Du bruker en gammel nettleser. For å kunne bruke all funksjonalitet i nettsidene må du bytte til en nyere og oppdatert nettleser. Se oversikt over støttede nettlesere.

Stortinget.no

logo
Hopp til innholdet
Til forsiden
Til forsiden

1. Sammendrag

Departementet peker på at personvern er en grunnleggende rettighet som beskytter den enkeltes personlige integritet og privatliv. Inngrep i enkeltindividets personlige integritet forutsetter lovhjemmel eller samtykke fra den det gjelder.

Sikker identitetsforvaltning, gode autorisasjons- og loggløsninger, og et generelt høyt sikkerhetsnivå er viktige tiltak for å redusere negative konsekvenser ved bruk av personopplysninger. Ytterligere personvernutfordringer er knyttet til bruk av Internett med globale systemer som nødvendiggjør avklaringer vedrørende landenes jurisdiksjon. Internasjonalt personvernarbeid på flere plan er derfor viktig.

Personvern har vært et hyppig tema i den offentlige debatt i løpet av meldingsåret. Debatten dreier seg om avveiningen mellom personvern og andre viktige samfunnshensyn. Det skal alltid foretas gode, helhetlige konsekvensvurderinger slik at den samlede effekten av ulike personverninngrep vurderes i forbindelse med hvert nytt inngrep, og veies opp mot fordelene man vil oppnå med tiltaket. Datatilsynet påpeker i sin årsmelding at personverngarantiene i praksis vil smuldre bort med tiden dersom personvernet blir sett som en hindring som helst bør ryddes av veien. Det er viktig at personvernet har status som et gode med selvstendig egenverdi.

I arbeidet med oppfølgingen av Personvernkommisjonens rapport ønsker departementet å legge bedre til rette for en helhetlig tilnærming til personvernet. Målet er å ta tak i sektorovergripende problemstillinger og arbeide fram en omforent, tverrsektoriell strategi for å oppnå en mer helhetlig tenkning rundt personvernutfordringene. Eksempler på gjennomgripende problemstillinger er utfordringer knyttet til økende innsamling av elektroniske spor, tendenser til å lagre data i svært lang tid, rekkevidden av de registrertes samtykke og mangelfull tilgangskontroll. Departementet mener det bør utvikles gode teknologiske løsninger som kan medvirke til å redusere negative personvernkonsekvenser.

Som ledd i oppfølgingen av Personvernkommisjonens rapport bevilget departementet i meldingsåret midler til gjennomføring av særskilte prosjekter i regi av Datatilsynet. Det mest synlige av disse prosjektene har hittil vært opprettelsen av veiledningstjenesten og nettstedet slettmeg.no. Målet med prosjektet er å etablere et lavterskeltilbud som kan veilede publikum i hvordan de for eksempel kan få fjernet eller gjort informasjonen utilgjengelig for andre.

I meldingsåret fikk Datatilsynet midler for å igangsette et arbeid for å bedre kjennskapen til og etterlevelsen av personopplysningslovens regler om informasjonssikkerhet og internkontroll, blant annet gjennom bruk av personvernombudsordningen.

Det er i dag mer enn to millioner norske brukere på Facebook. Spørsmål om eierskap og tilgang til informasjon er viktig for de mange brukerne. Samtidig er jurisdiksjonsspørsmålet en kompliserende faktor. Nye globale lagringsmetoder i form av blant annet cloud computing åpner enorme muligheter, men utfordrer også grensene for eierskap, bruk av og kontroll med informasjon.

I meldingsåret har spørsmålet om mulig implementering av EUs datalagringsdirektiv vært et tilbakevendende tema.

Reduksjon av anonyme alternativer, i kombinasjon med at elektroniske spor i større grad registreres, medfører at personvernet utfordres.

For tiden er både EUs personvernregelverk og vår nasjonale personopplysnings-lov, som bygger på EU-direktiv 95/46/EF, til revisjon. Ett av målene er å få et mer tidsmessig oppdatert regelverk som tar høyde for den teknologiske utviklingen. Samtidig er det nå 30 år siden OECDs personvernretningslinjer ble vedtatt, og også disse er satt under lupen med tanke på oppdatering.

