Brevdato: 20.10.2014

Innsynsrett etter personopplysningsloven – «registersnoking»

1.          Innledning

Vi viser til brev fra Kommunal- og moderniseringsdepartementet (KMD) mottatt 14. juli 2014. I brevet anmodes Justis- og beredskapsdepartementet om å gi en vurdering av rekkevidden av innsynsretten etter personopplysningsloven i tilknytning til såkalt «snoking» i større personregistre. Med snoking menes at en ansatt skaffer seg tilgang til informasjon som han eller hun ikke har tjenstlig behov for – i KMDs brev betegnet uberettiget innsyn. Etter samtale med saksbehandler hos KMD forstår vi henvendelsen slik at KMD ønsker en tolkningsuttalelse fra Lovavdelingen om det nevnte spørsmålet.

I Meld. St. 11 (2012–2013) Personvern – utsikter og utfordringar punkt 9.3.2 side 86–87 defineres logging som «eit tryggingstiltak som inneber å etterkontrollere informasjonssystem». Det uttales videre:

«Innsynslogginga (som på fagspråket blir kalla klientbasert logging) er den som skjer internt i eit system. Innsynslogging omfattar mange ulike typar loggar. Typiske innsynsloggar er dei «som dokumenterer vellykkede og mislykkede innloggingsforsøk, brudd på rettigheter tildelt brukeren, oppnådd adgang til filområder, og andre hendelser på systemet». Med klientbasert logging kan ein mellom anna avdekkje såkalla «snoking» i registera.»

En innsynslogg vil følgelig regulært inneholde informasjon om hvem som har behandlet opplysninger om en bestemt person i et personregister samt nærmere detaljer om hvordan opplysningene er behandlet – eksempelvis tidspunkt for og varigheten av behandlingen. Videre vil det normalt fremgå hvilke opplysninger vedkommende har behandlet. Denne forståelsen av begrepet innsynslogg legges til grunn i uttalelsen her.

2.          Lovavdelingens vurdering

2.1       Innledning

Spørsmålet som foreligger til vurdering, er i hvilken utstrekning personopplysningsloven gir personer som er registrert i større personregistre, rett til informasjon som fremgår av innsynslogg. Retten til informasjon er regulert i personopplysningsloven § 18, som har tre hoveddeler. Bestemmelsen gir for det første allmennheten rett til å kreve oversikt over hva slags behandling av personopplysninger en behandlingsansvarlig foretar. For det andre gir den enhver som måtte ønske det, rett til en nærmere redegjørelse for en bestemt type behandling. For det tredje gir § 18 den enkelte registrerte en utvidet innsynsrett hva gjelder behandling av opplysninger om en selv.

Det foretas i det følgende en nærmere vurdering av om personopplysningsloven § 18 gir rett til informasjon fra innsynslogg.

2.2       Personopplysningsloven § 18 første ledd

Personopplysningsloven § 18 første ledd oppstiller en allmenn rett til informasjon om alle former for behandling av personopplysninger. Bestemmelsen lyder:

«Enhver som ber om det, skal få vite hva slags behandling av personopplysninger en behandlingsansvarlig foretar, og kan kreve å få følgende informasjon om en bestemt type behandling:

a)    navn og adresse på den behandlingsansvarlige og dennes eventuelle representant,

b)    hvem som har det daglige ansvaret for å oppfylle den behandlingsansvarliges plikter,

c)    formålet med behandlingen,

d)    beskrivelser av hvilke typer personopplysninger som behandles,

e)    hvor opplysningene er hentet fra, og

f)     om personopplysningene vil bli utlevert, og eventuelt hvem som er mottaker.»

Bestemmelsen gir for det første enhver person krav på å få informasjon om hva slags behandling som foretas hos en behandlingsansvarlig. Bakgrunnen for bestemmelsen er i Ot.prp. nr. 92 (1998–1999) punkt 16 side 118 omtalt slik:

«Første ledd første punktum gir enhver (jf offentlighetsloven § 2) rett til å få vite hva slags behandling av personopplysninger en behandlingsansvarlig foretar. Formålet med bestemmelsen er å gi den som ber om innsyn en oversikt over de ulike formene for behandling, slik at han eller hun kan identifisere en eller flere bestemte behandlinger som det er interessant å få nærmere informasjon om. Retten til å få en oversikt over behandlingene vil langt på vei ha samme betydning som en postjournal har etter offentlighetsloven, og vil gi grunnlag for å individualisere behandlinger en ønsker nærmere innsyn i, jf nedenfor.»

