Datatilsynet 25 år i 2005

Datatilsynet blei etablert 1. januar 1980 i samsvar med den dåverande personregisterloven som blei vedteken i 1978. Datatilsynet markerte derfor sitt 25-årsjubileum i 2005.

Datatilsynet har til oppgåve å verne kvar enkelt mot at personverninteressene blir krenkte gjennom behandling av personopplysningar. Personopplysningar skal behandlast i samsvar med grunnleggjande personvernomsyn som behovet for vern av personleg integritet og privatlivets fred. Det juridiske grunnlaget for verksemda til Datatilsynet er regulert i Lov om behandling av personopplysningar av 14. april 2000 (personopplysningsloven) og Lov om helseregister og behandling av helseopplysningar (helseregisterloven) av 18. mai 2001.

Datatilsynet er eit uavhengig forvaltningsorgan, administrativt underordna Kongen ved Fornyings- og administrasjonsdepartementet. Datatilsynet sitt sjølvstende inneber at departementet ikkje kan gi instruks om, eller omgjere Datatilsynets utøving av myndigheit etter personopplysnings- eller helseregisterloven. Som klageinstans i forhold til vedtak frå Datatilsynet er det oppretta ei Personvernnemnd. Nemnda leverer si eiga årsmelding.

Datatilsynets oppgåver

Som ei følgje av at personopplysningsloven den 1. januar 2001 kom i staden for den tidlegare personregisterloven, blei hovudtyngda av arbeidet til Datatilsynet flytt frå førehandskontroll til kontroll i etterhand. Dette i form av tilsynsarbeid, informasjon og oppfølging av brot på regelverket.

Datatilsynet skal halde seg orientert og informere om den nasjonale og internasjonale utviklinga i behandlinga av personopplysningar, og om dei problema som knyter seg til slik behandling. Datatilsynet skal identifisere farar for personvernet og gi råd om korleis ein kan unngå eller avgrense dei. Deltaking i råd og utval er derfor ein viktig del av arbeidet til Datatilsynet. Også som høyringsinstans i saker som kan ha konsekvensar for personvernet har Datatilsynet innverknad på samfunnsutviklinga.

Datatilsynet fører ei offentleg oversikt over alle behandlingar av personopplysningar som er melde inn. Vidare behandlar Datatilsynet søknader om konsesjon der loven krev dette.

Gjennom aktivt tilsyn og saksbehandling kontrollerer Datatilsynet at lovar og forskrifter for behandling av personopplysningar blir følgde, og at feil og manglar blir retta. Datatilsynet hjelper bransjeorganisasjonar med å utarbeide bransjevise åtferdsnormer, og gir bransjar og enkeltverksemder råd om sikring av personopplysningar. Datatilsynet motiverer også til oppnemning av eit eige personvernombod og støttar verksemder som på frivillig basis har gjort dette.

Sist, men ikkje minst, har Datatilsynet også ei viktig ombodsrolle. I samband med dette blir det gitt råd og informasjon til enkeltpersonar som tek kontakt med tilsynet. Publikum generelt blir i første rekke nådd gjennom aktiv mediekontakt og publisering på eigen nettstad. For å skape merksemd og interesse kring personvernspørsmål deltek Datatilsynet aktivt i den offentlege debatten og legg stor vekt på å praktisere meirinnsyn i offentlege dokument.

Nærmare om jubileumsmarkeringa

Den 1. januar 2005 var det 25 år sidan Datatilsynet blei oppretta. I staden for å gjennomføre ei omfattande og kostnadskrevjande eigenmarkering, valde Datatilsynet å setje i verk tiltak for å skape merksemd og refleksjon kring ulike sider ved personvern og privatlivets fred. Det var ei målsetjing at det skulle etterlatast produkt med bruksverdi også etter at jubileumsåret er avslutta.

Desse tiltaka blei gjennomførte i tilknyting til 25-årsjubileet:

• Datatilsynet deltok i ein serie på fem program i NRK radios «Verdibørsen», som i januar hadde personvern som hovudtema.

• Nettstaden til Datatilsynet blei lansert med ny design, og ikkje minst òg med struktur som var meir funksjonell og brukarvennleg.

• Datatilsynets grafiske profil blei endra på konvoluttar og trykksaker. Det blei utarbeidd ein eigen logo som blei nytta til å markere jubileet i ulike samanhengar.

• Personvernundersøkinga 2005 blei gjennomført i samarbeid med det dåverande Moderniseringsdepartementet. Personvernundersøkinga var ei omfattande kartlegging av kunnskapar og haldningar i befolkninga og blant representantar for verksemder som behandlar personopplysningar.

• Norsk Regnesentral gjennomførte ei kartlegging av elektroniske spor, etter oppdrag frå Justisdepartementet og Datatilsynet. Saman med Teknologirådets rapport om elektroniske spor (også utgitt i 2005) utgjer dette til saman den mest omfattande kartlegginga av elektroniske spor til no i Noreg.

• Justisdepartementet hjelpte til å markere jubileumsåret ved å samarbeide med Datatilsynet om å ha personvern som tema for sin Ethos-konferanse i 2005.

Boka «Fra tillit til kontroll»

Den viktigaste og mest handfaste markeringa av 25-årsjubileet var likevel samarbeidet med PAX forlag om utgiving av boka «Fra tillit til kontroll - tolv samtaler om politikk, teknologi og personvern». I boka er det referert samtalar Datatilsynets direktør har hatt med engasjerte og reflekterte medborgarar i inn- og utland om ulike problemstillingar knytte til personvern.

Boka fekk mykje merksemd og fekk positiv omtale i fleire medium, blant anna også i ei svensk storavis (Svenska Dagbladet). Bergens Tidende omtalte ho som «en av høstens viktigste bøker». Datatilsynet gav boka som gåve til ulike aktørar innan organisasjons- og samfunnsliv. Alle representantar i det nyvalde Stortinget fekk òg tilbod om kvart sitt eksemplar av boka.

Forlaget har kunna rapportere eit sal til bokhandlarane ut over det ein normalt kunne vente for denne typen faglitteratur.

Kor mange og kor lenge?

I løpet av 2005 blei det registrert at det blei svart på 9 527 spørsmål over telefon og 3 580 pr. e-post. Dei reelle tala er likevel høgare, idet ein del førespurnader går direkte til andre saksbehandlarar. Det går stort sett greitt å få kontakt med Datatilsynet over telefon. Når det gjeld e-post har svartida normalt vore på ca ei veke, men på grunn av tidvis stor pågang var svartida i periodar opp mot tre veker. Etter at ein har sett eit ekstra fokus på dette er svartidene for e-post no sjeldan lenger enn tre-fire dagar, og ofte kortare. Ved årsskiftet var det ingen usvarte e-postførespurnader.

Kva handlar førespurnadene om?

«Arbeidsliv» har erstatta direkte marknadsføring som det temaet det kom flest førespurnader om til Frontservice i 2005. Dette kjem nok i første rekke av den store merksemda som tilsynssakene i forhold til blant andre Redningsselskapet og Vinmonopolet fekk når det gjaldt arbeidsgivars innsyn i tilsettes e-post.

«Informasjonstryggleik» er også eit tema som mange vender seg til Datatilsynet om. Naturleg nok kjem dei aller fleste førespurnadene då frå representantar for plikthavarane, det vil seie dei «behandlingsansvarlege» etter terminologien i personopplysningsloven.

Tabellen nedanfor viser telefonførespurnadene fordelte på tema, og om innringaren opptrer som (eller på vegner av) plikt- eller rettshavar.

Gledeleg nedgang i talet på klagar på direkte marknadsføring

Datatilsynet er tilfreds med at talet på førespurnader om direkte marknadsføring har gått ned samanlikna med året før. I 2005 blei det registrert 970 førespurnader pr. telefon og 320 førespurnader pr. e-post om temaet. Året før kom det samla inn over 2 000 førespurnader om det same. Dette må seiast å utgjere ein gledeleg nedgang, idet majoriteten av dei som vender seg til Datatilsynet om dette gir uttrykk for sinne og frustrasjon over at dei mottek direkte marknadsføring trass i at dei har reservert seg mot dette.

Barnehagar

Hovudinntrykket etter tilsyna i barnehagane var ei bevisst haldning til behandling av personopplysningar. Ingen alvorlege manglar blei påpeikte. Det blei likevel registrert nokre problem knytte til publisering av bilete på Internett. Datatilsynet peikte på krava i regelverket når det gjeld samtykke. Tilsvarande blei krav til samtykke også teke opp som ei problemstilling ved utvida lagring av personopplysningar etter at barn slutta i barnehagen. Det blei også peikt på nokre manglar med omsyn til manglande internkontroll.

Idrett

Datatilsynet har i 2005 gjennomført eit forprosjekt der idretten si behandling av personopplysningar er vurdert, både innanfor toppidretten og på breidd-/mosjonistnivået. Eit særleg fokus er retta mot dopingtestar av utøvarar og mosjonistar, både innanfor og utanfor den organiserte idretten. Prosjektet blir følgd opp i 2006.

Forprosjektet avdekte eit behov for ein nærmare gjennomgang av det rettslege rammeverket rundt dopingtestar og forholdet til personvernet. Det må vurderast om samtykke frå den enkelte er eit eigna grunnlag for dopingtestar på alle nivå eller om slike testar bør få ei klårare forankring i lovverket. Det er også behov for ei nærmare grensedraging i forhold til på kva område dopingtestar kan aksepterast og på kva område dette må reknast som eit uforholdsmessig inngrep. Utøvarnivå og alder vil vere særleg relevante moment i denne samanheng.

Skole

Undervisningssektoren blei vald ut på bakgrunn av tips. Tipsa dreidde seg om handtering av personopplysningar ved private skolar, i tillegg til undervisningssektorens bruk av nettsentriske system for oppfølging av kvar enkelt elev og loggføring av eleven sine aktivitetar.

Ein del av tilsyna mot undervisningssektoren hadde til formål å skaffe Datatilsynet ei betre innsikt i bruk av elektroniske læringsverktøy i undervisningssektoren. Bruk av skoleportalar har auka kraftig dei seinare åra. Erfaringane frå tilsyna er berre baserte på tilsyn innan Oslo kommune, dessutan i form av brevtilsyn mot ein vidaregåande skole i Troms.

Datatilsynet avdekte ein del problemstillingar knytte til elektroniske læringsverktøy. Alle problemstillingar er knytte til lagring, sletting og kven som får tilgang til det lagra materialet. Under tilsynet kom det fram ønske om lagring av utvalde arbeid frå heile utdanningstida til eleven. Dette reiser spørsmål i forhold til sletteplikta som ligg i regelverket. Tilgangsstyring til dei elektroniske læringsverktøya verkar også noko svak. Lærarane får ei relativt detaljert oversikt over elevanes arbeid og framdrift, blant anna kor lang tid eleven bruker på skolearbeidet. Det er òg mogleg for lærarane å få fram dei same opplysningane om andre lærarar. Det er uklare rutinar for sletting generelt, både i forhold til handtering av sletting i applikasjon og i forhold til tryggingskopiar.

Kundeopplysningar

Tilsyna som blei gjennomførte knytte til handtering av kundeopplysningar avdekte noko varierande praksis med omsyn til bruk av personopplysningar. Tilsynsobjekta var verksemder innan bilbransjen og nokre kulturinstitusjonar. Ein gjennomgåande observasjon var mangel på rutinar knytte til sletting av personopplysningar. Fleire aktørar hadde ikkje system som gjorde det mogleg å utføre fullstendig sletting av kundeopplysningar, mens andre hadde mangelfulle rutinar. Det blei også avdekt manglar i forhold til internkontroll generelt.

