid tilgang til opplysningene i dette politiregisteret. Personvernnemnda påpeker spesielt at det er bekymringsfullt at over 13 000 tjenestemenn har full tilgang til opplysninger om varetektsfengsling og andre sensitive opplysninger. Tilgangen er gitt uten tidsbegrensning, og uten at det tjenestemessige behovet for tilgang ser ut til å være vurdert. Personvernnemnda oppfordrer politiet til å lage en mindre inngripende ordning.

Tilsyn hos politiet

Datatilsynet gjennomførte i 2008 flere kontroller hos Politidirektoratet (POD) og ved politidistriktene. Formålet med kontrollene var å vurdere om behandlinger av personopplysninger som ikke var direkte knyttet til tradisjonell politietterforskning skjedde i samsvar med personopplysningslovens bestemmelser.

Totalt ble det gjennomført seks kontroller i sektoren. Datatilsynet så nærmere på passregisteret, nasjonalt våpenregister og prikkbelastning av førerkort. I tillegg ble det gjennomført kontroll ved to politikamre knyttet til kameraovervåking i arrest, samt ved en personalbarnehage ved Oslo politikammer.

På kontrolltidspunktet var få av behandlingene av personopplysninger meldt til Datatilsynet i tråd med personopplysningslovens krav.

Internkontrollen var mangelfullt utarbeidet. Det var særlig styrende og kontrollerende elementer som fremstod som mangelfulle.

I tillegg ble følgende påpekt:

a) Våpenregisteret

Datatilsynet konkluderte med at våpenregisteret ikke ser ut til å tilfredsstille nødvendige krav til kvalitet (at opplysningene er korrekte, oppdaterte og ikke lagret lenger enn nødvendig). Det ble gitt pålegg om endring av rutinene for registrering og oppdatering av opplysninger.

Det store antallet registrerte døde personer og manglende oppdatering av registerets adresseopplysninger innebærer et usikkerhetselement ved registerets kvalitet.

Datatilsynet påpekte også at registeret mangler enhetlig struktur og standardisering.

Manglende etterkontroll av vilkårene for å kunne eie våpen innebærer et usikkerhetselement ved registerets kvalitet.

b) Prikkbelastningsregisteret

Datatilsynet konkluderte med at det må foretas en gjennomgang av rutinene for utlevering av personopplysningene i prikkbelastningssystemet til eksterne aktører, herunder sikre at kun nødvendig informasjon overføres og at overføring kun skjer til autorisert personell.

Opplysninger om prikkbelastninger skal slettes når de ikke lenger er nødvendige. Prikker som er ilagt for mer enn tre år siden skal slettes.

c) Billedopptak i politiarrestene

Det må etableres sletterutiner slik at billedopptak i politiarrestene ikke lagres lenger enn det som er nødvendig ut fra formålet med behandlingen. Datatilsynet viser til at Politidirektoratet, i et rundskriv, har uttrykt at lagring i mer enn 48 timer vanskelig vil kunne anses som nødvendig.

Fingeravtrykk i pass og i det sentrale passregisteret

I meldingsåret ble passloven foreslått endret slik at passmyndigheten skal få hjemmel til elektronisk lagring av fingeravtrykk, i tillegg til en rekke andre opplysninger, i det sentrale passregisteret.

Datatilsynet skrev i sin høringsuttalelse at de foreslåtte endringene i passloven åpner for unødvendig, udefinert og ukontrollert bruk av fingeravtrykk.

Tilsynets viktigste merknader til de foreslåtte endringene er:

• Datatilsynet er i mot opprettelse av et sentralt passregister med biometriske data som fingeravtrykk og signatur. Det sentrale passregisteret vil, om denne informasjonen inkluderes, inneholde tilstrekkelig informasjon til å produsere duplikater av pass, selv uten innehaverens aktive medvirkning.

• Datatilsynet er ikke i mot at biometrisk teknologi benyttes i selve passet for å kunne identifisere passinnehaveren. Imidlertid er Datatilsynet i mot at det skal lagres detaljrike bilder av fingeravtrykk i passene, samt i det sentrale passregisteret. Løsningen kan etter Datatilsynets oppfatning medføre fare for kompromittering av andre biometriske sikkerhetsløsninger ved at fingeravtrykksbilder med høy oppløsning kan være for lett tilgjengelige eller komme på avveier.

• Datatilsynet er bekymret for at en for vid gruppe personer skal kunne skaffe seg tilgang til informasjonen i passene og i det sentrale passregisteret.

Gjennom flere kontroller mot passmyndighetene har Datatilsynet avdekket utilfredstillende forvaltning av den eksisterende ordningen. – Bekymringen blir ikke mindre av de foreslåtte endringene, skrev Datatilsynet i høringsuttalelsen.

Videreutviklingen av Schengen informasjonssystem – SIS

Justisdepartementet foreslo i meldingsåret å gi tollmyndigheten direkte tilgang til Schengen Informasjonssystem (SIS), en database ment å avhjelpe ulempene ved å ha åpne grenser innen Schengen-området. Datatilsynet, som er det organ som skal kontrollere etterlevelsen av SIS-regelverket, er bekymret for at stadige utvidelser i antallet forvaltningsmyndigheter som gis direkte aksess, går på bekostning av personvernet til de mange hundre tusen registrerte i systemet.

De foreslåtte utvidelsene i spekteret av personopplysninger som skal registreres i neste generasjons informasjonssystem (SIS II), innebærer også at biometriske data, som fotografi og fingeravtrykk skal registreres i databasen. Tilsynet mener derfor at lovgiver bør være tilbakeholden med å utvide antallet forvaltningsmyndigheter med direkte tilgangsrettigheter. Et stort antall forvaltningsorganer med direkte tilgang kan dessuten vanskelig sies å være forenlig med SIS-loven § 1, som slår fast at ett av formålene med SIS-loven er å ivareta hensynet til personvernet.

Menneskerettsdomstolen: DNA, celleprøver og fingeravtrykk

En enstemmig menneskerettsdomstol fastslo i meldingsåret at England og Wales" praksis med å lagre DNA, celleprøver og fingeravtrykk til enkeltpersoner som er sjekket ut av straffesaker er i strid med menneskerettskonvensjonen.

