Årsmelding for 2009

Datatilsynet vil peke på noen utviklingstrekk med stor påvirkningskraft for personverntilstanden i Norge. Les om temaer og tendenser som var framtredende i 2009.

Temaer og tendenser for 2009

Analysene er begrunnet i erfaringer fra tilsyn og saksbehandling, fra høringsarbeidet, deltakelse i forskjellige arbeids- og styringsgrupper nasjonalt og internasjonalt, samt saker som Datatilsynet er blitt oppmerksom på gjennom tips eller medieomtale. Beskrivelsen av tendensene bygger på grundigere omtaler andre steder i årsmeldingen.

Datatilsynets mandat er å se til at vernet av opplysninger om privatpersoner ikke svekkes, at opplysninger om vedkommendes private forhold ikke samles, spres eller brukes uten at det finnes forståelige, avveide lovhjemler, eller at vedkommende har gitt sitt frivillige, uttrykkelige og informerte samtykke. Personvernet skal verken settes til side for å løse mindre presserende problemer, eller problemer som like gjerne kan løses på annen måte. Inngrep må være forholdsmessige.

Personvernet svekkes på flere områder

Personvern ble i en rekke lovforslag i meldingsåret identifisert som en hindring for å kunne oppnå et godt mål. Datatilsynet er bekymret for at personverngarantier ønskes svekket for å oppnå marginale, ikke-dokumenterte gevinster, eller av rene effektivitetshensyn. Personvern er i sitt fundament en garanti for individet. Garantivilkårene innebærer blant annet at en del grunnleggende krav må være oppfylt før man kan behandle opplysninger om enkeltmennesker. Behandlingen må være rimelig og forholdsmessig. Det må finnes forutsigbare, forståelige lovhjemler eller foreligge et informert, frivillig samtykke. Personen må settes i stand til å kunne forutsi om og hvordan han er omfattet av tiltaket.

Dersom personvernet blir sett som en hindring som helst bør ryddes av veien, vil det i praksis bety at denne garantien med tiden vil smuldre bort.

Bagatellisering av lagring av personopplysninger

Datatilsynet observerer en tendens til at personvernutfordrende innsamling og lagring av personopplysninger bagatelliseres. Spesielt har dette vært tydelig i debatten rundt datalagringsdirektivet, og i argumentasjonen rundt en samling og sammenslåing av norske helseregistre. (Les mer i avsnittene om henholdsvis justissaker og helsesaker). Bagatelliseringen av personvernrisikoen kommer samtidig med forsikringer om at opplysningene bare skal brukes i helt særskilte tilfeller eller under strenge forutsetninger. Det forespeiles en meget høy grad av sikkerhet hvor misbruk tilnærmet er utenkelig.
Datatilsynet vil understreke at innsamling og lagring av personopplysninger er personverntruende i seg selv, en tolkning som også er fremhevet av Menneskerettsdomstolen.

Kravet til en grundig avveiing mellom de mulige fordelene ved å kreve lagring og ulempene for privatlivet må derfor gjelde fra det øyeblikk personopplysningene samles inn. Det er ikke nok å ta denne vurderingen når opplysningene på et senere tidspunkt eventuelt blir tatt i bruk.

Makt og misbruksfare

Det vil alltid være fare for misbruk av personopplysninger som finnes lagret et eller annet sted. Opplysningene er ikke bare nyttige for den som samler inn, men kan ha nytteverdi for en rekke andre aktører også. En tro på at opplysningene vil kunne underlegges total sikkerhet er en utopi.
Den som har mye informasjon om enkeltpersonen har i tillegg skaffet seg en maktposisjon ovenfor den registrerte.
Man kan ikke fjerne personvernulempene ved innsamling av data ved å innføre sikkerhetstiltak, man kan bare i enkelte tilfeller gjøre noen av ulempene mindre. I noen sammenhenger, men langt i fra alltid, vil det være nok til å gjøre tiltaket akseptabelt. Det er viktig å skille mellom tilfellene der ulike reparerende tiltak kan gi akseptabelt personvern, og der risikoen for personvernulemper blir uakseptabelt stor.

