Retten til å være i fred

2006 PERSONVERNRAPPORTEN S 12 S 14 S 20 S 24 Privatlivets fred Farvel anonymitet Gjesteskribent Are Kalvø Spar tid og ressurser med god internkontroll Retten til å være i fred

LEDER Dr. Stockman og vi Hva demokrati er? Ja Det er flertallsstyre, det! Det er din fulle definisjon? Ja, pluss at det handler om å innrømme folk retten til å stemme hemmelig, ytre seg uten å bli straffet, lage politiske partier og få lov til å tro hva de vil Georg Apenes, direktør i Datatilsynet Vi kjenner kanskje igjen et tema i dette korte sammendraget: I en åpen og demokratisk rettsstat må vi løpende veie den enkeltes interesser mot fellesskapets: flertallets mot mindretallets. Og det mest brysomme av alle mindretall er som kjent den enkelte borger. Menneskerettighetene, slik de er nedfelt for eksempel i Den Europeiske Menneskerettighetserklæringen, er regler Norge har sluttet seg til og som norske myndigheter derfor er bundet av. Stortinget ikke unntatt! Kari og Ola kan derfor ta sin sak til Strasbourg-domstolen og der få bindende avgjørelser dersom de mener at flertallet representert ved flertallets regler og flertallets avgjørelser har overkjørt deres rettigheter. I sin teoretiske form har menneskerettighetene øredøvende tilslutning i vår kulturkrets. I praksis kan det likevel være vanskelig å vite for eksempel hvor langt den enkelte skal kunne gå når hun ønsker å gi til kjenne sine meninger, og hvilke former for ytringer flertallet kan akseptere. Vi i Datatilsynet blir nesten daglig tvunget til å si nei til ett eller annet. Ofte hører vi protester. - Og i dem vektlegges gjerne at bare noen få har reist innvendinger mot det foreslåtte tiltaket eller de foreliggende planene. Vegvesenet kan for eksempel vanskelig begripe at det skal være nødvendig å legge til rette for anonym ferdsel med bil rundt om i kongeriket når bare noen få prosent bilførere påviselig synes det er viktig å kunne være anonym ved bomstasjonspasseringer. Hydro ønsker å dopingteste alle sine ansatte, og Justisdepartementet har tvunget oss alle til å bruke nye pass som ikke beskytter våre lagrede, elektroniske personlige opplysninger godt nok. Mange nordmenn ville neppe ta seg nær av om deres sykejournaler kom på avveier. Ikke mange ville hisse seg opp dersom det ble kjent hvilke TV-programmer de ser på, hvilke bøker de låner på biblioteket, hvor ofte og hvor meget de handler på Vinmonopolet og så videre. Skal derfor de mange få bestemme over de få? Og; skal de mange, gjennom sine flertall, i praksis kunne oppheve mindretallsrettigheter fordi de koster penger, effektivitet eller rett og slett respekt? «Den står sterkest som står alene,» mente dr. Stockmann. I Ibsens jubileumsår kan det kanskje være på sin plass å understreke at det ofte er en betingelse for å kunne stå sterkest alene at man har lagt turen om Den Europeiske Menneskerettighetsdomstolen først?

PERSONVERNRAPPORTEN INNHOLD 3 INNHOLD INNLEDNING SIDE 5: Det private rom er hellig GLIMT SIDE 6: Donald Duck fikk kredittopplysninger SIDE 7: Politiet får ikke forskningsmateriale SIDE 8: Opphavsretten overvåkes SIDE 9: To års lagring, just in case... TEMA SIDE 12: SIDE 14: SIDE 16: SIDE 18: INNSPILL SIDE 21: Privatlivets fred Farvel anonymitet Nordmenn lite bekymret for eget personvern Fanget på Internett Gjesteskribent Are Kalvø ARBEIDSLIV SIDE 23: Gigantbaser fordrer strenge rutiner SIDE 24: Spar tid og ressurser med god internkontroll SIDE 26: Private tar i bruk politimetoder SIDE 29: Øker tilliten blant ansatte og publikum NYE TIDER SIDE 31: Pass vi kan stole på SIDE 32: Nyvinninger som utfordrer DATATILSYNETS TJENESTER SIDE 34: Datatilsynets oppgaver SIDE 35: Kontaktinformasjon Personvernrapporten er en popularisert utgave av Datatilsynets årsmelding som legges fram for behandling i Stortinget. Les årsmeldingen på www.datatilsynet.no

Frihet er til syvende og sist retten til og mulighetene for å tenke, tale og få vite innenfor den personvernede, ukontrollerte sfære. Iver B. Neumann, professor UiO Foto: Eivor Eriksen