Domstolen tolket Den europeiske menneskerettskonvensjonens (EMK) artikkel 8, en bestemmelse som stiller krav til at nasjonal lovgivning beskytter enkeltmennesker mot inngrep i privatlivet. Eventuelle inngrep i privatlivet må være lovhjemlede, rettmessige, forholdsmessige og nødvendige i et demokratisk samfunn.

Dommen gjelder to forhold. En gutt på elleve år ble arrestert og siktet for forsøk på ran. Det ble tatt fingeravtrykk og DNA-prøver fra ham. Han ble frikjent tre måneder senere. En voksen mann ble siktet for å ha trakassert sin partner, og måtte avgi fingeravtrykk og DNA. Saken ble henlagt etter at partneren ikke ønsket å forfølge saken videre. Begge de mistenkte bad om at opplysninger om fingeravtrykk og DNA-opplysninger måtte bli slettet fra registrene. Deres krav ble ikke etterkommet. Saken ble klaget videre, og ble til slutt behandlet av Menneskerettsdomstolens storkammer.

Domstolen uttrykker overraskelse over at engelsk og walisisk lov tillater uavgrenset lagring av DNA-opplysninger og fingeravtrykk fra personer som ikke er blitt dømt for noe. Domstolen påpeker at retten til beskyttelse av privatlivet vil bli svekket i en uakseptabel utstrekning om slike virkemidler tas i bruk uten en grundig avveiing mellom de mulige fordelene ved å bruke virkemidlene, og ulempene for privatlivet.

Prüm-samarbeidet – tilgang til databaser over DNA, fingeravtrykk og kjøretøyer

Mot slutten av meldingsåret ble det kunngjort at Norge har blitt enig med EU om å bli med i et forsterket politisamarbeid. Dette betyr at Norge vil innføre det såkalte Prüm-regelverket. Norsk politi får dermed tillatelse til å søke direkte i EU-landenes DNA-, fingeravtrykks- og kjøretøysregister ved etterforskning av kriminalitet. Dersom man får treff i en av disse databasene, skal man kunne be om å få mer informasjon utlevert. EU-landene får tilsvarende mulighet til å søke i norske registre.

Prüm-regelverket ble innført i EU i juni 2008 etter en rekordrask beslutningsprosess. Tilblivelsen av regelverket er blitt kritisert for å være udemokratisk og lite transparent. Opprinnelig ble samarbeidet iverksatt av et fåtall land på siden av EUs politiske organer etter terrorbombingen i Madrid i 2004. Initiativet ble tolket som et uttrykk for at flere EU-land synes utviklingen av politisamarbeidet innen EU gikk for sakte fremover. EU-parlamentet ble kun involvert på tampen av prosessen, og EUs ombudsmann for personvern, EDPS, ble ikke konsultert underveis, slik vanlig praksis er.

Når norske myndigheter nå knytter seg til dette samarbeidet, har Norge, så vidt Datatilsynet vet, ikke hatt mulighet til å påvirke regelverket på noe punkt i prosessen.

Fra et personvernperspektiv har Prüm-regelverket flere betenkelige sider. Formålet med utvekslingen av data er ikke presisert, det finnes ingen felles kriterier for hvordan DNA skal innhentes, og det mangler en beskrivelse av når opplysningene skal kunne søkes frem. Skal automatiserte søk på DNA-profiler i andre land kun tillates ved alvorlig kriminalitet, eller kan systemet også benyttes ved mindre forseelser?

Manglende harmonisering mellom reglene i de forskjellige landene er en annen innvending. Kriteriene for hvilke personer som skal registreres i de nasjonale DNA-databasene er høyst ulike fra land til land. Skal registeret kun baseres på materiale fra dømte, eller skal det inngå DNA fra andre personer, som for eksempel fra vitner eller mistenkte som senere ikke blir dømt? Storbritannia har Europas og verdens største DNA-register. Alle som pågripes i England og Wales får sitt DNA registrert i en database, uavhengig av om de blir dømt eller ikke. Mer enn fire millioner av landets innbyggere er registrert i DNA-registeret. I Norge kan politiet kreve at personer som er dømt til frihetsstraff avgir DNA til den nasjonale databasen. Se for øvrig også forrige avsnitt, Menneskerettsdomstolen: DNA, celleprøver og fingeravtrykk.

Den svenske FRA-loven

I meldingsåret vedtok den svenske Riksdagen en lov om signalspaning i forsvarets etterretningsvirksomhet (FRA-loven). Loven skal gi Forsvarets radioanstalt (FRA) hjemmel til å spane på elektronisk kommunikasjon som passerer den svenske riksgrensen.

Eksempel på slik elektronisk kommunikasjon er e-post, internett-tjenester og IP-telefoni. Det er ikke uvanlig at norsk innenlandsk elektronisk kommunikasjon rutes via Sverige, eller at internettrafikken mellom Norge og resten av verden går gjennom Sverige. Loven ble umiddelbart utsatt for sterk kritikk. Det ble blant annet hevdet at den bryter med viktige rettssikkerhetsprinsipper, samt Den europeiske menneskerettskonvensjonen (EMK) artikkel 8 og 10, bestemmelser som beskytter privatliv og ytringsfrihet. Fornyings- og administrasjonsdepartementet bad derfor Datatilsynet om å utrede lovens konsekvenser for personvernet i Norge.

FRA-loven representerer en markert endring i svensk sikkerhetspolitikk. Den vil fungere som en «elektronisk mur» langs den svenske riksgrensen. All elektronisk kommunikasjon skal passere gjennom definerte porter, der den blir gjenstand for automatisk skanning. Enkelte meldinger og samtaler vil bli valgt ut for nærmere undersøkelser på bakgrunn av bestemte søkekriterier. Forsvarets radioanstalt omtaler søkebegrepene de bruker for å sile ut meldinger som svært kompliserte, med tekniske og innholdmessige kriterier, uten å gå nærmere inn på hvordan de er konstruert.

Datatilsynet mener FRA-loven potensielt kan ha en nedkjølende effekt på ytringsfriheten. Muligheten for å bli overvåket kan medføre en usikkerhet som kan gjøre at enkelte vegrer seg for å kommunisere og innhente informasjon. I samhandling med hverandre tilpasser mennesker innhold og form etter kontekst og samtalepartner. En utenforstående og potensiell «medlytter» endrer forutsetningene for samhandlingen, også selv om samtalepartene «ikke har noe å skjule».

