2 Fornyings-, administrasjons- og kirkedepartementets merknader til Datatilsynets årsmelding for 2010
Personopplysninger som handelsvare
Personopplysninger er en raskt voksende handelsvare. Innsamling av personopplysninger er i særlig vekst på Internett, spesielt ved bruk av sosiale medier og ulike applikasjoner (apps). Selskaper tjener penger på personlige opplysninger generert fra brukerne. Gratistjenester har ofte som forretningsidé at brukeren betaler ved å stille sine personopplysninger til rådighet for videresalg i bytte mot et gode. Brukeren er sjelden bevisst dette aspektet ved tjenestene. Selskaper spesialiserer seg på å selge personprofiler basert på innsamlede personopplysninger fra nett og app-bruk, til annonsører og andre som ønsker å drive direkte markedsføring. Økningen i antall opplysninger som samles inn, øker treffsikkerheten og dermed betalingsvilligheten. Datatilsynet mener denne utviklingen vil forsterkes i årene som kommer, samtidig som tilsynet har en formening om at kombinasjonen «gratis» tjenester i bytte mot informasjon om atferd og preferanser tilsynelatende sitter løst hos mange. Problemet som oppstår, er at mange samtykker i en behandling av personopplysninger som de ikke overskuer rekkevidden av. Man gir fra seg stadig flere og mer inngripende opplysninger uten å være seg bevisst hvilken krets disse opplysningene blir spredt til, og hvordan de kan brukes.
Datatilsynet nedsatte i 2010 en arbeidsgruppe som skal se på personvernutfordringer knyttet til sosiale nettsamfunn og apps. Det er gjennomført et forprosjekt med utgangspunkt i Facebook, som blant annet viser at profilinformasjonen som hver enkelt bruker frivillig gir fra seg, kun er en liten del av den samlede informasjonen som Facebook innhenter. Facebook samler også inn informasjon om brukere som ikke er medlemmer, og via selskapets ulike informasjonsapplikasjoner innhenter Facebook opplysninger om brukere av andre nettsteder. Som motytelse får nettsidene som implementerer Facebooks informasjonsapplikasjoner, blant annet tilgang på statistikk.
Facebook er i dag en stor aktør i det markedet hvor personopplysninger anvendes til kommersielle formål. I Norge benyttes Facebook av bedrifter, organisasjoner og offentlige aktører. En av forprosjektets konklusjoner er at nevnte problemstillinger ikke kan ignoreres i tilsynets videre arbeid, uavhengig av om norsk rett har jurisdiksjon over Facebook eller ikke.
Departementet bemerker at personopplysninger synes å ha fått en betydelig verdi i næringslivet. Internasjonale undersøkelser kan tyde på at borgerne gjennomgående undervurderer markedsverdien av egne personopplysninger. Samtidig synes det å være et stort gap mellom næringslivets betalingsvillighet for personopplysninger og for eksempel den prisen som settes på forsikring mot id-tyveri. Næringslivet synes på den ene siden å mene at borgerne skal kjøpe dyre forsikringer for å verne om sine personopplysninger samtidig som de sjelden er villige til å gi sine kunder/brukere gjenytelser av noen særlig økonomisk verdi når de gir fra seg personopplysninger. Den reelle verdien av personopplysninger er dermed vanskelig å fastslå og vil trolig også variere fra bransje til bransje. Det er likevel ingen tvil om at personopplysninger er blitt et viktig betalingsmiddel, og borgerne må være seg dette bevisst. Departementet påpeker viktigheten av at Datatilsynet følger utviklingen på dette området, og at borgerne bevisstgjøres om verdien på gjenbruksmulighetene når de gir fra seg opplysninger.
Frislipp av personopplysninger
Offentleglova vedtatt i 2006, og satt i kraft i 2009, er klarere enn tidligere regelverk med hensyn til hva stat og kommune kan og skal publisere på Internett. Datatilsynet har registrert en tendens til at offentlige myndigheter i stadig større grad også offentliggjør saksdokumenter som inneholder personopplysninger. Dette kan ha ulike årsaker.
