Utvalgte hurtiglenker

    Meldinger til Stortinget

    St.meld. nr. 53 (2000-2001)

    Datatilsynets årsmelding for 2000

    Til innholdsfortegnelse
    Forrige kapittel

    1 Datatilsynets årsmelding for 2000

    Styrets beretning for 2000

    Styret hadde fem styremøter i 2000. Styret har behandlet 21 saker. I tillegg er 29 saker lagt frem til orientering.

    Alle klagesaker til Justisdepartementet behandles av styret. Av de 21 sakene styret behandlet var 8 klagesaker. Alle klagesakene ble sendt over til Justisdepartementet som klageinstans.

    De fleste klagesakene gjaldt helt eller delvis avslag på søknad om konsesjon for opprettelse av personregister.

    Ut over klagesakene har styret behandlet saker av stor betydning eller prinsipiell interesse for personvernet, herunder høringssaker. Den viktigste høringssaken var utkastet til forskrifter til lov om behandling av personopplysninger. Av andre saker av større interesse nevnes konsesjoner til Rikstrygdeverket for personregistre i trygdeetaten og nye konsesjoner for telesektoren. Styret har videre behandlet spørsmålet om sletting eller overføring til Riksarkivet av Sentralkartoteket for åndssvake og Sentralregistret for vanføreomsorgen. Styret vedtok å tillate registrene overført til Riksarkivet på nærmere betingelser, blant annet at materialet skulle anonymiseres etter tre år. Videre har styret truffet vedtak om å pålegge sletting av opplysninger om forenklede forelegg fra bøteregistret.

    Styret har vedtatt årsplan for styrets virksomhet. Styret fører to protokoller fra styremøtene, en vedtaksprotokoll og en referatprotokoll. Vedtaksprotokollen er offentlig etter offentlighetsloven. Etter styrets vedtak er også referatprotokollen offentlig.

    Etter den nye personopplysningsloven skal Datatilsynet ikke ledes av et styre. Styret fratrådte derfor fra lovens ikrafttredelse den 1. januar 2001. Styret benytter anledningen til å takke for seg og til å ønske Datatilsynet lykke til i det videre arbeide.

    Regine Ramm Bjerke

    Leder i Datatilsynets styre

    Styret i Datatilsynet har hatt følgende sammensetning i 2000:

    • Advokat Regine Ramm Bjerke, formann (varamedlem byrettsdommer Nina Opsahl)

    • Art director Marianne Voll, nestleder (varamedlem konsulent Berit Opedal Windheim)

    • Sjefslege Jan Olav Johannessen (varamedlem yrkeshygieniker Bjørn Erikson)

    • Prosjektleder Jennifer Akselsen (varamedlem advokat Wenche Flavik)

    • Administrasjonssjef Roar Svartberg (varamedlem adm. direktør Per Rosenblad Brun)

    • Sorenskriver Roald Tørrissen (varamedlem kinosjef Egil Akselsen)

    • Kontorsjef Anne Lise Holøs (varamedlem kontorsjef Inger Gjesdahl)

    Styret ble oppnevnt 30. april 1998, og hadde sitt siste styremøte i desember 2000.

    Datatilsynets direktør om virksomheten i 2000

    2000 ble siste virksomhetsår med «Lov om personregistre» som utgangspunkt og retningsgiver for Datatilsynets arbeide. Det ble også siste året der Datatilsynet hadde styre og Justisdepartementet som administrativt foresatt. Det gir grunn til ettertanke når det ved en slik anledning kan konstateres at loven fra 1978 i tyve år fra ikrafttredelse har vist seg som et godt tjenlig redskap i det institusjonaliserte personvernarbeidet i Norge. I løpet av disse årene har loven og forskriftene vært gjenstand for svært små forandringer. I det store og hele var den et meget godt verktøy i et forholdsvis langt tidsrom der den sosiale, kulturelle og ikke minst teknologiske utviklingen brakte med seg store forandringer, muligheter og utfordringer. Stikkordet er «informasjonsteknologi» som folk flest i 1980 knapt forbandt med noe praktisk og konkret i sin hverdag. Saksordfører for personregisterloven i Stortinget var Petter Furberg (Ap) som i sitt innlegg i odelstinget den 18. mai 1978 blant annet uttalte:

    «Med forslaget til lov om personregistre m.m. er vi i rimelig pakt med utviklingen innen den elektroniske databehandling med hensyn til personvern. Det har hittil ikke skjedd kjente misbruk av betydning på dette område, og vi er dermed ute i tide. Loven vil medvirke til å skape trygghet hos den enkelte for at opplysninger om dem selv ikke kommer på avveie.»

    I meldingsåret har Datatilsynet kunnet arbeide med å tilrettelegge overgangen til ny lov, med utgangspunkt i det faktum at annen generasjons rettsregler på personvernområdet bygger på 22 års praksis og bruk. Også den nye loven samlet bred, politisk oppslutning i Stortinget. Sammen med Stortingets behandling av Datatilsynets årsmeldinger gir dette et meget ønskelig utgangspunkt for den daglige bruken av en lov som fortsatt i stor grad er en fullmaktslov.

    Under Justisdepartementets utarbeidelse av forskrifter til loven har Datatilsynets administrasjon aktivt vært tatt med på råd. Datatilsynets styre har også kommentert forskriftsutkastet.

    Anledningen til å være med på å prege det endelige resultat har i seg selv bidratt til at man ved lovens ikrafttredelse mener å være i stand til å føre videre Stortingets hovedmålsetting fra 1978: En lov og en lovanvendelse som gir den enkelte rimelig trygghet for at bruken av persondata legger vekt på datasubjektets ønsker og interesser.

    Selv om den «nye» loven i viktige hovedtrekk fører videre den «gamle», vil det også melde seg nye oppgaver. Den EU-inspirerte personopplysningsloven tilbyr bedre personvern i en rekke sammenhenger, men åpner også for frivillig avståelse i betydelig omfang. I tillegg til oppgaven å orientere publikum om «hvordan» personvernlovgivningen virker og skal forstås, vil det fra 1. januar også oppstå et behov for å begrunne «hvorfor» personvern har betydning for den enkelte.

    Nytt er også et meldesystem for behandlinger av personopplysninger som skal være søkbart elektronisk slik at hvemsomhelst i praksis skal kunne finne ut hvem som registrerer hvilke personopplysninger til hvilke formål.

    Datatilsynet har i løpet av meldingsåret fått prosjektmidler for å starte arbeidet med å utvikle meldingssystemet, og for å tilrettelegge for innføring av ny lov. I budsjettet for 2001 er dessuten avsatt midler som vil gjøre det mulig å styrke administrasjonen. Nye, faste stillinger vil først bli opprettet når man har fått noe mer praktisk erfaring med den nye loven.

    Av lovens forarbeider fremgår at det i fremtiden skal legges større vekt på tilsyns- og kontrollvirksomhet. Datatilsynet har tatt konsekvensen av dette, idet den tidligere sikkerhetsseksjonen er besluttet videreutviklet til en sikkerhets- og tilsynsavdeling med en avdelingsdirektør som leder.

    Fem erfarne medarbeidere fratrådte sine stillinger i Datatilsynet i løpet av meldingsåret. Dette antyder at den spesielle kompetanse så vel jurister som teknologer utvikler gjennom sitt arbeide, har et interessant og voksende marked - både i privat og offentlig sektor. Det er derfor gledelig å kunne registrere at det ved hver utlysing av ledige stillinger regelmessig melder seg forholdsvis mange og gjennomgående godt kvalifiserte søkere.

    Virksomheten i 2000

    Personregisterloven ble vedtatt i 1978 og trådte i kraft 1980. Datatilsynet ble etablert 1. januar 1980. Loven skal beskytte de individrettede og samfunnsorienterte personvernhensyn.

    Datatilsynet har som hovedoppgave å sikre gjennomføringen av personregisterloven, herunder bl.a.:

    • behandle og avgjøre søknader om konsesjon etter personregisterloven

    • kontrollere at lover og forskrifter som gjelder for bruk av personopplysninger overholdes

    • informere om personvern og sikring av data og om de regler som gjelder for personregistre

    Datatilsynet hadde i meldingsåret 23 faste stillingshjemler. Stillingene er fordelt på direktør, kontorsjef med fem personer i staben, juridisk seksjonssjef med 10 jurister i staben, seksjonssjef for sikkerhet med to senioringeniører i staben samt informasjonssjef og web-redaktør i informasjonsseksjonen.

    Datatilsynets totale bevilgning for meldingsåret var kr 15 633 000,- mot kr 11 297 000,- i 1999. Bevilgningen for 2000 ble styrket ved at det ble opprettet en ny stilling knyttet til Schengen-arbeidet, og ved at det ble bevilget midler for forberedelser til ny lov.

