Datatilsynet har viktig samfunnsoppdrag – mister grepet i enkeltsaker

Datatilsynet holder en høy profil som vaktbikkje mot overtramp av personvernet til Ola og Kari Nordmann. Tilsynet og særlig lederen Georg Apenes er godt synlig i mediene. De syv ekspertene som har deltatt i Mandag Morgens omfattende evaluering, gir godkjent for jobben tilsynet og lederen gjør totalt sett (se tekstboks). Men når det kommer til konkrete saker, vanker det nesten bare dårlige karakterer. Panelet er satt sammen av personer som har solid grunnlag for synspunkter om tilsynet gjennom sitt daglige virke i politikk, forvaltning og næringsliv.

Mange av sakene Datatilsynet er involvert i er det strid om. Ledelsen i Redningsselskapet og Vinmonopolet ble tidligere i høst anmeldt til politiet for å ha lest ansattes e-post. Vinmonopolets leder har trukket seg, og sist uke ble det klart at både generalsekretæren og styret i Redningsselskapet går av. De to e-postsakene har aktivisert en rekke advokater og datakyndige som forsvarer bedriftenes rett til å lese forretningskritisk e-post stilet til enkeltansatte. Med ett unntak mener deltakerne i Mandag Morgens panel at Datatilsynet så langt har gjort en dårlig jobb i denne saken.

Det kanskje mest oppsiktsvekkende i evalueringen av Datatilsynet er at panelet bare er delvis enig i utsagnet «Datatilsynet er den beste garantist for at personvernet ivaretas i Norge». En deltaker er sågar delvis uenig i utsagnet. Ingen sier seg helt enig. Dette er spesielt påfallende når flere av ekspertene gir ros til Datatilsynet for at de setter personvern på dagsordenen og at tilsynet påvirker personvernutviklingen i et større perspektiv. De mange enkeltsakene har svekket tilliten til Datatilsynets evne til å løse personvernsaker på en god måte. Det har også gått på troverdigheten løs. Panelet synes ikke at tilsynet har den troverdigheten det trenger for å kunne håndheve personvernet på en effektiv måte.

Datatilsynet står i en utsatt posisjon mellom kryssende interesser fra lovgiverne, næringslivet, helsevesenet og forbruker- og arbeidstakerorganisasjoner. Likevel mener panelet at Datatilsynet i liten grad styres av politiske føringer. Da har mediene større innflytelse på hvilke saker som tas opp.

Det siste året er Datatilsynet omtalt i 357 saker i riksmediene VG, Dagbladet, Aftenposten, Dagens Næringsliv, Dagsavisen og NTB. Tilsynets synspunkter og vedtak opptar mange, og Datatilsynet har selv bidratt til interessen ved å gjøre om årsberetningen til en Personvernrapport. I år er tittelen «Som søvngjengere inn i et overvåkingssamfunn?». Og sjefen sjøl, Georg Apenes, har gitt ut bok der han har samtaler med en del toneangivende personer i Norge. Boken «Fra tillit til kontroll» er utgitt i forbindelse med at Datatilsynet fyller 25 år i år.

Mandag Morgens panel gir Datatilsynet karakteren 3,9 for jobben det gjør totalt sett. Også Apenes selv får brukbart skussmål med karakteren 3,7 på en skala fra 1 til 6. Til sammenlikning fikk Konkurransetilsynet en hovedkarakter på 4,6 og dets leder Knut Eggum Johansen 3,8 i en tilsvarende panel-evaluering for Mandag Morgen tidligere i år (se Ukebrevet nr. 9, 2005).

Det er ingen Mandag Morgen har snakket med som ikke ønsker Datatilsynet. Tvert imot mener de tilsynet har en viktig funksjon i et teknologisamfunn. «Datatilsynets oppgave er å være vaktbikkje og bremsekloss, og det er fint at de er på banen. Jeg hører på hva de sier, selv om jeg ikke er enig med dem,» sier Gisle Hannemyr, universitetslektor i informatikk ved Universitetet i Oslo.

