Vedtak om pålegg - endelig kontrollrapport for AS Scan Detect - privat etterforskningsvirksomhet

Transkript

1 AS Scan Detect Postboks FORNEBU Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/ /MEP 12. november 2013 Vedtak om pålegg - endelig kontrollrapport for AS Scan Detect - privat etterforskningsvirksomhet Det vises til Datatilsynets kontroll hos AS Scan Detect 3. mai 2013 og Datatilsynets varsel om vedtak av 20. juni. Vurdering av tilsvar Datatilsynet har i brev av 10. september mottatt virksomhetens merknader til varselet og foreløpig kontroll, og har følgende kommentarer til det som fremkommer der: Kommentarer til foreløpig kontrollrapport Ad punkt 4 Om personopplysningslovens virkeområde Datatilsynet har lagt til grunn at selskapets s behandlinger i mange tilfeller faller utenfor loven, jf dennes 3 annet ledd, idet opplysningene behandles på vegne av en enkelt person for dennes «rent personlige eller andre private formål». Datatilsynet er enig i at også andre sakstyper/oppdrag enn de som er behandlet i kontrollrapporten, etter omstendighetene kan omfattes av dette unntaket. Det må bero på en konkret vurdering i det enkelte tilfellet, av den som får et mulig ansvar etter personopplysningsloven. Datatilsynet har bare vurdert to oppdragstyper i denne omgang, og våre konklusjoner gjelder følgelig bare for disse. Når selskapet påtar seg oppdrag fra en advokat, vil selskapets behandling etter vår vurdering skje på vegne av v advokaten. Dersom behandlingen faller innenfor lovens virkeområde vil det være naturlig å se advokaten som behandlingsansvarlig. I så tilfelle blir Scan-Detect å anse som dennes databehandler, jf personopplysningslovens 2 nr 5. En databehandler utleder sine rettigheter og plikter ved behandlingen, fra sin oppdragsgiver. Også advokatens oppdrag må av advokaten selv holdes opp mot unntaket i personopplysningslovens 3 annet ledd (jf over). Det må i tillegg vurderes hvorvidt saken «behandles eller avgjøres i medhold av rettspleielovene», jf unntaket i personopplysningsforskriftens 1-3. Det skal i den forbindelse bemerkes at det er høyst uklart hvor langt advokaters virksomhet «som sådan» kan sies å være fullt ut regulert i Postadresse: Kontoradresse: Telefon: Telefaks: Org.nr: Postboks 8177 Dep Tollbugt OSLO Hjemmeside:

2 rettspleielovene. Også dette må bero på en konkret vurdering av oppdragets art. Dersom loven kommer til anvendelse plikter advokaten å inngå en databehandleravtale med Scan Detect, for deres behandling av personopplysninger, jf personopplysningslovens 15. Scan Detect AS kan heller ikke uten en slik avtale, behandle opplysninger på vegne av advokaten. Datatilsynet har justert ordlyden i kontrollrapporten noe, men finner ikke grunnlag for å endre sine konklusjoner. Avsnitt rett til innsyn Scan Detect har i etterkant av kontrolltidspunktet utformet rutine for oppfyllelse av begjæring om innsyn. Datatilsynet har mottatt denne rutinen og konstaterer at avviket er lukket. Datatilsynet vil derfor ikke fatte vedtak som varslet. Avsnitt sletting Scan Detect har i etterkant av kontrolltidspunktet utformet ny oppdragsavtale som omfatter slettekrav og utformet en rutine for oppfyllelse av lovens krav til sletting. Datatilsynet konstaterer at avviket er lukket. Datatilsynet vil derfor ikke fatte vedtak som varslet. Avsnitt sikkerhetsledelse, mål og strategi Scan Detect har i etterkant av kontrolltidspunktet inkludert momenter for å oppfylle krav til sikkerhetsmål og strategi. Datatilsynet konstaterer at avviket er lukket. Datatilsynet vil derfor ikke fatte vedtak som varslet. Avsnitt risikovurdering Scan Detect har i etterkant av kontrolltidspunktet inkludert en bestemmelse i sin sikkerhetsinstruks om risikovurderinger. Virksomheten har også gjennomført en risikovurdering. Datatilsynet konstaterer at avviket er lukket. Datatilsynet vil derfor ikke fatte vedtak som varslet. Avsnitt sikkerhetsrevisjon Scan Detect har i etterkant av kontrolltidspunktet inkludert en bestemmelse i sin sikkerhetsinstruks om gjennomføring av sikkerhetsrevisjoner. Det framstår som virksomheten ikke ennå har gjennomført en slik revisjon. Datatilsynet vil derfor fatte vedtak som varslet. Avsnitt bruk av e-post Scan Detect har i etterkant av kontrolltidspunktet skjerpet inn sin rutine for håndtering av oppstartsfasen av nye oppdrag og bruker ikke lenger e-post til dette. I den grad potensielle kunder ønsker å benytte e-post skal vedkommende oppfordres til å kryptere informasjonen. Datatilsynet konstaterer at avviket er lukket. Datatilsynet vil derfor ikke fatte vedtak som varslet. Datatilsynet har foretatt mindre justering av den foreløpige rapporten, men de er uten betydning for Datatilsynets konklusjoner. 2

3 Vedtak om pålegg Med hjemmel i personopplysningsloven 46 gir Datatilsynet følgende pålegg: 1. Virksomheten må gjennomføre sikkerhetsrevisjoner, jf. personopplysningsloven 13, jf. personopplysningsforskriften 2-5. Det vises for øvrig til tilsynsrapportens Virksomheten må etablere tilfredsstillende informasjonssikkerhet hva gjelder konfidensialitet og tilgjengelighet ved arkivering av avsluttede saker til journalistiske formål ved at det etableres sikkerhetstiltak, jf. personopplysningsloven 13, jf. personopplysningsforskriften 2-11 og Det vises for øvrig til tilsynsrapportens Datatilsynet gir frist for gjennomføring av pålegget/ene til 1. mars Virksomheten må innen nevnte dato bekrefte skriftlig overfor Datatilsynet at pålegget er gjennomført. Med mindre annet er særskilt angitt kreves det ikke ytterligere dokumentasjon på at pålegget er gjennomført. Det gjøres imidlertid oppmerksom på at Datatilsynet vil kunne foreta en etterkontroll av dette. Klageadgang Dette vedtaket kan påklages i henhold til forvaltningslovens bestemmelser. Eventuell klage må fremsettes overfor Datatilsynet innen tre uker etter at vedtaket ble mottatt. Datatilsynet gjør i den forbindelse oppmerksom på at virksomheten/de har rett til innsyn i sakens dokumenter, jf. forvaltningsloven 18. Personvernnemnda er klageorgan, og skal behandle saken dersom Datatilsynet ikke finner grunn til å gjøre om sitt eget vedtak. Med vennlig hilsen Helge Veum avdelingsdirektør Marius Engh Pellerud rådgiver Vedlegg: Endelig kontrollrapport 3

4 Saksnummer: 13/00327 Dato for kontroll: Rapportdato: Endelig kontrollrapport Kontrollobjekt: AS Scan Detect Sted: Vækerøveien 75, Oslo Utarbeidet av: Kathrine Ekeberg Cecilie Rønnevik Marius Engh Pellerud 1 Innledning Datatilsynet gjennomførte kontroll hos AS Scan Detect den 3. mai Kontrollen ble utført med hjemmel i personopplysningslovens 44, jf. 42, 3. ledd. Temaet for kontrollen var virksomhetens behandling av personopplysninger, særlig i forbindelse med privat etterforskning. Kontrollen fant sted ved virksomhetens faste forretningsadresse. I det følgende vil Datatilsynet beskrive de faktiske forhold som ble avdekket under kontrollen. Kontrollrapporten danner grunnlag for Datatilsynets vurderinger og eventuelle pålegg. 2 Tilstede under kontrollen Fra virksomheten: - Ola Thune, daglig leder Fra Datatilsynet: - Marius Engh Pellerud, rådgiver - Kathrine Ekeberg, rådgiver - Cecilie Rønnevik, fagdirektør 3 Generelt AS Scan Detect er heleid av Ola Thune AS, som igjen er et rent holdingselskap eid av Ola Thune og Haleh Thune. Selskapet har en ansatt og knytter i tillegg til seg enkeltpersoner når det er nødvendig for å løse ulike oppdrag. Selskapet driver utredning i sivil- og straffesaker og tilbyr rådgivning innen samme saksområder. AS Scan Detect tilbyr sine tjenester både til privatpersoner og virksomheter. Selskapets portefølje består i dag av utredning, analyser, bevisvurdering og kontroll, blant annet i savnetsaker og gjenopptagelsessaker. I gjenopptagelsessaker samarbeider virksomheten med advokaten til den dømte. 1 av 12

