De største utfordringene

13. juni 1997 la Personregisterlovutvalget frem sitt forslag til ny lov om behandling av personopplysninger (personopplysningsloven). Forslaget bygger i stor utstrekning på EUs personverndirektiv (95/46/EF), og innebærer en tilpasning av det norske personvernregelverket til det som gjelder i de øvrige EU- og EØS-landene. Loven, som skal avløse personregisterloven, vil ventelig bli vedtatt i 1998. Lovforslaget byr på en rekke spennende utfordringer både rent personvernfaglig og i forhold til at Datatilsynet praktisk skal tilpasse virksomheten etter de nye reglene. Datatilsynet har hatt lovforslaget til høring.

I hovedtrekk innebærer forslaget til personopplysningslov en styrking av personvernet. Loven inneholder materielle regler i større utstrekning enn dagens lovgivning, og bidrar med dette til å gjøre personvernbegrepet mer tilgjengelig for den enkelte. Forslagets styrker også de registrertes rettigheter. Personvern handler nettopp om individets rettigheter og Datatilsynet er opptatt av at disse settes i sentrum. At Datatilsynet blir gitt flere sanksjonsmuligheter i forslaget, vil også bidra til å styrke betydningen av tilsynets avgjørelser og slik sikre den enkeltes rett til personvern.

Formålsbestemmelse

Nytt i personopplysningsloven er en formålsbestemmelse. Den sier noe om hva personvern er, og hva som er hensikten med personopplysningsloven. Bestemmelsen vil være et viktig moment ved tolking av de andre bestemmelsene i loven. Datatilsynet legger vekt på at den vil kunne bidra til å gjøre personvern mer konkret og håndgripelig for mange.

Omfattende endringer

Lovutkastet innebærer relativt omfattende endringer i personvernlovgivningen og de rammer Datatilsynet skal arbeide innenfor. Allerede navnet på den nye loven; lov om behandling av personopplysninger, viser en endring av personvernlovgivningens saklige virkeområde. Det er ikke lenger personregistre som skal være reguleringsobjekt, men all elektronisk behandling av personopplysninger. Elektronisk lagrede opplysninger om en enkelt person vil falle innenfor lovens virkeområde. Loven vil også gjelde for manuell behandling av personopplysninger når opplysningene inngår i et personregister.

Meldeplikt

At en behandling av personopplysninger faller inn under lovens virkeområde innebærer ikke at behandlingen automatisk blir konsesjonspliktig. Lovforslaget legger opp til at Datatilsynets kontroll i større grad enn i dag skal være en etterfølgende kontroll av de registreringene som skjer. Hovedregelen i utvalgets forslag er at behandling av personopplysninger skal være meldepliktig. Meldingene skal lagres systematisk hos Datatilsynet, og vil gi et godt grunnlag for gjennomføring av kontroller og informasjonsarbeid. Den behandlingsansvarlige får altså selv plikt til å sette seg inn i det regelverk som gjelder, og å følge dette.

Meldeplikten, slik den er foreslått, er relativt vid. Hva konsekvensene blir av dette, er for tidlig å si. Det avhenger blant annet av om det utarbeides forskrifter som fritar behandlinger fra melde- eller konsesjonsplikt. Det er Justisdepartementet som har forskriftskompetanse på personregisterlovens område, og som derfor skal utarbeide eventuelle forskrifter til personopplysningsloven. Datatilsynet ønsker å bidra aktivt med virksomhetens erfaringer i dette arbeidet.

Flere rettigheter

Personopplysningsloven inneholder langt flere materielle regler enn personregisterloven. Dette er bra for personvernet, fordi den registrertes og den behandlingsansvarliges rettigheter og plikter blir lettere tilgjengelig. Det blir enklere for alle å finne ut hvilke regler som egentlig gjelder for en personopplysningsbehandling. Særlig viktig sett fra Datatilsynets ståsted er den foreslåtte bestemmelsen om den behandlingsansvarliges plikt til å informere de registrerte om innsamling av opplysninger fra eksterne kilder. Reglene om innsyn i personopplysningsbehandlinger er også sentrale.

Fjernsynsovervåking

Lovutkastet foreslår nye regler om fjernsynsovervåking. Overvåkingen skal skiltes bedre enn i dag. I tillegg til informasjon om at et sted er overvåket, skal det også opplyses hvem som er ansvarlig for overvåkingen. Fjernsynsovervåking skal meldes til Datatilsynet, noe som er viktig for at tilsynet skal kunne gjennomføre kontroll av at det til en hver tid gjeldende regelverk blir fulgt.

Atferdsnormer

Det foreslås innført en ny reguleringsform i lovutkastet, nemlig bransjevise atferdsnormer. Dette er regelsett som både utarbeides og etterleves av en bransje selv. Datatilsynet vil være behjelpelige med utformingen av atferdsnormene, men kan ikke sanksjonere brudd på reglene.

Uavhengighet

Personregisterlovutvalget foreslår at Datatilsynet skal være mer uavhengig av Justisdepartementet enn i dag. Tilsynet vil etter lovutkastet fremdeles være administrativt underlagt et departement, men vil være faglig uavhengig. Dette skal skje ved at klagesaker ikke lenger skal behandles av Justisdepartementet, men av et nytt frittstående klageorgan; Personvernnemnden. Utvalget er delt i synet på om Datatilsynet fortsatt skal ledes av et styre.

Aktiv informasjon

Det foreslås også at Datatilsynet skal ha en litt annen funksjon enn i dag. Hovedtyngden av Datatilsynets arbeid flyttes fra forhåndskontroll i form av konsesjonsbehandling, til etterfølgende kontroll i form av tilsynsarbeid, informasjon og oppfølging av brudd på regelverket. Datatilsynet skal drive mer aktiv rettsinformasjon og veiledning om personvern, blant annet gjennom arbeidet med bransjevise atferdsnormer.

Vanskelig tilgjengelig

Lovforslaget er et godt utgangspunkt for å styrke den enkeltes rettigheter og personverninteresser. Det derfor beklagelig at lovforslaget er noe utilgjengelig og vanskelig å forstå. Når det legges opp til en ordning hvor den behandlingsansvarlige i enda større grad enn idag selv skal vurdere hva som er innenfor lovens rammer er det svært viktig at loven er konkret og forståelig. Datatilsynet håper det tas hensyn til dette i det lovtekniske arbeidet.

Store utfordringer

Datatilsynet skal i henhold til lovutkastet, føre en offentlig tilgjengelig fortegnelse over innmeldte og forhåndsgodkjente behandlinger av personopplysninger. Både dette og selve meldesystemet stiller Datatilsynet overfor store utfordringer med hensyn til å finne frem til tekniske løsninger som ivaretar både tilsynets og offentlighetens behov.

Fokus flyttes fra forhåndsgodkjenning til etterfølgende kontroll og rådgivning, og et helt nytt regelsett skal tas i bruk og innarbeides. Informasjon om den nye lovens innhold, og ikke minst de nye rettigheter og plikter som hver og en vil måtte forholde seg til, blir en meget viktig oppgave ved innføringen av loven. De ulike faglige og praktiske behov må analyseres og utredes slik at Datatilsynet er vel skodd til å følge opp lovens intensjoner på en skikkelig måte.

Dette er utfordringer Datatilsynet vil arbeide med i 1998.

Elektroniske spor i varehandel og samferdselssektoren

Elektroniske spor i varehandelen

Våren 1997 lanserte flere selskaper såkalte bonuskort. Bonuskortene er basert på at kunden opptjener poeng ved hvert varekjøp. Poengene kan tas ut i varer og tjenester fra bonuskortselskapet eller en av selskapets samarbeidspartnere. For å kunne beregne kundenes opptjente poeng og administrere kundeforholdene, fører bonuskortselskapene kunderegistre med relativt omfattende innhold. Hvilke opplysninger bonuskortselskapene har saklig behov for i sin virksomhet, har vært gjenstand for diskusjon.

Datatilsynet har i løpet av meldingsåret gjennomført et større arbeid knyttet til elektroniske spor i varehandelen. Det er foretatt en kartlegging av de registreringer som gjøres når kundene benytter et eller flere kort i forbindelse med en handel, og det er sett på hva de registrerte opplysningene benyttes til og om det er i samsvar med eksisterende regelverk. En aktuell problemstilling har også vært å se på om personopplysninger brukes som et slags betalingsmiddel: I bytte mot bonuspoeng gir kundene fra seg opplysninger om seg selv.

Registrerer varekjøp

De sakene som er behandlet av Datatilsynet i løpet av året, viser at både enkeltstående forretninger og bonussamarbeidende ønsker å registrere hvilke varer kundene kjøper. Dette er mulig når kundene identifiserer seg ved hjelp av bonuskortet sitt i forbindelse med handelen. Hvilke varer som kjøpes, registreres på kundens identitetsnummer når hver vare slås inn eller skannes i kassen.

Hva brukes opplysningene til?

