Hoyre, det er for sent!

Dere har allerede vist at dere er ikke til å stole på.

Å komme med en liste om styrking av personvernet blir bare patetisk. Slik som Jon Wessel-Aas sa det på kvitre:

@høyre prøver å strø pynt på brent kake: Innst. 369 S (2010–2011): http://bit.ly/iyOaUF #dld #uopprettelig

Toget er kjørt. Deres definisjon av “styrking av personvernet” var noe vi hørte i debatten før sviket DLD ble vedtatt.

Hele innstillingen er kopiert i tilfelle den blir tatt ned.

Innst. 369 S (2010–2011) (Midlertidig)

Innstilling fra kommunal- og forvaltningskomiteen om representantforslag fra stortingsrepresentantene Trond Helleland, Ingjerd Schou, Arve Kambe, Torbjørn Røe Isaksen, Michael Tetzschner og Erna Solberg om styrking av personvernet

Dokument 8:56 S (2010–2011)

Til Stortinget

1. Sammendrag

Forslagsstillerne ønsker at det skal føres en restriktiv praksis ved elektronisk registrering, kobling, bruk og omsetning av personopplysninger, og fremmer derfor følgende forslag:

«I

Stortinget ber regjeringen sørge for at informasjon om inntekt og skatt gjøres offentlig tilgjengelig ved forespørsel, der forespørrerens navn blir registrert og personen det innhentes opplysninger om, får varsel (etter dagens modell for innhenting av kredittopplysninger).

II

Stortinget ber regjeringen sikre at offentlige registre og opplysningsbanker, slik som helsevesenet og Nav, etablerer logg for hvem som innhenter informasjon, og at den enkelte får rett til innsyn i loggen knyttet til sin person.

III

Stortinget ber regjeringen begrense Navs mulighet til å innhente personopplysninger samt komplette pasientjournaler, og legger til grunn at den berørte pasient gis kjennskap til at journalen er utlevert.

IV

Stortinget ber regjeringen sikre at det etableres en personvernansvarlig ved alle større institusjoner og etater som har tilgang til sensitive personopplysninger, eksempelvis Nav, helsesektoren og justissektoren.

V

Stortinget ber regjeringen fremme forslag om fjerning av Skattedirektoratets hjemmel i ligningsloven til å kreve innsyn i opplysninger knyttet til konkrete kjøretøy benyttet i næringsvirksomhet ved elektronisk bompassering.

VI

Stortinget ber regjeringen utarbeide retningslinjer for å sikre personvernet i forbindelse med innhenting og bruk av personopplysninger i skolen. Retningslinjene må sikre at personopplysninger blir behandlet, oppbevart og slettet på forsvarlig vis.

VII

Stortinget ber regjeringen iverksette tiltak for å skolere barnehageeier og barnehageansatte i personvernloven, samt innføre en bestemmelse om at innhenting og lagring, samt overførsel av personopplysninger mellom barnehage og skole, kun skal skje etter informert samtykke fra foreldre/foresatte.

VIII

Stortinget ber regjeringen endre offentlighetsloven slik at klasselister kan forbli skolens eiendom, og således begrenses til den krets som har normal nytte av dem.

IX

Stortinget ber regjeringen sikre at forskrift om systematisk helse-, miljø- og sikkerhetsarbeid i virksomheter også hensyntar personvernet.

X

Stortinget ber regjeringen pålegge også store private registre, som i bank og forsikring, å etablere logger for hvem som innhenter personsensitiv informasjon, og at den enkelte får rett til innsyn i loggen knyttet til sin person.»

I representantforslaget pekes det på at personvern handler om å kunne kontrollere informasjon om en selv og hva den brukes til. Det pekes videre på at personvernet i dag er under press på nær sagt alle områder i samfunnet. Det enkelte menneske har krav på beskyttelse av sitt privatliv. Utbredelse av ny teknologi innebærer at den private sfæren stadig blir mer gjennomsiktig og kontrollerbar. Forslagsstillerne peker på at det er viktig å beskytte privatlivet, både når det gjelder private interesser og offentlige etater. Forslagsstillerne mener at en kombinasjon av den teknologiske utviklingen, ønske om nye tiltak i bekjempelsen av kriminalitet, informasjon om samfunnsutviklingen og stadig mer omfattende offentlige etater/organisasjoner gjør at personvernet gradvis taper.

Forslagsstillerne peker videre på at retten til privatliv er en grunnleggende verdi i et liberalt demokrati. Dagens teknologi gjør det mulig å samle inn, lagre, sammenstille og formidle persondata i nesten ubegrenset omfang. Derfor mener forslagsstillerne det er nødvendig at politikken trekker grensene som teknologiske fremskritt har opphevet.

Videre pekes det i forslaget på at rettsstatens oppgave er å beskytte enkeltmennesker mot overgrep fra hverandre, men at den også har til oppgave å beskytte oss mot overgrep fra staten selv. Forslagsstillerne mener derfor at det er avgjørende at staten er varsom med å samle inn, lagre og sammenstille informasjon om borgere. I de tilfeller der det likevel er nødvendig å samle inn informasjon, er det avgjørende at personvernet ivaretas på en god måte og at sikre rutiner for oppbevaring og sletting følges. Det gjelder for eksempel ved innsamling av informasjon om trafikkdata, personlig økonomi og pasienters helsetilstand.

I forslaget pekes det på at personvern er en helt sentral verdi for at vi skal føle at vi lever i et fritt og trygt samfunn tuftet på tillit mellom mennesker og mellom individ og stat. Det pekes i forslaget videre på at en naturlig konsekvens av et svakt personvern er at borgernes tillit til stat og trygghet for egen rettssikkerhet blir en trussel mot nødvendig og velbegrunnet informasjonstilgang i samfunnet.

Forslagsstillerne viser til at personvernopplysningsretten kan beskrives gjennom noen grunnleggende prinsipper som gjelder for all behandling av personopplysninger. Prinsippene, som er listet opp nedenfor, er nærmere beskrevet i representantforslaget:

– Brukermedvirkning og kontroll

– Formålsbestemthet

– Minimalitet

– Informasjonssikkerhet

– Elektroniske spor

– Skattelister

– Grensesetting

– Loggføring

– Bompasseringer

– Barn og personvern

– Personvernansvarlig.

For øvrig vises det til dokumentet for nærmere redegjørelse for forslaget.

2. Komiteens behandling

Kommunal- og forvaltningskomiteen sa i brev av 27. januar 2011 om kommunal- og regionalministerens vurdering av forslaget. Statsrådens svarbrev av 27. mars 2011 følger vedlagt.

3. Komiteens merknader

Komiteen, medlemmene fra Arbeiderpartiet, Lise Christoffersen, Håkon Haugli, Hilde Magnusson Lydvo, Ingalill Olsen og Eirik Sivertsen, fra Fremskrittspartiet, Per-Willy Amundsen, Gjermund Hagesæter og Åge Starheim, fra Høyre, Trond Helleland og Michael Tetzschner, fra Sosialistisk Venstreparti, lederen Heikki Holmås, fra Senterpartiet, Heidi Greni, fra Kristelig Folkeparti, Geir Jørgen Bekkevold, viser til at forslagene i dette dokumentet i all hovedsak ble behandlet i forbindelse med datalagringsdirektivet, jf. Innst. 275 L (2010–2011) og Innst. 292 S (2010–2011). Medlemmene i komiteen viser til sine respektive partiers merknader i disse innstillinger.

