2 Fornyings-, administrasjons- og kirkedepartementets merknader til Datatilsynets årsmelding for 2011
Datatilsynets strategiarbeid
Datatilsynet redegjør i årsmeldingen for omfattende strategiarbeid i 2011. Virksomheten har gjennomgått interne rutiner og prosesser, virkemiddelbruk i ulike sammenhenger, prioritering av ulike fagområder og utarbeidet strategier for flere av disse fagområdene. I tillegg til prosessene igangsatt av Datatilsynet selv, har Direktoratet for forvaltning og IKT (Difi) gjennomført en evaluering av Datatilsynet som organisasjon og tilsynets virksomhet på vegne av Fornyings-, administrasjons- og kirkedepartementet. Evalueringen ble igangsatt som et ledd i oppfølgingen av Personvernkommisjonens rapport1. Datatilsynet har opplevd den eksterne evalueringen som et nyttig supplement til deres egne analyser av virksomheten.
Resultatet av strategiarbeidet er en langsiktig strategi med visjoner og overordnede mål for en femårsperiode. Strategien gjennomgår Datatilsynets roller og disponible virkemidler, samt hvilke satsninger tilsynet vil iverksette for å gjennomføre de lovpålagte oppgavene på best mulig måte. Viktige elementer i Datatilsynets strategi er å arbeide for at andre aktører skal ivareta personvernhensyn i sitt arbeid, å velge riktige virkemidler i arbeidet sitt, ha fokus på personvernvennlig teknologi, ha effektiv saksbehandling og et aktivt internasjonalt engasjement.
I tillegg til den overordnede strategien har Datatilsynet arbeidet med sektorspesifikke strategier. I meldingsåret la tilsynet frem en strategi for personvern i helsesektoren. Hensikten er å legge til rette for strategisk, langsiktig og målrettet arbeid for bedre personvern, og strategien legger stor vekt på dialog mellom Datatilsynet og sentrale aktører i helsesektoren.
Departementet deler Datatilsynets vurdering av behovet for langsiktig og strategisk planlegging. Difis evaluering av Datatilsynet viser at tilsynet har et høyt aktivitetsnivå med begrensede ressurser. Det er likevel viktig at en virksomhet med så vidt beskjedne ressurser som Datatilsynet, foretar grundige og strategiske prioriteringer med sikte på best mulig ressursutnyttelse. Riktig valg og sammensetning av de virkemidler som står til tilsynets rådighet, er avgjørende for gode resultater. Evalueringsrapporten fra Difi understreker betydningen av at Datatilsynet er tydelig i sine ulike roller. Det er viktig for brukerne at de vet når etaten opptrer som tilsyn og når de opptrer som ombud. Samtidig er det lite som tyder på at brukerne opplever det som problematisk at etaten har to ulike roller i sin virksomhet.
Datatilsynet legger stor vekt på informasjon og dialog som virkemiddel, og tilsynet ønsker at informasjon skal bidra til å sette borgerne bedre i stand til å ivareta eget personvern. Samtidig ser Datatilsynet at mange innkomne saker blir stadig mer komplekse, og krever avveininger mellom flere ulike samfunnshensyn. I denne sammenheng har Datatilsynet gjennomgått saksbehandlingsrutinene sine med tanke på å effektivisere ressursutnyttelsen. Det legges nå opp til ulike spor for håndtering av henvendelser; et veiledningsspor, et forenklet saksbehandlingsspor og et spor for full forvaltningsbehandling av saker der dette er påkrevet.
I meldingsåret ble det gjennomført betydelig færre stedlige tilsyn enn de foregående årene. Dette skyldes i all hovedsak at Datatilsynet har prioritert strategiarbeid, noe som har vært meget ressurskrevende. Det er blant annet arbeidet med risikovurderinger av Datatilsynets forvaltningsområde. Dette skal ligge til grunn for tilsynsvirksomheten i årene fremover. Datatilsynet har likevel gjennomført tilsyn i prioriterte sektorer, og har lagt vekt på å følge opp og foreta etterkontroll av flere av tilsynene og vedtakene som ble fattet med grunnlag i tilsynene.