Mangelfull ansvarsplassering utfordrer personvernet

I mange av meldingsårets kontrollrapporter fremgår at behandlingsansvar ikke er avklart. Tabellen under gir en grov illustrasjon av fordelingen:

Status Fordeling
Behandlingsansvaret er uavklart, virksomheten har i liten grad forhold seg til regelverket ca 40 %
Behandlingsansvaret er avklart, men i manglende grad ført til tilstrekkelig etterlevelse regelverket ca 30 %
Behandlingsansvaret er godt avklart og virksomheten har iverksatt en tilfredsstillende etterlevelse ca 30 %



Stadfesting av behandlingsansvar er meget viktig for å få god etterlevelse. Dersom den ansvarlige ikke er kjent med sitt ansvar, er det overhengende fare for at ingen foretar seg noe, i hvert fall ikke på en systematisk måte.
Datatilsynet konstaterer at det eksisterer stor usikkerhet i virksomhetene om plassering av behandlingsansvar. Dette er spesielt fremtredende i forvaltningen, hvor informasjon deles på tvers, på en mer eller mindre systematisk måte.

Diffuse krav til lagring i skattelovgivningen og bokføringsregelverket utfordrer personvernet

Behandlingsansvarlige argumenterer for omfattende lagring av personopplysninger under henvisning til krav i annen lovgivning, særlig regnskapslovgivningen og skattemyndighetenes krav til å sjekke opplysningene. Tilsynet verken ønsker eller kan pålegge sletting i de tilfeller hvor annen særregulering krever fortsatt oppbevaring. Likevel ser Datatilsynet at en tydeligere angivelse av hvilke opplysninger som er nødvendige å lagre er vesentlig for å oppnå bedre personvern i Norge.

Det er problematisk når behandlingsansvarlige henviser til eksempelvis bokføringsloven som grunnlag for at selv den minste lille detalj må oppbevares i tre år og seks måneder, eller i ti år. Når absolutt alle detaljer som angår transaksjonen blir tatt vare på, vil det også bety langtidslagring av personlig informasjon. Datatilsynet stiller spørsmål ved samfunnsnytten i at detaljerte opplysninger rundt trivialiteter som et enkelt pizzakjøp eller en tilfeldig bompassering skal lagres i flere år. Uklarhetene i lagringskrav har Datatilsynet påpekt ved flere anledninger, både i tilsvar til konkrete høringsforslag og på eget initiativ, til skattemyndighetene og til relevante departementer.

Mengden elektroniske spor øker

Teknologi gjør hverdagen lettere for den enkelte. Teknologien kan samtidig introdusere nye utfordringer for personvernet. I de senere årene har kombinasjon av forflytning, sensorsystemer og lagring representert en økende utfordring. Sensorsystemer kan være alt fra GPS og radiofrekvensbrikker (RFID), til elektroniske billetter og strekkoder og deres tilhørende avlesersystemer. Avlesning av posisjon, retning, tidspunkt og andre karakteristika knyttes til personer og lagres. I mange tilfeller for diffuse formål.

Et godt eksempel er introduksjon av flåtestyring, en metode som blant annet brukes for å sikre effektiv utnyttelse av en virksomhets bilflåte, for eksempel ved å finne en ledig bil som befinner seg i nærheten av oppdraget, ikke en som er langt unna. Teknologien kan imidlertid også brukes til å føre elektroniske kjørebøker som overtar for arbeidstakers plikter til å føre manuell logg over bruk av tjenestebil. Systemene, som ofte introduseres som en forenkling, drar med seg nye problemstillinger knyttet til personvernet. Til forskjell fra flåtestyring, som sier noe om hvor kjøretøyet befinner seg på et gitt tidspunkt, lagrer kjørebøkene informasjon om hvor kjøretøyet har vært. Det representerer en vesensforskjell. Kombinert med mangel på sletting av informasjon, vil denne teknologien kunne innebære et voksende problem i arbeidslivet. I kontrollene Datatilsynet har gjennomført på området, påberopes det grunnlag for lagring i inntil 10 år av hensyn til skattemyndighetene. Datatilsynet er i tvil om lagringen er nødvendig etter skattelovgivningen. Arbeidsgivers økte kunnskap om arbeidstakers posisjon til enhver tid innebærer en maktforskyving i arbeidstakers disfavør.