Mengden opplysninger om deg og meg eksploderer i takt med teknologiutviklingen. Vi legger igjen elektroniske spor på nett og i bankterminaler, vi overvåkes av videokameraer, helsedata samles inn og våre forbruksmønstre registreres. Men like sterkt er presset fra politiet og justispolitikerne for å bruke metoder som kan true personvernet i kampen mot kriminalitet og terror. Dermed stilles det sterke krav til omstilling og nytenkning i Datatilsynet, og nettopp dette etterlyser panelet (se figur 1). I dag kommer Datatilsynet på etterskudd i viktige saker som kameraovervåking og bedriftens rett til å lese ansattes e-post.

For opphengt i detaljer

Panelet mener Datatilsynet graver seg for mye ned i detaljer og i for liten grad bidrar til å utvikle gode helhetsløsninger. Det er Gisle Hannemyr enig i. «Datatilsynet har en tendens til å henge seg opp i teknologi fremfor prinsipper. De burde heller sette mål og styre etter dem. Nå går de inn på tekniske løsninger som er for detaljerte,» sier Hannemyr. Et eksempel er forbudet mot digitalt båndopptak av hensyn til elektronisk personvern, mens det ikke er samme begrensning på analoge båndopptakere. Enda det finnes enkel programvare for å gjøre de analoge opptakene digitale.

Apenes er uenig i at tilsynet er for detaljorientert. «Jeg har i de 16 årene jeg har arbeidet her, aldri tidligere støtt på denne påstanden. Vi er nøye på å gi råd og veiledning, men designer aldri konkrete løsninger for den enkelte bedrift/organisasjon/etat,» sier Apenes til Mandag Morgen.

Når Norge kan spare milliarder av kroner ved å gå over til mer elektronisk saksbehandling, er offentlige etater og databransjen frustrert over at gevinstene må vike for personvernhensyn. Databransjen mener Datatilsynet ofte kommer for sent inn i en del problemstillinger, noe som har gjort at det må si at «dette kan vi ikke tillate». Tilsynets leder Apenes er veldig klar når han uttaler seg om noe, og da er det vanskelig for andre i Datatilsynet å være mer fleksible med å finne løsninger. Ved å være mer oppdatert kunne Datatilsynet vært i forkant og ført en konstruktiv dialog. Mandag Morgens ekspertpanel mener at Datatilsynet ikke følger godt nok med i samfunnsutviklingen og kommer for sent med retningslinjer for personvern. Det gjelder ikke minst i forhold til bedriftenes rett til innsyn i ansattes e-post som er forretningskritisk. En av ekspertene skriver i en kommentar: «Det blir oppsiktsvekkende å komme med anmeldelser for at ledelsen leser ansattes e-post i 2005 i en tid hvor næringslivet og offentlig sektor hver dag sender og mottar mer enn en million e-poster.»

E-postsamfunnet

Ideelt skal alle dokumenter som angår virksomheten arkiveres. Mange bedrifter og etater har egne dokumentsystemer. Men i praksis blir dokumentene liggende i e-postarkivene. «De fleste virksomheter anser nå e-postsystemet som virksomhetens mest forretningskritiske system, og et sentralt kommunikasjonsmiddel mot kunder, leverandører, partnere og internt,» sier Trond Egil Moe, ekspert på datalagring i Hewlett-Packard. Selskapet har reist en debatt om at e-postarkivet i realiteten er en viktig del av bedriftenes og offentlige etaters dokumentarkiv. «Brukerne lagrer ikke i dokumentsystemer. Det er for tungvint, og vi ser at mye av e-posten går utenom systemet. Den eneste måten å løse det på er å ha et system i bunnen som sikrer at all e-post blir arkivert og at det er mulig med hurtige søk for å finne tilbake til hva som er kommunisert og avtalt,» sier han.