Hva som skal anses som en form for behandling av personopplysninger, fremgår av personopplysningsloven § 2 nr. 2. Bestemmelsen definerer dette som «enhver bruk av personopplysninger, som f.eks. innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter».

Innsynslogging vil normalt forutsette «bruk» av personopplysninger. For eksempel vil loggen kunne vise navnet på personen hvis opplysninger det er foretatt innsyn i, samt navn eller annen identifikator på den personen som foretar innsynet. Det er dermed nærliggende å anse innsynslogging som en form for behandling av personopplysninger etter § 2 nr. 2. Vi antar følgelig at enhver vil kunne kreve informasjon om at det gjennomføres innsynslogging i medhold av personopplysningsloven § 18 første ledd første punktum. Bestemmelsens ordlyd og formål – som knytter seg til informasjon om hva slags behandling som foretas – gir derimot ikke grunnlag for å oppstille en allmenn rett til informasjon om innholdet i en innsynslogg.

Etter § 18 første ledd bokstav a til f kan informasjon om hva slags behandling som foretas, kreves supplert med visse kategorier av konkret informasjon om en bestemt type behandling. Ingen av alternativene i bokstav a til f fremstår etter sin ordlyd som aktuelle grunnlag for krav om informasjon om innholdet i en innsynslogg. Bokstav f, som gjelder informasjon om personopplysningene vil bli utlevert, og eventuelt hvem som er mottaker, kan hevdes å ha en viss sammenheng med spørsmålet om det er foretatt innsyn i opplysninger og eventuelt hvem som har foretatt innsyn. Slik vi forstår begrepet utlevering, forutsetter det imidlertid at opplysningene formidles til personer eller institusjoner utenfor den behandlingsansvarliges organisasjon, og ikke til medarbeidere som utfører oppgaver på vegne av den behandlingsansvarlige.

Vi finner det dessuten klart at en eventuell rett etter personopplysningsloven til informasjon om innholdet i en innsynslogg ikke kan tilkomme «enhver», som er rettighetssubjektet etter § 18 første ledd.

2.3       Personopplysningsloven § 18 tredje ledd jf. første ledd

Dersom den som ber om innsyn er registrert, kan vedkommende «kreve at den behandlingsansvarlige utdyper informasjonen i første ledd bokstav a - f i den grad dette er nødvendig for at den registrerte skal kunne vareta egne interesser», jf. § 18 tredje ledd. Bestemmelsen gir rett til å få utdypet informasjon som nevnt i første ledd bokstav a til f. Ordlyden indikerer at informasjonen må ha en viss sammenheng med et av disse alternativene. Dette støttes også av forarbeidene til bestemmelsen, hvor det i Ot.prp. nr. 92 (1998–1999) punkt 16 side 118–119 heter:

«Bakgrunnen er at den registrerte kan ha behov for mer konkret og individualisert informasjon enn den generelle og kortfattede informasjonen som skal gis etter første ledd. For eksempel kan den registrerte ønske mer konkret informasjon om hvem opplysningene om ham eller henne selv utleveres til.»

Som omtalt ovenfor fremstår det lite naturlig å inkludere informasjon fra innsynslogg i noen av alternativene i § 18 første ledd bokstav a til f. Vi kan heller ikke se at innholdet i en innsynslogg har en slik sammenheng med noen av alternativene i bokstav a til f, at det vil være naturlig å tale om en utdyping av denne informasjonen. Retten til å få utdypet informasjon er for øvrig betinget av at dette er nødvendig for at den registrerte skal kunne vareta sine interesser. Hvorvidt slik informasjon er nødvendig for å vareta den registrertes interesser, vil kunne avhenge av de konkrete omstendigheter. Det er derfor lite nærliggende å anta at personopplysningsloven § 18 tredje ledd gir en generell rett for registrerte personer til informasjon fra innsynslogg.