Bruk av biometri har ofte forenkling som mål. Brukeren trenger verken passord, kort eller andre elementer, men kan benytte finger eller iris til å autentisere seg i ulike sammenhenger. Dette oppleves enkelt og effektiv, uten at man tenker videre over hvilke andre problemstillinger bruken kan introdusere. I mange tilfeller registreres det mengder av overskuddsinformasjon, rett og slett fordi systemene innbyr til det.

Anonyme alternativer forsvinner

Datatilsynet har gjennom flere årsmeldinger påpekt tendensen til at de anonyme alternativene er under særlig press. Bomringer og kollektivtrafikk er områder Datatilsynet har fulgt spesielt med på i flere år.

Løsninger der personlige, elektroniske brikker erstatter ihendehaverbevis som klippekort, dagsbilletter eller kontanter, medfører en betydelig trussel for personvernet dersom fundamentale personvernhensyn ikke bygges inn i billetteringssystemene.

Datatilsynet mener det bør være mulig å lage de elektroniske løsningene på en slik måte at man ikke knytter elektronisk billett eller brikke til én bestemt person. I praksis ser tilsynet likevel at viljen til å lage personvernvennlige løsninger er liten. Offentlige og private virksomheter ønsker i stor grad å kunne følge den enkelte personen i sine systemer, for blant annet å kunne trekke ut data av høy kvalitet til bruk i planleggingsarbeidet.

Samhandling gir personvernutfordringer

Økt samhandling mellom databaser og økt utnyttelse av offentlige data har vært et uttalt politisk mål i Norge. Datatilsynet savner en mer bevisst holdning til personvernsidene av samhandling.

I helsesektoren har det i meldingsåret vært flere forslag som utfordrer personvernet, spesielt samhandlingsreformens forutsetninger om tilgang til helseopplysninger på tvers av virksomhetsgrenser, og et forslag om samordning av forskningsrettede helseregistre.
Datatilsynet er bekymret for at ønsket om samhandling innen helsesektoren medfører stadige forslag om uthuling av helsepersonells taushetsplikt. Datatilsynet vil minne om at vissheten om at helseopplysninger blir formidlet videre fra legen, kan gjøre at flere vil kvie seg for kontakt med helsevesenet. Les mer om denne problemstillingen i kapittelet Velferd, forskning og helse.

I justissektoren fortsatte utviklingen i retning av økt sammenkobling av databaser mellom landene, der ulike europeiske politimyndigheter gis anledning til å søke i norske databaser, mens norske myndigheter kan søke i andre europeiske. Se for eksempel avsnittet om Prüm-avtalen i kapittelet Justis- og utlendingsfeltet.

Sammenkobling av databaser og mer ”flyt” av data er problematisk for personvernet av flere årsaker:
• Mengden opplysninger som finnes om den enkelte kan bli ute av proporsjoner i forhold til alvorligheten av problemet man ønsker å løse.
• Faren for at opplysningene kan bli tatt i bruk til andre, nye formål øker. Den registrerte mister oversikten over egne personopplysninger, og informasjon til den     registrerte blir vanskeligere å gjennomføre, siden det også for den behandlingsansvarlige blir vanskelig å forutsi hvor opplysningene kan komme til å vandre. I praksis velger man ofte bort å informere borgeren.
• Kvaliteten til opplysningene blir et problem: Det er ikke gitt at opplysninger samlet inn i en sammenheng er gode nok i en annen sammenheng.
• Misbruksfaren øker jo videre distribuert opplysningene er.
• Ansvaret for opplysningene, samt det å ha tilstrekkelig sikkerhet, blir vanskeligere når opplysningene ”flyter” i og mellom datasystemer.
• Muligheten til feilretting blir vanskelig når opplysningene utveksles. Feil kan forplante seg.