PERSONVERNRAPPORTEN INNLEDNING 5 Det private rom er hellig Anonymitet har til alle tider vært en selvfølgelighet. Når vi i dagens samfunn legger igjen mengder med spor, nærmest som et biprodukt av offentlige og private tjenester, utfordres dette prinsippet. I 1891 offentliggjorde de amerikanske dommerne Warren og Brandeis en artikkel i Harward Law Review hvor de fastslo at det er enhvers «right to be left alone». Sitatet er ett av de mest anvendte i litteraturen om privatlivets fred. Bakgrunnen var, den gang som nå, en bekymring for hva den teknologiske utviklingen kunne føre med seg. Viktige personvernprinsipper Noen prinsipper står sentralt i oppbyggingen av personvernlovgivningen. Prinsippene bygger på et grunnleggende ideal om at den enkelte skal ha bestemmelsesrett over personopplysninger om seg selv. Saklig begrunnelse Behandling av personopplysninger skal være saklig begrunnet. Opplysningene skal samles inn til uttrykkelig angitte og legitime formål og brukes i overensstemmelse med disse. Frivillig samtykke Registrering av personopplysninger skal i størst mulig grad være basert på et frivillig, uttrykkelig og informert samtykke. Opplysninger i offentlige registre hvor registrering er pliktig, skal være lovhjemlet. Opplysningsplikt for behandlingsansvarlig Ved innhenting av personopplysninger har den enkelte uoppfordret rett til å få vite om det er frivillig eller obligatorisk å oppgi personopplysningene, hvilket formål opplysningene skal brukes til, og om de vil bli utlevert til andre. Rett til innsyn Den behandlingsansvarlige skal bistå den registrerte med å gi innsyn i hvilke opplysninger som er lagret, hva de skal brukes til, og hvor de er hentet fra. Registreringen skal være riktig Opplysningene som registreres, skal være korrekte og ajourførte. Feilaktige opplysninger skal slettes Feilaktige personopplysninger skal endres, slettes eller sperres. Unødvendige opplysninger skal slettes Overskuddsinformasjon og opplysninger som ikke lenger er nødvendige for formålet med registreringen, skal slettes. Informasjonssikkerhet skal ivaretas Den behandlingsansvarlige skal sørge for tilfredsstillende informasjonssikkerhet. Det må kunne dokumenteres at rutiner og tiltak som sikrer personopplysninger, blir etterlevd i praksis. I det offentlige må risikovurderingene også omfatte borgernes ulike forutsetninger for å ivareta egen informasjonssikkerhet. Strengere regler ved følsomme opplysninger Behandling av følsomme personopplysninger er underlagt særlig strenge regler. Retten til å være anonym Borgeren har krav på å kunne ferdes anonymt. Når nye teknologiske løsninger tas i bruk, skal det legges til rette for at retten til anonym ferdsel fortsatt blir ivaretatt. Rett til manuell vurdering Den registrerte har rett til å få en manuell vurdering av avgjørelser som fullt ut er basert på automatisk behandling av personopplysninger, dersom avgjørelsen er av vesentlig betydning for vedkommende. Rotasjonspressen var oppfunnet få år tidligere, og tog og båt gjorde at man stadig raskere kunne spre personopplysninger til en stadig større krets. Behovet for å ha et rom for seg selv som andre skal respektere og ikke bryte seg inn i, har endret seg betydelig i løpet av de drøyt 100 årene som er gått siden den gang. I dag er det få som kvier seg for å benytte mobiltelefon til private samtaler på bussen, private bilder florerer på Internett, og i realityprogrammer eksponeres situasjoner som i tidligere tider kun skjedde bak nedrullede gardiner. Et demokrati er basert på at hvert enkelt menneske bestemmer over eget liv og egen kropp. Vårt demokrati er historisk og filosofisk fundert på individets selvstendighet og egenverdi. I vår kultur er «det private rom» hellig, og den enkelte definerer selv grensene for rommet og hvem som får komme inn i det. Alle skal kjenne seg trygg på at opplysninger ikke misbrukes av myndighetene eller av andre. En av forutsetningene er at alle selv forvalter sine personlige opplysninger. Retten til privatlivets fred er dekket av både Europakonvensjonen og FNs deklarasjon om menneskerettigheter. I Norge har vi i tillegg personopplysningsloven, som skal sikre at personopplysninger blir behandlet på en god måte, enten opplysningene registreres på arbeidsplassen, i helsevesenet, i offentlige registre, av telefonoperatøren eller på vei gjennom bomringen. Likevel avsløres stadig brudd på denne loven, og konsekvensene for den det gjelder, kan være store og ødeleggende.

Donald Duck fikk kredittopplysninger Da selv Donald Duck ble gitt tilgang til å innhente kredittopplysninger på Internett, slo Datatilsynet alarm. Fra tillit til kontroll I 2005 fylte Datatilsynet 25 år. Som en markering av jubileét ga tilsynet i august ut boken «Fra tillit til kontroll. Tolv samtaler om politikk, teknologi og personvern». I boken samtaler 12 tenkende, engasjerte og reflekterte mennesker med tilsynets direktør om personvernspørsmål. Er vi i ferd med å avskaffe privatsfæren? Kan personvernet begrense vår frihet, hindre ny kunnskap og i verste fall ta liv? Har vi et vern også etter døden? Jubileumsboken fikk god mottakelse og ble omtalt i flere medier. Sommeren 2005 fikk Datatilsynet melding om at informasjon om betalingsanmerkninger, heftelser og gjeld lå fritt tilgjengelig på Internett. Tilsynet bestemte seg for selv å undersøke hvor enkelt det var å foreta en kredittsjekk. Noen tastetrykk var alt som skulle til. Via nettsiden infotorg.no var det fri tilgang til Dun & Bradstreets database. Selv med den åpenbart falske identiteten Donald Duck var det ikke noe problem å sjekke likningstallene til naboen, og om han hadde betalt restskatten. Det er skremmende hvor lett tilgjengelige disse opplysningene var. Vi kunne registrere oss med hvilken som helst identitet, betale en liten sum og kredittsjekke hvem vi ville, forteller Katrine Berg, seniorrådgiver i Datatilsynet. Oppdagelsen førte til at Datatilsynet sendte brev til kredittopplysningsselskapet Foto: Scanpix og ba om at det ble ryddet opp i rutinene. Henvendelsen førte til at kontrollen nå er skjerpet, og at det ikke lenger er mulig for innbyggerne i Andeby å sjekke hvilke styreverv du har, og om du har betalt TV-lisensen. Til vanlig brukes kredittopplysningsbyråene av banker eller andre som har et saklig behov for å sjekke privatpersoners eller selskapers gjeld, heftelser og eventuelle betalingsanmerkninger. De som kredittsjekkes, har krav på en gjenpart fra byrået. Gjenparten skal vise hvem som har bedt om kredittsjekken, og hvilke opplysninger de har fått. Det blir jo helt meningsløst å motta et brev der det står at Donald har kredittsjekket deg. Kredittopplysninger er personlig informasjon, og ikke for dem som bare er nysgjerrige eller ønsker underholdning, presiserer Berg. Advarer mot nytt Schengen-system Schengen Information System (SIS) er et informasjonssystem som gir politiet og utlendingsmyndighetene mulighet til å registrere opplysninger om personer og gjenstander basert på visse kriterier. Flere rådgivende personverninstanser i EU advarer nå mot et nytt og mer omfattende SIS II. Det nye systemet vil etableres som en stor felles database med direkte tilgang fra flere ulike myndigheter i medlemslandene. Det vil også bli gjort utvidelser i forhold til opplysningskategorier, slik som biometriske data og fingeravtrykk, samt hvilke myndigheter som skal ha tilgang til SIS. Det er derfor utbredt bekymring for at SIS II vil utvikle seg til å bli en gigantisk etterforskningsdatabase. Dette var langt fra den opprinnelige hensikten med systemet, nemlig å kontrollere den «frie flyten» av mennesker og gjenstander i Schengen-området. De forskjellige medlemslandene har høyst ulik praksis for registrering av uønskede personer. I enkelte land registreres alle som har fått avslag på asylsøknaden, noe som i praksis medfører at disse personene nektes innreise i hele Schengen-området, uten at de har gjort noe ulovlig. Etter Datatilsynets mening er det svært betenkelig, og et eksempel på at klare regler for behandling av personopplysninger i SIS er helt nødvendig.

