9 Sikring av personopplysninger
9.1 Innledning
Når utvalget i sin utredning vurderer behovet for regler om sikring av personopplysninger, sikter det til regler om tiltak av teknisk og organisatorisk art som er egnet til å sikre at lovens bestemmelser etterleves, og at opplysningene ellers behandles på måter som er i samsvar med rettspraksis, bransjevise normer og de moralske/etiske regler som måtte finnes. Det har ved flere anledninger tidligere vært tatt initiativ til å utarbeide sikkerhetsforskrifter for behandling av personopplysninger, enten i medhold av personregisterloven eller på et bredere plan. Utvalget har redegjort nærmere for de ulike initiativene på s 95 i utredningen.
9.2 Gjeldende rett
Personregisterloven § 8 b gir hjemmel for å gi forskrifter eller treffe enkeltvedtak om sikring av personopplysninger. I medhold av denne bestemmelsen er det i personregisterforskriften 21 desember 1979 gitt regler om sikring av slike personregistre som er fritatt fra konsesjonsplikten i medhold av kapittel 2 i forskriften. Særlige krav til sikring er også nedfelt i forskrift 23 mars 1995 om unntak fra konsesjonsplikt i saker om hvitvasking. Etter personregisterloven § 24 kan det gis forskrifter om sikringstiltak for databehandlinsgforetak, men denne adgangen har ikke vært benyttet.
For konsesjonspliktige personregistre setter Datatilsynet krav til sikkerheten i konsesjonsvilkårene. Datatilsynet har også utarbeidet generelle retningslinjer om informasjonssikkerhet ved behandling av personopplysninger som gir veiledning om de kravene som tilsynet oppstiller i sine konsesjoner og som det også legger til grunn i sine kontroller.
Taushetsplikten etter forvaltningsloven § 13 omfatter opplysninger om noens «personlige forhold» og visse konkurranseutsatte opplysninger. Dokumenter og annet materiale skal ifølge forvaltningsloven § 13 c oppbevares på «betryggende måte» hvis de inneholder slike opplysninger. Hvordan dette skal oppnås, sier ikke forvaltningsloven noe nærmere om.
I Sikkerhetsinstruksen og Beskyttelsesinstruksen som suppleres med Datasikkerhetsdirektivet, er det nedfelt ulike regler og pålegg som knytter seg til sikring av nærmere definerte opplysningstyper. Bestemmelsene i sikkerhetsinstruksen er videreført og videreutviklet i lov 20 mars 1998 nr 10 om forebyggende sikkerhetstjeneste (sikkerhetsloven). Loven har ennå ikke trådt i kraft.
9.3 Internasjonale regler
I henhold til artikkel 17 i EU-direktivet skal medlemsstatene gi regler om den behandlingsansvarliges plikt til å iverksette tekniske og organisatoriske tiltak for å beskytte personopplysninger som sikrer et tilstrekkelig sikkerhetsnivå i forhold til den risikoen behandlingen innebærer og arten av de opplysninger som behandles. Den behandlingsansvarlige plikter også å velge en persondatabehandler som kan tilby tilstrekkelig garanti for at de tekniske og organisatoriske sikkerhetstiltakene blir iverksatt og overholdt. Tiltakene skal foreligge i skriftlig form.
Europarådskonvensjonenhar i artikkel 7 en bestemmelse om at det skal treffes formålstjenlige sikkerhetstiltak for å verne personopplysninger lagret i elektroniske dataregistre mot tilfeldig eller ikke-autorisert adgang, forandring eller spredning.
9.4 Utvalgets forslag
Etter utvalgets syn er informasjons- og datasikkerhet en nødvendig del av en fremtidig regulering på personvernområdet. Sikringskrav vil kunne bedre etterlevelsen av lovgivningen om behandling av personopplysninger ved at de høyner bevissthetsnivået hos de behandlingsansvarlige når de som følge av slike krav må gjennomgå viktige organisatoriske og praktiske forhold ved virksomheten. Tiltak for å sikre f eks konfidensialitet vil i tillegg kunne begrunnes i andre hensyn som f eks forretningsmessige interesser. Utvalget foreslår en regel som pålegger den behandlingsansvarlige et kontinuerlig ansvar for tilstrekkelig sikring av personopplysninger, jf § 11 i utvalgets lovutkast. Til dette ansvaret knyttes det en plikt til å etablere og anvende alminnelig anerkjente metoder for informasjons-/datasikkerhet for persondatabehandlinger. Eventuelle pålegg om sikringstiltak skal kunne fastsettes av Datatilsynet gjennom enkeltvedtak.
9.5 Høringsinstansenes syn
Ingen høringsinstanser har hatt innvendinger mot forslaget om å pålegge de behandlingsansvarlige et lovfestet ansvar for tilstrekkelig sikring av personopplysninger. Enkelte instanser har hatt mer detaljerte kommentarer til utformingen av sikringsbestemmelsen, jf nærmere under merknadene til § 13.
9.6 Departementets vurdering
Kombinert med bestemmelsen om internkontroll i § 14 i lovforslaget pålegger sikringsbestemmelsen den behandlingsansvarlige å gjøre en grundig innsats for å ivareta personvernet. På denne måten vil den også kunne bidra til å bevisstgjøre de behandlingsansvarlige om tiltak for å sikre håndteringen av personopplysninger. Departementet slutter seg derfor til forslaget om å lovfeste plikten til å sørge for tilfredsstillende sikring av personopplysninger.