10 Informasjonssikkerhet, internkontroll og sporbarhet
10.1 Informasjonssikkerhet
10.1.1 Nasjonale og internasjonale rammer for lovgivningen
Informasjonssikkerhet er regulert i personopplysningsloven § 13, hvor det i første ledd står: «Den behandlingsansvarlige og databehandleren skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger». Ytterligere regler er fastsatt i bestemmelsen, herunder kravet til dokumentasjon. Bestemmelsene er utdypet i personopplysningsforskriften kapittel 2.
Det er også andre regelverk som kan være av betydning i denne sammenheng. Sikkerhetsloven av 20. mars 1998 nr. 10 med tilhørende forskrifter gir særregler på dette området for skjermeverdig informasjon. Noen av politiets dokumenter kan også falle inn under beskyttelsesinstruksen 17. mars 1972 nr. 3352, som kommer til anvendelse ved behandling av dokumenter som trenger beskyttelse av andre grunner enn de som er nevnt i sikkerhetsloven med forskrifter.
I personverndirektivet artikkel 17 nr. 1 fremgår:
«den behandlingsansvarlige skal iverksette hensiktsmessige tekniske og organisatoriske tiltak for å beskytte personopplysninger mot tilfeldig eller ulovlig ødeleggelse, mot tilfeldig tap, mot ikke-autorisert endring, spredning eller tilgang, særlig når behandlingen omfatter overføring av opplysninger i et nett, samt mot enhver annen form for ulovlig behandling. Disse tiltakene skal, idet det tas hensyn til nåværende utviklingstrinn i teknikken og kostnadene ved iverksettingen, sørge for et tilstrekkelig sikkerhetsnivå i forhold til de farer behandlingen innebærer, og arten av opplysninger som skal beskyttes».
I rammebeslutning om personvern i tredje søyle er informasjonssikkerhet utførlig regulert i artikkel 22, som har følgende ordlyd:
«1. Medlemsstatene skal sørge for at de kompetente myndigheter iverksetter hensiktsmessige tekniske og organisatoriske tiltak for å beskytte personopplysninger mot utilsiktet eller ulovlig tilintetgjørelse, mot utilsiktet tap, mot endringer, mot ikke-autorisert formidling eller tilgang, særlig hvis behandlingen innebærer overføring av opplysninger over nett eller at opplysningene stilles til rådighet ved å gi direkte elektronisk tilgang, samt mot enhver annen form for ulovlig behandling; det bør i denne sammenheng tas særlig hensyn til risiko som behandlingen innebærer, og typen opplysninger som skal beskyttes. Disse tiltakene skal sørge for et tilstrekkelig sikkerhetsnivå i forhold til den risiko behandlingen innebærer og typen opplysninger som skal beskyttes, idet det tas hensyn til ny teknologi og kostnadene forbundet med iverksettelsen av tiltakene.
2. Når det gjelder elektronisk databehandling, skal hver medlemsstat treffe egnede tiltak for å:
hindre at ikke-autoriserte personer får tilgang til anleggene som benyttes ved behandling av personopplysninger (kontroll med fysisk tilgang til anleggene),
hindre at datamedier kan leses, kopieres, endres eller fjernes av ikke-autoriserte personer (kontroll med datamedier),
hindre ikke-autorisert registrering av opplysninger og ikke-autorisert lesing, endring eller sletting av registrerte personopplysninger (kontroll med lagring),
hindre at edb-systemene kan benyttes av ikke-autoriserte personer ved hjelp av datakommunikasjonsutstyr (brukerkontroll),
sikre at personer som er autorisert til å bruke et edb-system kun har tilgang til de opplysningene som omfattes av vedkommendes tilgangstillatelse (kontroll med datatilgang),
sikre at det er mulig å kontrollere og fastslå hvilke organer personopplysninger er blitt eller kan ha blitt overført til eller stilt til rådighet for ved hjelp av datakommunikasjonsutstyr (kontroll med kommunikasjonsutstyr),
sikre at det er mulig i etterkant å kontrollere og fastslå hvilke personopplysninger som er blitt lagt inn i edb-systemene, når og av hvem (kontroll med innlegging),
hindre ikke-autorisert lesing, kopiering, endring eller sletting av personopplysninger under overføring av slike data eller under transport av datamedier (kontroll med transport),
sikre at de installerte systemene kan gjenopprettes i tilfelle tekniske forstyrrelser inntreffer (gjenoppretting),
sikre at systemet fungerer, at det meldes fra om driftsfeil (pålitelighet), og at lagrede opplysninger ikke kan bli forfalsket som følge av feilfunksjon i systemet (dataintegritet).»