5 4 Om formålet med behandlingene og personopplysningslovens virkeområde 4.1 Unntaket for private formål personopplysningslovens 3 annet ledd I henhold til personopplysningslovens 3 annet ledd gjelder ikke loven for «behandling som den enkelte foretar for et rent personlig eller annet privat formål». Unntaket er ment å verne om den enkeltes personlige handlefrihet. Unntaket kan bare påberopes av privatpersoner som opptrer som sådan. AS Scan Detect tar en rekke oppdrag fra privatpersoner Gjenopptagelsessaker Virksomheten utfører oppdrag fra personer som er dømt for en straffbar handling. Formålet med behandlingen er i slike tilfelle å fremskaffe tilstrekkelig bevis til å begjære saken gjenopptatt. Det behandles opplysninger om oppdragsgiver selv og om andre aktører fra straffesaken (typisk fornærmede, andre mistenkte eller siktede, pårørende og vitner). Det hentes blant annet inn opplysninger fra straffesaken, med hjemmel i påtaleinstruksen kap 4. Datatilsynet vurderer det slik at AS Scan Detect ikke har kompetanse til å beslutte formålet med behandlingen og hvilke hjelpemidler som skal brukes, men utleder sin kompetanse fra den dømte gjennom en skriftlig fullmakt og oppdragsavtale. Behandlingen gjennomføres på vegne av den private. Datatilsynet vurderer det videre slik at privatpersonens formål er å anse som privat, i personopplysningslovens forstand. Den enkeltes adgang til å samle dokumentasjon for å søke å bevise sin uskyld etter å ha blitt dømt i en straffesak, må være grunnleggende i en rettsstat. De vilkår som personopplysningsloven oppstiller vil i praksis være til hinder for slik aktivitet. Dette gjelder både kravet til rettslig grunnlag, ivaretagelse av de registrertes rettigheter, og forholdet til tilsynsmyndighetene (konsesjon og kontroll). Sterke reelle hensyn taler derved for at behandlingen ikke bør underlegges den offentligrettslige regulering som personopplysningsloven representerer. Datatilsynet har kommet til at den behandling som AS Scan Detect gjennomfører med det formål å etablere gjenopptagelsesaker faller utenfor personopplysningslovens virkeområde, jf dennes 3 annet ledd. Dette gjelder bare så langt behandlingen er hjemlet i en avtale mellom privatpersonen og virksomheten. I den grad AS Scan Detect treffer selvstendige beslutninger, for eksempel vedrørende lagring av opplysningene etter at oppdraget er fullført, må virksomheten allikevel svare som behandlingsansvarlig for dette etter personopplysningslovens bestemmelser Søk etter savnede personer Virksomheten utfører også oppdrag fra pårørende til personer som er erklært savnet. Formålet er å finne vedkommende. Det behandles typisk opplysninger om den savnede og dennes familie og omgangskrets. Det hentes blant annet inn opplysninger fra politiets etterforskning. Datatilsynet vurderer det slik at AS Scan Detect ikke har kompetanse til å beslutte formålet med behandlingen og hvilke hjelpemidler som skal brukes, men utleder sin kompetanse fra 2 av 12

6 oppdragsgiver gjennom en skriftlig fullmakt og oppdragsavtale. Behandlingen gjennomføres på vegne av den private. Datatilsynet vurderer det videre slik at privatpersonens formål er å anse som privat, i personopplysningslovens forstand. Pårørende bør ha vid adgang til å samle dokumentasjon og lete etter en savnet person. De vilkår som personopplysningsloven oppstiller vil i praksis være til hinder for slik aktivitet. Dette gjelder både kravet til rettslig grunnlag, ivaretagelse av de registrertes rettigheter, og forholdet til tilsynsmyndighetene (konsesjon og kontroll). Sterke reelle hensyn taler derved for at behandlingen ikke bør underlegges den offentligrettslige regulering som personopplysningsloven representerer. Datatilsynet har kommet til at den behandling som AS Scan Detect gjennomfører med det formål å finne savnede personer faller utenfor personopplysningslovens virkeområde, jf dennes 3 annet ledd. Dette gjelder bare så langt behandlingen er hjemlet i en avtale mellom den pårørende og virksomheten. I den grad AS Scan Detect treffer selvstendige beslutninger, for eksempel vedrørende lagring av opplysningene etter at oppdraget er fullført, må virksomheten allikevel svare som behandlingsansvarlig for dette etter personopplysningslovens bestemmelser. 4.2 Behandlinger som er omfattet av personopplysningsloven Behandling som selskapet gjennomfører, og som i tid eller formål strekker seg utover et angitt oppdrag fra private, er i utgangspunktet omfattet av personopplysningsloven (jf dog unntaket for journalistisk virksomhet som er berørt i pkt 4.3). Under kontrollen fremkom det at virksomheten også behandler opplysninger på egne vegne, på en slik måte at personopplysningsloven kommer til anvendelse og virksomheten har et behandlingsansvar E-postkommunikasjon AS Scan Detect kommuniserer på epost, blant annet med personer som tar kontakt for et mulig oppdrag, tips eller lignende. I den forbindelse benyttes adressene office@thunesecurity.no, tips@thunesecurity.no og ola@thunesecurity.no. Selskapet vil være ansvarlig for den kommunikasjon som inngår i slik virksomhet som ellers faller innenfor personopplysningslovens anvendelsesområde. Dersom selskapet initierer bruk av epost i den forbindelse, må lovens krav til informasjonssikkerhet være oppfylt, jf dennes 13. Se for øvrig denne rapportens avsnitt Unntaket for journalistisk virksomhet personopplysningslovens 7 Datatilsynet vurderer det slik at AS Scan Detect er behandlingsansvarlig for oppbevaring av opplysninger, utover det som er avtalt med og gjennomføres for oppdragsgivers private formål 1. 1 Jf pkt av 12