I mange tilfeller finnes avtaler og forpliktelser bare i e-postsystemet. «Da er virksomhetene faktisk lovpålagt å ta vare på e-post, og til å kunne finne tilbake til informasjonen. Offentlige virksomheter må lagre dokumentene i opptil ti år og private minst tre år etter at et kundeforhold er avsluttet,» sier Moe.

Likevel ønsker ikke Datatilsynet automatisk arkivering. Den ansatte må selv bevisst arkivere virksomhetskritiske dokumenter. Argumentet er at den ansatte ikke kan vegre seg mot det som kommer inn i sin e-postkasse. Dermed kan han eller hun bli uskyldig uthengt hvis det kommer en e-post som er ulovlig på en eller annen måte. Problemer oppstår også når en ansatt slutter. På Datatilsynets hjemmesider står det om oppbevaring av e-post at når en ansatt slutter, finnes det ingen grunn til at bedriften tar vare på e-posten.

I USA har manglende e-postarkivering begynt å få store økonomiske konsekvenser. Investeringsbanken Morgan Stanley tapte tidligere i år en sak i forbindelse med salg av en bedrift der kommunikasjonen mellom meglerne og kunden hadde foregått på e-post. Morgan Stanley ble først dømt til å betale 640 millioner dollar i erstatning for å ha ført klienten bak lyset, og deretter 850 millioner dollar fordi selskapet ikke hadde dokumentasjon på kommunikasjonen med kjøperen. E-posten var slettet. I ettertid har Morgan Stanley sørget for at all e-post arkiveres automatisk.

Et tilfelle med mindre økonomiske konsekvenser skjedde i Asker i forbindelse med kommunens salg av Vettre skole. Mye av salgsprosessen foregikk på e-post. I en tvist i ettertid med rot hos eiendomsmegleren viste det seg at dokumentasjonen manglet hos kommunen. Kontrollutvalget i Asker kommune oppsummerte slik: «Sakens etterspill har avslørt alvorlig svikt i rutiner for dokumenthåndtering og arkivering i Asker kommune. Det mangler også en strategi for informasjon generelt, samt dokumenthåndtering ved krav om innsyn i store mengder arkivstoff.» Kontrollutvalget anbefaler at det utarbeides klare regler/rutiner for bruk og registrering av e-post i saksbehandlingen.

Strid om kameraovervåking

Personvernnemnda fikk i høst en het potet i fanget. Datatilsynet godtar ikke kameraovervåking av passasjerdelen av busser og andre offentlige transportmidler. Her er tilsynet på kollisjonskurs med fagforeninger, bransjeorganisasjoner og folk flest. De forstår ikke Datatilsynets motstand mot å overvåke passasjerdelen av kollektive transportmidler. Det gjør heller ikke ekspertpanelet, som gir nest dårligste karakter for håndteringen av denne saken (se figur 2). «Her står hele transportbransjen samlet. Det er viktig at man har en sikkerhet for alle passasjerene i bussen, og sjåføren. Kameraovervåking har vist seg å være det enkelttiltak som har vært mest effektivt,» sier fagsjef Arne Johan Gjerstad i Transportbedriftenes Landsforening.

Nye problemstillinger står i kø for Datatilsynet, næringslivet og offentlige etater. Med full tilgang til data hvor du enn er, blir datasikkerheten et mareritt. Antall glemte PC-er, mobiltelefoner, PDA-er og andre duppeditter på Gardermoen taler sitt tydelige språk. Hva skjer med sensitive opplysninger lastet ned på mobiltelefonen for å kunne jobbes videre med underveis, når den havner i uvedkommendes hender? E-posten kommer som pushteknologi, altså at de sendes automatisk til mobiltelefonene eller PDA-en.

Med ett unntak mener panelet at Datatilsynet mangler evne til omstilling og nytenkning. Det mener også at tilsynet er en bremse for nye kommersielle muligheter som for eksempel bruk av lokaliseringsdata fra mobiltelefon.

