lagring
Personvernøkende identitetsforvaltning
identitetsforvalter
kommunikasjonsvern sanksjoner
lagring
kunde
Ot.prp
personverndirektiv
web security
Apple
opplysning
Commfides
fødselsnummer behandlingsansvarlig EMK
virtuell
smarttelefon sanksjoner
ansatt
sammenstille minimalitet ekomloven
biometri attributt
Datatilsynet
token databehandleravtale
sertifikattjenester sikkerhet adresse
profilering
kundenummer overføring NOU innsyn innebygd personvern
ehandel
Brønnøysundregistrene Facebook
medlem navn identitetsforvaltning
vilkår
PKI
behandling
overtredelsesgebyr
Internett
transaksjon Big Data
identitetMinID
krav
folkeregister
innlogging
personvernforordning
profil services misbruk
Personvernkommisjonen
avtale autorisasjon
personvern
utlevering pseudonym verifisere iris påstand kryptering St.meld betalingstjenester SAML
single sign on brukermedvirkning
forvaltning
roller tillitt
ID-porten online
Difi
PC kontroll informasjonskapsler
BankID Apps
innsamling
personopplysningsforskriften alder
autentisering ID
cloud
cookies Microsoft inlogging sso
anonymitet behandlingsgrunnlag
log rettigheter
omdømme personopplysningsloven eID Altinn
Feide
plikter
ISO
fingeravtrykk
personvernøkende teknologi EU 95/46/EF privacy enhancing technologies
identifisering Høyesterett
federated identity management
relasjon
sletting
skytjenester Personvernnemnda
signering
sannsynliggjøre
rettspraksis
Xxxxxx Xxxxx
Xxxxxx for rettsinformatikk / Avdeling for forvaltningsinformatikk
CompLex 2/2015
Xxxxxx Xxxxx
Personvernøkende identitetsforvaltning
Senter for rettsinformatikk Avdeling for forvaltningsinformatikk
Postboks 0000 Xx Xxxxx xxxxx 0000 Xxxx
Henvendelser om denne bok kan gjøres til: Senter for rettsinformatikk
Postboks 0000 Xx. Olavs plass 0130 Oslo
Tlf. 00 00 00 00
www. xxx.xxx.xx/xxx/
ISBN 978-82-72261-61-9
XXXX 0000-0000
Grafisk produksjon: 07 Media AS – 00.xx
1 Contents
1.5 Kilder og særskilte metodiske utfordringer 21
2 Juridisk og rettspolitisk bakgrunn 30
2.2 Hovedlinjer i den moderne personverndebatten 30
2.3 Overordnet om personvernøkende teknologi
2.3.1 Boe-utvalgets forslag til pseudonyme helseregistre 37
2.3.2 Terminologi: personvernøkende teknologi
2.3.3 Rettspolitisk debatt om personvernøkende teknologi
2.3.4 Personvernforordningen om «Data protection by design
2.3.5 Grunnleggende prinsipper for innebygd personvern 51
2.4 Personvern og personopplysningsrett 53
2.4.1 Sentrale begreper – personvern og personopplysningsvern 54
2.4.3 Utviklingen av nasjonal og internasjonal person- opplysningslovgivning 69
2.4.4 Bakgrunnen for EUs charter – retten til privatliv og person- opplysningsvern som grunnleggende rettigheter i EU 71
2.4.5 EUs personverndirektiv 76
2.4.6 Forslag til ny personvernforordning 80
2.5 Grunnleggende personvernprinsipper 83
2.5.1 Prinsippet om rettferdig og rettmessig behandling 84
2.5.2 Brukermedvirkning og kontroll 84
2.5.3 Prinsippet om formålsbestemthet 86
2.5.4 Prinsippet om minimalitet 86
2.5.5 Prinsippet om datakvalitet 90
2.5.6 Informasjonssikkerhet 91
3 Identitet og identitetsforvaltning – utfordringer og begreper 93
3.2 Internetts arkitektur – identitetsforvaltning i nivåer og faser 94
3.2.1 Internettets arkitektur: lagdeling av protokoller og tjenester 95
3.2.2 Identitetsforvaltning i tjeneste- og kommunikasjonslag 98
3.2.3 Identitetsforvaltning i to faser: transaksjonsfase og
videre behandling 100
3.3 Oversikt over sentrale identitetsforvaltningsrelasjoner 102
3.3.1 Relasjonen ISP – bruker (1) og (2) 103
3.3.2 Relasjonen bruker – tjenesteyter (3) og (4) 104
3.3.3 Relasjonen tjenesteyter – bruker (5a) og (5b) 106
3.4 «Identitet» og «identitetsforvaltning» 109
3.4.1 Individ – roller – brukerkontoer 110
3.4.2 Faser for identitetsforvaltning 115
3.5 Nærmere om autentisering 119
3.5.1 Mekanismer og teknologier for autentisering 122
3.5.2 Definering av risiko- og sikkerhetsnivåer som grunnlag
for felles autentiseringstjenester 137
4 Identitet og identifiserbarhet – om personopplysningsbegrepets
nedre grense og transaksjonsminimalitet 141
4.1 Innledning 141
4.2 Overordnet om vidt personopplysningsbegrep, men fleksibel regelanvendelse tilpasset personvernrisikoen 142
4.3 Kort om sentrale kriterier 147
4.3.1 Opplysninger og vurderinger 148
4.3.2 Opplysninger «om» en enkeltperson 149
4.3.3 Enkeltperson 150
4.4 Nærmere om «identifisert eller identifiserbar» person 152
4.4.1 Identifiserbar person 153
4.4.2 Virkemidler som det er rimelig å ta i betraktning 157
4.4.3 IP-adresser 159
4.4.4 Pseudonymisering og anonymisering av personopplysninger 163
4.4.5 Betydningen av Art 29-gruppens uttalelser for
elektronisk samhandling og identitetsforvaltning 166
4.5 Transaksjonsminimalitet gjennom pseudonyme identifikatorer 167
4.5.1 Pseudonyme identifikatorer 168
4.5.2 Kunnskap om kobling mellom identifikator og bruker 169
4.5.3 Teknologisk tilnærming til anonymitet og linkbarhet 171
4.5.4 Vurdering av viktige typetilfeller av identifikatorer 175
5 Standarder og løsninger for identitetsforvaltning 178
5.1 Innledning 178
5.2 Oversikt over aktører og tjenester 180
5.3 Microsoft .NET Passport 182
5.3.1 Beskrivelse av tjenesten 183
5.3.2 Oversikt over Art 29-gruppens vurderinger 185
5.4 Relasjonsorientert identitetsforvaltning basert på SAML 190
5.4.1 Oversikt over SAML 2.0s sentrale komponenter 192
5.4.2 Relatering av brukerkontoer – relasjonsorienterte
identifikatorer 195
5.4.3 Single sign-on (SSO) og single log-out (SLO) 199
5.4.4 Attributtautentisering 200
5.4.5 Angivelse av vilkår, autentiseringskontekst og samtykke 202
5.5 Andre komplementære identitetsforvaltningsstandarder 204
5.5.1 OpenID 204
5.5.2 InfoCard og Windows CardSpace 205
5.5.3 Interoperabilitet 207
5.6 Liberty Alliances rammeverk for identitetsbaserte web services 208
5.6.1 Nærmere om aktører og tjenester 210
5.6.2 Nærmere om automatiserbare behandlingsvilkår
(Usage Directives) 214
5.7 Norske identitetsforvaltningsløsninger 218
5.7.1 Minside og identitetsforvaltningsløsningen MinID
(senere ID-porten) 218
5.7.2 Altinn 222
5.7.3 Feide 229
6 Identitetsforvaltning og roller etter personopplysningsretten 237
6.1 Innledning 237
6.2 Behandlingsansvarlig 240
6 2.1 Om kriteriene for å vurdere hvem som er behandlingsansvarlig 240
6.2.2 Behandlingsansvarlig – begrepsbruk og systematikk 242
6.2.3 Krav til partsevne 245
6.2.4 Representasjon 245
6.2.5 Krav til intern organisering 251
6.2.6 Sanksjoner som kan rettes mot den behandlingsansvarlige 256
6.3 Databehandler 273
6.3.1 Krav til databehandleravtale 274
6.3.2 Nærmere om «medarbeidere» og forholdet til «tredjemann» 279
6.4 Tilbyder(e) av elektronisk kommunikasjonsnett og -tjeneste 282
6.5 Hver enkelt «behandling» forutsetter en behandlingsansvarlig 287
6.6 Nærmere om behandlingsansvar i offentlig sektor og i konsern-
forhold – herunder muligheten for delt behandlingsansvar 290
6.6.1 Vertikal plassering av behandlingsansvaret i offentlig sektor 294
6.6.2 Nærmere om behandlingsansvar i konsernforhold 297
6.6.3 Krav og konsekvenser knyttet til delt behandlingsansvar 299
6.7 Anvendelse av personopplysningsrettens roller på
identitetsforvaltning 303
6.7.1 Art 29-gruppen om Microsoft .NET Passport 303
6.7.2 Art 29-gruppen om Liberty Alliance 305
6.7.3 Liberty Alliances veiledning om personopplysningsrett 307
6.8 Momenter for å vurdere identitetsforvalterens roller etter personopplysningsretten 308
6.8.1 Identifisering av behandlinger og relasjoner 309
6.8.2 Opplysninger og behandlingsgrunnlag 311
6.8.3 Organisering og avtaleforhold 313
6.8.4 Brukerstyring og valgfrihet 319
7 Brukermedvirkning og kontroll i forbindelse med innsamling
og utlevering av personopplysninger 322
7.1 Innledning 322
7.2 «Innsamling» – skjæringspunkt i forhold til formålsangivelse, behandlingsgrunnlag og informasjon 323
7.2.1 Innsamling – oversikt og systematikk 323
7.2.2 Nærmere om behandlingen «innsamling» 326
7.2.3 Endring fra tidligere rettstilstand – særlig om behandlings- grunnlag, innsynsrett og informasjonsplikt 327
7.3 Formålsbestemthetsprinsippet som skranke for adgangen til
å utlevere opplysninger til tredjemann 329
7.3.1 Utlevering – forenlig, nytt forenlig eller uforenlig formål? 331
7.3.2 Har det opprinnelige innsamlingsformålet betydning
for mottaker? 334
7.4 Om valg av behandlingsgrunnlag 336
7 4.1 Kort om aktuelle behandlingsgrunnlag for identitetsforvaltning 336
7.4.2 Krav til prioritering mellom samtykke, lov og
nødvendighetsgrunner 337
7.5 Samtykke 342
7.5.1 Erklæring fra den registrerte – krav til autentisering 343
7.5.2 Frivillig 346
7.5.3 Uttrykkelig 349
7.5.4 Informert 356
7.5.5 Tilbaketrekking av samtykke 357
7.6 Nødvendig for å gjennomføre avtale 359
7.6.1 Nærmere om nødvendighetsvilkåret 360
7.6.2 Avtalens formål som utgangspunkt for hva som er
nødvendig for oppfyllelse 363
7.6.3 Nødvendig behandling etter den registrertes ønske
før avtalinngåelse 366
7.7 Transparent behandling – særlig om informasjonsplikten 366
7.7.1 Nærmere om innsamling fra den registrerte 371
7.7.2 Nærmere om innsamling fra andre enn den registrerte 373
7.7.3 Informasjonen som skal formidles 374
7.7.4 Effektiv og lovlig realisering av informasjonsplikten
gjennom lagvise personvernpolicyer 375
7.8 Personopplysningslovens krav til brukermedvirkning og kontroll anvendt på relasjonsorientert identitetsforvaltning 379
7.8.1 Etablering av identitetsforvaltningssamarbeidet 380
7.8.2 Innrullering og opprettelse av brukerkontoer 382
7.8.3 Relatering av brukerkontoer 396
7 8.4 Bruk av tjenesten: løpende autentisering og meldingsutveksling 399
7.8.5 Avvikling av identitetsforvaltningstjenester 408
8 Sammenfatning og rettspolitiske betraktninger 411
8.1 Identitetsforvaltning 411
8.2 Personopplysningsrettens krav til identitetsforvaltning 412
8.3 Rettspolitiske betraktninger og veien videre 417
9 Litteraturliste 424
Forord
Vel fem år er gått siden jeg i mars 2010 disputerte i ærverdige Gamle festsal over PhD-avhandlingen «Personvernøkende identitetsforvaltning». Denne boken er en oppdatert versjon av avhandlingen som er ajourført til og med september 2015.
Området for identitetsforvaltning har vært i stadig utvikling og jeg har innar- beidet endringer som reflekterer at de sentrale eksemplene i boken har fått stør- re utbredelse og blitt mer modne. Det har ikke skjedd vesentlige regelendringer på personvernområdet i denne perioden, men det har vært nødvendige med re- lativt mange mindre endringer av fremstillingen, blant annet for å fange opp viktige avklaringer i doms- og myndighetspraksis.
Boken omtaler også sentrale endringer som ventes å følge av EUs forslag til ny personvernforordning som antas å bli vedtatt i løpet av 2015 og tre i kraft i 2017. Forordningen viderefører personverndirektivets grunnprinsipper og begreper, men vil blant annet innebære skjerpede krav til dokumentasjon, informasjon og samtykke. For bokens tema er det særlig viktig å merke seg forslaget til egen bestemmelse om «data protection by design and by default». Bokens redegjørel- ser og eksempler knyttet til personvernøkende teknologi (og innebygd person- vern) antas å gi verdifull innsikt i hvordan virksomheter kan benytte tekniske og organisatoriske tiltak for å etterleve forordningens bestemmelser på dette området.
Det hadde ikke vært mulig for meg å realisere dette arbeidet uten inspirasjon, råd og oppmuntring fra en rekke personer. Professor Xxx Xxxx står i en særstil- ling som inspirator og døråpner. Jeg, og mange med meg, står i stor takknemlig- hetsgjeld til Xxx – som savnes både som faglig fyrtårn og inkluderende med- menneske.
Jeg vil også takke bedømmelseskomiteen bestående professor Xxxxx Xxxxx (uni- versitetet i København), professor Xxxxxxx Xxxxxxxxx Xxxxxxx (universitetet i Stockholm) og professor Xxx Xxxx (leder) for grundig bedømmelse og verdifulle tilbakemeldinger under disputasen som er forsøkt innarbeidet i boken.
Arbeidet med avhandlingen som ligger til grunn for denne boken ble gjort i perioden 2003–2009 mens jeg var stipendiat ved Senter for rettsinformatikk (SERI)/Avdeling for forvaltningsinformatikk (AFIN). Takk til alle kolleger og
studenter for et særdeles hyggelig og stimulerende forskningsmiljø. Xxx Xxxxxx- xxx, Xxx Xxxxxx og Xxxx Xxxx Xxxxxx skal ha takk for all hjelp og tilretteleg- ging under stipendiatperioden, og Xxxx Xxxx har også vært svært behjelpelig i forbindelse med publisering av denne boken. Særlig takk til Xxxxxx Xxxxxx for godt samarbeid i EU-prosjektet Legal-IST – et prosjekt som skulle vise seg å danne en nyttig plattform for mitt videre arbeid. Stor takk også til Xxxxx Xxxx- xxx, Xxxx Xxxxxx Xxxx, Xxxxxxxx Xxxxxxxx, Xxxx Xxxx og Xxxxxxxxx Xxxxxxxxx for alle nyttige diskusjoner og korridor-kollokvier.
Jeg vil også takke Xxx Xxxxx, Xxxx Xxxxx Xxxxxxxxx, Xxxx Xxxxxxxxxx og andre tidligere kolleger ved Datatilsynet for deres interesse for arbeidet og alle vennli- ge klapp på skulderen. Takk også til Xxxxxxx Xxxxxxx, Xxx Xxxxx Xxxxxx, Xxxx Xxxxx Xxxxxxxx, Xxxxxx Xxxxx, Xxxxx Xxxxx Xxxxx og Xxxxxx Xxxxxxx for nyttige innspill angående sentrale norske identitetsforvaltningstjenester. Takk til mine gode kolleger x Xxxxxxxx Xxxx Wiig for nyttige innspill i forbindelse med opp- dateringen av manuset, og til Xxxx Xxxxxxx for hjelp med design av bok-cover.
Mine veiledere Xxx Xxxxx Xxxxxxxx, Xxx X. Xxxxxxx og Xxxx Xxxxxxx skal alle ha takk for sin innsats og engasjement. Dag skal særlig ha takk for sitt initiativ til det forskningsråds-finansierte prosjektet som var utgangspunktet for PhD-av- handlingen, og for sitt utrettelige arbeid for å gjøre SERI/AFIN til et drivende godt undervisnings- og forskningsmiljø. Stor takk også til Xxx og Xxxx som kom inn som veiledere i arbeidets siste fase, og som med stor omtanke og innsikt ga uvurderlig bistand i doktorgradsprosjektets siste fase.
Jeg vil også rette en stor takk til min familie for å ha oppmuntret meg til å stå på til tross for at bakkene med avhandlingsarbeidet syntes lange og tunge. Sist men ikke minst – takk til min kjære Xxxx for all støtte og for at du tålmodig har ven- tet på at jeg (igjen) skulle ferdigstille dette arbeidet.
1 Innledning
1.1 Bakgrunn
Det overordnede tema for denne boken er forholdet mellom personvern og iden- titetsforvaltning. Hovedformålet er å drøfte hvilke krav personopplysningsret- ten stiller til elektronisk identitetsforvaltning.1
Inntil videre kan identitetsforvaltning karakteriseres som et bredt administra- tivt område som dekker det å identifisere personer innenfor et system (f eks land, organisasjon eller datanettverk) og knytte personene til rettigheter til bruk av ressurser i systemet.2
Identitetsforvaltning er i prinsippet ikke noe nytt. I mindre lokalsamfunn hvor alle kjenner alle har f eks identitsforvaltning vært basert på tilhørighet og fysisk gjennkjennelse, og i møte med ukjente har man i de fleste tilfeller kunnet bevise roller, rettigheter eller kvalifikasjoner ved hjelp av fysiske dokumenter og iden- titetsbevis. Med grunnleggende samfunnsendringer som økt mobilitet og inn- føring av Internettbaserte tjenester endres imidlertid premissene for identitets- forvaltning. Man forholder seg stadig oftere til personer og virksomheter man ikke kjenner fra før, og fysisk nærvær er erstattet med elektronisk samhandling.
Ved overgangen til Internettbaserte tjenester har det vært vanlig at hver enkelt tjenesteyter selv har tatt hånd om identitetsforvaltning av egne brukere. Med hensyn til personlige tjenester har brukeren gjerne blitt tildelt en egen bruker- konto. Ved senere samhandling identifiserer og autentiserer brukeren seg over- for tjenesteyteren ved hjelp av tildelt brukernavn og passord.
Den tradisjonelle tilnærmingen hvor hver tjenesteyter selv står for identitetsfor- valtning av egne brukere har imidlertid sine begrensninger og svakheter. For mange tjenesteytere kan det være ressurskrevende å selv drifte slike løsninger, og for brukeren innebærer det en ulempe å måtte håndtere påloggingsmekanis- mer til et økende antall brukerkontoer. Dessuten vil mange separate løsninger være til hinder for ønsker om å gi brukere tilgang til ressurser og tjenester på tvers av virksomhets- og systemgrenser.
1 Med personopplysningsrett mener jeg rettsregler som har som som formål å beskytte den en- kelte mot at personvernet blir krenket gjennom behandling av personopplysninger. Se nærme- re om personvern og personopplysningsrett i kap 2.4.
2 Karakteristikken bygger på Justis- og politidepartementet, Nasjonalt ID-kort, Oslo, 2007, s 7. Se kapittel 3.4.1 for nærmere definisjon av begrepet identitetsforvaltning.
Standarder og løsninger for såkalt relasjonsorientert identitetsforvaltning er ut- viklet med sikte på å løse flere av disse utfordringene.3 Slike løsninger er gjerne organisert rundt tre aktører. I tillegg til brukeren og tjenesteyteren introduseres en identitetsforvalter. Identitetsforvalteren har til hovedoppgave å håndtere bru- kerens identitetsopplysninger, og formidler etter brukerens initiativ og ønske relevante brukeropplysninger til tjenesteyter. Betegnelsen relasjonsorientert identitetsforvaltning understreker viktigheten av trepartsrelasjonen mellom bruker, identitetsforvalter og tjenesteyter.4
Fordelene som ofte assosieres med relasjonsorientert identitetsforvaltning er blant annet at brukeren kan få tilgang til flere tjenester gjennom én autentise- ring hos identitetsforvalter (single sign-on). For tjenesteytere innebærer det en fordel å kunne motta nødvendige brukeropplysninger fra en av brukerens iden- titetsforvaltere for dermed selv å slippe kostnadene med å drifte en egen identi- tetsforvaltningsløsning. Standarder for relasjonsorientert identitetsforvaltning ligger til grunn for sentrale norske e-forvaltningsløsninger som Altinn, ID-por- ten og Feide,5 og er således viktige komponenter for å realisere politiske målset- ninger om økt elektronisk samhandling både i offentlig og privat sektor.6
3 En av de første kommersielle identitetsforvaltningstjenestene var Microsoft .NET Passport, som fra 1999 tilbød felles tilgangsløsninger («single sign-on») for e-handelsforetak på nettet. Fra første halvdel av 2000-tallet har en rekke aktører tilbudt egne produkter og tjenester, gjer- ne basert på åpne standarder for relasjonsorientert identitetsforvaltning («federated identity management»). Standardiseringen har særlig skjedd innen rammene av OASIS (Organisation for the Advancement of Structured Information Standards), xxx.xxxxx-xxxx.xxx og det åpne bransjesamarbeidet Liberty Alliance, xxx.xxxxxxxxxxxxxx.xxx. Se nærmere om dette i kap 5.
4 Se nærmere om begrepene relasjonsorientert identitetsforvaltning og federated identity ma- nagement i kap 5.1.
5 Altinn (xxx.xxxxxx.xx) er en portal for borgeres og virksomheters innrapportering av doku- menter til det offentlige. ID-porten er en identitetsforvaltningstjeneste som gir innbyggerne mulighet til innlogging til offentlige nettjenester ved bruk av e-ID-løsningene MinID, BankID, Buypass eller Commfides. Feide («felles elektronisk identitet», xxx.xxxxx.xx) er et nasjonalt tiltak for enhetlig identitetsforvaltning i utdanningssektoren. Se nærmere om nor- ske identitetsforvaltningstjenester i kap 5.7.
6 Sentrale målsetninger i norsk IKT-politikk er å legge til rette for nettbaserte tjenester og at nettbaserte tjenester skal være hovedregelen for forvaltningens kommunikasjon med innbyg- gere og næringsliv. Se Fornyings-, administrasjons- og kirkedepartementet, På nett med inn- byggerne – Regjeringens digitaliseringsprogam, april 2012 og Meld. St. 23 (2012–2013), Digital agenda for Norge – IKT for vekst og verdiskapning, 22. mars 2013. Gjeldende målsetninger er i all hovedsak videreføring av tidligere målsetninger, se Fornyings- og administrasjonsdeparte- mentet, eNorge 2009 – det digitale spranget, Oslo, 2005. Se også Fornyings- og administrasjons- departementet, Underveisrapport eNorge 2009, Oslo, 2006 og Fornyings- og administrasjons- departementet, Eit informasjonssamfunn for alle, 2006, s 21-23. En omfattende undersøkelse foretatt av Riksrevisjonen viser imidlertid at potensialet for elektronisk informasjonsutveks- ling i forvaltningen har vært dårlig utnyttet, blant annet på grunn av manglende felles sikker- hetsløsninger. Se Riksrevisjonen, Riksrevisjonens undersøkelse av elektronisk informasjonsut- veksling og tjenesteutvikling i offentlig sektor, dokument 3:12 (2007–2008), Oslo, 2008.
Mens hensikten med løsninger for identitetsforvaltning er å løse personvern- og sikkerhetsutfordringer knyttet til det å skille mellom autoriserte og uautoriserte personer ved utveksling av informasjon over Internett, reiser slike løsninger også nye personvernutfordringer. Blant annet ligger det et potensiale for over- våkning og kontroll fra identitetsforvalterens side ettersom denne forvalter bru- kerens personopplysninger og holder rede på brukerens relasjoner med ulike tjenesteytere. En annen potensiell fare er at tjenesteytere uautorisert og uten brukerens viten og kontroll gjøres i stand til å utveksle opplysninger om felles brukere. Videre innebærer nye løsninger for identitetsforvaltning fare for feil og misbruk, noe som kan føre til personvernkrenkelser eller økonomisk tap for den som blir forvekslet eller villedet.7
Løsninger for relasjonsorientert identitetsforvaltning innebærer behandling av personopplysninger, noe som betyr at aktørene må holde seg innenfor rammene av personopplysningsretten. Sviktende regeletterlevelse vil kunne innebære svekket omdømme eller i ytterste konsekvens hindre realisering av identitets- forvaltningstjenester. Et eksempel på dette er Microsofts .NET Passport-tjeneste som etter Art 29-xxxxxxxx0 vurdering ikke tilfredstilte personverndirektivets9 krav til behandling av personopplysninger.10
Selv om standarder for relasjonsorientert identitetsforvaltning er utviklet med henblikk på å forsøke å løse slike personvernutfordringer som jeg her har nevnt eksempler på, vil spørmålet om regeletterlevelse avhenge av hvordan standarde- ne implementeres og hvordan aktørene organiserer samarbeidet. Utover dette vil måten standardene implementeres på også ha betydning for om løsningen bidrar til å svekke eller fremme personvernet til brukerne av tjenesten.
1.2 Problemstilling
Boken reiser tre rettslige hovedproblemstillinger angående (i) personopplys- ningslovens11 personopplysningsbegrep, (ii) lovens krav til roller og oppgaver og
(iii) lovens krav til brukermedvirkning og kontroll.
7 Se nærmere om forveksling og villedning i kap 6.2.6.3.
8 Art 29-gruppen er en rådgivende arbeidsgruppe bestående av representanter fra EØS-lande- nes datatilsynsmyndigheter hvis kompetanse og mandat følger av personverndirektivet art 29. Se nærmere omtale i kap 1.5.
9 Europaparlaments- og rådsdirektiv 95/46/EF av 24. oktober 1995 om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger (personverndirektivet).
10 Som følge av kritikken ble Passport-tjenesten endret til kun å omfatte innlogging til Micro- softs egne tjenester. Se nærmere om Microsoft .NET Passport i kap 5.3.
11 Jf lov 14. april 2000 nr 31 om behandling av personopplysninger (personopplysningsloven).
Drøftelsene er primært knyttet til standarder og løsninger for relasjonsorientert identitetsforvaltning, men må antas å ha stor overføringsverdi også for alterna- tive identitetsforvaltningsmodeller.
Problemstillingene er valgt fordi de angår flere av de helt grunnleggende krave- ne i personopplysningsretten, og fordi de i praksis har vist seg å være blant de mest sentrale spørsmålene knyttet til identitetsforvaltning.
Den første problemstillingen gjelder hvorvidt opplysninger som formidles som ledd i identitetsforvaltning skal anses som personopplysninger. Problemstillin- gen angår personopplysningsbegrepets nedre grense, dvs spørsmålet om opplys- ningene som formidles fra identitetsforvalter til tjenesteyter kan knyttes til en identifiserbar person. Dersom personen ikke er identifiserbar foreligger det ikke personopplysninger og personopplysningsloven kommer i utgangspunktet ikke til anvendelse. Redegjørelsen vil vise at standarder for relasjonsorientert identi- tetsforvaltning gjør det mulig å legge til rette for løsninger hvor brukeren er mer eller mindre anonym overfor tjenesteyter.
Til tross for mulighetene for at brukeren kan opptre anonymt overfor tjenesteyter, vil jeg legge til grunn at personopplysningsloven også kommer til anvendelse i slike tilfeller. En av grunnene til dette er blant annet at brukerens IP-addresse og bruk av informasjonskapsler samlet sett vil kunne gjøre brukeren identifiserbar. Selv om konsekvensen er at tjenesteytere må etterleve personopplysningsloven også for behandling av anonyme eller pseudonyme brukeropplysninger, vil ano- nymitet og pseudonymitet like fullt kunne være hensiktsmessig for å kunne reali- sere nyttige tjenester samtidig som personvernhensyn blir ivaretatt. I forlengelsen av dette kan det argumenteres for at tjenester som innebærer vesentlig redusert personvernrisiko kan legitimere lempligere regler for behandlingen. I kapittel 3 og 4 drøfter jeg hvordan begrenset identifiserbarhet konseptuelt kan oppnås, og hvordan slike behandlingsformer kan redusere personvernrisikoen ved identitets- forvaltning. I kapittel 5 redegjør jeg for hvordan begrenset identifiserbarhet kan realiseres ved relasjonsorientert identitetsforvaltning gjennom bruk av pseudony- me identifikatorer og ved at identitetsforvalteren formidler tjenesteyteren opplys- ninger om brukerens rolle eller egenskaper (rolle- og attributtautentisering).
Den andre problemstillingen gjelder hvordan personopplysningsrettens sentra- le roller kommer til anvendelse på aktører som tilbyr eller anvender identitets- forvaltningstjenester. Avklaring av hvorvidt de involverte aktørene er behand- lingsansvarlige eller databehandlere er grunnleggende for å sikre etterlevelse av personopplysningsloven. De fleste av personopplysningslovens plikter og sank- sjoner retter seg mot den behandlingsansvarlige, dvs den som bestemmer formål og hjelpemidler for behandlingen. Databehandlere behandler personopplysnin-
ger på vegne av den behandlingsansvarlige. Den behandlingsansvarlige plikter å ha på plass en avtale som regulerer databehandlerens rådighet over personopp- lysningene og som gjør oppmerksom på databehandlerens selvstendige ansvar for informasjonssikkerhet etter loven.
Avklaring av roller er særlig viktig når det gjelder sidentitetsforvaltning fordi dette får betydning for hvordan aktørene skal organisere samarbeidet med hen- syn til etterlevelse av personopplysningsretten. Aktørenes roller har blant annet betydning for det rettslige grunnlag for å behandle personopplysninger, for in- formasjonsplikten overfor bruker og for avtaler som forutsettes å være på plass mellom behandlingsansvarlig og databehandler. Praksis fra ulike datatilsyns- myndigheter viser at spørsmålet om aktørenes roller er en sentral og stadig til- bakevendende problemstilling. Fra Art 29-gruppen har dette kommet tydelig til uttrykk ved vurderingen av personvernaspektene knyttet til Microsoft .NET Passport.12 Spørsmålet om aktørenes roller og oppgaver har også vært sentralt i forbindelse med Datatilsynets kontroll med Minside/MinID og Altinn.13 Pro- blemstillingens aktualitet vises også ved at lovens bestemmelser om behand- lingsansvar er av de bestemmelser som er foreslått endret i forbindelse med re- visjon av personopplysningsloven.14 Til tross for at spørsmålet om rollefordeling er grunnleggende for å kunne etterleve personopplysningsretten, er spørsmålet blitt viet relativt lite oppmerksomhet i internasjonal og norsk juridisk teori.
Redegjørelsen i kapittel 6 vil vise at det ikke er noen direkte sammenheng xxx- xxx hovedaktørene etter standarder for relasjonsorientert identitetsforvaltning (identitetsforvalter og tjenesteyter), og personopplysningsrettens roller (be- handlingsansvarlig og databehandler). Som hovedregel vil tjenesteytere være behandlingsansvarlige for sine egne tjenester, mens identitetsforvalterens rolle vil avhenge av flere forhold. Lovens kriterier for å vurdere hvorvidt identitetsfor- valteren er behandlingsansvarlig eller databehandler er forholdsvis lite raffiner- te. Jeg drøfter derfor hvilke momenter som er relevante for å vurdere identitets- forvalterens rolle. Utgangspunktet for vurderingen er å kartlegge hvilke behandlinger som finner sted og som forutsetter en behandlingsansvarlig. Vide- re vil det være relevant å legge vekt på hvem som har behandlingsgrunnlag for opplysningene som utveksles. Organisering og avtaleforhold vil kunne gi indi- kasjoner på rollefordelingen mellom aktører som allerede har etablert et identi- tetsforvaltningssamarbeid. I forbindelse med etableringen av et slikt samarbeid
12 Artikkel 29-gruppen, Working Document on on-line authentication services, (2003). Avklaring av aktørenes roller er også viet oppmerksomhet i forbindelse med gruppens arbeid med e-for- valtning og såkalte «borgerportaler». Se Artikkel 29-gruppen, Working Document on E-Go- vernment, (2003).
13 Se oversikt over Datatilsynets kontrollrapporter og vedtak i kap 5.7.
14 Se Schartum og Xxxxxxx, Utredning av behov for endringer i personopplysningsloven, 2006, kap 2.5.
vil organisering og avtaleforhold dessuten være grunnleggende for å sikre etter- levelse av personopplysningsloven, herunder krav til databehandleravtaler. Der- som brukeren har stor grad av frihet med hensyn til valg av identitetsforvaltere, taler dette for at identitetsforvalterne bør anses som behandlingsansvarlige, si- den de da normalt vil ha stor grad av selvstendighet vedrørende egne tjenester.
Den tredje problemstillingen gjelder personopplysningsrettens krav til bruker- medvirkning og kontroll vedrørende innsamling og utlevering av personopplys- ninger. I forbindelse med utviklingen av standarder for relasjonsorientert iden- titetsforvaltning er det blitt lagt stor vekt på at brukeren selv skal medvirke og ha kontroll på utveksling og behandling av personopplysninger. I forhold til personopplysningslovens regler er det derfor naturlig å rette oppmerksomheten mot de sentrale reglene som regulerer identitetsforvalterens adgang til å inn- samle og utlevere opplysninger om brukeren. I tilfeller hvor både identitetsfor- valter og tjenesteyter er selvstendig behandlingsansvarlig vil både identitetsfor- valterens utlevering og tjenesteyterens innsamling kreve behandlingsgrunnlag.
Drøftelsene tar utgangspunkt i sentrale faser for identitetsforvaltning. Dette gjelder blant annet etablering av samarbeidet, innrullering og opprettelse av brukerkontoer samt bruk og avvikling av identitetsforvaltningstjenester.
Aktørenes adgang til å innsamle og utlevere brukeropplysninger vil i hovedsak reguleres av personopplysningslovens formålsbestemthetsprinsipp, krav til be- handlingsgrunnlag og krav til informasjon. Samtykke og behandling i forbin- delse med gjennomføring av avtale vil være de mest relevante behandlings- grunnlag. I mange tilfeller vil det være hensiktsmessig at aktørene koordinerer etterlevelsen av de ovennevnte reglene. Brukerutstyr og programvare vil kunne spille en viktig rolle for å legge til rette for brukermedvirkning og kontroll.
1.3 Avgrensninger
Det er flere personopplysningsrettslige problemstillinger som aktualiseres av identitetsforvaltning som jeg i søken etter hensiktsmessig bredde og dybde i fremstillingen har måttet avgrense mot. I forhold til drøftelsen av roller og opp- gaver og brukermedvirkning og kontroll har jeg forutsatt at aktørene er etablert i Norge. Dette innebærer at jeg ikke har drøftet reglene om lovvalg og reglene om overføring av personopplysninger til tredjeland.15 Jeg har også avgrenset mot enkelte av personopplysningslovens prosessuelle regler som blant annet melde- og konsesjonsplikten.
15 Se dog oversikt over hovedreglene i kapittel 2.4.5.
Når det gjelder personopplysningsrettens krav til informasjonssikkerhet har siktemålet vært å plassere ansvaret for informasjonssikkerhet på henholdsvis behandlingsansvarlig og databehandler. Utover dette har jeg ikke gått inn på hvilke krav som stilles til konfidensialitet, integritet og tilgjengelighet, eller hvordan slike krav kan etterleves. Forøvrig har siktemålet for fremstillingen vært å rendyrke identitetsforvaltningsaspektet, dvs å fokusere på grunnspørs- mål knyttet til identifisering og autentisering innen rammene av relasjonsorien- tert identitetsforvaltning.
Enkelte teknologier, som f eks biometri og PKI, reiser særlige personvernutfor- dringer, og vil kunne være viktige elementer i identitetsforvaltningsløsninger. Jeg har valgt å belyse de mest sentrale personvernmessige aspektene som assosi- eres med disse teknologiene.16 Det er dog viktig å understreke at i forhold til løsninger for relasjonsorientert identitetsforvaltning er biometri og PKI/sertfi- kattjenester først og fremst eksempler på alternative teknologier som kan benyt- tes som autentiseringsmekanisme mot identitetsforvalter.17 Selv om brukerens autentisering mot identitetsforvalter er viktig, er det de digitale akkreditivene som utveksles mellom identitetsforvalter og tjenesteyter som utgjør «kjernen» i underliggende standarder for relasjonsorientert identitetsforvaltning, og som derfor blir viet mest plass i fremstillingen.18
I de senere år har det vært et økende fokus mot såkalt «identitetstyveri»19 eller
«identitetskrenkelse».20 Problematikken har nær sammenheng med identitets- forvaltning. Siktemålet med identitetsforvaltningsløsninger er blant annet å sik-
16 Se om biometri i kap 3.5.1.2 og PKI og sertifikattjenester i 3.5.1.3.
17 Jeg har av denne grunn ikke redegjort nærmere for tilgjengelige autentiseringstjenester/e-ID-er, som f eks BankID (xxx.xxxxxx.xx/), Buypass ID (xxx.xxxxxxx.xx/Xxxxxx/XxxxxxxxXX) og Commfides eID (xxx.xxxxxxxxx.xxx/), som kan benyttes for autentisering mot identitets- forvalteren. Et eksempel på at identitetsforvalteren også åpner for autentisering gjennom ek- sterne autentiseringstjenester er Altinn, jf redegjørelsen i kap 5.7.2.
18 Se om slike akkreditiver – særlig slik de er manifistert i SAML (Security Assertions Markup Language) – i kap 5.4.
19 Se nærmere om utfordringer og tiltak i Finansnæringens Hovedorganisasjon, Felles utfordrin- ger knyttet til identitetsmisbruk, 9. oktober 2008, og Datatilsynet, Identitetstyveri – En utred- ning gjennomført av Datatilsynet for Fornyings- og Administrasjonsdepartementet, Datatilsy- xxx.xx, 2009. Se også det bredt anlagte ID-tyveri-prosjektet i regi av Norsk senter for informasjonssikring (NorSIS), xxx.xxxxxxxx.xxxx, sist nedlastet 28. juli 2009.
20 I 2010 ble det i straffeloven tilføyd en ny bestemmelse § 190a om identitetskrenkelse. Bestem- melsen hjemler bot eller fengsel inntil 2 år for den som «uberettiget setter seg i besittelse av en annens identitetsbevis, eller opptrer med en annens identitet eller med en identitet som er lett å forveksle med en annens identitet, med forsett om å a) oppnå en uberettiget vinning for seg eller en annen, eller b) påføre en annen tap eller ulempe». Bestemmelsen tilsvarer § 202 i lov
20. juni 2005 nr 28 om straff (straffeloven 2005, i kraft 1. oktober 2015). Se om bakgrunnen for bestemmelsen i NOU 2007: 2 Lovtiltak mot datakriminalitet, kap 5.6.7 og kap 9.15 og Ot prp nr 22 (2008–2009), kap 2.9 og 16.2.
re tilfredstillende identifisering og autentisering, noe som også innebærer at man søker å unngå muligheten for tilsiktet og utilsiktet forveksling eller villed- ning. Ved etablering av identitetsforvaltningsløsninger vil det derfor være et mål å ha tilstrekkelig god kvalitet i alle ledd i forvaltningen slik at man unngår slike krenkelser. Utfordringer knyttet til identitetsmisbruk gis forøvrig ingen sær- skilt behandling siden dette ville kreve et undersøkelsesopplegg i forhold til an- vendte misbruksteknikker og aktuelle mottiltak som ville sprenge rammene for boken.
1.4 Tilnærming
Boken reiser som nevnt tre rettslige hovedproblemstillinger: personopplys- ningsbegrepet, personopplysningslovens krav til roller og oppgaver samt lovens krav til brukermedvirkning og kontroll.
Drøftelsen av de tre rettslige problemstillingene bygger i prinsippet på tradisjo- nell rettsdogmatisk metode. Bokens tema angår skjæringspunktet mellom jus og teknologi, og arbeidet føyer seg derfor inn i en lang rettsinformatisk/forvalt- ningsinformatisk tradisjon.
Utgangspunktet for drøftelsene er norsk rett. Siden norsk personopplysningsrett i stor grad bygger på EUs personverndirektiv, har det også vært nødvendig å redegjøre for hvilke krav EU-retten stiller til norsk rett. Det er ellers ikke lagt opp til noen komparativ analyse, men andre lands implementasjon av tilsvaren- de bestemmelser, hovedsaklig svensk og dansk personopplysningsrett, blir be- nyttet for illustrasjon eller for å belyse tolkningen av de norske bestemmelser.
I forlengelsen av de rent rettsdogmatiske drøftelsene diskuteres også rettspolitis- ke spørsmål knyttet til hvordan identitetsforvaltning griper inn i personvernet. I boken legges det til grunn at elektronisk samhandling og identitetsforvaltning reiser nye utfordringer i forhold til personvernet. På den ene siden kan identi- tetsforvaltning innebære nye trusler for personvernet, blant annet fordi det handler om teknologier for entydig identifikasjon av enkeltpersoner. Standarder og løsninger for identitetsforvaltning kan imidlertid også implementeres på må- ter som kan bidra til å fremme personvernet.
Med personvernøkende teknologi («Privacy Enhancing technologies» – «PETs») menes gjerne teknologi som er utviklet med henblikk på å fremme personver- net. PETs-perspektivet innebærer at man ikke bare stiller spørsmål om hvorvidt behandling av personopplysninger er i henhold til gjeldende lovgivning. Utover det rettsdogmatiske perspektivet i boken er hensikten å belyse hvilke aspekter
ved identitetsforvaltning som særlig er av betydning for å kunne fremme per- sonvernet. Bakgrunnen for personvernøkende teknologi og forholdet til identi- tetsforvaltning drøftes nærmere i kapittel 2.2.
Kunnskap og bevissthet knyttet til hvordan identitetsforvaltning påvirker per- sonvernet kan være viktig av flere grunner. Identitetsforvaltningsløsninger som fremmer personvernet vil kunne bidra til større tillit og tilfredshet fra brukerne og dermed sikre økt oppslutning om tjenestene. Bruk av personvernfremmende teknikker kan dessuten ha rettslige konsekvenser. Eksempelvis kan det tenkes at behandlingen av personopplysninger som tjenesten innebærer ellers ikke ville vært tillatt. Personvernøkende teknologi kan da gjøre det mulig å tilby sam- funnsgavnlige tjenester, samtidig som den enkeltes personvern blir ivaretatt. Videre kan det tenkes at redusert personvernrisiko gjør det legitimt å la behand- lingen være underlagt lempligere regler enn det som ellers gjelder.21 Paradoksalt nok kan det da imidlertid argumenteres for at man under dekke av personvern- økende teknologi åpner opp for nye tjenester som ellers ikke ville vært tillatt, eller som ellers ville vært underlagt strengere regler, og at man dermed utsetter personvernet for nye farer.
Boken gir et bidrag til denne rettspolitiske debatten ved både å synliggjøre de trusler som assosieres med identitetsforvaltning, men samtidig hvilke aspekter som har potensiale for å fremme personvernet. Særlig fokuseres det på følgende tre aspekter.
Det første og mest prinsipielle aspektet gjelder hvilket faktisk forhold det er re- levant for tjenesteyter å få autentisert. Med autentisering mener jeg prosessen med å få etablert tilfredsstillende sannsynlighet for riktigheten av en påstand om et faktisk forhold.22 Autentisering må holdes adskilt fra identifisering, som ved elektronisk samhandling normalt skjer ved at brukeren fremlegger en iden- tifikator. Autentisering skjer ved hjelp av en autentiseringsmekanisme, som er noe brukeren vet, har, er eller gjør. Når brukeren identifiserer seg ved å fremleg- ge en identifikator, er formålet med autentiseringmekanismen å etablere tilfred- stillende sannsynlighet for riktigheten av påstanden om at brukeren er den som er assosiert med identifikatoren.
Boken bygger på en underliggende antagelse om at det i mange tilfeller tas for gitt at det er brukerens alminnelige kjente identitet som skal autentiseres. En slik tilnærming overser det faktum at individet opptrer i ulike roller, og at løs-
21 Se om slike synspunkter i Artikkel 29-gruppen, Opinion 4/2007 on the concept of personal data, (2007), s 18. Tilnærmingen er drøftet nærmere i kap 4.
22 Karakteristikken bygger på Riisnæs, Digitale sertifikater og sertifikattjenester – roller, opp- gaver og ansvar, Bergen 2007, s 44. Se nærmere om autentisering i kap 3.4.2 og 3.5.
ninger for identifisering og autentisering derfor bør hensynta den enkeltes roller i ulike kontekster. I noen tilfeller vil kunnskap om brukerens alminnelig kjente identitet ikke være nødvendig såfremt man kan få autentisert andre forhold som f eks en rolle (ansatt, student, kunde etc) eller en egenskap (alder, kjønn etc). Når man har vurdert hvilket faktisk forhold som er relevant, er utfordringen å få etablert tilfredsstillende sannsynlighet for riktigheten av dette forhold. I kapittel 3 redegjøres det for utfordringer og begreper knyttet til autentisering av identi- tet, roller og egenskaper, og i kapittel 5 viser jeg hvordan slik autentisering kan realiseres ved hjelp av standarder og løsninger for relasjonsorientert identitets- forvaltning.
Det andre aspektet gjelder hvordan personvernrisiko kan reduseres ved bruk av identifikatorer som blant annet begrenser andre aktørers mulighet til å identifi- sere brukeren. I personverndebatten har personverntruslene knyttet til unike identifikatorer, som f eks fødselsnumre, blitt viet mye oppmerksomhet fordi de potensielt gjør det enklere å samkjøre opplysninger om den samme brukeren fra ulike kontekster. Personvernutfordringene knyttet til identifikatorer har også vært et av de spørsmålene som har fått mest oppmerksomhet når Art 29-grup- pen har vurdert identitetsforvaltningsløsninger.23 I boken analyseres alternati- ver til unike identifikatorer og hvilket potensiale disse har for å fremme person- vernet. I kapittel 3 redegjør jeg for betydningen av rolle/kontekstspesifikke identifikatorer, og i kapittel 4 for hvordan transaksjonsminimalitet kan oppnås ved bruk av pseudonyme identifikatorer. I kapittel 5 belyses dessuten hvilke av- veininger som ligger bak de identifikatorene det er lagt til rette for i standarder for relasjonsorientert identitetsforvaltning.
Det tredje aspektet gjelder hvordan brukeren best kan gjøres i stand til selv å ha kontroll over utlevering av egne personopplysninger. Dette perspektivet over- lapper i stor grad med behandlingen av personopplysningsrettens krav til bru- kermedvirkning og kontroll. Hensikten er imidlertid ikke bare å avklare hvilke minstekrav som stilles i lovgivningen, men også å synliggjøre hvilke tiltak som særlig har potensiale for å fremme brukerens kontroll over egne opplysninger. I kapittel 7 argumenterer jeg for at informasjonsplikten ved elektronisk sam- handling i teori og praksis ikke har fått den oppmerksomhet den fortjener, og at personvernpolicyer, gjerne i flere lag, er en hensiktsmessig måte å formidle bru- keren relevant informasjon om behandlingen. Identitetsforvaltning involverer flere aktører, noe som gjør det ekstra krevende å formidle informasjon som gjør brukeren i stand til å fatte informerte beslutninger. Av denne grunn vil identi- tetsforvalter og tjenesteyter i mange tilfeller være tjent med å forsøke å koordi-
23 Se Artikkel 29-gruppen, Working Document on on-line authentication services, (2003). Se nær- mere om arbeidsgruppens kritikk i kap 5.3.2.
nere formidlingen av informasjon til brukeren. Brukergrensesnitt og brukerut- styr vil også være med å legge premissene for brukerens forståelse og kontroll over informasjonsflyten.
Indirekte kan de to førstnevnte aspektene bidra til å realisere det tredje aspektet. Ved å stille spørsmål ved hvilket faktisk forhold som skal autentiseres (aspekt 1), vil informasjonen som formidles til tjenesteyter kunne begrenses til et minimum. Dersom det eksempelvis er tilstrekkelig å få autentisert at brukeren har en be- stemt rolle eller egenskap, vil det være overflødig å utveksle andre identifiserende opplysninger. Videre vil bruk av kontekstspesifikke eller pseudonyme identifika- torer (aspekt 2) kunne redusere risikoen for at tjenesteytere er i stand til å foreta uautorisert samkjøring av opplysninger om den samme brukeren. Indirekte har derfor begge tiltakene potensiale for å gi brukeren bedre kontroll over egne per- sonopplysninger, og risikoen for misbruk av opplysningene kan reduseres.
Hvorvidt det er hensiktsmessig å benytte slike personvernøkende teknikker må vurderes konkret i forhold til blant annet tjenestenes omfang og berørte interes- ser. Det er grunn til å tro at mange tjenesteytere vil vegre seg for å la brukere opptre «anonymt» i forhold til tjenester av en viss verdi eller som kan medføre økonomisk ansvar. Av slike grunner er det nok særlig i forbindelse med mer «tri- vielle» tjenester at de to første aspektene vil kunne få størst gjennomslag. Samlet sett favner de tre aspektene etter min oppfatning de viktigste verktøyene for å implementere identitetsforvaltningsløsninger som kan fremme personvernet.
1.5 Kilder og særskilte metodiske utfordringer
Bokens rettsinformatiske/forvaltningsinformatiske tilnærming innebærer en- kelte særskilte metodiske utfordringer. Jeg redegjør først for kilder og metodiske utfordringer knyttet til beskrivelse av faktum, og deretter for utfordringer knyt- tet til rettskildesituasjonen på området.
En av hovedutfordringene i arbeidet har vært å beskrive det faktum som skal gjøres til gjenstand for rettslig analyse. Det foreligger ikke noe etablert marked for identitetsforvaltningstjenester, og utviklingen av nye standarder og tjenester har vært i rask utvikling i den perioden dette arbeidet har blitt til. Enkelte tje- nester som lenge har vært på tegnebrettet har ikke blitt realisert, og enkelte av de tjenester som er blitt implementert har vært ansett som midlertidige og har hel- ler ikke nødvendigvis utnyttet de underliggende standardenes fulle potensiale.24
24 Se nærmere om det mislykkede forsøket på å etablere en offentlig sikkerhetsportal og arbeidet med å etablere et offentlig samtrafikknav («ID-porten») i kap 3.5.1.3. Se også om XxxXXx mid- lertidige karakter i kap 5.7.1 og arbeidet med en ny «Altinn II» i kap 5.7.2.
Jeg har derfor unnlatt å forsøke å gjøre noen uttømmende empiriske undersø- kelser av identitetsforvaltningstjenester. En slik tilnærming ville kunne gi et representativt øyeblikksbilde av situasjonen på undersøkelsestidspunktet, men ville også fort bli utdatert. Slike undersøkelser er heller ikke nødvendig for å foreta de rettslige drøftelser. Jeg er her enig med standpunktet som er inntatt i tidligere rettsinformatiske arbeider om at det er «tilstrekkelig at man har grunn- lag for å forstå og beskrive (ideal)typiske situasjoner som kan gjøres til gjen- stand for en rettslig analyse».25
Beskrivelsen av identitetsforvaltning tar utgangspunkt i SAML («Security As- sertions Markup Language») som er den dominerende standarden på området. Beskrivelsen av de sentrale elementene i standarden er kombinert med analyser av konkrete implementasjoner og av alternative identitetsforvaltningsløsninger. Samlet sett gir denne tilnærmingen en nyansert fremstilling av faktum som samtidig tar høyde for alternative implementasjons- og organisasjonsmodeller på et område i rask utvikling.
Den faktiske beskrivelsen består av to trinn. Det har først vært nødvendig å fore- ta en forholdsvis grundig analyse av de utfordringer som ligger til grunn for løsninger for identitetsforvaltning, og de begreper som benyttes for å beskrive dem (kapittel 3). På bakgrunn av dette er det deretter gitt en beskrivelse av stan- darder og løsninger for identitetsforvaltning som tar sikte på å løse disse utfor- dringene (kapittel 5).
Beskrivelsen av faktum er gitt med sikte på de senere rettslige analyser. Dette betyr at de rettslige problemstillingene har vært førende for valg av systematikk, begreper og kildetilfang. Denne vekselvirkningen mellom juss og faktum er blitt omtalt som «analytisk metode».26 I dette tilfellet har det vært hensiktsmes- sig å først utvikle forholdsvis klare rettslige problemstillinger fordi det ellers blir umulig å identifisere hvilke aspekter ved teknologien som er rettslig relevant. Det har videre vært nødvendig å gå forholdsvis detaljert inn i standardene for å kunne avgjøre hvilke elementer og hvilke detaljer ved teknologien som er rele- vant å belyse.