    Administrasjon

    Det har også i 2000 vært lagt vekt på å videreutvikle de administrative fellesfunksjoner. Målet har vært å effektivisere og tilrettelegge for at alle oppgaver knyttet til ny lov skulle kunne gjennomføres på en tilfredsstillende måte. Administrativ seksjon har i 2000 hatt ansvar for store og viktige oppgaver innen etablering av et meldesystem, utvikling av ny arkivnøkkel, tilrettelegging for tekniske løsninger og etablering av nye rutiner.

    Økonomiforvaltning

    Økonomireglementet for staten med tilhørende funksjonelle krav trådte i kraft 10. januar 1997. Datatilsynet benytter Skattefogden i Oslo og Akershus som regnskapssentral. Datatilsynet har organisert økonomifunksjonen i henhold til reglementet, og det er innført rutiner slik at økonomireglementets krav, samt krav satt i økonomiinstruksen gitt av Justisdepartementet, er oppfylt. Datatilsynets interne økonomiinstruks er utarbeidet og ble forelagt Justisdepartementet 1. mars 2000. Datatilsynet tok i bruk ARILD remitteringssystem i november 2000.

    Arbeid med ny arkivnøkkel

    Som et ledd i forberedelser til ny lov har Datatilsynet som et eget prosjekt utarbeidet forslag til ny arkivnøkkel. Denne prøves ut fra januar 2001. Arkivsystemet er oppdateret og det er tilrettelagt for elektronisk lagring og scanning av dokumenter.

    Saksbehandling

    Saksbehandlingen omfatter alle aktiviteter i forbindelse med behandling av tildeling av konsesjoner, andre tillatelser og kontrollarbeid. Saksbehandlingen omfatter også kontakt med publikum, virksomheter og etater i form av svar på henvendelser, høringsuttalelser og deltakelse i interne og eksterne komitéer og faggrupper.

    I 2000 prioriterte Datatilsynet de ulike deler av saksbehandlingen på følgende måte:

    1. Enkeltvedtak etter personregisterloven

    2. Kontrollvirksomhet og publisitet

    3. Henvendelser fra publikum

    4. Høringsuttalelser

    5. Utvalgsarbeid/komitéarbeid

    Komplekse saker

    Datatilsynet bruker flest ressurser på behandling av søknader om konsesjon for å opprette personregister eller for drift av konsesjonspliktig virksomhet. De siste årene har vært preget av at sakene er færre, men mer komplekse og at problemstillingene har blitt flere og mer sammensatte enn i tidligere år. I 2000 ble det registrert innkommet 9 479 dokumenter. Tilsvarende tall for 1999 var 9 847 dokumenter.

    Konsesjon til personregister

    Et personregister er en samling personopplysninger som er lagret slik at de registrerte kan identifiseres. Registre over næringsdrivende og firmaer omfattes også av personregisterloven. Et eksempel på personregister er registre sortert etter navn. Et register sortert etter bilnummer eller telefonnummer er også et personregister fordi identifisering er mulig.

    Det må søkes om konsesjon fra Datatilsynet for å opprette edb-baserte personregistre. Det kreves også konsesjon for å opprette manuelle personregistre som inneholder sensitive personopplysninger. Sensitive personopplysninger er opplysninger om rase, politisk eller religiøs oppfatning, opplysninger om at en person har vært mistenkt, tiltalt eller dømt for straffbare forhold, helseforhold eller misbruk av rusmidler, seksuelle forhold, andre opplysninger som gjelder familieforhold utenom opplysninger om slektskap eller familiestatus, formuesordningen mellom ektefeller eller forsørgelsesbyrde.

    I meldingsåret ga Datatilsynet konsesjon til å opprette 2 150 registre. Av disse var 362 offentlige registre og 1 788 private. Dette er en oppgang i forhold til 1999 da det ble gitt konsesjon til 1 899 personregistre, hvorav 434 registre var offentlige og 1 465 registre private. I 1998 ble det gitt totalt 1 923 konsesjoner.

    Konsesjon for virksomheter

    Personregisterloven omfatter også disse virksomhetene:

    • Kredittopplysningsvirksomhet som gir informasjon om kredittverdighet eller økonomisk vederheftighet.

    • Databehandlingsvirksomhet som innebærer å bearbeide personopplysninger med elektroniske hjelpemidler for andre.

    • Adresserings- og distribusjonsvirksomhet som selger eller tilbyr adresser eller driver utsending av reklame eller annen informasjon til persongrupper.

    • Virksomhet som består i å drive markeds- og opinionsundersøkelser for andre.

    Det er utstedt totalt 421 virksomhetskonsesjoner.

    Massekonsesjoner

    Enkelte konsesjonstyper sendes til svært mange mottakere og er eksempler på standardiserte massekonsesjoner. I 2000 ble det for eksempel gitt 90 konsesjoner for optikerens kunderegister til Synsams medlemsforretninger. Det er i løpet av året også gitt 63 konsesjoner til videoforretninger hvor fotografi og signatur blir lagret i elektronisk kunderegister. Det ble også gitt 34 konsesjoner for reseptkunderegisteret.

    Mange henvendelser

    Datatilsynet får en rekke henvendelser av ulike slag. Mange av dem er saker som ikke direkte er knyttet til søknader om å opprette registre, eller å drive konsesjonspliktig virksomhet.

    Henvendelsene omfatter andre deler av personregisterloven, og tar gjerne opp temaer som er aktuelle i samfunnsdebatten, eller som knytter seg direkte til enkeltpersoners hverdagsliv.

    Dette kan være spørsmål om regler for overvåking, bruk av kredittopplysninger, bruk av opplysninger i skattelister, adressert reklame, regler for kunderegistrering, bruk av Internett, innsyn i registre eller journaler, sletting av opplysninger, bruk av fødselsnummer mv.

    Høringsarbeid

    I 2000 ga Datatilsynet 105 høringsuttalelser. Tilsvarende antall for 1999 var 107. Mange av høringsnotatene er komplekse.

    Datatilsynet legger stor vekt på høringsarbeidet, noe som også er i overensstemmelse med Stortingets ønske. Som høringsinstans bidrar Datatilsynet til at samfunnsplanleggere og beslutningstagere har tilstrekkelig informasjon om personvern og sikring av personopplysninger.

    Forberedelser til ny lov

    I meldingsåret har saksbehandlingen i Datatilsynet vært rettet inn mot ikrafttredelsen av ny lov. Særlig har det høsten 2000 vært fokusert på dette tema. Det har derfor vært nødvendig å tone ned den alminnelige saksbehandlingen utover høsten, og heller veilede nye søkere inn mot ny lov. Dette har gått rimelig greit. For videre detaljer om forberedelser til ny lov, se kapittelet nedenfor.

    Avslag og klager

    Datatilsynet har gitt avslag i 54 saker i 2000. Av disse var 36 bare delvis avslag i forhold til søknaden. Delvis avslag betyr i de fleste tilfelle at Datatilsynet har satt strengere vilkår enn det søkeren ønsket.

    I meldingsåret kom det inn 23 klager. I tillegg har Datatilsynet behandlet fem klagesaker som kom inn i 1999. Syv saker ble omgjort av tilsynets administrasjon, en sak ble avvist og åtte ble behandlet av styret. Fire saker er fortsatt til behandling i administrasjonen.

    Av vedtakene som ble styrebehandlet, ble ingen saker helt eller delvis omgjort av styret. I alle de åtte sakene opprettholdt styret vedtaket, og sendte saken videre til Justisdepartementet for behandling.

    Justisdepartementet avgjorde i løpet av meldingsåret 10 saker. I seks av sakene stadfestet departementet Datatilsynets vedtak. Fire vedtak ble omgjort. Ved utgangen av året er tre saker oversendt Arbeids- og administrasjonsdepartementet for behandling.