2.4       Personopplysningsloven § 18 annet ledd bokstav a

Personopplysningsloven § 18 annet ledd gir en mer vidtrekkende innsynsrett for registrerte personer. Bestemmelsen pålegger den behandlingsansvarlige å opplyse om «hvilke opplysninger om den registrerte som behandles», jf. bokstav a. I Ot.prp. nr. 92 (1998–1999) punkt 16 side 118 omtales innsynsretten etter § 18 annet ledd bokstav a slik:

«Den registrerte skal for det første få vite hvilke opplysninger om vedkommende selv som behandles, jf bokstav a. Dette gir bl.a mulighet for å avdekke uriktige eller ufullstendige opplysninger, som så kan kreves rettet, jf § 27. Innsynsretten gjelder både opplysninger som er inntatt i manuelle personregistre, og opplysninger som behandles elektronisk. Innsynsretten gjelder likt for offentlige og private behandlingsansvarlige.»

Så vel ordlyden i bestemmelsen som forarbeidene taler om hvilke opplysninger om den registrerte som behandles. Spørsmålet er om informasjon inntatt i innsynslogg kan anses som opplysninger om vedkommende person som er registrert i det aktuelle registeret.

Formuleringen «opplysninger om den registrerte» må ses i sammenheng med personopplysningslovens definisjon av begrepet «personopplysning». Etter loven § 2 nr. 1 skal dette forstås som «opplysninger og vurderinger som kan knyttes til en enkeltperson». Formuleringen «kan knyttes til» er forholdsvis vid, og tyder på at personopplysningsbegrepet er omfattende. Likevel er det vanskelig å se at ordlyden dekker informasjon fra innsynslogg – slik som tidspunkt for innsyn og hvem som har foretatt innsyn.

I EUs personverndirektiv (1995/46/EC), som personopplysningsloven gjennomfører, er den tilsvarende danske formuleringen i artikkel 12 bokstav a «information om». Kravet her til at informasjonen skal være om den registrerte, taler for at opplysninger fra innsynslogg ikke er omfattet. Den engelske versjonen «information relating to him» er imidlertid noe videre, og kan muligens også omfatte informasjon som har en mer perifer tilknytning til den registrerte. Heller ikke direktivets ordlyd synes imidlertid å treffe direkte informasjon fra innsynslogg om hvordan opplysninger om registrerte personer er behandlet samt hvem som har behandlet opplysningene.

I uttalelse 4/2007 behandler den såkalte Artikkel 29-gruppen EU-direktivets definisjon av personopplysning («personal data»). Det uttales her at opplysninger kan knyttes til en enkeltperson enten gjennom innhold, formål eller resultat. Med sistnevnte menes at behandlingen av opplysningene virker inn på personens rettigheter og interesser, jf. uttalelsen side 11:

«A third kind of 'relating' to specific persons arises when a "result" element is present. Despite the absence of a "content" or "purpose" element, data can be considered to "relate" to an individual because their use is likely to have an impact on a certain person's rights and interests, taking into account all the circumstances surrounding the precise case. It should be noted that it is not necessary that the potential result be a major impact. It is sufficient if the individual may be treated differently from other persons as a result of the processing of such data.»

Det kan hevdes at informasjon som er inntatt i innsynslogg, for eksempel om hvor ofte det er gjort oppslag i ens opplysninger, har innvirkning på den registrertes rettigheter og interesser og derfor kan ses som en opplysning i lys av formålselementet nevnt i uttalelsen.

I Artikkel 29-gruppens dokument 15. februar 2007 (WP 131) berøres imidlertid spørsmålet om innsynslogging i relasjon til elektroniske pasientjournaler. På side 21 uttales:

«In order to establish trust, a special routine for informing the data subject when and who accessed data in his EHR could be introduced. Furnishing the data subjects in regular intervals with a protocol listing the persons or institutions who accessed their file would reassure patients about their ability to know what is happening to their data in the EHR system.»

