Om personopplysninger og datasikkerhet
Den siste tidens økning i e-handel viser at folk i økende grad er villige til å registrere opplysninger i eksterne databaser. For mange bedrifter har dette skapt nye markeder – og utfordringer.
Side 1: Innledning og internasjonale regler
Det har i det siste vært mye fokus på personvern og sikkerhet. Både nasjonalt og globalt har det i de siste årene kommet nye lover for å regulere personvernet. Dette har ført til usikkerhet blant mange bedrifter om hvilke regler som gjelder, og spesielt siden personlovgivningen varierer fra land til land.
I Norge virker det som om flere offentlige organer har innsett problemet, og bare i løpet av den siste måneden har både Teknologirådet og Datatilsynet sluppet hver sin rapport om personvern.
Mens Teknologirådets rapport[1] går dybden, og er på over 100 tettskrevne sider uten illustrasjoner, er Datatilsynets årlige rapport[2] rikt illustrert. Egentlig ligner den mer på et bilag i en av tabloidavisene.
Ettersom stadig flere bedrifter, organisasjoner og offentlige etater har databaser hvor de lagrer konfidensielle opplysninger om enkeltpersoner, er faren for at det kan forekomme uautorisert innsyn eller lekkasje av opplysninger mye større enn tidligere. Fra rapporten: Elektroniske spor og personvern utgitt av Teknologirådet mars 2005. |
For næringsvirksomheter som driver internasjonalt kan det virke som om det fins et virvar av regler. Denne artikkelen vil forsøke å klargjøre litt i dette ved å trekke fram det viktigste fra lovgivningen og presentere de sentrale punktene som går igjen internasjonalt. Den vil også presentere eksempler fra i dag, som viser at både aktører i det private og i det offentlige synes personlovgivningen er vanskelig.
Internasjonale regler
Kjernepunktet i personvernslovgivningen kommer opprinnelig fra artikkel 8 i menneskerettighetskonvensjonen, som fastslår at enhver har rett til respekt for sitt privat- og familieliv, sitt hjem og korrespondanse.
I Europa er detaljutformingen av lovverket overlatt til enkeltnasjonene, men denne må likevel være i tråd med EU-direktivet og OECD. En oversikt over lovene og reglene som kommer til anvendelse i Europa finnes i tabellen under.
Internasjonalt regelverk
Nasjonale bestemmelser
Fra rapporten: Elektroniske spor og personvern utgitt av Teknologirådet mars 2005 |
Det mest generelle av disse er EUs direktiv om personvern (95/46/EC), som gjelder for flere lovområder. Dette direktivet virker hovedsakelig inn på Personopplysningsloven av 2000. Men også særlovene Helseregisterloven (2001) og lov om elektronisk kommunikasjon (2003) er berørt av direktivet.
Side 2: Sentrale punkter
Sentrale punkter
De sentrale punktene i lovgivningen regulerer datainnsamling, databehandling, tidsrom, sikkerhet, rett til innsyn og overføring til tredjepart. Disse kan oppsummeres slik:
- Rimelighet og lovmessighet
Datainnsamling- og behandling må skje i tråd med lovverket, og det på en måte som ikke medfører belastning for den registrerte - Spesifiserte formål
Datainnsamling skal bare skje og brukes i forhold til spesifiserte formål - Begrenset datainnsamling
En databehandler har ikke anledning til å samle mer data enn nødvendig i forhold til det spesifiserte formålet - Nøyaktighet
Innsamlete data skal være nøyaktige, og når det er nødvendig skal de også oppdateres jevnlig - Tidsomfang
Når innsamlede data ikke lenger trengs, skal disse slettes - Deltakelse og kontroll
Personer skal ha adgang til å vite hvilken informasjon som fins om dem i en database, og de skal ha også ha mulighet til å korrigere opplysninger som er feilaktige eller misvisende - Informasjonssikkerhet
Forvalterne av personopplysninger må utføre de nødvendige tiltak for å sikre disse mot uautorisert bruk, ødeleggelse eller spredning - Sensitivitet
Sensitive opplysinger (rase, etnisk opphav, politiske oppfatninger, religiøs eller filosofisk overbevisning, medlemskap i fagforeninger og helse og seksualliv) må beskyttes ekstra godt. - Overføring
Personlige data skal ikke overføres til tredjepart uten tillatelse fra de registrerte.
