Av Henrik Pryser Libell
Han synkroniserer ikke e-post og kalender med mobiltelefonen, direktør ved Datatilsynets juridiske avdeling, Kim Ellertsen. Bak ham på kontorveggen henger Grunnloven i glass og ramme, og på bokhylla står blant annet Offentlighetsloven og Advokatforeningens 100-årsbok sammen med to romaner av Bjørn Erik Thon. Boken som slår deg tydeligst når du kommer inn på direktørkontoret er imidlertid en stor, svart protokoll med små gule, grønne, blå og røde lapper i.
– Siden sikkerheten er så viktig for oss har vi foreløpig ikke prioritert å legge inn en løsning som lar oss synkronisere kalender med mobiltelefoner, forklarer Ellertsen.
Internkontrollen med datasystemene kaller han stålhard;
– Vi vil jo ikke risikere tilsynets omdømme ved at noe skulle lekke fra datasystemene her. Når jobben vår er å passe på andre og deres behandling av opplysningene sine, må vi være ekstra strenge med oss selv.
Avdelingsdirektøren skriver derfor dagens oppgaver på lapper i stedet for i Outlook. I dag har han åtte lapper.
– Det er ingen høyteknologisk løsning, men den er praktisk for meg fordi løse ark og post-it lapper ikke blir borte, sier Ellertsen, som leder juristene som skal passe på at heller ikke personopplysningene dine blir borte.
Hågen Ljøgodt, Veronica Mikkelborg og Henok Tesfazghi er tre av dem, og alle er i tilsynet fordi de mener det har en viktig samfunnsoppgave.
– Jeg mener vi trenger en sterk aktør som ser konsekvensene og summen av alle de ulike tiltak som iversettes i ulike sektorer. Hver for seg har tiltakene ofte gode og legitime formål. Problemet er når summen av alle disse tiltakene fører til at mer og mer av tilliten og friheten til borgerne forsvinner, sier Veronika Mikkelsborg til Juristkontakt.
Veronika Mikkelsborg kom til Datatilsynet fra en jobb i Helse- og omsorgsdepartementet.
– Jeg tror de aller fleste er enig i at det er viktig å ivareta den enkeltes personvern, men jeg merker også hvor mange som mener at det må gjøres et unntak på akkurat deres område. Det gjør Datatilsynets oppgave stadig viktigere, sier hun
Ellertsen er enig. – Personopplysningsloven er en generell lov som ligger som en felles bunn for andre særlover. Et grunnprinsipp er at informasjon ikke skal lagres lenger enn nødvendig for formålet. Det gjelder særlig sensitiv informasjon som helseopplysninger, seksuell legning, medlemskap i fagforeninger og politisk overbevisning.
– Et annet sentralt prinsipp i loven er at personopplysninger innhentet til én hensikt, ikke uten videre skal kunne anvendes til andre formål, selv om det kunne være fristende, sier Ellertsen.
Han ser det som en viktig oppgave for Datatilsynet er å påse at personopplysninger kun lagres og behandles til det formål de er innhentet for.
– Det er for eksempel i orden å registrere bilskilt ved bomstasjoner for å sende regning for passeringen, men ikke for at arbeidsgiveren din eller skatteetaten skal kontrollere om du har kjørt firmabilen i privat øyemed, sier han.
Datatilsynet utøver sitt mandat gjennom tilsyn, behandling av konsesjonssøknader og annen saksbehandling, bevisstgjøringskampanjer og veiledning, ved å delta i samfunnsdebatten, ved å inneha en ombudsrolle, samt delta i flere tunge høringsprosesser.
I fjor var det store høringer om helseregistrene, samt en del suppleringer på lover innen finans og arbeidsliv. Av saker i den offentlige debatten er det særlig Datalagringsdirektivet som har dominert det siste året.
– Direktivet har virkelig satt i gang en debatt om personvern. Det er godt å se at så mange er opptatt av det og at så stor del av befolkningen er enige i vårt restriktive syn på lagring, sier Ellertsen.
– Man må avveie hensyn. Det er viktig å gi armslag for kriminalitetsbekjempelse, men innenfor en grense som ikke går utover borgernes frihet, sier Ellertsen, som selv har bakgrunn både som både politijurist og statsadvokat.
Andre tema i fokus for Datatilsynets jurister er arbeidstakeres personvern, innsyn i helsejournaler og hvem som skal ha tilgang til dem, lagring av regnskapsinformasjon, Altinn-løsningene til Brønnøysundregisteret og ID-tyverier.
Dette er også tema i mange av de 7-800 juridiske spørsmål Henok Tesfazghi og juristene ved Datatilsynets ”juridiske veiledningstjeneste" får på telefon per år, i tillegg til 3000 e-poster. Også advokater ringer inn.
– Advokater kan stille de enkleste og mest banale spørsmål de også. Og når advokater sliter, er det kanskje ikke så rart at virksomheter som ikke benytter advokathjelp kan trå feil, utfyller jurist Hågen Ljøgodt.
