7 Personvernrettar og -plikter
For å sikre ivaretaking av personvernomsyn har den registrerte fått ein del rettar. Dessutan er dei behandlingsansvarlege pålagde ein del plikter som skal bidra til at personvernet til dei registrerte blir teke hand om. Rettane og pliktene som er nedfelte i personopplysningslova, speglar kvarandre. Dette inneber til dømes at når dei registrerte har innsynsrett, har den behandlingsansvarlege plikt til å gi informasjon.
Ein del personvernrettar er òg nedfelte i anna regelverk, og dette regelverket kan i praksis ha meir å seie enn personopplysningslova. Forvaltningslova1 § 18 inneheld for eksempel ein vid rett for partane i ei sak til å gjere seg kjende med opplysningar i saka, likevel med dei avgrensingar som følgjer av forvaltningslova §§ 18 a –19. Innsyn i opplysningar om ein sjølv kan vere viktig for å kunne vurdere om ei sak blir behandla på riktig faktisk grunnlag. For mange er det truleg reglane i forvaltningslova som ligg til grunn for krav om innsyn i personopplysningar i forvaltninga, og ikkje innsynsreglane i personopplysningslova. I privat sektor er det derimot innsynsreglane i personopplysningslova som gir grunnlag for innsyn. Teiepliktsreglar, som det er mange av i norsk rett, er òg reglar som bidreg til å tryggje personvernet til dei registrerte. Teiepliktsreglane skal hindre spreiing av opplysningar som dei registrerte ønskjer diskresjon om.
Mange av rettane i personopplysningsregelverket er relativt lite kjende, og regjeringa meiner det er nødvendig å vurdere tiltak som kan bidra til at rettane blir både betre kjende og betre nytta.
7.1 Brukarmedverking og kontroll over eigne personopplysningar
Personvern er både ein kollektiv og ein individuell rett. Det vil seie at både samfunnet og den enkelte har interesse av å tryggje personvernet. For at ein skal kunne oppretthalde eit godt personvern for enkeltpersonar, er det viktig at den enkelte har ein viss grad av kontroll over eigne personopplysningar og reelt høve til å påverke korleis dei blir brukte. Det finst ei rekkje reglar som skal bidra til å gi brukarane auka kontroll og råderett over eigne personopplysningar, blant anna reglar om innsyn, reservasjonsrett, retting og sletting og om retten til å bli gløymd. Ein må bruke handlingsrommet reglane gir på ein god måte.
7.1.1 Kontroll over eigne personopplysningar
Sjølvråderett er eit grunnleggjande prinsipp i norsk rett. I personvernsamanheng vil sjølvråderetten seie at individet i stor grad har rett til å bestemme over sine eigne personopplysningar når desse kan samlast inn, og kva dei kan brukast til. Sjølvråderetten kjem blant anna til uttrykk i reglane i personopplysningslova om samtykke som grunnlag for behandling av personopplysningar, som det er gjort greie for i kapittel 6.
Ei anna side ved sjølvråderetten er at individet skal kunne utøve ein viss grad av kontroll med flyten og bruken av personopplysningane sine, også når dei er komne i andre sine hender. Personopplysningar er uløyseleg knytte til identifiserbare personar, og det er derfor viktig for dei å ha kontroll over opplysningane og bruken av dei.
Personopplysningar har i lang tid vore ei vare og samstundes eit betalingsmiddel. Mange gir frå seg personopplysningar i byte mot andre gode. Eit eksempel er kjøpshistorikk som blir registrert og lagra i tilknyting til bruk av ulike typar lojalitetskort i varehandelen. Dette kan gi tilgang til tilbod og tenester ein elles ikkje ville ha fått, eller som ein måtte ha betalt meir for i reine pengar. Dei færraste tenkjer over kor stor verdi personopplysningane om dei har for næringsdrivande. Viljen næringslivet har til å betale for personopplysningar, er likevel relativt liten, samstundes som verdien personopplysningar har for dei i kommersiell samanheng, synest høg. Med eit vell av tilsynelatande gratis tenester på nett og aktørar som tek betalt for tenestene sine i personopplysningar (som ulike sosiale medium og informasjonstenester), deler den enkelte ei stor mengd personopplysningar med desse aktørane for å kunne nytte tenestene deira utan å betale med pengar. I enkelte verksemder kan eit godt utvikla kunderegister vere den viktigaste verdien i selskapet. Informasjonen om brukarane har enorm forretningsverdi. Utan all informasjonen kvar enkelt brukar legg ut, har for eksempel dei sosiale nettstadene liten kommersiell verdi. Det er derfor rimeleg at innbyggjarane i det minste har ein viss råderett over den verdien kvar enkelt representerer. Dersom brukaren ikkje lenger ønskjer å vere brukar av ein sosial nettstad, og ikkje lenger tek imot noka vare, bør han følgjeleg kunne krevje at betalinga for tenesta sluttar i den forstand at personopplysningane blir sletta eller leverte tilbake.
Kontroll over eigne personopplysningar krev informasjon og kunnskap. Utan kunnskap om pågåande behandling av personopplysningar har dei registrerte lite grunnlag for å stille spørsmål og kan vanskeleg utøve kontroll. Retten til informasjon og retten til innsyn er derfor grunnleggjande i personvernsamanheng. Med grunnlag i informasjon om ei planlagd eller pågåande behandling av personopplysningar kan dei registrerte ta hand om både personvernrettar og andre rettar. Til dømes gir retten til innsyn i eigen pasientjournal høve til betre innsikt i eigne helseforhold og dei vurderingar behandlande helsepersonell har gjort.
Ivaretaking av retten til informasjon om behandling av personopplysningar vil bli diskutert nedanfor i kapittel 7.4.
7.1.2 Rett til anonymitet
I mange daglege gjeremål lèt innbyggjarane etter seg informasjon som gir høve til personidentifisering. Registrering i heilautomatiske bomstasjonar er eit eksempel på dette. Eit anna eksempel er avanserte måle- og styringssystem for energi, såkalla smarte målarar, som utan avbrot registrerer energiforbruket og rapporterer det til energileverandøren. Ulike automatiserte registrerings- og betalingssystem forenklar kvardagen både for tenesteytaren og -mottakaren. Automatiseringa held prisane nede og gjer tenestene meir tilgjengelege for brukarane. Personidentifiserbar informasjon frå registreringsordningane kan likevel, både åleine og saman med annan informasjon, seie mykje om rørslene og åtferda til dei registrerte.