Disse punktene er hentet fra Teknologirådet[1], Datatilsynet[2], og Carey, Peter (2003)[4].
De fleste av disse punktene er hvis man tenker seg om selvfølgelige. Det er ikke mange som liker å gi fra seg mer personopplysninger enn nødvendig, og det er heller ikke mange som er villig til å bruke tid på å registrere seg alle mulige steder.
Derfor er det også mest formålstjenlig for næringsvirksomheter å følge reguleringene som angår for datainnsamling og direkte kontakt med publikum.
Et punkt hvor dette ikke gjelder er punktet som omhandler datasikkerhet. Dette er i tillegg mange er usikre på. Hvilke sikkerhetstiltak kreves for at man personopplysninger er sikret i henhold til loven?
Side 3: Sikkerhet og konklusjon
Sikkerhet
Datasikkerhet er selvfølgelig i stor grad et teknisk spørsmål. Men det er også et kunnskapsspørsmål – visse rutiner må innarbeides for å unngå uhell. Det verste som kan skje er selvsagt at utenforstående skal få tak i innholdet i kunderegister, eller at all informasjonen skal gå tapt ved et uhell.
Det kan virke selvsagt for mange, men det kan ikke sies ofte: Å ha en forholdsvis sikker PC koblet opp mot Internett krever mye arbeid. Det samme gjelder selvsagt for databaseservere, bare i enda større grad.
I tillegg til å ha en god brannmur og et bra antivirusprogram, bør man oppdatere maskinen og alle de programmene som brukes jevnlig. Det beste er hvis kunderegister og databaser ligger atskilt på egne maskiner som ikke har annen funksjonalitet enn å være nettopp en database. Da kan alle porter lukkes og datainnhentingen kan foregå lokalt.
På kunnskapssiden er det viktig at alle ansatte får opplæring i håndtering av personlige opplysninger, og i skikk og bruk når det gjelder for eksempel e-post.
Det verste som kan skje er selvfølgelig at innholdet i en database over personopplysninger kommer på avveie.
Ennå fins det foretak eller foreninger som sender ut e-post hvor mottakerne får se adressene til alle på mottakerlisten. Dermed er det for eksempel nok at en av mottakerne er eller blir infisert av et virus som henter og videresender e-postadresser, for at alle adressene kan bli solgt til spamregistre.
For å hindre tap av data er det selvsagt også viktig å foreta jevnlig backup, enten ved hjelp av harddiskspeiling eller bånd.
Konklusjon
På områder i utvikling må nødvendigvis lovverket også oppdateres ofte for å holde tritt med praksis. Likevel har dette vært spesielt i forhold til personvern, siden den digitale teknologien i så stor grad har gjort innhenting og håndtering av data billig og lett tilgjengelig. Å overholde personvernlovgivningen medfører utfordringer, men bør ikke være uoverkommelig.
På den digitale arenaen er kanskje Postens tjenester ”Meg og mitt” og ”Finn dine kunder” det beste norske eksemplene på at digital informasjon i dag kan håndteres i følge loven, og samtidig utnyttes kommersielt.
Meg og mitt baserer seg på at kunder registrerer personalia og interesser i en database. Denne selges så til næringsinteresser, som sender kundene målrettet reklame. Dette er selvfølgelig helt greit, siden det er opp til kundene selv å registrere seg.
Datatilsynets og Teknologirådets ferske rapporter foreslår at personvern ikke er en tapt sak i den digitale tidsalderen. Personvernet bygger på menneskerettighetskonvensjonen, og essensen er at enkeltindividets identitet har til beskyttelse.
Dette er et godt og viktig prinsipp, men er kanskje lett å glemme med de store mulighetene som fins for registrering i dag. Hvis man følger kjerneprinsippene bak reglene i Norge vil man likevel også være på trygg grunn i forhold til lovgivningen i andre EU-land og i USA.
Henvisninger
[1] Elektroniske spor og personvern
[2] Personvernrapporten 2005
[3] Personvernrapporten 2004
[4] Carey, Peter (2003). Data Protection. A Practical Guide to UK and EU Law.
Øvrige kilder
Privacy and Rights 2004
Holdninger til personvern (2004)
Må endre de nasjonale prøvene (2005)