Justis- og politidepartementet Postboks 8005 Dep 0030 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 201104681/MKJ 11/00706-2/CBR 14. september 2011 Dato Høringsuttalelse - Forslag til ny forskrift om prøveordning med elektronisk kommunikasjon med domstolene og forslag om endringer i forskrift om postforkynning Datatilsynet viser til Justis- og politidepartementets høringsbrev av 10. juni 2011, med forslag til prøveordning med elektronisk kommunikasjon med domstolene. Datatilsynet har enkelte kommentarer til noen av punktene i høringen. Om personopplysningslovens virkeområde, jf 1-3 i personopplysningsforskriften Lovforslaget grunner på den forutsetning at personopplysningslovens bestemmelser ikke kommer til anvendelse for den aktuelle behandlingen, idet det vises til personopplysningsforskriftens 1-3. Datatilsynet savner en nærmere begrunnelse for departementets konklusjon, og kan ikke si seg fullt ut enig i denne. Unntaket i forskriftens 1-3 gjelder bare for saker som faktisk er under behandling i domstolene, og bare når behandlingen skjer i medhold av rettspleielovene. Det vises til bestemmelsens ordlyd: for saker som behandles eller avgjøres i medhold av rettspleielovene. Dette må for det første forstås slik at unntaket er tidsmessig avgrenset til å gjelde i saksbehandlingsperioden. Det vises i den forbindelse til den såkalte Grensepasseringssaken, som ble avgjort av Personvernnemnda i 2008 1. Nemnda uttaler følgende om forholdet mellom rettspleielovene og personopplysningsloven: Politiet og domstolenes behandling av personopplysninger under rettsbehandlingen frem til dom faller, er unntatt personopplysningsloven, men etter dom gjelder loven. Videre må ordlyden forstås slik at unntaket, selv i saksbehandlingsperioden, ikke gjelder for slik behandling av personopplysninger som ikke er knyttet til domstolenes saksbehandlingsvirksomhet. Det vises til at elektronisk forsendelse av dokumenter ikke naturlig faller inn under ordlyden: behandles eller avgjøres. Det vises videre til at unntaket er begrunnet i ønsket om en uavhengig rettspleie. At det oppstilles overordnede e systematiske krav om informasjonssikkerhet og internkontroll ved domstolenes kommunikasjonsvirksomhet 1 PVN,-2008-02 SSP Postadresse: Kontoradresse: Telefon: Telefaks: Org.nr: Hjemmeside:
kan etter tilsynets vurdering ikke anses å svekke den uavhengighet som er nødvendig i forbindelse med deres saksbehandlingsvirksomhet. Da departementets konklusjon fremstår nærmest ubegrunnet, og har betydning utover i foreliggende sak, vil Datatilsynet be departementet om å foreta en ny vurdering av om domstolenes kommunikasjon faller utenfor personopplysningslovens virkeområde. Nærmere om forslag til ny forskrift Datatilsynets kompetanse Departementet foreslår å gjøre kapittel 2 i personopplysningsforskriften gjeldende for domstolenes elektroniske kommunikasjon. Dette gjelder allikevel ikke 2-2, som gir Datatilsynet adgang til å treffe enkelte pålegg overfor den behandlingsansvarlige. Datatilsynet antar at det er hensynet til domstolenes uavhengighet som ligger til grunn for avgrensningen. Tilsynet kan ikke se at informasjonssikkerheten ved domstolenes kommunikasjon har en slik sammenheng med domstolenes saksbehandling at pålegg knyttet konkret til informasjonssikkerhet kan være egnet til å svekke domstolenes uavhengighet, jf over. Datatilsynet er av den oppfatning at noen bør føre en kontroll med at den behandlingsansvarlige etterlever forskriftens krav til informasjonssikkerhet. Det er nærliggende å legge denne kompetansen til Datatilsynet, som en fagmyndighet på informasjonssikkerhet. Informasjonssikkerhet Dokumentene som skal håndteres elektronisk i løsningen vil kunne være av sensitiv karakter, jf personopplysningslovens 2 nr 8. Ved behandling av sensitive personopplysninger oppstilles et høyere krav til informasjonssikkerhet, særlig knyttet til tilgjengeliggjøring og kommunikasjon på og over Internett. Informasjonssikkerheten skal være tilfredsstillende med bakgrunn i en risikovurdering av de opplysninger som skal beskyttes. Den planlagte løsningen legger opp til at dokumenter (opplysninger) skal ligge i portalløsningen, slik at de er lett tilgjengelig for de involverte parter. Når sikkerheten skal fastsettes må det derved tas hensyn til at opplysningene vil kunne være sensitive, at de vil være underlagt lovbestemt taushetsplikt, og at det vil akkumuleres store menger opplysninger i løsningen. Tilsynet tenker særlig på at det må vurderes krav til autentisering, kryptering av innhold, hendelsesregistrering og revisjon. Lagring av en større mengde sensitive personopplysninger i en sentral portal uten tilstrekkelig sikring av integritet, konfidensialitet og tilgjengelighet kan ha et stort skadepotensiale, ikke bare for domstolene men også andre involverte pater. 2
Internkontroll Departementet foreslår ikke å oppstille krav om internkontroll for den aktuelle behandlingen. For Datatilsynet er det uklart hvorfor internkontrollplikten ikke gjøres gjeldende. For det første vises det til at internkontrollplikten er ansett å være en nødvendig forutsetning for at den behandlingsansvarlige skal kunne etterleve øvrige krav i regelverket for eksempel tilfredsstillende informasjonssikkerhet. Videre vises det til at interkontrollplikten ikke er særlig tyngende i seg selv. Kravet til interkontroll er relativt, hvilket innebærer at det internkontrollsystemet skal stå i rimelig forhold til behandlingens art og omfang, og til den behandlingsansvarliges virksomhet. Datatilsynet vil anbefale at det pålegges en plikt til å etablere interkontroll for domstolenes elektroniske kommunikasjonsvirksomhet. Sentral lagring og dobbeltlagring I en kontroll mot Altinn Sentralforvaltning og Skattedirektoratet tilbake i 2008 pekte tilsynet på enkelte problemer vedrørende sentral lagring og dobbeltlagring hos databehandleren Altinn: Personopplysninger kan behandles på vegne av andre med grunnlag i en databehandleravtale. Dette betyr i praksis at man, dersom man behandler personopplysninger på vegne av flere behandlingsansvarlige, må behandle informasjon for hver enkelt behandlingsansvarlig separat. Vedrørende dobbeltlagring viser tilsynet til vurderingen av Skattedirektoratet sitt servicearkiv under kontrollen i 2008. Dette er beskrevet i kontrollrapportens punkt 5.1.7, hvor det konkluderes med at dobbeltlagring ikke kan anses å være i samsvar med personopplysningslovens krav om gyldig behandlingsgrunnlag og sletting. Etter Datatilsynets vurdering bør opplysningene videreformidles til de enkelte partene kort tid etter innsamling, og ikke bli liggende i en portalløsning. Advokater personopplysningslovens virkeområde Datatilsynet gjennomførte i 2008 enkelte kontroller mot advokatfirmaers bruk av elektronisk kommunikasjon. I den sammenheng ble det påpekt at personopplysningsloven med forksrift gjelder fullt ut for advokater, herunder sikkerhetsbestemmelsene i forskriftens kapittel 2. Det var i kontrollene særlig fokus på bruk av e-post og telefaks som kommunikasjonsmidler også overfor domstolene. I etterkant av kontrollene hadde tilsynet en aktiv dialog med Advokatforeningen for å etablere felles retningslinjer for internkontroll og informasjonssikkerhet til medlemmer av foreningen. 3
Foreningen har publisert dette på sine hjemmesider 2 og har jobbet aktivt for å skape fokus på disse områdene. Sett i sammenheng med løsningen som skal etableres er tilsynet usikker på dette vil være i samsvar med de krav som påhviler advokater for elektronisk kommunikasjon med klienter og domstolene. Om bruk av elektronisk signatur Datatilsynet har mottatt mange henvendelser fra arbeidstakere som reagerer kraftig på at systemer som man er avhengig av for å kunne utføre arbeidsoppgavene sine, legger opp til bruk av personlige verktøy som MinID. Dette gjelder også trolig for nevnte løsning. Datatilsynet anser dette problematisk av flere årsaker: 1. Rolleblanding skille mellom deg som privatperson og arbeidstaker. Ser man på informasjon gitt i forbindelse med opprettelse av bruker hos MinID står det gjerne at MinID er din personlige elektroniske ID. Du bruker MinID for å levere selvangivelsen, bestille skattekort, få tilgang til selvbetjeningstjenester på nav.no, søke lån og stipend i Lånekassen, og til en rekke andre offentlige tjenester. Det er altså en klar forventning om at MinID utelukkende skal brukes til private formål, ikke til å utføre dine arbeidsoppgaver. 2. Informasjonssikkerhet - bruk av Altinn innebærer at arbeidstakerne som skal rapportere kan sitte hvor som helst og logge seg på elektroniske tjenester gjennom Altinn. Dette kan igjen gi manglende kontroll med tilgangen til opplysningene og hva de benyttes til. Vi viser til personopplysningsloven 13 og personopplysningsforskriften kapittel 2. 3. Styringsretten - kan en arbeidsgiver i kraft av styringsretten pålegge en arbeidstaker å bruke MinID? Vi viser til at man som borger har adgang til å reservere seg mot bruk av løsningen som privatperson. Datatilsynet er derfor skeptisk til at arbeidsgiver kan pålegge slik bruk. Se http://www.difi.no/elektronisk-id/personvern-ogtryggleik. 4. Fødselsnummer etter Datatilsynets vurdering av personopplysningsloven 12 er det problematisk om arbeidsgiver krever bruk av fødselsnummer som pålogging for å rapportere på vegne av en virksomhet. Vi viser til bestemmelsens krav til saklig het og nødvendighet for å benytte denne identifikatoren 2 http://www.advokatforeningen.no/drift-av-advokatvirksomhet/klientforholdet/behandling-avpersonopplysninger/datatilsynets-kontroll-av-advokatfirmaer/ 4
Spørsmål knyttet til rolleblanding er etter alt å dømme et økende problem. Tilsynet har hatt behandlet saker om dette, med blant annet overfor Norsk Tipping. Dokumentene fra denne saken er vedlagt, til orientering. Tilsynet anbefaler bruk av virksomhetsrelatert e-id i samsvar med DIFI sine retningslinjer. Med hilsen Bjørn Erik Thon Direktør Cecilie L B Rønnevik seniorrådgiver Kopi: Fornyings- administrasjons- og kirkedepartementet, Postboks 8004 Dep, 0030 OSLO 5