Hvordan informerer virksomheter på egne nettsider om sin behandling av personopplysninger? Datatilsynet, 27. juni 2011
Datatilsynet Gateadresse: Tollbugata 3, Oslo Postadresse: postboks 8177 Dep. 0034 Oslo E-post: postkasse@datatilsynet.no Telefon: 22 39 69 00 Faks: 22 42 23 50 Denne rapporten bygger på en kartlegging av 20 norske nettsteder høsten 2010. Kartleggingen ble avgrenset til 20 nettsteder, hvorav 15 er innen offentlig sektor. Felles for de kontrollerte virksomhetene er at de behandler store mengder personopplysninger. Et flertall av disse behandler også sensitive opplysninger.
Sammendrag Behandling av personopplysninger er en naturlig del av hverdagen i norske virksomheter. Det medfører samtidig en forpliktelse til å informere om behandlingene. Dersom dette ikke gjøres, vil de registrerte i praksis forhindres i å benytte viktige rettigheter. En viktig kanal for denne type informasjon er virksomhetens nettsider. Selv om informasjon kan være gitt tidligere, vil nettsiden uansett kunne være et nyttig supplement. Datatilsynet har undersøkt i hvilken grad 20 utvalgte virksomheter benytter nettsidene sine til å informere om personvern og egen behandling av personopplysninger. De fleste virksomhetene som var med i kartleggingen, er storforbrukere av personopplysninger. Datatilsynet hadde derfor klare forventninger om å finne god kvalitet på tilgjengeliggjort informasjon om temaet. Formålet med undersøkelsen var å avdekke hvilke rammer den bevisste borger møter ved ønske om utøve sine lovfestede rettigheter i forhold til personvern. En rettighet vil være til liten nytte om den registrerte ikke er kjent med at det behandles personopplysninger om vedkommende og eller ikke kjenner til egne rettigheter i forhold til dette. Datatilsynet mener det er sannsynlig at en som ønsker nærmere kunnskap om en virksomhets behandling av personopplysninger, vil ta utgangspunkt i virksomhetens nettside. Kartleggingen avdekket store mangler i forhold til å gi tilfredsstillende informasjon til den registrerte. Med få unntak var informasjon om behandling av personopplysninger mangelfull hos alle de 20 undersøkte nettsidene. Datatilsynet gav hver nettside en hovedkarakter, basert på vurdering av 12 ulike forhold. På en skala fra 1-10, hvor 10 er best, ble gjennomsnittskarakteren for alle nettsidene 3,55. I grove trekk kan det slås fast at det er meget krevende for en bevisst borger å finne informasjon om hvilke opplysninger en virksomhet behandler, hvordan opplysningene behandles eller hvilke rettigheter man har som registrert. Hele 15 av de kontrollerte virksomhetene var fra statlig sektor. Felles for disse var at de behandler store mengder personopplysninger. Deres rettslige grunnlag for behandling av personopplysninger vil normalt være fastsatt i lov eller forskrift. Hvilke behandlinger disse statlige virksomhetene gjør vil imidlertid ikke alltid være intuitivt for borgeren. Å informere er lite ressurskrevende, spesielt om dette gjøres på virksomhetens nettside. Datatilsynet er derfor overrasket over resultatet av kartleggingen. Tilsynet er kritisk til at offentlige virksomheter i så liten grad informerer befolkningen om egen behandling av personopplysninger på nettsidene. Særlig siden behandlinger som foretas i offentlig sektor ofte vil være av svært inngripende karakter. Dette gjelder for eksempel statlige helseregistre, som det etter helsemyndighetenes planer vil bli stadig flere av. Datatilsynet har forståelse for at enkelte personopplysninger må behandles uavhengig av borgerens samtykke. Det bør imidlertid ikke medføre at informasjon om behandlingen underkommuniseres. Selv om det rettslige grunnlaget er fastsatt i lov, skal ikke den registrerte avskjæres fra muligheten til å utøve personopplysningslovens øvrige rettigheter på grunn av mangel på informasjon. DATATILSYNET - ANALYSERAPPORT Side 3 av 19
Innhold Innledning... 5 Prosjektet og ideen bak... 5 Metode og utvalg... 6 Om metoden... 6 Om utvalget... 7 Datatilsynets forventninger... 7 Presentasjon av funn... 8 Nøkkeltall... 8 Helhetsinntrykk... 9 Best og verst: Hva kjennetegner de beste og de dårligste?... 9 Lite, men likevel noe... 11 Drøftning... 12 Personvernerklæring sentral informasjon på ett sted... 13 Finnes, men ikke funnet... 13 Avsluttende kommentarer... 14 Vedlegg I - sjekkliste... 16 Vedlegg II Sammenstilling av data... 18 DATATILSYNET - ANALYSERAPPORT Side 4 av 19