Denne detaljerte reguleringen viser at medlemslandene er svært opptatt av å sikre at opplysinger behandles på en betryggende måte og at de beskyttes mot uautorisert bruk eller tilgang.
10.1.2 Utvalgets forslag
Utvalget behandler informasjonssikkerhet i kapittel 18, og særlig i punkt 18.4 i utredningen.
Utvalget foreslår at de nedfelte kravene til informasjonssikkerhet i personopplysningsloven også skal komme til anvendelse på politiets behandling av opplysninger. Utvalget viser til at det er en målsetting at lovbestemmelsene for informasjonssikkerhet skal være like innenfor de ulike sektorer, slik at det kan fastsettes konkrete utfyllende bestemmelser i forskrift innenfor hver sektor. Utvalget forutsetter videre at det utarbeides forskrifter, som utfyller lovens krav til informasjonssikkerhet. I denne forbindelse uttaler utvalget at bestemmelsene som er nedfelt i personopplysningsforskriften kapittel 2 må være minstekrav som stilles til politiets og påtalemyndighetens informasjonssikkerhet, og at det kan være aktuelt å oppstille ytterligere krav.
I punkt 18.4.2 i utredningen knytter utvalget noen bemerkninger til pliktene som påligger den behandlingsansvarlige, og uttaler i denne forbindelse følgende:
«Selv om det er fastsatte regler i forskrifts form, vil det gjenstå et stort arbeid for politiet og den behandlingsansvarlige. Det er i utgangspunktet den behandlingsansvarlige som er ansvarlig for at sikkerhetskravene er oppfylt, men for politiet og påtalemyndighet må det også tas hensyn til organisasjonsoppbygning. Det vil således være naturlig at overordnede organer og særorganer har sentrale roller i dette arbeidet, og det samme gjelder Politiets Datatjeneste.»
Utvalget mener videre at det vil være nødvendig å utarbeide overordnede styringsdokumenter med henblikk på sikkerhetsmål, sikkerhetsstrategi og risikovurdering.
10.1.3 Høringsinstansenes syn
Datatilsynet har merknader vedrørende plassering av behandlingsansvaret, som for så vidt gjelder alle bestemmelser der behandlingsansvaret er omtalt, og uttaler følgende:
«Datatilsynet savner en tydeliggjøring av hvor i politiet behandlingsansvaret skal plasseres. Dette går ikke frem av noen av de foreslåtte bestemmelser. Det er viktig at den som pålegges dette ansvaret, er kjent med det og således føler en nærhet til det foreslåtte lovverk. Dette er av betydning for den senere etterlevelse av forslagets bestemmelser i den praktiske virkelighet. Uten at ansvaret eksplisitt er fastslått og plassert, vil man kunne få problemer i forhold til å løse enkeltsaker og følge opp de plikter som lovverket etablerer. Datatilsynet foreslår at politimesteren i hvert distrikt anses for behandlingsansvarlig for de behandlinger som skjer innenfor distriktet, herunder bruk av de sentrale registrene.
Hva gjelder forslagets § 6, siste ledd, forstår Datatilsynet det dit hen at forskriftskompetansen først og fremt er myntet på politiets sentrale registre, slik at det på sikt kan vedtas en forskrift for hvert sentrale register. Med denne forståelse lagt til grunn, vil behandlingsansvaret for de overskytende behandlinger fortsatt stå uten en formell plassering».
Når det spesielt gjelder utvalgets forslag til § 10 anfører Datatilsynet at kryptering av datanettet vil fremstå som et adekvat tiltak for å tilfredsstille kravene til informasjonssikkerhet.