    Tabell 1.1 Skjematisk oversikt over klagesaker i 2000

    PartPåklaget vedtak/vilkårRegistertypeUtfallet av klagesaken/status 31.12.2000
    SSBAvslag på søknad om forlengelse av konsesjonStatistikkDatatilsynet omgjorde vedtaket
    Storebrand Livsforsikring og Gjensidige NORKonsesjonsvilkår (klagen kom inn i 1999)KunderegisterJustisdepartementet omgjorde vedtaket
    Nordenfjeldske ForsikringKonsesjonsvilkårKunderegisterKlagen ble trukket tilbake
    Stiftelsen Landsforeningen Rettferd for TaperneVedtak om sletting/anonymiseringSentralkartoteket for åndssvakeJustisdepartementet omgjorde Datatilsynets vedtak
    Bjørn LarsenAvvisning av sak vedrørende bankenes bruk av fødselsnummerBankkortJustisdepartementet opprettholdt Datatilsynets avvisningsvedtak
    Norske kredittopplysningsbyråers foreningRegistrering av opplysninger om åpning av gjeldsforhandlingPersonregister i kredittopplysningsvirksomhetDatatilsynet omgjorde vedtaket
    RikstrygdeverketRegistrering av kontonummer for betaling av ytelserTrygderegisterJustisdepartementet stadfestet vedtaket
    Nordland fylkeskommuneRegistrering av pasientnummer til bruk for fortløpende beregning av inntekter, analyser og statistikk ved innsatsstyrt finansiering av sykehustjenester (klagen kom inn i 1999)PlanleggingsregisterJustisdepartementet har oversendt saken til Arbeids- og administrasjonsdepartementet for avgjørelse
    N.N. (unntatt offentlighet)Sletting av opplysninger i arbeidsmarkedsetatens personalregister (klagen kom inn i 1999)PersonalregisterJustisdepartementet stadfester Datatilsynets vedtak om ikke å pålegge sletting
    CreditInformAvslag på konsesjon for innhenting av betalt uomtvistelig fakturainformasjon for næringsdrivendeKredittopplysningsregisterDatatilsynet omgjorde vedtaket
    Pricewaterhouse Coopers DAVilkår for overføring av personopplysninger om ansatte til utlandetPersonalregisterKlagen ble trukket
    N.N. (unntatt offentlighet)Sletting av opplysninger i barnevernjournalBarnevernjournalSaken er til behandling i Datatilsynet
    Oslo kommune, Byrådsavdeling for eldre og bydeleneAvslag på søknad om opprettelse av Personskaderegister i OsloForskningsregisterSaken er trukket. Ny søknad er sendt
    Østre Toten kommuneAvslag på registrering av barn som bare er potensielle søkere til barnehageplass og deres foreldreOpptaksregisterDatatilsynet omgjorde vedtaket til også å omfatte potensielle søkere
    SvartelistenAvslag på søknad om konsesjon (klagen kom inn i 1999)Liste over personers meninger knyttet til et produktDatatilsynet omgjorde vedtaket
    If Reiseforsikring/If SkadeforsikringKunderegister i forsikringsvirksomhetKunderegisterJustisdepartementet omgjorde Datatilsynets vedtak
    Blindern StudenterkollegiumRegistrering av fødselsnummerLeietakerregisterDatatilsynet omgjorde vedtaket til ikke å registrere fullt fødselsnummer
    FurmaniteklubbenGodkjennelse av kjøreregistratorRegister over kjøretidspunkterSaken er sendt Arbeids- og administrasjonsdepartementet for avgjørelse
    N.N. (unntatt offentlighet)Sletting av opplysninger i barnevernjournal (klagen kom inn i 1999)BarnevernjournalJustisdepartementet stadfester vedtaket om å ikke pålegge sletting
    Norges forskningsrådKonsesjonsvilkårForskningsregisterKlagen ble trukket
    Korn Ferry International asKonsesjonsvilkår - samtykkeKandidatregisterDatatilsynet omgjorde vedtaket
    Advokatfirmaet Føyen & CoVedtak om å bringe virksomhetens behandling av personopplysninger i samsvar med Datatilsynets sikringskravKlientregister og personalregisterSaken er til behandling i Datatilsynet
    Sophie D Fosså, Det Norske RadiumhospitalVedtak om å ikke akseptere bruk av informasjon om pasienter som ikke aktivt samtykkerForskningsregisterJustisdepartementet stadfester vedtaket
    Ingeborg Strømseng Sjetne, Stiftelsen helsetjenesteforskningVedtak om å ikke akseptere bruk av informasjon om pasienter som ikke aktivt samtykkerForskningsregisterJustisdepartementet stadfester vedtaket
    Kirsten Lindøe, LøveapoteketAvslag på søknad om konsesjonForskningsregisterJustisdepartementet har oversendt saken til Arbeids- og administrasjonsdepartementet for avgjørelse
    Ragnhild Haugen, Nordisk instituttAvslag på tilnærmingsmåte til respondenteneForskningsregisterJustisdepartementet omgjorde vedtaket
    Telenor Nett as, Telenor Mobil as og Telenor Nextra as3 måneders lagringstidAbonnementregisterSaken er til behandling i Datatilsynet
    Tele 2 Norge as3 måneders lagringstidAbonnementregisterSaken er til behandling i Datatilsynet

    Utvalg av saker i 2000

    Forsikringsselskapa si bruk av helseopplysningar - «lege-forsikringsutvalget»

    Stortinget vedtok våren 1997 å be Regjeringa om ei vurdering av forsikringsselskapa si bruk av helseopplysningar. Daverande helseministar Dagfinn Høybråthen sette hausten 1998 ned eit utval for å vurdere forsikringsselskapa si praksis med innsamling og bruk av helseopplysningar ved teikning av forsikringsavtalar og praksis ved bruk av legar ved søksmål om skadebot for personskade. Utvalet fekk namnet «lege- forsikringsutvalget». Utvalet hadde representantar frå ei rekkje offentlege og private institusjonar: Norsk pasientforening, Landsforeningen for trafikkskadde, Den Norske Lægeforening, Statens Helsetilsyn, Rikstrygdeverket, Kredittilsynet, Finansnæringens Hovedorganisasjon, Storebrand If og Datatilsynet, forutan to medlemmar, Ola Didrik Saugstad og Bente Ohnstad, som vart oppnemnde i kraft av fagkompetansen deira innan medisin og helserett.

    Innstillinga, NOU 2000:23, vart levert til helseministar Tore Tønne den 4. juli 2000. Datatilsynet sin representant i utvalet dissenterte på viktige punkt i rapporten. Datatilsynet oppfatta mandatet slik at Stortinget ønska ei utgreiing av dagens rettstilstand og praksis, og deretter forslag til endringar som skulle betre den registrerte sine rettar. I arbeidet i utvalet fremma Datatilsynet dette synet ved ei rekkje høve. Datatilsynet har difor slutta seg til dei forslaga som i det minste prøver å betre dei registrerte si rettsstilling eit stykkje på veg. I fleire av dissensane uthever Datatilsynet at ein frå tilsynet si side ville ønska ei klårare og strengare regulering av kva opplysningar selskapa bør kunne spørje om og hente inn, og kva rutinar som bør gjelde ved innsamlinga.

    Utvalet foreslår at selskapa ikkje kan stille spørsmål om helseopplysningar som er eldre enn 10 år og livsstilsopplysningar som er eldre enn fem år. Forsikringssøkjaren får høve til ikkje å svare om eit spørsmål avdekkjer særs følsame personlege tilhøve. Opplysningane må vere relevante og kunne ha vesentleg tyding for risikovurderinga. Selskapa blir vidare pålagde å grunngje avslaga sine. Selskapa kan ikkje gje avslag på grunnlag av opplysningar som dei ikkje har høve til å spørje om. Fleirtalet i utvalet foreslår at selskapa skal kunne krevje at søkjaren går gjennom nokre medisinske testar dersom han søkjer om ein særskilt høg forsikringssum. Datatilsynet er ikkje einig i at selskapa skal kunne krevje at medisinske testar skal takast. Nye undersøkingar kan avdekkje helseforhold som forsikringssøkjaren enno ikkje veit om. Tilsynet meiner at omsynet til den einskilde si personverninteresse bør vere lik for alle. I tillegg er tilsynet ueinig i at 1,4 til 2,3 millionar er ein «særskilt høg» forsikringssum.

    Med ei snau overvekt på sju mot seks deltakarar ønska utvalet å gje forsikringsselskapa høve til å krevje opplysningar om genetiske testar som forsikringssøkjaren har tatt. Forsikringsselskapa skal òg ha høve til å krevje at det vert tatt nye testar ved teikning av forsikring, meiner fleirtalet. Datatilsynet var ikkje einig i dette, og fekk medhald av representantane frå Forbrukarrådet, Helsetilsynet og Rikstrygdeverket, i tillegg til dei to personleg oppnemnde ressurspersonane. Datatilsynet meiner at ein ikkje kan oppheve den einaste lovfesta avgrensinga som gjeld bruk av helseopplysningar i forsikringsbransjen i dag. Mandatet, og bakgrunnen for utvalet, var å styrke personvernet og rettssikringa til svake grupper. Etter synet til mindretalet har forslaget istaden svekka personvernet. Ei slik ordning vil føre med seg at grovinndelinga av risikogrupper vert borte, og at ein i mykje større grad går inn på ei individuell vurdering. Solidaritetstanken som forsikringa er tufta på vert då borte.

    Etter Datatilsynet si mening er ei sjukdomsdiagnose det beste og klåraste skiljet for kva forsikringstakaren skal plikte å opplyse forsikringsselskapet om.

