Innstilling fra justiskomiteen om årsmelding for Datatilsynet 1995.
Dette dokument
- Innst. S. nr. 142 (1996-1997)
- Kildedok: St.meld. nr. 15 (1996-97)
- Dato: 12.03.1997
- Utgiver: justiskomiteen
- Sidetall: 1
Tilhører sak
Innhold
1.1 Innledning
Datatilsynet, som har vært i virksomhet siden 1. januar 1980, har viktige oppgaver etter personregisterloven. Det skal bl.a. behandle og avgjøre søknader om konsesjon for personregistre og annen bruk av personopplysninger, kontrollere at lover og regler som gjelder personregistre og personopplysninger blir fulgt, og gi råd, rettledning og informasjon om personvern. Årsmelding fra Datatilsynet fremlegges for Stortinget årlig.
1.2 Justisdepartementets merknader
Høsten 1995 ble det opprettet et utvalg (Skauge-utvalget) som skal vurdere og eventuelt foreslå endringer i personregisterlovgivningen. Utvalget skal etter planen avgi sin utredning i mars 1997.
Regjeringen er opptatt av å bruke teknologien for å effektivisere samfunnet innenfor de rammer personvernet setter, og peker på at ny teknologi også gir mulighet til å sikre personvernet f.eks. ved større mulighet til å holde oversikt over hvordan registrert informasjon benyttes. Departementet bemerker videre at det ligger under Skauge-utvalget å foreta vurderinger av hvilke oppgaver Datatilsynet bør ha i fremtiden.
Årsmeldingen tar bl.a. opp spørsmål knyttet til forsikring og personvern. Som følge av nylig vedtatte endringer i personregisterforskriften blir livsforsikringsselskapenes registre også underlagt konsesjonsplikt. Det betyr at vilkår knyttet til bruk og registrering av opplysningene kan gjøres ved en individuell behandling.
Det fremgår i årsmeldingen at enkelte kommuner har gjort forsøk med opprettelse av offentlige servicekontorer som behandler forespørsler på vegne av ulike etater. Informasjonstilgangen har vært viet mye oppmerksomhet ved utviklingen av disse kontorene, og etatene har etablert tekniske tilgangssperrer for opplysninger som anses irrelevante for kontorets ansatte. Taushetsplikten er ikke til hinder for at forsøkene med servicekontorer kan gjennomføres.
Datakommunikasjon innen helsevesenet kan gi medisinsk-faglige fordeler. Departementet bemerker at det bør stilles strenge krav til organisatoriske, fysiske og tekniske sikringstiltak for å ivareta helsepersonellets taushetsplikt.
Årsmeldingen omtaler forholdet mellom CD-rom-utgivelser av aviser og tidsskrifter, og mulig inntreden av konsesjonsplikt på mottakers hånd. I forskriftene til personregisterloven er det tatt inn en ny bestemmelse som medfører konsesjonsfritak for mottaker i slike tilfeller.
I årsmeldingen står sikkerhetsspørsmål sentralt. Spørsmålet er gitt større oppmerksomhet ved opprettelsen av Rådet for IT-sikkerhet. Rådet skal bl.a. arbeide med utredning av behovet for et sertifiserings- og godkjenningsorgan.
Datatilsynet har reist tvil om hvordan straffeloven § 390 b om forbud mot skjult fjernsynsovervåkning på offentlig sted er å forstå på enkelte punkter, og departementet knytter noen kommentarer til bestemmelsen. At overvåkingskameraene er synlige er ikke tilstrekkelig, men heller ikke nødvendig, for å oppfylle opplysningsplikten. Det må være avgjørende om informasjonen er egnet til å underrette de som berøres om overvåkningen.
I årsmeldingen har Datatilsynet også tatt opp forskning og personvern. Den nasjonale forskningsetiske komité for medisin (NEM) anbefaler som hovedregel følgende prinsipper for utnyttelse av befolkningsundersøkelser til forskningsformål: Deltakerne avgir et generelt samtykke til utnyttelse for forskningsformål; utnyttelse av materiale som tidligere ikke er godkjent skal forelegges Den regionale forskningsetiske komité, og ved kobling til andre godkjente registre eller datakilder skal resultatet anonymiseres. Departementet er enig i at lovregulering av store sentrale helseregistre til forskningsformål bør vurderes.
