Eigersund kommune har på generelt grunnlag foretatt en innskjerping i organisasjonen for oversendelse av sensitive personopplysninger på e-post og telefaks. Det ligger ikke noen konkret hendelse til grunn for innskjerpingen, men vi har erfart at det er nødvending å minne om regelverket med jevne mellomrom.
Følgende er sakset fra et informasjonssskriv fra Datatilsynet for Informasjonsskriv om advokater og Internett som gir en del informasjon som også er gyldig for kommunal sektor.
"Internett som overføringsmekanisme, uten spesielle sikkerhetstiltak, innebærer at opplysningene i prinsippet er tilgjengelige for alle. Bruk av Internett fra informasjonssystemer hvor sensitive personopplysninger behandles, innebærer dermed en betydelig sikkerhetstrussel. Sikkerhetstrusselen gjelder informasjonssystemet til både avgiver og mottaker, og selve overføringen av opplysninger. Klientens grunnleggende krav på konfidensialitet og integritet kan ikke oppfylles dersom uvedkommende har mulighet til å lese, kopiere, endre og slette opplysningene.
Datatilsynet ønsker å rette søkelyset mot problemer som gjelder overføring av sensitive opplysninger ved bruk av Internett. De øvrige sikkerhetsmessige problemer som Internett-tilgang medfører, vil bare i liten grad bli behandlet her.
Det er Datatilsynets inntrykk at hovedtyngden av opplysninger som kommer på avveie i forbindelse med bruk av Internett ikke skyldes bevisste handlinger, men menneskelige feil. Et eksempel på problemer som manglende sikkerhet ved bruk av Internett innebærer, er tilfeller der prosesskriv, inneholdende svært sensitive opplysninger, er sendt til feil e-postadresse. Andre hyppig forekommende situasjoner er e-post forsendelser med feil vedlegg.
De samme sikkerhetsrelaterte problemene gjør seg i stor grad også gjeldende ved bruk av telefaks. Det følgende gjelder også for den måten å overføre personopplysninger på.
Sensitive opplysninger
Advokater og rettshjelpere arbeider i stor utstrekning med opplysninger av sensitiv karakter. Sensitive personopplysninger er (i relasjon til personopplysningsloven) opplysninger om en person har vært siktet, tiltalt eller dømt for straffbar handling. Det er også opplysninger om helseforhold (f.eks. misbruk av rusmidler), rasemessig eller etnisk bakgrunn, seksuelle forhold, politisk eller religiøs oppfatning og fagforeningstilhørighet, se personopplysningsloven § 2-8. Det er Datatilsynets inntrykk at sensitive opplysninger overføres elektronisk i stadig større utstrekning. Det vil kunne medføre uopprettelige skader for den enkelte dersom opplysninger av denne karakter gjøres tilgjengelig for uvedkommende, og tilliten til advokater generelt kan svekkes.
Krav om kryptering
Under forutsetning av at virksomhetens informasjonssikkerhet i sin helhet er tilfredsstillende, aksepterer Datatilsynet at sensitive opplysninger overføres ved bruk av Internett. Informasjonen skal være kryptert eller sikret på annen måte. Det presiseres at kravet også gjelder oversendelse av sensitive opplysninger ved bruk av telefaks.
Personopplysningsloven
Det følger av forskrift til personopplysningsloven § 7-21 at behandling av personopplysninger i forbindelse med virksomhet som nevnt i lov 13. august 1915 nr 5 (domstolloven), kapittel 11 om advokater, er unntatt konsesjonsplikten etter personopplysningsloven § 33. Unntaket fra konsesjonsplikt gjelder bare dersom behandlingen foregår innen rammen av lovgivningen på området. Behandlingen er meldepliktig etter personopplysningslovens § 31.
For dokumenter som overføres avidentifisert, slik at uvedkommende på grunnlag av oversendelsen ikke kan finne direkte tilbake til de omhandlede personer, vil den personvernmessige trusselen være atskillig mindre. Det vil likevel være overføring av personopplysninger i personopplysningslovens forstand. Avidentifisering er vanskelig praktisk gjennomførbart i forhold til oversendelser til/fra klienten. Dette fordi det gjennomgående vil forekomme opplysninger som knytter klienten til den "adressen" overføringen er rettet til/fra"