Svar på spørsmål nr. 1008 fra stortingsrepresentant Ingrid Heggø

Jeg viser til brev av 18. februar 2019 fra Stortingets president vedlagt følgende spørsmål fra stortingsrepresentant Ingrid Heggø til skriftlig svar:

"Har politisk ledelse i Finansdepartementet kjent til Tolletatens mulige overtredelse av personvernloven i perioden fra Statens Vegvesen meldte avvik i januar 2017 til NRK avslørte det potensielle lovbruddet 17. februar 2019 og hvilke grep tar Finansministeren for å forhindre urettmessig overvåkning av norske borgere?

Begrunnelse:
NRK avslørte søndag 17. februar at Tolletaten har drevet utbredt overvåkning av norske bilister. Til sammen 80 millioner passeringer fordelt på 8 millioner individer har blitt fotografert med skiltgjenkjenningskameraer. Statens Vegvesen rapporterte umiddelbart da de oppdaget feilen som ga tilgang til bildene, mens Tolletaten lot det gå lang tid. Ifølge innslaget på NRK har Tolletaten fremdeles ikke kvittet seg med dataene. Informasjon i proposisjon 1S (2018-2019) under kapittel 1610 Tolletaten gir indikasjoner på at Finansdepartementet har vært klar over utfordringene i etaten uten å foreta seg noe. I proposisjonen står følgende: "Statlege verksemder skal etablere internkontroll, tilpassa risiko og kva som er vesentleg. Tolletaten har identifisert områder kor etaten må forbetre seg innanfor intern styring og kontroll, mellom anna personvernområdet. I tillegg set den nye personvernforordninga(GDPR) nye krav til etaten sin internkontroll, blant anna med innsamling og bruk av personopplysningar. Tida framover vil difor òg verte prega av arbeidet med å utvikle og etablere ein betre intern kontroll."

Svar:
Tolletaten har et viktig samfunnsoppdrag om å sikre etterlevelse av lover og regler for grensekryssende vareførsel. For å løse denne oppgaven har tolloven vide kontrollhjemler. Tolloven § 13-12 gir tollmyndighetene adgang til å innhente og behandle "nødvendige" personopplysninger "ved planlegging, målretting og gjennomføring av kontroller". Tollmyndighetenes adgang til å innhente og behandle personopplysninger må skje innenfor rammene av tolloven og personopplysningsloven, som bestemmer at EUs personvernforordning (GDPR) gjelder som norsk lov. Tollmyndighetene må ved behandling av personopplysninger veie hensynene til effektiv kontroll opp mot personvernhensyn.

NRK har satt søkelyset på Tolletatens adgang til innhenting og behandling av personopplysninger ved bruk av skiltgjenkjennende kameraer. Disse avvikene er lukket.

Tolletaten har selv også avdekket ytterligere vesentlige forbedringspunkter når det gjelder etatens innhenting og behandling av personopplysninger utover etatens bruk av skiltgjenkjennende kameraer. Disse omhandler manglende dokumentasjon og kvalitetssikring av hvilke vurderinger som er gjort mht. hvor langt kontrollhjemlene rekker, og om personvernet er tilstrekkelig ivaretatt. Herunder er det i etatens undersøkelser fremkommet at det er grunn til å stille spørsmål ved hvor langt etatens hjemmelsgrunnlag rekker. Oppfølging av dette arbeidet har vært et viktig tema i styringsdialogen mellom Tolletaten og Finansdepartementet i 2018, og vil fortsatt være det i 2019 og så lenge det er behov. Det er beklagelig at etterlevelsen av personvernreglene har vært mangelfull. Samtidig er jeg glad for at etaten selv har avdekket avvikene, rapportert om dem og nå er i full gang med å utbedre dem.

Finansdepartementet har fulgt saken tett og gitt tydelige tilbakemeldinger om at departementet forventer at avvikene blir lukket. Stortinget har vært orientert i revidert nasjonalbudsjett 2018 og i statsbudsjettet for 2019, og det ble i revidert nasjonalbudsjett for 2018 bevilget 30 mill. kroner til tiltak på personvernområdet i Tolletaten. I tildelingsbrevet for 2019 presiseres også at etaten må prioritere arbeidet med å utvikle og etablere en bedre internkontroll i etaten, og at etaten må prioritere arbeidet med gjennomføring av identifiserte tiltak på områdene personvern og informasjonssikkerhet.

Stortingsrepresentanten viser i sin begrunnelse til at informasjon i Prop. 1 S (2018–2019) under kapittel 1610 Tolletaten gir indikasjoner på at Finansdepartementet har vært klar over utfordringene i etaten uten å foreta seg noe. Dette vil jeg avvise. Etter NRKs oppslag ser jeg behov for å gi en samlet fremstilling av gangen i denne saken:

Tidlig 2017 – avvik i systemet for skiltgjenkjenning meldes til Datatilsynet

Tolldirektoratet informerte Finansdepartementet i februar 2017 om avvik i håndteringen av informasjon fra Tolletatens skiltgjenkjenningsløsning (kameraovervåkning og automatisk skiltgjenkjenning (ANPR)). Bakgrunnen for avviket var at Tolletaten 1. januar 2017 fikk hjemmel til å lagre opplysninger fra løsningen i inntil seks måneder, mot tidligere én time. Den sentrale systemløsningen for skiltgjenkjenningsløsningen driftes i samarbeid med Statens vegvesen, og Tolletaten og Statens vegvesen har hatt tilgang til hverandres skiltgjenkjenningsløsing hvor opplysningene ble lagret i en time. Ved overgang til utvidet lagring oppsto det et avvik ved at Statens vegvesen fikk tilgang til opplysninger fra Tolletatens skiltgjenkjenningsløsning som var lagret mer enn én time, til tross for at Statens vegvesen ikke hadde hjemmel til dette. Statens vegvesen meldte avviket til Datatilsynet 15. februar 2017. Løsningen for lagring i seks måneder ble stengt inntil løsning for differensiert tilgang til de lagrede dataene mellom Tolletaten og Statens vegvesen var på plass 22. februar 2017.

Finansdepartementet fulgte opp saken overfor Tolldirektoratet. Departementet satt krav til at etaten innen rimelig tid skulle få på plass en tilfredsstillende løsning som avgrenset Statens vegvesen tilgang til informasjon ut over lagringstid på én time. I svaret fra Tolldirektoratet ble det blant annet uttalt at Tolletaten og Statens vegvesen hadde tilstrekkelige hjemler til utveksling av opplysninger fra de to etatenes ANPR-kamera som er lagret i én time, og at avviket var lukket.

Datatilsynet fattet vedtak om Statens vegvesens avvik i brev til Statens vegvesen av 27. mars 2017. Statens vegvesen videresendte brevet til Tolldirektoratet noen dager senere. I dette brevet varslet Datatilsynet blant annet at "[v]i ønsker å komme tilbake til og få en gjennomgang av omfanget av alle ANPR-kameraene før de settes i drift for Tolletatens formål og tillatelse." Finansdepartementet ble ikke orientert om Datatilsynets vedtak av 27. mars 2017 før juni 2018, i forbindelse med Tolletatens rapportering om ANPR-avvik avdekket i 2018.

Tolldirektoratet fulgte ikke opp Datatilsynets brev til Statens vegvesen godt nok i 2017. Brevet fra Datatilsynet var ikke rettet til Tolldirektoratet, som oppfattet at Datatilsynet ville ta initiativ overfor Tolletaten til en prosess. Direktoratet erkjenner at etaten burde tatt kontakt med Datatilsynet om oppfølging av brevet på et tidligere tidspunkt. Både Tolletaten og jeg mener nå i ettertid at Tolletaten burde ha varslet Finansdepartementet om dette brevet da de ble kjent med det.

Januar 2018 – etaten orienterer om omfattende svikt i håndtering av personopplysninger

I november 2017 opprettet Tolletaten et personvernprosjekt som skulle kartlegge og utrede status i etatens etterlevelse av personopplysningsloven og forberedelse til ny personopplysningslov som skulle tre i kraft i juli 2018. I denne kartleggingen avdekket Tolldirektoratet flere brudd på etatens håndtering av personvernreglene. Direktoratet informerte Finansdepartement og Datatilsynet om dette i hhv. januar og februar 2018. Orienteringene gikk ut på at status på området ikke var god nok, at kartleggingsarbeidet ville fortsette og at det ville bli iverksatt omfattende tiltak. Som følge av manglende dokumentasjon var det på flere områder knyttet usikkerhet til om etatens hjemmelsgrunnlag for behandling av personopplysninger var tilstrekkelig.

