Bakgrunnen for møtet den 14. april var Datatilsynets kontroll av fire advokatkontor i Oslo og Trondheim i fjor. Hovedtema for møtet var en dialog omkring de funn Datatilsynet har dokumentert i deres tilsynsrapporter.
Datatilsynets funn
Kort oppsummert fant Datatilsynet:
- Manglende melding til Datatilsynet
- Uklar ansvarsangivelse; partnerskap/managing partner
- Manglende advarsel på hjemmesidene om bruk av e-post
- Manglende kryptering
- Manglende internkontrollsystem herunder risikovurdering
- Dårlig oppbevaring av back-up
- Dårlig sikring av konfidensialitet på bærbart utstyr
- Manglende rutiner ved avhending og salg av gammelt IT-utstyr.
Se sammenfatning av de vanligste bruddene på personopplysningsloven som Datatilsynet har påpekt i sine rapporter.
Advokatforeningens tiltak
På våre hjemmesider har vi lagt ut en sjekkliste for utarbeidelse av internkontroll som er påkrevet i.h.t. personopplysningsloven § 14.
Advokatforeningen har i samarbeid med Juristenes Utdanningssenter også utviklet et kurs om sikker elektronisk behandling av klientopplysninger. Kurset har som formål å bevisstgjøre advokater og lette oppfyllelsen av personopplysningslovens krav. Kurset ble avholdt våren 2009, og vil bli avholdt flere ganger høsten 2009.
Sjekkliste for behandling av personopplysninger vil bli lagt ut på Advokatforeningens hjemmesider om kort tid.
Elektronisk kommunikasjon
Datatilsynet fremholder at en del av problemet er at e-signaturer og e-id ikke er allment utbredt i befolkningen. Det finnes i dag heller ingen felles standard for kryptering av e-post. Datatilsynet mener myndighetene må gå foran i å utvikle slike standarder, og således har tilsynet forståelse for at advokatbransjen, med sine mange kommunikasjonspartnere har en utfordring. Fremfor alt ser Datatilsynet at foreningen kan være en viktig pådriver for å medvirke til at det etableres løsninger, som fungerer mellom de profesjonelle aktørene med gjentatt samhandling (advokatene, politi og domstolene).
Domstolsadministrasjonen setter i disse dager i gang et hovedprosjekt om elektronisk kommunikasjon med advokater. Advokatforeningen deltar i dette arbeidet. Prosjektet er planlagt ferdigstilt første halvår 2011.
Den enkelte advokat oppfordres uansett til å foreta en konkret risikovurdering om det er sikkert nok å benytte ordinær e-post og faks til forsendelse av den aktuelle informasjon. Innholdet i den enkelte e-post vil danne utgangspunktet for vurderingen. Datatilsynet understreker at det er advokaten – og ikke klienten, -- som er ansvarlig for risikovurderingen.
Kravet til en slik risikovurdering gjelder også i de tilfeller hvor offentlige myndigheter oppfordrer til å benytte ordinær e-post og faks i kommunikasjonen mellom partene.
Det finnes mange måter å kommunisere sikkert på en elektronisk måte. Eksempelvis kan vedlegg med dokumenter krypteres, selve e-posten kan krypteres, eller man kan kommunisere gjennom en sikker portalløsning. I særlig tilfeller vil fortsatt bud og rekommandert post være en god løsning.
Informasjon om leverandører
I påvente av nye felles løsninger vil Advokatforeningen fortsette med å formidle objektiv informasjon om ulike aktuelle leverandører og sikkerhetsløsninger på foreningens nettsider.
Kommunikasjon over landegrensene
Det internasjonale perspektiv er viktig. Advokat Arve Føyen representerer Advokatforeningen og er leder av IT-komiteen i CCBE (Den europeiske advokatorganisasjonen) som bl.a. diskuterer elektronisk kommunikasjon på tvers av landegrensene, samt innhenter erfaringer fra andre land.