Endelig kontrollrapport

Transkript

1 Saksnummer: 13/00328 Dato for kontroll: Rapportdato: Endelig kontrollrapport Kontrollobjekt: Gjensidige Forsikring ASA Sted: Lysaker Utarbeidet av: Marius Engh Pellerud Cecilie Rønnevik 1 Innledning Datatilsynet gjennomførte kontroll hos Gjensidig Forsikring 14. mai Kontrollen ble utført med hjemmel i personopplysningsloven 44, jf. 42, 3. ledd. Temaet for kontrollen var virksomhetens behandling av personopplysninger, særlig i forbindelse med undersøkelser som foretas for å avdekke svik eller forsøk på svik i forsikringsforholdet, såkalt utredningsvirksomhet. Kontrollen fant sted ved virksomhetens faste forretningsadresse. I det følgende vil Datatilsynet atilsynet beskrive de faktiske forhold som ble avdekket under kontrollen. Kontrollrapporten danner grunnlag for Datatilsynets vurderinger og eventuelle pålegg. 2 Til stede under kontrollen Fra virksomheten - Erik Jordet, fungerende behandlingsansvarlig og daglig ansvarlig for virksomhetens behandling av personopplysninger - Espen Jul Larsen, leder Konsernsikkerhet - Stein Ove Kjennvold, produktsjef Produkt og pris - Ole Hermansen, leder Utreder person Fra Datatilsynet - Kathrine Ekeberg, rådgiver - Cecilie Rønnevik, fagdirektør - Marius Engh Pellerud, rådgiver 1 av 23

2 Innhold 1 Innledning Til stede under kontrollen Generelt Datatilsynets kontroll i sak 10/ Om behandling av personopplysninger i forbindelse med utredningsvirksomhet Nærmere om utredningsvirksomheten Opprettelse av sak Søk i virksomhetens egne registre og opplysninger Søk i opplysninger som er allment tilgjengelige Tekniske undersøkelser Innhenting av opplysninger iht fullmakt Utredningssamtale Vitneforklaringer Skjult observasjon (spaning) Når saken er ferdig utredet Funn og avvik fra lovbestemte krav til behandling av personopplysninger Personopplysningslovens virkeområde Det saklige virkeområdet Forholdet til andre lover særlig om forsikringsavtaleloven Personopplysningslovens krav til behandling av personopplysninger Internkontroll Behandlingsgrunnlag for utredningsvirksomheten ( 11 jf 8 og 9) Relevans, nødvendighet og kvalitet ved utredningsvirksomheten ( 11) Sletting ( 11 jf 28) Krav om informasjon og innsyn ( 18 flg) Databehandleravtaler ( 15) Konsesjon ( 33) Krav om informasjonssikkerhet Sikkerhetsledelse, mål og strategi Risikovurdering Sikkerhetsrevisjon Avvikshåndtering/sikkerhetsbrudd Sikkerhetstiltak av 23

3 3 Generelt Gjensidige er et norsk konsern med filialer i Sverige og Danmark. Virksomheten er delt inn i seks forretningsområder innen skadeforsikring, pensjon og sparing og bank. Foreliggende kontroll var i utgangspunktet avgrenset til forsikringsvirksomheten, og da særlig den utredningsvirksomheten som skjer for å avdekke svik eller forsøk på svik i forsikringsforholdet. Under kontrollen fremkom det imidlertid opplysninger som er relevante ut over dette. Det gjelder konkret kravet til internkontroll, som er behandlet i rapportens kapittel 6.2. Utredningsvirksomheten er i hovedsak lagt til en spesialenhet ved Oppgjør Ting i Oppgjør og IKT (for tingskadesaker) og til utrederenheten i Personskade Norden (for personskadesaker). Utredningsvirksomhet har tradisjonelt vært utført av det tradisjonelle oppgjørsmiljøet. I de seneste 10 årene har utredningsvirksomheten vokst, og det har vært behov for flere og mer spesialiserte ansatte. Det er i dag 19 utredere på tingskader og fire utredere på personskader. Utrederne er i all hovedsak tidligere ansatte i politiet, med politifaglig utdannelse og etterforskningskompetanse. De er geografisk plassert i virksomhetens lokale oppgjørsenheter på fire ulike steder i landet, og på virksomhetens hovedkontor på Lysaker. På oppdragsbasis benyttes også utredere som ikke er ansatt i virksomheten. Også disse er tidligere ansatte i politiet. Kontakten formidles via FNO, som administrerer en egen «pool» av etterforskere som står til bransjens disposisjon. I 2012 ble det tilbakeholdt 140 millioner kroner i erstatning som følge av at Gjensidige avdekket svik. I tillegg kommer fortjeneste som følge av at resultater fra utredningsvirksomheten også benyttes til blant annet avkortning og regress. 4 Datatilsynets kontroll i sak 10/00236 Datatilsynet gjennomførte en kontroll av Gjensidige Forsikring BA i Kontrollen var spesielt rettet mot virksomhetens innhenting og videre behandling av helseopplysninger ved inngåelse av avtaler om barneforsikring, jf tilsynets varsel om kontroll og kontrollrapport av 4. august Kontrollen avdekket at personopplysningene ikke ble slettet i tråd med pkt 5 i Datatilsynets konsesjon av 22. juli Dette gjaldt konkret opplysninger om potensielle kunder, når det er avklart at forsikringstilbudet ikke blir benyttet. Det ble heller ikke slettet opplysninger fra etablerte forsikringsforhold, når lovpålagt oppbevaringsplikt bortfalt (etter ti år). Den 4. august 2010 fattet Datatilsynet vedtak om at Gjensidige må slette opplysninger i samsvar med forsikringskonsesjonens pkt 5. 3 av 23