7 I henhold til personopplysningslovens 7 gjelder bare deler av personopplysningsloven for behandling som skjer utelukkende for kunstneriske, litterære og journalistiske formål. Bestemmelsen er ment å etablere et vern av ytringsfriheten. Under kontrollen opplyste Ola Thune at virksomheten oppbevarte dokumenter (inneholdende personopplysninger) fra oppdrag som må anses å være avsluttet. Enkelte av sakene er av en slik karakter at han ønsker å skrive bøker eller lage TV-programmer, eller på annen måte skape offentlig oppmerksomhet om dem. Etter hans vurdering vil dokumentene underbygge kritikkverdige forhold, myndighetsmisbruk og straffbare handlinger blant annet i politi og påtalemyndighet. Ola Thune har også tidligere utgitt bøker og laget tv-programmer basert på enkeltsaker han har vært involvert i. Datatilsynet har kommet til at det formålet som er oppgitt er journalistisk eller kunstnerisk, og at oppbevaringen og den videre behandlingen derved er vernet av ytringsfriheten. Dette gjelder bare så lenge formålet er aktuelt. Når det er på det rene at dette formålet allikevel ikke vil bli realisert, vil derved loven gjelde fullt ut. Personopplysningslovens bestemmelser om blant annet informasjonssikkerhet og internkontroll gjelder uansett for behandlinger som er vernet av ytringsfriheten. Det vises til kontrollrapportens avsnitt 5 og spesielt avsnitt Unntaket for behandling som skjer i medhold av rettspleielovene Forut for kontrollen anførte virksomheten at de behandler personopplysninger i saker som gjelder straffeprosess, og at personopplysningsloven derved ikke kommer til anvendelse. Det ble vist til personopplysningslovens 3 tredje ledd jf personopplysningsforskriftens 1-3 hvoretter loven ikke gjelder for «saker som behandles eller avgjøres i medhold av rettspleielovene (domstolloven, straffeprosessloven, tvisteloven og tvangsfullbyrdelsesloven mv.)». Datatilsynet kan ikke se at selskapet er gitt selvstendig kompetanse i straffeprosessloven, til å behandle personopplysninger. Eventuell kompetanse må derved utledes fra de retts- og pliktsubjekter som loven omhandler. Når selskapet behandler opplysninger på vegne av pårørende (savnetsaker), mistenkte, siktede eller dømte (straffesaker), har tilsynet kommet til at behandlingen faller utenfor personopplysningsloven etter dennes 3 annet ledd, jf pkt 4.1. Datatilsynet er ikke kjent med at selskapet behandler opplysninger på vegne av andre retts- og pliktsubjekter etter straffeprosessloven, på en slik måte at personopplysningsloven settes til side ved behandlingen. Hvilket ansvar Scan-Detect eventuelt har ved oppdrag fra advokater må avklares konkret, både i lys av lovens anvendelsesområde og oppdragsavtalen. For behandling som faller innenfor lovens anvendelsesområde, vil selskapet være å anse som databehandler for advokaten, jf 2 nr 5. Det foreligger da en plikt til å inngå databehandleravtaler, jf 15 4 av 12