PERSONVERNRAPPORTEN Bot for kameraovervåking Høsten 2003 ble det utlevert et billedopptak fra DnB NOR Bank ASA til ISS Norge AS. Opptakene viste en ansatt som var ansvarlig for renholdet av bankens lokaler. Formålet med utleveringen var å dokumentere dårlig renhold. Opptaket ble vist til ISS representant. For renholderen fikk utleveringen av opptaket store konsekvenser. Personen tok kontakt med Datatilsynet og ønsket at saken skulle tas opp med DnB NOR. Hovedregelen er at personopplysninger fra kameraovervåkingsanlegg bare kan utleveres dersom den som er avbildet, samtykker. I dette tilfellet forelå ikke et slikt samtykke. Datatilsynet påpeker at avdekking av dårlig renhold ikke er god nok grunn til å ha kameraovervåking i et banklokale. I dette tilfellet burde man brukt andre dokumentasjonsmetoder. Datatilsynet fant det viktig for allmennhetens tillit generelt, og for arbeidstakeres stilling spesielt, at saken ble strafferettslig forfulgt. Tilsynet politianmeldte DnB NOR for brudd på personopplysningsloven. Politiet sa seg enig i at det var begått et lovbrudd, og ila DnB NOR Bank ASA en bot på 200 000 kroner for forholdet. Banken vedtok forelegget. Lyd og bilder fra rettssalen Helseundersøkelsen i Nord-Trøndelag (HUNT) er allerede gjennomført to ganger. Tredje runde har oppstart høsten 2006. Den første undersøkelsen ble gjort på midten av 80-tallet. I den andre, som ble gjennomført i perioden 1995-97, ble det i tillegg til helseopplysninger også avgitt blodprøver. Disse er lagret i HUNT biobank. Både helseopplysningene og blodprøvene blir oppbevart under høye sikkerhetskrav. Trøndernes enestående engasjement har bidratt til å skape en unik forskningsdatabase, ikke bare i nasjonal, men også i internasjonal målestokk, ifølge Norges teknisknaturvitenskapelige universitet, som har overordnet ansvar for HUNT. Forskerne understreker at det 20-årige prosjektet er basert på tillit til at materialet og blodprøvene brukes slik de var ment, GLIMT Politiet får ikke forskningsmateriale 7 På 1990-tallet avla 65 000 trøndere frivillig blodprøver til medisinsk forskning. Da politiet tok til orde for å benytte de samme blodprøvene i etterforskningen av alvorlig kriminalitet, reagerte forskningsmiljøet, Datatilsynet og justisministeren. nemlig til medisinsk forskning. Hvis man åpner for at politiet eller andre instanser får tilgang, ødelegger det tilliten. I et intervju med NRK Dagsnytt advarte justisminister Knut Storberget sterkt mot å gi andre instanser tilgang til slikt materiale. Forskningen er avhengig av å ha et bredt spekter deltakere fra alle typer sosiale lag for å få et riktig bilde, sier seniorrådgiver Sverre Engelschiøn i Datatilsynet. Hvem vil risikere å være med på slike undersøkelser hvis det er mulighet for at materialet blir benyttet også av andre instanser? Og hvis politiet tillates innsyn i biobanken, hva blir det neste forsikringsselskapet? At genetisk materiale også kan linkes til andre familiemedlemmer langt frem i tid under etterforskning av kriminelle handlinger, forsterker problematikken ytterligere. Når tekst og bilder eller filmer publiseres på Internett, mister man kontroll over informasjonen. I dag er det vanskelig å søke på enkeltpersoner i lyd- eller bildefiler på Internett, men verdens ledende søkemotorer er godt i gang med å bedre mulighetene. Derfor er det viktige spørsmål som ble reist da Riksadvokaten i 2005 ba blant andre Datatilsynet om innspill på et forslag om utvidet mulighet for film- og lydopptak fra rettssaker. Lyd og levende bilder er sterke medier som viser den tiltalte i en svært sårbar situasjon. Det er også usikkert om aktørene i retten blir påvirket av at det gjøres opptak under rettsforhandlingene. Datatilsynet fraråder derfor økt adgang til film- og lydopptak av rettsforhandlinger i straffesaker. Foto: Andrew Douglas / Masterfile HUNT biobank i Nord-Trøndelag har i løpet av 20 år opparbeidet en forskningsdatabase som er unik både nasjonalt og internasjonalt.

