Datatilsynets oppgaver

Som en følge av at personopplysningsloven den 1. januar 2001 kom i stedet for den tidligere personregisterloven, ble hovedtyngden av Datatilsynets arbeide flyttet fra forhåndskontroll til etterfølgende kontroll. Dette i form av tilsynsarbeid, informasjon og oppfølging av brudd på regelverket.

Datatilsynet skal holde seg orientert og informere om den nasjonale og internasjonale utviklingen i behandlingen av personopplysninger, og om de problemene som knytter seg til slik behandling. Datatilsynet skal identifisere farer for personvernet og gi råd om hvordan de kan unngås eller begrenses. Deltakelse i råd og utvalg er derfor en viktig del av Datatilsynets arbeid. Også som høringsinstans i saker som kan ha en personvernmessig konsekvens har Datatilsynet innflytelse på samfunnsutviklingen.

Datatilsynet fører en offentlig fortegnelse over alle behandlinger av personopplysninger som er meldt inn. Videre behandler Datatilsynet søknader om konsesjon, der dette kreves etter loven.

Gjennom aktivt tilsyn og saksbehandling kontrollerer Datatilsynet at lover og forskrifter for behandling av personopplysninger blir fulgt, og at feil og mangler blir rettet. Datatilsynet bistår bransjeorganisasjoner med å utarbeide bransjevise adferdsnormer, og gir bransjer og enkeltvirksomheter råd om sikring av personopplysninger. Datatilsynet motiverer også til, og støtter virksomheter som på frivillig basis har oppnevnt et eget personvernombud.

Sist, men ikke minst, har Datatilsynet også en viktig ombudsrolle. I den forbindelse drives rådgivning og informasjon overfor enkeltpersoner som tar kontakt med tilsynet. Publikum generelt nås i første rekke gjennom aktiv mediekontakt og publisering på eget nettsted. For å skape oppmerksomhet og interesse omkring personvernspørsmål deltar Datatilsynet aktivt i den offentlige debatt og legger stor vekt på å praktisere meroffentlighet.

Organisasjon

Datatilsynet var i 2006 bemannet med 32 årsverk, som fordeler seg slik:

• Direktøren

• Juridisk avdeling: 12 medarbeidere

• Tilsyn- og sikkerhetsavdelingen 5 medarbeidere

• Administrasjonsavdelingen 7 medarbeidere

• Informasjonsavdelingen 7 medarbeidere. 4 av disse er jurister knyttet til Datatilsynets juridiske svartjeneste, Frontservice. Frontservice betjener henvendelser pr telefon og e-post ved siden av ordinær saksbehandling.

Datatilsynet vurderer kjønnssammensetningen fortløpende og søker å ta hensyn til å rekruttere i forhold til denne om kvalifikasjonene ellers er like. Tre kvinner har i virksomhetsåret hatt svangerskapspermisjon og tre menn er tilsatt i vikariater/engasjement.

Datatilsynet har som mål å arbeide aktivt for at etaten til enhver tid gir kvinner og menn like arbeidsforhold og like muligheter til karriereutvikling og faglig utvikling. Gjennomsnittsalderen i Datatilsynet er for tiden 42 år for menn og 37 år for kvinner.

Tre medarbeidere sluttet i virksomhetsåret.

Datatilsynet ønsker å stimulere til et kulturelt og kompetansemessig mangfold i staben. Videre tilrettelegges det for en personalpolitikk som skal virke motiverende, og hindre utstøting av personer med nedsatt funksjonsevne. Datatilsynet er knyttet til avtalen om inkluderende arbeidsliv. Fokus i 2006 har vært tiltak som forebygger belastningslidelser. Dette har vært tiltak knyttet til trening, ergonomisk veiledning og instruksjon om hensiktsmessig arbeidsteknikk.

Konsesjonsplikten

Plikten til å søke konsesjon gjelder i all hovedsak for behandling av sensitive personopplysninger, blant annet opplysninger om helse, rase, religiøs oppfatning, politisk tilknytning, straffbare handlinger og seksuell atferd. Datatilsynet kan likevel bestemme at også andre behandlinger av personopplysninger skal være konsesjonspliktige, så fremt behandlingen åpenbart vil krenke tungtveiende personverninteresser.

Det ble i meldingsåret gitt 225 konsesjoner, hvorav størstedelen ble gitt til forskningsprosjekter.

Av andre kan nevnes konsesjon til selskaper som driver helautomatiske bomstasjoner, private barneverninstitusjoner og til advokatfirmaet Simonsen for sin virksomhet som antipiratbyrå.

Meldeplikten

Meldeplikten innebærer at den som ønsker å sette i gang en behandling av personopplysninger skal orientere Datatilsynet senest 30 dager før behandlingen starter. Det er imidlertid en del unntak fra meldeplikten.

I 2006 kom det inn 3 019 nye meldinger om behandling av personopplysninger mot 2 953 året før. Totalt er det nå 8 954 meldinger i meldingsdatabasen. Dette utgjør en nedgang på ca. 2 400 fra året før. 5 518 meldinger ble slettet fra databasen i 2006, fordi de var «gått ut på dato». Tallene tyder på at mange virksomheter ikke overholder meldeplikten. Dette antas i særlig grad å gjelde kameraovervåking.

Klagesaker til Personvernnemnda

I meldingsåret oversendte Datatilsynet 13 saker til Personvernnemnda for videre klagesaksbehandling. Dette gjaldt:

• Klage på personopplysninger lagt ut på Internett av en privatperson

• Klage på Stavanger Aftenblad vedrørende krenkelse av personvernet på Internett

• Klage på pålegg om opphør av KLPs praksis om kredittvurdering av potensielle leietakere

• Klage vedrørende installasjon av Microsoft Windows XP

• Klage vedrørende identitetsmisbruk

• Klage på vedtak om opphør av dopingprøver

• Tre klager på bruk av fingeravtrykk i forbindelse med adgangskontroll

• Klage på bruk av fingeravtrykk i forbindelse med timeregistrering for ansatte

• Klage på bruk av fingeravtrykk i tilknytning til pålogging av datasystem

• Klage på utlevering av personopplysninger fra Tilsynsrådet for advokatvirksomhet

• Klage på vedtak om brudd på taushetsplikten knyttet til forsikring.

Resultatet i syv av disse sakene ble meddelt Datatilsynet i meldingsåret. I tillegg mottok Datatilsynet resultatet i ni saker som var sendt inn før 2006.

Av de 16 sakene som ble behandlet og avgjort av Personvernnemnda ble syv av Datatilsynets avgjørelser opprettholdt, og seks ble omgjort. I tre saker ble resultatet materielt stående, men grunnlaget endret.

Den relativt høye andelen avvik fra utfallet av førsteinstansbehandlingen er blitt lagt merke til, både i og utenfor Datatilsynet. Omgjøringenes antall er imidlertid likevel så få at det er vanskelig å finne et mønster som kan sies å karakterisere Datatilsynets og Personvernnemndas ulike tilnærminger til de samme, konkrete personvernspørsmålene som forutsettes regulert av personopplysningsloven.

For Datatilsynet har det fremstilt seg som nærliggende å forklare de hyppige omgjøringene som ulik vektlegging i de to instansene av hensynet til den enkelte borgers interesse på den ene siden, og korporative og samfunnsfelleskapelige interesser på den annen.

Datatilsynets implementering av de endelige avgjørelsene har i to tilfeller støtt på helt spesielle problemer. I forbindelse med passasjertransportørers ønske om kameraovervåking av hele passasjerarealet i buss og tog, påla nemnda Datatilsynet å utferdige konsesjoner for tiltak som Stortinget uttrykkelig har understreket skal være konsesjonsfrie (PVN 2005 – 12 og 13). En årsak til forundring har også vært Personvernnemndas definisjon av begrepet «personopplysning», som har fjernet seg markert fra Datatilsynets egen – en forståelse som Datatilsynet også deler med de fleste av sine søsterinstitusjoner i Europa.

Det hender dessuten at språkbruk og formuleringer i Personvernnemndas avgjørelser savner en presisjon og klarhet som gjør dem enkle å bruke som basis for fremtidig saksbehandling. Eksempelvis er det både i og utenfor Datatilsynet usikkerhet om hvorvidt Personvernnemnda i avgjørelsen av en sak om bruk av biometri (PVN 2006-07) har godkjent en løsning, eller autorisert et spesielt patent, samt hvilke sikkerhetsanalyser som førte nemnda frem til sin konklusjon.

Høringssaker

Datatilsynet mottok i alt 123 høringssaker. Til 85 av disse ble det gitt bemerkninger med materielt innhold. De viktigste sakene er omtalt senere i årsmeldingen.

Lov og forskriftsarbeide

I samarbeid med Justisdepartementet og Fornyings- og administrasjonsdepartementet ble det startet et lovrevisjonsarbeide på personopplysningsloven. Dette arbeidet vil fortsette i 2007. Arbeidet ledes av Justisdepartementets lovavdeling, som er ansvarlig for personopplysningsloven.

Positivt år for personvernombudsordningen

Stadig flere virksomheter oppretter personvernombud. I løpet av 2006 ble det opprettet 43 nye ombud. Ved utgangen av året var det dermed til sammen 63 ombud, som representerer 238 ulike virksomheter.

Denne gledelige utviklingen er en direkte følge av at Datatilsynet har jobbet både mer målrettet, og brukt mer ressurser enn tidligere på å gjøre ordningen kjent for offentlige og private virksomheter. Oppfordringen har vært at virksomhetene bør opprette et ombud internt i virksomheten, eller knytte til seg et eksternt ombud. Datatilsynet har informert om ordningen i foredrag, tilsyn og i diverse møter. Tilsynet besøkte dessuten fem byer, der kommunene i området fikk informasjon om ordningen. Etter å ha fått utfyllende informasjon, har det vist seg å være lettere for virksomheter å ta beslutningen om å opprette ombud.

Også bank og finanssektoren ble spesielt oppfordret om å opprette personvernombud. Som et ledd i dette sendte tilsynet ut et brev til alle landets banker med informasjon om ordningen og invitasjon til å delta på et seminar for potensielle ombud. Interessen var overveldende og 36 virksomheter fra sektoren deltok på seminaret med den følge at åtte banker oppnevnte personvernombud. I tillegg har også enkelte inkassosselskaper gjort det samme.

Videre har seminarer stått i fokus i løpet av året. I tillegg til seminaret for bank- og finanssektoren, er det blitt gjennomført to seminarer for virksomheter som vurderer ordningen. Datatilsynet har dessuten arrangert et opplæringsseminar for nye ombud, i tillegg til det årlige seminaret for samtlige ombud. Erfaringene med seminarene har vært gode, og satsingen vil bli utviklet videre i 2007.

Ut over disse informasjonstiltakene har Datatilsynet utviklet et søknadsskjema som har gjort det lettere å søke om å få opprette et ombud. Videre er det blitt utviklet et eget meldeskjema for ombudene, slik at de enkelt kan føre oversikt over virksomhetens meldinger. Virksomheter med personvernombud er unntatt fra meldeplikten til Datatilsynet, men må melde fra om behandling av personopplysninger til ombudet.

Arbeidsgruppe for revisjon av personopplysningslov og personopplysningsforskrift

Personopplysningsloven skal etterkontrolleres. I denne anledning er det nedsatt en arbeidsgruppe som arbeider med problemstillinger knyttet til lovrevisjonen. Gruppen består av representanter fra Justis- og politidepartementet, Fornyings- og Administrasjonsdepartementet og Datatilsynet. Gruppen leverte i meldingsåret et forslag til enkelte endringer i personopplysningsloven, samt en forskrift om innsyn i arbeidstakeres e-post.

Datakrimutvalget

En av datatilsynets jurister er medlem av Datakrimutvalget. Primært har det vært arbeidet med implementering av Cybercrime-konvensjonen i norsk rett.

Arbeidsgruppe for opprettelse av Offentlig Elektronisk Postjournal (OEP)

Gruppen ledes av Fornyings- og Administrasjonsdepartementet. Mandatet er blant annet å kartlegge behovet for utfyllende felles regler for journalføring og kvalitetssikring av offentlig journal, med formål å hindre utilsiktede konsekvenser av at journalen blir allment tilgjengelig over Internett. Arbeidet er ikke avsluttet.

Arbeidsgruppe for utredning av ID-kort for byggenæringen

Datatilsynet var først invitert til å delta i en referansegruppe, men ble etter det første møtet i referansegruppen innlemmet som observatør i arbeidsgruppen, nedsatt av Arbeids- og Inkluderingsdepartementet. Det ble utformet en rapport som ble sendt på høring i 2006. Datatilsynet tok dissens på samtlige forslag i rapporten.

Styringsgruppen for SERTIT

Nasjonal Sikkerhetsmyndighet (NSM) er ansvarlig for sertifiseringsordningen for informasjonssikkerhet når det gjelder IT-utstyr og systemer. Datatilsynet har de siste årene deltatt i styringsgruppen for arbeidet. Formålet med deltakelsen er å fremme sertifiseringsordningen, slik at denne kan få praktisk anvendelse for de som er underlagt sikkerhetsbestemmelsene i personopplysningsloven. Datatilsynet har valg å avvikle videre engasjement i gruppen.

Samarbeidsråd for helsesektoren

Rådet er opprettet av Sosial- og Helsedirektoratet med sikte på å koordinere arbeid med informasjonsteknologi i helsesektoren. Gruppens arbeid tar utgangspunkt i direktoratets strategiplan «E-2007» som omhandler strategi og planer for å fremme bruk av informasjonsteknologi. Formålet med rådet er å styrke samarbeidet aktørene i mellom og med de sentrale myndigheter. Datatilsynet deltar som observatør og oppfatter deltakelse i rådet som et viktig ledd i å kommunisere tilsynets standpunkter.

Bransjenorm for helsesektoren

Sosial- og Helsedirektoratet har vært initiativtaker til et større prosjekt hvor formålet har vært å utvikle en bransjenorm for helsesektoren. Normen skal bidra til å harmonisere nivået i helsesektoren når det gjelder informasjonssikkerhet. Gjennomførte tilsyn har avdekket et stort behov for et felles løft. Datatilsynet har bistått med råd og veiledning ved utforming av normen. Arbeidet ble avsluttet september 2006. En styringsgruppe har overtatt ansvaret for forvaltning av normen. Arbeidet består nå i å få en hensiktsmessig spredning og implementering av normen i sektoren. Dette skaper store utfordringer gitt sammensetningen av små, mellomstore og store aktører. Datatilsynet deltar som observatør i styringsgruppen.

KIS – Koordineringsutvalget for informasjonssikkerhet

Utvalget består av representanter for sju departementer, Statsministerens kontor og ni direktorater. Opprettelsen av koordineringsutvalget er et ledd i gjennomføringen av Nasjonal strategi for informasjonssikkerhet. Arbeidet omfatter alminnelig IT-sikkerhet og spørsmål knyttet til rikets sikkerhet, vitale nasjonale sikkerhetsinteresser og kritiske samfunnsfunksjoner. Utvalget skal samordne videreutviklingen av IT-sikkerhetsregelverket, få frem felles standarder, normer, metoder og verktøy for IT-sikkerhet og sørge for samordning av tilsynspraksis. Utvalget skal også drøfte aktuelle risiko- og sårbarhetsspørsmål og bidra til koordinering av informasjonstiltak og beredskapsplanlegging Mye av arbeidet i KIS delegeres til arbeidsgrupper. Datatilsynet har prioritert å være aktiv i disse arbeidsgruppene.

SARI – Samordning av regelverk innen informasjonssikkerhet

Gruppen er opprettet av koordineringsutvalget. Alle myndigheter som regulerer informasjonssikkerhet sitter i denne gruppen. Siktemål er regelverksforenkling innen regulering av informasjonssikkerhet.

KOBI – begrepsapparat innen regulering av informasjonssikkerhet

Koordineringsutvalget opprettet KOBI som en ny gruppe i 2006. Alle myndigheter som regulerer informasjonssikkerhet sitter i denne gruppen. Siktemålet er å lage en metode for klassifisering av informasjon, ut fra behov for beskyttelse.

Koordineringsutvalget for E-forvaltning

Utvalget skal arbeide med samordning mellom de forskjellige offentlige organer for å realisere planen E-2009. Møtene, som ledes av Fornyings- og administrasjonsministeren holder fokus på målformuleringene i nevnte plan og hvordan de enkelte aktører kan bidra for å realisere disse.

Arbeidsgruppe for implementering av datalagringsdirektivet

Dette er en interdepartemental gruppe for implementering av datalagringsdirektivet.

Utvalgets mandat er å tilpasse datalagringsdirektivet til norsk lov. Datatilsynet er representert med en observatør i gruppen. I dette arbeidet har Datatilsynet spesielt lagt vekt på avklaring rundt lagringstid, hvor informasjon skal lagres, hvem som skal ha tilgang og terskel for bruk av data.

Ny folkeregisterlov

Folkeregisteret innholder nøkkelopplysninger om alle landets innbyggere. En rekke aktører har tatt til orde for å utvide omfanget av opplysninger som registreres, og å gi lettere tilgang til opplysningene for aktører i privat og offentlig virksomhet. Datatilsynet deltar med en observatør i arbeidet.

Nasjonalt identitetskort, elektronisk signatur og elektronisk identitet

Justisdepartementet har tatt initiativ til å utrede behov for nasjonale identitetskort. Datatilsynet deltar med observatørstatus i en arbeidsgruppe som utreder dette. Datatilsynet har vært opptatt av mange aspekter ved nasjonalt identitetskort. Blant disse er hva som skal inngå av opplysninger i kortet, bruk av RFID teknologi, om det skal etableres et sentralt register, og hvem som i så fall skal få tilgang til dette. Arbeidet som observatør i denne gruppen har krevd betydelig mer ressurser enn det Datatilsynet hadde forutsatt. Dette skyldes i hovedsak at tilsynet har hatt vesentlige merknader til gruppens konklusjoner.

NAFAL

NAFAL er et såkalt «tilpasningsråd for sivil luftfart». Hovedtema er implementering av sikkerhetsløsninger på flyplasser. Innen denne tematikken reises en rekke spørsmål i forhold til personvern. Datatilsynet har i 2006 deltatt som observatør på ett møte.

Artikkel 29-gruppen

Den norske personopplysningsloven reflekterer alle de grunnleggende og ufravikelige personvernprinsippene som er nedfelt i EU-direktivet om personvern. Sammen med kollegaer fra de ti søkerlandene til EU-medlemskap, har Datatilsynet deltatt som observatør i arbeidsgruppen opprettet etter direktivets artikkel 29. Gruppen har som oppgave å drive fram koordinering og synkronisering av EU/EØS-landenes nasjonale personvernarbeid, med utgangspunkt i personverndirektiv 46/95. Gruppen har en rådgivende funksjon overfor Kommisjonen og står fritt til å tolke og konkretisere direktivets innhold. I løpet av meldingsåret avholdt gruppen fem to-dagersmøter i Brüssel, i tillegg til det større «vårmøtet», som denne gang ble arrangert i Budapest.

Gruppen arbeider ofte med utgangspunkt i dokumenter fra uformelle arbeidsgrupper, der alle medlemslandene kan være med. Uten at det foreligger noe formelt vedtak, er det i praksis akseptert at også observatørland kan tiltre disse gruppene. Datatilsynet har i meldingsåret vært representert i tre slike arbeidsgrupper.

Medical Data. Arbeidsgruppen har hovedfokus på helsejournaler.

Identity management. Arbeidsgruppen tar for seg autentisering og identifisering i den elektroniske verden.

Internet task force . Arbeidsgruppen arbeider med internettrelaterte spørsmål, med vekt på det tekniske. I meldingsåret har gruppen blant annet drøftet personvernmyndighetenes holdning til e-Call (automatisk oppringing av nødsentral fra ulykkessted i trafikken). Gruppen har også hatt kontakt med Google Incorporate for å sette seg inn i selskapets håndtering av personopplysninger ved G-mail og selskapets søkemotor.

Det internasjonale datatilsynsmøtet

Hvert år holdes det en internasjonal konferanse for datatilsynssjefer med deltakere fra hele verden. Konferansen inneholder en åpen del som også andre enn datatilsynssjefene kan delta på. I 2006 ble konferansen holdt i London og Datatilsynet deltok med tre representanter. Hovedtema for konferansen var «A report on the surveillance society».

Berlin-gruppen

Den internasjonale arbeidsgruppen for personvern innen telekommunikasjon (Berlin-gruppen) er primært nedsatt for å arbeide med tekniske problemstillinger knyttet til telekommunikasjon, men behandler også andre tekniske problemstillinger. Blant de mest sentrale saker i meldingsåret var:

• Søkemotorenes praksis med hensyn til lagring av søk

• Planlagt bruk av det europeiske satellittsystemet Galileo innen samferdselssektoren

• Bruk av RFID i legitimasjonsdokumenter og betalingskort

• Digitalisert overvåkning: Internett samt kameraovervåkning

En rekke andre tekniske problemstillinger var gjenstand for drøftelser i gruppen. Arbeidet i gruppen gir Datatilsynet viktige bidrag i sitt arbeid med tekniske problemstillinger.

Police Working Party

Gruppen arbeider med spørsmål vedrørende politisamarbeid som faller inn under tredje søyle, det vil si utenfor det indre marked. Datatilsynet er representert med en saksbehandler.

Joint Supervisory Authority

JSA er det felles tilsynsorganet for Schengen Informasjonssystem (SIS). Informasjonssystemet inneholder opplysninger om personer som er ettersøkt, savnet, nektet innreise til Schengenområdet, eller er straffedømt i et av medlemslandene. Normalt avholdes fem møter årlig i Brüssel, og Datatilsynet er representert med ett medlem i gruppen. JSA har også arbeidet med uttalelser i forbindelse med ønsker om utvidelse av SIS. I 2006 ble alle landene oppfordret til å foreta tilsyn etter artikkel 99 i Schengenkonvensjonen.

Internasjonalt saksbehandlermøte

Dette er et internasjonalt samarbeidsforum for saksbehandlere. Det ble avholdt to møter, henholdsvis i Madrid og Athen. Diskusjonene omhandlet blant annet e-governement, e-ticketing, ekomdirektivet, bruk av lydopptak i arbeidslivet, bruk av personopplysninger i finanssektoren og forskjellige løsninger for innføring av personvernombud. Datatilsynet var representert med to saksbehandlere på disse møtene.

Nordisk saksbehandlermøte

Dette er et årlig nordisk forum for saksbehandlere. Møtet ble avholdt i Helsinki og Datatilsynet var representert med tre saksbehandlere. Møtet hadde særlig fokus på kontroll i arbeidslivet, herunder innsyn i e-post, rusmiddelkontroll og telefonkontroll.

Nordisk teknologimøte

Nordisk teknologimøte er opprettet for å skape en god kontakt mellom de teknologiske miljøene hos personvernmyndighetene i de nordiske land. Formålet med møtene er å diskutere aktuelle tekniske problemstillinger, med sikte på å komme frem til en omforent håndhevelse av regelverket. Tema på årets møte var detaljer rundt gjennom­føring av tekniske kontroller, drøftelser rundt bruk av RFID, pass og nasjonale identitetskort, samt helsevesenets bruk av mobile terminaler.

Ungdom og personvern

I tråd med satsingsforslaget, og føringer i tildelingsbrevet fra Fornyings- og administrasjonsdepartementet, ble ungdom definert som en sentral målgruppe for kommunikasjonstiltakene. Det ble tidlig klart at det ville være hensiktsmessig å utvikle et undervisningsopplegg knyttet til de nye læreplanene i skoleverket, som inneholder kompetansekrav når det gjelder IKT og personvern. Ut fra denne forutsetningen ble det etablert et samarbeid med Utdanningsdirektoratet og Teknologirådet. Begge instansene har bidratt med faglige ressurser inn i prosjektet. I tillegg stilte Utdanningsdirektoratet også med økonomiske midler.

Ungdom har et effektivt «spamfilter» for autoritær informasjon. De vil helst være i fred og oppdage verden på egenhånd. Undervisningsopplegget «Det er du som bestemmer» er derfor søkt laget på ungdoms premisser og i deres formdrakt. Budskapet er at de unge i stor grad kan ta kontroll over sine egne opplysninger og at de selv er ansvarlig for å respektere andres rett til privatlivets fred.

Undervisningsopplegget består av et hefte med faktaopplysninger, historier fra virkeligheten og diskusjonsoppgaver. Dessuten er det laget veggplakater til klasserommet, nettstedet www.dubestemmer.no og en multimediepresentasjon med filmsnutter for lærere. Målgruppen er elever i ungdoms- og videregående skole.

Kampanjen «Du bestemmer» (www.dubestemmer.no) ble for øvrig lansert 29. januar 2007.

Kommunikasjonstiltak overfor virksomhetene

Den nevnte personvernundersøkelsen fra 2005 viser tydelig at man i både private og offentlige virksomheter har liten kunnskap om, og følgelig liten grad av etterlevelse av de konkrete kravene som stilles i personvernlovgivningen. Mange mener at kravene i personopplysningsloven ikke gjelder for dem. Dette gjelder selv om de behandler personopplysninger, og denne behandlingen dermed vil være omfattet av loven. Få av virksomhetene oppgir at de etterlever regelverket i sin helhet. Det påvises spesielt mangler i forhold til kravene om informasjonssikkerhet, internkontroll og informasjon til den som opplysningene gjelder. Hele 74 prosent av virksomhetene mener selv at mangel på kunnskap er hovedårsaken til at personvernlovgivningen ikke blir etterlevd.

Funnene fra personvernundersøkelsen bekrefter Datatilsynets erfaringer gjennom de senere årenes tilsynsvirksomhet. Det er derfor et samlet inntrykk at det er behov for å motivere og legge til rette for økt etterlevelse av personvernlovgivningen ute i virksomhetene, offentlige så vel som private.

Det er derfor etablert et ekstra satsing også overfor virksomhetene som tar sikte på å bevisstgjøre om pliktene etter personvernlovgivningen, motivere, og gi tilstrekkelig kompetanse og veiledning til å etterleve regelverket.

Det utarbeides et nytt og omfattende veiledningsmateriale knyttet til internkontroll, inkludert informasjonssikkerhet. Materialet inkluderer:

• Et motiverende temahefte

• En helhetlig veileder om internkontroll

• Ferdige «maler» for nødvendige internkontrolldokumenter

• Spesialtilpasset materiale for virksomheter som kun har personopplysninger om egne ansatte og kunder. Det er utarbeidet et «typeeksempel» som virksomhetene kan redigere og tilpasse sin egen virkelighet.

• Et støtteverktøy som hjelper virksomheten med å kontrollere sin etterlevelse opp mot regelverket.

Kampanjen lanseres februar 2007. Over 2 000 virksomheter kontaktes med tilbud om oppfølging og veiledning, blant annet gjennom seminarer i Trondheim, Bergen og Oslo.

Direkte publikumskontakt

Datatilsynet legger stor vekt å ha god tilgjengelighet og service overfor de enkeltpersoner eller virksomheter som av eget initiativ søker råd og veiledning når det gjelder personvernlovgivningen, enten det dreier seg om rettigheter, plikter eller andre tilgrensede temaer. En betydelig del av ressursene brukes derfor til å betjene spørsmål som kommer inn via brev, e-post og telefoner. De aller fleste henvendelsene blir kanalisert til en profesjonalisert førstelinjetjeneste, «Frontservice», bestående av fire jurister, som også trekker på teknologisk kompetanse når de ser behov for det. Dette sikrer at publikum raskt og enkelt får den faglige rådgivningen som er nødvendig. I tillegg til å besvare telefoner og e-post, bidrar Frontservice også med vanlig juridisk saksbehandling.

Hvor mange og hvor lenge?

Datatilsynet har registrert 9 163 besvarte telefonhenvendelser i meldingsåret. Dette er noe mindre enn året før. Det er flere årsaker til dette, blant annet:

• Stadig mer og bedre informasjon er å finne på Datatilsynets hjemmeside

• En økende andel sender e-post fremfor å ringe

• Antall henvendelser mht direkte markedsføring er gått markant ned

En del telefoner går også til øvrige saksbehandlere, som ikke fører statistikk over besvarte telefonhenvendelser. Som følge av at den juridiske førstelinjetjenesten tidvis var lite bemannet høsten 2006 er andelen ikke-registrerte telefonbesvarelser blitt noe høyere enn vanlig.

Hva handler henvendelsene om?

I likhet med året før er «Arbeidsliv» fortsatt det temaet det kommer flest henvendelser om. Dette skyldes i første rekke den betydelige oppmerksomheten omkring arbeidsgivers innsyn i e-post, tilsynssakene og utarbeidelse av forskriftsbestemmelser om e-post.

«Informasjonssikkerhet» er også et tema som mange henvender seg til Datatilsynet om. Naturlig nok kommer de aller fleste henvendelsene da fra representanter for plikthaverne, det vil si de «behandlingsansvarlige» etter personopplysningslovens terminologi. Det har også, blant annet som følge av stor medieoppmerksomhet, vært et økende antall henvendelser relatert til bruk av fødselsnummer.

Tabellen nedenfor viser telefonhenvendelsene fordelt på tema, og hvorvidt innringer opptrer som (eller på vegne av) plikt- eller rettighetshavere.

Det har vært en fortsatt nedgang i henvendelser om direkte markedsføring. Disse utgjorde 7 prosent av telefonhenvendelsene i 2006, mot henholdsvis 10 prosent i 2005 og 18 prosent i 2004.

Besvarelse av e-post

Det er i meldingsåret besvart 3 058 ordinære publikumshenvendelser per e-post. Til sammenlikning var tallet tilsvarende 3 080 året før. Reelt sett har det likevel vært en økning i antallet henvendelser per e-post, idet en større andel enn tidligere er gått inn til journalføring og ordinær saksbehandling. Disse blir dermed registrert i saksbehandlingssystemet, fremfor i tellingen av e-post.

Etter at det ble satt ekstra fokus på oppfølging av innkomne e-post er den gjennomsnittelig svartiden kommet ned i to dager. Ved årsskiftet var det ingen ubesvarte e-posthenvendelser.

Veiledningsmøter om informasjonssikkerhet

Datatilsynet legger vekt på gi råd og veiledning til virksomheter som arbeider med å sikre personopplysninger i samsvar med regelverket. Mye av veiledningen skjer via besvarelse av telefon- og e-posthenvendelser, men i en del saker er veiledning gjennom møter mer hensiktsmessig. Det ble derfor gjennomført ca 70 veiledningsmøter med informasjonssikkerhet som hovedtema. Veiledningsmøtene er ofte knyttet til et behov for avklaring og fortolkning av kravet til forholdsmessig sikkerhet, samt råd om hvordan dette kan gjennomføres i praksis. En del konsulentselskaper, produsenter og leverandører har også ønsket dialog for å oppnå en bedre forståelse for regelverkets krav.

Personvernrapporten etterspørres

Som et supplement til den ordinære årsmeldingen for 2005 ble det, i likhet med de to forutgående år, utarbeidet en mer popularisert versjon av årsmeldingen, «Personvernrapporten 2006». Den ble trykket i ni tusen eksemplarer og distribuert til i underkant av fem tusen mottakere. Det er i ettertid kommet inn etterbestillinger av over 3 000 eksemplarer, hvorav flere klassesett til bruk i undervisning. Dette innebærer en tredobling i forhold til året før. Den store økningen i etterspørsel etter Personvernrapporten tyder på at publikasjonen er blitt godt kjent i målgruppene.

www.datatilsynet.no

Datatilsynet legger stor vekt på å bruke nettsiden aktivt. Det ble i meldingsåret publisert 72 egenproduserte nyhetsartikler på forsiden. I tillegg ble det laget to nye temasider med mange artikler i hver, samt bygget opp en bedre side for regelverk.

2 700 personer står på abonnentlisten for nyhetsbrev. Estimert antall daglig besøkende på hjemmesiden er steget fra i underkant av 1 200 i 2006 til mer enn 1 500 i 2007. Hjemmesiden har beholdt sine fem stjerner i Norge.no sin kåring av offentlige nettsteder.

Mediekontakt

I løpet av 2006 har Datatilsynet besvart 1 425 henvendelser fra mediene, i form av å gi intervjuer og kommentarer til aviser, tv, radio eller internettbaserte medier. Datatilsynet har også vært representert i mange debatter på radio og tv.

Tabell 1.2 viser antallet registrerte nyhetsoppslag i internettbaserte medier.

Nedgangen i antall registrerte medieoppslag fra 2005 til 2006 skyldes i første rekke at det høsten 2005 var ekstraordinært mange oppslag som følge av sakene omkring arbeidsgivers innsyn i e-post.

Nyheter som kommer i trykk (fagtidsskrifter og lokale medier) eller på tv/radio, uten at disse samtidig gjøres tilgjengelig på Internett, er ikke med i tallmaterialet.

Kurs og foredrag

Foruten de egenarrangerte seminarene i forbindelse med personvernombudsordningen gir Datatilsynet ikke tilbud om kurs eller seminarer i egen regi. Imidlertid er det høyt prioritert å stille opp når noen tar kontakt med ønske om Datatilsynets deltakelse på ulike kurs og seminarer i regi av andre. Det har i meldingsåret vært en betydelig etterspørsel etter foredragsholdere fra Datatilsynet, som stilte opp på hele 157 ulike seminarer og konferanser, mot tilsvarende 92 i 2005 og 70 i 2004.

Saksdokumenter og meroffentlighet

Datatilsynet praktiserer meroffentlighet, og postjournalen er tilgjengelig via den elektroniske postjournalen (EPJ) som administreres av Statskonsult, på vegne av departementer og direktorater. Tjenesten per dato er kun tilgjengelig for redaksjoner og media. Det er i 2006 blitt sendt ut 1 111 til journalister etter bestilling via den elektroniske postjournalen. I tillegg er det sendt ut 544 dokumenter til virksomheter, organisasjoner eller privatpersoner.

Generelle funn

Personvernet er under press på nær sagt alle områder hvor det er gjennomført tilsyn i 2006. Når den enkelte beslutningstaker står ovenfor et dilemma hvor personvernet enten hindrer det man ønsker å gjøre, eller krever at man endrer planer, går beslutningen ofte i personvernets disfavør.

Brudd på bestemmelser om informasjonssikkerhet og internkontroll er fortsatt fremtredende. Gjennomgående er få virksomheter i stand til å dokumentere informasjonssikkerheten slik regelverket foreskriver. Videre er det mange virksomheter som ikke har etablert rutiner for behandling av personopplysninger. Mye er derfor overlatt til sedvane i bransjen. I mange bransjer vil dette, på tross av mangelfulle systemer, likevel resultere i en forsvarlig håndtering av opplysningene. Det kan imidlertid ofte være bare gunstige tilfeldigheter som gjør at personopplysninger ikke kommer ut av kontroll.

Det skjer trolig daglig omfattende krenkelser av personvernet som ikke blir stilt under et kritisk lys. Datatilsynet har for eksempel i lang tid har hatt vesentlig bekymring når det gjelder helsesektoren. Kombinasjonen av liberal tilgangskontroll og mangelfull bruk av logger gir liten reell kontroll med hvem som faktisk skaffer seg tilgang til sensitive personopplysninger. Helsesektoren er trolig langt fra enestående i slik sammenheng. De tilsynene som ble gjennomført i finanssektoren avdekket en tilsvarende liberal praksis med tilgang til kontoopplysninger. Utlevering av denne typen personopplysninger til utenforstående kan innebære en betydelig integritetskrenkelse for de som rammes av dette, det være seg kjendiser eller ikke.

Datatilsynet merker seg at respekten for bestemmelser om sletting gjennomgående er liten. Dette gir grunnlag for bekymring når man samtidig vet at terskelen for å registrere opplysninger er lav. Mange virksomhetsledere synes ikke å ha reflektert over at overskuddsinformasjon og opplysninger som ikke lenger er nødvendige for formålet med registreringen skal slettes. Tvert imot hevder mange at langvarig oppbevaring «kan være nyttig» for virksomheten, uten at de klarer å begrunne den fortsatte lagringen på en saklig troverdig måte.

Det blir generert betydelig mengder overskuddsinformasjon i ulike systemer. Et eksempel er internettsøkemotorenes lagring av søk og IP-adresse. Dette gjør det mulig å avdekke hvilke søk en bruker har foretatt. IP-adresser som etter hvert blir mer og mer statiske (byttes ikke ut) vil langt på vei kunne knyttes til enkeltindivider. Lagring av både IP-adresse og søk vil raskt kunne falle i kategorien overskuddsinformasjon.

Nedenfor følger en kort presentasjon av funn innen ulike sektorer. Tilsynene innen helse, finans- og justissektorene er trukket inn i den nærmere gjennomgangen i årsmeldingens del to.

Sletting av personopplysninger i rusinstitusjoner

Datatilsynet hadde en antakelse om at det kunne være uklarheter med hensyn til sletting av personopplysninger innen rusomsorgen. Disse institusjonene behandler mange sensitive personopplysninger. Eierforhold, organisering og type tilbud er svært varierende.

Det ble valgt seks private og seks statlige/kommunale rusinstitusjoner. Prosjektet ble gjennomført som en brevkontroll med påfølgende stedlig tilsyn hos to private og to kommunale institusjoner. Formålet var å belyse om sletting av personopplysninger skjedde i tråd med bestemmelsen i personopplysningslovens § 28.

Det ble utformet et brev med totalt 12 spørsmål som tok sikte på å fastslå hvem som er behandlingsansvarlig for behandling av personopplysninger i institusjonen, hvilke lover og bestemmelser som eventuelt gjelder spesielt for denne institusjonen, og hvilke rutiner for sletting som foreligger.

Tilsynspersonalet hadde allerede før prosjektets start forutsett at det ville være stor forskjell i tilnærming til sletting, avhengig av om institusjonene var underlagt arkivloven eller ikke. Svarene gjorde det klart at det også er vesentlig forskjell på institusjonene med ansatt helsepersonell som driver en eller annen form for medisinsk behandling, og de institusjoner som kun driver omsorg eller rehabilitering. For den første gruppen gjelder helsepersonelloven og journalforskriften, som har klare regler for hva som kan slettes og hvordan retting og sletting skal skje. Kunnskapen om bestemmelsene om sletting som følger av personopplysningsloven og helseregisterloven synes å være relativt dårlig. Konkrete rutiner for å håndtere personvernlovverket i den enkelte institusjon mangler i all hovedsak.

Opptak av telefonsamtaler

Prosjektet ble opprettet på bakgrunn av en del henvendelser fra publikum som tydet på at opptak av telefonsamtaler er mer utbredt enn det tilsynet har hatt kunnskap om.

De utvalgte tilsynsobjektene er hentet fra en liste hos bransjeorganisasjonen NORDMA over telemarkedsførere. Det ble sendt ut forespørsel til 33 virksomheter.

Tilsynsmyndigheten mottok svar fra 30 av disse. Rundt halvparten av virksomhetene gjør lydopptak.

Materialet viser en blanding av manuelt initierte opptak (ca. 70 prosent) og automatisk (30 prosent). Noen virksomheter tar opp hele samtaler, mens andre er mer selektive og tar for eksempel kun opp selve avtaleinngåelsen. Et flertall av virksomhetene oppgir behov for dokumentasjon av avtale som viktigste årsak til lydopptak (ca. 70 prosent), mens resterende fordeler seg på kontroll av ansatte, kvalitetskontroll, opplysningskvalitet og kontroll av kundebehandling. Flere virksomheter oppgir mer enn en begrunnelse. Rundt 70 prosent av virksomhetene har innhentet samtykke for behandlingen. Tilsvarende oppgir rundt 80 prosent av virksomhetene at de informerer kundene om at lydopptak blir gjort.

Datatilsynet kartla også rutiner for sletting og utlevering. Det er flere virksomheter som beholder opptak, uavhengig av om avtale inngås eller ikke. Alle oppgir å slette opptak senest etter ett år. Opptak utleveres til motpart i tilfelle konflikt om avtaleinngåelse.

Personprofiler

Personopplysningsloven regulerer bruk av personprofiler. Datatilsynet har hatt ønske om større kunnskap om temaet, og valgte å gjennomføre et prosjekt for å avdekke i hvilken grad bruk av personprofiler representerer et problem, eller ikke. Kartleggingen vil gi et bedre grunnlag for å trekke opp noen grenselinjer når det gjelder bruk av personprofiler.

Foreløpige analyser av materialet tyder på at de fleste av de 20 virksomhetene som ble kartlagt gjør bruk av personprofiler. Det ser imidlertid ut til at få av disse oppfyller regelverkets krav om å innhente samtykke og gi tilstrekkelig informasjon til de berørte.

Private helseforsikringer

Det ble gjennomført en undersøkelse mot private helseforsikringer om var initiert fra artikkel 29-gruppen. Arbeidet med disse tilsynene følger en fremdrift som er utenfor tilsynets kontroll og er i skrivende stund ikke avsluttet. Tilsynene er gjennomført, men analyse av materiale og videre fremdrift er ikke avklart.

Private etterforskere

Datatilsynet ønsket å se nærmere på hvilke rammebetingelser private etterforskere arbeider under. Tidligere tilsyn innenfor arbeidsliv avdekket at slike virksomheter driver aktiviteter som ligger svært tett opp til det arbeidet politiet gjør, uten at hjemmelsgrunnlaget er tilsvarende avklart.

Det er få store firmaer innen bransjen. Tilsynet gjennomførte kontroll hos to aksjeselskaper og ett enkeltmannsforetak. Felles for disse var at bare én person var tilknyttet etterforskning. Det var, etter tilsynets vurdering, stor spredning både i type saker, etterforskningsmetoder og hvor seriøst virksomhetene forholdt seg til håndtering av personopplysninger.

Datatilsynet konkluderte med at etterforskerne var å anse som behandlingsansvarlig. Tilsynsobjektene manglet helt eller delvis dokumentert informasjonssikkerhet og tilstrekkelig internkontroll.

I vedtakene overfor de private etterforskerne ble regelverkets krav til informasjon overfor den registrerte presisert. Dette fører i praksis til at hemmelig overvåking og etterforskning er ulovlig. Det er ingen grunn til å anta at andre private etterforskere på en bedre måte oppfyller lovens krav. Det er stort behov for informasjon til bransjen med hensyn til behandlingsansvar, dokumentasjonsplikt og ikke minst informasjonsplikten.

Et initiativ mot Justisdepartementet for å initiere en lisensordning er aktualisert. Per i dag synes Datatilsynet å være det eneste kontrollorgan overfor bransjen.

Private friskoler

Våren 2006 gjennomførte Datatilsynet tilsyn ved seks friskoler. Flere av skolene hadde internat, og en gjenganger var ønsket om et rusfritt miljø. For å oppnå dette benyttet flere skoler ulike former for rusmiddeltester. Datatilsynet mener at skolene må ha konsesjon for å kunne foreta rustester, men påpeker samtidig at saken bør få en rettslig avklaring. Datatilsynet har derfor spilt inn problemstillingen til Kunnskapsdepartementet i forbindelse med revisjon av friskoleloven.

Videre åpnet flere av skolene for elektroniske søknader, hvor søker må oppgi sitt fødselsnummer. I de fleste tilfeller var ikke skolens internettside tilstrekkelig sikret, og derfor ikke egnet til dette.

Det ble ikke avdekket noen form for kameraovervåking på skolene, eller logging av elevers bruk av Internett. Det ble heller ikke avdekket opptakskriterier i strid med personopplysningsloven.

Private barneverninstitusjoner

Tilsyn ble gjennomført ved i alt syv private barneverninstitusjoner. Disse institusjonene er underlagt konsesjon fra Datatilsynet. Konsesjonsvilkårene blir, etter det tilsynet erfarte, relativt godt etterlevd. Rutiner knyttet til innsyn og informasjon var likevel et unntak fra dette. Enkelte problemer med hensyn til sletting ble også avdekket, men er i etterkant løst gjennom rundskriv fra Barne- og likestillingsdepartementet.

For å få plassert behandlingsansvaret på rett sted, og å få overført erfaringer og konklusjoner også til andre virksomheter i sektoren, vil det bli gjennomført møter med relevante parter.

Kameraovervåking

Når det gjelder kameraovervåking var Datatilsynet i meldingsåret særlig interessert i å se nærmere på digitaliserte overvåkingssystemer, blant annet systemer som overfører bilder til en sentral vaktenhet. Kostnadene ved å starte med kameraovervåking synker stadig, og stadig flere aktører tar metoden i bruk. Datatilsynet antar at dette også fører til at flere enn før setter i gang med ulovlig kameraovervåking.

Det ble gjennomført seks tilsyn med vaktselskaper hvor disse hadde overføring av billedmateriale fra kundene til vaktselskapets alarmsentral. For hvert vaktselskap ble det også gjennomført tilsyn med en kunde som benytter aktuell tjeneste fra selskapet. I tillegg ble det gjennomført to tipsbaserte kontroller.

Av de kontrollerte vaktselskapene betraktet halvparten slike tjenester som et satsningsområde for massemarkedet. De øvrige hadde tjenestene som en spesialtilpasning for enkelte større kunder.

Løsningene tilpasset massemarkedet baserte seg på overføring av, eller tilgang til, billedmateriale ved en utløst alarm, eller ved en avtalt kontroll. Vaktselskapene betraktet det ikke som hensiktsmessig å lagre alt billedmateriale for kundene. Denne type tjenester vil normalt anses som et databehandlerforhold, hvor den behandlingsansvarlige har satt ut hele eller deler av behandlingen til en ekstern part. Bestemmelsen om databehandlere gjelder imidlertid ikke direkte i forhold til ordinær kameraovervåking (personopplysningslovens kapittel VII).

Personopplysningslovens generelle bestemmelser ble imidlertid lagt til grunn ved tilsynene, og samtlige kontrollerte behandlingsansvarlige (kunder) ble pålagt å etablere databehandleravtaler med vaktselskapene. Vaktselskapene ble på sin side pålagt opphør av sin behandling, med mindre den ble regulert i en databehandleravtale.

Bransjen har gitt signal om at den vil kontrollere de avtalene og rutinene som ligger i sine egne frivillige godkjenningsordninger.

Ett av tilsynene, kameraovervåking i regi av Mandal havnevesen, er trukket ut og drøftes spesielt i årsmeldingens del II.

Arbeidsliv

Det ble gjennomført flere tilsyn mot taxisentraler. Det ble avdekket uklarheter når det gjelder behandlingsansvaret, samt rutiner for håndtering av personopplysninger, inkludert sletting.

To av tilsynene knyttet seg til arbeidsgivers innsyn i elektronisk post. Datatilsynet konkluderte i disse sakene at arbeidsgiver hadde berettiget interesse i å foreta innsyn.

De øvrige tre tilsynene var knyttet til drosjenæringens system for såkalt «flåtestyring». Bakgrunnen for tilsynene var at Datatilsynet hadde mottatt en del klager fra lisenshavere som mener at det er en for omfattende overvåking av bilparken. Tilsynet var ved årsskiftet ikke avsluttet.

Ut over dette har det vært ført to tilsyn hvor tema var overvåking av ansatte blant annet ved bruk av «doomkameraer». I disse er kameraet skjult i en mørk kuppel som hindrer den overvåkede i å verifisere hvorvidt vedkommende er innen dekningsområdet for kameraet eller ikke. Sakene har preg av uenighet mellom arbeidsgivere og arbeidstakere om hvor mye overvåking arbeidsgiveren har et saklig grunnlag for å kunne utføre.

Slutt på fri ferdsel?

Innen samferdselssektoren bygges det i akselererende grad opp en infrastruktur som gir muligheter for overvåking. Dette skjer innen alle transportformer. Dette kan være ved bruk av kamerateknologi, RFID-brikker (som i Autopass), elektronisk billettering innen offentlig kommunikasjon, flåtestyring, og såkalte «svarte bokser» i bilene, som løpende registrerer kjøremønsteret. I tillegg er det under planlegging og oppbygging et obligatorisk system for satellittbasert overvåking.

Datatilsynet har registrert at denne utviklingen har kunnet foregå nærmest uten debatt.

Da Personvernnemnda tillot lagring av passeringsopplysninger for «sporingsfrie brikker» i helautomatiske bomstasjoner, etterlyste den samtidig en debatt om helheten i de tiltakene som innskrenker retten til å kunne ferdes i det norske samfunnet uten å bli registrert og overvåket. Personvernnemnda viser i vedtaket til at den er henvist til å begrense sin saksbehandling til en vurdering av den aktuelle klagen, men oppfordrer til en gjennomgang på området.