I meldingsåret vedtok Stortinget blant annet ny politiregisterlov. Loven innebærer langt bedre regulering av politiets bruk av personopplysninger enn gammelt regelverk. Ikrafttredelse av regelverket forutsetter forskrifter som for tiden er under utarbeidelse. Når reglene trer i kraft, vil de innebære et bedret personvern for dem som registreres i politiets registre. I meldingsåret avga Metodekontrollutvalget sin rapport Skjult informasjon – åpen kontroll, inntatt i NOU 2009:15. Rapporten er nyttig i personvern-sammenheng ved at den gir en god oversikt over politiets bruk av skjulte, og personvern-inngripende, tvangsmidler. I meldingsåret ble også Medieansvarsutvalget nedsatt. Utvalgets mandat er å foreta en samlet vurdering av reglene om plassering av ansvar for ytringer, med sikte på å vurdere om det er grunnlag for et mer enhetlig system for plassering av ansvar. Utvalget skal herunder vurdere tiltak som kan sikre enkeltmenneskers personvern i møte med media. Sektorreguleringen må spille sammen med det generelle personvernregelverket for å gi borgerne best mulig personvern.

Datatilsynet er bekymret for at personvernet svekkes som følge av mange enkeltstående tiltak, som går på bekostning av personvernet, og at personvernet tilsidesettes som følge av marginale, ikke-dokumenterte gevinster, eller av rene effektivitetshensyn. Tilsynet fokuserer på den samlede effekten av et stort antall nye personopplysningsbehandlinger, mangelfull ansvarsplassering, elektroniske spor, manglende sletting, større samhandling og færre anonyme alternativer. Departementet støtter tilsynet i at enkeltstående tiltak må ses i sammenheng med andre tiltak som får konsekvenser for personvernet. For å kunne foreta en reell forholdsmessighetsvurdering, vil en være nødt til å se på den samlede effekten av opptak/registrering og lagring av personopplysninger.

Datatilsynet peker videre på en tendens til at konsekvensen av innsamling og lagring av personopplysninger undervurderes, og at innskrenkninger i bruken av opplysningene og gode sikkerhetsløsninger vurderes som tilstrekkelig kompensasjon for lagringen. I likhet med tilsynet understreker departementet at innsamling og lagring av personopplysninger er et personverninngrep i seg selv. Departementet understreker betydningen av at vurderinger av personvernkonsekvenser foretas tidlig i en beslutningsprosess, noe også Personvernkommisjonen påpekte i NOU 2009:1 og som departementet selv peker på i sin veileder i vurdering av personvernkonsekvenser utgitt i 2008.

Teknologien setter i dag marginale grenser for lagringskapasitet, og det er ofte mer kostbart å slette opplysninger enn fortsatt å oppbevare dem. Til tross for stadig nye teknologiske løsninger, vil slettereg-lene i personopplysningsloven være avgjørende for hvor lenge opplysningene kan lagres; sletting skal skje når behandlingens formål er oppfylt. Dette ble i meldingsåret, som året før, påpekt i Datatilsynets årsmelding, og brudd på sletteplikten beskrives som den største og alvorligste enkeltutfordringen for personvernet.

En ny lagringsmåte som har fått gjennomslag internasjonalt, er cloud computing der opplysningene ikke lagres ett definert sted, men derimot i den del av nettskyen der det til enhver tid er ledig kapasitet. Både økonomisk og kapasitetsmessig har cloud computing et stort potensial. Samtidig byr denne teknologien på mange utfordringer både teknisk og juridisk. Departementet vil følge utviklingen på området tett.

Datatilsynet peker på at datasystemer må bygges opp på en personvernvennlig måte. Tilsynet peker på at innebygde personverngarantier (privacy by design) er spesielt viktig når man har ambisiøse samordningsprosjekter som krever informasjonsflyt mellom flere parter. Departementet er enig i at det er viktig at sikre datasystemer er på plass før det iverksettes tiltak som får personvernkonsekvenser.

