Folkehelseinstituttet behandler personopplysninger på vegne av en oppdragsgiver, for eksempel KRIPOS, NAV og barnevern. Det betyr at opplysningene ikke kan behandles på annen måte enn det som er avtalt. Tilsynet har derfor pålagt Folkehelseinstituttet å etablere databehandleravtaler med sine oppdragsgivere, og å slette opplysninger som ikke er omfattet av avtalen.
Mangler hjemmel for lagring
I tilsvaret til foreløpig tilsynsrapport viste Rettsmedisinsk institutt (RMI) til arkivloven som hjemmel for lagring av opplysningene. Datatilsynet mener en slik tolkning av arkivloven fører til uthuling av slettebestemmelsene i strafferettspleien og vil kunne være i strid med den europeiske menneskerettskonvensjonen artikkel 8. Folkehelseinstituttet pålegges derfor å slette opplysningene dersom instituttet ikke har avklart lagringen med oppdragsgiver i en databehandleravtale.
Dårlig informasjonssikkerhet
RMI ble fra 1. juni 2011 overført fra Universitetet i Oslo (UiO) til Folkehelseinstituttet. Kontrollrapporten beskriver store mangler i informasjonssikkerheten på kontrolltidspunktet. RMI var på ved kontrollen underlagt UiO, og på grunn av overdragelsen er det ikke fattet vedtak knyttet til funnene ved informasjonssikkerheten. Datatilsynet understreker likevel i vedtaksbrevet at Folkehelseinstituttet har plikt til å etablere tilfredsstillende informasjonssikkerhet og internkontroll, samt å sørge for at dette er dokumentert.
Påklaget vedtaket
Folkehelseinstituttet har påklaget deler av vedtaket. Det betyr at saken vil oversendes Personvernnemnda for behandling.
Vedtak og endelig kontrollrapport her (pdf)