Helautomatiske bomstasjoner og nye biometriske pass som kan avleses på avstand er allerede innført, og vil komme til å omfatte alle reisende i årene fremover. Systemene er enten obligatoriske, eller alternativene bortfaller i praksis fordi de blir lite tilgjengelige, eller kostbare for den enkelte å ta i bruk.

Overvåkingssystemer kan misbrukes, og de endrer maktbalansen mellom den enkelte og det offentlige. Datatilsynet er sterkt bekymret for de svake begrunnelsene for lagringen av alle våre bevegelser, og den manglende viljen til å vurdere risikoen ved systemene. Det kan virke som om systemene tas i bruk bare fordi løsningene finnes, og fordi det er effektivt og praktisk for overvåkeren at individene automatisk blir identifisert. De som står bak utviklingen av de nye teknologiske løsningene har i liten eller ingen grad vurdert om fordelene oppveier innhogget i den enkeltes personvern.

Sporingsbrikker er et spesielt kraftig overvåkingsverktøy dersom man kombinerer det med en «klassisk» teknologi som kameraovervåking. Datatilsynet har i meldingsåret sett eksempler på slike kombinerte systemer, blant annet overvåking av båter og havneanlegg i Mandal. Det er tydelig at flere aktører arbeider med forskjellige teknologier i kombinasjon med bruk av kamerasystemer, for bedre å kunne identifisere enkeltpersoner direkte, eller indirekte via kjøretøyer og andre gjenstander.

Elektroniske merking av dømte, demente eller arbeidstakere

Spørsmålet om hjemmesoning med elektronisk merking av dømte voldsforbrytere ble sendt på høring i 2006. Datatilsynet påpekte at forslaget innholder uavklarte spørsmål i forhold til hvor detaljert overvåkingen skal være.

Overvåking av enkelte kriminelle reiser spørsmål om vi ønsker et samfunn der «uønskede» og «vanskelige» grupper av mennesker blir elektronisk merket. Tilsynet antar at dersom man først har valgt å åpne for elektronisk merking av en type kriminelle, har man overskredet en terskel, og neste skritt på veien mot økt bruk av denne type tiltak vil være langt enklere å ta.

Med jevne mellomrom har også spørsmålet om elektronisk merking av sykehjemspasienter dukket opp. Datatilsynet presiserer at merking er et tvangstiltak som må vurderes ut fra helselovgivningen i det enkelte tilfelle. Tilsynet mener imidlertid det er etisk betenkelig om sykehjemmene skulle få anledning til å kompensere for manglende personale og manglende diagnostikk av senildemente, med elektronisk merking av alle pasienter.

Datatilsynet foretok i meldingsåret flere tilsyn for å se på såkalt «flåtestyring», som innebærer en type overvåking og sporing av ansatte gjennom lokalisering av tjenestebiler og mobiltelefoner. Slik sporing av arbeidstakere reiser spørsmål om hvor detaljert og kontinuerlig det er rimelig at en ansatt skal kunne følges av sin arbeidsgiver.

Gjenbruk, nye formål og evig lagring svekker den enkeltes mulighet til å ivareta eget personvern

Gjenbruk av personopplysninger til nye formål er problematisk for personvernet av flere årsaker. Den registrertes rett til kunnskap om hva opplysningene om ham eller henne skal brukes til står helt sentralt i europeisk personverntenkning. Den registrerte blir informert om ett formål, og danner seg en forståelse av hvordan opplysningene skal brukes. Dersom opplysninger blir benyttet til nye formål, som den registrerte ikke har overskuet, fjerner man muligheten til oversikt. Uten oversikt blir den enkelte fratatt muligheten til å bruke sine øvrige rettigheter etter personvernlovgivningen. Den som har opplysninger får mer makt på bekostning av den registrerte. Forskjellige formål kan også innebære ulike krav til kvalitet og etterrettelighet. Opplysninger som er innsamlet for ett spesifikt formål, er ikke automatisk tilstrekkelige og relevante for alle andre formål.

Datatilsynet har observert at stadig flere aktører ønsker lagring i stadig lengre tid, også av opplysningstyper som tidligere har blitt slettet. Respekten for slettebestemmelsene har gjennomgående vist seg å være liten. Når man samtidig vet at terskelen for å registrere opplysninger er lav, gir dette grunnlag for bekymring. Mange virksomhetsledere hevder at langvarig oppbevaring «kan være nyttig» for virksomheten, men få klarer å gjøre argumentet mer håndgripelig.

Datatilsynet fikk i 2006 også høringssaker der ønsket om videre lagring sto sentralt. Det tidligere overvåkingspolitiet – POTs arkiver ble foreslått lagret videre, med en rett til å komme med tilleggsopplysninger for de registrerte som hadde fått innsyn. Dette ble foreslått til tross for at Stortingets forutsetning var at det skulle være mulig med sletting.

Flere får tilgang til store, overgripende databaser og journalsystemer

I en situasjon der flere og flere store databaser og informasjonssystemer får flere brukere med rett til å logge seg på, lese og bruke personopplysninger, må man ta utfordringen med mulig internt misbruk alvorlig.

I 2006 så Datatilsynet, i samarbeide med Helsetilsynet, på bruken av elektronisk pasientjournal i Helse Bergen HF og ved Akershus Universitetssykehus HF. Tilsynene konkluderte med at pasientjournalene ved disse to helseforetakene ikke var godt nok beskyttet mot intern «snoking» fra ansatte som ikke deltar i behandlingen av pasienten. Datatilsynet og Helsetilsynet mente dette hadde sammenheng med at sykehusene ikke hadde tilpasset journalsystemene til hvordan de faktisk hadde valgt å organisere seg internt.

Datatilsynet mener det er alvorlig at helseforetakene ikke evner å gi tilstrekkelig fortrolighet rundt opplysninger de mottar for å yte helsehjelp. Det er ikke tilstrekkelig at alle som får tilgang til journalene har taushetsplikt. Sykehusene må aktivt sørge for at bare de som deltar i pasientbehandlingen får tilgang.

I meldingsåret dukket også opp spørsmål om taushetsplikten for helsepersonell i det hele tatt beskytter den enkelte pasient mot intern snoking ved helseinstitusjonene. Under etterforskningen av en sak der en leder ved Helgeland sykehus snoket i pasientjournaler, kom politiet frem til at taushetsbestemmelsene ikke var brutt så lenge opplysningene ikke var blitt utlevert til andre. Datatilsynet hevdet at sykehuset likevel hadde et ansvar for å sikre sine systemer, og sykehuset ble ilagt virksomhetsstraff for brudd på plikten til å ha tilstrekkelig informasjonssikring.

Datatilsynet har grunn til å tro at personopplysninger er for dårlig sikret mot intern snoking, ikke bare i sykehus og andre helseinstitusjoner, men generelt i virksomheter hvor store mengder personopplysninger behandles, det være seg i privat som i offentlig sektor. Problemet med internt misbruk får ofte ikke tilstrekkelig oppmerksomhet når man gir store brukergrupper direkte tilgang til mengder av opplysninger. Blant annet påpekte Datatilsynet dette problemet i forbindelse med forslaget om å gi politiet rett til å gå inn i valutaregisteret uten krav om at det bare skjer i forbindelse med etterforskning av konkrete saker.

Måling av gjennomsnittsfart

Norske veimyndigheter har brukt automatisk trafikkontroll (ATK) i mange år. ATK baserer seg på måling av fart i ett målepunkt. Kjører man for fort, blir det tatt et bilde.

Vegdirektoratet og politiet har i 2006 testet måling av gjennomsnittsfart i et prøveprosjekt på E6 nord for Lillehammer. Målingen foregår ved at absolutt alle som passerer et første målepunkt blir tatt bilde av, også de som holder fartsgrensen. Bilen må identifiseres såpass godt at man er sikker på at bildet fra første og andre målepunkt er av samme bil. Bildet tatt ved passering av det første målepunktet blir lagret inntil systemet har sjekket om fører har kjørt for fort. Dersom fartsgrensen er overskredet, overføres opplysningene til politiet for utferdigelse av et eventuelt forelegg. Ved å ta i bruk en systemteknologi som tar bilde av alle biler, er en helt ny infrastruktur for omfattende overvåking blitt etablert.

Satellittovervåking

Mye taler for at vi kommer til å få et EU-basert system for satellittovervåking av biler. EU har flere programmer under planlegging som skal gjøre dette mulig.

Ved hjelp av de globale satellittbaserte posisjoneringssystemene GPS og Galileo vil man kunne posisjonere bilers posisjon. Også bilens hastighet vil dermed kunne overvåkes automatisk.

Norske myndigheter har inngått avtale (Memorandum of Understanding) om satellittposisjonering av biler (e-call). E-call går ut på at alle biler som selges i EU-området fra 2009 skal være utstyrt med satellittposisjonering og kommunikasjon via mobiltelefonnettet som gjør at det sendes informasjon automatisk ved ulykker til nærmeste alarmsentral. Galileo, EUs nye system for satellittposisjonering, har her en sentral rolle.

Merking av biler

Det eksisterer også et EU-program som arbeider med spørsmålet om å gi hver enkelt bil en unik elektronisk avlesbar identitet (Electronic Vehicle Identification – EVI). Det er så vidt Datatilsynet vet ikke bestemt om dette skal være satellittbasert, eller basert på radiofrekvensbrikker, RFID.

Med samme bombrikke gjennom Europa

Også i ordningen for betaling av veiavgifter (Autopass) ligger en overvåkingsmekanisme. Ordningen utvides raskt, og rundt enkelte byer og tettsteder er det etablert helautomatisk bompengeinnkreving som gjør det umulig å passere anonymt. Mynter, som naturlig nok er et fullverdig anonymt alternativ, kan ikke lenger benyttes i de helautomatiske bomstasjonene.

I 2006 ble det fra norsk side også vedtatt at man skal gå med i en ordning som legger opp til samordning av betalingsløsningene i de europeiske bompengesystemene – enten satelittbasert, eller ved radiofrekvensbrikker, som i Autopass.

Autopassbrikken kan fjernavleses, og det er mulig å overvåke bilenes bevegelsesmønster uten at brukeren er kjent med at det skjer. Også private kan tenkes å fjernavlese brikken, og på denne måten registrere når bestemte biler passerer. Dette kan brukes som varsel når politiet nærmer seg, eller for å kartlegge andre personers bevegelsesmønster etc. For enkelte kan dette være nyttig informasjon for å begå sofistikert kriminalitet.

«Svart boks» i bilen – hvem eier informasjonen?

Det er trolig bare et tidsspørsmål før alle biler produseres med en innebygget «black box». Her registreres data om kjøringen, for eksempel hvordan gass, bremser, ratt, blinklys og sikkerhetsbelte benyttes. Normalt er det bare de siste sekundenes kjøring som lagres. Ved en ulykke kan denne informasjonen brukes for å utrede årsaken, og dermed skyldforholdet. Systemet er åpenbart interessant for politi og forsikringsselskap. Imidlertid antar Datatilsynet at mange bilførere ikke vet at denne informasjonen lagres. Hvem som rettmessig er eier av informasjonen, og hvem som skal ha adgang til denne, er i liten grad diskutert.

Hvem vil overvåke bilistene?

Hovedsakelig er det staten og forsikringsselskapene som ønsker å overvåke bilistene. Myndighetenes ønsker er knyttet til overholdelse av trafikkregler, kampen mot kriminalitet, manglende betaling av skatter og avgifter, automatisk ambulansealarm ved ulykker, med mer. Forsikringsselskapene har ønske om å skille høyrisikokunder fra lavrisikokunder, og bruke kunnskapen blant annet til forsikringer basert på nye forretningsmodeller, som for eksempel at kundene betaler en variabel premie basert på faktisk risikoeksponering («Pay as you drive«). Britiske forsikringsselskaper har allerede innført slike ordninger. Også i Norge har forsikringsselskaper luftet ideen overfor Datatilsynet.

En «svart boks» sørger for at selskapet har kunnskap om blant annet hvor bilen er, fart, akselerasjon og nedbremsing. Ut fra et sett kriterier fastsatt av selskapet beregnes risikoen bileieren utsetter seg for, og kunden betaler i forhold til den anslåtte risikoen. Dette er informasjon som trolig vil være svært interessant for flere.