Nei til dopingkontroll Foto: Getty Images Private aktører følger i økende grad med når enkeltpersoner laster ned musikk over nettet. Brukeren selv er som regel intetanende. Opphavsretten overvåkes Har du tilgang på PC og Internett, er det slett ingen kunst å laste ned filmer og musikk ved hjelp av fildelingstjenestene. Men vær klar over at du kan være under overvåking! Opphavsrettens grunntanke er at opphavsmannen skal kompenseres for kopiering og bruk av materialet som vedkommende har skapt. Internett gir imidlertid nye og store utfordringer til rettighetshaverne av filmer, musikk og andre åndsverk: Hvordan kan bruken av opphavsbeskyttet materiale på Internett kontrolleres og begrenses? For å møte utviklingen er åndsverkloven blitt endret. Blant annet er det straffbart om man med viten og vilje laster ned filer ulovlig fra Internett. Men retten til å håndheve opphavsretten er ikke ubegrenset. Innsamling og bruk av opplysninger om nedlastingen er underlagt personopplysningsloven. Datatilsynet ser en økende tendens til at private aktører overvåker fildelingstjenestene for å forfølge opphavsrettsbrudd. Dette vekker bekymring, både fordi overvåkingen skjer uten at brukeren som eventuelt laster ned materialet, er informert, og fordi privatpersoner ikke forholder seg til de samme kravene som politiet er underlagt i denne type etterforskning. Mange forhold tilsier at man bør gå varsomt frem med overvåking av fildelingstjenester. Datatilsynet vil følge utviklingen på området nøye. Vi er alle imot doping. Men hvor går grensen for å kontrollere om folk doper seg? Skal en vanlig mosjonist risikere å bli testet på sin ukentlige treningsøkt i sitt lokale treningsstudio? Antidoping Norge har lansert et program for treningssentre, som blant annet inneholder frivillig dopingkontroll. Antidoping Norge har registrert en økning i tilgangen på anabole steroider og andre dopingpreparater blant ungdom, og mener det er svært nyttig for antidopingarbeidet å gjennomføre frivillige dopingtester på treningssentre rundt om i landet. Datatilsynet mener ordningen er en for stor inngripen i personvernet, og at den ikke er egnet til å skape et dopingfritt treningsmiljø. Tilsynet har derfor varslet Antidoping Norge om at dopingkontroller av mosjonister må opphøre. Kamera i herregarderoben Da en ansatt ved et bilverksted i Stavangerområdet ble frastjålet personlige eiendeler fra garderobeskapet, installerte daglig leder kamera i herregarderoben. Formålet med overvåkingen var å oppklare eventuelle straffbare forhold utført av ansatte i arbeidstiden. Overvåkingen foregikk i hemmelighet, uten at de som brukte garderoben, ble informert skriftlig eller ved skilting. Det ble heller ikke gitt muntlige opplysninger om overvåkingen. De ansattes fagforening reagerte da overvåkingen ble oppdaget, og anmeldte saken til Datatilsynet. Personopplysningsloven inneholder et forbud mot skjult overvåking. De ansatte må informeres, og spesielle vilkår må oppfylles før denne type overvåking kan iverksettes. I tillegg skal Datatilsynet varsles, noe bilverkstedet ikke hadde gjort. Datatilsynet sier generelt nei til filming i garderober, omkledningsrom, dusjer og toaletter, og har anmeldt forholdet til politiet.

PERSONVERNRAPPORTEN Nettvett hjemme og på jobb God og trygg bruk av elektroniske medier er like viktig på skolen og hjemme som på arbeidsplassen. Nettopp dette var temaet for den internasjonale Trygg-bruk-dagen 7. februar i år. Aktører som Telenor, Microsoft, MSN og IKT Norge, Post- og teletilsynet, samt utdannelsesinstitusjoner, Barneombudet, Kripos, SAFT og Datatilsynet sørget for å sette søkelys på nettvett. De populære fotball-nerdene fra Tufte-serien stilte til pressekonferranse på Vahl skole i Oslo og fortalte om trygg og god bruk av Internett. For mer informasjon: www.saftonline.no og www.nettvett.no Falsk trygghet I stadig flere yrker kreves det politiattest. Datatilsynet advarer mot utviklingen fordi ordningen både kan ekskludere og gi falsk trygghet. Det blir blant annet krevd politiattest av ansatte i Norges Bank, menn som skal gifte seg med kvinner fra utlandet, tannleger, verger og frivillige som jobber med barn. Temaet er ømtålig for hvem vil vel at en som har forbrutt seg mot små barn, skal få anledning til å gjenta ugjerningen? Imidlertid er det ikke sikkert at en politiattest er en garanti mot at slike forbrytelser skjer. I flere høringsuttalelser har Datatilsynet understreket viktigheten av at man ikke innfører tiltak som bidrar til falsk trygghet. Politiattesten kan bidra til å hindre at tidligere straffedømte får jobb eller verv som byr på nye anledninger til å gjenta forbrytelsen. Men den stopper ikke debutantene. En av hovedbegrunnelsene om politiattester er at dette er noe som kreves på mange områder, og at yrker og instanser uten dette kravet risikerer å tiltrekke seg uegnede personer som ikke får innpass andre steder. Utviklingen blir derfor selvforsterkende. Datatilsynet vil advare mot en utvikling der deltakelse på de fleste arenaer i samfunnet krever at man først klareres av politiet. Om utviklingen fortsetter, kan det resultere i at alle foreldre som skal hjelpe til i egne barns aktiviteter, først må godkjennes av politiet. En liten plett på rullebladet kan gi yrkesforbud og total eksklusjon. En slik utvikling er samfunnet neppe tjent med. GLIMT To års lagring, just in case 9 Foto: Klaus Hackenberg/zefa/Corbis EU har vedtatt et nytt direktiv som pålegger teleoperatørene og internetttilbyderne å lagre all data fra telefon- og internettrafikk i minimum seks måneder, maksimum to år. Formålet er å bekjempe alvorlig kriminalitet og terrorisme. Resultatet kan bli hundrevis av nye «politiregistre» hos private aktører. Hver gang du bruker fasttelefonen, mobilen eller Internett, genereres data med informasjon om tid og sted for kommunikasjonen, hvem som er involvert og hvilke telefonnumre eller IP-adresser som benyttes. I dag lagres dataene i meget kort tid, slik at kommunikasjonen lar seg gjennomføre, og for faktureringsformål. EUs ønske om lagring av slike trafikkdata til bruk for politiet, bryter med tidligere rettsprinsipper. Det er også nytt at opplysningene blir lagret over lengre tid. EUs rådgivende organ i personvernsaker, Artikkel 29-gruppen som består av representanter fra alle EU-landenes datatilsyn, mener lagring av opplysninger om all tele- og datatrafikk er et brudd på den fundamentale retten til fortrolig kommunikasjon. Det norske Datatilsynet er enig. Når det lagres store mengder personopplysninger om lovlydige borgere som en gang i fremtiden «kan komme til å begå lovbrudd», er det et fundamentalt forskjellig utgangspunkt fra dagens system. I dag innhentes data i de få tilfellene der det er aktuelt å rettsforfølge en konkret person. Det er heller ikke noe som tyder på at systemet slik det er i dag, med tre til fem måneders lagring, er uholdbart for politiet. Vi har ikke kjennskap til at viktige data er gått tapt fordi de er slettet i tråd med telekonsesjonen. Dette taler i seg selv mot utvidet lagringstid, sier juridisk rådgiver Christian With i Datatilsynet. Ifølge det nye direktivet er det kun alvorlig kriminalitet som kvalifiserer til bruk av materialet. Det er imidlertid ikke avklart hvilke terskler man skal ha for å ta i bruk materialet, eller om EUs nye direktiv blir bindende for Norge.

10 TEMA PERSONVERNRAPPORTEN Retten til et privatliv Hver dag legger vi igjen spor og informasjon som kommersielle aktører er interessert i og som i verste fall kan misbrukes. Er tapt anonymitet prisen vi må betale for digitale løsninger?

Foto: Eivor Eriksen

12 TEMA PERSONVERNRAPPORTEN Privatlivets fred Vi har alle noe vi ikke ønsker å dele med andre. Døren låses når vi går inn på toalettet, og gardinene trekkes for hjemme om kvelden. Ikke fordi vi gjør noe ulovlig eller har noe å skjule, men rett og slett fordi vi vil være i fred. Denne retten til privatlivets fred skal så langt som mulig også gjelde når vi beveger oss utenfor vårt eget hus. Og det er denne retten som i økende grad utfordres. Vi nordmenn er kanskje litt naive. De færreste tenker over at mye av eposten vi sender fra oss, enkelt kan leses av andre enn mottakerne. Få ser ut til å bekymre seg for at elektroniske data kan samles i stor stil og benyttes av uvedkommende. «Hvem vil vel utnytte meg ingen er vel interessert i det jeg gjør?». Verdifulle spor Sannheten er at mange kan være interessert i hva vi foretar oss i hverdagen. Kommersielle aktører har store muligheter til å benytte automatiserte løsninger for å trekke konklusjoner ut av sporene vi legger igjen. Kraftig IT-verktøy brukes til å systematisere enorme mengder informasjon, og finner sammenhenger i det som for oss andre virker som uhåndterlige mengder data. Vi legger blant annet igjen spor hvis vi benytter fingeravtrykk, når vi laster ned musikk og filmer fra Internett, og når vi lar oss kameraovervåke på tenkelige og utenkelige steder. Det er bare fantasien som setter grenser for hva all denne informasjonen kan brukes til. Den beskyttende sfæren blir stadig snevrere. I dagens samfunn er det en stor grad av selveksponering. Mange har behov for å dokumentere livet sitt for andre. Når andre tar dette valget for oss, og offentliggjør sider av vårt privatliv som vi ønsker å ha for oss selv, blir situasjonen imidlertid en annen. Det kan være svært ødeleggende når informasjon som legges ut på Internett, misbrukes og benyttes til helt andre formål enn de opprinnelige. Når noen stjeler en annens identitet og sprer krenkende uttalelser i vedkommendes navn, råder maktesløshet og sinne.

Foto: Tore Wuttudal / NN / Samfoto Vær kritisk Personvernundersøkelsen i 2005 viser at nordmenns holdning til kontroll og kameraovervåking er under endring. Det er økende aksept for kontroll og overvåking om hensikten er å bekjempe kriminalitet. De aller fleste av oss har også stor tiltro til at personopplysninger og sensitiv informasjon som vi gir fra oss, blir behandlet på en betryggende måte. Men Datatilsynets erfaring viser et annet bilde. Svært mange virksomheter, både offentlige og private, mangler rutiner og kontroll for hvordan slike opplysninger skal behandles. Nyheter om personopplysninger på avveier møter oss rett som det er i mediene. Nødvendigheten av klare regler for innhenting og oppbevaring av personopplysninger blir større jo flere spor vi legger igjen. Vi kan kan bidra til å redusere faren for misbruk om vi er kritiske til behov og formål hver gang vi blir møtt med krav om å gi fra oss litt av vår egen identitet. For den enkelte kan det være vanskelig å se hvilken risiko som finnes for innsamling og misbruk av personopplysninger. Derfor trenger vi noen som kan bruke sine erfaringer til å stille kritiske spørsmål og sette grenser, enten det er Datatilsynet eller andre offentlige aktører. At vi låser ytterdøren, betyr ikke at vi ikke vil ha besøk, men at vi selv vil bestemme når, av hvem, og hva som skal serveres. Georg Apenes, direktør Datatilsynet

