15 Arkivhold, informasjonssikkerhet og personvern
15.1 Gjeldende rett
Lov 15. juni 2018 nr. 38 om behandling av personopplysninger (personopplysningsloven) og Europaparlaments- og rådsforordning (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF (omtales her som personvernforordningen) regulerer behandling av personopplysninger generelt og gjelder om ikke annet er bestemt i eller med hjemmel i lov, jf. personopplysningsloven § 2 første ledd. Behandling av personopplysninger ved utøvelse av advokatvirksomhet er ikke særskilt regulert. Det følger imidlertid av personopplysningsloven § 2 andre ledd bokstav b at loven og personvernforordningen ikke gjelder for saker som behandles eller avgjøres i medhold av rettspleielovene (domstolloven, straffeprosessloven, tvisteloven og tvangsfullbyrdelsesloven mv.). Det er uklart hvorvidt bestemmelsen skal forstås slik at advokater er omfattet av unntaket når de yter bistand i saker som behandles eller avgjøres i medhold av rettspleielovene. Personopplysningsloven § 2 andre ledd bokstav b forstås imidlertid ikke slik at den generelt gjør unntak for advokatvirksomhet etter domstolloven kapittel 11.
Etter personvernforordningen artikkel 17 nr. 3 bokstav b gjøres det unntak fra regelen om sletting av opplysninger dersom opplysningene oppbevares for å oppfylle krav i nasjonal rett som den behandlingsansvarlige er underlagt.
Domstolloven og advokatforskriften fastsetter ikke uttrykkelige, generelle krav til advokaters dokumentoppbevaring. Det er imidlertid innfortolket en plikt til forsvarlig arkivhold under det generelle kravet om god advokatskikk i domstolloven § 224, som slår fast at advokatvirksomhet blant annet skal «utøves grundig, samvittighetsfullt og i overensstemmelse med hva berettigede hensyn til klientenes tarv tilsier». Noe presist krav til oppbevaringstid følger ikke av regelverket i dag. Advokatforeningen har anbefalt sine medlemmer å lagre klientarkiv i ti år, men samtidig presisert at kortere eller lengre oppbevaringstid kan være påkrevet av hensyn til dokumentenes karakter. Når advokatvirksomheten avvikles i medhold av reglene om forvalterordningen i advokatforskriften kapittel 7, skal Tilsynsrådet sørge for betryggende oppbevaring av advokatenes klientarkiv i ti år, jf. advokatforskriften § 7-10. Tilsvarende arkivplikt gjelder for Tilsynsrådet i tilfeller hvor en advokat har avviklet sin virksomhet og ikke selv kan oppbevare sitt klientarkiv på en betryggende måte, jf. advokatforskriften § 4-10.
Ved siden av de generelle kravene til arkivhold som kan utledes av domstolloven § 224, inneholder både reglene for god advokatskikk i advokatforskriften kapittel 12 og annen lovgivning ulike bestemmelser som får betydning for håndteringen av klientarkiv og informasjon for øvrig. Dette gjelder blant annet fortrolighetsplikten i medhold av Regler for god advokatskikk i advokatforskriften kapittel 12 punkt 2.3, straffeloven § 211 om advokaters yrkesmessige taushetsplikt og personopplysningslovens vilkår og nærmere regler for behandling og bruk av personopplysninger. Videre må virksomheten oppfylle plikten til oppbevaring av regnskapsdokumenter i bokføringsloven § 13, jf. advokatforskriften § 3a-1, jf. domstolloven § 224 tredje ledd andre punktum og lov 19. november 2004 nr. 73 om bokføring (bokføringsloven) § 2, jf. regnskapsloven § 1-2 første ledd nr. 12. Hvitvaskingsloven § 30 stiller også krav om lagring av opplysninger og dokumenter.