Med omgrepet anonymitet forstår ein normalt at identiteten ikkje er kjend. Dersom ein tek utgangspunkt i at identitet er noko den enkelte sjølv har kontroll over, bør ein òg ha rett til å velje å vere anonym. Men retten til å opptre og ferdast anonymt er ikkje uttrykkeleg fastslått i norsk rett. Denne retten kan likevel til ein viss grad tolkast av prinsippet om dataminimalitet, det vil seie at den behandlingsansvarlege ikkje skal behandle fleire opplysningar enn nødvendig for føremålet. Er identifikasjon ikkje nødvendig, skal dei registrerte ha høve til å opptre anonymt.
Boks 7.1 Frå St.meld. nr. 17 (2006-2007) tiltak 8.2
I St.meld. nr. 17 (2006-2007) skreiv regjeringa følgjande om tiltak for å sikre at det skal finnast tilbod om anonyme løysingar i samanhengar der det ikkje er nødvendig å identifisere seg:
«Anonyme løysingar skal vere tilgjengelege i samanhengar der dette er føremålstenleg. Regjeringa vil greie ut moglegheita for
Pseudonyme løysingar som alternativ til full anonymitet og full identifikasjon.
Pseudonyme sertifikat i løysingar for digital signatur der dette er tilstrekkeleg.
Anonyme betalingskort som alternativ til bankkort/kredittkort som er knytte til identitet.»
Retten til anonymitet er ein rett med modifikasjonar. Dette gjeld ikkje minst i transportsektoren. Det finst både internasjonale og norske reglar som avgrensar retten den enkelte har til å reise utan å måtte gi frå seg personopplysningar. Dette gjeld blant anna i samband med grensekontroll. Innreise til USA krev at den reisande gir betydelege mengder informasjon, samstundes som flyselskapa som flyr frå Europa til USA, pliktar å levere mange opplysningar om dei reisande til amerikanske styremakter. Dette er basert på dei såkalla PNR-avtalene2 og skal blant anna hindre terrorisme. Auka terrorisme og illegal innvandring har medført vesentleg strengare grensekontroll det siste tiåret. Ved internasjonale reiser har den reisande derfor avgrensa høve til å reise anonymt.
Også i alminneleg varehandel er anonymiteten på vikande front. Stadig fleire innkjøp blir gjort med betalingskort framfor kontantar. Utviklinga er ønskt både av styremaktene og næringslivet, blant anna fordi det er vesentleg innsparing knytt til korttransaksjonar framfor kontanttransaksjonar. Det er også ein fordel for kundane å sleppe å gå med mykje pengar i kontantar. Ein konsekvens av aukande kortbruk er registrering av detaljert kjøpsinformasjon på identitet i lang tid ut ifrå krava i bokføringsregelverket. I St.meld. nr. 17 (2006-2007) gav regjeringa uttrykk for at det var ønskjeleg å sjå på om det var mogleg å bruke anonyme betalingskort som alternativ til dei alminnelege betalingskorta. Høvet til å handle anonymt synest likevel i realiteten å ha vorte redusert dei seinaste åra.
Utviklinga går i retning av stadig fleire løysingar som gjer det mogleg å identifisere personar. Det er likevel sjeldan ein tek seg tid til å diskutere dei utfordringane som følgjer med ei utvikling der heilt daglegdagse aktivitetar lèt etter seg spor som både politi, andre styremakter, næringsdrivande og kriminelle, lovleg eller ulovleg, kan skaffe seg tilgang til. Utviklinga viser at det er behov for ein overordna debatt om retten til anonymitet, slik at ein kan sjå utfordringar i ulike sektorar i samanheng. Når ein greier ut ulike tiltak som har eller kan ha personvernkonsekvensar, bør prinsippet om dataminimalitet ha betydeleg vekt. Ein skal vurdere om det er mogleg å bruke anonyme alternativ. Ikkje minst gjeld dette i samband med utvikling av nye betalingstenester, der ein ser at det blir mindre og mindre høve til kontant betaling. Dei elektroniske reisekorta i kollektivtrafikken er eit eksempel på eit område der retten til anonymitet er teken hand om på ein god måte. Bransjen og styremaktene har saman utvikla ein standard for anonyme elektroniske reisekort3. Dette kan danne mønster for andre.
7.1.3 Retten til å bli gløymd
I forlenginga av retten til anonymitet snakkar ein stadig oftare om retten til å bli gløymd. EU-kommisjonen har sett fokus på retten til å vere anonym gjennom å føreslå ein rett til å bli gløymd («right to be forgotten») i utkastet til revidert personvernregelverk. Dette skal vere ein generell rett til å krevje sletting av opplysningar som blir behandla i strid med gjeldande reglar, og som ikkje lenger er nødvendige for innsamlingsføremålet, eller der den registrerte trekkjer tilbake det samtykket som er grunnlaget for behandlinga av personopplysningar. Retten til å bli gløymd vil særleg kunne gi grunn til sletting av opplysningar som er lagde ut på nett.
Retten til å bli gløymd er ein god personverntanke. Dei fleste har på eit eller anna tidspunkt gitt frå seg personopplysningar som dei seinare ønskjer å få sletta, for eksempel fordi opplysningane ikkje lenger er nødvendige for det føremålet dei opphavleg skulle brukast til. Mange ønskjer òg å få sletta personopplysningar som er publiserte på nett. Langt på veg vil ein rett til å bli gløymd falle saman med dei tradisjonelle norske reglane om rett til å få sletta opplysningar som ikkje lenger er nødvendige for behandlingsføremålet. EU-forslaget til reglar om retten til å bli gløymd femner likevel vidare. Forslaget går ut på at den registrerte òg kan krevje at den behandlingsansvarlege set i verk tiltak for å få sletta kopiar av informasjon som er spreidd på internett. Det same gjeld lenkjer til informasjonen som den registrerte ønskjer å få sletta. Forslaget står òg fram som eit særleg vern av barn, som ikkje alltid er like kritiske til kva informasjon dei publiserer.
