Er ditt blod andres arkivmateriale?

Det er viktig for alle innbyggere hvordan ansatte i forvaltningen og andre behandler personopplysninger. Jo mer sensitive opplysninger, jo viktigere er det at lovkrav om behandling, sikkerhet, eventuell korrigering og sletting blir etterlevd.

Oppdatert 28. mai. Datatilsynet mener det er svært alvorlig og et grovt tillitsbrudd når Rettsmedisinsk institutt nekter å etterkomme pålegg om å slette tusenvis av DNA-profiler. (VG).

Dette dreier seg om innbyggernes rettigheter. Selv om noen innbyggere ikke bryr seg særlig om eget personvern, og kanskje ikke synes det er så galt om noen i forvaltningen tar seg til rette, så har alle andre krav på at deres rettigheter blir respektert.

Opplysninger og vurderinger som kan knyttes til en person er personopplysninger. Biologisk materiale som Rettsmedisinsk institutt (RMI) har tatt vare på er dermed også personopplysninger, såfremt det direkte eller indirekte er mulig å knytte det til bestemte personer. (Ved analyse eller identifiserende opplysninger for eksempel.)

DNA-skandalen ved RMI ser ut til å ha elementer av både personlig eller faglig prestisjekamp og et element av å ta seg til rette og unnlate å ta umiddelbar affære når ens egne feilvurderinger kommer frem i lyset. (Oppdatert 6. juni: Feilinformerte Stortinget før lovendring. RMI og justisdepartmentet hevdet i 2009 at det var teknisk umulig å slette. Nå sier daværende direktør at begrunnelsen bare er tull. VG.)

Mer om:

Faksimile VG.

Halmstrået nå er visstnok at arkivlova kan gi grunnlag (hjemmel) for å ta vare på personopplysninger selv om Datatilsynet har pålagt sletting med hjemmel i personopplysningsloven. Det de ikke nevner er at den registrerte også kan kreve sletting på visse vilkår. Da kan Datatilsynet treffe vedtak om sletting som går foran reglene i arkivlova. (Mer: Personvernskolen: §28.) Vedtaket kan klages inn for Personvernnemnda, og i siste instans påklages videre til Kongen. (Arkivverket.no).

Uansett har ledelsen ved RMI i lang tid unnlatt å ta affære. Loven pålegger dem å rådføre seg med fagmyndigheten, i dette tilfellet Riksarkivaren. Man kan ikke bare gå rundt og tro at den ene myndigheten (Riksarkivaren) sikkert kan overstyre et pålegg fra en annen (Datatilsynet).

Har de ikke en gang satt seg inn i enkelt forklarte og tilgjengelige krav til slik behandling?

I tilfelle de mener arkivlova gir hjemmel for å ta vare på opplysninger i stedet for å slette dem, skal de også avleveres til Riksarkivaren. De skal altså i utgangspunktet uansett ikke oppbevares hos RMI.

Justisdepartementet er tilbakeholdne med å kommentere.

Det skal bli interessant å se hvordan de eventuelt vurderer arkivlova i forhold til personopplysningsloven og om de har en annen vurdering nå enn da de uttalte seg om samme problemstilling i forbindelse med politiregisterloven, Ot.prp. 108 (2008-2009).

Arkivlova har som formål (§1) å ta vare på arkiv som har betydelig kulturelt eller forskningsmessig verdi eller som inneholder rettslig eller viktig forvaltningsmessig dokumentasjon.

Definisjonene i §2 er interessante for å avgrense lovens virkeområde.

  • «Arkiv er dokumenter som blir til som ledd i en virksomhet.» Et arkiv består altså av dokumenter.
  • «Dokument er en logisk avgrenset informasjonsmengde som er lagret på et medium for senere lesing, lytting, fremvisning eller overføring.» Da er et spørsmål om materialet RMI ønsker å ta vare på, tross pålegg om sletting, er dokumenter.

Er biologisk materiale (hår, blod, hudrester, urin, deler av organer …) dokumenter som arkivlova har som formål å ta vare på?

Har i tilfelle Arkivverket magasinkapasitet til å oppbevare avlevert biologisk materiale i et evighetsperspektiv?

 

Mer:

[polldaddy poll=4040707]

Bloggurat
Blogglisten
Twingly BlogRank


Mer:

VG: Justisdepartementet åpner for at DNA-lagring av uskyldige er lov. Stortingspolitikere og Datatilsynet mener Stortinget ikke har behandlet en slik lovendring.