1.3 Årsmelding for Datatilsynet 1995
1.3.1 Innledning
I meldingen fremheves det at lover og politiske beslutninger må bli teknologiens styringsredskaper. Utrygghet gjennom vold og kriminalitet aktualiserer overvåknings- og kontrolltiltak som må sies å få stadig større aksept. Det er derfor viktig å bidra til at lovlydige borgeres integritet ikke ofres i anstrengelsene for å avsløre lovbryterne. Personregisterloven har i det alt vesentlige vist seg som et egnet middel i arbeidet for å sikre og forsvare grunnleggende forestillinger om en privat sfære rundt det enkelte individ.
1.3.2 Datatilsynets virksomhet
I løpet av 15 år har Datatilsynets fagområder gjennomgått en eksplosiv utvikling. Tilsynet mottar et stadig økende antall henvendelser om å delta i ulike prosjekt- og planleggingsgrupper. Av kapasitetsgrunner er det bare et fåtall slike henvendelser tilsynet kan imøtekomme. Personregisterloven trenger en revisjon. Foruten dette lovarbeidet, ligger den største utfordringen for Datatilsynet i å ruste opp tilsynet slik at det er en ressurssterk samarbeidspart som bidrar til en effektiv og forsvarlig informasjonsforvaltning.
Det må søkes om konsesjon fra Datatilsynet for å opprette edb-baserte personregistre og manuelle personregistre som inneholder sensitive personopplysninger. I 1995 var det en klar økning i antall konsesjonssaker i forhold til 1994. Datatilsynet bruker flest ressurser på behandling av søknader om konsesjon. Tilsynet får også mange henvendelser om personvernspørsmål. Restansene i saksmengden har sunket siden 1994. Datatilsynet bidrar også aktivt i forskjellig høringsarbeid. I 1995 ble spesielt teknologiske kontroller prioritert. Det ble bl.a. foretatt kontroller i flere av landets kommuner som viste en generelt manglende bevissthet om edb-sikkerhet.
Datatilsynet har arbeidet aktivt for å strukturere bl.a. mediekontakten og forholdet til ulike målgrupper. Tilsynet har flere informasjonshefter og brosjyrer som sendes ut på forespørsel, bl.a. til skoler. Høsten 1995 ble første nummer av Datatilsynets kvartalsskrift SPOR utgitt. Det skal gi generell informasjon om tilsynets virksomhet og ta opp aktuelle temaer. Det ble også arrangert et stort seminar for edb-konsulenter, -leverandører og -rådgivere høsten 1995. Videre har tilsynet deltatt på foredragsvirksomhet og internasjonale møter innen personvernfeltet.
1.3.3 Prinsipielle saksområder
Det er svært sensitive opplysninger som samles inn i forsikringsbransjen. Selskapene ønsker stadig å registrere nye typer personopplysninger og bruke dem til nye formål. Datatilsynet har også registrert at blandede konsern, dvs. virksomheter som både er finans- og forsikringsselskaper, ønsker å opprette felles kunderegistre. Dette gir problemer i forhold til taushetsplikt og utlevering av opplysninger. Datatilsynet har vært engasjert i arbeidet med utformingen av egenerklæringsskjemaer til bruk i forsikringsbransjen. Skadeforsikringsselskapenes registre reguleres gjennom konsesjon fra Datatilsynet. Livsforsikringsselskapenes registre har derimot vært regulert i forskrifter. Det er vanlig at selskapene har benyttet svært vide fullmaktserklæringer for å skaffe samtykke til innhenting av taushetsbelagt informasjon. Datatilsynet arbeider for at forsikringsselskapene skal benytte en mer konkret fullmaktserklæring. I forsikringsbransjen er det opprettet flere fellesregistre. I 1995 arbeidet Datatilsynet med en revisjon av konsesjonene for disse registrene. Tilsynet mener kundene bør få årlig utskrift av de opplysninger som er registrert, alternativt gjenpart hver gang opplysninger blir registrert.
