I henhold til Personopplysningsloven (popplyl.) § 14 er advokatfirmaer forpliktet til å etablere og vedlikeholde planlagte og systematiske tiltak som er nødvendige for å oppfylle kravene i eller i medhold av personopplysningsloven. Tiltakene skal dokumenteres og gjøres tilgjengelig for de det samles informasjon om – inkludert klienter og ansatte. Ved forespørsel skal dokumentasjonen også gjøres tilgjengelig for Datatilsynet og Personvernnemnda.
Denne oversikten er utarbeidet for Advokatforeningen per 22.2.2008, av advokatfullmektig Kristin Haram i Simonsen Advokfirma DA.
Popplyl. gjelder for:
- behandling av personopplysninger som helt eller delvis skjer med elektroniske hjelpemidler, og
- annen behandling av personopplysninger når disse inngår eller skal inngå i et personregister.
Advokater behandler regelmessig personopplysninger, og skal ivareta følgende:
- sikre klientens rettigheter
- ha tilfredsstillende informasjonssikkerhet
- ha en systematisk tilnærming til personvern og informasjonssikkerhet gjennom et internkontrollsystem
Typisk vil et advokatfirma regelmessig behandle opplysninger både om sine klienter og sine ansatte.
Noen definisjoner etter popplyl § 2:
”Personopplysninger”
opplysninger og vurderinger som kan knyttes til en enkeltperson;
”Behandling av personopplysninger”
enhver bruk av personopplysninger, som f.eks. innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter;
”Den registrerte”
den opplysningene er knyttet til;
”Behandlingsansvarlig”
den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes – dvs advokatfirmaet;
”Databehandler”
den som behandler personopplysninger på vegne av den behandlingsansvarlige.
Hovedregelen etter popplyl. § 8 er at det må innhentes samtykke fra den registrerte til å behandle personopplysninger om vedkommende. Loven fastsetter også andre altermativer som gir grunnlag for å behandle personopplysninger. De mest praktiske alternativene er i de tilfeller behandlingen er nødvendig for oppfyllelse av en kontraktsforpliktelse, oppfyllelse av en forpliktelse etter lov, for å ivareta den registrertes vitale interesser, eller for å ivareta en berettiget interesse som overstiger hensynet til den registrertes personvern, jr. popplyl. § 8 a-f.
Det er viktig å understreke at opplysninger knyttet til klienter i form av enkeltpersoner og selskaper, ikke nødvendigvis behøver samtykke i henhold til hovedregelen i popplyl § 8. Det er kun opplysninger av mer personlig art som går innunder dette, se over. Popplyl § 11 angir grunnkrav til behandling av personopplysninger, og advokatfirmaer skal kun behandle personopplysninger når dette er saklig begrunnet i selskapets drift. Omfanget og karakteren av de opplysninger som registreres om kontaktpersoner hos forretningsforbindelser og andre klienter må begrenses til saklighetskravet i popplyl. § 11. Begrensningen i popplyl. § 11 medfører at advokatfirmaer regelmessig bare kan behandle opplysninger om ansatte og klienter i den grad opplysningene og behandlingen av disse er saklig grunnet i driften av advokatfirmaet.
Klientopplysninger og opplysninger om motparter mv. er sentrale for firmaets virksomhet, og er dermed saklig begrunnet.
A) Sikring av klientens rettigheter etter popplyl.
Grunnlag for behandling av opplysninger om klienter:
Advokatfirmaer vil som en del av sin advokatvirksomhet behandle opplysninger om klienter, motparter og andre med tilknytning til de aktuelle oppdrag, herunder vil firmaet behandle sensitive opplysninger. Behandlingen skjer i henhold til lov av 13. august 1915 om domstolene (domstolloven) kapittel 11 om rettshjelpsvirksomhet og advokater.
Den konkrete behandlingen av opplysninger om klienten har grunnlag i oppdraget, og gjelder som regel behandling av opplysninger av forretningsmessig art – dvs typisk som angår sakstilfellet og det oppdraget advokaten har påtatt seg for klienten, kontaktinfo m.m. Slik informasjon er følgelig hjemlet i popplyl. § 8 a, og man behøver ikke samtykke for slik behandling.
Behandling av opplysninger om andre enn klienten, f eks motparter og vitner er hjemlet i popplyl. § 8 f, hvor hensynet til den registrertes personvern må veies opp mot hensynet til behandlingen av opplysningene i den enkelte sak. Advokatenes taushetsplikt tilsier som oftest at hensynet til den enkeltes personvern ikke krenkes, slik at hensynet til å kunne gjennomføre behandlingen blir avgjørende.
Dersom behandlingen av personopplysninger går utover dette, f eks dersom man lagrer informasjon om klienter av mer personlig art, eller for formål som ikke er saklig begrunnet i driften av selskapet eller annet, - det kan være at man vil lagre informasjon for markedsføring, - eksempelvis hvorvidt kontaktperson hos klienten er god i golf, hva han liker å spise, hvor han drar på ferie, hva han leser, hva slags utdannelse han har osv – og da er hovedregelen etter popplyl. § 8 at det må innhentes samtykke fra den registrerte til å behandle slike personopplysninger om vedkommende. Dette innebærer at klienten skal ha godtatt at advokaten behandler opplysninger om seg selv. Samtykke skal foreligge før behandlingen starter.