Oppdatert 15. mai: Å utvikle datasystemer som ivaretar både funksjonalitet og sikkerheten ved utveksling av sensitive personopplysninger blir for dyrt. VG: Datasamkjøring avblåst på sykehusene i Oslo.

Dårlig datasikkerhet gjør det enkelt å få tilgang til andres personopplysninger. Eksempel: Enkelt å få tilgang til blodgiverdatabase og finne blant annet 125 000 personnumre. (TV2).

Aksept for selvtekt

Advokat Jon Anders Hasle synes det er skremmende at det kan finnes en utro tjener i politiet som står bak spredningen av bilder fra politiets interne register til et nasjonalistisk miljø i Russland.

Uansett om etterforskningen ender i tiltale mot en politiansatt, eller henlegges fordi det er umulig å bevise hvem som eventuelt kan ha begått lovbruddet å utlevere sensitiv informasjon fra politiet til utenforstående, så er det et viktig poeng advokaten nevner:

Faksimile VG.

Selv om det ikke er en bevisst handling, men kun rutinesvikt, så skal slikt ikke skje. Politiet har laget seg selv problemer med å ta noen spesifikke og eventuelt i neste omgang kjøre sak for å få noen dømt i en slik sak med politiinformasjon på avveie.

En praksis der politifolk lekker intern og sensitiv informasjon til utenforstående har fått pågå upåtalt og ustraffet i mange år. (Oppdatert 6. mai: Et eksempel fra Dagbladet: Ga politiinfo til kjent kriminell – ble forfremmet.)

Det er også på andre områder skapt en så stor aksept for selvtekt blant politifolk, og så lav aksept for å sladre om lovbrytende kolleger, at politidirektoratet fant det nødvendig å kjøre spesifikk etikkopplæring for politiansatte. (Mer om det i: Lovens brukne arm.) Ikke minst ulovlige aksjoner, lovbrudd begått av politimenn i uniform, i regi av politiets Fellesforbund og leder Arne Johannesen, har bidratt til at selvtekt er mer akseptert blant politifolk.

Oppdatert 6. mai: Sak fra Dagbladet etter at blogginnlegget ble publisert.

Med stadige utflytinger som utfordrer hvor hardt både ansvarlige tjenestemenn, deres overordnede, etterforskingsorganet Spesialenheten for politisaker og lovgiver klarer å knipe igjen øynene for å ikke se, og ikke reagere på lovbruddene.

I prinsippet skal det bli vanskelig å slå ned annerledes på om den politiet lekker til er journalist i en norsk mediebedrift eller «medarbeider for en utenlandsk nettside». Et unntak må være om de sistnevnte kan karakteriseres som en trussel mot rikets sikkerhet.

Mitt tips er at ingen enkeltperson i politiet straffes for at denne informasjonen er lekket, da straff for slike lekkasjer vil skape en presedens politiet og spesialenheten ikke har kapasitet og kanskje heller ikke vilje til å slå ned på.

Det enkleste blir vel å si at det må være en rutinesvikt og deretter ikke reagere særlig hardt mot de som er ansvarlige for å ha rutiner, opplæring og kontroll som skal forhindre slike lovbrudd i etaten.

Dersom politiet ikke har god nok tilgangskontroll og logging av hvem som er inne i hvilke spesifikke deler av ulike systemer, når og på hvilket gyldig grunnlag, kan det være tiden å etterlyse slikt nå.

I kjølvannet av politiets iver etter å ta kriminelle ved hjelp av datalagring skulle det vel bare mangle at ikke politifolk selv gikk foran med et godt eksempel og lot hvert sekund av sin databruk i politiets registre registrere, i tilfelle de skulle finne på å gjøre noe ulovlig.

De i politiet som ikke gjør noe galt har vel ikke noe å skjule? Da er det bare å sette i gang Storberget!

[polldaddy poll=4040707]

Flere saker der politiet (eller eks-kolleger) bryter personvernlovgiving med mer uten straff:

Mer om politi:

Bloggurat

Blogglisten

Twingly BlogRank

Mer:

En del ekspolitifolk driver med lignende

Informasjonstyveri og ulovlig avlytting/tapping av kommunikasjon eller data har i mange år vært en lukrativ bransje som i stor grad har unngått politiets søkelys.