8 5 Funn og avvik fra lovbestemte krav til behandling av personopplysninger 5.1 Internkontroll Systematisk internkontroll Virksomheten har etter personopplysningsloven 14 plikt til å etablere og holde ved like systematiske tiltak som er nødvendige for å oppfylle kravene i personopplysningsloven regelverk. Bestemmelsen er utdypet i personopplysningsforskriften kapittel 3. Scan Detect overleverte under den stedlige kontrollen dokumentet Rutiner/Instruks for Scan Detect (sist revidert 10. mars 2013). Dette dokumentet behandler enkelte sider av regelverkets krav til internkontroll og informasjonssikkerhet, men går også noe ut over dette. Her beskrives blant annet virksomhetens tjenester, rutiner for kundehåndtering, etablering av oppdragsbeskrivelse og avtale, sletterutiner, etiske føringer, håndtering av opplysninger og bevis, ordning av saksdokumenter, konfidensialitet, regler for bruk av IT og fysisk sikring av virksomhetens kontorer. Dokumentet behandler kort de lover som Scan Detect er eller kan være omfattet av (straffeloven, straffeprosessloven, tvisteloven, personopplysningsloven og arbeidsmiljøloven). Det framkommer av dokumentet at også andre lover kan være relevante. Et eget avsnitt omhandler virksomhetens forhold til personopplysningsloven. Nevnte dokument er relativt kort sett i forhold til stort antall tema som behandles. De fleste tema behandles overfladisk. Likevel vurderer Datatilsynet det slik at dokumentet oppfyller lovens krav om nødvendige tiltak sett i forhold til virksomhetens størrelse og at det kun er en ansatt, jf. personopplysningsloven 14, 1. ledd Oversikt over behandlinger og behandlingsgrunnlag For at den behandlingsansvarlige skal ha oversikt over omfanget av sitt ansvar må virksomheten ha en oversikt over hvilke behandlinger av personopplysninger som foretas og hvilke opplysninger som inngår i disse. Oversikten er nødvendig for å sikre at grunnvilkårene i personopplysningsloven 11 er oppfylt. Videre danner oversikten grunnlag for utarbeidelse av virksomhetens sikkerhetsmål og sikkerhetsstrategi og vil være underlag ved virksomhetens risikovurderinger. Kravet til oversikt over behandlinger følger derfor også av personopplysningsforskriften 2-4 og 3-1. Oversikten over behandlinger må blant annet omfatte den enkelte behandlingens behandlingsgrunnlag (personopplysningsloven 8 og 9) samt formålet med behandlingen ( 11). Alternativt må angivelse av behandlingsgrunnlag og formål fremkomme et annet sted i dokumentasjonen. 5 av 12

9 og vurdering Datatilsynet anbefaler at en oversikt over behandlinger av personopplysning gjøres i tabellform. Scan Detect har ingen oversikt over behandlinger som gjøres i virksomheten i denne formen. Enkelte behandlinger er beskrevet tekstlig i dokumentet Rutiner/Instruks for Scan Detect. Det at selskapet kun har en ansatt, har et begrenset antall saker og det faktum at det meste av selskapets behandling av personopplysninger ikke er omfattet av personopplysningsloven peker i retning av at lovens krav om oversikt over behandlinger av personopplysninger ivaretas av dette dokumentet. Datatilsynet vil derfor ikke konstatere et avvik i dette tilfellet, men vil likevel anbefale Scan Detect å utforme og å holde ved like en oversikt over alle behandlinger av personopplysninger, også de som ikke er omfattet av personopplysningsloven Rett til innsyn Regelverkets krav Det følger av personopplysningsloven 18, 1. ledd at enhver som ber om det skal få vite hva slags behandling av opplysninger behandlingsansvarlig foretar. Den registrertes rett til innsyn følger også av bestemmelsens andre ledd. Virksomheten skal etter personopplysningsloven 3-1, tredje ledd bokstav d ha rutiner for å sikre at innsyn foretas i samsvar med bestemmelsene i loven. Unntak fra retten til innsyn følger av personopplysningsloven 18 siste ledd og 23. : Scan Detect manglet dokumenterte rutiner for oppfyllelse av begjæringer om innsyn etter personopplysningsloven. Selv om den faktiske utførelsen av innsynshåndtering ikke behøver å være regulert i detalj, skal det framgå av virksomheters dokumenter at dette er en relevant plikt. Manglende rutiner for håndtering av innsyn er et avvik, jf. personopplysningsloven 18, 1. ledd Informasjonsplikt Regelverkets krav Det følger av personopplysningsloven ledd at når det samles inn opplysninger fra den registrerte selv skal den behandlingsansvarlige av eget tiltak gjennomføre informasjonstiltak overfor den registrerte. Virksomheten skal etter personopplysningsloven 3-1, 3. ledd bokstav d) ha rutiner for å sikre at informasjonsplikten foretas i samsvar med bestemmelsene i loven. 6 av 12