Popplyl. oppstiller konkrete krav til samtykket – det skal være en frivillig, uttrykkelig og informert erklæring fra klientens side. Hvorvidt samtykket er frivillig avgitt må vurderes konkret i det enkelte tilfellet. Kravet til frivillighet hindrer ikke at samtykke kan tas inn som et vilkår i en kontrakt, men vurderingen av om kravet til frivillighet er oppfylt må ses i forhold til hva samtykket omfatter og hvor inngripende behandlingen er for den registrerte. Kravet til frivillighet innebærer at den registrerte skal ha et reelt valg i forhold til å nekte å avgi samtykket.
Kravet til uttrykkelighet, innebærer at det klart og utvetydig må fremgå at den registrerte samtykker og at samtykket dekker alle forhold ved behandlingen. Det gjelder ingen formkrav til avgivelsen av samtykket, men det er advokatfirmaet som har bevisbyrden for at samtykket er innhentet, og følgelig bør samtykket avgis skriftlig i de tilfeller hvor det er praktisk.
Kravet om at samtykket må være informert innebærer at den registrerte skal vite hva behandlingen av personopplysninger om vedkommende medfører. Det kreves ikke at samtykket må gis umiddelbart i forkant av hver enkelt behandling, men samtykket må gi en dekkende beskrivelse av den type behandling som skal foretas, omfanget av behandlingen, samt hvilke konsekvenser behandlingen kan få. Dette innebærer at det må spesifiseres hvilket formål opplysningene skal brukes til, om opplysningene vil utleveres til en tredjepart, herunder om mottakeren skal kunne levere opplysningene videre.
Den registrerte bør også informeres om hvor lenge opplysningene vil oppbevares, og eventuelt hva som vil skje med opplysningene etter dette.
Det mest praktiske er å innta tekst rundt dette i oppdragsbekreftelsen, advokatfirmaets forretningsvilkår eller tilsvarende, dersom dette signeres av klienten før oppdraget starter og slik sett oppfyller popplyls krav om at samtykke skal foreligge før behandlingen starter. Se informasjon om krav til selve samtykket på Datatilsynets hjemmesider. Der finner man også informasjon om håndtering av situasjoner der barn og unge skal avgi samtykke.
Klienten har rett til innsyn i lagrede personopplysninger om seg selv, både de forretningsmessige og de mer personlige – og advokaten skal , både på eget initiativ og etter forespørsel fra klienten, gi informasjon om hvilke opplysninger som er lagret og hvilke sikkerhetstiltak som gjennomføres på advokatkontoret, se popplyl. § 18 om dette. Informasjonen skal minst inneholde navn og adresse på den advokaten som er ansvarlig for behandlingen, formålet med oppbevaringen av informasjonen (behandlingen), m.m. Noe av formålet med dette, er at den opplysningene gjelder skal få informasjon som gjør det lettere for ham å ivareta sine rettigheter, som for eksempel om retten til innsyn, retting og sletting.
Advokaten har plikt til å rette og slette informasjon som er feilaktige, mangelfulle eller unødvendige i forhold til formålet med behandlingen. Popplyl. §§ 27 og 28 har regler om dette.
B) Meldeplikt til Datatilsynet
Utgangspunktet etter popplyl § 31 er at all behandling av ikke-sensitive personopplysninger, samt manuell behandling av sensitive opplysninger skal meldes til Datatilsynet. Meldingen skal sendes minst 30 dager før behandlingen påbegynnes.
Selve meldeplikten består i at advokaten skal sende inn et skjema via Datatilsynet - "Melding om behandling av personopplysninger i henhold til personopplysningsloven § 31". Det anbefales å melde elektronisk for raskere behandling av meldingen. Ved elektronisk innmelding gis det også veiledning underveis. Etter at man har sendt det elektroniske skjemaet, får man en kvittering om at melding er sendt. Meldingen skal virke som en opplysning om at behandling av personopplysninger foregår, og meldingen skal sendes inn hvert tredje år. Ingen dokumentasjon utover meldeskjemaet er nødvendig for innsending – Datatilsynet vil etterspørre ytterligere informasjon dersom dette er nødvendig.
C) Informasjonssikkerhet
Sikkerhetsbestemmelsene i personopplysningsforskriften (heretter benevnt POF) kapittel 2, stiller konkrete krav til hvordan advokatvirksomheten skal håndtere informasjonssikkerhet. Disse bestemmelsene skal være oppfylt før behandlingen av personopplysninger igangsettes.
POF angir krav til det styringssystem den enkelte behandlingsansvarlige må etablere for å oppnå tilfredsstillende informasjonssikkerhet. Man skal utarbeide sikkerhetsmål og – strategi, og dette skal jevnlig gjennomgåes og revurderes.