Eit viktig element i regelverksrevisjonen i EU er å gi den enkelte betre høve til å ta vare på sitt eige personvern. Ein rett til å bli gløymd skal medverke til å gi betre kontroll over den digitale delen av livet vårt – ein del som får stadig større omfang. Forslaget har likevel møtt kritikk frå dei som meiner ein slik regel vil gi folk høve til å redigere liva sine ut over det som synest rimeleg. Omsynet til dokumentasjon for ettertida kan derfor tale mot ein rett til å redigere ettermælet sitt på den måten som retten til å bli gløymd kan synast å opne for. Frå forskingshald er det dessutan peikt på at ein omfattande rett til å bli gløymd kan vere svært vanskeleg å sameine med ivaretaking av det grunnleggjande forskingsetiske prinsippet om at det skal vere mogleg å dokumentere og etterprøve forskingsresultat.
For å gi den enkelte størst mogleg kontroll med bruken av opplysningar om seg sjølv kan det vere ei løysing å gi den registrerte rett til å flytte informasjon frå ein tenestetilbydar til ein annan. Det synest ikkje urimeleg at dei som ikkje lenger ønskjer å ha ein profil på Facebook, skal kunne få utlevert eller sletta den informasjonen dei sjølve har lagt ut på profilen sin. Dette verkar heller ikkje spesielt problematisk med tanke på ytringsfridomen, sidan det i det alt vesentlege er ytringar den enkelte har sett fram om seg sjølv.
Eit anna og meir krevjande element ved retten til å bli gløymd er ein eventuell rett til å få sletta opplysningar som er distribuerte av andre på nett. Her er forholdet til ytringsfridomen eit sentralt vurderingstema. Eit spørsmål er òg kva opplysningar det er praktisk mogleg å få sletta. Ei plikt til å fjerne den informasjonen ein sjølv har publisert, er neppe korkje praktisk eller teknisk spesielt vanskeleg. Men når informasjon lovleg er lagd på nett, blir han spreidd raskt. Å få fjerna informasjonen på alle dei stader han kan tenkjast å ha hamna, kan vere vanskeleg. Det er derfor ein viss fare for at ein svært vidfemnande rett til å bli gløymd blir eit ideal utan reelt innhald.
Dersom ein rett til å bli gløymd skal få reell verdi, må han vere mogleg å praktisere. Dette krev blant anna internasjonal semje om eit slikt prinsipp. Noreg kan ikkje åleine innføre ein regel som ville få så mykje å seie for internasjonal samhandling. Ein rett til å bli gløymd må i det minste baserast på europeisk semje. Regjeringa vil følgje debatten om retten til å bli gløymd og den internasjonale utviklinga på dette området i tida framover og sjå i kva lei ho går, når det eventuelt blir aktuelt å vurdere norske reglar på området.
7.2 Den behandlingsansvarlege
Etter personopplysningslova er det den behandlingsansvarlege som avgjer føremålet med ei personopplysningsbehandling, og kva hjelpemiddel som skal nyttast. Den behandlingsansvarlege har ansvar for å oppfylle alle plikter etter personopplysningslova. Desse pliktene blir i hovudsaka avspegla i rettane til dei registrerte. Dette inneber at den behandlingsansvarlege har ansvar for at det finst rutinar og system for å leve opp til personopplysningsregelverket og tryggje rettane til dei registrerte etter regelverket. Dei fleste behandlingsansvarlege har ikkje behandling av personopplysningar som hovudoppgåve. Behandlinga er ein konsekvens av den verksemda som blir driven. Etterleving av personvernregelverket kan vere krevjande for mange som i det daglege ikkje har merksemd retta mot behandling av personopplysningar.
Det er ei generell utfordring at personvernregelverket er lite kjent blant dei som behandlar personopplysningar. Undersøkinga som Trafikkøkonomisk institutt (TØI) gjorde av behandlinga av personopplysningar i norske verksemder i 20054, viste at så mange som 31 prosent av dei spurde hadde lite kjennskap til personopplysningslova, medan 51 prosent korkje hadde god eller dårleg kjennskap til regelverket. Særleg synest reglane om informasjonstryggleik, som er sentrale reglar i personvernsamanheng, å vere lite kjende. Når det gjaldt reglane om internkontroll og informasjonstryggleik, viste tal frå TØI-undersøkinga at både kjennskapen til og forståinga for behovet for regeletterleving var svak. Om lag 33 prosent av dei spurde sa at det ikkje var aktuelt for dei å ha ei systematisk oversikt over kva opplysningar som vart behandla i verksemda, og 13 prosent svara at det ikkje var aktuelt å ha rutinar for sletting av unødvendige opplysningar. Dette trass i at begge delar er nødvendige for å etterleve reglane i personopplysningslova. Nettopp på bakgrunn av desse resultata har regjeringa over fleire år gitt øyremerkte midlar til Datatilsynet for arbeid med å gjere regelverket om informasjonstryggleik betre kjent blant dei behandlingsansvarlege. Datatilsynet si satsing på opplæring av personvernombod er òg eit tiltak for å gjere regelverket betre kjent blant behandlingsansvarlege. Det kan vere føremålstenleg å gjennomføre ei ny personvernundersøking tilsvarande TØI si frå 2005 for å få oppdatert informasjon om effekten av dei tiltaka som er gjennomførte for å auke kunnskapen om personvernregelverket dei seinare åra. Slik informasjon kan òg vere nyttig som grunnlag for den komande revisjonen av personopplysningslova.
Trygginga av personvernrettane er nært knytt til pliktene den behandlingsansvarlege har, og korleis vedkomande oppfyller dei. Til liks med reglane som heimlar rettane til dei registrerte, er òg reglane som viser kva plikter den behandlingsansvarlege har, til ein viss grad skjønsprega og gir eit visst handlingsrom. Regjeringa har som mål å bruke dette rommet på ein måte som gagnar både den behandlingsansvarlege og dei registrerte.
7.3 Plikt til å klårgjere personvernkonsekvensar
Ei vurdering av personvernkonsekvensar vil leggje grunnlag for tiltak som skal ta hand om personvernrettane til dei registrerte på best mogleg måte. Dette er òg eit nødvendig ledd i vurderinga av om ei føreståande behandling av personopplysningar vil vere i samsvar med regelverket eller ikkje. Det er til dømes eit krav etter personopplysningslova at behandling av personopplysningar skal vere eigna til å oppnå det planlagde føremålet. For å kunne dokumentere at ei behandling er føremålstenleg, er det nødvendig å vurdere konsekvensane av behandlinga. Det gjeld òg eit krav om at den behandlingsansvarlege skal velje det tiltaket som er minst inngripande overfor den enkelte, samstundes som det er eigna til å oppnå føremålet. For å kunne dokumentere forholdsmessigheit, må ein vurdere alternative tiltak som kan vere eigna til å nå målet.