Nasjonal sikkerhetsmyndighet (NSM) anfører at det av pedagogiske grunner bør gjøres en henvisning til sikkerhetsloven i forslaget til bestemmelsen om informasjonssikkerhet, idet dette vil gi et signal til både dem som utvikler og utsteder informasjon, og til dem som behandler denne. NSM påpeker at dersom informasjonen er skjermeverdig av hensyn til rikets selvstendighet og sikkerhet, så skal informasjonen sikres i henhold til sikkerhetsloven med tilhørende forskrifter. Siden dette innebærer et annet sikkerhetsregime enn det man legger opp til i forslaget, er det etter NSMs oppfatning grunn til å nevne dette unntaket spesielt.
10.1.4 Departementets vurdering
Informasjonssikkerhet dreier seg om tekniske og organisatoriske tiltak for å fremme en tilfredsstillende beskyttelse av opplysninger med hensyn til konfidensialitet, integritet og tilgjengelighet. Kravet til konfidensialitet skal sikre at informasjonen ikke blir gjort tilgjengelig for uvedkommende. Kravet til integritet skal sikre at personopplysninger ikke endres utilsiktet eller av uvedkommende, mens kravet til tilgjengelighet skal sikre at personopplysninger er tilgjengelige for rettmessige brukere når de har behov for det.
Som påpekt av utvalget er det en målsetting at lovbestemmelsene om informasjonssikkerhet skal være like innenfor de ulike sektorer, og departementet er enig i at lovforslaget til § 15 bør være sammenfallende med den tilsvarende bestemmelsen om informasjonssikkerhet i personopplysningsloven.
Departementet har merket seg at Datatilsynet etterlyser en tydeliggjøring av hvor i politiet behandlingsansvaret skal plasseres. Som nevnt av utvalget vil det bli nødvendig med en omfattende forskriftsregulering med hensyn til informasjonssikkerhet, og departementet finner det mest hensiktsmessig at plasseringen av behandlingsansvaret reguleres der. Datatilsynet synes å legge til grunn at forskriftskompetansen i utvagets forslag til § 6 siste ledd, jf. departementets forslag til § 14, først og fremst er myntet på politiets sentrale registre, slik at behandlingsansvaret for de overskytende behandlinger vil stå uten noen formell plassering. Departementet finner grunn til å understreke at lovforslaget ikke kan forstås på denne måten. Lovforslaget til § 14 er ikke bare en forskriftskompetanse, men gir utrykk for en plikt til å gi særskilte forskrifter for hvert enkelt av de registre og systemer som er nevnt i bestemmelsen. Den generelle forskriftskompetansen fremgår derimot av lovforslaget til § 69, hvoretter det blant annet kan gis forskrifter om informasjonssikkerhet. Dette innebærer at det for de registrene som er nevnt i lovforslaget til kapittel 3 og for all annen behandling som finner sted i registre, vil bli utarbeidet egne forskrifter i samsvar med anvisningen i lovforslaget til § 14, mens det for den øvrige behandlingen vil bli gitt generelle forskrifter i medhold av lovforslaget til § 69. Siden loven gjelder for hele politiet og påtalemyndigheten vil det med andre ord bli nødvendig med detaljerte bestemmelser om hvor behandlingsansvaret skal plasseres i de ulike politidistriktene, særorganene og innenfor påtalemyndigheten. Denne fremgangsmåten har man for øvrig også valgt i forskriften til SIS-loven. Det kan også nevnes at departementet tar sikte på at utarbeidelsen av forskrifter om informasjonssikkerhet og internkontroll vil foregå i nært samarbeid med Datatilsynet.
Departementet finner det heller ikke nødvendig å vise særskilt til sikkerhetsloven i lovforslaget til § 15, jf. merknadene fra NSM, idet det følger av lovens system at sikkerhetsloven med tilhørende forskrifter går foran andre lovers bestemmelser når det gjelder behandling av skjermeverdige opplysninger. Departementet vil imidlertid vurdere om dette for ordens skyld bør nedfelles i forskriften.