Under behandling av konsesjonssøknaden for de nyopprettede offentlige servicekontorenes registre, stilte tilsynet spørsmålstegn ved lovligheten av å gi tjenestemenn ved servicekontorene tilgang til ulike etaters taushetsbelagte informasjon. Justisdepartementet konkluderte med at taushetspliktreglene ikke hindrer etableringen av slike kontorer. Datatilsynet har besluttet at de ansatte ved servicekontorene må forholde seg til hver enkelt etats konsesjoner.
I 1995 behandlet tilsynet en søknad fra Haukeland Sykehus om å etablere en kobling mellom sykehusets interne datanett og Internett via en brannmur. En brannmur er et sikkerhetstiltak som skal hindre uvedkommende i å få tak i sensitiv informasjon. Søknaden ble avslått pga. manglende dokumentasjon for at koblingen ville hindre uautorisert tilgang til pasientopplysninger. Sykehuset har påklaget vedtaket. Tilsynet legger vekt på at når helseinstitusjoner skal koble seg opp mot eksterne nettverk, må det skje på en slik måte at pasientens tillit til helsevesenet ikke blir svekket.
Datatilsynet mottok i 1995 en rekke henvendelser fra politiske ungdomsorganisasjoner som hadde spørsmål om adgang til utlevering av medlemslister til ulike etater i kontroll- og revisjonsøyemed. Tidligere har Datatilsynet akseptert utlevering dersom det foreligger et vedtak om dette fra foreningens eller organisasjonens generalforsamling. Dette har imidlertid vært aktuelt for mindre sensitive registre. Datatilsynet mener at det bør være tilstrekkelig om en autorisert revisor bekrefter antall medlemmer i forhold til kontrollmyndighetene. Det er utarbeidet nye forskrifter til personregisterloven. En av endringene er at opplysninger fra foreningers medlemsregistre kan utleveres som ledd i regnskaps- eller revisjonsbehandling.
1.3.4 Nye saksområder
Den siste tiden har det oppstått et stadig større behov for elektronisk kommunikasjon innen helsesektoren. I store nettverk vil ikke helsepersonellet lenger ha mulighet til å forvalte taushetsplikten som forutsatt, men problemet kan avhjelpes noe ved å stille strenge krav til sikringstiltak.
Aftenposten fikk i 1985 tillatelse til å gi publikum tilgang til avisens databaserte arkiv. Det ble som hovedregel satt vilkår om anonymisering eller blokkering når artikkelen var sju år gammel. Aftenposten søkte om tillatelse til å oppheve sjuårsregelen i forbindelse med nye leveringsmåter for informasjon og ny produksjonsteknikk. Datatilsynet vedtok at sjuårsfristen kunne oppheves.
I mai 1995 ga tilsynet den første tillatelsen til å utgi risikoprofil (scoring) av privatpersoner i kredittopplysningsøyemed. Dette er en modell som beregner sannsynligheten for at søker kommer til å betale sine forpliktelser. Det er et vilkår at gjenparten som sendes til den omspurte ikke bare skal inneholde resultatet av scoringen, men også alle underlagsopplysninger.
NRK søkte i 1995 om endring i konsesjonen for lisensregisteret slik at det kunne åpnes for samkjøring med eksterne personregistre dersom Datatilsynet og respektive registereiere samtykket. Samtidig ble det søkt om tillatelse til å koble lisensregisteret med Telenors register over privatpersoner som har telefon. Disse skulle motta en oppfordring om å betale lisens dersom det forelå lisensplikt. Datatilsynet avslo søknaden fordi ordningen ville gi sterke signaler om aksept for mulig framtidig bruk uten at det ble vurdert hvilke typer eksterne registre NRK ønsket skulle omfattes av endringene. Når det gjaldt den konkrete søknaden om kobling, ble det lagt vekt på at koblingen inneholdt et sterkt element av kontroll. Datatilsynet mente at NRKs behov for bruk av eksterne personregistre ved lisensinnkreving først bør vurderes i forhold til lov eller forskriftshjemler. Saken ble sendt departementet som klagesak.