    Telesektoren - nye konsesjoner for teleoperatørene

    Datatilsynet arbeidet gjennom hele meldingsåret med et internt prosjekt som skulle lede frem til nye konsesjoner for tjenestetilbydere av telekommunikasjonstjenester. Arbeidet ble sluttført i november 2000, og konsesjoner ble gitt teleoperatørene i desember.

    Det ble i prosjektgruppens arbeid lagt vekt på at konsesjonene skulle utformes på en måte som gjør dem teknologiuavhengige. Dette medfører at de samme vilkårene i hovedtrekk vil gjelde for en leverandør av taletelefoni som for en som leverer internettilgang. Konsesjonene vil på denne måten ta høyde for problemstillinger som måtte oppstå når de enkelte mediene etter hvert smelter sammen.

    Et viktig punkt i konsesjonen er slettefristen. Etter en vurdering av teleoperatørenes behov i forhold til personvernulempene er det satt en maksimumsfrist for sletting av opplysningene på tre måneder fra registreringstidspunktet. Dette betyr i det vesentligste en innskjerping i forhold til tidligere konsesjoner.

    Datatilsynet har også pålagt teleoperatørene å tilby brukerne en anonym tilgang til telenettet. Dette betyr i praksis at operatøren skal ha minst ett alternativ som ikke innebærer at det registreres opplysninger om den brukeren. Det vanligste eksempelet på en slik tjeneste er forhåndsbetalte kontantkort til mobiltelefoner.

    Teleoperatørene er gjennom forskriften til den nye personopplysningsloven pålagt å søke konsesjon for sin behandling av personopplysninger. Konsesjonene skal derfor tilpasses personopplysningsloven slik at prosjektgruppens arbeid fortsatt vil være retningsgivende for rettstilstanden på området.

    Økokrim har uttrykt sterke motforestillinger til enkelte av punktene nevnt over. De ønsker at operatørene skal være pliktig til å oppbevare opplysninger om kunder som logger seg på Internett i ett år. Datatilsynet har tatt til motmæle, og har anført at en slik oppbevaring sprenger grenser i personvernretten. Dette fordi man ville oppbevare opplysninger til et annet formål uten at det foretas en kvalitativ vurdering av behovet for oppbevaring av den enkelte opplysning. Gjennomføringen av et slikt forslag strider mot den retten den enkelte har til å være uiaktatt i størst mulig grad, som er en grunnforutsetning for en demokratisk rettsstat. I tillegg vil gjennomføringen ganske sikkert føre til et press på utvidet oppbevaring av andre data til oppklaring av kriminalitet i andre sektorer, og faren for at det vil føre til presedens er stor. En siste konsekvens av en slik ordning vil være at politiet setter den tillit de har hos borgerne i fare, noe som ville være uheldig for politiets fremtidige arbeid.

    Rikstrygdeverket

    Nye konsesjoner til Rikstrygdeverket

    Det har siden 1998 pågått et arbeid med godkjennelse av informasjonssikkerhet samt en revisjon av Rikstrygdeverkets konsesjoner. Arbeidet ble sluttført høsten 2000, og det er nå utstedt nye konsesjoner til trygdeetaten. Konsesjonene ble gitt under forutsetning av at Rikstrygdeverket utvikler informasjonssikkerheten videre, i samsvar med en avtalt tidsplan. Arbeidet har vært omfattende og tidkrevende for begge instanser, særlig i forhold til informasjonssikkerheten.

    Rikstrygdeverket har sensitive opplysninger om en stor del av Norges befolkning, inndelt i et stort antall registre med mange forskjellige formål. Datatilsynet har sett det som svært viktig at Rikstrygdeverket har klare rammer og et bevisst forhold til den enkelte borgers personvern. I denne sammenheng har det vært sentralt at etaten skal tilfredsstille Datatilsynets krav til informasjonssikkerhet.

    Klage fra Rikstrygdeverket

    Rikstrygdeverket fikk sommeren 2000 konsesjon til å opprette personregister for utbetaling av trygd og andre ytelser. Konsesjonen hadde grunnlag i endringer i folketrygdloven i forhold til utbetaling av ytelser. Rikstrygdeverket påklaget Datatilsynets vedtak.

    Rikstrygdeverket anførte i klagen at konsesjonen dekket trygdeetatens behov for å få endret løpende utbetalinger fra direkte utbetalingskort til utbetaling til konto. I følge Rikstrygdeverket løste konsesjonen imidlertid ikke etatens behov for tilgang til kontonummer for nye brukere på det tidspunkt utbetalingen skulle foretas. Rikstrygdeverket ønsket derfor at registeret skulle inneholde opplysninger om kontonummer for alle skatteytere i Norge, d.v.s. også personer som ikke mottar ytelser fra folketrygden. Opplysningene skulle innhentes fra Skattedirektoratet.

    Datatilsynet var negativt innstilt til at kopi av skatteetatens register, som omfatter alle skattebetalere i Norge, overføres til Rikstrygdeverket for dette formålet. Rikstrygdeverket ville ved en slik løsning inneha en stor mengde opplysninger etaten ikke har behov for. Registrering av opplysninger om personer som ikke mottar ytelser fra folketrygden vil, etter Datatilsynets oppfatning, være ren overskuddsinformasjon som det ikke er et saklig behov for. Videre ville det være store usikkerhetsmomenter knyttet til opplysningenes korrekthet, ettersom oppdatering bare skjer en gang i året.

    Det er uklart for Datatilsynet hvorfor enkelte mottakere av ytelser fra folketrygden ikke oppgir kontonummer til trygdeetaten. Etter det Datatilsynet forstår, er hovedtyngden av mottakere uten oppgitt kontonummer eksisterende mottakere av ytelser. Forholdet til utbetaling av ytelser til eksisterende mottakere er imidlertid løst ved konsesjonen. Utbetaling av ytelser til nye brukere skjer i all hovedsak etter søknad, og Datatilsynet er av den oppfatning at trygdeetaten uten for store vanskeligheter, i søknadsprosedyren, kan få oppgitt rett kontonummer fra søkeren. Det foretas imidlertid også utbetaling av ytelser uten slik forutgående forhåndsprosedyre, typisk ved refusjonsordningene. Det antas imidlertid at dette utgjør en relativt liten gruppe.

    Justisdepartementet var av samme oppfatning som Datatilsynet, og opprettholdt vedtaket.

    Norsk polyposeregister - brudd på konsesjonsvilkår

    Datatilsynet anmeldte i oktober 2000 lederen av Kreftregisteret, som registeransvarlig for Norsk polyposeregister, for brudd på konsesjonsvilkår. Norsk polyposeregister er underlagt konsesjon fra Datatilsynet, og lederen av Kreftregisteret er ansvarlig for at bestemmelsene i personregisterloven og beslutninger fattet i medhold av denne, følges.

    Familiær adenomatøs polypose (FAP) er en arvelig tilstand som kjennetegnes ved et stort antall godartede svulster, polypper, i tarmen. Noen av disse vil før eller siden utvikle seg til ondartede svulster (kreft). Sykdommens arvelighet gir grunn til antagelser om helsetilstanden til vedkommendes nærmeste familie.

    Datatilsynet mottok i februar 2000 en henvendelse fra en person med diagnosen FAP. Pasienten fremmet i henvendelsen en rekke anførsler vedrørende behandlingen av personopplysninger i Norsk polyposeregister. Flere av anførslene påpekte forhold ved registeret som ikke syntes å være i overensstemmelse med grunnleggende vilkår satt i konsesjonen. Bl.a. skulle det være registrert opplysninger i Norsk polyposeregister om personer som ikke har samtykket til slik registrering.

    I følge konsesjonen omfatter registeret polyposepasienter og deres familiemedlemmer som har samtykket skriftlig. Videre følger at deltakelse er frivillig, og at samtykket skal omfatte enhver bruk av registeret. Det fremgår videre at opplysningene bare kan innhentes fra pasienten selv, med mindre annet fremgår av pasientens skriftlige samtykke.

    Datatilsynet tilskrev på bakgrunn av henvendelsen Norsk polyposeregister, og ba om en redegjørelse i sakens anledning. Etter det Datatilsynet forstod av redegjørelsene fra polyposeregisteret, foreligger det store mengder opplysninger i registeret om personer som ikke har avgitt samtykke i samsvar med konsesjonens krav. Det fremstod dermed som om Norsk polyposeregister inneholdt opplysninger om personer det ikke var adgang til å registrere.

    Det fremkom også opplysninger om at det var igangsatt et forskningsprosjekt, med grunnlag i opplysninger fra Norsk polyposeregister. Det var ikke søkt om konsesjon for dette, til tross for at det følger direkte av konsesjonen at registeret ikke må brukes til andre forskningsprosjekter uten at samtykke fra Datatilsynet foreligger.