4 I brev av 15. juni 2011 erklærte virksomheten at det hadde innført sletterutiner i samsvar med tilsynets vedtak. Datatilsynet avsluttet derfor kontrollsaken. Med bakgrunn i de funn som er beskrevet i foreliggende rapport har Datatilsynet gjenåpnet den tidligere kontrollsaken, og bedt om en ny redegjørelse for hvordan pålegget ble etterlevd. Den tidligere kontrollen vil likevel nevnes sporadisk i foreliggende rapport, der den er relevant. 5 Om behandling av personopplysninger i forbindelse med utredningsvirksomhet Gjensidiges utredningsvirksomhet har til formål å kontrollere både at forsikringsavtaler inngås på riktige vilkår, og at et eventuelt oppgjør blir korrekt. Utredningsvirksomhet finner sted både i forbindelse med avtaleinngåelse, og i forbindelse med eventuelle oppgjør. Det gjøres blant annet undersøkelser for å avdekke brudd på opplysnings- og meldeplikter hos forsikringstager, den sikrede og den som fremmer krav. Det gjøres også undersøkelser for å avdekke om forsikringstilfeller er fremkalt av den sikrede, og om det foreligger grunnlag for regresskrav mot andre personer eller virksomheter. Utredninger iverksettes normalt med bakgrunn i: - Analyser av opplysninger i virksomhetens informasjonssystemer - Tips eller oppdrag fra egne ansatte (typisk kundebehandlere) - Tips fra eksterne (typisk naboer, politiet og andre virksomheter) 5.1 Nærmere om utredningsvirksomheten Utredningsvirksomheten består av ulike tiltak, gjerne i kombinasjon. Det ble ikke fremlagt dokumenterte rutiner som beskriver beslutningsprosessen bak eller gjennomføringen av de ulike tiltakene. Nedenstående beskrivelse er i hovedsak basert på opplysninger som ble gitt muntlig under kontrollen Opprettelse av sak Når en utreder mottar et tips som vurderes slik at det kan være holdbart opprettes utredningssaken i systemet ESS (tidligere omtalt som «SKUR») Søk i virksomhetens egne registre og opplysninger Det blir gjort søk i egne informasjonssystemer for å få et bilde av kundens historikk som forsikringstaker. Gjensidige bruker systemet S2000 til administrasjon av salg, avtaleforvaltning og oppgjør. Her gjøres det oppslag i kundens historikk i Gjensidige. Det gjøres også søk i FNOs registre ROFF (Register over forsikringssøkere og forsikrede) og FOSS (Forsikringsselskapenes sentrale skaderegister) med samme formål. 4 av 23

5 Det gjøres søk i systemet KLE (Kunde, Logg og engasjement). Dette erstattes nå av systemet Dynamic. Her ligger informasjon om kundehenvendelser og virksomhetens kunderådgivning. I tillegg kan utrederne be om notater fra kunderådgiveres kontakt med kunde Søk i opplysninger som er allment tilgjengelige Det blir også gjort søk i opplysninger som er allment tilgjengelige, typisk på internett. Blant annet blir det gjort søk på åpne Facebook-profiler Tekniske undersøkelser Det gjøres undersøkelser av åsteder og på gjenstander som er relevante for forsikringstilfellet, typisk på en branntomt. Disse gjennomføres og dokumenteres normalt av takstmenn Innhenting av opplysninger iht fullmakt Det hentes inn opplysninger i henhold til den fullmakten som er gitt i tilknytning til egenerklæringsskjemaet. Det dreier seg typisk om helseopplysninger fra behandlende helsepersonell Utredningssamtale 1 Forsikringstager, den sikrede og/eller den som fremmer et krav møter til utredningssamtale, for å avgi en nærmere forklaring i saken. Innkallingen skjer normalt pr telefon. Under kontrollen ble det forklart at slike samtaler er frivillige, og at det normalt opplyses om dette, men at det blir stilt spørsmål ved hvorfor man ikke ønsker å gjennomføre en slik samtale. Det brukes lydopptak for å dokumentere samtalen, dersom den som er innkalt har samtykket til det. Dette gjelder også for samtaler som gjøres pr telefon. Det gjøres skjult lydopptak i saker som omhandler trusler, truende adferd og vold mot virksomhetens ansatte, eller dersom informasjonen om at det gjøres lydopptak vil hemme informasjonsinnhentingen. Dette gjelder både telefonsamtaler og ved fremmøte. Dersom det ikke brukes lydopptak lages det et referat av samtalen, som skal godkjennes av den som var inne til samtale. Utredningssamtalen resulterer i to dokumenter: egenrapport i skadesak og rapport i skadesak Vitneforklaringer Det hentes inn ytterligere opplysninger fra tipsere eller andre som antas å ha relevant informasjon. Vitneforklaringer skjer ifølge selskapet på samme måte som utredningssamtaler (jf pkt ) Skjult observasjon (spaning) Det gjennomføres skjult observasjon av personer, steder, ting og hendelser. Det ble under kontrollen opplyst at dette bare gjøres dersom man har gjennomført andre tiltak uten at det har 1 Utredningssamtaler er også benevnt som konfrontasjonssamtaler i virksomhetens egne dokumenter 5 av 23

6 gitt nødvendig avklaring, eller det ellers er klart at andre tiltak ikke vil gi nødvendig avklaring. Beslutningen om at det skal iverksettes observasjon treffes ikke av den enkelte utreder, men drøftes av lederne i utredningsavdelingene. Endelig beslutning om skjult observasjon gjøres av direktør for Oppgjørsavdelingen. Utrederne benytter foto og videofilming for å dokumentere observasjonene. Det skrives også en observasjonslogg som i detalj beskriver hvem og hva som ble observert, samt tid og sted for observasjon. Et eksempel er i anonymisert form lagt ved denne rapporten. 5.2 Når saken er ferdig utredet Dersom saken er vurdert til ikke å være et tilfelle av svik går saken tilbake til kundebehandler, for avtaleinngåelse eller utbetaling. Ved avtaleinngåelse kan utredningen få betydning for de nærmere vilkårene, herunder at det gjøres reservasjoner i dekningen. Det kan også medføre at Gjensidige helt avslår å inngå forsikringsavtale. Dersom utredningen viser svik skriver utreder en innstilling til avslagsbrev. Avslaget kan være helt eller delvis (nedsatt). Denne innstillingen sendes skadevurderingsutvalget (SVU) i Gjensidige. Dersom SVU vurder det slik at saken står seg og svik kan påvises blir det sendt et avslagsbrev. Det gis normalt ikke informasjon om hvilke utredningstiltak som er gjennomført, annet enn at det oversendes referat fra samtaler som vedkommende eventuelt har vært til stede i. 6 Funn og avvik fra lovbestemte krav til behandling av personopplysninger 6.1 Personopplysningslovens virkeområde Det saklige virkeområdet Gjensidige har lagt til grunn at skjult observasjon og film- og lydopptak ikke er underlagt noen rettslig regulering. Datatilsynet finner det imidlertid klart at virksomhetens behandling av personopplysninger i forbindelse med utredningsvirksomhet som beskrevet i kapittel 5, i sin helhet faller innenfor lovens saklige virkeområde. Personopplysningslovens bestemmelser gjelder for behandling av personopplysninger som skjer helt eller delvis med elektroniske hjelpemidler, og annen behandling når opplysningene inngår i eller skal inngå i et personregister, jf personopplysningsloven 3 første ledd litra a og b. I nesten alle deler av utredningsvirksomheten blir det behandlet personopplysninger ved bruk av elektroniske hjelpemidler eksempelvis elektroniske tekstbehandlingssystemer. For de (eventuelle) manuelle behandlingenes vedkommende er formålet åpenbart å samle opplysninger som er ment å skulle inngå i ett eller flere personregistre hos Gjensidige. Dette 6 av 23

