Svar
Siv Jensen: Tolletaten har som eit viktig samfunnsoppdrag å sikre at lover og reglar for grensekryssande vareførsle vert etterlevde. For å løyse denne oppgåva gjev tollova vide kontrollheimlar. Tollova § 13-12 gjev tollmyndigheitene høve til å innhente og behandle "nødvendige" personopplysningar "ved planlegging, målretting og gjennomføring av kontroller". Høvet til tollmyndighetene til å innhente og behandle personopplysningar må skje innanfor rammene av tollova og personopplysningslova, som fastset at EUs personvernforordning (GDPR) gjeld som norsk lov. Tollmyndigheitene må ved behandling av personopplysningar vege omsyna til effektiv kontroll opp mot personvernomsyn.
NRK har sett søkjelyset på Tolletatens høve til innhenting og behandling av personopplysningar ved bruk av kamera som kan kjenne at kjenneteikn på køyretøy. Desse avvika er lukka.
Tolletaten har sjølv òg avdekt trong for vesentleg betring av etaten sin praksis for innhenting og handsaming av personopplysningar. Avvika her gjeld manglande dokumentasjon og kvalitetssikring av vurderingar av kor langt kontrollheimlane rekk, og om personvernet er tilstrekkeleg vareteke. I denne samanheng er reist spørsmål om kor langt Tolletatens heimelsgrunnlag rekk. Oppfølging av dette har vore eit viktig tema i styringsdialogen mellom etaten og Finansdepartementet i 2018 og vil framleis vere det i 2019. Det er beklageleg at etterlevinga i Tolletaten av personvernreglane har vore mangelfull. Samtidig er eg nøgd at etaten sjølv har avdekt avvika, rapportert om dei og er i gang med å bringe forholda i lovleg orden.
Finansdepartementet har følgt saka tett og gjeve tydelege tilbakemeldingar om at departementet forventar at avvika vert lukka. Stortinget vart orientert i revidert nasjonalbudsjett 2018 og i statsbudsjettet for 2019. Ved handsaming av revidert nasjonalbudsjett for 2018 vart det løyvd 30 mill. kroner til tiltak på personvernområdet i Tolletaten. I tildelingsbrevet for 2019 vert det òg presisert at etaten må prioritere arbeidet med å utvikle og etablere ein betre internkontroll, og at etaten må prioritere arbeidet med gjennomføring av identifiserte tiltak på områda personvern og informasjonstryggleik.
Etter NRKs oppslag ser eg behov for å gje ei samla framstilling av gangen i denne saka:
Tidleg 2017 – avvik i systemet for skiltattkjenning vert meldt til Datatilsynet
Tolldirektoratet informerte i februar 2017 Finansdepartementet om avvik i handteringa av informasjon frå Tolletatens løysing for skiltattkjenning (kameraovervakning og automatisk skiltattkjenning (ANPR)). Bakgrunnen for avviket var at Tolletaten 1. januar 2017 fekk heimel til å lagre opplysningar frå løysinga i inntil seks månader, mot tidlegare ein time. Den sentrale systemløysinga for skiltattkjenning vert drifta i samarbeid med Statens vegvesen. Tolletaten og Statens vegvesen hadde tilgang til kvarandre si løysing for skiltattkjenning på den tid da opplysningar vart lagra i ein time. Ved overgang til lengre lagringstid oppstod eit avvik ved at Statens vegvesen fekk tilgang til opplysningar frå Tolletatens skiltattkjenning lengre enn ein time – noko som Statens vegvesen ikkje har heimel til. Statens vegvesen melde avviket til Datatilsynet 25. januar 2017. Løysinga for lagring i seks månader vart stengd inntil ei løysing for tidsdifferensiert tilgang var på plass 22. februar 2017.
Finansdepartementet følgde opp saka overfor Tolldirektoratet. Departementet sette krav om at etaten innan rimeleg tid skulle få på plass ei tilfredsstillande løysing som avgrensa Statens vegvesens tilgang til informasjon ut over lagringstid på ein time. I svaret frå Tolldirektoratet vart det mellom anna uttalt at Tolletaten og Statens vegvesen hadde tilstrekkelege heimlar til utveksling av opplysningar frå dei to etatane sine ANPR-kamera som er lagra i ein time, og at avviket var lukka. Finansdepartementet presiserte at det er viktig at bruk av skiltattkjenning skjer innanfor dei rettslege rammene som følgjer av personopplysningslova og anna regelverk for dei to etatane.
Datatilsynet fatta vedtak om avvika i brev av 27. mars 2017 til Statens vegvesen. Statens vegvesen vidaresende dette brevet til Tolldirektoratet nokre dagar seinare. I brevet varsla Datatilsynet mellom anna at "[v]i ønsker å komme tilbake til og få en gjennomgang av omfanget av alle ANPR-kameraene før de settes i drift for Tolletatens formål og tillatelse." Finansdepartementet vart ikkje orientert om Datatilsynets vedtak av 27. mars 2017 før i juni 2018, i samband med Tolletatens rapportering om ANPR-avvik avdekt i 2018.
Tolldirektoratet følgde ikkje opp Datatilsynets brev til Statens vegvesen godt nok i 2017. Brevet frå Datatilsynet var ikkje retta til Tolldirektoratet, som oppfatta at Datatilsynet ville ta initiativ overfor Tolletaten til ein prosess. Direktoratet vedgår at etaten burde teke kontakt med Datatilsynet tidlegare om oppfølging av brevet. Både Tolletaten og eg meiner no i ettertid at Tolletaten burde ha varsla Finansdepartementet om brevet då den vart kjend med det.