15.2 Utvalgets forslag
Utvalget foreslår en egen generell bestemmelse om informasjonssikkerhet, hvor det fremgår at advokater og advokatforetak skal sørge for tilfredsstillende informasjonssikkerhet ved å innrette kontorhold, datasystemer og arkiver slik at hensynene til klienter og andres krav på fortrolighet, integritet og tilgjengelighet ivaretas. Bestemmelsen bygger på den tidligere lov 14. april 2000 nr. 31 om behandling av personopplysninger (omtales her som personopplysningsloven 2000) § 13 første ledd. Kravet om informasjonssikkerhet bør etter utvalgets syn gjelde generelt og ikke bare omfatte personopplysninger, men all dokumentasjon og annet materiale advokaten eller andre på advokatens vegne mottar eller produserer i anledning advokatoppdrag. Videre foreslår utvalget at nærmere regler om informasjonssikkerhet kan gis ved forskrift.
Flere av de generelle reguleringene i personopplysningsloven 2000 er etter utvalgets syn lite anvendelige for advokatvirksomhet. Det pekes i denne forbindelse på enkelte forhold ved regelverket som tilsier at det er behov for særregler for advokatvirksomhet, herunder for regler om personopplysningslovens virkeområde, behandlingsansvar, behandlingsgrunnlag, behandlingsformål og adgangen til å lagre opplysninger, meldeplikt og konsesjonsplikt. For øvrig foreslår utvalget en bestemmelse om at personopplysningsloven gjelder for advokatvirksomhet.
Utvalget foreslår videre nærmere krav til advokaters arkivhold. Det mener at plikten til å holde arkiv er så nært knyttet til taushetsplikten og utførelsen av det enkelte advokatoppdrag at den bør pålegges den enkelte advokat personlig, selv om det er den virksomheten advokaten er tilknyttet som organiserer arkivet. Ved utformingen av kravene til advokaters arkivhold mener utvalget det sentrale må være at advokater pålegges å oppbevare klientarkivet på forsvarlig vis. Det vises i denne forbindelse til krav om fortrolighet, integritet og tilgjengelighet etter utvalgets foreslåtte bestemmelse om informasjonssikkerhet. Utvalget bemerker videre at forsvarlig oppbevaring av saksdokumenter ikke bare vil kunne være i klientens, men også i advokatens interesse.
Minimumskravet til oppbevaringstid bør etter utvalgets mening settes til ti år. Tilsier oppdragets karakter eller dokumentenes innhold at dokumentene bør oppbevares i mer enn ti år, bør advokatene oppbevare dokumentene så lenge det er nødvendig.
Videre foreslår utvalget at advokatloven regulerer begrensninger i arkivplikten, herunder for dokumenter i saker som er endelig avgjort, og som oppbevares av det offentlige, og for dokumenter som overleveres til klienten eller annen berettiget person. Også bestemmelser om arkivplikt ved bytte av advokat og når advokatens advokatvirksomhet avsluttes foreslås regulert i advokatloven.
Utvalget legger opp til at nærmere regler om arkivhold kan fastsettes i forskrift.
15.3 Høringsinstansenes syn
Norges Juristforbund (Juristforbundet) støtter Advokatlovutvalgets forslag til regler som skal sikre konfidensialitet.
Den Norske Advokatforening (Advokatforeningen) mener utvalget foreslår en lite praktikabel regulering av informasjonssikkerhet. Det vises i denne forbindelse til at forslaget ikke synes å ta høyde for at advokatene i Norge i dag har innrettet seg på forskjellige måter, fra i store foretak med kontorlandskap og avstengte møteromsavdelinger til i små enkeltpersonforetak med én advokat uten møterom.
Datatilsynet støtter utvalgets forslag om å ha en egen bestemmelse om informasjonssikkerhet i advokatloven, men finner det nødvendig med en avklaring av forholdet til personopplysningsloven. Datatilsynet etterspør en tydelig avklaring på om advokatloven er ment å være lex specialis i relasjon til personopplysningslovens generelle bestemmelser om informasjonssikkerhet, eller om advokatloven og personopplysningsloven skal virke side om side, slik at advokater må etterleve begge bestemmelser. Det bemerkes i denne forbindelse at innholdet i utvalgets forslag til bestemmelse er vagere enn det som følger av personopplysningsregelverket. På denne bakgrunn anbefaler Datatilsynet at innholdet i informasjonssikkerhetsplikten presiseres så langt det lar seg gjøre.