Panelet forstår heller ikke hvorfor Datatilsynet ønsker å være mer restriktiv enn regjeringen når det gjelder DNA-registre. Justisminister Knut Storberget er positiv til forslaget om en vesentlig utvidelse av bruken av DNA-profiler i strafferettspleien. Flertallet i utvalget som avga sin innstilling 23. november, gikk inn for at alle som ilegges en strafferettslig reaksjon for en handling som etter loven kan medføre frihetsstraff, kan registreres i DNA-registeret. Mindretallet, inkludert Georg Apenes, ville være mer restriktiv, ikke minst når det gjaldt å oppbevare biologisk materiale.

Forskning på pasientdata

Det har i årevis vært dragkamp om leger og forskere skal kunne koble pasientdata fra ulike registre sammen. Tidligere helseminister Ansgar Gabrielsen ville åpne for et felles pasientregister til gode for pasientene. Forslaget innebar at det eksisterende nasjonale pasientregisteret som er et anonymt register, gjøres personidentifiserbart og utvides. Pasientens navn skal ikke uten videre stå i registeret. Datatilsynet er skeptisk til slike koblinger. Ekspertpanelet vender tommelen ned for Datatilsynet og gir så vidt ståkarakter i denne saken.

Forskerne fortviler over lang saksgang når de vil avdekke sykdommer ved å kjøre registre mot hverandre. Et eksempel er et screeningprosjekt Universitetet i Tromsø ønsket å gjøre i Sørreisa, der det tok to år å få tillatelse. «De brukte veldig mye tid på å få det til. Vi har vel ikke opplevd å ikke få lov til forskningsprosjekter,» sier professor Eiliv Lund på Institutt for samfunnsmedisin ved Universitetet i Tromsø.

«I prosjekter der det er mulig å innhente såkalt informert samtykke er det ikke noen problemer i forhold til Datatilsynet. Men der det er veldig vanskelig å skaffe informert samtykke eller der det kommer ny teknologi kan det å innhente samtykke fra alle bli komplisert,» sier Eiliv Lund. Det kan for eksempel skje når pasienten ikke er i stand til å svare eller at han er død.

Ikke alle er enige i at Datatilsynet trenger å forbedre seg. Mange av konfliktene Datatilsynet kommer opp i, skyldes ikke nødvendigvis vanskelige saksbehandlere og en leder som kommer med klare uttalelser. Tilsynet forvalter et lovverk som politikerne har besluttet. «Gitt det regelverket vi har å forholde oss til i Norge, så fungerer Datatilsynet veldig positivt i forhold til forskning. Det er alltid mulig å ta en dialog og en diskusjon og det er stor forståelse for forskningens behov, i forhold til mange andre land,» sier Bjørn Henrichsen, leder i Norsk samfunnsvitenskapelig datatjeneste. NSD fungerer som personvernombud for universiteter og andre forskningsinstitusjoner og avgjør rundt 90 prosent av de 1.600-1.700 sakene som kommer hvert år. I de siste 10 prosentene krever loven at Datatilsynet skal behandle.

Tekstboks:

Mandag Morgens ekspertpanel

Disse har vært med på vurderingen av Datatilsynet:

Kristin Clemet, selvstendig næringsdrivende, tidligere bl.a. utdannings- og forskningsminister.

Line Coll, advokat, Wiersholm, Mellbye & Bech.

Per Morten Hoff, generalsekretær, IKT-Norge.

Einar Høgetveit, Økokrim-sjef.

Berit Svendsen, teknologidirektør, Telenor

Stein Vaaler, strategi- og markedsdirektør,Rikshospitalet.

Torgeir Daler, sikkerhetssjef, IBM.

De syv deltakerne har fylt ut et evalueringsskjema med 22 punkter. I del 1 ble respondentene bedt om å gi karakter fra én til seks, mens del 2 var påstander ekspertene ble bedt om å svare på. I den siste delen ble deltakerne bedt om å gi utfyllende kommentarer. De komplette resultatene fra evalueringen er publisert på http://www.mandagmorgen.no/.