10.2 Internkontroll
10.2.1 Nasjonale og internasjonale rammer for lovgivningen
Internkontroll er regulert i personopplysningsloven § 14, hvor det i første ledd heter: «Den behandlingsansvarlige skal etablere og holde vedlike planlagte og systematiske tiltak som er nødvendige for å oppfylle kravene i eller i medhold av denne loven, herunder sikre personopplysningenes kvalitet».
Reglene er ytterligere spesifisert i personopplysningsforskriften kapittel 3.
Personverndirektivet har visse spredte bestemmelser som pålegger behandlingsansvarlig å sørge for at regler overholdes. Slike bestemmelser finnes blant annet i artikkel 6 nr. 2 om opplysningenes kvalitet, og artikkel 19 nr. 2, jf. artikkel 21 nr. 3 om krav til behandlinger som ikke er underlagt meldeplikt.
Rammebeslutning om personvern i tredje søyle har ingen egen bestemmelse om internkontroll, men utformingen av artikkel 22 om informasjonssikkerhet forutsetter at det også treffes foranstaltninger som sikrer kontroll med at de pålagte sikkerhetstiltakene faktisk blir gjennomført og overholdt.
10.2.2 Utvalgets forslag
Utvalget behandler internkontroll i punkt 18.3 i utredningen.
Utvalgets forslag til § 11 om internkontroll tilsvarer personopplysningsloven § 14, og utvalget påpeker at det er ønskelig at lovreguleringen av internkontroll er identisk innenfor ulike sektorer. Utvalget anbefaler dernest at kravene til internkontroll reguleres nærmere i forskriften.
10.2.3 Høringsinstansenes syn
Ingen av høringsinstansene hadde merknader til forslaget.
10.2.4 Departementets vurdering
Departementet slutter seg til utvalgets forslag, samt anbefalingen om at det gis utfyllende regler om internkontroll i forskriften.
Regler om internkontroll er generelt viktige, idet de sikrer at lovens krav til behandling av opplysninger blir overholdt. Behandlingen av opplysninger innenfor politiet og påtalemyndigheten er meget omfattende, og de opplysninger som behandles er delvis av svært sensitiv art. Dette, kombinert med det store behovet for intern utveksling av og tilgang til opplysninger, samt det faktum at mange ønsker å få uautorisert tilgang til politiets opplysninger, gjør det nødvendig å etablere gode sikkerhetstiltak. Det er spesielt viktig at internkontrollen sikrer at regelverket til enhver tid gjennomføres og overholdes.
10.3 Krav til sporbarhet
10.3.1 Utvalgets forslag
Utvalget behandler spørsmålet i punkt 18.5 i utredningen og uttaler følgende:
«Utvalget har vurdert om det skal pålegges at systemene politiet benytter skal være sporbare. Med dette menes at det i ettertid kan konstateres hva som er gjort i et dataanlegg/informasjonssystem, herunder hvem som har fått tilgang til opplysningene.
Utvalget anbefaler at politiets informasjonssystemer, som da omfatter all elektronisk behandling av opplysninger, skal være sporbare. Dette vil i prinsippet være et kontrollerende tiltak i forhold til at reglene i politiregisterloven overholdes. I flere straffesaker har det vært problemer med lekkasjer, trolig fra politiet, og det har vist seg at kravet til tjenestemessig behov for å innhente opplysninger ikke alltid respekteres. Politiregisterloven legger i utgangspunktet opp til forholdsvis stor frihet for politiet, og det er nødvendig å kunne kontrollere at reglene blir overholdt. Det er dette som ligger i krav til «sporbarhet». Hvorledes dette skal gjøres, vil variere fra behandling til behandling, og sannsynligvis endre seg i takt med den teknologiske utviklingen.
Det anbefales at sporbarhet kombineres med rutiner som raskt avdekker uautorisert bruk, og at korrigerende tiltak iverksettes.»