Komiteen merker seg at statsråden, i sin vurdering av forslaget, skriver at regjeringen ser det som viktig å invitere Stortinget ti1 en helhetlig og samlet drøfting av personvernspørsmål, og varsler at det vil komme en egen melding til Stortinget om personvern. Komiteen ønsker en slik melding velkommen, og mener statsråden bør se på de tiltakene som er lagt frem i dette forslaget som innspill om områder som ønskes belyst i meldingen.

Komiteens medlemmer fra Arbeiderpartiet og Høyre viser til avtalen mellom Høyre og Arbeiderpartiet inngått i forbindelse med behandlingen av Datalagringsdirektivet og forventer at disse punktene vil bli fulgt opp i kommende saker til Stortinget. Representantforslagene omhandler hovedsaklig andre problemstillinger enn regjeringen har sagt den overveier å ta med i meldingen.

Komiteens medlemmer fra Fremskrittspartiet og Høyre har gjennomgått regjeringens foreløpige kommentar til representantforslaget, jf. vedlagte brev av 27. mars 2011. En rekke av spørsmålene henvises forståelig nok til en kommende melding om oppfølging av personvernkommisjonen. Det er utmerket at det kommer en slik melding, men ikke alt arbeid med personvern behøver derfor å gå i stå i påvente av meldingen.

Disse medlemmer mener for eksempel at folks skatteforhold kun bør offentliggjøres ved forespørsel, og der skatteyter blir gjort kjent med hvem som har krevd innsyn. Likeledes bør andre, offentlige masseregistre (typisk Nav) logge innsynsrekvirent og underrette den det innsamles opplysninger om ved utleveringen av persondata.

Disse medlemmer mener det er positivt at regjeringen vil vurdere hvilke muligheter som foreligger for at innsyn i lovlig lagrede data i elektroniske betalingsanlegg på vei kan begrenses. I påvente av nærmere avklaringer, utleverer ikke bomselskapene passeringsopplysninger til ligningsmyndighetene. Det er likevel forslagstillernes oppfatning at likningslovens § 6-3, nr. 1 bør gis en presisering som hindrer en slik bruk av opplysninger om bilistene, opplysninger som er samlet av helt andre grunner enn andre etaters kontrollbehov. Disse medlemmer vil peke på at man ellers vil bryte med personvernrettens grunnregel, at opplysninger innhentet for ett formål ikke skal brukes utenfor formålet, med mindre det foreligger underbygget mistanke om grov kriminalitet.

Disse medlemmer mener retningslinjer for innhenting, oppbevaring og sletting av personopplysninger i skolen bør etableres, og at utveksling av personopplysninger mellom barnehage og skole, i hovedsak gjøres betinget av foreldrenes informerte samtykke. For å hindre at utenforstående får tilgang på informasjon om elever de ikke har noe begrunnet forhold til, bør klasselister unntas fra offentleglova, slik at de ikke lenger kan forlanges utlevert av utenforstående.

Disse medlemmer mener det bør være et førende prinsipp at innsynskrav loggføres og at den det samles opplysninger om, blir kjent med hvem som krever opplysningene.

Disse medlemmer vil på denne bakgrunn fremme følgende forslag:

«1. Ved uthenting av personopplysninger fra offentlige registre til eksterne skal den det innhentes opplysninger om, bli underrettet om hvilke opplysninger som gis ut, til hvem og med hvilken hensikt. Dette prinsippet skal også gjelde skattelistene.

2. Regjeringen bes fremme en presisering av likningslovens § 6-3, nr. 1 der det klargjøres at bestemmelsen ikke hjemler at skattedirektoratet benytter opplysninger om bilistenes bomstasjonspassering til utenforliggende formål.

3. Utveksling av personopplysninger mellom institusjoner som har ansvar for barn, for eksempel mellom barnehage og skole, bør baseres på grunnkravet om informert samtykke fra de foresatte.

4. Skolenes klasselister unntas fra offentleglova.»

Komiteens medlemmer fra Fremskrittspartiet, Sosialistisk Venstreparti, Senterpartiet og Kristelig Folkeparti mener tiltakene som er behandlet i forslaget bærer preg av å være avbøtende tiltak for konsekvensene av svekkelsen av personvernet da datalagringsdirektivet ble innført, jf. Innst. 275 L (2010–2011) og Innst. 292 S (2010–2011).

Komiteens medlem fra Kristelig Folkeparti mener flere av tiltakene er gode, og støtter intensjonen om både å styrke vernet av personsensitive opplysninger, og å bedre loggingen av hvem som innhenter personsensitive opplysninger og den enkeltes rett til innsyn i loggen knyttet til sin person. Dette medlem oppfordrer regjeringen til å behandle forslagene i den varslede meldingen.

4.    Forslag fra mindretall

Forslag fra Fremskrittspartiet og Høyre:

Forslag 1

Ved uthenting av personopplysninger fra offentlige registre til eksterne skal den det innhentes opplysninger om, bli underrettet om hvilke opplysninger som gis ut, til hvem og med hvilken hensikt. Dette prinsippet skal også gjelde skattelistene.

Forslag 2

Regjeringen bes fremme en presisering av likningslovens § 6-3, nr. 1 der det klargjøres at bestemmelsen ikke hjemler at skattedirektoratet benytter opplysninger om bilistenes bomstasjonspassering til utenforliggende formål.

Forslag 3

Utveksling av personopplysninger mellom institusjoner som har ansvar for barn, for eksempel mellom barnehage og skole, bør baseres på grunnkravet om informert samtykke fra de foresatte.

Forslag 4

Skolenes klasselister unntas fra offentleglova.

5.    Komiteens tilråding

Dokument 8:56 S (2010–2011) – om representantforslag fra stortingsrepresentantene Trond Helleland, Ingjerd Schou, Arve Kambe, Torbjørn Røe Isaksen, Michael Tetzschner og Erna Solberg om styrking av personvernet – vedlegges protokollen.

Oslo, i kommunal- og forvaltningskomiteen, den 9. juni 2010.

Heikki Holmås

leder og ordfører

VEDLEGG

Brev fra Administrasjons- og kirkedepartementet v/statsråden til kommunal- og forvaltningskomiteen, datert 27. mars 2011

Representantforslag 8:56 S (2010–2011) om styrking av personvernet fra representantene Helleland – Schou – Kambe – Røe Isaksen – Tetzschner og Solberg

Jeg viser til oversendelse av representantforslag 8:56 S (2010 – 2011) om styrking av personvernet fra representantene Helleland – Schou – Kambe – Røe Isaksen – Tetzschner og Solberg. Oversendelsen er datert 27. januar 2011. Forslagsstillerne tar opp viktige prinsipielle personvernspørsmål. Jeg vil innledningsvis benytte anledningen til å informere om at jeg i arbeidet med å følge opp Personvernkommisjonens rapport har kommet til at det vil være riktig å invitere Stortinget til en helhetlig og samlet drøfting av personvernspørsmål. Jeg ønsker derfor å komme tilbake til Stortinget med en egen melding om dette.