10 Unntak fra informasjonsplikten følger av personopplysningsloven 19 siste ledd og personopplysningsloven 23. Personopplysninger som behandles av Scan Detect som omfattes av personopplysningsloven vil i de fleste tilfeller være initiert av den registrerte. Derfor kan vi anta at Scan Detects behandling av personopplysninger er kjent av den registrerte, og at Scan Detect dermed i de fleste tilfeller er unntatt informasjonsplikt, jf. Personopplysningsloven 19, siste ledd Sletting Regelverkets krav I henhold til personopplysningsloven 11 bokstav e, jf 28, skal personopplysninger slettes når de ikke lenger er nødvendige for formålet med behandlingen. Virksomheten skal etter personopplysningsloven 3-1, bokstav c ha rutiner for å sikre at sletting foretas i samsvar med bestemmelsene i loven. Sletting er omtalt flere steder i dokumentet Rutiner/Instruks for Scan Detect. Rutinene er forholdsvis overfladiske og sier at elektroniske dokumenter skal slettes og at papirdokumenter enten skal oversendes oppdragsgiver eller makuleres når saken/ oppdraget er endelig avsluttet. Det framgår imidlertid verken av rutinen/instruksen eller av oppdragsavtalene Scan Detect har med sine oppdragsgivere når en sak er endelig avsluttet. Dermed er Scan Detects sletterutiner mangelfulle fordi det ikke reguleres når sletteplikten inntrer. Datatilsynet har anledning til å pålegge virksomheter å gjennomføre sletting. I dette tilfellet er ikke det et naturlig virkemiddel fordi det er uavklart hva som skal slettes og hva avtaler vil tilsi skal lagres. Datatilsynet anser det imidlertid slik at etter at sletterutiner som definerer når opplysninger skal slettes er etablert, skal Scan Detect gjennomføre sletting etter denne. Mangelfulle sletterutiner med definert ramme for når sletteplikt inntrer (dvs. når et oppdrag er avsluttet) er å anse som et avvik fra personopplysningsloven 11, bokstav e, jf. personopplysningsloven Krav om informasjonssikkerhet I henhold til personopplysningsloven 13 skal virksomheten gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. Tiltakene skal være dokumenterte. Kravene til informasjonssikkerhet er utdypet i personopplysningsforskriften kapittel Sikkerhetsledelse, mål og strategi 7 av 12

11 I henhold til personopplysningsforskriften 2-3 skal formålet med behandling av personopplysninger og overordnede føringer for bruk av informasjonsteknologi beskrives i sikkerhetsmål. Valg og prioriteringer skal beskrives i en sikkerhetsstrategi. Bruk av informasjonssystemet skal jevnlig, eksempelvis årlig, gjennomgås for å kartlegge om den er hensiktsmessig for virksomhetens behov og om sikkerhetsstrategien gir tilfredsstillende informasjonssikkerhet som resultat. Sikkerhetsstrategier vil omfatte grunnleggende beslutninger om organisering og gjennomføring av sikkerhetsarbeidet i virksomheten. Bestemmelsene innebærer blant annet at behandlingsansvarlig skal etablere en sikkerhetsorganisasjon i virksomheten. Scan Detect har ingen nedskrevne sikkerhetsmål. Dette er et avvik fra personopplysningslovens krav. Det faktum at selskapet kun har en ansatt gjør at kravene til omfanget av sikkerhetsmål senkes. Å etablere en sikkerhetsorganisasjon er ikke relevant i et enkeltpersonsforetak. Manglende sikkerhetsmål og strategi er et avvik, jf. personopplysningsloven 13, jf. personopplysningsforskriften Risikovurdering I henhold til personopplysningsforskriften 2-4 skal det føres en oversikt over hvilke personopplysninger som behandles. Det skal fastsette kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger. På bakgrunn av dette skal den behandlingsansvarlige foreta risikovurderinger for å kartlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd. Ny risikovurdering skal gjennomføres ved endringer som har betydning for informasjonssikkerheten. Resultatet av risikovurderingen skal sammenlignes med de fastlagte kriterier for akseptabel risiko. Resultatet av risikovurderingen skal dokumenteres. Datatilsynet har ikke identifisert rutiner for risikovurderinger hos Scan Detect. Datatilsynet har heller ikke fått oversendt gjennomførte risikovurderinger. Å gjennomføre risikovurderinger må sies å være nødvendig i alle virksomheter, også små, ettersom det er nødvendig for å fastsette nødvendig sikkerhet i virksomheten og for å vurdere sikkerhetstiltak opp mot risiki. Manglende risikovurderinger er et avvik, jf. personopplysningsloven 13, jf. personopplysningsforskriften Sikkerhetsrevisjon 8 av 12