10.3.2 Høringsinstansenes syn
Nærings- og handelsdepartementet uttaler at bruk av ekstensiv logging av tilgang til systemene som lagrer sensitive opplysninger bør avveies nøye i forhold til både de ansattes personvern og mulige ytelsesmessige problemer en slik logging kan medføre. Det anføres videre at autentisering ved for eksempel personlig elektronisk signatur kan være en like god metode for sporing, samtidig som den utføres med den ansattes vitende, og gir således større forutsigbarhet og kontroll over egen arbeidssituasjon.
Datatilsynet uttaler at logging er et viktig ledd i kontrollen med den registrertes personvern, men at utstrakt bruk av logging kan representere en trussel mot polititjenestemenns eget personvern. Det er derfor av stor viktighet at logger kun benyttes til å kontrollere hvorvidt krav i forhold til sikkerhet og tilgang overholdes.
Helgeland politidistrikt uttaler at forslaget om sporbarhet både har fordeler og ulemper, men er betenkt over at «trusselen» om sporbarhet vil kunne hindre en optimal kriminalitetsbekjempelse, og anfører i denne forbindelse:
«Hvis ønsket er at alt politioperativt personell skal bidra i dette arbeidet, må det ikke legges for sterke begrensninger – selv om politimannen ikke direkte arbeider med den konkrete saken. Hvor ofte er det ikke at tjenestemenn på nattevakter eller en stille søndag formiddag har spanet i tilgjengelige registre eller lest en aktuell straffesak, og på denne måten fått på plass brikken som manglet i puslespillet? Dette må vi fortsatt kunne gjøre uten å risikere etterfølgende etterforskning.»
Helgeland politidistrikt mener at dersom sporbarhet blir lovfestet, må dette kun benyttes i de tilfeller hvor det kan være snakk om at tjenestemenns handlinger har skadet etterforskningen eller lignende ved for eksempel lekkasjer til pressen, og ikke fordi en kunnskapssøkende kollega har lest en straffesak.
Politiets data- og materielltjeneste mener at en minstetid på oppbevaring av logger på tre måneder i mange tilfeller vil være for kort. Det anbefales at minstetid for oppbevaring av logger vedrørende brukeraktivitet spesifiseres nærmere i forskriften, da det vil være varierende behov avhengig av registerets innhold og viktighet.
10.3.3 Departementets vurdering
Sporbarhet er en grunnleggende forutsetning for at bruk av registrene og systemene kan kartlegges, og vil derved være et viktig kontrollerende tiltak for å sikre at reglene i loven overholdes.
Lovforslaget til § 17 er utformet slik at det klart fremgår hva som er formålet med kravet til sporbarhet og hva opplysningene om bruk av systemet kan brukes til. Ved at man i lovs form gir anvisning på at formålet er å forebygge og kontrollere brudd på loven, og at opplysningene kan brukes til å kontrollere og sanksjonere urettmessig bruk, oppnår man etter departementets oppfatning en god balansegang mellom personvernet til de registrerte på den ene siden og personvernet til de ansatte på den annen side. Som fremhevet av Datatilsynet er logging et viktig ledd i kontrollen med de registrertes personvern. Uten logging vil det i praksis nærmest være umulig å finne ut hvem som står bak en lekkasje eller annen urettmessig bruk. Når det gjelder personvernet til de ansatte, mener departementet at bestemmelsen ikke bare skaper forutberegnelighet for de ansatte, men at den gjennom sin klare ordlyd også utelukker at logging brukes til noe annet enn å kontrollere hvorvidt kravene til sikkerhet og tilgang er overholdt.
