Meld. St. 32 (2011–2012)

Datatilsynets og Personvernnemndas årsmeldinger for 2011

Til innholdsfortegnelse

1 Datatilsynets årsmelding for 2011

Forord

Sosiale medier vokser hurtig, applikasjoner for mobil og andre plattformer utvikles i et rasende tempo, kontrolltiltak i arbeidslivet blir stadig billigere og enklere å innføre, samt en på mange måter foreldet IKT-struktur i helsesektoren utfordrer personvernet på ulike måter.

I et slikt landskap er det avgjørende å ha et godt strategisk rammeverk, og det har det vært en prioritert oppgave for Datatilsynet å få dette på plass. Et høydepunkt ble nådd da vi i november 2011 lanserte «Datatilsynets strategi for årene 2011-2016». Her trekker vi fram de viktigste utfordringene personvernet står overfor og beslutter de viktigste målene og satsingene i neste femårsperiode. Også på enkeltområder har det vært viktig med en mer strategisk tilnærming. Helsesektoren behandler store mengder sensitive opplysninger og er preget av stor politisk endringsvilje. Datatilsynets «Strategi for godt personvern i helsesektoren» peker ut personvernets vei fremover i dette landskapet.

Datatilsynet har i 2011 jobbet etter en helt ny virksomhetsplanstruktur. Vi har hatt seks prioriterte områder på virksomhetsplanen: internett og telekommunikasjon, arbeidsliv, justis, økonomi og finans, samferdsel og helse. Arbeidsformen har vært mer utredningsbasert enn tidligere, og vår rapport om Facebook har vakt oppmerksomhet utenfor landets grenser, og har ført til at vi leder de nordiske landenes dialog med Facebook. Dette viser at det selv for et lite tilsyn fra et lite land er mulig å komme i dialog med internasjonale giganter ved godt strategisk arbeid.

På slutten av meldingsåret kom det første utkastet til ny EU-forordning på bordet. Det var mye godt personvern i forslaget, blant annet å opprette et nytt kollektivt europeisk organ på personvernområder; European Data Protection Board, der alle datatilsynsmyndigheter i EU-land har møterett. Som ikke-medlem er Norge i utgangspunktet utelukket fra å delta i dette svært viktige organet. Verdt å merke seg er også at en forordning ikke gir rom for nasjonale tilpasninger. Skal vi påvirke arbeidet må det gjøres nå. Denne korte innledningen avsluttes derfor med en oppfordring til hele det politiske miljøet om å mobilisere sine nettverk for å påvirke forordningen. Dette for å sikre et godt personvern for norske borgere, og sørge for at vi får innpass i de organene der beslutninger treffes.

Bjørn Erik Thon

Direktør

1.1 Datatilsynets strategi 2011 – 2016

De siste årene har det vært det vært et overordnet mål for Datatilsynet å utvikle en mer strategisk og planmessig arbeidsform med større vekt på prioriteringer. I slutten av 2010 ble en ny resultatorientert virksomhetsplan for 2011 vedtatt. I planen var ulike områder og sektorer prioritert i forhold til hverandre. Ved slutten av meldingsåret er de aller fleste av målene som ble satt der gjennomført, og det er oppnådd gode resultater på en rekke områder.

Det er imidlertid behov for å se lenger fram i horisonten enn kun ett år. En viktig oppgave i 2011 har derfor vært å vedta en ny, overordnet strategi for tilsynet. Strategiprosessen ble tidsmessig lagt parallelt med en evaluering av Datatilsynet som ble gjennomført av Direktoratet for forvaltning og IKT (Difi), og denne evalueringen ga viktige innspill til den interne strategiprosessen. Planarbeidet har krevd til dels store interne ressurser inneværende år, men nå er det til gjengjeld lagt et solid grunnlag for videre fremadrettet arbeid i tilsynet.

En viktig del av strategiarbeidet var å samles om en visjon og definere felles verdier og overordnede mål.

Visjon: «Datatilsynet – i front for retten til selvbestemmelse, integritet og verdighet.»

Datatilsynets verdier er å være uredd, troverdig, entusiastisk og kunnskapsrik, og i strategien trekkes det fram fire overordnede mål. Datatilsynet skal:

  • sette borgeren i stand til å ivareta sitt eget personvern,

  • aktivt kontrollere at lover og regler følges,

  • være Norges mest kompetente fagmiljø på personvern, og

  • ha stor synlighet i personverndebatten.

Strategien inneholder også en framstilling av hva personvern egentlig er, sett fra Datatilsynets ståsted. Videre gjennomgår strategien Datatilsynets roller og de virkemidlene tilsynet har til disposisjon.

Den mest sentrale delen av strategien er de satsingene tilsynet skal sette i verk for å oppnå de overordnede målene og utføre de lovpålagte oppgavene på en god måte. Datatilsynet skal blant annet:

  • jobbe aktivt for å få andre aktører opptatt av personvern. Dette innebærer utstrakt kontakt og aktiv dialog med næringslivets organisasjoner, private aktører, andre tilsyn og departementer.

  • ha kvalitet i alle ledd, både når det gjelder tilsyn, juss og kommunikasjonsvirksomhet, samt administrativt. Dette betyr også mer kontakt med forsknings- og utviklingsmiljøer for å kunne være et ledende fagmiljø på personvern.

  • være bevisst sin bruk av roller – og riktig bruk av virkemidler. Det er viktig at Datatilsynet bruker de ulike rollene på en riktig måte. Dette skaper større forutberegnelighet for omverdenen, og ikke minst større mulighet for å få gjennomslag i viktige saker.

  • ha teknologifokus – særlig på personvernvennlig teknologi og såkalt «privacy by design». Dersom gode personvernløsninger bygges inn i teknologien allerede i designstadiet, er det bedre for personvernet, og billigere for de som utvikler ulike tjenester, enn om virksomhetene må gjøre det i ettertid.

  • ha effektiv saksbehandling, risikobasert tilsynsvirksomhet og klare prioriteringer. Stor saksmengde nødvendiggjør at tilsynet erkjenner at alle saker ikke er like viktige, og at det arbeides effektivt med klare opp- og nedprioriteringer.

  • ha aktivt internasjonalt engasjement. Personvernlovgivningen er i stor grad basert på EU-direktiver. Deltagelse i ulike internasjonale fora er derfor svært viktig for Datatilsynet. Det samme gjelder å ta tak i saker mot store internasjonale selskaper, slik det blant annet ble gjort i forbindelse med Facebook.

  • ha høy kompetanse og motiverte medarbeidere. Datatilsynet møter sektorekspertise på nær sagt alle områder. Det satses derfor mye på å utvikle egne medarbeidere for å holde tritt med dette.

1.2 Saker vi vil trekke frem fra året som gikk

Kartlegging av Facebook

I desember 2010 ga Datatilsynet ut rapporten «Social Network Services and Privacy – a case study of Facebook». Rapporten viste at den profilinformasjonen som brukerne bevisst gir fra seg selv, kun er en liten del av den totale mengden informasjon som Facebook innhenter. Samtidig avdekket rapporten flere uklarheter om Facebooks innsamling og bruk av personopplysninger. Med bakgrunn i dette sendte de nordiske personvernmyndighetene i juli 2011, på initiativ fra det norske Datatilsynet, en rekke konkrete spørsmål til Facebook om hvem som samler inn og får tilgang til informasjonen via Facebook, samt hva som skjer med innsamlede personopplysninger.

Les mer om dette under Internett og telekommunikasjon i kapittel 8.

Datalagringsdirektivet

Stortinget vedtok i april 2011 å implementere datalagringsdirektivet i norsk rett. Direktivet vil implementeres i både ekomregelverket, straffeprosessloven og personopplysningsforskriften. Datatilsynet vil få en rekke nye oppgaver i tilknytning til direktivet, blant annet tilsynsoppgaver knyttet til sletteplikten og utarbeidelse av konsesjoner med krav til sikkerhet. Datatilsynet argumenterte sterkt imot direktivet, men tok Stortingets beslutning til etterretning, og jobbet siste del av meldingsåret sammen med Post- og teletilsynet om implementeringen.

Les mer om dette under Justis i kapittel 8.

App-rapporten

Datatilsynet publiserte i september 2011 rapporten «Hva vet appen om deg? Kartlegging av personvernutfordringer knyttet til mobilapplikasjoner». Mobilapplikasjoner, såkalte «apper», er i kraftig vekst. Bakgrunnen for at tilsynet har kikket nærmere på dette markedet er at mange applikasjoner håndterer store mengder personopplysninger, ofte uten at brukeren selv er klar over det. Enkelte applikasjoner krever tilgang til personopplysninger som kan fortelle svært mye om brukeren, som for eksempel hvor man har oppholdt seg, opplysninger om vennenettverket og om vedkommendes interesser.

Les mer om dette under Internett og telekommunikasjon i kapittel 8.

RMI-saken

I 2010 gjennomførte Datatilsynet en kontroll ved Rettsmedisinsk institutt (RMI) ved Universitetet i Oslo. Kontrollen viste at instituttet oppbevarer store mengder sensitive personopplysninger fra sin oppdragsvirksomhet, uten at det foreligger tilfredsstillende rettslig grunnlag for slik oppbevaring verken i lov eller i avtalen med den enkelte oppdragsgiver. Datatilsynet fant også at det forelå store mangler ved informasjonssikkerheten for opplysningene, og at universitetet for øvrig utøvde dårlig kontroll med opplysningene. I meldingsåret varslet Datatilsynet at det ville fatte vedtak om at opplysningene må slettes.

Les mer om denne saken under Justis i kapittel 8.

Datatilsynets helsestrategi

Høsten 2011 ble «Datatilsynets strategi for bedre personvern i helsesektoren» lansert. Datatilsynet har utarbeidet langsiktige mål for hvordan etaten skal bidra til bedre personvern i helsesektoren. Det inkluderer blant annet arbeid rundt tilgangsstyring (både internt i virksomheter og tilgang på tvers), modernisering og samordning av helseregistre (sentrale helseregistre og andre kvalitetsregistre), samt en evaluering av hvordan tilsynet kan sikre folks selvbestemmelse og autonomi. Strategien tar også opp hvordan tilsynet skal arbeide overfor de lokale kvalitetsregistrene, departement, Helsedirektoratet, Helsetilsynet og andre sentrale aktører i helsesektoren.

Nettby

I desember 2010 ble VG sitt nettsamfunn Nettby nedlagt. Dette var en periode Norges største nettsamfunn, og betydelige mengder informasjon var registrert, deriblant privat kommunikasjon. Etter nedleggelsen ble alle opplysningene liggende hos VG, utilgjengelig for både deres tidligere brukere og allmennheten for øvrig. VG og Nasjonalbiblioteket mente at disse opplysningene måtte bevares for ettertiden fordi de gjenspeilet den tiden vi lever i nå, og derfor kunne være interessante for forskning. Det opprinnelige formålet med Nettby var imidlertid å tilby medlemmene deltagelse i et nettsamfunn – med blant annet mulighet for privat samhandling medlemmene imellom. Datatilsynet påla derfor sletting.

Les mer om dette under Internett og telekommunikasjon i kapittel 8.

Bransjenorm for elektronisk billettering

På initiativ fra Ruter og de øvrige kollektivselskapene har tilsynet deltatt i et samarbeidsprosjekt om personvernvennlige løsninger for elektronisk billettering og utvikling av en bransjenorm. En bransjenorm for elektronisk billettering skal bidra til at alle kan reise anonymt med buss, tog og båt, og forplikter hele bransjen til å tilby elektroniske billetter som gir godt personvern for de reisende. Alle trafikanter skal kunne reise kollektivt uten å oppgi hvem eller hvor de er, og likevel få de samme fordelene og servicen som trafikanter som velger å inngå personlige avtaler med et transportselskap.

Bransjenormen ble lansert i desember 2011.

Tollvesenets kontrollpraksis overfor privatpersoner

Tollvesenet har en kontrollpraksis som innebærer at opplysninger om privatpersoners utenlandstransaksjoner hentes fra valutaregisteret, at opplysningene foreholdes den registrerte gjennom et brev, og at vedkommende bes om å legge frem dokumentasjon knyttet til de aktuelle transaksjonene og eventuelle tollbehandlinger.

Datatilsynet mener at dette er et kontrolltiltak overfor den enkelte som mangler hjemmel i lov, og fattet i meldingsåret et vedtak overfor tollvesenet. Tollvesenet har på sin side påklaget Datatilsynets vedtak, og saken er oversendt Personvernnemnda.

Les mer om denne saken under Justis i kapittel 8.

1.3 Tendenser og overordnede utviklingstrekk

«Big Data» er deg

Det var i mange år vanlig å betrakte sin tilstedeværelse på nett som konfidensiell og anonym. Den kjente karikaturtegningen «På internett vet ingen at du er en hund» 1 illustrerer denne holdningen godt. I dag er virkeligheten en annen – de fleste søk, oppslag, klikk og sidevisninger på nett blir logget, lagret og analysert med varierende grad av identifisering av brukeren. Den omfattende mengden personopplysninger som samles inn er svært verdifull for eiere av nettjenester, annonsører og andre aktører i annonsemarkedet. Opplysningene gjør det mulig å skreddersy reklame til spesifikke målgrupper og å måle gjennomslagskraften til reklamekampanjer. Markedet for personopplysninger representerer enorme verdier og er i stor grad drivkraften bak utviklingen av gratis innhold og tjenester på nett.

Den alminnelige internettbruker har imidlertid liten innsikt i hvordan dette markedet fungerer og hvordan deres personopplysninger benyttes av kommersielle interesser2. Dette er uheldig med tanke på personvernet til brukere av digitale tjenester. Et viktig utgangspunkt for personvernet er at den enkelte skal ha kontroll med opplysninger om seg selv. Manglende kontroll over egne personopplysninger er en problemstilling som ikke bare opptar Datatilsynet i Norge, men som også har blitt satt på den politiske dagsorden i EU og USA. I forslaget til nytt europeisk personvernregelverk, som ble lansert januar 2012, er eierskap til egne personopplysninger et sentralt punkt.

Tidsalderen for «store data»

Det utvikles stadig nye og mer sofistikerte metoder for å spore og samle inn opplysninger om brukerne på nett. Utbredelsen av smarttelefoner og økt bruk av lokasjonsbaserte applikasjoner gjør at omfanget av data som produseres akselererer ytterligere. I tillegg vil utviklingen mot mer bruk av sensorteknologi («tingenes internett») medføre at ikke bare data om hvem og hvor vi er blir samlet inn, men også opplysninger om når og hvordan vi samhandler med tingene rundt oss . Det er estimert at mengden data som produseres globalt vil øke med 800 prosent de neste fem årene3. Omlag en milliard innholdselementer lastes for eksempel daglig opp på Facebook, og mer enn 250 millioner tweets publiseres daglig, og antallet er raskt økende4. Vi har entret tidsalderen for hva som omtales som Big Data – en av de viktigste teknologi- og forretningstrendene som vil prege samfunnet fremover5.

«Privacy concerns are not new; people have been talking about privacy – or the lack thereof – forever. So what’s different now? The difference is Big Data.»6

Uttrykket Big Data refererer til datasett som er så enorme at de ikke kan analyseres ved hjelp av tradisjonelle databaseverktøy7. Det er likevel ikke først og fremst selve størrelsen på datamengdene som gjør at Big Data representerer et paradigmeskifte, men det at dataene er samlet fra et utall ulike kilder, og aggregert og analysert i nye sammenhenger. Begrepet brukes primært om de enorme datamengdene som genereres i sosiale medier og andre steder på nett. Fremveksten av skytjenester som kan tilby nær ubegrenset lagringskapasitet til en stadig rimeligere pris, er en sentral forutsetning for at virksomheter nå kan høste inn og behandle langt større datamengder enn tidligere.

Hensikten med Big Data er å lete etter mønster og sammenhenger det ikke var mulig å få øye på tidligere og å lage profiler på enkeltgrupper- og personer (data mining ). Slik kunnskap er verdifull ikke bare innenfor markedsføring og salg, men også for myndighetene, med henblikk på blant annet sykdoms- og kriminalitetsbekjempelse. Kravene til løsninger for datalagringsdirektivet har i denne sammenheng blitt trukket frem som et eksempel på Big Data8. Direktivet krever lagring av både strukturerte og ustrukturerte data, nemlig trafikkdata om telefonsamtaler, SMS, chat og epost til alle abonnenter i inntil seks måneder. Det tilfredsstiller kriteriene for Big Data: variasjon i type data, stort datavolum og behov for avanserte analyseteknikker. Innen helsesektoren er det også stor interesse for å sammenkoble og analysere store datasett. Aktuelle datakilder for sammenkobling er helseregistre, biobanker med genetisk informasjon og pasientjournaler. Formålet med sammenstillingen er å lete etter mønstre og sammenhenger som kan bidra til å forebygge alvorlig sykdom, og å bedre helsetilstanden i befolkningen generelt.

Enkel tilgang til store mengder personopplysninger, mulighet for rimelig lagring og fremvekst av nye analyseteknikker, driver også frem nye forretningsmodeller og virksomheter. Innen banknæringen finnes det for eksempel oppstartselskaper som er i ferd med å utvikle profileringsteknikker som angir folks kredittverdighet, basert på deres aktivitet og nettverk i sosiale medier9. Det har i denne sammenheng blitt spekulert i om Facebook kan tenkes å starte bankvirksomhet i fremtiden, nettopp med grunnlag i virksomhetens inngående kjennskap til sine brukere10.

Datatilsynet ser også en utvikling der selskaper bygger opp forretningsmodeller basert på personopplysninger hentet fra ulike offentlige registre, for eksempel universitetenes registre over alle uteksaminerte studenter. Det offentlige er en stor bidragsyter av personopplysninger på internett og det utvidede dokumentbegrepet i den nye offentlighetsloven åpner for at enhver som ønsker det kan be om utlevering av omfattende databaser med personopplysninger, uten å måtte gjøre rede for hva opplysningene skal brukes til. Det er ikke bare kommersielle aktører som har interesse av slike data, men også kriminelle.

«Store data» møter store bror

«You should know that any data that can be gathered will be gathered»11

Digitale data er i dag overalt – i alle sektorer, i alle økonomier og i alle organisasjoner. Aggregering og analyse av Big Data kan benyttes til en rekke positive formål. Storskala dataanalyse kan øke produksjonen og konkurransekraften i næringslivet, og det offentlige kan hente ut betydelige effektiviseringsgevinster ved å benytte denne typen analyser12. Det er imidlertid viktig å ikke miste av syne at dataene som benyttes til en stor grad er opplysninger om folks liv. Det er informasjon om folks preferanser, synspunkter, kjøpemønster, bosted, helse, strømforbruk, lån, samt eventuelt sensorbasert informasjon fra butikker, trafikken og andre steder.

Datatilsynet foretok i 2011 en kartlegging av personvernutfordringer knyttet til mobilapplikasjoner13. Mange applikasjoner håndterer store mengder personopplysninger om sine brukere, ofte uten at brukeren selv er klar over dette. En av hovedkonklusjonene i rapporten er at app-markedet fra et brukerperspektiv er preget av liten grad av gjennomsiktighet når det gjelder hvilke opplysninger som samles inn om brukeren, hva som er formåle t med innsamlingen og hvordan opplysningene eventuelt viderebrukes .

Rettigheten til informasjon om, og innsyn i, behandlingen av egne personopplysninger er viktige personvernprinsipper. Et annet sentralt prinsipp er at innsamlede personopplysninger kun skal anvendes til klart uttrykte formål. Når vi avgir personopplysninger på nett eller i mobile applikasjoner, gjøres dette innenfor en bestemt kontekst og med visse forventninger om hvordan opplysningene vil bli brukt. Vi har tillit til at innholdet vi publiserer, og opplysningene vi intetanende legger igjen, ikke skal bli brukt til andre formål enn hva det opplyses om. Hvis man aggregerer og redistribuerer innhold på nett uten at folk samtykker, krenker man folks personvern blant annet ved at man helt mister kontrollen over egne personopplysninger.

Når data tolkes utenfor den opprinnelige konteksten – når de benyttes til andre formål – kan dette få store konsekvenser for den enkelte. Bruken av storskala dataanalyse reduserer langt på vei mennesket til summen av de digitale sporene vi legger igjen – vi er våre data. Det etableres digitale profiler om oss uten at vi selv har innsikt i, eller kontroll over, nøyaktig hvilke opplysninger profilen er basert på. En «negativ» digital profil kan være vanskelig å unnslippe. En dansk kvinne ble for eksempel feilaktig mistenkt for terrorfinansiering av amerikanske myndigheter i 2008, og fikk sine finanser frosset fordi hun hadde overført penger for kjøp av seks kjoler til en butikkinnehaver i Pakistan14.

Hvilke konsekvenser har det når vi vet at opplysninger om oss blir lagret, aggregert og kan bli brukt mot oss i fremtidige situasjoner – vil vi da våge å ytre oss like fritt? Mennesker som vet at de blir iakttatt endrer oppførsel fordi konteksten blir en annen – tilliten til omgivelsene endres. Et dårlig ivaretatt personvern kan svekke demokratiet ved at borgerne begrenser sin deltakelse i åpen meningsutveksling. Tap av kontroll over egne personopplysninger kan derfor i verste fall ha en nedkjølende effekt på ytringsfriheten.

Retten til å bli glemt

Den alminnelige internettbrukers manglende kontroll over egne data bekymrer myndighetene både i EU og USA. Et utkast til ny europeisk personvernlovgivning ble publisert av Europakommisjonen på nyåret 2012. En av hovedpilarene i den nye reguleringen vil dreie seg om «retten til å bli glemt». Brukerne av online-tjenester skal innrømmes bedre kontroll med egne personopplysninger. De skal kunne trekke tilbake samtykke til at deres personopplysninger blir behandlet, og de skal kunne kreve dem slettet. Forslaget vil trolig også gi borgeren rett til å flytte opplysninger fra en nettjeneste til en annen, såkalt dataportabilitet. Dette vil skape en dynamikk i markedet som vil være bra for personvernet, ettersom brukeren da ikke lenger behøver å være lojal mot et nettsamfunn. Ett annet sentralt punkt i den nye personvernlovgivningen er vektleggingen av gjennomsiktighet: Virksomheter som samler inn og behandler personopplysninger må informere brukeren om hvilke opplysninger som samles inn og for hvilket formål. Det skal også opplyses om hvorvidt opplysningene selges videre til tredjeparter.

Datatilsynet vil oppfordre Regjeringen og andre aktører til å delta aktivt i høringsarbeidet, og ikke vente med å engasjere seg til regelverket er vedtatt.

I USA har lovforslaget «Do Not Track on-line act 15» fått mye oppmerksomhet. Forslaget har til hensikt å gjøre det mulig for internettbrukere å reservere seg mot at deres aktivitet på nett spores av aktører med interesser i markedet for atferdsbasert reklame. Forslaget går ut på at nettstedseiere er forpliktet til å informere brukerne hvis det er installert informasjonskapsler (cookies) som samler inn personopplysninger om brukeren på nettsiden. Det skal også opplyses om dataene som samles inn videreformidles til eventuelle tredjeparter. Hvis dette gjøres skal brukeren kunne reservere seg mot slik bruk. Hvorvidt forslaget blir vedtatt er imidlertid fortsatt usikkert.