14 TEMA PERSONVERNRAPPORTEN Farvel anonymitet Den som ønsker seg en anonym tilværelse, går en tøff fremtid i møte. Digitale løsninger er i ferd med å utradere anonyme alternativer. Teknologirådet Teknologirådet er et uavhengig, offentlig organ som skal identifisere viktige teknologiutfordringer og fremme en bred offentlig debatt om muligheter og konsekvenser ved ny teknologi for samfunnet og for den enkelte. Rådet skal gi innspill om teknologiske valg til Stortinget og øvrige myndigheter. Rådet har 14 medlemmer og ledes av professor Eivind Osnes. Virksomheten finansieres av Nærings- og handelsdepartementet. Norges forskningsråd har faglig og administrativt tilsynsansvar. Christine Hafskjold, prosjektleder i Teknologirådet Foto: Eivor Eriksen Vi lever i en digitalisert hverdag. Informasjon om mye av det vi foretar oss, blir lagret ett eller annet sted. Det skjer når vi passerer bomringen, når fotoboksen knipser oss i litt for høy hastighet, når vi betaler med kredittkort, når vi bestiller kinobilletter på Internett, når mobiltelefonen er slått på og når vi løser elektronisk billett på trikken. Stadig flere elektroniske løsninger betyr samtdig at vi etterlater oss spor overalt. Fremtiden er her For 20 år siden var dette en fremtidsvisjon, utenkelig for de fleste, skremmende for mange. Nå er vi der. På en skole i Sverige må du registrere deg med tommelen for å få lunsj. På enkelte nattklubber i Storbritannia trenger du elektronisk ID-kort for å komme innenfor dørene. I et par norske byer er de manuelle betalingsautomatene i bomringen fjernet til fordel for kun ubemannet, helautomatisk passering. De anonyme alternativene er i ferd med å forsvinne, forteller prosjektleder Christine Hafskjold i Teknologirådet. I befolkningen er det også liten etterspørsel etter anonyme løsninger. Undersøkelser viser at folk oppfatter de nye elektroniske løsningene som lettvinte og mer brukervennlige. Balansegang Kontanter er på vei ut. Forslaget om å innføre en øvre beløpsgrense for handel med kontanter, samt fjerne de største sedlene, indikerer det. Anonyme kontantkort på mobilen «ble bare brukt av kriminelle», og er nå fjernet. Dette er en utvikling som lett kan føre til at de som søker anonyme løsninger blir mistenkeliggjort, ifølge Hafskjold. Overvåking og registrering er en balansegang mellom samfunnsinteresser og individets interesser. Ingen ønsker et paradis for kriminelle, men vi må lage løsninger der personvernet også inngår i de teknologiske løsningene. Vi må ikke iverksette tiltak som har en marginal effekt i arbeidet med å avsløre kriminalitet. Gevinsten må veies opp mot omfanget av overvåkingen, påpeker hun. Må identifisere seg For å kunne benytte de offentlige tjenestene som etter hvert blir tilgjengelige gjennom det statlige nettstedet «Min Side», er det nå nødvendig skaffe seg en elektronisk ID. En slik form for sterk identifikasjon kan gjøre det fristende for en tjenestetilbyder å be om legitimasjon selv om vedkommende egentlig ikke har behov for å vite hvem du er, eller be om det på et tidligere tidspunkt enn nødvendig. Å identifisere brukere så tidlig som mulig, er allerede utbredt på kommersielle nettsteder, hvor eksisterende kunder blir gjenkjent elektronisk når de oppsøker nettstedet. De fleste av oss reagerer ikke på det, men egentlig er det som om nærbutikken skulle be deg vise bankkortet idet du går inn døren, og ikke først når du skal betale, sier Hafskjold, som mener det bør være mulig å ferdes både på nettet og i «det virkelige liv» uten å måtte vise legitimasjon til enhver tid. Og for deg som ikke visste det: På Google Earth kan hvem som helst klikke seg inn og se huset sitt fra oven. Foreløpig vises kun stillbilder som er tatt på et visst tidspunkt, men det er ikke vanskelig å se for seg at disse overføringsbildene etter hvert blir realtime. Da gjelder det å ha ryddet i hagen, og ikke ha elskerens bil parkert foran huset.

Vi står foran en teoretisk mulighet for å utrydde kriminalitet i samfunnet, i den forstand at hvert menneske overvåkes til enhver tid. Men det er et samfunn jeg er sikker på at vi vil ha store betenkeligheter med å leve i, for det vil sannsynligvis ikke være et godt samfunn. Lars Sponheim, politiker Foto: Scanpix