Opplysninger kundens varekjøp kan brukes i ulike sammenhenger. Først og fremst oppgir registereierne at de vil bruke opplysningene til å beregne oppsamlet bonus. Deretter kan opplysningene vise seg å være nyttige dersom kundene klager på bonuspoengene de blir tildelt. Registereierne innrømmer også at opplysningene er av interesse i markedsføringssammenheng.

Datatilsynet har vært spesielt opptatt av registrering og bruk av de innsamlede personopplysningene. Hvilke opplysninger skal det være lov til å registrere når kundene bruker kortet til identifikasjon? Hva skal den enkelte registereier ha lov til å bruke de elektroniske sporene til? Skal det være lov å bruke opplysninger om kjøp av glutenfrie produkter til å reklamere for legemiddelfirmaers produkter? Skal det være lov å sende storforbrukere av potetgull og sjokolade et tilbud om rimelige priser i byens helsestudio?

Mengder av informasjon

Registrering av når, hvor og hvilke varer kundene kjøper, gir registereier nærmest uante muligheter når det gjelder profildannelse og bruk av opplysningene. Når slike registreringer foretas av et bonusselskap som består av et samarbeid mellom flere ulike forretningstyper, vil det bli samlet enorme antall data. På bakgrunn av kundens forbruksmønster, kan det utledes mengder av informasjon om kunden.

Saklig behov

Etter Datatilsynets oppfatning skal det mye til før det kan tillates registrert hvilke varer kundene kjøper. Det må foreligge et saklig behov for registrering av opplysningene. At forretningen ønsker å benytte opplysningene i markedsføringssammenheng for egen eller andres produkter, er etter Datatilsynets oppfatning ikke et slikt saklig behov. Det anses ikke som ønskelig at folk skal motta reklame basert på sine daglige innkjøp.

Informasjon til kunden

Kjennetegn ved elektroniske spor er at de som regel registreres uten at den registrerte bevisst har gitt opplysningene fra seg eller er klar over at opplysningene blir registrert. Opplysninger registreres ved at kundens kort leses og varene registreres i kassen. Datatilsynet har derfor fokusert på at varehandelen må informere kundene godt slik at de kjenner betingelsene ved bruk av bonuskortet. Blant annet må det informeres om hvilke opplysninger som registreres, slik at kundene selv kan gjøre et bevisst valg med hensyn til om de ønsker å gi fra seg opplysninger om seg selv. Er kundene klar over hvilke opplysninger som genereres ved bruk av et bonuskort, og hvilket potensiale som ligger i eventuell bruk av disse opplysningene? Datatilsynet har fokusert på at kundene må få informasjon slik at de settes i stand til å vurdere de personvernmessige konsekvensene ved å bruke kort når de handler.

Elektroniske spor i samferdselssektoren

Den teknologiske utvikling har ført til utstrakt bruk av elektroniske registreringssystemer som kan inneholde detaljerte opplysninger om våre reisevaner. At for eksempel fly- og passasjerfergeselskapene registrerer opplysninger om avreisested, destinasjon og tidspunkter, synes selvfølgelig. Det er imidlertid ikke like selvfølgelig at også bankene registrerer nøyaktig tidspunkt og sted for bruk av elektroniske betalingskort. I sistnevnte tilfelle vil slike opplysninger ofte bli registrert uten at den enkelte bevisst har gitt opplysningene fra seg.

Datatilsynet har i løpet av 1997 kartlagt omfanget av elektroniske spor i samferdselssektoren og stilt spørsmål om hvem, hva og hvorfor slike opplysninger registreres. Kunnskap om elektroniske spor setter Datatilsynet i stand til å belyse hvilke personverntrusler slike opplysninger kan representere og hvilke tiltak som kan eller bør iverksettes.

Reiselivsbransjen

I samferdselssektoren er det særlig i reiselivsbransjen det er registrert opplysninger som forteller hvor en reisende har vært og når han var det. De to største reisereservasjonssystemene, Amadeus og Sabre, inneholder opplysninger om navn, adresse, reiserute, bestilling av tilleggstjenester (røyker/ikke røker, vegetarmåltider, rullestol ol) og prisopplysninger. Registrene benyttes ved bestilling av fly, jernbane, ferger, hotell og leiebil fra den enkelte turoperatør.

Elektronisk billettering

I den senere tid er det utviklet elektroniske billetteringssystemer som i første omgang vil bli brukt ved personbefordring på buss-, trikk- og jernbane. Betaling av reisen skjer ved bruk av et elektronisk kort som inneholder opplysninger om korttype (klippekort/periodekort), kortnummer og eventuelt opplysninger om kortinnehavers navn, adresse ol. De elektroniske billetteringssystemene gjør det mulig for transportøren å samle inn detaljerte opplysninger om kundenes reisevaner. Opplysningene vil bli brukt av transportøren blant annet til å planlegge og tilrettelegge for effektiv drift av rutetilbudet.

Datatilsynet har utarbeidet et utkast til konsesjon for elektroniske billetteringssystemer som er sendt en rekke transportørselskaper for uttalelse. I utkastet er det lagt opp til et registreringssystem hvor kundenes reiseopplysninger i stor grad skal aggregeres og holdes atskilt fra opplysninger som identifiserer den enkelte passasjer. Utarbeidelse av standardkonsesjon forventes ferdigstilt i løpet av første kvartal 1998.

Vegtrafikk

Opplysninger om når og hvor man har vært kan også finnes i de elektroniske innkrevingssystemene som benyttes av bompengeselskapene. Av personvernhensyn har Datatilsynet begrenset selskapenes adgang til å registrere tidspunkt og sted for passering. Ved gyldige periodeabonnementer (for eksempel månedskort) har bompengeselskapene normalt verken behov for, eller tillatelse til, å registrere at passering er skjedd. Ved klippekortabonnement må det derimot foretas en debitering av kundens konto. Det er likevel ikke tillatt å registrere tidspunkt og sted for den enkelte passering.

Fotografering

Ved passering av bomstasjonen uten gyldig abonnement blir kjøretøyet fotografert forfra. Bompengeselskapenes register over ugyldige passeringer inneholder, i tillegg til fotografiet, opplysninger om tidspunkt og sted for passeringen, og årsaken til at bilen er fotografert (ugyldig abonnement, feil ved den elektroniske brikken, ingen brikke ol). Registeret skal bare brukes i forbindelse med innkreving av tilleggsavgift. Opplysningene skal derfor slettes når kravet er oppgjort. Opplysninger om eiers navn og adresse kan i denne forbindelse innhentes fra Vegdirektoratets database over registrerte kjøretøyer.

Overvåking av vegnett

Vegmeldingssentralene foretar en kontinuerlig overvåking av trafikken på sentrale vegnett. Overvåkingen skjer ved bruk av fjernsynskameraer og ulike typer sensorer som registrerer trafikkflyt, trafikktetthet, type kjøretøy (personbil, lastebil) ol. Formålet med overvåkingen er først og fremst å ivareta trafikksikkerhetsmessige forhold. Det foretas derfor ingen systematisk registrering av opplysninger som kan knyttes til identifiserbare enkeltpersoner.

Banktransaksjoner i markedsføring

Datatilsynet behandlet i 1997 en henvendelse om bankenes adgang til å bruke opplysninger om innskudd og uttak av penger på en bankkonto (transaksjonsdata) som grunnlag for direktemarkedsføring til kunden. I den aktuelle saken var opplysninger om mottak av barnetrygd brukt som seleksjonsgrunnlag ved utsendelse av tilbud om en bestemt spareordning.

Bruk av transaksjonsdata i bankenes kunderegistre reguleres i personregisterlovens hovedforskrift 2-4, som bare tillater bruk av opplysningene i ordinær bankvirksomhet. Hva som er en ordinær banktjeneste, må sees i lys av hva slags tjenester kundene kan forvente av sin bankforbindelse. Kundene forventer selvsagt å få informasjon om ulike tilbud og ordninger banken har. At banken går inn på den enkelte transaksjon på kundens konto, og bruker disse opplysningene som grunnlag for å sende ut tilbud er, etter Datatilsynets oppfatning, ikke noe de fleste kunder forventer seg. Mange vil antagelig føle at banken har tråkket dem litt for nær ved å bruke kontoopplysninger for å finne ut noe om dem som de ikke selv har fortalt banken. Det kan for eksempel føles ubehagelig at banken bruker opplysninger om mottak av dagpenger ved arbeidsledighet i kundekommunikasjonen.

Ingen ordinær banktjeneste

Bruk av transaksjonsopplysninger i markedsføringssammenheng kan ikke regnes som en ordinær banktjeneste. Registrering og bruk av transaksjonsdata til dette formålet faller utenfor personregisterlovens hovedforskrift, og er derfor konsesjonspliktig. Ved behandling av en eventuell konsesjonssøknad vil Datatilsynet legge stor vekt på om den aktuelle bruk av opplysningene er basert på kundens samtykke eller ikke. Dette finner vi støtte for i Europarådsrekommandasjonen om beskyttelse av persondata fra betalingsformidling.