1) Privat etterforsking pressar personvernet

I 2005 såg Datatilsynet fleire eksempel på at private aktørar tok i bruk metodar ein kanskje helst forbind med politiet, og som i tillegg er strengt regulerte når politiet nyttar dei. I desse sakene var det anten arbeidsgivarar eller private etterforskarar/privat spesialkompetanse leigd inn av arbeidsgivarane som etterforska misferd eller uønskt åtferd hos tilsette. Datatilsynet politimelde ei verksemd for skjult kameraovervaking, ei anna verksemd som brukte bilete frå kameraanlegget som «bevis» for at ein reinhaldsbetjent ikkje vaska godt nok, og ytterlegare to verksemder, som utan å informere dei det gjaldt sjølve gjekk gjennom sletta filer og sms-ar frå tilsette for å avdekkje uønskt aktivitet. Desse enkeltsakene er omtalte under kapitlet om arbeidsliv. Tilsynet fekk i kjølvatnet av desse sakene også inn to nye saker der enkelte tilsettes e-postar systematisk hadde gått i blindkopi til leiinga utan at den tilsette var informert om praksisen. I løpet av 2005 fekk Datatilsynet også førespurnader frå enkeltpersonar som meinte at dei var utsette for «spaning» ved hjelp av vaktselskap som ønskte å avdekkje misferd og dårleg service. Mot slutten av meldingsåret dukka tilsvarande problemstillingar også opp i pressa.

Datatilsynet konstaterte i meldingsåret at private aktørar ønskjer å overvake fildelingsnettverk for å avdekkje urettmessig kopiering av opphavsrettsverna åndsverk som musikk og filmar. Dette er nærmare omtalt under avsnittet om Internett.

Datatilsynet ser at privat etterforsking kan innebere ein trussel mot personvernet. Når ein arbeidsgivar eller ein privat aktør etterforskar, har den mistenkte i realiteten ikkje dei same rettane som han ville hatt om politiet hadde stått for etterforskinga. Datatilsynet meiner òg det kan vere aktuelt å sjå nærmare på eit eventuelt medverkaransvar for aktørar som yter hjelp til privat etterforsking.

2) Fleire vil unngå informasjonsplikta

Det er ein sentral føresetnad for personvernlovgivinga at kvar enkelt har kunnskap om kva opplysningane skal brukast til. Utan kunnskap er ein fråteken sjansen til å ta vare på sine eigne interesser, og bruke dei rettar ein har etter loven.

Datatilsynet ser ein tendens til at stadig fleire offentlege instansar og private verksemder meiner at dei kan bruke personopplysningar utan å melde frå til den det måtte gjelde.

I meldingsåret såg Datatilsynet fleire døme på dette, frå dei mykje medieomtalte sakene som vedrører innsyn i tilsettes e-post i Redningsselskapet og Vinmonopolet, til dei mindre omtalte, som for eksempel den feilaktige informasjonen gitt til befolkninga når det gjeld reseptregisteret og i kor stor grad det er mogleg å finne tilbake til identiteten til dei registrerte. Desse sakene er nærmare omtalte i avsnittet om arbeidsliv og avsnittet om helse og forsking.

Paradoksalt nok verkar det som at det er det offentlege sjølv som i størst grad ønskjer å unngå informasjonsplikta. Ei unntaksføresegn i personopplysningsloven for register med heimel i lov gjer at dette også er mogleg. Datatilsynet ønskjer at denne unntaksføresegna blir stramma inn, slik at fleire må informere den registrerte.

3) Store endringar innan politi- og justissektoren internasjonalt påverkar personvernet også i Noreg

I politi- og justissektoren innan EU skjer det no store og viktige endringar basert på ønsket om meir samarbeid og meir utveksling av opplysningar blant anna gjennom samarbeidet innan Europol (politisamarbeid), Eurojust (påtalesamarbeid), og Schengen informasjonssystem (SIS). Desse trendane kan påverke personvernnivået i Noreg.

Noreg er gjennom EØS-avtalen inkludert i delar av det europeiske grenseoverskridande samarbeidet. Dette gjeld blant anna avtaleverket rundt den indre marknaden («første søyle») og felles utanriks- og tryggingspolitikk («andre søyle»). Personvernet i første og andre søyle er regulert av personverndirektivet. Men politisamarbeid og kamp mot kriminalitet («tredje søyle») ligg utanfor dette samarbeidet, og er ikkje omfatta av direktivet.

EU har sett eit behov for å samordne personvernnivået i tredje søyle, og Kommisjonen har no lagt fram eit forslag for eit rammeverk for dette.

Når vi har ei sterk norsk interesse i å delta på justisfeltet, etterlyser Datatilsynet ei tilsvarande interesse for å delta også når det gjeld utviklinga av personvernsida av samarbeidet. Som eit eksempel på manglande interesse, kan nemnast at Justisdepartementet sende allereie vedtekne endringar i regelverket for Schengen informasjonssystem til høyring, mens tre andre sentrale rettsakter, der det framleis var mogleg å påverke utfallet, låg til behandling i EU. Desse rettsaktene, saman med kommisjonens forslag til eit rammeverk for personvernet innan tredje søyle, kan få mykje å seie for Noreg. Datatilsynet er bekymra for at Justisdepartementet ved å vere seint ute med sine forslag, svekkjer sjansen for å gi dei ei utforming som i rimeleg grad oppfyller viktige personvernomsyn. Ein kan lese meir om dette i kapitlet om politi- justis-, og utlendingsfeltet.

4) Press mot teieplikt og personvern i store, overgripande offentlege databasar og journalsystem

Fleire etatar og offentlege instansar arbeider no med samanslåing av store datasystem eller store databasar til endå større system med endå større datamengder. Eit fellestrekk ved dei aller fleste av desse sakene er at ein ikkje har hatt ein tilfredsstillende gjennomgang av den endra risikoen eit større system vil medføre for personvernet til kvar enkelt. I 2005 såg Datatilsynet denne trenden tydeleg i forslaget til ny arbeids- og velferdsetat, og forslaget til eit norsk pasientregister (NPR) med namn og fødselsnummer.

I den første saka påpeikte Datatilsynet, saman med bl.a. Helsetilsynet, store manglar i forhold til teieplikt og personvern. Denne saka blir nærmare omtalt i avsnittet Stat og kommune . Når det gjeld Norsk pasientregister, påpeikte Datatilsynet at eit slikt omfattande register med fullt namn og fødselsnummer blant anna ville endre risikobiletet for alle andre avidentifiserte sjukdomsregister. Også Justisdepartementet støtta Datatilsynet i at det foreslåtte pasientregisteret er dramatisk for personvernet. Saka er nærmare omtalt i avsnittet om helse og forsking .

Eit anna fellestrekk ved mange av desse store informasjonssystema er ønsket om å gi vid tilgang til opplysningar i databasane. Ønsket er i hovudsak basert på omsynet til effektiv informasjonsflyt, og ei tru på at det vil bli vanskeleg å finne ut kva opplysningar som er nødvendige. Ei slik oversikt er likevel eit grunnleggjande krav i personopplysningsloven. Datatilsynet ser på dette som ei ansvarsfråskriving på systemnivå, og er bekymra for at personvernet berre skal vere opp til kvar enkelt tilsett sin integritet og eigne vurderingar. Datatilsynet rår i slike saker til å gi snevrare tilgang basert på ei førehandsvurdering av kva for opplysningar kvar enkelt saksbehandlar treng for å utføre arbeidet sitt. Dersom ein tillet vide tilgangar, må ein i det minste sørgje for grundig loggføring og tilfredsstillande etterkontroll av enkeltoppslag.

Kven som skal ha tilgang i dei store databasane og journalsystema har vore eit sentralt tema for Datatilsynet i etableringa av ein ny arbeids- og velferdsetat, og i arbeidet med å etablere ei nasjonal norm for informasjonstryggleik i helsesektoren. Desse sakene er omtalte høvesvis i kapitlet Stat og kommune og i kapitlet Helse og forsking . Datatilsynet har i tillegg arbeidd med denne problemstillinga i ei lang rekkje tilsynssaker hos helseføretak.

Misbruk

I 2005 behandla Datatilsynet to konkrete saker som gjaldt misbruk av informasjon i store datasystem. Den eine gjaldt urettmessig lesing av journalopplysningar ved Helgelandssykehuset, og den andre saka gjaldt ein politimann som brukte opplysningar frå politiregistra i vurderinga av potensielle leigetakarar til si private hytte.

Typisk nok blei ingen av desse sakene avslørte på bakgrunn av verksemdas eigne kontrollsystem, snarare på bakgrunn av tilfeldige hendingar og førespurnader frå enkeltpersonar. Sakene er nærmare omtalte under kapitla om høvesvis helse og forsking, og politi- og justisfeltet i Noreg.

Datatilsynet har tidlegare påpeikt at loggføringa av oppslag i databasar og journalsystem hos dei aller fleste store systemeigarane har vore mangelfull, og konstaterer at fleire verksemder har komme ganske kort på dette området.

5) Gjenbruk, nye formål og «evig lagring».

Gjenbruk av personopplysningar til nye formål er problematisk i forhold til personvernet av fleire årsaker. For det første vil den registrerte ofte ha danna seg ei forståing av det opphavlege formålet med opplysningane. Den registrerte sin rett til kunnskap, verksemdas informasjonsplikt og hovudregelen om samtykke frå den registrerte er fundamentet i europeisk personverntenking. Dersom opplysningar blir gjenbrukte til nye formål som strir mot det opphavlege formålet, kan ein risikere å fjerne dette grunnlaget.

For det andre kan det liggje føre ulike krav til at registrerte opplysningar skal vere kvalitetssikra og pålitelege. Opplysningar som er samla inn for eitt formål, er ikkje automatisk tilstrekkelege og relevante for alle andre formål.

Problematikken med nye formål er òg omtalt i avsnittet om Indicia, politiets nye etterretningssystem, der politiet ønskjer å kople til fleire kjelderegister; dessutan i avsnittet om datalagringsdirektivet, der EU ønskjer lagring av opplysningar om tele- og datatrafikk til etterforskings- og førebyggingsformål.

Datatilsynet har observert at stadig fleire aktørar ønskjer lagring i stadig lengre tid. Jo lenger opplysningane blir oppbevarte, jo meir sannsynleg er det at det òg er ønske om å nytte dei i nye samanhengar. Det kan sjå ut som at opplysningar som først er lagra, sjeldan blir sletta. Lagringsønska kan kvar for seg framstå som gode og velgrunna, men summen av lagra opplysningar om kvar enkelt av oss blir på den måten overveldande. Forlenging av lagringstida er ei aktuell problemstilling blant anna i avsnittet om nye kapitaldekningsreglar i kapitlet om økonomi og forsikring.

Datatilsynet har i meldingsåret også problematisert at nokre aktørar bruker tryggingskopiar som ei form for «evig lagring». Desse kan utgjere ein personverntrussel dersom dei blir tekne i bruk til nye formål, som for eksempel å sjekke handlingane til ein tilsett lang tid etter at handlingane har skjedd.

6) Fleire personopplysningar blir publiserte på Internett

Datatilsynet har gjennom fleire år sett ein todelt publiseringstrend; ein generell, der personopplysningar meir eller mindre ukritisk blir publiserte på nett, og ein personleg retta, der stadig fleire aktørar opprettar personlege sider for kundar eller andre interessentar.

