Skriftlig spørsmål fra Elisabeth Vik Aspaker (H) til justisministeren

Dokument nr. 15:597 (2007-2008)
Innlevert: 05.02.2008
Sendt: 05.02.2008
Besvart: 18.02.2008 av justisminister Knut Storberget

Elisabeth Vik Aspaker (H)

Spørsmål

Elisabeth Vik Aspaker (H): Datatilsynets rapport etter kontrollen ved Ila reiser en rekke spørsmål om rutiner for kontroll med ulike typer registre der personopplysninger forekommer, og hvordan sikre at opplysningene ikke er tilgjengelige for uvedkommende.
Når, og på hvilken måte, vil statsråden informere Stortinget om hvordan den etablerte registreringspraksisen innenfor Kriminalomsorgen kunne oppstå og redegjøre for hvilke tiltak som gjøres for å sikre at praksis bringes i samsvar med personopplysningsloven og EMK?

Begrunnelse

Datatilsynets rapport om behandlingen av sensitive personopplysninger om innsatte i norske fengsler, peker på en praksis som innebærer alvorlige brudd på personopplysningsloven og menneskerettighetene. Et annet funn er lagring av data også for innsattes pårørende og besøkende, og det er av vesentlig interesse å få klarhet i bakgrunnen for at også denne gruppen er blitt gjenstand for registrering.
I lys av samfunnsdebatten om personvern og hvordan sensitive personopplysninger skal håndteres innenfor f.eks. helsevesenet, er det uforståelig hvordan slike følsomme data i Kriminalomsorgen generelt og ved Ila fengsel, forvarings- og sikringsanstalt spesielt, har vært tilgjengelig for et stort antall ansatte uten at dette kan begrunnes med hensynet til soningsgjennomføring for den enkelte innsatte og med den risiko dette medfører for at slike data kan misbrukes.
Jeg har merket meg at statsråden i etterkant av medieomtale om saken, har varslet en omlegging av rutinene. Det er likevel svært bekymringsfullt at bakgrunnen for Datatilsynets gjennomgang av rutinene var en klage fra en innsatt og ikke en intern kontroll av rutiner og praksis.

Knut Storberget (A)

Svar

Knut Storberget: I brevet stiller du flere spørsmål som knytter seg til rutiner og kontroll med ulike typer registre som inneholder personopplysninger som ble avdekket ved Datatilsynets kontroll ved Ila fengsel.

Kriminalomsorgens sentrale plassregistreringssystem KOMPIS ble satt i drift i 1992 og erstattet en del enkle enkeltstående fengselsbaserte systemer. I tråd med manglende videreutvikling av funksjonalitet i KOMPIS KIA og ved den generelle teknologiske utvikling, har det blitt enklere og billigere for den enkelte anstalt selv å ta i bruk databaseprogrammer/utvikle løsninger utenfor de sentrale systemene, dette for å dekke opp manglende funksjonalitet.

Den 31. januar 2008 mottok Kriminalomsorgens sentrale forvaltning (KSF) vedtak fra Datatilsynet. Vedtaket inneholder åtte pålegg som må utbedres innen ulike frister.

Nedenfor vil jeg beskrive det enkelte pålegg samt hva som hittil er gjort for å utbedre dette.

Punkt 1 pålegger KSF å sørge for at registeret "innsatt pr nummer", og eventuelt andre tilsvarende lokale registre, umiddelbart blir brakt til opphør. Dette gjelder allikevel ikke for opplysninger som det er nødvendig, avhensyn til de innsattes og de ansattes liv og helse, at de ansatte har umiddelbar tilgang til. Den 4. februar kontaktet KSF samtlige ledere i ytre etat og påla dem å slette slike registre, i tråd med det som fremgikk av Datatilsynets vedtak. KSF har satt frist til 15. februar for å gjennomføre sletting.

Punkt 2 pålegger KSF å iverksette nødvendige tiltak for å etablere et rettslig grunnlag for behandling av opplysninger i KOMPIS, i samsvar med personopplysningslovens krav innen august 2008. Fristen er knyttet til tiltak for å sørge for at det etableres et behandlingsgrunnlag, ikke selve etableringen av nytt behandlingsgrunnlag.

Punkt 3 - 6 pålegger KSF å sørge for at de registrerte varsles, at begjæring om innsyn etterleves og at informasjon rettes og slettes. Frist for dette er h.h.v. utgangen av april 2008 for punkt 3, 4 og 5 og utgangen av desember 2008 for punkt 6.

Punkt 7 inneholder pålegg om at KSF etablerer et internkontrollsystem i samsvar med personopplysningslovens krav innen utgangen av desember 2008.

Punkt 8 inneholder pålegg om at KSF må etablere tilfredsstillende informasjonssikkerhet i samsvar med personopplysningsloven innen utgangen av 2008.02.07

I KSF sitt tilsvar til Datatilsynets varsel om vedtak ble det fremlagt en overordnet tiltaksplan. Datatilsynet skriver i sitt endelige vedtak at de imøteser en mer detaljert tiltaksplan innen 1. mars 2008.

KSF har iverksatt arbeidet med å utarbeide en detaljert tiltaksplan. Videre har man startet arbeidet med å kunne følge opp de syv punkter i Datatilsynets vedtak.

Jeg vil dessuten gjøre oppmerksom på at KSF nedsatte høsten 2007, før KSF mottok varsel om tilsyn på Ila fengsel, en arbeidsgruppe som fikk i oppdrag å gjøre rede for innholdet i personopplysningsloven og hvilke konsekvenser det ville få for kriminalomsorgen å etterkomme kravene. Arbeidsgruppen avga sin sluttapport 20. desember 2007. De funn og anbefalinger som arbeidsgruppen la frem er stort sett i overensstemmelse med de pålegg som Datatilsynet har gitt KSF.

Avslutningsvis vil jeg opplyste om at vi i flere år har samarbeidet på tvers i justissektoren om å fornye systemene. Dette er komplekst, kostbart og tidkrevende.