13 Informasjonssikkerhet og den behandlingsansvarliges ansvar
13.1 Gjeldende rett
Gjeldende konsesjoner for kredittopplysningsvirksomhet inneholder ikke særskilte bestemmelser om informasjonssikkerhet og internkontroll. Imidlertid har kredittopplysningsforetakene vært underlagt de alminnelige reglene i personopplysningsloven 2000 §§ 13 til 15 med forskrifter. Dette betyr at kredittopplysningsforetakene har plikt til å iverksette de informasjonssikkerhetstiltakene som vurderes nødvendige ut fra hensynet til opplysningenes konfidensialitet, integritet og tilgjengelighet. Informasjonssikkerhetstiltakene skal dokumenteres. Etter personopplysningsloven 2000 § 14 gjaldt også plikt til å etablere internkontroll for å sikre etterlevelse av personvernregelverkets krav.
13.2 Forordningen
Personvernforordningen kapittel IV inneholder bestemmelser om plikter for den behandlingsansvarlige og dennes databehandler(e). Etter personvernforordningen artikkel 24 skal den behandlingsansvarlige gjennomføre «egnede tekniske og organisatoriske tiltak for å sikre og påvise at behandlingen utføres i samsvar med […] forordning». Artikkel 25 etablerer plikt til å benytte innebygd personvern og personvern som standardinnstilling, mens artikkel 32 til 34 oppstiller regler om informasjonssikkerhet og varsling ved brudd på personopplysningssikkerheten.
Videre oppstiller personvernforordningen artikkel 35 plikt til å foreta utredning av personvernkonsekvenser ved behandling av personopplysninger dersom det er trolig at behandlingen kan medføre en høy risiko for de registrertes rettigheter og friheter. I enkelte særlige tilfeller kan det også være nødvendig for den behandlingsansvarlige å gjennomføre forhåndsdrøftinger med tilsynsmyndigheten i samsvar med personvernforordningen artikkel 36. Sist, men ikke minst, oppstiller forordningen artikkel 37 nr. 1 bokstav b plikt til å utpeke personvernombud dersom den behandlingsansvarliges
«hovedvirksomhet består av behandlingsaktiviteter som på grunn av sin art, sitt omfang og/eller formål krever regelmessig og systematisk monitorering i stor skala av registrerte».
Forordningen kapittel IV del 5 omhandler sertifisering og atferdsnormer.
13.3 Forslaget i høringsnotatet
Departementet la i høringsnotatet til grunn at kredittopplysningsforetakenes behandling av personopplysninger vil være dekket av de generelle reglene i personvernforordningen kapittel IV om behandlingsansvarlig og databehandler, som vil supplere de nasjonale kredittopplysningsreglene. Etter forordningens regler vil det måtte gjennomføres en risikovurdering som grunnlag for gjennomføring av de konkrete informasjonssikkerhetstiltakene som iverksettes. Tiltakene må dokumenteres.
Departementet la videre til grunn at bestemmelsene i personvernforordningen kapittel IV også bør gis anvendelse for behandling av kredittopplysninger om juridiske personer så langt de passer. Departementet vurderte at ansvar for behandlingen og kontroll med informasjonssikkerheten er vel så relevant ved behandling av virksomhetsrelaterte opplysninger som ved behandling av personopplysninger. Dersom man først mener det er grunn til å regulere behandling av kredittopplysninger om juridiske personer, er det også grunn til å sørge for gode rammer for etterlevelse og oppfølging av sikkerheten rundt behandlingen. Departementet foreslo på denne bakgrunn å gi bestemmelsene om ansvar for etterlevelse av regelverket (artikkel 24), om felles behandlingsansvar, bruk av databehandler og databehandlerens ansvar (artikkel 26 til 29), om ansvaret for å føre protokoll over egne behandlinger (artikkel 30), om samarbeid med tilsynsmyndigheten (artikkel 31) og om informasjonssikkerhet (artikkel 32 til 34) generell anvendelse. Samtidig vurderte departementet at det ikke er nødvendig å gi bestemmelsene om vurdering av personvernkonsekvenser (artikkel 35), forhåndsrøfting med Datatilsynet (artikkel 36) og bestemmelsene om personvernombud (artikkel 37 til 39) anvendelse for behandling av opplysninger om juridiske personer.