Det kan selvfølgelig være helt tilfeldig, men mange av de som driver profesjonelt i denne delen av den private sikkerhetsbransjen er tidligere politifolk. Andre har erfaring fra det norske forsvaret eller ulike grener av det hemmelige Norge. (Mer i lenker lenger nede.)

Skah-saken viste også at noen med ansvar ikke reagerer med annet enn uforpliktende og tomme ord på at ansatte i Forsvaret for eksempel tar private oppdrag via sine nettverk.

Når politiet først avslører en sak til media om informasjonstapping, er det illustrerende nok en amatør helt utenfor den vanlige sirkelen av aktører som blir tatt. En legesekretær som har jobbet på oppdrag fra leger i konkurrerende virksomheter.

Faksimile Aftenposten

Om ikke annet så bør saken være egnet til å få opp øynene for at ulike former for informasjonstyveri faktisk er big business, også i Norge.

En annen side av saken er hvor trygge innbyggerne kan være på at deres sensitive opplysninger blir betryggende behandlet av de som har fått myndighetenes tillatelse til å behandle dem.

Lemfeldig omgang med sensitive personopplysninger kan også ha noe å gjøre med signaleffekt av manglende opplevd strenghet i represalier.

[polldaddy poll=2619610]

Mer:

 

Mest lest på Norske forhold sist uke, pr 25. juni.

  1. Skal alle få ha førerkort.
  2. Modig.
  3. For få straffes for rettighetsjuks.
  4. Hvem styrer best.
  5. Muhammedbilder vanlig i muslimske land.

 

Bloggurat

Blogglisten

Twingly BlogRank

Mer:

VG: Legene kan bli straffet for heleri. Stjal pasientopplysninger fra konkurrent.

VG: Administrerende direktør Grethe Aasved i Aleris Helse avviser anklager om anbudsjuks. VG: Firmaet Hjelp 24 NIMI innrømmer å ha brukt operasjonslister fra konkurrenten, men nekter for å ha hatt kontakt med noen for å skaffe dem. VG: Politiet: -Helsefirmaene ble avslørt av opplysninger i sine egne klager. TV 2: Legesekretær tappet opplysninger om 2000 pasienter.

Aftenposten: Dette er millionavtalen konkurrentene ville ha.

Respekten for deg

Mange bryr seg ikke om personvernet før det er for sent. Det er lett å lene seg tilbake og stole blindt på de ulike aktører og tjenester som måtte finne på å samle sammen opplysninger, også sensitive personopplysninger som kan misbrukes til ID-tyveri med mer. (TU: Riksrevisjonen kritiserer NAV for mangelfull kontroll på sensitive personopplysninger.)

I mange tilfeller går det jo bra allikevel? Ikke på grunn av, men til tross for hvordan de som behandler informasjonen opptrer. Men bør man stole på at alle og enhver som samler inn opplysninger har dine interesser for øye? Og at de som eventuelt skal tjene penger på å selge dine opplysninger til andre, respekterer visse krav som beskytter deg mot skjødesløshet og ulovlig bruk av dine opplysninger?

Noen bryr seg ikke om sitt eget personvern, og det har de jo lov til. Behovet for å bli sett kan være større enn evnen til å tenke på noe som bare kanskje skjer.

Personvern er ikke noe man påtvinges om man ikke vil ha det. Enhver står fritt til å tatovere sitt personnummer i panna eller dele ut egne personopplysninger til andre, men rettigheten til å ha personvern, og kravene til hvordan personopplysninger skal behandles gjelder uansett. Ditt samtykke til andre skal være «uttrykkelig, frivillig og informert» for å være gyldig (mer hos Datatilsynet.)

Idar Harry Vollvik er en gjenganger når det gjelder ulovligheter rundt behandling av personopplysninger ( E24). Selv om han har gjort samme lovbrudd tidligere, så klarer den PR-genierklærte mobileventyreren å fremstille sitt ansvar og sitt lovbrudd som om det skyldes «en dame som ikke ble med ham videre» i hans nye forsøk på å tjene 2000 kroner på hver telefonkunde han solgte opplysninger om. Påbudet fra Datatilsynet om å snarest slutte med ulovlighetene, igjen, klarer eventyreren å fremstille som en temmelig uskyldig » kompetansetilførsel av Datatilsynet».