7 gjelder også for opplysninger som hentes inn ved skjult observasjon og i utredningssamtaler, med eller uten bruk av film- og/eller lydopptak Forholdet til andre lover særlig om forsikringsavtaleloven Personopplysningslovens bestemmelser gjelder «om ikke annet følger av særskilt lov som regulerer behandlingsmåten», jf dennes 5. Personopplysningslovens bestemmelser gjelder utfyllende. Dette innebærer at eventuell særlovgivning går foran personopplysningsloven ved kollisjon mellom regelsettene. Forsikringsavtaleloven regulerer avtalepartenes rettigheter og plikter i et forsikringsforhold. Loven inneholder enkelte bestemmelser om forsikringsselskapets behandling av personopplysninger og den enkeltes rettigheter i den forbindelse, herunder ved innhenting av personopplysninger ved avtaleinngåelse og i forbindelse med oppgjør. Forholdet til forsikringsavtaleloven vil bli vurdert ved gjennomgangen av de ulike pliktene som personopplysningsloven oppstiller (pkt 6.2 flg). 6.2 Personopplysningslovens krav til behandling av personopplysninger Internkontroll I henhold til personopplysningsloven 14 plikter Gjensidige å etablere og holde ved like planlagte og systematiske tiltak som er nødvendige for oppfylle de øvrige kravene i loven. Tiltakene skal være dokumenterte. Før kontrollen ba Datatilsynet om å få oversendt virksomhetens dokumentasjon på etterlevelse av internkontrollplikten, særlig hva gjaldt utredningsvirksomheten. Tilsynet mottok følgende dokumenter: Instruks for behandling av personopplysninger (datert 11. april 2013) Personopplysninger ved utredninger (datert 31. januar 2013) FNOs felles etiske retningslinjer ved utredning av svindel og kriminalitet rettet mot forsikringsbransjen (datert juni 2011) Under kontrollen mottok Datatilsynet også to andre dokumenter som er relevante for internkontrollplikten ved utredningsvirksomhet. Det var «Retningslinjer for observasjon som metode ved utredning og bruk av foto/video som dokumentasjon» og «Retningslinjer for bruk av lydopptak ved samtaler i forbindelse med utredning». Begge er datert 13. desember Under kontrollen ble det forklart at det var etablert rutiner i utredningsenhetene for hvordan utredningsvirksomheten skulle gjennomføres i praksis, men at disse ikke var skriftlige. Det ble heller ikke ført noen systematisk kontroll med hvorvidt og hvordan disse ble etterlevd. Etter kontrollen mottok Datatilsynet instruksen «Konsernkrav informasjonssikkerhet». Enkelthetene i alle disse dokumentene vil bli vurdert opp mot personopplysningslovens grunnkrav til behandling av personopplysninger, samt dens bestemmelser om de registrertes 7 av 23

8 rettigheter og om informasjonssikkerhet mv (jf punkt flg og 6.3). Først vil vi knytte generelle kommentarer til de ulike dokumentene som er fremlagt, opp mot internkontrollplikten etter personopplysningslovens Om «Instruks for behandling av personopplysninger» I henhold til det opplyste 2 er dette en instruks som «gjelder generelt og for hele konsernet». Sammen med de felles etiske retningslinjer utgjør dette dokumentet «rammeverket ved behandling av personopplysninger i forbindelse med utredningsvirksomheten». Datatilsynet vil bemerke at dokumentet er svært generelt utformet, og antas å gi ingen eller liten veiledning for de ansatte ved behandling av personopplysninger. Dokumentet er etter sin form og omfang betydelig mangelfullt, og ikke egnet til å holde tilfredsstillende kontroll med egen virksomhet. For en virksomhet av Gjensidiges art og størrelse må det kunne forventes at det er etablert konkrete gjennomførende og kontrollerende rutiner knyttet til alle de ulike behandlinger som finner sted i virksomheten. Det innebærer normalt en angivelse av hvilke personer/roller i virksomhetene som skal gjøre nærmere angitte oppgaver og til hvilken tid (gjennomførende rutine). Det må også forventes at det etableres rutiner for å kontrollere hvorvidt de gjennomførende rutinene etterleves i praksis (kontrollerende rutiner), og et egnet system for avvikshåndtering og regelmessig revisjon av rutinene. Datatilsynet mener det er særlig bekymringsfullt at dette dokumentet ligger til grunn for all behandling av personopplysninger i Gjensidigekonsernet - ikke bare utredningsvirksomheten, men for eksempel også forsikringsvirksomheten generelt, bankvirksomheten og behandling av opplysninger om egne ansatte Om FNOs «Felles etiske retningslinjer» Datatilsynet vil bemerke at dette dokumentet er svært generelt utformet, idet det viser til standarder som «god forretningsskikk» og «faglig forsvarlig». Det antas ikke å gi noen praktisk veiledning til Gjensidiges ansatte, ved deres behandling av personopplysninger. Dokumentet antas etter dette å være uten relevans ved vurdering av internkontrollplikten, eller øvrige plikter etter loven Om «Personopplysninger ved utredninger» Under kontrollen fremkom det at dette dokumentet ikke er en del av internkontrollen, men er satt opp rett i forkant av denne kontrollen for å gi tilsynet en oversikt over virksomhetens ulike behandlinger og informasjonssystemer. Dokumentet antas etter dette å være uten relevans ved vurdering av internkontrollplikten, eller øvrige plikter etter loven Om «Retningslinjer for bruk av observasjon som metode ved utredning og bruk av foto/ video som dokumentasjon» og «Retningslinjer for bruk av lyd- og bildeopptak» Gjensidige har vurdert at behandling av personopplysninger som skjer ved hjelp av lyd- og bildeopptak, og i forbindelse med skjult observasjon, ikke er rettslig regulert. 2 Gjensidiges brev av 3. mai 2013 til Datatilsynet. 8 av 23