Diffuse formål og manglende behandlingsgrunnlag svekker personverngarantier

Behandling av personopplysninger forutsetter klart definerte formål og gyldig behandlingsgrunnlag. Datatilsynet avdekker dessverre mange avvik knyttet til disse forutsetningene. Virksomhetene er i varierende grad bevisst formålet og hvilke avgrensninger det gir for bruk av opplysningene.
Formål og behandlingsgrunnlag utgjør kjernen i personopplysningsloven. Formålet skaper rammer for selve behandlingen og gir mer eller mindre direkte anvisning om hvilke personopplysninger det er saklig grunn for å behandle. Formålet avgrenser også behandlingsansvarliges frihet til å benytte opplysningene i andre sammenhenger og til andre formål. Behandlingsgrunnlaget bidrar til å sikre den registrertes rettigheter. Lovens hovedregel er at den registrerte skal gi sitt frivillige, uttrykkelige og informerte samtykke. Alternativt kan behandlingen ha hjemmel i lov.

Manglende behandlingsgrunnlag er blant de mest vanlige avvikene som avdekkes i Datatilsynets kontroller. I forvaltningen er behandlingen i mange tilfeller basert på tvilsomt hjemmelsgrunnlag, gjerne ved at eksisterende hjemler er strukket uforholdsmessig langt. Hos private virksomheter er det gjerne mangler knyttet til samtykke. Det kan være gitt mangelfull informasjon, samtykke kan være i strid med krav til frivillighet eller det er ikke gitt utrykklig.
Samtykke er spesielt utfordrende for virksomheter i en monopolistisk situasjon. I privat sektor kan det være bomselskaper, offentlig kommunikasjon eller dominerende markedsaktører, som i en del tilfeller ikke tilbyr personvernvennlige alternativer. Den registrerte står dermed uten reelle valgmuligheter, utover å avvise tilbudet fra monopolisten.

Manglende sletting gir press mot personvernet

Datatilsynet har over tid fremholdt at brudd på sletteplikten er den største og alvorligste enkeltutfordringen for personvernet. Regelverkets utgangspunkt stiller krav til sletting når formålet med behandlingen er oppfylt. Det som i praksis skjer, er at virksomheten enten unnlater å slette eller definerer nye formål. Det synes å eksistere en form for eierskap til opplysninger generert i egen virksomhet, hvilket også påvirker holdningene til sletteplikten.
Kostnadene ved oppbevaring av opplysninger er fortsatt fallende, derfor vil virksomhetene sjelden sette i gang sletting av bedriftsøkonomiske årsaker. Tvert imot møter Datatilsynet en rekke argumenter for vedvarende lagring, som plikter etter regnskapslovgiving og skattelovgiving. Personopplysningsloven er kanskje den eneste reelle faktor som trekker i retning av en restriktiv slettepraksis.

Forbrukerhensyn brukes også som argument for videre lagring. I mange tilfeller hevder virksomheten at det er en ulempe for den registrerte om regelverkets slettekrav skal legges til grunn. Den registrerte kan, i følge disse virksomhetene, få innskrenket sin klageadgang eller miste andre naturlige rettigheter.
Datatilsynet opplever i mange tilfeller at sletting overhodet ikke har vært et tema i virksomheten. Dersom diskusjonen har vært oppe, er det sjelden på bakgrunn av hensynet til den registrertes personvern.

Datatilsynet kjemper en stadig tyngre kamp om tilfredsstillende slettepraksis. Mange vil ha lang lagringstid. Heller ikke de registrerte synes å være spesielt opptatt av problematikken, med mindre de har opplevd krenkelser som følge av praksisen. Mange synes ikke helt å gripe essensen i hvorfor sletting er viktig. Det tradisjonelle argumentet om at; for den som ikke har noe å skjule bør ikke vedvarende lagring av informasjon være et problem - står fortsatt sterkt. Nordmenn flest har meget høy tillit til virksomhetenes behandling og stiller sjelden kritiske spørsmål.