Innledning Behandling av personopplysninger bygger på et tillitsforhold mellom den som er registrert og den som behandler opplysningene. Dagens personvernregelverk tar utgangspunkt i informerte og autonome borgere som gjør rasjonelle valg. Det er opp til den registrerte å vurdere hvem vedkommende ønsker å betro sine personopplysninger til. Innen offentlig sektor behandles imidlertid store mengder personopplysninger uten at samtykke eller avtale er det rettslige grunnlaget. Disse aktørene baserer i hovedsak sin behandling av personopplysninger på lov- eller forskriftshjemler. Det begrunnes med at behandlingen er nødvendig i et velfungerende samfunn. Uavhengig av det rettslige grunnlaget, er informasjon til den registrerte viktig slik at vedkommende kan settes i stand til å utøve egne rettigheter. Personopplysningsloven gir borgeren rettigheter i de tilfeller en virksomhet behandler opplysninger om vedkommende. Forutsetningene for utøvelse av disse rettighetene er at vedkommende er kjent med at det foregår en behandling og at vedkommende er kjent med rettighetene sine. Datatilsynet tar utgangspunkt i at den registrerte bør: informeres om behandlingen, og informeres om egne rettigheter Informasjon om at det skjer en behandling er spesielt viktig i de tilfeller det ikke er intuitivt for borgeren at så skjer. Det er spesielt relevant når den behandlingsansvarlige har sitt rettslige grunnlag fastsatt i lov, hvilket gjelder de fleste behandlinger av personopplysninger i offentlig regi. Selv om behandlingsgrunnlaget er fastsatt i lov, innebærer ikke det at borgeren er inneforstått med behandlingen. Videre er sannsynligheten for at vedkommende er i stand til å identifisere hvem det er som faktisk forestår behandlingen eller hvilke rettigheter han eller hun har, enda mindre. Prosjektet og ideen bak Datatilsynets utgangspunkt for kartleggingen var at det ikke finnes noen samlet oversikt over hvilke behandlinger det offentlige, især de statlige aktørene, kan foreta. Datatilsynet database over meldepliktige behandlinger vil i dette tilfellet være til begrenset hjelp. Det finnes mange unntak fra meldeplikten, og manglende overholdelse av meldeplikten er dessverre en vanlig forseelse. Med dette som utgangspunkt vil det være naturlig å forvente at plikthaverne som et minimum informerer om hvilke behandlinger de foretar samt hvilke sentrale rettigheter den registrerte har. Videre vil et være naturlig at det informeres om noen av de ordinære rettighetene i personopplysningsloven. Utgangspunktet for kartleggingen var forestillingen om den bevisste borger som søker informasjon for å holde seg informert og oppdatert om hvordan virksomheter behandler egne personopplysninger. Et naturlig sted å starte søking etter informasjon vil, etter Datatilsynets oppfatning, være virksomhetens nettside. Etter tilsynets vurdering, er det ikke urimelig å forvente utfyllende informasjonen er å finne nettopp her. DATATILSYNET - ANALYSERAPPORT Side 5 av 19
Flere grunner ligger bak hovedfokuset på offentlige virksomheter. Offentlige etater har ofte egne lovhjemler som behandlingsgrunnlag og opererer derfor med lovhjemler for innsamling og bruk av personopplysninger på en helt annen måte enn private aktører. De «slipper» derfor å spørre den registrerte om samtykke før behandlingen. Dette gjelder også for overføring av opplysninger/ utleveringer mellom virksomheter. Det bør imidlertid ikke frita dem fra å informere den registrerte om hva de faktisk gjør. Offentlig sektor er en stor tjenesteyter overfor borgerne, og forvalter gjennomgående store mengder personopplysninger. En del offentlige virksomheter har opplysninger om hele eller betydelige deler av befolkning og flere etater forvalter også sensitiv informasjon. Datatilsynet mener dette burde få betydning for hvordan offentlige virksomheter oppfyller informasjonsplikten. Datatilsynet oppfatter virksomhetenes nettsider som et naturlig sted for denne typen informasjonen. Videre tar tilsynet utgangspunkt i at mange vil ha lavere terskel for å lete etter informasjon på en nettside enn å kontakte virksomheten for å etterlyse samme informasjon. I mange tilfeller vil aktører som har skaffet seg lovhjemmel til behandling av personopplysninger hente inn informasjon fra andre enn den registrerte. Med mindre den registrerte gis informasjon fra den nye behandlingsansvarlige, vil vedkommende i mange tilfeller være uvitende eller ubevisst om at behandlingen finner sted. Personopplysningslovens 20 regulerer informasjonsplikt når opplysninger innhentes fra andre enn den registrerte selv. Om innsamlingen eller formidlingen av personopplysningene er utrykkelig fastsatt i lov, gis det unntak fra informasjonsplikten. Begrepet uttrykkelig gir føringer for at selve behandlingen må være konkret nevnt i selve lovteksten. Etter Datatilsynets erfaring stemmer dette ofte dårlig med realitetene, fordi en rekke av de offentlige aktørene har vide og vage fullmakter. Selv en informert leser vil kunne ha problemer med å omsette slike vide fullmakter til konkrete behandlinger. Når opplysningene ikke hentes fra den registrerte selv har Datatilsynet sett en tendens til at alminnelig opplysningsplikt ikke gjennomføres for innsamling til en offentlig virksomhet, eller formidling av opplysninger fra en offentlig virksomhet og til en annen. Det får betydning for den enkelte borgers evne til å få en helhetlig oversikt over hvilke virksomheter som behandler opplysninger om dem selv. Et annet mål for kartleggingen var å fremskaffe informasjon om muligheter og fordeler ved å gjøre informasjon tilgjengelig på nettsider for å kunne øke bevisstheten rundt dette. Kartleggingen skulle avklare dagens status og samtidig kunne tjene som innspill til en diskusjon om gode løsninger i tiden fremover. Metode og utvalg Datatilsynet har gjennomført en relativt liten kartlegging av i alt 20 virksomheter. Datamaterialet er derfor er begrenset, men gir samtidig et inntrykk av dagens situasjon. Virksomhetene som er valgt ut er blant de som burde ligge i øvre sjikt av skalaen hva gjelder å tilrettelegge informasjon. Om metoden Kartleggingen er avgrenset til datainnhenting, analyse og sammenfatning av funn i denne rapporten. Selve datafangsten ble gjennomført av to medarbeidere i Datatilsynets lokaler. Aktuelle nettsider ble DATATILSYNET - ANALYSERAPPORT Side 6 av 19