Mulighet for å reservere seg

Europarådsrekommandasjonen legger opp til at om transaksjonsopplysninger skal brukes i markedsføringssammenheng, skal det være basert på at kunden er gitt mulighet til å reservere seg mot dette. Etter Datatilsynets oppfatning er kundene i dag ikke gitt en slik mulighet, fordi det for de fleste er helt upåregnelig at banken bruker transaksjonsdata til markedsføring. Da har de heller ingen grunn til å reservere seg mot dette.

Datatilsynet vil fortsatt følge utviklingen når det gjelder bruk av transaksjonsdata som registreres mer eller mindre uten kundens vitende. Den skjulte prisen for de tjenester man kjøper av banken, bør ikke være kommersiell utnyttelse av personopplysningene. Den registrerte må selv få ha kontroll og bestemme hva egne personopplysninger skal brukes til.

Store helseregistre

Helsevesenet er idag i en rivende utvikling og har stadig større krav rettet mot seg. Datatilsynet var i 1997 høringsinstans for flere lovforslag innen helsesektoren. Det dreier seg om de fire nye helselovene: Lov om helsepersonell, lov om spesialisthelsetjeneste, lov om pasientrettigheter og lov om rettssikkerhet og særlige tiltak for mennesker under psykisk helsevern. Dessuten har det vært fremmet forslag om adgang til oppsøkende genetisk virksomhet. Samlet er resultatet at helsevesenet foreslås gitt utvidede fullmakter for å nå målsetningen om bedre helse for alle.

Det er naturlig at helsemyndighetene søker nye metoder som skal hjelpe dem å nå målene. Datatilsynet har imidlertid sett det som problematisk at personvernproblematikken ikke synes å være godt nok behandlet i den sammenheng. Dette har spesielt vist seg i forbindelse med de store helseregistre som nå søkes opprettet eller videreført. Spørsmålsstillingen ble også reist i forbindelse med forslaget om adgang til oppsøkende genetisk virksomhet da det forutsetningsvis må innebære opprettelse av et nasjonalt register med biologiske «pekere».

Kontrollpotensiale

Sentrale helseregistre vil utgjøre et enormt kontroll- og styringspotensiale i forhold til store deler av befolkningen. Sett fra et personvernsynspunkt er det svært uheldig. Registrene vil bestå av svært sensitive opplysninger som, når disse først er samlet, kan benyttes til annet enn det som idag er de angitte formål. Det kan synes som om behovet for opprettelse av sentrale helseregistre i den form det idag legges opp til i lovforslagene, ikke er drøftet. Etter Datatilsynets oppfatning må en definisjon av behovet være grunnleggende for hva slags registre som kan godtas og i hvilken form registrene eventuelt skal opprettes.

Ved å opprette landsdekkende spesialregistre vil sensitive opplysninger om hver og en av oss spres til en rekke steder. Vi vil ikke kunne ha kontroll over opplysningene selv, og som regel vet vi heller ikke at de finnes på de ulike stedene. Muligheten for koblinger av registre og dermed få enda flere opplysninger, er tydelig. Alt i alt krever dette enormt mye i forhold til regulering av eksempelvis ansvar, formål og sikkerhet.

Alternative løsninger for helseregistrering

Datatilsynet har etterlyst en drøfting av alternative løsninger for helseregistrering som er bygget på informasjon og samarbeid med pasienten, slik at grunnleggende krav til sikring av personverninteressene oppfylles. Datatilsynet har også foreslått at det utredes i hvilken grad anonyme registre kan utvikles istedet for registre bygget opp på identitet.

Dersom det i det hele tatt skal bygges opp helseregistre, vil Datatilsynet anbefale små regionale registre med nært samarbeid, men uten utveksling av personidentifiserende data. Jo mindre registeret er og jo nærmere registeret er pasienten, både fysisk plassert og følelsesmessig, jo mindre vil registeret utgjøre en fare for integritetskrenkelser av den enkelte pasient. Mulighet til informasjon om og samtykke til registrering av opplysningene vil da være større, og presset mot taushetsplikten vil avta. Også farene med hensyn til lekkasjer vil avta med mindre registre.

Oppsøkende genetisk virksomhet

Sosial- og helsedepartementet la i 1997 frem forslag om at helsevesenet skal kunne drive oppsøkende genetisk virksomhet. Dette kan skje på bakgrunn av at det er fastslått at en person har, eller er disponert for eller er bærer av en arvelig lidelse. Helsevesenet kan da oppsøke vedkommendes slektninger med sikte på å avklare om også de kan være i samme situasjon. En slik adgang er avhengig av at visse betingelser blant annet i forhold til sannsynlighet og prognose er oppfylt.

Et grunnleggende personvernprinsipp er retten hvert menneske har til å ha og kontrollere kunnskap om seg selv. Det innebærer retten til å velge å ikke ha kunnskap. Ved at helsevesenet oppsøker slektningen vil det bety at man uten å kunne velge, vil få kunnskap om en risiko. Handlingen kan ikke gjøres om i ettertid og kunnskapen kan virke svært dramatisk for slektningen.

Legens informasjonsrett

Forslaget innebærer dessuten en informasjonsrett for legen. Selv om ordningen er og vil være kontroversiell, vil den kunne bli oppfattet av mange som en tilsvarende rett for eventuelle risikopersoner til å bli informert. Både juridisk og etisk vil det kunne bli reist krav om at påviste, genetiske disposisjoner hos en pasient utløser en varslingsplikt som omfatter hele den nærmeste biologiske linjen. Legen må da kunne skaffe seg nødvendige slektskunnskaper.

Dersom forslaget gjennomføres vil det bety at sensitiv personkunnskap avdekket for et formål brukes til et annet. Det bryter med viktige personvernhensyn nedfelt i personregisterloven og forvaltningspraksis.

Etter Datatilsynets oppfatning er det betydelig forskjell på en spredning av sensitiv kunnskap som skjer fra enkeltpersonen selv og den kunnskap som administreres av tredjemann. Det er, og bør være, en forskjell på «betroelse» og «utlevering». Dette er en grunnleggende holdning i dagens samfunn. Dersom det skal være unntak, bør disse være få og så godt begrunnet at de møtes av alminnelig forståelse.

Nye retningslinjer for informasjonssikkerhet

Datatilsynet kan gi regler for sikring av dataregistre som inneholder sensitive personopplysninger. Slike regler har tatt utgangspunkt i Datatilsynets krav om at sensitive personopplysninger skal føres i et dedikert edb-system (edb-system fysisk atskilt fra uvedkommende brukere). Regler om sikring gis som enkeltvedtak normalt i forbindelse med konsesjonsbehandling eller kontroller. For kommuner, fylkeskommuner og offentlige helseinstitusjoner er vedtak om bruk av dedikert edb-system gitt hver enkelt virksomhet. I løpet av første kvartal 1998 lanserer Datatilsynet nye retningslinjer for informasjonssikkerhet.

Fra kravet om bruk av dedikert edb-system kan det søkes dispensasjon. Innvilgelse av en slik søknad gir virksomheten tillatelse til å operere et såkalt «delt edb-system» som kan benyttes for behandling av forskjellige typer opplysninger, også sensitive personopplysninger. I tillatelsen stilles konkrete sikringsvilkår beskrevet i Datatilsynets Sikkerhetsregulering av delt edb-system. Et delt edb-system er et system som lagrer, behandler og overfører sensitive personopplysninger og som i tillegg er tilgjengelig for uvedkommende brukere. En rekke dispensasjonssøknader er innvilget, blant annet fra om lag 100 kommuner.

Samtlige godkjente løsninger omfatter virksomhetenes interne datanett. Ingen tillatelser er gitt for tilkopling til eksterne nett, som for eksempel internett.

Sikkerhetsregulering av delt edb-system er resultat av et arbeid påbegynt helt tilbake i 1993. Kravene er teknisk orientert og tar utgangspunkt i en virkelighet der dedikerte systemer heller var regelen enn unntaket, og hvor tilkopling til eksterne nett var mindre aktuelt enn tilfellet er i dag. Den teknologiske utviklingen har gjort det nødvendig å utarbeide et nytt sett sikkerhetsregler.

Ny retningslinjer

Dokumentet Retningslinjer for informasjonssikkerhet ved behandling av personopplysninger skal tre i kraft i løpet av første kvartal 1998. Dokumentet er resultatet av et 12 måneders langt arbeid i Datatilsynet. Retningslinjene vektlegger virksomhetenes bruk og drift av informasjonssystemet og gir overordnede krav til organisering, rapportering og systemer for kontinuerlig vedlikehold og utvikling av informasjonssikkerheten. Dokumentet er delt inn i fire hoveddeler:

Ledelsens ansvar - som forutsetter at ledelsen aktivt involverer seg i sikkerhetsarbeidet med krav til systemer for medvirkning og tilbakemelding fra virksomhetens medarbeidere for øvrig.

