Datatilsynet har tidligere stilt spørsmål ved om personvernet er tilfredsstillende ivaretatt ved innføringen av de nye biometriske passene, mens Justisdepartementet på sin side har hevdet at de nye passene ikke representerer noen trussel mot legitime personverninteresser.
Etter å ha vært på tilsyn hos Politidirektoratet, som nå er administrativt ansvarlig for utstedelsen av de nye passene, kan Datatilsynet ikke finne dokumentasjon for at det er gjort tilstrekkelige vurderinger med hensyn til personvern og informasjonssikkerhet. Informasjonen til dem som får utstedt de nye passene er også mangelfull.
Datatilsynet varsler derfor Politidirektoratet om at det kan bli fattet vedtak om følgende pålegg:
- En rekke risikovurderinger med hensyn til informasjonssikkerheten må gjennomføres for å dokumentere påstandene om tilfredsstillende sikkerhetsnivå
- Det må gis informasjon om passinnehaverens rett til innsyn og eventuell retting av personopplysninger som lagres i passene. Det må også tilbys en teknisk løsning som faktisk gjør det mulig for passinnehaver å få sjekket at de opplysningene som lagres i passets databrikke er korrekte.
- Passinnehaveren må også gis tilstrekkelig informasjon om hvordan opplysningene fra passet blir behandlet på grensekontrollene, både i Norge og i andre land.
- Politidirektoratet må etablere en mer fullstendig databehandleravtale med firmaet som produserer de nye passene.
Datatilsynet konstaterte også etter tilsynet at Politidirektoratet hadde et mangelfullt system for internkontroll når det gjaldt håndteringen av de nye passene.
Politidirektoratet vil bli gitt en frist til 1. mai 2006 til å etterkomme påleggene fra Datatilsynet. Fristen for å komme med tilbakemelding i forhold til det varslede vedtaket er satt til 31. januar.
Les mer: