1 Datatilsynets årsmelding for 2007

1.1 Om Datatilsynet

Datatilsynet vart etablert 1. januar 1980 i samsvar med den dåverande personregisterlova vedteken i 1978.

Datatilsynet har til oppgåve å verne den enkelte mot at personverninteressene blir krenkte gjennom handsaming av personopplysningar. Personopplysningar skal handsamast i samsvar med grunnleggjande personvernomsyn som trongen for vern av personleg integritet og privatlivets fred. Det juridiske grunnlaget for Datatilsynets verksemd er regulert i Lov om behandling av personopplysninger av 14. april 2000 (personopplysningslova) og Lov om helseregistre og behandling av helseopplysninger (helseregisterlova) av 18. mai 2001.

Datatilsynet er eit uavhengig forvaltningsorgan, administrativt underordna Fornyings- og administrasjonsdepartementet. Sjølvstendet inneber at departementet ikkje kan gi instruks om, eller omgjere Datatilsynets utøving av myndigheit etter personopplysnings- eller helseregisterlova. Personvernnemnda er klageinstans for Datatilsynets vedtak. Nemnda leverer si eiga årsmelding.

1.2 Organisasjon og administrasjon

1.3 Sakshandsaming

Det vart journalført 6520 dokument i meldingsåret. Av desse var 2952 innkomne og 3404 utgåande brev frå Datatilsynet. Resten var journalførte interne notat. Dette er omtrent på same nivå som for 2006.

Nye saker (som ikkje har starta i eit tidlegare meldingsår) utgjorde 1928, av desse vart 1428 fordelte til juridisk avdeling, mens 215 og 231 saker vart fordelte høvesvis til Datatilsynets juridiske svarteneste og tilsyns- og tryggleiksavdelinga. Resten av sakene vart fordelte til administrasjonen, informasjonsavdelinga og direktøren.

Av dei nye sakene utgjorde 1/3 klager frå publikum. Flest klager kom inn på områda kredittopplysning, direkte reklame, tele/Internett, arbeidsliv og helse. I meldingsåret mottok tilsynet 506 søknader om konsesjonar. Av desse utgjorde forsking over halvparten av søknadene. Av andre som er verd å nemne er søknader om konsesjon innan forsikring, bank og barnevern. Med unntak av forskinga er dette konsesjonar som i stor grad er standardiserte.

I årsmeldinga for 2006 vart det gjort greie for konsekvensane av tilknyting til ny forskingslov. No vart ikkje ny forskingslov vedteken i 2007, og vil tidlegast bli det i 2008, men synspunkta vil ha same relevans.

Ei sak som i stor grad prega sakshandsaminga i Datatilsynet var dei mange klagene frå publikum i samband med «innhaustinga» av personopplysningar i tilknyting til Tele2-saka. Dette var klager som vart formidla til oss både brevleg, via e-post og telefon. Datatilsynet melde eitt teleselskap til politiet i saka.

1.4 Deltaking i offentlege råd og utval

Datatilsynet skal medvirke til å fremje respekten for privatlivet til kvart enkelt samfunnsmedlem, særleg når det gjeld bruk av personopplysningar. Tilsynet arbeider mellom anna for å påverke at nasjonal og internasjonal lovgiving tek omsyn til respekten for at privatsfæren er viktig for å ta vare på menneskerettar, demokratiet og rettsstatens institusjonar.

I meldingsåret har Datatilsynet vore med i følgjande råd, utval eller samarbeidsfora:

1.5 Internasjonalt samarbeid

Som med deltaking i norske offentlege råd og utval, er òg deltaking på internasjonale møte og arbeidsgrupper ein viktig arena for å påverke lovgivinga på området. EU er den viktigaste premissleverandøren for framtidige personvernrettslege normer og reglar. Datatilsynet har derfor valt å vere deltakar i utvalde arbeidsgrupper under artikkel 29-gruppa. Dei internasjonale møta er òg ein arena for utveksling av synspunkt. Nedanfor er ei oversikt over dei internasjonale arbeidsgrupper og råd som Datatilsynet er representert i.

1.6 Informasjonsverksemda

Personvernlovgivinga legg i stor grad ansvaret på den enkelte når det gjeld å ta vare på sitt eige personvern. Samtidig er alle som handsamar personopplysningar, anten det er offentlege etatar eller næringsdrivande, pålagde vesentlege plikter med omsyn til å etterleve lovgivinga på området. Datatilsynet er derfor avhengig av å gjere seg synleg i samfunnet og å skape aktiv debatt, refleksjon og medvit kring sentrale personvernspørsmål. Kommunikasjon er dermed eit verkemiddel som det blir lagt sterk vekt på. Dette skjer i første rekkje gjennom mediekontakt, Datatilsynets heimeside og ei svarteneste for publikum («Frontservice»).

Dette er likevel tradisjonelle verkemiddel med sine klare avgrensingar. Datatilsynet fekk derfor i 2006 løyvd to millionar kroner til å utvikle ei ekstra satsing på kommunikasjonstiltak som kan gi både innbyggjarane som rettshavarar og verksemder som plikthavarar auka merksemd, refleksjon og kunnskap om viktige personvernspørsmål. Dei øyremerkte ekstramidlane for kommunikasjonstiltak vart vidareførte og ytterlegare styrkte i 2007, noko som har gitt synlege og dokumentert gode resultat.

1.7 Tilsyns- og tryggleiksarbeid

Dei fleste verksemder innan offentleg og privat sektor kan underleggjast tilsyn etter personopplysningslova. Datatilsynet gjennomfører, i likskap med dei fleste tilsynsorgan, risikobasert tilsynsverksemd. Dette inneber at innsatsen blir retta inn mot område der regelbrot er mest sannsynleg og konsekvensane størst.

Grunnlaget for tilsynsarbeidet ligg i dokumentet «Strategi og metodikk for operativt tilsyn med personopplysningslova». Denne strategiplanen omtaler Datatilsynets forvaltningsområde som heilskap, og legg føringar i forhold til operativt tilsyn. Verksemdsplanen legg føringar for val av sektorar, bransje og/eller tema. I tillegg er oppfølging av tips og klager frå publikum viktig.

Etter at avvika er lukka hos den enkelte verksemda vil Datatilsynet gjerne medverke til at liknande verksemder unngår å gjere dei same feila. Metodane som blir nytta er mellom anna:

• Kontakt med aktuell bransjeforeining eller andre bransjeorgan for å drøfte lovforståing og tolking, initiere bransjenorm eller publisere fagartiklar i medlemsblad.

• Kontakt med eigarinteressene.

• Beskrive problem i media, lage rettleiingar som blir lagde ut på tilsynets heimeside, eller medverke med foredragsverksemd.

• Starte prosjekt der dei nye problemstillingane kan gjennomgåast.

1.7.1 Funn i fleire sektorar

Informasjonsteknologien er framleis i ein tidleg fase når det gjeld spørsmålet om intern tryggleik og samhandling. Verksemdene føler ein trong for å bruke sine IT-system til å skape betre informasjonsflyt – òg når det gjeld personopplysningar. Problemet er at naudsynte mekanismar for intern tryggleik og trygg samhandling ikkje har vore på plass.

Problemstillinga har i hovudsak fem dimensjonar:

• Kor mange medarbeidarar som har tilgang til personopplysningar

• Tidsrommet desse har tilgang

• Mengda informasjon kvar enkelt har tilgang til

• Kontrollmekanismane kring tilsettes bruk av personopplysningar

• Tryggleik knytt til kundane sin tilgang til eigne opplysningar

Kontrollverksemda til Datatilsynet indikerer at mange verksemder kjem dårleg ut i forhold til fleire av desse dimensjonane. Dette representerer ein markant trussel mot personvernet til den enkelte. Det at verksemdene er for lite restriktive med kven av dei tilsette som får tilgang, kombinert med manglande kontrollmekanismar med kven som gjer oppslag, utgjer truleg den største enkeltrisikoen.

Den manglande tryggleiken rundt kundane sin tilgang til eigne opplysningar følgjer som ein god nummer to. I dei fleste tilfella er det berre krav om ei svak autentisering av kunden før det blir gitt tilgang til personopplysningane.

Brot på føresegnene om informasjonstryggleik og internkontroll er like framtredande som tidlegare år. Gjennomgåande slit verksemder med å dokumentere tryggleiken slik regelverket føreskriv.

Truleg skjer det kvar dag at nokon får krenkt personvernet sitt, utan at det blir kjent for den det gjeld. Det kan vere uautorisert innsyn i ulike typar sensitive personopplysningar, eller gjenbruk av personopplysningar utan at det ligg føre noko nytt handsamingsgrunnlag. Det er ofte svært vanskeleg å avdekkje slike krenkingar, delvis fordi dette skjer i lukka miljø, og delvis fordi systema ikkje er eigna til ein effektiv kontroll av misbruk.

Datatilsynet merker seg at respekten for føresegnene om sletting gjennomgåande er låg. Dette gir grunnlag for bekymring, spesielt når terskelen for å registrere opplysningar òg er låg. Få verksemdsleiarar ser ut til å ha vurdert trongen for å slette personopplysningar. Mange hevdar at langvarig oppbevaring kan vere nyttig for verksemda. Dermed er vi i ein situasjon der fleire og fleire verksemder lagrar fleire opplysningar om individet – over stadig lengre tid.

I tillegg skuldast lagringa eit langt på veg uavklåra forhold til rekneskapslovgivinga som pålegg lagring av visse typar opplysningar i ein gitt periode.

Det blir generert monalege mengder overskotsinformasjon. Regelverket føreset at informasjonen som blir lagra samsvarer med føremålet og skal vere sakleg. Informasjonssystem som blir utvikla blir i mange tilfelle ikkje bygde etter dette prinsippet. Tvert imot blir alle dei opplysningar systemet gir rom for lagra, utan at dei ansvarlege i det heile ser ut til å reflektere over det.

Nærmare omtale av tilsyna er teke inn i fagdelen, del II.

1.7.2 Nøkkeltal frå kontrollverksemda

Datatilsynets kontrollverksemd omfattar kontroll­aktivitetar mot i alt 134 verksemder.

Bransjane (eller temaområda) i tabell 1.4 var underlagde tilsyn i 2007.

1.8 Tema og tendensar i 2007

Ein viktig del av Datatilsynets mandat er å identifisere farar for personvernet, og gi råd om korleis ein kan unngå eller avgrense dei. Datatilsynet vil trekkje fram sju tendensar som har vore særleg framtredande i meldingsåret.

Tendensane er henta frå erfaringar frå tilsyn og sakshandsaming, frå høyringsarbeidet, deltaking i forskjellige arbeids- og styringsgrupper nasjonalt og internasjonalt, og gjennom saker som Datatilsynet er blitt merksam på gjennom medieomtale. Skildringa av tendensane byggjer på ein grundigare omtale andre stader i årsmeldinga.

1.8.1 Personvernet er under press

Personvernet er under press på nær sagt alle område der det er gjennomført tilsyn i inneverande år. Når ein ønskjer å innføre eit nytt tiltak, og personvernet blir oppfatta som ei hindring, ser det ut til at mange gløymer at personvernet samtidig må sjåast på som ein viktig garanti for ei skikkeleg handsaming av personopplysningar. I praksis ser Datatilsynet at personvernet ofte må vike, utan at ein vurderer konsekvensane av at denne garantien blir svekt eller fjerna.

Presset kjem frå fleire retningar. Den eine er ei «klassisk Orwellsk» overvaking, der ein Storebror, eller kanskje «småbrør», overvaker andre systematisk som eit ledd i sin kontroll og maktutøving. Datalagringsdirektivet kan stå som eit døme på eit slikt tiltak.

Den andre pressfaktoren kjem frå omsorgsovervakinga. I omsorgsovervakinga blir Storebror erstatta av ei «Store Mor». Mange gode hjelparar vil verne vår helse, økonomi, utdanningsnivå og velferd. Føresetnaden for hjelp er at hjelparane får tilgang til til dømes helseopplysningar, opplysningar om psykososial velferd, mappa frå barnehage og skolegang, spelevanar og medisinbruk. Dersom trongen til dei vaksne ikkje kan grunngi eit tiltak, kan kanskje vernet av det forsvarslause barnet vere grunn god nok?

Effektivisering er ei tredje kjelde til vesentleg press mot personvernet. Det verkar som det å vise omsyn til den menneskelege faktoren i seg sjølv blir oppfatta som ei hindring for effektive løysingar. Ein ønskjer i stor grad å forsyne seg med dei opplysningane ein meiner ein treng. Ein vil ikkje ta seg bryet med å informere eller spørje den opplysningane gjeld, eller den opplysningane stammar frå. Ein vil ha personopplysningane enkelt tilgjengelege for alle i sitt datasystem, og ikkje ta omsyn til at menneske er grunnleggjande nysgjerrige. Ein vil ikkje ta seg bryet med å etablere tilgangskontroll og eit forsvarleg tryggleiksnivå. Resultatet er at innbyggjaren mistar kontrollen med kven som har tilgang til informasjonen om han.

Datatilsynet er sterkare uroa for utviklinga ved utgangen av meldingsåret enn tidlegare år. Ansvarskjensla har vist seg å vere lita hos mange aktørar. I tilsynsrapport etter tilsynsrapport blir det peikt på manglande oversikt over og kontroll med personopplysningar. Problemstillinga blir ytterlegare aktualisert ved utsetjing av driftsoppgåver og IT-system til eksterne leverandørar. Datatilsynet har gong på gong sett at handsaminga av personopplysningar er sett bort til datahandsamarar utan tilfredstillande avtale, og utan at ein har forvissa seg om at opplysningane er forsvarleg sikra.

Offentlege og private verksemder kan i stor grad skyve konsekvensane ved å tilby dei registrerte eit dårleg personvern over på kunden, pasienten eller brukaren. Når eit menneske har blitt utsett for krenkingar ber han sjølv tapet – i tid, pengar og psykiske påkjenningar. Desse tapa blir ikkje reflekterte i rekneskapane til verksemdene. Nedprioritering av personvern kan dermed vere eit etisk tvilsamt val som likevel blir forsvart ut frå rein bedriftsøkonomisk veging av kostnader og inntekter. Det har vore få saker der den fornærma har reist erstatningssøksmål mot den ansvarlege for handsaminga av personopplysningane.

Kontrollane til Datatilsynet er ikkje nok til å få verksemdene til å etterleve regelverket. Det krevst forståing av trongen for eit godt personvern hos verksemdene sjølve, og eit vakent publikum som reagerer på overtramp. Tal frå personvernundersøkinga frå 2005 tyder på at folk flest har tillit til verksemdene. Dersom ein skal leggje Datatilsynet sine funn til grunn, er mange verksemder, både offentlege og private, ikkje denne tilliten verdig.