Datatilsynet har i stor grad vært engasjert i spørsmål vedrørende personvern og helse i meldingsåret. Tilsynet har blant annet vært kritisk til enkelte sider av samhandlingsreformen, for eksempel forslag om tilgang til helseopplysninger på tvers av virksomhetsgrenser og etablering av fellesregistre i denne forbindelse. Tilsynet frykter det skjer en uthuling av taushetsplikten, og advarer sterkt mot at det åpnes for tilgang på tvers før tilstrekkelige interne sikkerhetsløsninger foreligger. Datatilsynet ønsker å bli inkludert i arbeidet med forskrift om informasjonssikkerhet ved samhandling i helsesektoren.

Videre er tilsynet bekymret for en økning i antall personer som fremover vil kunne få direkte tilgang til pasientjournaler, samt en sentralisering av registrene hos Folkehelseinstituttet. Departementet påpeker at det fremover er viktig å legge til rette for å ivareta pasientenes tillit til helsetjenesten, slik at de ikke unnlater å oppsøke tjenestene i frykt for at helseopplysninger skal spres. Dette må ses i sammenheng med behovet for økt samhandling i helsetjenesten.

Lov om medisinsk og helsefaglig forskning som trådte i kraft 1. juli 2009, innebar store endringer for Datatilsynets arbeidsfelt. Loven innebærer at Datatilsynet ikke forhåndsgodkjenner medisinsk og helsefaglig forskning. De regionale komiteer for medisinsk og helsefaglig forskningsetikk innehar nå godkjenningskompetansen, og Datatilsynet uttrykker bekymring for at komiteenes tilknytning til forsk-ningsmiljøene skal få innvirke på saksbehandlingen.

I løpet av meldingsåret ble det fremmet forslag om å etablere et sentralt register for hjerte- og karlidelser. Datatilsynet etterlyste en prinsipiell tilnærming til hjemmelsgrunnlaget for etableringen av slike register. Etter tilsynets mening bør slike registre etableres med samtykke fra pasienten, alternativt må opplysningene være pseudonymiserte, eller på annen måte være underlagt et særlig vern.

Datatilsynet påpeker videre brudd på register- og personvernlovgivningen i to tilfeller hos Kreftregisteret, ett hos Folkehelseinstituttet, ett i Colon Cancer bank samt ett hos NTNU i forbindelse med at pasient-journaler var på avveie. Departementet mener sakene sender signal om at Datatilsynet også i fremtiden bør arbeide for at personvern blir ivaretatt i helsesektoren og føre en tett dialog med helsemyndighetene. Departementet fremholder at det er mulig å ivareta personvernhensyn samtidig som man opprettholder et godt forskningsklima med mulighet for gode og viktige resultater.

I løpet av meldingsåret var forslag til revisjon av personopplysningsloven på høring. Datatilsynet er, som tilsynsmyndighet og forvaltningsmyndighet, en svært sentral høringsinstans når det gjelder personvernlovgivningen.

Datatilsynets erfaringer er av stor verdi for lovrevisjonen, og deres vurderinger vil være et nyttig verktøy i det videre lovrevisjonsarbeidet. Departementet har merket seg at de temaene Datatilsynet legger størst vekt på, langt på vei er sammenfallende med de temaene som får størst oppmerksomhet i internasjonale fora. Departementet fremhever i denne sammenheng betydningen av tilsynets deltakelse i internasjonale diskusjonsfora for vår nasjonale personverndebatt.

I løpet av meldingsåret har Datatilsynet ført tilsyn hos tre tilbydere av offentlig transport der det sentrale temaet var elektronisk billettering. Det ble videre ført tilsyn hos Statens vegvesen for å kontrollere personvern ved strekningsvis automatisk kontroll (SATK). I tillegg gjennomførte etaten tilsyn hos to bompengeselskaper. Datatilsynet setter muligheten for anonym ferdsel høyt og mener det samles inn langt flere opplysninger enn nødvendig i samferdselssektoren. Departementet viser i denne forbindelse til at det er satt i gang et interdepartementalt arbeid der også Datatilsynet deltar, som har som mål å legge til rette for anonyme bompasseringer. Det er viktig å opprettholde prinsippet om at kun de opplysningene som er nødvendige for å oppnå formålet, skal lagres.

Ny personvernnemnd ble oppnevnt i 2008, med funksjonstid fra 1. januar 2009. Advokat Eva I.E. Jarbekk, oppnevnt av Stortinget, etterfulgte professor Jon Bing som nemndas leder. Det første funksjonsåret ble et arbeidskrevende år for nemnda, som fikk en betydelig økning i antall saker sammenlignet med tidligere år – 25 innkomne saker i 2009 mot seks i 2008. Nemnda mener den store økningen i antall saker kan ha sammenheng med Datatilsynets tilsynsobjekter, da enkelte bransjer/objekter i større grad enn andre ser seg tjent med å påklage Datatilsynets avgjørelser.

Til tross for den store saksmengden har Personvernnemnda kun omgjort to av klagesakene og i de resterende ferdigbehandlede sakene opprettholdt Datatilsynets vedtak. Samsvar mellom Datatilsynets og Personvernnemndas vurderinger gir Datatilsynet større faglig tyngde i deres fremtidige virksomhet. Mange av sakene har vært prinsipielle og av betydelig omfang. Etter departementets syn reflekterer både antall saker og deres kompleksitet at presset på personvernområdet øker i takt med samfunnets ønsker om å iverksette nye og inngripende tiltak.

Da Personvernnemnda ikke selv kan reise rettspolitiske debatter, etterlyser de dette fra annet hold på flere områder. Et forhold nemnda særskilt etterlyser, er forskriftsreguleringer framfor bruk av standardkonsesjoner og nevner i den forbindelse konsesjon for å drive kredittopplysningsvirksomhet. Departementet vil her vise til at personopplysningsforskriften vil bli gjennomgått når personopplysningsloven er revidert. I den forbindelse vil det kunne være ak-tuelt å vurdere det forholdet nemnda tar opp.

Blant sakene avgjort i 2009 trekker nemnda fram vedtakene om helseforskning, der de finner det bekymringsverdig at det later til å være en tendens til å forsøke å unngå varsling av forskningsobjekter og innhenting av samtykke. De viser til at det ligger en personverntrussel i den praksis som benyttes når regelverket neglisjeres med tro på at skaden enkelt kan repareres i ettertid. Tildeling av konsesjon i etterkant vil skape en uheldig presedens, og det er også tvilsomt om lovverket gir rom for en slik etterfølgende, reparerende konsesjon.

Datatilsynet hadde i 2009 et disponibelt beløp på i overkant av 29 mill. kroner. I tillegg fikk Datatilsynet ekstrabevilgning for særskilte prosjekter på personvernområdet på til sammen 5,1 mill. kroner. Sammenlignet med 2008 har budsjettet økt med ca. 1,5 mill. kroner i tillegg til de særskilte prosjektbevilgningene. De særskilte bevilgningene kom som en følge av problemstillinger påpekt av Personvernkommisjonen i NOU 2009:1, områder der departementet så behov for raskt å iverksette målrettede tiltak. Den generelle budsjettøkningen vil bidra til å styrke Datatilsynets rolle som personvernbeskytter, tilsyn og informasjonsyter.

Nemnda hadde i meldingsåret et budsjett på 1,65 mill. kroner. Totalt forbruk var på i underkant av 1,5 mill. kroner. 12 nemndsmøter ble avholdt i løpet av meldingsåret. Naturlig nok har forbruket gått noe opp sammenlignet med 2008 i forbindelse med økningen i antall saker og møter.

Departementet vurderer Personvernnemnda, med dens tekniske, medisinske, kommersielle og juridiske kompetanse, som godt egnet til å veie personvernhensyn og andre viktige samfunnshensyn mot hverandre.