9 Datatilsynet mener imidlertid at personopplysningslovens bestemmelser kommer til anvendelse på utredningsvirksomheten i sin helhet, jf denne rapportens om personopplysningslovens saklige virkeområde. Det innebærer at det skulle ha vært etablert internkontrollsystem for å sikre at alle lovens bestemmelser ble etterlevd, også når disse metodene tas i bruk Om «Konsernkrav informasjonssikkerhet» Dokumentet legger overordnede føringer på all behandling av personopplysninger i Gjensidige med datterselskaper. Her beskrives hvilke rutiner, regler og systemer som skal etableres, men gir ingen detaljert beskrivelse av hvordan dette gjennomføres. De enkelte delene av dokumentet er nærmere vurdert i denne kontrollrapportens del Konklusjon om internkontrollplikten Under kontrollen spurte tilsynet gjentatte ganger om hvorvidt det forelå andre dokumenterte rutiner enn de som tilsynet hadde fått fremlagt. De som var til stede under kontrollen kunne ikke vise noen slike rutiner. Det kunne heller ikke de ansatte som ble intervjuet under kontrollen. Datatilsynet har kommet til at det foreligger store og alvorlige mangler ved Gjensidiges etterlevelse av internkontrollplikten etter personopplysningslovens 14. Dette gjelder for virksomhetens behandling av personopplysninger generelt, og for undersøkelsesvirksomheten spesielt. Det foreligger også mangler ved internkontrollplikten knyttet til informasjonssikkerhet, blant annet når det gjelder manglende gjennomføring av risikovurderinger, utstrakt lagring av personopplysninger med behov for konfidensialitetsbeskyttelse på filområder og manglende beskyttelse av personopplysninger ved bruk av e-post. Mangelfullt internkontrollsystem gjør det vanskelig for Datatilsynet når det skal kontrollere hvorvidt de øvrige vilkårene i loven etterleves. Tilsynet har allikevel valgt å knytte enkelte kommentarer til virksomhetens ivaretagelse av de øvrige pliktene etter loven. Dette gjøres med utgangspunkt i «Instruks for behandling av personopplysninger» og de verifikasjoner som ble gjennomført under kontrollen Behandlingsgrunnlag for utredningsvirksomheten ( 11 jf 8 og 9) I henhold til personopplysningsloven 11 a skal enhver behandling av personopplysninger ha et behandlingsgrunnlag etter 8. Dersom det behandles sensitive personopplysninger kommer også de skjerpede vilkårene i 9 til anvendelse. I Datatilsynets konsesjon av 22. juli 2005 til Gjensidige er det bestemt at det primære behandlingsgrunnlaget skal være samtykke fra den registrerte, jf personopplysningslovens 2 nr 7. Det er videre bestemt at samtykket skal være skriftlig. Krav om samtykke gjelder likevel ikke dersom behandlingen kan hjemles i et av de øvrige behandlingsgrunnlagene i 8 og 9. Det er ikke særskilt angitt hvilke(t) behandlingsgrunnlag som er aktuelt for utredningsvirksomheten. 9 av 23

10 I virksomhetens «Instruks for behandling av personopplysninger» av 11. april 2013 er det beskrevet ulike behandlingsgrunnlag, uten at det er vurdert konkret hvilke(t) grunnlag som eventuelt kan hjemle undersøkelsesvirksomheten (eller andre behandlinger) hos Gjensidige. Under kontrollen ble det i tillegg vist til forsikringsavtalelovens bestemmelser, og antydet at utredningsvirksomheten hadde hjemmel i denne lov. Denne vurderingen var ikke dokumentert. Da virksomheten ikke selv har foretatt dokumenterte vurderinger av om det foreligger behandlingsgrunnlag for utredningsvirksomhet, hvilke de er og hvor langt de eventuelt rekker, er det vanskelig for Datatilsynet å kontrollere og konkludere om hvorvidt selskapet følger loven på dette punktet. Tilsynet vil likevel gjøre noen vurderinger av aktuelle behandlingsgrunnlag Samtykke som behandlingsgrunnlag ( 8 jf 9a) Samtykke ofte er ansett å være det foretrukne behandlingsgrunnlaget for behandling av personopplysninger. I forbindelse med avtaleinngåelse og ordinært oppgjør vil samtykke kunne være et hensiktsmessig behandlingsgrunnlag. Samtykket må imidlertid anses å være mindre egnet for utredningsvirksomhet som har til hensikt å avdekke svik og andre lov- og avtalebrudd. Det vises til at deler av virksomheten holdes skjult for den registrerte (skjult observasjon, skjult lydopptak og innhenting av vitneforklaringer). For den utredningsvirksomheten som ikke er skjult, vil i tillegg kravet til at samtykket skal være frivillig bli kraftig utfordret Forsikringsavtaleloven som behandlingsgrunnlag ( 8 jf 9b) Forsikringsavtaleloven har en rekke bestemmelser som pålegger forsikringstakeren, den sikrede og den som fremmer krav opplysnings- og meldeplikter. Datatilsynet vurderer at slike bestemmelser gir Gjensidige rettslig grunnlag for å innhente opplysninger fra forsikringstager etter blant annet lovens 4-1 og 13 1a, den sikrede etter blant annet 4-10, 8-1, 13-1a og og fra den som fremmer krav mot selskapet etter blant annet 18-1, på de vilkår som der er nevnt. Dette vil i utgangspunktet også gjelde for opplysninger som innhentes gjennom utredningssamtaler. Datatilsynet vil allikevel bemerke at loven ikke oppstiller noen krav til hvordan opplysnings- og meldeplikten skal etterleves. Bestemmelsen kan altså ikke leses som en plikt for disse til å møte i utredningssamtaler. Det må etter tilsynets vurdering bero på frivillighet fra den som kalles inn om opplysningene i stedet skal avgis skriftlig, eller på annen måte. Bestemmelsen gir uansett ikke behandlingsgrunnlag for innhenting av opplysninger fra andre enn den som er angitt å være opplysningspliktig, typisk fra vitner, politiet eller andre virksomheter med mindre det foreligger en fullmakt fra den opplysnings- eller meldepliktige eller en klar hjemmel i lov. 10 av 23