    Sakens dokumenter ga inntrykk av at det over lengre tid hadde foregått brudd på konsesjonsvilkårene, og Datatilsynets styre besluttet på dette grunnlag å oversende saken til påtalemyndighetene for behandling av de strafferettslige aspekter. Det var av betydning ved Datatilsynets vurdering at det var en stor og viktig aktør innen norsk forskning som ga inntrykk av ikke å ha overholdt sentrale konsesjonsvilkår. Kreftregisterets behandling av personopplysninger er av betydning for hvilken tillitt enkeltindividet til en hver tid har til den viktige medisinske forskning som foregår i Norge.

    Sentralkartoteket for åndssvake

    Datatilsynets styre ble i februar 2000 forelagt spørsmålet om avlevering av Sentralkartoteket for åndssvake (sentralkartoteket) fra Statens helsetilsyn til Riksarkivet for videre oppbevaring.

    Sentralkartoteket inneholder mapper med over 11 000 navngitte personer. Den siste mappen ble trolig opprettet i 1965. Innholdet synes å være fragmenter av et psykiatrisk sykdomsbilde, beskrevet på en måte som i dag fremstår som nedverdigende. Det registrerte materialet består dels av henvisninger med medisinske opplysninger fra leger, men det er også registrert opplysninger om såkalt uønsket arvestoff, på grunn av rase, misdannelser, psykisk utviklingshemming, kriminalitet og andre egenskaper som ble ansett som mindreverdige og uønskede. Det er et varierende antall dokumenter i mappene på den enkelte person. Noen mapper inneholder «journaler» med utførlige opplysninger, mens de fleste mappene inneholder bare noen få dokumenter.

    Datatilsynet er i medhold av personregisterloven tillagt myndighet til å gi pålegg om blant annet retting og sletting av opplysninger i et slikt personregister, etter at det er innhentet uttalelse fra Riksarkivaren.

    Datatilsynet vurderte sentralkartotekets innhold å være av en slik karakter at det representerte en belastning for de registrerte og deres familier å vite at det forelå slike opplysninger i et sentralt register.

    Datatilsynet var innforstått med, og tilla vekt, at sentralkartoteket kunne representere en verdi for historisk og samfunnsvitenskapelig forskning. Det kunne også representere en viss mulighet for enkelte til å gjøre seg kjent med sin egen, eller nærmeste families historie, og eventuelt fremskaffe dokumentasjon for overgrep som kunne berettige billighetserstatning fra staten. Ettersom Helsetilsynet uttalte at det ikke hadde faglig interesse i sentralkartoteket, ble det lagt til grunn at kartotekets medisinske verdi var begrenset.

    Slik Datatilsynet vurderte saken, ville opplysningene i stor grad uansett være tilgjengelig ved statsarkivet for bl.a. forskningsformål etter det vanlige regelverk. Dette materialet ville etter Datatilsynets oppfatning kunne være av bedre datakvalitet og således ha større forskningsmessig verdi enn sentralkartoteket. Sentralkartoteket fremstod rent faktisk som et landsomfattende duplikatregister/ inngangsregister, ettersom opplysningene i all hovedsak syntes å foreligge andre steder. Det kunne således vanskelig anføres at varig bevaring hos Riksarkivet i identifiserbar form var nødvendig.

    Varig oppbevaring hos Riksarkivet i identifiserbar form kunne etter Datatilsynets oppfatning vanskelig oppveie de personvernrelaterte ulempene som sentralkartotekets eksistens representerte for de registrerte. Datatilsynet var av den oppfatning at et vedtak som forutsatte anonymisering etter en viss tid, var den løsning som best kunne ivareta både personvernet, historiske/samfunnsmessige interesser og den enkeltes behov for kunnskap om egen historie. Et slikt vedtak ville etter Datatilsynets oppfatning også ivareta Stortingets uttalte ønske om at forholdene rundt kartoteket skulle bli avdekket. Datatilsynet fattet derfor et vedtak som tillot avlevering til Riksarkivet, under forutsetning av at materialet ble anonymisert etter tre år. I denne perioden kunne materialet stilles til rådighet for de registrerte for innsyn, og for enkelte konkrete forskningsprosjekter.

    Justisdepartementet var av en annen oppfatning enn Datatilsynet, og opphevet i oktober 2000 Datatilsynets vedtak. Departementet besluttet i vedtaket at sentralkartoteket skulle oppbevares hos Riksarkivet i personidentifiserbar stand.

    Offentlige servicekontorer

    I 1999 satte den daværende regjering ned et utvalg som hadde som mandat å utrede muligheten til å komme frem til en felles plattform for offentlige servicekontorer i forvaltningen. En sentral oppgave i utvalgets arbeid var å vurdere hvilke formelle hindre som ligger i det eksisterende forvaltningsrettslige regelverk. Datatilsynet deltok i arbeidet med to deltakere, en jurist og en teknolog, for å ivareta personverninteressene både ut fra en juridisk og en sikkerhetsfaglig betraktning.

    Datatilsynets representanter i utvalget utgjorde mindretallet på en del sentrale punkter:

    For det første var tilsynets representanter uenige med flertallet i forhold til ønsket om å fastsette en plattform, hvor alle saksbehandlerne skulle være generalister. Dette ville gjøre det svært problematisk å inkludere tjenester som behandler sensitive opplysninger i et offentlig servicekontor. Eksempler på slike tjenester er kommunens barneverntjeneste, sosialtjeneste og statlige tjenester som Fylkesmannens klageordninger og trygdeetaten. Datatilsynets representanter gikk derfor inn for en mer fleksibel grunnplattform som åpner for å ha spesialiserte saksbehandlere i servicekontoret, hvilket ville gjøre det enklere å inkludere slike tjenester.

    Videre fant tilsynets representanter grunn til å reservere seg mot utvalgets behandling av særlovgivningens forhold til den plattformen som ble vedtatt. Grunnen til dette var at disse problemstillingene var behandlet på en vilkårlig og overfladisk måte. Tilsynets representanter kunne ikke se at mandatet ble oppfylt på dette punktet, og ønsket å fri seg fra ansvaret som flertallet hadde pålagt arbeidsgruppen.

    Tilsynets representanter leverte også en særmerknad til behandlingen av spørsmålet om den generelle og spesielle taushetspliktens rekkevidde i forhold til den vedtatte plattform. Etter tilsynets oppfatning er det for kategorisk å hevde at taushetsplikten generelt sett ikke er noe formelt hinder. Taushetsplikten vurderes skjønnsmessig og vil åpenbart variere i forhold til oppgaver kontoret er tillagt, og i forhold til den enkelte særlovs taushetspliktsregler.

    I tillegg mente tilsynets representanter at det måtte være aktuelt å vurdere generalisters utøvelse av myndighet opp mot forvaltningslovens regler om habilitet. Disse reglene er også utpreget skjønnsmessige, og det kan ikke avfeies at reglene vil legge hindringer for utførelsen av oppgaver innenfor den vedtatte plattform.

    Datatilsynets representanter tok tidlig i utvalgets arbeid på seg ansvaret med å skrive kapitlet som skulle vurdere plattformen i forhold til personopplysningsloven. Kapitlet konkluderte med at denne lovgivningen legger begrensninger på hvilke arbeidsoppgaver som kan legges ut til et offentlig servicekontor ved bruk av den vedtatte plattform. Utvalgets leder motsatte seg å bruke kapitlet, hvilket førte til at sekretariatet selv skrev dette kapitlet med motsatt konklusjon. Forslaget fra tilsynets representanter ble tatt inn som særmerknad i et vedlegg i rapporten.

    Arbeidsgruppen avsluttet arbeidet ved utgangen av mars 2000. Rapporten «Ett sted, ett telefonnummer» ble overlevert regjeringen. Rapportens konklusjon var at det skulle legges frem et lovforslag. Dette er foreløpig ikke gjort.

    Rapporten er publisert i papirutgave av Arbeids- og administrasjonsdepartementet og kan finnes på Internett; www.dep.no/aad/publ/2000/service.

    Økt kontroll i arbeidslivet

    Datatilsynet har gjennom meldingsåret mottatt et økende antall henvendelser fra arbeidstakere som føler seg overvåket på arbeidsplassen. Spesielt er de ansatte bekymret over at arbeidsgiveren føler seg berettiget til å se igjennom alle dokumenter som ligger på datautstyr virksomheten eier, herunder lese vedkommendes e-post. Arbeidsgivers tilgang til de ansattes e-post eller andre private dokumenter er avhengig av den ansattes forventning om diskresjon. Forventningen er igjen avhengig av hvilken informasjon arbeidstaker har fått på forhånd.