Datatilsynet behandlet i 1995 en sak om overføring av personopplysninger til Sabre, et globalt reisereservasjonssystem som ligger i USA. Basen inneholder opplysninger om reisemønster og andre reiserelaterte opplysninger. Tilsvarende konsesjon er tidligere gitt til et reisereservasjonssystem kalt Amadeus som ligger i Tyskland. Datatilsynet avslo søknaden fra Sabre med den begrunnelse at personvernlovgivningen i USA (i motsetning til i Tyskland) ikke var tilfredsstillende. Datatilsynet er opptatt av hvilke personvernmessige konsekvenser som kan oppstå dersom personopplysninger overføres til et land som ikke har personvernlovgivning. Vedtaket er påklaget til departementet.
Toll- og avgiftsdirektoratet ba om Datatilsynets vurdering av tollvesenets online-tilgang til bookingsystemer. Datatilsynet ser at en online-tilgang kan redusere spredning av personopplysninger ved at tollvesenet selv innhenter opplysninger om reisende. På den annen side får myndighetene et stort kontrollpotensiale, og faren for uberettiget mistenkeliggjøring av personer med spesielle reisemønstre øker. En online-tilgang bør derfor ha uttrykkelig hjemmel i lov.
1.3.5 Temaer i 1995
Fokuseringen på Internett var det mest oppsiktsvekkende trekket innen edb-utviklingen i 1995. Innen år 2000 vil trolig hele det offentlige Norge være knyttet sammen i et gigantisk nettverk. Kommunikasjon er den viktigste trenden i IT-utviklingen. Her ligger det store utfordringer i å hindre uvedkommende i å få tilgang til databaser der de ikke skal ha adgang. I 1995 fikk Regjeringen i oppdrag å komme med forslag til en løsning på spørsmålet om et edb-sertifiseringsorgan.
Vi etterlater oss stadig flere elektroniske spor og flere og flere tjenester vil bli knyttet til kort. Registrering av kundeforhold er et område som illustrerer at elektroniske spor kan være en attraktiv handelsvare. Dersom man utvider kundeopplysninger med andre opplysninger, kan det snart lages en nøyaktig elektronisk profil av en person. Samtidig øker de store nettverkene tilgangen på opplysninger. Datatilsynet har ikke gitt adgang til tilknytning til store nettverk for svært sensitive opplysninger med mindre det kan legges fram dokumentasjon på at sikkerheten er betryggende. Det er et utgangspunkt at en forbruker skal ha mulighet til å handle uten at varer og vaner blir registrert. Datatilsynet gir i de fleste tilfeller konsesjon til en utvidet registrering dersom kunden samtykker. Spørsmålet blir om samtykket er avgitt frivillig, og om det skal aksepteres at personopplysninger blir en del av den kommersielle omsetningen. For å oppnå at man tar hensyn til personvernet, bør det stilles visse minstekrav til et kortsystem. Det må eksistere et anonymt alternativ og den registrerte skal vite hva som registreres og i hvilken hensikt. Det må også være klare ansvarsforhold med hensyn til oppbevaring og bruk av opplysningene, og maskin- og programvare må være slik at det minimaliserer risikoen for uautorisert tilgang.