Formuleringen «could be introduced» taler for at det ikke kan utledes av personverndirektivet noen ubetinget rett til informasjon fra innsynslogg. På den annen side er uttalelsen ikke avgjørende for tolkningen av norsk rett på dette punktet.

Den norske personopplysningslovens formål er å beskytte den enkelte mot at personvernet blir krenket gjennom behandling av personopplysninger, jf. § 1 første ledd. Det er nærliggende å tro at informasjon fra innsynslogg kan tjene til å beskytte mot krenkelse av personvernet til dem som er registrert i større personregistre. Blant annet vil slik informasjon kunne være en forutsetning for å oppdage at det forekommer urettmessig innsyn, og dermed for at den registrerte kan vareta sin interesse i å forhindre slikt innsyn. Formålsbestemmelsen kan derfor tale for at det bør gjelde en rett til informasjon om visse opplysninger fra innsynslogg.

Hensynet til å kunne kontrollere andres bruk av egne opplysninger gjenspeiles også i Datatilsynets konsesjon til banker og finansinstitusjoner (https://www.datatilsynet.no/Global/05_regelverk/Konsesjoner/bankkonsesjon.pdf). Av konsesjonen vilkår 1 tredje ledd fremgår:

«Alle kunder har krav på innsyn i de registrerte personopplysningene om seg selv etter personopplysningslovens § 18 andre ledd, jf. § 2 nr 1. Dette omfatter også antall elektroniske oppslag samt tidspunktet for oppslaget som ansatte i banken eller bankens oppdragstakere har foretatt i kontoer eller øvrige kundeengasjement. Innsynsretten i elektroniske oppslag gjelder for et tidsrom på minst tre måneder etter oppslaget.»

Her legges det altså til grunn at bankkunder har rett til informasjon om de ansattes oppslag i egne kundeopplysninger. Det fremgår videre av Datatilsynets oversendelsesbrev at vilkåret er et resultat av en tolkning av personopplysningsloven.

Selv om konsesjonen har begrenset vekt som rettskilde, kan den bidra til å illustrere hva som er rådende forvaltningspraksis på dette området. Det vises for så vidt til Artikkel 29-gruppens uttalelse 4/2007 side 5, hvor det uttales at tilsynsmyndighetene har en viktig rolle når det gjelder tolkning av personopplysningsbegrepet ved at de kan utvikle en forståelse av begrepet som også fanger opp eventuelle gråsoner.

Det nevnte konsesjonsvilkåret er omtalt av Blixrud og Ottesen, Personvern i finanssektoren (Oslo, 2010). På side 358 uttales under punkt 2.2.1 Innsyn i elektroniske oppslag:

«Konsesjonsvilkåret er basert på en tolkning av personopplysningsloven § 18 annet ledd, jf. personopplysningsloven § 2 nr. 1. Det er i utgangspunktet ikke opplagt at oppslag som ansatte i banken har gjort omfattes av begrepet personopplysning, og dermed av den enkelte kundes innsynsrett. Uavhengig av om presiseringen av innsynsretten i elektroniske oppslag går lenger enn innsynsretten etter personopplysningsloven § 18 eller ei, har Datatilsynet anledning til å stille strengere krav i en konsesjon enn det som følger av personopplysningsloven, jf. personopplysningsloven § 35.»

Her uttrykkes altså tvil om hvorvidt retten til informasjon fra innsynslogg kan forankres i personopplysningsloven § 18. Videre heter det på side 359:

«Selve opplysningen om at det er gjort et oppslag i kundeopplysninger, er ikke i seg selv en personopplysning om kunden. Oppslaget vil likevel kunne knyttes til kunden, ettersom en logg over oppslag i kundeopplysninger vil kunne dokumentere hvilke ansatte som har benyttet en autorisert eller uautorisert tilgang til kundeopplysninger. (…)»

Igjen synes oppfatningen å være at det er uklart hvorvidt en rett til informasjon fra innsynslogg er omfattet av den registrertes rett etter personopplysningsloven § 18 annet ledd bokstav a.