Representantforslaget inneholder ti forslag, som jeg vil kommentere i nedenstående rekkefølge. Forslagene berører i stor grad andre statsråders konstitusjonelle ansvarsområder. Svarene avgis derfor i samråd med disse statsrådene.

I. Stortinget ber regjeringen sørge for at informasjon om inntekt og skatt gjøres offentlig tilgjengelig ved forespørsel, der forespørrerens navn blir registrert og personen det innhentes opplysninger om, får varsel (etter dagens modell for innhenting av kreditt­opplysninger).

II. Stortinget ber regjeringen sikre at offentlige registre og opplysningsbanker, slik som helsevesenet og NAV, etablerer logg for hvem som innhenter informasjon, og at den enkelte får rett til innsyn i loggen knyttet til sin person.

III. Stortinget ber regjeringen begrense NAVs mulighet til å innhente personopplysninger samt komplette pasientjournaler, og legger til grunn at den berørte pasient gis kjennskap til at journalen er utlevert.

IV. Stortinget ber regjeringen sikre at det etableres en personvemansvarlig ved alle større institusjoner og etater som har tilgang til sensitive personopplysninger, eksempelvis NAV, helsesektoren og justissektoren.

V. Stortinget ber regjeringen fremme forslag om fjerning av Skattedirektoratets hjemmel i ligningsloven til å kreve innsyn i opplysninger knyttet til konkrete kjøretøy benyttet i næringsvirksomhet ved elektronisk bompassering.

VI. Stortinget ber regjeringen utarbeide retningslinjer for å sikre personvernet i forbindelse med innhenting og bruk av personopplysninger i skolen. Retningslinjene må sikre at personopplysninger blir behandlet, oppbevart og slettet på forsvarlig vis.

VII. Stortinget ber regjeringen iverksette tiltak for å skolere barnehageeier og barnehageansatte i personvernloven, samt innføre en bestemmelse om at innhenting og lagring, samt overførsel av personopplysninger mellom barnehage og skole, kun skal skje etter informert samtykke fra foreldre/foresatte.

VIII. Stortinget ber regjeringen endre offentlighetsloven slik at klasselister kan forbli skolens eiendom, og således begrenses til den krets som har normal nytte av dem.

IX. Stortinget ber regjeringen sikre at forskrift om systematisk helse-, miljø- og sikkerhetsarbeid i virksomheter også hensyntar personvernet.

X. Stortinget ber regjeringen pålegge også store private registre, som i bank og forsikring, å etablere logger for hvem som innhenter personsensitiv informasjon, og at den enkelte får rett til innsyn i loggen knyttet til sin person.

Forslag I

I representantforslaget bes regjeringen sørge for at informasjon om inntekt og skatt gjøres offentlig tilgjengelig ved forespørsel, og at forespørrerens navn blir registrert og personen det innhentes opplysninger om, får varsel.

Offentliggjøring av skattelister er viktig for å styrke den kritiske debatten om skattemessige forhold. Offentliggjøringen kan bidra til den samfunnsmessige kontrollen med ligningsmyndighetene. Hemmelighold av resultatet av ligningen kan skape grunnlag for spekulasjoner omkring ligningsarbeidet i sin alminnelighet og om fastsettingene for enkeltpersoner eller grupper av skattytere.

Regjeringen mener at man bør være tilbakeholden med å sette i verk tiltak som svekker den samfunnsmessige kontrollen med forvaltningen, og som kan hemme debatten om uheldige forskjeller og utviklingstrekk i samfunnet.

Hensynene som taler for full offentlighet rundt skattelistene må likevel balanseres mot andre samfunnsmessige interesser, slik som hensynet til personvernet. Dette er noe av bakgrunnen for at Finansdepartementet 31. januar 2011 sendte på høring et forslag om innstramminger i måten skattelistene offentliggjøres på.

I høringsnotatet foreslår departementet at skattelisten bare skal være tilgjengelig på skatteetatens hjemmeside i ett år. Ordningen med utlegg av papirlister foreslås avviklet. Etter forslaget vil pressen fortsatt få tilgang til elektronisk kopi av skattelistene, men tilgangen vil være betinget av at redaksjonene inngår en avtale med skatteetaten om ikke å publisere hele eller deler av skattelisten i søkbar form på Internett. Forslaget sikrer at pressen kan bruke opplysningene i skattelisten til kritisk journalistikk. Samtidig reduseres risikoen for misbruk av listene ved at pressens mulighet til å legge hele eller deler av skattelisten ut på Internett i søkbar form fjernes.

Regjeringen anser det ikke som aktuelt å innføre en ordning hvor de som ønsker å hente ut opplysninger fra skattelistene registreres, og hvor de det blir hentet informasjon om blir varslet. I forslaget som Finansdepartementet har sendt på høring, varsles det imidlertid at det vil bli vurdert om det er hensiktsmessig å innføre en teknisk løsning hvor de som skal søke i skattelistene, for eksempel må logge seg på gjennom MinID.

Fra personvernhold har kommersiell bruk av skattelistene vært kritisert i en årrekke. Høringsforslaget fra regjeringen vil begrense den kommersielle utnyttelsen av skattelistene, sammenlignet med gjeldende rett.

Jeg mener det vil være riktig at høringsinstansene får mulighet til å uttale seg om dette høringsforslaget.

Oppsummering: Man bør avvente høringsinstansenes syn på forslaget til inn­stramming i tilgangen til skattelistene før det gjøres endringer.

Forslag II

I representantforslaget bes regjeringen sørge for at det etableres logg for hvem som innhenter informasjon fra offentlige registre og opplysningsbanker, og at den enkelte får rett til innsyn i loggen knyttet til sin person. Forslaget kan, slik jeg ser det, forstås på to måter. For det første kan det forstås slik at alle interne oppslag i registrene logges, slik at bruk kan etterspores. På den andre siden kan forslaget forstås dit hen at all utlevering av opplysninger til utenforstående skal logges, slik at de registrerte kan få vite hvem som har mottatt opplysninger fra et offentlig tilgjengelig register.

Når det gjelder loggføring av interne oppslag i personregistre med sensitive personopplysninger i for eksempel helsevesenet og NAV, finnes det allerede regler på dette området. Helseregisterloven § 13 if. ble endret ved lov 19. juni 2009 nr. 68. Lov­endringen presiserer at den registrerte har rett til innsyn i logg fra behandlingsrettet helseregister om hvem som har hatt tilgang til helseopplysninger om ham eller henne. Med behandlingsrettet helseregister menes blant annet journal- og informasjons­systemer.

Videre følger det av forskrift om innsamling og behandling av helseopplysninger i Norsk pasientregister (NPR) § 4-2, annet ledd, annet punkt, at det skal etableres systemer for logging av elektroniske spor ved all tilgang til registeret. I samme forskrift § 3-10 stilles videre krav om oversikt over hvem som har fått utlevert opplysninger fra NPR, samt hjemmelsgrunnlaget for utleveringen.  Krav om oversikt over utleveringer følger for øvrig også av de øvrige registerforskriftene. Jeg mener derfor at forslagets romertallspunkt II i all hovedsak allerede er gjeldende rett i helsevesenet.