Når det gjelder fremstillingen av utfordringer og begreper i kapittel 3, er det blitt lagt stor vekt på å innføre en hensiktsmessig systematikk og ryddiggjøring i for-
25 Se Riisnæs, Digitale sertifikater og sertifikattjenester – roller, oppgaver og ansvar, Bergen 2007, s 22 med henvisning til Torvund, Betalingsformidling i et rettslig perspektiv, Oslo 1993, s 47 og Xxxxxxxx, IT-retten, 2. udg., København 2005, s 101.
26 Se Riisnæs, Digitale sertifikater og sertifikattjenester – roller, oppgaver og ansvar, Bergen 2007, s 21 og 24 med henvisning til blant annet Xxxxxxxx, IT-retten, 2. udg., København 2005, s 105- 107 og Torvund, Betalingsformidling i et rettslig perspektiv, Oslo 1993, s 44.
hold til Internetts arkitektur og de identitetsforvaltningsrelasjoner som gjør seg gjeldende ved elektronisk samhandling. Videre introduseres sentrale faser for identitetsforvaltning, samt sentrale begreper som identitet, identitetsforvalt- ning og autentisering.
Personopplysningsloven og personverndirektivet har få definisjoner og begre- per som direkte beskriver personvern- eller informasjonssikkerhetsmessige for- hold ved identitetsforvaltning. Dette står i kontrast til et nokså nyansert be- grepsapparat som er utviklet i enkelte teknologiske miljøer.27 Enkelte av de sentrale begrepene er nedfelt i tekniske standarder,28 og det har også skjedd en betydelig begrepsutvikling i forbindelse med bransjesamarbeid om utvikling av åpne standarder for identitetsforvaltning.29 Begrepsutvikling har dessuten stått sentralt i flere EU-finansierte forskningsprosjekter om identitetsforvaltning.30
Når det gjelder enkelte begreper, blant annet «autentisering», har jeg for å få frem motsetninger og nyanser foretatt enkelte sammenlikninger av de ulike kil- denes definisjoner. En metodisk utfordring i denne sammenheng er hvilke av de ovennevnte kilder man primært skal bygge på. Jeg har her forsøkt å henvise til definisjoner i standarder, til artikler som er publisert i anerkjente tidsskrift og deretter til andre publikasjoner av personer som nyter alminnelig anerkjennelse i sine respektive fagmiljø.
I beskrivelsen av standarder og løsninger for identitetsforvaltning i kapittel 5 er hovedvekten lagt på å beskrive SAML som er den dominerende standarden på området. Hvilke aspekter ved standarden som er trukket frem, samt detaljgra- den og betoningen av disse har skjedd i lys av de rettslige problemstillinger. En viss veiledning er gitt av standardiseringsorganene selv, blant annet om alterna- tive implementasjonsmåter og mulige personvernmessige implikasjoner.31
Mens hovedtyngden i den faktiske beskrivelsen ligger på standardene, har jeg også trukket frem noen konkrete implementasjoner av identitetsforvaltningstje-
27 Se for eksempel Pfitzmann og Xxxxxx, Anonymity, Unlinkability, Undetectability, Unobserva- bility, Pseudonymity, and Identity Management – A Consolidated Proposal for Terminology, 2008, og Xxxxxx, Identity Management, mars, 2004.
28 Se for eksempel IETF, RFC 2828 Internet Security Glossary, 2000 og ISO/IEC, 15408:2005 Eva- luation criteria for IT security, 2005.
29 Se for eksempel OASIS, Glossary for the OASIS Security Assertion Markup Language (SAML) V2.0, 2005 og Liberty Alliance, Liberty Glossary, Version: 2.0.
30 Dette gjelder for eksempel de EU-finansierte identitetsforvaltningsprosjektene som går under akronymene APES, PRIME, FIDIS, Modinis, PrimeLife og PICOS.
31 Se blant annet OASIS, Security Assertion Markup Language (SAML) V2.0 Technical Overview, 2008 og Liberty Alliance, Circles of Trust: The Implications of EU Data Protection and Privacy Law for Establishing a Legal Framework for Identity Federation, 2005.
nester. Microsoft .NET Passport er beskrevet fordi den var den første store inter- nasjonale, kommersielle identitetsforvaltningstjenesten. Passport er også inter- essant fordi den er blitt gjenstand for grundig analyse av Art 29-gruppen, og funnet i strid med mange av personverndirektivets sentrale bestemmelser.32 Kritikken fra arbeidsgruppen antas å være en viktig årsak til at Passport-tje- nesten i 2003 ble endret til kun å gjelde Microsofts egne tjenester. Art 29-grup- pens uttalelser gir et nyttig innblikk i hvordan datatilsynsmyndigheter vurderer de personvernmessige implikasjonene av identitetsforvaltningstjenester. Kritik- ken mot Passport antas også å ha gitt føringer for utviklingen av SAML og andre standarder for relasjonsorientert identitetsforvaltning.33
Jeg har også analysert de norske identitetsforvaltningsløsningene Minside/ MinID (senere ID-porten), Altinn og Feide. Alle løsningene bygger på SAML og illustrerer ulike måter å implementere standardene på. Eksemplene er valgt for- di de er de mest sentrale tjenestene for å realisere politiske målsetninger om effektive og sikre e-forvaltningstjenester. En begrunnelse for å se nærmere på Minside/MinID og Altinn er dessuten at de har vært gjenstand for tilsyn fra Datatilsynets side. Tilsynsrapportene gir innblikk i hvordan Datatilsynet vur- derer de personvernmessige aspektene ved tjenestene. Samlet sett gir fremstil- lingen av utfordringer og begreper (kapittel 3) og standarder og løsninger (kapittel 5) en forståelse av identitetsforvaltning som er tilstrekkelig dekkende og nyansert for de rettslige analyser.
Utgangspunktet for de rettslige analyser er norsk personopplysningsrett. Personopplysningsloven og enkelte bestemmelser i ekomloven34 og ekomfor- skriften35 utgjør det sentrale regelverket på området. Med unntak av spesialbe- stemmelser som f eks personopplysningsloven § 12 om fødselsnummer og xxxx- naturloven § 7,36 foreligger det ingen særregulering av identitetsforvaltning. De rettslige drøftelsene tar derfor utgangspunkt i personopplysningslovens generel- le bestemmelser. Det foreligger lite rettspraksis knyttet til tolkningen av loven, slik at lovens forarbeider, samt relevant praksis fra Datatilsynet og Personvern- nemnda utgjør de primære rettskildene.
I forbindelse med etterkontroll av personopplysningsloven er det blitt utarbeidet forholdsvis brede og omfattende utredninger av behovet for endringer av lo-
32 Se Artikkel 29-gruppen, Working Document on on-line authentication services, (2003).
33 Se nærmere i kap 5.1 og 5.3.
34 Jf lov 4. juli 2003 nr 83 om elektronisk kommunikasjon (ekomloven).
35 Jf forskrift 16. februar 2004 nr 401 om elektronisk kommunikasjonsnett og elektronisk kom- munikasjonstjeneste (ekomforskriften).
36 Jf lov 15. juni 2001 nr 81 om elektronisk signatur (esignaturloven).
ven.37 Utredningene ble sendt på høring med frist 1. november 2009.38 På bak- grunn av signaler fra EU i 2010 om revisjon av EUs personverndirektiv (forslag til ny personvernforordning), valgte Justisdepartementet imidlertid ikke å fremme et omfattende lovforslag, men det ble i stedet gjennomført endringer på områder som man på det tidspunktet anså mest sannsynlig ikke vil bli påvirket av et nytt direktiv.39 Selv om utredningene bare ledet til mindre endringer av personopplysningsloven, har jeg likevel valgt å trekke veksler på utredningenes verdifulle redegjørelser for gjeldende rett og relevant praksis knyttet til person- opplysningsloven.
De personopplysningsrettslige aspektene ved identitetsforvaltning har i liten grad blitt behandlet i juridisk teori.40 Xxxx Xxxxxxx’ doktoravhandling om digita- le sertifikater og sertifikattjenester gir verdifull innsikt i utfordringer og begre- per knyttet til elektronisk samhandling, og i metodiske utfordringer knyttet til rettslige analyser av teknologi, men behandler i mindre grad de personvernmes- sige aspektene ved identitetsforvaltning.41
Personvernspørsmål er heller ikke viet særlig stor oppmerksomhet i forbindelse med offentlige utredninger på tilgrensede områder som f eks digital signatur og PKI,42 planer om nasjonalt id-kort og eID,43 eller nytt straffebud om identitets- krenkelse.44 Selv om forholdet mellom identitetsforvaltning og personvern/in-
37 Schartum og Xxxxxxx, Utredning av behov for endringer i personopplysningsloven, 2006 og Schartum, Utredning om fødselsnummer, fingeravtrykk og annen bruk av biometri i forbindelse med lov om behandling av personopplysninger § 12, 2008.
38 Justis- og politidepartementet, Høringsnotat – etterkontroll av personopplysningsloven, juni 2009.
39 Se lov 20. april 2012 nr. 18 om endringer av personopplysningsloven, bl.a. hva gjelder ytrings- frihet (§ 7), ivaretakelse av barns personvern (§ 11 nytt tredje ledd), konsesjon (§ 33 tredje ledd) og kameraovervåkning (kapittel VII).
40 Se dog om liknende problemstillinger i Xxxxx, Identifikationsteknologi og individbeskyttelse – en øvelse i juridisk teknologivurdering, København 1997. Det foreligger også doktorgradsav- handlinger fra de nordiske land som behandler beslektede problemstillinger knyttet til per- sonvern og personlig integritet. Se Liu, Bio-privacy: Privacy Regulations and Challenges of Biometrics, Abingdon 2012; Andresen, Tilgang til og videreformidling av helseopplysninger: regulering og kontroll på tvers av IT-systemer og organisatoriske grenser, Oslo 2010; Borvik, Personvern og ytringsfridom: Avveginga mellom kolliderande menneskerettar, Bergen 2008; Karanja, Transparency and proportionality in the Schengen Information System and border control co-operation, Leiden 2008; Tranberg, Nødvendig behandling af personoplysninger, Kø- benhavn 2007; Lind, Medarbejderes integritetsbeskyttelse i dansk ret, København 2006; Bygra- ve, Data protection law: approaching its rationale, logic and limits, The Hague 2002; Aasen, Pasientens rett til selvbestemmelse ved medisinsk behandling, Bergen 2000 og Xxxxxxxxx, Kommunikasjonsrett og taushetsplikt i helsevesenet, Ålesund 1997.
41 Se særlig Riisnæs, Digitale sertifikater og sertifikattjenester – roller, oppgaver og ansvar, Bergen 2007.
42 Se NOU 2001: 10 Uten penn og blekk, kap 5.3, på s 51-54.
43 Justis- og politidepartementet, Nasjonalt ID-kort, Oslo, 2007, kap 12.3.2, på s 55-56.
44 Se om ny § 202 i straffeloven i fotnote 19.
formasjonssikkerhet har vært tema for mange internasjonale og tverrfaglige forskningsprosjekter de senere år, er det de tekniske, sosiologiske, filosofiske og etiske tilnærminger som har vært dominerende for disse arbeider.45 Dette arbei- det fyller derfor et xxxx i forskningen på identitetsforvaltning ved at søkelyset rettes mot personopplysningsrettens krav, samtidig som det trekkes veksler på begreper og konsepter fra teknologisk orientert forskning knyttet til personvern- økende teknologi og identitetsforvaltning.
Siden de særlige spørsmål som identitetsforvaltning reiser i liten grad er behand- let i juridisk teori, har jeg i større grad måttet støtte meg på mer generelle frem- stillinger av norsk personopplysningsrett.46 I tillegg til norsk juridisk litteratur, har jeg også trukket veksler på fremstillinger av svensk og dansk personopplys- ningsrett,47 samt på internasjonale standardverk som behandler EUs person- verndirektiv og andre internasjonale personvernregler.48 En av hovedutfordrin- gene ved de rettslige analyser er å anvende personopplysningslovens nokså abstrakte og generelle bestemmelser. Utenlandsk og internasjonal juridisk teori er her anvendt for å illustrere hvordan problemstillingene er løst i andre lands rett og for å belyse og nyansere de utgangspunkter som gjelder etter norsk rett.
Personopplysningsloven og ekomloven gjennomfører personverndirektivet og kommunikasjonsverndirektivet49 i norsk rett. Direktivene går på enkelte punk- ter langt i å forsøke å harmonisere lovgivningen innen EØS og er derfor et viktig
45 Se f eks EU-prosjektene APES, PRIME, FIDIS og Modinis, og det canadiske prosjektet «On the the Identity Trail». Hovedfunnene fra FIDIS er publisert i Rannenberg m fl. (red), The Future of Identity in the Information Society – Challenges and Opportunities, Berlin 2009. Resultater fra «On the Identity Trail» er publisert i Kerr m fl. (red), Lessons from the Identity Trail – Ano- nymity, Privacy and Identity in a Networked Society, New York 2009. Enkelte forskningspro- sjekter har dog hatt en personvernrettslig innfallsvinkel, jf publikasjoner fra EU-prosjektet Legal-IST: Xxxxx og Xxxxxx, Privacy & Identity Management, Complex 4/07 og Xxxxx og Xxxxxx, «Identity management and data protection law: Risk, responsibility and compliance in `Circles of Trust’», Computer Law & Security Review, 4 & 5, 2007, s 342-351 & 415-426.
46 Se særlig Schartum og Xxxxxxx, Personvern i informasjonssamfunnet: en innføring i vern av personopplysninger, Bergen 2011; Xxxxxxxx m fl., Personopplysningsloven: kommentarutgave, Oslo 2001 og Coll og Lenth, Personopplysningsloven – en håndbok, Oslo 2000. Se også Xxxxxxx og Ottesen, Personvern i finanssektoren, Oslo 2010.
47 Se særlig Blume, Databeskyttelsesret, 3. utgave, København 2008 og Öman og Xxxxxxxx, Xxx- sonuppgiftslagen, 3. uppl., Stockholm 2007.
48 Se særlig Xxxxxxx, Data protection law: approaching its rationale, logic and limits, The Hague 2002; Kuner, European data protection law – corporate compliance and regulation, 2nd edition, Oxford 2007; Korff, Data protection laws in the European Union, Brussel 2005 og Poullet m fl. (red), Concise European IT law, Alphen aan den Rijn 2006.
49 Europaparlaments- og rådsdirektiv 2002/58/EF av 12. juli 2002 om behandling av personopplys- ninger og beskyttelse av privatlivets fred i den elektroniske kommunikasjonssektor (kommuni- kasjonsverndirektivet). Kommunikasjonsverndirektivet er ikke oversatt til norsk. I valget mel- lom den danske og engelske versjonen vil jeg som hovedregel benytte den engelske versjonen.
utgangspunkt for tolkningen av de nasjonale bestemmelser. En stadig viktigere kilde for å forstå formålet og rammene for direktivene er EU-domstolen, som i de senere år har avsagt flere prejudisielle avgjørelser om tolkningen av direkti- vet. Domstolens avgjørelser bekrefter menneskerettighetenes stadig sterkere stilling i EU-retten, og at direktivene skal tolkes i lys av og har som formål å ivareta privatlivets fred slik det er beskyttet i Den europeiske menneskeretts- konvensjon (EMK) art 8.50 Forholdet mellom EU-direktivene og nasjonal rett reiser særlige spørsmål som blir behandlet nærmere i kapittel 2.4. Der behandles også EU-domstolens avgjørelser i forhold til viktige spørsmål som direktivenes anvendelsesområde og formål, harmoniseringsnivå og forholdet mellom nasjo- nal rett, felleskapsretten og EMK.
Personverndirektivets art 29 oppnevner en særskilt arbeidsgruppe – «Artikkel 29-gruppen» – som blant annet består av representanter fra datatilsynsmyndig- hetene i EØS-landene og som har særlig ansvar for å sørge for lik tolkning og anvendelse av direktivene51 i medlemslandene. Arbeidsgruppen har uttalt seg om flere av de sentrale spørsmålene som drøftes i boken, og jeg har derfor valgt å vie uttalelsene relativt stor plass i fremstillingen. Man skal dog være oppmerk- som på at arbeidsgruppens uttalelser bare er veiledende, og ikke rettslig binden- de. Arbeidsgruppens sammensetning og mandat innebærer at gruppen utøver en ombudsmanssrolle i forhold til personvernet. Det er derfor ikke overrasken- de at uttalelsene bærer preg av å fremheve personvernhensyn fremfor andre kryssende hensyn. Siden datatilsynsmyndighetene synes å følge opp arbeids- gruppens generelle standpunker får uttalelsene ofte stor praktisk betydning. Art 29-gruppen har også en viktig funksjon i forhold til å gi datatilsynsmyndighete- ne en mulighet til å opptre i koordinert dialog med store internasjonale aktører. I flere tilfeller har Art 29-gruppen langt på vei vunnet frem med sine synspunk- ter, noe som antakelig ville vært vanskeligere å få til om hver tilsynsmyndighet skulle tatt opp «kampen» på egenhånd.52
Jeg har også trukket veksler på Datatilsynets generelle praksis, samt tilsynsrap- porter og vedtak angående norske identitetsforvaltningstjenester. Denne for- valtningspraksisen gir innsikt i hvilke sider ved identitetsforvaltningstjenester som tilsynet foreløpig har funnet problematisk. Det er grunn til å tro at Datatil- synet vil opprettholde sine synspunkter også ved senere kontroller, selv om det i
50 Den europeiske menneskerettskonvensjon (EMK), Roma, 4. november 1950.
51 Se kommunikasjonsverndirektivet art 15 (3) som slår fast at Art 29-gruppens oppgaver også omfatter bestemmelsene i kommunikasjonsverndirektivet.
52 Se f eks dialogen med Microsoft vedrørende .NET Passport, (jf særlig Artikkel 29-gruppen, Working Document on on-line authentication services, (2003)) og spørsmål knyttet til lagring av opplysninger hos Google, (jf særlig Artikkel 29-gruppen, Opinion 1/2008 on data protection issues related to search engines, (2008)).
prinsippet ikke er noe i veien for at tilsynet velger å fokusere på andre sider av loven på et senere tidspunkt. Den rettskildemessige vekten av Datatilsynets praksis vil blant annet avhenge av hvor lang og konsistent praksis det er tale om, og hvor godt den er kjent blant de berørte aktører.53 Datatilsynets vedtak kan klages inn for Personvernnemnda, jf pol § 42 (4) sammenholdt med pol § 43. Personvernnemndas praksis utgjør en stadig viktigere rettskilde på personopp- lysningsrettens område og flere av nemndas avgjørelser er prinsipielle i forhold til bokens problemstillinger.54
1.6 Disposisjon
I den videre fremstilling behandles først den juridiske og rettspolitiske bak- grunn for personopplysningsrett og identitetsforvaltning (kapittel 2). Det rede- gjøres for bakgrunn og terminologi knyttet til personvernøkende teknologi, og hvordan temaet identitetsforvaltning føyer seg inn i den rettspolitiske debatten i skjæringspunktet mellom teknologi og personvern. Videre presenteres sentral personvernteori samt de sentrale EU- og menneskerettslige personverninstru- mentene som er viktige for å forstå og anvende den norske personopplysnings- retten.
De grunnleggende utfordringer og begreper knyttet til identitet og identitetsfor- valtning behandles i kapittel 3. Kapitlet innfører en systematikk og et helhetlig og konsistent begrepsapparat som benyttes gjennomgående i hele arbeidet.
I kapittel 4 drøftes forholdet til personopplysningsbegrepets nedre grense. Siden personopplysningsloven bare gjelder i den grad det behandles «personopplys- ninger», er det avgjørende å avklare grensen for når opplysninger i rettslig for- stand «kan knyttes til en enkeltperson». Kapitlet binder på flere måter sammen perspektivet om personvernøkende teknologi i kapittel 2, utfordringer og begre- per i kapittel 3 og redegjørelsen for standarder og løsninger for identitetsforvalt- ning i kapittel 5.
Kapittel 4 bidrar for det første til å kaste lys over viktige begreper og prosesser. For mens jeg i kapittel 3 har en teknologisk tilnærming til prosesser som identi-
53 Eksempel på dette er Rt 2002 s 1500 «e-post-kjennelsen» der Høyesterett i spørsmålet om ar- beidsgivers rett til innsyn i arbeidstakers e-post viser til Datatilsynets nettsider der det frem- kommer at Datatilsynet i sin (tidligere) praksis har sondret mellom privat og virksomhetsre- latert e-post. Spørsmålet er i dag regulert i forskrift 15. desember 2000 nr 1265 om behandling av personopplysninger (personopplysningsforskriften) kap 9.
54 Personvernnemndas samlede vedtak i perioden 2001–2008 er blitt vurdert av Xxxxx Xxxxx, xx Xxxxx, Vurdering af Personvernnemndas praksis 2001–2008, Complex 3/09.
fisering og autentisering, er det den personopplysningsrettslige betydningen av identitet, identifisering, identifiserbarhet, pseudonymitet og anonymitet som drøftes i kapittel 4. Kapitlet drøfter også muligheten for at begrenset identifiser- barhet potensielt kan redusere personvernrisikoen knyttet til behandlingen, noe som kan legitimere lempligere regler for behandling. Slik sett gjøres det en kob- ling mellom personvernfremmende teknologi og personopplysningsretten. Jeg redegjør dessuten for sammenhengen mellom valg av identifikator og identi- fiserbarhet og transaksjonsminimalitet, noe som gir en opptakt til å synliggjøre avveiningene som ligger bak ulike identifikatorer i standarder for relasjonsori- entert identitetsforvaltning.
I kapittel 5 redegjøres det for standarder og løsninger for identitetsforvaltning. Fremstillingen bygger på den systematikk og de begreper som er presentert i tidligere kapitler og samlet danner dette utgangspunktet for de senere rettslige drøftelser. Hovedvekten er lagt på fremstillingen av SAML, men også komple- mentære standarder og konkrete implementasjoner som Minside/MinID (sene- re ID-porten), Altinn og Feide blir analysert.
I kapittel 6 drøfter jeg hvordan personopplysningsrettens roller og oppgaver kommer til anvendelse på identitetsforvaltning. Avklaring av aktørenes roller som henholdsvis behandlingsansvarlig eller databehandler er nødvendig for å kunne sikre etterlevelse av regelverket.
I kapittel 7 drøftes persopplysningsrettens krav til brukermedvirkning og kon- troll i forbindelse med innsamling og utlevering av personopplysninger. I kapit- let redegjøres det først for de relevante personopplysningsrettslige regler før dis- se anvendes på de behandlinger av personopplysninger som skjer som ledd i etablering, bruk og avvikling av identitetsforvaltningstjenester.
Avslutningsvis, i kapittel 8, gis en sammenfatning av bokens hovedelementer og funn i tillegg til enkelte overordnede rettspolitiske betraktninger om forholdet mellom identitetsforvaltning og personopplysningsrett.
2 Juridisk og rettspolitisk bakgrunn
2.1 Innledning
Dette kapitlet har til formål å gi den juridiske og rettspolitiske ramme og bak- grunn for de senere rettslige analyser. Innledningsvis gis det en redegjørelse for hovedlinjene i den moderne personverndebatten (kapittel 2.2). Denne redegjø- relsen danner et utgangspunkt for å innplassere tenkningen og debatt knyttet til personvernøkende teknologi og til å sette de personvernutfordringer som iden- titetsforvaltning reiser i perspektiv (kapittel 2.3).
Deretter gis det en redegjørelse for personvern og personopplysningsrett som gir innføring i sentrale begreper og i juridisk teori som er blitt utviklet for å beskrive og analysere personvernutfordringer knyttet til behandling av person- opplysninger (kapittel 2.4).
Videre redegjør jeg for utviklingen av nasjonal og internasjonal personopplys- ningsrett, med særlig fokus på utviklingen av grunnleggende rettigheter i EU, EUs personverndirektiver og forslaget til ny personvernforordning (kapittel 2.4.3-2.4.6).
Avslutningsvis gis det en redegjørelse for grunnleggende personvernprinsipper som kan utledes av europeisk og norsk personopplysningsrett (kapittel 2.5).
2.2 Hovedlinjer i den moderne personverndebatten
Den moderne personverndebatten knyttes gjerne til slutten av 1960-tallet, nær- mere bestemt til de grunnleggende bidragene fra de amerikanske xxxxxxxxxxx Xxxx X. Xxxxxx («Privacy and Freedom») og Xxxxxx Xxxxxx («Personal Privacy in the Computer Age: The Challenge of a New Technology in an Information Ori- ented Society»).55 Westin og Xxxxxx diskuterer bl a konsekvensene av data- maskinteknologien for individet og samfunnet – det som vi i Norge på denne tiden kalte «personlighetens rettsvern» og teknologi. Den offentlige debatten hadde sitt utspring i forsikringsselskapenes og kredittopplysingsbyråenes ukri- tiske bruk av kundeopplysninger og visjonene om opprettelse av statlige data-
00 Xx Xxxxxx, Privacy and Freedom, New York 1967 og Xxxxxx, «Personal Privacy in the Computer Age: The Challenge of a New Technology in an Information Oriented Society», Michigan Law Review, 67, 1968, s 1089-1246.
banker. Dette var på det tidspunktet da de første stormaskinene gjorde sitt inn- tog i offentlig og privat administrasjon. Maskinene gjorde det mulig å gå over fra satsvis (f eks ved hjelp av hullkort) til direktekoblet databehandling hvor flere terminaler kunne kobles opp mot en stormaskin. Dette skapte muligheter for å rasjonalisere offentlig forvaltning ved at opplysninger om den enkelte kunne lagres i store sentraliserte databanker.56
Visjonene skapte imidlertid ikke begeistring i allmenheten – i stedet skapte de frykt og mistillit til den potensielle makt og kontroll som opplysningene repre- senterte. Xxxxxx Xxxxxxx 1984 ble hyppig trukket inn i debatten som et skrem- selsbilde på den overåkning og kontroll samfunnet beveget seg i retning mot. I følge Xxxx skyldtes nok ikke styrken i personverndebatten bare Xxxxxxx gripen- de skildring av et gjennomkontrollert og totalitært samfunn, men også det poli- tiske klima i USA på slutten av 1960- og begynnelsen av 1970-tallet.57 Vietnam- krigen og Watergate-skandalen hadde satt dype spor og rokket ved folks tillit til administrasjonen og det politiske system. Debatten spredte seg til Europa i be- gynnelsen av 1970-tallet, blant annet gjennom organisasjoner som OECD som tidlig opprettet et «data bank» panel.58 Den norske debatten kan, ifølge Xxxx,59 føres tilbake til sommeren 1970, med den første utredningen av «statlige data- banker og personlighetsvern» allerede i 1972.60
Debatten om personvernspørsmål utviklet seg utover 1970-tallet fra en opphetet diskusjon med mektige advarsler om datamaskinens og dens potensiale for å umenneskeliggjøre samfunnet til en mer nøktern diskusjon om realitetene og hva datamaskinene faktisk gjorde.61 På 80-tallet gjorde den personlige datamas- kinen – PC-en – sitt inntog, noe som førte til at databehandling ikke lenger var forbeholdt offentlige myndigheter og større virksomheter, men også mannen i gata. Elektronisk behandling av personopplysninger var ikke lenger noe som bare fant sted på stormaskiner i offentlig forvaltning og større bedrifter. Dette førte også til at den tidligere reguleringsstrategien med konsesjonsplikt for opp-
56 Se f eks beskrivelsen av amerikanske myndigheters planer om å samle sentralforvaltningens opplysninger om enkeltpersoner i en eneste stor «national data bank» i Miller, The assault on Privacy: Computers, Data Banks, and Dossiers, Ann Arbor, Mich. 1971.