Meningsdannelse skjer ikke bare i den offentlige debatten, det skjer også i den private sfære. Der utvikles gjerne kritiske tanker, holdninger og perspektiver som kan utfordre det som der og da er alminnelig akseptert. Overvåking av privat kommunikasjon kan begrense rommet for meningsdannelse, og dermed legge en demper på prosesser som historisk har vist seg å være viktig for samfunnets utvikling.

Datalagringsdirektivet

Datalagringsdirektivet utløste mye debatt i løpet av året. Debatten var på sitt mest omfattende før sommeren. Saken førte til flere debatt- og leserinnlegg, ledere i landets største aviser, og artikler på blogger. Det ble endog etablert grupper mot innføring av direktivet på sosiale nettverk.

Datatilsynet har vært aktivt overfor media og publikum i denne saken, deltatt i debatter, holdt foredrag og skrevet avisinnlegg. En innføring av datalagringsdirektivet innebærer, etter Datatilsynets mening, et paradigmeskifte i det norske rettssystemet. Med en implementering i norsk rett, innfører man et etterforskningsmiddel som omfatter hele befolkningen, fullstendig uavhengig av borgerens eventuelle befatning med kriminelle aktiviteter.

Direktivet krever at trafikkdata for fasttelefon, mobiltelefon, bredbåndstelefoni, e-post og internettilgang, skal lagres. Innholdet i meldingene skal ikke lagres. Datatilsynet spør imidlertid om man vil stoppe der? Den svenske stat har, med virkning fra 2009, fastsatt FRA-loven som gir myndighetene anledning til å spane på innhold i elektronisk kommunikasjon som passerer riksgrensen. Målsetningen er å beskytte riket mot uønskede aktiviteter fra så vel statlige som ikke-statlige aktører.

Datatilsynet hadde forventet at regjeringen ville sende ut et forslag til implementering av direktivet i løpet av året. Så har ikke skjedd. Det er tydelig at regjeringen, enten på eget initiativ eller som følge av opinionen, har valgt å stille saken i bero.

Dersom lovgiver velger å implementere direktivet, er Datatilsynets subsidiære målsetning å arbeide for at færrest mulig opplysninger skal bli lagret i kortest mulig tid. Datatilsynet vil også påpeke at en eventuell innføring av direktivet vil kreve at det settes av betydelige ressurser for å kontrollere at trafikkdataene blir lagret sikkert.

Overføring av passasjeropplysninger til USA

USAs myndigheter krever en rekke opplysninger om flypassasjerer som kommer inn i amerikansk luftrom. Kravet om personopplysninger omfatter passasjerenes navn, kontaktopplysninger, reiserute, reisefølge og eventuell diett, og en rekke andre opplysninger. EU og USA har undertegnet en avtale om overføring av disse opplysningene. Artikkel 29-gruppen, et offisielt rådgivende personvernorgan i EU, gjennomgikk avtalen, og påpekte en rekke uklarheter som påvirker personvernet. Gruppen reagerte også på at ingen uavhengige tilsynsmyndigheter er tiltenkt rollen som kontrollør.

Norge er ennå ikke omfattet av avtalen når denne årsmeldingen leveres til Fornyings- og administrasjonsdepartementet. For at et flyselskap lovlig skal kunne utlevere passasjerinformasjonen fra Norge, må det derfor innhente samtykke fra passasjeren, eller søke Datatilsynet om dispensasjon fra forbudet mot å utlevere personopplysninger til stater som ikke sikrer et tilstrekkelig beskyttelsesnivå. Justisdepartementet og Utenriksdepartementet arbeider med å få til en avtale mellom USA og Norge.

Det er i meldingsåret gitt en konsesjon til Continental Airlines i påvente av den varslede avtalen.

Domstolsavgjørelser på Internett

Datatilsynet har slått fast at publisering av rettsavgjørelser på Internett, både på åpne nettsteder og hos passordbeskyttede betalingsdatabaser, krever konsesjon fra Datatilsynet. Som følge av dette er det blitt behandlet konsesjonssøknader fra tre allerede etablerte aktører på området.

Tidligere var det kun stiftelsen Lovdata som systematisk publiserte dommer på nett. Lovdata har gjennom årene også bygget opp en betydelig kompetanse på å anonymisere dommer. I praksis har det vist seg at en tilstrekkelig anonymisering/avidentifisering av dommer er en ressurskrevende prosess, der rutiner og praksis kontinuerlig må oppdateres.

Materiale som er lagt ut på Internett vil i praksis være tilgjengelig og søkbart i uoverskuelig fremtid. En dom røper en historisk konflikt. Det å kunne, for alltid, bli koblet til en dom kan være svært belastende for de berørte partene, uavhengig av hvilken rolle man hadde i saken.

I meldingsåret skrev Datatilsynet til Domstolsadministrasjonen og anmodet om at den kunne bli med i et arbeid for å se på om det er mulig å legge anonymiseringen eller avidentifiseringen av dommer så nær domstolen som mulig, og om det kunne være aktuelt med lovhjemling eller retningslinjer. Utilstrekkelig anonymisert vil publisering av dommer kunne medføre store konsekvenser for de involverte partene.

Publisering av dokumenter på offentlige nettsider

Datatilsynet har de siste årene sett en rekke tilfeller der sensitive personopplysninger og fødselsnumre ved feil har blitt lagt ut på det offentliges nettsider. Denne tendensen fortsatte gjennom hele 2008. Det er først og fremst kommunale organer som legger ut slik informasjon i strid med personopplysningsloven.

Datatilsynet antar at den utvidete offentliggjøringen den nye offentleglova med forskrift legger opp til, vil føre til en økning i antallet personvernkrenkende publiseringer.

Det er nødvendig at den enkelte virksomhet forebygger at dokumenter blir lagt ut i strid med personopplysningsloven. For å begrense personvernkonsekvensene av ulovlige publiseringer har Datatilsynet bedt berørte kommuner om å skjerme enkelte filer mot indeksering hos søkemotorene. Denne typen tiltak kan gjøres ved hjelp av enkle tekniske grep.

Datatilsynet understreker også behovet for å utarbeide gode retningslinjer for publisering på Internett før den offentlige elektroniske postjournalen tas i bruk i løpet av 2009.