Faksimile fra E24.

Faksimile fra E24.

Noe er det jo som ligger bak at mannen er kåret til en luring i å bruke media. Hans tidligere PR-rådgiver, som har skrevet boken «Mediekuppet  -Slik tjente Idar Vollvik en milliard med pressens hjelp», kaller ham «falsk, frekk og desperat» (E24).

De som ikke kjenner ham så godt må tenke selv. Synes du en person som opptrer og uttaler seg slik, er troverdig i forhold til å behandle dine personopplysninger med respekt? Den respekt du har rett til å få og han (Ludo) har plikt til å gi?

En måte å svare på er jo ved å tenke en ekstra gang over hvem man overlater sine egne personopplysninger til.

– – – – –

Offentlige organer, private bedrifter og organisasjoner kan ha mange opplysninger om deg som du kanskje ikke har lyst til å la flyte rundt, eller som er uriktige? Du har rett til å kreve at uriktige opplysninger blir korrigert eller slettet (Personopplysningsloven § 27).

Alle som ønsker det kan be hvem som helst om å få innsyn i hvilke opplysninger de har lagret om deg (§ 18). Det er ingen krav til begrunnelse. En enkel måte å gjøre det på er å ringe, sende en e-post eller SMS, opplyse ditt navn og postadresse og be om å få alle opplysningene de har lagret om deg tilsendt pr post fordi du ikke tillater dem å sende personopplysninger til deg elektronisk.

Lykke til med å bidra til å gjenskape respekten for personvernet.

document.no er det lenket til en undersøkelse om personvern og datalagringsdirektivet.

Mest lest på Norske forhold siste tre dager, pr 4. november:

1. Ikke tilliten verdig.

2. Folkehelseinstituttets troverdighet.

3. Respekten for deg.

Bloggurat

Bloggurat

Blogglisten

Twingly BlogRank

VG: Forsvaret har opprettet fiktive nettprofiler for 60 000 navngitte 17-åringer uten å be om tillatelse.

TU: Høyre truer med veto mot Datalagringsdirektivet. VG: Nordmenn oftere utsatt for datakriminalitet. VG: Angriper Googles dyneløfting.

VG, TV 2: Iam.no truer med søksmål mot boikottgruppe.

VG: Slik sletter du Facebookprofilen din

VG: Støre lover høringsforslag om Datalagringsdirektivet før jul. VG: Utsetter Datalagringsdirektivet i et år. TV 2: Skal du og jeg overvåkes på linje med kriminelle. VG: Protestaksjon mot Datalagringsdirektivet. TV 2: Politikere i styret til Stopp Datalagringsdirektivet.

Flere media (her TU) slår opp at «Norge får skryt i en OECD-rapport» om e-forvaltning. Rapporten gjelder hvilke land som bruker det mest og ikke hvem som gjør det tryggest eller tar best hensyn til personvern og informasjonssikkerhet. Burde ikke Norge være ledende på informasjonssikkerhet og personvern i forvaltningen også, når vi bruker mest elektronisk offentlig forvaltning?

VG: Slik sikrer du deg mot ID-tap ved PC-reparasjon. VG: Butikker kan bli holdt ansvarlig. (ID-tyveri særdeles aktuelt på grunn av slurv fra butikker som tar inn gamle PC-er, mobiler m.m. NRK).

Enda et eksempel på at manglende grunnleggende rutiner i det offentlige, kombinert med tilgjengelig informasjon, kan føre til at svindel kan forekomme tilknyttet ditt navn (VG). Mer om dette her.

TV 2: Å skrive «Vollvik» i tittelen ga like mange klikk på artikkelen som å skrive ordet «sex».

Nå kan du signere lånepapirene på nett og lagre elektronisk i stedet for papirversjon. Sikkert som banken? (Dine Penger).

VG: Anmelder sykehus etter å ha lekket sensitive personopplysninger på internett.

Facebook og blogging kan angå både personvernforhold og andre sikkerhetshensyn. OK for deg, men hva sier din arbeidsgiver? (Mer i VG og TV 2).

Muligheten til å kontakte NAV anonymt, som her, er vanskelig å kombinere med å innhente opplysninger de har lagret om deg, men du kan jo om nødvendig ta kontakt i flere omganger. NAV Trygd skal forresten vite hva dine opptjente pensjonsrettigheter er. Vet du?