gjennomgått og det ble gjennomført en standardisert kartlegging eller test av sidene. Et standardisert skjema ble benyttet under datafangsten. Det ble tatt kopi av alle nettsider som hadde relevans for kartleggingen. Følgende utstyr ble benyttet: En stasjonær datamaskin, med to skjermer. Maskinen håndterte henholdsvis regneark for datafangst og det standardiserte metodedokumentet. En bærbar datamaskin koblet opp mot trådløst nettverk og mot projektor. Maskinen ble benyttet til oppslag på aktuelle nettsider og bildet ble projisert på lystavle. Webleser med tilleggsmodul for lagring av nettsider var installert. Totalt besøkstid per nettside anslås til ca. 25-30 minutter, inkludert notering og lagring av nettsider. Metoden var standardisert gjennom utfylling av skjema med 12 vurderingspunkter. Se vedlegg I for sjekklisten som danner utgangspunkt for datafangsten. En viktig forutsetning for kartleggingen var ikke å være helt sikker på om den etterspurte informasjonen fantes på en nettside eller ikke. Målet var å finne ut om informasjonen var tilfredsstillende enkel å finne og uten at det ble mye tid på letingen. Datatilsynet anser det som lite sannsynlig at den registrerte vil bruke langt tid på å lete etter denne typen informasjon på en nettside. Utgangspunktet var derfor at de fleste vil gi opp dersom de ikke finner relevant informasjon forholdsvis raskt og ved hjelp av enkle virkemidler. For å kunne gi et realistisk bilde av hvilken nytte den interesserte borger har av nettsidene, kunne selve utførelsen av testen ikke være for omfattende på den enkelte nettside. Om utvalget Av utvalget på 20 nettsteder, tilhørte 15 større statlige virksomheter. Blant disse 15, var enkelte heleide statlige foretak som i analysen regnes med som offentlige virksomheter. De øvrige fem var større private virksomheter. Hovedformålet med å inkludere et knippe private virksomheter var som en slags kontrollgruppe for å se om man kunne observere et skille mellom nettsidene til de store statlige og private virksomhetene. De private virksomhetene var forholdsvis tilfeldig valgt, ut fra at de representerte viktige og vanlige relasjoner for mange bank, forsikring og netthandel. Bank og forsikring er blant de private virksomheter som behandler de største mengdene av personopplysninger, dels også sensitive. Hvilke virksomheter som ble kontrollert fremgår av vedlegg II. Datatilsynets forventninger Utgangspunktet for kartleggingen var å sette seg inn i den bevisste og interesserte borgers sted. Hvilken hjelp får den registrerte i sin søken etter relevant informasjon? Gis det noen presentasjon av hvilke behandlinger av personopplysninger virksomheten foretar, og eller hvilke personopplysninger som behandles? Finnes det annen relevant informasjon som er nødvendig for å kunne benytte sentrale rettigheter etter personopplysningsloven? Før kartleggingen satte Datatilsynet opp følgende sentrale forventninger til virksomhetens nettside: DATATILSYNET - ANALYSERAPPORT Side 7 av 19
Det skal være et sted på nettstedet hvor den registrerte kan finne informasjon om personvern, fortrinnsvis samlet i en personvernerklæring eller tilsvarende. Det skal være forholdsvis lett å finne informasjonen om personvern. Det skal være kommunisert hvilke behandlinger som foretas i virksomheten, herunder hvilke personopplysninger som inngår i behandlingen. Det blir opplyst hvem som er ansvarlig for behandlingen og hvor en kan rette en henvendelse som gjelder et personvernanliggende som innsyn, retting eller sletting. Det blir opplyst om hvilke sentrale rettigheter den registrerte har og eventuelt hvilke begrensninger som er lagt inn i hjemmelslov. Presentasjon av funn I dette kapittelet beskrives hovedfunn og konklusjoner etter kartleggingen. Nøkkeltall Funnene i kartleggingen tyder på at virksomheter innen offentlig sektor med noen få unntak har et langt stykke å gå før informasjonen kan sies å være tilfredsstillende. Innsatsen for å få dette til vil imidlertid ikke kreve mye av virksomhetene. Datatilsynet var overrasket over at det i mange tilfeller var total fravær av informasjon. Spesielt sett i lys av hvor lite ressurser som skal til for å gi helt overordnet informasjon om virksomhetens behandling av personopplysninger på en nettside. At virksomheter som er storforbrukere av personopplysninger, herunder også sensitive opplysninger, ikke informerer om dette på helt overordnet plan, er nedslående. Følgende nøkkeltall kom frem i kartleggingen: Tema Samlet snittkarakter for alle 20 kontrollerte nettsider Andel som hadde personvernerklæring eller tilsvarende Andel som opplyste om sentrale rettigheter Andel som hadde personvern som emne på nettsiden Andel som opplyste om kontaktpunkt for spørsmål om personvern Andel virksomheter med lavest og nest lavest karakter Andel virksomheter med karakter 6 eller bedre Rangering 3,55 Skala: 1-10, hvor 10 er best 30 % 6 av 20 kontrollerte 30 % 6 av 20 kontrollerte 20 % 4 av 20 kontrollerte 20 % 4 av 20 kontrollerte 45 % 9 av 20 kontrollerte 25 % 5 av 20 kontrollerte DATATILSYNET - ANALYSERAPPORT Side 8 av 19