Ærekrenkelser, ytringsfrihet og personvern

I 2008 ble det i en juridisk utredning fremsatt et forslag om å heve terskelen for hvilke ærekrenkelser som skal være straffbare etter straffeloven. Under det videre arbeidet med lovendringsforslaget falt Justis- og politidepartementet ned på at det ønsket å gå enda lenger enn det forslaget la opp til, og foreslo at bestemmelsen i stedet skal fjernes fra straffeloven. Datatilsynet fant det vanskelig å støtte forslaget ut fra den fremlagte utredningen og høringsbrevet, og viste til manglende utredning av forholdet til Internett og andre elektroniske kanaler. Å avkriminalisere ærekrenkelser innebærer at én av skrankene for publisering av krenkende ytringer på Internett fjernes. Selv om det fortsatt skal være mulig å gå til sivilt søksmål, vil avkriminaliseringen lett kunne oppfattes som en liberalisering i forhold til hva som kan publiseres.

Med Internett har en ærekrenkelse fått større skadepotensial enn før. Kraftige, sofistikerte søkemotorer i kombinasjon med stadig økende lagringskapasitet, gjør at et ubegrenset antall personer får tilgang over et langt, ubestemt tidsrom. Datatilsynet ble i 2008 kontaktet av en rekke personer som ufrivillig er eksponert på Internett, og som ber om hjelp til å få opplysningene fjernet. Avgjørelser i Personvernnemnda tyder på at retten til å ytre seg på nett er svært vid, selv om ytringene oppfattes som svært inngripende og krenkende for den omtalte.

Datatilsynet utelukker ikke at det på dette området kan etableres «selvreguleringsordninger» som likner Pressens faglige utvalg (PFU). Personvernkommisjonen har i løpet av meldingsåret foreslått at det opprettes en nettnemnd som kan behandle klager fra personer som mener seg utsatt for krenkende ytringer på Internett.

Det foregår nå et arbeid for revisjon av personopplysningsloven. I denne forbindelsen har Datatilsynet påpekt behovet for å se på barns personvern spesielt. Barns personvern kan bli skadelidende dersom det ikke lenger skal være aktuelt for politiet på eget initiativ å ta opp saker der barn blir utsatt for sterkt ærekrenkende ytringer.

Datatilsynet har i 2008 arbeidet med saker der interesseorganisasjoner eller talerør for systemkritikk bruker nettpublisering for å underbygge sine påstander om myndighetsmisbruk fra barnevernets side. I disse sakene har det blant annet vært publisert svært sensitive dokumenter, som for eksempel beretninger fra foreldre, ikke-anonymiserte dommer og psykolograpporter.

Tilgjengeliggjøring av kulturarven på nett

Datatilsynet har i 2008 mottatt henvendelser fra både Riksantikvaren og universitetsmuseene angående tilgjengeliggjøring av deler av de digitale samlingene på nett. I forhold til publisering av universitetsmuseenes digitale samlinger skriver Kunnskapsdepartementet i St.meld. nr. 15 (2007-2008) Tingenes tale at museene har ansvar for å tilrettelegge og tilgjengeliggjøre egne data, men at overordnede rammer må være på plass før dette skjer.

Datatilsynet har forståelse for ønsket om å publisere materialet for forskere, forvaltere og allmennheten. Samtidig må Datatilsynet påpeke en rekke problemstillinger i forhold til den enkeltes personvern. Publisering fordrer at materialet er vurdert opp mot personopplysningslovens grunnkrav. Datatilsynet har i de aktuelle sakene kommet fram til at en begrenset publisering vil være i samsvar med personvernlovgivningen.

Søkemotorer

De viktigste verktøyene for informasjonsinnhenting på Internett er søkemotorene, og den mest kjente av dem er utvilsomt Google. Slike søkemotorer benyttes av så å si alle – både privat og i jobbsammenheng.

Våren 2008 kom Artikkel 29-gruppen med en uttalelse om rettslige problemstillinger knyttet til søkemotorene generelt, og til Google spesielt. Arbeidsgruppen slår blant annet fast at personverndirektivet gjelder dersom søkemotorene tilbyr tjenester til brukere i EØS-land, selv om hovedkvarteret til virksomhetene ligger utenfor EØS-området. Google er ikke enig i at loven kommer til anvendelse, og ønsker å holde tilbake data i seks måneder utover den foreslåtte slettefristen til arbeidsgruppen. Videre uttaler Google at IP-adresser ikke kan anses for å være personopplysninger. For øvrig er selskapet velvillig innstilt overfor videre samarbeid med de europeiske myndigheter innenfor området.

Datatilsynet må ta stilling til flere av de ovennevnte spørsmålene i forbindelse med den kommende inkluderingen av enkelte norske byer i tjenesten Google Street View i Googles karttjeneste Google Maps. En liknende sak vedrørende et norsk selskap er for øvrig under behandling. Sakene reiser særskilte spørsmål om anonymisering av avbildede personer, samt anvendelsen av personopplysningslovens grunnkrav på de deler av tjenesten som innebærer en behandling av personopplysinger.

Oppslagsverk

Wikipedia er en annen internettbasert tjeneste som er mye brukt. Her er det brukerne selv som legger inn informasjon i oppslagsverket. Selv om nettstedet har en personvernpolicy, og det finnes retningslinjer for redigering og kvalitetssikring av opplysningene, oppstår det nødvendigvis enkelte personvernrelaterte spørsmål. Som eksempel kan nevnes en side som inneholder en liste over personer tatt for doping. Her figurerer blant annet en rekke navn på norske idrettsutøvere som trolig ikke har fått noen mulighet til å forsvare seg mot påstandene.

Fildeling

Advokatfirmaet Simonsen fikk i 2008 fornyet konsesjonen om registrering av aktivitet på ulike fildelingsnettverk. Konsesjonen omfatter blant annet loggføring av IP-adresser. Advokatfirmaet sendte ut en henvendelse til norske internettilbydere med oppfordring om videreformidling av tilståelsesbrev til nettbrukere som kunne mistenkes for å ha deltatt i fildeling. Tilsynet var raskt ute med å påpeke at en slik praksis trolig vil være i strid med etablerte rettssikkerhetsgarantier og grunnleggende menneskerettigheter, deriblant det såkalte selvinkrimineringsforbudet.