11 Bestemmelsen kan etter Datatilsynet vurdering heller ikke forstås slik at den gir hjemmel for skjult observasjon eller skjult lydopptak. Det vises til at forsikringsavtalelovens bestemmelser klart forutsetter en informert og aktiv deltagelse fra den som skal avgi opplysningene Når behandlingen er nødvendig for å «fastsette, gjøre gjeldende eller forsvare et rettskrav» ( 8 b jf 9e) Personopplysningsloven 8 b jf 9 e gir grunnlag for å behandle personopplysninger, herunder sensitive, når «det er nødvendig for å fastsette, gjøre gjeldende eller forsvare et rettskrav». Datatilsynet legger til grunn at forsikringsselskapers behandling av sensitive personopplysninger med det formål å fastsette korrekt oppgjør i et forsikringstilfelle etter sin art kan omfattes av dette alternativet. Bestemmelsen gir imidlertid anvisning på en skjønnsmessig forholdsmessighetsvurdering av tiltakets art og omfang, jf vilkåret om at behandlingen må være nødvendig. Den gir altså ikke hjemmel for ethvert tiltak som kan tenkes gjennomført for dette formålet Konklusjon om behandlingsgrunnlag Det finnes flere behandlingsgrunnlag som alene eller i kombinasjon kan være aktuelle for den beskrevne utredningsvirksomheten. Det er først og fremst den behandlingsansvarlige som skal vurdere hvorvidt og eventuelt hvor langt de ulike behandlingsgrunnlagene er anvendelige. Denne vurderingen skal reflekteres i de rutiner som pliktes etablert i medhold av personopplysningsloven 14. Manglende internkontroll 3 vanskeliggjør Datatilsynet kontroll av om kravet til behandlingsgrunnlag er oppfylt i alle enkeltsaker som har vært og er under utredning, og kan derfor ikke konkludere vedrørende dette. Tilsynet nøyer seg her med å vise til at virksomheten ikke har gjort dokumenterte vurderinger av om det foreligger behandlingsgrunnlag for disse tiltakene, og at det ikke er etablert dokumenterte rutiner for å sikre at det ikke skjer behandlinger som det ikke er grunnlag for. Datatilsynet vil bemerke at særlig skjult observasjon og skjult lydopptak medfører et betydelig inngrep i personvernet til den som observeres, og at det derfor kan stilles spørsmål ved om dette er tiltak som overhode kan gjennomføres uten klar hjemmel i lov Relevans, nødvendighet og kvalitet ved utredningsvirksomheten ( 11) I henhold til personopplysningsloven 11 litra d plikter den behandlingsansvarlige å sørge for at det kun behandles personopplysninger som er relevante og nødvendige utfra formålet med behandlingen, og til å sørge for at opplysningene har tilfredsstillende kvalitet. Også i Datatilsynets konsesjon av 22. juli 2005 finnes det bestemmelser som konkretiserer disse pliktene. 3 Jf rapportens pkt av 23

12 Instruks for behandling av personopplysninger I virksomhetens «Instruks for behandling av personopplysninger» er dette lovkravet omhandlet under punkt 6.3 om Kvalitetssikring. Etter sitt innhold er bestemmelsen i stor grad en omskriving av ordlyden i personopplysningsloven, uten at kravene der er utdypet eller konkretisert. I instruksens kapittel 7 «Krav til saksbehandling» er det forsøkt beskrevet nærmere hvilke opplysninger som kan benyttes til saksbehandling, hvordan de skal hentes inn, kontrolleres, om de kan leveres ut mv. Begrepet «saksbehandling» har et uklart innhold. Det legges imidlertid til grunn at det også omfatter utredningsvirksomhet. For en stor del er også kapittel 7 en gjengivelse og omskrivning av personopplysningslovens bestemmelser, og bestemmelser om utlevering i annet regelverk. Kvalitetssikring er også regulert i instruksens kapittel 9. Hvorvidt dette kapittelet også gjelder for utredning og annen saksbehandling, eller om dette er uttømmende regulert i kapittel 7 er imidlertid uklart. Enkeltelementer i instruksen er vanskelig tilgjengelige. Dette gjelder for eksempel pkt 7.1 siste kulepunkt, hvor det heter at virksomheten i saksbehandlingen kan benytte «opplysninger som utelukkende skal benyttes i den interne saksbehandlingen og som er nødvendig å samle inn uten å informere den opplysningene gjelder for å hindre svik eller lignende». Datatilsynet stiller spørsmål ved at adgangen til å samle inn opplysninger er koblet til en eventuell adgang til å holde informasjon om dette tilbake fra den registrerte. Datatilsynet vil generelt anbefale at det konkretiseres hvilke personer eller roller i virksomheten de ulike bestemmelsene i instruksen retter seg mot. Det vises blant annet til pkt 9.2 hvor det heter at «Selskapet skal sørge for». De interne ansvarsforholdene er imidlertid uavklart. Datatilsynet kan ikke se at instruksen etter sin oppbygning og innhold gir tilfredsstillende veiledning for at de ansatte skal ivareta virksomhetens plikt til å sikre opplysningenes relevans, nødvendighet og kvalitet - heller ikke i forbindelse med utredningsvirksomhet. Datatilsynet mener at det bør etableres egne rutiner som er konkret tilpasset utredningsvirksomheten. Det vises til at denne virksomheten omfatter tiltak som er spesielt inngripende i den enkeltes personvern «Retningslinjer for bruk av lydopptak ved samtaler i forbindelse med utredning» Det er regulert at en begrunnet forespørsel om å gjennomføre skjult lydopptak skal oversendes Leder Utredning, som treffer endelig beslutning. Av begrunnelsen må det fremgå hvorfor slik lydopptak er nødvendig. 12 av 23

13 «Retningslinjer for bruk av observasjon som metode ved utredning og bruk av foto/video som dokumentasjon» Det er regulert at dette er metoder som kan tas i bruk for å hente inn opplysninger «fortrinnsvis i saker hvor det ikke foreligger andre rimelige alternative muligheter for å fremskaffe avgjørende bevismateriale». Det er videre regulert at en begrunnet forespørsel om å gjennomføre skjult lydopptak skal oversendes Leder Utredning, som oversender denne til endelig beslutning av Leder Oppgjør Person og Leder Oppgjør Ting. Av begrunnelsen må det fremgå hvorfor slik lydopptak er nødvendig Verifikasjon Det kunne ikke legges frem eksempler på forespørsler om og dokumenterte beslutninger vedrørende bruk av skjult observasjon eller lyd- og bildeopptak. Det ble opplyst at dette normalt skjedde i «muntlig form» i ordinær mailkorrespondanse. Datatilsynet ba om innsyn i et par utredningssaker, for å se hvorvidt og hvordan kravene ble etterlevd i praksis. Tilsynet fikk da lese en rapport fra en skjult observasjon, og et notat hvor utreder gjør egne vurderinger av en gjennomført utredningssamtale og et samtalereferat i en annen sak. Disse er i ettertid oversendt Datatilsynet i anonymisert form. Det benyttes maler for nevnte utredningsdokumenter. De er i all hovedsak basert på fritekst, og styrer i liten grad hvilke opplysninger som behandles. Skjult observasjon Denne saken gjaldt en mann som har fått utbetalt forsikring etter å ha blitt arbeidsufør. Med bakgrunn i opplysninger blant annet fra mannens Facebook-profil, ble det gjennomført skjult observasjon. Formålet var å se om hans daglige gjøremål samsvarer med den uføregraden som ble lagt til grunn i forsikringsoppgjøret. Observasjonen skjedde rundt mannens bolig og nærmiljø, over en periode på to dager. Det er registrert opplysninger om mannens bevegelser og gjøremål utenfor hjemmet, ned til minste detalj («2 poser er gule, formentlig fra COOP Prix»). Det er foretatt filming av hans to besøk i butikken. Det er også notert opplysninger om hvilke biler og personer som til enhver tid ankom og forlot mannens bolig, og hvem han oppholdt seg sammen med. Disse er identifisert med angivelse av bilenes registreringsnummer og beskrivelser av utseende på personene («En lys, blond kvinne med hestehale»). Datatilsynet stiller spørsmål ved omfanget av og detaljeringsnivået på observasjonene. Særlig er det grunn til å stille spørsmål ved om det er nødvendig og relevant å registrere opplysninger om tredjepersoner i den utstrekning det her er gjort. 13 av 23