Når det gjelder personvernforordningens regler om sertifisering og atferdsnormer i artikkel 40 til 43, ga departementet i høringsnotatet uttrykk for at det kan være hensiktsmessig å la disse reglene gjelde også for behandling av opplysninger om juridiske personer. Departementet gikk også inn for at eventuelle atferdsnormer som skal regulere behandling av kredittopplysninger om juridiske personer skal godkjennes av tilsynsmyndigheten.
13.4 Høringsinstansenes syn
Datatilsynet har gitt uttrykk for at verken personvernforordningens regler om atferdsnormer (artikkel 40 og 41) eller om sertifisering (artikkel 42 og 43) bør gjelde for behandling av kredittopplysninger om juridiske personer. Tilsynet viser blant annet til at det vil pålegge dem betydelig ekstra oppgaver dersom ordningene omhandlet i de nevnte bestemmelsene skal gjelde for juridiske personer. De viser også til at både ordningen med atferdsnormer og sertifiseringsordningen har en side mot europeisk personvernsamarbeid som ikke vil kunne fungere for de ordningene som iverksettes for juridiske personer. Høringsinstansen har samtidig gitt uttrykk for at personvernforordningen artikkel 25 om innebygd personvern og personvern som standardinnstilling bør gis anvendelse for behandling av opplysninger både om fysiske personer og enkeltpersonforetak. Datatilsynet mener ellers at bestemmelsene i personvernforordningen kapittel IV avsnitt 1 om behandlingsansvarliges og databehandlers generelle forpliktelser og avsnitt 2 om personopplysningssikkerhet bør gjelde for behandling av opplysninger om juridiske personer.
Juristforbundet på sin side støtter forslaget om å la alle de i høringsforslaget angitte bestemmelsene om den behandlingsansvarliges plikter gjelde også ved behandling av kredittopplysninger om juridiske personer. Høringsinstansen begrunner dette slik:
«All den tid konsekvensene også for næringsdrivende må sies å kunne være betydelige ved en uriktig behandling av opplysninger, kan ikke Juristforbundet se at det er mindre grunn til å oppstille rammer for etterlevelse og kontroll på dette området. Til dette kommer at kredittopplysningsvirksomhet rettet mot næringsdrivende i stor grad er pålagt å følge tilsvarende bestemmelser per i dag, slik at det ikke kan anses særlig byrdefullt at tilsvarende regulering videreføres.»
13.5 Departementets vurderinger
Departementet mener det er viktig at behandlingsansvarlige som behandler kredittopplysninger sørger for god informasjonssikkerhet slik at opplysningenes integritet, tilgjengelighet og konfidensialitet sikres. Dette gjelder uansett om det behandles opplysninger om fysiske eller juridiske personer. Det må etableres rutiner for gjennomføring av risikovurderinger, tiltak for ivaretakelse av informasjonssikkerheten og opprettelse av personvernombud der dette vurderes som nødvendig.
For så vidt gjelder behandling av opplysninger om fysiske personer i kredittopplysningsvirksomhet vil dette være dekket av de generelle reglene i personvernforordningen kapittel IV om behandlingsansvarlig og databehandler, som vil gjelde i tillegg til de nasjonale kredittopplysningsreglene. Etter forordningens regler vil det måtte gjennomføres en risikovurdering som grunnlag for iverksetting av informasjonssikkerhetstiltak. Tiltakene må dokumenteres. Det finnes regler om den behandlingsansvarliges ansvar i personvernforordningen artikkel 24, om bruk av databehandler i artikkel 28 og om informasjonssikkerhet i artiklene 32 til 34. Der virksomheten tilfredsstiller kriteriene i artikkel 37, må det etableres personvernombud. Kredittopplysningsforetakene har også anledning til å la seg sertifisere eller slutte seg til en atferdsnorm dersom dette blir utarbeidet.