Personopplysninger fra offentlige registre, som for eksempel Brønnøysundregisteret, og motorvognregisteret, kan ha kommersiell interesse for aktører både i og utenfor Norge. Det offentlige har i enkelte situasjoner pålagt seg selv å lage begrensninger i søkefunksjonaliteten. Dette gjelder for eksempel offentlig postjournal for departementer og direktorater, og Konkursregisteret der det kun er mulig å søke på navn. Datatilsynet påpeker at slike begrensninger kan bli virkningsløse når opplysningene lastes ned og publiseres av andre.
Datatilsynet er bekymret for at enkeltpersoner skal oppleve at det ved feil legges ut sensitive personopplysninger om dem, og at bekymringer for feil, identitetstyveri og profildannelse skal medføre at befolkningen avstår fra å klage eller på annen måte benytte seg av rettigheter de har overfor det offentlige. Dette kan i så fall utgjøre et demokratiproblem. Datatilsynet tar opp spørsmålet om hvorvidt formålet med offentlighetsloven oppfylles slik loven praktiseres i dag. Et av formålene med en åpen forvaltning er at den skal gi borgerne kontroll med myndighetene. Men hvis ikke myndighetene har en helhetlig tilnærming til hvilke opplysninger som publiseres på Internett, kan åpenhet i verste fall også føre til tap av kontroll for den enkelte borger. Det offentlige må med andre ord bli mer bevisst på hvilke opplysninger som publiseres. Det er således ikke åpenhet i seg selv som er problemet, men at en sak gjøres tilgjengelig på Internett på en slik måte at den relateres til enkeltpersoner i årevis via søkemotorer. At opplysninger skal gjøres tilgjengelige for allmennheten, er ikke ensbetydende med at opplysningene skal publiseres på internett. Internett-publisering er heller ikke et lovkrav. Offentlighetshensynet kan ivaretas uten at informasjonen tilgjengeliggjøres på denne måten.
Departementet har forståelse for Datatilsynets bekymring knyttet til praktisering av offentlighetsreglene. Det er viktig å finne en god balanse mellom borgernes kontroll med forvaltningen, og den enkeltes behov for integritetsvern. Det ble arbeidet grundig med personvernspørsmål i forbindelse med tilrettelegging av offentlig elektronisk postjournal (OEP). Blant annet er det ikke mulig å foreta navnesøk på journalinnføringer som er eldre enn ett år. Det skal bidra til å forhindre at OEP benyttes til profildannelser. Til tross for at personvern var ett av flere temaer som sto sentralt i arbeidet med den nye offentlighetsloven, viser dagens praksis at det stadig er utfordringer å ta tak i. De personvernmessige utfordringene ved å publisere journaler og saksdokumenter på internett bør derfor diskuteres og vurderes, enten i forbindelse med den forestående evalueringen av offentlighetsloven eller i annen sammenheng.
Tap av kontroll i nettskyen?
Det er en økende trend blant privatpersoner og virksomheter i retning av å flytte mye av den informasjonen som tradisjonelt har vært lagret lokalt på datamaskinen, ut på nettet til den såkalte nettskyen (cloud computing). Nettskyen er en fellesbetegnelse på et vidt spekter av tjenester som leveres over eksterne nettverk. En typisk nettskytjeneste er databasetjenester og lagring av data i store eksterne serverparker.
Det kan både være kostnadseffektivt og praktisk å benytte slike tjenester. For eksempel kan det for privatpersoner være hendig at informasjonen kan nås uavhengig av hvilken datamaskin man bruker, og man kan lett dele informasjonen med andre. Det tilbys også tjenester som innebærer at det lages en sikkerhetskopi av innholdet i private datamaskiner.
Datatilsynet har erfart at lagring av informasjon i nettskyen reduserer brukernes kontroll med dataene. Mange av tjenestetilbyderne har ikke egen serverpark, men bruker en annen leverandør for den faktiske lagringen. Det innebærer at man ofte har liten kontroll over hvor dataene faktisk befinner seg. For eksempel kan det innebære at dataene flyttes til en server i et annet land, uten garanti for at de behandles etter et bestemt regelverk. Datatilsynet mener det er viktig at både privatpersoner og virksomheter er klar over de usikkerhetsmomenter som gjelder ved kjøp av tjenester i nettskyen, og at dette særlig gjelder for virksomheter som behandler personopplysninger. Overføres personopplysninger til land utenfor EØS-området, krever regelverket i utgangspunktet en prosess som involverer Datatilsynet. Som eksempel viser Datatilsynet til at de i 2009 fikk varsel om at enkelte bankers IKT-oppgaver var flyttet til serverparker i lavkostland. Ved tilsyn viste det seg at en bank hadde utplassert behandling av personopplysninger til Ukraina og India. I rundskriv av 2010 påpekte Finanstilsynet at behandling av kundeopplysninger er en særlig kritisk IKT-oppgave som ikke kan flyttes til landområder med høy risiko. Datatilsynet gir i sin årsmelding uttrykk for støtte til Finanstilsynets vurdering.
Datatilsynet har utarbeidet en kortfattet veileder i personvernkonsekvenser ved bruk av nettjenester. Tilsynet påpeker at de reglene som gjelder for en behandlingsansvarlig i Norge, også gjelder for behandlingen av personopplysninger som lagres i nettskyen. Det er den behandlingsansvarlige som er ansvarlig for at personopplysningslovens regler etterleves, uansett hvor dataene er lagret. Gode avtaler som skal sikre etterlevelse av regelverket, blir svært viktig.
Også departementet er enig i at lagring av kundeopplysninger eller andre personopplysninger i nettskyen kan medføre en personvernrisiko. I utgangspunktet gjelder de samme regler for lagring i nettskyen som lagring nasjonalt. I praksis er det imidlertid svært vanskelig å føre kontroll med overholdelse av regelverket når personopplysningene er lagret i nettskyen og i praksis kan flyttes rundt kontinuerlig. For næringslivet bør spørsmålet om IKT-sikkerheten i nettskyen, med de utfordringer denne lagringsformen kan innebære ikke bare for beskyttelse av personopplysninger, men også for annen forretningskritisk informasjon, gi grunnlag for refleksjoner over virksomhetens sårbarhet. EUs standardavtaler for overføring av personopplysninger til tredjeland kan blant annet være et godt instrument for å sikre at de nasjonale personvernreglene etterleves ved bruk av databehandlere i land utenfor EØS-området.
Innebygget personvern – privacy by design
Datatilsynet har lagt vekt på å medvirke til at personvern bygges inn i nye teknologiske løsninger fra starten. Det vil si en tilnærming med fokus på personvernfremmende teknologi, eller personvernvennlig design, og anerkjennelse av at godt personvern ikke kan sikres utelukkende ved hjelp av lover og regulering. Ideelt sett må personvern inngå som en naturlig del av en organisasjons virksomhetsstyring.
Dersom det ikke bygges inn personvern i designfasen ved nyutvikling av informasjonssystemer, viser det seg ofte å være vanskelig å få dette til i ettertid. Personvernvennlig utforming fordrer at oppdragsgivere har personvern som et element i sitt verdigrunnlag, og at utviklerne forstår betydningen av disse verdivalgene og bygger dem inn i systemene de utvikler. Datatilsynet mener utviklerne best nåes ved at tilsynsmyndighetene deltar i og påvirker standarder som systemene bygges etter. Inngår personvern som et kriterium i internasjonalt anerkjente standarder, er det god grunn til å tro at de vil etterleves. I helsesektoren har staten avsatt betydelige midler til utvikling av nye IT-systemer som skal bedre samhandlingen. Datatilsynet fremhever at det er avgjørende at godt personvern bygges inn som en del av systemutviklingen fra starten.
Departementet deler Datatilsynets vurdering av betydningen av innebygget personvern. Jo tidligere i prosesser det tenkes personvern, jo lettere er det å finne frem til gode og rimelige personvernløsninger. Det er viktig å arbeide frem internasjonalt aksepterte løsninger som de store teknologiutviklerne implementerer i sine systemer. Departementet følger utviklingen på dette området med interesse og ønsker å bidra til at det offentlige tar i bruk innebygget personvern.