Etter personregisterloven § 37 a er fjernsynsovervåkning bare tillatt dersom dette er saklig begrunnet ut fra hensynet til virksomheten der overvåkningen skjer. Datatilsynet mottar mange henvendelser fra personer som ønsker en avklaring på overvåkningsforhold og de fleste er overrasket over hvor lite Datatilsynet kan gjøre for å hjelpe dem på dette området. Tilsynet gir råd og veiledning i lovforståelsen og pålegger eventuell sletting. Et eksempel er forholdet til overvåkning i drosjer. Tilsynet mener det er tvilsomt om loven åpner for en slik form for overvåkning. Datatilsynet har imidlertid ikke mulighet til å nekte at overvåkning finner sted, og det mangler sanksjonsbestemmelser. Tilsvarende problemer oppleves i forbindelse med overvåkning av arbeidsplasser. Datatilsynet mener at vilkår for slik overvåkning ikke er oppfylt dersom den eneste begrunnelsen er fare for svinn. I svært mange tilfeller vil ulempene for den ansatte være større enn den fordel som oppnås.
Straffeloven § 390 b setter forbud mot overvåkning på offentlig sted dersom det ikke er informert om at stedet er overvåket. Dette kan være vanskelig når det er store områder som overvåkes eller når både fokusering og retning på kamera kan fjernstyres. Det reises spørsmål ved om det foreligger et krav om fastmontert kamera i bestemmelsen, og om bestemmelsen forbyr bruk av skjulte kameraer.
Når det gjelder forskning og personvern oppstår spørsmålet om det er gitt samtykke til bruk av personopplysninger. Datatilsynet har gitt tillatelse til de fleste registerkoblinger til forskningsformål, enten fordi resultatet er anonymt eller fordi det gis strenge vilkår om sikkerhet, tilgangskontroll osv. I prosjekter hvor det skal være direkte kontakt med personer er det tilsynets hovedregel at det skal innhentes skriftlig samtykke. Et eksempel det vises til i meldingen når det gjelder samtykkeproblematikk er helseundersøkelsen i Nord-Trøndelag. Fordi prosjektet er så ambisiøst og omfattende er Datatilsynet skeptisk til å gi tillatelse. Det er derfor gitt en midlertidig tillatelse. Tilsynet har bedt Nasjonal etisk komité for medisinsk forskning om assistanse til å utforme vilkårene. Datatilsynet mener at opprettelse av store sentrale helseregistre gir et enormt overvåkningspotensiale. Mange av disse forskningsprosjektene kan derfor være egnet for lovregulering.
Komiteen vil vise til følgende enstemmige merknader fra justiskomiteen i Innst.S.nr.204 (1995-1996) om årsmelding for Datatilsynet 1994:
« Komiteen finn det lite tilfredsstillande at Årsmeldinga for Datatilsynet frå 1994 først blir lagt fram for Stortinget våren 1996. Regelen bør vere at årsmelding for eitt år kjem til Stortinget så tidleg som mogleg året etter. Når det gjeld årsmeldinga for 1995 ventar komiteen at ho blir lagt fram til politisk handsaming seinast hausten 1996. » |
Komiteen finner det lite tilfredsstillende at Datatilsynets årsmelding for 1995 først legges fram for Stortinget i januar 1997. Det gjør Stortingets debatt mindre aktuell. Komiteen forventer at årsmeldinga for 1996 blir lagt fram for Stortinget så tidlig som mulig og senest slik at den kan bli politisk behandlet i Stortinget i løpet av 1997.
Komiteen viser til sine merknader til meldinga om telekommunikasjon og personvern, Innst.S.nr.24 (1995-1996), der komiteen pekte på at det er avgjørende å ha politisk styring over om, og i tilfelle hvordan, nye teknologiske muligheter skal tas i bruk også innafor telekommunikasjon. Komiteen viser til at Regjeringa vil bruke teknologien for å effektivisere samfunnet. Komiteen er enig i dette, og komiteen vil understreke at i denne prosessen er det viktig at personvernhensyn blir vektlagt, slik at ikke informasjon om enkeltpersoner blir brukt på en måte som kan være en belastning for den enkelte, eller at andre enn dem som bør ha tilgang til opplysninger får det. Komiteen har pekt på behovet for politiske retningslinjer for avveining av personvernspørsmål og effektivisering i den enkelte sak. Når Stortinget ønsker at årsmelding for Datatilsynet skal legges fram for Stortinget hvert år, gir dette nasjonalforsamlinga mulighet til å gi politiske signaler om personvernavveininger i konkrete problemstillinger.
I flere av de kommuner der Datatilsynet har foretatt tekniske kontroller er det bemerket at bevisstheten om personvernspørsmål synes å være liten. Dette er bekymringsfullt. Kommunene handterer sensitiv informasjon om kommunens innbyggere som mottar kommunale tjenester, særlig når det gjelder helse- eller omsorgstjenester. Det er viktig at sensitive opplysninger blir behandla slik at ikke flere enn nødvendig får tilgang til dem.
Årsmeldinga inneholder en vurdering av personvernhensyn ved offentlige servicekontorer. Her kan skrankebetjening innhente opplysninger fra ulike offentlige etater. Komiteen ser at offentlige servicekontor kan føre til betydelig bedre service for befolkningen. Det må avveies i forhold til de personvernmessige problemer som oppstår ved at ansatte ved de offentlige servicekontorene får tilgang til opplysninger fra mange ulike offentlige registre. Forutsetningene må slik Justisdepartementet peker på, være at den enkelte etats taushetspliktregler blir fulgt, og at det blir etablert tekniske adgangssperrer for servicekontorene slik at de ansatte bare får adgang til de opplysninger i etatene som er strengt nødvendig for å utøve sine funksjoner.
Datatilsynet tar opp problemer med forståelsen av bestemmelsen om video- og fjernsynsovervåking på offentlig sted og peker på behov for å få klarere bestemmelser om hva som er saklig begrunna overvåking. Likeså peker tilsynet på at det ikke er knytta sanksjonsbestemmelser til overtredelse av reglene. Komiteen er enig med Datatilsynet i at det er behov for en bedre kontroll med TV-overvåking på offentlig sted. Blant annet er det grunn til å vurdere i hvor stor del av det offentlige rom vi vil akseptere fjernsynsovervåking.
Komiteen vil be departementet vurdere hvorvidt det bør etableres en meldings- eller konsesjonsplikt for overvåking av offentlig sted. Komiteen mener det er rimelig at brudd på reglene må føre til sanksjoner og ber om at også dette blir utredet.
Komiteen er enig med Justisdepartementet i at det overordna kravet til informasjon om overvåking, må være at informasjonen gis i en form som er tydelig og lett å oppfatte for publikum. Det innebærer at det bør gis tydelig informasjon om hvilket område som blir overvåka.
Komiteen viser til at Datatilsynet får mange henvendelser om grunnlaget for overvåking av arbeidssted. Dette er et problemområde Datatilsynet har tatt opp i flere årsmeldinger. Dagens regler gir arbeidsgiver rett til å sette i verk videoovervåking « dersom det er særskilt behov » for slik overvåking. Komiteen har tidligere kommentert at det ikke er rimelig at arbeidsgivers vurdering av når det er særskilt behov for overvåking skal legges til grunn. Komiteen ser at det kan være behov for en klargjøring av lovteksten i § 37 a i personregisterloven slik at arbeidstaker får en rett til å bli hørt før eventuell overvåking blir iverksatt.
Datatilsynet kommenterer hvordan økt bruk av elektroniske hjelpemidler i ulike administrasjoner medfører et press på personvernet. Den enkelte borgers bevegelser blir derigjennom i sterkere grad kartlagt enten det gjelder gjennom elektroniske spor eller ved økt bruk av sammenkobling av registre og mer teknisk overvåking. Komiteen viser til sine merknader i personvernmeldinga om at det er et mål at det skal være mulig å foreta transaksjoner uten å etterlate seg elektroniske spor og at disse muligheter skal være like billige for brukeren som det elektroniske alternativet.
Datatilsynet tar opp utviklinga i forsikringsbransjen der selskapene stadig ønsker å registrere nye opplysninger og bruke dem til nye formål. Komiteen mener det er nødvendig å holde en restriktiv linje i forhold til forsikringsselskapene. Komiteen støtter Datatilsynets arbeid med regler som gir kundene bedre informasjon f.eks. ved at kundene bør få gjenpart hver gang nye opplysninger om den enkelte blir registrert.