Januar 2018 – etaten orienterer om omfattande svikt i handtering av personopplysningar
I november 2017 oppretta Tolletaten eit personvernprosjekt som skulle kartleggje og utgreie status i etaten si etterleving av personopplysningslova og førebuing til ny personopplysningslov som skulle tre i kraft i juli 2018. I denne kartlegginga avdekte Tolldirektoratet fleire brot på etaten si handsaming av personvernreglane. Direktoratet informerte Finansdepartementet og Datatilsynet om dette i januar og februar 2018. Orienteringane gjekk ut på at status på området ikkje var god nok, at kartleggingsarbeidet ville fortsetje og at det ville verte sette i verk omfattande tiltak. Som følgje av manglande dokumentasjon var det på fleire område uklårt om heimelsgrunnlaget til etaten for behandling av personopplysningar var tilstrekkeleg.
Det var avvik på organisasjonsnivå som uklare roller, organisering, roller og ansvar på personvernområdet, manglande kompetanse og kultur for handtering av personvern og manglar ved tekniske løysingar.
Etaten tok situasjonen svært alvorleg og identifiserte raskt og sette i verk ei rekkje naudsynte tiltak, medrekna vidare kartlegging. Finansdepartementet følgde saka tett i styringsdialogen og gav tydeleg melding om at departementet forventa at avvika vart lukka og at vedtekne tiltak vart følgte opp. I revidert nasjonalbudsjett for 2018 vart Stortinget orientert om avvika, og det vart løyvt 30 mill. kroner til tiltak på personvernområdet i Tolletaten.
Juni 2018 – handsaming av avvik for kamera for skiltattkjenning
På bakgrunn av intern bekymringsmelding og omtale i kartlegginga i personvernprosjektet starta Tolletaten i januar 2018 undersøkingar om bruk av løysinga for skiltattkjenning, medrekna om bruken var tilstrekkeleg forankra i heimelsgrunnlaget og om det var brot på reglane for informasjonstryggleik. Grundige undersøkingar og vidare kartlegging vart gjort i Tolletaten gjennom våren. Tolletaten erkjenner at desse utgreiingane kunne vore gjorde raskare. Etter vidare kartlegging vart saka identifisert som eit konkret avvik og varsla til Finansdepartementet og Datatilsynet i juni 2018.
Tolletaten lukka fleire av avvika i juni og juli 2018. Mellom anna vart Tolletatens tilgang til Statens vegvesens kamera avvikla, talet på brukartilgangar redusert, instruks for bruk av mobile kamera innskjerpa, nytt teknisk oppsett for å skilje ut data til høvesvis Tolletaten og Statens vegvesen etablert og bruk av varslingsliste stansa. Etaten har brukt noko meir tid på vurderingar knytt til oversiktsbilete og såkalla veivalgskamera, samt å etablere ny datahandsamaravtale mellom Tolletaten og Statens vegvesen.
Overordna om handsaminga
Stortingsrepresentant Bjørdal spør om eg snarast vil ta initiativ til ein full gjennomgang av korleis dette kunne skje. Då dette allereie er gjort i regi av Tolletaten, departementet er orientert og har følgt opp saka i 2018, og etaten allereie har sette i gang tiltak, har eg vurdert at det ikkje er naudsynt.
Både Tolletaten og Finansdepartementet har teke avvika i Tolletatens handtering av personopplysningar svært alvorleg. Oppfølginga av Datatilsynets vedtak i brev 27. mars 2017 til Statens vegvesen var ikkje god nok i Tolletaten, og departementet burde ha vorte orientert. Sidan hausten 2017 har likevel oppfølginga etter mi vurdering vore systematisk og god, sjølv om etaten erkjenner at utgreiingane av manglar i etaten sin bruk av systemet for skiltattkjenning kunne vore gjort noko raskare. Handteringa til etaten av personopplysningar og avvika i Tolletatens bruk av systemet for skiltattkjenning har vorte følgde opp i styringsdialogen med Tolletaten gjennom 2018 og vil òg vere eit viktig tema i 2019. Stortinget har vore orientert om utfordringane i Tolletaten, og det vart løyvt 30 mill. kroner til gjennomføring av tiltak.
Det er positivt at etaten sjølv har avdekt svakheitene og avvika, meldt til Datatilsynet og Finansdepartementet og gjort tiltak for å rette opp. Tolldirektoratet har nyleg gjort grundig greie for dette arbeidet på sine nettsider – toll.no. Etaten er no godt i gang med eit omfattande prosjekt for personvern og informasjonstryggleik. Eg ønskjer å byggje ein kultur der både departementet og etatane våre lærer av feil. Dette oppnår vi best når det i størst mogeleg grad er organisasjonen sjølv som oppdagar feila, slik som her. Feila må så vorte rapporterte slik at heile organisasjonen kan lære av det og ikkje gjentek dei, og at det kan vorte setje i verk tiltak.
Etatane under Finansdepartementet har viktige ansvarsområde. Departementet styrer overordna etter risiko og vesentlegheit og gir etatane tillit og stort handlingsrom. Denne saka har vore med på å vise at risikoen i informasjonshandsaming er stor. I tildelingsbreva for 2019 til våre underliggjande etatar har departementet difor varsla at vi planlegg ei ekstern evaluering av handsaming av informasjonstryggleik i alle etatane våre.