57 Bing, Personvern i faresonen, Oslo 1991, s 10-11.
58 Xx Xxxx, Personvern i faresonen, Oslo 1991, s 10.
59 Xxxx, Personvern i faresonen, Oslo 1991, s 10.
60 Se Samuelsen, Statlige databanker og personlighetsvern, Oslo 1972.
61 Se nærmere beskrivelse av personverndebattens første faser i Blekeli, «Hva er personvern?» I:
Data og personvern, Blekeli og Xxxxxx (red), 1977, s 16.
rettelse av personregistre ble satt på prøve.62 Innføringen av nye former for beta- lingsformidling, adgangskontrollsystemer og telefoni introduserte dessuten en helt ny personvernutfordring, nemlig det man omtalte som «elektroniske spor».63 Spor-metaforen var ikke rettet mot registreringen av ekstraordinære og store transaksjoner – det var den detaljerte registreringen av hverdagslige og isolert sett trivielle handlinger og transaksjoner man nå fikk øynene opp for. Faren for personvernet lå i potensialet for at slike opplysninger kunne ses i sam- menheng og danne grunnlag for detaljerte profiler over den enkeltes bevegelser, omgangskrets og preferanser.
Uten tvil er det oppfinnelsen av world wide web og utbredelsen av Internett som har satt størst preg på personverndebatten fra midten av 1990-tallet. Utfordrin- gene knyttet til elektroniske spor, som man så antydninger til på 80-tallet, ble nå tydeligere ettersom stadig mer av samhandlingen i samfunnet kunne skje elek- tronisk. Internett har gitt opphav til en rekke nye tjenester og teknologiutviklin- gen har skjedd raskt. Dette har gitt rom for en enorm forsknings og utrednings- aktivitet knyttet til nye former for informasjonsbehandling. Samtidig har brukerutstyr og nye tjenester vært beheftet med svakheter som har gjort det sårbart for en rekke nye trusler i form av virus, trojanere, spyware, hacker-an- grep, muligheter for avlytting av kommunikasjon osv. Karakteristisk for en del av denne debatten er at den har vært teknologifokusert og fragmentert, der opp- merksomheten har vært rettet mot spesifikke sikkerhetstrusler og ikke nødven- digvis personvernspørsmål og hva som anses som legitim behandling av per- sonopplysninger.
Året 1995 regnes også som året da den internasjonale debatten om muligheten for å benytte teknologien for å ivareta personvernet for alvor satte fart. Opprin- nelsen av begrepet Privacy-enhancing technologies – («personvernøkende teknologi») – knyttes gjerne til den 17. internasjonale datatilsynsmyndighets- konferansen i København og fremleggelsen av datatilsynsmyndighetene Regis- tratiekamers (Nederland) og Ontarios (Canada) felles rapport: «Privacy-enhan- cing technologies: the path to anonymity».64 Allerede to år tidligere hadde imidlertid Boe-utvalget lagt frem sitt dristige og nyskapende forslag til hvordan hensynet til blant annet personvernet og helseforskningen kan ivaretas gjennom
62 Datatilsynets manglende kapasitet til å konsesjonsbehandle alle registrene som etterhvert be- gynte å bli etablert ble problematisert av Xxxx Xxxxx allerede på begynnelsen av 1980-tallet. Føyen argumenterte derfor allerede da for en behandlingstilnærming, slik vi kjenner det fra dagens personopplysningslovgivning. Se Føyen, Utredning om endringer i personregisterloven, Complex 1/83.
63 Se Mestad, Elektroniske spor: nye perspektiver på personvern, Complex 3/86.
64 Registratiekamer m fl., Privacy-enhancing technologies: the path to anonymity (Vols I & II), 1995.
pseudonyme helseregistre.65 Synspunkter på teknologiens betydning for å ivare- ta personvernet fremkommer også av Datatilsynets årsmeldning fra 1995, hvor tilsynet skriver:66
«Ny teknologi er i utgangspunktet verken positiv eller negativ for personvernet. Det er hvordan vi anvender teknologien og hvordan vi legger premissene for utviklingen av ny teknologi som bestemmer teknologien skal styrke eller svekke personvernet.»
Utover på 2000-tallet har den internasjonale og nasjonale personverndebatten særlig vært preget av forslag til nye tiltak for å bekjempe terrorisme og alvorlig økonomiske kriminalitet. I Europa var denne debatten særlig knyttet til forsla- get til datalagringsdirektivet 2006/24/EF, som i 2014 ble kjent ugyldig av EU-domstolen.67 Xxxxxx Xxxxxxxx avsløringer sommeren 2013 om US Natio- nal Security Agency’s omfattende overvåkningsprogrammer medførte drama- tisk eskalering i den allerede pågående debatten om behovet for å gi europeiske borgeres personopplysninger bedre vern mot utenlandske myndigheters over- våkningsprogrammer.
Arbeidet med EUs personvernreform, som ble initiert med EU-kommisjonens forslag til ny personvernforordning i 2012, har i lys av Snowden-avsløringene hatt særlig oppmerksomhet mot skjerpede regler vedrørende overføring av per- sonopplysninger og skjerming mot innsyn fra utenlandske myndigheter.68 For øvrig har personvernreformen vært drevet frem av behovet for regler som er bedre tilpasset nye teknologiske trender som Big Data, tingenes internett, sosia- le medier og skytjenester.
Bokens tema – personvernøkende identitetsforvaltning – bygger på tenkningen knyttet til personvernøkende teknologi. Som vi skal se i kapittel 2.3 er person- vernøkende teknologi i prinsippet relevant i forhold til alle de personvernutford- ringene som er nevnt her. Det er imidlertid særlig nærliggende å knytte bokens tema til offentlig og privat sektors ambisjoner om å rasjonalisere tilgangskon- troll og å tilby nye og mer avanserte tjenester over Internett. Internett er ikke lenger bare en publiseringskanal, det er også ønskelig å tilby personorienterte tjenester på tvers av system- og virksomhetsgrenser.
65 NOU 1993: 22 Pseudonyme helseregistre (Boe-utvalget).
66 Datatilsynets årmelding 1995, s 26.
67 Se nærmere om datalagringsdirektivet i kap 2.4.4.
68 Se nærmere om forslaget til ny personvernforordning i kap 2.4.6.
Slike ambisjoner kommer til uttrykk i nasjonale handlingsplaner for IKT-poli- tikk, hvor målsetningene knytter seg til tre overordnede målområder.69 For det første skal det legges til rette for aktiv deltakelse og brukerorienterte tjenester fra offentlig og privat sektor, hvor «elektronisk forvaltning skal utvikles til å bli hovedgrenseflaten mot inbyggere og næringsliv».70 For det andre er det en mål- setning at norsk offentlig sektor skal være ledende internasjonalt på å tilby elek- troniske tjenester til næringslivet. For det tredje skal det legges til rette for økt samhandling i offentlig sektor.
Ambisjonene om brukerorienterte tjenester og samhandling på tvers av virk- somhetsgrenser innebærer økt kompleksitet, noe som kan illustreres av at man da ønsker å ta steget opp til trinn 3 og 4 på den såkalte tjenestetrappa.71
Ambisjonene om å klatre oppover trappa utfordrer imidlertid personvernet på flere måter. Økt samhandling på tvers av virksomhetsgrenser utfordrer den tra- disjonelle organiseringen med klare grenser mellom de ulike etaters behandling av personopplysninger og tjenester. Videre går visjonene langt i retning av at samhandlingen skal være sømløs, slik at brukeren ikke trenger å vite hvordan offentlig forvaltning er organisert, og ikke skal merke at samhandlingen skifter fra en en etat til den neste.
I eNorge 2009 påpekes det at slike tjenester utfordrer personvernet, blant annet hva gjelder den tradisjonelle organiseringen av tjenester i adskilte systemer:
«Hensynet til enkelhet og tilgjengelighet til informasjon og tjenester må balanseres mot krav til forsvarlig saksbehandling og hensynet til personvern. Forvaltningens reg- ler om saksbehandling og taushetsplikt samt organiseringen av forvaltningens tjenes- ter i adskilte systemer eller «siloer» har til dels vært begrunnet i personvern- og rettsik- kerhetshensyn. Det er ikke gitt at den tradisjonelle måten å sikre informasjonssystemene på, ofte fysisk atskilt fra eksterne systemer, er den beste måten å sikre et godt person- vern på i fremtiden. Enklere og bedre tilgang til forvaltningens informasjon kan også fremme bedre personvern ved å bidra til økt bevissthet, innsikt og kontroll med for- valtningens innsamling, registrering og bruk av opplysninger om oss selv.»72
69 Se Fornyings- og administrasjonsdepartementet, eNorge 2009 – det digitale spranget, Oslo, 2005. Disse målsetningene er i det store og det hele også videreført i regjeringens digitalise- ringsprogram og stortingsmeldingen om digital agenda for Norge. Se Fornyings-, administra- sjons- og kirkedepartementet, På nett med innbyggerne – Regjeringens digitaliseringsprogam, april 2012 og Meld.St.23 (2012–2013), Digital agenda for Norge – IKT for vekst og verdiskap- ning, 22. mars 2013.
70 Se Fornyings- og administrasjonsdepartementet, Underveisrapport eNorge 2009, Oslo, 2006, s 4.
71 Hentet fra Riksrevisjonen, Riksrevisjonens undersøkelse av elektronisk informasjonsutveksling og tjenesteutvikling i offentlig sektor, dokument 3:12 (2007–2008), Oslo, 2008, s 22.
72 Fornyings- og administrasjonsdepartementet, eNorge 2009 – det digitale spranget, Oslo, 2005, s 11.
Trinn 4: Samhandling med andre virksomheter
Tjenester som krever et tett samarbeid med andre etater eller virksomheter
(horisontal integrasjon)
Trinn 3: For eksempel:
Individuelt tilpasset
kommunikasjon virksomheter
Trinn 1:
Publisering (”Brosjyre på nett”)
Trinn 2: Målgrupperettet kommunikasjon
Tjenester som tilbyr brukerne å legge inn
og hente ut informasjon, lagt til rette for den enkelte bruker.
Tjenesten er knyttet til
og sammenstillinger
for bruker
Bruker vil ikke merke samhandlingen med
Informasjon og enkle interaktive tjenester
interne IT-systemer i eta- Samarbeidet mellom
andre virksomheter.
Generell informasjon om etaten og deres tjenester
ten (vertikal integrasjon) virksomhetene vil
vanligvis være formalisert på forhånd.
Kompleksitet
Brukerorientering og nytteverdi
Figur 1 Tjenestetrappa
Standarder og løsninger for relasjonsorientert identitetsforvaltning har potensi- ale for å løse de krav tjenester på trinn 3 og 4 stiller til identifisering, autentise- ring og felles tilgangsløsninger (single sign-on).
En forutsetning er imidlertid at tjenester på trinn 3 og 4 i tjenestetrappa organi- seres i henhold til personopplysningsrettens krav. I boken drøftes hvilke roller identitetsforvaltere og tjenesteytere vil ha etter personopplysningsretten. Videre drøftes personopplysningsrettens krav til brukermedvirkning og kontroll i for- bindelse med innsamling og utlevering av personopplysninger. Inntil videre kan vi slå fast at visjonene om å tilby brukerorienterte og sømløse tjenester på tvers av virksomhetsgrenser tilsynelatende kan synes å være vanskelig å forene med personopplysningsrettens krav til klare ansvarsforhold og at brukeren skal være i stand til å fatte informerte valg vedrørende bruk av egne personopplysninger.
Hvis man skal driste seg til å peke på noen likhetstrekk mellom dagens utfor- dringer og de som opprinnelig startet den moderne personverndebatten, er det for det første grunn til å trekke frem ambisjonene og presset i offentlig og privat sektor for å utnytte teknologiens muligheter for å rasjonalisere og tilby nye tje- nester. Det er videre grunn til å påpeke de dyptgripende endringer som innfø-
ringen av ny teknologi og behandlingsformer får for virksomheters interne or- ganisering og samhandlingen med omverdenen.
Mens innføringen av stormaskiner på begynnelsen av 70-tallet primært om- handlet behandlingen av personopplysinger i virksomhetsinterne personregis- tre, knytter dagens utfordringer seg til samhandlingen mellom virksomheter og ikke minst utad mot brukerne. Brukerperspektivet innebærer nye personvern- og informasjonssikkerhetstrusler, men også et potensiale for at den enkelte selv kan ha mer innflytelse og kontroll over egne personopplysninger, blant annet gjennom løsninger for personvernøkende identitetsforvaltning.
2.3 Overordnet om personvernøkende teknologi og identitets forvaltning
Begrepet privacy-enhancing technologies (PETs) kan føres tilbake til 1995 da da- tatilsynsmyndighetene i Ontario (Canada) og Nederland la frem sin felles rap- port «Privacy-enhancing technologies: the path to anonymity».73 Rapporten ble presentert på den 17. internasjonale datatilsynsmyndighetskonferansen i Kø- benhavn samme år. I følge Xxxx Xxxxxxx, den gang tilknyttet Registratiekamer
Den prinsipielle betraktningen om at personvernet kan ivaretas ved å begrense muligheten til identifisering var imidlertid ikke ny. Allerede i 1981 publiserte Xxxxx Xxxxx sin banebrytende artikkel om hvordan man kunne oppnå anony- mitet for avsender og mottaker av elektronisk kommunikasjon.74 Innenfor kryptografien hadde man lenge forsket på hvordan kryptering av elektronisk kommunikasjon kunne sikre innholdet fra uautorisert innsyn. Chaums tilnær- ming var en helt annen: det faktum at noen kunne observere hvem som kommu-
73 Registratiekamer m fl., Privacy-enhancing technologies: the path to anonymity (Vols I & II), 1995
74 Chaum, «Untraceable Electronic Mail, Return Addresses, and Digital Pseudonyms», Commu- nications of the ACM, 2, 1981, s 84-88.
niserte med hvem kunne være uheldig fra et sikkerhets- og personvernsyns- punkt.
Også Norge kan skilte med pionerarbeid innenfor personvernøkende teknologi. Tidlig på 1990-tallet arbeidet et offentlig utvalg ledet av professor Xxxx Xxx med hvordan man kunne forene samfunnets behov for forskning på helseopplysin- ger samtidig som den enkeltes personvern ble ivaretatt. Mens man tidligere had- de skilt mellom anonyme eller avidentifiserte opplysninger (som ga relativt be- grensede muligheter for forskning) og fullt ut identifiserbare opplysninger (som medførte en ikke ubetydelig personvernrisiko), ble det i NOU 1993: 22 «Pseudo- nyme helseregistre» foreslått en radikal endring i måten å organisere helseregis- tre på. I stedet for å lagre helseopplysinger med fødselsnummer, ble det foreslått at opplysningene skulle lagres under pseudonymer generert av en tiltrodd pseu- donymforvalter. Tankegangen og prinsippet var det samme som i PETs-rappor- ten fra 1995: ved å bytte ut personidentifiserbare identifikatorer med pseudony- mer kunne man oppnå samme funksjonalitet, samtidig som risikoen for personvernkrenkelser ble vesentlig redusert.
Slik jeg ser det er Boe-utvalgets arbeid det fremste eksemplet på fremming av personvernøkende teknologi i Norge. Desverre viser det seg at arbeidet i liten grad er blitt forstått og at lite er gjort for å høste erfaringer av de pseudonyme registrene som faktisk er blitt etablert.75 Av disse grunner vil jeg kort redegjøre for hovedpunktene i Boe-utvalgets arbeid og hvordan pseudonyme registre kan bidra til å fremme personvernet (kapittel 2.3.1). Vi skal deretter se nærmere på den terminologi som benyttes om personvernøkende teknologi og identitetsfor- valtning (kapittel 2.3.2) og den den internasjonale og nasjonale rettspolitiske debatt knyttet til bruk av personvernøkende teknologi (kapittel 2.3.3). Avslut- ningsvis redegjøres det for forslaget til «data protection by design and by de- fault» («innebygd personvern») i forslaget til ny EU-forordning (kapittel 2.3.4) og om den internasjonale tilslutningen til 7 grunnprinsipper for arbeid med innebygd personvern (kapittel 2.3.5) .
2.3.1 Boeutvalgets forslag til pseudonyme helseregistre
Boe-utvalgets forslag til pseudonyme helseregistre var nyskapende og dristig, og ble ikke helt uventet møtt med en god del skepsis. Til tross for en noe kronglete lovgivningsprosess,76 ble den pseudonyme registerformen tatt inn i helseregis- terloven av 18. mai 2001 nr 24.77
75 Se NOU 2009: 1 Individ og integritet – Personvern i det digitale samfunnet, s 184.
76 Boe, «Nye helseregistre inn bakveien?» Kritisk Juss, Årg. 27, nr 1/2, 2000, s 63-77.
77 Jf lov 18. mai 2001 nr 24 om helseregistre og behandling av helseopplysninger (helseregister- loven).
Selv om den nye helseregisterloven (i kraft 1. januar 2015) bygger på et hoved- skille mellom direkte og indirekte identifiserbare helseopplysninger,78 er det ut- talt i forarbeidene at dette ikke er til hinder for at det kan etableres eller videre- føres registre som er avidentifiserte eller pseudonyme.79 Definisjonene av disse begrepene i den tidligere helseregisterloven fra 2001 er derfor fremdeles aktuel- le. Loven skilte i § 2 mellom fire opplysningstyper:
helseopplysninger: «taushetsbelagte opplysninger i henhold til helsepersonelloven § 21 og andre opplysninger og vurderinger om helseforhold eller av betydning for helsefor- hold, som kan knyttes til en enkeltperson»,
avidentifiserte helseopplysninger: «helseopplysninger der navn, fødselsnummer og an- dre personentydige kjennetegn er fjernet, slik at opplysningene ikke lenger kan knyttes til en enkeltperson, og hvor identitet bare kan tilbakeføres ved sammenstilling med de samme opplysninger som tidligere ble fjernet»,
anonyme opplysninger: «opplysninger der navn, fødselsnummer og andre personenty- dige kjennetegn er fjernet, slik at opplysningene ikke lenger kan knyttes til en enkelt- person»,
pseudonyme helseopplysninger: «helseopplysninger der identitet er kryptert eller skjult på annet vis, men likevel individualisert slik at det lar seg gjøre å følge hver person gjennom helsesystemet uten at identiteten røpes.»
Et hovedskille går mellom anonyme og avidentifiserte opplysninger på den ene siden, og personidentifiserbare (kalt «helseopplysninger» over) og pseudonyme opplysninger på den andre. De to førstnevnte er ikke personentydige, det vil si at de ikke er tilknyttet noen entydig identifikator som gjør det mulig å legge til flere opplysninger på et senere tidspunkt. Disse to opplysningstypene gir derfor begrensede muligheter for forskning, siden man ikke kan følge et individ over tid eller samkjøre dataforekomster angående samme individ fra ulike registre. Det er også verdt å merke at anonyme opplysninger ikke regnes som helseopp- lysninger og derfor faller utenfor helseregisterlovens saklige virkeområde i hen- hold til § 3. Personidentifiserbare opplysninger og pseudonyme opplysninger er derimot begge personentydige. Forskjellen er at personidentifiserbare opplys- ninger er knyttet til identifiserbare opplysninger (typisk fødselsnummer), mens pseudonyme opplysninger er knyttet til et pseudonym som hindrer direkte identifisering av den opplysningene gjelder.
78 Jf lov 20. juni 2014 nr 43 om helseregistre og behandling av helseopplysninger (helseregister- loven) § 2.
79 Jf Prop. 72 L (2013–2014) Pasientjounalloven og helseregisterloven, punkt 21.3.1.
Resept- registeret
fnr+resept pid+resept
TPF
(SSB)
Apotek
Apotek
TPF
(SSB)
Apotek
Figur 2 Informasjonsflyt i Reseptregisteret
Begrunnelsen for at et pseudonymt register anses å kunne ivareta forskningens behov samtidig som personvernet ivaretas på en hensiktsmessig måte, kan illu- streres med informasjonsflyten i det pseudonyme Reseptregisteret.80
Apotekene registrerer reseptopplysninger og fødselsnummer på rekvirenten. Hver måned sender apotekene disse opplysningene til tiltrodd pseudonymfor- valter («TPF» – i dette tilfellet Statistisk sentralbyrå (SSB)). Selve reseptopplysin- gene er kryptert for TPF. TPF kjører fødselsnumrene gjennom en en-veis kryp- teringsalgoritme som generer et entydig pseudonym. Pseudonym og tilknyttede reseptopplysninger blir så oversendt til Reseptregisteret hvor opplysningene la- gres. Siden krypteringsalgoritmen genererer det samme pseudonymet hver gang, vil opplysninger om nye reseptutleveringer legges til den enkeltes profil i registeret. Registeret er altså i likhet med et personidentifiserbart register perso- nentydig, noe som gjør det mulig å følge enkeltindivider over tid. Forskjellen er identifikatoren som er knyttet til opplysningene. I et pseudonymt register er fød- selsnummer byttet ut med et pseudonym som er generert av en tiltrodd tredje- part, jf informasjonsflyt vedrørende «fnr» (fødselsnummer) og «pid» (pseudo- nym) i Figur 2. I prinsippet skal derfor et personidentifiserbart og et pseudonymt register være like godt egnet til å oppfylle helseforsknings- og administrasjons- formål. Vi kommer tilbake til enkelte innvendinger mot dette utgangspunktet rett under.
Flertallet i Boe-utvalget tok utgangspunkt i at et pseudonymt register vil xxxxxxx xxxxxxxxxxxxxxxx bedre enn et personidentifiserbart register. Poenget med den pseudonyme registerformen er å sikre at de som får tilgang til opplysningene, også autoriserte personer, ikke skal kunne identifisere personen opplysningene omhandler. Risikoen for personvernkrenkelser er derfor vesentlig redusert. I et
80 Registeret er nærmere regulert i forskrift 17. oktober 2003 nr 1246 om innsamling og behand- ling av helseopplysninger i Reseptbasert legemiddelregister (Reseptregisteret).
direkte personidentifiserbart register derimot, vil ivaretakelsen av personvernet i mye større grad avhenge av sikkerhetstiltak og tilgangskontroll.
Spørsmålet om valg av registerform dukket opp igjen i 2006 i forbindelse med at Norsk pasientregister, som tidligere var et avidentifisert register, ble foreslått en- dret til et personidentifiserbart register.81 Utfallet av lovgivningsprossen ble at Norsk pasientregister ble etablert som et sentralt og personidentifiserbart helse- register med «internt krypterte identiteter» i henhold til helseregisterloven § 8 (3).82 I forarbeidene til endring av helseregisterloven ble det argumentert med at personvernet vil bli tilfredsstillende ivaretatt med tradisjonelle sikkerhetstiltak som skal sikre at bare autorisert personell skal ha tilgang til de identifiserbare opplysningene.83 Med tanke på den etablerte oppfatningen om at den største sikkerhetstrusselen kommer fra virksomheters egne ansatte, kan dette sies å være betenkelig.
Det er altså her den prinsipielle forskjellen mellom den pseudonyme og identifi- serbare registerformen ligger: sikkerhetstiltak som «internt krypterte identite- ter» sikrer bare mot uautorisert tilgang, og løser ikke den sårbarheten som ligger i at autorisert personell kan skaffe seg uberettiget tilgang til identifiserbare opp- lysninger. Et pseudonymt register må også vernes mot uautorisert tilgang med tradisjonelle sikkerhetstiltak, men gjør registeret vesentlig mindre sårbart for misbruk fra de som faktisk er autorisert til å behandle opplysningene. Det er dette som gjør at man, etter min oppfatning, kan kalle den pseudonyme regis- terformen for «personvernøkende». Innholdskryptering og tilgangskontroll er bare tradisjonelle sikkerhetstiltak, jf sondringen PETs og sikkerhetsteknologi i kapittel 2.3.2.
I debatten rundt Norsk pasientregister ble det brukt som argument for et perso- nidentifiserbart register at den pseudonyme registerformen ikke gir like god datakvalitet som et identifiserbart register. Et annet argument var at et pseudo- nymt register gir begrenset anvendelighet fordi rettslige og tekniske hindre gjør det umulig å kontakte den opplysningene gjelder. Innvendingene har imidlertid blitt imøtegått av blant andre Kompetansesenteret for IT i helsesektoren (KITH)
81 Jf Ot prp nr 49 (2005–2006) om lov om endringer i helseregisterloven (Norsk pasientregister).
82 Jf lov 16. februar 2007 om endringer i lov 18. mai 2001 nr. 24 om helseregistre og behandling av helseopplysninger (helseregisterloven) der Norsk pasientregister ble lagt til listen over sen- trale helseregistre og hvor det til helseregisterloven § 8 (3) ble lagt til at «direkte personidenti- fiserende kjennetegn skal lagres kryptert i registrene». Behandlingen av opplysninger i Norsk pasientregister er nærmere regulert i forskrift 7. desember 2007 om innsamling og behandling av helseopplysninger i Norsk pasientregister (Norsk pasientregisterforskriften).