Den lave gjennomsnittskarakteren på 3,55 (10 er best) gir et skuffende helhetsinntrykk. Datatilsynet er overrasket over at nesten halvparten av de kontrollerte nettsidene får de to laveste karakterene på skalaen. Datatilsynet er også overrasket over at kun seks av de 20 kontrollerte virksomhetene hadde publisert en personvernerklæring eller tilsvarende dokument. En virksomhet utmerket seg spesielt positivt. Denne fikk karakteren åtte. Helhetsinntrykk To hovedinntrykk peker seg ut i kartleggingen: A) Det er stor spredning fra de beste til de dårligste i utvalget med hensyn til tilgjengelig informasjon om personvern. B) De fleste undersøkte nettsidene har lite relevant informasjon om personvern i relasjon til egen behandling av personopplysninger. Det er lett å fokusere på det negative, derfor starter vi med det som er positivt: Datatilsynet fant eksempler som kan være til inspirasjon for øvrige. Det er også klart at ved å studere de få som kommer godt ut i testen, ser det ut til å være forholdsvis enkelt for de andre virksomhetene å få på plass tilsvarende informasjon på sine nettsider. Det mest overraskende funnet er at de fleste virksomheter ikke har utnyttet muligheten nettsidene gir for å gi kostnadseffektiv informasjon til publikum. En person som ønsker å søke informasjon på nettsiden, vil finne lite eller ingenting om personvern. Hvis søkefeltet benyttes, vil vedkommende ofte finne en uhåndterlig mengde informasjon med lite relevans for virksomhetens håndtering av personopplysninger. Med utgangspunkt i situasjonen på kontrolltidspunktet: Mye kan forbedres med relativt enkle midler. Å informere på egne nettsider er både kostnadseffektivt og enkelt. Best og verst: Hva kjennetegner de beste og de dårligste? De beste Totalt fem av virksomhetene fikk karakter fra seks-åtte. Statistisk Sentralbyrå (SSB) fikk høyeste karakter i denne kartleggingen med en hovedkarakter på åtte. Noe lengre bak fulgte Forsvaret, If Skadeforsikring, Skandiabanken og Storebrand med en hovedkarakter på seks. Hva kjennetegner så de fem nettstedene som fikk høyest karakter? Datatilsynet vil i drøftelsen om dette ta utgangspunkt i nettsiden som fikk høyest score - SSB. Karakteristika for SSB sin nettside Informasjon om personvern og behandling av personopplysninger er godt samlet på nettsidene. Når bruker har lokalisert dette som tema, gis det fyldig informasjon. En slik samling av informasjon som er gjort fra SSB sin side fremstår som hensiktsmessig for den som søker informasjonen. SSB har personvernombud tilknyttet Datatilsynets frivillige personvernombudsordning. Informasjon om personvern er knyttet til denne funksjonen og ombudets nettsider på www.ssb.no. Etter tilsynets DATATILSYNET - ANALYSERAPPORT Side 9 av 19
oppfatning er det hensiktsmessig å sammenstille informasjon og kontaktperson i forhold til behandling av personopplysninger. Personvern er eget tema under Stikkord, en alfabetisk stikkordsliste for å finne frem på www.ssb.no. På Om SSB står det også en egen peker til personvernombudet. Alt dette fører til at bruker kommer enkelt frem til en side med overskriften Personvernombudet i SSB. I tillegg til en kort tekst om personvernombudet og kontaktinformasjon, er det fem pekere på siden: Dine rettigheter etter personopplysningsloven ift SSB reservasjonsmulighet overfor SSB Undersøkelser som pågår SSB og personvernet SSBs meldinger om behandling av personopplysninger Alle pekerne viser til relevant og nyttig informasjon om personvern. Særlig siden om rettigheter fanger opp mye nyttig informasjon på ett sted. Informasjonen som gis her er forholdsvis utfyllende. Det listes opp sentrale rettigheter som innsyn, rettig og sletting. Samtidig har SSB ikke bare en generell informasjon om rettigheter, disse utdypes også i relasjon til situasjonen, eksempelvis Retting i SSB. Det informeres om kontaktinformasjon for spørsmål og utøvelse av rettigheter, i dette tilfellet til personvernombudet. Det opplyses også om at bruker kan utøve sine rettigheter gratis og at du har krav på svar innen en angitt frist. Den tilgjengelige informasjonen opplyser også om hvilke typer personopplysninger SSB har og eksempler på hvor de kommer fra, riktignok ikke helt i detalj, men leseren får et overordnet inntrykk. Det informeres samtidig om forholdet mellom statistikk og personidentifiserbarhet og utlevering av statistikk med videre. Det gis også informasjon om ansvarsforhold (behandlingsansvar) etter personopplysningsloven. Informasjonen fremstår som god og tillitsvekkende. Skulle leseren ønske å vite mer eller utøve sine rettigheter, vil vedkommende slippe å forklare sitt anliggende til et sentralbord. SSB opplyser om at personvernombudet er kontaktperson for denne type spørsmål og oppgir også kontaktopplysninger til personvernombudet. Etter tilsynets vurdering, er det likevel mulig å gjøre forbedringer 1, men hovedkonklusjonen er likevel: SSB har lykkes. På SSB sine nettsider får leserne god informasjon om personvern og behandling av personopplysninger hos SSB. Forsvaret, If Skadeforsikring, Skandiabanken og Storebrand Nettsidene som kom nest best ut i kartleggingen var nettstedene til Forsvaret, If Skadeforsikring, Skandiabanken og Storebrand. Disse får trekk for en del konkrete svakheter, men ender likevel opp med samlet karakter i øvre delen av skalaen. Det er ulike forhold som gir disse tilnærmet samme 1) Andre nettsteder har informasjon om personvern ved bruk av selve nettstedet, hvilke spor som legges igjen. Dette mangler hos SSB. Ideelt sett burde det være en link til personvern var på forsiden, eksempelvis slik en del virksomheter har personvernerklæring nederst på siden. SSB har heller ikke en personvernerklæring i en streng forstad av begrepet, men tilsvarende informasjon lar seg finne i det vesentligste. Ideelt sett hadde det også vært bra om det ble oppgitt mer detaljert hvilke personopplysninger SSB har. Det er en utfordring, og ikke minst en vanskelig balansegang mellom hva som er tilstrekkelig informasjon og hva som blir for mye. DATATILSYNET - ANALYSERAPPORT Side 10 av 19
score. Det trekkes derfor kun frem en fellesnevner som har vært et svært viktig element for at tilsynet har valgt å gi karakteren seks: Alle fire har en personvernerklæring eller tilsvarende som dekker et viktig informasjonsbehov. Dette eksemplifiserer en av de viktigste observasjonene under tilsynets gjennomgang av nettsidene: En personvernpolicy på nettstedet er av stor verdi som informasjonskanal om håndtering av personverninformasjon. Det fordrer naturligvis at personvernerklæringen er enkel å finne, at den har et innhold som gir mening og at innholdet omfatter de viktigste temaene. Storebrand og If har lettest tilgjengelige informasjon. Nederst på forsidene er det peker til Behandling av personopplysninger og Cookies på www.if.no og Informasjon om behandling av personopplysninger og cookies på www.storebrand.no. På Forsvarets sider, må brukeren søke frem informasjon, for eksempel ved søkeordet personvern. I tillegg til den generelle, har Forsvaret egen personvernerklæring i sammenheng med www.utvalgt.no, som er et nettsamfunn for de som får mulighet for å avtjene førstegangstjenesten i Hæren. Skandiabanken har god informasjon, men det er ingen peker på forsiden, og heller ikke noe emnekart eller alminnelig søkefelt som kan gi hjelp til å finne frem. En slik plassering kan føre til at informasjonen ikke blir funnet av de som leter etter den, noe som kommenteres litt senere i rapporten. De dårligste Fellesnevneren for nettstedene som kommer dårlig ut i testen er enkel; man finner lite eller ingenting av relevans når det gjelder håndtering av personopplysninger, det som finnes er en uhåndterlig masse av treff på søkeord og at artiklene som kommer frem øyensynlig ikke omhandler det man leter etter. Det som avgjør om en side havner i den lavere del av karakterskalaen er enten at informasjon ikke finnes eller er for vanskelig tilgjengelig. Det kan trekkes frem to eksempler som illustrasjon: På nettsidene til Helse Fonna HF klarte ikke Datatilsynet å finne noe informasjon relevant om behandling av personopplysninger. Heller ikke søkefeltet og søkeordene personvern eller personopplysning/ personopplysninger førte til treff på relevant informasjon. Det gav ett treff på personvern, men det hadde ikke relevans om behandling av personopplysninger. Helse Fonna HF fikk karakteren en. På Fokus Bank sine nettsider, www.fokus.no, ligger det peker på forsiden om Behandling av opplysninger. Her kan det leses om hvilke spor som legges igjen ved bruk av bankens hjemmesider. Datatilsynet fant imidlertid ingen relevant informasjon om personvern for øvrig. Heller ikke ved hjelp av søk eller på nettkart. Da det var noe relevant informasjon for eksempel om elektroniske spor ved bruk av nettsiden, fikk Fokus Bank karakteren to. Hver på sin måte viser eksemplene hvor lite informasjon en leser vil kunne finne om hvordan virksomhetene behandler personopplysninger og hvordan de ivaretar personvernet på hjemmesidene. Lite, men likevel noe Et flertall av virksomhetene havnet ganske samlet i den nedre del av karakterskalaen. Felles for disse var at de hadde noen av de elementene det ble lett etter, men langt fra tilfredsstillende. Tilsynets vurdering er at en bevisst borger ville hatt praktiske problemer med å nyttiggjøre seg informasjonen. DATATILSYNET - ANALYSERAPPORT Side 11 av 19
Generell informasjon om personvern, herunder rettigheter til en registrert, har begrenset verdi om ikke virksomheten gir noen informasjon om hvilke behandlinger de selv foretar. Dette er ikke intuitivt for den registrerte ut fra informasjonen som gis på de fleste nettsidene. Spesielt vil tilsynet trekke frem de statlige virksomhetene som har sitt rettslige grunnlag for behandling fastsatt i lov. Borgeren vil ikke alltid være klar over hvilke fullmakter lovgiver har gitt virksomheten. Som et ledd i den demokratiske kontrollen er det viktig at borgeren gis informasjon, både for å ivareta egne rettigheter og for å kunne reagere på urettmessig eller for vid bruk av hjemler. Drøftning Opplevelsen teamet hadde under informasjonsinnhentingen var svært varierende. I noen tilfeller ble relevant informasjon funnet umiddelbart. I andre tilfeller var det langt mer utfordrende, men informasjonen var mulig å finne til slutt. Dersom ønsket informasjon ikke var funnet etter de 25-30 minuttene som ble stilt til rådighet for hver nettside, konkluderte tilsynet med at informasjonen ikke eksisterte eller var for vanskelig tilgjengelig. De færreste av virksomhetene hadde informasjon om personvern på indekssiden. En observasjon underveis i informasjonsinnhentingen var derfor at brukeren var veldig avhengig av søkefelt og/ eller emneoversikt for å komme seg videre. Noen av virksomhetenes nettsider hadde ingen av disse funksjonene, noe som ga et umiddelbart inntrykk av at det ikke var mulig å finne informasjonen. Brukeren blir da overlatt til eventuelt å klikke på en rekke pekere i håp om å finne noe. Under datafangsten viste det seg at hva som er relevante søkeord, ikke er entydig gitt. Tilsynet søkte på personvern, personvernpolicy, personvernerklæring, personopplysning og personopplysninger. I noen tilfeller ga et søk en håndterlig mengde treff med betydelig relevans, i andre det stikk motsatte: - en uhåndterlig mengde treff som så ut til å være uvesentlige i forhold til det tilsynet lette etter. I denne sammenheng er det viktig å ta hensyn til at den som leter ikke har ubegrenset tålmodighet. Datatilsynets generelle inntrykk er at med mindre informasjonen lett lar seg spore opp, så finnes den faktisk ikke. På de nettsidene tilsynet konkluderte med at det er et tilfredsstillende informasjonsinnhold, var informasjonen i de fleste tilfeller lokalisert i løpet av de første to-fire minuttene. Unntakene var hovedsakelig tilfeller hvor virksomhetene har artikler og andre dokumenter hvor personvern er tema i forbindelse med en konkret sak/ en tjeneste/ et register. Det ble funnet en del enkeltartikler om personvern under testen, men alt i alt overraskende få. helt uventet, står mange av disse i en sammenheng med spesiell oppmerksomhet rundt en sak. Datatilsynet kunne også konstatere at en del av disse var skrevet i etterkant av kontroll fra Datatilsynet eller saker det hadde vært medieoppmerksomhet om. Det er positivt at det publiseres informasjon om spesielle situasjoner og når noe får en særlig oppmerksomhet i medier. Men hvis disse sakene utgjør nettsidenes personverninformasjon, tyder det på at informasjonen borgerne får styres av ytre forhold og forventninger ikke etter eget initiativ fra virksomheten. Slik bør det etter Datatilsynets mening ikke være. Av de 20 virksomheten er det seks som har personvernombud. Snittkarakteren for alle 20 virksomheter er 3,55. Snittkarakteren for virksomheter i testen med personvernombud er høyere: 4,66. Den gjennomsnittelige karakteren for virksomheter uten personvernombud er 3,07. Samlet sett kommer altså virksomheten med personvernombud bedre ut enn de som ikke har det. Gapet er ikke DATATILSYNET - ANALYSERAPPORT Side 12 av 19
stort, men likevel tydelig. Grunnet det lave antallet virksomheter som er tatt med, skal en ikke legge for mye i denne observasjonen med tanke på allmenngyldighet, men observasjonen er like fullt interessant. Personvernerklæring sentral informasjon på ett sted En viktig erfaring fra kartleggingen er at det er en fordel for brukerne om informasjonen om personvern står samlet. At man gjennom søk finner litt her og litt der, er etter tilsynets oppfatning en lite hensiktsmessig måte å informere publikum på. Et fellestrekk for nettsidene som kom godt ut i testen var at sentral informasjon er samlet på ett sted. Det betyr ikke at all tilgjengelig informasjon må stå på ett sted, men at det opprettes en felles startside for personvernrelatert informasjon. Etter å ha lett etter informasjon på en rekke nettsider er det teamets vurdering at sentral informasjon samlet på ett sted og/eller at det opprettes en form for startside for personvernrelaterte temaer er den løsningen publikum er best tjent med. Kun 6 av de 20 nettsidene hadde en personvernerklæring eller tilsvarende. Datatilsynet mener dette er et lavt tall, gitt den type aktører det her er tale om. En annen observasjon knyttet til personvernerklæring, er at det ser ut til at de offentlige virksomhetenes nettsider er en lite brukt kanal formidling av denne typen informasjon. Som nevnt innledningsvis utgjorde offentlige virksomheter den klart største andelen av utvalget. Svært få av disse hadde personvernerklæring. Det var en langt høyere andel av de private virksomhetenes nettsider som hadde dette: fire av fem. Da tallmaterialet er begrenset, er Datatilsynet forsiktig med å legge for mye i dette. Skulle forskjellen mellom offentlig og privat sektor stemme rent generelt: Forklaringen kan imidlertid ikke være at personvernrelaterte temaer er av mindre betydning i offentlige enn i private virksomheter. Mye taler for at det forholder seg stikk motsatt; at antallet personer som er omfattet av virksomhetens