Datatilsynet gjennomførte i løpet av 2008 kontroll av enkelte advokatfirmaers bruk av elektronisk kommunikasjon. Advokatforeningen har laget en sammenfatning av rapportene fra disse kontrollene, med vekt på å få frem:
- Forhold som er funnet i strid med personopplysningsloven
- Datatilsynets anbefalte løsninger
Temaet for Datatilsynets kontroller har vært advokaters bruk av elektronisk kommunikasjon og i hvilken grad sensitive personopplysninger, slik de er definert i personopplysningsloven § 2, nr. 8, blir overført via elektroniske hjelpemidler.
Datatilsynet har særlig blinket ut selskaper som jobber innenfor fagområder hvor det behandles mye sensitive personopplysninger: barnevernrett, strafferett, forsikringsrett, helse-og sosialrett, utlendingsrett og familierett.
Nedenfor følger Advokatforeningens sammenfatning av Datatilsynets kontrollrapporter.
1. Advokaters kommunikasjon via e-post
Personopplysningsforskriften § 2-11 stiller krav om at det skal iverksettes tiltak mot uautorisert innsyn i personopplysninger hvor konfidensialitet er nødvendig. Sensitive personopplysninger er av en slik karakter at det er nødvendig å sikre konfidensialiteten, jf personopplysningslovens § 2-1. I tillegg er advokater bundet av lovbestemt taushetsplikt i henhold til domstollovens § 224 og advokatforskriftens kapittel 12 pkt. 2.3.
Manglende kryptering eller sikring av e-postkommunikasjon anses som et brudd på personopplysningslovens § 13 og personopplysningsforskriftens § 2-11.
Advokatfirmaer må iverksette nødvendige sikkerhetstiltak eller sørge for å avidentifisere personopplysninger før oversendelse.
For ordens skyld presiseres det at det ved sending av triviell informasjon som møteinnkallelser, eller andre faktiske avklaringer som ikke inneholder beskyttelsesverdig informasjon fremdeles kan sendes via ordinær e-post.
Om e-post-kommunikasjon med domstolene
I rapporten er det fremhevet at e-postkommunikasjon med domstolen i det vesentlig dreier seg om berammelsesbrev og praktiske forhold om møtetidspunkt etc. I disse dokumentene vil det kunne fremkomme sensitive personopplysninger. En særlig problemstilling er hvem som initierer bruk av e-post i denne sammenheng. Dersom det er domstolen som sender slik informasjon usikret, blir advokaten medansvarlig for å sende usikrede opplysninger dersom man benytter ”svar” funksjonen, og sånn sett er med på å sende den samme informasjon usikret i retur.
Datatilsynet er kjent med at Domstoladministrasjonen (heretter DA) har igangsatt arbeid knyttet til sikker bruk av elektronisk kommunikasjon med og mellom landets domstoler. Tilsynet finner det ikke hensiktsmessig å pålegge det enkelte advokatkontor å utarbeide sikre løsninger parallelt med dette arbeidet. Advokatkontoret må imidlertid innarbeide rutiner som sikrer at de ikke selv tar initiativ til overføring av sensitiv informasjon.
Om e-postkommunikasjon med klienten
Advokatkontoret som den ansvarlige profesjonelle part må iverksette tiltak for å overholde tilfredsstillende informasjonssikkerhet etter personopplysningsloven i kommunikasjonen med klient.
På advokatens hjemmesider er det mulig å ta kontakt med advokaten eller firmaet per e-post. Herunder må det fremkomme at slik e-post ikke er kryptert eller sikret på annen måte. Datatilsynet foreslår slik tekst:
”Vær oppmerksom på at bruk av e-post har mange svakheter som gjør at fortrolige opplysninger kan komme på avveie. Send derfor ikke sensitive eller fortrolige opplysninger på e-post”
Dersom klienten likevel skulle velge å sende e-post med sensitive opplysninger, vil ikke advokaten være ansvarlig for oversendelse. Dette gir imidlertid ikke advokaten rett til å svare på e-posten uten å iverksette tiltak for å sikre konfidensialitet, jf. ovenfor.
Om e-postkommunikasjon med motpartens advokat
Dersom det er aktuelt å oversende sensitiv informasjon, må det iverksettes tiltak for å fjerne direkte identifisering av kjennetegn.