Helgeland politidistrikt gir en god beskrivelse av de situasjoner som for tjenestemennene vil kunne fortone seg som et dilemma, og antyder at en for stringent håndhevelse av bestemmelsen vil kunne skade kriminalitetsbekjempelsen. Departementet ønsker å understreke at bestemmelsen om sporbarhet ikke tar sikte på å hindre søk i registre eller straffesaksdokumenter for derved å finne relevant informasjon. Lovens utgangspunkt er fri informasjonsflyt innad i politiet så sant vedkommende tjenestemann har tjenestelig behov. Om tilgang til opplysninger er rettmessig vil derfor først og fremst være avhengig av om vedkommende har tjenestemessig behov eller ikke. I praksis vil dette innebære at politiet gis nokså store friheter, idet begrepet tjenestemessig behov ikke kan sies å være et snevert avgrensningskriterium. Dersom politiet for eksempel etterforsker et ran eller kartlegger et kriminelt miljø i forbindelse med kriminaletterretning, vil det være tjenestemessig behov å søke i andre tilgjengelige opplysninger for eventuelt å finne likheter eller et mønster eller andre ledetråder. I denne forbindelse vil politiet få tilgang til mange opplysninger, som viser seg ikke å være av interesse, men vilkåret om tjenestemessig behov vil like fullt være oppfylt. Derimot vil bruken være urettmessig dersom søkingen er motivert av ren nysgjerrighet, som for eksempel søk i straffesaker med stor medieoppmerksomhet, uten at det ellers foreligger noen saklig grunn for søkingen.
Hovedformålet er å kunne oppklare brudd på regelverket, samt å være i stand til å kontrollere og eventuelt sanksjonere urettmessig bruk av opplysninger. Det er på denne bakgrunn etter departementets oppfatning ingen grunn til å frykte at sporbarhet vil hindre en effektiv kriminalitetsbekjempelse.
Politiets data- og materielltjeneste påpeker at utvalgets foreslåtte minstetid på tre måneder for oppbevaring av logger i mange tilfeller vil være for kort. Til dette vil departementet bemerke at det ikke er noe i veien for å utvide denne fristen i forskriften så lenge loven kun gir anvisning på en minstetid. På den annen side kan det fremstå som mindre heldig dersom man i forskriften utvider minstefristen i betydelig grad, selv om man mener at dette er nødvendig. Dette forsterkes ved at utvalget ikke har foreslått en ytre grense for oppbevaring av logger. Departementet finner det i denne sammenheng naturlig å sammenligne utvalgets forslag med den ordning som finnes i Schengen-informasjonssystem (SIS-lovgivningen). EUs råd vedtok 29.4.04 forordning (EF) nr. 871/2004, der man blant annet endret artikkel 103 om logging. Før endringen skulle hver tiende overføring av personopplysninger i SIS registreres (logges), og slik registrering skulle slettes etter seks måneder. Etter endringen skulle alle overføringer registreres, og sletting skulle skje tidligst etter ett år og senest etter tre år. Denne forordningen ble gjennomført i 2006 ved å endre SIS-forskriften § 7 – 14 tilsvarende. Bakgrunnen for endringen var en erkjennelse av at den tidligere absolutte slettefristen på seks måneder i flere tilfeller har vist seg å være for kort. Dersom misbruk av systemet først ble oppdaget etter denne fristen, hadde man ingen mulighet til å kunne finne ut hvem som har vært inne på SIS på angjeldende tidspunkt. Norge har sluttet seg til EUs forslag under forhandlingene om nevnte rettsakt, og det fremkom på dette punkt heller ingen innvendinger under høringen av endringsforslagene til SIS-forskriften. På denne bakgrunn og hensett til at det er av verdi i seg selv å operere med ensartete regler hva gjelder politiets registre og systemer, foreslår departementet den samme ordning for logging i politiregisterloven som i SIS-forskriften. Man anser det også som en fordel at loven gir anvisning på en lengste frist, slik at man på denne måten hindrer urimelig lange oppbevaringsfrister.
Mer detaljerte regler om oppbevaringstiden av logger vil da fortsatt kunne gis i forskriften.
10.4 Krav til databehandleren
10.4.1 Nasjonale og internasjonale rammer for lovgivningen
Databehandlerens rådighet over personopplysninger er regulert i personopplysningsloven § 15, som lyder:
«En databehandler kan ikke behandle personopplysninger på annen måte enn det som er skriftlig avtalt med den behandlingsansvarlige. Opplysningene kan heller ikke uten slik avtale overlates til noen andre for lagring eller bearbeidelse.
I avtalen med den behandlingsansvarlige skal det også gå frem at databehandleren plikter å gjennomføre slike sikringstiltak som følger av § 13.»
