2 Fornyings-, administrasjons- og kirkedepartementets merknader til Datatilsynets årsmelding for 2009
Helhetlige og tidlige personvernvurderinger
Datatilsynet er bekymret for at personvernet svekkes som følge av mange enkeltstående tiltak, som går på bekostning av personvernet, og at personvernet tilsidesettes som følge av marginale, ikke-dokumenterte gevinster, eller av rene effektivitetshensyn. Tilsynet fokuserer på den samlede effekten av et stort antall nye personopplysningsbehandlinger, mangelfull ansvarsplassering, elektroniske spor, manglende sletting, større samhandling og færre anonyme alternativer. Departementet støtter tilsynet i at enkeltstående tiltak må ses i sammenheng med andre tiltak som får konsekvenser for personvernet. For å kunne foreta en reell forholdsmessighetsvurdering, vil en være nødt til å se på den samlede effekten av opptak/registrering og lagring av personopplysninger.
Datatilsynet peker videre på en tendens til at konsekvensen av innsamling og lagring av personopplysninger undervurderes, og at innskrenkninger i bruken av opplysningene og gode sikkerhetsløsninger vurderes som tilstrekkelig kompensasjon for lagringen. I likhet med tilsynet understreker departementet at innsamling og lagring av personopplysninger er et personverninngrep i seg selv. Ut fra Menneskerettsdomstolens praksis må forholdsmessighetsvurderingen foretas før innsamling og lagring av opplysninger finner sted, ikke først i tilknytning til spørsmål om bruken av opplysningene. Dette henger sammen med at personvernvurderingene ikke kan foretas ut fra en forestilling om at lagringssystemene tilbyr total sikkerhet. Sikkerhetsrisiko knyttet til lagring av opplysninger vil alltid måtte være en del av vurderingen i forkant av en beslutning om å gjennomføre et tiltak som har konsekvenser for personvernet. Departementet ønsker i denne forbindelse å understreke betydningen av at vurderinger av personvernkonsekvenser foretas tidlig i en beslutningsprosess, noe også Personvernkommisjonen påpekte i NOU 2009:1 og som departementet selv peker på i sin veileder i vurdering av personvernkonsekvenser utgitt i 2008.
Teknologi og personvern
Teknologien setter i dag marginale grenser for lagringskapasitet, og det er ofte mer kostbart å slette opplysninger enn fortsatt å oppbevare dem. Til tross for stadig nye teknologiske løsninger, vil slettereglene i personopplysningsloven være avgjørende for hvor lenge opplysningene kan lagres; sletting skal skje når behandlingens formål er oppfylt. Dette ble i meldingsåret, som året før, påpekt i Datatilsynets årsmelding, og brudd på sletteplikten beskrives som den største og alvorligste enkeltutfordringen for personvernet. Når vi samtidig legger igjen store mengder elektroniske spor, og personopplysninger i økende grad utveksles mellom databaser, er resultatet at betydelige mengder opplysninger til enhver tid er lagret om hver av oss på svært mange steder uten at vi har kjennskap til det.
En ny lagringsmåte som har fått gjennomslag internasjonalt, er cloud computing der opplysningene ikke lagres ett definert sted, men derimot i den del av nettskyen der det til en hver tid er ledig kapasitet. Nettskyen kan enkelt beskrives som en rekke servere tilknyttet Internett. I denne nettskyen kan både virksomheter og private leie lagringskapasitet. Både økonomisk og kapasitetsmessig har cloud computing et stort potensial. Samtidig byr denne teknologien på mange utfordringer både teknisk og juridisk. Departementet vil følge utviklingen på området tett.
Datatilsynet peker på at datasystemer må bygges opp på en personvernvennlig måte. Det er ved utformingen av datasystemene at nivået for ivaretakelse av personvernet defineres. Tilsynet peker på at innebygde personverngarantier (privacy by design) er spesielt viktig når man har ambisiøse samordningsprosjekter som krever informasjonsflyt mellom flere parter. Departementet er enig i at det er viktig at sikre datasystemer er på plass før det iverksettes tiltak som får personvernkonsekvenser.
Velferd, forskning og helse
Datatilsynet har i stor grad vært engasjert i spørsmål vedrørende personvern og helse i meldingsåret. Det oppstår stadig nye utfordringer på dette området. Tilsynet har blant annet vært kritisk til enkelte sider av samhandlingsreformen, for eksempel forslag om tilgang til helseopplysninger på tvers av virksomhetsgrenser og etablering av fellesregistre i denne forbindelse. Tilsynet frykter det skjer en uthuling av taushetsplikten, og advarer sterkt mot at det åpnes for tilgang på tvers før tilstrekkelige interne sikkerhetsløsninger foreligger. Gode tekniske løsninger er avgjørende for å sikre at bare aktører med tjenstlig behov for opplysningene får tilgang. Datatilsynet viser til helseregisterlovens forarbeider, Ot.prp. nr. 5 (1999-2000), og peker på at forskriftsbestemmelser om særlige sikkerhetskrav for behandling av helseopplysninger må fastsettes i tett samarbeid med Datatilsynet. På dette grunnlag ønsker Datatilsynet å bli inkludert i arbeidet med forskrift om informasjonssikkerhet ved samhandling i helsesektoren.
Videre er tilsynet bekymret for en økning i antall personer som fremover vil kunne få direkte tilgang til pasientjournaler, samt en sentralisering av registrene hos Folkehelseinstituttet. Kombinert med nye unntak fra taushetsplikten, senest i forslag til ny helsepersonellov § 29 b om unntak for formål som kvalitetssikring, administrasjon, planlegging eller styring, er Datatilsynet bekymret for utviklingen. Departementet er enig i at spredning av helseopplysninger kan være en utfordring for den nødvendige tilliten mellom pasient og helsearbeider. Fremover er det derfor viktig å legge til rette for å ivareta pasientenes tillit til helsetjenesten, slik at de ikke unnlater å oppsøke tjenestene i frykt for at helseopplysninger skal spres. Dette må ses i sammenheng med behovet for økt samhandling i helsetjenesten.