Den sikkerhetsansvarlige hos advokatvirksomheten skal gjennomføre en risikovurdering for å klarlegge den risiko behandlingen av personopplysninger innebærer i forhold til behovet for konfidensialitet, tilgjengelighet og integritet. Her gjelder det å finne frem til hva slags trusler mot informasjonssikkerheten som finnes i advokatvirksomheten, holdt opp mot de typer personopplysninger som behandles.
Viktig å merke seg er at reglene ikke bare gjelder for informasjonssikkerhet ved egen behandling av personopplysninger, men også for kommunikasjonspartenere og leverandører. Mange advokatfirmaer benytter seg av outsourcingsfirmaer for drift av it-systemer, og bør ha dette i bakhodet når avtale med dem inngås.
I POF er informasjonssikkerhet definert som krav til:
- Sikring av konfidensialitet (ingen uvedkommende får tilgang)
- Sikring av integritet (ingen utilsiktet endring av opplysninger)
- Sikring av tilgjengelighet (tilstrekkelig og relevant opplysninger skal være tilgjengelig)
Man skal etablere ”planlagte og systematiske tiltak” for å oppnå informasjonssikkerhet. Dette innebærer at standarder for kvalitetsstyring, internkontroll (se nedenfor) og informasjonssikkerhet skal benyttes.
Hvert advokatkontor bør analysere behovet for sikkerhetstiltak ihht POF og oppbevaring av personopplysninger og sensitiv infomasjon. Eksempler på sikkerhetstiltak som ofte gjennomføres:
- Organisatoriske sikkerhetstiltak: advokatfirmaet bør sørge for at kun de som har behov for tilgang til registrerte personopplysninger for å oppfylle formålet med behandlingen har tilgang til opplysningene.
- Klientopplysninger knyttet til det enkelte oppdrag blir som regel lagret både elektronisk og manuelt hos den enkelte advokat i firmaene. Elektronisk lagres som regel opplysningene på et felles filsystem hvor alle ansatte har tilgang. Sikkerheten er regelmessig ivaretatt ved de ansattes taushetsplikt, samt generelle IT-sikkerhetstiltak. I særlige tilfeller bør saksansvarlig advokat sørge for begrenset tilgang.
- Fysiske sikkerhetstiltak: det er tilstrekkelig at adgangen til kontorlokalene er låst eller begrenset av adgangskontrollsystemer, med sentralbord eller passord for å komme inn. Man bør vurdere at møterommene blir lagt til en egen etasje eller adskilt slik at besøkende ikke har tilgang til de ansattes kontorer.
- Tekniske sikkerhetstiltak:
- Brannmur for all internett-trafikk, inkl. ekstern e-post, som effektivt beskytter mot at uvedkommende kan koble seg opp mot advokatfirmaets portal og nettverk,
- Daglig back-up av serverne.
- Krav om passord for all intern og ekstern oppkobling mot advokatfirmaets nettverk
- Effektive virusprogrammer
Sikkerhetstiltakene skal dokumenteres – her skal man beskrive organiseringen og rutinene for sikkerhetstiltakene. Utfyllende informasjon om sikkerhetstiltakene i POF finnes i Datatilsynets kommentarutgave.
D) Internkontrollsystem
Plikten til å ha et internkontrollsystem går frem i popplyl §§ 13 og 14 og POF kapittel 3. Her angis krav om at advokatvirksomheten skal ha en systematisk tilnærming til og implementering av popplyls krav, dvs. rutiner og systematiske tiltak for å fremme en sikker behandling av personopplysninger og sensitiv informasjon. POF kap 3, 2. avsnitt sier følgende:
"Internkontroll innebærer at den behandlingsansvarlige blant annet skal sørge for å ha kjennskap til gjeldende regler om behandling av personopplysninger, tilstrekkelig og oppdatert dokumentasjon for gjennomføring av de ovenstående rutiner, samt ha denne dokumentasjonen tilgjengelig for de den måtte angå."
Prosessene bør legges opp så enkelt som mulig, slik at de er lettfattelige og lett tilgjengelig for advokatvirksomheten som helhet. Et system for internkontroll må gjøres skriftlig, og gjøres kjent for alle medarbeidere som skal etterleve prosessene. Poenget med et system for internkontroll er at ansatte skal være kjent med rutinene, og slik kunne etterleve popplyls regelverk.
Lovens krav til informasjonssikkerhet skal særlig ivareta følgende hensyn:
- sikring av konfidensialitet ved beskyttelse mot innsyn fra uvedkommende,
- sikring av integritet ved beskyttet mot utilsiktet endring, og
- sikring av tilgjengelighet ved å sørge for at tilstrekkelige og relevante opplysninger er til stede.
For advokater vil internkontrollsystemet være viktig og relativt omfattende fordi det behandles betydelig mengder taushetsbelagt informasjon.
Datatilsynet har lagt ut omfattende informasjon om internkontroll på sine hjemmesider, og er i tillegg behjelpelige for de som ønsker å få bistand ved implementering av et internkontrollsystem.
På Datatilsynets nettsider finner du en enkel oversikt over hva som bør inngå i et internkontrollsystem, samt informasjon og støtteverktøy for utarbeidelse av ineternkontroll.