I EU er det igangsatt et arbeid for å utvikle en global «Do Not Track»-standard. Dette arbeidet gjøres i forlengelse av E-privacy-direktivet (populært kalt cookie-direktivet). Direktivet pålegger tilbydere av nettjenester å innhente samtykke fra brukeren for å kunne plassere eller få tilgang til informasjonskapsler på vedkommendes datamaskin eller smarttelefon. Unntaket er hvis dette er nødvendig for å kunne utføre en tjeneste brukeren eksplisitt har etterspurt. Fristen for å innføre Eprivacy-direktivet var i mai 2011. I Norge er direktivet fremdeles ikke implementert.

Personvern for fremtiden

Den teknologiske utviklingen med økt bruk av blant annet storstilte databanker (Big Data), sensorteknologi, nettskytjenester og ulike biometriske løsninger setter personvernet under press. Personvernutfordringene denne utviklingen fører med seg er ikke nye, men omfanget av utfordringer vokser kraftig. For å sikre innbyggerne et tilfredsstillende personvern fremover er det ikke lenger tilstrekkelig å utelukkende benytte lover og regulering. Nye virkemidler må tas i bruk – virkemidler som legger hovedvekt på personvern i alle ledd – fra utvikling til bruk av nye løsninger. Innebygget personvern (Privacy by Design) er i denne sammenheng et sentralt satsningsområde for Datatilsynet16. I forslaget til nytt europeisk personvernregelverk som ble lansert i januar 2012, inngår også innebygget personvern som et nytt og viktig element.

Hva er innebygget personvern?

Innebygget personvern innebærer at personvern blir bygget inn i løsningen fra starten. Teknologien skal benyttes slik at den understøtter kravene i personopplysningsloven. Innebygget personvern som metode dreier seg imidlertid ikke kun om tekniske løsninger. Det er først og fremst en måte å tenke på. Målsetningen med innebygget personvern er å få personvernhensyn til å inngå som et sentralt element i virksomhetens verdigrunnlag, på lik linje med for eksempel samfunnsansvar og miljøhensyn.

Et annet viktig aspekt ved innebygget personvern er at det må skapes en vinn-vinn-situasjon for både virksomheten og brukeren – det skal være lønnsomt å lage personvernvennlige løsninger. Ved å sette personvernet til brukeren i sentrum vil tilliten til virksomheten opprettholdes. Å nyte høy tillit er et viktig konkurransefortrinn. Videre er det kostnadsbesparende å tenke personvern tidlig i utviklingsprosessen. Virksomhetene kan da ta nødvendige forhåndsregler og utvikle skreddersydde løsninger før de gjør tunge investeringer. Kostnadene ved å endre detaljer i et prosjekt på planleggingsstadiet er en brøkdel av dem som påløper hvis det blir nødvendig å gjøre endringer senere. En grundig vurdering av personvernkonsekvenser ved utarbeidelse av nye løsninger vil også bidra til at løsningene holder seg innenfor rammene lovverket setter. Dermed reduseres risikoen for at virksomheten bryter loven, og opplever omdømmetap.

Utfordringer

For å få private og offentlige virksomheter til å omfavne prinsippene for innebygget personvern er det imidlertid enkelte utfordringer å ta tak i. Ledere ser ofte på personvern som et spørsmål om etterlevelse, og ikke som et verdispørsmål for virksomheten. Fordelene ved å satse på personvern kan fremstå som uklare. For mange virksomheter kan det derfor oppleves som bedriftsøkonomisk lønnsomt å ta sjansen på å bryte loven ettersom sjansen for å bli tatt i lovbrudd er relativt liten.

Videre er det en utfordring at personvern er et diffust konsept. Ledere og ansatte kan mangle et felles språk for å snakke om og spesifisere klare krav og retningslinjer for hvordan personvernet skal ivaretas. Innebygget personvern er også til en viss grad en uvant måte å tenke på for mange utviklere. Dataminimalisering er for eksempel et ukjent begrep i mange utviklermiljø. Det er snarere en utbredt oppfatning at lagring av data er billig og nyttig mens sletting er kostbart og komplisert. I arbeidet med å markedsføre prinsippene om innebygget personvern er det derfor avgjørende å komme i dialog både med sentrale ledere og utviklermiljøer.

Eksempler på bruk

Kollektivtransportbransjen tok i 2011 initiativ til en bransjenorm for elektronisk billettering. Normen forplikter hele bransjen til å tilby elektroniske billetter som gir godt personvern for de som reiser. Dette betyr at alle skal kunne reise anonymt og samtidig få de samme fordelene og servicen som trafikanter som velger å inngå personlige avtaler med et transportselskap. Normen er et godt eksempel på innebygget personvern. Kollektivtransportbransjen har gjennom dette initiativet inkorporert personvern som en viktig verdi. Dette forplikter bransjen, men kollektivtrafikkselskapene har også selv fordeler av dette fordi de samlet kan tilby trafikantene et bedre produkt.

På helseområdet vil det være svært viktig å satse på bruk av innebygget personvern. Regjeringen har besluttet at det skal etableres en nasjonal kjernejournal som følger norske pasienter. Datatilsynet er positiv til at en slik journal innføres, men det er avgjørende at det blir satt strenge krav til ivaretakelse av personvernhensyn. Nasjonal kjernejournal innebærer en mulig tilgjengeliggjøring av befolkningens kritiske helseopplysninger over hele landet. Løsningen må derfor bygges slik at den ivaretar tillitten mellom pasient og behandler. Pasienter må aldri være i tvil om at de sensitive personopplysningene de avgir behandles og oppbevares på en forsvarlig måte.

Datatilsynet anbefaler derfor at nasjonal kjernejournal utvikles etter prinsippene om innebygget personvern for å sikre at grunnleggende personvernhensyn bygges inn fra starten. Løsningen bør i utgangspunktet baseres på samtykke. Velger man en løsning basert på reservasjonsrett, må den imidlertid bygges slik at teknologien understøtter en synlig og brukervennlig reservasjonsordning. Løsningen må videre ha et tilgangsstyringssystem som bygges inn fra starten, hvor tilgang til kjernejournalen gjøres avhengig av tilgang til andre systemer. Dette vil også være en brukervennlig løsning for helsepersonellet. Videre må løsningen konstrueres slik at den logger alle oppslag på en måte som synliggjør misbruk. Det kan for eksempel gå automatisk melding til innehaver av journalen når det foretas oppslag i den uten at gitte forutsetninger er på plass.

Et annet område hvor bruk av innebygget personvern blir viktig, er i utvikling og implementering av omsorgsteknologi. Datatilsynet er positiv til slik teknologi, men den må utvikles og brukes på en måte som tar hensyn til brukerens personvern. Datatilsynet er derfor opptatt av å være en aktiv medspiller på området, for på den måten å sørge for at sentrale aktører velger mest mulig personvernvennlige løsninger. Det innebærer for eksempel at løsningene som velges ikke lagrer flere personopplysninger enn nødvendig for å oppnå formålet med tjenesten. Ved bruk av blant annet sporingsteknologi er sanntidsløsninger for eksempel mindre inngripende enn løsninger som lagrer hele bevegelsesmønsteret til brukeren. Videre bør løsningene konstrueres slik at data som kun skal brukes lokalt, også lagres lokalt og slettes etter bruk. Dette gjelder for eksempel ved bruk av ulike sensorer i hjemmet for å styre elektriske brytere og lukking/åpning av dører. Generelt er teknologi som forutsetter at brukeren selv utløser en type varsling mindre inngripende for personvernet enn teknologi som er styrt «utenfra», for eksempel fra sykehjemmet. Jo mer kontroll brukeren selv har over løsningen og hva den registrerer, jo mer personvernvennlig er den.

Datatilsynet har inntrykk av at de som har lykkes med å ta i bruk omsorgsteknologi har satt brukeren i sentrum og lyttet til deres ønsker og behov. Innbygget personvern handler som allerede nevnt nettopp om dette. God omsorgsteknologi vil derfor være teknologi som viser respekt for brukerens personvern.

Veien fremover

Datatilsynet vil jobbe for at prinsippene om innebygget personvern blir kjent og adoptert av bestillere og utviklere av nye løsninger. Tilsynet vil blant annet:

  • samarbeide med sentrale aktører, både på bestiller- og utviklersiden for å promotere og synliggjøre viktigheten av innebygget personvern. Det blir viktig å illustrere nytten av innebygget personvern gjennom bruk av gode eksempler, for eksempel bransjenormen til kollektivtransportbransjen referert til ovenfor.

  • arbeide for at det i forbindelse med offentlige anskaffelser skal være et lovbestemt krav om å gjennomføre en konsekvensvurdering for personvernet .

  • arbeide for bedre lovmessig forankring av kravet om å vurdere personvernkonsekvenser i offentlige utredninger og forslag. Dette kravet er i dag nedfelt i en veileder til utredningsinstruksen17, Vurdering av personvernkonsekvenser . Hensikten med veilederen er å bidra til at statlige etater på en god måte kan utrede de personvernmessige konsekvensene av sine forslag. Datatilsynet får imidlertid svært mange forslag og utredninger på høring der kravet om utredning av personvernkonsekvenser ikke er oppfylt. Utredningsinstruksen blir med andre ord ikke respektert i den grad den burde.

  • se på hvorvidt kravet om konsekvensvurdering for personvernet bør lovfestes som en del av internkontrollen, jf. § 14 i personopplysningsloven.

  • stimulere til forskning på personvernfremmende teknologi (Privacy Enhancing Technologies – PET).

1.4 Tilsyn og saksbehandling

Nøkkeltall og trender fra tilsynsvirksomheten

I meldingsåret gjennomførte Datatilsynet tilsyn innen ti ulike bransjer valgt ut ifra prioriterte områder i virksomhetsplanen. Dette er et noe smalere utvalg enn det som har vært vanlig. Reduksjonen i tilsynsvirksomheten skyldes at Datatilsynet i 2011 prioriterte planarbeid svært høyt. Det ble lagt ned mye arbeid i å få på plass strategi og virksomhetsplan, og disse interne prosessene krevde mye ressurser. Rapporteringsåret må dermed anses som et avvik fra normalen. Planen er å øke omfanget av tilsynsvirksomheten igjen i 2012.

Det ble gjennomført 38 tilsyn (36 stedlige kontroller og to brevkontroller). I tillegg kommer dessuten vedtaksbrev mot 56 kommuner. Dette var en oppfølging av en kartlegging som ble gjennomført i 2010, og er derfor ikke tatt med i oversikten for 2011. Prosessen i meldingsåret var å følge opp virksomheter som allerede hadde fått påvist mangler etter regelverket.

Tabellen under viser gjennomførte tilsyn fordelt på bransjer:

Bransje

Antall

Adressemekling

1

Arbeidsliv

3

Fordelskort

5

Forsikring

4

Forskning

2

Internett

4

Kameraovervåking

9

NAV

4

Nett-TV

5

Utdanning

1

Sum

38

For en fullstendig oversikt over alle tilsynsobjektene, se vedlegg A.

Rapportene fra alle tilsynene er ikke klare på meldingstidspunktet, men det er så langt varslet om til sammen 71 enkeltvedtak, der seks av dem er ansett som alvorlige. Avvik som kategoriseres som alvorlige har oppfylt ett eller flere av følgende kriterier:

  • vesentlig grad av økt risiko for sikkerhetsbrudd og/eller krenkelse av den registrertes personvern,

  • virksomheten behandler sensitive personopplysninger,

  • avviket synes å ha vedvart over lang tid,

  • vesentlige mangler rundt systemplikter, slik som informasjonssikkerhet.

Ved inngangen til 2011 passerte personopplysningsloven og tilhørende forskrift ti års virke. Siden ikrafttredelsen har det vært lagt ned mye arbeid med å gjøre virksomhetene kjent med regelverket, blant annet gjennom utarbeidelse av veiledningsmateriell, kurs og seminar, samt bruk av veiledningsmøter. Gjennomgående synes virksomhetene å kjenne til regleverket, men det skorter dessverre på tilfredsstillende etterlevelse i mange bransjer.

Antallet tilsyn som er gjennomført i hver bransje i 2011 er begrenset. Der det er gjennomført færre enn fem tilsyn, er det vanskelig å trekke ut trender eller karakteristiske funn for bransjen. En trend som imidlertid ser ut til å være økende er lagring. Kostnadene ved lagring av informasjon er nå så lav at mange virksomheter, spesielt innen privat sektor, lagrer uforholdsmessige mengder informasjon om kundene. Et eksempel på dette er leverandører av Nett-TV. Ofte argumenteres det med at lagringen er nødvendig av hensyn til sikkerhet, for å kunne underbygge et krav, eller som et ledd i å verifisere levert kvalitet på et produkt. Dersom man går nærmere inn på begrunnelsene, opplever tilsynet ofte at virksomhetene ikke har særlig gjennomtenkte beslutninger. Lagringen kan like gjerne være et resultat av designet i kundebehandlingssystemet, systemovervåkingsverktøyene eller lignende.

Øvrige funn fra tilsynsvirksomheten omtales nærmere under de respektive temaene i kapittel 8.

Prosjekt internkontroll og informasjonssikkerhet

Datatilsynet startet i 2009 opp det 2-årige prosjektet «Internkontroll, informasjonssikkerhet og internkontroll», men endringer i rammevilkårene gjorde at personvernombudsordningen ble tatt ut av prosjektet i 2011.

I meldingsåret har prosjektet jobbet med å utforme og implementere kompetansehevende tiltak innenfor internkontroll og informasjonssikkerhet for alle virksomheter som behandler personopplysninger.

Blant de viktigste leveransene er:

  • tilpassede veiledere og maler innen internkontroll og informasjonssikkerhet

  • verktøy for statussjekk av personvernstatus i kommunesektoren

  • evaluering av personvernombudsordningen

  • utvidelse av Datatilsynets generelle kurstilbud innen internkontroll og informasjonssikkerhet

En del av prosjektet har også vært utviklingen av en e-læringsplattform om internkontroll og informasjonssikkerhet. Et slikt verktøy vil kunne gi enklere og mer tilgjengelig informasjon for brukerne. E-læringen skal fungere som et supplement til det øvrige veiledningsmateriellet. Det skal i 2012 lages en strategi for den videre framdriften for e-læringsverktøyet.

Saksbehandlingen

Saksbehandlingen i Datatilsynet omfatter alle aktiviteter knyttet til henvendelser fra offentlige og private virksomheter, samt fra enkeltpersoner. Henvendelsene mottas både via brev, e-post og telefon.

Datatilsynet erfarer at stadig flere saker er mer komplekse, og at problemstillingene blir flere og mer sammensatte. Personvernutfordringene er mange og sektorovergripende, og avveiningen mellom personvern og andre samfunnshensyn er krevende. Teknologiutviklingen og bruk av nye teknologiske løsninger stiller krav til gjeldende regelverk, og systemer må tilpasses. Dette gjelder spesielt for sektorer hvor det er gjennomført eller gjennomføres store reformer. Særlig er saksbehandlingen på områdene helse og forskning, samferdsel, justis og arbeidsliv ressurskrevende. Det er også på disse områdene Datatilsynet gir flest høringsuttalelser.

I 2011 startet tilsynet en prosess for å effektivisere saksbehandlingen. Ressursmessig krever saksbehandlingen mye kapasitet, og det er grunn til å tro at saksmengden ikke vil reduseres vesentlig de kommende år. Dette blant annet fordi Datatilsynet er gitt nye oppgaver knyttet til datalagringsdirektivet og ny politiregisterlov. Tilsynet må fortløpende vurdere ressursbruk på de ulike oppgavene som skal løses, og i meldingsåret har det vært viktig å kartlegge og vektlegge hva som gir størst effekt for personvernet i saksbehandlingen, for så å disponere ressursene deretter.

Resultatet av dette arbeidet er at saker gis ulik prioritet og behandles hovedsakelig i tre spor; et veiledningsspor, et forenklet saksbehandlingsspor hvor påpeking av plikter vektlegges, samt et spor hvor sakene gis full forvaltningsbehandling.

Prioriteringene gjøres ut ifra tilsynets virksomhetsplan og de hovedsatsingsområder som er satt. Et av kriteriene er om henvendelsene indikerer en større systemfeil i en aktuell virksomhet eller bransje. Datatilsynet forsøker å svare veiledende på henvendelser i flere tilfeller enn tidligere, fremfor å ta sakene opp til full saksbehandling med den undersøkelsesplikten som forvaltningsloven krever.

Henvendelsene til tilsynet varierer i kompleksitet og kan gjelde alt fra henvendelser om arbeidsgiver sitt behov for å iverksette kontrolltiltak og arbeidstakers syn på dette, til det offentlige sin etablering av store sentrale registre.

Oversikt over alle journalførte dokumenter hos Datatilsynet i 2011:

20102011
Dokumenter inn3 1112 740
Dokumenter ut3 1842 138

Det ble journalført til sammen 4 878 dokumenter i meldingsåret. Av disse var 2 740 innkomne dokumenter som hovedsakelig ble behandlet i forvaltningssporet. Dette er en nedgang i forhold til 2010. Det skyldes nok i hovedsak at Datatilsynet i 2010 utstedte nye bankkonsesjoner, noe som medførte en del korrespondanse. Effektiviseringen av saksbehandlingen, samt en redusert tilsynsaktivitet i meldingsåret gir også utslag på statistikken.

Det ble for øvrig opprettet 1 345 nye saker, mot 1 580 året før.

Konsesjon/meldeplikt

Teknologiutviklingen påvirker personvernet på mange måter, og tilsynet ser at endel virksomheter er bevisste på at løsninger som utvikles også tar hensyn til personvernet. Mange virksomheter kontakter Datatilsynet og ønsker veiledningsmøter rundt nye løsninger og tjenester. Et av spørsmålene som da ofte stilles er om behandlingen vil kreve konsesjon eller utløser meldeplikt.

Oversikt over utstedte konsesjoner de siste to årene (det vil si både søknader om konsesjon, forlengelse av konsesjon, utvidelser og tilleggsprosjekter):

2010

2011

Antall konsesjoner

324*

143

Kilde: *av disse var 215 bankkonsesjoner

Datatilsynet erfarer at konsesjoner som blir gitt blant annet innen helse og forskning, senere ønskes endret. Å behandle endringssøknader er hovedsakelig like ressurskrevende som å behandle nye søknader. Flere forskningsprosjekter utvikler seg over tid og blir svært omfattende og tidkrevende å behandle. Det bør derfor vurderes om endringssøknader i større grad bør reguleres i egne forskrifter.

Meldeplikten innebærer at den som ønsker å sette i gang en behandling av personopplysninger skal orientere Datatilsynet om dette senest 30 dager før behandlingen starter. Meldingene legges inn i en offentlig tilgjengelig database som er søkbar for publikum via tilsynets nettsider. For vedvarende behandlinger skal meldingen fornyes hvert tredje år. Det er gitt unntak fra meldeplikten blant annet for virksomheter som har opprettet personvernombud.

Oversikt over registrerte meldinger de siste tre årene:

2009

2010

2011

Antall nye meldinger

3 778

3 693

4 010

Totalt antall meldinger per 31.12

9 292

10 055

11 211

Høringer

Høringsuttalelser er et sentralt virkemiddel i Datatilsynets ombudsfunksjon. I 2011 var tilsynet høringsinstans i 122 saker. I 58 av disse sakene hadde tilsynet konkrete merknader.

Oversikt over høringssaker de siste årene:

2008

2009

2010

2011

Med merknader

55

87

51

58

Uten merknader

81

75

72

64

Sum

136

162

123

122

Datatilsynet hadde merknader til de fleste av høringssakene innen helse- og omsorgssektoren. Innen justissektoren medførte blant annet den nye politiregisterloven en del høringsarbeid.

Høringer hvor Datatilsynet har hatt vesentlige merknader er omtalt i under de respektive temaene i kapittel 8. Se for øvrig fullstendig oversikt over høringene Datatilsynet hadde merknader til i vedlegg D.

Datatilsynets veiledningstjeneste

Datatilsynet har en veiledningstjeneste som er bemannet med fire jurister. Disse besvarer telefoner og e-posthenvendelser fra publikum og virksomheter fortløpende. Svarene som gis her er av mer uformell og veiledende karakter. Dersom henvendelsene er kompliserte eller bør vurderes som forvaltningssaker, overføres de til full saksbehandling og journalføring i juridisk avdeling.

Tjenesten fanger kjapt opp nye og aktuelle problemstillinger, og gir slik tilsynet en god indikasjon på hvilke spørsmål publikum er opptatt av. Denne informasjonen benyttes blant annet til å planlegge tilsynets informasjonsvirksomhet, for eksempel utvikling av nettsidene og annet veiledningsmateriell.

Antall telefoner og e-poster besvart av veiledningstjenesten:

200620072008200920102011
Telefoner8 1257 3007 0706 9527 3095 196
E-post2 7112 6733 0544 4012 7272 632

Av tabellen ser man at antall telefonhenvendelser har gått noe ned fra 2010. Noe skyldes nok at alle henvendelser om internettpublisering og krenkelser på nett gikk til slettmeg.no i meldingsåret. I deler av 2011 var dessuten ikke veiledningstjenesten fullt bemannet, noe som førte til at en del telefoner ble satt videre til andre avdelinger i tilsynet.

Særlig om henvendelsene til tilsynet

Datatilsynet har i flere sammenhenger omtalt en sterkt økende registrering av personopplysninger. Dette understøttes også gjennom henvendelsene tilsynet får. Publikum stiller seg spørrende til lovligheten av ulike registreringer de opplever. Erfaringen er at mange behandlingsansvarlige gir for dårlig informasjon om hva de bruker personopplysningene til. Dette, kombinert med et vanskelig tilgjengelig regelverk på området, gjør at det oppstår uklarheter og usikkerhet hos publikum.

Her er en kort oppsummering av hva en del av henvendelsene til Datatilsynet dreier seg om (Temaene er for øvrig prioriterte områder hos tilsynet, og kan leses mer om i kapittel 8):

Overvåking og kontroll i arbeidslivet

En stor del av henvendelsene til tilsynet er knyttet til spørsmål i arbeidslivet. Henvendelsene kommer både fra arbeidstaker og arbeidsgiversiden. Skillet mellom privatliv og arbeidsliv er blitt mindre skarpt og det er innen mange arbeidsgrupper en forventning om økt tilgjengelighet. Arbeidsgiver iverksetter en rekke tiltak overfor arbeidstakerne som igjen stiller spørsmål ved flere av disse tiltakene. Det er spørsmål knyttet til krav om logging, bruk av kameraovervåking, rustesting, innsyn i personalmapper, bruk av lydopptak, publisering av bilder, GPS og sporing, bruk av fødselsnummer, spørsmål knyttet til kredittopplysning, forsikring, nye sosiale medier, helse og velferd med mer.

Kameraovervåking

Stadig flere privatpersoner monterer overvåkingskamera på egen eiendom, og Datatilsynet registrerer en økning i antall henvendelser om lovligheten av slik overvåking. Det samme gjelder spørsmål om kameraovervåking i sameier og bofellesskap.

Fødselsnummer

Datatilsynet har tradisjonelt fått mange henvendelser fra publikum og virksomheter om bruk av fødselsnummer. Det gjelder også i 2011. De sakene Datatilsynet har behandlet avdekker manglende kunnskap om hvilke kriterier som må være oppfylt for at en kan benytte fødselsnummer i en behandling. Tilsynet ser samtidig at mange IT-systemer konstrueres slik at de forutsetter bruk av fødselsnummer, uavhengig av om vilkårene for det er tilstede eller ikke.

Publisering på internett

Både slettmeg.no og veiledningstjenesten mottok i meldingsåret mange henvendelser om publisering av personopplysninger på internett. Svært mange av disse henvendelsene vedrørte publisering på nettsteder som er etablert i utlandet, og ytringer som er vernet av ytringsfriheten. Dette betyr at publiseringen faller utenfor tilsynets jurisdiksjon. Tilsynet sitter igjen med et inntrykk av at den økende aktiviteten på blogger, hjemmesider og sosiale nettsamfunn, kombinert med mangelfull kjennskap til personvernregelverket, fører til at mange blir eksponert mot egen viten og vilje. Tilsynet ser at dette også skyldes manglende refleksjon og kunnskap om hvordan nettet fungerer.

Saker i Personvernnemnda

Datatilsynet sendte i 2011 over 13 klagesaker til Personvernnemnda, hvorav fem ikke er avgjort ved årets utgang. I de fleste sakene ble Datatilsynets vedtak opprettholdt.

I én sak er Datatilsynets vedtak opphevet av nemnda og sendt tilbake til tilsynet for ny behandling. Klagen gjaldt Datatilsynets beslutning om ikke å ilegge en arbeidsgiver overtredelsesgebyr for å ha foretatt et urettmessig innsyn i arbeidstakers e-post. Etter nemndas syn hadde ikke Datatilsynet vurdert de momentene som loven oppstiller ved vurderingen om det skal ilegges overtredelsgebyr.

Ved ett tilfelle ble klageren gitt medhold av Personvernnemnda. Det gjaldt klage på Datatilsynets vedtak om manglende behandlingsgrunnlag for såkalt terrorscreening innen ConocoPhillips-konsernet. Saken er nærmere omtalt under arbeidsliv i kapittel 8.

Fullstendig liste over hvilke saker som er oversendt og avgjort i Personvernnemnda i meldingsåret kan sees i vedlegg B og C.

Personvernombud

Ved utgangen av meldingsåret har Datatilsynet registrert 193 personvernombud, 20 flere enn på samme tid i fjor. Personvernombudene representerer rundt 370 virksomheter.

I 2011 har Datatilsynet brukt omtrent ett årsverk på arbeidet med personvernombudene. Arbeidet består i hovedsak av å arrangere kurs og en årlig ombudskonferanse, veiledning over telefon og e-post, sende ut nyhetsbrev til ombudene, behandling av søknader og å drifte nettsidene for personvernombudene på datatilsynet.no.

Ordningen er i jevn vekst. Økningen fra i fjor er omtrent som tidligere år, men litt svakere prosentmessig. Dette kan skyldes at det sammenliknet med 2010 har det vært gjennomført lite promotering av ordningen.

I 2011 har personvernombudsordningen vært driftet på ordinært budsjett. Det har derfor vært en nedgang i midler fra 2010 da ordningen var en del av prosjektet «Internkontroll, informasjonssikkerhet og personvernombud», som fikk ekstra midler fra Fornyings-, administrasjons- og kirkedepartementet (FAD). Etter føringer fra FAD ble personvernombudsordningen tatt ut fra prosjektsatsingen i 2011. Personvernombudene har likevel hatt nytte av prosjektets arbeid når det gjelder kurs innenfor temaene internkontroll og informasjonssikkerhet. Kursene har vært åpne for alle og mange ombud har deltatt på disse.

Det er også gjennomført en ekstern evaluering av personvernombudsordningen. Evalueringen ble gjennomført høsten 2011 av Synovate, og omfattet 202 ombud, samt 181 behandlingsansvarlige og virksomhetsledere. Sluttresultatet er en rapport som vil være et nyttig verktøy for Datatilsynet i fremtidig tenkning både om personvernombudsordningen, og personvernarbeid generelt. Resultatet av evalueringen er generelt positivt med tanke på hvordan personvernombudsordningen fungerer og at både ledelse og personvernombud mener at det å delta i ordningen har en god effekt i virksomhetene.

På tross av mindre ressurser til dette arbeidet, har Datatilsynet i meldingsåret styrket det totale kurstilbudet til ombudene. Høsten 2011 ble det arrangert et nytt juridisk påbygningskurs om lovhjemler, informasjonsplikter og innsynsrett. Kurs for ombudene har jevnt over svært god deltagelse. Flere av kursene har vært fulltegnet lenge før påmeldingsfristen gikk ut.

Aktiviteter relatert til hendelsene 22. juli

Hendelsene den 22. juli 2011 har naturligvis aktualisert en rekke tiltak fra sentrale myndigheter. Enkelte av disse medfører behandling av sensitive personopplysninger, hvilket gjør at Datatilsynets myndighetsområde berøres.

Flere av tiltakene er av en slik art at man vanskelig har kunnet overskue behovet for dem på forhånd. Det betyr at de mangler nødvendig rettslig grunnlag i form av lovhjemmel. Av tidsmessige hensyn har man søkt om Datatilsynets tillatelse til å iverksette disse tiltakene, snarere enn å etablere nye lovhjemler for de aktuelle tiltakene.

Datatilsynet har utstedt tre konsesjoner til offentlige myndigheter som en direkte konsekvens av hendelsene 22. juli:

  • Helsedirektoratet har fått tillatelse til å opprette et sentralt helseregister , for å sikre en koordinert og tilfredsstillende medisinsk oppfølgning av de som er berørt av hendelsene.

  • Kulturdepartementet har fått en tidsbegrenset tillatelse til å opprette et kontaktregister over de berørte etter hendelsen. Formålet med registeret var å kunne sende ut invitasjoner til Regjeringens minnemarkering.

  • 22. juli-kommisjonen har fått tidsbegrenset tillatelse til å behandle personopplysninger i forbindelse med de undersøkelsene som kommisjonen har fått i oppdrag å gjennomføre.

Når det gjelder 22. juli-kommisjonen vil Datatilsynet bemerke at undersøkelser i regi av offentlige undersøkelseskommisjoner reiser en rekke prinsippelle og vanskelige spørsmål, særlig når det gjelder ivaretakelse av rettsvernet til de som får sine forhold undersøkt. Datatilsynets konsesjonsvilkår kan bare i begrenset grad avhjelpe manglende regelverk på området. Det vises her til at personopplysningsvernet bare utgjør en del av det rettsvernet som må etableres. Det er vanskelig for Datatilsynet å overskue alle de konsekvensene slike undersøkelser kan få for den registrerte, samt å stille vilkår for å avhjelpe disse.

Tilsynet er av den oppfatning at det er helt nødvendig med en egen lovregulering av slik virksomhet, slik det også ble foreslått av det såkalte granskningslovutvalget i NOU 2009:9. Lovregulering vil sikre forutberegnlighet for den som får sine forhold undersøkt. Den vil i tillegg sikre at forholdsmessigheten i tiltaket blir belyst og vurdert med bakgrunn i en bred og demokratisk prosess.

Datatilsynet vil rette en henvendelse til Justisdepartementet for å påskynde arbeidet med å lovregulere offentlige undersøkelseskommisjoner.

1.5 Nasjonalt og internasjonalt samarbeid

Internasjonal deltagelse

Regelverket som Datatilsynet forvalter er basert på et EU-direktiv. Direktivet er igjen tuftet på europeiske og globale menneskerettigheter. Datatilsynets forvaltning må, i tillegg til de føringene lovgiver har gitt, i rimelig grad forholde seg til forvaltningspraksis hos øvrige personvernmyndigheter. Mange av de behandlingsansvarlige er multinasjonale selskaper, og mye av det internasjonale arbeidet tar nettopp utgangspunkt i et ønske om en enhetlig forvaltning av direktivet, samt det å utveksle synspunkter og erfaringer. EU arbeider som tidligere med et nytt personvernregelverk, og datalagringsdirektivet er under revidering.

Ettersom Norge ikke er medlem av EU, er Datatilsynets påvirkning av EU-prosessene dels avhengig av egen aktivitet og dels av andres. Det er særlig viktig med et tett og forpliktende samarbeid mellom de nordiske landene.

Datatilsynet deltar både på europeisk og globalt plan i sitt arbeid. Dette er nødvendig for å sikre et godt personvern nasjonalt, da stadig flere personopplysninger utveksles på tvers av landegrensene, og det er viktig at dette skjer i kontrollerte former.

I 2011 har Datatilsynet deltatt i følgende fora:

Artikkel 29-gruppen. Norge har observatørstatus i denne gruppen som består av lederne hos datatilsynsmyndighetene i EU- og EØS-land. Observatørstatusen kommer av at Norge ikke er medlemsland, og gjør at Datatilsynet ikke har stemmerett. Gruppen er den øverste rådgivende forsamlingen for EU-kommisjonen i spørsmål om personvern og informasjonssikkerhet. Gruppen har møter 6 ganger i året.

Datatilsynet er også representert som fullverdig medlem i en undergruppe til artikkel 29: Technology Subgroup. Dette er en arbeidsgruppe som gjør saksforberedelser for artikkel 29-gruppen. Denne gruppen er en viktig kanal for å fremme norske synspunkter innen personvernspørsmål.

The Schengen Joint Supervisory Authority (JSA). Norge er fullverdig medlem av dette uavhengige kontrollorganet som er sammensatt av medlemmer fra datatilsynsmyndigheter i nasjoner tilknyttet Schengenavtalen. Representanter fra Datatilsynet er med på møtene og har også vært med på inspeksjoner av andre nasjoners håndtering av sine forpliktelser etter Schengenavtalen.

Working Party Police and Justice (WPPJ). Denne arbeidsgruppen har sitt mandat fra Den Europeiske Konferansen for datatilsynsmyndigheter, og har jevnlige møter. Oppgaven er å følge med på utviklingen innen politi- og justisområdet når det gjelder behandlingen av personopplysninger. Inntil Lisboa-traktaten kom, var dette området unntatt fra personverndirektivet og personopplysingsloven. Datatilsynet sitter i arbeidsgruppen, og kan både melde inn generelle problemstillinger og enkeltsaker.

Berlin-gruppen. Dette er en gruppe som arbeider med personvern innen elektronisk kommunikasjon i utvidet forstand, og Datatilsynet er fullverdig medlem. Det er bred deltakelse fra alle deler av verden. Gruppen har vært viktig av flere grunner. Den bidrar til at tilsynet får tidlig kunnskap om ulike problemstillinger, gruppen utøver påvirkning på prosesser i EU, og den er et viktig forum for å drøfte aktuelle personvernutfordringer.

Internasjonalt saksbehandlermøte. Dette er et årlig arrangement der Datatilsynet er representert for å få innspill om hva andre lands myndigheter er opptatt av, samt for å bidra til erfaringsutveksling. Dette er også en god arena for utvikling av kontaktnett. Et av temaene på det internasjonale saksbehandlermøtet i 2011 var overføring av personopplysninger til utlandet, og problematikk knyttet til samarbeid mellom de ulike landenes tilsynsmyndigheter.

Nordisk møte. Lederne for de nordiske datatilsynsmyndighetene samles en gang i året for å utveksle erfaringer fra egen virksomhet. De nordiske landene har mange fellestrekk i sin regulering av personvern, og det nordiske møtet er et viktig samlingspunkt for å finne felles posisjoner som kan trekkes inn i det internasjonale arbeidet. Det er også verdifullt å se hvordan like spørsmål løses i nabolandene. Fra årets møte kan det felles fremstøtet mot Facebook trekkes frem. Dette omtales nærmere under Internett og telekommunikasjon i kapittel 8.

Offentlige råd og utvalg

Datatilsynet er en etterspurt ressurs når det gjelder å få innspill om hvordan personvernet kan ivaretas på en tilfredsstillende måte. Viktige vurderinger og avveininger av ulike hensyn fordrer en omfattende samlet samfunnskompetanse og en evne til å balansere ulike behov.

Tilsynet ønsker gjennom deltagelse i råd og utvalg å påvirke premissgivere til å inkludere tilfredsstillende ivaretakelse av personvernet i sitt beslutningsgrunnlag. Datatilsynets rolle er å synliggjøre verdien av et godt personvern og hvordan dette hensynet kan kombineres med aktørens behov.

Datatilsynet jobber med mange sektorer og bransjer. Ofte er det behov for koordinering med sektormyndigheter, det er spesielle utfordringer for en bransje, og det er et stort omfang av aktører. Det forutsetter at tilsynet er effektive i sin dialog og kommunikasjon. Datatilsynet prioriterer derfor tilstedeværelse i en del fora der kontakt, meningsbrytning, erfaringsutveksling og dialog kan skje på en effektiv måte.

Datatilsynets formål med deltakelse i nasjonale fora er tredelt. Tilsynet skal:

  • legge til rette for en effektiv dialog og kommunikasjon med andre myndigheter og bransjer,

  • være en kanal for å fange inn synspunkter fra ulike bransjeaktører, samt

  • være en arena for å drøfte viktige utfordringer i en bransje.

I 2011 har Datatilsynet hatt en bred representasjon i nasjonale råd og utvalg:

Koordineringsutvalget for informasjonssikkerhet – KIS. Utvalget består av representanter for sju departement, Statsministerens kontor og ni direktorater. Opprettelsen av utvalget er et ledd i gjennomføringen av en nasjonal strategi for informasjonssikkerhet. Formålet med utvalget er å koordinere regjeringens arbeid med informasjonssikkerhet på en best mulig måte. Datatilsynets rolle er å være en rådgiver i dette arbeidet.

Samarbeidsrådet for helsesektoren. Datatilsynet deltar som observatør i samarbeidsrådet. Rådet er opprettet av Helsedirektoratet med sikte på å koordinere arbeidet med informasjonsteknologi i helsesektoren. Datatilsynet har gjennom sitt tilsynsarbeid avdekket mange utfordringer innen helsesektoren. Rådet er et viktig forum for å formidle funnene og bidra til at aktørene tar tak i de problemstillingene tilsynet avdekker.

Styringsgruppe for bransjenorm innen helse. En bransjenorm om informasjonssikkerhet for helsesektoren ble lansert i september 2006. Arbeidet i styringsgruppen består i å få en hensiktsmessig spredning og implementering av normen i sektoren. Dette er en stor utfordring på grunn av sammensetningen av små, mellomstore og store aktører. Datatilsynet deltar som observatør i styringsgruppen.

Interdepartemental arbeidsgruppe – kartlegging av praktisering av regler om taushetsplikt, opplysningsrett og plikt. Datatilsynet deltar i dette arbeidet da det er svært sentralt at publikum får mulighet til å ivareta egne rettigheter etter helselovgivning og personopplysningsloven. Datatilsynet får en del spørsmål om dette, og det er viktig for tilsynet å være med og påvirke arbeidet.

Styringskomiteen for eCall i Norge. EU-kommisjonen arbeider med innføringen av et system for automatisk nødanrop fra biler som har vært utsatt for ulykke, såkalt eCall. Datatilsynet deltar i eCallarbeidet i den nasjonale styringskomiteen. Denne deltakelsen gir tilsynet mulighet for å påvirke at systemet i størst mulig grad blir tilrettelagt som en personvernvennlig løsning. Datatilsynet har også deltatt i det internasjonale standardiseringsarbeidet, med sikte på å bygge inn mest mulig personvern i løsningene.

Styret for Norsk Senter for Informasjonssikring (NorSIS). NorSIS er en viktig samarbeidspart innen arbeidet med å fremme god informasjonssikkerhet i samfunnet, og Datatilsynet er representert i styret.

Styringsgruppen for ID-tyveriprosjektet. Datatilsynet har i 2011 vært aktiv deltager i et prosjekt om identitetstyveri. Prosjektet drives av NorSIS. Tilsynet utredet på eget initiativ problemstillingen i 2008/2009, og mener at det er behov for en rekke forebyggende tiltak innen dette området. Datatilsynet har sett på dette prosjektet som en viktig kanal for å få gjennomført en del av forslagene som tidligere utredninger har konkludert med. Det er rundt 40 interessenter/deltagere i prosjektet.

E-valg 2011. Datatilsynet har vært representert i referansegruppen for prosjektet E-valg 2011. Gruppen har sett på prosessen med elektroniske valg og utarbeidet kravspesifikasjon for valgmaskinene. Formålet med deltakelsen har vært å medvirke til at løsningene som velges har inkorporert et godt personvern.

Arbeidsgruppe i Samferdselsdepartementet – helautomatiske bomstasjoner. Etter tilsyn mot utvalgte bomstasjonsselskaper i 2010 ble det avdekket et lagringsregime som Datatilsynet mente var i strid med gjeldene rett. Samferdselsdepartementet inviterte som følge av dette til deltakelse i en arbeidsgruppe som skal se på personvern i forbindelse med overgangen til helautomatiske bomstasjoner. Med i arbeidet er også Statens Vegvesen som er en sentral instans for utbygging av bomstasjoner og den tekniske løsningen.

Samferdselsdepartementets råd om intelligente transportsystem (ITS-råd). I dette rådet deltar et bredt utvalg av interesseparter, blant annet forskningsinstitusjoner, myndigheter, bransjen og arbeidslivsparter. Det er 14 faste medlemmer i rådet. Formålet er å gi råd til myndighetene når det gjelder intelligente transportsystemer. Datatilsynet forventer en vesentlig utvikling innen denne typen systemer i de nærmeste årene. Det er derfor viktig for tilsynet å holde seg informert om, samt påvirke, utviklingen.

INFOFLYT-prosjektet. Datatilsynet har vært med i et utvalg som skal se nærmere på INFOFLYT-systemet. Systemet ble etablert i 2005 av Justisdepartementet for utveksling av informasjon mellom kriminalomsorgen og politiet. Utvalget skal blant annet kartlegge og vurdere hvordan kriminalomsorgens utveksling av informasjon med politiet fungerer i dag. Arbeidet i prosjektet skulle etter planen vært ferdig i 2011, men er utsatt til primo 2012.

Referansegruppe – ny politiregisterforskrift. Datatilsynet har deltatt i Justisdepartementets arbeid med å utforme ny politiregisterforskrift. I gruppen har det i tillegg til Datatilsynet vært representanter fra hele justissektoren.

Folkeregisterprosjektet. Dette er et stort prosjekt med flere undergrupper, og der Datatilsynet har hatt representanter i alle gruppene.

Standardisering – komitédeltagelse

For at produkter og tjenester skal kunne utveksles over landegrensene er det viktig at de oppfyller forventninger og krav rundt helse, miljø, sikkerhet og funksjonalitet. Dersom produkter, tjenester eller systemer behandler personopplysninger må de også oppfylle kravene til en slik behandling. Virksomheter må i økende grad basere seg på å etterleve standarder allerede mens systemene og tjenestene er under utvikling, design og produksjon. Det innebærer samtidig at standardene får økende betydning for innebygd personvern.

Flere multinasjonale selskaper har over tid tatt til orde for en tydeligere global regulering av personvern. De viser til at mange tjenester baseres på tjenesteyting i flere land og regioner. Det forutsetter et tilnærmet likt reguleringsregime. Personverndirektivet kom i sin tid i stand av samme årsak, nemlig behovet for en grenseoverskridende behandling av personopplysninger.

Gjeldende direktiv legger opp til en mest mulig harmonisert regulering i de europeiske landene. Likevel eksisterer det markante forskjeller i hvordan direktivet i praksis er implementert. I den forestående revisjonsprosessen for direktivet, kan det ikke utelukkes at man i større grad vil støtte seg til anerkjente standarder. Tilsvarende vil det før eller siden bli behov for en klarere harmonisering av regelverk på tvers av regioner. Igjen vil trolig standarder være det instrumentet det vil være naturlig å benytte seg av. For å møte disse utfordringene har Datatilsynet valgt å gå inn som medlem i utvalgte nasjonalkomiteer. Disse er igjen forankret tett opp mot de internasjonale komiteene.

Datatilsynet er kun med i komiteer som har direkte relevans for eget arbeidsområde. Formålet med deltakelse i komiteene er å:

  • sikre kunnskap om pågående prosesser internasjonalt,

  • sikre kunnskap om «beste praksis»,

  • påvirke fremtidige rammebetingelser, og

  • bidra til å påvirke relevante standarder.

Datatilsynet har i 2011 deltatt i fire komiteer. Disse arbeider innen informasjonssikkerhet, intelligente transportsystemer, identitetshåndtering og semantisk web (neste generasjons internett) og automatisert datafangst.

Alle komiteene arbeider innenfor Datatilsynets kjernevirksomhet. Det er derfor av stor interesse å holde seg orientert om og påvirke dette arbeidet.

1.6 Informasjon og dialog som virkemiddel

I Datatilsynets strategi for perioden 2011-2016 er et av de overordnede målene at borgeren skal settes i stand til å ivareta sitt eget personvern. Datatilsynet skal videre arbeide aktivt for at virksomheter og beslutningstakere for øvrig legger vekt på personvernhensyn. Kommunikasjonsvirksomheten er derfor et sentralt virkemiddel for å oppnå disse målene. Dessuten bør også andre virkemidler, som saksbehandling og tilsynsvirksomhet, understøttes av informasjon og dialog dersom de skal få skikkelig effekt. Informasjon som virkemiddel er uovertruffent når det gjelder å skape oppmerksomhet og gi kunnskap. Uten kunnskap kan plikt- og rettighetshavere ikke ta eget ansvar for etterlevelse av lovgivningen.

Kommunikasjon brukes med andre ord aktivt både ved utøvelse av Datatilsynets ombudsrolle og i rollen som forvaltningsorgan.

Mediekontakt og foredragsvirksomhet

I strategiplanen er det nedfelt at Datatilsynet skal være en modig og tydelig stemme i personverndebatten og en sterk forsvarer av grunnleggende personvernprinsipper. Tilsynets standpunkter skal kommuniseres på en tydelig måte som folk flest forstår. Dette skal imidlertid ikke gå på bekostning av Datatilsynets seriøsitet, etterrettelighet og integritet.

I løpet av meldingsåret har Datatilsynet registrert 1 120 besvarte henvendelser fra mediene. Temaer som fikk særlig oppmerksomhet var datalagringsdirektivet, rådgivningstjenesten slettmeg.no og krenkelser på internett, samt Datatilsynets dialog med Facebook. Det har også vært stor oppmerksomhet omkring kontrolltiltak innen arbeidslivet, slik som bruk av lokaliseringsteknologi og skjult kameraovervåking.

Besvarte mediehenvendelser de siste fem årene:

År

2007

2008

2009

2010

2011

Antall

1 350

1 614

1 293

1 432

1 120

Som det fremgår av tabellen har antallet registrerte mediehenvendelser i 2011 vært noe lavere enn tidligere år. Den viktigste årsaken til dette er nok at debatten om datalagringsdirektivet stilnet etter Stortingets vedtak. Terrorhandlingen 22. juli har nok også tatt noe oppmerksomhet bort fra personvernsaker som normalt er av interesse for mediene. I tillegg har Datatilsynet produsert noen færre saker, blant annet tilsynssaker, og dette er saker som ofte genererer medieomtale.

Det ble utarbeidet seks kronikker og debattinnlegg til bruk i medier. Dette er noen færre enn tidligere år.

Det er blitt holdt 129 foredrag på arrangementer i regi av andre, mot 136 året før.

Antall foredrag de siste fem årene:

År

2007

2008

2009

2010

2011

Antall

140

162

110

136

129

En stor andel av foredragene er naturlig nok av generell karakter og omhandler personvernlovgivningen og Datatilsynets rolle og oppgaver. I tillegg er arbeidsliv og helse, samt internkontroll og informasjonssikkerhet, ofte etterspurte temaer for foredrag. Datatilsynet har, av ressursmessige årsaker, ikke mulighet til å etterkomme alle foredragsønsker. Temaer som har vært fremhevet som viktige i virksomhetsplanen har derfor blitt prioritert.

Nye nettsider og sosiale nettsamfunn

Datatilsynets nettsider ble forrige gang lansert våren 2005. I forhold til målet om at nettsidene skal være den sentrale plattformen som både rett-, plikthavere og andre kan benytte seg av for å tilegne seg kunnskap og ytterligere øket interesse for personvernspørsmål, har den vist seg lite tilfredsstillende. Målet er også at nettsidene skal effektivisere dialogen mellom publikum og tilsynet, noe som heller ikke har blitt oppfylt av den tidligere løsningen.

Det har derfor blitt lagt ned betydelige ressurser i utviklingen av en ny nettløsning, for blant annet å få tilrettelagt informasjon om personvern på en mer effektiv og rasjonell måte. Den nye nettløsningen ble lansert i januar 2012.

Datatilsynet har en egen twitterkonto der det i løpet av meldingsåret ble lagt ut 275 meldinger, og ved årsskiftet hadde tilsynet 4 900 «følgere». Bortsett fra i samarbeidsprosjektet Du Bestemmer og veiledningstjenesten slettmeg.no, har Datatilsynet ikke hatt noen aktiv profil på Facebook eller andre sosiale nettsamfunn. Dette skal imidlertid vurderes i 2012.

Du Bestemmer

Undervisningsopplegget Du Bestemmer er utviklet i samarbeid med Teknologirådet og Senter for IKT i utdanningen, og handler om hvordan barn og unge kan ta kontroll over egne personopplysninger, samt respektere andres integritet. Du Bestemmer ble lansert i januar 2007, og har siden blitt bygd ut i flere faser. Det er utviklet tilpasset materiell for aldersgruppene 9-13 år og 13-17 år. Opplegget har fått stor internasjonal oppmerksomhet, og hele eller deler av opplegget benyttes i flere land.

Mange språk

Du Bestemmer foreligger fra tidligere på både bokmål, nynorsk, samisk og engelsk, men i november 2011 ble undervisningsopplegget for aldersgruppen 9-13 år også oversatt til somali, urdu og arabisk. Dette ble gjort etter en oppfordring fra Foreldreutvalget for grunnopplæringen (FUG) som et forsøk på å nå flere fremmedspråklige elever og ikke minst deres foreldre. Disse oversettelsene vil lanseres i løpet av våren 2012.

Markedsføring

I løpet av meldingsåret ble det gjennomført ulike former for markedsføring av undervisningsopplegget. Det ble blant annet annonsert jevnlig i fagblader for rektorer og lærere. Det ble også utarbeidet kronikker og pressemeldinger, og kommunisert aktivt via Facebook. Du Bestemmer ble dessuten anbefalt som en del av satsingen innen skolen mot digital mobbing, Manifest Mot Mobbing. Dette førte til en markant økning i antall bestillinger utover i året. I løpet av 2011 ble det sendt ut 1 618 klassesett (30 brosjyrer per sett) til aldersgruppen 9-13 år og 1 086 klassesett til aldersgruppen 13-17 år. Siden prosjektet startet opp er det dermed sendt ut over 500 000 brosjyrer om personvern og nettvett.

Film og nye moduler

Våren 2011 ble det lansert en ny film om digital mobbing. En smakebit fra filmen ble vist på «reklamefrie dager» på TV2 både i påsken og pinsen. Videre er nettsidene blitt omstrukturert slik at de er mer temabaserte og mer brukervennlige. Det ble dessuten lansert nye moduler om henholdsvis blogging og nettsamfunn for begge aldersgruppene.

Prosjektledelse og ressurser

Senter for IKT i utdanningen overtok i august det overordnede prosjektlederansvaret fra Teknologirådet. Datatilsynet var opprinnelig initiativtaker og hadde prosjektlederansvaret i oppbyggingsfasen.

Datatilsynet har bidratt med i overkant av 700 000 kroner til prosjektet i 2011. Kostnadene knytter seg hovedsakelig til produksjon og distribusjon av materiell, samt til markedsføring av undervisningsopplegget. Opplegget for aldersgruppen 13-17 år gikk høsten 2011 gjennom en forholdsvis omfattende revidering, samt ble trykket i nytt opplag.

Slettmeg.no

Råd- og veiledningstjenesten slettmeg.no ble lansert 8.mars 2010 som et toårig prøveprosjekt, finansiert direkte over Fornyings-, administrasjons- og kirkedepartementet (FAD) sitt budsjett. Tjenesten var et direkte resultat av at Personvernkommisjonen i sin utredning (NOU 2009: 1) foreslo opprettelse av «en tjeneste som kan bistå de som får sitt personvern krenket på internett».

Slettmeg.no hadde i 2011 tre fulltidsansatte medarbeidere og et budsjett på i overkant av to millioner kroner. Tjenesten har gitt publikum råd og veiledning via telefon, e-post og chat. Publikum har kunnet ta kontakt anonymt og gratis, noe som kanskje særlig har vært viktig for barn og unge. Tjenesten har dessuten, bortsett fra i ferier, hatt åpent også på kveldstid.

Slettmeg.no ble i meldingsåret markedsført på flere måter, der det viktigste virkemiddelet har vært å få til redaksjonell omtale av tjenesten i ulike medier. Betalt markedsføring i form av annonsering i skoleblader og visning av reklamefilmer på kino samt på TV2 og TV Norge under reklamefrie dager ved jule- og påskehøytidene, har også vært med på å gjøre tjenesten kjent. Ikke minst har det vært viktig å gjøre slettmeg.no kjent overfor sentrale aktører som politi, skoleverket, forliksråd og annet hjelpeapparat. Foredragsvirksomhet har derfor også vært en prioritert aktivitet.

I løpet av 2011 opplevde slettmeg.no en markant økning i antall henvendelser. I alt håndterte tjenesten 6 109 henvendelser om nettkrenkelser. Siden oppstarten i 2010 har slettmeg.no dermed gitt direkte veiledning til godt over 9 000 mennesker. Tjenesten har dessuten lyktes i stor grad med å nå ut til alle aldersgrupper. Mange av henvendelsene har kommet fra aldersgruppen 16 til 25 år (28 prosent), mens hele 35 prosent av henvendelsene kom fra personer over 40 år.

Viktig innsikt i nettrender

Henvendelsene til slettmeg.no har gjort at tilsynet de siste to årene har sittet på oppdatert kunnskap om aktuelle trender på internett – hvilke personvernutfordringer folk møter på nettet, om det er forskjell på krenkelsene som møter unge og voksne, hvilke nettsider det klages mest på og lignende. Tjenesten har jevnlig hatt møte med Datatilsynets interne referansegruppe slik at erfaringer har blitt utvekslet og løsninger drøftet. Det var blant annet basert på henvendelser til slettmeg.no at Datatilsynet ble gjort kjent med at VG ikke slettet brukerprofiler og innhold som var registrert på Nettby, til tross for at nettsamfunnet var nedlagt. Denne saken omtales nærmere under Internett og telekommunikasjon i kapittel 8.

Den aller vanligste henvendelsen i 2011 gjaldt ønske om hjelp til sletting av egen profil på nettet (23 prosent). Uønsket bildepublisering på internett var et annet stort problem. Hele 11 prosent av alle henvendelsene gjaldt bilder lagt ut mot egen vilje.

Andre henvendelser gjaldt hovedsaklig:

  • innbrudd i brukerkontoer

  • falske profiler

  • sletting av avdøde sine kontoer

  • uønskede katalogoppføringer

  • publisering av personopplysninger

  • sjikane

Erfaringene fra henvendelsene til slettmeg.no har påvirket Datatilsynets virksomhet og strategiske planlegging. Erfaringene er også videreformidlet til andre organisasjoner og tjenesteytere. Slettmeg.no har hatt god dialog med andre aktører slik som Politiet, Norsk Presseforbund, Norsk Redaktørforening, Konfliktrådet m.fl. Denne dialogen har vært uvurderlig for overføring av kunnskap og relevante erfaringer, og for å kunne løse saker som i ulik grad berører andre aktørers ansvarsområde.

Anerkjennelse og positive tilbakemeldinger

Datatilsynet fikk i meldingsåret mye anerkjennelse for sitt arbeid med slettmeg.no, blant annet fra Medieansvarsutvalget (NOU 2011:12) og i «Ungdommens maktutredning» (NOU 2011:20).

Slettmeg.no ble i mars nominert til World Summit Award som Norges bidrag i kategorien «Inkludering og deltakelse». Prisen deles ut i regi av UNESCO og FNs informasjonspanel, og kårer verdens beste nettjenester. Slettmeg.no var også en av finalekandidatene til Rosings sikkerhetspris for 2011 i regi av Dataforeningen.

I september og oktober 2011 gjennomførte slettmeg.no en undersøkelse som viste at hele 48 prosent av de som kontaktet tjenesten fikk problemet sitt løst umiddelbart etter at de hadde bedt om hjelp. Tilbakemeldingene på tjenesten var for øvrig også svært gode, og 85 prosent av respondentene svarte at de vil anbefale andre å ta kontakt med slettmeg.no dersom de opplevde krenkelser på nett.

Slettmeg.no legges ned hos Datatilsynet

Høsten 2011 meddelte FAD at det ikke ville bli tilført midler for å finansiere fortsatt drift av slettmeg.no, og Datatilsynet måtte si fra seg ansvaret for tjenesten. Med de lovpålagte oppgaver og utfordringer tilsynet står overfor når det gjelder saksbehandling og tilsynsvirksomhet, ville det ikke være ansvarlig å drifte og utvikle tjenesten videre uten å få en øremerket finansiering fra statsbudsjettet.

Norsk Senter for Informasjonssikring (NorSIS) sa seg villig til å overta ansvaret for drift og videre utvikling av tjenesten fra og med 1. januar 2012.

ID-tyveriprosjektet

Datatilsynet sitter i styringsgruppen og er aktivt medlem i et ID-tyveriprosjekt som ledes av NorSIS. I september lanserte ID-tyveriprosjektet nettesten «Sikker ID, en ID-tyveritest for næringslivet.

Datatilsynet var en av initiativtakerne og bidro med ekspertise og kvalitetssikring av testen. Finansieringen kom blant annet fra Finansnæringens fellesorganisasjon (FNO) og Næringslivets Sikkerhetsråd (NSR). Testen mottok også 500 000 kroner fra Finansmarkedsfondet. NorSIS sto for prosjektledelsen.

Utgangspunktet for testen er «en personopplysnings liv i en virksomhet», og målgruppen er i hovedsak små og mellomstore bedrifter.

1.7 Organisasjon og administrasjon

Budsjett

Datatilsynets budsjett i meldingsåret var 32 millioner kroner. Dette var en økning på 3,3 prosent i forhold til 2010. Tildelingen dekket lønns- og driftsutgifter for 2011.

I tillegg ble det bevilget 3,2 millioner kroner til videreføring av prosjekter på personvernområdet. Prosjektene rettet seg mot internkontroll og informasjonssikkerhet i norske virksomheter, og etablering av rådgivningstjenesten slettmeg.no. Disse prosjektene ble startet i 2009 og avsluttes i 2011.

Datatilsynet fikk 270 000 kroner i revidert nasjonalbudsjett. Dette ble gjort for å kunne ivareta nye arbeidsoppgaver i forbindelse med implementering av ny politiregisterlov og datalagringsdirektivet. Bevilgningen dekket utgifter for fire måneder i 2011. Helårseffekten av årsverket blir innarbeidet i budsjettforslaget for 2012.

Budsjettutvikling:

År

Beløp

2009

Kr 29 020 000*

2010

Kr 30 989 000*

2011

Kr 32 051 000*

Kilde: *driftsutgifter tilsvarer omlag 25 prosent og lønnsutgifter omlag 75 prosent

Ansatte – kjønnsfordeling, fravær

Datatilsynet ledes av en direktør. Direktøren blir oppnevnt av Kongen i statsråd for en periode på seks år. Bjørn Erik Thon ble i august 2010 ansatt som ny direktør i Datatilsynet.

Ved utgangen av 2011 var det, som året før, 37 faste stillingshjemler i Datatilsynet, hvorav én var ubesatt ved meldingsårets slutt. I tillegg har fire personer vært ansatt i tidsavgrensede prosjektstillinger.

Datatilsynet er organisert i fire avdelinger. Hver avdeling ledes av en avdelingsdirektør. Tabellen viser faste stillinger fordelt på avdelinger:

Avdeling

Totalt

Kvinner

Menn

Direktør

1

0

1

Informasjonsavdelingen

4

3

1

Tilsyns- og sikkerhetsavdelingen

9

2

7

Juridisk avdeling

15

8

7

Administrasjonsavdelingen

8*

8

0

Sum

37

21

16

Kilde: *I administrasjonsavdelingen har to av de ansatte hatt redusert stillingsandel. Avdelingen har totalt sju årsverk.

Informasjonsavdelingen har i 2011 hatt tre prosjektstillinger (tre menn) knyttet til avdelingen i tillegg til de fast ansatte. Prosjektstillingene har alle vært knyttet til rådgivningstjenesten slettmeg.no, og opphørte ved årets slutt.

Tilsyns- og sikkerhetsavdelingen har hatt én person tilsatt i prosjektstilling (en mann) i tillegg til de fast ansatte. Også denne prosjektstillingen har vært tidsavgrenset og opphørte i januar 2012.

To av Datatilsynets medarbeidere har i 2011 benyttet seg av avtalefestet pensjon (AFP).

Fem personer har deler av året hatt foreldrepermisjon. Alle disse har vært tilknyttet juridisk avdeling. Til sammen utgjorde dette to årsverk (tre kvinner og to menn).

Datatilsynet er omfattet av avtalen om inkluderende arbeidsliv (IA-avtalen) og vektlegger forebygging og oppfølging av sykefravær. Sykefraværet i Datatilsynet har i flere år vært lavt og bruken av egenmeldinger i meldingsåret var 1,52 prosent. Fravær er ofte relatert til barns sykdom og svangerskapsrelatert sykdom. Det har i meldingsåret ikke vært behov for å iverksette særskilte tiltak for å følge opp og forebygge sykdom.

Datatilsynet benytter overtid ved spesielle behov for å få utført konkrete arbeidsoppdrag i tide. Tilsynet har imidlertid ikke utstrakt bruk av overtid.

I 2011 ble det gitt permisjon til medarbeidere som ønsket å ta tilleggsutdanning på områder som er blitt definert som relevant kompetanse for etaten. Det ble også satt av midler avdelingsvis til kurs og kompetansehevende tiltak. Det er for øvrig besluttet å opprette et eget kompetansefond i 2012 for de som søker utdanning som er kostnadskrevende.

Evaluering av Datatilsynet

Som et ledd i oppfølgingen av Personvernkommisjonens rapport (NOU 2009: 1) – «Personvern i det digitale samfunn» – ble det på oppdrag fra Fornyings-, administrasjons- og kirkedepartementet (FAD) gjennomført en evaluering av Datatilsynet. Det var Direktoratet for forvaltning og IKT (Difi) som stod for evalueringen som ble utført i nært samarbeid med Datatilsynet. Målet med evalueringen var å vurdere om Datatilsynet hadde de nødvendige forutsetninger for å fylle sine roller og utføre sine oppgaver i samsvar med personopplysningslovens krav, samt å gi FAD et bedre grunnlag for å utvikle styringsdialogen og gi tilsynet et verktøy for framtidig organisasjonsutvikling.

Som et ledd i evalueringen ble det gjennomført intervjuer med en lang rekke informanter i departement, ulike tilsyn, organisasjoner, forsknings- og utviklingsmiljøer og privat næringsliv, i tillegg til 21 av de ansatte i Datatilsynet.

Difis hovedfunn var at Datatilsynet oppnår gode resultater med begrensede ressurser. Det ble særlig trukket fram at tilsynet er svært synlig i media og på en god måte setter personvern på dagsorden. Det ble pekt på at tilsynet har hatt en utvikling i riktig retning blant annet for å møte nye oppgaver og for å komme i konstruktiv dialog med ulike målgrupper. Datatilsynet fikk også gode skussmål for kompetanse og konkret myndighetsutøvelse. På spørsmålet om det å ha rollen som både tilsyn og ombud kan være problematisk, pekte samtlige ansatte, og hovedtyngden av de eksterne informantene, på at kombinasjonen mellom de to rollene fungerer greit, og at Datatilsynet i det store og hele ser ut til å balansere rollene godt. Enkelte informanter mente derimot at Datatilsynet bruker ombudsrollen i for stor grad og at det ikke skilles godt nok mellom rollene.

Difis evaluering trakk frem enkelte temaer Datatilsynet bør følge opp nærmere. Dette gjaldt blant annet mer bruk av strategiske virkemiddel, sterkere rollebevissthet, tydeliggjøring av ombudsrollen og styrking av forvaltningskompetansen.

Datatilsynet gjennomførte i 2011 en omfattende strategiprosess, og vedtok i november en ny overordnet femårsstrategi som tar tak i de utfordringene Difi har pekt på. Strategien er omtalt i kapittel 1.

1.8 Nærmere om prioriterte områder

1.8.1 Internett og telekommunikasjon

Internett har revolusjonert måten vi kommuniserer på. Fra å være et medium hvor man først og fremst mottar informasjon, har nettet utviklet seg til å bli et sted hvor man aktivt samhandler og deler informasjon. Denne utviklingen har utvilsomt hatt en positiv effekt på samfunnet, men har også gitt oss nye utfordringer for personvernet. En av de største endringene har trolig vært i forhold til sosiale nettsamfunn hvor det innsamles, lagres og bearbeides personopplysninger i et enormt omfang.

I økende grad vil det tas i bruk ny internettprotokoll (IPV6) som øker omfanget av adresser på internett. Dette kan innebære at hver enhet opererer med en unik adresse i hele sin levetid, en adresse som samtidig benyttes under kommunikasjon med andre enheter på internett. Det gjør at sporbarhet helt ned på enkeltenhet kan bli en realitet om ganske få år, med mindre det mobiliseres et engasjement for å forhindre en slik utvikling.

Utviklingen går også mot at stadig flere ting kobles til nettet, slik som kjøretøy, teknisk utstyr og husholdningsapparater. Dette utfordrer personvernet på nye måter, ettersom flere av disse enhetene samler inn bruksopplysninger.

Et økende antall tjenester bygges i dag på plattformer som er dominert av noen få globale virksomheter. Dette gjelder for eksempel produkter fra Apples (Iphone og Ipad), Googles Android (smarttelefoner og nettbrett) og Microsoft (smarttelefoner og nettbrett). Det fysiske produktet og softwaren som styrer enhetene er tett bundet sammen. De store leverandørene kontrollerer i varierende grad hvem og under hvilke betingelser andre tjenestetilbydere kan levere produkter på deres plattform. Det er sannsynlig at koblingen mellom avanserte produkter og tjenester som bygges på disse vil bli sterkere i årene som kommer. Det er viktig at personvernmyndighetene er årvåkne i forhold til denne utviklingen, samt medvirker til at godt personvern er et av kriteriene for å slippe inn på disse plattformene.

Smarttelefoner har blitt allemannseie, og antall programmer og applikasjoner som tilbys til smarttelefonene er stadig økende. Programvaren eller applikasjonene kan benyttes til å samle personopplysninger fra brukerne, ofte uten at disse er tilstrekkelig orientert på forhånd. Mange tjenester som fremstår som gratis, innebærer i praksis at betalingen skjer ved innsamling og videre bruk av personopplysninger. Disse personopplysningene selges gjerne til andre aktører, eller stilles til rådighet for målrettet markedsføring. Kompleksitet i grensesnittet mellom menneske, programmer og maskiner fører til at et stort flertall av brukerne trolig vil basere seg på produsentens innstillinger. Dette er slett ikke alltid et godt valg med hensyn til et godt personvern.

Bruk av nettskyen oppleves av stadig flere virksomheter som et gunstig valg for å kutte kostnader. Store investeringer i lokal infrastruktur og høye lokale driftsutgifter ønskes erstattet med lagrings- og databearbeidingskapasitet. Dette må imidlertid skje innenfor trygge rammer og de grenser som lovgiver har satt. I mange tilfeller vil oppdragsgiverne stå overfor ensidige avtaler, hvor deres muligheter for å påvirke produktet er begrenset. Rammene for en slik praksis bør klargjøres.

Hva har Datatilsynet gjort på området?

Kartlegging av Facebook

I desember 2010 ga Datatilsynet ut rapporten «Social Network Services and Privacy – a case study of Facebook». Rapporten viste at den profilinformasjonen som brukerne bevisst gir fra seg selv, kun er en liten del av den totale mengden informasjon som Facebook innhenter. Samtidig avdekket rapporten flere uklarheter rundt Facebooks innsamling og bruk av personopplysninger. Med bakgrunn i dette sendte de nordiske personvernmyndighetene i juli 2011, på initiativ fra Datatilsynet, en rekke konkrete spørsmål til Facebook om hvem som samler inn og får tilgang til informasjonen via Facebook, samt hva som skjer med innsamlede personopplysninger. Det ble også stilt spørsmål om Facebooks innsamling av opplysninger om ikke-medlemmer gjennom funksjonene «Liker », «Friend finder» og «Face recognition».

I sitt formelle svar gjorde Facebook det klart at de anser seg for å være underlagt europeisk personvernlovgivning, og at Facebook Irland Ltd. er ansvarlig for nordiske brukere. Facebook bekreftet videre at det brukeren skriver på veggen blir benyttet til å målrette reklame. Selskapet understreket imidlertid at de ikke videreformidler personopplysninger til andre selskaper, med mindre brukeren selv aksepterer det ved å installere såkalte tredjepartsapplikasjoner. Det samme gjelder for foto og video.

Facebook bekreftet dessuten at de samler inn nettadresser til alle nettbrukere som besøker en side med Liker-funksjonen, men da kun til bruk for administrative og sikkerhetsmessige formål. Nettadressene lagres i 90 dager.

I meldingsåret har Datatilsynet hatt flere kontaktmøter med Facebook både her hjemme og i Irland. Datatilsynet har også arbeidet tett sammen med de irske personvernmyndighetene som i perioden oktober-desember 2011 gjennomførte tilsyn med Facebook Irland.

Tilsynet har også hatt dialog med selskapene Google og LinkedIn.

Nettby

I desember 2010 ble VG sitt nettsamfunn Nettby nedlagt. Nettby var en periode Norges største nettsamfunn, og betydelige mengder informasjon ble samlet inn og lagret. På bakgrunn av henvendelser til publikumstjenesten slettmeg.no ble Datatilsynet gjort kjent med at VG ikke hadde slettet brukerprofiler og innhold som var registrert på Nettby, til tross for at nettsamfunnet var nedlagt. Datatilsynet startet derfor en dialog med VG, med tanke på å få profilene slettet.

VG tok på sin side opp spørsmålet med, og fikk støtte fra, Nasjonalbiblioteket om ikke disse opplysningene burde bevares for ettertiden. Det ble hevdet at informasjonen, som var samlet på en systematisk måte, gjenspeiler den samtiden vi lever i, og derfor kan være interessant for fremtidig forskning. Det opprinnelige formålet med Nettby var imidlertid å tilby medlemmene deltagelse i et nettsamfunn – med blant annet mulighet for privat samhandling medlemmene imellom. Datatilsynet påla derfor sletting.

Diskusjonen handler imidlertid om noe mer enn Nettby. Det handler om eiendomsretten til egne personopplysninger i det digitale samfunnet. Det er en debatt Datatilsynet ønsker velkommen. På Nettby, som i andre sosiale nettsamfunn, ble det delt store mengder informasjon, også private samtaler slik som chat, e-post og meldinger. Et viktig utgangspunkt i personvernet er at den enkelte skal ha kontroll med opplysninger om seg selv og en tilfredsstillende forutsigbarhet. De over 800 000 brukerne hadde sannsynligvis aldri gitt sitt samtykke til ovennevnte tjeneste dersom de hadde vært inneforstått med at deres opplysninger og private kommunikasjon kunne havne i statlige arkiver.

Et eksempel kan illustrere utfordringen: Hvordan hadde vi reagert om de store nettsamfunn som Google+, eller Facebook deponerte alt innholdet til amerikansk eller norsk nasjonalbibliotek for bruk i framtida? Ville brukerne akseptert at alle opplysningene de har gitt på disse nettsamfunnene fryses og blir brukt til forskning en gang i framtida?

Nasjonalbiblioteket

Nasjonalbiblioteket har bedt om anledning til å lagre innholdet på det norske toppdomenet (.no). I mangel på klargjørende lovverk ble det for noen år siden fremmet en konsesjonssøknad til Datatilsynet. Det ble da gitt en midlertidig konsesjon til Nasjonalbiblioteket om å høste inn filer (for eksempel nettsider) som er allment tilgjengelige. Tilsynet la til grunn at Regjeringen på sin side ville klargjøre fremtidig politikk på området ved å fremme et lovforslag overfor Stortinget.

Senest da konsesjonen ble fornyet i 2011 ba tilsynet om at «lovgiver må ta stilling til om de ulike delene av materialet som er samlet inn skal slettes eller lagres. For materialet som skal beholdes må det tas stilling til hvem som skal få tilgang til materialet, hvor det skal gis tilgang – og når». Arbeidet med lovforslaget er nå igangsatt hos Kulturdepartementet.

App-rapporten

Datatilsynet publiserte i september 2011 rapporten «Hva vet appen om deg? Kartlegging av personvernutfordringer knyttet til mobilapplikasjoner». Mobilapplikasjoner, såkalte «apper», er i kraftig vekst. Bakgrunnen for at tilsynet har kikket nærmere på dette markedet er at mange applikasjoner håndterer store mengder personopplysninger, ofte uten at brukeren selv er klar over det. Enkelte applikasjoner krever tilgang til personopplysninger som kan fortelle svært mye om brukeren, som for eksempel hvor man har oppholdt seg, opplysninger om vennenettverket og om vedkommendes interesser.

Hovedkonklusjonen i rapporten er at applikasjonsmarkedet er preget av lite åpenhet når det gjelder hvilke opplysninger som samles inn om brukeren, hva som er formålet med innsamlingen og hvordan opplysningene eventuelt viderebrukes . Markedet preges også av mange ulike aktører med ulike roller. Dette fører til uklarhet rundt hvem som faktisk er ansvarlig for at personopplysninger blir behandlet i tråd med personvernlovgivningen. Ingen av de norske applikasjonene som Datatilsynet undersøkte hadde lagt informasjon om håndtering av innsamlede personopplysninger eller hvem som er behandlingsansvarlig for disse, lett tilgjengelig for brukeren.

Basert på konklusjonene i rapporten har Datatilsynet vært i dialog med aktørene som utvikler applikasjoner, særlig med tanke på å få utarbeidet gode personvernerklæringer for brukerne, og for å skape bevissthet omkring ansvarsforhold. Rapporten er også oversatt til engelsk og tilsynet har videreformidlet innholdet i rapporten i ulike internasjonale fora. Dette arbeidet vil fortsette i 2012.

Bruk av Google Apps

Narvik kommune ble i meldingsåret landets første offentlig etat som valgte Google som totalleverandør av e-post, kalender og gruppevare. Google Apps er en såkalt nettskytjeneste. Det vil si at produksjon, behandling og lagring av innhold skjer på internett og ikke på kommunens egne servere. Mange av disse eksterne serverparkene står utenfor Norges grenser. Google Apps leveres av Google i USA og er dermed ikke underlagt norsk lov om håndtering av personopplysninger.

Kommuner og andre offentlige myndigheter er pålagt å vurdere risikoen ved å bruke slike tjenester, før de tas i bruk. Dette er den første saken Datatilsynet tar opp når det gjelder nettskyløsninger i offentlig sektor. Det blir derfor en prøvesak for tilsynets behandling av slike saker.

Datatilsynet har bedt kommunen om å redegjøre for bruken av Google Apps når det gjelder hvilke personopplysninger de skal behandle og hvilken risikovurdering de gjorde før de tok i bruk tjenesten.

Utredning om ytringsfrihet vs. personvern

Det er skrevet en utredning som tar for seg den kompliserte avveiningen mellom ytringsfrihet på internett og personvern. Spørsmålet som stilles i utredningen er hvor langt retten til personvern strekker seg på internett, både i lys av den teknologiske utviklingen, det sammensatte rettskildebildet og den økende trenden til at privatpersoner deler opplysninger både om seg selv og om andre på internett. Utredningen konkluderer med at tilsynet primært bør bruke ombudsrollen i spørsmål som utfordrer grensen mellom personvern og ytringsfrihet.

Funn fra tilsyn

Økende utfordringer med grensepasserende nettjenester

Mange brukere er lite bevisste på hvor tilbyderen av nettjenestene faktisk er lokalisert og hvilke konsekvenser dette har for deres rettigheter. Selv om brukeren sitter i Norge, kan tilbyderen av nettstedet være lokalisert et helt annet sted i verden, i et land med helt andre lover og regler.

Sannsynligheten er også stor for at nettstedet – enten tilbyderen er lokalisert i Norge eller et annet kjent land – benytter en eller flere grensepasserende tjenester. Det vil si at leverandøren av tjenesten ikke har base i samme land som tilbyderne av nettstedet. Dette kan for eksempel være tilfelle ved bruk av webanalyserverktøy. I mange tilfeller er bruk av slike eksterne tjenester ikke direkte synlig for brukeren av nettstedet. Brukeren kan dermed ha forestillinger om egne rettigheter og forpliktelser hos tilbyderen som senere viser seg å være feil.

Datatilsynet gjennomførte i 2011 tilsyn hos virksomheter som benytter analyseverktøy, slik som for eksempel Google analytics og Facebooks liker-funksjon. Dersom et nettsted benytter slike verktøy, legges det programkode på nettsiden som gjør at personopplysninger utveksles med en tredjepart. Det kan for eksempel legges unike informasjonskapsler på brukerens datamaskin, eller det kan utveksles IP-adresser til disse tredjepartene. I mange tilfeller gjøres dette til en virksomhet som ligger utenfor EØS-sonen. I samsvar med hva som er gjeldende oppfatning blant datatilsynsmyndigheter, betraktes IP-adresser under gitte forutsetninger som en personopplysning. Personopplysningslovens rettigheter og plikter kommer i så fall til anvendelse.

Tilsynene avdekket også at innehaverne av nettsider ikke i tilstrekkelig grad forsikrer seg om at fangst av IP-adresser og den videre bearbeidelse av disse, skjer i samsvar med regelverket. Det ble videre identifisert at bruk av informasjonskapsler i sporingshensikt også vil være problematisk fra et personvernståsted. Eksterne tilbydere av analyseverktøy benytter vanligvis slike kapsler. Noen av disse bidrar til unik sporing av brukerne i inntil to år.

Nett-TV

Datatilsynet gjennomførte i meldingsåret tilsyn hos virksomheter som tilbyr TV levert over bredbånd. Kontrollene viste at flere av selskapene logget informasjon om kundens bruk av nett-TV, det vil si hvilke programmer disse så på. Virksomhetene argumenterte med at dette ble gjort av hensyn til kundene i tilfelle kvaliteten på leveransen ikke var tilfredsstillende. Datatilsynet reagerte på praksisen og krevde endringer. Sakene er fortsatt til behandling.

1.8.2 Justis

Datatilsynet definerer justissektoren til å omfatte offentlige kontrollmyndigheter og utlendingsmyndighetene, i tillegg til domstolene, politi og påtalemyndighet.

Sektoren kjennetegnes av at den enkelte har liten selvbestemmelsesrett og begrenset kunnskap om hvilke informasjonsbehandlinger som finner sted. Den enkeltes individuelle rettigheter settes på prøve i møte med store systemer og tunge samfunnsinteresser, slik som samfunnssikkerhet og kriminalitetsbekjempelse. Innen justissektoren er personvernet å anse som en rettsverngaranti som setter grenser for hvilke tiltak myndigheten kan iverksette overfor den enkelte. Sektoren er sterkt lovregulert, og legalitetskontroll er derfor en viktig del av tilsynets oppfølgning. Innenfor denne sektoren håndteres store mengder sensitive personopplysninger.

Ny politiregisterlov med forskrift skal tre i kraft i sommeren 2012. Det har vært viktig for Datatilsynet å være tett på forskriftsarbeidet for å sikre at personvernhensyn blir ivaretatt. Tilsynet må arbeide for at de som er behandlingsansvarlige settes i stand til å realisere intensjonene bak det nye regelverket. Dette må skje blant annet gjennom samarbeid med sektoren og ved kontroller. Datatilsynet frykter at sektoren vil ha problemer med å etterleve det nye regelverket med de informasjonssystemene de har i dag, og ser at det er store utfordringer knyttet til det å få til en utbedring av systemene på kort sikt.

Automatiserte og intelligente systemer tas i økende grad i bruk for innhenting og systematisering av opplysninger til kontrollformål. Såkalt gjenkjenningsteknologi benyttes i stadig oftere. Det er viktig å få kunnskap om utbredelse og bruk av slike systemer. Det må også vurderes om hjemmelsgrunnlagene som kontrollmyndighetene viser til holder mål.

Justissektoren er videre preget av rask og omfattende internasjonal utvikling. I november 2008 ble EU-kommisjonens forslag til ny rammebeslutning om personvern ved behandling av opplysninger i forbindelse med politi- og strafferettssamarbeid vedtatt i Europarådet. Denne regulerer behandling av personopplysninger innenfor rammene av politisamarbeid og annet rettslig samarbeid i straffesaker. Instrumentet må ses på som et tiltak for å lette informasjonsflyten innad i EU-området. En slik utstrakt informasjonsflyt nødvendiggjør felles krav til hvordan opplysningene skal behandles. Politiregisterloven vil etter intensjonen oppstille slike krav til justissektoren i Norge.

Norge har også andre internasjonale forpliktelser som omfatter behandling av personopplysninger i sektoren. Forpliktelser som stiller krav til oppfølging fra tilsynets side. Dette gjelder særlig Schengenavtalen, jf. Lov om Schengen informasjonssystem.

Justisdepartementets arbeid med å etablere et nasjonalt identitetskort har pågått i lang tid. Kortet vil bestå av to komponenter, henholdsvis det fysiske identitetsbeviset og en elektronisk ID /signatur. Et slikt kort vil kunne fylle to viktige funksjoner; som et høyverdig identitetsbevis og for å fremskynde bruk av sikker elektronisk samhandling. Datatilsynet har derfor vært opptatt av å få dette på plass. Opprinnelige planer tilsa en lansering i 2011, men lanseringen er senere skjøvet til 2014. Datatilsynet mener det er sterkt beklagelig med denne utsettelsen. Spesielt er dette alvorlig i forhold til senere utbredelse av fullverdig elektronisk ID/signatur i befolkningen. Tilsynet vil følge den videre prosessen nøye.

Hva har Datatilsynet gjort på området?

Datalagringsdirektivet

I meldingsåret vedtok Stortinget at datalagringsdirektivet (direktiv 2006/24/EF) skal innføres i norsk rett. Innføringen ble vedtatt med knapt flertall, noe som illustrerer hvor kontroversielt vedtaket var. Datatilsynet var meget klare i sin tilrådning, nemlig at Norge burde avstå fra innføringen. En lagringsplikt slik direktivet foreskriver innebærer at det skal lagres opplysninger om hvem som kontakter hvem, når kontakten skjedde, hvor de kommuniserende befant seg og hvilket utstyr som ble benyttet i et halvt år etter at kommunikasjonen fant sted.

Datatilsynet tok Stortingets beslutning til etterretning, og siste del av meldingsåret har tilsynet arbeidet sammen med Post- og teletilsynet om implementeringen.

Ny politiregisterlov med forskrift

Behandling av personopplysninger i forbindelse med straffeprosessen har vært unntatt fra personopplysningslovens virkeområde. EU har laget en rammebeslutning, hvoretter de rettighetene og pliktene som personverndirektivet gir, skal gjøres gjeldende også i forbindelse med politiarbeid og straffeprosess. Frist for nasjonal tilpasning til rammebeslutningen var satt til september 2011.

Datatilsynet har vært i tett dialog med Justisdepartementet, både i forbindelse med lovarbeidet og forskriftsarbeidet. I dag sitter en jurist og en teknolog fra tilsynet i referansegruppa for politiregisterforskriften. Forskriftsarbeidet er forventet sluttført i løpet av våren 2012.

For at Datatilsynet skal kunne ivareta de nye pliktene i politiregisterloven er det en nødvendig forutsetning at tilsynets egen kompetanse i sektoren blir styrket, samtidig som det er behov for økte ressurser. I forbindelse med statsbudsjettet har tilsynet fått midler tilsvarende én stilling. Datatilsynet har startet opp arbeidet med å legge en langsiktig strategi for videre oppfølging av sektoren.

Schengen informasjonssystem

Norges etterlevelse av Schengen-avtalen har vært kontrollert i 2011. Det vil blant annet si kontroll av den nasjonale ivaretakelsen av personvernet til de registrerte. Datatilsynet forberedte den delen av Schengen-evalueringen som var rettet mot personopplysninger og Schengen Information System (SIS). Tilsynet ferdigstilte dessuten egne kontroller mot KRIPOS, som er den norske behandlingsansvarlige for SIS, og mot Østfold politidistrikt som bruker av SIS.

Rapporten konkluderte med at Norge hadde god informasjonssikkerhet rundt SIS og overholdt de forpliktelser som følger av Schengen-regelverket. Evalueringsgruppen kom også med noen anbefalinger på Datatilsynets område som det vil tas hensyn til i det videre tilsynsarbeidet med SIS.

DNA-screening i politietterforskning

Datatilsynet har som ombud uttalt seg kritisk til såkalt DNA-screening i forbindelse med politietterforskning. Uttalelsene har kommet i forbindelse med at metoden ble brukt i etterforskningen av en grov voldtektssak i Bergensområdet, og en drapssak i Os.

DNA-screening foregår i praksis ved at politiet innkaller en relativt vid krets av personer til vitneavhør i forbindelse med etterforskning av en konkret straffesak, og ber om samtykke til å analysere vedkommendes DNA. Dette fremstilles som en mulighet for den enkelte til å bli «sjekket ut» av saken. Kretsen som innkalles avgrenses gjerne ut fra geografiske kriterier og kjønn.

I påtaleinstruksen er samtykkebasert DNA-testing konkretisert til å gjelde i to relasjoner. For det første kan det samtykkes til såkalte referanseprøver, det vil si prøver fra personer med kjent tilknytning til åstedet eller en gjenstand som er knyttet til den straffbare handlingen. Dernest kan det samtykkes til innhenting av eliminasjonsprøver fra personer med kjent identitet som regelmessig kommer i kontakt med åsteder og bevismateriale, for eksempel ansatte ved politiet og analyseinstitusjoner. Formålet er i begge tilfeller å unngå at personer som med en viss grad av sannsynlighet lovlig har avsatt sitt DNA på åsted, gjenstander eller prøver, havner i politiets sporregister.

Datatilsynet mener at samtykke er lite problematisk i de sistnevnte tilfellene. Spørsmålet er i hvilken grad andre personer, hvor det i utgangspunktet ikke er holdepunkter for at vedkommende har avsatt DNA som vil bli funnet i etterforskningen, kan samtykke til tilsvarende undersøkelser.

Datatilsynet mener at det er tvilsomt. Det skal i utgangspunktet ikke være noe grunnlag for å sjekke vedkommende ut av saken, slik det er i de tilfellene som påtaleinstruksen omhandler. Det reelle formålet med undersøkelsen er altså å kontrollere om det er grunnlag for å sjekke vedkommende inn i saken.

Datatilsynet mener at samtykkebasert politietterforskning uansett reiser viktige prinsipielle problemestillinger. Det vises til at det ikke bør være opp til den enkelte borger å sette grenser for hvilke tiltak politiet kan iverksette overfor ham. Det foreligger en åpenbar ubalanse i forholdet mellom politiet og den enkelte – en ubalanse som sterkt utfordrer kravet om at det må foreligge en frivillig viljeserklæring. Dette gjelder særlig i de tilfellene hvor manglende samtykke kan medføre at man får etablert eller forsterket en mistanke mot seg, eller hvor den enkelte frykter at det kan bli konsekvensen.

Datatilsynet vil i kraft av å være ombud ta politiets praksis opp med Justisdepartementet.

Tollvesenets kontrollpraksis overfor privatpersoner – legalitetskontroll Datatilsynet har i meldingsåret fattet et vedtak overfor tollvesenet. Tilsynet påla tollvesenet å avslutte en kontrollpraksis som tilsynet mente manglet tilfredsstillende hjemmel.

Tollvesenets kontrollpraksis innebærer at opplysninger om privatpersoners utenlandstransaksjoner hentes fra valutaregisteret, at opplysningene foreholdes den registrerte gjennom et brev, og at han bes om å legge frem dokumentasjon knyttet til de aktuelle transaksjonene og eventuelle tollbehandlinger. Datatilsynet fikk kjennskap til praksisen gjennom en klage fra en privat person som hadde blitt utsatt for en slik kontroll.

Datatilsynet mener at dette er et kontrolltiltak overfor den enkelte som krever hjemmel i lov. Tilsynet mener at tollvesenets kompetanse etter gjeldende regelverk, hva gjelder kontroll av privatpersoner, er begrenset i tid og rom til innførsels- eller grensepasseringssituasjonen. De aktuelle transaksjoner og påfølgende innførsler som lå til grunn for tollkontrollen hadde imidlertid funnet sted flere år tilbake i tid, noe som innebærer at kontrollhjemlene ikke lenger var anvendelige.

Tollvesenet har påklaget Datatilsynets vedtak, og saken er oversendt Personvernnemnda.

Funn fra tilsyn

Rettsmedisinsk institutt – systemkontroll og legalitetskontroll

Høsten 2010 gjennomførte Datatilsynet en kontroll ved Rettsmedisinsk institutt ved Universitetet i Oslo. Kontrollen tok sikte på å avklare hvorvidt instituttets behandling av personopplysninger i forbindelse med DNA-testing og andre oppdrag var i samsvar med personopplysningslovens bestemmelser.

Datatilsynet fant at instituttet oppbevarer store mengder sensitive personopplysninger fra sin oppdragsvirksomhet, uten at det foreligger tilfredsstillende rettslig grunnlag for slik oppbevaring verken i lov eller i avtalen med den enkelte oppdragsgiver. Datatilsynet fant også at det forelå store mangler ved informasjonssikkerheten for opplysningene, og at universitetet for øvrig utøvde dårlig kontroll med opplysningene. I meldingsåret varslet Datatilsynet at det ville fatte vedtak om at universitetet må slette opplysningene.

Virksomheten ved Rettsmedisinsk institutt ble med virkning fra 1. juni 2011 overført til Folkehelseinstituttet. I sitt tilsvar har universitetet og Folkehelseinstituttet vist til at de er offentlige organer, og derved har plikt etter arkivloven til å oppbevare dokumenter som inneholder angjeldende opplysninger. De bestrider derfor at de har adgang til å slette disse opplysningene, og at oppbevaringen dessuten har rettslig grunnlag.

Datatilsynet har i meldingsåret arbeidet med et vedtak som er i tråd med det som ble varslet. Tilsynet legger til grunn at arkivloven bare kommer til anvendelse dersom oppdragsgiver er et offentlig organ, og at plikten da oppstår på oppdragsgivers hånd. Det vises til at oppdragstaker er en databehandler, og ikke har adgang til å behandle personopplysninger på en annen måte enn det som er avtalt med oppdragsgiver.

Dersom arkivloven forstås slik at det foreligger en arkivplikt for disse dokumentene hos Folkehelseinstituttet, vil det medføre en uthuling av de strenge slettebestemmelsene som er vedtatt av Stortinget i forbindelse med DNA-analyser i strafferettspleien. Dette gir et sterkt urimelig resultat som vil kunne være i strid med forholdsmessighetskravet i Den europeiske menneskerettskonvensjonen (EMK) artikkel 8.

Datatilsynet avdekket også at det oppbevares store mengder biologisk materiale fra analyseoppdragene ved instituttet. Tilsynet mener det er grunn til å stille spørsmål ved om personopplysningsloven får direkte anvendelse for biologisk materiale, og har unnlatt å fatte vedtak knyttet til dette.

Det er imidlertid slik at biobanker er en type virksomhet som krever hjemmel i lov etter EMK artikkel 8. Gjeldende regelverk hjemler forsknings-, diagnostiske og behandlingsbiobanker. De biobankene som foreligger ved rettsmedisinsk institutt omfattes ikke av dette regelverket, hvilket betyr at disse biobankene mangler rettslig grunnlag. Oppbevaringen kan derved være direkte i strid med EMK.

1.8.3 Helse og velferd

Helse og velferd involverer samtlige innbyggere i Norge, i alle stadier av livet. Opplysningene som behandles i sektoren er blant de mest sensitive personopplysningene som finnes. Samtidig må den enkelte akseptere og gi fra seg personopplysninger i «bytte» mot helsehjelp. Bruk av personopplysningene begrenses imidlertid ikke til helsehjelp, men samles inn for mange andre formål slik som forskning, kvalitetssikring, administrasjon og planlegging. Videre er det etablert en rekke helseregistre som helseopplysningene utleveres til. Den enkelte har dermed begrenset kontroll med spredningen av opplysningene og trolig også liten kjennskap til hvordan opplysninger benyttes og videreformidles.

Sektoren er preget av høy grad av endringsvilje og -evne fra departement til institusjonsnivå. Særlig aktuelt i denne forbindelse er samhandlingsreformen (ny kommunehelsetjenestelov, kjernejournal og tilgang på tvers) og modernisering av helseregisterområdet (utredning av reservasjonsrett, nye registerforskrifter, helsearkiv, nyfødtscreening og hjerte- og karregisteret).

I årene som kommer vil vi se økt bruk av teknologi innen omsorgssektoren, gjerne kalt omsorgs- eller velferdsteknologi. Datatilsynet har tatt mål av seg å være i forkant av denne utviklingen, stille krav til løsningene og bidra til innbygget personvern i løsninger som utvikles. Samtidig vil tilsynet arbeide med å ha en god dialog med de sentrale aktørene innenfor området.