Mangelfulle utredninger av lov- og forskriftsforslag gir personvernkonsekvenser

Datatilsynet har i flere årsmeldinger påpekt manglende personvernutredning før nye lov- og forskriftsforslag sendes ut på høring. Det er alvorlig når utredningsinstruksen ikke følges på dette området. Man kan ikke la presentasjonen og vurderingen av personvernkonsekvenser være opp til høringsinstansene alene. Premissene for vurderingen må ligge i utkastet, først da vil man kunne få brede, gode høringsprosesser med tilstrekkelig fokus på personvern.
Fornyings- og administrasjonsdepartementet har utviklet en nyttig veileder i vurdering av personvernkonsekvenser av lov- og forskriftsforslag. Datatilsynet anbefaler denne veilederen til alle som har befatning med høringsforslag.

Inngripende tiltak bør revideres jevnlig

Datatilsynet etterlyste i årsmeldingen for 2008 fokus på revisjon og evaluering av personverninngripende tiltak som allerede er innført. Dette ønsket er fortsatt like aktuelt, også etter at Metodekontrollutvalget leverte sin rapport i meldingsåret (NOU 2009:15). I rapporten til utvalget ble ulike inngripende metoder for etterforskning for politi og PST gjennomgått og evaluert. Ett av metodekontrollutvalgets viktigste funn var imidlertid reelle mangler på mulighetene til å foreta en tilstrekkelig evaluering på området. Datatilsynet vil understreke betydningen av at man følger opp Metodekontrollutvalgets funn også når det gjelder tilrettelegging av etterfølgende evaluering. Slik tilrettelegging må innebære at man definerer formål og parametere for måling, og bygger disse inn i regelverket, før man tillater de integritetsutfordrende metodene.

Bygg inn personverngarantier i datasystemer fra starten av

Godt personvern og informasjonssikkerhet krever innsats og finansiering. Mange systemer, der man ikke har vist noe behov for å lagre detaljer om enkeltmennesker, blir designet slik at man i praksis lagrer det meste om den enkelte i svært lang tid. Innebygde personverngarantier er spesielt viktig når man har ambisiøse samordningsprosjekter som krever informasjonsflyt mellom flere parter.
I meldingsåret ble det tydelig at det nå etterspørres nye, store og ambisiøse dataprosjekter i sektorer med spesielt høye krav til personvern, taushetsplikt og konfidensialitet. Et eksempel er fremkommet gjennom debatten om NAV. Det er åpenbart behov for et omfattende datasystem for å kunne gjennomføre intensjonene i NAV-reformen.

Stortinget forutsetter omlegginger i helseforetakenes journalsystemer for å kunne gjennomføre samhandlingsreformen. Store endringer må gjøres før det er forsvarlig å kunne hente journalinformasjon på tvers av virksomhetsgrenser.

I tillegg har det også vært tydelig vist, både i meldingsåret og i foregående år, at politiets datasystemer har en rekke svakheter og trenger oppgradering.
Med den historiske kunnskap man har om NAVs, politiets og helsevesenets ulike systemer, bør man være klar over at det ikke er gjort i en håndvending å endre disse.

Datatilsynet er opptatt av at systemene designes på en personvernvennlig måte fra starten av, i stedet for at man velger uklare strategier for så å kompensere for manglende personvern i etterkant.

Tilsynet konstaterer at problemstillingen strekker seg over fem ulike akser:

  • For mange gis tilgang til for mange opplysninger.
  • Det gis for stor informasjonsdybde, ofte langt ut over tjenestelig behov.
  • Det legges ikke begrensninger på tiden medarbeiderne har tilgang til opplysningene.
  • Det gis tilgang til for mange personer, ofte langt utover tjenestelig behov.
  • Kontrollmekanismene, som for eksempel rutiner i tilknytning kontroll av logger, er mangelfulle.

Last ned: