Du bruker en gammel nettleser. For å kunne bruke all funksjonalitet i nettsidene må du bytte til en nyere og oppdatert nettleser. Se oversikt over støttede nettlesere.

Stortinget.no

logo
Hopp til innholdet
Til forsiden
Til forsiden

Vedlegg

Jeg viser til oversendelse av representantforslag 8:56 S (2010 - 2011) om styrking av personvernet fra representantene Helleland - Schou - Kambe - Røe Isaksen - Tetzschner og Solberg. Oversendelsen er datert 27. januar 2011. Forslagsstillerne tar opp viktige prinsipielle personvernspørsmål. Jeg vil innledningsvis benytte anledningen til å informere om at jeg i arbeidet med å følge opp Personvernkommisjonens rapport har kommet til at det vil være riktig å invitere Stortinget til en helhetlig og samlet drøfting av personvernspørsmål. Jeg ønsker derfor å komme tilbake til Stortinget med en egen melding om dette.

Representantforslaget inneholder ti forslag, som jeg vil kommentere i nedenstående rekkefølge. Forslagene berører i stor grad andre statsråders konstitusjonelle ansvarsområder. Svarene avgis derfor i samråd med disse statsrådene.

  • I. Stortinget ber regjeringen sørge for at informasjon om inntekt og skatt gjøres offentlig tilgjengelig ved forespørsel, der forespørrerens navn blir registrert og personen det innhentes opplysninger om, får varsel (etter dagens modell for innhenting av kreditt-opplysninger).

  • II. Stortinget ber regjeringen sikre at offentlige registre og opplysningsbanker, slik som helsevesenet og NAV, etablerer logg for hvem som innhenter informasjon, og at den enkelte får rett til innsyn i loggen knyttet til sin person.

  • III. Stortinget ber regjeringen begrense NAVs mulighet til å innhente personopplysninger samt komplette pasientjournaler, og legger til grunn at den berørte pasient gis kjennskap til at journalen er utlevert.

  • IV. Stortinget ber regjeringen sikre at det etableres en personvemansvarlig ved alle større institusjoner og etater som har tilgang til sensitive personopplysninger, eksempelvis NAV, helsesektoren og justissektoren.

  • V. Stortinget ber regjeringen fremme forslag om fjerning av Skattedirektoratets hjemmel i ligningsloven til å kreve innsyn i opplysninger knyttet til konkrete kjøretøy benyttet i næringsvirksomhet ved elektronisk bompassering.

  • VI. Stortinget ber regjeringen utarbeide retningslinjer for å sikre personvernet i forbindelse med innhenting og bruk av personopplysninger i skolen. Retningslinjene må sikre at personopplysninger blir behandlet, oppbevart og slettet på forsvarlig vis.

  • VII. Stortinget ber regjeringen iverksette tiltak for å skolere barnehageeier og barnehageansatte i personvernloven, samt innføre en bestemmelse om at innhenting og lagring, samt overførsel av personopplysninger mellom barnehage og skole, kun skal skje etter informert samtykke fra foreldre/foresatte.

  • VIII. Stortinget ber regjeringen endre offentlighetsloven slik at klasselister kan forbli skolens eiendom, og således begrenses til den krets som har normal nytte av dem.

  • IX. Stortinget ber regjeringen sikre at forskrift om systematisk helse-, miljø- og sikkerhetsarbeid i virksomheter også hensyntar personvernet.

  • X. Stortinget ber regjeringen pålegge også store private registre, som i bank og forsikring, å etablere logger for hvem som innhenter personsensitiv informasjon, og at den enkelte får rett til innsyn i loggen knyttet til sin person.

I representantforslaget bes regjeringen sørge for at informasjon om inntekt og skatt gjøres offentlig tilgjengelig ved forespørsel, og at forespørrerens navn blir registrert og personen det innhentes opplysninger om, får varsel.

Offentliggjøring av skattelister er viktig for å styrke den kritiske debatten om skattemessige forhold. Offentliggjøringen kan bidra til den samfunnsmessige kontrollen med ligningsmyndighetene. Hemmelighold av resultatet av ligningen kan skape grunnlag for spekulasjoner omkring ligningsarbeidet i sin alminnelighet og om fastsettingene for enkeltpersoner eller grupper av skattytere.

Regjeringen mener at man bør være tilbakeholden med å sette i verk tiltak som svekker den samfunnsmessige kontrollen med forvaltningen, og som kan hemme debatten om uheldige forskjeller og utviklingstrekk i samfunnet.

Hensynene som taler for full offentlighet rundt skattelistene må likevel balanseres mot andre samfunnsmessige interesser, slik som hensynet til personvernet. Dette er noe av bakgrunnen for at Finansdepartementet 31. januar 2011 sendte på høring et forslag om innstramminger i måten skattelistene offentliggjøres på.

I høringsnotatet foreslår departementet at skattelisten bare skal være tilgjengelig på skatteetatens hjemmeside i ett år. Ordningen med utlegg av papirlister foreslås avviklet. Etter forslaget vil pressen fortsatt få tilgang til elektronisk kopi av skattelistene, men tilgangen vil være betinget av at redaksjonene inngår en avtale med skatteetaten om ikke å publisere hele eller deler av skattelisten i søkbar form på Internett. Forslaget sikrer at pressen kan bruke opplysningene i skattelisten til kritisk journalistikk. Samtidig reduseres risikoen for misbruk av listene ved at pressens mulighet til å legge hele eller deler av skattelisten ut på Internett i søkbar form fjernes.