12 Virksomheten plikter i henhold til personopplysningsforskriften 2-5 å gjennomføre sikkerhetsrevisjon jevnlig, eksempelvis årlig. Sikkerhetsrevisjon skal omfatte vurdering av organisering og at sikkerhetstiltak som er besluttet etablert faktisk er iverksatt og fungerer etter sin hensikt. Resultatet av sikkerhetsrevisjon skal dokumenteres. Sikkerhetsrevisjon er et viktig grunnlag for kontinuerlig forbedring av informasjonssikkerhet i virksomheten. Resultatet fra sikkerhetsrevisjonen vil være en del av grunnlaget for ledelsens gjennomgang jf. personopplysningsforskriften 2-3. Under Datatilsynets kontroll framkom det ikke at virksomheten har rutiner for gjennomføring av sikkerhetsrevisjoner eller at slike er gjennomført. At virksomheten ikke gjennomfører sikkerhetsrevisjoner er et avvik, jf. personopplysningsloven 13, jf. personopplysningsforskriften 2-5. Kravene til omfanget av slike revisjoner er imidlertid begrenset gitt virksomhetens størrelse Avvikshåndtering/sikkerhetsbrudd Det følger av personopplysningsforskriften 2-6 at virksomheten skal ha rutiner for avvikshåndtering. Resultatet fra avviksbehandling skal dokumenteres. Etter personopplysningsloven 2-8, andre ledd skal medarbeidere ha nødvendig kunnskap for å bruke informasjonssystemet i tråd med de rutiner som er fastlagt. Det er således et krav til at de foreliggende rutiner må implementeres i virksomheten. For de tilfeller der avvik har avdekket uautorisert utlevering av personopplysninger hvor konfidensialitet er nødvendig, skal Datatilsynet orienteres. Rutine for håndtering av avvik er behandlet i Rutine/instruks for AS Scan Detect Sikkerhetstiltak Personopplysningsloven 13 jf. personopplysningsforskriften 2-11, 2-12 og 2-13 stiller som krav til den behandlingsansvarlige at det gjennomføres tiltak som sørger for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet. Personopplysningsforskriftens 2-14 pålegger at det skal innføres sikkerhetstiltak som skal hindre uautorisert bruk av informasjonssystemet og gjøre det mulig å oppdage forsøk på slik 9 av 12

13 bruk. Videre pålegger forskriftens 2-8, 3. ledd og 2-14, 2. ledd at henholdsvis autorisert og uautorisert bruk av informasjonssystemet skal registreres Papirbasert nærarkiv Det som i denne rapporten omtales som nærarkiv er fysisk sett tre ulike arkiv. Alle er papirbasert. Scan Detect har ett papirarkiv i ulåste skap rett ved kontorpult. Her oppbevares saker som er under arbeid. Skapene kan lukkes slik at sakene (ofte oppbevart i permer) ikke er synlig for besøkende eller fra vinduet. Skapene er lett synlige fra store vinduer. Scan Detect har en arkivhylle som oppbevares på et kjøkken i direkte tilknytning til arbeidsrom/kontor. Her oppbevares saker når de fortsatt er pågående, men der det er mindre aktivitet i en periode. I denne arkivhylla ligger sakene åpent og ikke skjult. Denne hylla er ikke direkte synlig fra vindu, men er lett synlig for gjester og besøkende. I tillegg oppbevares enkelte saker i en ulåst bod i direkte tilknytning til kontor. Alle tre nærarkiv er plassert i Scan Detects kontorlokaler, som igjen er en del av Ola Thunes private hjem. Kontordelen av huset kan i følge Thune låses, men dette skjer i varierende grad. Hele huset er alarmert. Alarm er aktiv når huset er tomt og om natta. Datatilsynet antar at alle dokumenter i disse arkivene er unntatt fra reglene i personopplysningsloven (se avsnitt 4.1 i denne rapporten). Datatilsynet har derfor ikke anledning til å pålegge sikkerhetstiltak for å beskytte disse dokumentene. Vi vil likevel anbefale Scan Detect å styrke informasjonssikkerheten til de papirbaserte nærarkivene. Dette kan for eksempel gjøres ved å oppbevare alle saksdokumenter innelåst. Scan Detect oppbevarer også i mange tilfeller politidokumenter. Politidokumenter på utlån låses inn i egen safe. Slike dokumenter er som regel utlånt på vilkår. Datatilsynet har ingen kommentarer til dette Papirbasert fjernarkiv Scan Detect oppbevarer en del sakspapirer fra avsluttede saker for å kunne benytte materialet til journalistisk virksomhet senere (se avsnitt 4.3 i denne rapport). Slike dokumenter omtales i denne rapporten som et fjernarkiv. Disse opplysningene er omfattet av personopplysningslovens krav til internkontroll og informasjonssikkerhet. Dokumentene fra slike avsluttede saker oppbevares i papirformat i pappesker på et loft. Dette loftet er i tilknytning til Ola Thunes private hjem og Scan Detects virksomhetsadresse. Datatilsynet har ikke selv sett disse pappeskene, men ut fra informasjon gitt ved stedlig kontroll framgår det at dette arkivet inneholder store mengder opplysninger som avdekkes i 10 av 12