Ein analyse av personvernkonsekvensar kan vise at det er fleire konkurrerande eller motstridande personvernomsyn å ta hand om i ei sak. For eksempel kan interessa i at opplysningane skal vere fullstendige, stå i motstrid til interessa i diskresjon. Då må ein vurdere kva personverninteresse som skal vege tyngst. Ein kan blant anna ta ugangspunkt i kva interesser ein trur den registrerte sjølv vil vere mest oppteken av å ta vare på i den konkrete samanhengen. I utgangspunktet er det ikkje relevant å leggje vekt på kva omsyn det er enklast for den behandlingsansvarlege å ta hand om. I staden kan ein leggje vekt på kva interesse ein trur dei registrerte sjølve vil vere mest opptekne av å tryggje. Analyse av personvernkonsekvensar vil òg kunne vise at personvernomsyn står mot andre samfunnsomsyn eller private omsyn. Dette er nærmare omtala i kapittel 4 om proporsjonalitet og avveging av ulike interesser.
Ofte er det føremålet ein ønskjer å oppnå, så viktig både for samfunnet som heilskap og for den enkelte at ein er villig til å akseptere inngrep i personvernet. I slike samanhengar skal den behandlingsansvarlege setje i verk tiltak for å tryggje personvernet til dei registrerte på best mogleg måte. Det er som regel rimelegare å leggje til rette for ivaretaking av personvern når eit system blir utvikla, enn å omarbeide eit eksisterande system slik at det kan ta omsyn til personverninteresser. Dette tilseier at det vil vere i den behandlingsansvarlege si interesse å leggje til rette for god ivaretaking av personvernet til dei registrerte så tidleg som mogleg i arbeidet med nye system. Personvernfremjande bruk av teknologi og innebygd personvern er relevant i denne samanhengen. Desse temaa blir omtala nærmare i kapittel 9.2 om IKT.
Dersom personvernkonsekvensar er godt klårgjorde og drøfta ved førebuing av nye lovreglar, blir personvernkonsekvensar synlege for Stortinget. Dette vil gi Stortinget grunnlag for å ta stilling til personvernkonsekvensane i samband med vedtaking av lovreglane. Rettleiinga om vurdering av personvernkonsekvensar som Fornyings- og administrasjonsdepartementet har laga, er ei støtte til statlege etatar slik at dei på ein god måte kan klårgjere personvernkonsekvensar ved planlagde tiltak. Trass i at rettleiinga har eksistert i nokre år, er det framleis for mange offentlege utgreiingar som manglar gode drøftingar av personvern. Det vil bli vurdert tiltak for å sikre at saksbehandlarar i offentlege verksemder kjenner og bruker rettleiinga når dei vurderer personvernkonsekvensar, blant anna korleis informasjon om rettleiinga kan integrerast i ulike opplæringsprogram i offentleg sektor.
Personvernvurderingane og konsekvensanalysane som skal gjennomførast før ei personopplysningsbehandling blir sett i verk, er dei same uansett om personopplysningar blir behandla i privat eller offentleg sektor. Sjølv om den omtala rettleiinga er utarbeidd for statlege etatar, er råda i rettleiinga allmenngyldige. Rettleiinga kan derfor vere nyttig også utanfor det statlege forvaltningsområdet. For å styrkje ivaretakinga av personvernet til dei registrerte er det i regelverksrevisjonen i EU føreslått å regelfeste ei plikt til å gjennomføre ein såkalla «data protection impact assessment». Tanken er at den behandlingsansvarlege skal ha ei regelfesta plikt til å greie ut personvernkonsekvensar dersom nokon del av behandlinga kan representere eit særleg trugsmål mot personvernet til dei registrerte.
Personvernanalysar medverkar til å bevisstgjere dei behandlingsansvarlege om dei personvernutfordringane som ligg i eit planlagt tiltak. Analyseprosessen kan gi grunnlag for å vurdere alternative tiltak. Analysane vil truleg òg bidra til at personvernutfordringar kan bli tekne hand om rimelegare og betre enn om tiltaka kjem inn seint i planleggingsprosessen. Utgreiing av personvernkonsekvensar og gjennomføring av personvernanalysar bør derfor vere eit naturleg ledd i tilrettelegginga for behandling av personopplysningar både i privat og offentleg sektor. Dette kan ein blant anna oppnå gjennom samarbeid med næringslivet og næringslivsorganisasjonane. Informasjon om personvernanalysar og personvernregelverket kan følgje med annan informasjon som blir gitt til næringsdrivande ved oppstart av næringsverksemd. Nettsidene til Brønnøysundregistra kan vere ein veleigna informasjonsstad. I tillegg er nettsidene til Datatilsynet ein naturleg informasjonsstad.
7.4 Plikt til å gi informasjon om behandling av personopplysningar
Det er ei prioritert oppgåve for styremaktene at innbyggjarane skal kjenne rettane sine og vere i stand til å ta hand om sitt eige personvern. For å oppnå dette er informasjon og kunnskap om behandling av personopplysningar avgjerande. Reglar om rett til informasjon om behandling av opplysningar og om innsynsrett for dei registrerte, både i personopplysningslova og i spesialregelverk, skal ta hand om informasjonsbehovet. Terskelen for å oppsøkje informasjon kan vere høg. I mange samanhengar er det derfor ikkje tilstrekkeleg at den enkelte har rett til informasjon når vedkomande vender seg til den behandlingsansvarlege. I tillegg til å gi informasjon ved konkrete førespurnader har den behandlingsansvarlege derfor òg ei plikt til å gi ein del informasjon av eige tiltak.
7.4.1 Eksisterande informasjonsplikter
Dei registrerte har omfattande krav på informasjon frå den behandlingsansvarlege om pågåande personopplysningsbehandlingar, både ved direkte førespurnad og på initiativ frå den behandlingsansvarlege. Informasjon er viktig for at dei registrerte skal kunne nytte dei andre rettane sine etter lova. Informasjonsplikta står derfor sentralt.
Regelverket pålegg den behandlingsansvarlege ei plikt til å ha tilgjengeleg generell informasjon om behandling av personopplysningar for dei som spør om det, uansett om spørjaren er registrert eller ikkje. I tillegg har alle registrerte rett til innsyn i dei opplysningane som er lagra om dei, og dessutan ein del informasjon om korleis opplysningane blir behandla. Denne informasjonen skal den behandlingsansvarlege gi på ein måte som set den registrerte i stand til å ta hand om interessene sine. I det ligg det at informasjonen må vere klår og tydeleg.
For tre spesielle typar personopplysningsbehandlingar er det særskilde informasjonsreglar. Dette gjeld ved bruk av personprofilar, ved automatiserte avgjerder og i kredittopplysningsverksemd.
Ein personprofil seier noko om kva behov, preferansar og liknande ein person har, basert på ei samanstilling av informasjon om vedkomande eller om personar som liknar vedkomande. Slike profilar er det vanleg å nytte blant anna til marknadsføring. Ved bruk av personprofilar pliktar behandlingsansvarlege i Noreg å gi informasjon om kva opplysningstypar som er med i profilen, og kvar desse opplysningane er henta frå. Informasjonen er nyttig for å forstå korleis den behandlingsansvarlege har kome fram til den aktuelle profilen. Bruk av slike personprofilar er truleg langt meir utbreidd enn ein skulle vente ut frå informasjon om profilane til dei registrerte. Den norske regelen har ingen parallell i EUs personverndirektiv, og det inneber at behandlingsansvarlege som er etablerte i andre land, ikkje har tilsvarande informasjonsplikt når dei lagar profilar om norske brukarar av utanlandske tenester. Marknadsføring frå utanlandske tenestetilbydarar kan derfor vere basert på personprofilar utan at den registrerte har krav på informasjon om det.
Dersom det blir nytta automatiserte prosessar for å behandle personopplysningar og ta avgjerder med rettslege konsekvensar for den registrerte, gir personopplysningslova ein rett til å få ei forklaring av regelinnhaldet i programma som ligg til grunn for avgjerda. I praksis inneber dette at den registrerte kan krevje ei forklaring på korleis avgjerdstakaren er komen fram til resultatet. I offentleg forvaltning følgjer ei tilnærma lik grunngivingsplikt av forvaltningslova. Grunngivingsplikta i personopplysningslova er derfor mest relevant for privat sektor. Eit eksempel på ein type automatisert avgjerd som kan falle inn under informasjonsplikta, er avslag på kredittsøknader som er gitt på bakgrunn av ein fullstendig automatisert scoremodell. Ein del kredittytarar, særleg ved kredittsal i nettbutikkar, baserer seg kun på slike automatiserte kredittvurderingar. Retten til å få ei utgreiing om regelinnhaldet i datamaskinprogrammet kan for eksempel ha verdi for registrerte som vurderer å klage på ei slik automatisert avgjerd.
Den tredje typen behandling av personopplysningar som det finst særlege informasjonsreglar for, er behandling av opplysningar i kredittopplysningsverksemd. Mange opplever utlevering av kredittopplysningar som integritetskrenkjande. For at dei registrerte skal vere informerte om kva opplysningar kredittopplysningsbyråa har om dei, er byråa pålagde å varsle dei registrerte både ved innsamling av enkelte opplysningstypar som gjeld kredittvurderinga, og ved utlevering av opplysningar. Varsel ved innsamling gir den registrerte høve til å reagere dersom han eller ho meiner det er registrert ukorrekte opplysningar. Opplysningsplikt ved utlevering gir viktig informasjon om kven som tek imot og behandlar kredittopplysningar om ein sjølv. Den som ber om å få utlevert kredittopplysningar, veit samstundes at den omspurde vil få kopi av opplysningane. Dette kan motverke uthenting av opplysningar utan sakleg behov. Gjenpartsplikt har vore praktisert i kredittopplysningsverksemd i mange år og synest å fungere godt.
7.4.2 Etterleving av informasjonsreglane
For å setje innbyggjarane betre i stand til å ta hand om sitt eige personvern, er det nødvendig å skape større medvit om informasjonsplikta som kviler på den behandlingsansvarlege. Dette kan blant anna gjerast gjennom informasjon på offentlege nettstader som blir brukte av næringslivet, til dømes nettsidene til Brønnøysundregistra. Generell informasjon om ei personopplysningsbehandling som skal vere tilgjengeleg for alle, er informasjon som med fordel kan liggje tilgjengeleg på nettsidene til ei verksemd. Dette er grunnleggjande informasjon om behandling av personopplysningar som i dei fleste tilfelle ikkje treng hyppig oppdatering. På nettsidene til Datatilsynet finn ein denne typen informasjon under overskrifta personvernerklæring5. Der finn brukarane informasjon om kva opplysningar som blir samla inn og behandla ved bruk av dei ulike tenestene på sidene, og dessutan om kven som er behandlingsansvarleg og databehandlar. Både offentlege og private behandlingsansvarlege bør sørgje for å ha slik informasjon lett tilgjengeleg på nettsidene sine, for eksempel under overskrifta personverninformasjon eller personvernerklæring. Dessutan bør informasjonen vere i eit format som gjer at han lett kan sendast til dei som ønskjer informasjon på andre måtar enn via nettet. For å hjelpe dei behandlingsansvarlege til å oppfylle informasjonspliktene sine vil regjeringa utarbeide ein mal for denne typen informasjon.
Døgnopen forvaltning er eit aktuelt tema. Dei fleste har vorte vande med å ha tilgang til ei rekkje tenester på nett heile døgnet. Nettbaserte tenester er praktiske og brukarvenlege for innbyggjarane, samstundes som dei er ressurssparande og effektive for tenesteytaren – anten det er offentlege eller private tenester ein ønskjer tilgang til. Det vil vere praktisk for dei registrerte å kunne hente informasjon om behandling av personopplysningar elektronisk når det passar for dei, utan å vere avhengige av opningstider og tilgjengelege kundebehandlarar. Ønskjer den registrerte innsyn i opplysningar om seg sjølv, kan han eller ho få det gjennom ulike sikre løysingar for innlogging. Gjennom Digitaliseringsprogrammet har regjeringa gitt uttrykk for at det er eit mål at mest mogleg av kommunikasjonen mellom innbyggjarane og forvaltninga skal skje elektronisk. Dette er både rimeleg, miljøvenleg og praktisk. System som skal behandle personopplysningar, bør derfor leggje til rette for elektronisk kommunikasjon med dei registrerte i den grad dette går saman med nødvendig tryggleik i systemet.