Datatilsynet har i 1995 gitt tillatelse til at kredittopplysningsfirma utarbeider risikoprofiler for enkeltpersoners antatte kredittverdighet ut fra antatt betalingsevne og villighet hos en statistisk likeperson. Komiteen er enig i at en slik profil ikke representerer en vesentlig personverntrussel, men komiteen viser til at bruk av slike profiler kan bidra til at beslutninger i større grad kan bli basert på gruppetilhørighet, noe som svekker den enkeltes rett til å bli vurdert på et individuelt grunnlag.
Årsmeldinga omhandler flere viktige prinsipielle spørsmål. Søknaden fra Haukeland sykehus om å etablere en kobling mellom sjukehusets interne datanett og Internett reiser spørsmål om hvor strenge sikkerhetskrav som bør stilles før det er forsvarlig at fortrolige helseopplysninger på et internt nett kan kobles til et åpent nett. Datatilsynet avslo søknaden fordi tilsynet ikke fant det godtgjort at den tekniske « brannmur »-løsninga ville gi tilstrekkelig sikkerhet mot at taushetsbelagt informasjon kunne komme på avveie, bl.a. ved at uvedkommende kunne bryte gjennom brannmuren og skaffe seg tilgang til sykehusets interne nettverk. Haukeland sykehus har anka avslaget til Justisdepartementet. Komiteen har stor forståelse for ønsket fra Haukeland sykehus om Internett-tilknytning. Samtidig er sykehusopplysninger om pasienter svært sensitive opplysninger, og det er nødvendig å sikre at pasientopplysninger ikke kommer på avveie.
Komiteen viser til sine tidligere uttalelser om at Norge bør være en pådriver for at personvernhensyn ivaretas, ikke minst viktig er dette når det gjelder så sensitiv informasjon som helseopplysninger. Komiteen mener at det er viktig fortsatt å følge strenge krav til godtgjorte tekniske sikkerhetstiltak når helseinstitusjoner ønsker tilknytning til ytre nettverk. Komiteen mener at en konsekvens av disse kravene er at konsesjon til en helseinstitusjon om å knytte internt nettverk til et åpent nett som Internett ikke bør gis med mindre Datatilsynet finner de tekniske sikkerhetssystemer betryggende. Komiteen viser til at dess mer sensitive opplysninger er, dess strengere krav må stilles til sikring av konfidensialitet.
Komiteens flertall, alle unntatt medlemmene fra Arbeiderpartiet, finner det rimelig å kreve at det skal foreligge konkret løsning på sikkerhetsproblemene som Datatilsynet finner forsvarlig før konsesjon bør gis.
Flertallet har tidligere understreka at Norge bør ha som ambisjon å være en pådriver for å sørge for at personvernhensyn blir vektlagt i valg av teknologiske løsninger.
Flertallet finner at tildeling av ressurser til Datatilsynet knapt gjør det mulig å virkeliggjøre denne ambisjon. Datatilsynet påpeker at dersom stillingsveksten skulle holdt tritt med den eksplosive økninga i arbeidsoppgaver burde tilsynet i dag hatt nærmere 5 ganger så mange stillinger som de hadde i 1995, dvs. ca 80 stillinger i stedet for 17.
Flertallet viser til at de totale IT-investeringer i Norge i 1995 var på 21 mrd. kroner, og at det i årsmeldinga antas at innen år 2000 vil hele det offentlige Norge være knytta sammen i et gigantisk nettverk. Mulighetene til å registrere, systematisere og videreformidle data, også persondata, er blitt dramatisk økt på de fleste felt av samfunnslivet. Datatilsynet trenger styrking for å kunne møte denne situasjonen.
Flertallet har merka seg at departementet ikke kommenterer Datatilsynets vurdering av behovet for økte stillinger, men viser til at Skauge-utvalget, som etter planen skal levere sin innstilling i mars 97, skal vurdere framtidige oppgaver for Datatilsynet.