Organisering- det stilles grunnleggende krav til organisering og konfigurasjonskontroll sammen med kravet om at sikkerhetsarbeidet er fundamentert i godkjente rutiner og planer.

Partnere og leverandører - som forutsetter at ansvarsfordelingen mellom eksterne aktører og virksomheten avklares med hensyn til informasjonssikkerhet.

Sikkerhet- som angir grunnleggende krav til personell-, fysisk-, systemteknisk- og dokumentsikkerhet.

Retningslinjene beskriver de forholdene Datatilsynet legger vekt på når den enkelte virksomhets informasjonssikkerhet skal evalueres. Retningslinjene er ikke en forskrift, men et grunnlag for Datatilsynets arbeid med å gi sikkerhetsregler i form av enkeltvedtak. Retningslinjene har vært sendt på høring til flere aktuelle brukergrupper og teknologimiljøer. Tilbakmeldingene er positive og viser at det er både på tide og oppfattes som svært nødvendig med klare retningslinjer for informasjonssikkerhet.

Konsekvenser

For virksomheter som allerede har konsesjon eller dispensasjon og som overholder vilkårene i disse, medfører de nye retningslinjene ingen endring. Først når virksomheten tar kontakt med Datatilsynet for å søke om ny konsesjon, eller få endret vilkår gitt tidligere, må de påregne regler for sikkerhet som tar utgangspunkt i Retningslinjer for informasjonssikkerhet ved behandling av personopplysninger.

For kommuner, fylkeskommuner og offentlige helseinstitusjoner er det viktig å merke seg at kravet om dedikert edb-system fremdeles gjelder. Virksomheter som ønsker å kople behandlingen av sensitive personopplysninger til datanettet for øvrig, må fremdeles søke Datatilsynet om dispensasjon. Søknad må også sendes fra virksomheter som allerede har dispensasjon men som ønsker endring i vilkårene, for eksempel ved tilkopling til eksterne nett.

Egne veiledninger

Datatilsynet vil utdype retningslinjene i forhold til enkelte tekniske problemstillinger og for enkelte samfunnssektorer ved hjelp av egne veiledninger. Veiledningene skal oppfattes som anbefalte løsninger som sikrer at retningslinjenes overordnede krav innen et avgrenset område blir oppfyllt.

Datatilsynet var i desember 1997 i ferd med å sluttbehandle veiledninger for gjennomføring av risikoanalyse og for sletting av data og frigivelse av datamedia. Veiledning for helseinstitusjoners tilkopling til eksterne datanett utarbeides, og arbeidet med tilsvarende veiledninger for justis- og kommunesektoren pågår.

Helseinstitusjoners tilkopling til åpne nett

Veiledningene utarbeides i tett samarbeid med brukerne. Arbeidet med veiledning for helseinstitusjoners tilkopling til åpne nett er et eksempel. Nettverkstilkopling er hovedregelen for moderne databehandling. Dette omfatter også tilkopling til eksterne åpne nett - i første rekke internett. Samtidig utgjør slik ekstern tilkopling mellom internett og databehandling av sensitive personopplysninger en stor sikkerhetsrisiko. Med mål om å skissere en tilkoplingsløsning som både ivaretar sikkerhetsbehovet og helseinstitusjonenes ønske om å ta moderne kommunikasjons- og informasjonstilbud i bruk, har Sosial- og Helsedepartementet og Helsetilsynet sammen med Datatilsynet, utarbeidet veiledningen. Selve det praktiske og redaksjonelle arbeidet er utført av Kompetansesenter for IT i Helsevesenet A/S (KITH).

Veiledningen for helseinstitusjoners tilkopling til åpne nett utdyper kravene i retningslinjene som er særlig viktige ved ekstern tilkopling. Organisatoriske krav og krav til konfigurasjonen presiseres, og spesielt blir krav til systemteknisk sikkerhet i form av brannmur og løsninger lokalt hos den enkelte bruker beskrevet. Veiledningen vil være tilpasset helseinstitusjonenes tekniske hverdag. Utviklingen av en felles forståelse for hvordan tilkopling til eksterne nett bør foregå, vil gi økt bevissthet omkring risiko og behov for sikring. Borgerne skal være trygge på at den sensitive helseinformasjonen ikke kommer på avveie.

Nye etterforskningsmetoder for politiet

Justisdepartementet oppnevnte i 1994 et utvalg som skulle evaluere og foreslå nye metoder for etterforskning av kriminalitet. Utvalgets arbeid resulterte i Metodeutvalgets delinnstilling II NOU 1997:15 Etterforskningsmetoder for bekjempelse av kriminalitet. Innstillingen foreslår blant annet nye regler for kontroll av tele- og datakommunikasjon. Det foreslås også at det i en prøvetid skal åpnes for romavlytting, avlytting på offentlig sted, plassering av peilesendere og utsatt underretning til den mistenkte. For å ivareta den mistenktes rettssikkerhet er det blant annet foreslått å oppnevne advokat for den mistenkte i noen tilfeller.

Forslaget om endringer i gjeldende regler og praksis for bekjempelse av kriminalitet berører helt grunnleggende prinsipper knyttet til vern av den enkeltes personlige integritet. I alle saker av denne karakter vil interessen for personvern være satt opp mot samfunnsinteressen av å få kontroll med kriminaliteten. Datatilsynet har selvfølgelig stor forståelse for, og er opptatt av, viktigheten av å bekjempe kriminalitet.

Partsinteresser

Datatilsynet uttalte i høringsuttalelsen at delinnstillingen alene ikke burde danne grunnlag for slike endringer i straffelov, straffeprosesslov og telekommunikasjonslov som utvalget foreslår. Datatilsynet mener at innstillingen i for stor grad er preget av partsinteresser og ikke gir et rimelig avveid bilde av de hensyn som må tas når slike omfattende endringer foreslås. Datatilsynet har derfor bedt om at innstillingen blir supplert med en tilleggsinnstilling slik at det skapes et bredt og godt avveid beslutningsgrunnlag for de lovgivende organer.

Store konsekvenser for tredjemann

Uavhengig av om lovforslaget blir supplert med en tilleggsinnstilling, mener Datatilsynet at forslagene som er fremsatt innebærer for store konsekvenser for den uskyldige tredjemann og hans integritet, til at de bør gjennomføres. Noen eksempler fra innstillingen er godt egnet til å belyse dette. Det er foreslått at overskuddsinformasjon fra kontroll av tele- og datakommunikasjon bør kunne brukes til etterforskning av enhver straffbar handling og til forebyggende arbeid. Dette innebærer at adgangen til å foreta telefonkontroll utvides langt ut over det forslaget reflekterer. Faren for at det begjæres telefonkontroll ut fra vikarierende motiver vil være til stede. En etterfølgende domstolskontroll slik utvalget legger opp til, vil ikke kunne rette opp de integritetskrenkelser som kan følge av kontrollen.

Kriminelle tilpasser seg

Endringer i etterforskningsmetoder hindrer ikke at profesjonelle kriminelle tilpasser sin virksomhet de nye metodene. Bruk av kryptering og taleforvrengende metoder vil effektivt kunne hindre avlytting av tele- og datakommunikasjon. De nye etterforskningsmetodene vil da i hovedsak ramme andre enn målgruppen; småkriminelle og uskyldige tredjeparter. En tilfeldig tredjemann vil ikke ha forutsetninger for å ha kunnskap om overvåkingen. Når det i tillegg foreslås å gi adgang til avlytting av tredjemanns egen telefon, vil tredjemann bli fokusert på en kompromitterende måte som Datatilsynet ikke kan akseptere.

Dette, sett sammen med de andre forslagene om økt bruk av trafikkdata, større adgang til romavlytting, løpende utlevering av informasjon fra for eksempel banker, utsatt underretning til mistenkte og det totale fravær av regulering av opplysningenes «liv» etter at de er samlet inn, har bidratt til at Datatilsynet stiller seg negativ til forslagene i innstillingen.

Tilrettelegging for avlytting

Datatilsynet legger for dagen de samme bekymringene som nevnt over, i høringsuttalelsen til Justisdepartementets utredning om telefonkontroll og moderne telekommunikasjonssystemer. Her konkluderer Datatilsynet med at myndighetene ikke bør kunne gi pålegg om at telesystemene skal være tilrettelagt for avlytting gjennom konsesjonsvilkår alene. Dersom samfunnet ønsker at telesystemene skal være klargjort for avlytting bør det avgjøres politisk og vedtas i lovs form. Men Datatilsynet mener at det ikke er ønskelig at teleoperatørene får plikt til å tilrettelegge sine systemer for avlytting, hverken gjennom lov eller på annen måte. Jo lettere teknisk det er å avlytte, jo oftere vil myndighetene kunne ønske å benytte virkemiddelet. Datatilsynet er opptatt av at det skal være både juridiske og teknologiske barrierer som beskytter borgerne mot avlytting.