Mulige løsninger for sikring av e-post
Datatilsynet vurderer det slik at det finnes en god del spesialiserte løsninger på markedet:
- Det finnes metoder som kan benyttes for å ivareta konfidensialiteten i en e-post, bl.a. krypteringsmekanismer. Det praktiske problemet med disse er imidlertid at de er laget som tilpassede løsninger, som krever implementering hos alle parter involvert i kommunikasjonen. En slik løsning er tungvindt og vanskelig å gjennomføre da det er mange parter involvert og antallet varierer med den enkelte advokats kontaktflate.
- Det finnes også i følge Datatilsynet kontorstøtteapplikasjoner som er integrert støtte for kryptering av dokumenter som i de fleste tilfeller vil ivareta kravet til konfidensialitet. Slike løsninger vil imidlertid være utilstrekkelige ved overføring av svært sensitive personopplysinger slik Datatilsynet har vurdert det i tidligere saker. En utfordring her vil uansett være mottakers mulighet til å behandle en slik sending, da bruken av kontorstøtteapplikasjoner varierer. Det er også viktig at man ikke sender passordet benyttet for å kryptere dokumentet på samme medium som dokumentet, men sender dette eksempelvis som en SMS til en mottaker.
- Det finnes noen løsninger som fungerer som ”postkontor” hvor mottaker ikke trenger å installere programvare og hvor det heller ikke stilles krav til informasjonssystem. Man kan sammenligne det med rekommandert sending, bare i elektronisk form. Tilgangen til slike løsninger skjer via en kryptert webportal og vil dermed ikke kreve noe tiltak av mottager, kun hos avsender.
Datatilsynet anbefaler at advokater undersøker hva som finnes på markedet i samråd med teknisk fagkyndige. Tilsynet stiller seg til disposisjon for ytterligere råd/ og veiledning.
2. Advokaters kommunikasjon via telefaks
Ved kommunikasjon via telefaks må man ta en del forholdsregler, spesielt der det er behov for konfidensialitet. Et godt eksempel vil være oversendelse av dokumenter som inneholder fødselsnummer eller annen informasjon som kun er beregnet for mottaker og som er knyttet til identitet. Skal det sendes slik informasjon, antar Datatilsynet det som nødvendig å sladde personinformasjonen i oversendelsen, og underrette mottageren per telefon hvem den oversendte informasjonen gjelder.
3. Internkontroll etter Personopplysningsloven § 14
Den som behandler personopplysninger pålegges å iverksette systematiske tiltak som sikrer at opplysningene behandles lovlig, sikkert og forsvarlig. Dette innebærer at virksomheten må ha rutiner for sin bruk av opplysninger og tilfredsstillende beskyttelse av disse.
Rutinene skal dokumenteres
4. Meldeplikt til Datatilsynet
Behandling av sensitive personopplysninger i klientregistre hos advokat er unntatt konsesjonsplikt; men underlagt meldeplikt jf. personopplysningsloven §§ 31,33 og forskriftens § 7-23.
5. Informasjonssikring av bærbart utstyr
Etter personopplysningsforskriften § 2-4 skal det utføres en risikovurdering av behandling av personopplysninger. Virksomheter som benytter bærbare datamaskiner på reise eller hjemmekontor, har en økt risiko for at de kommer på avveie, blir stjålet eller på annen måte forlagt.
En mulig løsning her er en krypteringsløsning på lagringsenheten på det bærbare utstyret.
6. Avhending av det elektroniske utstyret
Datatilsynet etterspør rutiner for avhending av elektroniske komponenter, herunder blant annet kopimaskin og skrivere. Spesielt kopimaskiner mellomlagrer all informasjon som blir kopiert eller skannet inntil det blir overskrevet.
Virksomheten må her kunne fremvise en databehandleravtale med aktuelle leverandører som tilfredsstiller personopplysningsloven § 15.
Det må utarbeides tilfredsstillende rutiner for sletting av sikkerhetskopiering.
7. Fysisk sikring av personopplysninger
Personopplysningsforskriften § 2-10 stiller krav til fysisk sikring av utstyr som behandler personopplysninger, slik at uautorisert innsyn forhindres.
Et eksempel på tiltak kan være å plassere serveren bak en dør med smekklås eller kodelås. Det samme gjelder for papirarkiv.
8. Informasjon til den registerte
I straffesaker behandles personopplysninger med hjemmel i lov. I sivile saker er det basert på samtykke fra klient jf. personopplysningsloven § 9, bokstav a. Dette samtykke må være informert, jf. krav til informasjon i personopplysningsloven § 19.
Personopplysningsloven oppstiller ingen formelle formkrav for denne informasjonen og den kan godt gis muntlig. Datatilsynet anbefaler at informasjonen om den registrertes rettigheter om innsyn, retting og sletting gis skriftlig i oppdragsbekreftelsen.