Arbeids- og velferdsetaten (NAV) fører allerede i dag logger over informasjonssøk i alle relevante personregistre. Loggføring av informasjonsinnhenting i registrene er nødvendig for å oppfylle personopplysningslovens og personopplysningsforskriftens krav om å kunne avdekke uautorisert bruk av informasjonssystemene og andre brudd på sikkerhetsbestemmelser knyttet til personregistrene.

Blant annet kvalitet og tilgjengelighet til loggene medfører at krav om innsyn må behandles manuelt. I mange tilfeller vil ikke brukerne kunne nyttiggjøre seg informasjonen i loggutskriftene uten omfattende veiledning om interne arbeids­prosesser og ansvarsfordeling i etaten. Antall brukere av Arbeids- og velferdsetaten, og omfanget av personopplysningene etaten forvalter, tilsier at det vil måtte benyttes betydelige ressurser til behandling av innsynskrav hvis en rett til innsyn i loggen skulle bli innført. Det vil også måtte påregnes utviklings- og implementeringskostnader.

Hvorvidt det bør etableres regler om logging av innsyn i andre personregistre enn de omtalte, og regler om innsyn i loggen i andre sektorer enn i helsevesenet, vil det være naturlig å vurdere i forbindelse med regjeringens oppfølging av Personvern­kommisjonens rapport og arbeidet med en melding til Stortinget.

For så vidt gjelder det andre tolkningsalternativet, nemlig at all utlevering av opplysninger til utenforstående skal logges, legger jeg til grunn at dette vil omfatte utlevering av opplysninger som er ment å være offentlig tilgjengelige. Offentleglova § 3 annet punktum slår fast at ”alle” kan kreve innsyn i saksdokumenter, journaler og liknende registre hos offentlige organer. Denne retten til innsyn gjelder alle, uavhengig av hvem de er og hvor de kommer fra. Det er ikke oppstilt noe krav om at man må oppgi navn. Som eksempel mottar Brønnøysundregistrene om lag 140 millioner henvendelser hvert år, hvorav en stor andel innebærer personopplysninger. Regjeringen har ingen konkrete planer om å foreslå endringer i offentleglova på dette punktet.

Oppsummering: Som ledd i oppfølgingen av Personvernkommisjonens rapport, vil regjeringen vurdere om det bør etableres regler om logging av innsyn i andre personregistre enn behandlingsrettede helseregistre og i NAV, samt regler om innsyn i loggen i andre sektorer enn i helsevesenet.

Forslag III

I representantforslaget bes regjeringen begrense NAVs mulighet til å innhente personopplysninger samt komplette pasientjournaler, og legger til grunn at den berørte pasient gis kjennskap til at journalen er utlevert.

Som forvalter av folketrygdens midler er Arbeids- og velferdsetaten pålagt å føre kontroll og avdekke urettmessige utbetalinger. Denne oppgaven kan ikke utføres uten tilgang til relevante opplysninger. Reguleringen av etatens adgang til informasjonsinnhenting følger av folketrygdloven § 21-4 til § 21-4 c.

Ved endringslov fra januar 2009 ble det som ledd i tiltakene mot trygdemisbruk, vedtatt en rekke nye lovregler som bl.a. omfattet følgende:

· En rekke presiseringer i reglene i folketrygdloven §§ 21-3 og 21-4 om den enkelte trygdesøkers plikter og om innhenting av opplysninger i vanlige trygdesaker.

· En ny § 21-4 a i folketrygdloven om at de særskilte kontrollenhetene i Arbeids- og velferdsetaten skal kunne kreve opplysninger fra enhver som kan bidra til sakens opplysning når det foreligger mistanke om trygdemisbruk, og at kontrollenhetene skal kunne foreta besøk på arbeidsplasser ved mistanke om trygdemisbruk og gjennomføre stikkprøvekontroll i særlig utsatte bransjer.

· En ny § 21-4 b i folketrygdloven om en ordning for utveksling av informasjon mellom Arbeids- og velferdsetaten og finansinstitusjoner ved konkret mistanke om trygdemisbruk eller forsikringssvindel.

· En ny § 21-4 c i folketrygdloven som gir nærmere regler om framgangsmåte mv. ved innhenting av opplysninger og om særskilte begrensninger ved innhenting av pasientjournaler og ved innhenting av opplysninger fra familie og andre nærstående.

Hjemlene for innhenting av opplysninger omfatter både bestemmelser til bruk for den ordinære saksbehandlingen og bestemmelser som bare kan brukes i forbindelse med trygdemisbruk. De sistnevnte hjemlene kan bare brukes av de særskilte kontroll­enhetene i etaten. Hovedbegrensningen ved innhentingen av opplysninger er i alle tilfeller at det må dreie seg om opplysninger som er nødvendige for å behandle og avgjøre saken eller foreta kontroll på en hensiktsmessig måte.

Etter regjeringens vurdering bør adgangen til å innhente opplysninger fortsatt omfatte de opplysninger som er nødvendige for å treffe riktige avgjørelser. I motsatt fall vil sakene enten bli avgjort uten å være tilstrekkelig belyst eller det blir gitt avslag med mindre søker selv framskaffer opplysningene. I kontrollsammenheng ville det tilsvarende oppstå spørsmål om å stanse ytelsene som kontrolleres inntil vedkommende selv bidrar med tilfredsstillende dokumentasjon.

Under punktet om ”loggføring” i representantforslaget uttales det at … ”Nav i fjor høst krenket personvernet hos enkeltindivider, noe Nav hjemlet i folketrygdloven nye § 21-4 a.”  Jeg antar at uttalelsen har sammenheng med mediesaken om innhenting av opplysninger fra tilbydere av elektronisk kommunikasjon.

§ 21-4 a i folketrygdloven gir adgang til å innhente nødvendige opplysninger fra enhver ved mistanke om trygdemisbruk. I forbindelse med den ovennevnte saken ble det blant annet reist spørsmål om bestemmelsen hjemlet overvåking av telefon- og Internett-trafikk. En slik omfattende og inngripende tilgang til opplysninger har imidlertid ingen støtte i forarbeider eller praksis. Derimot er hjemmelen i ca. 15 tilfeller i fjor brukt som grunnlag for å kreve utlevert bruker-/abonnentdata og i noen tilfelle også opplysninger om fakturabetaler. Dette synes klart å ligge innenfor bestemmelsen.

I påvente av en avklaring av spørsmålene knyttet til lagringsplikt for trafikk og lokaliseringsdata fra elektronisk kommunikasjon, er Arbeids- og velferdsetaten pålagt inntil videre ikke å bruke hjemmelen i forbindelse med tilbydere av elektronisk kommunikasjon, selv om opplysninger om bruker/abonnent eller fakturabetaler vanskelig kan betraktes som særlig sensitive. Lovforslaget i Prop. 49 L. (2010-2011), som ligger til behandling i Stortinget, vil klart avskjære Arbeids- og velferdsetaten fra å innhente trafikk- og lokaliseringsdata fra elektronisk kommunikasjon, mens opp­lysninger om bruker/abonnent/fakturabetaler fortsatt vil kunne innhentes.

Det har vært enkelttilfeller der hensynet til personvern og taushetsplikt ikke har vært ivaretatt godt nok i Arbeids- og velferdsetaten. Det vurderes derfor kontinuerlig tiltak for å etablere bedre rutiner og kontroll for behandling av taushetsbelagt informasjon. Det har også vært gjennomført en omfattende holdningskampanje knyttet til personvern og taushetsplikt.

Oppsummering: Arbeidsministeren vil kontinuerlig vurderer tiltak for å etablere bedre rutiner og kontroll for behandling av taushetsbelagt informasjon i Arbeids- og velferdsetaten.

Særlig om innhenting av pasientjournaler

Representantene gir i forslaget uttrykk for at det må være klare begrensninger på når Arbeids- og velferdsetaten skal kunne innhente pasientjournaler og legger til grunn at den berørte pasient gis kjennskap til at journalen er utlevert.

Bestemmelser om dette ble vedtatt i januar 2009 og er tatt inn i folketrygdloven § 21-4 c. Loven tar sikte på å minimalisere innhenting av fullstendige og uredigerte journaler. Det klargjøres når journaler kan innhentes, formkravene som gjelder for dette og hva som gjelder for behandlingen av opplysningene i etaten.  Bestemmelsene lyder som følger:

”Adgangen til innhenting av opplysninger etter § 21-4 første ledd i saker om stønad etter loven her og ved rutinemessig kontroll av behandlere omfatter ikke innhenting av fullstendig pasientjournal. Det kan imidlertid kreves spesifiserte eller redigerte utdrag av journalen når dette anses nødvendig.

Dersom forhold ved en behandlers praksis gir grunnlag for å anta at det har skjedd urettmessige utbetalinger fra trygden, eventuelt ved et samarbeid mellom behandler og stønadstaker, kan det kreves fullstendig og uredigert pasientjournal. Krav om dette skal framsettes av Arbeids- og velferdsdirektoratet eller Helsedirektoratet eller av særskilt utpekte enheter.

Det innhentende organ skal oppgi formålet med opplysninger og erklæringer mv. som innhentes etter § 21-4 eller § 21-4 a første ledd. Det skal videre opplyses om hjemmelen for innhentingen og om klageadgangen, se forvaltningsloven § 14. Dersom det i saker som nevnt i andre ledd i paragrafen her er fare for at kontrollhensyn motvirkes, kan formålet oppgis etter at opplysningene er utlevert.

Personopplysningslovens regler om informasjonsplikt og om behandling av opplysninger, herunder tilgang, oppbevaring, viderebefordring og sletting, gjelder for opplysninger innhentet etter reglene i loven her, med de unntak som følger av § 21-4 b.”

Etter reglene kan det bare innhentes fullstendig journal ved mistanke om trygdemisbruk hos behandler. Journalene er i praksis den eneste fullgode måte å kontrollere legens innsendelse av regninger, men kan i en viss utstrekning erstattes eller suppleres ved forespørsler til pasientene. Ofte vil det være tilstrekkelig å be om journalopplysninger for et begrenset tidsrom. I slike tilfeller er det ikke nødvendig å be om fullstendig journal, og etaten har heller ikke hjemmel til det.

For mange av trygdens ytelser er mottakerens helsetilstand helt avgjørende når rettighetene skal vurderes. Disse opplysningene kan innhentes ved å rekvirere relevante deler av journalen. Alternativet er en særskilt legeerklæring, som vil bli basert på opplysningene i journalen, men kan gi uttrykk for en mer nyansert/fullstendig vurdering enn notatene i journalene.  En egen erklæring vil selvsagt være mer belastende for legen. Det kan være hensiktsmessig at etaten i en viss utstrekning kan velge hvilken dokumentasjonsform som skal kreves i det enkelte tilfelle.

Innhentede journaler behandles på samme måte som annen sensitiv informasjon etaten har tilgang til, etter reglene i personopplysningsloven. Når det gjelder innhentede fullstendige journaler, behandles disse utelukkende i Arbeids- og velferdsetatens særskilte kontrollenheter. Kontrollarbeidet på trygdemisbruksområdet er organisert i fem regionale kontrollenheter med til sammen ca. 100 ansatte, lokalisert i tilknytning til større byer. Det er høyst tre ansatte involvert i hver sak. Med denne regionaliseringen og begrensningen i antall ansatte med kjennskap til saken, vil det være liten sannsynlighet for at informasjonen skal spres i lokalsamfunnet.

Lovendringene som ble vedtatt i 2009, sett i sammenheng med etatens organisering av kontrollarbeidet og rutinene knyttet til håndtering av pasientjournaler, sikrer personvernet for den enkelte på en god måte. En ytterligere begrensning av tilgangen til pasientjournaler vil vanskeliggjøre arbeidet med å bekjempe trygdemisbruk. Det må i den forbindelse vektlegges at det synes å skje en profesjonalisering av denne typen økonomisk kriminalitet, og at effektive kontrollmuligheter derfor er svært viktig.

Som nevnt gjøres det bruk av deler av pasientjournaler også i den ordinære saksbehandlingen i etaten. Helseopplysninger er av avgjørende betydning for en rekke av folketrygdens ytelser, og redusert tilgang til slike opplysninger vil svekke saks­behandlingen på flere måter. Det vil være svært uheldig for trygdens økonomi dersom saker må avgjøres på mangelfullt grunnlag. Alternativt vil resultatet kunne bli økte krav til den enkelte om selv å framskaffe og presentere nødvendig dokumentasjon, og avslag i stønadssaker dersom så ikke skjer. Begrensninger i tilgangen til opplysninger vil i siste instans kunne gå ut over stønadstakeren.

I folketrygdloven § 21-4 c er det ikke tatt inn egne regler om varsling. Arbeids- og velferdsetaten har imidlertid – i tråd med avgjørelser i Datatilsynet og Personvern­nemnda – innarbeidet rutiner som sikrer at pasienten varsles når det innhentes fullstendige og uredigerte pasientjournaler, og også ved innhenting av spesifiserte eller redigerte utdrag av pasientjournaler.

Oppsummering: Arbeids- og velferdsetatens adgang til å begjære utlevert fullstendige journaler er svært begrenset etter endring av folketrygdloven i januar 2009. I de få tilfellene det utleveres fullstendig journal, skal pasienten/den registrerte varsles om utleveringen.

Forslag IV

1. Generelt

I representantforslaget bes regjeringen sikre at det etableres en personvernansvarlig ved alle større institusjoner og etater som har tilgang til sensitive personopplysninger.

Innledningsvis gjør jeg oppmerksom på at det både på nasjonalt plan (etterkontrollen av personopplysningsloven) og på europeisk plan (EUs arbeid med revisjon av personverndirektivet) foregår prosesser som etter alt å dømme vil munne ut i lovregulering av dagens frivillige ordning med personvernombud.

2. Generelt om personvernombudet

Den norske personopplysningsloven trådte i kraft 1. januar 2001 sammen med forskrifter til loven. Ordningen med at en virksomhet kan utpeke et personvernombud er ikke omtalt i selve loven, men fremgår forutsetningsvis gjennom regelen i person­opplysningsforskriften § 7-12 om muligheten for å gjøre unntak fra reglene om melde­plikt til Datatilsynet. Også EU-direktiv 95/46/EF, som personopplysningsloven er en gjennomføring av, nevner flere steder muligheten for oppnevning av en Data protection official, jf. fortalen punkt 49 og artikkel 18 og 20.

Gjennom seminarer, opplæring og utvikling av retningslinjer har Datatilsynet gjort ordningen kjent, og i tilsynets praksis har det etter hvert avtegnet seg visse rammer for ombudets oppgaver og funksjon. På Datatilsynets nettsider er det gitt en oversikt over hvordan en virksomhet kan gå frem dersom den ønsker å etablere et personvernombud, og det er i tillegg publisert en fyldig veileder om selve ordningen.

I lov om behandling av opplysninger i politiet og påtalemyndigheten (politiregisterloven), vedtatt av Stortinget 28. mai 2010, men ennå ikke trådt i kraft, benyttes for øvrig begrepet “personvernrådgiver” i stedet for “personvernombud”. I forarbeidene uttales følgende om dette, jf. Ot.prp. nr. 108 (2008-2009) side 268:

“Utvalget har valgt terminologien ombud etter personopplysningslovens modell. Utvalget beskriver en kompetanseperson som skal bistå registrerte, behandlingsansvarlige og andre i arbeidet med å oppfylle personopplysningslovens krav. Departementet mener imidlertid at terminologien kan by på utfordringer i forholdet mellom rollebetegnelse og rollekompetanse, og foreslår derfor betegnelsen «personvernrådgiver» i lovforslaget til § 63.”

Det må antas at denne begrepsbruken vil kunne bli retningsgivende ved revisjon av personopplysningsloven. I brevet her vil imidlertid ombudsbegrepet fremdeles bli benyttet.

3. Den pågående etterkontrollen av personopplysningsloven omfatter også ombudsordningen

I forarbeidene til personopplysningsloven ble det gitt uttrykk for at det burde foretas en etterkontroll av personopplysningsloven ca. fem år etter at den ble satt i kraft – blant annet for å undersøke om reglene virker etter sin hensikt, jf. Ot.prp. nr. 92 (1998-1999) side 100. Som ledd i denne etterkontrollen utarbeidet professor dr. juris Dag Wiese Schartum og førsteamanuensis dr. juris Lee Bygrave i 2006 rapporten “Utredning av behov for endringer i personopplysningsloven” på oppdrag fra Justisdepartementet, som har lovansvaret for personopplysningsloven. I Schartum/Bygraves rapport er ordningen med personvernombud foreslått lovregulert gjennom et eget kapittel i personopplysningsloven.

Rapporten ble i 2009 sendt på høring sammen med to andre rapporter og et supplerende høringsnotat utarbeidet av departementet. I høringsnotatet har departementet gitt utrykk for at ordningen med personvernombud har hatt en viktig effekt i personvernmessig henseende, og at man ønsker å legge til rette for en styrking og videreutvikling av den. Departementet har derfor gitt sin tilslutning til forslaget om å lovregulere ordningen.

I et strategidokument 4. november 2010 varslet EU-kommisjonen omfattende endringer i personverndirektivet. Det er eksplisitt uttalt at ordningen med personvernombud vil bli gjennomgått. Signaler fra EU kan tilsi at det tas sikte på å fremme utkast til nytt direktiv allerede i løpet av 2011. På denne bakgrunn har Justisdepartementet ansett det naturlig å avvente en revisjon av personopplysningsloven for så vidt gjelder de rettsområder og direktivbestemmelser som Kommisjonen har omtalt særskilt i strategidokumentet, herunder spørsmålet om lovregulering av personvernombudet.

For øvrig er det enkelte deler av etterkontrollen og personopplysningsloven som mest sannsynlig ikke vil bli berørt av prosessen som nå pågår i EU, eller som kun i liten utstrekning vil bli berørt. På denne bakgrunn tar Justisdepartementet sikte på å fremme en delproposisjon i løpet av 2011 med forslag til enkelte endringer i personopplysningsloven.

4. Bør personvernombudsordningen være obligatorisk?

Det er i dag frivillig for en virksomhet å utpeke et personvernombud, jf. også politiregisterloven § 63. Verken Schartum/Bygrave eller Justisdepartementet, gjennom høringsnotatet, har fremsatt forslag om å introdusere noe pliktelement.

Mange virksomheter håndterer store mengder sensitiv personinformasjon, og som utgangspunkt er det ikke unaturlig å tenke seg at det eksempelvis innenfor visse bransjer eller sektorer ble påbudt å ha et ombud. Alternativt kunne plikten knyttes opp mot mengden av personopplysninger som behandles eller størrelsen på virksomheten.

På den annen side ville det for mange virksomheter kunne innebære høye kostnader å ha et ombud. Det er også mange måter å sikre personvernet på uten å ha et ombud. Et pålegg om ombudsordning innebærer at den fleksibilitet som ligger i at virksomheter selv kan velge hvordan de på best mulige måte kan oppfylle personopplysningslovens regler, forsvinner.

I EUs strategidokument 4. november 2010 fremgår det at Kommisjonen vil vurdere en ordning med obligatorisk personvernombud, dog slik at en må ta hensyn til de administrative byrder for mindre virksomheter som dette kan medføre (side 12):

“The Commission will examine the following elements to enhance data controllers’ responsibility:

– making the appointment of an independent Data Protection Officer mandatory and harmonising the rules related to their tasks and competences, while reflecting on the appropriate threshold to avoid undue administrative burdens, particularly on small and micro-enterprises…”

På denne bakgrunn anses det hensiktsmessig å avvente EUs konklusjon knyttet til pliktelementet før det eventuelt innarbeides i de nasjonale reglene. I motsatt fall risikerer man at det oppstår motstrid mellom norske regler og EU-retten.

Oppsummering: I justissektoren vil det bli innført en ordning med personvern­rådgivere i forbindelse med ikrafttredelse av politiregisterloven. I arbeidet med en egen melding til Stortinget om personvern, vil regjeringen videre vurdere om det er hensiktsmessig å pålegge egne større underliggende etater/statlige virksomheter som behandler sensitive personopplysninger, å etablere personvernombud. Ut over dette anses det hensiktsmessig å avvente revisjon av EUs personverndirektiv før det eventuelt innføres en obligatorisk ordning med personvernombud i våre nasjonale regler.

Forslag V

Regjeringen bes fremme forslag om fjerning av Skattedirektoratets hjemmel i ligningsloven til å kreve innsyn i opplysninger knyttet til konkrete kjøretøy benyttet i næringsvirksomhet ved elektronisk bompassering.

Ligningsloven inneholder ingen særskilt bestemmelse om innhenting av opplysninger knyttet til konkrete kjøretøy benyttet i næringsvirksomhet ved elektronisk bompassering. Det er imidlertid på det rene at opplysningene kan innhentes med hjemmel i ligningsloven § 6-3 nr. 1. Dette er en generell bestemmelse om adgang til innhenting av opplysninger om økonomisk mellomværende med næringsdrivende, når mellom-værendet knytter seg til begge parters virksomhet. Videre kan ligningsmyndighetene med hjemmel i ligningsloven § 6-13 kreve å få utlevert ligningsrelevante opplysninger fra offentlig myndighet, som sistnevnte er blitt kjent med under sitt arbeid.

Regjeringen vil bemerke at skatteunndragelser og svart økonomi er en alvorlig form for kriminalitet. Det er derfor viktig at skatteetaten har omfattende hjemler for å kunne gjennomføre kontrollundersøkelser. Bare på denne måten kan etaten avdekke uregelmessigheter på en effektiv måte. En fjerning av den generelle kontrollhjemmelen i ligningsloven § 6-3 nr. 1 er etter regjeringens syn ikke aktuelt.

Oppsummering: Regjeringen vil vurdere hvilke muligheter som foreligger for at innsyn i lovlig lagrede data i elektroniske betalingsanlegg på vei kan begrenses. I påvente av nærmere avklaringer, utleverer ikke bomselskapene passerings­opplysninger til ligningsmyndighetene.

Forslag VI

Forslaget går ut på å utarbeide retningslinjer for å sikre personvernet i forbindelse med innhenting og bruk av personopplysninger i skolen. Sikring av personvernet i skolen er svært viktig. Kommunene har, som skoleeiere, et selvstendig ansvar for å følge og sikre bevissthet rundt regelverket knyttet til behandling av personopplysninger i skolen.

Utarbeidelse av retningslinjer for bruk av personopplysninger i skolen innebærer omfattende problemstillinger der ulike hensyn skal vektes og ivaretas. Hensynet til elevenes personvern står selvfølgelig sterkt, men det er også andre hensyn av betydning, for eksempel personopplysninger som er nødvendige for tilpasning av undervisning og andre tiltak til det beste for den enkelte elev.

Personopplysninger benyttes til flere ulike formål i skolen. Det enkelte formål trekker opp rammene for om og eventuelt hvilke personopplysninger som kan behandles. For hvert enkelt formål må det foretas en konkret vurdering av om det er behov for å behandle personopplysninger. Det er denne vurderingen personopplysningsloven, som en generell lov, gir oss rammeverket for. Generelle retningslinjer for all bruk av personopplysninger i skolen vil på denne bakgrunn neppe være et hensiktsmessig tiltak.

Barn og unges personvern er viet et eget kapittel i Personvernkommisjonens rapport, som er inntatt i NOU 2009:1 Individ og integritet. Personvern i skolen er særskilt omtalt. Det vil være naturlig at temaet også omtales når regjeringen skal legge frem en melding til Stortinget om personvern, som en oppfølging av Personvern­kommisjonens arbeid. Blant annet kan det vurderes hvorvidt det er behov for retningslinjer knyttet til bruk av personopplysninger til spesielle formål i skolen.

Oppsummering: Personopplysningsloven gir de generelle rammene for behandling av personopplysninger i skolen. For å bedre personvernet i skolen vil regjeringen vurdere om det er behov for retningslinjer knyttet til behandling av person­opplysninger til spesielle formål i skolen.

Forslag VII

Forslagsstillerne etterlyser tiltak for å skolere barnehageeiere og -ansatte i personopplysningsloven, samt innføring av en bestemmelse om at innhenting og lagring, samt overførsel av personopplysninger mellom barnehage og skole, kun skal skje etter informert samtykke fra foreldre/foresatte.

Kunnskapsdepartementet har utarbeidet et temahefte om IKT i barnehagen der personvern i barnehagen er omtalt i et eget kapittel. Der skisseres det ulike situasjoner der personvern blir aktuelt, og hva barnehagen bør være oppmerksom på i slike tilfeller.

I lov 17. juni 2005 nr. 64 om barnehager (barnehageloven) reguleres barnehageeiers ansvar i § 7. Av denne bestemmelsen fremgår det at barnehageeieren skal drive virksomheten i samsvar med gjeldende lover og regelverk. Bestemmelsen gjelder både kommunale og ikke-kommunale barnehageeiere. Eier har ansvar for at virksomheten følger de kravene barnehageloven setter og at barnehagen følger de kravene som annet regelverk setter. Barnehageeier har selv ansvaret for å holde seg oppdatert på de lokale og sentrale krav som til enhver tid stilles til barnehagedrift og til å sikre bevissthet rundt regelverket om personopplysninger.

Når det gjelder informasjon om personvernregelverket til barnehager og barnehageeiere, har Datatilsynet utarbeidet et omfattende veiledningsmateriell. Dette er tilgjengelig på Datatilsynets nettsider eller kan fås ved å kontakte Datatilsynet på annen måte. Hvorvidt det bør iverksettes særskilte tiltak for å skolere barnehageeiere og barnehageansatte i gjeldende regelverk, må vurderes av Datatilsynet ut fra de ressurser tilsynet har tilrådighet og de trusler tilsynet identifiserer på dette området.

Forslagsstillerne foreslår videre at det skal innføres en bestemmelse om at innhenting, lagring og overføring av personopplysninger mellom barnehage og skole kun skal skje etter informert samtykke fra foreldrene/foresatte. Formålet med personopplysningsloven er å beskytte den enkelte mot at personvernet blir krenket gjennom behandling av personopplysninger, og loven skal bidra til at personopplysninger blir behandlet i samsvar med grunnleggende personvernhensyn, herunder behovet for personlig integritet, privatlivets fred og tilstrekkelig kvalitet på personopplysninger, jf. § 1 Lovens formål. Etter personopplysningsloven er det flere rettslige grunnlag som kan danne grunnlag for lovmessig behandling av personopplysninger. Samtykke er ett alternativ. Regjeringen ser det ikke som ønskelig å innføre spesialregulering som utelukker behandling av personopplysninger i barnehagen og i skolen på annet grunnlag enn etter foresattes samtykke.

Utlevering av opplysninger fra barnehage til skole må ha rettslig grunnlag, jf. personopplysningsloven § 11. Det foreligger ikke noen generell lovhjemmel om utveksling av personopplysninger mellom barnehage og skole. Som regel vil derfor utlevering av opplysninger måtte forankres i samtykke fra barnets foresatte. Dette har også Kunnskapsdepartementet lagt til grunn i veilederen ”Fra eldst til yngst”, som skal bidra til å sikre gode sammenhenger mellom barnehage og skole.

For ordens skyld legger jeg også til at opplysninger om barn i barnehagen i stor grad vil være omfattet av taushetsplikt, jf barnehageloven § 20, og henvisningen til forvaltningsloven §§ 13 og 13f. Enhver som gjør tjeneste eller arbeid i barnehagen plikter derfor å hindre at andre får kjennskap til det vedkommende i sitt arbeid får vite om noen sine personlige forhold. Brudd på taushetsplikten er straffesanksjonert i straffeloven § 121.

Oppsummering: Det foreligger ikke noen generell lovhjemmel for utveksling av personopplysninger mellom barnehage og skole. Som regel vil derfor utlevering av opplysninger måtte forankres i samtykke fra barnets foresatte. I stor grad vil utlevering av opplysninger uten foresattes samtykke eller annen opphevelse av taushetsplikt være straffbart brudd på taushetsplikt.

Forslag VIII

Forslagsstillerne ber regjeringen endre offentlighetsloven slik at klasselister kan forbli skolens eiendom, og således begrenses til den krets som har normal nytte av dem.

Regjeringen kan ikke se at offentleglova endrer rettstilstanden når det gjelder innsyn i klasselister. Taushetspliktsregelen i forvaltningsloven § 13 er den samme som tidligere, og offentleglova § 13 første ledd viser til diverse taushetspliktbestemmelser i lovverket, herunder bestemmelsen i forvaltningsloven § 13. Dersom listene begrenser seg til å inneholde informasjon om navn, adresse, telefonnummer og eventuelt fødselsnummer, er i utgangspunktet ingen av disse opplysningene taushetsbelagte etter forvaltningsloven § 13. Slike opplysninger vil imidlertid være taushetsbelagte hvis de røper underliggende forhold som må anses som personlige, f.eks. at en elev bor på barnevernsinstitusjon. Uavhengig at taushetsplikt, vil jeg presisere at skolene alltid må vurdere hvilke opplysninger som er nødvendige på en offentlig klasseliste. Fødselsnummer er neppe en nødvendig opplysning på en klasseliste, selv om det ikke er en taushetsbelagt opplysning.

Lister over elever som utelukkende brukes internt på skolen, vil kunne unntas etter offentleglova § 14 første ledd om organinterne dokumenter. Hvis listene derimot gis ut til barna og deres foresatte, vil bestemmelsen i utgangspunkt ikke gi hjemmel for unntak. Det er ikke noe i veien for å operere med to sett lister, hvor skolens interne lister gir mer detaljert informasjon for organisatoriske formål, mens listene man sender ut, bare inneholder kontaktinformasjon. Skolene bør derfor utvise varsomhet når de vurderer hvilke opplysninger som er nødvendige på de offentlige klasselistene.

Ved mange skoler er det innført en ordning som går ut på at skolen ikke utleverer klasselister, men at det er foreldrene selv som organiserer og distribuerer lister over barna og de foresattes kontaktinformasjon. På denne måten kan foresatte dele kontaktinformasjon uten at skolen offentliggjør klasselister. Når skolen ikke offentliggjør klasselister, men kun bruker disse internt, vil listene være organinterne dokumenter som skolen kan unnta fra offentlighet etter offentleglova § 14 første ledd, jf ovenfor. Dette styrker barnas personvern.

Offentleglova skal evalueres innen utgangen av inneværende stortingsperiode. I den forbindelse vil Justisdepartementet også se på en del spørsmål som har vært reist. I den sammenheng vil det være naturlig å vurdere også spørsmålet om innsyn i klasselister. Det nevnes imidlertid at det å se på klasselister som skolens eiendom, slik at skolen skulle kunne regulere elevenes og foreldrenes videre bruk av listene, neppe vil være en praktisk løsning.

Oppsummering: Ved å forbeholde klasselister for internt bruk ved skolen, forblir listene skolens interne dokumenter som det kan nektes innsyn i etter offentleglova § 14. Dersom de foresatte ønsker klasselister, kan de selv ta initiativ til å sette opp slike lister. I forbindelse med evalueringen av offentleglova vil regjeringen vurdere spørsmålet om innsyn i klasselister.

Forslag IX

Forslaget går ut på å sikre at forskrift om systematisk helse-, miljø- og sikkerhetsarbeid i virksomheter også hensyntar personvernet.

Det er allerede nedfelt et klart krav om internkontroll i personopplysningsloven § 14 med tilhørende forskrifter. Reglene pålegger alle virksomheter som behandler personopplysninger, å gjennomføre nødvendige tiltak for å ivareta gjeldende personvernregelverk og å dokumentere disse tiltakene. Bestemmelsene ligger svært nær HMS-forskriftens krav til internkontroll, men gjelder kun på personvernområdet. Dersom HMS-forskriften også skal ta hensyn til personvernet, vil dette etter min mening medføre en uheldig dobbeltregulering. Jeg mener derfor det er viktigere at Datatilsynet arbeider for å gjøre internkontrollbestemmelsene i personopplysnings­loven kjent for alle som behandler personopplysninger. For å bidra til bedre etterlevelse av internkontrollbestemmelsene, fikk tilsynet særskilte midler fra Fornyings-, administrasjons- og kirkedepartementet til et 2-årig prosjekt om internkontroll og informasjonssikkerhet i 2009. Prosjektet avsluttes etter planen i 2011.

Jeg ønsker også å gjøre oppmerksom på at Arbeidsdepartementet og Fornyings- administrasjons- og kirkedepartementet nylig har bedt Datatilsynet og Arbeidstilsynet om å bidra i en kartlegging av personvernutfordringer i arbeidslivet. Dette kartleggingsarbeidet vil gi et verdifullt grunnlag for videre arbeid med å styrke personvernet i arbeidslivet.

Oppsummering: Intenkontrollplikten på personvernområdet følger allerede av personopplysningsloven § 14 med forskrifter, og ytterligere regulering fremstår som unødvendig.

Forslag X

Forslaget går ut på å pålegge store private registre, som i bank og forsikring, å etablere logger for hvem som innhenter personsensitiv informasjon, og at den enkelte får rett til innsyn i loggen knyttet til sin person.

Bank- og forsikringsvirksomhet er konsesjonsbelagt virksomhet. Konsesjon blir gitt av Finansdepartementet (etter delegasjon). I tillegg kreves det at banker og andre finansinstitusjoner, for eksempel forsikringsselskaper, har konsesjon fra Datatilsynet for å behandle personopplysninger, jf. personopplysningsloven § 33 første ledd og personopplysningsforskriften § 7-3. I Datatilsynets konsesjon til banker og andre finansinstitusjoner er det allerede fastlagt at elektroniske oppslag i personopplysninger skal loggføres og oppbevares på elektronisk medium i minst tre måneder. Det er videre fastlagt at kunder har krav på innsyn i antall elektroniske oppslag samt tidspunktet for oppslag som ansatte i banker eller bankers oppdragstakere har foretatt i kontoer eller øvrige kundeengasjementer. Innsynsretten gjelder for et tidsrom på minst tre måneder etter oppslaget.

Etter regjeringens vurdering synes således de forhold som tas opp i representantforslaget punkt X allerede å være regulert når det gjelder finansinstitusjoner. Det gjøres samtidig oppmerksom på at det gjelder særskilte taushetspliktbestemmelser for banker og andre finansinstitusjoner, som har til formål å ivareta personvernhensyn i tilknytning til bankers og andre finansinstitusjoners håndtering av personopplysninger.

Hvorvidt det bør innføres tilsvarende plikt til å logge oppslag i andre store personregistre i privat virksomhet, bør vurderes konkret for den enkelte behandlingstype. I vurderingen må det særlig sees hen til den type opplysninger som behandles og det misbruks- og skadepotensialet som foreligger. De personopplysningsbehandlinger som representerer størst trussel, vil som hovedregel være regulert gjennom konsesjon fra Datatilsynet etter personopplysningsloven § 33, jf det som er skrevet ovenfor om registre i finansinstitusjoner. Det vil være naturlig at Datatilsynet vurderer behovet for logging av oppslag og innsyn i loggen som ledd i konsesjonsbehandlingen.

Oppsummering: Det vil være naturlig for Datatilsynet å vurdere behovet for logging av oppslag og de registrertes innsyn i loggen i forbindelse med behandling av søknad om konsesjon for private virksomheters omfattende behandlinger av person­opplysninger.

Sist oppdatert: 09.06.2011 20:30

Leave a Reply

Your email address will not be published. Required fields are marked *