    Datatilsynet har også mottatt henvendelser fra arbeidsgivere og rekrutteringsfirmaer hvor det gis uttrykk for et ønske om utstrakt registrering av opplysninger om den enkeltes helse. Datatilsynet er skeptisk til registrering av helseopplysninger hos arbeidsgiver og rekrutteringsfirmaer. Behandling av helseopplysninger i forbindelse med arbeidsforhold bør forbeholdes profesjonelle helsearbeidere, typisk bedriftshelsetjenesten.

    Datatilsynet ser likevel at arbeidsgiver i unntakstilfeller kan ha behov for registrering av enkelte generelle helseopplysninger som vil ha innvirkning på utøvelsen av arbeidet. Det må imidlertid være begrenset til nødvendige opplysninger for å tilrettelegge arbeidssituasjonen i henhold til arbeidsmiljølovens regler, med tillegg av tariffavtalene. Det kan også tenkes arbeidssituasjoner hvor det er nødvendig at arbeidstakeren har spesielt god psykisk og fysisk helse, eksempelvis dykking på dypt vann.

    Videoovervåkning

    Datatilsynet har merket en økning i antallet henvendelser fra publikum når det gjelder videoovervåkning. Foruten overvåking på arbeidsplassen relaterer dette seg særlig til bruk av såkalte web-kameraer. Hvis bildene fra et web-kamera gjør det mulig direkte eller indirekte å identifisere enkeltpersoner, medfører dette en utlevering av personopplysninger som i utgangspunktet er ulovlig uten lovhjemmel eller samtykke fra den avbildede.

    Når det gjelder videoovervåkning på arbeidsplassen, tyder pågangen på telefonen at stadig flere arbeidsgivere anser videoovervåkning som et hensiktsmessig hjelpemiddel. Selv om det uttrykte formålet vanligvis er bekjempelse av kriminalitet eller ivaretakelse av de ansattes sikkerhet, er det ikke tvil om at mange ansatte selv føler det som svært problematisk at sjefen har deres bevegelser i løpet av dagen på tape.

    Også flere skoler vurderer å ta i bruk, eller har allerede tatt i bruk, videoovervåkning i skolegården. Formålet er å bekjempe kriminalitet. Datatilsynet er av den oppfatning at det er uheldig for barn å møte overvåkningssamfunnet allerede i så ung alder. Barn bør bli konfrontert med sine kriminelle handlinger på andre måter enn gjennom et billedopptak.

    Den 29. november 1999 iverksatte politiet i Oslo et prøveprosjekt med videoovervåkning av utvalgte offentlige plasser i Oslo sentrum. Prøveperioden varte frem til november 2000 og prosjektet skal evalueres av politihøgskolen.

    Politiets iverksettelse av fjernsynsovervåkning medfører en overvåkning av det offentlige rom i et helt annet omfang enn tidligere. Formålet er i hovedsak å bekjempe kriminalitet, herunder å redusere stedbunden kriminalitet, oppklare lovbrudd og opprettholde ro og orden. En evaluering vil vise hvorvidt disse formålene virkelig realiseres. Dette vil ha betydning når man skal veie politiets videoovervåkning opp mot borgernes interesse i at personvernet ivaretas selv om man befinner seg på et offentlig sted.

    Helseopplysninger og personvern

    Ot. prp. nr. 5 (1999-2000) - Lov om helseregistre og behandling av helseopplysninger

    Regjeringen har lagt frem et lovforslag om regulering av bruken av helseopplysninger i helseforvaltningen. Loven vil være å anse som en spesiallov i forhold til Lov om behandling av personopplysninger. Lovutkastet ligger nå til behandling i Sosialkomiteen i Stortinget. Datatilsynet ble i denne forbindelse invitert til å komme med kommentarer til utkastet. Datatilsynet skal ha tilsynsansvaret for forhold knyttet til personvernspørsmål og sikkerhet.

    Loven regulerer behandlingsrettede helseregistre og lokale, regionale og sentrale helseregistre til bruk i administrasjon, styring, planlegging og kvalitetssikring av helseforvaltningen og helsetjenesten, forskning og statistikk. Annen behandling av helseopplysninger skal følge reglene i personopplysningsloven. Lovutkastet gjenspeiler de vurderinger og valg som Regjeringen har gjort mellom personvernhensyn og helseforvaltningens behov for tilgang på personopplysninger.

    Det fremgår klart av lovens formålsbestemmelse at personvernhensyn skal ivaretas. Lovens skrevne hovedregel er at all behandling av helseopplysninger skal bygge på samtykke fra den registrerte. Det gis imidlertid vid mulighet for å fravike kravet til samtykke i forskrift.

    Lovutkastet klargjør hjemmelen for de eksisterende landsomfattende helseregistrene, som f.eks. Kreftregisteret, Medisinsk fødselsregister med flere. Dette er en klargjøring Datatilsynet lenge har etterlyst. Utkastet legger i stor grad personopplysningsloven til grunn, og bruker denne som mal når det gjelder krav til den behandlingsansvarlige og rettigheter for den registrerte. Dette ser Datatilsynet som positivt.

    Selv om lovens formelle utgangspunkt og hovedregel er at all innsamling av informasjon skal bygge på den registrertes samtykke, er spørsmålet om ikke den reelle hovedregel vil bli en annen. Med hjemmel i forskriftene kan Kongen i Statsråd fravike kravet om samtykke og pålegge rapporteringsplikt der rapportering i utgangspunktet er forhindret av taushetsplikt. Loven fremstår således som en utpreget fullmaktslov. Fullmakten er meget vid - det avgjørende blir hvordan regjeringen benytter dette verktøyet. Loven og forarbeidene gir klare føringer for hvordan behandlingen av opplysningene skal være i disse registrene. Disse føringene vil forhåpentligvis sikre at viktige forhold knyttet til personvernet blir ivaretatt.

    Godkjenning av sykehusenes nettløsninger

    I løpet av året har en rekke sykehus igangsatt arbeidet med å få godkjent sin sikkerhetsløsning, både som frittstående sykehus og som en del av fylkeskommunens sikkerhetsløsning. Arbeidet har for de fleste sykehusene vært utført i et nært samarbeid med Datatilsynet, og en rekke løsninger er nå ferdigbehandlet. Resultatet er at flere sykehus kan ta i bruk moderne nettløsninger med bruk av Internett. Datatilsynet er godt fornøyd med at det er vist at vårt regelverk lar seg gjennomføre, og at sykehus med god sikkerhet kan ta i bruk moderne teknologi.

    Kontrollvirksomheten i 2000

    I 2000 foretok Datatilsynet 19 kontrollbesøk rundt i landet. Datatilsynet hadde i meldingsåret prioritert å foreta kontroller ved fire bokklubber i Oslodistriktet, fem advokatkontorer i Oslo, Hamar og Kristiansand, samt fem politikamre og lensmannskontor og to domstoler i samme områder. I tillegg ble det gjennomført tre kontroller som hadde informasjonssikkerhet i edb-systemene som hovedtema.

    I tillegg til de konkrete kontrollene har Datatilsynet arbeidet med å videreutvikle sine interne kontrollrutiner, samt tilrettelegge disse mot den nye personopplysningsloven.

    Kontrollene på politikamrene avdekket at telefaks i relativt stor utstrekning ble brukt ved oversendelse av dokumenter som inneholdt sensitive opplysninger, uten bruk av spesielle sikringstiltak. Dette er en praksis Datatilsynet finner uheldig, men er inneforstått med at dette i stor grad samsvarer med praksis i justissektoren for øvrig. Datatilsynet finner det naturlig at dette forholdet diskuteres på sentralt nivå. Datatilsynet anbefaler at det enkelte politikammer utarbeider rutiner for bruken, og foretar enkelte foranstaltninger for å forhindre feilforsendelser.

    For øvrig kunne Datatilsynet konstatere at Hamar politidistrikt hadde utarbeidet gode rutiner for behandling av personopplysninger. De hadde på eget initiativ utarbeidet retningslinjer for hvordan og hvor personopplysninger blir registrert.

    I Namsos kommune fikk Datatilsynet melding om et sikkerhetsbrudd, som medførte at en hel tape med backup-data var kommet på avveie på grunn av brist i interne rutiner. Kommunen reagerte raskt og effektivt og tapen kom til rette. Datatilsynet utførte en stedlig kontroll med en rekke pålegg. Samarbeidet med kommunen om dokumentasjon av en tilfredsstillende løsning er nå kommet langt.

    Generelt kunne Datatilsynet konkludere med at kontrollene i hovedsak ikke avdekket noen store avvik fra de reglene som fremgår av personregisterloven med forskrifter. Noen mangler ble imidlertid påpekt, og følges videre for å bringe registreringen av opplysinger i tråd med regelverket.