Nordmenn er lite bekymret for eget personvern I de fleste norske virksomheter er personvern mer tilfeldig enn planlagt. Likevel er nordmenn svært lite bekymret for eget personvern, viser to undersøkelser. Den norske befolkningen har stor tillit til at personvernet blir ivaretatt på en god måte. At personopplysninger kan bli misbrukt, bekymrer ikke folk særlig. De fleste reflekterer ikke over at det blir samlet inn opplysninger om dem, eller de bryr seg ikke om det. Tre av fem mener personvernet generelt er så godt at en trygt kan gi fra seg opplysninger. Dette kommer frem i én av to undersøkelser som Transportøkonomisk institutt i fjor utførte på oppdrag fra Moderniseringsdepartementet og Datatilsynet. Den første av disse, befolkningsundersøkelsen, er den største kartleggingen av folks kunnskaper om og holdninger til personvern her til lands på åtte år. Undersøkelsen viser også at én av seks har opplevd at personopplysninger har kommet på avveie eller blitt misbrukt. De som har opplevd dette selv, er mindre tillitsfulle enn de andre. Det dominerende bildet er likevel trygghet. Personvern bekymrer Kari og Ola Nordmann lite, med unntak av ett område: Internett. Fire av fem uroer seg for personvernet ved netthandel. Når de handler over Internett, er de urolige for at opplysninger blir samlet opp over tid, og at opplysninger kan bli gitt videre til andre. Tilfeldig personvern Den andre undersøkelsen som ble gjennomført, virksomhetsundersøkelsen, fokuserte på personvernets kår i virksomhetene. Denne undersøkelsen viser derimot at vi ikke bør stole fullt så mye på at alt er i sin skjønneste orden. Personvernet i de fleste norske virksomheter er bygget mer på tilfeldigheter enn på planlagt strategi, ifølge denne undersøkelsen. Få virksomheter arbeider systematisk med personvern. Flere av virksomhetene tror at personopplysningsloven ikke gjelder for dem, selv om de behandler personopplysninger om ansatte eller kunder. Loven krever at virksomhetene skal ha et internkontrollsystem, et definert ansvar for behandling av opplysningene, og oversikt over hvilke opplysninger som behandles. I tillegg skal de foreta risikovurderinger og ha rutiner for å slette unødige opplysninger. Bare fire prosent av virksomhetene tilfredsstiller alle disse kravene, viser undersøkelsen. De fleste nordmenn forventer personvern på arbeidsplassen, og har stor tillit til at arbeidsgiverne generelt bruker opplysninger om dem på en ryddig måte. Undersøkelsen blant 424 virksomheter antyder at virksomhetene har en grunnleggende positiv holdning til personvern. Imidlertid er kunnskapen om pliktene svært lav. Når reglene ikke blir fulgt, skyldes det lav kunnskap om personopplysningsloven, tror de fleste respondentene. Overvåking på jobb og skole Undersøkelsene viser at nordmenn ikke ønsker å overvåkes på jobben eller på skolen, selv om de fleste er positive til kameraovervåking på andre steder. De fleste deltakerne i virksomhetsundersøkelsen er enige i at arbeidsgivere ikke uten videre skal ha tilgang til å overvåke de ansatte. Nesten halvparten mener det er problematisk om arbeidsgiver eller lærested kan se hvem man har hatt kontakt med per epost, mens om lag tre av fem mener det er problematisk om arbeidsgiver eller lærested skal få anledning til å lese innholdet i eposten. Noen av representatene for virksomhetene er tilhengere av svært inngripende overvåking av ansatte. Én av fem mener det bør være slik at arbeidsgivere kan sette opp skjult kamera for å avsløre utro ansatte, og samme andel mener det er naturlig at arbeidsgiveren skal få adgang til å lese all epost.

PERSONVERNRAPPORTEN TEMA 17 Problemstilling: Virksomhetene ble spurt om de oppfylte følgende krav: Har internkontrollsystem Har definert hvem som har ansvaret Har systematisk oversikt over opplysninger som behandles Har gjennomført risikovurderinger når det gjelder virksomhetens behandling av personopplysninger Har rutiner for sletting av personopplysninger som ikke lenger er nødvendige for å oppfylle formålet de i sin tid ble samlet for Resultat: 30 prosent av virksomhetene oppfylte ingen av kravene, mens 24 prosent oppfylte bare ett krav. 22 prosent oppfylte to krav, og 12 prosent oppfylte tre krav. Åtte prosent oppfylte fire krav, mens bare fire prosent oppfylte alle kravene. To undersøkelser: Transportøkonomisk institutt gjorde i 2005 to viktige undersøkelser om personvern. Den ene om kunnskap og holdninger i befolkningen, den andre om forholdene i norske virksomheter. «Setter vår lit til Storebror... og alle småbrødre med?» (TØI-rapport 789/2005). Utvalg: Representativt utvalg på 1000 personer. Foto: Eivor Eriksen «Behandling av personopplysninger i norske virksomheter» (TØI-rapport 800/2005) Utvalg: 424 virksomheter. Med unntak av Internett er nordmenn trygge og tillitsfulle når det gjelder personvern.

Fanget på Internett Historiene er mange, og de har én ting felles: Uvedkommende stjeler folks personopplysninger som de finner på nettet. Her er to historier. Ble hengt ut på «eget» nettsted På ungdomsskolen kom eleven i konflikt med en av sine lærere. Flere måneder senere hevnet eleven seg ved å opprette en hjemmeside i lærerens navn, fylt med grovt krenkende utsagn. En mandag morgen i slutten av januar ble ungdomsskolelæreren fra Telemark kalt inn til rektor. Fredagen før hadde en annen lærer observert flere elever samlet rundt en av skolens PC er. Læreren ville sjekke hva de var så opptatt av, og ble sjokkert da han oppdaget at nettsidene de så på, var fylt med krenkende og ubehagelige utsagn i en kollegas navn. Det var til og med opprettet en chatside for alle som ville skrive kommentarer. Kommentarene som stod der, var svært sjikanerende. Jeg reagerte med sinne. Dette ville jeg ikke finne meg i! Vi visste ikke hvem gjerningspersonen var, og ble enige om at jeg skulle anmelde forholdet til politiet, sier læreren. Fordi andre lærere også var nevnt med navn, ønsket skolen å levere en egen anmeldelse. Tung jobb Å anmelde forholdet skulle imidlertid vise seg enklere sagt enn gjort. Politiet slet med å finne ut hva saken skulle anmeldes som: Arbeidssak? Ærekrenkelse? Personvernsak? Usikkerheten deres var frustrerende. En annen person hadde stjålet min identitet og utgitt seg for å være meg! Jeg ville at politiet skulle sikre seg spor og legge ned siden så fort som mulig, ikke diskutere anmeldelseskoder, forteller læreren. Tobarnsfaren følte seg maktesløs. I et forsøk på å få fortgang i saken kontaktet han lærerorganisasjonen sin. Han lette også etter hjelp på Internett og kom i kontakt med Datatilsynet. Fordi nettsidene lå på en utenlandsk server, og Datatilsynets myndighet begrenser seg til Norge, var det lite Datatilsynet kunne foreta seg. Det eneste han fikk var tips om hvordan han selv kunne finne frem til dem som driftet serveren, og be om at sidene ble slettet. Etter fem minutters søk fant læreren driftsansvarlig. Men av redsel for å legge seg opp i politiets arbeid avsto han fra å ta kontakt. To dager senere meldte politiet at serveren var lokalisert, og at spor var sikret og sidene slettet. Maktesløshet Hele tiden følte jeg meg maktesløs. Det virket som politiet verken hadde nødvendig kunnskap eller nok ressurser til å takle saken. Jeg følte heller ikke at de så på hendelsen som særlig alvorlig til å begynne med. Men da de tok sidene i øyesyn, endret de holdning. Den forulempede læreren legger til at han er svært lettet over at sidene nå er fjernet, og at saken ser ut til å være oppklart. Hendelsen tror han har sammenheng med yrket sitt. Foto: Joson/zefa/Corbis Det er en sjokkerende opplevelse å finne krenkende og ubehagelige Fant igjen bilde Frilansjournalisten Hilde Andreassen la ut bilder av seg selv på nettstedet Blink. Senere oppdaget hun at en nazistisk gruppe hadde brukt et bilde av henne på hjemmesiden sin. Hilde Andreassen bruker Internett flittig, både i jobben og som sosial møteplass. På nettstedet Blink har hun en fast vennekrets som utveksler bilder. Men utvekslingen er ikke så trygg som hun trodde. I september ringte en bekjent av meg som administrerer trafikken på Blink. Han hadde fått tips om at et rasistisk nettsted hadde hentet bilder fra Blinks sider. Da han klikket seg inn på siden for å sjekke, fant han blant annet et bilde av meg, forteller Andreassen.

PERSONVERNRAPPORTEN utsagn i sitt eget navn på nettet. En ungdomsskolelærer fra Telemark opplevde dette. Frihet er ikke noe man har eller får. Frihet er noe man mister. Ole Paus, musiker av seg selv på nazinettsted TEMA 19 Uønsket informasjon om deg på Internett? Snakk med den ansvarlige Det er viktig at du selv tar et initiativ overfor den som har publisert noe om deg. Det kan hende at personen ikke har vært oppmerksom på at det er nødvendig med samtykke fra deg før opplysningene eller bildene legges ut på Internett. Personen kan også være ukjent med regelverket. Ta kontakt med vedkommende og be om at opplysningene fjernes. Dette gjelder selv om du en gang har gitt et samtykke. Det kan du når som helst trekke tilbake! Snakk med internettleverandøren De norske internettleverandørene har vanligvis egne regler for hva kundene deres kan legge ut på Internett. De har ofte egne «misbruksteam» som kan hjelpe deg. Ta kontakt med eieren av domenet og be om hjelp til å fjerne de uønskede personopplysningene om deg. Nettadressen viser hvilket domenenavn leverandøren har. Domenenavnet kan for eksempel være online.no, chello.no, osv. Om domenenavnet virker ukjent, kan du finne den ansvarlige bak domenet ved å besøke den norske whois-databasen hos Norid: www.norid.no. (gjelder alle.no domenenavn). For andre domenenavn kan du finne mer informasjon om hvem som har ansvar for nettstedet, på www.iana.org. Småbarnsmoren ble både sjokkert og sint da hun tok siden i øyesyn. På nettsiden som sprer nazi-propaganda og jødehets, fant hun bilder av til sammen 122 intetanende jenter, inkludert henne selv, under overskriften «Norske Skjønnheter». Til bildene var det knyttet følgende tekst: Bilder utstilt for alle som elsker den nordiske rase la dette være en spore til innsats: Dette kan være det siste århundre hvor det ennu finnes kvinner som dette på moder jord. Det kommer an på deg! Ubehagelig Bildene hadde ligget der i flere måneder. Forhåpentlig er det et begrenset antall mennesker som er inne på slike sider, men like fullt er det ubehagelig, fastslår 33-åringen. Internett-oppdragelse Tobarnsmoren beskriver Internett som et flott redskap - hvis man lærer å bruke det riktig. Hun mener foreldre må sette seg bedre inn i hva Internett faktisk er, at det består av langt mer enn bruk av epost og lesing av aviser. Ved å få litt innblikk i hvordan ungdommer kommuniserer på nettet, både ved hjelp av chat, bilder og webcamera, kan man lettere lære ungene hvordan de bør opptre. Jeg mener ikke at man nødvendigvis skal overvåke dem. Men man må sette grenser, på lik linje med hva man gjør ellers i hverdagen, sier hun. Til tross for den ubehagelige opplevelsen lar ikke frilansjournalisten seg styre av risikoen for mulig misbruk. Hun legger fortsatt ut egne bilder på Blink. Men hendelsen har gjort henne mer varsom. Datatilsynet Datatilsynet kan gi deg rettledning dersom det er noe du er usikker på lovligheten av. Du kan eventuelt be den som har publisert bilder av deg eller opplysninger om deg, om å kontakte Datatilsynet for å få bekreftet regelverket. Politianmeldelse Mener du at bildene eller opplysningene som er lagt ut om deg, er så ekstreme at de må fjernes raskt, ta kontakt med politiet på hjemstedet ditt, og anmeld forholdet.

Are Kalvø: Etnisk sunnmøring bosatt i Oslo. Arbeider som programleder, radiokåsør og tekstforfatter for TV, teater og aviser. Vi forsvinn ikkje. Vi er her alltid. Minna om oss finst alltid.