Det finst gode eksempel på verksemder som har gjennomarbeidd og lett tilgjengeleg informasjon om behandling av personopplysningar på nettsidene sine. Saman med informasjonen får ein ofte høve til å logge seg inn på personlege informasjonssider som gir tilgang til noko av den informasjonen verksemda har lagra om den enkelte. Både innan bank og forsikring og hos tilbydarar av elektronisk kommunikasjon finst det gode eksempel på personverninformasjon på nett og elektroniske innsynsløysingar. Store offentlege etatar som NAV, Statens lånekasse, Statens pensjonskasse og skatteetaten har innloggingsløysingar der brukarane kan få tilgang til ein del informasjon om seg sjølve i tillegg til ei rekkje tenester frå etatane. Som ledd i regjeringa sitt arbeid med digitalisering av offentleg sektor kan auka bruk av elektroniske innsynsløysingar for å gi den enkelte betre kontroll med eigne opplysningar vere aktuelt. Avgjerande for bruk av automatiserte innsynsløysingar er likevel at ein kan ta hand om informasjonstryggleiken på ein god måte, slik at dei registrerte har tillit til løysingane.
Samstundes kan det vere grunn til å sjå nærmare på bruk av gjenpartsplikt, det vil seie automatisk varsling ved innsyn i eller utlevering av personopplysningar. Slik gjenpartsplikt gir dei registrerte automatisk verdifull informasjon om bruken av opplysningar om dei. I Innst. 348 L (2011–2012) frå Helse- og omsorgskomiteen om oppretting av nasjonal kjernejournal rår komiteen til at den enkelte på sikt bør få høve til å bli automatisk varsla dersom helsepersonell opnar kjernejournalen til vedkomande. Komiteen meiner dette er ei praktisk og føremålstenleg oppfølging av kravet om at pasientane skal ha rett til innsyn i loggen over opningar av eigen kjernejournal. Regjeringa legg til grunn at elektronisk gjenpartsplikt kan vere ein praktisk måte å gjennomføre innsynsrett på i mange samanhengar. Særleg er det eit godt verkemiddel der personopplysningar er tilgjengelege for svært mange brukarar, som i helsesektoren, i arbeids- og velferdsforvaltninga og i bank- og finansnæringa. Samstundes må ein ikkje bruke ordninga på ein måte som medfører at dei registrerte druknar i informasjon. Blir det for mykje informasjon, blir han ikkje lesen, og ordninga kan miste verdien sin. Samstundes som elektronisk gjenpartsplikt kan vere ei god løysing for å gi informasjon til dei registrerte, kan det gjere dei behandlingsansvarlege meir medvitne. Det offentlege bør vere ein pådrivar for bruk av løysingar for utsending av elektronisk gjenpart til dei registrerte i samanhengar der dette er naturleg.
I april 2012 tok endringane i personopplysningslova § 11 til å gjelde. Endringane understrekar at personopplysningar som gjeld barn, ikkje kan behandlast på ein måte som er uforsvarleg av omsyn til barnet sitt beste. God og forståeleg informasjon retta mot barn og unge kan vere eit ledd i etterlevinga av desse reglane. For det offentlege vil det særleg vere aktuelt å sørgje for god og tilpassa informasjon til elevane om korleis skulen behandlar personopplysningar om dei. Det er viktig at undervisningssektoren gir elevar i ungdomsskulen og den vidaregåande skulen god og forståeleg informasjon om behandlinga av personopplysningar om dei, blant anna i tilknyting til bruk av digitale læringsplattformer i skulen. Det finst allereie informasjon på området utarbeidd av Senter for IKT i utdanninga. Dette materiellet bør skuleeigaren nytte som ledd i opplæringa og bevisstgjeringa av elevane.
7.4.3 EUs forslag til forsterka informasjonsplikt
I EUs forordningsforslag er det gjort framlegg om både generell informasjonsplikt og konkret innsynsrett for dei registrerte. Forståeleg og lett tilgjengeleg informasjon om behandling av personopplysningar og om rettane til dei registrerte er framheva. Det blir særleg understreka at informasjonen skal vere tilpassa mottakaren, spesielt dersom mottakaren er mindreårig. Dette inneber at ein må gi informasjonen på ein måte som gjer han forståeleg, og at det er mogleg å ta stilling til han.
Det har den seinare tida vore større merksemd om dei tallause, omfattande og kompliserte personvernerklæringane som finst på nettet. Mange av desse erklæringane er svært juridiske i forma. Dette fører igjen til at dei er vanskelege for lesarane å forstå. Lesarvenlege og forståelege personvernerklæringar kan derfor vere eit viktig bidrag til å gi dei registrerte betre høve til å ta hand om eige personvern.
EU framhevar òg verdien av at den behandlingsansvarlege etablerer rutinar som gjer at rettane til den registrerte blir oppfylte på ein korrekt måte innan rimeleg tid. Dersom den behandlingsansvarlege nektar å etterkome informasjonskrav, skal den registrerte få ei grunngiving og informasjon om klageretten.
7.5 Lagringstid
7.5.1 Innleiing
Prinsippet om dataminimalitet tilseier at opplysningar ikkje blir lagra lenger enn nødvendig for det føremålet dei er innsamla for. Personopplysningslova inneheld likevel ingen reglar om maksimal oppbevaringstid eller slettefrist for personopplysningar. Ein generell sletteregel ville det vere vanskeleg å praktisere, og truleg ville han føre til at informasjon vart lagra lenger enn nødvendig fordi slettefristen vart sedd på som ei opning for å behalde data inntil maksimal lagringstid var oppnådd. Det er sjeldan reglar om behandling av personopplysningar har klåre og absolutte fristar for sletting av personopplysningar. I politiregisterlova § 50 heiter det til dømes at opplysningar «skal ikkje lagrast lenger enn det som er nødvendig for formålet med behandlinga». Andre lovreglar har derimot heilt konkrete slettereglar, og dei vil gå føre dei generelle slettereglane i personopplysningslova. Eit døme på ein slik sletteregel finst i lov om elektronisk kommunikasjon § 2-7 a første leddet, der det heiter at opplysningar frå elektronisk kommunikasjon kan lagrast i seks månader for gitte føremål. Det ligg implisitt i dette at etter seks månader finst det ikkje lenger sakleg behov for opplysningane, og då skal dei slettast.