Departementet deler Datatilsynets vurderinger av behovet for å arbeide aktivt med virkemiddelbruk og ulik prioritering av saker av ulik viktighet. Bruk av veiledning og informasjon kan være riktig og tilstrekkelig i mange saker, mens det i andre saker er behov for tilsyn og vedtak. Med begrensede ressurser kan Datatilsynet ikke behandle alle innkomne henvendelser like grundig, og god og tilpasset hjelp til selvhjelp fremstår som hensiktsmessig ressursbruk. Samtidig påpeker departementet betydning av tilsynsaktiviteten. Stedlig tilsyn gir nyttig informasjon som grunnlag for Datatilsynets videre arbeid, samtidig som det for de behandlingsansvarlige kan virke disiplinerende å vite at de kan bli gjenstand for kontroll. Departementet har derfor merket seg at det lave antall tilsyn i meldingsåret skyldes en begrunnet prioritering og legger til grunn at Datatilsynet opprettholder noe høyere aktivitetsnivå for tilsynsvirksomheten i tiden som kommer.
Elektroniske spor
Gjennomgående for flere av de temaene Datatilsynet omhandler i sin årsmelding, er utfordringer relatert til elektroniske spor. I stadig flere sammenhenger registreres og lagres elektroniske spor fra våre daglige aktiviteter. Enkelte sektorer utmerket seg likevel i meldingsåret, i særdeleshet transport/kommunikasjon og arbeidsliv.
I transportsektoren har omfanget av behandling av personopplysninger økt betydelig de senere årene. Helautomatiske bomstasjoner, elektronisk billettering i kollektivtrafikken, GPS-sporing og eCall representerer noen aktuelle teknologier. Datatilsynet har i meldingsåret deltatt i et omfattende arbeid med etablering av en bransjenorm for elektronisk billettering. Normen ble ferdigstilt og presentert i desember 2011, og legger til rette for at alle som ønsker det skal kunne reise med elektronisk billett i kollektivtrafikken uten å identifisere seg. Anonymt alternativ skal være det automatiske førstevalget, med tilhørende mulighet til å registrere reisekortet sitt på identitet for de som ønsker dette. Normen gir uttrykk for god bruk av innebygget personvern.
Stadig flere bomstasjoner på norske veier er helautomatiske. Det fins ingen mulighet for å betale med mynt. Ved meldingsårets utgang fantes ingen mulighet for anonym passering av slike helautomatiske bomstasjoner. Datatilsynet har i meldingsåret deltatt i en arbeidsgruppe som arbeider for å legge til rette for sporfrie passeringer i helautomatiske bomstasjoner. Arbeidet er ikke avsluttet ved utgangen av meldingsåret. Det gjenstår blant annet krevende avklaringer i forhold til bokføringsregelverkets lagringsplikter.
Også i arbeidslivet registreres en mengde elektroniske spor. Særlig i transportbransjen er bruk av GPS- og flåtestyring blitt vanlig. Det registreres og lagres detaljert informasjon om når og hvor arbeidstakerne har vært i løpet av arbeidsdagen. For å få bedre oversikt over og forståelse for personvernutfordringene i arbeidslivet, har Datatilsynet i meldingsåret hatt et samarbeid med Arbeidstilsynet for å kartlegge omfanget av kontroll og overvåking i arbeidslivet. Informasjon om regelverk fremstår som et viktig tiltak i sektoren. Datatilsynet legger vekt på god informasjon fra arbeidsgiver til de ansatte om de behandlinger som finner sted, samt å bevisstgjøre arbeidsgiver om å foreta nøye vurderinger av hva som er nødvendig behandling av personopplysninger ut fra arbeidsgivers behov. Bruk av de lagrede opplysningene til nye formål reiser særlige problemstillinger, noe også partene i arbeidslivet er opptatt av. Datatilsynet viser til at det i meldingsåret er behandlet saker der opplysninger innhentet for administrasjon, senere er brukt som grunnlag i oppsigelsessaker. Dette er ikke i samsvar med innhentingsformål og informasjon til de ansatte. En sak om dette temaet har vært til rettslig behandling i meldingsåret. Bruk av innsamlede personopplysninger i strid med regelverket fikk ingen konsekvenser for arbeidsgiver i saken.
Departementet mener det er viktig at aktører i alle bransjer er oppmerksomme på den store mengden elektroniske spor vi etterlater oss hver eneste dag, på reise, i arbeidsliv og privat. Big dataer et begrep som brukes om de enorme informasjonsmengdene som fins om oss, særlig på nettet. Data sammenstilles og analyseres for en mengde formål. Sammenstilt på nye måter kan informasjonen fortelle mye om oss, og brukt til nye formål kan informasjonen få uante konsekvenser. Departementet deler Datatilsynets oppfatning av at det er viktig å følge utviklingen på dette området nøye.
Helse- og omsorg
Helse- og omsorgssektoren er en personopplysningsintensiv sektor. Den enkelte må, for å få god og riktig helsehjelp, akseptere å gi fra seg betydelige mengder sensitive personopplysninger. Datatilsynet påpeker at opplysningene ikke bare brukes i behandlingsøyemed, men også til forskning, kvalitetssikring, administrasjon og planlegging. Den enkelte pasient har begrenset informasjon om flyten av opplysningene. Datatilsynet tar opp betydningen av personvern ved bruk av omsorgsteknologi, og er opptatt av å bidra til at utvikling og bruk av slik teknologi ivaretar pasientenes personvern. Bruk av omsorgsteknologi kan i mange sammenhenger lette hverdagen for pasientene. Et aktuelt eksempel er bruk av GPS-sporing av demente. Det er viktig å legge til rette for eventuell bruk av slik teknologi på en måte som ikke krenker pasientens integritet. Datatilsynet peker i årsmeldingen på bruk av innebygget personvern som viktig i utviklingen og implementeringen av ny omsorgsteknologi.
Fra meldingsåret fremhever Datatilsynet samhandlingsreformen, Norsk Helsearkiv og opprettelse av hjerte- og karregisteret som store saker med betydelige personvernkonsekvenser. Datatilsynet er generelt opptatt av informasjon og medbestemmelse for pasientene i helsesammenheng. Dette fremheves som viktig for tillit mellom pasient og helsepersonell. Behandling av personopplysninger bør etter Datatilsynets vurdering så langt råd er baseres på de registrertes samtykke. Datatilsynet fremhevet dette i forbindelse med opprettelse av nasjonal kjernejournal der registrering er frivillig, men basert på reservasjonsadgang, og ikke aktivt samtykke for den enkelte registrerte.
Departementet er positiv til at Datatilsynet har utarbeidet en strategi for sitt arbeid med personvern i helsesektoren og mener at en slik strategi er til nytt både for Datatilsynet selv og for sektoren som skal forholde seg til Datatilsynets arbeid. Departementet deler Datatilsynets fokus på pasientenes behov for informasjon og selvbestemmelse som grunnlag for at pasientene skal ha den nødvendige tillit til behandlingsapparatet og ivaretakelsen av personvernet.
Offentlighet og personvern
Datatilsynet peker i sin årsmelding på konsekvensene av systematisering og tilgjengeliggjøring av offentlig informasjon på nett. Da offentlighetsloven ble vedtatt i 1970, måtte borgerne i all hovedsak utøve sin innsynsrett ved henvendelse til den enkelte offentlige etat. Utgangspunktet for innsynsrett er det samme etter den nye loven, men i dag er svært mye informasjon digitalisert, og mye av dette er tilgjengelig via nettet. Blant annet finnes postjournalene for mange statlige organer på nettstedet Offentlig elektronisk postjournal.
I meldingsåret har flere saker om offentliggjøring av elev- og studentlister vært aktuelle som følge av at det er begjært utlevert oversikter over elever og studenter ved ulike utdanningsinstitusjoner. Informasjonen kan være offentlig tilgjengelig med hjemmel i offentleglova, og Datatilsynet påpeker behovet for en gjennomgang av offentleglovas muligheter for elektronisk masseutlevering av personopplysninger.
En annen sak som gjelder offentlig innsyn i personopplysninger, er den årlig tilbakevendende saken om innsyn i offentlige skattelister. Åpenheten som har hersket rundt denne informasjonen har blant annet resultert i at opplysningene har vært tilgjengelig for bruk i forbindelse med kriminell virksomhet. I meldingsåret vedtok Stortinget endringer i ligningsloven2 § 8-8 som begrenser spredningen av skattelistene i elektronisk form. Listene er fremdeles tilgjengelig for allment innsyn, men kun på skatteetatens hjemmesider via innlogging med Min ID. Bruk av Min ID begrenser tilgang til informasjonen for borgere uten slik elektronisk id, det vil si andre staters borgere. Også pressens omfattende spredning av listene er innskrenket. Datatilsynet har i mange år vært svært kritiske til den omfattende spredningen av skattelistene i elektronisk format, og er svært tilfreds med innstrammingen.
Departementet deler Datatilsynets bekymring for den spredningen av personopplysninger som følger med praktisering av offentlighetsprinsippet i en digital verden. Det er viktig å være oppmerksom på og å håndtere disse utfordringene på en god måte. Særlig opplysninger om barn bør gis et bedre vern enn det som i dag er tilfellet. Barn har plikt til å gå på skole, og det er grunn til å diskutere om offentliggjøring av kontaktinformasjon er en rimelig konsekvens av denne skoleplikten. Med riktig bruk av teknologi, herunder innebygget personvern, er det departementets vurdering at det bør være mulig å sikre både hensynet både offentlighet og hensynet til personvern.