Lov om medisinsk og helsefaglig forskning som trådte i kraft 1. juli 2009, innebar store endringer for Datatilsynets arbeidsfelt. Loven innebærer at Datatilsynet ikke forhåndsgodkjenner medisinsk og helsefaglig forskning. De regionale komiteer for medisinsk og helsefaglig forskningsetikk innehar nå godkjenningskompetansen, og Datatilsynet uttykker bekymring for at komiteenes tilknytning til forskningsmiljøene skal få innvirke på saksbehandlingen.
I løpet av meldingsåret ble det fremmet forslag om å etablere et sentralt register for hjerte- og karlidelser. Datatilsynet etterlyste en prinsipiell tilnærming til hjemmelsgrunnlaget for etableringen av slike register. Etter tilsynets mening bør slike registre etableres med samtykke fra pasienten, alternativt må opplysningene være pseudonymiserte, eller på annen måte være underlagt et særlig vern. Datatilsynet ønsker større grad av selvbestemmelsesrett for de registrerte i stedet for et ensidig fokus på informasjonssikkerhet. Dette henger sammen med at personvernvurderingene må foretas i forbindelse med selve registreringen, som i seg selv er et inngrep i den personlige rettsfære.
Datatilsynet påpeker videre brudd på register- og personvernlovgivningen i to tilfeller hos Kreftregisteret, ett hos folkehelseinstituttet, ett i Colon Cancer bank samt ett hos NTNU i forbindelse med at pasientjournaler var på avveie. Manglene relaterte seg i stor grad til sviktende hjemmelsgrunnlag for behandlingene, og samtykke står sentralt i denne sammenheng. I alle sakene har det skjedd klare brudd på helseregisterloven. Departementet mener sakene sender signal om at Datatilsynet også i fremtiden bør arbeide for at personvern blir ivaretatt i helsesektoren og føre en tett dialog med helsemyndighetene. Departementet fremholder at det er mulig å ivareta personvernhensyn samtidig som man opprettholder et godt forskningsklima med mulighet for gode og viktige resultater.
Etterkontroll av personopplysningsloven
I løpet av meldingsåret var forslag til revisjon av personopplysningsloven på høring. Høringen besto av et høringsnotat fra Justisdepartementet samt professor Dag Wiese Schartum og førsteamanuensis Lee Bygraves «Utredning av behov for endringer i personopplysningsloven» og «Utredning om fødselsnummer, fingeravtrykk og annen bruk av biometri i forbindelse med lov om behandling av personopplysninger § 12», samt Datatilsynets rapport fra 2005 om kameraovervåking. Datatilsynet gikk grundig inn i høringssaken og hadde omfattende merknader basert på erfaringer med det regelverket de er satt til å forvalte. Datatilsynet er, som tilsynsmyndighet og forvaltningsmyndighet, en svært sentral høringsinstans når det gjelder personvernlovgivningen.
For det første er deres erfaring at regelverket ikke er tilstrekkelig lett å forstå for aktører som må forholde seg til lovgivningen. Derfor ønsker tilsynet å få klarere fram at alle er bundet av regelverket, og de går inn for en viss omstrukturering av det. Tilsynet foreslår videre en tydeliggjøring av betydningen av behandlingsformål som avgrensningskriterium. Tilsynet ønsker også å styrke personvernet i møte med ytringsfrihet, slik at personvernet får større gjennomslagskraft utenfor ytringsfrihetens kjerneområde. Datatilsynet foreslår, som et tillegg til forslagene i høringssaken, at den behandlingsansvarlige pålegges varslingsplikt når en uautorisert utlevering av personopplysninger har funnet sted. Når det gjelder konsesjonsordningen, foreslår Datatilsynet at konsesjonsplikten opprettholdes som i dag, foruten at Datatilsynet gis adgang til å gi dispensasjon fra konsesjonsplikten. Datatilsynet la også vekt på at mindreåriges personvern må styrkes og at det er et særskilt behov for å avklare barns samtykkekompetanse. Datatilsynets erfaringer er av stor verdi for lovrevisjonen, og deres vurderinger vil være et nyttig verktøy i det videre lovrevisjonsarbeidet. Departementet har merket seg at de temaene Datatilsynet legger størst vekt på, langt på vei er sammenfallende med de temaene som får størst oppmerksomhet i internasjonale fora. Departementet fremhever i denne sammenheng betydningen av tilsynets deltakelse i internasjonale diskusjonsfora for vår nasjonale personverndebatt.
Samferdsel
I løpet av meldingsåret har Datatilsynet ført tilsyn hos tre tilbydere av offentlig transport der det sentrale temaet var elektronisk billettering. Det ble videre ført tilsyn hos Statens vegvesen for å kontrollere personvern ved strekningsvis automatisk kontroll (SATK). I tillegg gjennomførte etaten tilsyn hos to bompengeselskaper. Datatilsynet setter muligheten for anonym ferdsel høyt og mener det samles inn langt flere opplysninger enn nødvendig i samferdselssektoren. Departementet viser i denne forbindelse til at det er satt i gang et interdepartementalt arbeid der også Datatilsynet deltar, som har som mål å legge til rette for anonyme bompasseringer. Det er viktig å opprettholde prinsippet om at kun de opplysningene som er nødvendige for å oppnå formålet, skal lagres.