Forsikring: Nye vilkår for personopplysninger

Fra januar 1997 ble bestemmelsen i personregisterlovens hovedforskrift som regulerte livsforsikringsselskapenes kunderegistre opphevet. Dette betyr at registrering av personopplysninger om både skade- og livsforsikringsselskapenes kunder nå er konsesjonspliktig. Datatilsynet har lenge arbeidet for å utforme konsesjonsvilkår for føring av forsikringsselskapenes kunderegistre. Arbeidet ble sluttført sommeren 1997. Resultatet av arbeidet er et sett vilkår som er grunnlag for behandling av forsikringsselskapenes søknader om tillatelse til å føre kunderegister.

Konsesjonsvilkårene regulerer innsamling, oppbevaring og bruk av personopplysninger i forsikringsvirksomhet. Vilkårene inneholder også regler om sikring av personopplysningene, og hvordan det skal holdes oversikt over hvem som har tilgang til hvilke opplysninger. Vilkårene er basert på kontakt med og undersøkelser i bransjen og den store mengden publikumshenvendelser Datatilsynet hvert år mottar om forsikring og personvern.

Sensitive opplysninger

Hovedproblemstillingen i Datatilsynets arbeid med forsikringsselskapenes personregistre har vært innsamling og bruk av sensitive opplysninger, og da først og fremst helseopplysninger. Det har vært lagt spesiell vekt på at forsikringsselskapene bare skal innhente og registrere opplysninger som er relevante i forhold til den forsikringen kunden skal kjøpe eller har kjøpt. Helseopplysninger kan og skal bare registreres når det er nødvendig for forsikringsforholdet.

Kundens medvirkning

Innsamling av helseopplysninger krever som oftest kundens medvirkning. Opplysningene er underlagt lovbestemt taushetsplikt, og kan derfor ikke utleveres fra lege, sykehus eller trygdekontor uten at taushetsplikten er opphevet. Det er kunden som må oppheve taushetsplikten. Dette har til nå blitt gjort ved hjelp av en erklæring der kunden skriver under på at han eller hun samtykker i at forsikringsselskapet innhenter opplysninger selskapet mener er av betydning for saken.

Blancofullmakt

Erklæringen har nærmest fungert som en blancofullmakt for forsikringsselskapet til å hente de opplysninger selskapet har ønsket fra de kilder opplysningene er registrert i.

Datatilsynet har fokusert særlig på at bruk av blancofullmakt kan være svært uheldig. Det kan også stilles spørsmålstegn ved om blancofullmakten faktisk opphever legens eller annet helsepersonells lovpålagte taushetsplikt, all den tid kundene sjelden forstår rekkevidden av den erklæringen de undertegner.

Det har derfor vært nødvendig å skjerpe inn reglene for forsikringsselskapenes innsamling av helseopplysninger.

Samtykke

Ved innsamling av helseopplysninger må selskapene oppgi hvilke opplysninger som ønskes og hvilken kilde de skal hentes fra. Blancofullmakten skal ikke lenger brukes. På den måten vil kunden samtykke i at det kan hentes opplysninger som har betydning for en bestemt helsetilstand fra en eller flere bestemte kilder. Kunden vil få mulighet til å forstå rekkevidden av samtykket som gis til forsikringsselskapet, samtidig som kildens taushetsplikt blir opphevet.

Relevante opplysninger

Når opplysningene er kommet inn til forsikringsselskapet, må det vurderes om de er relevante for selskapets arbeid. Hva som er relevante opplysninger vil variere fra sak til sak, og må vurderes ut fra et forsikringsfaglig skjønn. Datatilsynet har ikke konkret vurdert hvilke opplysninger som skal kunne registreres. Konsesjonen inneholder bare angivelse av noen kategorier opplysninger som selskapene kan registrere.

Unngå pasientjournaler

Lagring av kopier av fullstendige pasientjournaler bør unngås. Derfor bestemmer konsesjonen at når opplysninger innhentes fra tredjemann, for eksempel fra behandlende lege, skal det oppgis hva opplysningene skal brukes til. På bakgrunn av dette kan legen skille ut opplysninger som er relevante for saken. Konsesjonen bestemmer også at når helseopplysninger er kommet inn til forsikringsselskapet, skal de gjennomgås av en faglig kvalifisert person før de sendes videre til vanlig saksbehandling. Slik kan selskapet skille ut de opplysninger som ikke er nødvendige for selskapets videre arbeid med saken. Overflødige opplysninger skal enten makuleres eller returneres til kilden.

Utvidet informasjonsplikt

Konsesjonsvilkårene innebærer en utvidet informasjonsplikt for forsikringsselskapene. Kunden skal motta informasjon om innholdet i de sentrale forsikringsregistrene, som Sentralt Skaderegister og Register over forsikringssøkere og forsikrede, og opplysninger om hva som er hensikten med disse registrene og vilkårene for å bli registrert i ett eller flere av dem.

Forsikring og personvern

Datatilsynet har lagt stor vekt på arbeidet med nye konsesjoner for forsikringsselskapenes personregistre. Det er Datatilsynets erfaring at mange synes forsikring er vanskelig å forstå, samtidig som de fleste må ha en eller flere forsikringer. Det er nødvendig å samle inn personopplysninger i forsikringsvirksomhet, og det er derfor viktig at reglene rundt virksomheten også ivaretar den enkeltes rett til personvern. Datatilsynet bruker derfor de muligheter som ligger i personregisterloven til å gi forsikringskundene denne retten.

Kredittopplysninger: Nye konsesjoner for byråene

Datatilsynet har i lengre tid arbeidet med nye konsesjonsvilkår for kredittopplysningsbyråene og deres virksomhet. Målet med arbeidet har vært å kunne utferdige nye konsesjoner for virksomhetene og de registrene som virksomhetene fører. Konsesjonsarbeidet ble ferdigstilt fra Datatilsynets side på slutten av året 1997.

Behovet for revidering og endringer av konsesjonene har vært stort, spesielt fordi det er skjedd en rask utvikling av både omfanget og bruk av personopplysninger i bransjen. Et viktig hensyn i Datatilsynets arbeid har vært å sørge for ensartede regler i hele bransjen. Konsesjonene er utarbeidet etter diskusjoner med kredittopplysningsbyråene og deres interesseorganisasjoner. I tillegg til bransjen selv er konsesjonene sendt på høring til offentlige myndigheter og forbrukerorganisasjoner.

Mange publikumshenvendelser

Datatilsynet mottar jevnlig henvendelser fra publikum om kredittopplysningsbyråenes registrering av personopplysninger. Henvendelsene kan dreie seg om feilregistreringer, manglende gjenpart eller rett og slett forskrekkelse over at opplysninger fra for eksempel skattelisten registreres i kredittopplysningsbyråenes registre. Datatilsynet har sett det som viktig å utarbeide et sett regler som ivaretar personvernet til den registrerte på en bedre måte og samtidig tar hensyn til kreditorers mulighet til å drive inn utestående fordringer.

Forhåndsvarsel

I revisjonen av konsesjonene har Datatilsynet lagt vekt på at kvaliteten på registrene som brukes i kredittopplysningsøyemed skal være best mulig og at informasjonen til de registrerte skal bedres. Kredittopplysningsbyråene skal etter de nye vilkårene sende forhåndsvarsel til registrerte privatpersoner i forbindelse med nyregistrering av opplysninger som har betydning for kredittvurderingen. Den registrerte vil motta en kopi av opplysningene og oppfordres til å rette eventuelle uriktige opplysninger innen en gitt tidsramme. Forhåndsvarsel vil gi bedre kvalitet på registrene og informere den registrerte om byråenes eksistens. I tillegg vil informasjonen til de registrerte styrkes ved at det legges opp til en mer informativ gjenpart (jf personregisterloven 19) til privatpersoner. I de nye konsesjonene er også brukstiden for fordringer eller krav man har gjort opp, redusert fra tre til ett år.

Datatilsynet mener at den enkelte gjennom de nye konsesjonsvilkårene, får bedre informasjon om kredittopplysningsvirksomheten i byråene og registreringene som foretas. Den enkeltes rett til personvern vil styrkes.

Elektronisk overvåking

Mulighetene for overvåking øker når elektroniske hjelpemidler blir tilgjengelige for de fleste. Datatilsynet har i løpet av 1997 sett ulike eksempler på hvordan elektronisk overvåking kan gjennomføres på både arbeidsplassen, skoler og i sammenhenger hvor kundeforhold har betydning for virksomheten. Datatilsynets oppgave er, i tillegg til å sørge for at personregisterlovens regler om overvåking følges, å bidra til at overvåkingspotensialet som ligger i teknologien er kjent for både overvåker og den overvåkede.

Aktivitetslogging

Studentradioen i Bergen søkte i 1997 om tillatelse til å benytte aktivitetsloggen i sitt edb-system for å kontrollere brukerne. Aktivitetsloggen i et edb-system eller datanett, forteller hva brukeren har foretatt seg i nettverket, for eksempel hvilke web-sider en bruker har besøkt på internett.

Aktivitetsloggen kan føres uten konsesjon i følge personregisterlovens hovedforskrift 2-20. Registeret kan bare brukes til administrasjon av systemet og til å avdekke og oppklare brudd på sikkerheten i edb-systemet.

Avtalen som var skissert mellom Studentradioen og brukeren, gikk ut på at brukeren ikke skulle fremsette ærekrenkelser, diskriminerende uttalelser, formidle pornografi (blant annet laste ned eller lagre pornografi), krenke privatlivets fred, oppfordre eller medvirke til ulovlige handlinger ved hjelp av Studentradioens edb-system. Studentradioen ønsket å kontrollere aktivitetsloggen til ansatte og andre brukere og begrunnet dette med hensynet til eget omdømme og ansvar.

Formålet Studentradioen oppga for bruk av aktivitetsloggen, ligger utenfor det loggen kan brukes til. Registre brukt til overvåking slik Studentradioen i Bergen ønsket, krever konsesjon fra Datatilsynet. Datatilsynet sendte også problemstillingen til vurdering i både arbeidsgiver- og arbeidstakerorganisasjonene.

Før Datatilsynet tok stilling til den konkrete saken, trakk Studentradioen søknaden.

Elektronisk overvåking av ansatte

Et edb-systems registre eller aktivitetslogg kan bare brukes til å administrere systemet og til å avdekke eller oppklare brudd på sikkerheten i edb-systemet. Likevel har mange tolket dette som det nå er fritt fram for å overvåke de ansatte. Slik er det ikke. Aktivitetsloggene skal ikke brukes til å overvåke hva de ansatte gjør i arbeidstiden.

Et klart regelbrudd er om arbeidsgiveren logger hvilke web-sider en ansatt har vært inne på for å se om sidene har relevans i jobben eller om den ansatte har kikket på sider med et innhold arbeidsgiver ikke kan godta.

Overvåking av ansattes e-post

Enkelte virksomheter har regler for hva som ansees som korrekt oppførsel på nettet. Dette kan dreie seg om alt fra hvordan man svarer på e-post («no dirty language») til hvilke sider man kan gå inn på. Arbeidsgiveren ønsker at moralreglene overholdes, og i noen tilfeller ser de derfor på de ansattes e-postmeldinger og får oversikter over hvilken informasjon den ansatte er interessert i. Dette er ikke uvanlig i USA, og mange internasjonale selskaper har innført et lignende regime i Norge etter ordre fra sin moderbedrift.

Denne typen overvåking er hverken lovlig eller akseptert i Norge, og bryter mot regler i såvel straffeloven og personregisterloven, som arbeidsmiljøloven. Aktivitetsloggen skal benyttes for å ivareta sikkerheten - ikke for å «bedre» moralen.

Ansatte bør være klar over at de fleste IT-systemer registrerer alt som foregår, slik at arbeidsgiveren i teorien kan få kjennskap til hva den ansatte har gjort og hvor lang tid han eller hun har brukt på dette. Arbeidsgiver har ikke lov til å bruke loggene til å overvåke de ansatte, selv om dataene utgjør et potensiale for overvåking.

Cookies og profilbasert annonsering

En hjemmeside ser ikke alltid lik ut for alle som går inn på den. Mange virksomheter skreddersyr utseendet på hjemmesiden etter registrerte preferanser og ønsker fra den enkelte bruker. Det kan bety at om du liker fluefiske kan du få tilbudt reklame for dette. Liker du derimot fisking med sluk, får du reklame for det når du går inn på web-sidene om fiske. Slik skreddersydd markedsføring har selvsagt som hensikt å «kapre kunden» ved å kjenne hans eller hennes behov eller interesser, nesten før kunden selv kjenner dem. Hvordan finner annonsørene og eierne av hjemmesidene ut hvilke preferanser en kunde har? Det er flere metoder. En er å spørre brukeren direkte om dette og deretter la brukeren identifisere seg når hjemmesiden besøkes.

En annen måte er å bruke en «cookie» som identifiserer brukeren ved neste besøk. En «cookie» er en slags oppsamler av informasjon om brukerens bevegelser på nettet. Cookien følger oss, dersom vi ikke gir «programmet» beskjed om noe annet. Informasjonen i den kan leses av andre.

En tredje variant er å bruke en cookie og deretter følge brukerens gang på hjemmesidene for så å lage en profil over brukeren eller kunden ut fra hvilke bevegelser brukeren har på nettet. I det siste tilfellet kan brukerne være «anonyme», men likevel få tilbudt skreddersydd reklame etter sitt bruksmønster. I de to første variantene er brukerne ikke anonyme.

Det kan oppstå spørsmål om det foretas registreringer som kan gå utover registreringer tillatt i ordinære, konsesjonsfritatte kunderegistre, ved å bruke denne typen overvåking av kunder eller brukere. Dette må vurderes i hvert tilfelle. Det er derfor viktig at både virksomheter, leverandører og brukere er kjent med denne overvåkingsmuligheten. Slike spørsmål vil Datatilsynet arbeide mer med i 1998.

Opptak av telefonsamtaler

Bruk av telefon for å overvåke eller avlytte andre er ikke et ukjent fenomen. Datatilsynet mottok flere henvendelser høsten 1997 om opptak av telefonsamtaler man selv deltar i. Mange reagerte negativt på at samtaler med tilbud om et produkt ble tatt opp uten at samtykke ble innhentet på forhånd, eller at lydbåndopptaket på annen måte var varslet. Opptaket ble senere benyttet som bevis for at en konkret avtale var inngått.

I henvendelsene Datatilsynet mottok, mente den ene parten at opptaket ikke gjenspeilet det konkrete hendelsesforløpet i samtalen. På bakgrunn av mange reaksjoner, tok Datatilsynet forholdet opp med foretaket som gjorde opptakene.

Datatilsynet kunne etter korrespondanse med selskapet og et kontrollbesøk, konstatere at opptakene måtte være å anse som en del av selskapets kunderegister. Kunderegistret måtte etter sitt innhold også oppfattes som et konsesjonspliktig register i henhold til personregisterloven. I forbindelse med konsesjonsbehandlingen satte Datatilsynet som konsesjonsvilkår at det aktuelle firmaet på forhånd skulle varsle at telefonsamtalen ble tatt opp på lydbånd.

Fordi lydbåndopptakene ble ansett som et konsesjonspliktig personregister, kunne Datatilsynet sette vilkår for opptaket av samtalen og bruken av dette opptaket. Datatilsynet har imidlertid i arbeidet med denne og lignende saker, ofte sett at regelsettet når det gjelder lydbåndopptak ikke er tilfredsstillende dersom opptakene ikke rammes av konsesjonsplikt.

Overvåking i drosjene

Datatilsynet har fått mange henvendelser om overvåking i drosjer. Flere drosjesentraler har vurdert muligheten av å innføre overvåkingsutstyr i bilene, enten videoopptak eller fotografering av passasjerene. Digital overføring av bilder til sentralen har også blitt diskutert.

Personregisterloven 37a og 37b gir regler for fjernsynsovervåking og billedopptak. Loven setter som vilkår at det skal foreligge et saklig behov for at overvåking kan iverksettes. Det er opp til den enkelte, her det enkelte drosjeselskap, å vurdere om slikt behov er til stede. Datatilsynet skal ikke godkjenne det enkelte tiltak, men Datatilsynet kan imidlertid tolke lovens bestemmelser.

Når det skal vurderes om overvåking i en konkret sak er i overensstemmelse med personregisterlovens regler, må fordelene med overvåkingen veies opp mot den integritetskrenkelse som overvåkingen vil innebære overfor den enkelte person. Etter Datatilsynet vurdering er det tvilsomt om iverksettelse av overvåking i drosjene er i overensstemmelse med personregisterlovens regler om overvåking. Denne vurderingen stemmer også overens med publikums oppfattelse av overvåking i drosjer. En undersøkelse gjennomført av Statistisk sentralbyrå, Statens informasjonstjeneste og Datatilsynet sommeren 1997, viser at et flertall (55 prosent) av publikum oppfatter overvåking i drosjer negativt.

Posten brøt reglene for sletting av billedopptak

I 1996 anmeldte Datatilsynet Posten for å ha oppbevart billedopptak som skulle ha vært slettet i henhold til reglene. Forskriften til personregisterloven gir tre måneders slettefrist for Postens videoopptak. Posten hadde oppbevart videoopptak utover denne fristen.

Saken var spesielt interessant fordi Oslo forhørsrett hadde gitt beslutning om utlevering av opptakene til Oslo politikammer i forbindelse med etterforskningsarbeidet i den såkalte AUF-saken. Posten oppga at det var søkt om forlenget lagringstid (seks måneder) og også bedt om oppsettende virkning for opptak som allerede var gjort.

Datatilsynet mente at Posten ikke hadde tillatelse til å være i besittelse av de videoopptakene som ble levert til Oslo politikammer.

Anmeldelsen ble i første omgang henlagt for så å bli påklaget til Oslo Statsadvokatembeter. Vedtaket om henleggelse ble opprettholdt av Statsadvokaten og saken oversendt til Riksadvokaten.

I september 1997 utferdiget Riksadvokaten forelegg mot Posten for overtredelse av forskriften til personregisterloven og Posten ble ilagt en bot på 25.000 kroner.

Undersøkelse om holdninger til personvern

Et samarbeid mellom Statistisk sentralbyrå, Statens informasjonstjeneste og Datatilsynet resulterte i at det ble gjennomført to undersøkelser om holdninger til personvernspørsmål i Norge i 1997. Den største undersøkelsen rettet seg mot publikum. I den andre undersøkelsen fikk et utvalg av journalister anledning til å diskutere personvernspørsmål generelt og sitt forhold til Datatilsynet spesielt. Formålet med kartleggingen har vært å skaffe innspill til Datatilsynets planleggings- og prioriteringsarbeid og informasjonsvirksomhet, og å få en oversikt over hva folk flest mener er trusler mot privatlivets fred og personvernet.

Publikumsundersøkelsen bekrefter Datatilsynets erfaringer med at regler om beskyttelse av privatlivet og retten til et personvern oppfattes som viktig for enkeltmennesket. Det er i situasjoner som oppleves som krenkende eller hvor privatlivets sfære føles truet at det konkrete og uttrykte behovet for Datatilsynets støtte er aller mest synlig.

Undersøkelsen viser likevel at kriminalitetsbekjempelse og oppklaring av kriminelle handlinger oppfattes som viktigere enn personvern generelt sett. Dette ga 68 prosent av publikumsgruppen utrykk for. Kvinner og eldre mennesker ser ut til å legge større vekt på dette hensynet enn på personvern. Publikum mener at økt kontroll og overvåking kan gjennomføres på bekostning av andre verdier, som for eksempel personvernet, viser undersøkelsen.

Fødselsnummer - personnummer

Bruk av personnummer i tillegg til fødselsdato er bekymringsfull, mener 55 prosent av de spurte. Her er bekymringen betydelig lavere hos de yngste årsklassene, hvor hele 44 prosent ikke synes det er så viktig å holde personnummeret privat. I gruppen som oppgir å ha utdanning på grunnskolenivå og gruppen som oppgir å ha lav inntekt, er bekymringen for bruk av personnummer minst.

Varierende grad av følsomhet

Helseopplysninger er svært følsomme, opplysninger om økonomi og opplysninger om betalingsevne er ganske følsomme. Opplysninger om politisk oppfatning og fagforeningsmedlemskap vurderes i langt mindre grad som følsomme opplysninger, viser undersøkelsen.

Misbruk

Opplysningene fryktes misbrukt spesielt i salg og markedsføringssammenheng (49 prosent), i helsevesenet (35 prosent) og generelt ved bruk av elektroniske hjelpemidler (26 prosent). Utvalget har svært liten bekymring for misbruk av personopplysninger når det gjelder bruk av opplysninger i forskning (5 prosent). Kvinner mener i større grad enn menn at det er stor fare for misbruk av personopplysninger i kontakt med helsevesenet. Begge kjønn oppgir likevel salg og markedsføring som den mest risikable sammenhengen.

Er personvernet bra nok?

48 prosent av utvalget mener at dagens lover og regler er stort sett slik de bør være. Samtidig mener 39 prosent at reglene er for svake. Denne oppfatningen får størst tilslutning i gruppene med lavest utdanning.

Bonus, rabatt og fordeler - er kort godt?

Hele 76 prosent av utvalget hadde bonuskort. De som noen gang hadde latt være å bruke kortet fordi de visste at transaksjonen ville bli registrert, utgjorde bare 8 prosent av utvalget. Over halvparten av de som aldri hadde ønsket å unngå registrering (64 prosent) oppga at det ikke var noe problem med registrering når de brukte bonuskortene sine. Flere menn enn kvinner mener dette, og andelen øker med utdanning og inntekt. Bare 7 prosent var ikke klar over at det foregikk en registrering når de brukte kortet sitt.

Innsyn

Svært få, bare 9 prosent, har benyttet seg av innsynsretten og bedt om å få se opplysninger om seg selv i et personregister. Det oppleves ikke som et behov å bruke innsynsretten, viser resultatene.

Overvåking

Det oppleves som lite problematisk å bli overvåket med videokamera på offentlige steder som for eksempel jernbanestasjoner, store plasser mv. Men når kameraet beveger seg nærmere den personlige sfære blir overvåking sett på som mer problematisk av et flertall - 55 prosent mener eksempelvis at overvåking i drosje er negativt.

Tillit

Publikum oppgir å ha tillit til at Datatilsynet løser sine oppgaver og ivaretar personvernet på en skikkelig måte. 57 prosent mener at Datatilsynet gjør en god jobb.

Journalistene er fornøyde

Undersøkelsen blant journalistene viste at de fleste mener at grensen for privatliv har flyttet seg de senere årene og at det er viktig å sette inn ressurser på områder som kommersialisering av personopplysninger, teknologiens muligheter og utfordringer generelt, overvåking og personkontroll og personfokusering i markedsføring, forskning og i medier.

Journalistene oppfatter Datatilsynet som en tilgjengelig etat som skaper tillit og er åpent deltagende i samfunnsdebatten.

Informasjonstiltak i 1997

Behovet for å formidle informasjon til omverdenen er stort. Datatilsynet arbeider aktivt for å distribuere rett informasjon til aktuelle målgrupper og for å opprettholde en strukturert og god mediekontakt. Målsetningen med informasjonsarbeidet er å bidra til å synliggjøre Datatilsynet som forvalter av personregisterloven og Datatilsynets virksomhet for å få dette til. Informasjonsvirksomheten er et virkemiddel for å nå fram til de aktuelle målgruppene med korrekt budskap. Datatilsynet arbeider for å øke publikums og registereieres bevissthet om personvernrettigheter og -plikter. I 1997 har dette spesielt vært knyttet til elektroniske spor i varehandelen, og bruk av personopplysninger i forsikring og kredittopplysningsvirksomhet.

Informasjonsarbeidet i Datatilsynet bygger på prinsippene i den statlige informasjonspolitikken.

Noen viktige målgrupper er:

Innehavere av personregister- og virksomhetskonsesjoner

Publikum

Edb-konsulenter,-leverandører og -rådgivere

Helsesektoren

Høyskoler, universiteter

Organisasjonene i arbeidslivet

Kommuner

Butikkjeder, varehandel

Samferdselssektoren

Politikere Medier

Mediekontakt

Mediene er en viktig kontaktflate for Datatilsynet og vurderes som en nødvendig formidlingskanal. Det er lagt vekt på ha et ryddig og ordentlig forhold til mediene slik at aktuelle saker kan belyses på en mest mulig korrekt måte. Samtidig er det også vurdert som viktig å ha et høyt servicenivå overfor journalister. Alle henvendelser blir behandlet raskt og likt. Om lag 1/2 årsverk benyttes til daglig mediekontakt; kontakt som tas på både medienes og Datatilsynets eget initiativ.

Offentlig journal

Datatilsynet bruker normalt en til tre dager på å besvare bestillinger av saksdokumenter fra offentlig journal. Journalen er fyldig og innholdsrik og legges blant annet ut på pressesenteret i regjeringskvartalet. Den er populær å bestille dokumenter fra. Behandlingen av journalbestillinger er svært arbeidskrevende. Datatilsynet bruker ca 1/2 årsverk på arbeidet med å finne frem saker, kopiere og sende ut dokumentene. Datatilsynet mottok 220 bestillinger fra journalen i 1997 og sendte ut 1.128 dokumenter. Detter en økning fra 1996 da antall bestillinger fra journalen var 165 og det ble sendt ut 800 dokumenter.

Utsendelse av informasjonsmateriell

Det er stor etterspørsel etter brosjyremateriell om temaer som videoovervåking, informasjonssikkerhet og personvernspørsmål generelt. I 1997 ble det sendt ut 3.500 brosjyrer om sikkerhetsspørsmål. Folderen «Fjernsyns- og videoovervåking» er sendt ut i 2.500 eksemplarer. Brosjyren «Datatilsynet og personvern» er sendt til 5.000 mottakere og det engelske informasjonsheftet «The Data Inspectorate and protection of privacy in Norway» er mottatt av 1.000 personer i 1997. Datatilsynets årsmeldinger etterspørres ofte som informasjonsmateriell. I 1997 ble det distribuert om lag 3.000 eksemplarer av årsmeldingen for 1996.