Hva har Datatilsynet gjort på området?

Strategi for bedre personvern i helsesektoren

I november ble «Datatilsynets strategi for bedre personvern i helsesektoren» lansert, da det var behov for en mer strategisk tilnærming til arbeidet på dette området.

Tilsynet har i strategien utarbeidet langsiktige mål for hvordan etaten skal bidra til bedre personvern i helsesektoren. Det inkluderer blant annet arbeid rundt tilgangsstyring (både internt i virksomheter og tilgang på tvers), modernisering og samordning av helseregistre (sentrale helseregistre og andre kvalitetsregistre), samt en evaluering av hvordan tilsynet kan sikre folks selvbestemmelse og autonomi. Strategien tar også opp hvordan tilsynet skal arbeide overfor de lokale kvalitetsregistrene, departement, Helsedirektoratet, Helsetilsynet og andre sentrale aktører innenfor helsesektoren.

Samhandlingsreformen

Samhandlingsreformen innebærer en rekke praktiske endringer i helsesektoren, og de fleste innebærer endringer i regelverket. Datatilsynet har avgitt høringsuttalelser, samt hatt dialog med regelverksutvikler og gjennomførere for enkelte av endringene:

Sentrale tiltak for å bedre den elektroniske samhandlingen har vært opprettelse av en kjernejournal og muligheten for virksomheter å gjøre oppslag i hverandres journaler (tilgang på tvers). Kjernejournalen vil inneholde en sammenstilt grunninformasjon om pasienten, og vil være et sentralt helseregister. Datatilsynet har talt for at en slik journal skulle opprettes etter samtykke fra den enkelte. Resultatet ble at den enkelte kan reservere seg mot opprettelsen, og at det som hovedregel skal innhentes samtykke før en slår opp i kjernejournalen.

I 2009 ble helseregisterloven endret slik at det kunne gis tilgang til journaler mellom helsevirksomheter. Helseinformasjonssikkerhetsforskriften gir regler for hvordan en slik tilgang skal gjennomføres. I tillegg konkretiseres det en rekke krav til informasjonssikkerhet og tilgang internt i virksomheten. Datatilsynet har gitt innspill og kommentarer og er fornøyd med selve forskriften. Samtidig ser tilsynet det som viktig at det gis tilstrekkelige klargjøringer fra helsemyndighetene om hvordan enkelte krav skal løses, spesielt om hvordan helsejournalene skal struktureres.

Det skal opprettes en helseportal for publikums innsyn i egne opplysninger og samhandling med publikum. Portalen skal etableres innen gjeldende regelverk. Datatilsynet har dialog med sektoren også på dette området.

Hjerte- og karregisteret

Det sentrale helseregisteret Hjerte- og karregisteret ble opprettet i 2010. I meldingsåret ga Datatilsynet en høringsuttalelse til registerets forskrift. Forskriften ble vedtatt sent i 2011. Den tekniske utformingen av Hjerte- og karregisteret setter trolig standarden for påfølgende sentrale helseregistre etter fellesregistermodellen. Datatilsynet har lagt spesielt vekt på å gi innspill til hvordan identiteten til den som skal inn i slike register håndteres.

Datatilsynet har registrert at Helse- og omsorgsdepartementet tar sikte på å utrede en modell for reservasjon fra sentrale helseregistre. Datatilsynet mener dette er en viktig forutsetning for å beholde en viss grad av selvbestemmelse for individet.

Norsk Helsearkiv

Datatilsynet ga i meldingsåret høringssvar til Helse- og omsorgsdepartementet om etableringen av Norsk helsearkiv. I dette arkivet skal det oppbevares sensitive opplysninger slik som psykiatriske diagnoser og genetisk informasjon. Datatilsynet kritiserte forslaget da det ikke forelå utredninger av personvernkonsekvensene, og pekte på at måten opplysningene skal oppbevares og brukes på blir svært inngripende for den enkelte. Registreringen av opplysninger skal etter planen være obligatorisk, noe som står i kontrast til kjernen i personvernet om retten til selvbestemmelse. Tilsynet mente også at formålene med registeret var uklare.

Omsorgsteknologi

Datatilsynet igangsatte i 2011 en kartlegging av personvernutfordringer knyttet til ulike former for omsorgsteknologi. Rapporten skal lede ut i en strategi for hvordan tilsynet skal jobbe med dette viktige området fremover. Et viktig tiltak vil bli å få sentrale aktører til å se på innebygget personvern som et viktig element i utviklingen og implementeringen av nye teknologiske løsninger.

I denne sammenhengen har tilsynet sett det som viktig å opprettholde en god kontakt med akademia, utviklings- og forskningsmiljøer, samt brukere av omsorgsteknologi for å bidra til at personvernet blir tilfredsstillende ivaretatt.

Datatilsynet har også tatt til orde for at det må komme på plass et tydeligere rettslig grunnlag for bruk av omsorgsteknologi. Blant annet ble dette kommunisert til det såkalte «Hagen-utvalget» som har kommet med et forslag til politikk på området.

Helsedirektoratet har startet opp arbeidet med å utarbeide en fagrapport om implementering av omsorgsteknologi i de kommunale omsorgstjenestene. Datatilsynet deltar i en arbeidsgruppe som skal vurdere de juridiske og etiske utfordringene ved bruk av blant annet sensor- og varslingssystemer i kommunal omsorgstjeneste.

Genetiske undersøkelser

Det har blitt igangsatt et arbeid med en utredning om utfordringer ved genetiske undersøkelser. Utredningen vil se på sentrale personvernproblemstillinger knyttet til genetiske undersøkelser, og søke å avklare Datatilsynets tilsynskompetanse etter bioteknologiloven. Dette er blant annet utfordringer ved:

  • lagring og ny bruk av genetisk informasjon og biologisk materiale,

  • nasjonal og internasjonal forskning,

  • kommersiell utnyttelse av humane biobanker og helseopplysninger,

  • kommersielle aktører som tilbyr gentester – tester som markedsføres og selges via internett uten at lege er involvert.

Gerica-saken

Det ble i meldingsåret behandlet en klagesak i Personvernnemnda, der spørsmålet var om en kommune kan gi private virksomheter tilgang til kommunens helseregistre. Etter Datatilsynets vurdering er helseregisterloven til hinder for at kommunen kan gi disse virksomhetene en slik tilgang. Samtidig med at saken var inne til behandling ble det foretatt lovendringer i helseregisterloven. Disse lovendringene vil i fremtiden kunne muliggjøre nye samhandlingsløsninger mellom kommune og private virksomheter.

Personvernnemnda ga senere, i januar 2012, Datatilsynet medhold i denne saken. Nemnda la helseregisterloven til grunn for sin vurdering. Det ble ikke ansett som relevant at Helse- og omsorgsdepartementet varslet om at de arbeider ut fra en forutsetning om at en ny forskrift skal kunne regulere den type situasjoner som det er klagd på i denne saken.

Bruk av standardkonsesjon i antidopingprogram ved treningssentre

Nemnda behandlet en klage på Datatilsynets standardkonsesjon for å behandle personopplysninger i antidopingprogram ved treningssentre. Klagen var begrunnet i at konsesjonen i praksis godkjenner som avtalevilkår at man samtykker til dopingtesting. Personvernnemnda oppretthold tilsynets vedtak og la vekt på at dopingbruk har store både samfunnsmessige og individmessige konsekvenser og at viktige samfunnsinteresser tilsier at antidopingarbeid ivaretas også på alminnelige treningssentre. Det er frivillig å bli medlem på et treningssenter og det finnes alternative treningsmuligheter.

Funn fra tilsyn

Tilgangsstyring internt i helseforetak

Datatilsynet har gjentatte ganger uttrykt bekymring for mange av helseforetakenes mangelfulle tilgangsstyring og logging i forbindelse med elektroniske journalsystem. I 2011 ble det fattet vedtak om disse manglene mot Helse Møre og Romsdal HF. Bakgrunnen for vedtaket var en kontroll gjennomført i 2010. Etter kontrollen kom det frem at de identifiserte problemene gjaldt i samtlige helseforetak i helseregion Midt.

Tilsynet er heller ikke tilfreds med fremdriften mange helseforetak har for å bringe systemene i samsvar med gjeldende rett.

Helseforskning

Datatilsynet gjennomførte i 2011 sine første tilsyn etter helseforskningsloven og der opplysninger var innsamlet etter ikrafttredelsen av loven. Tilsynene ble gjennomført ved et større og et mindre helseforetak under Regional etisk komité (REK) Vest sitt ansvarsområde. Datatilsynet konstaterte at foretakene i regionen hadde samarbeidet godt om rutiner for ivaretakelse av helseforskningslovens krav.

Generelt hadde foretakene god oversikt over og kontroll med at tillatelser var innhentet før forskningsprosjekter var igangsatt. Datatilsynet avdekket imidlertid manglende kontroll med tidligere igangsatte prosjekter, samt behov for å sikre at pågående prosjekter blir gjennomført i samsvar med tillatelsene fra REK og regelverkets krav.

Datatilsynet ser det som viktig at forskningsansvarlig (tilsvarende behandlingsansvarlig i personopplysningsloven) etablerer en stabsfunksjon for støtte og oppfølging av forskningsaktiviteten. Dette var gjort i de kontrollerte helseforetakene. Datatilsynet vil kommunisere funn fra tilsynene til sektoren, deriblant de regionale forskningsetiske komiteene. Dette vil kunne bidra til en forsvarlig utvikling under et relativt nytt regelverk.

Oppfølging av NAV

I meldingsåret gjennomførte Datatilsynet nye tilsyn med NAV. Tidligere tilsyn har avdekket utfordringer med tilgangstyring og logging. I 2010 slo Datatilsynet ned på dette ved vedtak om styrket logging og konfidensialitetssikring. Tilsynene i 2011 fant sted ved tre NAVkontor av ulik størrelse i Rogaland. Det var tilsyn både med den kommunale og statlige delen av NAV. De samme utfordringene som ble identifisert ved tidligere tilsyn, ble på nytt stadfestet. NAV hevder at de påpekte utfordringene først lar seg løse når de sentrale saksbehandlingssystemene i NAV moderniseres. Datatilsynet vil imidlertid følge den videre prosessen nøye.

Videre fremstod manglende avklaringer rundt ansvaret for personopplysninger som problematiske. Fra sentralt hold legges det opp til at personopplysninger som man normalt anser for å falle under det kommunale behandlingsansvaret, registreres i statlige saksbehandlingssystem. Dette gjøres uten at ansvarsforhold eller avtalebehov er utredet. Manglende avklaringer fra sentralt hold medfører at samtlige av landets kommuner blir presset til en praksis som kan være i en juridisk gråsone.

1.8.4 Arbeidsliv

Datatilsynet får svært mange henvendelser knyttet til spørsmål i arbeidslivet, og det er et stort engasjement på dette feltet, både på arbeidstakersiden og arbeidsgiversiden. I arbeidslivet generelt er det en klar vekst i detaljregistrering av personopplysninger. Opplysningene registreres til mange ulike formål, som for eksempel for å måle ressursutnyttelse, kvalitetssikring og som sikkerhetstiltak. Opplysninger kan også registreres for å kontrollere den enkelte arbeidstaker.

Datatilsynet har merket en økning i antall henvendelser innenfor feltet arbeidsliv, særlig fra arbeidstakere som føler seg overvåket i arbeidshverdagen. Bakgrunnen for økningen kan blant annet være ikrafttredelsen av personopplysningsforskriften kapittel 9 om innsyn i e-post, mer tilgjengelige kontrollverktøy, eller en økt bevissthet blant både arbeidsgivere og arbeidstakere.

En del av henvendelsene gjelder spørsmål om arbeidsgivers adgang til å foreta innsyn i e-post og i ansattes filområder på virksomhetens nettverk, samt hvilke prosedyrer som må følges i den forbindelse. Men det er også mange spørsmål vedrørende GPS-overvåking av nyttekjøretøyer i forbindelse med logistikksystemer og elektroniske kjørebøker, og overvåkingssystemer som i detalj rapporterer kjøreadferd. Datatilsynet tar til orde for at arbeidsgiver må vurdere nøye hvilke opplysninger som er nødvendige å registrere, og understreker behovet for god informasjon til de ansatte.

Videre har det vært en merkbar økning i spørsmål med internasjonal grenseflate, slik som overføring av personopplysninger til utlandet, screening for å sikre at det ikke inngås avtaler med personer på FNs lister knyttet til terror, utvidet lagringsplikt av e-post og lignende. Det er grunn til å anta at arbeidstakerens personvern vil komme i en pressituasjon på grunn av nye krav til registrering.

Antallet henvendelser Datatilsynet får på dette feltet kan vitne om at regelverket er lite kjent blant både arbeidsgivere og arbeidstakere, og det er derfor viktig å formidle relevant informasjon til partene i arbeidslivet.

Hva har Datatilsynet gjort på området?

Kartlegging av behandlingen av personopplysninger i arbeidslivet

Arbeidsgivere iverksetter en rekke tiltak overfor arbeidstakere, hvor formålet kan være alt fra å sikre tilgangsbegrensning, øke ressursutnyttelsen og planlegge arbeidsoppgaver, til å kontrollere den enkelte arbeidstaker. Som regel vurderes det enkelte tiltak isolert, og samlingen av enkeltstående problemstillinger gir Datatilsynet en god oversikt over hvilke spørsmål som er aktuelle innen arbeidslivet. Tilsynet mangler imidlertid et helhetlig bilde av hvilke registreringer av personopplysninger en arbeidstaker utsettes for i arbeidshverdagen.

For å illustrere det totale trykket har Datatilsynet startet opp arbeidet med å gjennomføre studier av tre yrkesgrupper. Disse gruppene er; saksbehandler i det offentlige, yrkestransportsjåfør og ansatt i helsesektoren. Rammen skal være en arbeidsdag. Målet er å eksemplifisere hvilke registreringer en arbeidstaker kan bli utsatt for, og samle inn informasjon om arbeidshverdagen for norske arbeidstakere. Prosjektet vil forhåpentligvis også fungere som en bevisstgjøring. To av tre yrkesgrupper var kartlagt ved årsskiftet.

Arbeidet skal resultere i en rapport og eventuelt informasjonsmateriell som skal brukes i forbindelse med Datatilsynets arbeid innenfor feltet arbeidsliv, samt distribueres til aktuelle aktører. Prosjektet vil avsluttes i 2012.

Rapport om kontroll og overvåking i arbeidslivet

På oppfordring fra Arbeidstilsynet har Datatilsynet kommet med innspill til en kartlegging av kontroll og overvåking i arbeidslivet, initiert av Arbeidsdepartementet.

Datatilsynet behandler saker som knytter seg til arbeidsliv og kontrolltiltak i tre kanaler, henholdsvis tilsyn, saksbehandling og veiledning. Rapporten viser blant annet til utviklingstrekk og særlige problemstillinger på området, utfordringer knyttet til regelverk, tilsyn, samt eventuelle behov for tiltak.

Avfallsservice – flåtestyring

I Avfallsservice-saken hadde arbeidsgiver sammenstilt opplysninger fra GPS-loggen med timelister fra arbeidstakeren for å avdekke urettmessige krav om overtidsgodtgjørelse. Formålet med GPS-systemet var å få på plass en effektiv administrasjon, samt å bruke det til å utarbeide arbeidsplaner og normere tidsforbruket på rutene. Arbeidsgiverens bruk av systemet til kontrollformålet var etter Datatilsynets vurdering uforenlig med det opprinnelige formålet.

Ofte argumenteres det med at man ønsker å oppbevare opplysninger videre fordi de kan komme til nytte senere. Det grunnleggende prinsippet om formålsbestemt bruk av personopplysninger stilles da på prøve. Det vises særlig til at personopplysninger bare skal brukes til uttrykkelig angitte formål, med mindre arbeidstaker samtykker. Når opplysningene har oppfylt sitt formål, skal de slettes. Brudd på dette prinsippet kan medføre store personvernkonsekvenser ved at opplysninger som er innsamlet til ett formål benyttes til noe helt annet, eller ved at opplysninger som skulle vært slettet trekkes frem på et senere tidspunkt.

Saken ble påklaget til Personvernnemnda, som kom til samme resultat som Datatilsynet.

Saken var videre til behandling i rettsapparatet. Hålogaland lagmannsrett var enig i Datatilsynets vurderinger, men tillot at sammenstillingen ble fremlagt som bevis. Domstolen og Datatilsynet skal åpenbart foreta ulike vurderinger, men saken er et eksempel på at en arbeidsgiver som bryter regelverket på sett og vis kommer gunstigere ut av enkelte situasjoner enn pliktoppfyllende virksomheter.

Datatilsynet kommer til å reagere med overtredelsesgebyr i tilsvarende saker i fremtiden.

Terrorscreening

Datatilsynet har fått flere henvendelser om screening av ansatte opp mot ulike terrorlister i USA, og overføring av personopplysninger til dette formålet. En slik screening gjøres for å kontrollere om firmaets ansatte befinner seg på en av utallige lister over personer det er forbudt å inngå transaksjoner med.

Datatilsynet var av den oppfatning at en slik behandling mangler behandlingsgrunnlag, og kom med en forhåndsuttalelse om lovligheten. Dette ble påklaget til Personvernnemnda, som mente at opplysningene lovlig kan overføres til USA, og at de kan brukes til andre formål enn det de opprinnelig ble samlet inn for dersom det finnes hjemmel for slik bruk etter amerikansk rett. Datatilsynet mener at avgjørelsen er problematisk fordi nemnda ikke tar stilling til grunnkravene i personopplysningsloven.

Innsyn i e-post – overtredelsesgebyr

Etter ikrafttredelsen av nye regler om arbeidsgivers innsyn i e-post har Datatilsynet mottatt en rekke henvendelser som dreier seg om dette. I fire saker har tilsynet ilagt overtredelsesgebyr på opptil 75 000 kroner. I en av sakene hadde arbeidsgiver gitt en vikar brukernavn og passord til en langtidssykemeldt arbeidstakers e-postkasse. Det har også vært eksempler på at arbeidstakers epostkasse blir opprettholdt i en lengre periode etter at arbeidsforholdet er avsluttet, slik at andre i virksomheten får videresendt all innkommende e-post.

Private verktøy i arbeidslivet – MinID

En særlig aktuell problemstilling har vært rolleblandingen mellom en person som privatperson og som arbeidstaker, for eksempel ved at arbeidsgiver pålegger en arbeidstaker å bruke private verktøy i arbeidshverdagen. Ved endringen av Folkeregisteret har én av løsningene innebåret at arbeidstakere må bruke MinID for å løse sine primære arbeidsoppgaver.

Datatilsynet har mottatt en rekke klager fra ansatte i offentlig sektor som reagerer kraftig på bruken av MinID. Noe av bakgrunnen for dette er at man som borger har en forventning om at dette verktøyet utelukkende skal brukes til private formål, slik som å levere selvangivelsen og bestille skattekort. Datatilsynet anser det spesielt problematisk å pålegge arbeidstakere å bruke verktøy som man som privatperson kan reservere seg mot å bruke. Datatilsynet har vært i dialog med Skattedirektoratet og Difi (som er behandlingsansvarlig for MinID), men saken er ikke avsluttet.

Funn fra tilsyn

Arbeidstilsynet og Datatilsynet inngikk en samarbeidsavtale i 2011. Avtalen gjelder samarbeid, informasjons- og erfaringsutveksling. I forbindelse med kartlegging av kontrolltiltak i arbeidslivet ble det i meldingsåret gjennomført felles tilsyn med Arbeidstilsynet. Disse ble gjennomført som ledd i Arbeidstilsynets prosjekt «Arbeid for helse».

Datatilsynet har ved tidligere tilsyn avdekket et omfattende regime når det gjelder prestasjonsmåling og kontrolltiltak mot arbeidstakere innen enkelte bransjer. To av tilsynene ble gjennomført hos callsentere. Tilsynene bekreftet nok en gang behovet for å følge opp spesielle bransjer slik at arbeidsgiveren ikke går for langt med uforholdsmessige kontrolltiltak overfor de ansatte. Videre avdekket tilsynene mangelfull informasjon til de ansatte om kontrolltiltakene.

1.8.5 Økonomi, finans og forsikring

Dette saksområdet omfatter store deler av befolkningen i større eller mindre grad. De aller fleste har bankkonti og forsikringer, samt gjennomfører kjøp som fordrer kredittvurderinger. Tilbudet av elektroniske tjenester på området øker. Ny teknologi, nye aktører, nytt rammeverk og stadig mer internasjonalisering gjør at dette området byr på både personvernutfordringer og sikkerhetsmessige utfordringer.

Selv om opplysninger om økonomiske forhold ikke er sensitive, er slike opplysninger ofte ansett som følsomme av brukerne selv. Innenfor dette området behandles det likevel også en del sensitive personopplysninger, særlig innen området forsikring og pensjon.

Forsikring og pensjon er goder som alle bør ha tilgang til. Det kan se ut som om det er en økende tendens til å innhente flere opplysninger ved beregning av forsikringstilbud og forsikringspremie. Dette kan for eksempel være helseopplysninger, opplysninger fra NAV og kredittvurderinger. Der selskapet er en del av et konsern deles dessuten en rekke opplysninger på tvers av konsernet. Da er det viktig å få avklart hvem som skal ha tilgang til hvilke opplysninger.

Etter en fusjon har NETS (tidligere Bankenes Betalingssentral) blitt en betydelig aktør på betalingsformidling i Europa. Utfordringen blir å sikre personopplysningene mot uautorisert tilgang, bruk og utlevering.

Datatilsynet har i 2011 valgt å legge hovedvekt på kredittvurderinger, forsikring og pensjon. Tilsynet har blant annet hatt som målsetning å utarbeide gode konsesjoner til sentrale aktører for å konkretisere lovens krav, sikre personopplysninger mot uautorisert tilgang, bruk og utlevering, samt styrke egen kompetanse på områder.

Hva har Datatilsynet gjort på området?

Ny kredittopplysningskonsesjon

Datatilsynet har ferdigstilt arbeidet med å utarbeide en ny kredittopplysningskonsesjon etter dialog med bransjen. Bakgrunnen for gjennomgangen var flere konkrete saker som har vært til behandling hos både tilsynet og Personvernnemnda. Konsesjonen gjelder med virkning fra 1. april 2012.

Enkelte deler av konsesjonen er påklaget av Norske kredittopplysningsbyråers forening, da selskapene ikke får bruke adressehistorikk og tidligere forespørsler som parametre i kredittvurderingen. Saken vil oversendes til Personvernnemnda i 2012.

Reservasjonsregister mot kredittvurdering

Datatilsynet har støttet Brønnøysundregisteret i arbeidet med opprettelse av et felles reservasjonsregister mot kredittvurdering. Adgangen til å sperre seg mot kredittvurdering er særlig viktig ved mistanke om identitetstyveri. Det er ønskelig med et system hvor den enkelte kun trenger å melde fra ett sted, i stedet for til hvert enkelt selskap som driver kredittopplysningsvirksomhet. Det er foreslått at et slikt register skal administreres av Brønnøysundregisteret. Saken er oversendt til Nærings- og handelsdepartementet.

Standardbrev – kredittvurdering

Det er dessuten utarbeidet et standardbrev som kan benyttes av personer som mener at de har blitt kredittvurdert uten at det foreligger saklig grunn for dette. Brevmalen er tilgjengelig på nettsidene.