I den nye helseregisterloven § 24, som ennå ikke er trådt i kraft, synes det lagt til grunn at personopplysningsloven ikke gir rett til loggopplysninger om hvem som har foretatt innsyn i registrerte opplysninger om en selv. Etter § 24 annet ledd har registrerte personer rett til informasjon om «hvem som har hatt tilgang til eller fått utlevert helseopplysninger som er knyttet til den registrertes navn eller fødselsnummer, fra helseregistre etter §§ 8 til 11». Bestemmelsen supplerer § 24 første ledd, som konstaterer at rett til informasjon og innsyn i helseregistre følger av personopplysningsloven. At man her har funnet grunn til å spesifisere at det gjelder en rett til informasjon om hvem som har hatt tilgang til eller fått utlevert opplysninger om en selv, viser at man ikke anså det for klart at en slik rett følger av personopplysningsloven. Dette støttes av uttalelser i Prop. 72 L (2013–2014) punkt 22.4.3 side 167–168:

«Departementet foreslår at det i pasientjournalloven og helseregisterloven vises til informasjonsplikten og innsynsretten i personopplysningsloven. Disse reglene omfatter også en rett til informasjon dersom opplysninger gis videre. I samsvar med lovens systematikk for øvrig gjengis i minst mulig grad bestemmelser i de nye lovene som tilsvarer bestemmelser i personopplysningsloven. […] Departementet foreslår videre at pasientens rett til å kreve innsyn i opplysninger i logg presiseres i pasientjournalloven § 18, og at departementet skal kunne gi nærmere bestemmelser om innsyn i logg.»

Forarbeidene til helseregisterloven omtaler ikke spørsmålet om den registrertes rett etter personopplysningsloven til annen informasjon fra innsynslogg enn opplysninger om hvem som har behandlet ens opplysninger.

Også i Datatilsynets merknad til det tidligere omtalte vilkåret i bankkonsesjonen er det lagt til grunn at retten til informasjon fra innsynslogg ikke gjelder opplysninger om hvem som har foretatt innsyn i ens opplysninger. Det uttales her:

«Personvernhensyn taler for at kunden skal kunne ha en mulighet for å kontrollere hvorvidt ansatte og oppdragstakere i banken går utover sine fullmakter/autorisasjoner eller ikke. Av hensyn til den bankansattes personvern har kunden i utgangspunktet likevel ikke rett til å få vite hvem som faktisk har gjort oppslaget. Denne begrensningen i innsynretten tilsvarer tilsynets praksis når det gjelder innsyn hos kredittopplysningsbyråene.»

Som påpekt av Datatilsynet taler hensynet til personvernet til den som foretar innsyn, for at den registrerte ikke har rett til informasjon om hvem som har gjort oppslag i vedkommendes opplysninger. Slik informasjon vil dessuten regulært utgjøre personopplysninger om den som har foretatt innsynet, og utlevering av informasjonen må i seg selv følge personopplysningslovens regler, herunder ha særskilt behandlingsgrunnlag. Det synes derfor som om personopplysningsloven § 18 annet ledd bokstav a ikke gir rett til informasjon fra innsynslogg om hvem som har foretatt innsyn i ens opplysninger.

Hva gjelder spørsmålet om rett til annen informasjon fra innsynslogg – slik som tidspunkt for og varighet av behandlinger og hvilke opplysninger som er behandlet – finner vi konklusjonen tvilsom. Selv om en slik informasjonsrettighet i og for seg kan sies å være i tråd med personopplysningslovens formål, finner vi det vanskelig å forankre dette i ordlyden i § 18 annet ledd bokstav a. Vi er på denne bakgrunn tilbøyelig til å anta at bestemmelsen ikke gir den enkelte rett til innsyn i informasjon fra innsynsloggen.

2.5       Personopplysningsloven § 18 annet ledd bokstav b

§ 18 annet ledd bokstav b pålegger den behandlingsansvarlige å opplyse den registrerte om «sikkerhetstiltakene ved behandlingen så langt innsyn ikke svekker sikkerheten». Bestemmelsen må ses i sammenheng med personopplysningsloven § 13 om informasjonssikkerhet. § 13 første ledd lyder:

«Den behandlingsansvarlige og databehandleren skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger.»