I rammebeslutning om personvern i tredje søyle er databehandlerens funksjon omtalt i artikkel 22 nr. 3 og 4, som har følgende ordlyd:
«3. Medlemsstatene skal fastsette bestemmelser om at databehandler kan utpekes bare dersom de kan gi de nødvendige garantier med hensyn til de tekniske og organisatoriske tiltak i henhold til nr. 1 og overholder instruksene i artikkel 21. Den kompetente myndighet skal kontrollere at databehandleren lever opp til disse kravene.
4. Databehandleren kan bare behandle personopplysninger på grunnlag av en rettsakt eller en skriftlig kontrakt.»
10.4.2 Utvalgets forslag
Utvalgets forslag til § 13 om databehandlerens rådighet over opplysninger er sammenfallende med den tilsvarende bestemmelsen i personopplysningsloven. I tillegg foreslås det at databehandleren skal pålegges den samme taushetsplikt i samsvar med utvalgets forslag til § 29, og at et slikt pålegg skal fremgå av instruksen for eller avtalen med den behandlingsansvarlige.
I tillegg foreslår utvalget at det kan kreves uttømmende politiattest av enhver som er ansatt hos eller utfører tjeneste for databehandleren, og at disse må ha plettfri vandel.
10.4.3 Høringsinstansenes syn
Ingen av høringsinstansene hadde merknader til forslaget.
10.4.4 Departementets vurdering
På lik linje med forslagene om informasjonssikkerhet og internkontroll er departementet enig i at bestemmelsen om databehandlerens rådighet er sammenfallende med de tilsvarende bestemmelsene i den alminnelige personvernlovgivningen. Det er videre viktig at det for databehandlerne gjelder de samme taushetspliktsreglene som for politiet når de behandler opplysninger på vegne av politiet.
Departementet er videre enig i at det er behov for vandelskontroll for personer som er tilsatt hos eller utfører tjeneste for databehandleren. Det synes imidlertid å være noe overdrevent når utvalget både åpner for adgang til å innhente uttømmende politiattest og stiller krav om at de angjeldende personene må ha plettfri vandel. Et krav om plettfri vandel innebærer i realiteten et yrkesforbud for personer som har en anmerkning i strafferegisteret. Sammenholdt med at det kreves uttømmende politiattest fører et slikt krav etter departementets oppfatning for langt. I denne sammenheng må det også ses hen til hvilke opplysninger databehandleren får tilgang til. Dersom databehandleren gjennom sitt arbeid får eller kan få tilgang til samtlige av politiets registre og systemer, er departementet enig i at det må stilles strenge krav. På den annen side kan slik tilgang være nokså begrenset. Som eksempel kan nevnes analyseinstitusjoner som analyserer biologisk materiale etter oppdrag fra politiet. For denne gruppen kan man ikke se at det skulle være nødvendig å oppstille et krav om plettfri vandel. For eksempel kan det ikke være noe i veien for at en biolog eller tekniker foretar DNA-analyser selv om han for 20 år siden fikk et forelegg for en mindre alvorlig straffbar handling. Når det åpnes for at det kan kreves uttømmende attest vil arbeidsgiveren kunne vurdere om eventuelle anmerkninger på attesten kan være av betydning for vedkommendes egnethet eller pålitelighet. Departementet mener at dette må være tilstrekkelig, og følger således ikke opp utvalgets forslag om krav til plettfri vandel. På den annen side ser man at det er behov for å gi nærmere regler i forskrifts form om spørsmål knyttet til vandelskontroll for personer som faller inn under denne bestemmelsen. Siden hjemmelen for å kunne kreve uttømmende politiattest er utformet som en «kan-regel», vil det i forskriften også være adgang til å nøye seg med krav om ordinær politiattest. Dette kan for eksempel være aktuelt for tilsatte i de nevnte analyseinstitusjonene. Disse spørsmålene vil bli undergitt en nærmere vurdering i forbindelse med utarbeidelsen av forskriften, som da også vil være gjenstand for høring.