7.5.2 Etterleving av slettereglar i personopplysningsregelverket
I tillegg til kravet om at det skal vere sakleg behov for dei personopplysningane som blir behandla, pålegg personopplysningslova den behandlingsansvarlege ei plikt til å slette opplysningar som er unødvendige. Ein må vurdere sletting opp mot eventuelle krav om vidare lagring i for eksempel arkivregelverket i offentleg sektor, bokføringsregelverket eller anna spesialregelverk. Deretter må ein etablere rutinar for sletting av opplysningar som det ikkje lenger er sakleg behov for i verksemda.
Det er billig og enkelt å ta vare på informasjon som blir generert i ulike IKT-system. Dette gjeld både primærinformasjon, det vil seie den informasjonen brukaren bevisst utarbeider, og sekundærinformasjon, det vil seie informasjon om kva brukaren har gjort når han eller ho har brukt systema for å generere primærinformasjon. Eit eksempel på sekundærinformasjon er loggar i datasystem, der all informasjon om bruken av systema ligg. Enorme mengder informasjon krev liten lagringskapasitet samanlikna med tidlegare. Det kan vere meir ressurskrevjande å etablere rutinar for sletting enn det er å lagre alt som er generert eller på annan måte innsamla.
Det kan vere føremålstenleg å ta i bruk teknologi for å leggje til rette for betre etterleving av slettereglar i personopplysningsregelverket. Automatiserte slette- eller arkivrutinar kan bidra til betre regeletterleving og dermed betre personvern. Det er for eksempel mogleg å datomerkje informasjon med utløpsdato som indikerer at ein bør kontrollere kvaliteten og relevansen til opplysningane. Dette kan gjerast ved ei teknisk løysing som varslar den behandlingsansvarlege når personopplysningar ikkje har vore nytta eller ikkje har vorte oppdaterte på ei stund. Dersom det er juridisk mogleg, kan ein implementere automatiserte sletterutinar. I offentleg sektor vil arkivregelverket setje grenser for høvet til å slette opplysningar. Eit alternativ til sletting i offentleg sektor kan vere varsel om at ein bør vurdere å overføre opplysningane til arkiv. Eventuelle automatiserte rutinar i det offentlege må ta omsyn til fristane i arkivregelverket. Automatiserte rutinar vil sørgje for at opplysningar ikkje blir lagra i lang tid utan å bli brukte, eller utan at det blir vurdert om dei er relevante for innsamlingsføremålet. Tilrettelegging av slike system gir òg ei oppfordring til den behandlingsansvarlege om å tenkje gjennom og ta aktiv stilling til sletterutinar.
Skal automatiserte slette- og arkiveringsrutinar fungere, krevst det grundige vurderingar når dei blir etablerte. Ein må gjennomføre nøkterne vurderingar av kva som er føremålstenleg lagringstid for ulike opplysningstypar. Ein må òg få på det reine om det eksisterer lagringsplikter som gjer sletting umogleg. Sannsynlegvis må ulike typar opplysningar som er med i same behandlinga, ha ulike lagringstider og slettefristar. Der spesialregelverk ikkje er til hinder for det, bør ein alltid vurdere tilrettelegging for automatiserte slette- og arkiveringsrutinar når nye IKT-system for behandling av personopplysningar blir utvikla. Når nye tiltak og system med personvernkonsekvensar blir utgreidde, bør ein òg vurdere bruk av teknologi som reduserer mengda av overskotsinformasjon. Personvernfremjande bruk av teknologi kan på denne måten medverke til at personvernet blir tryggja på ein betre måte.
7.6 Internkontroll
Eit godt internkontrollsystem kan vere avgjerande for å sikre forsvarleg behandling av personopplysningar. Personopplysningsregelverket pålegg den behandlingsansvarlege å etablere internkontroll på personvernområdet.
Verksemder som kjem inn under personopplysningsregelverket, må setje i verk og dokumentere systematiske tiltak for å sørgje for etterleving av plikter etter personvernreglane. Den behandlingsansvarlege skal gjennomføre ei risikovurdering som grunnlag for iverksetjing av tiltak for informasjonstryggleik. Det finst i dag inga plikt til å gjennomføre risikovurderingar i arbeidet med internkontroll på dei andre områda i lova, sjølv om ein med fordel kan følgje systematikken på tryggleiksområdet. Erfaring tilseier at mange behandlingsansvarlege ikkje gjennomfører risikovurderingar, og konsekvensen er ofte mangelfull internkontroll.
God internkontroll er uttrykk for ei bevisst haldning til og bevisste val om personvern. Tilsynsverksemda til Datatilsynet avdekkjer likevel at mange verksemder har liten kunnskap om personvernregelverket og dei pliktene som følgjer med det å behandle personopplysningar. Dette er i tråd med resultata frå TØIs personvernundersøking blant norske verksemder i 20056. Derfor er det viktig å setje i verk tiltak for å betre kjennskapen til og etterlevinga av internkontrollreglane på personvernområdet. I perioden 2009–2011 styrkte regjeringa budsjettet til Datatilsynet med betydelege midlar for å få gjennomført eit prosjekt om internkontroll i små og mellomstore verksemder. I dette arbeidet vart det blant anna satsa på opplæring av personvernombod. Slike ombod fungerer som personvernrådgivarar i verksemdene sine og kan bidra til at leiinga legg større vekt på å få utarbeidd og dokumentert rutinar og system som skal ta hand om personvernet.
Datatilsynet har utarbeidd omfattande kunnskaps- og rettleiingsmateriell, medrekna opplæringsprogram om internkontroll og informasjonstryggleik som blant anna er tilgjengelege på nettsidene til etaten. Det er viktig å spreie kunnskap og informasjon om dette materiellet til relevante brukargrupper.
Internkontroll på personvernområdet bør bli like naturleg for alle som behandlar personopplysningar, som internkontroll på HMS-området er for alle arbeidsgivarar. Som ei vidareføring av rettleiinga Vurdering av personvernkonsekvenser, som vart utarbeidd av Fornyings- og administrasjonsdepartementet i 2008, vil regjeringa derfor utarbeide rettleiingsmateriell om korleis internkontrollplikta kan etterlevast på personvernområdet i offentleg verksemd. Dette vil vere eit supplement til den generelle dokumentasjonen Datatilsynet har utarbeidd, men vil vere særleg retta mot internkontroll i offentleg verksemd. Rettleiingsmateriell som er særleg retta mot offentleg sektor, vil vere eit viktig bidrag til å leggje til rette for ei heilskapleg tenking omkring ivaretaking av personvern.