Datatilsynet registrerer at generell publisering av personopplysningar i mange tilfelle skjer utan samtykke frå den opplysningane gjeld. Dette er ikkje uproblematisk, verken i forhold til etiske vurderingar eller i forhold til personopplysningsloven. Problemet blir tilspissa ved at den behandlingsansvarlege skyt seg inn under ytringsfridom som grunnlag for publiseringa. Sjå meir om denne problemstillinga i avsnittet Publisering av sportsprestasjonar og terningkast for utleigarar i kapitlet om Internett og i avsnittet Lyd- og biletopptak i rettssalen i kapitlet om justisfeltet i Noreg. Internettpublisering vil også kunne vere ei form for «evig lagring» som omtalt i avsnittet over, noko som kan gi store konsekvensar for den enkelte. Ein dumskap eller eit feiltrinn som er omtalt på Internett – sanning eller oppspinn – kan hefte ved ein enkeltperson i svært lang tid, og gjere det vanskeleg for vedkommande både i arbeidslivet og i privatlivet. Såkalla «googling», der ein bruker søkjemotorar på Internett for å finne opplysningar om enkeltpersonar, kan gi svært mange ukvalifiserte opplysningar. I meldingsåret har Datatilsynet sett at for eksempel arbeidsgivarar også ser på slike opplysningar i tilsetjingsprosessar.

Nyheiter over TV og radio gir ikkje lenger berre augneblinksbilete. Nyheitene blir publiserte på Internett og blir til informasjon som kan søkjast opp i uoverskodeleg framtid. Ved ei publisering på Internett mistar ein kontrollen over informasjonen, og ein har ingen reell garanti for formåla til den som kopierer materialet.

I slutten av 2005 gjekk Nasjonalbibliotekets konsesjon ut for lagring av publiserte tekstar under det norske domenet « .no ». Etter Datatilsynets meining kan ei slik lagring kanskje vere fornuftig frå ein forskingsståstad, men frå ein personvernståstad er det vanskeleg å forsvare at eit statleg organ automatisk skal lagre kvart einaste publiserte innlegg i diskusjonsfora, artiklar og alt anna materiale for ettertida, utan å gjere ei konkret vurdering av bevaringsverdien.

Passordverna «personlege sider» kan vere ei tryggingsmessig utfordring. Stadig fleire verksemder tilbyr passordverna personlege sider med til dels svært omfattande informasjon om kvar enkelt. Staten innfører snart si eiga løysing Mi(n) side . Kundar og brukarar har ei forventning om at slike sider har eit høgt tryggleiksnivå og at informasjonen er konfidensiell. Problemstillinga er nærmare omtalt i avsnittet om den statlege Mi(n) side under Internettkapitlet.

7) Anonyme alternativ forsvinn

Når identifisering er unødvendig, bør det vere mogleg å vere anonym. Identifikasjon blir likevel kravd i stadig fleire samanhenger. I 2005 blei det påbode å registrere eigarane av førehandsbetalte kontantkort for mobiltelefon. Datatilsynet har mange gonger påpeikt at det oppstår eit press mot personvernet når kvar enkelt stadig oftare må identifisere seg for å ta del i daglegdagse gjeremål som før ikkje kravde identifisering.

Dette presset oppstår fordi det primære formålet, å ta betalt for ei teneste, blir kopla opp mot identifisering av betalaren. Stadig blir det introdusert nye elektroniske betalingsløysingar der det blir gjort mogleg å identifisere beraren, utan at dette er det primære formålet, men snarare noko som er «praktisk» av andre årsaker. Elektronisk billettering er eit eksempel på ei slik løysing der identifikasjon av beraren er ein tilleggsfunksjon. I det offentlege rommet blir elektronisk overvaking via elektroniske namneskilt dermed nesten umogleg å unngå. Dette gjeld på grunn av eigenskapane til blant anna mobiltelefonar, Autopass-brikker, nye pass og elektronisk billettering, men også på grunn av identifiserande løysingar som informasjonskapslar («cookies»), elektroniske ID-kort og elektroniske signaturar på Internett. Med slike innebygde teknologiar kan ein lettare bli utsett for både identitetssjekk og sporing – utan sjølv å vite når det skjer eller kven som står bak.

Datatilsynet og Justisdepartementet fekk i 2005 laga ei kartlegging av elektroniske spor. Denne kan ein lese meir om i neste kapittel.

I meldingsåret begynte innføringa av elektroniske IDar til folk flest. Når så å seie alle i framtida vil ha dette, vil truleg også fleire krevje legitimasjon før ein får tilgang på tenester eller informasjon. Elektroniske IDar er både eit gode for å kunne lage sikre tenester på nett, men kan også medføre færre arenaer der ein kan vere anonym. Denne utviklinga kan derfor føre til endå større press på personvernet til kvar enkelt. Meir om elektroniske IDar kan ein lese i avsnittet om Mi(n) side i kapitlet om stat og kommune.

Meir anonymitet og sporing finn ein i samferdselskapitlet, avsnittet om heilautomatiske bomstasjonar, og i avsnittet flåtestyring i arbeidslivskapitlet.

Elektroniske spor

I meldingsåret kartla Norsk Regnesentral elektroniske spor på oppdrag frå Datatilsynet og Justisdepartementet. Elektroniske spor kan vere både informasjon om kommunikasjonen, for eksempel tidspunkt, sendar og mottakar (hendingsdata), og det som blir kommunisert (innhaldsdata). Vi let etter oss elektroniske spor når vi for eksempel loggar oss på datamaskinen, surfar på Internett, betaler med kort, ringjer med telefon, har mobiltelefon slått på, registrerer oss i eit kunderegister, kjører gjennom bomringen med abonnementsbrikke eller har moderne bil med sensorar som registrer hendingar og overvaker forskjellege faktorar i bilen.

Sårbare opplysningar

Elektroniske spor blir danna både i det elektroniske utstyret ein sjølv bruker, i programvare som ein passerer på vegen mellom sendar og mottakar, og hos mottakaren. Det vil seie at elektroniske spor ofte blir lagra hos andre enn ein sjølv.

Opplysningane er sårbare for misbruk alt etter kor godt dei er sikra. Berre i enkelte tilfelle kan ein kontrollere opplysningane. Ofte er til og med ens eigne elektroniske hjelpemiddel, som datamaskin, mobiltelefon, og sensorsystemet i moderne bilar såpass samansette at dei færraste klarer å ha oversikta over personvern- og tryggleiksrisiko.

Før kunne ein vere rimeleg sikker på at elektroniske spor blei overskrivne relativt raskt. Det kan ein ikkje lenger. Lagringskapasiteten er no blitt så billeg at ein ikkje lenger utan vidare kan rekne med at opplysningar «forsvinn» av seg sjølv.

Framtida

Mengda av elektroniske spor som blir lagd igjen i samfunnet vil auke markant dei nærmaste åra. Løysingar der ein før ikkje let spor etter seg, til dømes ved bruk av kontantbetaling, vil i stadig større grad erstattast av løysingar der ein blir identifisert, som for eksempel ved kortbruk. Den anonyme løysinga, kontantbetaling, blir ikkje i same grad understøtta av teknologien.

Talet på elektroniske løysingar vil auke, og det vil også brukargruppa som har tilgang til dei. Ein får opphopingar av tenester i portalløysingar der det i stor grad er mogleg å samle informasjon om brukarane. Utstyret vi har heime vil i aukande grad bli meir «intelligent». Allereie no er det vanleg at kabelselskap og breibandsleverandør kontaktar kabelmodem og ruter for å sjekke eventuelle feil. Det er også vanleg at TV-en «hugsar» sist sette program, pluss ei rad innstillingar. Denne utviklinga vil halde fram, og lagringsevnene vil bli meir sofistikerte, meiner forfattarane av rapporten.

Haldningar til personvern

Datatilsynet og Moderniseringsdepartementet gjennomførte i 2005 ei undersøking om haldningar til personvern, samt oppfatningar om personvern i verksemder. Undersøkinga blei utført av forskar Ingar-Anne Ravlum ved Transportøkonomisk institutt (TØI).

Tala viser at befolkninga generelt er lite uroleg for misbruk av personopplysningar. Likevel peikar visse område seg ut. Seks av ti er bekymra for misbruk av personopplysningar når dei bruker Internett. Fire av ti er bekymra for misbruk ved bruk av mobiltelefon. Kvar tredje spurde er bekymra ved betaling med betalingskort.

Norske menn og kvinner ønskjer spesielt vern av helseopplysningar, fødselsnummer og opplysningar om familieforhold, viser tala.

Tillit

Nordmenn har jamt over tiltru til at offentlege styresmakter behandlar opplysningar om dei skikkeleg. Undersøkinga viser at politiet står i ein særklasse. Seks av ti har stor tillit til måten politiet oppbevarer og bruker personopplysningar på. Av bransjane det blei spurt om, har dei spurde lågast tillit til bompengeselskap og teleselskap, følgt av ideelle organisasjonar og kredittopplysningsselskap.

Tryggleik

Meir enn 90 prosent av befolkninga kjenner seg stort sett trygge der dei ferdast til dagleg.

Likevel er eit stort fleirtal av dei spurde einige i at kameraovervaking er overvegande positivt i dei fleste samanhenger. Berre på spørsmål om kameraovervaking på eigen arbeidsplass, i barar og restaurantar og ved vaskane på offentlege toalett er det eit fleirtal som meiner overvakinga er overvegande negativ.

For Datatilsynet er dette eit paradoks. Urbaneye-undersøkinga, eit større europeisk forskingsprosjekt på området, har ikkje vist at kameraovervaking har særleg effekt på kriminalitet. Snarare er det ting som tyder på at kameraovervaking kan ha ein ekskluderande funksjon - der somme blir utestengde frå offentlege rom etter ytre faktorar som korleis dei ser ut og kor velkledde dei er. 

I tala frå Transportøkonomisk institutt går det også fram at kvar fjerde som er spurd er svært eller noko bekymra for at opptak frå kameraovervaking skal misbrukast.

Tilsynsmyndigheit

Relativt mange nordmenn og kvinner har fått med seg at det finst ei uavhengig myndigheit som passar på at personvernlovgivinga blir etterlevd. 44 prosent av nordmennene svarte at dei ikkje visste om ei slik myndigheit. Men ikkje alle nordmenn som hadde høyrt om ei tilsynsmyndigheit kunne namngi rett myndigheit. Berre ein tredel av utvalet visste at Datatilsynet har dette ansvaret.

Nordmenn kjenner tilsynsinstansen i større grad enn EU-borgarane. Ei undersøking (Special Eurobarometer 196) frå seinhausten 2003 viste at så mange som to tredelar av EU-borgarane ikkje hadde høyrt om ei uavhengig myndigheit som varetok personvernet. Tala varierte mellom 52 prosent i Nederland og 77 prosent i Aust-Tyskland. I Danmark og Sverige hadde høvesvis 71 prosent og 64 prosent ikkje høyrt om ei slik myndigheit .

Verksemdenes etterleving av personopplysningsloven

Parallelt med befolkningsundersøkinga blei det gjord ei undersøking blant 424 verksemder. Denne undersøkinga tyder på ei grunnleggjande positiv haldning til personvern blant verksemdene. Likevel er kunnskapen om personopplysningsloven og dei pliktene som følgjer av den, svært låg. Mange verksemder meiner at krava ikkje gjeld for dei. Dette gjeld sjølv om dei bruker personopplysningar, og bruken dermed vil vere omfatta av loven. Ein låg prosentdel av verksemdene opplyser at dei etterlever krava som følgjer av loven eller forskrifta. Dette gjeld krav til informasjonstryggleik, internkontroll og informasjon til den som opplysningane gjeld.

Halvparten av verksemdene seier at dei har etablert eit system for internkontroll. Ein god del av desse opplyser likevel at dei ikkje har rutinar for sletting av opplysningar som ikkje lenger er nødvendige for det opphavlege formålet. Berre ei av tre verksemder seier at dei fører ei systematisk oversikt over kva for personopplysningar som blir behandla i verksemda. Noko så enkelt som sletterutinar og ei oversikt over bruk av personopplysningar i verksemda er ein helt nødvendig faktor for å kunne drive verksemda i tråd med personopplysningsloven.

Datatilsynet har identifisert eit behov for å auke informasjonen mot verksemder når det gjeld personopplysningsloven, og mot befolkninga når det gjeld personvern. Ei nærmare framstilling av handlingsplanen finn ein under kapitlet Informasjon og kommunikasjon.

Tilsette var ikkje varsla om innsyn i e-post

Datatilsynets politimelding av Redningsselskapet og AS Vinmonopolet knytt til urettmessig innsyn i e-post har vekt stor mediemerksemd det siste året. Datatilsynet bestemte, etter å ha motteke diverse klagar på selskapa, å gjennomføre tilsyn på staden for å avdekkje om verksemdene hadde føreteke innsyn i e-post i strid med personopplysningsloven. Dette blei stadfesta under tilsyna.

Informasjonsplikta kjem til uttrykk i personverndirektivet (Europaparlaments- og rådsdirektiv 96/46/EF). Direktivet styrkjer den enkelte sitt personvern og rettstryggleik gjennom å gi den registrerte rettar, og gjennom å gi brukarar av andres personopplysningar ei rekkje plikter. Informasjonsplikta skal gi den registrerte kunnskap slik at han eller ho skal kunne nytte seg av sine rettar.

I begge desse sakene har innsynet bevisst blitt gjennomført utan at dei det gjaldt blei informerte på førehand. Informasjonen blei først gitt lang tid i etterkant. Dei registrerte blei på denne måten fråtekne sjansen til å komme med sine innvendingar, og hadde heller ikkje høve til å utøve sine rettar etter loven. Sakene er no til behandling hos høvesvis Asker og Bærum og Oslo politidistrikt.

I kjølvatnet av desse to meldingane har Datatilsynet motteke svært mange førespurnader knytte til same problemstilling. Det er gjennomført fleire tilsyn på bakgrunn av førespurnadene. I tre tilfelle er det avdekt såpass alvorlege brot på informasjonsplikta at Datatilsynet har varsla verksemdene om at det vurderer å politimelde forholdet. Det var ikkje teke endeleg standpunkt til dette ved utgangen av meldingsåret.

Flåtestyring – overvaking av arbeidstakar i bil

Ved montering av GPS-system i bilar og bruk av data frå fartsskrivarar kan fleire tilsette no overvakast utan at arbeidsgivaren treng vere tilstades. Fleire arbeidstakarar har kontakta Datatilsynet og fortalt at dei ser på dette som ei påkjenning. Arbeidsgivarane held fram at data henta frå fartsskrivarar er deira eigedom, og at det er uproblematisk å sjekke data frå desse opp mot timelistene til dei tilsette.

Effektivitetsomsyn ligg til grunn for montering av GPS-system i bilane. Arbeidsgivaren kan då til kvar tid få vite kvar den tilsette er, og kan disponere mannskapa betre. Datatilsynet vil likevel ikkje tillate at data henta frå fartsskrivarar blir sjekka mot dei tilsettes timelister. Fartsskrivarar er installerte for å kontrollere at føreren av bilen overheld føresegnene om kjøre- og kviletid. Bruk av opplysningane til andre formål vil vere i strid med personopplysningsloven. Arbeidsmiljølovens føresegner om styringsrett opnar for at arbeidsgivarar kan setje i verk tiltak for å for effektivisere verksemda. Flåtestyring i sanntid kan vere eit akseptabelt effektiviseringstiltak. Derimot tillet ikkje personopplysningsloven, etter Datatilsynets tolking, at innhenta data blir lagra med det formålet å kartleggje arbeidstakarars kjøremønster.

Kameraovervaking på arbeidsplassen

Utlevering av biletopptak utan samtykke eller lovheimel

Hausten 2003 blei det utlevert eit biletopptak frå ein tilsett i DnB NOR Bank ASA til ISS Noreg AS, som var ansvarleg for reinhaldet av banken sine lokale. Formålet med utleveringa var å fastslå og dokumentere manglande reinhald i banklokalet. Opptaket blei vist til ISS’ representant, og den ISS-tilsette kunne identifiserast på opptaket.

Klagaren, personen som var avbilda på det aktuelle opptaket, tok kontakt med Datatilsynet, og ønskte at tilsynet skulle ta saka opp med DnB NOR. Utleveringa av opptaket fekk store konsekvensar for vedkommande. Han blei ute av stand til å jobbe som eit resultat av episoden.

Sakleg grunn

Etter personopplysningsloven er kameraovervaking bare tillate dersom formålet med overvakinga er sakleg grunna i verksemda. Normalt vil kameraovervaking i eit banklokale oppfylle personopplysningslovens krav til eit gyldig behandlingsgrunnlag. Formålet med overvakinga vil vere tiltak mot kriminalitet og eventuelt varetaking av dei tilsettes liv og helse.

Personopplysningar frå kameraovervakingsanlegg kan berre utleverast dersom den som er avbilda samtykkjer eller løyve til utlevering følgjer av lov (personopplysningsloven § 39 første ledd). Eit gyldig samtykke vil i denne samanhengen seie ei frivillig, utrykkeleg og informert erklæring frå den registrerte om at han eller ho godtek utleveringa. I dette tilfellet låg det ikkje føre eit gyldig samtykke til utlevering av opptaket.

Avdekking av dårleg reinhald vil ikkje vere sakleg grunn til å ha kameraovervaking i eit banklokale. For å avdekkje mangelfullt reinhald kunne ein ha gått fram på ein annan måte, for eksempel kunne ein representant frå ISS evaluert resultatet av vaskinga ved oppmøte, i staden for å kikke på opptak frå overvakingskamera.

Banken er ein profesjonell part som må forventast å setje seg inn i det regelverket som gjeld for bruk av kameraovervaking. Å bli overvaka i sin daglege gjerning blir av mange oppfatta som ei påkjenning i seg sjølv. Verre er det når opptaka i tillegg blir nytta til andre formål enn det dei var berekna for, og andre formål enn dei ein har fått informasjon om. Ulovleg utlevering av fjernsynsopptak kan få store konsekvensar.

Datatilsynet fann det viktig for tilliten frå ålmenta generelt, og arbeidstakarar si stilling spesielt, at saka blei strafferettsleg forfølgd, og politimelde DnB NOR Bank ASA for brot på føresegnene i personopplysningsloven.

Politiet var einig med Datatilsynet i at det var gjort brot på personopplysningsloven, og gav DnB NOR Bank ASA ei bot på 200 000,- for forholdet. Banken vedtok førelegget.

Kameraovervaking i garderobe

Ein bilverkstad gjennomførte kameraovervaking av garderoben for sine mannlege tilsette utan at dette var skilta eller informert om på annan måte. Formålet var å oppklare eventuelle straffbare forhold utført av dei tilsette i arbeidstida. Forholdet var allereie politimeldt av dei tilsettes fagforeining då saka kom inn til Datatilsynet.

Datatilsynet vurderte på bakgrunn av informasjonen som låg føre at kameraovervakinga ikkje oppfylte lovkrava. Tilsynet kunne ikkje sjå at det låg føre eit særskilt behov for overvaking. Overvakinga var verken varsla eller meld til Datatilsynet. På denne bakgrunnen blei saka meld til politiet til støtte for meldinga frå fagforeininga.

Kameraovervaking i buss og tog

AS Sporveisbussene og NSB ønskjer å totalovervake nokre av sine bussar og tog. Datatilsynet har godteke at det på busser kan nyttast kamera i sjåførområdet og mot inngangspartia. Tilsvarande har tilsynet akseptert overvaking av inngangspartiet i togsett og ved lokomotivføraren i lokaltog i Oslo-området. Behovet for slike overvakingstiltak er i hovudsak grunngitt i å vere vern av dei tilsette, særleg knytt til ran og overfall av personellet. I tillegg er hærverk på materiellet halde fram som ein faktor. Datatilsynet har akseptert denne overvakinga for å vareta tryggleiken til sjåføren/togpersonellet og dei reisande. AS Sporveisbussene har gitt uttrykk for at det er ønskjeleg å installere overvakingsutstyr på alle bussar. Det er bestemt at alle bussar som blir kjørte på natta skal ha kameraovervakingsutstyr, og at alle nye bussar skal ha slikt utstyr.

Usemje om passasjerområde

For Datatilsynet er det ein føresetnad at overvakingstiltaket skal stå i rimeleg forhold til det ein søkjer å oppnå. NSB og Sporveisbussene har fått høve til å kameraovervake passasjerane. Men det er usemje om omfanget av overvakinga. Datatilsynet ønskjer ikkje overvaking av ordinære passasjerområde og i kupeane, og meiner at ein ikkje kan konkludere med at totalovervaking, altså overvaking ut over førarområdet og inngangsparti, har tilleggseffekt. Mindre inngripande alternativ, som for eksempel overvaking av mindre område, er enno ikkje prøvd.

Både NSB og AS Sporveisbussene klaga på Datatilsynets avgjerd til Personvernnemnda. Sporveisbussene trekte seinare sin klage. Spørsmålet er no til vurdering hos Personvernnemnda, og vil vonleg bli behandla i løpet av 2006.

Heilautomatiske bomstasjonar – krav om anonymt alternativ

Datatilsynet har bestemt å innføre konsesjonsplikt for heilautomatiske bomstasjonar. Statens vegvesen klaga på dette. Spørsmålet er no til vurdering hos Personvernnemnda, og vil truleg bli behandla i løpet av 2006.

Datatilsynet blei i desember 2002 kontakta av Statens vegvesen om oppstart av eit forsøksprosjekt med heilautomatiske bomstasjonar. Forsøksprosjektet skulle gjelde for bompengeinnkrevjing i Tønsberg og Bergen. Det blei halde ei rekkje møte mellom Datatilsynet og Statens vegvesen i samband med saka. Det blei tydeleg kommunisert som ein føresetnad frå Datatilsynets side at eit anonymt passeringsalternativ skulle vere på plass før forsøksprosjektet med heilautomatiske bomstasjonar blei sett i gang. Dette blei ikkje følgd opp i løysinga til vegvesenet.

For personvernet er føresetnaden om at alle har rett til anonym ferdsel eit avgjerande utgangspunkt. Retten gjeld ikkje vilkårslaust, men eventuelle unntak må framstå som velgrunna og påtrengjande nødvendige. I denne saka synest det å vere reint kommersielle omsyn som står i mot den enkelte innbyggjars rett til personvern i samband med eigne rørsler.