Helseregistre
Datatilsynet viser til at helsesektoren er et område hvor personvernet er under stort press. Sektoren er preget av politisk oppmerksomhet, høye forventninger og økende bruk av informasjonsteknologi. Det foregår mange samtidige prosesser, som delvis griper inn i hverandre. I en slik sammenheng påpeker Datatilsynet at det er viktig med samarbeid mellom tilsynsmyndigheter og aktørene, og at et godt personvern er avgjørende for å ivareta tilliten mellom helsepersonell og pasient.
Datatilsynet viser til at forventning om å kunne samle inn og forske på helseopplysninger, større mobilitet både mht pasienter og helseopplysninger, og ønsket om effektivisering av pasientbehandling ved bruk av informasjonsteknologi, er viktige drivkrefter i helsesektoren.
I meldingsåret ble rapporten «Gode helseregistre – bedre helse (strategi for modernisering og samordning av sentrale helseregistre og medisinske kvalitetsregistre)» sendt på høring i regi av HOD. Datatilsynet hadde flere merknader til rapporten. Tilsynets viktigste merknad gikk på valg av registerform, og at prinsippet om pasientens samtykke i økende grad tilsidesettes. Datatilsynet uttrykker også skepsis til at rapporten åpner for sammenslåing av helseregistrene til et altomfattende sentralisert helseregister. Det vises i den sammenheng til at ovennevnte strategirapport også legger opp til at lagring av helseopplysninger om norske borgere skal være obligatorisk, skje uten samtykke, og at opplysningene samtidig skal være personidentifiserbare.
Datatilsynet mener at etableringen av et sentralt altomfattende helseregister ikke er en ønsket utvikling av hensyn til personvernet. Datatilsynet fremholder at sentral lagring av helseopplysninger, herunder sentralisering av flere uavhengige registre, representerer et økt inngrep i den enkeltes personvern. Ansvaret for de ulike helseregistrene bør derfor etter Datatilsynets oppfatning tillegges ulike organisasjoner, slik at det opprettes skranker ved koblinger og utleveringer. Dersom det ikke opprettes slike skranker, vil ulovlig bruk av helseregistrene kunne skje uoppdaget.
Helsesektoren gjennomfører krevende reformer for å kunne møte befolkningens behov for et helhetlig tjenestetilbud. Forholdene legges til rette for bedre samarbeid mellom ulike behandlingsnivåer i stat og kommune. Et godt og effektivt samarbeid mellom helsepersonell med tilhørighet i forskjellige statlige og kommunale virksomheter forutsetter at helseopplysninger kan utveksles på enklest mulig måte. Enklere «informasjonsflyt» av helseopplysninger stiller store krav til fremtidens IKT-systemer i helsesektoren. IKT-systemene må kunne ivareta pasientens krav på konfidensialitet, slik at bare de med tjenstlige behov får tilgang til opplysningene. God ivaretakelse av personvern og taushetsplikt vil ta vare på tillitsforholdet mellom behandler og pasient. Taushetsplikt og personvern ivaretas best dersom disse hensynene blir vektlagt tidlig i planleggingsfasen av systemene.«Norm for informasjonssikkerhet i helsesektoren» med veiledere er et solid og viktig arbeid for å sikre forsvarlige IKT-systemer, og er resultat av et godt samarbeid mellom helsemyndighetene og andre aktører, herunder Datatilsynet.
I tillegg til omfattende omstillinger i helsetjenestene er det etablert en langsiktig strategi for sekundærbruk av helseopplysninger, til for eksempel administrasjon, styring, forebygging og forskning. Trenden er at registrene skal være identifiserbare, nasjonale og at hvert register skal dekke et bredt spekter av ulike formål uten pasientens samtykke. Det enkelte registerets formål er avgjørende for både mengde og type opplysninger som registreres. Når formålet med et register er bredt, blir derfor opplysningsmengden tilsvarende omfangsrik. Prinsipielt kan det argumenteres for et skille mellom registerformer som skal benyttes for henholdsvis primærbruk, dvs. i helsetjenesten til pasientbehandling, og sekundærbruk, som administrasjon, styring , forskning etc. Det er derfor positivt at Helse- og omsorgsdepartementet legger opp til at samtlige av helseregisterlovens registerformer, også de mer personvernfremmende, skal vurderes som alternativer ved etablering av fremtidige helseregistre.