Funn fra tilsyn

Fordelskort

Datatilsynet gjennomførte i 2011 kontroll med tre virksomheter som drifter fordelskortprogram. To virksomheter er tilknyttet handelskjeder, og en er tilknyttet en sammenslutning av boligselskap.

Behandlingen var i det vesentlige i samsvar med tidligere praksis og innhentede samtykker. Det ble reist konkrete problemstillinger knyttet til innhenting av opplysninger fra tredjeparter og sletting ved opphør av medlemskapet.

For virksomheten som driftet fordelsprogrammet for boligselskapene, fremstod det som uavklart hvem som var ansvarlig etter personopplysningsloven. Med mindre det bringes klarhet i ansvaret må derfor behandlingen opphøre.

Forsikringsselskap

Det ble i meldingsåret gjennomført tilsyn med fire forsikringsselskap. Det var særlig håndteringen av sensitive opplysninger slik som helseopplysninger som ble kontrollert, med hovedvekt på relevans, sikkerhet og tilgangskontroll. Det generelle inntrykket var at dette er en ryddig bransje, og ingen alvorlige funn ble gjort.

1.8.6 Samferdsel og transport

Datatilsynet har i de senere årene viet mye oppmerksomhet til de personvernutfordringene som følger av stadig nye tekniske løsninger innenfor samferdsels- og kommunikasjonssektoren. Noe det har vært fulgt ekstra godt med på er overgangen til helautomatiske bomstasjoner og elektronisk billettering på offentlige transportmidler. Dette har vært utslagsgivende for at det både ble iverksatt et arbeid for å få etablert en anonym betalingsløsning for passering av bomstasjoner, og en bransjenorm for elektronisk billettering. Bransjenormen stiller som en forutsetning at man skal kunne benytte offentlig transport uten å legge igjen identifiserbare spor om hvor man har vært og når reisene fant sted. Begge disse løsningene skal være likeverdige alternativer for de reisende, både med tanke på pris og tilgjengelighet.

Like fullt er det stadig nye tekniske løsninger og velmente tiltak på planleggingsstadiet eller under utvikling. Eksempler på dette er eCall-initiativet fra EU og transportbransjens tanker om overgang til billettering via den reisendes mobiltelefon. Dette gjør at Datatilsynet ikke kan slippe taket i denne sektoren.

For Datatilsynet er det sentralt at man også i fremtiden kan ferdes i samfunnet uten å legge igjen opplysninger om hvor man har vært og når reisen fant sted. Etter tilsynets vurdering er dette en forutsetning for reell fri ferdsel. Datatilsynet vil arbeide aktivt for å bevare en slik samfunnsnorm, blant annet gjennom å delta ved etableringen av nye prosjekter og løsninger for å bidra til at tiltaket utformes på en personvernvennlig måte. Tilsynet må stille krav tidlig i prosesser og inngå allianser for å skape engasjement for anonyme alternativer.

Registrering av den enkeltes bevegelser utgjør i seg selv et potensiale for overvåking. Informasjon om de reisendes trafikkvaner i kombinasjon med blant annet helautomatiske bomstasjoner og køprisingssystemer basert på GPS-posisjonering, kan føre til et registreringsregime som fanger opp enhver bevegelse man foretar seg. Det kan også gi grunn til bekymring at mer omfattende lagring av elektroniske spor bidrar til at bevisbyrden på sett og vis snus. Siden sporene allerede ligger der, blir det den registrerte som må sannsynliggjøre sin uskyld.

Som personvernmyndighet skal Datatilsynet holde et øye med det samlede overvåkingstrykket i samfunnet. Selv om for eksempel det enkelte bompengeringselskap neppe har til hensikt kontrollere bilistenes bevegelser, vil registreringen selskapet foretar bidra til et helhetsbilde.

Hva har Datatilsynet gjort på området

Bransjenorm for elektronisk billettering

På initiativ fra Ruter og de øvrige kollektivselskapene har tilsynet deltatt i et samarbeidsprosjekt om personvernvennlige løsninger for elektronisk billettering, samt utvikling av en bransjenorm. Bransjenormen skal bidra til at alle kan reise anonymt med buss, tog og båt, og forplikter hele bransjen til å tilby elektroniske billetter som gir godt personvern for de reisende. Alle trafikanter skal kunne reise kollektivt uten å oppgi hvem eller hvor de er, og likevel få de samme fordelene og servicen som trafikanter som velger å inngå personlige avtaler med et transportselskap.

Det er en politisk målsetting å få til en felles løsning der trafikanter kan bruke ett og samme reisekort uavhengig av transportselskap. Normen legger til rette for at utviklingen av slike betalingsløsninger kan gjøres på en personvernvennlig måte. Bransjenormen ble lansert i desember 2011.

Bomstasjoner

Vegvesenet ønsker å fjerne manuell kontant betaling ved passering i bomstasjoner og gå over til helautomatiske bomstasjoner. Det er også ønskelig at det benyttes betalingsbrikker og ikke fotografering av de som passerer. Formålet med bomstasjonene er å ta inn penger og ikke å registrere de passerende. Det arbeides derfor med å få etablert en ihendehaverløsning som ikke registrerer hvem som betaler, men bare tar inn betaling. Dette anses som en fordel for å ivareta personvernet.

Det har i forbindelse med dette arbeidet dukket opp utfordringer i forhold til bokføringsregelverket. Dette regelverket krever lagring av passeringsopplysninger i ti år. Vegdirektoratet og Datatilsynet har hatt møte med Skattedirektøren og Skattedirektoratet for å få en avklaring av problematikken rundt den lange lagringstiden.

eCall

EU-kommisjonen arbeider med innføringen av et system for automatisk nødanrop fra biler som har vært utsatt for ulykke, såkalt eCall. Et slikt nødanrop skal settes opp mot en relevant alarmsentral. Systemet benytter GPS og GSM, noe som kan medføre utfordringer for personvernet. Det ser ut til at implementeringsdatoen for en pliktmessig installasjon av nødvendig utstyr i nye biler blir 1. januar 2014. Utviklingsarbeidet på europeisk nivå har tatt vesentlig lenger tid enn det som var forutsatt.

Datatilsynet deltar i eCall-arbeidet i den nasjonale styringsgruppen. Denne deltakelsen gir tilsynet mulighet til å påvirke at systemet i størst mulig grad blir tilrettelagt som en personvernvennlig løsning. Tilsynet har også deltatt i det internasjonale standardiseringsarbeidet.

Det norske Datatilsynet ligger i forkant når det gjelder arbeidet med eCall, og ved utvikling i saken har tilsynet en viktig rolle i å påvirke norske posisjoner. Dette er et område tilsynet vil følge nøye med på også i 2012.

1.8.7 Kameraovervåking

De siste årene har det vært en voldsom utvikling i omfanget av kameraovervåking. Tidligere var teknologien relativt kostbar. Kameraovervåking ble derfor i hovedsak benyttet av profesjonelle aktører som gjorde sikkerhetsfaglige vurderinger i forbindelse med beslutningen om å skaffe overvåkingsanlegg. Utstyret ble i hovedsak tatt i bruk i forbindelse med tungtveiende sikkerhetsbehov, slik som forebygging og oppklaring av ran, innbrudd og butikktyverier. Denne overvåkingsteknologien er imidlertid nå blitt så billig, teknisk avansert og brukervennlig at helt nye grupper av aktører tar slikt utstyr i bruk, og da gjerne også til formål som ikke på noen måte har noe med sikkerhet og trygghet å gjøre.

Et illustrerende eksempel på dette er alle de såkalte «viltkameraene» som privatpersoner plasserer i utmarka, og som tar bilder idet noe beveger seg foran kameralinsen – enten det er dyr eller mennesker. Disse kameraene er som regel ikke skiltet. Enkelte turgåere reagerer på dette da de opplever seg overvåket av andre privatpersoner i det som burde være deres frie ferdsel i norsk natur.

Datatilsynet har videre erfart at kameraovervåking tiltar i arbeidslivet, blant annet ved at stadig større områder av en arbeidsplass overvåkes. Et eksempel på dette er innføring av «bank i butikk», hvor enkle bankfunksjoner er flyttet til dagligvarebransjen. Bankformålet medfører et økt overvåkingsbehov, og resulterer i at butikkansatte nærmest er under kontinuerlig overvåking.

Hva har Datatilsynet gjort på området?

Ordinær kameraovervåking i regi av kjøpesentre, butikker, offentlige etater og på privat eiendom uten allmenn ferdsel, har de siste årene hatt en noe lavere prioritet fra Datatilsynets side. Problemstillinger omkring denne typen behandling av personopplysninger har vært forsøkt løst ved minst mulig ressursbruk. Dette er fortrinnsvis blitt gjort gjennom veiledning, fremfor tilsyn og saksbehandling i enkeltsaker.

Datatilsynet har imidlertid hatt som en målsetting å holde seg godt orientert om ny teknologi på området. Dette for å være forberedt på nye anvendelsesområder og for å tidlig kunne se muligheter for misbruk av teknologien. Det er også blitt lagt vekt på å øke kjennskapen til regelverket omkring kameraovervåking hos de behandlingsansvarlige, samtidig som publikum blir satt i stand til å ivareta sine rettigheter.

Revidering av veiledningsmateriell

I meldingsåret ble det satt i gang et arbeid med å revidere veiledningsmateriellet om kameraovervåking. Den eksisterende brosjyren vil bli erstattet av internettbasert veiledning som blir mer tilpasset ulike bruksområder for kameraovervåking. Dette skal gjøre det lettere både for den som tar overvåkingsutstyret i bruk, og de som blir gjenstand for overvåkingen å tolke og forstå regelverket knyttet til den aktuelle og spesifikke situasjonen.

Innspill til lovrevisjon

I forbindelse med Justisdepartementets revisjon av personopplysningsloven, har Datatilsynet i meldingsåret kommet med innspill som gjelder bestemmelsene om kameraovervåking. Særlig viktig er det at lovgiver tar stilling til bruk av lydopptak i forbindelse med kameraovervåking. I dag selges en stadig større andel av kameraovervåkingsløsningene med en innebygget mulighet for opptak av lyd også. Det er sannsynligvis bare et tidsspørsmål før mulighetene til lydopptak blir standardfunksjonalitet på overvåkingskameraer i salg. Bruk av lydopptak i forbindelse med kameraovervåking vil være betydelig mer integritetskrenkende og problematisk enn billedopptak alene, og må derfor bli gjenstand for en grundig vurdering og regulering i lov.

Tilsynet har også fått en del henvendelser om hvilken rettslig stilling en kameraetterligning eller et ikke-virksomt kamera, en dummy, har. Disse problemstillingene er også videreformidlet i forbindelse med revisjonen.

Bransjesamarbeid

Den gode dialogen med Norske Elektroinstallatørers forening (NELFO) er videreført, blant annet gjennom samarbeid om Kameraovervåkingskonferansen 2011, og ved å stille med foredragsholdere på NELFO sine kurs for installatører.

Funn fra tilsyn

Datatilsynets kontroller innen kameraovervåking ble i meldingsåret rettet mot detaljister. Gjennomgående ble det avdekket mangler på varsling av overvåkingen. Det ble dessuten gjennomført noen stedlige tilsyn basert på tips fra publikum der det var mistanke om grove brudd på personvernlovgivningen:

Kjøpesenter – lagring av opptak

Datatilsynet ila et storsenter i Østfold et overtredelsesgebyr på 50 000 kroner for blant annet brudd på bestemmelsene om sletting av opptak. Bakgrunnen for saken var en besøkende til senteret som opplevde å bli feilaktig beskyldt for butikktyveri, og der kameraopptak ble vist til som dokumentasjon. I følge personopplysningsloven skal opptak slettes etter syv dager, men under tilsynet fant Datatilsynet lagrede opptak helt tilbake fra 2006. Den digitale lagringen gjorde det også mulig å søke frem informasjon om bestemte personer.

Bakeri – skjult overvåking av ansatte

Et bakeri i Oslo ble i meldingsåret ilagt et overtredelsesgebyr på 40 000 kroner, etter at de hadde drevet skjult overvåking av sine ansatte. Datatilsynet gjennomførte i 2010 et tilsyn hos bakeriet etter tips fra publikum, og det ble avdekket flere brudd på personopplysningsloven. Det groveste bruddet var skjult overvåking av de ansatte via et kamera gjemt i en røykvarsler på et minikontor, der de ansatte kunne trekke seg tilbake for private gjøremål eller kontorarbeid.

Hotell – overvåking av ansatte og gjester med lydopptak

Datatilsynet anmeldte i 2011 et hotell i Vestfold for omfattende kameraovervåking av både ansatte og gjester. Under et tilsyn ble det dokumentert at hotellets kameraer overvåket gjester og ansatte blant annet ved resepsjonsområdet, spisesal og møterom. Dette ble gjort i kombinasjon med lydopptak. Saken er under arbeid.

Pub – skjult overvåking på toalettet

VG avslørte at en pub i Buskerud gjennom lang tid hadde overvåket gjestene på herretoalettet. Overvåkingen var skjult som en røykvarsler. Med bakgrunn i medieomtale og Datatilsynets vurderinger av alvorlighetsgraden innledet Politiet etterforskning uten forutgående anmeldelse, og sørget for at overvåkingskameraet ble fjernet. Puben ble ilagt et forelegg på 30 000 kroner. Datatilsynet er tilfreds med at politiet av eget tiltak startet etterforskning i denne saken.

1.8.8 Offentlighet og personvern

Offentlighetsprinsippet står sterkt i Norge. En institusjonalisert åpenhet om dokumenter og opplysninger som håndteres av offentlig forvaltning, bidrar til å øke allmennhetens innsikt i politiske spørsmål og prosesser. Dette er viktig for å skape en åpen, fri og informert samfunnsdebatt. Ikke minst gis også borgerne gjennom innsynsretten en mulighet til direkte kontroll av forvaltningens virksomhet, blant annet for å kunne avdekke og forhindre feil eller makt- og myndighetsmisbruk.

Da Stortinget i 1970 innførte offentlighetsloven var det, naturlig nok, ingen som så for seg hvilke samfunnsendringer som skulle komme når det gjaldt muligheter for systematisering og tilgjengeliggjøring av informasjon via internett. Den gang var det slik at den som ønsket å gjøre seg kjent med innholdet i en sak henvendte seg til det aktuelle offentlige kontoret, gjerne ved fysisk oppmøte, og ba om innsyn i tradisjonelle saksmapper og papirdokumenter.

Men så kom internett. Tilgjengeligheten til informasjon ble revolusjonert. Personopplysninger om norske borgere er i et økende omfang blitt gjort tilgjengelig for søk, nedlasting, systematisering og sammenkopling. De opplysningene som i henhold til lovgivningen skal være offentlige, blir gjort elektronisk tilgjengelige for brukere over hele verden, til enhver tid og til ethvert formål. Etter Datatilsynets vurdering gjør dette det nødvendig å foreta nye avveininger av hensynene til åpenhet og tilgjengelighet, samt hvordan dette praktiseres opp mot blant annet personvernmessige konsekvenser.

Hva har Datatilsynet gjort på området

Skattelistene

I Datatilsynets virksomhetsplan for 2011 fremgikk det at tilsynet skulle ta initiativ til dialog med Finansdepartementet, Skatteetaten og Redaktørforeningen med flere, angående den uheldige praksisen som hadde utviklet seg rundt publisering av skattelistene. Målet var å komme fram til et regelverk og praktiske løsninger som i større grad balanserer hensynene til åpenhet og kontroll av skattesystemet opp mot respekten for privatlivets fred.

Et slikt initiativ fra Datatilsynets side ble imidlertid ikke nødvendig. Med bakgrunn i et godt gjennomarbeidet forslag fra Skattedirektoratet, sendte Finansdepartementet våren 2011 ut et høringsnotat med forslag til endringer i reglene om offentliggjøring av skattelistene. Etter en høringsrunde gjorde Stortinget et vedtak om innstramming i praksisen med utlevering og publisering av skattelisteopplysninger. Lovendringen ble gjort med virkning allerede for utleggingen av skattelisene i oktober 2011.

Datatilsynet er meget tilfreds med Skattedirektoratets initiativ, den påfølgende politiske behandlingen av forslaget, og Stortingets endring av ligningsloven om offentliggjøring av skattelistene. Disse personopplysningene er i og for seg like offentlige som tidligere, da man fortsatt kan foreta søk i skattelistene. Opplysningene er imidlertid nå gjort tilgjengelig på en måte som reduserer mulighetene til bruk som ikke er forenlig med den egentlige intensjonen bak offentliggjøring av skattelistene.

Masseinnhøsting av personopplysninger

Den innstrammingen som ble gjort rundt offentliggjøringen av skattelistene viser at det faktisk er mulig å finne praktiske løsninger som balanserer hensynene til åpenhet og innsyn, med hensynene til personvern og sikkerhet. En tilsvarende tilnærming er nødvendig også når det gjelder personopplysninger som gjøres tilgjengelige i medhold av offentlighetsloven.

Som det fremgår av Datatilsynets årsmelding for 2007 varslet tilsynet allerede da om en problematisk konsekvens av offentlighetsloven når det gjelder mulighetene for masseinnhøsting av personopplysninger. Bakgrunnen var at flere kommuner reagerte på at ulike friskoler krevde å få utlevert elevlister fra grunnskolen, slik at de kunne kontakte elever på ungdomsskoletrinnet med informasjon om sitt skoletilbud. Offentlighetsloven ble vist til som grunnlag for kravet. I en tolkningsuttalelse slo Justisdepartementet den gang fast at elevlister er offentlige dokument som enhver kan kreve innsyn i. Dersom elevlistene bare inneholder informasjon om navn, adresse, telefonnummer og eventuelt fødselsnummer, er i utgangspunktet ingen deler av elevlisten unntatt fra innsyn etter offentlighetsloven var Justisdepartementets vurdering.

Datatilsynet oppfordret som følge av dette Justisdepartementet til å forskriftsfeste at elevlister skulle kunne unntas offentlighet. Den nye offentlighetsloven trådte imidlertid i kraft 1. januar 2009 uten et slikt unntak. Tvert i mot ble offentlighetsloven utvidet slik at enhver nå har rett til også å kreve å få utlevert sammenstillinger av opplysninger som er elektronisk lagret, så lenge sammenstillingen er enkel å sette opp. Det skal etter denne nye bestemmelsen mye til for at en offentlig etat kan nekte å masseutlevere sammenstilte personopplysninger i elektronisk form, så lenge de ikke er taushetsbelagte. Dette gjelder enten det dreier seg om lister over nåværende eller tidligere studenter på landets universiteter og høgskoler, elever på grunn- og videregående skoler, kanskje til og med barnehagebarn. Dette gjelder også andre personopplysninger på andre forvaltningsområder.

Offentlighetsloven innebærer videre at det er enhver som kan kreve masseutlevering av denne typen personopplysninger. Vedkommende behøver med andre ord ikke identifisere seg, langt mindre oppgi hva opplysningene er tenkt benyttet til. Dette gjør det i realiteten umulig for den registrerte å benytte sin rett til innsyn, retting eller sletting etter personopplysningsloven.

Studentlister

Problemstillingen med elevlister ble igjen aktualisert i 2011. Under henvisning til offentlighetsloven henvendte en kommersiell aktør seg til NTNU i Trondheim og krevde utlevert lister over tusenvis av studenter. Listene skulle inneholde navn, studieretning og år, adresse, e-post og telefonnummer. Når universitetet nektet å utlevere listene av hensyn til sine studenter, viste imidlertid Kunnskapsdepartementet til Justisdepartementets tolkning av offentlighetsloven. NTNU måtte dermed utlevere listene til et selskap som vil benytte opplysningene til å bygge opp en større database med personopplysninger til bruk for rekrutteringsformål.

Senere har også flere av landets høgskoler mottatt tilsvarende krav om masseutlevering av studentlister fra det samme selskapet. Enkelte av universitetene har, som følge av reaksjoner fra studentorganisasjonene, nektet å utlevere disse personopplysningene. Dette på tross av at opplysningene etter både Kunnskapsdepartementets og Justisdepartementets vurdering er å anse som offentlige. Datatilsynet vil følge opp denne saken i 2012.

Fødselsnummer kan unntas offentlighet

Stortinget vedtok i desember 2011 en endring i offentlighetsloven som innebærer at fødselsnummer kan unntas offentlighet. Initiativet til lovendringen kom etter at flere offentlige etater, deriblant flere departementer, tidligere på året hadde mottatt krav om innsyn i ansattes lønnsslipper, hvor også det fulle fødselsnummeret fremgikk.

Offentlighetsloven bør gjennomgås

Datatilsynet mener at tiden er overmoden for at lovgiver ser med nye øyne på offentlighetsloven når det gjelder muligheten for elektronisk masseutlevering av personopplysninger. En slik gjennomgang bør da ikke avgrense seg til problematikken omkring elev- og studentlister. Det bør foretas en bred kartlegging av ulike typer elektroniske personopplysningsregistre med som det offentlige besitter, sett i relasjon til offentlighetsloven.

Endringene i regelverket omkring offentliggjøring av skattelistene viser at det er mulig å komme frem til en hensiktsmessig balanse mellom hensynet til åpenhet og innsyn, og den enkeltes mulighet til så langt mulig å ha oversikt og kontroll over egne personopplysninger.

Datatilsynet vil i tiden fremover fortsette arbeidet med denne typen problemstillinger, og blant annet se på hvordan offentlige etater selv aktivt publiserer personopplysninger i postjournaler og saksdokumenter på internett.

1.8.9 Statlig forvaltning og kommune

Staten er en stor bruker av personopplysninger. Rollen strekker seg fra å forvalte vår identitet gjennom folkeregisteret, innkreve skatter og håndheve regelverk, til å påse at rettigheter og plikter til den enkelte blir ivaretatt.

I meldingsåret var Datatilsynet engasjert på flere områder innen offentlig forvaltning. Tilsynet har vært opptatt av å delta i utformingen av nytt folkeregister, rammebetingelser for trygg elektronisk samhandling mellom borger og stat, samt løsning for elektroniske valg.

Datatilsynet har videre arbeidet med å bidra til bedre etterlevelse av regelverket i norske kommuner. Tilsynets kommuneundersøkelse 2010/2011 avdekket at omtrent hver andre kommune oppga å ha grunnleggende mangler innenfor internkontroll og informasjonssikkerhet.

Offentlig forvalting er under endring ved at stadig mer av kommunikasjonen med og om borgeren foregår elektronisk, og ved at internett er en foretrukket samhandlingsarena. Det er viktig at det legges tilstrekkelig vekt på personvern og informasjonssikkerhet allerede når løsningene blir designet. Datatilsynet har vært i løpende dialog med den delen av forvaltningen som utvikler og drifter slike løsninger.

Hva Datatilsynet har gjort på området

Nytt folkeregister

Arbeidet med etablering av et nytt folkeregister er godt i gang, og Datatilsynet er invitert til deltakelse. Tilsynet deltok i flere av arbeidsgruppene som var nedsatt for å fremme sentrale personvernhensyn. Samtidig var mange andre interessenter innenfor næringsutvikling og næringsliv invitert. Mange av disse hadde forventninger om egen bruk av folkeregisteropplysninger, en bruk som til tider strekker seg langt i forhold til formålene. Datatilsynets viktigste oppgave er derfor å bidra til å balansere de ulike interessene.