Kolumbus – elektronisk billett

Rogaland Kollektivtrafikk sendte ut Kolumbuskortet, et elektronisk reisekort, til samtlige innbyggere over 16 år i Rogaland. Totalt ble det sendt ut over tre hundre tusen kort. Rogaland Kollektivtrafikk er fylkeskommunalt eid, og har som viktigste oppgave å utvikle og styrke det kollektive transporttilbudet i regionen.

Innbyggerne hadde ikke selv bestilt kortet. Rogaland Kollektivtrafikk benyttet seg av folkeregisteropplysninger, oversendt fra Skattedirektoratet, som grunnlag for utsendelsen. Flere rogalendinger oppfattet kortet som uønsket direkte markedsføring, og tok kontakt med Datatilsynet.

Kolumbuskortet inneholder en unik RFID-brikke, slik at hvert enkelt kort kan skilles fra andre. RFID-brikken kan avleses på avstand.

For at innbyggerne ikke skulle kaste Kolumbuskortet, men behandle det som et personlig kort, ble det preget med personnavn. Kortets identifikasjonsnummer var ellers ikke koblet til personen. Datatilsynet skrev til Rogaland Kollektivtrafikk og stilte en rekke spørsmål om tjenesten. Blant annet spurte Datatilsynet om detaljer når det gjaldt lagring av reiseopplysninger, samt sikring av disse.

Tjenesten la opp til at reiseopplysninger skulle lagres så lenge den enkelte var kunde i selskapet. Dette lar seg vanskelig forene med personopplysningslovens krav om sletting, med mindre den enkelte selv samtykker.

Datatilsynet arbeider videre med saken i 2007.

Hjemmesoning med elektronisk overvåking

I 2006 sendte Justisdepartementet et forslag på høring som blant annet beskriver et prøveprosjekt med hjemmesoning og elektronisk overvåking. Forslaget kom i forbindelse med tiltak for å få ned soningskøene og for å få et bedre innhold i soningen.

Datatilsynet understreket i høringsuttalelsen at også hjemmesoning med elektronisk overvåking er et inngripende tiltak. Den som skal sone sin straff under slike forhold vil bli kontinuerlig overvåket, samtidig som vedkommendes daglige gjøremål kan utføres mer eller mindre fritt. Den enkeltes følelse av grenser for hva han kan gjøre eller ikke gjøre blir mindre tydelige når man soner hjemme i stedet for i fengsel.

Det er foreslått at Kriminalomsorgen skal innhente samtykke fra andre beboere i samme bolig for at hjemmesoningen skal kunne gjennomføres. Datatilsynet forutsetter at kretsen som skal varsles består av den dømtes familie og eventuelt andre som vedkommende deler husvære med. Dersom informasjon om straffegjennomføringen også skal spres til andre enn denne begrensede kretsen, innebærer det etter Datatilsynets mening en unødvendig spredning av sensitive personopplysninger

Elektronisk merking – «omvendt voldsalarm»

Et forslag om merking av voldsmenn ble også sendt på høring fra Justisdepartementet. Forslaget er ett av en del tiltak med formål å beskytte personer som lever under vold og trusler.

De foreslåtte endringene i straffeloven og straffeprosessloven reiser spørsmål om vi ønsker et samfunn der uønskede eller vanskelige grupper av mennesker blir elektronisk merket. Tilsynet antar at dersom man først har valgt å åpne for elektronisk merking av en type kriminelle, har man overskredet en terskel. Neste skritt på veien mot økt bruk av denne type tiltak vil være langt enklere å ta.

Datatilsynet gjør i sin høringsuttalelse spesielt oppmerksom på at elektronisk merking er et tiltak som i seg selv innebærer et stort inngrep i den enkeltes integritet. Teknologien gjør det mulig å følge en merket person kontinuerlig.

Hvor skal grensene gå for når og hvor man kan overvåke vedkommende? Når vil alarmen bli utløst? Skal alarmen utløses når vedkommende kommer i nærheten av offeret eller i nærheten av forhåndsdefinerte steder, slik at det også blir mulig for den merkede å forutse når han overvåkes? Datatilsynet påpekte i forbindelse med høringsrunden at den aktuelle bestemmelsen i straffeloven manglet en nærmere angivelse av hva som skal vektlegges ved vurderingen av kontaktforbudets geografiske og tidsmessige omfang.

Manglende nasjonalt ansvar for Eurodac

Datatilsynet gjennomførte et tilsyn med Eurodac ved Kripos. Tilsynet ble utført som en del av et større prosjekt som er initiert av European Data Protection Supervisor. Eurodac er et hjelpemiddel for å fastsette hvilken medlemsstat som er ansvarlig for behandlingen av en asylsøknad.

I etterkant av tilsynet, og etter oversendelse av varslede pålegg, motsatte Kripos seg at etaten var å betrakte som behandlingsansvarlig for den nasjonale delen av Eurodac. Ansvarsforholdet var ikke avklart ved utgangen av 2006.

Nytt felles europeisk visum-informasjonssystem (VIS)

Arbeids- og inkluderingsdepartementet har ansvaret for implementering av nødvendig regelverk i forbindelse med Norges tilslutning til VIS-systemet. Forslag til endringer i utlendingsloven ble i den forbindelse sendt på høring. Forslag til hjemmel for VIS la opp til registrering, lagring og utveksling av informasjon i forbindelse med behandling av visumsøknader. I Datatilsynets høringsuttalelse ble det etterlyst et klart formål, klarhet i hvem som skal ha tilgang, hvor lenge opplysningene skal lagres og hvem som skal ha ansvaret for den nasjonale delen av VIS.

Visumdatabasen er tenkt opprettet for å ivareta en rekke forhold som er svært vidt beskrevet. VIS skal blant annet forenkle identifikasjon og tilbakesending av ulovlige innvandrere, og forebygge trusler mot de enkelte medlemsstaters «indre sikkerhet». De «rette myndigheter» skal ha tilgang for å «forhindre, avdekke eller etterforske kriminelle handlinger og terrorisme».

Begrepene i Rådsforordningen, som lovforslaget bygger på, har en svært vid tolkningsramme. Det er derfor vanskelig å ha et realistisk bilde av hvor mange som faktisk skal ha tilgang til søk i systemet, og hva det skal kunne brukes til.

VIS skal også registrere visumsøkeres biometriske kjennetegn – bilde og fingeravtrykk. En identitet blir imidlertid ikke automatisk mer «sann» når biometriske opplysninger legges til. Opplysningene er aldri mer riktige enn de er i det øyeblikk de registreres inn i systemet. En god nok sikring av opplysningenes korrekthet ved registreringstidspunktet blir derfor særlig viktig.

Datatilsynet etterlyste i høringsuttalelsen en konsekvensvurdering av feilregistrering av uskyldige personer, som blir utsatt for identitetstyveri. Dersom en person med falske identitetspapirer blir innrullert i VIS, vil bruken av biometri medføre et betydelig skadepotensial for den uskyldige personen som er utsatt for identitetstyveriet. En slik konsekvensvurdering må utarbeides før systemet tas i bruk.

Datatilsynet etterlyste videre en klar fastsettelse av hvem som skal ha ansvaret for VIS. Tilsynet har sett at ansvaret for fingeravtrykksdatabasen Eurodac har vært dårlig definert, og at dette har hatt flere uheldige virkninger. Det er en utfordring for den enkelte å orientere seg i forhold til hvilke rettigheter man har og hvor man kan henvende seg for å hevde sine rettigheter. Det har også vært problemer i forhold til feilretting og hvem som skal ha ansvar for at det blir foretatt nødvendige endringer i systemet.

Søkemotorer

De europeiske personvernmyndighetene er bekymret for hvilke opplysninger søkemotorene tar vare på etter et gjennomført søk. Det foreligger påstander om at flere opplysninger, som IP-adresser, søkeord, og hvilket nettsted søkerne går til, lagres nærmest for all ettertid.

Høsten 2006 ble det derfor gjennomført tilsyn mot virksomheter som driver søkemotorer på Internett. Tre virksomheter ble varslet om tilsyn, henholdsvis Sesam – Schibsted Søk AS, Kvasir – Eniro Norge AS og Google. Tilsynene mot de to første virksomhetene ble gjennomført som forutsatt. Det siste tilsynet mot Google viste seg vanskelig å få gjennomført. Datatilsynet har blant annet hatt vanskeligheter med å avklare hvem det er som kan betraktes som behandlingsansvarlig. Google er den desidert mest brukte søkemotoren for norske brukere. Det er derfor viktig at et tilsyn overfor denne internasjonale aktøren blir gjennomført på samme måte som overfor de norske søkemotorene.

Sentralt for tilsynene står spørsmålet om hva som lagres av personopplysninger og når disse personopplysningene slettes. Tilsynene omfatter også at det bringes klarhet i hva slags personopplysninger som innehentes og lagres av søkemotorene for å danne grunnlag for mulige søk.

Nasjonalbibliotekets paradigma-prosjekt

Nasjonalbiblioteket har hatt en midlertidig konsesjon for å samle inn ikke-passordbelagte norsk- og samiskspråklige sider fra Internett. Biblioteket har søkt konsesjon for å kunne videreformidle samlingen.

Pliktavleveringsloven pålegger utgivere, produsenter, trykkerier og importører å avlevere et gitt antall eksemplarer til Nasjonalbiblioteket. Biblioteket har imidlertid hatt problemer med å sikre materiale som bare er publisert på Internett, og har derfor valgt selv å høste inn sidene og lagre dem på egne servere.

Slikt Datatilsynet ser det, er aktørenes egen avlevering til Nasjonalbiblioteket vesensforskjellig fra om Nasjonalbiblioteket selv innhenter informasjonen. I en avleveringssituasjon vil utgiver/produsent ha en bevissthet knyttet til at materialet skal arkiveres for all fremtid. Den samme bevisstheten vil ikke være til stede hos en utgiver som får sitt materiale innhøstet.

For Datatilsynet er hovedproblemstillingen knyttet til personopplysninger og bilder som, av ulike grunner, er fjernet fra Internett. Hvordan skal man forhindre at slike opplysninger dukker opp igjen i en annen sammenheng?

Det er helt grunnleggende for ivaretakelsen av borgernes personvern at retten til sletting av opplysninger på Internett er mest mulig reell. Mange benytter Internett nokså ukritisk når det gjelder publisering av tekst og bilder om seg selv og andre. De selvpålagte skrankene, som redaktører og utgivere tradisjonelt har hatt, er ofte fraværende.

Et annet forhold som også er relatert til fjerning av personopplysninger, er når behandlingsansvarlig/nettstedeier feilaktig og ved uhell publiserer personopplysninger. Et eksempel fra meldingsåret er en kommune som på sin hjemmeside kom i skade for å publisere fødselsnummeret til flere tusen innbyggere. Andre eksempler er publisering av taushetsbelagte opplysninger, eller opplysninger man etter personopplysningsloven skal ha et samtykke for å utlevere. Disse eksemplene viser at en tilgjengeliggjøring av for eksempel kommunenes materiale, som tidligere har vært publisert på Internett, heller ikke er uproblematisk.

Datatilsynet ser at en konsesjon til videreformidling av internettarkivet vil kunne bidra til å undergrave sentrale personvernrettigheter. Det vil kunne oppfattes som en fortsatt krenkelse av personvernet at en statsinstitusjon tar vare på informasjon som er fjernet fra Internett. Datatilsynet erkjenner imidlertid dokumentasjonsverdien i samlingen, og innser at denne vil være nokså verdiløs dersom man ikke kan nyttiggjøre seg den. Tilsynet er i dialog med Nasjonalbiblioteket for å finne en tilfredsstillende løsning.

Fildeling

Under tvil kom Datatilsynet frem til at overvåking av fildelingsnettverkene har grunnlag i personopplysningsloven. Datatilsynet ser imidlertid behov for en politisk avklaring på området.