14 løpet av et oppdrag. Politidokumenter som skal returneres politiet er ikke en del av dette arkivet. Dokumentene i dette arkivet vil ofte være av en sensitiv karakter, for eksempel informasjon om straffbare forhold, jf. personopplysningsloven 2, nr 8, bokstav b. Opplysningene vil videre være av en art som har et høyt behov for konfidensialitetsbeskyttelse. Videre vil opplysningene kunne være viktig for den registrerte i ettertid, slik at tilgjengelighetskravet også må ivaretas. Manglende tiltak for beskyttelse av konfidensialitet og tilgjengelighet for personopplysninger som oppbevares i papirform på loft er et avvik fra personopplysningsloven 13, jf. personopplysningsforskriften 2-11 og Bruk av e-post For kommunikasjon over media utenfor den behandlingsansvarliges kontroll kreves det at kommunikasjonen skal krypteres eller sikres på annen måte, jf. personopplysningsforskriften I praksis medfører dette at kommunikasjon av identifiserbare beskyttelseverdige personopplysninger må krypteres dersom de kommuniseres over for eksempel e-post. Scan Detect benytter e-post i en oppstartsfase før et oppdrag starter. Fordi virksomheten ikke har egen sentralbordtjeneste forekommer det atpotensielle kunder bes om å beskrive sitt behov i en e-post til Scan Detect. Scan Detect benytter kun ukryptert e-post til slik kommunikasjon. Slike e-poster vil i noen tilfeller inneholde informasjon om straffbare forhold, og er dermed sensitive personopplysninger, jf. personopplysningsloven 2, nr 8, bokstav b. Det at publikum sender inn sensitive opplysninger på e-post er det vanskelig å sikre seg mot. Når Scan Detect derimot aktivt oppfordrer potensielle kunder om å oversende beskyttelsesverdige opplysninger må de sies å ha et ansvar for innholdet i kommunikasjonen. Scan Detect skal som behandlingsansvarlig enten legge til rette for sikker kommunikasjon, f.eks. ved bruk av kryptert e-post, eller ved å oppfordre til å benytte andre kommunikasjonskanaler. Scan Detects systematiske bruk av e-post for mottak av oppdragsbeskrivelser på usikret e-post er et avvik, jf. personopplysningsloven 13, jf. personopplysningsforskriften 2-11, 3. ledd Bruk av bærbar PC Under det pågående arbeidet med saker er det utstrakt bruk av bærbar PC. Denne PCen benyttes kun av Ola Thune. På denne ligger scannede dokumenter og egne nedtegnelser. Denne PCen er kun beskyttet av Windows-passord. Det er ingen kryptering eller andre former for konfidensialitetsbeskyttelse av denne. Så vidt Datatilsynet forstår er alle personopplysninger på denne PCen unntatt fra reglene i personopplysningsloven. Dermed har ikke Datatilsynet anledning til å pålegge sikkerhetstiltak 11 av 12

15 for opplysningene på denne. Datatilsynet vil likevel på det sterkeste anbefale Scan Detect å gjennomføre tekniske tiltak for å beskytte personopplysninger på denne maskinen. Dette vil for eksempel være kryptering av harddisk og installasjon av programvare for sikker sletting Opplæring I henhold til personopplysningsforskriften 2-8 skal medarbeideren ha nødvendig kunnskap for å bruke informasjonssystemet i samsvar med fastlagte rutiner. Dette medfører at de rutiner som utformes med bakgrunn i de øvrige bestemmelser må implementeres i virksomheten, og at de ansatte må gis den opplæring som er nødvendig for å kunne følge dem. Under Datatilsynets kontroll framkom det ikke at virksomheten har rutiner for gjennomføring av opplæring. Imidlertid vurderer Datatilsynet det slik at formalisert opplæring ikke i alle tilfeller er å anse som et nødvendig tiltak sett i forhold til virksomhetens størrelse og at det kun er en ansatt, jf. personopplysningsloven 14, 1. ledd Databehandlere En databehandler er i personopplysningsloven 2 nr 5 definert som den som behandler personopplysninger på vegne av den behandlingsansvarlige. Dersom andre virksomheter behandler personopplysninger på vegne av Scan Detect må det inngås en skriftlig databehandleravtale med virksomheten, jf. personopplysningsloven 15. I avtalen skal det fremgå at databehandleren plikter å gjennomføre tiltak for å ivareta tilfredsstillende informasjonssikkerhet, jf. personopplysningsloven 13. Databehandler har et selvstendig ansvar for å ha tilfredsstillende informasjonssikkerhet, for å verne personopplysningene som behandles på vegne av virksomheten, jf. personopplysningsloven 13. Databehandler kan bare behandle opplysninger i henhold til en avtale med virksomheten. Det framkom under stedlig kontroll at Scan Detect ikke benytter databehandlere i tradisjonell forstand. Scan Detect benytter imidlertid underleverandører. Slike underleverandører er folk med politibakgrunn som benyttes til konkrete oppdrag. Slik virksomhet er ikke omfattet av personopplysningsloven. 12 av 12