Boks 7.2 Tema for rettleiinga om internkontroll på personvernområdet i offentleg verksemd
Identifisering av behandlingar, føremål, rettsleg grunnlag, ansvar og plikter som følgjer av behandlinga
Informasjon om det daglege ansvaret for dei ulike delane av behandlinga
Rutinar for sjølvstendig oppdatering/sletting av personopplysningar
Rutinar for behandling av krav om retting/sletting
Rutinar for behandling av krav om innsyn
Informasjonsplikt
Rutinar for etterleving av krav til informasjonstryggleik
Rutinar for etterleving av melde- og konsesjonsreglane
Oppfølging av om internkontrollen blir etterlevd, om han er kjend, og om han er tilstrekkeleg
Avvikshandtering, rapportering til tilsynsstyremakter
7.6.1 Handtering og rapportering av regelbrot
Uansett kor god informasjonstryggleik og uansett kor gode system for regeletterleving ein behandlingsansvarleg har, kan regelbrot skje. Enkelte regelbrot vil vere meir alvorlege og kan få større konsekvensar enn andre. For ein del slike tilfelle inneheld personopplysningsforskrifta reglar om avviksrapportering. Dersom brot på reglar og rutinar fører til at uvedkomande får tilgang til personopplysningar som er konfidensielle, skal den behandlingsansvarlege melde dette til Datatilsynet. Rutinar for retting av slike avvik og rapportering til Datatilsynet bør vere ein naturleg del av eit internkontrollsystem. Logging av oppslag i system, som omtala i kapittel 9.6, kan vere eit godt verkemiddel. Ved å ha gode, dokumenterte og kjende rutinar for avvikshandtering kan ein redusere eventuelle skadar ved avviket. Ikkje minst vil ei rask rapportering til Datatilsynet setje tilsynet i stand til å gi råd og rettleiing om korleis ein kan redusere skadepotensialet, og korleis ein kan unngå liknande hendingar i framtida.
Ei rekkje tryggleiksbrot blir aldri rapporterte til Datatilsynet. Mangel på kunnskap om regelverket kan vere ei årsak til manglande avviksrapportering. Låge rapporteringstal kan òg kome av at dei behandlingsansvarlege vegrar seg for å rapportere avvik fordi dei fryktar negativ omtale dersom saka blir kjend. Dei negative konsekvensane kan likevel bli meir alvorlege om ein lèt vere å handtere avvik på ein god måte. Å ta ansvar for feil vil i dei fleste tilfelle verke meir tillitvekkjande enn det motsette. Det er nødvendig å rette merksemd mot etterleving av dei gjeldande rapporteringsreglane som ledd i arbeidet med å betre etterlevinga av internkontrollreglane. I arbeidet med å leggje til rette informasjon om internkontroll for offentleg verksemd vil regjeringa òg leggje vekt på verdien av rapportering til personvernstyremakta som ledd i avvikshandteringa.
7.7 Samandrag og tilrådingar
Personvern handlar for ein stor del om informasjon. Det er eit uttala mål at innbyggjarane i størst mogleg grad skal ha råderett over sine eigne personopplysningar og vere i stand til å ta hand om sitt eige personvern. Dei registrerte har rett til å få informasjon om behandlinga av personopplysningar om dei og kva som er føremålet med behandlinga. Dei skal òg vite kva rettar dei har i samband med personopplysningsbehandlinga.
Regjeringa arbeider for å digitalisere offentleg sektor. I dette arbeidet vil auka tilgjengeleggjering av personopplysningar i elektroniske innsynsløysingar kunne vere aktuelt.
Det er den behandlingsansvarlege som har ansvaret for at dei registrerte får nødvendig informasjon på ein forståeleg måte. For å hjelpe dei behandlingsansvarlege til å oppfylle informasjonspliktene etter personopplysningslova vil regjeringa få utarbeidd ein mal for denne typen informasjon.
Elektronisk gjenpart kan vere ei god løysing for å gi informasjon til dei registrerte, samstundes som det kan bevisstgjere dei behandlingsansvarlege. Det offentlege bør vurdere bruk av slike løysingar når nye register blir planlagde og nye IKT-system innkjøpte.
Dataminimalitet er eit godt personvernprinsipp, og det bør leggast til rette for bruk av sporfrie alternativ der dette er praktisk mogleg. Ein bør vurdere bruk av teknologi som kan redusere mengda av overskotsinformasjon. Eit anna tiltak for å avgrense mengda av personopplysningar kan vere å leggje til rette for automatiserte arkiverings- eller sletterutinar når ein utviklar nye IKT-system der regelverket ikkje er til hinder for slike løysingar.
For å få klårare fram kor viktig det er å greie ut personvernkonsekvensar, vil regjeringa arbeide for at saksbehandlarar i offentleg sektor skal kjenne og bruke den eksisterande rettleiinga når dei vurderer personvernkonsekvensar. Informasjon om rettleiinga vil bli integrert i ulike opplæringsprogram i offentleg sektor. Det vil òg bli lagt til rette for at informasjon om plikta til å gjennomføre personvernanalysar kan distribuerast saman med annan informasjon som blir gitt til næringsdrivande når dei startar næringsverksemd.
God internkontroll er som oftast eit resultat av bevisste personvernval i verksemda. Regjeringa vil leggje til rette særskilt rettleiingsmateriell for å gjere det enklare å etterleve internkontrollplikta på personvernområdet i offentleg sektor.
Boks 7.3 Hovudpunkt kapittel 7
Innbyggjarane skal ha størst mogleg råderett over eigne personopplysningar og må få tilpassa informasjon frå dei behandlingsansvarlege. Det vil bli utarbeidd ein rettleiar om plikta til å gi informasjon om behandling av personopplysningar.
Elektroniske løysingar for innsyn bør vurderast dersom ein samstundes kan ta hand om informasjonstryggleiken i systema.
Elektronisk gjenpart som informasjonskjelde bør vurderast ved oppretting av store personregister som skal vere tilgjengelege for mange brukarar.
Dataminimalitet er eit mål, og det skal leggjast til rette for sporfrie alternativ og bruk av teknologi for å redusere mengda av overskotsinformasjon der dette er praktisk mogleg.
Arbeidet for å gjere personvernreglane kjende må halde fram.
Dei behandlingsansvarlege skal prioritere utgreiing av personvernkonsekvensar og tilrettelegging av internkontroll. Det vil bli utarbeidd ein rettleiar om internkontroll etter personopplysningslova.