Et advokatfirma som representerer rettighetshaverne ville registrere kallenavn, IP-adresse, og fillister som viser hvilke musikkspor, filmer eller TV-serier som blir delt via fildelingsnettverk. Hensikten er å skaffe nok opplysninger til å kunne anmelde ulovlig fildeling til politiet, fremme et sivilt søksmål, eller å rette henvendelser til enkelte fildelere via nettleverandørene. Personopplysningene som samles inn vil normalt være avidentifiserte, og videre etterforskning vil måtte foretas av politiet.

Datatilsynet kom under tvil frem til at disse opplysningene kan registreres med grunnlag i personopplysningslovens § 8f. Tilsynet mente videre at advokatfirmaet må ha konsesjon for behandlingen, fordi opplysningene som innhentes er sensitive.

Datatilsynets utfordret musikk- og filmbransjen til å informere publikum om lovlig/ ikke lovlig kopiering og nedlasting av musikk og filmer. Både gjennom egen virksomhet og fra presseoppslag har tilsynet erfart at det er vanskelig for publikum å orientere seg på området.

Etter Datatilsynets mening reiser saken prinsipielle spørsmål som bør få en politisk avklaring. Det er ikke uproblematisk at private aktører skal etterforske lovbrudd uten noen form for fullmakt fra lovgivende myndighet. Politiets kommunikasjonskontroll og etterforskning er regulert i straffeprosessloven. Infiltrasjon og provokasjon er metoder politiet bare kan benytte når kravene i Riksadvokatens retningslinjer er oppfylt. Tilsvarende gir Lov om vaktvirksomhet retningslinjer til vaktselskapene. Advokatfirmaet er ikke underlagt tilsvarende lovgivning og retningslinjer.

Datatilsynet registrerer at både justis- og kulturministeren har kommet med uttalelser knyttet til deling av filer uten lovlig kopieringsgrunnlag. Datatilsynet har oversendt kopi av brevet til Justisdepartementet og Kulturdepartementet. Dette er gjort for å signalisere at det er behov for å endre åndsverkloven dersom det er politisk ønskelig at rettighetshavere skal ha mulighet til å forfølge brudd på denne.

En endring i loven bør i så fall klart angi grensene for hvilke virkemidler rettighetshaverne skal kunne benytte. Datatilsynet mener et slikt tiltak vil bidra til å sikre kravet til forutsigbarhet, både for bransjen og publikum.

Sletting fra Internett

Datatilsynet har i løpet av meldingsåret blitt kontaktet av flere enkeltpersoner som har hatt problemer med å få slettet opplysninger publisert på Internett. Antallet henvendelser fra personer som ber om tilsynets hjelp til å få slettet informasjon er økende. Her er noen eksempler på saker fra meldingsåret.

Videresendt til pornosider

En medarbeider i en offentlig etat kontaktet Datatilsynet. Når han søkte på sitt eget navn på Internett fikk han en mengde treff på internasjonale pornosider. Det viste seg at navnet hans var lagt inn på en rekke sider som ikke hadde annen funksjon enn å sende surferen videre til pornosidene.

Medarbeideren antok at dette var gjort for å sverte navnet hans.

Det har vist seg svært vanskelig å få en slutt på dette. De ansvarlige for hjemmesidene har ikke oppgitt kontaktopplysninger, og sidene er plassert i flere land. Datatilsynet arbeider fortsatt med saken.

TVNOR.no

To jenter ønsket en karriere i mediene. De la inn bilder og informasjon om seg selv på tvnor.no, et nettsted som oppgir at de er «for deg som ønsker en karriere innen TV/filmproduksjon». De fikk ingen tilbud, og ønsket å slette informasjonen. Det viste seg å være svært vanskelig. Oppgitte e-postadresser virket ikke, og det fantes ikke opplysninger om telefonnummer.

Til slutt fikk Datatilsynet sporet opp telefonnummeret til innehaveren via opplysninger om andre selskaper som innehaveren hadde opprettet. Jentenes personopplysninger er nå fjernet.

DNA-analyser på nett

En tenåring søkte på navnet sitt via en søkemotor. På bestemorens hjemmesider fant hun resultatet av sin egen dna-analyse.

Bestemoren hadde tvilt på hvem som var faren til jenta, og hadde i all hemmelighet sendt inn biologisk materiale fra flere slektninger til analyse. Etterpå hadde hun publisert analyseresultatene på Internett, med navn. Barnebarnet ble opprørt, og politianmeldte forholdet. Sidene er nå fjernet.

Sletting fra debattforum på Internett

En person ønsket å få slettet både sine egne leserinnlegg samt motinnlegg andre personer hadde skrevet i et debattforum. I tillegg krevde vedkommende sletting av alle registreringer på sitt navn gjennom søkemotoren Google. Datatilsynet mente at innleggene var ytringer vernet av ytringsfri­heten, og derfor ikke kunne slettes med hjemmel i personopplysningsloven. Personvernnemnda var enig i vurderingen.

Personvernnemnda konkluderte med at debattsider faller inn under personopplysningsloven § 7. Det betyr at innlegg fra klager og andre innlegg som viser til klagers innlegg, samt kommentarer og motinnlegg ikke kan kreves slettet, siden nettstedet representerer virksomhet med opinionsdannende formål.

Personvernnemnda påpekte også at Google indekserer og katalogiserer alle opplysninger som ligger tilgjengelig på Internett. Et debattforum kan neppe påvirke eller hindre slik indeksering, slik klager hevdet.

Hva er biometri?

Biometriske kjennetegn kan beskrives som kjennetegn som utgår fra kroppen, som er unike for den registrerte og samtidig permanente eller stabile over tid. Ved å måle disse kjennetegnene kan de benyttes til å gjenkjenne en person, eller bekrefte en persons påståtte identitet.

De mest kjente formene for biometriske kjennetegn er fingeravtrykk, håndavtrykk og ansiktsform, samt de to øyeteknologiene netthinne- og irisavlesning. I utgangspunktet kan alle målbare og unike egenskaper ved oss benyttes. Dette kan for eksempel være i form av stemmegjenkjenning, DNA, eller hvilken tastefrekvens vi benytter når vi skriver på et tastatur.

Biometri beskrives ofte som «noe vi er» når det sammenlignes med de tradisjonelle metodene for å gjenkjenne eller bekrefte en persons identitet. De tradisjonelle metodene omfatter «noe du vet», for eksempel et passord, og «noe du har», for eksempel en kodebrikke.

Biometri har sin egenart, det er uløselig knyttet til kroppen vår, på godt og vondt.

Bruksområder

Biometri, for eksempel i form av fingeravtrykk, er et viktig hjelpemiddel i politiets etterforskning, for å fastslå identitet og knytte gjerningspersoner til et åsted. Biometri kan imidlertid også benyttes i mer hverdagslige sammenhenger for å bekrefte identitet, for eksempel for å fastslå at en person er medlem i et treningsstudio.

Mange betrakter biometri som en rask, effektiv og sikker løsning for å bekrefte at en person er den hun eller han utgir seg ut for å være. Man trenger ikke ha med seg noe (kort) eller huske noe (kode).

Bruk av biometri kan være et godt bidrag til å utvikle sikre løsninger, men da normalt i kombinasjon med andre metoder for å bekrefte at en person er den han gir seg ut for å være (autentisering). For eksempel kan man benytte det tradisjonelle passordet eller kodekortet, i kombinasjon med en biometrisk løsning. Der kortet kan bli stjålet og koden gitt videre, er biometrien uløselig knyttet til deg. Dersom løsningen og bruken av løsningen er god, vil biometri kunne gi bedre sikkerhet.

Biometri benyttes også i situasjoner der det ikke nødvendigvis er den høye sikkerheten man er på jakt etter. Eksempler her er bruk av fingeravtrykk i stemplingssystemer, for å hindre at ansatte stempler for hverandre, såkalt «kameratstempling». Annen bruk kan ha som formål å nettopp gjøre det enkelt for brukeren. Garderobeskap i en svømmehall som åpnes og lukkes ved hjelp av øyegjenkjenning kan være et eksempel på dette.

I 2006 har Datatilsynet fått presentert løsninger for pålogging til informasjonssystemer, fysisk adgangskontroll, timeregistrering, åpning av kasseapparat, «medlemskort» på treningssentre, «jakkelapp» på utesteder, og bagasjekontroll på en flyplass. Alle disse baserer seg på bruk av fingeravtrykk.

Fordeler og ulemper

Brukt riktig kan biometri være et godt og effektivt verktøy for sikkerhet. Løsninger som baserer seg på biometri nyter generelt høy tillit i befolkningen, med hensyn til presisjon og sikkerhet. Det er derfor viktig å forhindre uriktig bruk av slike verktøy. Når tilliten til metoden er høy, kan et eventuelt misbruk få store konsekvenser. Det er derfor viktig å øke bevisstheten om at en løsning som benytter biometri ikke nødvendigvis fører til bedre sikkerhet.

To situasjoner er særlig aktuelle:

1. Metoden kan være teknisk svak. Biometrisk avlesning skiller seg i utgangspunktet ikke vesentlig fra andre tekniske sikkerhetsløsninger. Det finnes gode og dårlige løsninger, og det vil være et teknologikappløp mellom sikre løsninger og angrep på disse. Dårlige fingeravtrykkslesere kan for eksempel akseptere avkappede fingre og gummihansker med påmontert falske fingeravtrykk.

2. Mangelfull identitetskontroll ved innregistrering. Dersom feil person blir registrert i utgangspunktet, kan en ikke si at løsningen er sikker, selv om den benytter seg av biometri.

Den viktigste grunnen til å være varsom med bruk av biometri er at biometriske kjennetegn unikt beskriver det enkelte individ, og er uløselig knyttet til oss. En persons biometriske kjennetegn kan ikke skiftes ut. Dersom kriminelle finner metoder for identitetstyveri ved å utnytte svakheter i de biometriske løsningene, vil ofrene for dette bli utsatt for betydelige problemer. Hvordan misbruket kan skje ser vi ikke rekkevidden av i dag.

Biometri kan også være bærer av annen informasjon enn det rent identifiserende. DNA er et åpenbart eksempel på dette. Men også biometrisk avlesning av øynene, ansiktet eller benbygningen kan si noe om helse og etnisk bakgrunn. Vi overskuer ikke i dag hva som på sikt kan utledes av slike målinger.

Innsamling av biometriske opplysninger kan gjennomføres uten at vi selv er klar over det. Vi legger igjen fingeravtrykk overalt hvor vi ferdes. Det samme gjelder hår og spytt. Disse sporene kan kontrolleres i ettertid uten at vi er kjent med det. I andre tilfeller kan biometri behandles i sanntid, eksempelvis ved at ansiktet gjenkjennes i et kameraovervåkingsanlegg, eller at stemmen gjenkjennes.

Summen av opplysninger vi legger igjen, med eller uten den enkeltes bevissthet, kan tegne en tydelig profil av hvem vi er og hvilke preferanser vi har. Det faktum at det er opplysninger som er uløselig knyttet til oss, tilsier at de skal behandles med ekstra varsomhet. Hovedregelen bør være at dersom det finnes alternative og tilnærmet likeverdige løsninger, så bør man velge den løsningen som er minst inngripende i forhold til personvernet.

Biometrisk informasjon lagres normalt i form av en såkalt «template». Dette er en kodebasert representasjon av materialet, i stedet for å lagre en hel måling, for eksempel et fullt bilde av fingeravtrykket, med alle dets detaljer. Det er to grunner til at dette har blitt en normal tilnærming å håndtere biometriske data på: For det første er det mindre inngripende for personvernet, og for det andre er en slik representasjon godt egnet for elektronisk behandling.

Datatilsynet anbefaler at man så langt mulig unngår sentral lagring av personopplysninger basert på biometri. Opplysningene bør lagres nærmest mulig brukeren. Brukeren kan for eksempel bære opplysningene med seg på et smartkort, eller de kan lagres i den enkelte avleser, på det enkelte brukssted. Et annet virkemiddel mot misbruk er å gjøre den lagrede informasjonen unik for den enkelte installasjonen. At man er innrullert i en biometrisk løsning bør ikke innebære at det uten videre er mulig å overføre slike opplysningene til et annet system. Man kan forhindre dette ved at templatene krypteres med en unik nøkkel for den enkelte installasjon.

Det er ikke minst også grunn til å være skeptisk til bruk av biometriske løsninger i sammenhenger hvor man hittil ikke har sett noe som helst behov for å identifisere enkeltpersoner.