1.8.2 Anonyme alternativ forsvinn

Datatilsynet har gjennom fleire årsmeldingar peikt på tendensen til at dei anonyme alternativa er under spesielt press. I meldingsåret vart det bestemt at det ikkje lenger skal vere mogleg å passere bomringen i Oslo anonymt. Det reelt anonyme alternativet, myntbetalinga, blir teke bort, og bommen blir heilautomatisk.

I fleire fylke ser ein ei oppbygging av sporbar elektronisk billettering i kollektivtransporten.

Løysingar der personlege, elektroniske brikker erstattar ihendehavarbevis som klippekort, dagsbillettar eller kontantar, medfører ein vesentleg fare for personvernet. Datatilsynet meiner det bør vere mogleg å lage dei elektroniske løysingane på ein slik måte at ein ikkje knyter elektronisk billett eller brikke til éin bestemt person. I praksis ser tilsynet likevel at viljen til å lage slike løysingar er bortimot fråverande. Offentlege og private verksemder ønskjer i stor grad å kunne følgje den enkelte personen i sine system.

I meldingsåret kom det òg fram eit forslag om pliktig registrering av sjølve brukaren av telefonen, ikkje berre abonnenten. Her vart omsorga for mobilbrukarar under 18 år oppført som årsak til å gjennomføre ei endring som vedgår alle. Datatilsynet uttalte seg tvilande til at ei pliktig registrering av barn vil føre til færre uønskte førespurnader retta mot dei. Tvert imot meiner tilsynet at fleire foreldre ønskjer at mobilabonnementet skal stå på dei, nettopp for å verne barna. Registreringa av brukaren har då òg i fleire tilfelle ført til at barn, utan at dei føresette har visst om det, er blitt oppførte med fullt namn og mobilnummer på nummeropplysningstenester. Tryggleiken for barnet har dermed ikkje blitt betra.

1.8.3 Personopplysningar blir ikkje sletta

Lagring av elektroniske data er blitt billegare enn å ha rutinar for sletting. Datatilsynet såg spesielt på sletting i meldingsåret, og avdekte manglande respekt for sletteføresegnene på nær sagt alle område. Så å seie alle tilsyn førte til merknader. Verksemdene vel ofte minste motstands veg, vidare lagring og større harddiskar.

Overgangen frå kontant betaling til elektroniske betalingsmetodar ser ein innanfor dei aller fleste samfunnssektorar. Stadig oftare tek ein vare på all informasjonen ein har, i staden for å lagre berre det som er naudsynt etter rekneskapslovgivinga. Som heimelsgrunnlag viser ein til rekneskapslovgivinga. Det vil seie at detaljopplysningar som før ikkje ville blitt lagra, eller som ville blitt lagra i kort tid, no i staden blir lagra i minst ti år. Dette såg Datatilsynet ved tilsyn mellom anna hos nettbutikkar og hos hotell. I meldingsåret kom det òg fram at fleire fylkesskattekontor bad om innsyn i gamle passeringsopplysningar hos bompengeselskapa. Ein kan lese meir om desse sakene i fagdelen, kapittel ni.

I tillegg ser Datatilsynet ein manglande vilje til å utbetre feil som finst i eksisterande system. Politiet har ikkje sletta eller sanert opplysningar om pågripingar og reaksjonar i Det sentrale straffe- og politiopplysningsregisteret (SSP) etter 2001. Årsaka er ein teknisk feil, og evna til å utbetre registeret ser ut til å mangle. Dette fører til at rettane til dei registrerte blir neglisjerte.

1.8.4 Snoking blir ikkje avdekt

Datatilsynet har i meldingsåret fått inn fleire førespurnader frå enkeltmenneske som meiner at banktilsette, fengselstilsette, helsepersonell og politi går inn i databasar og les opplysningar om dei, utan å ha tenestleg trong. Datatilsynet har kunna undersøkje ein del av påstandane, og funne at dei stemmer.

Mørketala på området er truleg store. Svært mange verksemder har mangelfull kontroll med kven som slepp til i databasane, og altfor få kontrollerer loggane i etterkant. Derfor vil snokinga i mange tilfelle vere vanskeleg å avdekkje.

Svært mange verksemder opnar for vidare tilgang til databasane enn det som var mogleg tidlegare. Meir enn 13 000 personar har tilgang til politiets sentrale straffe- og politiopplysningsregister (SSP). Talet på NAV-tilsette som kan gå inn i fagsystema til tidlegare Trygdeetaten, sosialtenesta og Aetat er truleg dobla etter samanslåinga. For bankane har vi ikkje gode tal, men òg her har svært mange tilgang til opplysningane om alle kundane.

I praksis har Datatilsynet sett at sjukehus og bankvesen tilbyr betre vern til kjendisar. Datatilsynet går likevel ut frå at ein god del av dei urettmessige oppslaga gjeld snokaren sin eigen omgangskrins, ikkje kjendisar. Same type vern bør ein derfor kunne tilby alle som ønskjer det.

I meldingsåret sende Helse- og omsorgsdepartementet ut eit lovforslag som gjer det tydeleg at helsepersonell ikkje kan lese andres helseopplysningar utan tenestleg trong for det. Datatilsynet er nøgd med forslaget, men føreslår at ein vurderer å ta inn eit supplement, at alle pasientar får ein rett til kostnadsfritt å sjå kven som har slått opp i deira journalopplysningar.

Når verksemdene sjølve kontrollerer loggane, kan ein del oppslag vere vanskelege å identifisere som snoking. Personen det gjeld vil ha betre føresetnader. Tilsynet meiner at ein slik rett til å få vite kven som har hatt tilgang til opplysningane i databasane, òg bør gjelde overfor fleire aktørar.

1.8.5 Datainnhausting er blitt enklare – store lekkasjar i meldingsåret

1.8.5.1 Datainnhausting

Datainnhausting er innsamling av store mengder personopplysningar, anten for eigen bruk, eller for vidaresal. Fleire faktorar ligg til rette for at innhausting av informasjon om deg og meg er enklare enn det bør vere i Noreg. Éin ting er å hauste inn informasjon den enkelte har publisert om seg sjølv, frivillig, og med opne augo for at slik nedlasting vil skje. Noko heilt anna er innhausting av informasjon den enkelte ikkje eingong visste var tilgjengeleg for alle, eller informasjon ein pliktar å gi frå seg til heilt andre føremål.

Kombinasjonen av for dårleg tryggleik og liberal praksis med publisering av personrelatert informasjon dannar eit trusselbilete som gir grunnlag for uro. Datatilsynet opplever at aktørane ofte rører seg i gråsona for kva som kan vere forsvarleg. Omsynet til brukarvennlege løysingar, kostnader og dynamikk gjer at ein vel eit for lågt tryggleiksnivå, og dermed skaper unødverdige personverntruslar.

I 2007 vart det vist i praksis at slik innhausting kan gjennomførast i Noreg, at nokon er villig til å gjere det, og at det kan få store konsekvensar. Omlag 180 000 nordmenn vart ramma av denne datainnhaustinga.

Innhaustinga av personopplysningar skjedde ved at einkvan kjørte eit dataprogram mot utvalde nettsider. Ved hjelp av eit anna dataprogram hadde dei generert fødselsnummer som kunne vere i bruk i Noreg. Desse vart seinare sjekka mot ei offentleg nettside for å luke ut nummer som ikkje er tildelt ein person. Fødselsnumra vart brukte til å søkje fram namn og adresse til innehavaren via nettsidene til fleire teleselskap.

Dei fleste det gjaldt hadde aldri hatt noko med dei aktuelle teleselskapa å gjere. Datatilsynet opplevde mange telefonar frå sinte nordmenn som ikkje kunne forstå at dette var mogleg. Saka skapte debatt i media, i styreromma og hos tilsynsmyndigheitene.

Dei som gjennomførte dette, sat tilbake med ein grunndatabase som truleg vil ha ein varig verdi. Ein base som inneheld fødselsnummer, med andre ord ein offisiell, varig og eintydig identifikator, namn og andre kontaktopplysningar til kredittverdige nordmenn. Med ein database av såpass høg kvalitet, kan ein med relativt høg tilslagsgrad føye til annan informasjon. Til dømes frå norske skattelister, som ein finn ordna til for enkel nedlasting på Internett, eller frå andre aktørar som tilbyr dårleg vern av personopplysningar.

1.8.5.2 Offentleglova

Den nye offentleglova legg opp til at det offentlege i større grad enn før skal kunne gjere sine dokument tilgjengelege på Internett. Gjennom publisering av postlister og dokument på nettet, har mange aktørar i offentleg sektor gjort spørsmålet om offentlegheit til ei global sak. Det norske domenet .no er tilgjengeleg for kven som skulle ønskje det, i Kirkenes, Lindesnes eller New Dehli. Lesaren treng heller ikkje vere eit menneske. Det kan vere maskinar, robotar, som skannar gjennom sidene, indekserer innhaldet og tek vare på det for framtida. Det er mogleg å hauste inn og systematisere informasjon om nordmenn frå kvar som helst i verda.

Søkjemotorane er for lengst identifiserte som moglege truslar mot personvernet. Søkjemotorane har blitt svært kraftige, og gjer personopplysningar tilgjengelege i samla form, trass i at dei i utgangspunktet er publiserte hos ulike aktørar. All samhandling med offentleg sektor som innbyggjaren har, og som ikkje er unnateke offentlegheit, vil vere tilgjengeleg ved søk på namn – med mindre det er sett i verk vern mot dette.

I tillegg til det materialet som blir lagt ut med rette, er det ein del som blir lagt ut ved ein feil, manglande opplæring eller regelrett slurv. Dei som samlar inn informasjon ser sjølvsagt ikkje forskjell på tilsikta og ikkje-tilsikta publisering. Dei treng ikkje eingong å forstå norsk.

Det eksisterer allereie i dag kommersielle verksemder som gjennomsøkjer nasjonale domene etter personopplysningar, samlar desse inn og systematiserer informasjonen. Føremålet er å samle tilstrekkeleg informasjon til at dei kan avgjere at det finst ein betalingsvilje. Verksemda kan dermed selje informasjon om individet som er samla inn over tid frå til dømes offentlege postlister og dokument. Dersom desse verksemdene er lokaliserte utanfor EØS-området, vil det vere svært vanskeleg å handheve rettar nordmenn har fått i personopplysningslova.

1.8.6 Auka fare for identitetstjuveri i Noreg

Når det blir lagt til rette for enkel datainnhausting, blir innbyggjarane sårbar for identitetstjuveri. Etter gjennomgangen i punkta over, spør Datatilsynet om ein ikkje i realiteten er i ferd med å setje saman ein ståande buffé for identitetstjuvar.

Personopplysningar har fått omsetningsverdi i kriminelle miljø. Dess større mengder informasjon ein ID-tjuv klarer å skaffe til vegar, dess større sjanse har han til å lukkast med å opptre som ein annan person. Å ha eit legitimasjonsdokument vil i dei fleste tilfelle verke overtydande. Dersom identitetstjuven i tillegg kan supplere med detaljert informasjon om offeret, er vegen kort til «gyldig identifisering».

Ein metode som er velkjend for å skaffe tilgang til personlege dokument har vore å omadressere post. Inntil ganske nyleg hadde Posten Noreg AS eit lågterskeltilbod for å endre postadresse. Berre tilgang til fødselsnummer og eksisterande postnummeradresse var naudsynt for ei slik omadressering. Etter påtrykk frå mellom anna Datatilsynet er dette no endra. Det er likevel framleis enkelt å endre adresse. Det held å ta ein telefon til Posten.

For at ein skal vere mindre sårbar for datainnhausting og ID-tjuveri må ein verne personopplysningar betre, òg dei som ikkje er kategoriserte som sensitive.

I meldingsåret fikk vi ein debatt om testing av tryggleik på nettsider. Ei forskargruppe ved Universitetet i Bergens testa tryggleiken i bankane sin elektroniske ID-løysing, BankID. Forskarane publiserte sine funn, og vart møtte med massiv kritikk frå mellom anna bankane og Post- og teletilsynet. Datatilsynet meiner det er viktig med aktive forskingsmiljø som saman med tilsynsmyndigheitene identifiserer veikskapar i slik sentral infrastruktur. Datatilsynet opplever for sin eigen del at mange verksemder ikkje rettar seg etter åtvaringar dei får og at det først er etter omtale i media at det kjem til handling. Tilsynet har derfor forståing for at forskarar finner det naturleg å gå offentleg ut med åtvaringar som ikkje er tekne på alvor hos aktørane. Forskarane har ei svært viktig rolle i forhold til å bidra til å utvikle infrastrukturen i ei positiv retning.

Datatilsynet har merka seg at lovforslaget som følgjer datakrimutvalets delrapport II kan utløyse vanskelege problemstillingar rundt forskarane si rolle i framtida. Kva som blir sett på som kriminell åtferd blir definert så uklårt at samfunnskritisk forsking innan teknisk infrastruktur kan bli skadelidande. Les meir om dette i avsnittet om justissektoren.

1.8.7 Blir vi tryggare av inngripande tiltak?

Perioden etter tusenårsskiftet har vore prega av hendingane 11. september 2001. Medieoppslag om terror, truslar og vald evnar å setje til side jamvel dei mest overtydande forskingsresultat og statistikkar.

I iveren etter å gi innbyggjarane kjensle av tryggleik, har styresmaktene i fleire vestlege land gått svært langt. Mange er villige til å gå på akkord med grunnleggjande prinsipp, sjølv om dei berre oppnår marginal reduksjon i risiko.

For sterk kontroll med innbyggjarane er ein trussel mot rettstryggleik, fridom og demokrati. Det sentrale i eit demokrati er ikkje at staten skal overvake innbyggjaren, men tvert imot at innbyggjaren skal kontrollere staten. Det er berre på denne måten vi kan forvisse oss om at statsmakta held seg innanfor akseptable rammer.

Vi har vore vane med at ordensmakta set i verk tiltak for å etterforske, tiltale og dømme kriminelle. Ved introduksjonen av datalagringsdirektivet er denne førestillinga snudd 180 grader rundt. Direktivet føreset at informasjon om bruk av elektroniske kommunikasjonskanalar for alle landets innbyggjarar, ikkje berre for dei som er mistenkte for noko, omhyggeleg skal loggførast. Dette skal gjerast i tilfelle det skulle bli naudsynt å etterforske nokon av oss i etterkant. Direktivet krev ei lagringstid på minst eit halvt år, oppetter avgrensa til to år.

I desse gigantiske databasane vil det gå fram kven du har ringt til, kvar du har ringt frå, når du har ringt og kor lenge, både via fasttelefon og mobiltelefon. Tilsvarande òg kven som har kontakta deg. Direktivet krev lagring av informasjon om når du nytta Internett og med kva adresse. Vidare skal det loggførast kven du har sendt e-post til og motteke e-post frå.

I meldingsåret kom òg Avinors planar om å prøve ut kroppskanning på norske flyplassar. Forslaget føydde seg etter Datatilsynets meining inn i rekkja av stadig meir integritetskrenkjande tiltak. Etter massive protestar bestemte Avinor seg for å leggje prosjektet på is.

I nokre tilfelle tilbyr produsentar av ny teknologi sterkt reduserte prisar for å få sin teknologi inn i prestisjeprosjekt. Med dette oppnår dei å få eit utstillingsvindauge for sitt konsept, og samtidig skape legitimitet for sine løysingar.

Innføringa av mange integritetskrenkjande tiltak er ikkje tufta på tilstrekkelege avvegingar. Fleire ser meir ut som resultatet av ei sterk lyst til å vere innovativ, kopla med ein iver etter å vise handlekraft.

Datatilsynet etterlyser ein tilsvarande iver og handlekraft når det gjeld å evaluere dei integritetskrenkjande tiltaka som allereie er innførte.

1.9 Nærmare om utvalde saksfelt

1.9.1 Justissektoren

1.9.1.1 Tiltak mot kvitvasking og terrorfinansiering

Finansdepartementet sende i meldingsåret eit forslag til revisjon av kvitvaskingslova til høyring (NOU 2007:10). Forslaget skal implementere det tredje kvitvaskingsdirektivet, og er utarbeidd av eit utval som hadde som mandat mellom anna å vurdere korleis «…hensynet til personvern kan ivaretas på en hensiktsmessig måte.» Etter Datatil­synets meining har ikkje utvalet gjennomført dette.

Fem fundamentale spørsmål er etter tilsynets meining usvarte i lovendringsforslaget:

1.9.1.2 Datakrim

Datakrimutvalets delrapport II vart send på høyring i meldingsåret. Datatilsynet erkjenner at nye former for kriminalitet krev nye straffeføresegner og nye måtar å etterforske lovbrot på. Tilsynet hadde i si høyringsfråsegn likevel innvendingar, mellom anna at forslaget er språkleg vanskeleg tilgjengeleg.

Beskrivingane av dei straffbare handlingane er svært runde og vide, men blir følgde av omfattande skjønnsmessige avgrensingar. Desse viser gjerne til noko «utanfor seg sjølv», til dømes normer, etikk, retningslinjer osv. Omgrepet «uberettiget» er brukt i nesten alle føresegnene i lovforslaget, og gjer dei vanskelege å tolke. Til dømes: «For uberettiget bruk straffes den som uberettiget nytter andres datasystem eller elektroniske kommunikasjonsnett».

Datatilsynet meiner at skjønnsmessige omgrep må definerast nærare slik at både innbyggjarar og rettsapparat kan ha klare idear om kva ein skal te seg i forhold til. Det kan bli vanskeleg å vite når ein er på rett og gal side av lova. Dei følgjande føresegnene viser til «uberettiget befatning med» diverse verktøy og kodar. Kven klarer, på fornuftig vis, enkelt å forklare kva slag handling som kan utløyse straffeansvar etter føresegnene under?

§ 10 Ulovlig befatning med tilgangsdata

For ulovlig befatning med tilgangsdata straffes den som uberettiget anskaffer, innfører, fremstiller, besitter, markedsfører eller tilgjengeliggjør for andre passord, adgangskode, krypteringsnøkkel eller lignende som kan gi tilgang til data, databasert informasjon eller datasystem.

Straffen er bøter eller fengsel i 1 år. For grov overtredelse er straffen bøter eller fengsel inntil 3 år.

§ 11 Skadelig dataprogram og utstyr

For ulovlig befatning med skadelig dataprogram straffes den som uberettiget anskaffer, fremstiller, modifiserer, besitter, markedsfører eller tilgjengeliggjør dataprogram som er særlig egnet til å begå handlinger som er straffbare etter §§ 4-8, 10 eller 13-14 i dette kapitlet. Lignende befatning med utstyr som er særlig egnet til tilsvarende føremål straffes på samme måte.

Straffen er bøter eller fengsel inntil 1 år. For grov overtredelse er straffen bøter eller fengsel inntil 3 år.

Datatilsynet er uroa for at føresegnene, slik dei er formulerte, kan få eit for vidt nedslagsfelt. Som mindretalet i utvalet peikte på, er det normalt ikkje straffbart å eige eller ha gjenstandar som kan nyttast til kriminelle føremål, til dømes ei øskje fyrstikker eller eit brekkjern. Mindretalets merknad om at dataprogram som har eit skadepotensial og blir brukte til straffbare forhold òg kan nyttast til lovlege og nyttige føremål bør det leggjast vesentleg vekt på.

Datatilsynet er generelt kritisk til å kriminalisere handlingar som ikkje i seg sjølve krenkjer noka verneverdig interesse. Føresegnene inneber ei uheldig dreiing mot auka subjektivisering av strafferetten, noko som igjen kan leie til eit auka kontrollnivå i samfunnet.

1.9.1.3 Skal pressa og forskarar kunne følgje politiet under arbeid?

Justisdepartementet sende ut eit forslag om at andre enn dei som gjer teneste eller arbeid for politiet skal kunne få løyve til å følgje og observere politiets tenesteutøving på privat og offentleg stad. To samfunnsaktørar vart vurderte spesielt, nemleg forskarar og pressemedarbeidarar.

Desse to samfunnsaktørane er vidt forskjellige både med omsyn til kva interesser dei representerer og kva rettsleg regulering dei er underlagde. Datatilsynet støttar ikkje forslaget om å tillate pressemedarbeidarar å følgje og observere politiets tenesteutøving på privat stad.

Pressa er ikkje underlagd alle dei avgrensingar i forhold til teieplikt og andre føresegner som skal ivareta personvernet for kvar enkelt. Heller ikkje personopplysningslova vil komme til bruk dersom pressa handsamar opplysningane i strid med føremålet, då lova, i det vesentlegaste, ikkje gjeld handsaming av personopplysningar for journalistiske føremål.

Stor og uoppretteleg skade vil kunne skje dersom pressa publiserer personopplysningar som resultat av observasjon av politiets tenesteutøving. Ein «smekk på fingrane» frå PFU i ettertid vil ikkje kunne reparere ein slik skade, da skaden skjer i og med publiseringa.

Verken journalist eller pressemedarbeidar er ein verna tittel. Dette vil i praksis kunne skape problem med å avgrense kva for aktørar som skal kunne få løyve.

Eit løyve til at forskarar skal kunne følgje og observere politiets tenesteutøving er mindre problematisk.

1.9.1.4 Tilsyn i fengselsvesenet – Ila fengsel

Datatilsynet retta skarp kritikk mot Justis- og politidepartementet, etter å ha gjennomført ein kontroll med den handsaming av sensitive personopplysningar som skjer i fengselsvesenet. Dei alvorlege lovbrota som er avdekte viser at personvernet til meir enn 30 000 tidlegare innsette og deira pårørande ikkje er ivareteke.

Datatilsynet har over fleire år motteke klager frå innsette ved fengsla her i landet, knytte til handsaming av personopplysningar i fengsla. Særleg har det vore klaga på at opplysningane om fangane og deira pårørande ikkje er tilstrekkeleg verna. Datatilsynet sende spørsmål om handteringa av opplysningane til Justis- og politidepartementets kriminalomsorgsavdeling. Under korrespondansen kom det fram opplysningar som etter tilsynets vurdering gav grunnlag for å foreta ein nærmare kontroll. Datatilsynet drog på tilsyn til Ila fengsel hausten 2007.

Datatilsynet konkluderte med at det finst eit uoffisielt og ukontrollert personregister ved Ila («innsatt per nummer»). Registeret inneheld svært sensitive personopplysningar. I tillegg manglar bruken av personopplysningar i fagsystemet Kompis eit rettsleg grunnlag.

Dei registrerte sine grunnleggjande rettar etter personopplysningslova, med omsyn til innsyn, retting og sletting, blir ikkje ivaretekne.

I tillegg påpeikte Datatilsynet at Kriminalomsorgsavdelinga ikkje har etablert eit internkontrollsystem for å sikre at handsaminga av personopplysningar skjer i samsvar med lovgivinga, ikkje har gjort relevante risikovurderingar av handsaminga, eller sytt for tilfredsstillande informasjonstryggleik, særleg med tanke på konfidensialitet.

Datatilsynet meiner òg at Justisdepartementets kriminalomsorgsavdeling har gitt tilsynet mangelfull og feilaktig informasjon på vesentlege punkt.

1.9.1.5 Overføring av passasjeropplysningar til USA

Etter terrorangrepa i 2001 har styresmaktene i USA kravd ei rekkje opplysningar om flypassasjerar som kjem inn i amerikansk luftrom. I meldingsåret vart ein ny avtale om overføring av passasjerdata underteikna av EU og USA. Kravet om personopplysningar omfattar passasjeranes namn, kontaktopplysningar, reiserute, reisefølgje og eventuell diett, og ei rad andre opplysningar.

Den nye avtalen mellom USA og EU om overføring av flypassasjerdata gir vesentleg svekt personvern, uttalte Artikkel 29-gruppa, eit offisielt rådgivande personvernorgan i EU, då dei behandla avtalen.

Avtala legg opp til at ei enno større mengd opplysningar skal kunne overførast. Føremål, sikring og personverngarantiar i avtalen er ikkje presist formulert, og opnar for mange unntak. Lagringstida er auka til minst 15 år. Det er mellom anna ikkje lenger noko krav til tryggleiksnivået ved vidare overføring frå Department of Home Security (DHS) til andre kontor innan USA eller i utlandet.

Overgangen frå ein tilstand der USA forsyner seg sjølv i reiseselskapa sine register, til ein tilstand der reiseselskapa sender opplysningane på førespurnad, er uavklart på fleire punkt, påpeikte Artikkel 29-gruppa vidare. Mellom anna er det ikkje openbert korleis DHS, som i unntakstilfelle skal få høve til å hente ut andre opplysningar av registeret enn dei som er ramsa opp i avtalen, skal kunne få tak i desse opplysningane når dei ikkje lenger får forsyne seg sjølve hos reiseselskapa.

Artikkel 29-gruppa reagerte òg på at ingen uavhengige tilsynsmyndigheiter er tiltenkt rolla som kontrollør.

Artikkel 29-gruppa bad Kommisjonen klargjere fleire punkt, mellom anna:

• Kva flyselskap er omfatta av avtalen?

• Når kan dataa bli brukte til andre føremål enn hovudreglane i avtalen tilseier?

• Korleis skal opplysningane kunne hentast ut etter unntaksregelen, utan å gjeninnføre prinsippet om at amerikanske styresmakter forsyner seg sjølve i flyselskapa sine databasar?

• Kva for 13 flyselskap overfører data i dag, og kva krav må dei oppfylle?

• Når vil tilsyn finne stad?

I tillegg ønskte gruppa forsikringar om at tidsfristen for opphøyr av «sjølvforsyning», 1. januar 2008, ikkje blir skove på fleire gonger.

1.9.2 Datalagringsdirektivet

I 2007 har Samferdselsdepartementet førebudd høyringa for implementeringa av datalagringsdirektivet i Noreg. Direktivet vart vedteke i EU i 2006, og skal implementerast i EU-landa seinast innan starten av 2009. Noreg har ikkje hatt moglegheit til å påverke innhaldet.

Datatilsynet har vore oppteke av å få fram at direktivet er eit heilt nytt verktøy for styresmaktene si overvaking av innbyggjaranes elektroniske kommunikasjon. I årsmeldinga for i fjor påpeikte Datatilsynet at innføringa av datalagringsdirektivet er eit paradigmeskifte i det norske rettssystemet. Med dette direktivet innfører ein eit etterforskingsmiddel som omfattar heile innbyggjarane. Det er eit breiddtiltak, ikkje målretta mot enkeltpersonar eller grupper av personar det heftar ein mistanke ved.

Hittil har det vore naudsynt å ha eit klårt grunnlag for å lagre trafikkdata om innbyggjarane sin kommunikasjon. Teleoperatørane har lagra trafikkdata for å kunne fakturere kundar i ettertid. Dei kommunikasjonsmetodane som ikkje er baserte på fakturering av forbruk, har det ikkje blitt lagra trafikkdata for. Direktivet krev at trafikkdata for fasttelefon, mobiltelefon, breibandstelefoni, e-post og internettilgang, skal lagrast. For enkelte tenester innan telefoni har det i Noreg vore lagra trafikkdata i tre til fem månader. For e-post og internettilgang har det ikkje vore vanleg å lagre trafikkdata.

Direktivet krev lagring i frå seks månader til to år. Mange europeiske land legg seg på eitt års lagring. Det er ymta om at Tyskland vil velje kortast mogleg lagring, seks månader.

Lagringa er detaljert. Når det til dømes gjeld e-post, der det ikkje er blitt gjort trafikkdatalagring tidlegare, skal det no lagrast kven du sender e-post til og kven du mottek e-post frå. Vidare skal det lagrast tidspunkt for e-postforsendinga og kva IP-adresse du nyttar. Når det gjeld mobiltelefon, vil lokaliseringsopplysningar bli lagra, i motsetning til før.

Direktivet krev ikkje lagring av innhaldet i meldingane. Datatilsynet spør likevel om ein, når ein legg opp til ei så radikal omlegging av tidlegare prinsipp, vil stoppe med dette.

Ei rekkje fagfolk har påpeikt at det er uklårt korleis ein skal forstå direktivet. Er det berre politiet som skal få tilgang, eller skal andre, som tollvesenet, skattevesenet eller liknande etatar òg få tilgang? Direktivet legg opp til at kvart enkelt land sjølv må avklare ei rekkje parameter. Det har vore mykje diskusjon rundt kva som skjer dersom nokre land vel seks månaders lagringstid, mens andre vel to år.

Datatilsynet er uroa for at alt det som er uklårt rundt direktivet vil føre til ei ukontrollert overvaking av den einskilde.

1.9.3 Telefoni

1.9.3.1 Omfattande lekkasjar frå teleselskapa – politimelding

Nettstadene til fleire teleselskap vart nytta til innhausting av personopplysningar i perioden 28. juli til ca. 7. august 2007. Datatilsynet hadde i lang tid frykta slike hendingar på grunn av måten fleire kundesider var konstruerte på. Tilsynet var òg kritisk til at fleire aktørar berre kravde å få oppgitt fødselsnummer når dei skulle identifisere personar ved etablering av eit nytt kundeforhold. Datatilsynet tok opp spørsmålet med fleire av aktørane første gong hausten 2006, utan å møte stor forståing for tematikken.

Datatilsynet kontrollerte ei rekkje verksemder, mens andre mottok brev frå tilsynet med oppfordring om å sørgje for at deira system ikkje hadde denne veikskapen.

Innhaustinga av personopplysningar starta med ei liste fødselsnummer laga av eit dataprogram. Desse vart seinare sjekka mot ei offentleg nettside for å luke ut nummer som ikkje er i bruk. Fødselsnumra vart vidare nytta til å søkje fram namn og adresse på enkeltpersonar via teleoperatøranes nettsider. Få av personane som vart ramma hadde noko med verksemdene å gjere, og svært mange vart opprørde og overraska over at dette ramma nettopp dei.

Datatilsynet var kritisk til følgjande punkt:

1. Teleselskapa sine nettstader tillet kven som helst å tinge abonnement berre ved å gi opp fødselsnummeret til eit individ. Verksemda sikra ikkje at kommunikasjon skjedde med rette vedkommande.

2. Nettsida føydde til namn, adresse og om innehavaren av fødselsnummer var kredittverdig eller ikkje. Dermed gav selskapa innsyn i personopplysningar utan at dei på rimeleg vis hadde forvissa seg om at dette skjedde til rette vedkommande. I realiteten brukte dei fødselsnummeret som eit slags «legitimasjonsbevis».

3. At verksemdene ikkje på sjølvstendig initiativ sikra informasjon forsvarleg.

4. Fleire av verksemdene oppfylte ikkje meldeplikta til tilsynet etter personopplysningsforskrifta § 2-6, men først gav underretning etter krav frå tilsynsmyndigheita.

5. Fleire av verksemdene tok seg ikkje bryet med å varsle dei som vart offer for dette.

Datatilsynet meiner at dei klårt alvorlegaste krenkingane ligg i mangelfull sikring av informasjon, respons med tilleggsinformasjon og at fleire verksemder ikkje tok seg bryet med å varsle offera for hendinga. Manglande varsling av dei det gjaldt vitnar om ein manglande respekt for personvernet til den enkelte.

Ikkje alle dei ovannemnde regelverksbrota er straffesanksjonerte. Datatilsynet valde å politimelde brot på personopplysningslova § 13 om informasjonstryggleik, og personopplysningsforskrifta § 2-6 om varslingsplikt overfor tilsynet. Det var berre verksemda Talkmore AS som oppfylte begge kriteria, og som dermed vart meld til politiet.

I vurderingane som vart gjorde, avdekte Datatilsynet veikskapar i regelverket. Terskelen for straffereaksjonar i høve til denne typen saker er høg. Bruk av overtredingsgebyr hadde truleg vore langt meir eigna enn melding til politiet. Men etter gjeldande lovverk har ikkje Datatilsynet slike verkemiddel.

1.9.3.2 Tilsyn hos to teleoperatørar

Datatilsynet vitja to teleoperatørar hausten 2007. Begge dei kontrollerte verksemdene hadde ei utilfredstillande sikring av trafikkdata for kundane. For mange tilsette hadde tilgang til denne type data, og kontrollmekanismar, som til dømes bruk av loggar, var fråverande. Eit anna fellestrekk var brot på sletteplikta etter personopplysningslova § 28.

Handsaminga av personopplysningar i telebransjen er konsesjonspliktig. Ei av verksemdene hadde ikkje konsesjon frå tilsynet. Den andre verksemda hadde konsesjon, men braut konsesjonsvilkåra på det aktuelle tidspunktet, ved at lagringstida overskreid den maksimale lagringstida med god margin. Begge braut informasjonsplikta, og fekk merknader for ein ikkje tilfredsstillande internkontroll.

Det gjennomførte tilsynet styrkte Datatilsynet si uro i forhold til ei eventuell innføring av datalagringsdirektivet. Teleoperatørane ser ikkje ut til å ha utvikla ei forståing av at trafikkdataa dei handterer er særleg sikringsverdige. Dette meiner tilsynet å kunne slå fast basert på synspunkta verksemdene gav under kontrollen, funna som vart gjorde og tidsrommet brota openbert har gått føre seg i.

1.9.3.3 Pliktig registrering av telefonbrukarar, ikkje berre av abonnentane

Samferdselsdepartementet har i løpet av året 2007 lagt fram eit forskriftsforslag om at ikkje berre mobilabonnentane skal registrerast, men òg den som faktisk bruker mobilen. Abonnent og brukar er ikkje naudsyntvis same person. Noreg har allereie gått vesentleg lenger enn andre europeiske land. Anonyme abonnement på mobiltelefonar kan ikkje lenger opprettast i Noreg. I Sverige kan ein framleis vere anonym.

Det verkar som at hovudargumentet for å innføre registreringa av identitet er å fange opp brukarar under 18 år. Dei mindreårige skal dermed kunne vernast frå å få reklame, eller andre førespurnader som ikkje eigner seg for dei.

Datatilsynet meiner det ikkje er naudsynt å gjere ei full registrering av brukarane av mobilar for å forhindre dette. Det er i tillegg openbert at òg mange personar over 18 år helst vil sleppe denne typen førespurnader.

Datatilsynet er spesielt uroa over pliktig registrering av brukarar under 18 år. Mange foreldre vel å la mobiltelefonane stå i eige namn, nettopp for å verne barna. Det som er tenkt å verne barna mot uønskt reklame kan gjere dei sårbare for førespurnader frå personar som ikkje vil dei vel. Registreringa av brukaren har i fleire tilfeller ført til at barn, utan at dei føresette veit om det, er blitt oppførte med fullt namn og mobilnummer på nummeropplysningstenester. Tryggleiken for barnet har dermed ikkje blitt betra.

1.9.4 Internett

1.9.4.1 Tilsyn: Det offentlege sine nettstader

Datatilsynet førte tilsyn med eit avgrensa tal nettstader innan offentleg sektor. Sektoren ønskjer å leggje til rette for at nettstadene blir meir tilgjengelege og får auka interaksjon med publikum. Dermed har det mellom anna blitt lagt opp til innsending av elektroniske skjema.

Slik bruk av Internett krev god tryggleikskultur og ryddig handtering av brukaranes rettar til m.a. føremålsmessig lagring, sletting, informasjon og innsyn. Datatilsynet vurderte heimesidene til verksemdene, og avdekte fleire, omfattande og systematiske manglar når det gjaldt informasjon til den enkelte, tryggleik og forsvarlege rutinar.

Det kom i løpet av tilsyna fram at svært mange kommunar nyttar ein ekstern leverandør til å ta i mot søknader. Det var ikkje laga tilfredsstillande avtalar for dette. Den eksterne leverandøren lagra kopier av alt som vart innsendt via tenesta. Tilsette hos den eksterne leverandøren hadde full tilgang til å lese søknader som var sende til rundt 160 norske kommunar over ein periode på meir enn eitt år.

Datatilsynet er uroa for at svært mange offentlege aktørar har lågt medvit rundt personvernspørsmål og dårleg informasjonstryggleik i tilknyting til nettstadene sine.

1.9.4.2 Ny offentleglov

Forslaget til forskrift til den nye offentleglova pålegg ei rekkje organ og etatar å gjere den elektroniske postjournalen tilgjengeleg på Internett.

Dette medfører trong for klåre reglar om kva som kan publiserast og kontrollrutinar for å forhindre menneskelege feil og systemsvikt.

Datatilsynet peiker spesielt på fire behov:

1. Skjerming av fleire opplysningstypar, som trivielle personopplysningar, fødselsnummer og elevlister.

2. Avgrensingar med omsyn til kva søk ein kan gjere.

3. Avgrensingar i høvet til å hauste journalar og dokumenter i store mengder.

4. Sanksjonsmoglegheiter.

Om det offentlege publiserer store mengder trivielle opplysningar om den enkelte, vil det føre med seg ein fare for misbruk. Masseinnhausting av personopplysningar kan gi omfattande profilar av kvar enkelt. Desse kan mellom anna bli tekne i bruk til marknadsføring, men òg vere nyttige for ID-tjuveri. Den som ønskjer å stele ein identitet kan skaffe seg ei tilnærma fullstendig oversikt over eit enkelt individ sine handlingar og preferansar. Dermed kan det òg bli vanskelegare å avsløre ein person som står fram med falsk identitet. Svara på spørsmål som tidlegare var eigna til å skilje rett person frå falsk, vil kunne liggje tilgjengeleg på Internett.

Datatilsynet har sett ei rekkje døme på at kommunar har publisert personopplysningar som ikkje skulle ha vore tilgjengelege på Internett. Nokre av dokumenta har innehalde opplysningar om fødselsnummer, andre er frå enkeltmenneske i krise som har søkt hjelp frå kommunen, andre har vore fullstendige jobbsøknader med skanna attestar og vitnemål. Når gleppen er eit faktum, kan konsekvensane vere store for den det gjeld.

Etatar og kommunar som opplever at personopplysningar som det er teieplikt om blir publiserte, grunngir gjerne hendinga med at det har skjedd ein menneskeleg feil. Datatilsynet meiner for sin del at gjentekne «gleppar» tyder på systemsvikt hos verksemda. Det kan vere at det finst for dårlege rutinar for gjennomgang av dokument før publisering, eventuelt i kombinasjon med at rutinane ikkje blir følgde. Rutinar og praksis er eit leiaransvar, og det er for enkelt når offentlege organ støtt og stadig skyv sine tilsette framfor seg og viser til deira menneskelege feil. Datatilsynet ber derfor i høyringsfråsegna om at ein gjer det mogleg å sanksjonere brot på føresegnene.

1.9.4.3 Tilsyn: Postlister på nettet

I mai 2007 vart det gjennomført ein kontroll hos Ålesund kommune. Bakgrunnen var at Datatilsynet gjennom media vart gjort kjent med eit tryggleiksbrot. Via søk i søkjemotoren Google på Internett var det mogleg å finne fram til personar som hadde klaga til Klagenemnda for sosialsaker i 2005.

Kommunens utlegging av sensitive personopplysningar skuldast fleire uheldige omstende. Ei avgrensa mengd opplysningar om klagesaker vart ført på eit lågare tryggleiksnivå enn desse normalt blir handsama på i kommunen. Denne praksisen vart etter hendinga avslutta.

Informasjonen var ikkje tilgjengeleg direkte frå kommunen sine heimesider. Filene vart likevel fanga opp av søkjemotorar, og dei som søkte på namn eller andre tilgjengelege ord i dei store søkjemotorane, fekk dermed tilgang.

Datatilsynet påla kommunen å etablere eit hinder slik at ikkje postjournalar og dokument systematisk kan søkjast fram utanfrå, via eksterne søkjemotorar.

1.9.4.4 Datatilsynets råd til regjeringa om e-forvaltning

Frå byrjinga av 90-talet tok det offentlege for alvor til å bli interessert i elektronisk samhandling. Ein så ei moglegheit for å utvikle nye, demokratiske kanalar og skape betre føresetnader for tenesteyting frå offentleg sektor. Visjonane var at innbyggjaren i stor grad kunne sitje i si eiga stove, der han enkelt kunne sende inn informasjon og ta imot relevante tenester frå det offentlege ved hjelp av nokre tastetrykk. Dei siste åra har løysingane for samhandling byrja å komme.

I eit brev til Fornyings- og administrasjonsdepartementet trekkjer Datatilsynet fram fleire punkt tilsynet meiner forvaltninga må vere spesielt merksam på ved vidare utbygging av slike tenester:

Datatilsynet sine råd kan oppsummerast slik:

• Ikkje bruk fødselsnummer på offentlege portalar,

• vis varsemd med å knyte sak og person saman ved publisering av saksdokument på Internett, og

• stimuler til auka bruk av e-ID og e-signatur.

Fødselsnummeret er ein eintydig identifikator, kvar person får eitt, og same nummer blir ikkje delt ut til fleire enn denne eine. Styrken i nummeret ligger i at det kan brukast til å skilje personar frå kvarandre, til dømes i ein database, slik at nye opplysningar kan registrerast i tilknyting til rett person. Men ein utstrekt bruk av fødselsnummer på Internett vil kunne utgjere ein fare for at personopplysningar kjem på avvegar. Ein slik lekkasje fann stad i meldingsåret, dette kan ein lese meir om i avsnittet Datainnhausting er blitt enklare .

Mengda personopplysningar som blir publiserte i portalar og på offentlege nettstader kan over tid bli så omfattande og lett tilgjengeleg at profilar på enkeltindivid kan få kommersiell verdi. Det er viktig å peike på at òg verksemder utanfor EØS-området kan hauste store mengder personinformasjon mot viljen til den enkelte. Då er det ikkje mogleg verken for Datatilsynet eller andre europeiske myndigheiter å handheve rettane i personopplysningslova eller EU-direktivet.

Datatilsynet tek vidare til orde for at regjeringa aktivt skal fremje sikker og trygg samhandling på nettet ved å stimulere til auka bruk av e-ID og e-signatur. Mangelen på slike instrument inneber at det er vanskeleg å vite kven ein samhandlar med på nettet. Datatilsynet har teke dette spørsmålet opp med skiftande regjeringar. Saka ser likevel ikkje ut til å vere mindre aktuell idet vi går inn i 2008.

1.9.4.5 Skattelister på Internett

Som følgje av lovendringa Stortinget vedtok våren 2007, kan pressa tinge skattelistene for 2006 elektronisk. Tenesta er open for aviser, magasin og vekepresse i alle medium. Listene inneheld følgjande opplysningar om skattebetalarane; namn, fødselsår, poststad og postnummer, skattekommune, nettoinntekt, nettoformue og utlikna skatt.

Skattedirektoratet understrekar at dei som mottek listene er ansvarlege for at handsaminga av desse skjer i samsvar med krava i personopplysningslova. Datatilsynet vil i den samanheng poengtere at journalistisk verksemd i hovudsak er unnateke frå føresegnene i personopplysningslova. Det er opp til kvar enkelt redaktør å definere om eigen bruk av opplysningane frå skattelistene fell inn under kategorien journalistisk verksemd. Datatilsynet har ingen intensjon om å avgjere kva slags bruk av skattelistene som kan seiast å ha ein journalistisk verdi. Det ville i så fall vere ei rolle tilsynet meiner er svært problematisk i forhold til viktige grunnprinsipp om ei fri, norsk presse.