Advokatforeningen og Datatilsynet er positive til en særskilt regulering av personopplysningslovens virkeområde for advokatvirksomhet. Advokatforeningen uttaler at det for advokater foreligger særlige forhold, herunder advokaters taushetsplikt, som tilsier at advokaters behandling av personopplysninger bør reguleres særskilt. Advokatforeningen mener det bør fremgå av ny advokatlov at det for advokatforetaks vedkommende er advokatforetaket som sådan, ikke den enkelte advokat, som anses som behandlingsansvarlig. Datatilsynet peker på at det synes noe usikkert hvor klargjørende utvalgets forslag til bestemmelse er. Det vises til uklarheten om hvorvidt personopplysningsloven gjelder når advokater yter bistand i saker som er til behandling i medhold av rettspleielovene, og at denne ikke ryddes av veien med utvalgets forslag.
Advokatforeningen støtter utvalgets forslag til ti års arkiveringsplikt og mener oppbevaringsplikten i advokatloven bør gå foran regler i annen lovgivning om sletteplikt før ti år. Juristforbundet påpeker at det kan være behov for overgangsordninger som sikrer ivaretakelsen av originaldokumenter med underskrift. Det vises til at slike dokumenter fortsatt vil kunne ha betydning som bevis i rettssaker, da en signatur gir notoritet om en rettslig disposisjon. Datatilsynet ser at det kan foreligge gode grunner for at advokater bør oppbevare dokumentene i saken også etter at oppdraget er avsluttet. Høringsinstansen understreker imidlertid at innføring av en omfattende og langvarig arkiveringsplikt setter det såkalte formålsbegrensningsprinsippet på prøve. Datatilsynet mener det bør presiseres at opplysningene som hovedregel bør slettes etter 10 år.
Den norske legeforening (Legeforeningen) bemerker at det er behov for klare regler rundt ansvaret for arkiv blant annet der en advokat slutter i en virksomhet og ved overdragelse av virksomheter.
15.4 Departementets vurderinger
15.4.1 Informasjonssikkerhet
Departementet støtter ikke utvalgets forslag om å innta en generell bestemmelse om informasjonssikkerhet i advokatloven. Forslaget legger opp til skjønnsmessige vurderinger som det er vanskelig å utlede konkrete plikter fra, og departementet kan ikke se at det er behov for en slik regel i tillegg til reglene om advokaters taushets- og fortrolighetsplikt og reglene om personopplysningssikkerhet i personvernforordningen artikkel 32. Som Datatilsynet peker på, fremstår det også uklart hvordan bestemmelsen er ment å forholde seg til personopplysningslovens regler. Forslaget har for øvrig også møtt kritikk av Advokatforeningen, som mener utvalget foreslår en lite praktikabel regulering av informasjonssikkerhet.
Etter departementets vurdering kan det imidlertid være behov for mer konkrete og detaljerte bestemmelser om informasjonssikkerhet i advokatregelverket. Bestemmelser om informasjonssikkerhet vil gjelde mer generelt enn kravet til klientarkivets informasjonssikkerhet og omfatte mer enn personopplysninger. Utvalget viser blant annet til behovet for å sikre elektronisk informasjon mot uvedkommende. Slik eventuell regulering av informasjonssikkerhet bør etter departementets vurdering fastsettes i forskrift, slik utvalget også legger opp til. Departementet foreslår på denne bakgrunn at regler om informasjonssikkerhet kan gis ved forskrift.
15.4.2 Personvern
Departementet går ikke inn for utvalgets forslag om å innta en henvisning til personopplysningsloven § 2 første ledd i advokatloven. Henvisning til personopplysningsloven kan være nødvendig i tilfeller der det ellers vil kunne oppstå uklarhet om rekkevidden av bestemmelser i en lov. Dette gjelder imidlertid ikke for advokatloven.
Som påpekt av Datatilsynet, innebærer ikke utvalgets forslag en klargjøring av forholdet til personopplysningsloven § 2 andre ledd bokstav b om unntak for saker som behandles eller avgjøres i medhold av rettspleielovene. Denne grensedragningen foreslås ikke regulert i advokatloven, da personopplysningslovens anvendelsesområde etter departementets vurdering bør følge av personopplysningsloven og ikke av advokatloven.