Overvåkningskameraer og fødselsnummer er den typen spørsmål som kommer oftest. Veiledningstjenesten har laget maler med utfyllende svar på spørsmål som kommer ofte, samt maler til klagebrev. Men det er ikke alt veiledningstjenesten kan hjelpe med, og særlig ikke når bruddene skjer utenfor Norge.
– Noen ganger kan vi imidlertid bruke våre internasjonale kontakter. Nylig henvendte vi oss for eksempel til det greske datatilsynet for å få fjernet en video av en norsk jente fra Internett, forklarer Ellertsen.
Datatilsynet driver også med rådgivning og opplysningsarbeid, for eksempel gjennom møter med programvareutviklere, offentlige etater, virksomheter, kommuner og andre store organisasjoner og kampanjer som "Du bestemmer" og "Slett.meg.no".
Selve overvåkingen av overvåkingen kan skje gjennom at virksomheter sender inn dokumentasjon, men som regel ved at Datatilsynet dukker opp på stedet og undersøker selv. Ljøgodt var for eksempel nylig på et tilsyn hos et sykehus i Østlandsområdet, der de ansatte mente ledelsen hadde satt opp for mange kameraer.
Reaksjoner tilsynet kan bruke overfor de som ikke etterkommer kravene, er både dagbøter og overtredelsesgebyr.
– Vi sender ut minst én jurist og én tekniker, og som regel ser man på én tematikk av gangen. Det kan for eksempel være sikkerhet og internkontroll eller rutiner for innsyn i logger, forklarer avdelingsdirektør Ellertsen.
Hvem som får kontroll baseres ifølge Ellertsen på bransjer og aktører de antar personvernet utfordres i, i tillegg til tips fra publikum, klager som mottas eller saker som plukkes opp fra media.
– I fjor fikk vi for eksempel mange henvendelser fra transportbransjen om elektroniske kjørebøker, en logg i bilene koblet til GPS-tracking-programmer, sier han.
Juristene i Datatilsynet behandler også klager der folk har mistanke om brudd på personopplysningsloven, konsesjonssøknader og øvrige henvendelser fra aktører som behandler personopplysninger. Spørsmål fra arbeidslivet, helse- og velferdssektoren og øvrig offentlig forvaltning utgjør en stor andel av saksbunken.
– I tillegg til å behandle enkeltsakene, forsøker vi også å utvikle retningslinjer og veiledere og bidra til regelutviklingen på feltet. Vi jurister prøver også å følge med på teknologiutviklingen og mulighetene den gir, sier Ellertsen.
– Nylig hadde juridisk avdeling et internseminar om personvernfremmende teknologi og nylig var et team i Dublin og møtte ledelsen i Facebook Europa, forteller han og poengterer at teknologer og samfunnsvitere jobber tett sammen juristene.
Snart blir det også muligens flere jurister å samarbeide med;
– Etter alle solemerker blir vi snart tilsynsmyndighet for politiets registre også, og da vil vi ha behov for enda flere jurister.
Kim Ellertsen leder Datatilsynets juridiske avdeling.
Må bevise uskyld i stedet for skyld
Juristene ved Datatilsynet er bekymret over at folk ikke bare aksepterer mer overvåking enn før, men regelrett ønsker det.
– Vi ser en trend der man må bevise generell uskyld på forhånd, i stedet for at politiet må bevise skyld i etterkant. Jeg er bekymret over utviklingen, sier juridisk rådgiver i Datatilsynet, Veronica Mikkelborg.
– Ansatte for eksempel, sier selv at de vil overvåkes, for å kunne dokumentere at de ikke gjør noe galt, sier hun; og observerer at man altså er i ferd med å snu bevisbyrden.
– Politiet gikk i datalagringsspørsmålet ut og argumenterte for at befolkningen må ha tillit til politiet. Er det ikke heller omvendt, politiet og myndigheter som skal ha tillit til befolkningen?, spør hun retorisk.
– Jeg mener at det er vår jobb som Datatilsyn å se det store bildet i denne utviklingen. Summen av å tillate en rekke former for overvåking for å ivareta ulike formål kan være skadelig for retten til privatliv og for tilliten mellom borgerne og myndigheter. Det er vår jobb å belyse denne utviklingen og se konsekvensene det kan få for den enkelte, legger hun til.
Direktøren for juridisk avdeling i Datatilsynet, Kim Ellertsen, sier dette er utviklingen førstestatsadvokat Lasse Qvigstad kaller et "paradigmeskifte" og som representerer en endring fra det tradisjonelle utgangspunktet – nemlig en innsamling av opplysinger på bakgrunn av at det har skjedd en hendelse.
Dette merker også Datatilsynet på typen henvendelser de får.
– Vi får like mange henvendelser som før, men innholdet i spørsmålene endres over tid. Før kom det mange prinsipielle spørsmål: "Er dette rett, er dette galt?". Nå er det mer tekniske spørsmål om graden av overvåking, ikke om det skal overvåkes eller ikke. Jeg har inntrykk at overvåkingen aksepteres mer og mer som en del av dagliglivet, sier Ellertsen.
Eksempler er registreringen av telefonsamtaler, bruk av GPS-data og bilder på Google-Earth.
– Teknologien har dratt av sted med oss, konkluderer han.