Då lovendringa vart handsama, gav Datatilsynet uttrykk for at endringa er uheldig for personvernet. Tilsynet meiner det strir mot sentrale personvernprinsipp at opplysningar kvar enkelt norsk borgar er pliktig til å levere inn, skal kunne brukast til underhaldning, gjerast søkbar eller tilbydast for sal i form av SMS-tenester eller liknande. Det er òg urovekkjande at offentleggjeringa av skattelistene skjer før fristen for å klage på likninga har gått ut.

Regjeringas grunngiving for å gjeninnføre pressas innsyn i skattelistene var mellom anna eit ønskje om å styrkje den kritiske debatten rundt skattesystemet. Datatilsynet spør om ein, ved langtidspublisering av skattelisteopplysningar, ikkje i staden oppnår ei stigmatisering av låglønnsgrupper og deira familiar. I tillegg ser Datatilsynet at faren for ID-tjuveri aukar for norske skatteytarar når informasjon om dei finansielle forholda til kvar enkelt ligg så lett tilgjengeleg på Internett.

1.9.4.6 Fosterforeldre på Internett

Belastande opplysningar om fosterforeldre vart publiserte på ei særskilt internettside. Nettsida inneheldt mellom anna kommentarar og slengmerknader om namngitte fosterforeldre sin oppførsel, framferd og utsjånad. Tilsynet forstod fortvilinga til fosterforeldra, men vurderte det slik at opplysningane måtte sjåast på som opinionsdannande, og dermed verna av ytringsfridomen. Datatilsynet streka under at det er ein forskjell mellom profesjonelle aktørar, som må forventast å tole meir omtale, og privatpersonar som har opna sin private heim for å ta imot barnevernsbarn.

Tidlegare har Personvernnemnda handsama spørsmål om det er lovleg å publisere opplysningar om profesjonelle aktørar i barnevernssaker på dei same sidene. Dette gjeld mellom anna psykologar, barnevernstilsette, politikarar, advokatar og journalistar. Den gongen fall nemnda ned på at bruken av opplysningane var eit ledd i opinionsdannande verksemd. Når bruken av personopplysningane har eit utelukkande journalistisk eller opinionsdannande føremål, gjeld personopplysningslova berre i avgrensa grad. Det betyr mellom anna at ein ikkje treng samtykke for å publisere opplysningar om enkeltpersonar.

Norsk Fosterhjemsforening klaga på Datatilsynets avgjerd, og peikte mellom anna på at opplysningane er svært sensitive, ofte feilaktige, og at publiseringa er ei stor belastning for fosterforeldra.

Personvernnemnda tok stilling til Internettsida slik den var på klagetidspunktet. Nemnda er einig med Datatilsynet i at føremålet med bruken av opplysningar om fosterforeldra må sjåast på som opinionsdannande. Forskjellen mellom dei profesjonelle gruppene og fosterforeldra er etter nemnda si meining ikkje så stor at vurderinga bør bli ei anna. Nemnda opprettheldt Datatilsynet sitt vedtak.

1.9.4.7 Tilsyn: Nettenester retta mot barn og unge

Datatilsynet var på tilsyn hos totalt fem nettenester med barn og unge som målgruppe. Føremåla til nettsidene femner vidt, frå reine hjelpetiltak til å tilby kommersielle tenester. Nettenestene rettar seg mot fleire grupper, frå små barn til ungdom og vaksne personar.

Nettenestene hadde til dels store manglar når det gjaldt internkontroll. I to nettsamfunn var kommunikasjonsinnhaldet tilgjengeleg for den ansvarlege verksemda. Dette ser Datatilsynet som klårt integritetskrenkjande. Medlemmen vil oppfatte det slik at det han skriv og seier ikkje er tilgjengeleg for andre enn samtaleparten. I den «analoge» verda er andres tilgang til kommunikasjonsinnhald mellom to samtalepartar strengt regulert. Den same konfidensialiteten må gjelde når ein kommuniserer i ei virtuell verd. Det let til at nokre nettenester oppfattar det som legitimt å lagre kommunikasjonsinnhald for eventuell framtidig bruk av myndigheitene. Dette er i så fall ei svært urovekkjande utvikling.

For tenestene med ideelt føremål, hjelp til unge, avdekte kontrollen mangelfull tryggleik i kommunikasjonen. Dette er alvorleg, fordi tenesta legg opp til at det blir kommunisert sensitive og til dels svært personlege opplysningar.

Manglande overhalding av meldeplikt og informasjonsplikt var òg eit tema i fleire rapportar. Når nettenestene til dels informerer dårleg, har mangelfull tryggleik og dårleg passordvern, ligg det til rette for at opplysningar om barn og unge kjem på avvegar, eller lettare kan misbrukast.

1.9.4.8 Når Internett blir ei felle for barn

Faremo-rapporten, «Forebygging av internettrelaterte overgrep mot barn», vart lagt fram for Justisdepartementet i januar i meldingsåret. Datatilsynet foreslår i si høyringsfråsegn at Kripos bør få eit ansvar for å hjelpe barn og unge med å fjerne bilete og filmar av seg sjølve frå Internett.

Dagens barn og ungdommar har flytta mykje av kommunikasjonen og uttestingsarenaene over til Internett. Dei bruker webkamera i samtalar dei oppfattar som private. Dei utvekslar film-snuttar og bilete med mobiltelefonane. Dei chattar og lagar heimesider. Barn kan, under si naturlege uttesting, stå i fare for å produsere noko som samfunnet etterpå vil sjå på som barneporno.

Når det gjeld bilete som kan karakteriserast som barnepornografi, risikerer ungdommen, eller hjelparane deira, straffeforfølging dersom dei prøver å søkje fram bileta for å få dei fjerna. Politiet er den einaste instansen som har lov til å søkje.

Det viktigaste for offera vil ofte vere å avgrense spreiinga av materialet. Dei utsette barna treng at nokon får eit definert ansvar for å få filmane og bileta fjerna, så fort som mogleg. Det er ein av måtane ein kan avgrense skaden på.

I meldingsåret vart Datatilsynet kontakta i samband med ei konkret sak der ei mindreårig jente vart teken bilete av, og bileta seinare vart publiserte på nett. Bileta ville kunne bli tolka som barneporno. Dette sette jenta i ein umogleg situasjon. Ho kunne ikkje søkje fram bileta for å få kravd dei sletta, fordi det er straffbart å søkje etter barneporno. Ho måtte derimot leve med kunnskapen om at bileta var der, og at dei igjen kunne gjere det vanskeleg for henne, utan at ho kunne gjere noko med saka. Saka fekk store konsekvensar. Jenta måtte byte namn, familien flytta, og ho byrja på ny skole.

1.9.4.9 Tilsyn: Nettsamfunn for vaksne

Datatilsynet vitja to nettsamfunn for vaksne hausten 2007. I tillegg vart det gjennomført brevlege/nettbaserte kontrollar mot ytterlegare seks nettsamfunn. Tidlegare tilsyn har avdekt uklåre forhold når det gjeld korleis tilgang til system og applikasjonar skal fastsetjast. Vidare er det i ei rekkje tilsyn påpeikt at ansvarleg for handsaminga av personopplysningar i liten grad sjekkar relevante loggar. Dette skaper ein situasjon der ansvarleg for handsaminga av personopplysningar i avgrensa grad har kontroll med kven som skaffar seg tilgang til personopplysningar.

Nettsamfunn er «eit rom for å kommunisere». Føremålet med tenesta er å leggje til rette for at brukarane etter eige ønske kan samhandle om det dei sjølve er opptekne av. Verksemda tilbyr i utgangspunktet ei kommunikasjonsplattform og legg avgrensa føring på korleis denne skal brukast. Utover det er det medlemen sjølv som avgjer innhaldet i kommunikasjonen.

Nettsamfunna har såkalla moderatorar som har ei slags myndigheit i nettsamfunnet. Hos eit av nettsamfunna var moderatorane tilsette i verksemda som dreiv nettsamfunnet, mens hos den andre var det frivillige medlemer av nettsamfunnet. Det var rundt 20 moderatorar hos begge nettsamfunn. Medlemstalet var høvesvis rundt 250 000 og 550 000.

Datatilsynet meinte at verksemdene ikkje gav tilstrekkeleg informasjon til medlemene. Mellom anna mangla utfyllande informasjon om føremålet med handsamingane, opplysningar om i kva situasjon utlevering kan bli aktuelt, verksemdas praksis med omsyn til sletting, prosedyre ved endring av vilkår som rører ved personvernet mv.

Begge nettsamfunn hadde mangelfull sletting av personopplysningar. Tilsynet påpeikte spesielt manglande sletting av klagar på andre medlemmer. I desse klagane kunne det komme fram relativt støytande skuldingar. Tilsynet påpeikte at når desse sakene vart sjekka ut, måtte informasjonen anonymiserast eller slettast.

Begge nettsamfunna fekk påtale for mangelfull sikring av personopplysningane. Påtalane gjaldt utilfredstillande vern av administrasjonstilgangar, uklåre ansvarsforhold, mangelfull datahandsamaravtale, manglande tilgangskontroll og mangelfull logging.

1.9.5 Identifikasjon og legitimasjon

1.9.5.1 Ikkje mindre kontroll med folkeregisteret

Skattedirektoratet sende i meldingsåret ut eit forslag til ny folkeregisterforskrift på høyring. Forslaget inneber svekt kontroll og oppfølging av tilgangen til personopplysningane i folkeregisteret. Folkeregisteret skulle etter forslaget ikkje lenger ha ei lovmessig plikt til å halde oversikt over kven som har tilgang til kva opplysningar, vilkåra for tilgangen, eller kontroll med at desse vilkåra blir overhaldne.

Tal frå Skattedirektoratets eigne heimesider viser at i alt 1500 verksemder hadde tilgang til databasen i folkeregisteret i 2005. Kvart år blir det gjort omtrent 30 millionar oppslag i denne databasen. Datatilsynet påpeikte trongen for ei innskjerping snarare enn ei lemping av kontrollen med tilgangen til dette registeret.

Datatilsynet gjennomførte i meldingsåret tilsyn hos fleire teleoperatørar. Det vart avdekt ei rekkje omstende som viser trong for tettare kontroll og oppfølging av vilkår og tilgang til denne typen opplysningar. Dette meiner Datatilsynet i første rekkje bør vere folkeregisterets eige ansvar.

Datatilsynet påpeikte at det er viktig at vilkåra for tilgang til og kontroll av personopplysningar blir oppretthaldne. Personopplysningar som til dømes fødselsnummer har vore ei viktig råvare for identitetstjuveri. Dersom folkeregisterets lovmessige plikt til å halde oversikt over tilgangen til, vilkåra for og kontrollen med opplysningane i databasen fell bort, aukar òg risikoen for at misbruk ikkje blir fanga opp eller kan ettersporast. I og med at det her handlar om det sentrale personregisteret i Noreg er Datatilsynet oppteke av å jobbe for å halde ein balanse mellom tilgang til og kontrollen av registeret.

Datatilsynet var tilfreds med at tilsynets merknader i høyringsrunden vart ivaretekne. I den nye folkeregisterforskrifta § 9-2 framgår det no at registermyndigheita skal sikre dokumentasjon om kven som har fått folkeregisteropplysningane, kva typar av opplysningar som er utleverte og dei vilkår som er knytte til vedtaket. I tillegg skal registermyndigheita følgje opp om vilkåra blir overhaldne.

1.9.5.2 Utstrekt bruk av fødselsnummer aukar risikoen for ID-tjuveri

Alle unike identifikatorar vil ha ein eigenverdi fordi dei eintydig identifiserer eit individ. Unike identifikatorar gjer det mogleg å samle informasjon som gjeld ein gitt person, slik at ein får eit meir fullstendig bilete av personen.

Eit fødselsnummer blir utstedt til norske innbyggjarar. Eit tilsvarande nummer (D-nummer) blir utstedt til utlendingar som har bu- og arbeidsløyve. Til fødselsnummeret er det knytt namn, bustad, alder, det ein har av eigedom, økonomiske aktiva, sosiale rettar mv. Dei offentlege aktørane nyttar først og fremst nummeret til å halde orden på sitt omfattande registerregime. Dersom ein ser offentleg sektor under eitt, har ein ei gigantisk samling av opplysningar om kvart enkelt individ. Registreringane skjer kontinuerleg frå fødsel til død.

Ein meir utbreidd bruk av fødselsnummer vil føre til at stadig fleire aktørar får tilgang til ein unik nøkkel. Om kopling mellom individ og fødselsnummeret er kjend, vil det i første omgang innebere at nokon har tilgang til ein unik nøkkel som kan, men ikkje nødvendigvis vil, bli brukt. Auka bruk av eintydige og varige identifikatorar inneber ein auka risiko for identitetstjuveri. Dette heng saman med at denne felles identifikatoren forenklar tilførsel av nye opplysningar dersom det skulle dukke opp fleire kjelder.

Tenestespekteret som blir tilbode frå offentleg og privat sektor inneber trong for ein kontroll av identitet. Dessverre har ikkje arbeidet med e-ID halde tritt med utviklinga av tenestespekteret. Det har oppstått eit vakuum som blir fylt med mindre gode løysingar. Fleire bruker brukarnamn, passord og i nokre tilfelle eingongskodar eller passordgeneratorar. Slike løysingar kan vere tilstrekkelege i høve til somme føremål, men er slett ikkje eigna i eit lengre perspektiv. For det første er det eit stort problem at passord blir brukte om att, for det andre at dei sjeldan blir bytte ut og for det tredje at dei ikkje allment kan trekkjast tilbake, då det ikkje er føresett tredjepartsverifikasjon.

Dersom nokon skulle få tilgang til ein dårleg sikra base over passord er det dermed stor sjanse for at informasjonen kan misbrukast overfor andre verksemder.

1.9.5.3 Tilsyn: E-signaturar

Datatilsynet har i løpet av meldingsåret vore på tilsyn hos fleire e-ID leverandørar. Tilsyna har etterlate eit inntrykk av at feltet enno er i startfasen, med ein monaleg auke i utstedde e-ID’ar mot slutten av 2007. Store private aktørar som Buypass og Bank-ID har allereie distribuert eit stort tal e-ID’ar til innbyggjarane. Vidare står òg det offentlege på trappene med sine e-ID-løysingar.

Datatilsynet meiner at innbyggjaranes gryande tilgang til e-ID’ar vil kunne dekkje ein trong for å kunne identifisere seg i den elektroniske verda. Det er avgjerande viktig for Datatilsynet at dei nye e-ID-løysingane blir av tilstrekkeleg kvalitet òg når det gjeld informasjonstryggleik. Datatilsynet samarbeider med Post- og teletilsynet på dette feltet, i samband med handteringa av e-signaturlova.

Det er viktig at brukarane forstår kor kraftig ein e-ID med kvalifisert signatur er. Passord (PIN-kodar) og eventuelle kort og andre tryggleiksmekanismar må handterast på ein måte som gjer at dei ikkje kan misbrukast av uvedkommande. Det er viktig at e-ID leverandørane gir krystallklar informasjon til brukarane om dette.

Det er likevel òg viktig at moglegheita til å kunne identifisere personar over Internett ikkje fører til eit krav om at ein skal identifisere seg i alle samanhenger. Datatilsynet kan allereie no sjå faren for at aktørar framover vil nytte identifiseringsløysingar utan at det strengt teke er naudsynt. Datatilsynet vil følgje nøye med, no som folket i større grad får tilgang til elektroniske identitetar, og passe på at unødvendig bruk av e-ID ikkje skjer.

1.9.5.4 Norsk Tipping

Norsk Tipping har utfordra personvernet på ei rekkje frontar i meldingsåret. Spelarkortet som spelarane får tilbod om har ein brei funksjonalitet utover det som er naudsynt for å kunne spele Norsk Tipping-spel. Overvaking av spelaktiviteten er òg aukande.

Spelarkortet kan nyttast for nokre av spela og må nyttast i andre spel, til dømes for spela Joker og Extra. Det er framleis mogleg å spele uregistrert via kommisjonær. Spelarkortet kan, etter ein tilleggsprosedyre, brukast til e-signatur. Datatilsynet er oppteke av at kundane til Norsk Tipping blir tilstrekkeleg informerte om kva tippekortet kan brukast til og at dette er eit kort som brukarane må passe på, på lik linje med til dømes eit bankkort. Datatilsynet har derfor bedt Norsk Tipping om å betre informasjonen til brukarane.

Datatilsynet har teke opp tryggleiken ved utsteding av spelarkortet med Norsk Tipping, Buypass og Post- og teletilsynet. Det ligg føre konkrete døme på at ID-kontrollen ikkje er tilstrekkeleg for å forhindre ID-tjuveri og misbruk, i tillegg til at kunnskapen spelarane sit inne med er låg.

Datatilsynet har registrert at Norsk Tipping legg opp til full overvaking av spelåtferd. Verksemda vil overvake kor mykje, kor fort, og kor lenge det blir spelt. Norsk Tipping vil regulere kva som skal kunne takast ut og spelast for i løpet av ein time.

Norsk Tipping vil i stor grad vil kunne identifisere enkeltspelarane. Datatilsynet er uroa for moglegheitene for profilbygging. Datatilsynet er òg uroa for at det skjer ei utgliding med tanke på kven som har tilgang til det kraftige overvakingsverktøyet.

1.9.5.5 Fingeravtrykk i pass

Datatilsynet hadde innvendingar mot tryggleiken då dei nye passa kom for nokre år tilbake. Passa inneheld biometriske data lagra i ei brikke som kan avlesast på avstand. I utgangspunktet vart eit ansiktsbilete valt som biometrisk opplysningstype. Men planen er å ta i bruk fingeravtrykk i tillegg. Datatilsynet meiner passa ikkje har tilstrekkeleg tryggleiksnivå for den nye, tiltenkte bruken.

Politiet har i slutten av 2007 testa sine nye biometristasjonar der mellom anna fingeravtrykk blir henta inn for innplassering i framtidige pass. Føremålet med testane er å sjekke om mellom anna kommunikasjonen frå biometristasjonane og til produsent av pass vil fungere tilfredsstillande.

Justisdepartementet har enno ikkje orientert nærare om korleis ei eventuell seinare innplassering av fingeravtrykk i passa skal handterast. Datatilsynet er uroa for informasjonstryggleiken, både i samband med passhandteringa sentralt og korleis brukarane skal forholde seg til denne typen pass. Eit bilete av eit fingeravtrykk i eit pass vil kunne misbrukast. Det er viktig at tilstrekkelege tryggleiksmekanismar blir etablerte.

Det er framleis uklårt kva føremålet med fingeravtrykka er, og dermed kven som skal ha tilgang til denne informasjonen. At denne integritetssensitive informasjonen ligg på ei brikke som kan avlesast på avstand, gir ekstra grunn til bekymring.

1.9.5.6 Biometri – bruk av fingeravtrykk

Biometriske kjenneteikn kan seiast å vere kjenneteikn som kjem frå kroppen, som er unike for den registrerte og samtidig permanente eller stabile over tid. Ved å måle desse kjenneteikna kan dei nyttast til å gjenkjenne ein person, eller den påståtte identiteten til ein person.

Biometri blir ofte skildra som «noko vi er» når det blir samanlikna med dei tradisjonelle metodane for å gjenkjenne eller stadfeste ein persons identitet. Dei tradisjonelle metodane omfattar «noko du veit», til dømes eit passord, og «noko du har», til dømes ei kodebrikke. Biometri har sin eigenart, det er uløyseleg knytt til kroppen vår, på godt og vondt.

Dei mest kjende formene for biometriske kjenneteikn er fingeravtrykk, handavtrykk og ansiktsform, pluss dei to augeteknologiane netthinne- og irisavlesing.

Biometrisk informasjon blir normalt lagra i form av ein såkalla «template». Dette er ein kodebasert representasjon av materialet, i staden for å lagre ei hel måling, til dømes eit fullt bilete av eit fingeravtrykk, med alle sine detaljar. Slike templates blir mellom anna brukte fordi det gjer det lettare å samanlikne eit avgitt fingeravtrykk opp mot tidlegare registrert fingeravtrykk.

Datatilsynet har ikkje noko prinsipielt imot bruk av fingeravtrykk eller andre biometriske kjenneteikn, men tolkar formuleringane i personopplysningslova § 12 slik at høvet til bruk er snevert. Brukt rett kan biometri vere eit godt og effektivt verktøy for tryggleik. Løysingar som baserer seg på biometri nyter generelt høg tillit blant innbyggjarane, med omsyn til presisjon og tryggleik. Det er derfor viktig å forhindre uriktig bruk av slike verktøy.

I 2007 mottok Datatilsynet fire vedtak frå Personvernnemnda knytte til bruk av fingeravtrykk. Sakene gjeld bruk av fingeravtrykk i kombinasjon med ID-kort i inngangskontrollen til Essos tankanlegg, fingeravtrykk som erstatning for medlemskort ved to forskjellige treningssenter, og bruk av fingeravtrykk i tilknyting til timeregistrering for tilsette i REMA1000. Esso fikk medhald i ønskjet om å bruke fingeravtrykk under føresetnad av samtykke frå den registrerte. I dei andre sakene opprettheldt nemnda Datatilsynets avslag. Frå 2006 ligg det i tillegg føre eit vedtak frå Personvernnemnda om at fingeravtrykk kan brukast for pålogging for kommunetilsette til datamaskinar med sensitive personopplysningar, dersom den tilsette samtykkjer.

Personvernnemnda har uttalt at dei fem vedtaka om biometri er konkrete, og skaper presedens berre i avgrensa grad. Datatilsynet finn likevel at nemnda gjennom vedtaka har sagt ein god del om korleis personopplysningslova § 12 skal forståast òg i andre samanhengar, og kvar nedre grense for bruk av fingeravtrykk ligg. I begge sakene der bruk av fingeravtrykk vart akseptert har nemnda vist til trongen for tryggleik. Og i begge sakene er bruken basert på samtykke frå den registrerte.

På denne bakgrunnen har Datatilsynet i meldingsåret omgjort eit vedtak som forbaud Stortinget å bruke fingeravtrykk i pålogging til datamaskinar, slik at dette no er tillate. Stortinget nytta nøyaktig same påloggingsløysing som den nemnda vurderte i saka frå 2006.

Datatilsynet har vidare bestemt at SAS kan nytte fingeravtrykk i samband med innsjekking av bagasje i sjølvbeteningsskrankar for å oppnå betre tryggleik. Det er ein føresetnad for avgjerda at det framleis er mogleg å sjekke inn bagasje i betent luke utan å gi frå seg fingeravtrykk, og at den reisande får tilstrekkeleg informasjon om løysinga og alternativa.

I meldingsåret gav Datatilsynet rettleiing om regelverket til fleire produsentar og distributørar av fingeravtrykksløysingar. Ingen ting tyder på at sakstilfanget på dette området vil bli mindre i næraste framtid. I tillegg til å handtere nye saker på feltet, vil Datatilsynet halde eit vakent auge med dei aktørar som lovleg kan nytte fingeravtrykk for å sikre at føresetnadene ikkje blir sette til side.

1.9.6 Arbeidsliv

1.9.6.1 Innsyn i tilsette sin e-post

I 2007 såg Datatilsynet ei viss endring i forhold til førespurnader om innsyn i e-post. Det kan synast å ha skjedd ei vriding frå konkrete klager frå tilsette som har opplevd innsyn i sin e-postkasse, til at førespurnadene i større grad kjem i forkant av at innsyn blir gjennomført, gjennom at verksemda sjølv gir Datatilsynet informasjon om sine planar. Datatilsynet ser dette som ei stadfesting av at fleire verksemder no er kjende med at det finst grenser for når innsyn i e-post kan gjennomførast, og at det er ein del reglar og retningslinjer for den faktiske gjennomføringa. Førespurnadene Datatilsynet har motteke ber òg preg av at verksemdene ønskjer å opptre korrekt og i tråd med dei reglar som gjeld på området. Når tilsette vender seg til Datatilsynet, er det i aukande grad fordi dei faktisk har motteke informasjon om at det er planlagt å gjennomføre innsyn, og at dei ønskjer å få stadfesta at framgangsmåten er i tråd med lovar og reglar.

Førespurnadene tyder òg på at fleire verksemder lagar interne reglar og instruksar om innsyn i e-post. Samtidig er det ikkje til å legge skjul på at innsyn i e-post synest å ha blitt ein «vanleg» prosedyre i ein del saker, til dømes i tiknyting til interne granskingar av forskjellige slag. Datatilsynet har ikkje grunnlag for å seie at det skjer meir innsyn i e-post no enn før, men det kan synast som om vi står overfor ein aukande tendens, utan at dette nødvendigvis har samanheng med at trongen for innsyn har auka tilsvarande.

1.9.7 Kameraovervaking

1.9.7.1 Kamera i «offentlege pauserom»

Hovudtema for kontrollarbeidet innan kameraovervaking var tilsyn med såkalla «offentlege pauserom», nemleg kafear, restaurantar, barar og utestader. Desse utgjorde til saman 11 av dei i alt 25 kontrollane.

Barar og utestader, kafear og restaurantar har mange likskapstrekk med den funksjonen «pauserommet» har, òg sjølv om det ikkje er på arbeidsplassen, og heller ikkje direkte innanfor ein privat sfære. Folk går til desse stadene for å treffe andre, for å hyggje seg, kople av og drive ei form for rekreasjon, ete, drikke, feste og danse. Datatilsynet meiner ein ikkje kan vurdere desse stadene på same måte som ein vurderer kameraovervaking av butikkar. Verken stadene eller funksjonen deira er lik butikkane, og gjestene si personverninteresse vil heller ikkje vere tilsvarande i dei to forskjellige settingane. Mykje av den samhandlinga som skjer på barar, restaurantar og utestader har ein privat karakter – midt i det som òg er eit offentleg rom. Datatilsynet meiner at diskresjonsomsyn i ein viss grad må gjelde. Samtidig må ein ta omsyn til krava som følgjer av det faktum at barar, utestader, kafear og restaurantar òg er nokon sin arbeidsplass.

Sjølv om tryggleik i ein viss grad blir skyvd føre som eit generelt, diffust argument, er dei konkrete grunngivingane i stor grad knytte til vern av materielle verdiar, kanskje særleg svinn av varer og pengar. For dei stader der tryggleiksproblematikk gjer seg reelt gjeldande, er truleg dørvakter og interne rutinar det avgjerande for tryggleiken til gjestene og dei tilsette.

Alle kontrollane førte til varsel om pålegg. Dette dreier seg om ei rekkje forhold, som mangelfull varsling og manglande melding. Alle stadene vart varsla om anten opphøyr av overvakinga eller innskrenkingar i den eksisterande overvakinga.

Dei konkrete vurderingane i samband med kontrollane viser at det er vanskeleg å få til ei lovleg overvaking av denne typen stader:

1. Det vil normalt ikkje liggje føre noko gyldig grunnlag for overvaking av publikumsområda i lokalet.

2. Overvaking av området rundt bardiskane er vanskeleg å få til då det finst eit todelt personvernomsyn, nemleg både gjestene og dei tilsette. Konkret har tilsynet vurdert at overvakinga ikkje er tillaten om den medfører at tilsette blir tilnærma totalovervaka i sin primære arbeidsstasjon, som bak bardisken. Om slik overvaking skal kunne tillatast, må det liggje føre meir tungtvegande omsyn enn svinnproblematikk. Tilsynet har likevel falle ned på at gjestene lovleg kan filmast i det dei går inn eller ut av lokalet, der det har vore ein trong for dette.

1.9.7.2 Tilsyn: Private kan ikkje overvake det offentlege rom

Datatilsynet såg i meldingsåret på kameraovervaking i tilknyting til eit fotballstadion og overvaking av eit større område brukt til næringsverksemd. Desse to har eitt felles tema, kameraovervaking av område som blir brukte av allmenta. Konklusjonen i desse to tilsyna viser at private aktørar ikkje på generell basis kan overvake det offentlege rom, til dømes ein turveg, sjølv om vegen går over privat grunn.

1.9.8 Samferdsel – Personvern ved reiser frå A til B

Datatilsynet observerte i 2006 at det vart bygd opp ein omfattande infrastruktur for overvaking av reisande, både bilistar og innan kollektivtrafikken. Dette dreier seg om alt frå overgripande overvaking med satellittar, overvaking ved hjelp av kamera og radiofrekvensbrikker (som AutoPASS), til såkalla «svarte boksar» som sit i den enkelte bilen og registrerer kjøringa. I meldingsåret har denne utviklinga halde fram. Mellom anna er det bestemt at bomringen i Oslo skal bli heilautomatisk, det vil seie at det ikkje lenger skal vere mogleg å passere bompengeanlegget utan å leggje att spor.

1.9.8.1 Bombrikker – AutoPASS

Datatilsynet mottok våren 2007 opplysningar om at alle passeringar i bomstasjonane rutinemessig vart fotograferte. Denne informasjonen samsvarte ikkje med den offisielle kravspesifikasjonen for AutoPASS, eller dei opplysningane tilsynet tidlegare hadde motteke om temaet frå Vegdirektoratet. Det var nemleg berre ugyldige passeringar som skulle fotograferast.

Vegdirektoratet vart bede om å stadfeste/avkrefte om alle passeringar ved bomstasjonane i Noreg blir fotograferte. På bakgrunn av svarbrevet frå Vegdirektoratet, måtte Datatilsynet konstatere at det blir teke bilete av alle passeringar, ved alle bomstasjonar. Bileta blir likevel berre sende vidare i systemet dersom passeringa er ugyldig, eller ved stikkprøvekontrollar. Ei anna avgrensing skal visstnok liggje i at internminnet i kameraet er av avgrensa storleik, og at bileta som ikkje blir vidaresende derfor blir overskrivne relativt raskt.

Datatilsynet finn det beklageleg at systemet ikkje samsvarer med kravspesifikasjonen, og at verken publikum eller tilsynet har blitt informert om forholdet på eit tidlegare stadium.

Tilsynet føreset at systemet blir utbetra innan rimeleg tid.

1.9.8.2 Bompasseringar til likningskontoret

I januar tok Datatilsynet kontakt med Skattedirektoratet om utlevering av bompasseringsopplysningar til kontroll av likninga. Bakgrunnen for førespurnaden var at ei rekkje bompengeselskap hadde fått førespurnader om innsyn frå fylkesskattekontora.

Datatilsynet ønskte i første omgang ei tilbakemelding på kva heimelgrunnlag Skattedirektoratet legg til grunn for å krevje utlevering av passeringsopplysningar. I tillegg ønskte Datatilsynet ei avklaring av kva passeringsopplysningar som skal registrerast, og kor lenge dei skal lagrast av rekneskapsomsyn.

Per i dag registrerer bompengeselskapa passeringsopplysningar etter retningslinjer som Vegdirektoratet har gitt. Skattedirektoratet kan etter likningslova krevje innsyn i opplysningar knytte til konkrete kjøretøy nytta i næringsverksemd. Skattedirektoratet grunngir trongen for innhenting av opplysningane med at desse vil kunne kaste lys over påstandar i likninga. Det blir likevel gjort klårt at skattemyndigheitene ikkje vil krevje innsyn i opplysningar som skulle ha vore sletta.

I praksis blir det i bompengeselskapa ikkje gjort nokon skilnad mellom lagring av passeringsopplysningar for kjøretøy brukte i næringsverksemd eller privat bruk. Datatilsynet åtvarar mot ein situasjon der passeringsopplysningar for private kjøretøy blir oppbevarte unødig.

Det er i hovudsak tre ulike betalingsformer som er tilgjengelege; periodeavtalar, forskotsbetalte avtalar og etterskotsbetaling av enkeltpasseringar. Innanfor kvar av desse betalingsalternativa blir det praktisert ulike retningslinjer for sletting av passeringsopplysningar.

Datatilsynet vil ikkje nekte bompengeselskapa å oppbevare passeringsopplysningar for kundar som eksplisitt ønskjer dette. Men det er viktig at denne oppbevaringa blir avtalt særskilt med kundane, og at dei samtykkjer aktivt. Kundane må òg vere innforståtte med at skattemyndigheitene, og eventuelt andre kontrollmyndigheiter, då vil kunne krevje tilgang til dei lagra opplysningane.

Tilsynet er innforstått med at bokføringsreglane er relevante på dei fleste område, og at det kan tenkjast at registrerte opplysningar blir nytta til å kaste lys over påstandar i likninga. For tilsynet er det likevel viktig å understreke at ein overgang frå kontantbetaling til elektroniske betalingsmåtar ikkje automatisk skaper ein trong for langtidsoppbevaring av all detaljinformasjon. For å oppfylle kravet etter bokføringsregelverket skal ein berre lagre dei detaljane om kjøpet som er naudsynte for å ivareta krava i dette regelverket.

1.9.8.3 Tilsyn – Tromskortet, elektronisk billettering

Ordningar med elektronisk billettering er under rask framvekst i samferdselssektoren. Samferdsel er i stor grad eit fylkeskommunalt ansvar, og utviklinga skjer derfor hovudsakleg regionalt. Dette medfører at det veks fram fleire ulike løysingar. Sakene som ligg føre viser tydeleg mangel på etterleving av personopplysningslova i sektoren. Særleg alvorleg er det at identifiserbare reiseopplysningar blir registrerte og oppbevarte på ubestemt tid.

Elektronisk billettering inneber ein trussel for den grunnleggjande retten kvar enkelt har til sporfri ferdsel i samfunnet. Datatilsynet meiner derfor at det er viktig at dei ulike systema oppfyller krava i personopplysningslova. Reiseopplysningar må slettast når det ikkje lenger er sakleg grunn til å behalde dei.

Datatilsynet fann vesentlege manglar. Mellom anna mangla eit rettsleg grunnlag, opplysningane var ikkje tenkt sletta i tråd med krava i personopplysningslova, informasjonsplikta overfor dei reisande var ikkje oppfylt, og det var uklårt om rettane til dei registrerte vart ivaretekne ved handsaminga.

Informasjonstryggleiken var heller ikkje tilfredsstillande, mellom anna mangla datahandsamaravtale med driftsleverandør. Det fanst ingen dokumenterte rutinar for å ivareta personopplysningslova sine føresegner i samband med elektronisk billettering.

1.9.8.4 eCall

eCall er ei planlagd alarmteneste for bilulykker i Europa. Tenesta er tenkt å verke slik at ein svart boks i bilen automatisk skal kunne ringje nødnummeret og opplyse om bilen sin posisjon i tilfelle ulykker.

Systemet er planlagt å bli ei felleseuropeisk alarmteneste for kjøretøy, bygd på alarmnummeret 112. Alle bilar som blir selde i EU-området frå 2010 skal etter planen vere utstyrte med satellittposisjonering og kommunikasjon via mobiltelefonnettet. Dette utstyret skal automatisk sende informasjon til nærmaste alarmsentral ved ulykker.

Datatilsynet ser at systemet kan ha visse positive sider, men gjennomføringa vil kunne innebere problem med omsyn til personvern og vern av privatlivets fred.

Det føreslåtte eCall-systemet er basert på eit nesten omgåande tale- og datasamband frå ein eCall-generator til ein offentleg alarmsentral. eCall-førespurnaden blir automatisk utløyst av sensorar i bilen i tilfelle ulykke, eller manuelt av personar som oppheld seg i bilen.

eCall-førespurnaden består av to element: eit 112-oppkall med rein tale (audio) og eit minimumsdatasett. Datasettet og talemeldinga blir overførte via mobilnettet, og behandla som ei 112-nødoppringing i mobilnettet. Mobilnettoperatøren legg derfor til opplysningar om abonnenten sitt nummer, og oppgir posisjonen til oppringaren så presist som mogleg. Dette er i tråd med vanlige prosedyrar når nokon ringjer nødnummeret 112.

1.9.8.5 Nakenskanning

Avinor gav hausten 2007 uttrykk for eit ønskje om å teste ein «bodyscanner». Dette er ein maskin som nyttar radiostråling (millimeterbølgjer) for å sjå om ein person ber skjulte objekt på kroppen. Strålinga kan ikkje «sjå» objekt under huda. Innretninga «kler deg naken», og representerer utan tvil eit vesentleg inngrep i den personlege integriteten.

Avinor var i dialog med Datatilsynet om tiltaket. I ei pressemelding har etaten uttalt at reaksjonar frå tilsette, tilbakemeldingar frå Datatilsynet og reaksjonar i opinionen gjer at uttestinga ikkje blir gjennomført som planlagt våren 2008. Avinor ønskjer å innhente ytterlegare erfaringar, mellom anna frå utprøving av utstyret i andre land, før ei eventuell vidare uttesting.

Avinors planar om å innføre kroppskanning på norske flyplassar føyer seg inn i rekkja av stadig meir integritetskrenkjande tiltak. Datatilsynet har sett med aukande uro på korleis ny teknologi blir introdusert på ein måte som gir lite rom for personvernet. Det er ikkje nødvendigvis noko motsetningsforhold mellom bruk av ny teknologi og personvern. Kroppskanninga viser likevel korleis motsetninga mellom trongen for tryggleik og personvern kan oppstå. Er det verkeleg naudsynt med tiltak av denne typen, eller kan ein oppnå tilsvarande tryggleik på meir akseptabel måte?

1.9.8.6 Elektronisk handsaming av reiseopplysningar

Innan luftfarten blir det registrert store mengder personopplysningar. Opplysningane skal m.a. leverast ut til offentlege myndigheiter i Noreg og andre land. Det er vanskeleg å få oversikt over korleis opplysningane flyt i desse store systema, og når dei eventuelt endeleg blir sletta. Informasjonshandsaminga er i all hovudsak lovpålagd, gjennom ratifisering av internasjonale avtalar på luftfartsområdet.

Det er ein trend at flyselskapa opprettar ein slags reisekonto, der opplysningar om bestilte og gjennomførte reiser blir oppbevarte og gjorde tilgjengelege for kunden på Internett. Opplysningane blir med andre ord ikkje sletta. Dette er rekna for å vere ein service overfor kundane, og må etter Datatilsynets vurdering derfor grunnast på samtykke.

Datatilsynet såg spesielt på oppbevaring og tilgjengeleggjering av reiseopplysningar på den enkeltes «konto» hos eitt flyselskap. Funna er nedslåande. Handsaminga manglar rettsleg grunnlag. Opplysningane blir ikkje sletta i tråd med krava i personopplysningslova. Informasjonsplikta overfor dei reisande er ikkje oppfylt, og det er uklårt om dei registrerte sine rettar blir ivaretekne ved handsaminga. Heller ikkje informasjonstryggleiken er tilfredsstillande, mellom anna manglar datahandsamaravtale med driftsleverandør. Datatilsynet fann ingen dokumenterte rutinar for å ivareta føresegnene i personopplysningslova.

1.9.9 Velferd, forsking og helse

1.9.9.1 Tilsyn hos NAV

NAV-reforma vedkjem heile folket. I november i meldingsåret gjennomførte Datatilsynet tre kontrollar med lokale NAV-kontor. Tre pilotkontor vart valde. Desse var mellom dei første som slo saman dei tre tidlegare funksjonane, arbeid, trygd og sosialtenester. Kontora har vore i drift i om lag eitt år.

Ei rekke funn ved dei tre NAV-kontora gir grunn til uro.

Personkortet, som hentar nøkkelinformasjon frå tre forskjellige fagapplikasjonar, har blitt framheva som eit samhandlingsverktøy i NAV. Funna under kontrollane viser likevel at Personkortet i praksis ikkje blir oppfatta som tilstrekkeleg. Mange av sakshandsamarane ved det lokale NAV-kontoret sit no med tilgang til alle tre fagsystema frå dei tidlegare etatane, i tillegg til Personkortet. Overslagsvis har talet på brukarar i fagapplikasjonane blitt dobla etter samanslåinga. Datatilsynet kan heller ikkje sjå at det har blitt etablert avhjelpande tryggleikstiltak, som utvida logging eller tilpassa tilgangsstyring.

Datatilsynet er uroa over at det er planlagt, og til ein viss grad bestemt, at fagapplikasjonen Arena (frå tidlegare Aetat) skal nyttast som eit oppfølgingsverktøy for NAV. Brukarane sin tilgang i Arena blir gitt på eit nasjonalt nivå.

Hovudfunna ved tilsyna er:

1. Gjennom NAV-reforma har kvar enkelt medarbeidar fått ein vesentleg større tilgang til personopplysningar. Dagens tildelinga av tilgangar er ikkje eigna for å skape tillit, spesielt på grunn av manglande loggfunksjonalitet.

2. NAV synest å ha valt eit verktøy for å følgje opp kvar enkelt tenestemottakar utan at det er etablert grunnleggjande informasjonstryggingstiltak.

3. Dei kontrollerte kommunane har ved etableringa av NAV-kontora ikkje sytt for å følgje opp si sjølvstendige plikt til å sikre personopplysningar.

4. Dei kontrollerte kommunane hadde ikkje tilfredstillande internkontroll.

5. Utforminga av publikumsmottaka ved NAV-kontora gir store utfordringar i forhold til å sikre ein fortruleg dialog.

1.9.9.2 Uredigerte journalar til NAV

I eit lovendringsforslag opnar Arbeids- og inkluderingsdepartementet ytterlegare for at NAV skal kunne samle inn uredigerte, fullstendige pasientjournalar.

Føremålet med lovendringsforslaget er meir effektiv tilbakekrevjing av feilutbetalingar og betre verkemiddel for å motverke trygdemisbruk. NAV får nærast uavgrensa tilgang til fullstendige og uredigerte pasientjournalar dersom forslaget skulle bli vedteke. Om ein dømmer etter dei midla det er føreslått at NAV skal få, ser det ut til at oppklaring av trygdemisbruk blir oppfatta som viktigare enn oppklaring av drap. NAVs tilgang til journalane blir iallfall enklare enn politiet har, sjølv når politiet etterforskar alvorleg kriminalitet. I tillegg får NAV utvida heimlar til å samle inn informasjon frå andre enn helsevesenet. I realiteten får NAV ein «blankofullmakt» til å innhente alle opplysningar etaten sjølv meiner er relevante, òg om andre enn stønadsmottakaren.

1.9.9.3 Snikinnføring av forskingsdatabase over barnehagebarn

Innbakt i Kunnskapsdepartementets høyringsforslag om ny barnehagelov ligg eit forslag om innføring av ein ny database over barnehagebarn. Tilsynet meiner det er oppsiktsvekkjande om det blir oppretta ein slik database utan noka form for diskusjon.

Databasen er skildrar som ein «nasjonal database for utarbeiding av statistikk, forskning og analyse for å undersøke langsiktige effekter av deltagelse i barnehage i forhold til senere utdanning samt andre forhold som har betydning for en sosial utjevning».

Det nye lovforslaget pålegg kommunane ei plikt til å rapportere til denne databasen. For at dette skal vere mogleg blir det òg føreslått at foreldre og føresette blir pålagde ei plikt til å opplyse om barnet sitt fødselsnummer til bruk i statistikk, analyse og forsking. Barnehagar samlar allereie inn barns fødselsnummer mellom anna i barnehagesøknaden. Fødselsnummeret blir då nytta for å skilje barna frå kvarandre. Denne bruken reknar ein oppfyller personopplysningslova. Den nye føresegna gir inntrykk av at barnehagane ikkje har fødselsnummer frå før.

Datatilsynet har gjentekne gonger rådd Kunnskapsdepartementet frå å innføre ein ny nasjonal database utan ei grundig utgreiing i forkant. Tilsynet meiner det er viktig å kartleggje kva som er føremålet med databasen, kva opplysningar den skal omfatte, kven som skal forvalte den og kva tidsaspekt databasen vil ha. Ut frå høyringsbrevet ser det ut til at Kunnskapsdepartementet ser for seg at dei skal administrere registeret. Dette er ikkje naudsyntvis mest tenleg. Andre aktørar, som til dømes Statistisk sentralbyrå, kan vere betre eigna til denne oppgåva.

Datatilsynet etterlyser òg ei klårgjering av når opplysningar eventuelt skal slettast frå databasen. Ettersom dei aller fleste barn i løpet av sine første leveår er tilknytte ein barnehage, vil ein slik database over tid inkludere nesten heile innbyggjarane. Når det i tillegg kjem fram at eit forslag om å inkludere opplysningar om skolebarn er under utarbeiding, vil denne databasen på sikt kunne bli svært omfattande.

1.9.9.4 Ikkje krav om nøkkelboks for å kunne ta imot heimetenester

Kommunar kan ikkje krevje at pleie- og omsorgstrengande personar har nøkkelboks utanpå huset, seier Sosial- og helsedirektoratet. Sosial- og helsedirektoratet vurderte ordninga med bruk av obligatoriske nøkkelboksar for brukarar av pleie- og omsorgstenesta, på spørsmål frå Hamar-politikaren Borgny Nygaard.

Nøkkelboksar er låsbare småskap der nøkkelen til inngangsdøra til den pleie- eller omsorgstrengande blir oppbevart. Boksen skal kunne opnast med ein universalnøkkel som pleiarane ber med seg.

Datatilsynet har erfart at fleire personar oppfattar nøkkelboksane som stigmatiserande. Boksane vil mellom anna kunne fungere som eit synleg teikn på at det bur ein hjelpetrengande person i huset. Tilsynet vurderte saka, og skreiv at nøkkelboksane kan røpe eit klientforhold, og at saka blir spesielt uheldig dersom nøkkelboks ved inngangsdøra blir eit kriterium for å kunne få pleie og omsorg i sin eigen heim.

Sosial- og helsedirektoratet sluttar seg til at det ikkje kan stillast slike krav, og seier at dette prinsippet må vere retningsgivande for alle kommunar i landet.

1.9.9.5 Tilsyn med rusomsorga

Datatilsynet gjennomførte ti tilsyn innan rusomsorga i meldingsåret. Tilsynsobjekta utgjorde eit variert utsnitt av ulike frivillige organisasjonar, statlege og kommunale etatar, forskingsinstitusjonar og helsetilbod som handsamar personopplysningar om rusavhengige.

Innan rusfeltet blir det registrert personopplysningar av til dels svært sensitiv karakter, mellom anna fysiske og psykiske helseopplysningar og opplysningar om straffbare forhold. Datatilsynet avdekte under tilsyna at omfanget av registrerte personopplysningar var vesentleg.

Det var gjennomgåande markante manglar ved programvaren som vart nytta i rusomsorga, mellom anna i forhold til mangelfull og til dels fråverande logging, mangelfulle høve til sletting og svært varierande tilgangsstyring, frå totalt fråverande til meir eller mindre tilfredsstillande.

I all hovudsak var det òg manglar i forhold til internkontrollsystem og dokumenterte rutinar for handsaming av personopplysningar. Informasjonen gitt til den registrerte var stort sett av munnleg karakter og mangelfull i forhold til personopplysningslova sine krav. To verksemder mangla konsesjon for si handsaming av sensitive personopplysningar.

Datatilsynet ser ikkje trong for å gjennomføre fleire tilsyn med rusomsorga. Sjølv om tilsyna er gjennomførte med tilsynsobjekt av relativt ulik karakter, er manglane etter personopplysningslova relativt like. Funna gir eit godt grunnlag for vidare arbeid innan området, noko som klårt er naudsynt for å sikre grunnleggjande rettar for dei registrerte. Datatilsynet vil ta forholda opp med mellom anna hovudleverandøren av programvare til russektoren og med direktorat og departement. Dette med tanke på å få betra sikringa av personopplysningane til den enkelte, ikkje berre som gruppe, men òg som enkeltindivid. Datatilsynet kan ikkje sjå at det er grunn til å behandle personopplysningane her annleis enn det som er ønskjeleg i helsevesenet.

1.9.9.6 Ny helseforskingslov – unødvendig vanskeleg for forskarane

I 2004 leverte Nylennautvalet si innstilling. Utgreiinga konkluderte med at rammeverket for medisinsk forsking var komplisert, fragmentert, utilgjengeleg og til dels unødvendig byråkratisk. Sommaren 2007 vart Ot.prp. nr. 74 (2006-2007) Lov om medisinsk og helsefagleg forsking (helseforskingslova), oversend til Stortinget.

Datatilsynet er einig i vurderinga av at rammeverket er unødvendig komplisert og byråkratisk. Enklare søknadsprosedyrar og mindre byråkrati vil vere positive tiltak, inkludert forslaget om éin postkasse for førespurnader. Det er òg positivt at dei forskingsetiske komiteane får ei større og meir sentral rolle enn det som er tilfelle etter dagens regelverk. Tilsynet er òg tilhengar av innføring av eit regelverk som er lettare tilgjengeleg, slik at òg personar utan juridisk spesialkompetanse kan setje seg inn i føresegnene.

Lovforslaget, slik Datatilsynet forstår det, har eit monaleg forbetringspotensial på desse områda. Tre ulike lovar er rettnok samla i éin lov. Men denne er uklar, både i seg sjølv, og når det gjeld forholdet til omkringliggjande regelverk. Dette medfører vanskar både når ein skal fastsetje bruksområdet for lova, fastslå kva krav som skal stillast til sikring av opplysningane (informasjonstryggleik), og avklare dei involverte offentlege myndigheitene sine ansvarsområde.

Føresegna om det saklege verkeområde til lova er eitt av mange døme på at lova er uklår: Etter ordlyden skal lova ikkje gjelde ved etablering av helseregister. Helseforsking vil likevel nettopp innebere ei etablering av helseregister. Skal ein leggje vekt på ordlyden aleine, vil oppretting av alle slags helseregister framleis måtte handsamast av både Datatilsynet, Sosial- og helsedirektoratet og dei etiske komiteane. Ordlyden undergrev altså alle moglegheiter for forenkling. Etter tilsynets vurdering bør ordlyden endrast i samsvar med lova sine intensjonar, om ikkje anna så av omsyn til forskarane.

1.9.9.7 Tilsyn: Tilgang til helseopplysningar

Hausten 2007 vart det gjennomført ein større kontroll med fokus på tilgang til helseopplysningar ved Sjukehuset i Vestfold HF.

Datatilsynet registrerer på bakgrunn av kontrollen med Sjukehuset i Vestfold at det framleis er helseføretak som handsamar helseopplysningar i journalsystem som er direkte ueigna til å ivareta fortrulegskapen overfor pasienten i eit moderne sjukehusmiljø. Det vart avdekt at det var gitt svært vide tilgangar på grunn av systemet sin konstruksjon. Dei vide tilgangane var supplerte med til dels fråverande loggfunksjonalitet. Det kom under kontrollen fram ei hending der eit høgt tal tilsette hadde gjort uautoriserte oppslag i ein del av informasjonssystemet som hadde etablert logging. Etter Datatilsynet sitt syn var ikkje hendinga adekvat følgt opp frå føretaket si side.

Dokumentkontrollane er ikkje ferdigbehandla i skrivande stund. Det er her òg parallelle saker hos Helsetilsynet i forhold til oppførsla til det involverte helsepersonellet. Datatilsynet registrerer fleire saker av denne karakteren. Datatilsynet legg til grunn at dette skuldast at eit auka fokus på informasjonstryggleik i sektoren medfører at fleire av føretaka evnar å avdekkje noko av snikinga i journalar.

1.9.9.8 Tilsyn: Urettmessig innsyn i pasientjournalar

Datatilsynet vart sommaren 2007 kontakta av Legeforeininga i samband med eit innsyn i pasientjournal ved Ullevål universitetssjukehus HF. Saka gjaldt ein person som var tilsett ved sjukehuset, og som òg hadde vore pasient same stad. Vedkommande oppdaga at fire personar utan behandlarrelasjon hadde gjort oppslag i hans journalnotat. Den tilsette oppdaga forholdet ved gjennomgang av journalloggen.

Tilsynet retta ein førespurnad til sjukehuset, og bad om fleire opplysningar. Dette omfatta mellom anna bakgrunnen og føremålet med kvart enkelt oppslag som ikkje var knytt direkte til behandlingssituasjonen. Ein bad òg om å få opplyst om personane som stod for oppslaga handla på vegner av andre eller i medhald av instruks. Tre av personane hadde berre gjort feiloppslag i kontaktoversikta, og ikkje lese sjølve journalen.

1.9.9.9 Snoking i pasientjournalar – trong for lovendring

Helse- og omsorgsdepartementet sende i meldingsåret ut eit forslag om å gjere det tydeleg at det er forbode å tileigne seg pasientopplysningar urettmessig. Datatilsynet er tilfreds med forslaget, men foreslår at ein vurderer å ta inn eit supplement. Tilsynets forslag er at det i tillegg blir lagt til rette for at alle pasientar kostnadsfritt får høve til å sjå sine eigne journalloggar. Pasienten vil på denne måten få høve til sjølv å gjennomgå kven som har lese i journalen. Journalloggen kan anten sendast til pasienten med jamne mellomrom, eller utleverast saman med journalutskrift/epikrise etter utskriving.

Føremålet med retten er å gi pasienten betre kontroll over kven som opnar journalen fordi dei er nyfikne. Ved at pasientane får tilgang til loggane, kan dei sjølve oppdage kor ofte – og kven – som har lese i journalane deira.

Personvernrisikoen i helsesektoren har auka som følgje av overgangen frå papir til elektroniske pasientjournalar (EPJ). Problematikken er særleg knytt til at meir informasjon er lettare tilgjengeleg for fleire, lettare å spreie til uvedkommande, og i den grad opplysningane først er spreidde, er det vanskelegare å avgrense skaden for pasientane som er ramma.

Ein fordel med elektroniske løysingar er likevel at dei gjer det mogleg å loggføre alle oppslag, altså ei automatisk registrering av kven som har opna kva for journalar og kor lenge dei har vore opne. Slike loggar eksisterer i dag, men erfaringa til tilsynet tilseier at desse ikkje blir kontrollerte eller følgde opp på ein tilfredsstillande måte.

Det er vanskeleg å gi eit kvalifisert omfang av uautoriserte oppslag i pasientjournalar. Moglegheitene for misbruk er definitivt til stades, og fleire misbrukssaker er førelagde tilsynet.

Ei MMI-undersøking, utført på oppdrag frå KFO og som stod på trykk i Dagbladet 5. juni 2005, slår fast at 86 prosent av dei tilsette i helsevesenet stadfestar at det er utbreidd å sjå i journalane ut over det som er naudsynt. Undersøkinga gir i beste fall uttrykk for at ein stor del av dei tilsette i helsevesenet ikkje er trygge på at journalopplysningar blir handterte på ein god nok måte.

Datatilsynet har lang erfaring med tilsyn retta mot helseføretak. Tilsyna har vist at det oppstår store moglegheiter for misbruk når ein kombinerer vid tildeling av tilgangsrettar til journalsystema, mangelfulle systemfunksjonar som kan avgrense tilgangen, og låg reell kontroll med heimelen for oppslag i systemet.

Det har vist seg å vere vanskeleg å avdekkje uautoriserte oppslag. Søkjelyset blir gjerne retta mot uautorisert tilgang til opplysningar om kjendisar og tilsette, men tilsynet har grunn til å tru at problemet er meir omfattande i forhold til opplysningar om folk ein kjenner. Dette kan vere langt vanskelegare å avsløre – rett og slett fordi føretaket ikkje kjenner til kven som er familiemedlemmer, venner eller kjenningar av den enkelte. Pasientane, derimot, kan sjå om den som har lese journalen er ein dei kjenner eller veit kven er.

For Datatilsynet er det viktig at både pasientar og tilsette ved norske helseføretak kjenner seg trygge på at journalopplysningar blir behandla med tilbørleg respekt for pasientanes integritet.

1.9.9.10 Datainnsamling bygd på medisinsk uforsvarleg prøvetaking – Aker sjukehus – Hoftebrotsprosjektet

For fem år sidan vart det ved Aker universitetssjukehus HF sett i gang ei prospektiv undersøking knytt til risikofaktorar for hoftebrot hos eldre over 65 år. Den kirurgiske delen av prosjektet innebar innhenting av muskel- og beinbiopsi i samband med den operative behandlinga. Datatilsynet gav konsesjon til dette i 2003. Datatilsynet varsla om at konsesjonen fall bort i løpet av meldingsåret. Årsaka til dette er den manglande overhaldinga av regelverket.

Vevsprøvene og alle personopplysningar knytte til, eller utleidde frå desse, vart pålagt sletta og destruerte på forsvarleg vis.

1.9.10 Handel, finans og forsikring

1.9.10.1 Sletting i nettbutikkar og hotell

På ti tilsyn med hovudføremål å sjå på sletting av kundeopplysningar ved hotell og nettbutikkar, fann Datatilsynet lagring av opplysningar som skulle vore sletta. Det vart avdekt at det langt på veg skuldast eit uklårt forhold til rekneskapslovgivinga.

Rekneskapslovgivinga pålegg lagring av visse typar opplysningar i ein gitt periode. Dei kontrollerte verksemdene hadde IT-system med tett integrasjon mellom rekneskapsopplysningar og kundeopplysningar. Dette gjer det vanskeleg å skilje mellom opplysningar som skal oppbevarast og opplysningar som skal slettast.

1.9.10.2 Tilsyn hos eigedomsmeklarar

I samband med omsetning av eigedom er det naudsynt å utveksle ei rekkje personopplysningar. Datatilsynet var usikker på om innhenting og utveksling av personopplysningane innan eigedomsmeklarbransjen skjedde på ein tilfredsstillande måte. Tilsynet ønskte derfor å utføre eit avgrensa tal tilsyn mot aktørar i bransjen for å få ein indikasjon på tilstanden.

Det vart i hausten 2007 gjennomført fem tilsyn med ulike eigedomsmeklarføretak, av desse dreiv éi verksemd med utleige av bustad. Datatilsynet fann ein overraskande manglande kjennskap til personopplysningslova.

Eigedomsmeklarbransjen handsamar som hovudregel ikkje sensitive personopplysningar, men det blir handsama opplysningar om økonomiske forhold. Slike opplysningar blir oppfatta av publikum som svært ømtolige, og informasjonsmengda bransjen handsamar må i tillegg reknast for å vere relativt stor.

Den manglande kjennskapen som vart avdekt under tilsyn, ser ut til å vere gjennomgåande for heile bransjen. Datatilsynet vil ta forholda opp med bransjen for å sikre betre kunnskapar om personopplysningslova.