7 Behandling av personopplysninger
7.1 Gjeldende rett
Behandling av personopplysninger i forbindelse med nasjonal responsfunksjon for alvorlige dataangrep mot samfunnskritisk infrastruktur (NorCERT) og varslingssystem for digital infrastruktur (VDI) hjemles i dag i personopplysningsloven § 8 første ledd bokstav f. Formålet med behandlingen er deteksjon og håndtering av alvorlige dataangrep mot kritisk infrastruktur. Det er derfor lagt til grunn at det foreligger en berettiget interesse som overstiger personvernulempen ved behandlingen.
Sjef for Nasjonal sikkerhetsmyndighet (NSM) har fastsatt en etatsintern instruks for utøvelsen av NorCERT og VDI. Instruksen skal bidra til forsvarlige rammer for gjennomføringen, deriblant ivareta personvernet. Av instruksen følger det at NSM som hovedregel kun skal behandle personopplysninger i avidentifisert form. NSM skal således ikke kople metadata med andre opplysninger, slik at de kan knyttes til identifiserbare enkeltpersoner.
NSMs behandling av opplysninger skjer videre i full åpenhet mot de virksomheter hvor VDI-sensorer er utplassert. Av avtalen som inngås med virksomhetene, følger det at virksomheten har rett til fullt innsyn i sensorenes konfigurering og de dataene som innsamles. I avtalen fastsettes en strengt formålsstyrt bruk av den informasjon som registreres. Formålet med avtalen er å styrke den nasjonale evnen til å forebygge og håndtere alvorlige IKT-baserte hendelser. Deltakende virksomheter er videre gjort kjent med at informasjon kan bli delt med Etterretningstjenesten og Politiets sikkerhetstjeneste innenfor dette formålet. Informasjon vil for øvrig ikke bli delt med tredjeparter uten virksomhetens forutgående samtykke. I avtalen er det inntatt som en plikt for den deltakende virksomhet å påse at avtalen implementeres på en slik måte at de ansattes rettigheter ivaretas. Det er etablert en egen rutine, ved avvik som medfører at personopplysninger blir registret i større omfang enn beskrevet ovenfor. I disse tilfellene vil NSM loggføre hendelsen, informere virksomheten om hendelsen, vurdere omkonfigurering av systemet for å unngå gjentakelser, samt slette all overskuddsinformasjon innen 24 timer etter at hendelsen er oppdaget. De loggførte avvikene vil bli lagt fram for Stortingets kontrollutvalg for etterretnings-, overvåkings- og sikkerhetstjenestene (EOS-utvalget) under utvalgets løpende inspeksjoner av NSM.
I de tilfeller der det har inntruffet en alvorlig hendelse, og NSM får digitale lagringsmedier til analyse, inngås det en bistandsavtale med virksomheten hvor denne samtykker til analysen, og hvor rammene for NorCERTs behandling av informasjonen nærmere reguleres.
EOS-utvalget skal påse at EOS-tjenestene utfører sine oppgaver innenfor rammene av lov og annet regelverk, at det ikke øves urett mot noen, og at det ikke nyttes mer inngripende midler enn det som er påkrevd etter forholdene. EOS-utvalget inspiserer NSM fire ganger i året. En av disse kontrollene har de siste årene vært dedikert til den del av virksomheten som utøver NorCERT og VDI. EOS-utvalget har i sin kontroll tilgang til all informasjon som behandles av NSM, og kan kreve tilgang til alle relevante systemer.
7.2 Høringsforslaget
I høringsnotatet foreslo departementet en ny og selvstendig hjemmel i sikkerhetsloven § 10 a om Nasjonal sikkerhetsmyndighets adgang til å behandle personopplysninger. Forslaget som ble sendt på høring hadde følgende ordlyd:
Ǥ 10 a Behandling av personopplysninger
Nasjonal sikkerhetsmyndighet kan behandle personopplysninger når dette er nødvendig for å utføre de oppgaver som følger av § 9 første ledd e. Opplysninger som behandles skal være korrekte, oppdaterte, tilstrekkelige og relevante for formålet med behandlingen. Opplysningene kan kun benyttes til det formål de er innhentet for. Opplysningene skal ikke lagres lenger enn det som er nødvendig for å oppfylle formålet med behandlingen.Kongen kan gi nærmere bestemmelser om Nasjonal sikkerhetsmyndighets behandling av personopplysninger.»