Nettsamfunn

Bruken av nettsamfunn slik som Facebook, Nettby og YouTube har økt i 2008. Særlig yngre personer er aktive brukere av slike internettbaserte samlingssteder. Mange av brukerne er åpne om egen identitet. Denne åpenheten er tilsiktet i og med at formålet med bruken av tjenesten ofte er kontakt med venner og nettverksbygging. Ved å knytte egen profil til andres dannes store sosiale nettverk med betydelig mengder personlig informasjon. Materialet som publiseres er ikke bare knyttet til egen identitet. Mange publiserer bilder av andre personer, eller personopplysninger knyttet til andre, uten at de først har innhentet samtykke fra den det gjelder. Selv om materialet ofte publiseres i en lukket krets, har Datatilsynet fått en rekke henvendelser vedrørende kopiering og bruk av informasjonen i andre sammenhenger. Datatilsynet tror det finnes et gap mellom hva brukerne av nettsamfunnene tror om beskyttelsesnivået for opplysningene, og hvilken beskyttelse opplysningene faktisk er underlagt. For flere av nettsamfunnenes del, og ikke minst Facebook og YouTube, er det videre en utfordring at nettsamfunnene ligger utenfor Norge.

Tilsyn hos internettleverandører og teleoperatører

Etter tips om brudd på sletteplikten hos internettleverandører (ISP-er) og teleoperatører, kontrollerte Datatilsynet håndtering av trafikkdata hos fem virksomheter.

Datatilsynet er opptatt av at elektronisk kommunikasjon skal skje på en måte som gir et tilfredstillende personvern. Kunnskap om personverntilstanden på området er svært viktig fordi Stortinget etter hvert skal ta stilling til om Norge skal implementere datalagringsdirektivet, noe som vil kunne medføre ytterligere utvidelser i lagringen av trafikkdata.

Tilsynene viste at noen leverandører overtrådte regelverket, mens andre aktører hadde gjort mindre forseelser. De fleste leverandørene hadde mangler ved sine internkontrollsystemer. Dette gjaldt for eksempel mangel på rutiner for innsyn, retting og sletting. Imidlertid hadde én leverandør, den samme som i 2007 opplevde en større datalekkasje, lagt ned et betydelig arbeid i å lage et tilfredsstillende internkontrollsystem.

Flere leverandører hadde ikke inngått tilstrekkelige avtaler med sine databehandlere. Slike avtaler skal sikre at rettigheter og plikter blir ivaretatt, selv om eksterne databehandlere står for håndteringen av opplysningene. Det var gjennomgående mangel på sletting i alle virksomhetene.

Noen leverandører hadde mangelfull sikkerhet på sine påloggingssider for kunder. Passord for e-postløsninger og passord for kundesidene («Min side») forekom ukryptert og ikke tilstrekkelig beskyttet mot at virksomhetens ansatte kunne skaffe seg urettmessig tilgang.

Tilsyn hos leverandører av e-post

Datatilsynet kontrollerte håndtering, sikring og sletting av e-post og SMS-kommunikasjon hos fem leverandører. Tre tilsyn fant sted hos e-postleverandører og to hos leverandører av SMS-tjenester.

Datatilsynet observerte at det foregikk en utbredt lagring av innhold i elektronisk kommunikasjon hos tilsynsobjektene. En tilbyder av e-post og en tilbyder av SMS lagret kommunikasjonen på ubestemt tid.

Kundene ble ikke gjort oppmerksomme på at innholdet i e-postene deres ble lagret i sikkerhetskopier uforholdsmessig lenge. Generelt ble det hos alle leverandørene gitt mangelfull informasjon til kunden om hva som skjer av lagring, sletting, innsyn og retting.

Tilsynene avdekket at leverandørene gjennomgående hadde liten kunnskap om personopplysningsloven.

Datatilsynet avdekket også noe mangelfull informasjonssikkerhet hos tilsynsobjektene, spesielt manglet kryptering av passord hos en enkelt leverandør. Alle leverandørene hadde mangler i forhold til kravet om et systematisk arbeid med internkontroll.

Det fantes også manglende rutiner for utlevering av personopplysninger. De fleste leverandørene opplevde at de hadde en samfunnsmessig plikt overfor politiet til å oppbevare opplysninger som senere kan komme til anvendelse i etterforskning. Flere leverandører uttrykte usikkerhet om forholdet mellom personopplysningsloven og politiets ønsker.

Konsesjoner til teletilbydere

Datatilsynet har gjennom tilsyn og ordinær saksbehandling avdekket at enkelte teletilbydere har liten kunnskap om personvernlovgivningen. Selv om teletilbydere sjelden behandler sensitive personopplysninger, er mengden opplysninger de lagrer om hver enkelt så omfattende at virksomhetene likevel er underlagt konsesjonsplikt. Dette var ukjent for flere teletilbydere. Den manglende kunnskapen om personvernlovgivningen er særlig betenkelig sett i sammenheng med den omfattende lagringen av personopplysninger som Datalagringsdirektivet legger opp til.

Ung1881.no – automatisk oppdatering av opplysningstjeneste

Personvernnemnda fattet i 2008 en avgjørelse om at nettstedet ung1881.no ikke automatisk kunne oppdatere sin opplysningstjeneste med opplysninger om den personen som disponerte et gitt telefonabonnement når brukeren av mobiltelefonnummeret er en annen enn den abonnementet står registrert på. Slik oppdatering kan kun gjøres etter samtykke fra abonnenten. Personvernnemnda opprettholdt følgelig Datatilsynets vedtak.

Læringsverktøyet som kommunikasjonskanal

Læringsverktøyene er laget for at læreren skal kunne kommunisere med eleven. Datatilsynet oppdaget at systemet i tillegg blir benyttet som en informasjonskanal mellom skolen og lærerne, skolen og foreldrene, lærerne imellom, og i enkelte tilfeller, elevene imellom.

En funksjon i systemet gjør det mulig for administratoren av en gruppe eller et rom å se hvem som har lest hvilke dokumenter. Datatilsynet har mottatt klager fra lærere som føler seg overvåket ved at skolens ledelse kan se når og om et dokument er lest. Datatilsynet har ikke varslet pålegg om at denne funksjonen skal fjernes, men har påpekt at den bør være avskrudd dersom systemadministratoren ikke har et saklig behov for å vite hvem som har lest dokumentene.

Kommunale ungdomsundersøkelser

Gjennom en henvendelse fra foreldrerådets arbeidsutvalg (FAU) ved Rugtvedt ungdomsskole i Bamble ble Datatilsynet gjort oppmerksom på at kommunen hadde gjennomført en omfattende spørreundersøkelse blant elevene på ungdomstrinnet. Undersøkelsen var gjennomført i samarbeid med Høgskolen i Telemark.