14 Utredningssamtale Denne saken gjaldt spørsmål om barneforsikring. Foreldrene ble kalt inn til utredningssamtale for å utdype spørsmål om barnets helsetilstand forutfor avtaleinngåelse. I rapporten gjør utreder rede for sine vurderinger av foreldrenes oppførsel og svar under samtalen. Også her stiller Datatilsynet spørsmål ved om omfanget av registreringen er nødvendig. I tillegg stilles det spørsmål ved om opplysningene kvalitetssikres tilfredsstillende. Det vises til at opplysningene er rent subjektive vurderinger fra utreder, og at foreldrene ikke får informasjon om eller innsyn i notatet, og derved er avskåret fra å korrigere eventuelle feil eller misforståelser Konklusjon om nødvendighet, relevans og kvalitet Det er først og fremst den behandlingsansvarlige som skal vurdere hvilke opplysninger som er relevante og nødvendige for den aktuelle behandlingen. Det er også den behandlingsansvarlige som skal vurdere hvorvidt en opplysning har tilfredsstillende kvalitet for det formålet den behandles for. Disse vurderingene skal reflekteres i de rutiner som pliktes etablert i medhold av personopplysningslovens 14, herunder i eventuelle skjemaer som etableres for de ansatte behandling av personopplysninger. Manglende internkontroll vanskeliggjør Datatilsynet kontroll av om behandlingsreglene er oppfylt i alle enkeltsaker som har vært og er under utredning, og tilsynet kan derfor ikke konkludere vedrørende dette. Tilsynet nøyer seg her med å vise til at virksomheten ikke har gjort dokumenterte vurderinger av lovens krav, eller etablert dokumenterte rutiner for å sikre at disse etterleves. Datatilsynet legger til grunn at de saksdokumentene som tilsynet har sett er representative, og vil bemerke at man står overfor tiltak hvor særlig nødvendighetskravet må vurderes grundig Sletting ( 11 jf 28) I henhold til personopplysningsloven 11 litra e er det forbudt å lagre personopplysninger lenger enn det som er nødvendig ut fra formålet med behandlingen, jf lovens 27 og 28. Også i Datatilsynets konsesjon av 22. juli 2005 er det gitt konkrete bestemmelser om sletting. Gjensidiges etterlevelse av disse behandles i Datatilsynets sak 10/ I det følgende vurderes de generelle slettepliktene som personopplysningsloven oppstiller Instruks om behandling av personopplysninger I virksomhetens instruks for behandling av personopplysninger er sletting behandlet både i kapittel 7.2 og i kapittel 9.3. Disse er i stor grad en omskriving av personopplysningslovens bestemmelser, og gir liten eller ingen veiledning til de ansatte som behandler personopplysninger Om «Retningslinjer for bruk av observasjon som metode ved utredning og bruk av foto/ video som dokumentasjon» og «Retningslinjer for bruk av lyd- og bildeopptak» Av begge retningslinjene fremgår det at opplysningene som hentes inn ved bruk av slike metoder «skal slettes i henhold til personopplysningslovens bestemmelser». 14 av 23

15 En henvisning til et regelverk som er så komplisert og skjønnsmessig som i dette tilfelle, er ikke en rutine som er egnet til å sørge for at de ansatte etterlever lovens sletteplikter Verifikasjon Gjensidige kunne ikke under kontrollen gjøres rede for om det har vært gjennomført årlige vurderinger av om behandlingsformålet er opphørt, jf kapittel 9.3 siste ledd. Det var heller ikke klart hvem i virksomheten som pliktet å foreta en slik gjennomgang som instruksen gir anvisning på Rutine for automatisk sletting i ESS Gjensidige har i etterkant av Datatilsynets varsel om vedtak og foreløpig rapport etablert sletterutiner i ESS. Disse rutinene innebærer at opplysninger i ESS slettes når avtale om forsikringer i S2000 avsluttes. Denne rutinen er ment å gjennomføres årlig og vil kun slette personopplysninger i ESS når kundeforhold avsluttes. Datatilsynet har vurdert denne løsningen i vårt vedtak Konklusjon om sletting Det er først og fremst den behandlingsansvarlige som skal vurdere når personopplysninger eventuelt skal slettes. Disse vurderingene skal reflekteres i de rutiner som pliktes etablert i medhold av personopplysningslovens 14. Manglende internkontroll vanskeliggjør Datatilsynet kontroll av om sletteplikten er oppfylt i alle enkeltsaker som har vært og er under utredning, og tilsynet kan derfor ikke konkludere vedrørende dette. Tilsynet nøyer seg her med å vise til at virksomheten ikke har gjort dokumenterte vurderinger av lovens krav eller etablert dokumenterte rutiner for å sikre at disse etterleves Krav om informasjon og innsyn ( 18 flg) I henhold til personopplysningslovens 18 flg har Gjensidige plikt til å gi informasjon om sin behandling av personopplysninger, og på nærmere vilkår å gi innsyn til de registrerte. Forsikringsavtaleloven 8-1 har også bestemmelser om rett til informasjon og innsyn i personopplysninger ved oppgjør. Mens personopplysningsloven gir innsynsrett til «den registrerte», gir forsikringsavtaleloven innsynsrett til «den som fremmer krav» Instruks for behandling av personopplysninger I henhold til personopplysningslovens 5 går forsikringsavtalelovens bestemmelser foran personopplysningslovens bestemmelser ved motstrid. Det ville derfor vært naturlig å harmonisere og reflektere begge disse regelsettene i virksomhetens internkontrollrutiner for informasjon og innsyn. Informasjon og innsyn er regulert i instruksens kapittel 8. Hovedreglene om informasjon og innsyn er i stor grad en omskriving av personopplysningslovens bestemmelser. 15 av 23