praksis eller tjenester, opplysningsmengde og grad av sensitive opplysninger, taler for at personverninteresser ofte er høyere i mange offentlige virksomheter. Dersom det er en forskjell mellom offentlige og private aktører med hensyn til formidling av personvernrelatert informasjon på nettsidene, kan en forklaring være knyttet til valgfrihet og kunderelasjon. Selv om alle virksomheter er opptatt av et godt omdømme, er kommersielle aktører på en helt annen måte avhengig av kundenes tillit. Ivaretakelse av personvern er en del av dette. God informasjon om personvern og behandling av personopplysninger kan være viktig for å ivareta en eksisterende kunderelasjon og som en tillitsvekkende del for potensielle nye kunder. Er en person misfornøyd med sin bank eller sitt forsikringsselskap, kan han bytte. Er en person misfornøyd med en offentlig aktør eller tjeneste, finnes det normalt ikke alternative aktører. En av de viktigste observasjonene fra kartleggingen er at en personvernerklæring (eller liknende) er en god måte å informere brukerne på. Det å publisere en personvernerklæring er nyttig for brukerne og samtidig lite byrdefullt for virksomhetene. Det er særlig viktig at store offentlige virksomheter benytter denne informasjonskanalen. Finnes, men ikke funnet Det er til lite hjelp om god informasjon eksisterer, men er for vanskelig å finne. Virksomhetene må ta utgangspunkt i at en interessert borger som prøver å finne relevant informasjon om personvern på DATATILSYNET - ANALYSERAPPORT Side 13 av 19
nettsidene, ikke opptrer med stor tålmodighet. De aller fleste vil gi opp hvis de ikke finner noe forholdsvis raskt. God informasjon som eksisterer, men som ingen finner, har ingen verdi. Datatilsynet fant under kartleggingen et konkret eksempel på denne problemstillingen: På tidspunktet for datafangsten hadde ikke Skandiabanken informasjon om personvern på indekssiden. Sidene hadde heller ikke noe vanlig/ generelt søkefelt eller emneoversikt. Det gis riktignok mulighet for å søke i Spørsmål og svar, men heller ikke det førte frem. Etter å ha konstatert dette, avsluttet Datatilsynet søket. I ettertid ble det oppdaget at banken hadde en god og relevant informasjon på sine nettsider, blant de aller beste virksomhetene i testen. At dette ikke ble oppdaget med en gang kan være en svakhet i metoden som ble benyttet. Men det sier likevel noe om de realiteter en bevisst borger kan møte. Å finne informasjonen fordrer at brukerne klikker på forskjellige pekerne for å se om relevant informasjon kan finnes der. I dette tilfellet lå informasjonen under pekeren Om oss. På denne siden var Personvern og Sikkerhet egne temaer. Ved å klikke på Personvern, finner brukeren mye av den informasjonen Datatilsynet så etter i kartleggingen. Etter vår vurdering, innebærer denne plasseringen, i kombinasjon med manglende søkemuligheter og emnekart, en betydelig risiko for at viktig informasjon ikke blir funnet. Datatilsynet vil ikke utelukke at også andre virksomheter i utvalget kan ha informasjon på sine nettsider som ikke ble funnet i kartleggingen. Tilsynet legger imidlertid til grunn at kartleggingen ble utført på en måte som var mer tålmodig eller grundig enn hva man kan anta at privatpersoner som søker etter slik informasjon vil gjøre. Tilgjengeliggjøring av informasjon fra indekssiden er en stor fordel, eksempelvis ved en peker til personvern eller personvernerklæring eller tilsvarende. Hvis dette ikke finnes, vil den som søker trolig være avhengig av at det er lett å finne relevant informasjon på andre måter, for eksempel via søkefelt, emneord eller nettkart. Avsluttende kommentarer Det begrensede antallet virksomheter i testen gir ikke grunnlag for å trekke entydige konklusjoner av allmenn gyldighet. Tilsynet mener imidlertid at funnene ikke ligger langt unna virkeligheten. Det er i realiteten mange av de samme svakheter som går igjen dersom funnene hos de ulike virksomhetene sammenliknes. Selv om det i testen finnes flere gode eksempler i utvalget, er det totale inntrykket dessverre dårlig. Sammenliknet med den lille kontrollgruppen av private i utvalget, kommer de offentlige virksomhetene i sum dårligst ut. Med tanke på mengden av personopplysninger og graden av følsomme opplysninger for enkeltmennesket, burde de mange offentlige aktører sette høye krav til seg selv med tanke på å tilgjengeliggjøre informasjon. God informasjon om virksomhetens behandling av personopplysninger på egne nettsider er ikke urimelig å forvente. Funnene gir grunn til å hevde at det er behov for en generell gjennomgang og nivåheving uavhengig av sektor. Etter tilsynets vurdering, er det ikke tilfredsstillende at virksomhetenes nettsider i så liten grad er til nytte for personen som søker informasjon om hvilke behandlinger en virksomhet foretar og hvordan personvernet ivaretas der. DATATILSYNET - ANALYSERAPPORT Side 14 av 19
Heldigvis er det ikke vanskelig eller byrdefullt å gjøre store forbedringer. Et sentralt virkemiddel for å få dette til er lett finnbare personvernerklæringer eller tilsvarende. Det er en fordel for brukerne om den sentrale informasjonen om personvern står samlet, og at det finnes en form for felles startside for personvernrelatert informasjon. DATATILSYNET - ANALYSERAPPORT Side 15 av 19