83 Se Ot prp nr 49 (2005–2006).
og xxxxxxxxxxxx Xxxx Xxx og Xxx Xxxxx Xxxxxxxx.84 Det man kan slå fast er i hvert fall at den pseudonyme registerformen oppfattes som mer kompleks, noe som har gitt grunnlag for forvirring og skepsis fra politikere og helseforskere.85
2.3.2 Terminologi: personvernøkende teknologi og identitetsforvaltning
Selv om begrepet «personvernøkende teknologi» og akronymet «PETs» er rela- tivt kjent i miljøer som arbeider med personvernspørsmål,86 finnes det fremde- les ingen omforent definisjon.87 Kjernen i begrepet har imidlertid hele tiden vært dataminimalitet, nærmere bestemt på å begrense muligheten for å identifisere den opplysningene gjelder. Dette fremkommer av Xxxxxxx Xxxxxxxx mye siterte definisjon:
«The term privacy-enhancing technologies (PETs) refers to technical and organizatio- nal concepts that aim at protecting personal identity.»88
Fokuset på identitet kan forklares ved at personverninteresser ikke gjør seg gjel- dende dersom den opplysningene gjelder ikke kan identifiseres. Dette faktum gjenspeiles i personopplysningslovgivningen som bare gjelder i den grad det be- handles opplysninger om en identifiserbar person.
I følge Burkert er det viktig å skille mellom informasjonssikkerhetstiltak og per- sonvernøkende teknologi (PETs):
«PETs have to be set apart from data-security technologies. It is one of the merits of the discussion on PETs that the concept of data security has been reclarified as to its limits
84 Se uttalelser tilgjengelig på nettsiden Personvern på nettet under tittelen «Åpen høring om forslaget til Norsk Pasientregister», 6. november 2006, xxxx://xxx.xxxxxxxxxx.xxx.xx/xxxx/ nyheter.html.
85 Forskningsresultater viser for øvrig at de pseudonyme registrene er velfungerende i praksis, men at det fremdeles hersker en del tvil om hva et pseudonymt register faktisk innebærer. Se nærmere Xxxxxxxx, «On Pseudonymous Health Registers: While they Work as Intended, they are Still Controversial in Norway», Proceedings of the First International Conference on Health Informatics, Funchal, Madeira – Portugal, Vol 1, 2008, s 59-66 og L’Abée-Lund, Pseudonymise- ring av personopplysninger i sentrale helseregistre, Oslo, 2006.
86 For eksempel har det siden år 2000 vært avholdt en årlig internasjonal workshop/symposium om PETs, se xxxx://xxxxxxxxxxx.xxx/ (årene 2000–2006) og xxxx://xxxxxxxxxxxx.xxx/ (årene 2006–2009).
87 Se f eks forskjeller i tilnærminger og begrepsbruk i Xxxxxx, «Introducing PITs and PETs: Te- chnologies Affecting Privacy», Privacy Law & Policy Reporter, 9, 2001, s 181-183, META Group for Videnskabsministeriet (Danmark), Privacy Enhancing Technologies, 28. mars, 2005, og Fritsch, State of the Art of Privacy-enhancing Technology (PET) – Deliverable D2.1 of the PET- web project, 22. november, 2007.
88 Burkert, «Privacy-enhancing technologies: typology, critique, vision», I: Technology and pri- vacy: the new landscape, Agre og Rotenberg (red), 1997, s 125.
with regard to privacy protection. Data-security measures seek to render data proces- sing safe regardless of the legitimacy of processing. Data security is a necessary but not a sufficient condition for privacy protection. PETs on the other hand, seek to eliminate the use of personal data altogether or to give direct control over revelation of personal information to the person concerned. PETs are therefore closer to the social goals of privacy protection.»89
I personvernkretser har det vært en debatt om kryptografi faller innenfor PETs-begrepet. Uenigheten kan skyldes at kryptografi har mange bruksområ- der. I lys av Xxxxxxxx uttalelser er min oppfatning at bruk av kryptografi som ledd i en anonymiserings- eller pseudonymiseringsprosess faller inn under den opprinnelige forståelsen av personvernøkende teknologi. Benyttes derimot kryptering for å verne opplysninger under transport eller i forbindelse med lag- ring, kan det argumenteres for at dette er et rent informasjonssikkerhetstiltak. Kryptering har da som siktemål å verne opplysningene fra uautorisert innsyn (konfidensialitet) eller endring (integritet) uavhengig av om behandlingen er le- gitim, og angår ikke identitet og muligheten for identifisering.90
Av deler av diskusjonen om personvernøkende teknologi kan man få inntrykk av at dette er avgrenset til å gjelde programvare som kan bidra til å løse person- vern- og sikkerhetsutfordringer på Internett. Det er ingen tvil om at Internett medfører nye trusler som kan avhjelpes med ulike typer tekniske løsninger. Ek- sempler på dette er brannmurer, antivirus, antispyware, spamfilter osv. Om per- sonvernøkende teknologi også skal omfatte slike tekniske tiltak, som gjerne er knyttet til den enkelte brukers personlige utstyr, kan diskuteres. Jeg er av den oppfatning at slike løsninger primært knytter seg til informasjonssikkerhet, og at man med fordel bør forbeholde personvernøkende teknologi til tekniske og organisatoriske tiltak som gjelder identitet og identifisering. Et ensidig fokus på brukerstyrte «tools» henleder tanken til at personvernøkende teknologi er be- grenset til noe som den enkelte bruker kan anvende. Som vi skal se i kapittel 3.3, vil mange av identitetsspørsmålene ved elektronisk kommunikasjon avhenge av tekniske og organisatoriske forhold knyttet til brukerutstyr, «infrastruktur» og kommunikasjonsmotpart (her kalt «tjenesteyter»).
Mens begrepet personvernøkende teknologi altså må anses forholdsvis innar- beidet, dog med varierende meningsinnhold, har viktige deler av forskningen og utviklingen siden begynnelsen av 2000-tallet skjedd innenfor området identi- tetsforvaltning (engelsk: identity management). Særlig har utviklingen vært dre-
89 Burkert, «Privacy-enhancing technologies: typology, critique, vision», I: Technology and pri- vacy: the new landscape, Agre og Rotenberg (red), 1997, s 125.
90 Se nærmere om dette i forbindelse med Personvernkommisjonens uttalelser om kryptografi for å fremme personvernet i kap 2.3.3.
vet frem av store tverrfaglige EU-prosjekter.91 Personvernøkende identitetsfor- valtning tar utgangspunkt i enkeltindividets ulike roller, f eks ansatt, student, eller kunde, og hvordan identifisering og autentisering kan tilpasses rollene. Dette reiser spørsmål om tildeling av hensiktsmessig identifikator (f eks bruker- navn) og autentiseringsmekanisme (f eks passord). I tillegg til å rette oppmerk- somhet mot roller, har forskningen også opptatt seg med spørsmålet om mulig- heten for å autentisere andre forhold enn identitet/roller. Ved å autentisere andre relevante faktiske forhold, f eks medlemskap, alder eller kjønn, vil det være mu- lig å tilby en lang rekke tjenester uten å knytte dette til noen identitet.92
Deler av denne forskningen tar altså utgangspunkt i personvernøkende teknolo- gi-tilnærmingen og dens fokus på dataminimalitet.93 Forskningen innenfor identitetsforvaltning har imidlertid løftet spørsmålene om identitet og identifi- serbarhet opp på et nivå hvor man ikke ensidig ser på muligheten for å begrense identifiserbarhet. Vel så viktig er det å stille spørsmål om hva (f eks hvilken rolle) som skal identifiseres, og å sørge for at dette gjøres på en tilfredstillende måte (autentisering). Identitetsforvaltningsperspektivet innebærer derfor en mer hel- hetlig tilnærming til elektronisk samhandling hvor mange av de tradisjonelle personvernøkende teknologi-komponentene settes sammen til mer bruker- vennlige løsninger. En oversikt over de vanligst omtalte personvernøkende tek- nologier som knytter seg til Internettbaserte tjenester vil bli gitt i kapittel 3.3.3.
Parallelt med den akademisk forankrede forskningen har det siden begynnelsen av 2000-tallet også funnet sted en en rivende utvikling av åpne standarder for identitetsforvaltning.94 Vi kommer tilbake til sentrale standarder som SAML, og anvendelsen av dem i løsninger for relasjonsorientert identitetsforvaltning som MinID, Altinn og Feide i kapittel 5. Selv om informasjonssikkerhet og person- vern har vært sentrale hensyn ved utvikling av standardene, vil personvernim- plikasjonene likevel langt på vei avhenge av hvordan disse implementeres.95 I den forbindelse bør det nevnes at personvernøkende teknologi av og til også benyttes om standarder og løsninger som gjør det mulig for den behandlingsan- svarlige å etterleve personvernlovgivningens krav. Dette er imidlertid langt fra
91 Se f eks EU-prosjektene PRIME, GUIDE, FIDIS, PRIMELIFE og PICOS.
92 Se f eks Brands, Rethinking public key infrastructures and digital certificates: building in pri- vacy, Cambridge, Mass. 2000, løsninger levert av selskapet xxxx://xxx.xxxxxxxxxx.xxx/ og arbeider av Xxx Xxxxxxxxx, IBM, xxxx://xxx.xxxxxx.xxx.xxx/%0Xxxx/xxxxxxxxxxxx.xxxx.
93 Se f eks Xxxxxx m fl., «Privacy-enhancing identity management», Information Security Techn- ical Report, 1, 2004, s 35-44.
94 Særlig toneangivende har standardiseringsorganisasjonene Liberty Alliance og OASIS vært i forhold til utvikling av standarder for såkalt føderert identitetsforvaltning.
95 Enkelte forskere har vært kritiske til denne standardutviklingen og hevder at virksomhetenes interesser i å legge til rette for nye forretningsmodeller har fått mer gjennomslag enn hensynet til brukernes personvern. Se f eks Xxxxxx, Identity Management, mars, 2004.
den opprinnelige betydningen av begrepet. Til dette kan det også anføres at tek- nologi som er personvernøkende bør være noe utover teknologi som «gjør det mulig» å behandle opplysninger i henhold til lovens krav. Identitetsforvalt- ningsløsninger basert på SAML har et potensiale for å fremme personvernet, blant annet ved at det kan legges til rette for distribuert lagring av personopplys- ninger, bruk av relasjonsorienterte identifikatorer som hindrer samkjøring av opplysninger, samt selektiv utveksling av opplysninger til tjenesteyteren om brukerens rolle eller egenskaper (rolle- og attributtautentisering).
Denne korte oversikten viser altså at personvernøkende teknologi (og senere personvernøkende identitetsforvaltning) brukes om et nokså bredt spekter av tekniske og organisatoriske tiltak for å ivareta personvernet. Av den grunn er det etter min oppfatning hensiktsmessig å holde fast ved den opprinnelige be- tydningen knyttet til identitet og begrenset identifiserbarhet, xx Xxxxxxxx defini- sjon over. Dette utelukker imidlertid ikke at begrepet personvernøkende tekno- logi – utover denne snevre betydningen – kan fungere utmerket som generell betegnelse på teknologi som er ment å ivareta personvernhensyn. Slik sett kan personvernøkende teknologi benyttes om tekniske og organisatoriske løsninger som har blitt utviklet med en intensjon om å ivareta personvernet.96 Dette un- derstreker betydningen av at personvernspørsmål ikke er noe som kan håndte- res til slutt når alle designvalg er tatt, men at personvernhensyn må vektlegges i alle trinn i utviklings- og implementasjonsprosessen.
Avslutningsvis er det viktig å bemerke at begrepet innebygd personvern de sene- re år har fått stadig større oppslutning til fortrengsel for begrepet personvernø- kende teknologi. En viktig grunn til dette er nok at Kommissæren for informa- sjon og personvern i Ontario, Canada, ved dets leder Xxx Xxxxxxxxx i mange år har promotert 7 grunnleggende prinsipper for innebygd personvern.97 Prinsip- pene er per i dag oversatt til 35 språk, også norsk, med tilslutning fra mange lands datatilsynsmyndigheter, herunder det norske Datatilsynet.98 Som vi skal se i kapittel 2.3.5 er det imildertid viktig å være oppmerksom på at prinsippene ikke gir konkret angivelse for hvordan teknologi skal designes for å ivareta per- sonvern, men derimot på tilnærming og metode for å bygge personvernet inn i tekniske løsninger. Ofte benyttes imidlertid innebygd personvern i bred for- stand om konkrete teknikker eller helhetlige løsninger som er utviklet med hen- blikk på å ivareta personvernet.
96 Se tilsvarende Xxxxxxx, «Privacy-Enhancing Technologies – Caught between a Rock and a Hard Place», Privacy Law & Policy Reporter, 2002, s 135-137.
97 Se xxxxx://xxx.xxxxxxxxxxxxxxx.xx/xxxxx.xxx/xxxxx-xxx/0-xxxxxxxxxxxx-xxxxxxxxxx/.
98 Se xxxxx://xxx.xxxxxxxxxxxx.xx/Xxxxxxxxx/Xxxxxxxx-xxxxxxxxxx/
Begrepet innebygd personvern («data protection by design and by default») er også anvendt i forslaget til ny personvernforordning som vil erstatte dagens per- sonverndirektiv. Som vi skal se i kapittel 2.3.4 synes kjernen i forslaget å være tekniske og organisatoriske tiltak vedrørende dataminimalitet i tråd med be- grepsbruk knyttet til personvernøkende teknologi.
Oppsummeringsvis er det altså blitt benyttet mange begreper, herunder «per- sonvernøkende teknologi» og «innebygd personvern», om det å benytte tekniske organisatoriske tiltak for å ivareta personvernet. Etter min oppfatning er det ikke viktig hvilke begreper som benyttes så lenge det går frem hvordan person- vernet blir ivaretatt. Det er i denne forbindelse viktig å minne om at tekniske og organisatoriske tiltak ikke bør betraktes isolert, men heller sees i sammenheng med de rettigheter og forpliktelser som følger av personopplysningsretten. Viktige forutsetninger er således at aktørene som tilbyr identitetsforvaltnings- tjenester forholder seg til personopplysningsrettens roller og tilhørende forplik- telser, og at retten til brukermedvirkning og kontroll sikres gjennom hensikts- messig bruk av teknologi, avtaler og operative rutiner.
2.3.3 Rettspolitisk debatt om personvernøkende teknologi og innebygd personvern Internasjonalt har det i en årrekke vært politisk oppmerksomhet rundt teknolo- giens rolle som en trussel mot personvernet, men også som et mulig hjelpe- middel for å fremme personvernet. Til tross for pionervirksomhet innen pseudo- nyme helseregistre, må det sies at bevisstheten i Norge i forhold til person- vernøkende teknologi har vært nokså lav. Norske myndigheter har i liten grad løftet disse spørsmålene opp på dagsorden, og Datatilsynet har i liten grad arbei- det proaktivt i forhold til utvikling og anvendelse av personvernfremmende tek- nologi. Enkelte datatilsynsmyndigheter, som f eks datatilsynsmyndigheten i den tyske delstaten Schleswig Holstein, det nederlandske datatilsynet (Registratie- kamer), og tilsynsmyndigheten i Ontario, Canada, har utmerket seg med aktivt å forsøke å påvirke teknologiutvikling og -anvendelse. Xxxxx av arbeidet kan karakteriseres som en «strategisk entusiasme» til ny teknologi, hvor deltakelse i forskningsprosjekter og aktiv dialog med IT-industrien gjør det mulig å påvirke aktørenes bevissthet om personvernspørsmål. Slikt arbeid krever ressurser og en klar strategi for hvilken rolle tilsynsmyndigheten skal ha. Personopplys- ningsretten regulerer anvendelse av teknologi for å behandle personopplysnin- ger, og ikke teknologien i seg selv, noe som kan forklare at tilsynsmyndigheter ofte har liten innflytelse på selve teknologiutviklingen.99
99 Se nærmere om forholdet mellom personopplysningsretten og teknologiutvikling i Xxxxx, Xxx- sonvernøkende teknologi og identitetsforvaltning, NOU 2009: 1 Individ og integritet, s 289.
Fra EUs side er det en klar politisk vilje til å fremme personvernøkende teknolo- gi. I forbindelse med evaluering av medlemsstatenes implementering av person- verndirektivet (95/46/EF) i 2003, ble videre satsning på personvernøkende tek- nologi løftet frem som et av satsningsområdene.100 Dette er senere fulgt opp av EU-kommisjonen med en handlingsplan for å fremme personvernøkende tek- nologi101 Kommisjonens strategi er for det første å fremme utvikling av person- vernøkende teknologi, legge incentiver for næringslivets og offentlige myndig- heters anvendelse, samt å heve folk flest sin bevissthet om personvernøkende teknologi og personvernsspørsmål. I forslaget til personvernforordning er det tatt inn en egen bestemmelse om «Data protection by design and by default», se nærmere kapittel 2.3.4.
I Norge er spørsmål knyttet til personvern og personvernøkende teknologi be- rørt i St.meld. nr 17 (2006–2007) («IKT-meldingen»). Av meldingen fremkom- mer det at Regjeringen ønsker å styrke satsningen på personvernøkende tekno- logi. Her er personvernøkende teknologi beskrevet som «Teknologi som støttar opp under personvern i elektronisk kommunikasjon over Internett». Dette er en noe unyansert beskrivelse, da personvernøkende teknologi ikke utelukkende er relevant i forhold til Internett. Beskrivelsen sier heller ikke noe om hvordan tek- nologien kan styrke personvernet. Kryptering nevnes som eksempel på person- vernøkende teknologi. Som nevnt over strides det om kryptering er en sikker- hetsteknologi eller personvernøkende teknologi. Skal man forholde seg til den snevre betydningen av begrepet slik det er formulert av Burkert, bør man som nevnt skille mellom innholdskryptering og kryptering i forbindelse med anony- misering og pseudonymisering. For øvrig fremhever meldingen viktigheten av at det i samfunnet legges til rette for anonyme eller pseudonyme løsninger i sammenhenger der det ikke er nødvendig å identifisere seg (kapittel 8.3.3 «Ret- ten til å være anonym»). I den forbindelse nevnes viktige områder som faller inn under kjerneområdet for personvernøkende teknologi og identitetsforvaltning:
• Pseudonyme løysingar som alternativ til full anonymitet og full identi- fikasjon
• Pseudonyme sertifikat i løysinger for digital signatur der dette er tilstrek- keleg
• Anonyme betalingskort som alternativ til bankkort/kredittkort som er knytte til identitet.
100 European Commission, First report on the implementation of the Data Protection Directive (95/46/EC), Brussel, 2003.
101 European Commission, Communication on Promoting Data Protection by Privacy Enhancing Technologies (PETs), Brussels, 2007.
Det er naturlig å lese meldingen slik at ønsket om å bevare muligheten for ano- nymitet nødvendigvis må legge føringer for utvikling og anvendelse av teknolo- gi.
Også Personvernkommisjonen tar til orde for bruk av teknologi for å ivareta per- sonvernet. Personvernkommisjonen viser til utredningen om «Personvernøken- de teknologi og identitetsforvaltning», og redegjørelsen om personvernøkende teknologi-begrepet som er sammenfallende med redegjørelsen i kapittel 2.3.2 over.102 Etter kommisjonens oppfatning er debatten om avgrensningen av per- sonvernøkende teknologi-begrepet i forhold til blant annet bruk av kryptografi av «primært akademisk interesse». Kommisjonen velger å benytte begrepet
«personvernfremmende teknologier» både om teknologier som ikke spesifikt handler om identitetsforvaltning og om teknologier som gjør dette.103 Kommi- sjonen skiller i sin fremstilling mellom «enkle personvernfremmende teknolo- gier» og «teknologier for identitetsforvaltning».104 Sistnevnte bygger på min utredning «Personvernøkende teknologi og identitetsforvaltning», jf kapittel
2.3.2 over.
Eksempler på «enkle personvernfremmende teknologier», er i følge Personvern- kommisjonen personlig datasikkerhet, dvs tekniske tiltak som i første rekke gjer- ne er knyttet til den enkelte brukers personlige utstyr. Videre oppfordrer kom- misjonen til å vurdere om formålet med overvåkning og kontroll kan oppnås ved hjelp av anonyme alternativer. Dessuten at det skal være mulig å velge ano- nyme løsninger for billettering osv innen f eks samferdsel. Et fjerde og viktig tiltak er søkemotorimmunisering som hindrer søkemotorer å indeksere opplys- ninger som legges ut på Internett. Avslutningsvis peker kommisjonen på at kryptering kan løse personvernkrenkelser knyttet til uautorisert innsyn ved at bare den som er autorisert kan dekryptere og få tilgang til opplysningene. Det vises til profilerte saker i media om lagringsmedia på avveie der personvern- krenkelser kunne vært eliminert dersom det var blitt benyttet kryptering. Kom- misjonen mener derfor det bør være en prioritert offentlig oppgave å ruste opp brukermiljøer som håndterer personopplysninger i riktig og effektiv bruk av kryptering. Videre at det pågående arbeidet med PKI intensiveres.105
102 Xxxxx, Personvernøkende teknologi og identitetsforvaltning, NOU 2009: 1 Individ og integritet, kap 1.2 på s 277-278.
103 NOU 2009: 1 Individ og integritet – Personvern i det digitale samfunnet, s 86.
104 Se NOU 2009: 1 Individ og integritet – Personvern i det digitale samfunnet kap 10.1 «Enkle personvernfremmende teknologier» og kap 10.2 «Teknologier for identitetsforvaltning».
105 NOU 2009: 1 Individ og integritet – Personvern i det digitale samfunnet, kap 11 «Forslag til tiltak», på s 89.
Et lite stykke på vei kan jeg være enig med Personvernkommisjonen i at debat- ten om personvernøkende teknologi-begrepets avgrensning bærer preg av å være en akademisk øvelse. Eksemplene kommisjonen trekker frem er sentrale og praktisk viktige for å fremme personvernet. Eksemplene som gjelder anony- mitet vil etter min oppfatning falle inn under Xxxxxxxx snevre definisjon. Når det gjelder kryptering bemerker også kommisjonen at kryptering bør betraktes som et alternativ til andre personvernfremmende tiltak. Uttalelsene kan sees i lys av at kommisjonen også fremhever personvernfremmende tiltak, dvs pri- mært pseudonymisering eller annen form for identitsbeskyttelse, ved opprettel- se av nye helseregistre. På dette punktet er kommisjonen tilsynelatende enig med meg i at det er en prinsipiell forskjell på å anvende kryptografi for inn- holdskryptering og identitetsforvaltning (pseudonymisering). Mens inn- holdskryptering er strengt nødvendig for å verne mot uautorisert innsyn i opp- lysningene, vil pseudonymisering ved hjelp av en uavhengig identitetsforvalter i tillegg hindre autoriserte personer i å kunne identifisere den opplysningene gjel- der og å foreta ulovlig samkjøring av opplysninger på tvers av registre. Slik jeg ser det er det av denne grunn fremdeles viktig å opprettholde et skille mellom personvernøkende teknologi (i snever forstand) og informasjonssikkerhetstil- tak. Begge er grunnleggende for å ivareta personvernet, men personvernøkende teknologi har potensiale for å fremme personvernet utover tendensene til å ar- gumentere for stadig større opplysningstilfang fordi «informasjonssikkerheten er god nok».106
Personvernkommisjonen peker på at vi i Norge primært kjenner personvernø- kende teknologi fra Boe-utvalgets arbeid, men at det ser ut til at dette arbeidet
«hverken er forstått eller tilfredstillende fulgt opp». Kommisjonen foreslår i den- ne forbindelse et moratorium som innebærer en gjennomgang av eksisterende helseregistre med særlig fokus på personvern før nye helseregistre etableres.107 Av personvernhenyn mener kommisjonen at registeromfanget bør begrenses til det som er nødvendig og at det bør vurderes om ikke pseudonymisering er et tiltak som kan tas i bruk for langt flere helseregistre enn det som er tilfelle i dag.
Kommisjonen foreslår også mer overordnede tiltak for å øke utbredelsen av per- sonvernfremmende teknologi.108 For det første at det ved introduksjon av ny teknologi som hovedregel bør gjennomføres en utredning av teknologiens inn- virkninger på personvernet på lik linje med teknologiens innvirkning på miljø
106 Se nærmere om denne problemstillingen i Xxxxx, Personvernøkende teknologi og identitetsfor- valtning, NOU 2009: 1 Individ og integritet, s 280-281.
107 Se NOU 2009: 1 Individ og integritet – Personvern i det digitale samfunnet, kap 16.6.9 «Gjen- nomgang av dagens helseregistre», på s 184.
108 NOU 2009: 1 Individ og integritet – Personvern i det digitale samfunnet, kap 11 «Forslag til
tiltak», på s 89. 48
og økonomi.109 For det andre understreker kommisjonen viktigheten av at sam- funnet har fokus på teknologiutviklingen og fanger opp tendenser, både når det gjelder personvernfremmende teknologier og teknologier som kan true person- vernet. I denne sammenheng fremheves spesielt Datatilsynets og Teknologirå- dets viktige arbeid med å kartlegge og formidle teknologiutviklingen til politi- kere og publikum.
Meld. St. 11 (2012–2013) «Personvern – utsikter og utfordringer» følger opp man- ge av Personvernkommisjonens anbefalinger. Det uttales blant annet at det bør være et prinsipielt mål om innebygd personvern i alle sektorar, og offentlig styre- makter bør være blant de fremste pådriverne for å realisere dette prinsippet.110
Ifølge meldingen skiller personvernøkende teknologi seg fra innebygd person- vern:
«PETs skil seg frå innebygd personvern på den måten at dei blir implementerte i tekno- logiar, system og praksisar som allereie eksisterer. Dersom ein får på plass innebygd personvern i alle teknologiar og praksisar, har ein ikkje behov for eigne PETs. Mykje talar derimot for at ein i framtida kjem til å trenge begge løysingane.»111
Etter min oppfatning er det uhensiktsmessig å trekke et slikt skarpt skille mellom personvernøkende teknologi og innebygd personvern. Som nevnt i kapittel 2.3.2 angir prinsippene for innebygd personvern først og fremst hvilken metode og til- nærming man bør ha for å utvikle løsninger som ivaretar personvernet. De konkre- te tekniske og organisatoriske tiltakene som kan være aktuelle å benytte har tradi- sjonelt vært omtalt som personvernøkende teknologi. I praksis synes det imidlertid som om begrepene benyttes om hverandre uten klart skille, men at innebygd per- sonvern stadig vinner terreng som overordnet og lettere salgbart begrep.
Meldingen vier for øvrig stor plass til identitetsforvaltning og tar til orde for at det offentlige tar et «sterkere grep» om identitetsforvaltning. I den forbindelse vises til arbeidet med å etablere nasjonalt ID-kort med eID, og at sikker identifi- sering av norske inbyggere er en viktig oppgave for myndighetene, blant annet for å hindre ID-tyveri og Internett-kriminalitet.112
109 Personvernkommisjonen peker her særlig på veilederen til utredningsinstruksen som skal være til hjelp for statlige etater som skal utrede de personvernmessige aspektene av sine for- slag. Se Fornyings- og administrasjonsdepartementet, Veileder til utredningsinstruksen – Vur- dering av personvernkonsekvenser, 2008. Kommisjonen mener videre at en Grunnlovfesting av personvernet vil kunne styrke vektleggingen av personverninteresser i lovgivningsprosessen, jf NOU 2009: 1 Individ og integritet – Personvern i det digitale samfunnet, kap 7.7 og kap 19.
110 Meld. St. 11 (2012–2013), Personvern – utsikter og utfordringer», Oslo (2013), kapittel 9.2.2.
111 Meld. St. 11 (2012–2013), Personvern – utsikter og utfordringer», Oslo (2013), kapittel 9.2.3. 112 Meld. St. 11 (2012–2013), Personvern – utsikter og utfordringer», Oslo (2013), kapittel 9.5.5.
2.3.4 Personvernforordningen om «Data protection by design and by default»
Det er for tidlig å forutsi eksakt hvilke krav som blir stående i den endelige for- ordningsteksten og hvilke konsekvenser dette får i praksis. Basert på forslagene til artikkel 23 som er blitt fremmet av Kommisjonen,113 Parlamentet114 og Rå- det,115 tyder imidlertid alt på at innebygd personvern er en sentral komponent i EUs regulatoriske strategi i møte med utviklingen innen blant annet Big Data, tingenes internett, sosiale medier og skytjenester. Gjennom økte krav til doku- mentasjon (slik vi kjenner fra reglene om internkontroll etter norsk rett) og innebygd personvern (tekniske og organisatoriske tiltak) skal virksomhetene kunne dokumentere etterlevelse av regelverket og personvernet skal være bygget inn i informasjonsystemene.
Kravene til innebygd personvern retter seg primært mot behandlingsansvarlige. Indirekte vil imidlertid reglene rette seg mot leverandører av løsninger som opptrer som databehandlere fordi de behandlingsansvarlige kundene gjennom anskaffelser og anbudskonkurranser vil måtte stille krav til løsninger som kun- dene lovlig kan benytte. Leverandører som kan skilte med gode løsninger for innebygd personvern vil her blir foretrukket.
Når det gjelder hvilke tiltak som må implementeres vil dette bero på en konkret helhetsvurdering. Et bærende element i forslaget til forordning er at kostnader og byrder skal stå i forhold til personvernrisikoen. Dersom personvernrisikoen er stor vil det tilsvarende stilles skjerpede krav til innebygd personvern. De nær- mere kravene til innebygd personvern vil dermed avhenge av en avveining av blant annet følgende momenter:
• Personvernrisikoen (type behandling, omfang, kontekst, formål og risiko for personvern)?
• Tilgjengelige personvernøkende teknikker
• Kostnader med å implementere tiltakene
113 Commission proposal for a General Data Protection Regulation, COM(2012) 11 final, 25. ja- nuar 2012.
114 European Parliament legislative resolution on the proposal for a General Data Protection Re- gulation, 2012/011(COD), 12. mars 2014.
115 Council of the European Uninon proposal for at General Data Protection Regulation, 2012/011 (COD), 11. juni 2015.
Det fremgår av forslagene at kravene til innebygd personvern gjelder tekniske og organisatoriske tiltak som særlig skal sørge for dataminimalitet. Tiltakene skal være «by default», det vil se at standardinnstillingene skal være personvern- vennlige og at det ikke skal være nødvendig å endre innstillinger i løsningen for at personvernet skal bli ivaretatt. Slike tekniske og organisatoriske tiltak vil blant annet være relevante for å sikre at det bare samles og behandles person- opplysninger som er relevante for hvert formål. Mer konkret innebærer dette at det man gjennom tekniske og organisatoriske tiltak begrenser:
• Omfanget av opplysninger som samles inn
• Muligheten til å identifisere den opplysningene gjelder (gjennom ano- nymisering eller bruk av pseudonymer)
• Omfanget av behandlingen av opplysningene
• Lagringstiden
• Tilgangen til dataene
Forslaget til artikkel 23 inneholder også en regel om at det skal benyttes tekniske og organisatoriske tiltak for å hindre uautorisert spredning for et udefinerbart antall mennesker. Hensikten er at den enkelte bruker skal ha kontroll på spred- ningen av egne personopplysninger. En slik bestemmelse kan antakeligvis være særlig relevant for sosiale medier og andre kommunikasjonstjenester hvor det er viktig å ha kontroll på hvem som får tilgang til opplysninger.
Det er ventet at EU-kommisjonen vil få fullmakt til å gi nærmere regler, og det kan legges til rette for sertifisering på at de tiltak virksomheten har implemen- tert dekker forordningens krav til innebygd personvern.
2.3.5 Grunnleggende prinsipper for innebygd personvern
Som nevnt i forbindelse med bakgrunnen for innebygd personvern har det in- ternasjonalt de senere årene blitt oppslutning om 7 grunnprinsipper for utvik- ling av innebygd personvern.116 Prinsippene har også vært utgangspunktet for Datatilsynets informasjonsarbeid på området.117
De 7 prinsippene angir hvilken tilnærming og metode man bør ha for å bygge personvernet inn i tekniske løsninger. Prinsippene retter seg særlig mot virk- somheter som utvikler løsninger, men også virksomheter som skal implemente- re slike i virksomheten.
116 Se xxxxx://xxx.xxxxxxxxxxxxxxx.xx/xxxxx.xxx/xxxxx-xxx/0-xxxxxxxxxxxx-xxxxxxxxxx/.
117 Se xxxx://xxx.xxxxxxxxxxxx.xx/Xxxxxxxxx/Xxxxxxxx-xxxxxxxxxx/.
1. Vær i forkant, forebygg fremfor å reparere
Et grunnleggende prinsipp for innebygd personvern er at man tar hensyn til personvernet tidlig i utviklingsprosessen for løsningen. Dersom man venter med å vurdere de personvernmessige aspektene ved løsningen til den er ferdig utviklet vil det ofte være vanskeligere og dyrere å få på plass tiltak som gjør be- handlingen lovlig og/eller mest mulig personvernvennlig.
I større prosjekter kan det være hensiktsmessig eller kanskje påkrevd å gjøre en konsekvensanalyse (privacy impact assessment). Sentralt i en slik analyse er å iden- tifisere hvilke konsekvenser løsningen vil ha for den enkeltes personvern og hva som vil være hensiktsmessige tiltak for å sikre personvernet på en best mulig måte.
2. Gjør personvern til en standardinnstilling
For at innebygd personvern skal være effektivt må standardinnstillingene i løs- ningen være personvernvennlige. Dette prinsippet går altså ut på at det ikke skal være nødvendig for brukeren eller administrator å endre innstillinger eller opp- sett i løsningen for at personvernet skal ivaretas. Dette omtales gjerne som at personvern skal være «by design» and «by default».
3. Bygg personvern inn i designet
Dette prinsippet går ut på at personvernet skal være en integrert del av løsnings- designet, og ikke som tilleggsfunksjonalitet som legges til senere. Personvern bør med andre ord være en av kjerneegenskapene ved systemet, uten at dette går over funksjonaliteten til systemet.
4. Skap full funksjonalitet
I arbeidet med innebygd personvern er det viktig å tilstrebe å ivareta både virk- somhetens og brukernes interesser. Bakgrunnen for prinsippet er å unngå uhel- dige forestillinger om at det ikke er mulig å ivareta personvernet uten at dette går på bekostning av virksomhetenes interesser og behov, eller at personvern- hensyn må vike for hensynet til sikkerhet. I mange tilfeller er det gjennom inne- bygd personvern mulig å ivareta slike legitime hensyn på en god måte. I arbeidet med innebygd personvern bør tilnærmingen altså være både-og, fremfor en- ten-eller.
5. Ivxxxxx xnformasjonssikkerhet fra start til slutt
Innebygd person bør ivareta informasjonssikkerheten fra opplysningene samles inn og helt til de slettes. Dette innebærer at det bør være god informasjonssik- kerhet for hele livssyklusen for opplysningene, inkludert innsamling, elektro- nisk overføring, lagring, behandling og sletting. Prinsippet understreker at in- formasjonssikkerhet er grunnleggende for å ivareta personvernet og at man bør ha en helhetlig tilnærming til innebygd personvern og informasjonssikkerhet.
Prinsippet innebærer at man bør tilstrebe åpenhet om hvordan personopplys- ninger behandles. Dette innebærer blant annet å gi god informasjon om be- handlingen, legge til rette for innsyn samt mulighet for å kontrollere at løsnin- gen ivaretar personvernet slik leverandøren oppgir.
7. Respekter brukeren personvern
Sist, men ikke minst, er det et grunnleggende prinsipp for innebygd personvern at man ved utvikling og design av løsninger har respekt for brukerens person- vern. På mange måter er dette et overordnet prinsipp som gir føringer for de andre prinsippene. Konkret innebærer dette at man blant annet gir brukernes personvern høy prioritet ved de ulike designvalg og at man blant annet sørger for god informasjonssikkerhet, god informasjon og at brukeren gis mest mulig kontroll over bruken av egne personopplysninger.
2.4 Personvern og personopplysningsrett
Personopplysningsloven utgjør det sentrale utgangspunktet for analyse av de per- sonvernrettslige aspektene ved identitetsforvaltning. Loxxx xrådte i kraft 1. januar 2001, og ble vedtatt som ledd i implementeringen av EUs personverndirektiv 95/46/ EF.118 Personopplysningsloven avløser personregisterloven av 9. juni 1978, og inne- bærer prinsipielt sett en ny regulatorisk strategi. Mens den tidligere loven primært regulerte opprettelse og bruk av personregistre, er personopplysningslovens hoved- fokus på elektronisk behandling av personopplysninger. Viktige bestemmelser med hensyn til personvern i elektronisk kommunikasjon finnes også i ekomloven, som blant annet gjennomfører EUs kommunikasjonsverndirektiv 2002/58/EF.
Personopplysningslovens overordnede formål er å beskytte den enkelte mot at personvernet blir krenket gjennom behandling av personopplysninger. Formå- let konkretiseres i § 1 (2), hvor det heter at loven skal «bidra til at personopplys- ninger blir behandlet i samsvar med grunnleggende personvernhensyn, her- under behovet for personlig integritet, privatlivets fred og tilstrekkelig kvalitet på personopplysninger».
Formålsbestemmelsen har to hovedfunksjoner. Den gir for det første uttrykk for lovens overordnede målsetning. For det andre vil bestemmelsen i seg selv være en sentral tolkningsfaktor ved anvendelsen av lovens øvrige regler. I følge forar- beidene vil det for eksempel ved skjønnsmessige avveininger være naturlig å
118 Personopplysningslovens forarbeider finnes i NOU 1997: 19 Et bedre personvern, Ot prp nr 92 (1998-99) og Innst O nr 51 (1999–2000).
legge vekt på lovens formål om å ivareta «grunnleggende personvernhensyn». Grunnleggende personvernhensyn er i følge forarbeidene en henvisning til fest- nede rettsoppfatninger om personvern slik disse blir nedfelt i praksis fra dom- stoler, rettsteori og administrative avgjørelser.119
For å kunne forstå personopplysningsrettens formål og hva som nærmere menes med «grunnleggende personvernhensyn», er det hensiktsmessig å se nærmere på sentrale begreper og den juridisk-faglige teori som er blitt utviklet for å be- skrive de hensyn og interesser som personopplysningsretten skal ivareta (kapit- tel 2.4.1 og 2.4.2).
Norsk personopplysningsrett bygger i stor grad på internasjonal lovgivning. Det er derfor nødvendig å ha kjennskap til disse internasjonale instrumentene (kapittel 2.4.3), og særlig til EUs personverndirektiv som i stor grad legger premissene for personopplysningslovens grunnprinsipper og begreper (kapittel 2.4.4). Redegjø- relsen vil vise at EU-retten er i stadig utvikling, og senere års traktatfesting og av- gjørelser fra EU-domstolen gjør det nå klart at personverndirektivet skal tolkes i lys av Den europeiske menneskerettsdomstols (EMDs) avgjørelser etter Den euro- peiske menneskerettskonvensjon (EMK) art 8. Videre fremgår det at personopplys- ningsvern (data protection) og personvern (privacy) nå anerkjennes som to distink- te og selvstendige grunnrettigheter. Denne utviklingen bidrar til å klargjøre formålet med personopplysningsretten, men reiser samtidig nye problemstillinger om forholdet mellom menneskerettighetene, felleskapsretten og nasjonal rett.
Avslutningsvis presenteres grunnleggende personopplysningsvernprinsipper som ligger til grunn for norsk og internasjonal personopplysningsrett (kapittel 2.4.6). Prinsippene vil bli referert til og anvendt i de senere rettslige analyser.
2.4.1 Sentrale begreper – personvern og personopplysningsvern
Hvordan man best kan definere hva personvern gjelder har vær gjenstand for debatt internasjonalt såvel som i Norge. Analyser av den omfattende internasjo- nale litteraturen på området viser at forsøk på definisjon eller karakteristikk kan knyttes til fire hovedlinjer.120
En første karakteristikk formulerer personvern som «uforstyrret privatliv» (non-inter- ference). En slik karakteristikk fikk oppslutning i kjølevannet av Waxxxx xnd Brxxxxxx xerømte artikkel hvor de argumenterte for at retten til personvern i anglo-amerikansk common law er del av «a right to be let alone».121 Dette samsvarer godt med hvordan
119 Jf Ot prp nr 92 (1998-99), s 101 og NOU 1997: 19 Et bedre personvern, s 130.
120 Se f eks Xxxxxxx, Data protection law: approaching its rationale, logic and limits, The Hague 2002, kapittel 7.
121 Waxxxx xg Brxxxxxx, «The Right to Privacy», Harvard Law Review, 4, 1880, s 193-220.
man i Sverige har definert «personlig integritet». En annen, og nærliggende karakteris- tikk, som særlig har blitt artikulert av Ruxx Xxxxxxx xer på personvern som en tilstand knyttet til «begrenset tilgang» (limited accessibility).122 Graden av personvern i denne tilnærmingen bygger gjerne på tre elementer: «secrecy» – i hvilken grad vi er kjent for andre, «solitude» – i hvilken grad andre har fysisk tilgang til oss, og «anonymity» – i hvilken grad vi er gjenstand for andres oppmerksomhet. Den tredje og mest innflytel- sesrike definisjonen er formulert av Xxxx Xxxxxx xom definerer personvern som infor- masjonskontroll – eller informasjonsmessig selvbestemmelse: «Privacy is the claim of individuals, groups, or institutions to determine for themselves when, how, and to what extent information about them is communicated to others».123 En fjerde hovedkategori av karakteristikker knytter personvern utelukkende til de aspekter ved personers liv som er intime og/eller sensitive. Et eksempel på dette er Xxxxx Xxxxxx xom definerer per- sonvern som «the state of pocessing control over a realm of intimate decisions, which includes decisions about intimate access, intimate information, and intimate actions».124 I følge Inxxxx xil det altså bare skje et tap av personvern dersom opplysninger knyttet til sensitive eller intime personlige opplysninger blir utlevert mot den enkeltes ønske.
I norsk juridisk teori har personvern tradisjonelt vært definert som vernet om den enkeltes interesse i å kunne kontrollere behandlingen av opplysninger om seg selv, særlig i forbindelse med «masseforvaltningens» storskalabruk av edb.125 Begrepet ble introdusert av forskermiljøet knyttet til Avdeling for EDB-spørs- mål ved Institutt for privatrett ved Universitetet i Oslo tidlig på 1970-tallet. Fra tidligere hadde uttrykket «personlighetens rettsvern» en viss hevd i norsk rett- steori. Det ble brukt som en samlebetegnelse på spredte rettsregler av noe ulik karakter, bl a injurielovgivningen (straffeloven §§ 246 og 247), straffelovens be- skyttelse av «privatlivets fred»126 (straffeloven §§ 390 (og 390a)), vern om eget bilde (åndsverksloven § 45 c) og det ulovfestede personvern som kom til uttrykk i dommen om to mistenkelige personer (Rt 1952 s 1217).
Da innføringen av datateknologi i offentlig og privat sektor aktualiserte behovet for ny lovgivning, var det nærliggende å tenke seg at man kunne adoptere denne terminologien. Professor Xxxx X. Xxxxxx, daværende bestyrer for Avdeling for
122 Gaxxxxx, «Privacy and the Limits of Law», Yale Law Journal, 89, 1980, s 421-471, på s 428-436. 000 Xxxxxx, Xxxxxxx and Freedom, New York 1967, s 7.
124 Inness, Privacy, Intimacy, and Isolation, New York/Oxford 1992, s 140.
125 Jf Schartum og Xxxxxxx, Personvern i informasjonssamfunnet: en innføring i vern av person- opplysninger, Bergen 2004, s 13 med videre henvisning til Blekeli og Sexxxx (red), Data og personvern, Oslo 1977.
126 Bestemmelsen, som setter straff for den som «krenker privatlivets fred ved å gi offentlig med- delelse om personlige eller huslige forhold», ble innført av Xxxxxxxx Xxxx xllerede i utkastet til straffeloven fra 1890-årene. Selv om foranledningen for bestemmelsen er ukjent, er den nær beslektet med den regelen som amerikanerne Xxxxxx X. Xxxxxx xg Loxxx X. Xrxxxxxx xorfek- tet i sin berømte artikkel Waxxxx xg Brxxxxxx, «The Right to Privacy», Harvard Law Review, 4, 1880, s 193-220. Se omtale i Bixx, Personvern i faresonen, Oslo 1991, s 4 og Bing, «Myten om Waxxxx xg Brandeis», Lov&Data, 89, 2007, s 18–19.
EDB-spørsmål, peker på to grunner til at man ikke gjorde dette: ««Beskyttelsen av personligheten» omfattet klart elementer som ikke ville komme inn under en slik lovgivning, og uttrykket var dessuten for langt og for utflytende til å kunne fungere som stikkord.» Om valget av betegnelsen «personvern» uttaler Selmer
«er bare å si at utrykket en dag kom flytende på en fjøl. Da det først var lansert, slo det an, og ble raskt tatt i bruk av deltagerne i debatten.»127
Det nærmere innholdet i begrepet personvern har imidlertid vært uklart, og utover på 80- og 90-tallet har begrepet også blitt vanlig å benytte utover den opprinnelige betydningen knyttet til moderne informasjonsbehandling. Per- sonvernkommisjonen beskriver denne utviklingen og påpeker, med henvisning til blant annet Schartum og Xxxxxxx, at personvernbegrepet nærmest er blitt
«synonymt med personlig integritet».128 Kommisjonen antar at denne utviklin- gen «delvis skyldes begrepets etymologiske røtter og delvis diffuse konturer».129
For å bringe personverndebatten fremover og av pedagogiske hensyn tar Per- sonvernkommisjonen derfor til orde for innføringen av et formelt skille mellom personvern og personopplysningsvern. Kommisjonen viser til at det er i senere år er argumentert for et slikt skille i juridisk teori,130 i offentlige utredninger131 og at et slikt skille vil bringe norsk rett i bedre samsvar med den internasjonale utviklingen, særlig EU-retten.
Personvernkommisjonen gir følgende definisjon av personvern og personopp- lysningsvern:
«Personvern dreier seg om ivaretakelse av personlig integritet; ivaretakelse av enkelt- individers mulighet for privatliv, selvbestemmelse (autonomi) og selvutfoldelse. Ek- sempel på en personvernbestemmelse er vernet av privatlivets fred i straffeloven § 390.
127 Xxxx X. Xxxxxx x Djxxxx xt al., Personregisterloven med kommentarer, Oslo 1987, s 12. Det var også begrepet personvern som ble benyttet i de første utredningene om innføring av datamas- kinteknologi i norsk forvaltning. Se NOU 1974: 22 Persondata og personvern (Sandvikutval- get) og NOU 1975: 10 Offentlige persondatasystem og personvern (Seiputvalget).
128 NOU 2009: 1 Individ og integritet – Personvern i det digitale samfunnets 32 med henvisning til Schartum og Xxxxxxx, Personvern i informasjonssamfunnet: en innføring i vern av person- opplysninger, Bergen 2004, s 13.
129 NOU 2009: 1 Individ og integritet – Personvern i det digitale samfunnets 31.
130 Kommisjonen viser her til Schartum og Xxxxxxx, Personvern i informasjonssamfunnet: en inn- føring i vern av personopplysninger, Bergen 2004, s 13 flg. En annen forfatter som tidlig argu- menterte for et slikt skille var Xxxx Xxxxxx Xxxx, se Berg, «Personopplysningsvern i et nytt årtu- sen – kritikk av personopplysningslovproposisjonen», Kritisk Juss, 26, 2000, s 351-377.
131 Fornyings- og administrasjonsdepartementet, Eit informasjonssamfunn for alle, 2006, s 130 flg.
Personopplysningsvern dreier seg om regler og standarder for behandling av person- opplysninger som har ivaretakelse av personvern som hovedmål. Reglenes formål er å sikre enkeltindivider oversikt og kontroll over behandling av opplysninger om dem selv. Med visse unntak skal enkelpersoner ha mulighet til å bestemme hva andre skal få vite om hans/hennes personlige forhold. Det er denne delen av personvernretten som er underlagt den mest omfattende lovregulering i for eksempel personopplys- ningsloven, helseregisterloven, regler om taushetsplikt og så videre.»132
Jeg er enig med Personvernkommisjonen i at det er hensiktsmessig å skille mel- lom personvern og personopplysningsvern, og jeg kommer derfor til å legge kommisjonens definisjoner til grunn for den videre fremstilling. I tillegg til den pedagogiske betydningen for den tverrfaglige og almenne personverndebatt, vil jeg dessuten understreke at et slikt skille er grunnleggende for å forstå EU retten som i dag utgjør det viktigste normative grunnlaget for norsk personopplys- ningsrett. Se nærmere om skillet mellom personvern/privatlivets fred («pri- vacy») og personopplysningsvern («data protection») i EU-retten i kapittel 2.4.4.
2.4.2 Personvernteori
Når man i de første arbeidene med personvernspørsmål på 1970-tallet valgte å ikke forfølge doktriner om personlighetens rettsvern, var spørsmålet hvordan man skulle analysere de nye utfordringene man sto overfor.
For det første valgte man å hente inspirasjon fra forvaltningsretten, hvor det var nærliggende å se på bruk av personopplysninger som grunnlag for beslutninger som gjelder den enkelte. For det andre anså man det som viktig å se konkret på hvordan systemer for behandling av personopplysninger og bruk av IKT påvir- ket relasjonen mellom individet og andre samfunnsaktører. Ikke minst ble det gjort anstrengelser for å systematisere hvilke personverninteresser som kunne tenkes å gjøre seg gjeldende og som derfor burde hensyntas i regelverk og kon- krete interesseavveininger der personvernhensyn må avveies mot andre interes- ser.133
Disse første forsøkene på å systematisere personvernspørsmålene som innførin- gen av IKT og systematisk behandling av personopplysninger aktualiserte, skul- le vise seg å være en nyttig plattform for den videre personverndebatten. Senere har tilnærmingen til personvernet i form av perspektiver og interesser blitt vide- reutviklet i utredninger til den sentrale personvernlovgivningen og i juridisk-
132 NOU 2009: 1 Individ og integritet – Personvern i det digitale samfunnet, s 32.
133 Se blant annet Saxxxxxxx, Statlige databanker og personlighetsvern, Oslo 1972; Blekeli og Sel- mer (red), Data og personvern, Oslo 1977 og Xxxx X. Xxxxxx i innledning til Djønne m fl., Personregisterloven med kommentarer, Oslo 1987.
faglig teori.134 I nyere fremstillinger av personvern og personopplysningsrett beskrives personvernet gjerne ut fra tre ulike perspektiver – integritetsperspek- tivet, beslutningsperspektivet og maktperspektivet – samt gjennom den såkalte interessemodellen.
I den videre fremstillingen vil disse teoretiske utgangspunktene bli anvendt som utgangspunkt for å analysere de sentrale personvernspektene som gjør seg gjel- dende i forhold til elektronisk samhandling og identitetsforvaltning.
2.4.2.1 Integritetsperspektiv på personvern
I nyere fremstillinger av integritetsperspektivet er altså ikke hovedhensikten å forsøke å lage en uttømmende oversikt over ulike sfærer med ulik sensitivitet. Siktemålet er heller å synliggjøre at personvernet omfatter mangeartede former for integritet. Schartum og Xxxxxxx illustrerer dette ved å sondre mellom fem ulike typer av integritet.136 Territorial integritet gjelder behovet for respekt for visse fysiske områder som anses som private, typisk gjelder dette den enkeltes hjem. Kroppslig integritet omfatter forhold og handlinger som kan oppfattes som krenkende i forhold personers fysiske legeme. Psykisk integritet omhandler ulike typer krenkelser som kan ramme den enkeltes selvbilde, omdømme eller andre alvorlige følelsesmessige belastninger. Kommunikasjonsintegritet gjelder respekt for andres kommunikasjon, og retter oppmerksomhetern mot krenkelser som gjelder brevbrudd, lesning av e-post eller annen avlytting. Informasjonsintegri- tet omhandler individets informasjonsmessige selvbestemmelse der individets
134 Se blant annet NOU 1993: 22 Pseudonyme helseregistre; NOU 1997: 19 Et bedre personvern; Bing, Personvern i faresonen, Oslo 1991; Føyen, Utredning om endringer i personregisterloven, Complex 1/83; Xxxxxxx, Data protection law: approaching its rationale, logic and limits, The Hague 2002; Raxxxxxxx, Kommunikasjonsrett og taushetsplikt i helsevesenet, Ålesund 1997 og Schartum og Xxxxxxx, Personvern i informasjonssamfunnet: en innføring i vern av personopp- lysninger, Bergen 2004.
135 Se Xxxxxxx 2002 s 131-132, 139 og Raxxxxxxx, Kommunikasjonsrett og taushetsplikt i helse- vesenet, Ålesund 1997, s 55-56.
136 Schartum og Xxxxxxx, Personvern i informasjonssamfunnet: en innføring i vern av personopp- lysninger, Bergen 2011, s 27-28.
ønske om å hindre utveksling av informasjon til andre bør respekteres. Det er primært sistnevnte kategori personopplysningsretten tar sikte på å verne.137
Personvernkommisjonen introduserer ytterligere en viktig kategori, nemlig kontekstuell integritet. Med henvisning til Nixxxxxxxx xiser kommisjonen til at de fleste mennesker har oppfatninger om hvilken informasjon som er relevant eller passende i forskjellige sammenhenger.138 Med kontekstuell integritet menes at man «stiller krav om at normer for hva som er relevant informasjon i ulike kontekster skal respekteres».139
I forhold til identitetsforvaltning er det de tre sistnevnte former for integritets- krenkelser (kommunikasjons-, informasjons- og kontekstuell integritet) som er mest aktuelle.
2.4.2.2 Beslutningsperspektivet – personopplysninger som beslutnings grunnlag
Beslutningsperspektivet retter oppmerksomheten mot situasjoner hvor person- opplysninger danner grunnlaget for beslutninger som gjelder den enkelte. Per- spektivet synliggjør betydningen av at personopplysningene og behandlingen av disse er av tilstrekkelig kvalitet for at det skal treffes riktige og forsvarlige beslutninger. Fokuset på beslutningsgrunnlag og forholdene knyttet til konkre- te beslutninger synliggjør at personvernet på dette punktet i stor grad overlap- per med grunnleggende forvaltningsrettslige prinsipper og rettsikkerhetsbe- traktninger.
Det er imidlertid ikke alltid at personvernspørsmål kan knyttes til beslutninger som gjelder den enkelte, og beslutningsperspektivet vil da komme til kort. Ek- sempelvis gjelder dette opprettelsen av registre som har et misbrukspotensiale ved at registrerte opplysninger kan utveksles uten den registrertes viten og kon- troll.140
Med hensyn til identitetsforvaltning vil beslutningsperspektivet innebære opp- merksomhet mot de beslutninger som ligger til grunn for etablering av konkre- te identitetsforvaltningsløsninger. Beslutningsperspektivet retter således opp-
137 Se tilsvarende NOU 2009: 1 Individ og integritet – Personvern i det digitale samfunnet.
138 NOU 2009: 1 Individ og integritet – Personvern i det digitale samfunnet, s 36 med henvisning til Nixxxxxxxx, «Protecting Privacy in an Information Age: The Problem of Privacy in Pub- lic», Law and Philosophy, 17, 1998, s 559-596, kap IV «Privacy and contextual integrity».
139 NOU 2009: 1 Individ og integritet – Personvern i det digitale samfunnet, s 36.
140 Se f eks NOU 1993: 22 Pseudonyme helseregistre hvor utvalget påpekte beslutningsperspekti- vets utilstrekkelighet i forhold til vurdering av personvernkonsekvensene av å opprette lands- omfattende helseregistre.
merksomheten mot kvaliteten på de grunnleggende fasene innrullering, løpende autentisering og autorisering som det redegjøres for i kapittel 3.4.2. Dersom kvaliteten på disse prosessene ikke er tilstrekkelig vil dette medføre fare for for- veksling og villedning, og dermed også personvernkrenkelser.
2.4.2.3 Maktperspektivet på personvern
Maktperspektivet retter oppmerksomheten mot konkrete relasjoner og hvilken betydning personopplysninger har for maktforholdet mellom partene i relasjo- nen. I motsetning til beslutningsperspektivet, hvor fokuset er på mer eller min- dre formelle beslutninger, retter maktperspektivet oppmerksomheten mot at det å besitte opplysninger om en annen i seg selv kan være en form for makt.
En slik form for makt er det Raxxxxxxx xaller «forventningsmakt», hvor besit- telse av kunnskap om den registrerte gjør at vedkommende opptrer slik den behandlingsansvarlige ønsker, «uten pålegg, vedtak, trussel eller vold.» Han pe- ker på at ved å signalisere forventninger om en viss opptreden kan den behand- lingsansvarlige binde den registrertes valg.141 Klassiske relasjoner hvor IKT og behandling av personopplysninger kan rokke ved maktbalansen er f eks mellom partene i arbeidslivet, mellom kommersielle aktører og forbrukere, og mellom offentlige myndigheter og borgerne.
Løsninger for identitetsforvaltning vil også være relevant for samhandlingen mellom alle de aktørene som her er nevnt, og vil derfor kunne påvirke maktba- lansen mellom disse. Identitetsforvaltning kan også betraktes som et spørsmål om hvem som skal kunne identifisere hvem, og derfor knyttes til spørsmål om sosial kontroll, overvåkning og profilering som er nært knyttet til maktperspek- tivet.142
2.4.2.4 Interessemodellen
Den såkalte interessemodellen ble opprinnelig utviklet av Blekeli og Sexxxx xid- lig på 1970-tallet, og har senere blitt videreutviklet gjennom utredningsarbeid og teori. Den første versjonen av interessemodellen formulerte fire interesser: diskresjon, innsikt og deltakelse, borgervennlig administrasjon, samt å unngå overdreven kontroll og uhjemlet maktbruk. De to første interessene var formu- lert som individuelle interesser, altså interesser som den enkelte antas å ha, mens de to sistnevnte er mer overordnede samfunnsinteresser som personvernet an- tas å ivareta.
141 Se Raxxxxxxx, Kommunikasjonsrett og taushetsplikt i helsevesenet, Ålesund 1997, s 61.
142 Se f eks Burkert som understreker betydningen av å vurdere styrkeforholdet mellom partene ved implementering av teknologier for anonymisering eller identifisering. Se Burkert, «Pri- vacy-enhancing technologies: typology, critique, vision», I: Technology and privacy: the new landscape, Agre og Rotenberg (red), 1997, på s 130-131.
Den mest omfattende versjonen av modellen er utarbeidet av Schartum og By- grave. Forfatterne opererer med fem interesser og hele atten krav som utledes av interessene. Det er ikke hensiktsmessig å redegjøre for alle disse interessene og kravene her. Det kan også diskuteres hvor detaljert en slik interessemodell bør gjøres for å være fruktbar som analyseredskap for identifisering av personvern- interesser. En for detaljert interessemodell vil etter min oppfatning kunne stå i fare for å bli for tung og uhåndterlig til at den kan virke som et klargjørende og pedagogisk verktøy for analyse av personvernspørsmål. De formulerte person- verninteressene bør kanskje heller ses på som et utgangspunkt, eller en huskelis- te, over interesser som erfaringsvis har gjort seg gjeldende og som fremdeles er aktuelle i dagens samfunn.143 Interessemodellens potensiale ligger særlig i dens anvendelse på konkrete personvernspørsmål – det være seg tolkning av gjelden- de rett, regelverksutvikling eller systemutvikling – hvor modellen synliggjør personverninteresser som typisk gjør seg gjeldende. Samtidig bør ikke modellen anses som statisk eller låst til gitte verdier. Tvert imot bør modellen først og fremst være et utgangspunkt, og man bør alltid vurdere om det er andre interes- ser som er aktuelle. Dersom modellen på et generelt grunnlag gjøres for omfat- tende, kan den gi inntrykk av å være uttømmende med hensyn til de personver- ninteresser som gjør seg gjeldende.
Interessemodellen stiller ikke opp de mange mothensynene som kan trekke i en annen retning enn personverninteressene. Det ville være bortimot en umulig oppgave å liste opp slike hensyn. I mange tilfeller er det også naturlig å anta at mothensyn som f eks kriminalitetsbekjempelse, sikkerhet, effektiv saksbehand- ling etc vil være lettere å identifisere og formulere enn de involverte personver- ninteressene. Denne kjensgjærningen peker også på interessemodellens styrke: mens tiltak som griper inn i personvernet kan fremstå som legitime og viktige, kan det være vanskeligere å identifisere de personvernmessige mothensynene. Disse kan i mange tilfeller fremstå som mer vage og udefinerbare. Det kan der- for ligge en egenverdi i å forsøke å identifisere og formulere de personvernhen- synene som er aktuelle.
Hvor tunge personverninteresser som gjør seg gjeldende vil blant annet bero på hva slags opplysninger det er tale om (sensitivitet), omfang, antallet personer som omfattes, behandlingsformål, lagringsform, lagringstid, etc.144 Mens in- teressemodellen er et verktøy for å identifisere personverninteresser, sier den ikke noe om hvordan personverninteresser og andre interesser skal avveies mot
143 Se tilsvarende NOU 1997: 19 Et bedre personvern, s 26 andre spalte og Schartum og Xxxxxxx, Personvern i informasjonssamfunnet: en innføring i vern av personopplysninger, Bergen 2011, s 79-80.
144 Se eksempler på slike vurderinger i NOU 1993: 22 Pseudonyme helseregistre, s 132-135 og Raxxxxxxx, Kommunikasjonsrett og taushetsplikt i helsevesenet, Ålesund 1997, s 62-72.
hverandre. Nå er det heller ikke slik at personvernhensyn alltid vil stå i motstrid til andre hensyn. I mange tilfeller vil ivaretakelse av personvernhensyn også være egnet til å fremme andre hensyn. På et generelt grunnlag vil ivaretakelse av personvernhensyn kunne fremme tilliten til de fleste former for behandling av personopplysninger. Videre vil f eks hensynet til opplysnings- og behandlings- kvalitet også kunne fremme kvaliteten i saksbehandlingsarbeid, kriminalitets- bekjempelse osv.
2.4.2.4.1 Interessen i selvbestemmelse
Interessen i å bestemme over tilgangen til opplysninger om egen person ligger nært opp til klassiske definisjoner på personvern. Wexxxx xormuler f eks personvern (privacy) som «the claim of individuals, groups, or institutions to determine for themselves when, how, and to what extent information about them is communi- cated to others». Interessen synliggjør xxx personvern som et spørsmål om au- tonomi og selvbestemmelse som grunnleggende for et liberalt samfunn. I for- bindelse med elektronisk samhandling og identitetsforvaltning kan denne interessen konkretiseres nærmere til en interesse i anonymitet og forholdsmes- sig identifisering. I dette ligger at den enkelte selv bør kunne ha kontroll på hvil- ke handlinger og transaksjoner som kan knyttes til brukeren. For at en slik interesse skal bli realisert må den nødvendigvis legge føringer for teknologiut- vikling og -anvendelse. En hensiktsmessig systematikk kan her være å skille mellom det jeg i kapittel 3.2.3 kaller transaksjonsfasen – dvs situasjoner hvor brukeren selv har initiativet og kan velge å benytte en tjeneste eller gjennomføre en transaksjon – og videre behandling som retter oppmerksomheten mot det som skjer med opplysninger som er innsamlet.
I transaksjonsfasen vil flere forhold ha betydning for brukerens kontroll over egne opplysninger. For det første vil det være avgjørende at det ikke skjer en ubevisst eller «usynlig» identifisering av brukeren gjennom dennes handlinger. For det andre vil det kunne være en forutsetning for realisering av interessen at brukeren har valgfrihet og kan forbli anonym inntil identifisering er nødvendig. For det tredje kan interessen realiseres ved forholdsmessig (kontekstilpasset) identifisering og autentisering. Dette innebærer at man først stiller spørsmål om hvilken rolle eller egenskap som skal autentiseres, og deretter legger til rette for tilstrekkelig sterk autentisering av dette forhold.145
Forholdet mellom autentisering og interessen i selvbestemmelse over egne opp- lysninger er ambivalent. På den ene siden vil for svak autentisering medføre ri- siko for personvernkrenkelser på grunn av faren for utilsiktet eller tilsiktet for- veksling eller villedning. På den annen side, er det blitt hevdet, vil sterk
145 Se nærmere om hva som skal autentiseres og autentiseringsstyrke i kap 3.5.
autentisering av en og samme identitet i ulike kontekster potensielt føre til min- dre kontroll over egne opplysninger fordi bruk av unike identifikatorer letter muligheten for å samkjøre opplysninger på tvers av disse kontekstene.
Når det gjelder den videre behandlingen av opplysningene som er registrert eller innsamlet (fasen videre behandling), vil brukerens muligheter til kontroll være begrenset. Regler om formålsbestemthet, taushetsplikt og sletteplikt vil kunne ivareta den registrertes interesse i at opplysingene ikke anvendes til uforenlige formål eller ikke utleveres til andre. Imidlertid vil ikke dette være noen garanti for at ikke opplysningene kan misbrukes. Av den grunn er det relevant å se nær- mere på de forhold som gjelder identifisering og autentisering i transaksjonsfa- sen. Dersom opplysningene som er lagret er anonyme eller pseudonyme, vil den registrerte i større grad kunne ha tillitt til at opplysningene ikke kan misbrukes. Videre kan virksomheten selv gjennomføre tiltak som reduserer muligheten for misbruk av opplysningene. Blandt annet kan man se til at opplysningene slettes når formålet er oppnådd, eller opplysningene kan anonymiseres eller pseudony- miseres slik at autoriserte og eventuelle uautoriserte personer ikke kan knytte de til noen identifiserbar person. I tillegg kommer tradisjonelle sikkerhetstiltak som kryptering og tilgangskontroll, som kan sørge for at bare autoriserte får tilgang til opplysningene og da til legitime formål.
Den tilnærmingen til interessen i selvbestemmelse over egne opplysninger som her er skissert har paraleller til liknende teoretiske interessetilnærminger til personvernet. Xxxxxxx Xxxx har f eks argument for en «kakeskive-teori», hvor den enkelte har en interesse i at ingen aktører får kjenne alle deler av ens person- lighet: «Man vil ha varje tårtbit av sitt liv noga avskild från varje annan – det upplevs som frihet och personlig integritet.»146 Xxxx støtter sitt syn på den tyske juristen Xxxx X. Xxxxxx, som fremhevet «kakeskiveteorien» som et mer fruktbart syn på personvernet enn den tyske sfæresteorien. Xxxxxx tok avstand fra oppfat- ningen om at individet har sfærer som ringer rundt hverandre, med en tiltaken- de beskyttelsesverdighet jo lenger inn mot individet man kommer. Etter hans oppfatning består vårt liv av biter som vi vil holde helt fra hverandre.147 Slike betraktninger overlapper i stor grad med det som ovenfor er omtalt som kontek- stuell integritet.148 Begge tilnærminger er etter min oppfatning fruktbare for å beskrive personverninteressen knyttet til forholdsmessig (konteksttilpasset) identifisering og autentisering i forbindelse med identitetsforvaltning.
146 Anér, Datamakt, Stockholm 1975, s 143.
147 Anér, Datamakt, Stockholm 1975, s 143. Se også Xxxxxxxxx, Kommunikasjonsrett og taushets- plikt i helsevesenet, Ålesund 1997, s 61-62 om kakeskiveteorien og andre interessetilnærmin- ger til personvernet.
148 Se om kontekstuell integritet i kap 2.4.2.1.
2.4.2.4.2 Innsyn og kunnskap
Interessen i innsyn og kunnskap er på mange måter grunnleggende for at den enkelte skal kunne ivareta sine egne interesser. Dersom den enkelte ikke gjøres i stand til å overskue personvernkonsekvensene av å ta i bruk en tjeneste, vil f eks interessen i selvbestemmelse over egne opplysninger (over) bli illusorisk. Schartum og Xxxxxxx viser til at interessen forutsetter, eller stiller krav til, infor- masjon om rettigheter som registrert (rettsinformasjon), innsyn i behandlings- praksis (generelt innsyn) og innsyn i egne opplysninger (individuelt innsyn), samt begrunnelse i tilfeller hvor personopplysinger danner grunnlaget for be- slutninger som gjelder den xxxxxxx.000
Det som i liten grad vies oppmerksomhet er den praktiske utfordringen som ligger i å gi den enkelte relevant informasjon om hvordan bruk av ulike tjenester kan påvirke personvernet. Det ligger et paradoks i det at idealet om autonomi og selvbestemmelse over egne opplysninger legger stort ansvar på den enkelte ved at personopplysninger kan behandles på grunnlag av den enkeltes samtykke. På den ene siden sikrer således samtykkefunksjonen at den enkelte gis valgfrihet med hensyn til hvilke behandlingsformer som godtas. På den annen side kan det i visse tilfeller diskuteres om den enkelte er tilstrekkelig informert slik at behandlingen skjer på et rettferdig og legitimt grunnlag.150
En side av satsningen på personvernøkende teknologi omhandler hvordan in- formasjonsbehandling kan gjøres mer transparent for den enkelte bruker. Dette gjelder særlig hvordan informasjon best kan formidles til brukeren, enten som ledd i oppfyllelse av den generelle informasjonsplikten eller som grunnlag for samtykke. Standardiserte og lagvise personvernpolicyer og maskinlesbare per- sonvernpolicyer er eksempler på dette.151 I forhold til identitetsforvaltning er også den praktiske siden ved informasjonsformidlingen sentral. Eksempelvis kan felles tilgangsløsninger (single sign-on) som tar sikte på å legge til rette for en sømløs brukeropplevelse på tvers av nettsteder gjøre det krevende å gi bruke- ren fullgod informasjon om hvilke opplysninger som utveksles og hvilke aktø- rer som har ansvar for hvilken del av informasjonsbehandlingen.
2.4.2.4.3 Opplysnings- og behandlingskvalitet
Interessen i opplysnings- og behandlingskvalitet handler om interessen den en- kelte har i at opplysninger og behandlingsrutiner er av tilstrekkelig kvalitet i forhold til formålet som søkes oppnådd. Tradisjonelt har utgangspunktet for
149 Schartum og Xxxxxxx, Personvern i informasjonssamfunnet: en innføring i vern av personopp- lysninger, Bergen 2011, s 55-60.
150 Se nærmere om slike betraktninger x Xxxxxxx, «Selvbestemmelse til besvær», Spor, 3, 2000, s 5-7.
interessen vært de tilfeller hvor personopplysninger danner grunnlaget for be- slutninger som gjelder den enkelte. Slik sett har interessen en viss likhet med beslutningsperspektivet på personvern, jf over.
Med hensyn til identitetsforvaltning er det ikke først og fremst beslutninger i tradisjonell forstand som står i fokus. Derimot gir interessen anledning til å se nærmere på den enkeltes personverninteresser knyttet til kvaliteten på de sen- trale prosessene som ligger til grunn for etablering og bruk av identitetsforvalt- ningstjenester. I den forbindelse vil kvaliteten på prosessene innrullering, løpende autentisering og autorisering blant annet ha betydning for sannsynlig- heten for utilsiktet eller tilsiktet forveksling og villedning.152
2.4.2.4.4 Forholdsmessig kontroll
Interessen i forholdsmessig kontroll knytter seg til forhold som tradisjonelt har fått mye oppmerksomhet i personverndebatten, nemlig bruk av opplysinger for kontroll og overvåkningsformål. I Schartum og Xxxxxxx fremheves kontroll som en legitim og nødvendig aktivitet i et demokratisk samfunn. Dette begrunnes bl a i at det er viktig for et demokratisk styre at det er mulig å kontrollere at lovlig fattede vedtak og lover følges. Forfatterne sondrer mellom «kontroll» og «over- våkning». Kontroll brukes om de aktiviteter som gjelder innsamling av informa- sjon for å vurdere om folks handlinger er i samsvar med rettslige og sosiale handlingsnormer. Overvåkning benyttes som en betegnelse på en vedvarende eller systematisk innsamling av opplysninger, ved hjelp av personer, kameraer, bruk av aktivitetslogger, mv.153 Kontroll og overvåkning knyttes gjerne til noe negativt. Det er derfor prisverdig at fremstillingen til Schartum og Xxxxxxx ny- anserer hva kontrolltiltak kan gå ut på, og at hovedvekten legges på kontroll som legitime, og til en viss grad helt nødvendige, tiltak for at samfunnets ulike nor- mer følges og respekteres.154 Dette gjøres blant annet ved å se på forholdsmessig- het mellom (i) veiledning og kontroll, (ii) forhåndskontroll og etterkontroll, (iii) kontroll til de registrertes gunst og ugunst og (iv) ekstern og intern kontroll.
Xxxxxxxx og Xxxxxxxx fremtilling innebærer en ikke helt uvesentlig modifika- sjon av tidligere versjoner av interessen. I de første versjoner av interessemodellen var den formulert som «interessen i å unngå overdreven kontroll eller uhjemlet maktbruk»,155og som «interessen i vern mot maktmisbruk og urimelig kontroll»:
152 Se om disse prosessene i kap 3.4.2.
153 Se Schartum og Xxxxxxx, Personvern i informasjonssamfunnet: en innføring i vern av person- opplysninger, Bergen 2011, s 66-74.
154 Se nærmere om kontrolltiltak i Schartum (red), Overvåkning i en rettstat, Oslo, 2010. Se også bokanmeldelse Xxxxx, Xxxxxx «Overvåkning i en rettstat» (Xxx Xxxxx Xxxxxxxx, red, Fag- bokforlaget 2010), Lov og Rett 1 (2013) s 123-125.
155 Selmer, «Det stramme samfunn», I: Data og personvern, Blekeli og Xxxxxx (red), 1977, på s 28.
«Man frykter den urimelige maktbruk og den utålelige stramme kontroll. Særlig blir det pekt på at myndighetene, ved å samle tilgjengelig informasjon om den enkelte bor- ger, kan danne seg et fullstendig «bilde» av vedkommende og legge dette bildet til grunn ved avgjørelser på alle områder. Slik blir det, hevdes det, umulig for den enkelte å spille forskjellige roller i forhold til de forskjellige myndigheter. Og man frykter at et slikt absolutt sannhetskrav vil bli en tung bør for borgerne i fremtidens samfunn.»156
Beskrivelsen av frykten for maktmisbruk og kontroll gir assosiasjoner til totali- tære og udemokratiske styringsregimer – noe som for de fleste i vår del av ver- den kanskje fremstår som lite sannsynlig. Frykten er dessuten ensidig knyttet til myndighetenes potensielle maktmisbruk. I dag er det kanskje nærliggende å betrakte den innsamling og behandling som gjøres av private aktører som en like stor trussel som det som gjøres i regi av offentlige myndigheter. Er derfor frykten for det «utålelige stramme samfunn» helt avlegs? Jeg tror ikke det. Rik- tignok må bildet nyanseres noe i forhold til at f eks synet på stabile styringsfor- hold og hvilke aktører det er relevant å verne mot har endret seg i samfunnet.
Xxxxxxx relevans har så interessen i forholdsmessig kontroll for identitetsfor- valtning og elektronisk samhandling? Samfunnet beveger seg i retning av stadig mer elektronisk samhandling. Dette medfører et økt informasjonstilfang hos private og offentlige virksomheter, og ikke minst en økende mengde transak- sjonsopplysninger (eller «elektroniske spor») som genereres som følge av bru- kernes små og store gjøremål. For personvernet vil det være avgjørende i hvilken grad slike opplysninger kan knyttes til den enkelte. Interessen i forholdsmessig kontroll retter oppmerksomheten mot det misbrukspotensiale som ligger i det at slike personopplysninger eksisterer og er mer eller mindre tilgjengelig.
Under en slik synsvinkel kan det være grunn til å stille spørsmål ved hvilke trusler som det er relevant å ta i betraktning. Er det bare eksterne aktører og brukere som vil kunne ha en interesse i å misbruke opplysningene, eller utgjør uberettiget tilgang for interne brukere også en trussel? Gir begrensningene som ligger på den lovlige informasjonsflyt, f eks taushetsplikt og formålsbegrens- ning, tilstrekkelig barrierer for bruk av opplysningene? Eller bør man også hen- synta muligheten for at det latente press som eksistensen av opplysningene ut- gjør kan føre til at offentlige myndigheter gir adgang til å benytte opplysningene til nye og isolert sett legitime formål?157
156 Selmer i forordet til Djønne m fl., Personregisterloven med kommentarer, Oslo 1987, på s 15. 157 Et eksempel på slik formålsutgliding er Rt 1990 s 1008 «Fotoboks-kjennelsen», hvor Høyeste-
rett tillot et fotografi tatt i forbindelse med automatisk trafikkontroll bli brukt som bevis i en helerisak. Formålet med registreringen var derimot å hindre trafikkovertredelser.
Interessen gir en foranledning til å se det samlede opplysningsomfang som et hele. På den måten kan man unngå en bit-for-bit-tilnærming hvor hver informa- sjonsinnsamling synes legitim, men hvor summen av kontrolltiltak blir urime- lig.158 Slike betraktninger kom til uttrykk i «bompengering-saken», hvor Person- vernnemnda manet til en mer sektorovergripende debatt om adgangen til å opptre anonymt i samfunnet:
«Personvernnemnda slutter seg fullt ut til Datatilsynets oppfatning av at spørsmålet om retten til å ferdes anonymt på offentlig sted, og ellers til å opptre anonymt i sam- funnet, er et grunnleggende rettspolitisk spørsmål av sentral betydning for personver- net. Det er også et spørsmål som er sektorovergripende. Det fremstår som sterkt ønske- lig at man kunne ta stilling til dette spørsmålet generelt, og ikke bare f eks i forbindelse med bomsystemer. Personvernnemnda er imidlertid henvist til å begrense sin saksbe- handling til en vurdering av den aktuelle klage. Nemnda vil ikke unnlate å bemerke at den oppsplitting i konkrete klager som er nødvendig for prøving av enkeltvedtak ikke må få lov til å erstatte en mer prinsipiell rettspolitisk debatt av den karakter Datatil- synet søker å vekke ved de prinsipielle merknadene til denne saken.»159
Interessen i forholdsmessig kontroll kan på bakgrunn av slike betraktninger gi seg uttrykk i forsiktighets- eller føre-var-holdning til samfunnets samlede registreringsomfang. Forstått på en slik måte vil interessen legge overordnede føringer for hvilken adgang det skal være til å registrere og lagre personopplys- ninger, hvordan de skal lagres og beskyttes, samt til hvilke formål de skal kunne benyttes.
Det er grunn til å fremheve at når man vurderer det samlede registreringsom- fanget og dets misbrukspotensiale som et hele, kommer det såkalte beslutnings- perspektivet på personvern til kort. Det er ikke først og fremst beslutningene som fattes på bakgrunn av opplysningene som her står i fokus. Det er selve opp- rettelsen av ulike typer logger og registre som gir grunn til bekymring og som utgjør et misbrukspotensiale. Av denne grunn bør eventuelle reguleringsstrate- gier primært rette seg mot selve registreringssituasjon, eller transaksjonsfasen, etter min systematikk. I fasen videre behandling kan det også settes inn en rek- ke tiltak for å sikre mot misbruk, men her har misbrukspotensialet allerede opp- stått.