16 Når det gjelder unntakene som er beskrevet, mener tilsynet at disse beror på uriktig forståelse av personopplysningsloven (og eventuelt forsikringsavtalelovens) bestemmelser. Disse kommenteres løpende: Det finnes ikke støtte i personopplysningsloven for å begrense innsynsretten til «hva den registrerte særlig har behov for innsyn i», jf instruksens pkt 8.1 annet avsnitt. Unntaket for interne dokumenter i personopplysningsloven 23 litra e kan som utgangspunkt også påberopes av private virksomheter. Hvilke dokumenter hvis opplysninger kan unntas fra innsynsretten er imidlertid uklart, jf instruksens pkt 8.2 litra a. Det medfører fare for at unntaket benyttes i større grad enn loven gir anledning til. Unntaket i personopplysningsloven 23 litra b, for opplysninger som det er påkrevd å hemmeligholde av hensyn til forebygging, etterforskning, avsløring og rettslig forfølgning av straffbare handlinger, gir kun anvisning på en utsatt informasjonsplikt. Plikten oppstår når det ikke lenger er påkrevd med hemmelighold, for eksempel når saken er ferdig utredet. Det skal også bemerkes at uttrykket «påkrevd» tilsier en streng nødvendighetsvurdering. Disse reservasjonene reflekteres ikke i virksomhetens instruks. Datatilsynet legger forøvrig til grunn at unntaket i forsikringsavtaleloven 8-1 må forstås på samme måte som personopplysningslovens unntak, og ikke gir grunnlag for unntak utover de som personopplysningsloven fastsetter. Avslutningsvis vil tilsynet bemerke at personopplysningslovens 24 regulerer hvordan informasjonen skal gis. Tilsynet kan ikke se at instruksens pkt 8.1 siste avsnitt er i overensstemmelse med denne Informasjon som gis ved avtaleinngåelse egenerklæringsskjema Ved avtaleinngåelse plikter den forsikrede å avgi en egenerklæring, og gi Gjensidige fullmakt til innhenting av personopplysninger som er nødvendige for å vurdere risiko. Datatilsynet kan ikke se at det i den forbindelse gis konkret informasjon om at virksomheten også henter inn opplysninger for å avdekke svik gjennom skjult observasjon, herunder med bruk av bilde og film. Det skal uansett bemerkes at denne informasjonen ikke kommuniseres systematisk til andre registrerte enn den som inngår avtalen Verifikasjon Under kontrollen fremkom det at det ikke blir gitt informasjon om utredningstiltak som har vært foretatt, dersom det ikke har resultert i opplysninger som har fått betydning for avtaleinngåelsen eller oppgjøret. Datatilsynet spurte en utreder om hvorvidt det ble gitt informasjon om og innsyn i hennes vurderinger av utredningssamtalen, slik disse fremgår av dokumentet «egenrapport i skadesak». Det ble opplyst at det ikke gis rutinemessig informasjon om at dette dokumentet eksisterer, men at den som har vært inne til samtale trolig vil få innsyn i dokumentet dersom 16 av 23

17 han allikevel ber om det. Dokumentet «Samtalereferat» ble i alle tilfeller sendt til den som har vært inne til utredningssamtale Konklusjon om informasjon og innsyn Det er først og fremst den behandlingsansvarlige som skal vurdere hvorvidt og på hvilke vilkår den registrerte skal gis informasjon og innsyn. Disse vurderingene skal reflekteres i de rutiner som pliktes etablert i medhold av personopplysningslovens 14. Virksomhetens instruks inneholder uklare bestemmelser, som på sentrale punkter er i direkte strid med personopplysningslovens bestemmelser. Det er etter dette høyst tvilsomt hvorvidt alle de registre får informasjon og innsyn i den utstrekning de har krav på Databehandleravtaler ( 15) I henhold til personopplysningslovens 15 plikter den behandlingsansvarlige å inngå skriftlige avtaler med eventuelle databehandlere som behandler personopplysninger på vegne av virksomheten Instruks om behandling av personopplysninger I Instruks for behandling av personopplysninger er dette regulert i pkt 9.4 om utkontraktering, hvor det er bestemt at det skal inngås en databehandleravtale «før personopplysninger overføres til en annen databehandler». Virksomheten har utarbeidet en standard databehandleravtale, som tilpasses det enkelte oppdraget. Datatilsynet vil bemerke at ordlyden kan virke misvisende, idet plikten til å inngå databehandleravtaler ikke er begrenset til de tilfeller hvor opplysninger «overføres» til en databehandler, men også gjelder når noen henter inn opplysninger på vegne av virksomheten Verifikasjon Under kontrollen ble det forklart at Gjensidige benytter en rekke databehandlere. De fleste er knyttet til drift og vedlikehold av virksomhetens informasjonssystemer. Det ble forklart at alle disse forholdene var regulert i databehandleravtaler, som kunne fremlegges for tilsynet. Det fremkom imidlertid at virksomheten ikke har inngått databehandleravtaler med eksterne utredere, som benyttes på oppdragsbasis. Disse har kun signert en taushetserklæring. Disse eksterne utrederne benytter sitt eget utstyr i sitt utredningsarbeid. Krav til sikkerhet ved behandling av personopplysninger skal nedfelles i databehandleravtale. Dette skal omfatte sikkerhetskrav til eksternes utstyr «Rammeavtale mellom FNO og Oppdragstaker konsulentoppdrag vedrørende utredning» Etter kontrollen fikk Datatilsynet oversendt «Rammeavtale mellom FNO og Oppdragstaker konsulentoppdrag vedrørende utredning». Datatilsynet kan ikke se at den fremlagte avtalen alene tilfredsstiller personopplysningslovens 15 om databehandleravtale. 17 av 23

18 Det vises til at den behandlingsansvarlige (Gjensidige) ikke er angitt å være part i avtalen. Det ble heller ikke fremlagt noen avtale mellom FNO og Gjensidige, som enten gir Gjensidige partsrettigheter eller som gir FNO adgang til å handle på Gjensidiges vegne. Endelig skal det bemerkes at Gjensidige ikke har lagt frem oppdragsbeskrivelser, utarbeidet i henhold til avtalens pkt 1.2. En oppdragsbeskrivelse antas utgjøre en vesentlig del av avtalen i det enkelte tilfellet, idet den skal angi de nærmere rammene for behandlingen, både mht metoder og omfang (jf også avtalens punkt 4.2). Da den fremlagte rammeavtalen ikke ble nevnt under kontrollen, og er av ny dato (17. januar 2013), mener tilsynet det er tvilsomt om avtalen ennå er tatt i bruk av eller gjort gjeldende for Gjensidige Konklusjon vedrørende databehandleravtaler Manglende databehandleravtaler med eksterne utredere innebærer et brudd på personopplysningsloven 15. Dette har som konsekvens at Gjensidige mangler kontroll med den behandling av personopplysninger som disse utrederne gjennomfører på virksomhetens vegne Konsesjon ( 33) Konsesjonsplikt I henhold til personopplysningsloven 33 jf personopplysningsforskriften 7-2 foreligger det konsesjonsplikt for tilbydere av forsikringstjenester, for deres behandling av personopplysninger i forbindelse med «kundeadministrasjon, fakturering og gjennomføring av avtaler». Gjensidige forsikring har hatt konsesjon både etter personregisterloven og personopplysningsloven. Gjeldende konsesjon ble gitt den 22. juli Konsesjonen er en standardkonsesjon, utarbeidet i samarbeid med bransjen. Datatilsynet legger under sterk tvil til grunn at konsesjonen også omfatter behandlinger som har til formål å avdekke svik og andre misligheter i forsikringsforholdet (utredningsvirksomhet). Selv om slik virksomhet ikke er beskrevet i detalj, er det å avdekke svik sporadisk nevnt både i søknaden og i merknader til konsesjonen Etterlevelse av konsesjonsvilkårene Datatilsynet konsesjon er gitt under forutsetning av at personopplysningslovens bestemmelser etterleves ved behandlingen. Det er også angitt enkelte nærmere vilkår, fastsatt med hjemmel i personopplysningsloven 35. I forbindelse med at Gjensidige søkte om konsesjon i 2003 ble det krysset av for at det var etablert internkontrollrutiner i samsvar med personopplysningsloven 14 (søknadsskjemaets kapittel 2). Ivaretagelse av internkontrollplikten ble utdypet i vedlegget til søknaden. Som det fremgår av denne rapportens pkt mener Datatilsynet at det foreligger store og alvorlige mangler ved virksomhetens internkontroll. 18 av 23