Kravene til informasjonssikkerhet i § 13 er utdypet i personopplysningsforskriften kapittel 2. Forskriften § 2-8 gjelder den behandlingsansvarliges personell, og lyder:

«Medarbeidere hos den behandlingsansvarlige skal bare bruke informasjonssystemet for å utføre pålagte oppgaver, og selv være autorisert for slik bruk.

Medarbeiderne skal ha nødvendig kunnskap for å bruke informasjonssystemet i samsvar med de rutiner som er fastlagt.

Autorisert bruk av informasjonssystemet skal registreres.»

§ 2-11 gjelder tiltak for å sikre konfidensialitet. Første og annet ledd lyder:

«Det skal treffes tiltak mot uautorisert innsyn i personopplysninger hvor konfidensialitet er nødvendig.

Sikkerhetstiltakene skal også hindre uautorisert innsyn i annen informasjon med betydning for informasjonssikkerheten.»

Videre heter det i § 2-14 om sikkerhetstiltak:

«Sikkerhetstiltak skal hindre uautorisert bruk av informasjonssystemet og gjøre det mulig å oppdage forsøk på slik bruk.

Forsøk på uautorisert bruk av informasjonssystemet skal registreres.

Sikkerhetstiltak skal omfatte tiltak som ikke kan påvirkes eller omgås av medarbeiderne, og ikke være begrenset til handlinger som den enkelte forutsettes å utføre.

Sikkerhetstiltak skal dokumenteres.»

Logging av innsyn i personregistre har til formål å sikre konfidensialitet rundt opplysningene som inngår i registeret og er å anse som et «sikkerhetstiltak» etter personopplysningsloven §§ 13 og 18 og personopplysningsforskriften kapittel 2. Personer som er registrert i registeret har følgelig rett til å få informasjon om slike tiltak, jf. personopplysningsloven § 18 annet ledd bokstav b.

Spørsmålet er hvilket omfang denne informasjonsretten har. På den ene side kan ordlyden i § 18 annet ledd bokstav b leses som at den bare gir rett til generell informasjon om hvilke sikkerhetstiltak som er i verk ved den aktuelle behandlingen – altså informasjon om at det foretas logging og eventuelle tekniske spesifikasjoner rundt loggingen. På den annen side kan den bestemte formen «sikkerhetstiltakene» muligens også forstås som at den gir rett til innsyn i selve sikkerhetstiltaket – i dette tilfellet innsynsloggen.

I forarbeidene til bestemmelsen (Ot.prp. nr. 92 (1998-1999) punkt 16 side 118) uttales:

«[…] Den registrerte skal også informeres om sikkerhetstiltak ved behandlingen så langt det å gi slik informasjon ikke svekker sikkerheten, jf bokstav b og utvalgets § 18 første ledd nr 5. Enkelte høringsinstanser har uttrykt skepsis til at det skal kunne kreves innsyn i sikkerhetstiltak. Departementet vil for sin del peke på at selv om de fleste registerte nok vil ha begrenset innsyn i tekniske sikkerhetsdetaljer, kan det være betryggende å vite at visse sikkerhetstiltak er på plass. Som også utvalget understreker, finnes det dessuten flere typer sikkerhetstiltak som ikke svekkes selv om det gis innsyn i dem.»

Formuleringene her om at den registrerte skal informeres «om sikkerhetstiltak», og at den kan være betryggende å vite «at visse sikkerhetstiltak er på plass», kan tale for at bestemmelsen kun gir en abstrakt rett til å få vite hvilke sikkerhetstiltak som finnes, men ikke mer konkret resultatet av slike tiltak.

Til dette kommer at retten til informasjon om sikkerhetstiltak bare gjelder «så langt innsyn ikke svekker sikkerheten». Med denne begrensningen finner vi det lite naturlig å tolke § 18 annet ledd bokstav b slik at den gir den registrerte rett til informasjon fra innsynslogg.