Distribusjonen er foretatt etter bestillinger fra enkeltpersoner, private eller offentlige virksomheter.

Datatilsynet mottar stadig henvendelser fra lærere som ønsker å bruke brosjyremateriell som en del av undervisningen. I løpet av 1997 ble det sendt ut ca 25 klassesett av brosjyrene. Alle brosjyrer blir gratis tilsendt (også klassesett).

Informasjonsmateriellet er også lagt ut på Datatilsynets web-tjeneste.

SPOR

I 1997 ble fire nummer av Datatilsynets kvartalsskrift SPOR utgitt. Bladet distribueres fast (og gratis) til 2.300 mottakere. I tillegg mottar Datatilsynet om lag 100 ekstrabestillinger pr nummer. Datatilsynet fikk i 1997 300 nye abonnenter på SPOR. SPOR gir generell informasjon om Datatilsynets virksomhet og tar opp aktuelle temaer. Blant temaene i 1997 var forskning, vilkår for forsikring og kredittopplysningsvirksomhet, forslag til personopplysningslov, publikumsundersøkelse og elektroniske spor.

Web-tjenesten

Datatilsynet har hatt egen www-adresse på internett siden 1991.Tilknytningen gikk tidligere via universitetet i Oslo. I løpet av 1997 har Datatilsynet etablert en egen web-server og egen-produserte hjemmesider med informasjon, nyheter og bestillingsmuligheter. Samtidig er det bygget opp et intranett over samme mal som internettsidene. Internettilknytningen foretas, av sikkerhetsmessige årsaker, på en maskin og et system fysisk adskilt fra det interne systemet.

Det er planlagt å utvide den eksterne web-tjenesten ytterligere for å øke muligheten for toveiskommunikasjon og aktiv dialog med publikum generelt og brukere med interesse for personvernspørsmål spesielt.

Pressemøter

Datatilsynet arrangerte i 1997 fire pressemøter. Hvert pressemøte ble arrangert som åpne debattmøter med deltagere fra både fagmiljøer og presse.

Temaene har vært personopplysninger i forsikring, bruk av e-post og elektronisk overføring av informasjon, fjernsynsovervåking og nye vilkår for kredittopplysningsbyråene. I tillegg ble det arrangert en presskonferanse da resultatene fra undersøkelsen om publikums holdninger til personvern ble presentert. Møtene og pressekonferansen har vært vellykkede arrangementer der Datatilsynet har hatt anledning til å sette viktige temaer på dagsorden.

Foredrag

Datatilsynets informasjonsvirksomhet dreier seg også om nærkontakt med ulike målgrupper i form av foredrags- og forelesningsvirksomhet. Denne kontaktflaten oppleves som svært nyttig både for Datatilsynet og for deltagere på forelesningene eller seminarer. I 1997 deltok Datatilsynets saksbehandlere som foredrags- eller forelesningsholdere på 51 forskjellige eksterne arrangementer. Temaene har kretset rundt elektroniske spor i varehandel og lojalitetsprogrammer, internetthandel, informasjonssikkerhet, helse og sikring av personopplysninger og personvernspørsmål generelt.

New draft legislation on the handling of personal data

On 13 June 1997, the Personal Data Register Committee submitted its proposal for a new Act on the handling of personal data. The proposal is largely based on the EU directive on the protection of individuals with regard to the processing of personal data and on the free movement of such data (95/46/EC), and involves an adaptation of the Norwegian provisions concerning the protection of privacy to those that apply in the remaining EEA and EU member countries. The Act, which will replace the existing Personal Data Registers Act, is expected to be adopted and to enter into force in 1998. The introduction of the new Act will involve a number of challenges, in relation both to technicalities concerning the protection of privacy and to the adaptation of the work of the Data Inspectorate to the new legislation.

Electronic traces in shops and in the transport sector

In the spring of 1997, a number of companies introduced a system known as bonus cards. Bonus cards are based on the idea of customers earning points every time they buy something. Bonus points can be realized in the form of goods and services from the card company or from one of the companies collaborating with the card company. To calculate the number of points earned by customers and to administer customer involvement, the bonus card companies keep customer registers containing relatively extensive data. There has been some discussion concerning the types of information that the companies have a genuine need for in relation to their activities. The data that are stored leave electronic traces behind after the customer, and can provide considerable information about the pattern of the customer's purchases.

Technological developments have resulted in extensive use of electronic registration systems that may contain detailed information about such things as how we travel. It is obvious that airlines and passenger ferries, for example, register information concerning places and times of departure and destination. However, it is not equally obvious that banks register the exact time and place every time we use an electronic payment card. In the latter case, such information is often registered without the customer being aware of giving away any information. A characteristic of electronic traces is that information is registered without the registered person being aware of giving away information or that the information has been registered.

Information on bank transactions used for marketing purpose

In 1997, the Data Inspectorate dealt with a query concerning the right of the banks to use information on deposits and withdrawals (transaction data) as a basis for direct marketing to the customer. In the case concerned, information concerning the receipt of family allowance was used as a selection criterion in connection with sending out an offer for a specific savings scheme. The Data Inspectorate is concerned with ensuring that persons about whom information is registered must be able to inspect their own personal data and decide what it may be used for.

Large medical registers

The Health Service is currently in rapid development, and increasing demands are made upon it. In 1997, the Data Inspectorate dealt with several draft laws within the health sector: the Act relating to medical personnel, the Act relating to specialized medical services, the Act relating to the rights of patients and the Act relating to legal safeguards and special measures for recipients of mental health care. Besides this, proposals have been submitted concerning the right to inform the relatives of patients suffering from genetic defects. The collective result is a series of proposals to extend the powers of the Health Service to serve the worthy cause of improving the health of us all. However, in the view of the Data Inspectorate, issues relating to the protection of privacy have not been given sufficient consideration in this work.

New guidelines for data security

The Data Inspectorate may provide rules for the protection of data registers that contain sensitive personal data. Until 1997, the basis for such rules was the Data Inspectorate's requirement that sensitive personal data should be kept in a dedicated computer system. Rules concerning the protection of data are given as individual decisions, normally in connection with controls or with the issue of licences. In the case of municipalities, county authorities and public health institutions, all establishments have been notified of the decision concerning the use of dedicated computer systems. In January 1998 new guidelines for data security will be issued.

New methods of investigation used by the police

In 1994, the Ministry of Justice appointed a committee to assess and propose new methods for criminal investigation. The work of the Committee resulted in a report on investigation methods for combating crime. The proposals set out in the report include new rules for the control of telecommunications and data communications. The Committee also proposed, during a trial period, allowing such techniques as electronic surveillance, both of rooms (commonly known as «bugging») and of public places, use of signal tracking devices and postponement of notification of a suspect that he is under investigation. It is proposed that a lawyer shall be appointed in some cases, to safeguard the suspect's security under the law. The Data Inspectorate is critical of the proposals, holding the view that issues relating to the protection of privacy, not least in relation to innocent third parties, have not been given sufficient attention, and therefore wishes that an additional report be submitted to take account of these considerations.

Insurance: New conditions for personal data

In January 1997, the provision regulating life insurance companies' customer registers laid down in the main regulations pursuant to the Personal Data Registers Act was revoked. This means that the registration of personal data concerning the customers of both general insurance and life insurance companies is now subject to licensing. The Data Inspectorate has worked for a long time on the drafting of licensing conditions for the keeping of customer registers by the insurance companies. The result of this work, which was completed in the summer of 1997, is a set of conditions that form the basis for dealing with applications from insurance companies for permission to keep customer registers. Individual customers will now receive better information on the insurance companies' use of personal data.

New licensing conditions for credit information services

The Data Inspectorate worked for a long time on new licensing conditions for the activities of credit information services. The aim of this work has been to be able to issue new licenses for these services and for the registers kept by them. The Data Inspectorate's work on the new licensing conditions was completed at the end of 1997. An important consideration in this work has been the provision of more and better information to those registered.

Electronic surveillance

Now that electronic aids are available to the majority, the possibilities for surveillance are increasing. During the course of 1997, the Data Inspectorate has seen various examples of how electronic surveillance can be implemented at the workplace, in schools and in situations where customer relations are of importance to business operations. In addition to ensuring adherence to the Personal Data Registers Act's provisions on surveillance, it is the responsibility of the Data Inspectorate to contribute to ensuring that the surveillance potential that lies in the technology is known to both the operator and the object of surveillance.

Investigation of attitudes to the protection of privacy

Cooperation between Statistics Norway, the Norwegian Central Information Service and the Data Inspectorate resulted in two investigations of attitudes to issues related to the protection of privacy in Norway in 1997. The largest investigation was directed towards the public. In the other, a committee of journalists was given the opportunity to discuss issues related to the protection of privacy in general and their attitudes to the Data Inspectorate in particular. The purpose of this research was to obtain input to the Data Inspectorate's activities in the areas of planning, priorities and information, and to acquire an overall impression of what people in general regard as being threats to privacy.