19 Konklusjon vedrørende konsesjon Mangelfull internkontroll representerer et klart brudd på konsesjonens vilkår. Internkontrollplikten er en sentral plikt som er etablert for at den behandlingsnansvarlige skal ha løpende kontroll med at lovens øvrige bestemmelser etterleves. Tilfredsstillende internkontroll er derfor et ufravikelig krav, også når Datatilsynet behandler konsesjonssøknader i henhold til personopplysningslovens 33. Når internkontrollen er så mangelfull som i dette tilfellet, kan ikke Datatilsynet ha tillit til at virksomheten etterlever øvrige vilkår i personopplysningsloven. Det foreligger etter tilsynets vurdering en klar og uakseptabel risiko for at de registrertes personvern krenkes gjennom lovstridig behandling av personopplysninger. Datatilsynet ser seg derfor nødt til å vurdere om gjeldende konsesjon kan videreføres. 6.3 Krav om informasjonssikkerhet I henhold til personopplysningsloven 13 skal virksomheten, gjennom planlagte og systematiske, tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. Tiltakene skal være dokumenterte. Kravene til informasjonssikkerhet er utdypet i personopplysningsforskriften kapittel Sikkerhetsledelse, mål og strategi I henhold til personopplysningsforskriften 2-3 skal formålet med behandling av personopplysninger og overordnede føringer for bruk av informasjonsteknologi beskrives i sikkerhetsmål. Valg og prioriteringer skal beskrives i en sikkerhetsstrategi. Bruk av informasjonssystemet skal jevnlig, eksempelvis årlig, gjennomgås for å kartlegge om det er hensiktsmessig for virksomhetens behov, og om sikkerhetsstrategien gir tilfredsstillende informasjonssikkerhet som resultat. Sikkerhetsstrategier vil omfatte grunnleggende beslutninger om organisering og gjennomføring av sikkerhetsarbeidet i virksomheten. Bestemmelsene innebærer blant annet at behandlingsansvarlig skal etablere en sikkerhetsorganisasjon i virksomheten Funn At det skal etableres en sikkerhetspolicy for Gjensidige er nedfelt i dokumentet Konsernkrav informasjonssikkerhet. Selve sikkerhetspolicyen har ikke Datatilsynet sett på under denne kontrollen. Datatilsynet har valgt å ikke forfølge dette ytterligere i denne kontrollen Konklusjon Ingen avvik konstatert Risikovurdering I henhold til personopplysningsforskriften 2-4 skal det føres en oversikt over hvilke personopplysninger som behandles. Det skal fastsette kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger. På bakgrunn av dette skal den behandlingsansvarlige foreta risikovurderinger for å kartlegge sannsynligheten for og 19 av 23

20 konsekvenser av sikkerhetsbrudd. Ny risikovurdering skal gjennomføres ved endringer som har betydning for informasjonssikkerheten. Resultatet av risikovurderingen skal sammenlignes med de fastlagte kriterier for akseptabel risiko. Resultatet av risikovurderingen skal dokumenteres Funn Det framkommer av Gjensidiges dokument Konsernkrav informasjonssikkerhet at risikovurderinger skal gjennomføres etter kravene i personopplysningsloven. Dokumentet konkretiserer imidlertid ikke hvordan dette skal gjøres eller hvor ofte det skal skje. Under den stedlige kontrollen framkom det at det ikke er gjennomført risikovurdering som omfatter utredningsvirksomheten i løpet av den tiden leder for utredning har hatt jobben. Det innebærer at utredningsområdet ikke er risikovurdert på minimum 4 ½ år. Etter kontrollen ettersendte Gjensidige en risikovurdering av oppgjørsområdet fra Denne omfatter verken utredningsarbeid eller sikring av personopplysninger på oppgjørsområdet Konklusjon Manglende risikovurdering av den behandling av personopplysninger som skjer i forbindelse med Gjensidiges utredningsvirksomhet er et avvik fra personopplysningsloven 13, ref. personopplysningsforskriften 2-4, 2. ledd Sikkerhetsrevisjon Virksomheten plikter i henhold til personopplysningsforskriften 2-5 å gjennomføre sikkerhetsrevisjon jevnlig, eksempelvis årlig. Sikkerhetsrevisjon skal omfatte vurdering av organisering og at sikkerhetstiltak som er besluttet etablert faktisk er iverksatt og fungerer etter sin hensikt. Resultatet av sikkerhetsrevisjon skal dokumenteres. Sikkerhetsrevisjon er et viktig grunnlag for kontinuerlig forbedring av informasjonssikkerhet i virksomheten. Resultatet fra sikkerhetsrevisjonen vil være en del av grunnlaget for ledelsens gjennomgang jf. personopplysningsforskriften Funn Det ble hevdet under den stedlige kontrollen at Gjensidige har gjennomført internrevisjoner av utredningsvirksomheten som del av revisjon av oppgjørsarbeidet i virksomheten. Gjensidige ble bedt om å ettersende eksempler på gjennomførte revisjoner som er personvernrelevante. Datatilsynet mottok ett dokument som inneholder en henvisning til et avvik vedrørende sletteplikt, jf konsesjon gitt av Datatilsynet. Dette er en sletteplikt som Datatilsynet selv påpekte i en kontrollsak fra 2010 med påfølgende purring fra Datatilsynet overfor Gjensidige i 2011 (se Datatilsynets sak 10/00236). Det oversendte materiellet kan ikke sies å tilfredsstille lovens krav til gjennomføring av sikkerhetsrevisjon. 20 av 23