Statens vegvesen legg opp til at det i framtida skal etablerast fleire bomprosjekt som nyttar seg av ei heilautomatisk løysing der betalingsmiddelet skal vere ei unik brikke i kvar bil. I tillegg er det planlagt å utvide bruksområdet for brikka som betalingsmiddel til å gjelde ferjer, annan transport og parkering.

Prinsipielt er spørsmålet viktig langt ut over dei stadene der stasjonane er etablerte i dag. Det blir no lagt til rette for ein infrastruktur som gjer det mogleg å drive omfattande og systematisk kartlegging av enkeltmenneske. Kartlegginga kan i tillegg vere svært vanskeleg for den enkelte å følgje med på. Det er ikkje akseptabelt at det, for å bøte på manglar ved betalingssystemet, blir fremja ei løysing som føreset eit elles unødvendig inngrep i personvernet for kvar enkelt.

Etter Datatilsynets oppfatning vil elektronisk registrering og/eller kontroll av alle bilar på alle innfartsvegar til byområde og tettstader openbert vere ei krenking av tungtvegande personverninteresser. Dette særleg dersom kvart enkelt individ ikkje sjølv kan velje om det skal registrerast kvar vedkommande var, og til kva tidspunkt han var der.

NAV – ny arbeids- og velferdsforvaltning

Datatilsynet kritiserte forslaget til ny lov om arbeids- og velferdsforvaltninga for å ha store manglar på personvernområdet. I tillegg påpeikte både Datatilsynet og Helsetilsynet at teiepliktsføresegnene var utflytande og uoversiktlege.

Den nye arbeids- og velferdsetaten vil få svært mange tilsette. Etaten kjem til å yte omlag 16 000 årsverk. Datatilsynet ser ein fare for at arbeids- og velferdsforvaltninga no blir planlagd slik at alle saksbehandlarar skal dele opplysningar om oss alle, utan at det blir mogleg for kvar enkelt av oss å få vite kvar opplysningane tek vegen.

Datatilsynet reagerte også i si høyringsfråsegn på at personvernproblemstillingane berre er omtalte i generelle vendingar i lovforslaget. Personvernet var etter Datatilsynets meining fråverande i dei konkrete føresegnene, og rekkevidda av teieplikta er omtalt utflytande og uoversiktleg.

For å lage ei akseptabel løysing må ei rekkje prinsipp leggjast til grunn, blant anna desse: Ingen må få tilgang til fleire personopplysningar enn dei som dei treng for å løyse arbeidsoppgåvene forsvarleg. Kvart oppslag dei tilsette gjer må loggast, og loggane må kontrollerast.

Datatilsynet har fått inntrykk av at ein ikkje har planlagt å avgrense kva for opplysningar kvar enkelt saksbehandlar skal ha tilgang til i datasystema. Kvar enkelt saksbehandlars teieplikt og integritet vil då i realiteten vere einaste personverngaranti, mens system- og etatsnivået vil kunne avskrive dei fleste feiloppslag som «menneskeleg svikt».

Personvern og teieplikt – skal løysast gjennom lokale avtalar?

Deling av informasjon mellom kommunal og statleg sektor skal gjerast mogleg gjennom lokale samarbeidsavtaler i kvar enkelt kommune. Dette inneber ei enorm mengd avtalar, noko som igjen gjer det heile svært uoversiktleg og byråkratisk. Forslaget vil kunne medføre store kommunale skilnader når det gjeld personvernnivå og teieplikt.

Problemstillingane rundt personvern og teieplikt blir òg trekte fram i Statens helsetilsyns høyringsfråsegn. Helsetilsynet skriv at lovutkastet opnar for ei formidling av sensitiv informasjon internt i etaten som ikkje kan avgrensast av tenestemottakaren, og som det i tillegg i praksis vil vere umogleg for tenestemottakaren å spore. 

Datatilsynet meiner forslaget får eit gammaldags preg ved at ein ikkje har valt å sjå på kva som er mogleg i nyare it-system. Tilsynet føreset at ein i den vidare planlegginga avgrensar kven som skal ha tilgang til kva for opplysningar.

Personvern i interkommunalt samarbeid

Kommunal- og regionaldepartementet har foreslått å betre rammevilkåra for interkommunalt samarbeid. Målet er å etablere samarbeidsmodellar som i større grad enn i dag legg til rette for at kommunane kan leggje kjerneoppgåver og myndigheitsutøving til andre kommunar og interkommunale einingar. Departementet legg til grunn at samarbeid på områda pedagogisk- psykologisk teneste (PPT), kommunehelse og grunnskoleopplæring, vil vere spesielt aktuelt.

Departementet legg opp til at slikt samarbeid mellom kommunane kan oppnåast gjennom to ulike modellar: Vertskommunemodellen og Samkommunemodellen. Den førstnemnde inneber at kommunen overlet bestemte oppgåver og avgjerdsrett til ein annan kommune (vertskommunen). Samarbeidet skal vere avtalebasert, og medfører ikkje skiping av ein ny juridisk person. Den sistnemnde modellen inneber derimot at det blir oppretta ein ny juridisk person som får overført avgjerdsrett på området.

Datatilsynet vil også i 2006 følgje utviklinga på området nøye.

Internasjonalt – personvern i politi- og justisfeltet

Bekymringsfull utviding av Schengen informasjonssystem

2005 har vore prega av dei kommande utvidingane av Schengen informasjonssystem (SIS II). Tre rådgivande personverninstansar i EU åtvarar mot forslaget, som dei meiner vil medføre eit lite oversiktleg regelverk på området. Åtvaringa kjem både frå det europeiske tilsynsorganet for Schengen informasjonssystem (JSA), den europeiske dataombods­mannen (EDPS), og den rådgivande personverngruppa i EU (artikkel 29-gruppa).

Forslaget legg opp til at fleire rettsakter skal regulere behandlinga av personopplysningane i SIS. Det er også uklårt om medlemslanda kan fråvike vilkåra i dei ulike rettsaktene, eventuelt i kor stor grad. Av omsyn både til medlemslanda og ikkje minst til enkeltindividet, er det påkravd med klare reglar og lik praksis når det gjeld behandlinga av den enorme mengda personopplysningar SIS inneheld.

Etableringa av SIS II inneber både organisatoriske og funksjonelle endringar. Frå å vere ein sentral database med kopidatabasar i dei respektive medlemslanda, skal SIS II etablerast som ein stor felles database med direkte tilgang frå dei ulike myndigheiter i medlemslanda. Kommisjonen skal ha behandlingsansvaret sentralt, men det er uklårt kor langt Kommisjonen sitt ansvar rekk og kva ansvar medlemslanda sjølve har. Det felles tilsynsorganet JSA, som består av representantar frå datatilsyna i medlemslanda, vil opphøyre, og EDPS vil overta tilsynsfunksjonen.

Ein gigantisk etterforskingsdatabase?

Eit anna kritisk punkt er kva formål SIS II skal ha. Med utvidingar både i forhold til opplysningskategoriar (bl.a. biometriske data og fingeravtrykk) og i forhold til talet på styresmakter som skal ha tilgang til SIS, har fleire uttrykt bekymring for at SIS II vil utvikle seg til å bli ein gigantisk etterforskingsdatabase, noko som langt frå var det opphavlege formålet med systemet.

SIS-evaluering av Noreg

I september 2005 blei personvernet i Noregs nasjonale del av Schengen informasjonssystem evaluert. Ei ekspertgruppe leidd av ein representant for det britiske datatilsynet stod for evalueringa av Noreg og Island. Evalueringa resulterte i visse tilrådingar, spesielt i forhold til logging av oppslag i systemet, og ei klargjering av SIS-loven når det gjeld funksjonen Datatilsynet har i spørsmål om innsyn, retting og sletting. Ekspertgruppa kom også med ei oppfordring til å finne ei løysing på kva svar personar som ikkje er registrerte i SIS bør få på sine innsynskrav.

Tilsyn i Schengenlanda avdekte ulik praksis

Det felles tilsynsorganet JSA tok i 2004 initiativ til at Schengen-landa skulle gjennomføre tilsyn i sine respektive land i forhold til registrering av personar etter artikkel 96 i Schengen-konvensjonen. Artikkel 96 er registrering av utlendingar som er uønskte i Schengen-området, anten fordi dei er utviste frå eit medlemsland, eller fordi vedkommande utlending representerer ein fare for den offentlege orden eller tryggleik.

Det er Utlendingsdirektoratet (UDI) som i Noreg har ansvaret for innmelding i SIS etter artikkel 96. Datatilsynet gjennomførte tilsyn ved UDI i februar 2005 og fokuserte under tilsynet på autorisasjonsrutinar, grunnlag for registrering av opplysningar, innsyn og sletting av opplysningar. Tilsynsrapporten var ein del av ein felles rapport som JSA utarbeidde. Dei ulike medlemslanda har høgst ulik praksis for kva personar dei registrerer etter artikkel 96. Italia og Tyskland registrerer alle som har fått avslag på asylsøknaden sin, noko som i praksis medfører at desse personane blir nekta innreise i heile Schengen-området, utan at dei har gjort noko ulovleg. Dette er svært urovekkjande, og er eit eksempel på at klåre reglar er helt nødvendige når det gjeld behandling av personopplysningar i SIS.

Fingeravtrykk - Eurodac

Hausten 2005 inviterte Personvernombodsmannen for EU (EDPS) til eit samarbeidsmøte om Eurodac, eit sentralt informasjonssystem for samanlikning av fingeravtrykk av asylsøkjarar og illegale immigrantar.

Informasjonssystemet blir drifta av Kommisjonen, og EDPS har tilsynsansvar for den sentrale delen av informasjonssystemet. Nasjonale datatilsynsmyndigheiter har tilsynsansvaret for registrering og bruk av systemet nasjonalt. EDPS har gjennomført eitt tilsyn ved det sentrale Eurodac, og foreslo i møtet at dei nasjonale datatilsynsmyndigheitene skal gjennomføre tilsvarande tilsyn i sine eigne land.

Formålet med ein slik framstøyt er både å undersøkje eventuelle personvernproblem i samband med behandlinga av opplysningane i systemet, og eventuelt å utarbeide felles løysingar på problema. Datatilsynet er svært positivt innstilt til initiativet, og meiner eit slikt samarbeid er ein nødvendig føresetnad for å oppretthalde eit høgt felles personvernnivå i forhold til store, sentraliserte informasjonssystem.

Datalagringsdirektivet

EU har foreslått eit regelverk som pålegg tilbydarar av offentlege kommunikasjonstenester å lagre opplysningar om all telefon- og internettbruk kundane har gjort. Regelverket blir grunngitt med kamp mot terror og organisert kriminalitet.

EUs forslag legg opp til at det skal lagrast såkalla trafikkdata om all telefon- og internettbruk, for eksempel opplysningar om tid og stad for kommunikasjonen, kven som føretok kommunikasjonen, og kva for telefonnummer eller IP-adresser som er nytta. Sjølve innhaldet i kommunikasjonen skal derimot ikkje lagrast. Trafikkdata blir automatisk genererte ved bruk av elektroniske kommunikasjonsnettverk, og omfattar informasjon som skal sikre at kommunikasjonen teknisk sett kan gjennomførast og fakturerast.

Bakgrunnen for forslaget er at eksisterande reglar om lagring varierer frå land til land. EU ser det derfor som nødvendig å harmonisere regelverket i den indre marknaden. I Noreg kan teleoperatørane lagre opplysningane i opp til fem månader, av omsyn til teknisk gjennomføring og fakturering. Men om forslaget blir vedteke, må alle tilbydarane lagre ei utvida mengd data i lengre tid enn det som er tillate i dag, og til andre formål (tiltak mot kriminalitet). EUs forslag legg opp til at trafikkdata genererte ved bruk av fasttelefon og mobiltelefon skal lagrast i minimum eitt år, mens data knytte til bruk av Internett skal lagrast i minimum seks månader.

Forslaget om å påleggje lagringsplikt for trafikkdata har skapt debatt i medlemslanda i EU. Ei sentral innvending mot forslaget har vore dei tvilsame sidene ved lagringa når det gjeld personvern. Denne innvendinga har vore framført av blant anna Artikkel 29-gruppa, som er eit rådgivande organ i personvernsaker i EU. Gruppa består av representantar frå dei europeiske datatilsyna.

Artikkel 29-gruppa uttaler at terrorisme openbert gir samfunnet ei stor og presserande utfordring, men rår styresmaktene til å svare på utfordringa utan å underminere grunnleggjande menneskerettar. Gruppa legg vidare til grunn at styresmaktene må leggje opp til ei minst mogleg inngripande form for lagring og bruk, og stiller spørsmål ved om denne lagringa står i forhold til problemet ein ønskjer å løyse. Gruppa peiker på at lagringa vil kunne utgjere eit brot på den fundamentale retten til fortruleg kommunikasjon, og at denne retten ikkje bør avgrensast utan at det ligg føre eit presserande behov samtidig som ein tek vare på grunnleggjande rettstryggleiksgarantiar. Gruppa meiner vidare at ein må presisere klårare kva former for kriminalitet som skal kunne gi tilgang til dataa, og kva instansar som skal ha tilgang. Det blir og rådd til at verknaden av regelverket i praksis blir kontrollert og gjennomgått regelmessig dersom det skulle bli vedteke.

Det er i skrivande stund ikkje endeleg avklart om forslaget kjem til å bli vedteke, og om det blir bindande for Noreg. Dersom forslaget ikkje blir direkte bindande gjennom EØS-avtalen, må det likevel ventast eit politisk press for å implementere tilsvarande reglar i Noreg.

Noreg – personvern i politi-, justis- og utlendingsfeltet

Misbruk og kvalitetssikring

To viktige konkrete enkeltsaker som rører ved grunnleggjande personvernproblemstillingar har kalla på Datatilsynets merksemd i meldingsåret. Den eine blei behandla i tilsynet og dreidde seg om ein polititenestemann som i privat ærend (utleige av feriebustad) gjorde oppslag i politiets register. Potensielle leigetakarar av tenestemannens private utleigeobjekt blei sjekka før avtale skulle gjerast. Saka blei meld til Spesialeininga for politisaker av den fornærma, men Datatilsynet tok også opp saka med Politidirektoratet med spørsmål om politiets rutinar for oppslag, irekna logging, og bruk av politiregister. Det kan synast som om rutinane her er mangelfulle, noko som kan få alvorlege konsekvensar for dei registrerte.

I den andre saka blei Datatilsynet orientert om at ein person feilaktig var blitt registrert i politiets registrer. Vedkommande fekk kunnskap om registreringa då han etter lang tid fekk brev frå politiet om å stille i retten som tiltalt for 15 ulike kriminelle forhold. I tillegg til dei påkjenningane ein slik tiltale medfører, kunne følgjene blitt alvorlege for vedkommande - han arbeidde i eit omsorgsyrke der han kunne fått krav om politiattest. Det tok uforholdsmessig lang tid å få sletta opplysningane. Denne saka viser kor viktig det er at opplysningane i politiets register er godt kvalitetssikra.

Indicia – politiets planlagde etterretningssystem

Eit nytt etterretningssystem for politiet er under etablering. Systemet, med namnet Indicia, skal etablerast som ein søkjefunksjon som hentar opplysningar frå ulike register. Det skal også ha funksjon som eit eige etterretningsregister som skal erstatte registra Krimsys og lokale etterretningsregister. Datatilsynet har peikt på fleire grunnleggjande personvernproblemstillingar i samband med utviklinga av systemet. Det er eit overordna problem at politiets register ikkje har ei god nok forankring i lov. At omfattande endringar skjer utan at heimelsgrunnlaget er på plass, er etter Datatilsynets oppfatning svært urovekkjande.

Indicia skal hente informasjon om enkeltpersonar frå andre register. Dette er problematisk i forhold til kva formål kjelderegistra er oppretta for. Eit søkjeverktøy som skal kunne søkje i register vil fort komme i konflikt med det enkelte kjelderegistret, og vil dermed kunne medføre at innsamla opplysningar blir brukte i strid med formålet dei opphavleg blei innsamla for. Spesielt kritisk er Datatilsynet til at også politiets forvaltningsregister, for eksempel passregisteret, våpenregisteret og delar av utlendingsforvaltningas register – DUF, er tenkt teke i bruk som kjelderegister for Indicia. Her vil problematikken om bruk i strid med formålet med opplysningane vere svært aktuell.

Kvalitetssikring av opplysningane i Indicia inneber også store og viktige problemstillingar. Grunntanken med Indicia er at personopplysningar politiet har til rådvelde skal kunne brukast om att til ulike formål. Det er avgjerande at det er einsarta reglar for kvalitetssikring av opplysningar, slik at opplysningar blant anna blir sletta straks dei er av ringare kvalitet, er dementerte eller liknande. Tilgangsstyring til opplysningane og ansvarsplassering er også grunnleggjande problemstillingar som må bli avklarte. Datatilsynet vil følgje prosessen med etableringa av systemet vidare i 2006.

Biometriske pass

3. oktober 2005 starta ein produksjonen av biometriske pass i Noreg. Datatilsynet har i store delar av 2005 brukt ressursar på denne saka. Bakgrunnen er at mykje er uklårt når det gjeld tryggleiken ved dette passet, spesielt med tanke på lagring og avlesing. Justisdepartementet har gjennomgåande vist til at internasjonale standardar er malen for tryggleiksnivået i desse passa. Det finst per i dag ingen slike standardar som det er internasjonal semje om. Tilsynet har derfor påpeikt at det er høgst kritikkverdig at passa blir tekne i bruk før alle tryggleiksforhold er klarlagde. Til samanlikning har både USA og Storbritannia utsett innføringa.

Politiattestar

Datatilsynet har gitt ei rekke høyringsfråsegner der temaet har vore krav om framlegging av politiattest. Dette har vore eit tema både for ulike yrkesgrupper og også innan frivillig sektor.

Datatilsynet meiner det er grunn til å spørje om ein har sikra seg når ein har innhenta politiattest, eller om tiltaket like gjerne kan resultere i falsk tryggleik. Er politiattestar alltid eit eigna middel til å nå målet? Temaet er ømtoleg og Datatilsynet har i desse sakene understreka kor viktig det er at ein ikkje innfører inngripande tiltak som medverkar til falsk tryggleik. I dei fleste høyringsbreva har omtalen av problemet ein ønskjer å løyse vore svært mangelfull.

Datatilsynet observerer at ein i stadig fleire yrke må leggje fram politiattest for å kunne få innpass, og er ikkje overraska over at denne tendensen også spreier seg inn i frivillig sektor. Tendensen blir lett sjølvforsterkande, og er no kanskje blitt umogleg å snu. Hovudgrunngivinga for å innføre krav om politiattest i ulike sektorar og for ulike yrkesgrupper er nettopp at ein krev politiattest også på andre område, og at ein sektor der det ikkje er krav om politiattest dermed kan komme til å tiltrekkje seg ueigna personar som ikkje får innpass andre stader. Datatilsynet åtvarar mot ei utvikling der deltaking på dei fleste samfunnsarenaer krev at ein først må klarerast av politiet.

Politiets telefonavlytting

Datatilsynet har ved fleire høve fått spørsmål om kva haldning det har til at forsvararar i straffesaker skal få utlevert opptak av telefonsamtalar som ikkje har relevans for straffesaka. Tilsynet ser at kryssende omsyn gjer seg gjeldande. På den eine sida er det problematisk at påtalemakta skal kunne sile kva som er relevante samtalar i ei straffesak før materialet blir overlate til forsvararen. På den andre sida vil ei utlevering av alle opptak klårt innebere at forsvararen får utlevert ei mengd overskotsinformasjon, altså samtalar som ikkje har noko med straffesaka å gjere og som inneber at uskyldige tredjepersonar blir eksponerte.

Datatilsynet meiner denne problematikken bør greiast ut, og stiller spørsmål om det bør etablerast ein «tiltrudd tredjepart» som kan gjere ein nødvendig gjennomgang av samtalar før ei utlevering. Ei vurdering av dette spørsmålet kan med fordel gjerast i samband med den planlagde evalueringa av politimetodane som blei innførte ved lovendringane i år 2000.

Forslag til ny utlendingslov

Forslaget til ny utlendingslov reiser mange problemstillingar som rører ved personvernet. Eitt av hovudspørsmåla er kva for opplysningar som skal vere tilgjengelege for utlendingsmyndigheita i vurderinga av om ein person skal få godkjend ulike opphaldsformer. Sentralt er også kva for opplysningar ein skal kunne hente inn om ein person busett i Noreg, ein såkalla «referanseperson», som ønskjer å få godkjend besøksvisum for ein utlending. Etter Datatilsynets meining har utlendingslovutvalet gått altfor langt i å foreslå nærgåande undersøkingar av referansepersonane. Datatilsynet meiner at ein må gå ut frå at ein referanseperson som ønskjer at vennen/venninna skal få visum har ærlege intensjonar, og at ein ikkje gjer nærgåande undersøkingar med mindre det ligg føre ein klar mistanke om det motsette. Lovforslaget gir etter Datatilsynets meining for vide høve til å samle opplysningar, både vandelsopplysningar og ikkje stadfesta opplysningar. Opplysningar som ikkje er stadfesta, for eksempel opplysningar gitt i trumål til eit krisesenter, vil vanskeleg kunne leggjast fram for referansepersonen, og dermed vere umoglege å imøtegå.

Utvalet har gitt ei svært vag framstilling av kva slags vandelsopplysningar som skal kunne vere med i vurderinga. Datatilsynet meiner det må vere eit lovfesta minstekrav om at opplysningane knyter seg til forhold som let seg objektivt konstatere, og som har innverknad på den framtidige tryggleiken for kjærasten. Eit eksempel på eit slikt forhold kan vere at mannen eller kvinna er dømd for ei eller anna form for brutalitet.

Datatilsynet peikte i høyringsfråsegna på fleire punkt med store personvernkonsekvensar. Forslaget legg blant anna opp til at forvaltninga skal kunne nekte folk opphald dersom ein har «grunn til å anta» at eit ekteskap er inngått mot viljen til ein av partane. Når eit administrativt vedtak kan få store følgjer, er det spesielt viktig med klare og objektive kriterium som grunnlag for vedtaket.

Film- og lydopptak i rettsalen

Datatilsynet gav i 2005 ei høyringsfråsegn til ei utgreiing om større høve til film- og lydopptak av rettsforhandlingar. Ei eventuell publisering av slike opptak reiser nye problemstillingar. Stadig fleire medium publiserer materialet sitt på Internett. Materialet blir dermed tilgjengeleg og mogleg å søkje på i uoverskodeleg framtid. Datatilsynet meiner dette reiser viktige spørsmål om enkeltmenneskes reelle sjanse til sosial rehabilitering, og utsiktene til integrering i samfunnet etter at soninga er over. Potensielle arbeidsgivarar søkjer ofte på nettet etter opplysningar om jobbkandidatar. Treff på ein søkjer med filmopptak frå straffesaka til vedkommande, vil høgst sannsynleg svekkje utsiktene til å få arbeid.

Det same omsynet har Datatilsynet lagt vekt på i ei fråsegn til Domstoladministrasjonen når det gjeld publisering av ikkje-anonymiserte dommar. Datatilsynet viser til at ein dom røper ein historisk konflikt, og ofte vil bli sett på som sensitiv av partane i saka i tillegg til at skadepotensialet ved elektronisk publisering er langt større enn ved alminneleg papirbasert publisering.

Publisering av sportsprestasjonar og terningkast for utleigarar

Ein karateklubb publiserte ei liste over klubbens meritterte utøvarar. Ein av utøvarane melde seg ut av klubben og bad om å bli sletta frå lista. Leiaren av karateklubben avviste kravet og viste til at ytringsfridomen gav han ein rett til å publisere lista. Ei anna sak gjaldt ei leigebuarforeining som opna for at leigetakarar kunne gi terningkast over utleigeobjekt på foreiningas heimeside. Opplysningane skulle fungere som ein rettleier for leigetakarane, og igjen blei ytringsfridomen oppgitt som grunnlag for publiseringa.

Personopplysningsloven har ei eiga føresegn som opnar for at personvernomsyna i visse tilfelle må vike for ytringsfridomen. Datatilsynet kom likevel til at ytringsfridomen i desse tilfella ikkje gjekk framfor personvernomsyna. Tilsynet viste til at det berre kan gjerast unntak frå føresegnene i personopplysningsloven når personvernet kan truge ytringsfridomen, og berre så langt det er nødvendig for å oppnå ein tilfredsstillande balanse mellom omsynet til personvern og ytringsfridom. Etter tilsynets oppfatning var ikkje dette tilfellet i desse to sakene.

Karateklubben har klaga Datatilsynets avgjerd inn for Personvernnemnda, som då årsmeldinga blei skriven ikkje hadde behandla saka.

Min side

Statens etablering av nettstaden «Mi(n) side» med bruk av tryggleiksportal, elektroniske IDar og signaturar er ei kritisk utfordring for informasjonstryggleiken. Ei sentralisert tilgjengeleggjering av det offentlege styresmakter veit om befolkninga i Noreg krev gode risikovurderingar og god kontroll i alle ledd.

Statens sjølvpålagde tidsfristar for utvikling av «Mi(n) side», tryggleiksportalen og PKI-løysingar har vore såpass korte at staten ikkje har kunna gjennomføre det ordinære løpet med høyringar og innhentingar av oppfatningane til dei det gjeld. Arbeidet har allereie blitt utsett fleire gonger. Datatilsynet er på ingen måte komfortabel når det gjeld personvernnivået på arbeidet til no, noko som òg er kommunisert til dei involverte myndigheitene. Datatilsynet har hatt lite høve til å vere proaktiv, men har måtta ta stilling til dei ulike kravspesifikasjonane i etterkant, etter kvart som dei er ferdigstilte. Tilsynet er glad for at Fornyingsdepartementet på slutten av meldingsåret utsette lanseringa av «Mi(n) side» noko, for å kunne ha betre tid.

Datatilsynets bekymring er knytt til tryggleiken innan desse områda:

Éin sentral lagringsstad: Det er tenkt oppretta ein sentral lagringsstad for kommunikasjon mellom det offentlege og befolkninga. Dette kan både dreie seg om e-post og eit såkalla tiltrudd digitalt arkiv. Datatilsynet meiner at ein slik sentral lagringsstad for befolkningas kommunikasjon med det offentlege vil vere tryggleiksmessig uskikka og vil skape langt fleire ulemper enn fordelar for befolkninga.

Innsyn for uvedkommande: Eit prinsipp innan personvern er å sikre at ikkje uvedkommande får tilgang til kommunikasjonen av personopplysningar mellom to partar. Ein må, etter Datatilsynets meining, unngå at «Mi(n) side» blir eit senter der dette prinsippet blir brote. Planane for tiltrudd digitalt arkiv vil gå i mot grunnprinsippet om at ikkje uvedkommande skal ha tilgang til personopplysningar. Datatilsynet vil sjå nærmare på planane om å la «Mi(n) side» og tryggleiksportalen handtere ukrypterte personopplysningar på vegen mellom sendar og mottakar.

Ein felles påloggingsmekanisme: For personvernet kan ein sentral påloggingsmekanisme vere ein kritisk faktor. Det kan gi store konsekvensar om ei tilgangsløysing gir tilgang til «alt». Datatilsynet framhevar at ein borgar vil ha mange ulike roller. Det kan vere som tilsett, som politikar, som fotballtrenar, som kasserar i ei foreining og kanskje til og med under pseudonym eller inkognito. Eitt kort, éin ID, og full tilgang til alt, uavhengig av kva rolle ein opptrer i, vil lett kunne medføre rolleblanding.

Når identifisering er unødvendig, skal det sjølvsagt også vere mogleg å vere anonym. Det bør vere mogleg å laste ned informasjon og skjema utan å måtte identifisere seg. At borgarar i framtida vil ha elektroniske IDar, vil også føre til at fleire krev vår elektroniske ID før vi får tilgang på tenester eller informasjon. Datatilsynet trur at når elektroniske IDar blir lettare tilgjengelege, vil folk vil få mindre høve til å opptre anonymt enn før.

Fildeling / Handheving av immaterielle rettar på Internett

Opphavsrettens grunntanke er at opphavsmannen skal kompenserast for kopiering og bruk av materialet vedkommande har skapt. Den raske utbreiinga av Internett stiller dei som har rettar til filmar, musikk og andre åndsverk overfor store utfordringar. Korleis kan bruken av opphavsverna materiale på Internett kontrollerast og avgrensast? Problemstillinga er særleg aktuell i forhold til bruk av fildelingstenester, der brukarane raskt og vederlagsfritt kan utveksle filmar, musikk og anna materiale over Internett, utan samtykke frå eventuelle rettshavarar.

Høvet til å handheve opphavsretten er ikkje uavgrensa. Innsamling og bruk av opplysningar, for eksempel om brukarar av fildelingstenester, vil kunne vere underlagd personopplysningsloven.

Datatilsynet ser at bransjen i auka grad overvaker fildelingstenester for å forfølgje opphavsrettsbrot. Overvakinga skjer utan at brukaren har informasjon om dette. Det er grunn til å gå ut frå at slik overvaking vil auke i kjølvatnet av nye endringar i åndsverkloven. Endringane inneber blant anna at det i praksis er underlagt straffansvar å forsettleg laste ned ulovleg tileigna filer frå Internett.

Datatilsynet har av rettstryggleiksgrunner stilt kritiske spørsmål ved ei utvikling der private aktørar overvaker brukarar av fildelingstenester. Privatpersonar treng ikkje innrette seg etter dei same prosesskrava som politiet er underlagde under etterforsking.

Mange forhold tilseier at ein bør gå varsamt fram med overvaking av fildelingstenester. Opplysningane som blir innhenta kan truleg klassifiserast som sensitive, fordi dei seier noko om potensielt straffbare forhold. Bruk av slike opplysningar er etter loven underlagd særleg strenge krav. Fildelingstenestene kan dessutan også nyttast til fullt lovlege formål. I tillegg er opplysningane som blir henta inn i hovudsak knytte til datamaskinen som blir brukt på nettet, og ikkje nødvendigvis til den enkeltpersonen som får mistanken retta mot seg, for eksempel eigaren eller hovudbrukaren av datamaskinen.

Datatilsynet vil følgje utviklinga på området nøye også i 2006.

Forslag til nye kapitaldekningsreglar

Innan økonomi og forsikring ser ein eit tiltakande ønske om lengre oppbevaringstid og gjenbruk av opplysningar. EU har komme med forslag om nye kapitaldekningsreglar for kredittinstitusjonar og verdipapirføretak. Det er foreslått at direktiva i hovudsak skal gjennomførast innan 1. januar 2007. Datatilsynet er varsla av bransjen om at kapitaldekningsreglane kan ha store personvernkonsekvensar. Finansinstitusjonar kan bli pålagde å lagre personopplysningar lenger og i eit større omfang enn kva blant anna bankkonsesjonen frå Datatilsynet i dag tillet. Datatilsynet vil vere ein viktig høyringsinstans når lovforslaget blir sendt på høyring.

Kartlegging av inkassobransjen

Våren 2005 blei det gjennomført 11 tilsyn i inkassobransjen. Tilsyna avdekte ulik praksis, spesielt når det gjeld sletting av opplysningar, ansvarsplassering og bruk av kredittopplysningar i verksemda. Datatilsynet har i etterkant av tilsynsprosjektet sett i verk eit arbeid med å sjå på dei ulike problemstillingane. Det er samtidig klarlagt at behandlingsansvaret ligg hos inkassobyrået og ikkje hos kreditor som ein tidlegare har gått ut frå.

Datatilsynet vil i 2006 jobbe med å klårleggje når inkassobyråa faktisk har sakleg behov for kredittopplysningar. Somme selskap bruker kredittvurderingar rutinemessig i oppstartsfasen for å kartleggje kredittsituasjonen til skyldnaren. Andre selskap nyttar berre kredittopplysningar når det skal avgjerast om det skal takast rettslege skritt i saka. Bruken blir grunngitt med «god inkasso­skikk». Når ein følgjer god inkassoskikk skal ein ikkje påføre kunden eller skyldnaren unødige kostnader, for eksempel ved å drive inn krav der det er lite eller ingenting å hente.

Personopplysningar skal slettast straks dei ikkje lenger er nødvendige for å oppnå formålet dei blei innsamla for. Dette prinsippet gir lite konkret rettleiing. Bransjen sjølv ønskjer standardiserte retningslinjer for når personopplysningar relaterte til ulike typar krav skal slettast. Norske inkassobyråers forening begynte i 2005, i samarbeid med Datatilsynet, å utarbeide ei bransjenorm som skal fastsetje klårgjerande reglar på området, slik at kvart enkelt byrå veit kva det har å halde seg til.

Sakleg grunn for å nekte forsikring

Datatilsynet støtta i ei høyringsfråsegn Justisdepartementets lovforslag om at forsikringsselskap ikkje skal kunne nekte å gi forsikring utan sakleg grunn. Datatilsynet hadde tidlegare stilt spørsmål ved kvifor eit stort tal personar blei nekta bilforsikring fordi dei hadde ein betalingsmerknad. Tilsynet mente at dette ikkje kunne utgjere eit sakleg grunnlag for avslag. Forsikring blir ofte sett som vilkår for å kunne ta del i andre gode, og personopplysningar om den enkelte blir brukte for å avgjere om ein skal få forsikring eller ikkje. Avslag på forsikringar med bakgrunn i mindre relevante opplysningar kan få store konsekvensar for enkeltpersonar.

Ei stadig meir nærgåande og fininndelt risikovurdering kan medverke til å uthole den solidariske grunntanken i forsikringsordningane, samtidig som personvern for kvar enkelt blir truga.

Kreditt-skåring

I tillegg til opplysningar om betalingsmerknader, likningstal og annan informasjon som seier noko om den økonomiske situasjon til eit føretak eller ein person, baserer no fleire kredittytarar og kredittopplysningsbyrå seg på ei databasert evaluering av kundane etter fastsette kriterium.

Skåringa inneber ein statistisk analyse for å føreseie framtidig betalingsåtferd. Ein slik analyse kan til dømes byggje på samanhengen mellom pårekna betalingsevne/-vilje og faktorar som alder, bustad med meir. Det er berre tillate å bruke tilgjengeleg informasjon frå kredittopplysningsregisteret.

Skåring blir nytta av mange kredittytarar til å avgjere om ein enkeltkunde skal få kreditt. Det betyr at ein kunde for eksempel kan få avslag på ein søknad om å teikne eit mobilabonnement basert på at ho bur i eit belasta område, eller tilhøyrer grupper som kredittytaren ikkje ønskjer i sin kundekrins. Ho kan bli nekta abonnementet trass i at ho ikkje har negative betalingsmerknader registrert på seg.

Det er spesielt to føresegner i personopplysningsloven som varetek personvernet ved bruk av kredittskåring. Føresegna om informasjonsplikt ved bruk av personprofilar pålegg den behandlingsansvarlege å informere den registrerte om kva for opplysningstypar som er nytta i kredittskåren (personopplysningsloven § 21). Ytterlegare gir personopplysningsloven § 22 ein rett til informasjon om regelsettet som ligg til grunn for avgjerda som blir teken.

Norsk pasientregister

Norsk pasientregister er planlagt oppretta, ikkje berre personeintydig, men som eit direkte personidentifiserbart register. Datatilsynet er av den oppfatning at ein kan oppnå dei omtalte formåla også ved bruk av ei pseudonym registerform. Registeret er tenkt å følgje pasienten frå fødsel til død, i all kontakt med helsevesenet.

Det blir stadig lettare å samanstille personopplysningar. Heilskapen blir etter Datatilsynets meining personvernkritisk når ein ser eit personeintydig Norsk pasientregister saman med alle dei andre avidentifiserte registra på helseområdet. Den endringa av NPR som er foreslått, endrar risikobiletet også for alle andre helseregister i Noreg, fordi det vil bli mykje enklare å identifisere enkeltmenneske også i desse registra.

Helse- og omsorgsdepartementet seier sjølv at ei pseudonym registerform er veleigna til å vareta det primære formålet for registeret, nemleg administrasjon, styring og finansiering av helsesektoren. Det gir likevel uttrykk for at ei pseudonym registerform er mindre eigna til å ivareta forsking og kvalitetssikring, enn kva eit personidentifiserbart register er. Datatilsynet nektar ikkje for at det vil vere enklare for enkelte typar forsking med eit direkte personidentifiserbart register. Likevel meiner Datatilsynet at forsking er fullt mogleg, sjølv om ein gir ein betre garanti for personvernet til kvar enkelt. Eit personidentifiserande register er meir inngripande enn eit pseudonymt, og spørsmålet som bør stillast er om personvernet skal vike.

Ulempene ved ei inngripande registerform kan ikkje kompenserast ved bruk av kraftige informasjonstryggingstiltak. Frå eit register som er lagt til rette for at det skal vere enkel tilgang til opplysningar, vil det også vere enklare å hente ut opplysningar til illegitime formål. Sjansen for misbruk er mindre i eit register som er konstruert for å hindre enkel tilgang til identiteten til enkeltpersonar.

Det er ikkje tvil om at personopplysningar kan misbrukast og at feil kan skje. Det er snarare eit spørsmål om tidspunktet for når det skjer. Jo fleire opplysningar og større samlingar, jo større vil sjansane for misbruk kunne vere, og jo større kan konsekvensane bli. Personvernomsyn tilseier derfor at det heller bør satsast på fleire sjukdomsspesifikke register, enn store generelle som forslaget til eit Norsk pasientregister med fødselsnummer legg opp til.

IPLOS – individbasert pleie og omsorg

Per i dag finst det fleire kommunale IPLOS-register (individbasert pleie og omsorg). Desse registra har konsesjon frå Datatilsynet, og registrering er basert på samtykke frå den registrerte. Forslaget til IPLOS-forskrift viser derimot at det er planar om pliktig registrering. Forskrifta har vore på høyring, men er førebels ikkje vedteken. Registeret skal vareta både helse- og sosialfaglege formål, og helseregisterloven vart endra for at det sentrale IPLOS-registeret kunne opprettast.

Reseptregisteret

Reseptregisteret inneheld opplysningar om alle reseptar og rekvisisjonar som er ekspederte ved norske apotek. Registeret har blant anna som formål å følgje forbruket av legemiddel hos dyr og menneske i Noreg og vise endringar over tid. Det skal også kunne brukast til forsking på positive og negative effektar av legemiddelbruk. Registeret er individbasert og pseudonymt, og registrering der er lovpålagd. Den enkelte kan altså ikkje velje om opplysningar om eigen legemiddelbruk skal inn i dette registeret. Av informasjonen som blei gitt til befolkninga då reseptregisteret blei starta, går det fram at metoden som er brukt gjer at det ikkje er mogleg å finne tilbake til kvar enkelt legemiddelbrukar. Dette er ikkje i samsvar med Helse- og omsorgsdepartementets rundskriv av 1/8-2005. Også pseudonyme register skal kunne nyttast for å gå tilbake til enkeltpersonar dersom dette er nødvendig. Desse prinsippa gjeld ikkje for Reseptregisteret, og det fører derfor til avgrensa bruk av dette registeret.

Misbruk av helseopplysningar ved Helgelandssykehuset HF

Datatilsynet blei hausten 2004 kontakta i samband med at ein avdelingsleiar hadde gått inn i journalen til fleire av sine tilsette over ein lengre periode. Etter å ha greidd ut saka vurderte tilsynet informasjonstryggleiken som så mangelfull at tilsynet sende saka over til politiet. Politiet la bort saka, utan nærmare grunngiving. På bakgrunn av sakas alvorlege karakter godtok ikkje tilsynet dette vedtaket. Datatilsynet klaga, og Statsadvokaten i Nordland oppheva bortlegginga i byrjinga av 2006.

Forslag til ny forskingslov frå Nylennautvalet

Datatilsynet fryktar at forslaget til ny lov om medisinsk og helsefagleg forsking kan medføre meir byråkrati, ikkje mindre, som er den opphavlege intensjonen bak opprettinga av Nylennautvalet. Regelverket for å utøve forsking er i dag omfattande og komplisert. Det er mange involverte offentlege etatar og til dels unødvendig byråkratisk prosedyre. Datatilsynet er einig i at noko må gjerast, men kan likevel ikkje støtte utvalets lovforslag utan atterhald. Datatilsynet meiner forslaget ikkje er eigna til å forenkle regelverket for forskinga. Det framlagte lovforslaget vil, med unntak av prinsippet om «ein postkasse», kunne gjere det vanskelegare å gjennomføre mange forskingsprosjekt som i dag kan gjennomførast med heimel i helseregisterloven og personopplysningsloven.

Datatilsynet spør om ein ikkje heller bør gjere mindre endringar i, og harmonisering av, dei eksisterande lovane framfor å innføre nok ein lov. Ein ny lov vil kunne skape nye tolkings- og gråsoneproblem. Etter 1999 er det vedteke eit helt sett nye helselovar, blant anna personopplysningsloven, helseregisterloven og biobankloven. Talet på lovar, og uklåre føresegner i desse, har i seg sjølv skapt problem.

Med Nylennaforslaget vil det blant anna bli komplisert å avgjere kva lovverk som skal gjelde for prosjekt som grensar mot kvalitetssikring og helseadministrasjon, og for forsking som inneheld samfunnsfaglege element. Helseregisterloven og personopplysningsloven blir ikkje oppheva, og vil dermed framleis omfatte bruk av helse- og personopplysningar som ikkje fell innanfor det saklege verkeområdet for dette lovforslaget. Det blir også vanskeleg å avgjere kva for instans som skal ha tilsyn med kva.

Tilsyn innan helsesektoren

Tilsyn med helseverksemder

Våren 2005 gjennomførte Datatilsynet 10 tilsyn med høvesvis fem klinikkar som dreiv med alternativ behandling i form av akupunktur, og fem tannlegekontor.

I forhold til organisering møtte tilsynet kjende problemstillingar frå allmennlegesektoren. Praksisane var etablerte i kontorfellesskap der ansvaret for etterleving av regelverket var fragmentert. Det blei igjen slått fast at organiseringa av primærhelsetenesta ikkje passar til regelverkets verksemdsorientering med omsyn til ansvar. For begge grupper var kjennskapen til regelverket liten, og ein hadde komme kort med internkontroll. Erfaringane frå tilsyna blir nytta til å stimulere bransjeorganisasjonane til å opplyse og rettleie sine medlemmer.

Dei minste akupunktørklinikkane fører i hovudsak papirjournal. Fleire akupunktørar har ikkje autorisasjon som helsepersonell, noko som medfører at journalen dei fører baserer seg på samtykke frå klienten.

Tannlegane er vesentleg meir teknologiorienterte, og elektronisk pasientjournal er hovudregelen. Men tannlegane som gruppe har komme svært kort i arbeidet med informasjonstryggleik samanlikna med allmennlegane. Datatilsynet besøkte større klinikkar der det ikkje fanst tilgangsstyring til helseopplysningar, og det blei nytta felles brukarar i informasjonssystemet. Dette gjer at det blir umogleg å avdekkje tryggingsbrot. Også i forhold til Internett hadde fleire tannlegekontor valt risikofylte løysingar utan at det var noko medvit rundt dette. Det blei også avdekt at somme hadde felles journalsystem på Internett.

Tilsyn med helseføretak

Hausten 2005 gjennomførte Datatilsynet tilsyn med fire helseføretak, og eit større bedriftshelseføretak. Kontrollen med bedriftshelseføretaket gav i hovudsak eit positivt inntrykk, men det fanst noko forbetringspotensial i forhold til intern tilgangsstyring. Kontrollen med dei offentlege helseføretaka hadde fokus på tilgangsstyring internt, og eventuell tilgang mellom føretaka.

Helseføretaka praktiserer generelt ein vid intern tilgangskontroll. Datatilsynet ser behov for å utgreie dette nærmare saman med helsefaglege styresmakter. Dei ulike helseføretaka har vidt ulike prioriteringar og syn på kva som er riktig tilnærming for å sikre forsvarleg tilgangsstyring, både med tanke på å yte helsehjelp og å avgrense eksponeringa av helseopplysningar.

Tilgang til helseopplysningar på tvers av helseføretaka er svært utfordrande i forhold til regelverket, samtidig som det er den enkle vegen for å samhandle på tvers av føretaksgrensene. Tilsynet opplevde somme føretak som løyste all si samhandling gjennom oppslag i journalsystema til kvarandre. Datatilsynet ser behovet for at somme helseføretak blir instruerte til å følgje regelverket på dette området. Eit samarbeid med helsemyndigheitene er initiert på området.

Tilsyn med helseforsking

Datatilsynet gjennomførte 16 tilsyn mot forskingsprosjekt i 2005. Dette var ei oppfølging av eit hovudprosjekt som blei kjørt våren 2004. Tilsyna stadfesta inntrykket som har danna seg tidlegare: Manglande internkontroll, manglande avklaring av ansvar og kven som sit på behandlingsansvaret, og manglande kjennskap til regelverk og/eller konsesjonsvilkår.

Det er openbert eit stort behov for å halde «trykket oppe» innanfor denne sektoren, både for å medverke til å bevisstgjere forskarane sjølve, og ikkje minst for å auke medvitet ved forskingsinstitusjonane.