    Sikkerhetsarbeidet

    Sikkerhetsseksjonen har i hele 2000 bestått av tre medarbeidere. Prioriterte arbeidsoppgaver har vært veiledning og evaluering av informasjonssikkerhet for virksomheter som behandler sensitive personopplysninger.

    Veiledning i informasjonssikkerhet

    Arbeidsoppgaver i forbindelse med veiledning har vært mest ressurskrevende også i 2000. Datatilsynet får stadig henvendelser om konkrete sikkerhetsspørsmål og mer komplekse problemstillinger i forbindelse med sikkerhet i nettverk. Mange anmodninger om foredragsholder ved sikkerhetsseminarer og lignende er også etterkommet.

    Det ble utarbeidet en egen veiledning for mindre virksomheter som skal tilfredsstille Datatilsynets sikkerhetskrav. Alle dokumenter som tilbys fra sikkerhetsseksjonen har vært tilgjengelig fra Datatilsynets nettside, og statistikker viser at det er stor interesse for dette stoffet.

    I løpet av 2000 er det avholdt en lang rekke møter med behandlingsansvarlige og leverandører som ønsker veiledning og drøftinger omkring elektronisk behandling av personopplysninger. I løpet av året er det blitt en tydelig tendens til at mange ønsker å benytte eksterne leverandører for så vel rene driftsoppgaver på eget utstyr, som mer komplette løsninger, såkalte Application Service Providers (ASP). Dette har vært særlig aktuelt for mindre virksomheter innen helsesektoren.

    Teknisk saksbehandling i forbindelse med konsesjoner

    Aktiviteten har gradvis økt i omfang siden retningslinjene ble innført i 1998. Sakene er ofte svært komplekse, og forutsetter nesten alltid dialog i form av telefonsamtaler, møter og kommentarrunder i forkant av endelige dokumenter som beskriver informasjonssikkerheten.

    I 2000 har flere hundre virksomheter vært i dialog med Datatilsynet på forskjellige stadier i arbeidet med beskrivelse av informasjonssikkerheten. Parallelt med disse sakene har seksjonen gjort en lang rekke vurderinger av mindre omfang på anmodning fra leverandører og virksomheter.

    Sikkerhetskontroller

    Det har vært gjennomført sikkerhetskontroller ved et større sykehus, to kommuner og et advokatkontor. Kontroll ved en kommune ble iverksatt som følge av en innrapportert hendelse som hadde medført mulig brudd på konfidensialitet ved et sosialkontor. De øvrige kontrollene medførte merknader om forhold det var behov for å korrigere. Se for øvrig eget avsnitt om kontroller.

    Sertifiseringsordninger

    Sikkerhetsseksjonen i Datatilsynet har bidratt aktivt i arbeidet med å etablere sertifiseringsordninger for sikkerhetsutstyr og -organisasjoner. Sertifisering av sikkerhetsorganisering bygger på samme lest som de nye sikkerhetsforskriftene i personopplysningsloven.

    Informasjonsarbeidet

    Datatilsynets informasjonsseksjon har ansvaret for all intern og ekstern informasjonsvirksomhet. Seksjonen har to medarbeidere.

    Målsettingen for informasjonsarbeidet i Datatilsynet er å bidra til å synliggjøre Datatilsynet som forvalter av personregisterloven og tilsynets virksomhet. Informasjonsarbeidet er et virkemiddel for å nå fram til aktuelle målgrupper med korrekt og informativt budskap. Datatilsynet har en vid målgruppe for sin informasjonsvirksomhet; både publikum generelt, formelle rammesettere, ulike fagmiljøer og registereiere er viktige målgrupper. Datatilsynets prioriterte kanaler er mediekontakt, webtjenesten, tidsskriftet SPOR, pressemøter, seminarer og foredrag.

    Datatilsynet følger prinsippene i den statlige informasjonspolitikken.

    Mediekontakt

    Mediene vurderes som en svært viktig kanal for Datatilsynets budskap, og det er stor pågang og interesse. Det er lagt vekt på å ha et ryddig og ordentlig forhold til mediene slik at aktuelle saker kan framstilles på en mest mulig korrekt måte. Det er samtidig vurdert som viktig å ha et høyt servicenivå overfor journalister. Alle henvendelser blir behandlet raskt og likt. I overkant av et halvt årsverk benyttes til daglig mediekontakt; kontakt som tas både på medienes og Datatilsynets initiativ.

    Meroffentlighet og offentlig journal

    Datatilsynet praktiserer meroffentlighet og er opptatt av å yte god service ved dokumentbestillinger fra offentlig journal. Behandlingen av dokumentbestillinger er arbeidskrevende og Datatilsynet brukte mer enn et halvt årsverk i 2000 på å finne fram, kopiere og sende ut dokumenter. I 2000 bestilte pressen og andre aktører 1 300 dokumenter fra journalen. Dette er en økning fra 1999, da antallet bestilte dokumenter var 1 214.

    Utvikling av web-tjenesten

    Datatilsynet legger stor vekt på å ha en informativ og brukervennlig web-tjeneste. Tilsynet publiserer egne temaer og saker blant annet etter forespørsler fra publikum og vurderinger av hva som kan være aktuelle problemstillinger. Sidene oppdateres jevnlig med nyhetssaker eller informasjon om egne temaer. I løpet av høsten 2000 har utleggingen vært noe moderert, da kapasiteten i informasjonsseksjonen har vært bundet opp i forberedelser til ny lov.

    Det er registrert et gjennomsnitt på 28 000 oppslag pr uke i 2000, og saker fra Datatilsynets hjemmesider blir ofte brukt av andre medier.

    Web-tjenesten har en sentral funksjon i informasjonsarbeidet knyttet til innføring av ny lov.

    SPOR

    SPOR er Datatilsynets tidsskrift som distribueres fast og gratis til 3 500 mottakere. I tillegg legges det ut på Internett. I 2000 ble det utgitt tre nummer av tidsskriftet. SPOR gir generell informasjon om Datatilsynets virksomhet. Aktuelle temaer i 2000 har vært arbeidsliv, markedsføring og fokus på ny lov.

    Foredrag og seminarer

    Datatilsynet mottar svært mange forespørsler om å holde foredrag eller delta med innlegg på ulike seminarer og samlinger. Foredragsvirksomhet er en prioritert informasjonsoppgave. I 2000 deltok jurister, teknologer og ledelse på rundt 65 eksterne arrangementer landet rundt. Temaene har især kretset rundt ny lov. Både private og offentlige virksomheter ønsker foredragsholdere fra Datatilsynet.

    Forberedelser til ny lov

    Ot prp nr 92 (1998-99) Om lov om behandling av personopplysninger ble vedtatt av Stortinget 14. april 2000, med ikrafttredelse fra 1. januar 2001. Loven medfører store endringer i Datatilsynets oppgaver, og alle seksjonene har vært involvert i forberedelsene. Dette gjelder så vel interne forberedelser som planlegging og til dels gjennomføring av ekstern informasjon.

    Utvikling av meldesystem

    Behandlere av personopplysninger får plikt til å melde fra til Datatilsynet om de registre og personopplysninger vedkommende behandler. Det kreves et godt teknisk og organisatorisk mottaksapparat for å kunne føre et meldesystem som både skal fylle lovens krav og være tilgjengelig. For å spare arbeidsinnsats både i Datatilsynet og hos behandlingsansvarlig er det lagt opp til et delvis automatisert meldesystem. Datatilsynet ble bevilget midler til å begynne arbeidet med å utvikle og etablere systemet i 2000. Alle seksjonene har bidratt, med ledelse fra administrasjonen. Det elektroniske systemet er planlagt satt i drift første halvdel av 2001.

    Forskrifter

    Datatilsynet har lagt ned et betydelig arbeid for å få forskrifter til personopplysningsloven på plass. Dette gjelder så vel de generelle forskriftene som sikkerhetsforskriftene. Hva angår sistnevnte, har sikkerhetsseksjonen bistått Justisdepartementet gjennom å lage et komplett utkast til forskrift.

    Forskriftene ble vedtatt ved kongelig resolusjon 15. desember 2000.

    Intern skolering

    Det har vært avholdt internseminar om utvalgte tema i loven gjennom hele høsten 2000 for å skolere medarbeiderne.

    Informasjon utad

    Loven krever en betydelig innsats når det gjelder å informere befolkningen som helhet om hvilke rettigheter og plikter ikrafttredelsen medfører. Datatilsynet har hatt bistand fra Statens informasjonstjeneste og Justisdepartementet for å legge strategier for dette arbeidet. Når det gjelder å informere dem som har plikter i den nye loven, er det satset mye på utlegging av informasjon på web.