Det er kun to høringsinstanser som har kommentert forslaget i høringsnotatet om å la utvalgte av bestemmelsene om behandlingsansvarliges og databehandlers ansvar gjelde ved behandling av kredittopplysninger om juridiske personer. Begge disse støtter at personvernforordningens bestemmelser i artikkel 24 og 26 til 34 gis generell anvendelse for all behandling av kredittopplysninger. Dette er bestemmelser om ansvar for etterlevelse av regelverket (artikkel 24), om felles behandlingsansvar, bruk av databehandler og databehandlerens ansvar (artikkel 26, 28 og 29), om ansvaret for å føre protokoll over egne behandlinger (artikkel 30), om samarbeid med tilsynsmyndigheten (artikkel 31) og om informasjonssikkerhet (artikkel 32 til 34). Ansvar for behandlingen og kontroll med informasjonssikkerheten vurderes å være vel så relevant ved behandling av virksomhetsrelaterte opplysninger som ved behandling av personopplysninger. Departementet vurderer at når det foreslås å regulere behandling av kredittopplysninger om juridiske personer, er det samtidig riktig og naturlig å sørge for gode rammer og ansvar for etterlevelse og oppfølging av sikkerheten rundt behandlingen. Det foreslås derfor i lovforslaget § 5 at personvernforordningens bestemmelser om den behandlingsansvarliges ansvar, felles behandlingsansvar, bruk av databehandler, protokoller over behandlingsaktiviteter og samarbeid med tilsynsmyndigheten gjelder for all behandling av opplysninger i kredittopplysningsvirksomhet. Også forordningens bestemmelser i artikkel 32 til 34 om personopplysningssikkerhet er foreslått å gjelde fullt ut for behandling av opplysninger i kredittopplysningsvirksomhet.
Samtidig vurderer departementet, i tråd med forslaget i høringsnotatet, at det ikke er nødvendig å gi bestemmelsene i artikkel 35 til 39 anvendelse for behandling av opplysninger om juridiske personer. Dette er bestemmelser om vurdering av personvernkonsekvenser, om forhåndsdrøfting med Datatilsynet og om personvernombud. Disse bestemmelsene er svært personvernspesifikke, og det synes derfor mindre naturlig å gi dem anvendelse på behandling av opplysninger om juridiske personer. Dette innebærer at kredittopplysningsvirksomhet som kun omfatter behandling av opplysninger om juridiske personer kan se bort fra disse bestemmelsene. For de virksomhetene som behandler opplysninger om både fysiske og juridiske personer, er det heller ikke nødvendig å la vurderinger av personvernkonsekvenser eller eventuelle forhåndsdrøftinger med Datatilsynet omfatte de delene av behandlingen som kun gjelder opplysninger om juridiske personer.
Datatilsynet har påpekt at artikkel 25 om innebygd personvern og personvern som standardinnstilling må gis anvendelse på behandling av opplysninger om enkeltpersonforetak. I og med at departementet har konkludert med at enkeltpersonforetak i alle henseender skal behandles som fysiske personer, vil bestemmelsen om innebygd personvern og personvern som standardinnstilling også gjelde ved behandling av kredittopplysninger om enkeltpersonforetakene. Departementet vurderer derfor at det ikke er behov for særregulering for å ivareta innspillet fra Datatilsynet.
Når det gjelder forordningens regler om sertifisering og atferdsnormer i artikkel 40 til 43, ser departementet at det kan være praktiske utfordringer knyttet til å la disse reglene gjelde også for behandling av kredittopplysninger om juridiske personer. Bestemmelsene åpner for frivillige godkjenningsordninger, men forutsetter samtidig at både sertifiseringskriterier og bransjenormer godkjennes av et sertifiseringsorgan og/eller tilsynsmyndigheten. Departementet ser at det vil kunne føre til merarbeid for Datatilsynet dersom de skal godkjenne ordninger som kun gjelder for behandling av opplysninger om juridiske personer. En slik rolle ville gå ut over tilsynsmyndighetens oppgaver etter personvernforordningen artikkel 57. Dessuten vil, som Datatilsynet selv har påpekt i sin høringsuttalelse, verken atferdsnormer eller sertifisering som gjelder behandling av opplysninger om juridiske personer, kunne godkjennes av Det europeiske personvernrådet slik forordningen forutsetter. Vi ville dermed få en nasjonal løsning på siden av den løsningen personvernforordningen angir. Samtidig er departementet i tvil om den reelle verdien av å la bestemmelsene om atferdsnormer og sertifisering omfatte behandling av opplysninger om juridiske personer. Dette er frivillige ordninger som skal gjelde i tillegg til de grunnleggende reglene som følger av personvernforordningen og eventuelt supplerende nasjonal rett. I lys av dette er departementet kommet til at det ikke synes hensiktsmessig å gi bestemmelsene i personvernforordningen artikkel 40 til 43 anvendelse ved behandling av opplysninger om juridiske personer.