Dersom det skulle være behov for særlige regler om behandling av personopplysninger i forbindelse med advokatvirksomhet, mener departementet at reguleringen bør finne sted i forskrift. Departementet foreslår derfor at regler om behandling av personopplysninger tilknyttet advokatvirksomhet kan gis ved forskrift.
15.4.3 Arkivhold
Departementet støtter utvalgets forslag om en egen bestemmelse i advokatloven som fastsetter advokatens arkivplikt. I likhet med utvalget vurderer departementet at arkivplikten etter advokatloven bør legges til den enkelte advokat, da plikten til å holde arkiv er nært knyttet til utførelsen av det enkelte advokatoppdrag og taushetsplikten. Ingen av høringsinstansene har hatt innvendinger mot forslaget. Selv om arkivplikten etter forslaget pålegges den enkelte advokat, bemerker departementet at advokatens foretak må innrette sine datasystemer, fysiske arkiver og annen infrastruktur i tråd med lovverket, se merknad til § 20 fjerde ledd.
Videre er departementet enig med utvalget i at advokater bør pålegges å holde forsvarlig arkiv over fysiske og elektroniske dokumenter som advokaten har mottatt eller produsert i anledning advokatoppdraget. Selv om departementet ikke går inn for utvalgets forslag til bestemmelse om informasjonssikkerhet, støtter departementet utvalgets vurderinger om at forsvarlig arkivhold skal ivareta klienters og andres krav på fortrolighet, integritet og tilgjengelighet. Av hensyn til advokatens behov for å kunne dokumentere sin egen sakshåndtering mener departementet, i likhet med utvalget, at formålet med forsvarlig arkivhold også bør være ivaretakelse av advokatens interesser.
Både Advokatforeningen og Datatilsynet støtter utgangspunktet om ti års arkivplikt, og ingen av høringsinstansene har gått imot forslaget. En arkivplikt i ti år harmonerer med øvrig regelverk. Det vises i denne forbindelse til at reglene om forvalterordningen har ti års arkivplikt, og at Advokatforeningen i dag anbefaler sine medlemmer å lagre klientarkiv i ti år. Ti års arkivplikt er også regelen etter forskrift om eiendomsmegling § 3-7 tredje ledd. Departementet har likevel vurdert om personvernhensyn tilsier en kortere arkivplikt. Sletting tidligere vil imidlertid kunne være problematisk blant annet av hensyn til avtaleforhold som ikke er avsluttet, og krav som ikke er foreldet. På denne bakgrunn støtter departementet utvalgets forslag om ti års arkivplikt. Som også Datatilsynet påpeker, innebærer dette at opplysninger må slettes ved utløp av arkivplikten.
Departementet mener, i likhet med utvalget, at advokaten skal ha en lenger arkivplikt enn ti år dersom oppdragets karakter eller dokumentenes innhold tilsier det. Dokumentene bør etter departementets vurdering kunne oppbevares så lenge et av formålene bak arkivplikten gjør det nødvendig. Som bemerket av Juristforbundet, kan utvidet arkivplikt blant annet gjelde for dokumenter som kan ha betydning som bevis i rettssaker. Et annet eksempel er dokumenter om bistand til rettslige disposisjoner som må antas å få betydning utover en periode på ti år.
Arkivplikten etter advokatloven vil gå foran regler om tidligere sletteplikt i personvernforordningen artikkel 17 nr. 1 og nr. 2, jf. nr. 3 bokstav b. Dersom et av formålene bak arkivplikten tilsier at dokumentene bør oppbevares lenger, kan sletting derfor ikke kreves. Dette innebærer eksempelvis at klienten ikke kan kreve sletting dersom advokaten har behov for å oppbevare saksdokumentene frem til utløpet av foreldelsesfristen for eventuelle erstatningskrav.
Departementet foreslår at nærmere regler om arkivhold og begrensninger i arkivplikten fastsettes i forskrift.