Kommuneundersøkelsen

I meldingsåret utarbeidet Datatilsynet rapporten «Kommuneundersøkelsen 2010/2011». Rapporten var basert på en fullstendig kartlegging av norske kommuners etterlevelse av bestemmelser om internkontroll og informasjonssikkerhet (96 prosent besvarte). Resultatene som ble presentert i rapporten viste behov for fortsatt tung satsing på kommunene. Tilsynet hadde drøftelser med Kommunal- og regionaldepartementet og Kommunenes interesseorganisasjon (KS) om saken. Temaet vil bli videre fulgt opp i 2012.

E-valg

Det ble iverksatt et prosjekt for utprøving av e-valg i ti kommuner ved kommune- og fylkesvalget i 2011. Datatilsynet har fulgt prosjektet og gitt sine råd om hvordan et tilfredsstillende personvern kan inkorporeres i løsningene.

1.9 Vedlegg / Tabeller

Vedlegg A: Oversikt over gjennomførte tilsyn i 2011

Saksnr.

Tittel

Sektor

11/00589

Kontroll hos Bring Dialog Norge AS 24062011

Adressemekling

11/00109

Kontroll hos Arendal kommune 15022011 – Klagesak i Personvernnemnda – PVN 2011-08

Arbeidsliv

11/00720

Kontroll hos Scanstat i Steinkjer 28062011 – Felles kontroll utført av Datatilsynet og Arbeidstilsynet – Kundesenter / callsenter

Arbeidsliv

11/00721

Kontroll hos Eniro i Trondheim 28062011 – Felles kontroll utført av Datatilsynet og Arbeidstilsynet – Kundesenter / callsenter

Arbeidsliv

11/00831

Kontroll hos Smart Club AS 11102011

Fordelskort

11/00832

Kontroll hos Trumf AS 13102011

Fordelskort

11/00833

Kontroll hos Boligbyggelagenes Partner AS (NBBL Partner) 14102011

Fordelskort

11/00938

Kontroll hos Boots Norge AS 26092011

Fordelskort

11/00939

Kontroll hos Norsk Medisinaldepot AS 28092011

Fordelskort

11/00975

Kontroll hos Frende Forsikring 15112011 – Innhenting av sensitive opplysninger

Forsikring

11/00982

Kontroll hos Crawford & Company 22112011 – Forsikring – Databehandler

Forsikring

11/01075

Kontroll hos Statens pensjonskasse 17112011 – innhenting av sensitive personopplysninger ved tegning av forsikringsavtaler og oppgjør

Forsikring

11/01078

Kontroll hos Forsikringspartner 01122011 – Innhenting av personopplysninger

Forsikring

11/00871

Kontroll hos Førde sentralsykehus – Helse Førde HF 23112011 – Helseforskning

Forskning

11/00882

Kontroll hos Helse Stavanger HF 01122011 – Stavanger Universitetssykehus – Helseforskning

Forskning

11/00906

Kontroll hos Skatteetaten 27092011 – Webanalyseverktøy

Internett

11/00956

Kontroll hos Lånekassen 20102011 – Webanalyseverktøy

Internett

11/00957

Kontroll hos NKI 04102011 – Webanalyseverktøy

Internett

11/01009

Kontroll hos Askim kommune 25102011 – Webanalyseverktøy

Internett

11/00096

Kontroll hos 0-TAXI 27012011 – Kameraovervåking av drosjeholdeplass

Kameraovervåking

11/00262

Kontroll hos Administrasjonen ved Halden Storsenter 11022011

Kameraovervåking

11/00958

Uanmeldt kontroll hos Horten Næringspark hotell AS 12092011

Kameraovervåking

11/01070

Kontroll hos Sjøsiden Kjøpesenter 28092011

Kameraovervåking

11/01209

Kontroll hos Teletopia Gruppen AS 22112011

Kameraovervåking

11/01239

Kontroll ved Bunnpris Kråkerøy 24112011

Kameraovervåking

11/01240

Kontroll ved Bunnpris Fredrikstad 24112011

Kameraovervåking

11/01241

Kontroll ved Bunnpris Rakkestad 24112011

Kameraovervåking

11/01242

Kontroll ved Bunnpris Mysen 24112011

Kameraovervåking

11/00794

Kontroll hos NAV Sandnes 29082011 – Behandling av personopplysninger – Kommunen som behandlingsansvarlig

NAV

11/00795

Kontroll hos NAV Strand 30082011 – Behandling av personopplysninger – Kommunen som behandlingsansvarlig

NAV

11/00796

Kontroll hos NAV Rennesøy 31082011 – Behandling av personopplysninger – Kommunen som behandlingsansvarlig

NAV

11/00797

Kontroll hos Arbeids- og velferdsdirektoratet august 2011 – Direktoratets ivaretakelse av sine plikter ifm drift av NAV-kontorene i kommunene Sandnes, Strand og Rennesøy

NAV

11/00257

Kontroll hos NextGenTel AS 27042011 – Internettbaserte TV-tjenester

Nett-TV

11/00258

Kontroll hos TV2 Sumo 28042011 – Internettbaserte TV-tjenester

Nett-TV

11/00339

Kontroll hos Telenor 04052011 – Internettbaserte TV-tjenester

Nett-TV

11/00442

Brevkontroll – TVNorge WebTV – Internettbaserte TV-tjenester

Nett-TV

11/00474

Brevkontroll – NRK Nett TV

Nett-TV

11/01168

Kontroll hos Drømtorp Videregående Skole 01122011 – elevadministrasjons program (LMS)

Utdanning

Vedlegg B: Saker oversendt til Personvernnemnda i 2011

KlagerTittelSaksnr. PVNVedtak

Advokatfirmaet Bakke på vegne av privatperson

Klage på Datatilsynets vedtak om å avslutte sak om arbeidsgivers innsyn i e-post uten ileggelse av overtredelsesgebyr

PVN-2011-01

Vedtak oppheves og saken sendes tilbake til Datatilsynet for ny behandling

BP Norge

Klage på Datatilsynets vedtak om bruk av døgnkontinuerlig videokonferanseutstyr på installasjoner offshore og på land

PVN-2011-02

Klagen tas ikke til følge

Nordea Bank Norge AS

Klage på Datatilsynets vedtak om sletting av opplysninger i personalmappe

PVN-2011-03

Klagen tas ikke til følge

Avfallsservice AS

Klage på Datatilsynets vedtak om sammenstilling av personopplysninger fra GPS-systemet i Avfallsservice sine biler med sjåførens timelister.

PVN-2011-04

Klagen tas ikke til følge

Privatperson

Klage på Datatilsynets standardkonsesjon til å behandle personopplysninger i antidopingprogram ved treningssentre

PVN-2011-05

Klagen tas ikke til følge

ConocoPhillips Norge

Klage på Datatilsynets vurdering av krav til behandlingsgrunnlag ved screening

PVN-2011-06 Se sak PVN-2010-02

Klagen tas til følge

Oslo kommune

Klage på Datatilsynets vedtak om pålegg – Tilgang til kommunens helseregistre. Gerica.

PVN-2011-07

Klagen tas ikke til følge

Privatperson

Klage på avslutning av kontrollsak mot Arendal kommune

PVN-2011-08

Klagen tas ikke til følge

Toll- og avgiftdirektoratet

Klage på Datatilsynets vedtak vedrørende Tollvesenets behandling av personopplysninger i forbindelse med etterkontroll av vareførsel

PVN-2011-09

Visma Retail

Klage på vedtak om bruk av fingeravtrykk – Alderskontroll i selvbetjent butikk

PVN-2011-11

Simonsen advokatfirma DA

Klage på avslag på søknad om ny forlengelse av konsesjon til Anti-piratarbeid

PVN-2011-10

Advokat Dag Midling

Klage på vedtak om pålegg – Bruk av fingeravtrykk i delvis ubetjent treningskjede

PVN-2011-12

Privatperson

Klage på Datatilsynets saksbehandling – manglende sletting i kunderegister hos Brilleland

PVN-2011-13

Vedlegg C: Saker oversendt til nemnda i 2010, men avgjort i 2011

KlagerTittelSaksnr.PVNVedtak

ConocoPhilips Norge

Klage på Datatilsynets vedtak om vurdering av krav til behandlingsgrunnlag ved screening

PVN-2010-02 Se sak PVN-2011-06

DT må behandle saken på nytt. Brev fra PVN av 24.01.211

Gjensidige Forsikring BA og If Skadeforsikring NUF

Anmodning om omgjøring av vedtak vedrørende forsikringsselskaps bruk av kredittoppl. Endring av konsesjonsvilkår for behandling av personopplysninger.

PVN-2010-06

Klagen tas ikke til følge

E18 Vestfold AS

Klage på Datatilsynets vedtak om pålegg om å slette data om bompasseringer for innehavere av forskuddsbetalt konto

PVN-2010-07

Klagen tas til følge

Fjellinjen AS

Klage på Datatilsynets vedtak om sletting av passeringsdata ved etterskuddsbasert fakturering innen fem måneder etter passering

PVN-2010-08

Klagen tas til følge

NOVA

Klage på Datatilsynets delvise avslag på søknad om konsesjon til å behandle personopplysninger i forskning – Nordisk omfangsundersøkelse – Ung i Norden 2009

PVN-2010-09

Klagen tas ikke til følge

Statens vegvesen, Vegdirektoratet

Klage på Datatilsynets vedtak vedrørende strekningsvis automatisk trafikkontroll – SATK

PVN-2010-10

Klagen tas til følge

Privatperson

Klage på Datatilsynets vedtak om sletting av personopplysninger på internett

PVN-2010-11

Klagen tas til følge

Vedlegg D: Høringer der Datatilsynet hadde merknader i 2011

Dok.nr.

Beskrivelse

Dok.dato

Avsender/Mottaker

10/01303-2

Høringsuttalelse – Netthøring – Fremtidens helsetjeneste Trygghet for alle

11.01.2011

Helse- og omsorgsdepartementet

10/01302-2

Høringsuttalelse – Forslag til ny kommunal helse- og omsorgslov

14.01.2011

Helse- og omsorgsdepartementet

10/01304-2

Høringsuttalelse – Forslag til ny folkehelselov

14.01.2011

Helse- og omsorgsdepartementet

10/01392-2

Høringsuttalelse – Om endringer i arkivforskrifta – Journalføring av dokument i innsynssaker og arkivmessig behandling av tekstmeldinger

14.01.2011

Kulturdepartementet

10/01477-3

Høringsuttalelse – Forslag til regler om produktplassering og korte nyhetsreportasjer for gjennomføring av AMT-direktivet i norsk rett mv – Kulturdepartementet

20.01.2011

Kulturdepartementet

10/01393-2

Høringsuttalelse – NOU 2010:8 Med forskertrang og lekelyst – Innstilling fra utvalget som har sett på pedagogisk tilbud for førskolebarn – Kulturdepartementet

21.01.2011

Kunnskapsdepartementet

10/01572-2

Høringsuttalelse – Forskrift om forsøk med elektronisk stemmegivning under forhåndsstemmegivningen

16.02.2011

Kommunal- og regionaldepartementet

10/01465-3

Høringsuttalelse – Norsk internasjonal insolvensrett – Justisdepartementet

28.02.2011

Justis- og politidepartementet

10/01574-2

Høringsuttalelse – Veiledningstjeneste om opphavsrett for utdanningssektoren – Senter for IKT i utdanningen

28.02.2011

Senter for IKT i utdanningen

11/00223-2

Høringsuttalelse – Endringer i merverdiavgiftsloven mv som følge av merverdiavgift på innførsel av elektroniske tjenester til privatpersoner hjemmehørende i Norge – Finansdepartementet

08.03.2011

Finansdepartementet

11/00019-2

Høringsuttalelse – Forslag til endring av forskrift til Opplæringsloven § 10-2 andre ledd – Utdanningsdirektoratet

14.03.2011

Utdanningsdirektoratet

11/00251-2

Høringsuttalelse – Utredning om standarder for styring av informasjonssikkerhet

15.03.2011

Direktoratet for forvaltning og IKT

10/01549-2

Høringsuttalelse – Diverse endringer i verdipapirhandelsloven verdipapirforskriften verdipapirregisterloven og finanstilsynsloven

22.03.2011

Finansdepartementet

11/00111-2

Høringsuttalelse – Endringer i reglene om offentliggjøring av skattelister – Finansdepartementet

28.03.2011

Finansdepartementet

11/00033-2

Høringsuttalelse – Forslag til forskrift om endringer i forskrift om genetisk masseundersøkelse i forbindelse med utvidet tilbud om nyfødtscreening – Helse- og omsorgsdepartementet

05.04.2011

Helse- og omsorgsdepartementet

11/00288-2

Høringsuttalelse – Kommentarer til forprosjektrapport om Nasjonal kjernejournal

05.04.2011

Helse- og omsorgsdepartementet

11/00210-2

Høringsuttalelse – Avanserte måle- og styringssystem (AMS) – Forslag til endring i forskrift 11 mars 1999 nr 301

07.04.2011

Norges vassdrags- og energidirektorat

11/00197-2

Høringsuttalelse om forskriftsendring i forskrift til opplæringsloven og forskrift til privatskoleloven – krav om politiattest

08.04.2011

Utdanningsdirektoratet

11/00465-2

Høringsuttalelse – Forslag til forskrift om fjernmøter og fjernavhør av vitner og sakkyndige i straffesaker

03.05.2011

Justis- og politidepartementet

11/00211-2

Høringsuttalelse – Utkast til lov om rapportering til database for vitenskapelig publisering

05.05.2011

Kunnskapsdepartementet

11/00231-2

Høringsuttalelse – Sikkerhet i kritisk infrastruktur og kritiske samfunnsfunksjoner – modell for overordnet styring av risiko

11.05.2011

Direktoratet for samfunnssikkerhet og beredskap – DSB

11/00408-2

Høringsuttalelse – Forslag til Europaparlaments- og rådsdirektiv om kredittavtaler i forbindelse med fast eiendom til boligformål ( COM (2011) 142 final)

11.05.2011

Justis- og politidepartementet

11/00222-2

Høringsuttalelse – Endringer i utlendingsloven – innføring av Schengen standardisert oppholdskort med elektronisk lagret biometri – Justis- og politidepartementet

20.05.2011

Justis- og politidepartementet

10/01575-2

Høringsuttalelse – bokføringsstandard NBS (HU) Sikring av regnskapsmateriale – Norsk RegnskapsStiftelse

26.05.2011

Norsk Regnskapsstiftelse

11/00480-2

Høringsuttalelse – Kommentarer til Hovedavtale og avtalestruktur for tilknytning til helsenettet

10.06.2011

Norsk Helsenett SF

11/00256-2

Høringsuttalelse – Arbeidsgrupperapport om forslag til ny ordning for arbeidsgiveres rapportering

12.06.2011

Finansdepartementet

11/00437-2

Høringsuttalelse – Høring av NOU 2011: 3 Kompetansearbeidsplasser – Drivkraft for vekst i hele landet

21.06.2011

Kommunal- og regionaldepartementet

11/00710-2

Høringsuttalelse – Forslag om diverse endringer i luftfartsloven – vandel – misbruk av rusmidler mv – definisjoner av ulykker – informasjon til passasjerer – straff

21.06.2011

Samferdselsdepartementet

11/00599-2

Høringsuttalelse – Endringsforskrift til forskrift om tildeling av utdanningstøtte for undervisningsåret 2011-2012 og forskrift om forrentning og tilbakebetaling av utdanningslån og tap av rettigheter 2011

27.06.2011

Kunnskapsdepartementet

11/00706-2

Høringsuttalelse – Forslag til ny forskrift om prøveordning med elektronisk kommunikasjon med domstolene og forslag om endringer i forskrift om postforkynning

27.06.2011

Justis- og politidepartementet

11/00525-2

Høringsuttalelse – Endringer i merverdiavgiftsloven og merverdiavgiftsforskriften – Forslag om elektronisk levering av omsetningsoppgaver for merverdiavgift

28.06.2011

Finansdepartementet

11/00711-2

Høringsuttalelse – Utlendingsmyndighetenes adgang til å innhente opplysninger fra andre offentlige organer

03.08.2011

Justis- og politidepartementet

11/00845-2

Høringsuttalelse – Forprosjekt vergemålsreformen

03.08.2011

Justis- og politidepartementet

11/00678-2

Høringsuttalelse – Ny lov om bustøtte

18.08.2011

Kommunal- og regionaldepartementet

11/00727-2

Høringsuttalelse – Forslag til endringer i kommuneloven og enkelte andre lover (egenkontrollen i kommunene mm)

08.09.2011

Kommunal- og regionaldepartementet

11/00585-2

Høringsuttalelse – Endringer i åndsverkloven – Tiltak mot ulovlig fildeling og andre krenkelser av opphavsrett på Internett

13.09.2011

Kulturdepartementet

11/00454-3

Høringsuttalelse – Forslag om lovregulering av rituell omskjæring av gutter

14.09.2011

Helse- og omsorgsdepartementet

11/00688-2

Høringsuttalelse – Norsk bokføringsstandard NBS (HU) Kontrollsporet

16.09.2011

Norsk Regnskapsstiftelse

11/00820-2

Høringsuttalelse – Forslag om offentlig godkjenningsordning i renholdsbransjen

19.09.2011

Arbeidsdepartementet

11/00650-2

Høringsuttalelse – Banklovkommisjonens utredning om ny finanslovgivning

21.09.2011

Finansdepartementet

11/00791-2

Høringsuttalelse – NOU 2011:14 Bedre integrering

23.09.2011

Barne- likestillings- og inkluderingsdepartementet

11/00537-2

Høringsuttalelse – NOU 2010:12 Ny klageordning for utlendingssaker

28.09.2011

Justis- og politidepartementet

11/00786-2

Høringsuttalelse – Samhandlingsreformen – Forslag til forskriftsendringer og nye forskrifter som følge av Prop 91 L (2010-2011) Lov om kommunale helse- og omsorgstjenester

03.10.2011

Helse- og omsorgsdepartementet

11/01023-2

Høringsuttalelse – Ny konsesjon til Posten Norge AS

06.10.2011

Samferdselsdepartementet

11/00815-2

Høringsuttalelse – Utkast til forskrift om innsamling og behandling av helseopplysninger i nasjonalt register over hjerte- og karlidelser

12.10.2011

Helse- og omsorgsdepartementet

11/00697-2

Høringsuttalelse – Forslag til politiregisterforskriften – Del I

18.10.2011

Justis- og politidepartementet

11/00854-2

Høringsuttalelse – Forslag til endring av forskrift om innsamling og behandling av helseopplysninger i Norsk overvåkingssystem for infeksjoner i sykehustjenesten – NOIS-registerforskriften

20.10.2011

Helse- og omsorgsdepartementet

11/00788-3

Høringsuttalelse – Etablering av nasjonal kjernejournal – Helse- og omsorgsdepartementet

21.10.2011

Helse- og omsorgsdepartementet

11/00927-2

Høringsuttalelse – NOU 2011:15 Rom for alle – en sosial boligpolitikk for framtiden – Kommunal- og regionaldepartementet

28.10.2011

Kommunal- og regionaldepartementet

11/00762-2

Høringsuttalelse – NOU 2011:12 Ytringsfrihet og ansvar i en ny mediehverdag

31.10.2011

Kulturdepartementet

11/00877-2

Høringsuttalelse – Forslag til lovendringer i forbindelse med etablering av Norsk helsearkiv og Helsearkivregisteret og forslag til noen andre endringer i helseregisterloven (internt kryptering) mv

01.11.2011

Helse- og omsorgsdepartementet

11/00878-2

Høringsuttalelse – NOU 2011:11 Innovasjon i omsorg – Helse- og omsorgsdepartementet

01.11.2011

Helse- og omsorgsdepartementet

11/01021-2

Høringsuttalelse – Høring om elektronisk registrering av kirkelige handlinger – Endringsforslag til forskrift om Den norske kirkes medlemsregister

08.11.2011

Fornyings- administrasjons- og kirkedepartementet

11/01091-2

Høringsuttalelse – Forslag til forordning om informasjonssystemet for det indre marked – IMI-forordningen – Nærings- og handelsdepartementet

18.11.2011

Nærings- og handelsdepartementet

11/01142-3

Høringsuttalelse – Rapport om en felles meldingsboks

28.11.2011

Fornyings- administrasjons- og kirkedepartementet

11/00970-2

Høringsuttalelse – Tiltak for å forebygge og avdekke misbruk av velferdsordninger

09.12.2011

Arbeidsdepartementet

11/01275-2

Endringer i statsborgerloven og statsborgerforskriften – Adgang til å innhente opplysninger fra andre offentlige organer – Barne- likestillings- og inkluderingsdepartementet

21.12.2011

Barne- likestillings- og inkluderingsdepartementet

11/00697-3

Supplerende høringsuttalelse – Forslag til politiregisterforskriften – Del I – Informasjonssikkerhet og internkontroll

22.12.2011

Justis- og politidepartementet

Fotnoter

1.

«On the internet, nobody knows you’re a dogn», Peter Steiner, The New Yorker, 69(29), s. 69, 5. juli 1993. http://en.wikipedia.org/wiki/On_the_Internet,_nobody_knows_you're_a_dog

2.

Boyd, Danah. 2010. “Privacy and Publicity in the Context of Big Data.” WWW. Raleigh, North Carolina, April 29

3.

http://www.gartner.com/it/content/1503500/1503515/january_19_tech_trends_you_cant_afford_to_ignore_rpaquet.pdf

4.

McKinsey report: «Big Data: The next frontier for innovation, competition, and productivity», June 2011

5.

http://www.gartner.com/it/content/1503500/1503515/january_19_tech_trends_you_cant_afford_to_ignore_rpaquet.pdf, og Big Data: «The next frontier for innovation, competition, and productivity», McKinsey Global Institute, June 2011

6.

Boyd, Danah. 2010. «Privacy and Publicity in the Context of Big Data.» WWW. Raleigh, North Carolina, April 29

7.

Big Data: «The next frontier for innovation, competition, and productivity», McKinsey Global Institute, June 2011

8.

http://www.idg.no/computerworld/article216753.ece

9.

http://www.dagensit.no/article2293846.ece

10.

http://www.businessweek.com/technology/content/mar2011/tc20110330_626552.htm

11.

«Snooping: It’s not a crime, it’s a feature», Mike Elgan, Computerworld, 16. April 2011. http://www.computerworld.com/s/article/9215853/Snooping_It_s_not_a_crime_it_s_a_feature

12.

McKinsey report: «Big Data: The next frontier for innovation, competition, and productivity», June 2011

13.

«Hva vet appen om deg? Kartlegging av personvernutfordringer knyttet til mobilapplikasjoner», Datatilsynet, 15. september 2011

14.

http://i.pol.dk/debat/kroniker/article1023920.ece

15.

S.913 -- Do-Not-Track Online Act of 2011 (Introduced in Senate - IS)

16.

Datatilsynet kommenterte også viktigheten av å satse på innebygget personvern i årsmeldingen for 2010

17.

Instruks om utredning av konsekvenser, foreleggelse og høring ved arbeidet med offentlige utredninger, forskrifter, proposisjoner og meldinger til Stortinget (fastsatt ved kongelig resolusjon 18. februar 2000, revidert 24. juni 2005)