Nye pass med biometri og elektronisk fjernavlesing

Datatilsynet er av den oppfatning at sikkerheten i de nye biometriske passene som ble introdusert høsten 2005 er mangelfullt utredet. Dette gjelder særlig i forhold til bruk av kontaktløs brikke.

Ved introduksjon av de nye passene ble lagring av informasjon på brikkene avgrenset til personalia og høykvalitetsbilde av passinnehaver. Det foreligger imidlertid planer om å supplere dette med lagring av fullt fingeravtrykk.

Etter det Datatilsynet erfarer har en rekke andre land foretatt betydelig testing og sikkerhetsvurderinger av den kontaktløse teknologien. I Norge gjenstår fortsatt, etter Datatilsynets vurdering, en tilfredsstillende implementering av sikkerhetsløsninger. Andre land har også gitt langt bedre informasjon til passinnehaverne, enn hva norske myndigheter har gjort.

Av over 240 000 utstedte elektroniske pass har kun fem personer, i følge politiet, bedt om innsyn i den elektroniske brikken. Den mest nærliggende forklaringen er at folk flest rett og slett ikke er klar over at passene inneholder en fjernavlesbar elektronisk brikke, og at de har rett til å kreve innsyn i hvilke opplysninger som ligger lagret i denne.

Gyldighetstiden for norske pass er satt til 10 år. De elektroniske passene som ble produsert i 2005 skal altså være tilstrekkelig sikre også i 2015. Datatilsynet vil minne om at andre land har redusert gyldighetstiden for elektroniske pass ned til fem år, nettopp med den uvisse sikkerheten i den teknologiske løsningen som begrunnelse.

Datatilsynet har ikke avsluttet saken mot Politidirektoratet etter tilsynet som ble gjennomført i tilknytning til utstedelse av de nye passene. Etter Datatilsynets vurdering har Politidirektoratet ikke oppfylt de pålegg som ble gitt, og har derfor henstilt Justisdepartementet å følge opp gjennomføringen av vedtakene. Datatilsynet ønsker i det lengste å unngå en sanksjonering av landets øverste politimyndighet.

Nytt nasjonalt identitetskort

Det er ingen allmenngyldige identitetskort i Norge i dag. De identitetskortene folk flest benytter er laget for spesifikke formål; førerkort for den som har tillatelse til å kjøre bil, pass til bruk ved utlandsreise, bankkort til bruk for banktjenester osv. Selv om disse langt på vei har fungert tilfredsstillende, mener mange at det vil være hensiktsmessig med et nasjonalt identitetskort som kan tjene flere funksjoner. I et slikt kort kan man også legge inn e-ID og elektronisk signatur, for bruk på Internett. En rekke aktører har også tatt til orde for at de tidligere nevnte kortene ikke er sikre nok mot misbruk, og at dette i seg selv er en god begrunnelse for å vurdere innføring av et nasjonalt identitetskort.

Det pågikk i meldingsåret en utredning hvor spørsmålet om opprettelse av et nasjonalt identitetskort ble vurdert. Etter det Datatilsynet erfarer er tanken at dette både vil kunne benyttes som et ordinært identitetskort med bilde, og ha en funksjon for elektronisk identifikasjon (e-ID), slik at man også kan identifisere seg på Internett. Det er planer om at det nasjonale identitetskortet også skal inneholde en elektronisk fjernavlesningsmulighet (RFID).

Datatilsynet har vært representert med en observatør i gruppen som utreder disse spørsmålene. Datatilsynet er generelt bekymret for hvordan den planlagte kontaktløse brikken vil påvirke individets muligheter for anonymitet. Videre er tilsynet også skeptisk til opprettelse av et sentralt register hvor personalia, bilde og biometriske data skal samles. Hvem som skal gis tilgang til å lese av den kontaktløse brikken, og på hvilke premisser, er også sentrale temaer i diskusjonen.

På kortet er det tenkt plassert en e-ID til bruk på Internett, utstedt av en godkjent virksomhet som fungerer som såkalt «tiltrodd tredjepart». Denne utstyrer brikken med diverse sikkerhetsmekanismer, og går god for at den elektroniske IDen identifiserer kortholderen. Dette vil innebære en sikrere løsning enn brukernavn og passord alene. Der løsninger med brukernavn og passord forutsetter at man allerede har en avtale med motparten, får e-ID-brukerne en mulighet til å identifisere seg overfor aktører de tidligere aldri har vært i kontakt med. Løsningen vil også kunne være nyttig der det er behov for å skjerme opplysninger for uvedkommende ved kryptering. Datatilsynet ser i dag at det etableres alt for mange dårlige påloggingsløsninger med brukernavn og passord.

Dersom det nasjonale ID-kortet blir frivillig å ta i bruk, og får en godt fundert sikkerhet, vil det kunne gi befolkningen fordeler også av personvernmessig karakter.

Kameraovervåking og sporingsbrikke i Mandal

Våren 2006 ble Datatilsynet, gjennom henvendelser fra publikum, oppmerksom på planlagte overvåkingstiltak tenkt igangsatt av Mandal Havnevesen. Det var skissert en inngripende overvåking, der sporingsbrikker og avanserte doomkameraer skulle overvåke både båtliv, gateliv og private eiendommer i nærheten av havnene.

Havnevesenet ønsket å overvåke samtlige småbåthavner og gjestehavner, og i den forbindelse innføre obligatorisk identitetsbrikke for alle båteiere som leier kommunal båtplass. Begrunnelsen for dette var blant annet å hindre fremleie av båtplasser.

Mandal Havnevesen installerte doomkameraer i åtte småbåt- og gjestehavner. Kameratypen har meget god zoomefunksjon og kan dreies 360 grader. Havnevesenet skulle ha kontinuerlig tilgang til bildene i sanntid, og ha mulighet til å styre kameraene når de selv ønsket det. Kameraene var plassert på kommunalt eide områder som er åpne for fri ferdsel, for eksempel i Havnepromenaden i Mandal sentrum.

Kombinasjonen kameraovervåking og ID-brikke skulle gjøre kontrollen enkel. Havnevesenet kunne på denne måten få oversendt en elektronisk liste over hvilke båter som lå i havnen. Slik kunne de kontrollere at det bare var leietakernes båter som lå der.

Overvåkingssystemet var ikke satt i drift når Datatilsynet foretok stedlig tilsyn. Datatilsynet konkluderte at overvåkingstiltakene sannsynligvis ville stride mot personvernlovgivningen. Det er blant annet ikke adgang til å overvåke andres private grunn. Datatilsynet krevde derfor at Mandal Havnevesen måtte skjerme andres private områder. Tilsynet mente videre at havnevesenet heller ikke hadde rettslig grunnlag til å kreve at alle skulle montere ID-brikke i båtene.

Havnevesenet frafalt kravet om sporingsbrikke. Etter oversendelse av tilsynsrapporten hadde Datatilsynet også møte med leverandøren av overvåkingssystemene. Det ble gitt råd om en løsning som vil tilfredsstille personopplysningslovens krav, blant annet med maskering av privat eiendom, låsing av kameraposisjon og begrenset tilgang til overvåkingsbildene.

Rusmiddeltesting av ansatte

I 2004 var Datatilsynet på tilsyn hos Securitas AS. Under tilsynet kom det frem at virksomheten innhentet samtykke fra samtlige ansatte til rusmiddelkontroll i form av stikkprøver. Datatilsynet konkluderte med at rusmiddelkontroll av samtlige ansatte var i strid med arbeidsmiljøloven og ulovfestet praksis på området. Personopplysninger innhentet gjennom kontrollen fant derfor ikke noe behandlingsgrunnlag i personopplysningsloven. Vedtaket ble påklaget til Personvernnemnda.

Ny arbeidsmiljølov som kodifiserer tidligere praksis med hensyn til rusmiddeltesting trådte i kraft 1. januar 2006. Etter lovens § 9-4 kan rusmiddeltesting finne sted når det følger av lov eller forskrift, ved stillinger som innebærer særlig risiko og når arbeidsgiver finner det nødvendig for å verne liv eller helse. I februar 2006 forelå Personvernnemnda vedtak i saken. Nemnda tok utgangspunkt i den nye loven og opprettholdt Datatilsynets vedtak, med henvisning til at rusmiddeltesting bare kan finne sted i de tilfeller som er nevnt i arbeidsmiljøloven.

Dopingtester ved treningssentre

Antidoping Norge har i samarbeid med Norsk Treningssenterforbund utarbeidet et antidopingprogram som tilbys treningssentrene. Deltakelse i programmet inkluderer blant annet kurs for de ansatte, informasjonsmateriell og et visst antall dopingprøver av treningssenterets medlemmer.

Treningssenteret innhenter samtykke til testing fra det enkelte medlem. Vanligvis skjer dette ved inngåelse av treningsavtale. Samtykke til testing er ikke noe vilkår for medlemskap. Ved positiv prøve kan treningsavtalen bli sagt opp.

Datatilsynets la til grunn at dopingtester av treningssenterets medlemmer er et for inngripende og lite egnet virkemiddel til at personvernulempene ved testene oppveies. Det ble derfor fattet vedtak om at testene måtte opphøre. Datatilsynets vedtak ble etter klage omgjort av Personvernnemnda. Dopingtester kan nå gjennomføres under forutsetning av at treningssenteret har fått konsesjon fra Datatilsynet.

Dagens lovgivning inneholder ingen formalisert avgrensning av nedslagsfeltet for mulige dopingtester. Datatilsynet etterlyser derfor lovgivers gjennomgang og et politisk engasjement med tanke på utforming av regler som styrker muligheten for å beholde dopingfri idrett og aktivitet i Norge, samtidig som grunnleggende personvernhensyn og rettssikkerhet ivaretas.

Tilsyn med nasjonale helseregistre

Tilsyn gjennomført mot fire nasjonale helseregistre avdekket at det gjennomgående var mindre bruk av de utvalgte registrene enn det som opprinnelig hadde vært intensjonen. Det virket som relativt komplisert å administrere innsamling av personopplysninger fra lokale aktører og samtidig oppfylle den databehandlingsansvarliges lovpålagte plikter. Særlig gjelder dette kravet om tilfredsstillende kvalitet på opplysningene.

Det var gjennomgående lite refleksjon rundt hvilke utfordringer bruk av opplysninger fra et slikt register kunne medføre. Datatilsynet konstaterte videre at det ikke var utarbeidet tilfredsstillende rutiner når det gjaldt utlevering av opplysninger fra registrene.

Registrene inneholder, i tillegg til opplysninger som er hentet fra pasientjournalen, egne medisinske opplysninger som ikke blir registret i journalen. Systemet fungerer dermed på siden av pasientjournalsystemet. Følgen av dette er at journalsystemet fragmenteres og viktige sikkerhetstiltak ikke opprettholdes.

Tilsyn med forskningsprosjekter

Datatilsynet gjennomførte høsten 2006 ti tilsyn med tilfeldig utvalgte forskningsprosjekter. Fire av prosjektene var konsesjonspliktige. Det ble her foretatt stedlige tilsyn. Seks av prosjektene var tilrådd av et personvernombud og dermed meldepliktige etter personopplysningsforskriften § 7-27. For disse ble det foretatt brevkontroll.

Det ble fra Datatilsynets side fokusert utelukkende på hvorvidt forskningsprosjektene var gjennomført i samsvar med konsesjonens forutsetninger og vilkår, eller i tråd med den prosjektbeskrivelse personvernombudet hadde gitt sin tilrådning på grunnlag av.

Kontrollene fra de stedlige tilsynene avdekket ikke avvik som ga grunnlag for vedtak.

Det ble kun behandlet avidentifisert materiale i prosjektene, ved at identifiserende elementer var erstattet med kodenøkler. Videre ble det i stor grad også benyttet koder i stedet for mer direkte parametere, for eksempel kjønn og bosted. Muligheten for indirekte identifisering er derfor liten. I daglig bruk vil opplysningene fremstå som anonyme, både for den enkelte forsker og for eventuelle uvedkommende. Det er kun dersom man har tilgang til kodenøkkel at identitet kan avsløres.

Under forutsetning av at kodenøklene sikres tilstrekkelig, også i perioden umiddelbart etter datainnsamlingen, fremstår den praktiske håndteringen av dataene som sikkerhetsmessig tilfredsstillende.