Flertallet viser til den raske teknologiske utviklinga, og dagens problemer med at Datatilsynet verken har kapasitet til å delta i sentrale arbeidsgrupper for å ivareta personvernhensyn ved planlegging av nye IT-løsninger, eller å foreta nødvendige kontroller med at pålegg og regelverk blir fulgt. Flertallet finner det lite forsvarlig i denne situasjon å « fryse » ressursene til Datatilsynet inntil Skauge-utvalgets innstilling foreligger og er behandla ferdig, noe som kan ta lang tid. Framtidig organisering av personvernarbeidet er naturlig å diskutere på grunnlag av Skauge-utvalgets innstilling, men med den veksten som er på IT-området, kan det ikke være tvil om at det haster med å styrke Datatilsynets ressurser.
Flertallet har merka seg at Datatilsynet i 1995 har prioritert teknologiske kontroller. Når en prioritering av feltet innebærer en gjennomføring av 18 kontroller, er det en illustrasjon på Datatilsynets begrensede ressurser. Datatilsynet har i dag 2 teknologer.
Et annet flertall, medlemmene fra Arbeiderpartiet, Høyre og Fremskrittspartiet, vil vise til at Norge i henhold til avtalen mellom Norge, Island og Schengen-landene, har rett til deltakelse i Schengens kontrollorgan, Joint Supervisory Authorithy (JSA). Datatilsynet vil bli anmodet om å være observatør i JSA.
Dette flertallet vil vise til at det har vært avholdt møter mellom Datatilsynet og Justisdepartementet vedrørende Schengenforhandlingene og progresjonen i disse, og antar at tilsynet dermed har hatt anledning til å ta opp personvernmessige sider ved avtalen. Dette flertallet vil i denne sammenheng også vise til ratifikasjonsproposisjonen om Schengensamarbeidet.
Komiteens medlemmer fra Senterpartiet, Sosialistisk Venstreparti og Kristelig Folkeparti viser til den sterke økning i bruken av overvåking gjennom online-tilknytning til SIS-systemet som vil være en følge av en eventuell norsk tilslutning til Schengen-avtalen. EU-parlamentet retter skarp kritikk mot dette systemet for manglende demokratisk kontroll med et omfattende informasjonssystem som vil bli brukt bl.a. til å ta stilling til adgang til Schengenstatene. Disse medlemmer forutsetter at disse spørsmålene vil bli viet bred plass i Regjeringas proposisjon om Schengen til Stortinget.
Komiteens medlemmer fra Arbeiderpartiet deler flertallets syn om at Norge bør ha som ambisjon å være en pådriver for å sørge for at personvernhensyn blir vektlagt i valg av teknologiske løsninger. Disse medlemmer kan imidlertid ikke være enig i at ressurssituasjonen for Datatilsynet ikke har gjort det mulig å bidra til å virkeliggjøre denne ambisjonen. Disse medlemmer vil påpeke at departementet gjennom de siste årene har videreført de forslag til budsjett som Datatilsynet selv har framlagt, og kan vanskelig se at situasjonen kan beskrives som en ressursmangel for tilsynet. Departementet må til enhver tid vurdere ressurssituasjonen for Datatilsynet, også når det gjelder antall stillingshjemler. Disse medlemmer deler flertallets ønsker om å øke kapasiteten for Datatilsynets kontrollmuligheter og dets faglige kompetanse. Disse medlemmer mener likevel det er betimelig at departementet avventer større endringer i ressurssituasjonen for tilsynet i påvente av de konklusjoner som vi forventer kommer i Skauge-utvalgets innstilling.
Komiteen viser til meldingen og rår Stortinget til å gjøre følgende
St.meld. nr. 15 (1996-1997) - Årsmelding for Datatilsynet 1995 - vedlegges protokollen.
Oslo, i justiskomiteen, den 12. mars 1997. |
Lisbeth Holand, | Olav Akselsen, |
leder og ordfører. | sekretær. |