Elevene hadde besvart et meget omfattende spørreskjema. Mange av opplysningene som elevene hadde avgitt var av svært sensitiv karakter, og vedrørte blant annet helseforhold og seksuell legning. Elevene besvarte også spørsmål av selvinkriminerende karakter om egen medvirkning til konkrete straffbare forhold som hærverk og vold.

Datatilsynet påla kommunen å anonymisere eller slette opplysningene. Bakgrunnen for pålegget var at elevene hadde avgitt opplysningene basert på uriktige forutsetninger. Elevene hadde på forhånd blitt informert om at opplysningene ville bli behandlet anonymt. Imidlertid var opplysningene, selv om de ikke inneholdt navn eller andre direkte identifiserende kjennetegn, så omfattende at man likevel ville kunne identifisere mange av elevene. Datatilsynet mente det kan stilles spørsmål ved om elevene selv evner å overskue konsekvensene av å delta, og at de foresatte derfor burde ha samtykket til undersøkelsen.

Opplysningene ble bekreftet anonymisert i tråd med Datatilsynets vedtak.

Høring: Innføring av et sentralt elevregister for forskning

I høringsbrev av 20. juni 2008 fremmet Kunnskapsdepartementet forslag om endringer i grunnskoleloven og Lov om videregående opplæring. Det ble foreslått å opprette et sentralt register for alle elever i grunnopplæringen.

Det opplyste formålet med registeret er «å leggje til rette for analysar, statistikk og forskning om læringsutbytte, læringsmiljø og lærarkompetanse til bruk for kvalitetsutvikling og kvalitetskontroll innen grunnopplæringa.»

Den foreslåtte lovendringen vil gi hjemmel for en sentral registrering av identifiserbare, detaljerte og til dels sensitive opplysninger om hele den oppvoksende befolkningen. Dette inkluderer opplysninger om sosiale og helsemessige forhold, religiøs oppfatning, seksuell legning og etnisk tilhørighet. Opplysningene skal kunne lagres i uoverskuelig fremtid. Bestemmelsen vil også gi hjemmel for å koble opplysningene med ulike ikke-spesifiserte registre. Det endelige omfanget av registreringen blir derved umulig å forutse.

Datatilsynet uttalte seg svært negativt til forslaget. Et personregister som foreslått vil etter Datatilsynets vurdering være ett av de mest personverninngripende registrene som er etablert i Norge – sett med hensyn til opplysningenes art og omfang, koblingsmuligheter, lagringstid og rettslig grunnlag. Misbrukspotensialet vil kunne være svært stort.

Høringsnotatet berører ikke alternative metoder for å skaffe nødvendig kunnskap for å bedre kvaliteten på opplæringen, og vurderer heller ikke om formålet kan nås gjennom tradisjonell samtykkebasert forskning.

I den påfølgende mediedebatten hevdet Kunnskapsdepartementet at det ikke hadde ment å gå så langt som det den foreslåtte hjemmelen legger opp til.

Datatilsynet erfarer imidlertid stadig at registre som er etablert for ett konkret og avgrenset formål ofte tas i bruk for nye formål som aktualiseres etter noen tid. Når opplysningene først er registrert, er terskelen for å bruke dem til nye, mer eller mindre aktverdige formål, svært lav.

Samarbeid med LO

Det samles inn stadig mer informasjon om den enkelte i et arbeidsforhold. Styrkeforholdet mellom partene, for eksempel ved en oppsigelse, er over tid blitt endret i arbeidsgivers favør. LO har satt ned en arbeidsgruppe for å se på disse problemene.

Datatilsynet har vært med på et innledende møte med arbeidsgruppen, holdt flere foredrag i samarbeid med FAFO og LO, samt gitt skriftlige innspill til arbeidet.

Den nylige publiserte FAFO-rapporten, « Personvern under press – hvor går grensene i arbeidslivet », er det foreløpige resultatet av arbeidet. LO skal jobbe videre med disse utfordringene. Datatilsynet synes det er positivt at fagforeningene nå setter fokus på personvernproblematikken i arbeidslivet og ønsker å bidra videre i dette arbeidet.

Sikkerhetstiltak rundt fotballkamper

Datatilsynet ble gjort oppmerksom på at personer som kjøper billetter til internasjonale forballkamper blir avkrevd en rekke personopplysninger, herunder fødselsnummer. Opplysningene innhentes for å ivareta sikkerheten rundt arrangementene. Registreringen av opplysninger følger av regelverket til det europeiske forballforbundet (UEFA). I henhold til dette regelverket plikter norske klubber som skal spille bortekamper mot europeiske lag å innhente navn, adresse, passnummer, og dersom det er mulig, også opplysninger om hvor billettkjøperne skal bo under oppholdet i utlandet. Disse opplysningene skal gjøres tilgjengelige for myndighetene i vertslandet og land på reiseruten, samt UEFA-administrasjonen. Det er på det rene at UEFAs regelverk ikke kan sette til side kravene som følger av personopplysningsloven. Datatilsynet har derfor truffet et vedtak som innebærer at norske klubber ikke kan innhente fødselsnummer, og at øvrige personopplysninger kun kan registreres i forbindelse med risikokamper.

Annet

Datatilsynet har også uttalt seg negativt til et nytt verktøy utarbeidet for trenere innenfor lagidretter. Verktøyet innebærer at utøverne utstyres med GPS-sendere som gjør det mulig for trenere å følge den enkeltes bevegelser ned til minste detalj.

Datatilsynet ønsker å innlede et samarbeid med Norges Idrettsforbund for utarbeidelse av retningslinjer for publisering av personopplysninger, herunder bilder, på idrettsforeningers hjemmesider.

Økende løsrivelse fra en profesjonell sfære

Kameraovervåking er ikke lenger avgrenset til en profesjonell eller offentlig sfære som i forretninger, banker eller på kjøpesentre.

Datatilsynet mottar forholdsvis mange henvendelser fra privatpersoner som ønsker å igangsette kameraovervåking, for eksempel av egen eiendom og egne verdier. I en del tilfeller er det også andre motiver, som overvåking av leietakere eller naboer. Datatilsynet mottar også mange henvendelser fra privatpersoner som reagerer på andre privatpersoners overvåking. Ofte gjelder disse situasjonene nabokrangler, gjensidig mistillit og beskyldninger. Det synes å være en tendens til at «dummy-kameraer», kameraer som ikke fungerer, er mye i bruk i slike situasjoner, uten at konfliktene blir mindre av den grunn.

Samtidig skjer det også en annen form for løsrivelse fra det «profesjonelle», i form av løsrivelse fra profesjonelle installatører og forhandlere. Det synes å være et større innslag av «gjør-det-selv-løsninger», gjerne basert på bruk av web-kameraer. Dette gjelder både i private sammenhenger, i butikker og på arbeidsplasser. Det eksisterer ofte en svært dårlig konfidensialitetssikring for disse løsningene.

Elektronisk billettering

Flere kollektivtransportselskaper har innført et elektronisk billettsystem. Løsningene innebærer at den enkeltes reiser registreres og lagres elektronisk. Datatilsynet har i 2008 pålagt Ruter AS å slette reiseopplysninger om passasjerer som benytter klippekort senest tre måneder etter at reisen fant sted. Når det gjelder rene periodebilletter, billetter der man betaler for et ubegrenset antall reiser innen en gitt periode, krever Datatilsynet at lagring av reisemønster må opphøre. Det forutsettes også at transportselskapet tilbyr et likeverdig, anonymt reisealternativ. Vedtaket er påklaget. Personvernnemndas avgjørelse vil bli førende for Datatilsynets vurdering av andre systemer med elektronisk billettering.

Datatilsynet ser med bekymring på at de anonyme alternativene forsvinner, eller gjøres vanskelig tilgjengelig, ved innføring av elektronisk billettering. Omfattende unødvendig lagring av reisehistorikk om den enkelte reisende, samt fravær av sletterutiner for lagrede opplysninger, er et økende problem. Kollektivtransportselskapene gir generelt ikke tilstrekkelig informasjon til de reisende om sin håndtering av personopplysninger, som for eksempel oppbevaring av reisehistorikk.

Automatisk trafikkontroll (ATK) og strekningsvis ATK (SATK)

ATK ble tatt i bruk på begynnelsen av 1990-tallet. Det er fra Samferdselsdepartementets side ønskelig å utvide bruken av slike automatiske kontrolltiltak i veitrafikken. Blant annet vil man ta i bruk såkalt strekningsvis ATK (SATK). I en startfase er det tale om at SATK vil bli tatt i bruk på fem ulike steder i landet. På sikt er det aktuelt å bruke denne kontrollmetoden på rundt 70 strekninger. Datatilsynet reiste tvil om hjemmelgrunnlaget for tiltaket, men Justisdepartementet har i sin tolkning av veitrafikkloven hevdet at lovens § 5 gir tilstrekkelig hjemmel for et slikt tiltak.

Prinsipielt skiller SATK seg fra tradisjonell ATK ved at det blir tatt bilde av samtlige kjøretøy som passerer, ikke bare de som passerer i for høy hastighet. Det blir altså behandlet opplysninger også om fullt lovlydige sjåfører, selv om bildene slettes raskt dersom det viser seg at sjåføren ikke kjører for fort. Igjen vil borgernes bevegelser bli registrert. I et større perspektiv ser dessuten Datatilsynet med bekymring på at stadig mer kontroll av borgernes adferd skjer ved hjelp av automatisk virkende hjelpemidler. Dette er uheldig av flere årsaker. For den enkelte borger vil det være en nærmest håpløs oppgave å tilbakevise opplysninger som er innhentet på dette viset. På sett og vis snus bevisbyrden, påtalemyndigheter kan nøye seg med å vise til «harde fakta», mens den registrerte henvises til å bevise sin uskyld.

Datatilsynet er bekymret for en utvikling der denne infrastrukturen for overvåking tas i bruk til andre formål. Når systemet først ligger der, blir det enkelt å argumentere for at det bør tas i bruk og gjøres tilgjengelig for ulike myndigheter.

Automatiske bomstasjoner og annen bruk av autopass-brikken

Det blir stadig mer utbredt med automatiske bomstasjoner på norske veier. Autopass-systemet, som benyttes til bombetaling i dag, åpner ikke for et reelt anonymt alternativ, for eksempel i form av en ihendehaverbrikke som ikke er knyttet til en person. Dette utgjør en massiv begrensning i bilisters muligheter til fri anonym ferdsel.

Automatiske bomstasjoner er underlagt konsesjonsplikt, og det fremgår av konsesjonsvilkårene at Datatilsynet vil kunne revidere innholdet i konsesjonen. Dette vil bli vurdert fortløpende. Tilsynet ser med bekymring på ulike forslag om å ta autopass-brikken i bruk til stadig nye formål. Det er blant annet fremmet forslag om å innføre en miljøavgift som skal pålegges den faktiske bruken av et kjøretøy. I tillegg til å anvende opplysninger om passering av de eksisterende bomstasjonene, ønsker veimyndighetene å ta i bruk mobile kontrollposter som registrerer passeringer, for eksempel i bykjerner, samt ved kommunegrenser. Dette lovforslaget gikk Datatilsynet sterkt imot. Samtlige kjøretøyer som passerer vil få sin autopassbrikke eller sitt nummerskilt avlest, selv om avgiften kun er tenkt å ramme tunge kjøretøyer. Når kontrollpostene først er etablert, er skrittet videre til utvidet kontroll av stadig flere kjøretøygrupper kort.

Høring – tilgang til pasientjournaler på tvers av virksomhetsgrenser

I et høringsbrev i meldingsåret la Helse- og omsorgsdepartementet frem forslag til endringer helseregisterloven, helsepersonelloven og forslag til forskrift om informasjonssikkerhet.

Formålet med lovforslagene er å fjerne regelverksmessige hindre for effektiv og trygg kommunikasjon av pasientopplysninger i helsetjenesten.

Etter Datatilsynets vurdering står man i fare for å uthule helsepersonellets taushetsplikt. Ordningen vil medføre at helsepersonell gis adgang til å hente pasientopplysninger i andre helseforetak, uten at det stilles krav om at avgiver i hvert enkelt tilfelle enten vurderer hvorvidt opplysningene er nødvendige og relevante for pasientbehandlingen, eller henter inn samtykke fra pasienten. Dette vil medføre at helsepersonell systematisk kan gis tilgang til overskuddsinformasjon, noe som vil være i strid med gjeldende bestemmelser om taushetsplikt.

Etter tilsynets vurdering kan ikke ordningen fullt ut begrunnes i et dokumentert helsefaglig behov. Datatilsynet vil peke på at det finnes alternative samhandlingsformer som bedre ivaretar personvernet, og samtidig ivaretar behovet for tilgang til nødvendige og relevante opplysninger ved pasientbehandling. Tilsynet vil særlig peke på elektronisk meldingsutveksling og samtykkebasert kjernejournal.

Datatilsynet reagerer på at Helsedepartementet ikke tar hensyn til de alvorlige mangler ved informasjonssikkerheten som er avdekket ved flere av landets helseforetak. Manglene knytter seg både til dårlig tilgangsstyring for pasientjournaler, og til dårlig kontroll av journallogger der man kan finne opplysninger om hvem som har åpnet hver enkelt pasientjournal. Tilsynet mener at helseforetakene i det minste må få på plass tilfredsstillende, behovsbasert tilgangsstyring internt, før de kan gis anledning til å åpne journalene for ansatte ved andre helseforetak.

Høring: Åstedsundersøkelser ved uventet småbarnsdødsfall

I meldingsåret fremmet Helse- og omsorgsdepartementet et forslag om endringer i Forskrift om leges melding til politiet . Det skulle etableres en plikt for leger som gjennomfører dødsstedsundersøkelser ved uventet småbarnsdødsfall (krybbedød) til å melde fra til politiet dersom undersøkelsene avdekket forhold av betydning for fastsetting av dødsårsak, dersom dødsårsaken kan skyldes en straffbar handling.

Ordningen med frivillige dødsstedsundersøkelser er ment å innebære et tilbud til foreldre av barn som dør brått og uventet (krybbedød) om at helsepersonell skal gjennomføre en undersøkelse av dødsstedet, med tanke på å avdekke dødsårsaken. Undersøkelsen skal gjennomføres innen 48 timer.

Datatilsynet reagerte kraftig på at ordningen ble presentert for høringsinstansene som et begrenset unntak fra taushetsplikten. Forslaget innebærer konkret at foreldrene til det døde barnet skal samtykke i etterforskningsliknende tiltak, i de tilfeller hvor det ikke foreligger skjellig grunn til mistanke, og det ikke kan iverksettes ordinær etterforskning. Datatilsynet mener at dette tiltaket ikke kan hjemles i samtykke fra foreldrene. Slike undersøkelser må i dag skje i henhold til straffeprosesslovens bestemmelser. Skal man gjøre unntak fra straffeprosesslovens strenge vilkår om skjellig grunn til mistanke, må også forholdet til EMK artikkel 8 og 6 vurderes. I alle tilfeller må unntaket lovreguleres. Datatilsynet uttalte i sin høringsuttalelse at det var «oppsiktsvekkende at en slik ordning ikke er vurdert i henhold til Grunnlovens § 102 og EMK art 8».

Støttesystemer for kostnadsfordeling

Datatilsynet kontrollerte våren 2008 to hjelpesystemer innrettet på å fordele kostnader, for henholdsvis transport av pasienter og opphold for gjestepasienter, mellom helseforetakene.

Kontrollen av oppgjørsordningen for gjestepasientopphold ble gjennomført hos Gjestepasientoppgjørskontoret (GOPP) ved Helse Sør-Øst RHF og Rikshospitalet, mens kontrollen av transportordningen ble gjennomført hos Nasjonalt informasjonssystem for pasienttransport (NISSY) ved Norsk Helsenett AS og Ullevål Universitetssykehus HF.

For både GOPP og NISSY var det behov for nærmere avklaring av hvordan samarbeid mellom ulike aktører var ordnet:

• Det var til dels uklart hvem som var ansvarlig for de ulike behandlingene av helseopplysningene.

• Nødvendige databehandleravtaler var ikke på plass – noe som for NISSY sin del blant annet skyldtes manglende risikovurderinger av ordningen.

• For GOPP mente Datatilsynet at det var opprettet et ulovlig helseregister i regi av et regionalt helseforetak. For NISSY var det behov for avklaringer med helsemyndighetene før endelige konklusjoner kunne trekkes i forhold til lovligheten av systemet.

Kontrollene med GOPP og NISSY viser tydelig at det er viktig med klare ansvars- og myndighetsforhold. Det regionale helseforetaket påla til dels de enkelte helseforetakene å ta i bruk GOPP og NISSY, samtidig som det reelle ansvaret for at løsningene er i tråd med helseregisterlovens krav ligger hos de enkelte helseforetakene. Slik Datatilsynet ser det tvang det regionale helseforetaket, gjennom sin administrative styringsrett, helseforetakene inn i ulovlig praksis.

Tilgangsstyring innen pleie- og omsorgssektoren

Datatilsynet gjennomførte i 2008 kontroller med fem kommuner med tema tilgangsstyring innen pleie- og omsorgssektoren. Kontrollene viste at det gjenstår en del for å få på plass en tilgangsstyring som i tilstrekkelig grad ivaretar både nødvendig tilgang til tjenestemottakernes journal og beskyttelse mot uautoriserte oppslag – såkalt snoking.

Datatilsynet og Helsetilsynet har delt kompetanse knyttet til kontroll med gitte tilganger og Helsetilsynet deltok derfor som observatør på alle tilsynene.

Det ble sett på hvilke tilganger kommunen hadde gitt i fagsystemene for pleie og omsorg ut i fra tre perspektiver:

Tilgang til helsejournaler ved to sykehus

Datatilsynet kontrollerte i 2008 tilgangen til helsejournaler ved to sykehus.

Ved det første, St. Olavs Hospital HF – Østmarka sykehus, var hovedtemaet for kontrollen tilgangsstyring for pasientopplysninger innen psykiatrien. Kontrollen ble gjennomført med bakgrunn i henvendelser fra ansatte.

Kontrollen avdekket mangler knyttet til pålagt begrensing av tilgang til journal og informasjonssikkerhet, samt internkontroll. Datatilsynet ser funnene som relativt beskrivende for situasjonen i hele sektoren, gitt dagens verktøy og organisering.

Ved den andre kontrollen så Datatilsynet på tilgangen til det fysiske arkivet ved Universitetssykehuset i Nord Norge HF. Kontrollen ble gjennomført som en rask og uanmeldt verifikasjon på bakgrunn av et tips som gjaldt manglende sikring av fysiske pasientjournaler. Datatilsynet fant intet negativt på kontrollen.

Tilsynsobjekter