Det var avvik på organisasjonsnivå som uklarhet i organisering, roller og ansvar på personvernområdet, manglende kompetanse og kultur for håndtering av personvern og mangler i tekniske løsninger.

Etaten tok situasjonen svært alvorlig og identifiserte raskt en rekke nødvendige tiltak som ble vedtatt iverksatt, herunder videre kartlegging. Finansdepartementet fulgte saken tett i styringsdialogen og ga tydelig beskjed om at departementet forventet at avvikene ble lukket og at vedtatte tiltak ble fulgt opp. I revidert nasjonalbudsjett for 2018 ble Stortinget orientert om avvikene og det bevilget 30 mill. kroner til tiltak på personvernområdet i Tolletaten.

Juni 2018 – håndtering av avvik for skiltgjenkjennende kameraer

På bakgrunn av intern bekymringsmelding og omtale i kartleggingen i personvernprosjektet startet Tolletaten i januar 2018 undersøkelser knyttet til bruk av skiltgjenkjenningsløsningen, herunder om bruken var tilstrekkelig forankret i hjemmelsgrunnlaget og om det forelå brudd på informasjonssikkerhetsreglene. Grundige undersøkelser og videre kartlegging pågikk i Tolletaten gjennom våren. Tolletaten erkjenner at disse utredningene kunne vært gjort raskere. Etter videre kartleggingen ble saken identifisert som et konkret avvik og varslet til Finansdepartementet og Datatilsynet i juni 2018.

Tolletaten lukket flere av avvikene i juni og juli 2018, herunder ble Tolletatens tilgang til Statens vegvesens kameraer avviklet og antall brukertilganger redusert, instruks for bruk av mobile kameraer innskjerpet, nytt teknisk oppsett for separering av data til hhv. Tolletaten og Statens vegvesen etablert og bruk av varslingslister stanset. Etaten har brukt noe mer tid på vurderinger knyttet til oversiktsbilder og såkalte veivalgskameraer, samt å etablere ny databehandleravtale mellom Tolletaten og Statens vegvesen.

 Overordnet om håndteringen

Både Tolletaten og Finansdepartementet har tatt avvikene i Tolletatens håndtering av personopplysninger svært alvorlig. Oppfølgingen av Datatilsynets vedtak i brev 27. mars 2017 til Statens vegvesen var ikke god nok i Tolletaten, og departementet burde vært orientert. Siden høsten 2017 har imidlertid oppfølgingen etter min vurdering vært systematisk og god, selv om etaten erkjenner at utredningene av mangler i etatens bruk av skiltgjenkjenningssystemet kunne vært gjort noe raskere. Etatens håndtering av personopplysninger og avvikene i etatens bruk av skiltgjenkjenningssystemet har blitt fulgt opp i styringsdialogen med Tolletaten gjennom 2018 og vil også være et viktig tema i 2019. Stortinget har vært orientert om utfordringene i Tolletaten og det ble bevilget 30 mill. kroner til gjennomføring av tiltak.

Det er positivt at etaten selv har avdekket svakhetene og avvikene, meldt til Datatilsynet og Finansdepartementet og gjort tiltak for å rette opp. Tolldirektoratet har nylig redegjort grundig for dette arbeidet på toll.no. Etaten er nå godt i gang med et omfattende prosjekt for personvern og informasjonssikkerhet. Jeg ønsker å bygge en kultur hvor både departementet og våre etater lærer av feil. Dette oppnår vi best når det i størst mulig grad er organisasjonen selv som oppdager feilene, slik som her. Feilene må så rapporteres slik at hele organisasjonen kan lære av det og ikke gjentar dem, og at det kan iverksettes tiltak.

Etatene under Finansdepartementet har viktige ansvarsområder. Departementet styrer overordnet etter risiko og vesentlighet og gir etatene tillit og stort handlingsrom. Denne saken har vært med på å vise at risikoen i informasjonsbehandling er stor. I tildelingsbrevene for 2019 har departementet derfor varslet at vi planlegger en ekstern evaluering av håndtering av informasjonssikkerhet i alle våre etater.

Med hilsen

Siv Jensen