Personopplysningsloven § 8 oppstiller ulike grunnlag for å behandle personopplysninger. I tillegg til ved samtykke gitt av den registrerte, kan personopplysninger behandles dersom det er fastsatt i lov og behandlingen er nødvendig for å oppfylle nærmere angitte formål. Departementet påpekte i høringsnotatet at formålet med NorCERT- og VDI-funksjonene ikke er å samle inn personopplysninger. Likevel er det ikke til å unngå at slike opplysninger blir behandlet som ledd i å vareta oppgavene knyttet til detektering, varsling og koordinering av håndteringen av alvorlige IKT-angrep. Departementet mente at det særlig gjelder personopplysninger som er en del av trafikkdata, men også i noen utstrekning innholdsdata. Av høringsnotatet framgår det på side 17:
«I forslag til ny § 10 a første ledd etableres det et klart hjemmelsgrunnlag for Nasjonal sikkerhetsmyndighets behandling av personopplysninger i forbindelse med drift av VDI- og NorCERT-funksjonene. Bestemmelsen tar sikte på å forsterke hjemmelsgrunnlaget for den behandlingen av personopplysninger som skjer i dag.
Departementet legger til grunn at personopplysningsloven kommer til anvendelse for behandlingen av personopplysninger, men likevel slik at unntakene i personopplysningsloven § 23 første ledd a (om unntak fra rett til innsyn og plikt til å gi informasjon av hensyn til rikets sikkerhet mv), og personopplysningsforskriften § 1-2 første ledd (om behandling av personopplysninger som er nødvendig av hensyn til rikets sikkerhet) også kommer til anvendelse. Personopplysninger vil under enhver omstendighet bli behandlet og oppbevart med minimum de sikkerhetskrav som følger av personopplysningsloven.
Departementet forutsetter at nærmere bestemmelser om behandling av personopplysninger innenfor de rammene som her er satt, fastsettes i forskrift. Det foreslås derfor et nytt andre ledd som gir hjemmel til å lage utfyllende regler i forskrift.»
7.3 Høringsinstansenes syn
Høringsinstansene støtter gjennomgående NSMs adgang til å behandle personopplysninger i forbindelse med drift av NorCERT og VDI. Etterretningstjenesten uttaler:
«Etterretningstjenesten kan ikke understreke sterkt nok at cybertrusselen mot Norge og norske interesser har økt betydelig og vil øke ytterligere, jf. tjenestens vurderinger i FOKUS 2015 s. 83 flg., og at landets samlede evne til å avdekke, motvirke og håndtere de mest alvorlige cyberhendelser krever sanntids og kontinuerlig informasjonsutveksling og samarbeid mellom EOS-tjenestene, både gjennom cyberkoordineringsgruppen (CKG) og øvrige mekanismer mellom tjenestene. Dersom det kan reises tvil om tjenestene kan utveksle relevant informasjon seg imellom for dette formål, både i form av rådata og i form av bearbeidede data og uavhengig av hvorledes tjenestene har kommet i besittelse av slike data, vil dette svekke myndighetenes deteksjons- og håndteringsevne.
Etterretningstjenesten mener derfor at prinsippet om at NSMs responsfunksjon skal basere seg på koordinert innsats og informasjonsdeling med de øvrige EOS-tjenestene må lovfestes sammen med lovfestingen av selve responsfunksjonen.»
Difi synes det er positivt at NSMs grunnlag for behandling av personopplysninger klargjøres og at det gis utfyllende regler i forskrift:
«Ut fra høringsnotatet er det noe uklart om det blir noen endring i behandling av innholdsdata. Det kan med fordel komme klarere frem om dette bare er en lovfesting av dagens praksis eller om det innebærer en utvidelse. Dersom opplysninger skal kunne deles med andre EOS tjenester bør det komme klart fram, enten direkte i § 10a eller i forskriften.»
KRIPOS mener en klar rettslig regulering av NSMs behandling av personopplysninger vil skape en langt bedre forutberegnelighet for den enkelte, og samtidig klargjøre adgangen til behandling av informasjon i langt større grad enn at det må foretas en skjønnsmessig vurdering etter personopplysningsloven § 8 f.