    Videre er det også lagt opp til og gjennomført kurs i egen regi, og en utstrakt foredragsvirksomhet for å formidle aktuelle endringer. Endelig er det satset på en betydelig redaksjonell dekning, samt en viss annonsering for å skape oppmerksomhet på bredt plan.

    Implementering av strategi startet høsten 2000, og involverte i stor grad også juridisk seksjon ved siden av informasjonsseksjonen, i produksjon av materiell. Arbeidet ble dog noe hemmet av at forskriftene først ble ferdig i midten av desember. Mye informasjonsmateriell ble lagt ut på web mot slutten av meldingsåret, og tilsynet har mottatt mange tilbakemeldinger på god og informativ webside.

    Kurs i ny lov

    Det ble i 1999 satt i gang et arbeid med å utvikle et kursopplegg i den nye loven. Kurset ble utviklet av en arbeidsgruppe og var klart til testing både innholdsmessig og utstyrsmessig i mai 2000.

    Datatilsynet har arrangert tre eksterne kurs om den nye loven i meldingsåret, to rettet mot arbeidslivet, og et for advokater. Alle kursene var fulltegnet. Dette er derfor en aktivitet vi vil fortsette med, og som vi ser på som nyttig for kunnskapsspredning og bevisstgjøring.

    Utvalgsarbeid

    Utvalg for utredning av bruk av biologiske prøver i arbeidslivet

    Datatilsynets direktør har i meldingsåret vært medlem av det såkalte «Breistein»-utvalget som har utredet bruk av biologiske prøver i arbeidslivet. Utvalget avga innstilling i januar 2001.

    Det nasjonale SIS-prosjektet

    Datatilsynet har både på formelt og uformelt grunnlag bidratt i prosessen med implementering av Schengen informasjonssystem (SIS). Lov om Schengen informasjonssystem med forskrift er viktige bidrag til å sikre et tilfredsstillende personvernnivå i systemet.

    Utvalg for utredning av bruk av digital signatur i offentlig forvaltning

    Datatilsynet har i meldingsåret vært representert i det regjeringsoppnevnte utvalget for bruk av digitale signaturer i elektronisk samhandling med og i forvaltningen. Bruk av digitale signaturer ved elektronisk dokumentbehandling og kommunikasjon medfører generering av elektroniske spor. Datatilsynet er opptatt av at identifisering kun skjer i den grad det er nødvendig for å utføre en formålsbestemt behandling. Erfaring har imidlertid vist at både private og offentlige virksomheter utøver press for å utvide grunnlaget for lovlig tilgang til elektroniske spor - bl.a. til profilerings- og markedsføringsformål og kontrollformål. Utvalget ble oppnevnt 4. februar 2000, og skal overlevere NOU rundt 1. februar 2001.

    KRIPOS - bistand i prosjektarbeid

    KRIPOS har registeransvar for en rekke av politiets dataløsninger. I den anledning ble det nedsatt en prosjektgruppe som skulle gjennomgå alle oppgaver og ansvarsforhold knyttet til rollen som registeransvarlig. Gruppen skulle videre etablere en datastøttet løsning for registerforvaltning og sørge for at oppdatert dokumentasjon for alle registrene ved KRIPOS ble lagt inn i løsningen. Datatilsynet har bistått KRIPOS i arbeidet, og vil berømme KRIPOS for et svært godt arbeid i prosjektet. Samarbeidet har også gitt Datatilsynet verdifulle innspill i forhold til ulike aspekter ved registerforvaltning. Prosjektgruppen har som ambisjon å utvikle systemet slik at det kan anvendes ved alle landets politikamre som bidrag til kamrenes internkontrollsystem.

    Strafferegistreringsutvalget

    Dette utvalget ble satt ned høsten 2000 med det mandat å gjennomgå strafferegistreringsloven og utarbeide forslag til ny lov om politiregistre. Datatilsynet bistår med en representant, og arbeidet skal være ferdig i mars 2002.

    Rådet for dataarkivering

    Datatilsynet har observatørstatus i dette rådet, som har som mandat å foreslå hvilke forskningsprosjekter som er verd å arkivere. Rådets vurdering legges som innstilling i søknad til Datatilsynet. Det er to møter i året.

    Internasjonalt samarbeid

    Internasjonalt datatilsynsmøte

    Datatilsynet deltar på det årlige, internasjonale datatilsynsmøtet som i meldingsåret ble arrangert i Venezia. Foruten de ca. 25 deltagende landene er også observatører fra land som nå arbeider aktivt med utarbeidelse av egen, nasjonal lovgivning tilstede. Datatilsynets direktør innledet til ordskifte på møtet om «Personvern og genetiske data».

    Berlingruppen

    Berlingruppen er en gruppe utledet av den internasjonale tilsynssjefkonferansen, og arbeider spesielt med problemstillinger knyttet til telekommunikasjon. Gruppen holder to møter pr. år.

    I meldingsåret har gruppen bl.a. arbeidet med en felles høringsuttalelse i forbindelse med Europarådets utkast til konvensjon om bekjempelse av Internett-kriminalitet (Draft Convention on Cyber-crime). Høringsuttalelsen er kritisk til flere punkter i konvensjonsutkastet.

    Artikkel 29-gruppen

    Datatilsynet i Norge har observatørstatus i denne gruppen som er opprettet i artikkel 29 i EU-direktivet om personvern (95/46). Datatilsynets direktør deltar som oftest på møtene. Gruppen holder sine regulære møter i Brüssel 6 - 8 ganger i året. Dessuten arrangerer ett av medlemslandene et «vårmøte». I meldingsåret ble dette arrangert av den svenske Datainspektionen i Stockholm i april. Et sentralt tema som har vært behandlet i år 2000 er spørsmålet om overføring av personopplysninger til USA og utarbeidelsen av såkalte Safe Harbor prinsipper i forbindelse med dette.

    Joint Supervisory Authority (JSA)

    Datatilsynet har deltatt i alle møtene i JSA som er det felles tilsynsorganet for Schengen informasjonssystem. Tilsynsorganet er sammensatt av representanter fra de nasjonale datatilsynsmyndigheter, og Norge har observatørstatus i gruppen. JSA har i sitt arbeid i år 2000 også fokusert på de nordiske land i forbindelse med implementeringsprosessen av SIS.

    JSA har bl.a. stilt spørsmål om Datatilsynet har en tilstrekkelig uavhengig rolle når det gjelder tilsyn med SIS i forhold til uavhengighetskravet som er formulert i Schengen-konvensjonen art. 114.

    Samarbeidsavtale med Europol

    Datatilsynet har høsten 2000 bistått forhandlingsdelegasjonen som forhandler om samarbeidsavtale med Europol. Tilsynet har i den forbindelse gitt uttrykk for betydningen av at Norge får en plass i Europols tilsynsorgan JSB (Joint Supervisory Body), dersom avtale med Europol blir iverksatt.

    Europarådet

    Datatilsynets seksjonssjef for sikkerhet har deltatt i en ekspertgruppe som på oppdrag fra Europarådet vurderer personvern og informasjonssikkerhet hos potensielle Europaråds-medlemmer. I 2000 besøkte Datatilsynets representant Armenia for å vurdere visse datasikkerhetsspørsmål i landets forvaltning.

    OECDs Working Party on Information Security and Privacy

    Datatilsynet har deltatt i arbeidsgruppen som arbeider med informasjonssikkerhet og personvernspørsmål. OECD har i 2000 ferdigstilt en web-basert personverngenerator som kan bidra til at virksomheter utvikler gode personvernprinsipper.

    Årlig møte mellom nordiske datatilsynssjefer

    Datatilsynet i Norge sto som vertskap for årets datatilsynssjefsmøte som denne gang fant sted i Ålesund. Tema for møtet var implementering av ny lovgivning i de respektive landene i tillegg til en rekke personvernrelaterte tema, herunder biometri, bruk av elektroniske spor i politiets etterforskningsarbeid og genbanker.

    Nordiske møter på saksbehandlernivå

    Nordisk saksbehandlermøte i 2000 ble avholdt i København, og Norge deltok med tre saksbehandlere. Hvert land gav en presentasjon av sitt lands lovgivning. Enkelte hovedtemaer ble utdypet nærmere, herunder EU-direktivets artikkel 4 og personvernlovenes geografiske virkeområde, markedsføring og forberedelse og avholdelse av kontroller. Norge dro nytte av at de andre nordiske har implementert personverndirektivet på et tidligere tidspunkt, og derfor har rukket å utvikle praksis.

    Det har også vært avholdt et felles møte i Finland mellom IT-sikkerhetsmedarbeidere ved tilsynsmyndighetene i Finland, Sverige, Danmark og Norge.

    Forrige kapittel
    Forrige kapittel
    Til forsiden
    Til toppen