Vedlegg I - sjekkliste Det ble benyttet en sjekkliste i forbindelse med kartleggingen: Virksomhet: Adresse: Post Element Alternativer Kommentar/merknader 1 Er det noen informasjon om eller link til informasjon om personvern på virksomhetens indeksside? 2 Har virksomheten en personvernpolicy eller tilsvarende tilgjengelig på egen nettside? I så fall, er den lett å finne. 3 Hvis nettsiden har en søkefunksjon: Får man treff på personvern og/ eller personopplysninger? Kommer det frem interessant info? Hvor mange treff på personvern og på personopplysninger/ personopplysning? 4 Om man går på alfabetisk oversikt over innhold/ emneoversikt eller lignende, er det noe her som gir muligheter for finne frem til relevant informasjon? Er personvern eller tilsvarende tema et eget emne? 5 Inneholder siden informasjon om sentrale rettigheter Innsyn Retting Sletting 6 Er det mulig å finne ut noe om ansvarsforhold (behandlingsansvar)? Er det noen oversikt over hvilke personopplysninger som behandles? 7 Har virksomheten noe informasjon om hvor du kan kontakte om henvendelse gjelder et personvernanliggende som sletting, retting eller innsyn? Relevant/ relevant Antall (kategorier: 1-10, 11-50 osv) Ja/ Nei Ja/ Nei Ja/ Nei DATATILSYNET - ANALYSERAPPORT Side 16 av 19
8 Gis det noe informasjon om behandlings av personopplysninger Rent generelt Konkret 9 Finnes det noe i FAQ eller tilsvarende som har relevans for personvernet? 10 Har virksomheten et personvernombud? Ja/ Nei Er dette sporbart på nettsiden? Ja/ Nei 11 Gir virksomheten informasjon om hvilke Ja/ Nei spor som legges igjen ved bruk av nettsiden? 12 Karakter 1 10 (10=best) Liten, oppsummerende kommentar til hver hjemmeside. NB: Svarkategoriene ovenfor er ikke uttømmende. Ja eller Nei er hovedsvarene (for ett delspørsmål relevant/ ikke relevant). Men for de fleste spørsmålene er det også mulig å svare Delvis og Vet ikke og relevant. DATATILSYNET - ANALYSERAPPORT Side 17 av 19
Vedlegg II Sammenstilling av data Tabellene under viser en sammenstilling av data. Virksomhet 1 2 2b 3 3b 3c 3d 4 4b 5 5b SSB Nei Nei relevant Ja Relevant 51-100 21-50 Ja Ja Ja Ja Forsvaret Nei Ja Delvis Ja Relevant 11-20 11-20 Nei Nei Ja Ja If Skadeforsikring Ja Ja Ja Ja Relevant Ingen 1-10 Nei Nei Ja Ja Skandiabanken Nei Ja Delvis Ja relevant 1-10 11-20 Nei Nei Ja Ja Storebrand Nei Ja Delvis Ja Relevant 1-10 > 100 Nei Nei Ja Ja Oslo universitetssykehus Nei Ja Vet ikke Ja Relevant 1-10 1-10 Ja Nei Ja Ja Komplett.no Ja Ja Ja Nei relevant Ingen Ingen Nei Nei Nei Nei Nasjonalt Folkehelseinstitutt Nei Nei NAV/ Arbeids- og velferdsetaten Ja Nei Brønnøysundregistrene Nei Nei relevant Ja Relevant 21-50 21-50 Ja Delvis Delvis Delvis relevant Ja Relevant relevant relevant 51-100 > 100 Delvis Nei Nei Nei relevant Ingen Ingen Ja Delvis Nei Nei Posten Ja Delvis Ja Ja Relevant 1-10 1-10 Nei Nei Nei Nei Kreftregisteret Nei Nei relevant Ja Relevant 1-10 1-10 Delvis Nei Delvis Delvis Statens vegvesen Vegdirektoratet Nei Nei Kripos Nei Nei relevant Ja Relevant > 100 21-50 Nei Nei Nei Nei relevant Ja Relevant 1-10 21-50 Nei Nei Nei Nei Skattedirektoratet Nei Nei Nei Ja Relevant 1-10 21-50 Nei Nei Nei Nei St. Olav Hospital HF Nei Nei relevant Ja Relevant 11-20 21-50 Nei Nei Nei Nei Universitetssykehuset Nord- Norge Nei Nei relevant Ja relevant 1-10 > 100 Nei Nei Delvis Ja Fokus Bank Ja Nei Vet ikke Ja relevant 1-10 1-10 Nei Nei Nei Nei Tolldirektoratet Nei Nei relevant Ja Relevant 11-20 21-50 Nei Nei Nei Nei Helse Fonna HF Nei Nei relevant Ja relevant 1-10 Ingen Nei Nei Nei Nei DATATILSYNET - ANALYSERAPPORT Side 18 av 19
Virksomhet 5c 5d 6 6b 7 8 8b 9 10 10b 11 12 SSB Ja Ja Ja Ja Ja Ja Nei Nei Ja Ja Nei 8 Del Forsvaret Ja Ja Ja Delvis Ja Ja Delvis Nei Nei relevant vis 6 If Skadeforsikring Ja Ja Ja Delvis Nei Ja Delvis Nei Nei relevant Del vis 6 Delvi Skandiabanken Ja Ja s Ja Ja Ja Ja Delvis Ja Nei Ja 6 Del Storebrand Ja Ja Ja Ja Ja Ja Delvis Nei Nei relevant vis 6 Oslo universitetssykehus Ja Ja Nei Nei Nei Ja Ja Nei Ja Nei Nei 5 Komplett.no Nei Nei Ja Ja Nei Ja Ja Nei Nei relevant Ja 5 Nasjonalt Folkehelseinstitutt Delvis Delvis Ja Ja Delvis Ja Delvis Nei Ja Ja Nei 4 NAV/ Arbeids- og velferdsetaten Nei Nei Nei Nei Nei Brønnøysundregistrene Nei Nei Ja Delvis Nei Posten Nei Nei Ja Delvis Nei Kreftregisteret Nei Nei Nei Nei Nei Del vis Nei Nei Nei relevant Ja 3 Del vis Nei Nei Ja Ja Nei 3 Del vis Delvis Nei Nei relevant Ja 3 Del vis Nei Nei Nei relevant Nei 2 Statens vegvesen Vegdirektoratet Nei Nei Nei Delvis Nei Nei Delvis Nei Nei relevant Nei 2 Kripos Nei Nei Nei Nei Nei Nei Delvis Nei Nei relevant Nei 2 Skattedirektoratet Nei Nei Ja Nei Nei Nei Nei Nei Nei relevant Ja 2 St. Olav Hospital HF Nei Nei Nei Nei Nei Nei Nei Nei Ja Nei Nei 2 Universitetssykehuset Nord- Norge Nei Nei Nei Nei Nei Nei Nei Nei Nei relevant Nei 2 Fokus Bank Nei Nei Nei Nei Nei Nei Delvis Nei Nei relevant Ja 2 Tolldirektoratet Nei Nei Nei Nei Nei Nei Nei Nei Nei relevant Nei 1 Helse Fonna HF Nei Nei Nei Nei Nei Nei Nei Nei Nei relevant Nei 1 DATATILSYNET - ANALYSERAPPORT Side 19 av 19