Flere høringsinstanser etterlyser imidlertid en nærmere konkretisering av hjemmelsgrunnlaget, og nærmere redegjørelse for hvilke behandlingsformer som er aktuelle.
Datatilsynet støtter i utgangspunktet en lovfesting av NSMs adgang til å behandle slike data, men mener at lovhjemmelens utforming har enkelte svakheter:
«Hjemmelen er lite konkret, den mangler nærmere angivelser av hvilke behandlingsformer og hvilke personopplysningskategorier som er tenkt omfattet. Dermed fremstår den i realiteten som en in blanco-fullmakt for innsamling, registrering, lagring, analyse, sammenstilling og utlevering (samt alle andre tenkelige behandlingsformer, jf. personopplysningsloven § 2 nr. 2) av et uinnskrenket antall datakategorier. På bakgrunn av høringsnotatet er det dessuten vanskelig å forutse omfanget av enkeltindivider som vil bli berørt.
[…]
Høringsnotatet burde ha gitt en fyldigere analyse av sakens faktiske sider, og de konsekvenser som kan tenkes å følge etter en eventuell lovendring. Ettersom lovforslaget ifølge departementet innebærer en kodifisering av eksisterende praksis, burde det ha vært mulig å dele av de erfaringene som er høstet så langt. (…) Departementet gjentar flere steder at formålet med datainnsamlingen ikke er å behandle personopplysninger. Likevel er det klart at både metadata og innholdsdata vil bli lagret og analysert. Begge kategoriene kan etter omstendighetene være å regne som personopplysninger i personopplysningslovens forstand. En vurdering av tiltakenes nødvendighet og proporsjonalitet er derfor på sin plass også her. Som nevnt over, forutsetter dette en klar fremstilling både av fakta og av følger.»
Nkom uttaler at et sentralt spørsmål ved sikkerhetsmessig overvåking av denne type er eventuelle begrensninger i bruk av overskuddsinformasjon:
«Hva som aktivt kan søkes etter og analyseres følger av lovens formålsbegrensning og det konkrete forslaget til ny § 9 første ledd bokstav e. Det er imidlertid sannsynlig at man i dette arbeidet vil komme over informasjon om for eksempel straffbare forhold som ikke utgjør en fare for samfunnskritisk infrastruktur som sådan. Det vil slik Nkom ser det vesentlig svekke legitimiteten til VDI dersom slik informasjon overføres fra NorCERT til andre myndigheter.»
For NRK er det avgjørende spørsmålet om dagens begrensning i tilgang til innholdsdata i praksis blir videreført eller ikke, m.a.o. om lovendringen innebærer en oppmykning av NSMs adgang til å innhente personopplysninger/innholdsdata:
«NRK mener likevel det er grunn til å reise spørsmål om §§ 9 første ledd bokstav e og 10 a kan åpne opp for en mer generell adgang til å innhente innholdsdata.»
NSM slutter seg til departementets forslag om et styrket hjemmelsgrunnlag for VDI- og NorCERT-funksjonens behandling av personopplysninger.
«NSM mener imidlertid at § 10 a bør gis en annen utforming. Bestemmelsen slik den er formulert i høringsnotatet kan oppfattes slik at NSM kun kan behandle personopplysninger i de tilfeller det skjer etter § 9 første ledd e, og underforstått; ikke i andre tilfeller. Det er åpenbart at en slik tolkning ikke skal legges til grunn. Det er en rekke oppgaver i loven for øvrig som forutsetter at det behandles personopplysninger også i andre tilfeller (f.eks. bestemmelsene om personellsikkerhet, monitoring og til dels inntrengingstesting)».
7.4 Departementets vurderinger
Forslaget til ny § 10 a er utelukkende en kodifisering av gjeldende praksis, og en forsterkning av hjemmelsgrunnlaget for behandling av personopplysninger som Nasjonal sikkerhetsmyndighet (NSM) har hatt adgang til siden varslingssystem for digital infrastruktur (VDI) ble etablert i 1999. I tråd med gjeldende praksis er behandling av personopplysninger i forbindelse med Nasjonal responsfunksjon for alvorlige dataangrep mot kritisk infrastruktur (NorCERT) og VDI, tydelig avgrenset til det som er nødvendig for å detektere, verifisere, analysere og håndtere alvorlige IKT-angrep mot kritisk infrastruktur.