Regjeringen anser det ikke som aktuelt å innføre en ordning hvor de som ønsker å hente ut opplysninger fra skattelistene registreres, og hvor de det blir hentet informasjon om blir varslet. I forslaget som Finansdepartementet har sendt på høring, varsles det imidlertid at det vil bli vurdert om det er hensiktsmessig å innføre en teknisk løsning hvor de som skal søke i skattelistene, for eksempel må logge seg på gjennom MinID.

Fra personvernhold har kommersiell bruk av skattelistene vært kritisert i en årrekke. Høringsforslaget fra regjeringen vil begrense den kommersielle utnyttelsen av skattelistene, sammenlignet med gjeldende rett.

Jeg mener det vil være riktig at høringsinstansene får mulighet til å uttale seg om dette høringsforslaget.

Oppsummering: Man bør avvente høringsinstansenes syn på forslaget til inn-stramming i tilgangen til skattelistene før det gjøres endringer.

I representantforslaget bes regjeringen sørge for at det etableres logg for hvem som innhenter informasjon fra offentlige registre og opplysningsbanker, og at den enkelte får rett til innsyn i loggen knyttet til sin person. Forslaget kan, slik jeg ser det, forstås på to måter. For det første kan det forstås slik at alle interne oppslag i registrene logges, slik at bruk kan etterspores. På den andre siden kan forslaget forstås dit hen at all utlevering av opplysninger til utenforstående skal logges, slik at de registrerte kan få vite hvem som har mottatt opplysninger fra et offentlig tilgjengelig register.

Når det gjelder loggføring av interne oppslag i personregistre med sensitive personopplysninger i for eksempel helsevesenet og NAV, finnes det allerede regler på dette området. Helseregisterloven § 13 if. ble endret ved lov 19. juni 2009 nr. 68. Lov-endringen presiserer at den registrerte har rett til innsyn i logg fra behandlingsrettet helseregister om hvem som har hatt tilgang til helseopplysninger om ham eller henne. Med behandlingsrettet helseregister menes blant annet journal- og informasjons-systemer.

Videre følger det av forskrift om innsamling og behandling av helseopplysninger i Norsk pasientregister (NPR) § 4-2, annet ledd, annet punkt, at det skal etableres systemer for logging av elektroniske spor ved all tilgang til registeret. I samme forskrift § 3-10 stilles videre krav om oversikt over hvem som har fått utlevert opplysninger fra NPR, samt hjemmelsgrunnlaget for utleveringen. Krav om oversikt over utleveringer følger for øvrig også av de øvrige registerforskriftene. Jeg mener derfor at forslagets romertallspunkt II i all hovedsak allerede er gjeldende rett i helsevesenet.

Arbeids- og velferdsetaten (NAV) fører allerede i dag logger over informasjonssøk i alle relevante personregistre. Loggføring av informasjonsinnhenting i registrene er nødvendig for å oppfylle personopplysningslovens og personopplysningsforskriftens krav om å kunne avdekke uautorisert bruk av informasjonssystemene og andre brudd på sikkerhetsbestemmelser knyttet til personregistrene.

Blant annet kvalitet og tilgjengelighet til loggene medfører at krav om innsyn må behandles manuelt. I mange tilfeller vil ikke brukerne kunne nyttiggjøre seg informasjonen i loggutskriftene uten omfattende veiledning om interne arbeids-prosesser og ansvarsfordeling i etaten. Antall brukere av Arbeids- og velferdsetaten, og omfanget av personopplysningene etaten forvalter, tilsier at det vil måtte benyttes betydelige ressurser til behandling av innsynskrav hvis en rett til innsyn i loggen skulle bli innført. Det vil også måtte påregnes utviklings- og implementeringskostnader.

Hvorvidt det bør etableres regler om logging av innsyn i andre personregistre enn de omtalte, og regler om innsyn i loggen i andre sektorer enn i helsevesenet, vil det være naturlig å vurdere i forbindelse med regjeringens oppfølging av Personvern-kommisjonens rapport og arbeidet med en melding til Stortinget.

For så vidt gjelder det andre tolkningsalternativet, nemlig at all utlevering av opplysninger til utenforstående skal logges, legger jeg til grunn at dette vil omfatte utlevering av opplysninger som er ment å være offentlig tilgjengelige. Offentleglova § 3 annet punktum slår fast at ”alle” kan kreve innsyn i saksdokumenter, journaler og liknende registre hos offentlige organer. Denne retten til innsyn gjelder alle, uavhengig av hvem de er og hvor de kommer fra. Det er ikke oppstilt noe krav om at man må oppgi navn. Som eksempel mottar Brønnøysundregistrene om lag 140 millioner henvendelser hvert år, hvorav en stor andel innebærer personopplysninger. Regjeringen har ingen konkrete planer om å foreslå endringer i offentleglova på dette punktet.

Oppsummering: Som ledd i oppfølgingen av Personvernkommisjonens rapport, vil regjeringen vurdere om det bør etableres regler om logging av innsyn i andre personregistre enn behandlingsrettede helseregistre og i NAV, samt regler om innsyn i loggen i andre sektorer enn i helsevesenet.

I representantforslaget bes regjeringen begrense NAVs mulighet til å innhente personopplysninger samt komplette pasientjournaler, og legger til grunn at den berørte pasient gis kjennskap til at journalen er utlevert.

Som forvalter av folketrygdens midler er Arbeids- og velferdsetaten pålagt å føre kontroll og avdekke urettmessige utbetalinger. Denne oppgaven kan ikke utføres uten tilgang til relevante opplysninger. Reguleringen av etatens adgang til informasjonsinnhenting følger av folketrygdloven § 21-4 til § 21-4 c.

Ved endringslov fra januar 2009 ble det som ledd i tiltakene mot trygdemisbruk, vedtatt en rekke nye lovregler som bl.a. omfattet følgende:

  • En rekke presiseringer i reglene i folketrygdloven §§ 21-3 og 21-4 om den enkelte trygdesøkers plikter og om innhenting av opplysninger i vanlige trygdesaker.

  • En ny § 21-4 a i folketrygdloven om at de særskilte kontrollenhetene i Arbeids- og velferdsetaten skal kunne kreve opplysninger fra enhver som kan bidra til sakens opplysning når det foreligger mistanke om trygdemisbruk, og at kontrollenhetene skal kunne foreta besøk på arbeidsplasser ved mistanke om trygdemisbruk og gjennomføre stikkprøvekontroll i særlig utsatte bransjer.

  • En ny § 21-4 b i folketrygdloven om en ordning for utveksling av informasjon mellom Arbeids- og velferdsetaten og finansinstitusjoner ved konkret mistanke om trygdemisbruk eller forsikringssvindel.

  • En ny § 21-4 c i folketrygdloven som gir nærmere regler om framgangsmåte mv. ved innhenting av opplysninger og om særskilte begrensninger ved innhenting av pasientjournaler og ved innhenting av opplysninger fra familie og andre nærstående.

Hjemlene for innhenting av opplysninger omfatter både bestemmelser til bruk for den ordinære saksbehandlingen og bestemmelser som bare kan brukes i forbindelse med trygdemisbruk. De sistnevnte hjemlene kan bare brukes av de særskilte kontroll-enhetene i etaten. Hovedbegrensningen ved innhentingen av opplysninger er i alle tilfeller at det må dreie seg om opplysninger som er nødvendige for å behandle og avgjøre saken eller foreta kontroll på en hensiktsmessig måte.

Etter regjeringens vurdering bør adgangen til å innhente opplysninger fortsatt omfatte de opplysninger som er nødvendige for å treffe riktige avgjørelser. I motsatt fall vil sakene enten bli avgjort uten å være tilstrekkelig belyst eller det blir gitt avslag med mindre søker selv framskaffer opplysningene. I kontrollsammenheng ville det tilsvarende oppstå spørsmål om å stanse ytelsene som kontrolleres inntil vedkommende selv bidrar med tilfredsstillende dokumentasjon.

Under punktet om ”loggføring” i representantforslaget uttales det at … ”Nav i fjor høst krenket personvernet hos enkeltindivider, noe Nav hjemlet i folketrygdloven nye § 21-4 a.” Jeg antar at uttalelsen har sammenheng med mediesaken om innhenting av opplysninger fra tilbydere av elektronisk kommunikasjon.

§ 21-4 a i folketrygdloven gir adgang til å innhente nødvendige opplysninger fra enhver ved mistanke om trygdemisbruk. I forbindelse med den ovennevnte saken ble det blant annet reist spørsmål om bestemmelsen hjemlet overvåking av telefon- og Internett-trafikk. En slik omfattende og inngripende tilgang til opplysninger har imidlertid ingen støtte i forarbeider eller praksis. Derimot er hjemmelen i ca. 15 tilfeller i fjor brukt som grunnlag for å kreve utlevert bruker-/abonnentdata og i noen tilfelle også opplysninger om fakturabetaler. Dette synes klart å ligge innenfor bestemmelsen.

I påvente av en avklaring av spørsmålene knyttet til lagringsplikt for trafikk og lokaliseringsdata fra elektronisk kommunikasjon, er Arbeids- og velferdsetaten pålagt inntil videre ikke å bruke hjemmelen i forbindelse med tilbydere av elektronisk kommunikasjon, selv om opplysninger om bruker/abonnent eller fakturabetaler vanskelig kan betraktes som særlig sensitive. Lovforslaget i Prop. 49 L. (2010-2011), som ligger til behandling i Stortinget, vil klart avskjære Arbeids- og velferdsetaten fra å innhente trafikk- og lokaliseringsdata fra elektronisk kommunikasjon, mens opp-lysninger om bruker/abonnent/fakturabetaler fortsatt vil kunne innhentes.

Det har vært enkelttilfeller der hensynet til personvern og taushetsplikt ikke har vært ivaretatt godt nok i Arbeids- og velferdsetaten. Det vurderes derfor kontinuerlig tiltak for å etablere bedre rutiner og kontroll for behandling av taushetsbelagt informasjon. Det har også vært gjennomført en omfattende holdningskampanje knyttet til personvern og taushetsplikt.

Oppsummering: Arbeidsministeren vil kontinuerlig vurderer tiltak for å etablere bedre rutiner og kontroll for behandling av taushetsbelagt informasjon i Arbeids- og velferdsetaten.

Representantene gir i forslaget uttrykk for at det må være klare begrensninger på når Arbeids- og velferdsetaten skal kunne innhente pasientjournaler og legger til grunn at den berørte pasient gis kjennskap til at journalen er utlevert.

Bestemmelser om dette ble vedtatt i januar 2009 og er tatt inn i folketrygdloven § 21-4 c. Loven tar sikte på å minimalisere innhenting av fullstendige og uredigerte journaler. Det klargjøres når journaler kan innhentes, formkravene som gjelder for dette og hva som gjelder for behandlingen av opplysningene i etaten. Bestemmelsene lyder som følger:

”Adgangen til innhenting av opplysninger etter § 21-4 første ledd i saker om stønad etter loven her og ved rutinemessig kontroll av behandlere omfatter ikke innhenting av fullstendig pasientjournal. Det kan imidlertid kreves spesifiserte eller redigerte utdrag av journalen når dette anses nødvendig.

Dersom forhold ved en behandlers praksis gir grunnlag for å anta at det har skjedd urettmessige utbetalinger fra trygden, eventuelt ved et samarbeid mellom behandler og stønadstaker, kan det kreves fullstendig og uredigert pasientjournal. Krav om dette skal framsettes av Arbeids- og velferdsdirektoratet eller Helsedirektoratet eller av særskilt utpekte enheter.

Det innhentende organ skal oppgi formålet med opplysninger og erklæringer mv. som innhentes etter § 21-4 eller § 21-4 a første ledd. Det skal videre opplyses om hjemmelen for innhentingen og om klageadgangen, se forvaltningsloven § 14. Dersom det i saker som nevnt i andre ledd i paragrafen her er fare for at kontrollhensyn motvirkes, kan formålet oppgis etter at opplysningene er utlevert.

Personopplysningslovens regler om informasjonsplikt og om behandling av opplysninger, herunder tilgang, oppbevaring, viderebefordring og sletting, gjelder for opplysninger innhentet etter reglene i loven her, med de unntak som følger av § 21-4 b.”

Etter reglene kan det bare innhentes fullstendig journal ved mistanke om trygdemisbruk hos behandler. Journalene er i praksis den eneste fullgode måte å kontrollere legens innsendelse av regninger, men kan i en viss utstrekning erstattes eller suppleres ved forespørsler til pasientene. Ofte vil det være tilstrekkelig å be om journalopplysninger for et begrenset tidsrom. I slike tilfeller er det ikke nødvendig å be om fullstendig journal, og etaten har heller ikke hjemmel til det.

For mange av trygdens ytelser er mottakerens helsetilstand helt avgjørende når rettighetene skal vurderes. Disse opplysningene kan innhentes ved å rekvirere relevante deler av journalen. Alternativet er en særskilt legeerklæring, som vil bli basert på opplysningene i journalen, men kan gi uttrykk for en mer nyansert/fullstendig vurdering enn notatene i journalene. En egen erklæring vil selvsagt være mer belastende for legen. Det kan være hensiktsmessig at etaten i en viss utstrekning kan velge hvilken dokumentasjonsform som skal kreves i det enkelte tilfelle.

Innhentede journaler behandles på samme måte som annen sensitiv informasjon etaten har tilgang til, etter reglene i personopplysningsloven. Når det gjelder innhentede fullstendige journaler, behandles disse utelukkende i Arbeids- og velferdsetatens særskilte kontrollenheter. Kontrollarbeidet på trygdemisbruksområdet er organisert i fem regionale kontrollenheter med til sammen ca. 100 ansatte, lokalisert i tilknytning til større byer. Det er høyst tre ansatte involvert i hver sak. Med denne regionaliseringen og begrensningen i antall ansatte med kjennskap til saken, vil det være liten sannsynlighet for at informasjonen skal spres i lokalsamfunnet.

Lovendringene som ble vedtatt i 2009, sett i sammenheng med etatens organisering av kontrollarbeidet og rutinene knyttet til håndtering av pasientjournaler, sikrer personvernet for den enkelte på en god måte. En ytterligere begrensning av tilgangen til pasientjournaler vil vanskeliggjøre arbeidet med å bekjempe trygdemisbruk. Det må i den forbindelse vektlegges at det synes å skje en profesjonalisering av denne typen økonomisk kriminalitet, og at effektive kontrollmuligheter derfor er svært viktig.

Som nevnt gjøres det bruk av deler av pasientjournaler også i den ordinære saksbehandlingen i etaten. Helseopplysninger er av avgjørende betydning for en rekke av folketrygdens ytelser, og redusert tilgang til slike opplysninger vil svekke saks-behandlingen på flere måter. Det vil være svært uheldig for trygdens økonomi dersom saker må avgjøres på mangelfullt grunnlag. Alternativt vil resultatet kunne bli økte krav til den enkelte om selv å framskaffe og presentere nødvendig dokumentasjon, og avslag i stønadssaker dersom så ikke skjer. Begrensninger i tilgangen til opplysninger vil i siste instans kunne gå ut over stønadstakeren.

I folketrygdloven § 21-4 c er det ikke tatt inn egne regler om varsling. Arbeids- og velferdsetaten har imidlertid – i tråd med avgjørelser i Datatilsynet og Personvern-nemnda – innarbeidet rutiner som sikrer at pasienten varsles når det innhentes fullstendige og uredigerte pasientjournaler, og også ved innhenting av spesifiserte eller redigerte utdrag av pasientjournaler.

Oppsummering: Arbeids- og velferdsetatens adgang til å begjære utlevert fullstendige journaler er svært begrenset etter endring av folketrygdloven i januar 2009. I de få tilfellene det utleveres fullstendig journal, skal pasienten/den registrerte varsles om utleveringen.

I representantforslaget bes regjeringen sikre at det etableres en personvernansvarlig ved alle større institusjoner og etater som har tilgang til sensitive personopplysninger.

Innledningsvis gjør jeg oppmerksom på at det både på nasjonalt plan (etterkontrollen av personopplysningsloven) og på europeisk plan (EUs arbeid med revisjon av personverndirektivet) foregår prosesser som etter alt å dømme vil munne ut i lovregulering av dagens frivillige ordning med personvernombud.

Den norske personopplysningsloven trådte i kraft 1. januar 2001 sammen med forskrifter til loven. Ordningen med at en virksomhet kan utpeke et personvernombud er ikke omtalt i selve loven, men fremgår forutsetningsvis gjennom regelen i person-opplysningsforskriften § 7-12 om muligheten for å gjøre unntak fra reglene om melde-plikt til Datatilsynet. Også EU-direktiv 95/46/EF, som personopplysningsloven er en gjennomføring av, nevner flere steder muligheten for oppnevning av en Data protection official, jf. fortalen punkt 49 og artikkel 18 og 20.

Gjennom seminarer, opplæring og utvikling av retningslinjer har Datatilsynet gjort ordningen kjent, og i tilsynets praksis har det etter hvert avtegnet seg visse rammer for ombudets oppgaver og funksjon. På Datatilsynets nettsider er det gitt en oversikt over hvordan en virksomhet kan gå frem dersom den ønsker å etablere et personvernombud, og det er i tillegg publisert en fyldig veileder om selve ordningen.

I lov om behandling av opplysninger i politiet og påtalemyndigheten (politiregisterloven), vedtatt av Stortinget 28. mai 2010, men ennå ikke trådt i kraft, benyttes for øvrig begrepet “personvernrådgiver” i stedet for “personvernombud”. I forarbeidene uttales følgende om dette, jf. Ot.prp. nr. 108 (2008-2009) side 268:

“Utvalget har valgt terminologien ombud etter personopplysningslovens modell. Utvalget beskriver en kompetanseperson som skal bistå registrerte, behandlingsansvarlige og andre i arbeidet med å oppfylle personopplysningslovens krav. Departementet mener imidlertid at terminologien kan by på utfordringer i forholdet mellom rollebetegnelse og rollekompetanse, og foreslår derfor betegnelsen «personvernrådgiver» i lovforslaget til § 63.”

Det må antas at denne begrepsbruken vil kunne bli retningsgivende ved revisjon av personopplysningsloven. I brevet her vil imidlertid ombudsbegrepet fremdeles bli benyttet.

I forarbeidene til personopplysningsloven ble det gitt uttrykk for at det burde foretas en etterkontroll av personopplysningsloven ca. fem år etter at den ble satt i kraft – blant annet for å undersøke om reglene virker etter sin hensikt, jf. Ot.prp. nr. 92 (1998-1999) side 100. Som ledd i denne etterkontrollen utarbeidet professor dr. juris Dag Wiese Schartum og førsteamanuensis dr. juris Lee Bygrave i 2006 rapporten “Utredning av behov for endringer i personopplysningsloven” på oppdrag fra Justisdepartementet, som har lovansvaret for personopplysningsloven. I Schartum/Bygraves rapport er ordningen med personvernombud foreslått lovregulert gjennom et eget kapittel i personopplysningsloven.

Rapporten ble i 2009 sendt på høring sammen med to andre rapporter og et supplerende høringsnotat utarbeidet av departementet. I høringsnotatet har departementet gitt utrykk for at ordningen med personvernombud har hatt en viktig effekt i personvernmessig henseende, og at man ønsker å legge til rette for en styrking og videreutvikling av den. Departementet har derfor gitt sin tilslutning til forslaget om å lovregulere ordningen.

I et strategidokument 4. november 2010 varslet EU-kommisjonen omfattende endringer i personverndirektivet. Det er eksplisitt uttalt at ordningen med personvernombud vil bli gjennomgått. Signaler fra EU kan tilsi at det tas sikte på å fremme utkast til nytt direktiv allerede i løpet av 2011. På denne bakgrunn har Justisdepartementet ansett det naturlig å avvente en revisjon av personopplysningsloven for så vidt gjelder de rettsområder og direktivbestemmelser som Kommisjonen har omtalt særskilt i strategidokumentet, herunder spørsmålet om lovregulering av personvernombudet.

For øvrig er det enkelte deler av etterkontrollen og personopplysningsloven som mest sannsynlig ikke vil bli berørt av prosessen som nå pågår i EU, eller som kun i liten utstrekning vil bli berørt. På denne bakgrunn tar Justisdepartementet sikte på å fremme en delproposisjon i løpet av 2011 med forslag til enkelte endringer i personopplysningsloven.

Det er i dag frivillig for en virksomhet å utpeke et personvernombud, jf. også politiregisterloven § 63. Verken Schartum/Bygrave eller Justisdepartementet, gjennom høringsnotatet, har fremsatt forslag om å introdusere noe pliktelement.

Mange virksomheter håndterer store mengder sensitiv personinformasjon, og som utgangspunkt er det ikke unaturlig å tenke seg at det eksempelvis innenfor visse bransjer eller sektorer ble påbudt å ha et ombud. Alternativt kunne plikten knyttes opp mot mengden av personopplysninger som behandles eller størrelsen på virksomheten.

På den annen side ville det for mange virksomheter kunne innebære høye kostnader å ha et ombud. Det er også mange måter å sikre personvernet på uten å ha et ombud. Et pålegg om ombudsordning innebærer at den fleksibilitet som ligger i at virksomheter selv kan velge hvordan de på best mulige måte kan oppfylle personopplysningslovens regler, forsvinner.

I EUs strategidokument 4. november 2010 fremgår det at Kommisjonen vil vurdere en ordning med obligatorisk personvernombud, dog slik at en må ta hensyn til de administrative byrder for mindre virksomheter som dette kan medføre (side 12):

“The Commission will examine the following elements to enhance data controllers' responsibility:

– making the appointment of an independent Data Protection Officer mandatory and harmonising the rules related to their tasks and competences, while reflecting on the appropriate threshold to avoid undue administrative burdens, particularly on small and micro-enterprises…”

På denne bakgrunn anses det hensiktsmessig å avvente EUs konklusjon knyttet til pliktelementet før det eventuelt innarbeides i de nasjonale reglene. I motsatt fall risikerer man at det oppstår motstrid mellom norske regler og EU-retten.

Oppsummering: I justissektoren vil det bli innført en ordning med personvern-rådgivere i forbindelse med ikrafttredelse av politiregisterloven. I arbeidet med en egen melding til Stortinget om personvern, vil regjeringen videre vurdere om det er hensiktsmessig å pålegge egne større underliggende etater/statlige virksomheter som behandler sensitive personopplysninger, å etablere personvernombud. Ut over dette anses det hensiktsmessig å avvente revisjon av EUs personverndirektiv før det eventuelt innføres en obligatorisk ordning med personvernombud i våre nasjonale regler.

Regjeringen bes fremme forslag om fjerning av Skattedirektoratets hjemmel i ligningsloven til å kreve innsyn i opplysninger knyttet til konkrete kjøretøy benyttet i næringsvirksomhet ved elektronisk bompassering.

Ligningsloven inneholder ingen særskilt bestemmelse om innhenting av opplysninger knyttet til konkrete kjøretøy benyttet i næringsvirksomhet ved elektronisk bompassering. Det er imidlertid på det rene at opplysningene kan innhentes med hjemmel i ligningsloven § 6-3 nr. 1. Dette er en generell bestemmelse om adgang til innhenting av opplysninger om økonomisk mellomværende med næringsdrivende, når mellom-værendet knytter seg til begge parters virksomhet. Videre kan ligningsmyndighetene med hjemmel i ligningsloven § 6-13 kreve å få utlevert ligningsrelevante opplysninger fra offentlig myndighet, som sistnevnte er blitt kjent med under sitt arbeid.

Regjeringen vil bemerke at skatteunndragelser og svart økonomi er en alvorlig form for kriminalitet. Det er derfor viktig at skatteetaten har omfattende hjemler for å kunne gjennomføre kontrollundersøkelser. Bare på denne måten kan etaten avdekke uregelmessigheter på en effektiv måte. En fjerning av den generelle kontrollhjemmelen i ligningsloven § 6-3 nr. 1 er etter regjeringens syn ikke aktuelt.

Oppsummering: Regjeringen vil vurdere hvilke muligheter som foreligger for at innsyn i lovlig lagrede data i elektroniske betalingsanlegg på vei kan begrenses. I påvente av nærmere avklaringer, utleverer ikke bomselskapene passerings-opplysninger til ligningsmyndighetene.

Forslaget går ut på å utarbeide retningslinjer for å sikre personvernet i forbindelse med innhenting og bruk av personopplysninger i skolen. Sikring av personvernet i skolen er svært viktig. Kommunene har, som skoleeiere, et selvstendig ansvar for å følge og sikre bevissthet rundt regelverket knyttet til behandling av personopplysninger i skolen.

Utarbeidelse av retningslinjer for bruk av personopplysninger i skolen innebærer omfattende problemstillinger der ulike hensyn skal vektes og ivaretas. Hensynet til elevenes personvern står selvfølgelig sterkt, men det er også andre hensyn av betydning, for eksempel personopplysninger som er nødvendige for tilpasning av undervisning og andre tiltak til det beste for den enkelte elev.

Personopplysninger benyttes til flere ulike formål i skolen. Det enkelte formål trekker opp rammene for om og eventuelt hvilke personopplysninger som kan behandles. For hvert enkelt formål må det foretas en konkret vurdering av om det er behov for å behandle personopplysninger. Det er denne vurderingen personopplysningsloven, som en generell lov, gir oss rammeverket for. Generelle retningslinjer for all bruk av personopplysninger i skolen vil på denne bakgrunn neppe være et hensiktsmessig tiltak.

Barn og unges personvern er viet et eget kapittel i Personvernkommisjonens rapport, som er inntatt i NOU 2009:1 Individ og integritet. Personvern i skolen er særskilt omtalt. Det vil være naturlig at temaet også omtales når regjeringen skal legge frem en melding til Stortinget om personvern, som en oppfølging av Personvern-kommisjonens arbeid. Blant annet kan det vurderes hvorvidt det er behov for retningslinjer knyttet til bruk av personopplysninger til spesielle formål i skolen.

Oppsummering: Personopplysningsloven gir de generelle rammene for behandling av personopplysninger i skolen. For å bedre personvernet i skolen vil regjeringen vurdere om det er behov for retningslinjer knyttet til behandling av person-opplysninger til spesielle formål i skolen.

Forslagsstillerne etterlyser tiltak for å skolere barnehageeiere og -ansatte i personopplysningsloven, samt innføring av en bestemmelse om at innhenting og lagring, samt overførsel av personopplysninger mellom barnehage og skole, kun skal skje etter informert samtykke fra foreldre/foresatte.

Kunnskapsdepartementet har utarbeidet et temahefte om IKT i barnehagen der personvern i barnehagen er omtalt i et eget kapittel. Der skisseres det ulike situasjoner der personvern blir aktuelt, og hva barnehagen bør være oppmerksom på i slike tilfeller.

I lov 17. juni 2005 nr. 64 om barnehager (barnehageloven) reguleres barnehageeiers ansvar i § 7. Av denne bestemmelsen fremgår det at barnehageeieren skal drive virksomheten i samsvar med gjeldende lover og regelverk. Bestemmelsen gjelder både kommunale og ikke-kommunale barnehageeiere. Eier har ansvar for at virksomheten følger de kravene barnehageloven setter og at barnehagen følger de kravene som annet regelverk setter. Barnehageeier har selv ansvaret for å holde seg oppdatert på de lokale og sentrale krav som til enhver tid stilles til barnehagedrift og til å sikre bevissthet rundt regelverket om personopplysninger.

Når det gjelder informasjon om personvernregelverket til barnehager og barnehageeiere, har Datatilsynet utarbeidet et omfattende veiledningsmateriell. Dette er tilgjengelig på Datatilsynets nettsider eller kan fås ved å kontakte Datatilsynet på annen måte. Hvorvidt det bør iverksettes særskilte tiltak for å skolere barnehageeiere og barnehageansatte i gjeldende regelverk, må vurderes av Datatilsynet ut fra de ressurser tilsynet har tilrådighet og de trusler tilsynet identifiserer på dette området.

Forslagsstillerne foreslår videre at det skal innføres en bestemmelse om at innhenting, lagring og overføring av personopplysninger mellom barnehage og skole kun skal skje etter informert samtykke fra foreldrene/foresatte. Formålet med personopplysningsloven er å beskytte den enkelte mot at personvernet blir krenket gjennom behandling av personopplysninger, og loven skal bidra til at personopplysninger blir behandlet i samsvar med grunnleggende personvernhensyn, herunder behovet for personlig integritet, privatlivets fred og tilstrekkelig kvalitet på personopplysninger, jf. § 1 Lovens formål. Etter personopplysningsloven er det flere rettslige grunnlag som kan danne grunnlag for lovmessig behandling av personopplysninger. Samtykke er ett alternativ. Regjeringen ser det ikke som ønskelig å innføre spesialregulering som utelukker behandling av personopplysninger i barnehagen og i skolen på annet grunnlag enn etter foresattes samtykke.

Utlevering av opplysninger fra barnehage til skole må ha rettslig grunnlag, jf. personopplysningsloven § 11. Det foreligger ikke noen generell lovhjemmel om utveksling av personopplysninger mellom barnehage og skole. Som regel vil derfor utlevering av opplysninger måtte forankres i samtykke fra barnets foresatte. Dette har også Kunnskapsdepartementet lagt til grunn i veilederen ”Fra eldst til yngst”, som skal bidra til å sikre gode sammenhenger mellom barnehage og skole.

For ordens skyld legger jeg også til at opplysninger om barn i barnehagen i stor grad vil være omfattet av taushetsplikt, jf barnehageloven § 20, og henvisningen til forvaltningsloven §§ 13 og 13f. Enhver som gjør tjeneste eller arbeid i barnehagen plikter derfor å hindre at andre får kjennskap til det vedkommende i sitt arbeid får vite om noen sine personlige forhold. Brudd på taushetsplikten er straffesanksjonert i straffeloven § 121.

Oppsummering: Det foreligger ikke noen generell lovhjemmel for utveksling av personopplysninger mellom barnehage og skole. Som regel vil derfor utlevering av opplysninger måtte forankres i samtykke fra barnets foresatte. I stor grad vil utlevering av opplysninger uten foresattes samtykke eller annen opphevelse av taushetsplikt være straffbart brudd på taushetsplikt.

Forslagsstillerne ber regjeringen endre offentlighetsloven slik at klasselister kan forbli skolens eiendom, og således begrenses til den krets som har normal nytte av dem.

Regjeringen kan ikke se at offentleglova endrer rettstilstanden når det gjelder innsyn i klasselister. Taushetspliktsregelen i forvaltningsloven § 13 er den samme som tidligere, og offentleglova § 13 første ledd viser til diverse taushetspliktbestemmelser i lovverket, herunder bestemmelsen i forvaltningsloven § 13. Dersom listene begrenser seg til å inneholde informasjon om navn, adresse, telefonnummer og eventuelt fødselsnummer, er i utgangspunktet ingen av disse opplysningene taushetsbelagte etter forvaltningsloven § 13. Slike opplysninger vil imidlertid være taushetsbelagte hvis de røper underliggende forhold som må anses som personlige, f.eks. at en elev bor på barnevernsinstitusjon. Uavhengig at taushetsplikt, vil jeg presisere at skolene alltid må vurdere hvilke opplysninger som er nødvendige på en offentlig klasseliste. Fødselsnummer er neppe en nødvendig opplysning på en klasseliste, selv om det ikke er en taushetsbelagt opplysning.

Lister over elever som utelukkende brukes internt på skolen, vil kunne unntas etter offentleglova § 14 første ledd om organinterne dokumenter. Hvis listene derimot gis ut til barna og deres foresatte, vil bestemmelsen i utgangspunkt ikke gi hjemmel for unntak. Det er ikke noe i veien for å operere med to sett lister, hvor skolens interne lister gir mer detaljert informasjon for organisatoriske formål, mens listene man sender ut, bare inneholder kontaktinformasjon. Skolene bør derfor utvise varsomhet når de vurderer hvilke opplysninger som er nødvendige på de offentlige klasselistene.

Ved mange skoler er det innført en ordning som går ut på at skolen ikke utleverer klasselister, men at det er foreldrene selv som organiserer og distribuerer lister over barna og de foresattes kontaktinformasjon. På denne måten kan foresatte dele kontaktinformasjon uten at skolen offentliggjør klasselister. Når skolen ikke offentliggjør klasselister, men kun bruker disse internt, vil listene være organinterne dokumenter som skolen kan unnta fra offentlighet etter offentleglova § 14 første ledd, jf ovenfor. Dette styrker barnas personvern.

Offentleglova skal evalueres innen utgangen av inneværende stortingsperiode. I den forbindelse vil Justisdepartementet også se på en del spørsmål som har vært reist. I den sammenheng vil det være naturlig å vurdere også spørsmålet om innsyn i klasselister. Det nevnes imidlertid at det å se på klasselister som skolens eiendom, slik at skolen skulle kunne regulere elevenes og foreldrenes videre bruk av listene, neppe vil være en praktisk løsning.

Oppsummering: Ved å forbeholde klasselister for internt bruk ved skolen, forblir listene skolens interne dokumenter som det kan nektes innsyn i etter offentleglova § 14. Dersom de foresatte ønsker klasselister, kan de selv ta initiativ til å sette opp slike lister. I forbindelse med evalueringen av offentleglova vil regjeringen vurdere spørsmålet om innsyn i klasselister.

Forslaget går ut på å sikre at forskrift om systematisk helse-, miljø- og sikkerhetsarbeid i virksomheter også hensyntar personvernet.

Det er allerede nedfelt et klart krav om internkontroll i personopplysningsloven § 14 med tilhørende forskrifter. Reglene pålegger alle virksomheter som behandler personopplysninger, å gjennomføre nødvendige tiltak for å ivareta gjeldende personvernregelverk og å dokumentere disse tiltakene. Bestemmelsene ligger svært nær HMS-forskriftens krav til internkontroll, men gjelder kun på personvernområdet. Dersom HMS-forskriften også skal ta hensyn til personvernet, vil dette etter min mening medføre en uheldig dobbeltregulering. Jeg mener derfor det er viktigere at Datatilsynet arbeider for å gjøre internkontrollbestemmelsene i personopplysnings-loven kjent for alle som behandler personopplysninger. For å bidra til bedre etterlevelse av internkontrollbestemmelsene, fikk tilsynet særskilte midler fra Fornyings-, administrasjons- og kirkedepartementet til et 2-årig prosjekt om internkontroll og informasjonssikkerhet i 2009. Prosjektet avsluttes etter planen i 2011.

Jeg ønsker også å gjøre oppmerksom på at Arbeidsdepartementet og Fornyings- administrasjons- og kirkedepartementet nylig har bedt Datatilsynet og Arbeidstilsynet om å bidra i en kartlegging av personvernutfordringer i arbeidslivet. Dette kartleggingsarbeidet vil gi et verdifullt grunnlag for videre arbeid med å styrke personvernet i arbeidslivet.

Oppsummering: Intenkontrollplikten på personvernområdet følger allerede av personopplysningsloven § 14 med forskrifter, og ytterligere regulering fremstår som unødvendig.

Forslaget går ut på å pålegge store private registre, som i bank og forsikring, å etablere logger for hvem som innhenter personsensitiv informasjon, og at den enkelte får rett til innsyn i loggen knyttet til sin person.

Etter regjeringens vurdering synes således de forhold som tas opp i representantforslaget punkt X allerede å være regulert når det gjelder finansinstitusjoner. Det gjøres samtidig oppmerksom på at det gjelder særskilte taushetspliktbestemmelser for banker og andre finansinstitusjoner, som har til formål å ivareta personvernhensyn i tilknytning til bankers og andre finansinstitusjoners håndtering av personopplysninger.Bank- og forsikringsvirksomhet er konsesjonsbelagt virksomhet. Konsesjon blir gitt av Finansdepartementet (etter delegasjon). I tillegg kreves det at banker og andre finansinstitusjoner, for eksempel forsikringsselskaper, har konsesjon fra Datatilsynet for å behandle personopplysninger, jf. personopplysningsloven § 33 første ledd og personopplysningsforskriften § 7-3. I Datatilsynets konsesjon til banker og andre finansinstitusjoner er det allerede fastlagt at elektroniske oppslag i personopplysninger skal loggføres og oppbevares på elektronisk medium i minst tre måneder. Det er videre fastlagt at kunder har krav på innsyn i antall elektroniske oppslag samt tidspunktet for oppslag som ansatte i banker eller bankers oppdragstakere har foretatt i kontoer eller øvrige kundeengasjementer. Innsynsretten gjelder for et tidsrom på minst tre måneder etter oppslaget.

Hvorvidt det bør innføres tilsvarende plikt til å logge oppslag i andre store personregistre i privat virksomhet, bør vurderes konkret for den enkelte behandlingstype. I vurderingen må det særlig sees hen til den type opplysninger som behandles og det misbruks- og skadepotensialet som foreligger. De personopplysningsbehandlinger som representerer størst trussel, vil som hovedregel være regulert gjennom konsesjon fra Datatilsynet etter personopplysningsloven § 33, jf det som er skrevet ovenfor om registre i finansinstitusjoner. Det vil være naturlig at Datatilsynet vurderer behovet for logging av oppslag og innsyn i loggen som ledd i konsesjonsbehandlingen.

Oppsummering: Det vil være naturlig for Datatilsynet å vurdere behovet for logging av oppslag og de registrertes innsyn i loggen i forbindelse med behandling av søknad om konsesjon for private virksomheters omfattende behandlinger av person-opplysninger.