En rekke høringsinstanser stiller likevel spørsmål om forslaget innebærer en utvidet adgang til å behandle innholdsdata. Departementet presiserer at det ikke tas sikte på å innføre hjemmel for behandling av personopplysninger ut over hva som allerede behandles i dag. Departementet er imidlertid enig med høringsinstansene i at rammene for behandlingen bør tydeliggjøres.
Respekten for privatlivets fred er nedfelt i Grunnloven § 102 og Den europeiske menneskerettighetskonvensjon (EMK) artikkel 8. EMK artikkel 8 nr. 1 beskytter retten til privatliv, familieliv, hjem og korrespondanse, og legger skranker på offentlige myndigheters inngripen i disse rettigheter. EMK artikkel 8 nr. 2 åpner imidlertid for at offentlige myndigheter kan gjøre inngripen i rettighetene dersom inngrepet har hjemmel i lov, ivaretar nærmere angitte formål, og er «nødvendig i et demokratisk samfunn» for å oppfylle ett eller flere av de legitime formålene, som for eksempel nasjonal sikkerhet.
Hensikten med NorCERT og VDI er å innhente, analysere og dele informasjon om angrep mot kritisk infrastruktur. Formålet med behandlingen er å identifisere angrep, og å kunne analysere slike når de har inntruffet. For å ivareta sine oppgaver har NSM ikke behov for identifiserbare personopplysninger. NorCERT og VDI behandler i det alt vesentlige bare avidentifiserte «metadata». Det er derfor uten interesse for NSM å sammenstille metadata med andre data slik at disse kan knyttes til identifiserbare enkeltindivider. I forlengelsen av dette bemerker departementet at formålet med ordningen på ingen måte innebærer et inngrep i pressens kildevern.
Gjennomføringen av NorCERT og VDI kan imidlertid i ytterste konsekvens innebære behandling av identifiserbare personopplysninger. Behandling av identifiserbare personopplysninger kan skje når det registreres begrenset mengde innholdsdata (pakkedump) i forbindelse med utløste alarmer i VDI, eller når NSM får utlevert lagringsmedier og logger for analyse. NSMs formål med behandlingen vil imidlertid utelukkende være å analysere det inntrufne angrepet, og begrense konsekvensene av dette. I de tilfeller hvor NSM bistår virksomheter i analyse av logger eller infiserte maskiner, skjer dette etter samtykke fra, og i samarbeid med, den berørte virksomhet. Av 17 662 utløste alarmer i 2014, inneholdt 5 alarmer fragmenter av lesbart innhold, og som utgjorde identifiserbare personopplysninger. Disse ble håndtert i henhold til gjeldende rutiner, og protokollført. Departementet vil også understreke at det er full åpenhet mellom virksomheten og NSM knyttet til konfigurering av sensorene og den informasjon disse skal registrere, samt at EOS-utvalget fører løpende kontroll med NSMs virksomhet.
Oppgavene som ivaretas av NorCERT og VDI er en forutsetning for vår nasjonale evne til å ivareta sikkerheten knyttet til våre mest kritiske systemer og funksjoner. Ivaretakelse av den nasjonale sikkerheten er et legitimt formål etter EMK art. 8 nr. 2. Oppgavene kan ikke ivaretas uten behandling av opplysninger, herunder også personopplysninger. Behandling av personopplysninger framstår derfor som nødvendig.
I proporsjonalitetsvurderingen må det tas hensyn til at sterke samfunnsmessige interesser tilsier en høy grad av nasjonal deteksjonsevne knyttet til digitale angrep. NSM har erfart at nettverksoperasjoner stadig blir mer målrettede og avanserte. Manglende deteksjons- og håndteringsevne vil kunne lette fremmede staters etterretningsaktivitet, og svekke vår nasjonale evne til å beskytte vår mest kritiske informasjon, IKT- infrastruktur og andre samfunnsviktige funksjoner.
Informasjonsdeling er en grunnleggende forutsetning for Norges nasjonale evne til å håndtere alvorlige IKT-angrep. Begrepet behandling av personopplysninger omfatter også utlevering, jf. personopplysningsloven § 2 første ledd nr. 2. NorCERT er avhengig av å motta informasjon for å kunne forebygge, avdekke og håndtere hendelser. Informasjonen må kunne deles med et bredt spekter aktører for at formålet med responsfunksjonen skal kunne ivaretas. For å håndtere de mest alvorlige angrep, hvor fremmede stater kan stå bak, er det nødvendig å etablere informasjonsflyt mellom EOS-tjenestene. For å sette sektorene og virksomhetene i stand til å håndtere enkelthendelser og beskytte sine systemer, må informasjon også kunne deles med sektorvise responsmiljøer, virksomheter og andre berørte aktører. Det vil ikke bli utlevert informasjon til andre aktører der dette ikke er i samsvar med NorCERT og VDIs formål. Forutsetningen for utlevering av informasjon er at denne benyttes innenfor rammene av formålet med NorCERT og VDI. Opplysningene kan kun benyttes til det formål de er innhentet for, jf. personopplysningsloven § 11.
Opplysninger som fremkommer i forbindelse med NorCERT og VDI kan bare benyttes til forebygging, deteksjon og håndtering av alvorlige dataangrep mot kritisk infrastruktur. Dette innebærer at overskuddsinformasjon om andre forhold i en virksomhet verken blir oppbevart eller utlevert. Det vil være naturlig at de nærmere detaljer, blant annet for utlevering og sletting av personopplysninger, fastsettes i forskrift.
Ut fra informasjonen som registreres, og formålet med behandlingen, representerer dette etter departementets oppfatning ikke en trussel mot de verdier som EMK artikkel 8 og Grunnloven § 102 skal verne. Departementet har etter en konkret avveining kommet til at en eventuell behandling av identifiserbare personopplysninger er nødvendig for å ivareta Norges nasjonale evne til å håndtere alvorlige IKT-angrep.
Departementet har gjort lovhjemmelen i forslag til ny § 10 a mer tilgjengelig, klar og presis enn den var i høringsrunden. I første ledd bokstav a til d presiserer departementet hvilke kategorier personopplysninger som kan behandles:
«Når det er nødvendig for å utføre oppgavene etter § 9 første ledd bokstav e, kan Nasjonal sikkerhetsmyndighet behandle personopplysninger i form av
metadata om IKT-trafikk til og fra virksomheter som er knyttet til det nasjonale varslingssystemet for digital infrastruktur
informasjon som er nødvendig for å analysere utløste alarmer i varslingssystemet
IP-adresser mottatt fra nasjonale og internasjonale samarbeidspartnere
logger og infisert maskinvare, etter samtykke fra en virksomhet der dette er nødvendig i forbindelse med bistand til håndtering av alvorlige dataangrep.»
I andre ledd angir departementet i hvilket andre tilfeller personopplysninger kan behandles og stiller krav til behandlingen:
«I andre tilfeller enn nevnt i første ledd, kan personopplysninger også behandles når dette er strengt nødvendig for å ivareta oppgavene etter § 9 første ledd bokstav e, og behandlingen etter en konkret vurdering framstår som både nødvendig og proporsjonal i forhold til det inngrepet den representerer i personvernet.»
Grunnkravene i personopplysningsloven § 11 gjelder ved behandling av personopplysninger etter forslag til ny § 10 a. Departementet er derfor enig med Datatilsynet i at det blir overflødig å gjengi innholdet i personopplysningsloven § 11 i forslaget til ny § 10 a første ledd andre til fjerde punktum. Departementet mener at en slik dobbeltregulering vil være uheldig, og kan skape usikkerhet om tolkningen av bestemmelsen. På bakgrunn av dette viderefører departementet ikke § 10 a første ledd andre til fjerde punktum fra høringsforslaget. Forslaget lød:
«Opplysninger som behandles skal være korrekte, oppdaterte, tilstrekkelige og relevante for formålet med behandlingen. Opplysningene kan kun benyttes til det formål de er innhentet for. Opplysningene skal ikke lagres lenger enn det som er nødvendig for å oppfylle formålet med behandlingen.»
Departementet har imidlertid vurdert om det i stedet bør henvises til personopplysningsloven § 11 i forslaget til ny § 10 a, og kommet til at det vil være overflødig.
For øvrig presiseres det at forslaget til ny § 10 a ikke er ment å representere en innskrenkning i NSMs adgang til å behandle personopplysninger i andre tilfeller enn de som er nevnt i § 9 første ledd bokstav e.