Under interessen i selvbestemmelse er det skissert hvilke tekniske, organisato- riske og rettslige virkemidler som kan benyttes for å redusere muligheten for å knytte ulike transaksjoner til den enkelte bruker, jf om forholdsmessig identifi-
158 Xxx Xxxx har treffende beskrevet en slik utvikling som «de gode hensikters tyrrani». Se Bing,
Personvern i faresonen, Oslo 1991, s 58-60.
159 PVN–2005-11 «Bompengering-saken», pkt 6.5. Se også liknende betraktninger vedrørende eta- blering av sentrale helseregistre i NOU 1993: 22 Pseudonyme helseregistre, s 46, høyre spalte.
sering og autentisering. Slike virkemidler vil også være relevant her som en stra- tegi for å begrense mengden identifiserbare transaksjonsopplysninger og ellers redusere opplysningenes misbrukspotensiale. I forhold til identitetsforvaltning kan det være særlig grunn til rette fokus mot identitetsforvalteres tilgang til opp- lysninger. På den ene siden vil identitetsforvaltere kunne ha en nyttig rolle som
«tiltrodde tredjeparter» med hensyn til at brukere kan fremstå som anonyme overfor tjenesteytere, men hvor identitetsforvalteren kan avdekke identiteten til den enkelte dersom vilkårene for dette er oppfylt, jf f eks ISP-ers rolle ifht kob- ling IP-nr og abonnent. På den annen side kan slike infrastrukturer som invol- verer «tiltrodde tredjeparter» medføre sårbare konstruksjoner hvor de er i stand til å registre detaljerte opplysninger om den enkeltes transaksjoner.160
Interessen i forholdsmessig kontroll vil også være relevant for hvordan man gjennomfører de kontrolltiltak man finner hensiktsmessige. For eksempel vil både rettssikkerhetshensyn og personvernhensyn tale for at man søker å finne frem til klare vilkår for å gjennomføre kontrolltiltak og at disse er transparente for den enkelte. Også her vil tekniske og organisatoriske tiltak kunne benyttes sammen med rettslige tiltak. For eksempel kan lovgiver stille krav til at dekryp- tering og identifisering av enkeltindivider i lagrede opplysninger forutsetter rettslig kjennelse.
Oppsummeringsvis kan man si at interessen i forholdsmessig kontroll inne- bærer en interesse i å unngå at samfunnet og den enkeltes personvern gjøres sårbart. Dette vil innebære et vern mot bit-for-bit-tilnærminger, eller en hold- ning der opplysninger lagres bare fordi de er «kjekke å ha», fordi det er billigere å lagre opplysningene enn å slette dem, eller under dekke av at informasjonssik- kerheten er tilstrekkelig slik at opplysningene ikke kan bli misbrukt.161
2.4.2.4.5 Brukervennlig behandling
Interessen i brukervennlig behandling retter oppmerksomheten mot møtet mellom individet og ulike behandlingsansvarlige. Tidligere var denne interes- sen formulert som interessen i borgervennlig forvaltning. Med økt automatise- ring av behandlingen i forvaltningen fryktet man at det ville kunne bli vanskelig for borgerne å forstå saksbehandlingen eller resultatet av en sak. Omformule- ringen fra «borgervennlig forvaltning» til «brukervennlig behandling» er i følge
160 Denne muligheten, samt muligheten for at tjenesteytere lett kunne samkjøre sine opplysnin- ger om brukere, ble sterkt kritisert av Art 29-gruppen angående Microsoft sin første kommer- sielle identitetsforvaltningsløsning .NET Passport. Se nærmere i kap 5.3.
161 Se om forholdet mellom «tradisjonelle informasjonssikkerhetstiltak» og personvernøkende tiltak (pseudonymisering) i debatten om registerform for Norsk Pasientregister i Xxxxx, Xxx- sonvernøkende teknologi og identitetsforvaltning, NOU 2009: 1 Individ og integritet, s 280, høyre spalte.
Schartum og Xxxxxxx en presisering av at interesseteorien ikke bare knytter seg til offentlig forvaltning, og at også forvaltningen nå i større grad benytter begre- pet «bruker» om de individer de skal tjene.162
Også identitetsforvaltningstjenester bør innrettes på en måte som er bruker- vennlig og forståelig for alle brukergrupper. F eks vil det kunne gå utover informasjonssikkerheten og brukervennligheten, og derfor også personvernet, dersom offentlig forvaltning baserer seg på tungvinte brukernavn og passord- løsninger i stedet for mer helhetlige og robuste felles tilgangsløsninger. Interes- sen i brukervennlig behandling og interessen i innsyn og kunnskap vil her til dels være overlappende.
2.4.3 Utviklingen av nasjonal og internasjonal personopplysningslovgivning Historisk sett har norsk personopplysningsrett blitt utviklet under stor interna- sjonal innflytelse. Det er antatt at den tyske delstaten Hessen var først ute med å lovfeste vern av personopplysninger. Sverige var også tidlig ute, og var med ved- tagelsen av «datalagen»163 i 1973 først ute med en nasjonal personopplysnings- lovgivning. Flere europeiske, og særlig nordiske land, lot seg inspirere av denne utviklingen, deriblant Norge og Danmark som begge fikk sin første lovgivning i 1978.164
I internasjonale fora ble denne nasjonale lovgivningen sett på som en mulig bar- riere for utviklingen av internasjonal handel ved at lovgivningen kunne hindre flyt av personopplysninger over landegrensene. Det var derfor særlig med sikte på å sikre økonomisk utvikling at OECD i 1980 vedtok retningslinjer for beskyttelse og utveksling av personopplysninger over landegrensene («OECD retningslinje- ne»).165 Omtrent på samme tid – i 1981 – vedtok Europarådet konvensjonen om personvern i forbindelse med elektronisk databehandling av personopplysninger («Europarådskonvensjonen»).166 Begge regelsett var motivert av å fremme to ho-
162 Se Schartum og Xxxxxxx, Personvern i informasjonssamfunnet: en innføring i vern av person- opplysninger, Bergen 2011, s 74.
163 Datalagen (SFS 1973:289), senere erstattet av personupplysningslagen (SFS 1998:204).
164 For Norges del var dette lov 9. juni 1978 nr 48 om personregistre mm (personregisterloven). Danmark innførte to lover for henholdsvis privat og offentlig sektor (lov nr 293 af 8. juni 1978 om private registre og lov nr 294 af 8. juni 1978 om offentlige myndigheders registre), senere erstattet av lov nr 429 af 31. mai 2000 om behandling af personoplysninger (personoplysnings- loven).
165 OECD, Guidelines Governing the Protection of Privacy and Transborder Flows of Personal Data, 23. september, 1980.
166 Europarådet, Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data, 28. januar, 1981. Europarådskonvensjonen trådte i kraft 1. oktober 1985. Norge ratifiserte konvensjonen 20. februar 1984. EU som sådan har lenge ønsket å ratifisere konvensjonen. Som følge av dette ble det 15. juni 1999 vedtatt endringer i konvensjonen, men endringen har ennå ikke trådt i kraft.
vedformål: på den ene siden å sikre personvernet fra nye trusler ved automatisert databehandling, på den andre siden å fremme internasjonal handel og økonomisk vekst ved å lette flyt av personopplysninger over landegrensene. Selv om OECD i tråd med sin dagsorden betonet det sistnevnte formålet noe tydeligere enn Euro- parådet, er prinsippene i retningslinjene og konvensjonen langt på vei sammen- fallende. Dette er kanskje ikke så overraskende med tanke på at utarbeidelsen av regelsettene skjedde omtrent samtidig, og at det var nær kontakt mellom mennes- kene som deltok i regelutformingen. Begge regelsett nedfeller prinsipper for be- handling av personopplysninger og for overføring av slike mellom landene.
OECD og Europarådet har med utgangspunkt i sine respektive regelverk ut- viklet ytterligere anbefalinger og retningslinjer for personopplysningsvern på bestemte områder. OECD har blant annet utarbeidet retningslinjer angående informasjonssikkerhet,167 kryptopolitikk168 og forbrukervern i forbindelse med elektronisk handel169. Videre har OECD tatt initiativ til utredninger og anbefa- linger med hensyn til personopplysningsvern og Internett, herunder personver- nøkende teknologi og identitetsforvaltning.170
Europarådet har på sin side vedtatt en lang rekke rekommandasjoner om per- sonvern i forbindelse med politiarbeid, arbeidsliv, forskning og statistikk, of- fentlige myndigheters utlevering av personopplysninger, telekommunikasjon og forsikring.171 I denne sammenheng er det særlig rekommandasjonen om per- sonvern på Internett som fanger interesse.172 Rekommandasjonene er ikke folke- rettslig bindende, men danner likevel et viktig utgangspunkt for utvikling og revidering av nasjonalt personopplysningsregelverk.
167 OECD, Guidelines for the Security of Information Systems, 26. november, 1992, siden erstatt av OECD, Guidelines for the Security of Information Systems and Networks: Towards a Culture of Security, 25. juli, 2002.
168 OECD, Guidelines for Cryptography Policy, 27. mars, 1997.
169 OECD, Guidelines for Consumer Protection in the Context of Electronic Commerce, 9. desem- ber, 1999.
170 Se OECD, Privacy online – OECD guidance on policy and practice, Paris 2003, som oppsumme- rer OECDs arbeid om personvern og Internett, herunder personvernøkende teknologi. OECD arbeider for tiden med identitetsforvaltning, noe som blant annet har ledet ut i OECD, Re- commendation on Electronic Authentication and Guidance for Electronic Authentication, juni, 2007, hvor medlemsstatene blant annet oppfordres til å etablere kompatible og teknologinøy- trale løsninger for autentisering av personer og enheter, nasjonalt og internasjonalt, i henhold til OECDs retningslinjer for personvern. Se også OECD, The role of digital identity manage- ment in the Internet economy: A primer for policy makers, 11. juni, 2009.
171 Se oversikt over Europarådets rekommandasjoner: xxxx://xxx.xxx.xxx/x/x/xxxxx_xxxxxxx/xx- gal_co-operation/data_protection/, sist nedlastet 10. september 2009.
172 Europarådet, Recommendation R (99) 5 for the Protection of Privacy on the Internet, 23. febru- ar, 1999.
Etter vedtagelsen av EU-direktivet om personvern 95/46/EF («personverndirek- tivet») i 1995 og gjennomføringen av denne i norsk rett173 har ikke OECDs ret- ningslinjer og Europarådskonvensjonen lenger så stor praktisk betydning for personopplysningsvernet i Norge. Personverndirektivet går på de fleste punkter lenger enn disse instrumentene når det gjelder materielle bestemmelser og inn- fører ikke minst mer effektive håndhevningsmekanismer gjennom datatilsyns- myndigheter og klare rettigheter og plikter for behandlingsansvarlige og regis- trerte.174 Det er imidlertid viktig å understreke at retningslinjene og konvensjonen har hatt stor innflytelse når det gjelder utvikling av personopplysningsregelverk på nasjonalt og internasjonalt nivå, herunder EUs personverndirektiv.175
2.4.4 Bakgrunnen for EUs charter – retten til privatliv og personopplysningsvern som grunnleggende rettigheter i EU
Ved vedtagelsen av EF-traktaten176 i 1957 var det ikke tatt inn noen bestemmel- ser om menneskerettigheter. Siktemålet med EF-samarbeidet var å etablere et felles marked, og menneskerettighetene var beskyttet i nasjonale grunnlover eller internasjonale konvensjoner, blant dem Den europeiske menneskeretts- konvensjon177 (EMK). Denne holdningen ble bekreftet av EU-domstolen som på slutten av 1950-tallet klart tok avstand fra å vurdere om felleskapsretten var forenlig med menneskerettighetene.178 Gjennom en lang utvikling i rettspraksis,
173 Jf EØS-komiteens beslutning nr 83/1999 av 25. juni 1999 om endring av EØS-avtalens proto- koll 37 og vedlegg XI (telekommunikasjonstjenester). Jeg bruker her den offisielle norske ver- sjonen av direktivet som følger som vedlegg til St prp nr 34 (1999–2000). Som hovedregel gjengir jeg den norske versjonen av direktivet. Den engelske versjonen blir sitert i den grad det er hensiktsmessig for å få frem nyanseforskjeller mellom den norske og engelske versjonen.
174 OECDs retningslinjer er ikke rettslig bindende (jf «retningslinjer»), men har stor politisk tyngde. Ved ratifikasjon av Europarådskonvensjonen forplikter en stat seg til å inkorporere konvensjonens prinsipper i sitt nasjonale regelverk. Konvensjonen inneholder ellers ikke ret- tigheter som direkte kan anvendes av enkeltindivider, og den etablerer heller ikke noe over- ordnet internasjonalt håndhevelsesorgan. Se nærmere Schartum og Xxxxxxx, Personvern i in- formasjonssamfunnet: en innføring i vern av personopplysninger, Bergen 2004, s 81-85.
175 OECDs retningslinjer har også hatt stor innflytelse på utvikling av regelverk i ikke-europeiske land som for eksempel Canada, Australia og New Zealand. Se nærmere Xxxxxxx, Data prote- ction law: approaching its rationale, logic and limits, The Hague 2002, s 32-33.
176 Traktaten om opprettelse av Det europeiske fellesskap, Roma, 25. mars 1957. 177 Den europeiske menneskerettskonvensjon (EMK), Roma, 4. november 1950.
178 Se sak 1/58, Xxxxx, Sml. 1954-64 s. 127 og sak 36-38 og 40/59, Salgsforeningene for Ruhrkull, Sml. 1954-64 s. 197. Se nærmere redegjørelse i Xxxxxxxxx og Schønberg, EU-menneskeret: en udfordring til dansk ret, København 1993, s 39.
som startet på slutten av 1960-tallet, har EU-domstolen gradvis etablert en ulov- festet rettighetskatalog i EF/EU-retten.179
Denne gradevise utviklingen skyldtes dels at det for EU-domstolen var viktig å vise at også EF-retten kunne beskytte individenes grunnleggende rettigheter på områder der disse står i potensiell konflikt med EF-rettens økonomiske mar- kedsregulering. I tillegg var det viktig å hindre konflikt mellom EF-retten og de menneskerettigheter som er nedfelt i medlemsstatenes nasjonale grunnlover.180 Dette kom på spissen etter at EU-domstolen formulerte prinsippet om EF-ret- tens forrang fremfor nasjonal rett.181 Prinsippet, som innebærer at en hvilken som helst EF-rettsakt skulle gå foran selv fundamentale rettigheter i nasjonal konstitusjon, møtte atskillig motstand i nasjonale domstoler og i juridisk teori. Ikke minst var det den tyske forfatningsdomstolen (Bundesverfassungsgerich) som motsatte seg EF-rettens forrang så lenge den manglet beskyttelse av grunn- leggende rettigheter.182 For å sikre forrangsprinsippet var EU-domstolen derfor nødt til å gjøre motstrid umulig – noe den bare kunne gjøre ved å ta inn i EF-ret- ten de samme rettighetene som finnes i medlemsstatenes konstitusjoner.183
179 Se for eksempel sak 29/69, Xxxxxxx, Sml. 1969 s. 107, hvor EU-domstolen for første gang viser til at felleskapsretten kunne omfatte visse grunnleggende rettigheter med grunnlag i alminne- lige rettsgrunnsetninger. Dette standpunktet ble enda klarere i EU-domstolens avgjørelse i sak 11/70, Internationale Handelsgesellschaft, Sml. 1970 s 235, hvor domstolen slår fast at det ikke kan gjøres gjeldende at felleskapsretten krenker fundamentale rettigheter i medlemsstate- nes forfatning eller grunnsetninger i en nasjonal forfatningsstruktur. En prøvelse skal skje på bakgrunn av felleskapsrettens rettsprinsipper, som er utledet av fellestrekk som kan gjenfinnes i alle, eller de fleste av medlemsstatenes forfatninger.
180 Sejersted et al., EØS-rett, 2. utg., Oslo 2004, s 70-71.
181 Læren om EU-rettens forrang ved motstrid med nasjonal rett ble første gang fastslått av EU-domstolen i sak 6/64, Xxxxxxxx Xxxxx mot ENEL, Sml 1954-64 s. 531. Se videre Sejersted et al., EØS-rett, 2. utg., Oslo 2004, s 76- 79.
182 Nærmest i protest avsa den tyske forfatningsdomstolen i 1974 den kjente Solange I-avgjørel- sen, jf Bundesverfassungsgericht, Solange I, CMLR 1974 s. 540. Her gjorde domstolen gjelden- de at beskyttelsen som fremgikk av nylig avsagte saker for EU-domstolen (Stauder og Interna- tionale Handelsgesellschaft) ikke var tilstrekkelig til å imøtekomme de krav som tyske Grundsgesetz stilte til beskyttelse av tyske borgere.
183 Denne vendingen fra EU-domstolen skjedde i sak 4/73, Nold, Sml. 1974 s. 491 og enda tydeli- gere i sak 44/79, Hauer, Sml. s 3727, hvor domstolen uttrykkelig slo fast at tiltak som ikke er forenlige med nasjonale grunnlover heller ikke kan være forenlige med EF-retten. Etter dette har den tyske forfatningsdomstolen godkjent EF-rettens forrang, vel og merke sålenge («so- lange») EU-domstolen effektivt beskytter de samme rettigheter som tysk grunnlov, jf Bundes- verfassungsgericht, Solange II, CMLR 1987 s. 225. Se nærmere om denne utviklingen i Sejer- sted et al., EØS-rett, 2. utg., Oslo 2004 s 70-71, Xxxxx og De Búrca, EU law: text, cases, and materials, 4. utg., Oxford 2008, kapittel 10 og Xxxxxxxxx og Schønberg, EU-menneskeret: en udfordring til dansk ret, København 1993, kapittel 3.
Som denne korte redegjørelsen viser, har EU-domstolens i utgangspunktet nok- så defensive holdning til menneskerettighetene gradvis blitt erstattet av en mer offensiv tilnærming både fra domstolen selv og fra de lovgivende organer,184 i retning av en moderne menneskerettighetskatalog i EU-retten. Dette er i tråd med den senere tids utvikling med traktatfesting og «konstitusjonaliseringen» av EU-retten, og med den materielle utviklingen og utvidelsen av EU-rettens omfang, som gjør at stadig flere tradisjonelle menneskerettigheter er blitt rele- vante også i EU-sammenheng.185
Utgangspunktet for å vurdere menneskerettighetenes stilling i EU-retten er i dag Unionstraktaten186 art 6:
«1. Unionen bygger på prinsippene frihet, folkestyre, respekt for menneskerettighetene og de grunnleggende friheter og rettstaten, som alle er prinsipper som er felles for medlemsstatene.
2. Unionen skal respektere de grunnleggende rettigheter, slik de er sikret i konvensjo- nen om beskyttelse av menneskerettighetene og de grunnleggende friheter, underteg- net i Roma 4. november 1950, og slik de følger av de forfatningstradisjoner som er felles for medlemsstatene, som generelle prinsipper i Fellesskapets rett.»
Menneskerettighetenes stilling ble ytterligere forsterket i år 2000 ved vedtagelsen av et «Charter of Fundamental Rights» for EU.187 Charteret ble ved vedtagelsen ikke gitt full formell rettslig status som gjeldende rett, men utgjorde likevel ki- men til en EU-rettslig rettighetskatalog. Særlig er det verdt å merke seg at EUs Charter om grunnleggende rettigheter slår fast retten til privatliv (art 7) og per- sonopplysningsvern (art 8) som to selvstendige og grunnleggende rettigheter i EU:
Art 7 Respect for private and family life
«Everyone has the right to respect for his or her private and family life, home and communications.»
Art 8 Protection of personal data
«1. Everyone has the right to the protection of personal data concerning him or her.
2. Such data must be processed fairly for specified purposes and on the basis of the consent of the person concerned or some other legitimate basis laid down by law. Xxx- xxxxx has the right of access to data which has been collected concerning him or her, and the right to have it rectified.
3. Compliance with these rules shall be subject to control by an independent authority.»
184 Ved Enhetsakten av 1987 ble det for første gang tatt inn en henvisning til EMK i traktatene. 185 Sejersted m fl., EØS-rett, 2. utg., Oslo 2004, s 71.
186 Traktaten om Den europeiske union, Mastricht, 1992 (Unionstraktaten). 187 The Charter of Fundamental Rights of the European Union, 2000/C 364/01.
I Charteret art 52 (3) er det slått fast at i den grad rettigheter etter charteret kor- responderer med retttigheter etter EMK skal disse rettighetene forstås på sam- me måte som etter EMK. Videre er det presisert at bestemmelsen ikke skal for- hindre EU-retten i å gi bedre vern (enn det som følger av EMK).
Et ytterligere forsøk på å forankre menneskerettighetene i EU skjedde våren 2003 da det såkalte «konventet» la frem utkast til en «Europeisk konstitusjon», som også inneholder en full rettighetskatalog hvor privatlivets fred og person- opplysningsvern uttrykkes som to selvstendige rettigheter.188 Selv om det i 2005 ble klart at det ikke ville lykkes å få tilstrekkelig nasjonal oppslutning om forfat- ningstraktaten, har den likevel en signaleffekt ved at den gir uttrykk for den generelle stilling menneskerettighetene anses å ha i EU-retten.
Nederlaget med forfatningstraktaten har imidlertid ikke satt en endelig stopper for EUs iver etter å reformere EU samarbeidet og sikre en klarere forankring av menneskerettighetene. Med undertegnelse av Lisboa-traktaten 13. desember 2007189 er hensikten å videreføre hovedelementene fra forfatningsutkastet. En vesensforskjell er imidlertid at disse ikke gjennomføres gjennom én konstitu- sjon, men gjennom endringer i Unionstraktaten og EF-traktaten (sistnevnte en- drer navn til «Treaty on the Functioning of the European Union» (TFEU)). Etter at man i 2009 omsider lykkes med å ratifisere traktaten i hvert enkelt medlems- land, trådte Lisboa-traktaten i kraft 1. desember 2009. Ikrafttredelsen innebærer at EUs Charter nå har formell status på høyde med Unionstraktaten og TFEU.190 Dette reflekteres i senere praksis fra EU-domstolen hvor charteret i stadig flere saker er det sentrale utgangspunktet for domstolens tolkning av EU-retten og grunnleggende rettigheter.
Hvilken betydning har så innlemmelsen av menneskerettigheter i EU for tolk- ningen og anvendelsen av EU-retten i medlemsstatene? I realiteten har jo samt- lige land i EØS (alle EU og EFTA-landene) undertegnet EMK, og er derfor un- derlagt menneskerettighetsdomstolen i Strasbourg (EMD).191 En prinsipiell forskjell er imidlertid at innlemmelsen av menneskerettigheter i EU-retten innebærer at de samtidig gjøres til gjeldende rett i medlemsstatene og at de der- med blir styrende for nasjonal fortolkning og anvendelse av regelverket. Av den-
188 Se Treaty establishing a Constitution for Europe, Roma 2004, 2004/C 310/01, art II-67 (privat- livets fred) og art II-68 (personopplysningsvern).
189 Lisboatraktaten om endring av Unionstraktaten og EF-traktaten (2007/C 306/01), Lisboa, 13. desember 2007.
190 Se nærmere xxxx://xxxxxx.xx/xxxxxx_xxxxxx/xxxxxx/xxxxx_xx.xxx, sist nedlastet 10. september 2009. Merk at det også er en målsetning at EU som sådan skal tiltre EMK.
191 I Norge gjelder EMK som norsk rett, jf menneskerettsloven § 2 (1). EU som sådan er ikke med- lem av EMK. I en uttalelse fra 1996 slo EU-domstolen fast at EU heller ikke hadde adgang (etter traktatene) til å bli medlem, jf sak 2/96, Tolkningsuttalelse etter EFT 228 (6), Sml. 1996 s. I-1759.
ne grunn er det blitt hevdet at det for EU-landene på sikt kan ha betydning at EU-retten er et sterkere instrument for gjennomføring av menneskerettighetene enn EMK, «med klarere forrang, mindre rom for nasjonalt skjønn, og med et institusjonelt apparat som i større grad sikrer effektiv gjennomføring».192
Formelt sett er verken Unionstraktaten art 6 eller Charteret gjort til noen del av EØS-avtalen.193 Betydningen av EU-domstolens praksis for norsk retts vedkom- mende er regulert i EØS-avtalen art 6 som fastslår at avtalens bestemmelser skal tolkes i samsvar med Domstolens praksis omkring de korresponderende be- stemmelser i felleskapsretten. I utgangspunktet gjelder bestemmelsen kun de av EU-domstolens relevante avgjørelser som er eldre enn EØS-avtalen og den gir derfor ikke noen veiledning for avgjørelser som er truffet etter dette. Veiledning gis forøvrig i ODA194 art 3 nr 2 som legger til grunn at EFTA-domstolen skal ta
«tilbørlig hensyn til de prinsipper» som er fastlagt gjennom relevante avgjørelser av EU-domstolen som er avsagt etter skjæringstidspunktet i EØS-avtalen art 6.
I praksis har Høyesterett lagt til grunn at EU-domstolens avgjørelser generelt, også etter skjæringspunktet i EØS art 6, skal tillegges betydelig vekt i tolkningen av EØS-rettslige bestemmelser.195 I juridisk teori er det forøvrig hensynet til rettslikhet mellom EF og EØS etter EØS art 1 (1) som er blitt holdt frem som det tyngste argumentet for at menneskerettsvernet i EU må legges til grunn i EØS. Dette argumentet tar utgangspunkt i at EØS-retten vanskelig kan tolkes «ensar- tet» med EU-retten uten at man også tar hensyn til de menneskerettigheter som EU-domstolen har tolket inn. På denne bakgrunnen har det vært hevdet at men- neskerettighetsvernet i EØS i prinsippet må være det samme som i EU-retten.196
192 Se Xxxxxxx Xxxxxxxxx x Xxxxxxxxx et al., EØS-rett, 2. utg., Oslo 2004, s 71.
193 EØS-avtalen er i forholdet mellom Norge og EF kun en folkerettslig avtale, noe som innebærer at Norge kun har påtatt seg en folkerettslig forpliktelse til å fortolke EØS-avtalen (og dens vedlegg, herunder personverndirektivene) i samsvar med EU-domstolens praksis. Avtalen er imidlertid inkorporert i norsk rett ved vedtakelsen av EØS-loven, lov 27. november 1992 nr 109 om gjennomføring i norsk rett av hoveddelen i avtale om Det europeiske økonomiske samarbeidsområde (EØS) mv (EØS-loven), og norske domstoler er på denne bakgrunn for- pliktet til å overholde avtalens bestemmelser.
194 Avtale mellom EFTA-statene om opprettelse av et overvåkningsorgan og en domstol 195 Se eksempelvis Rt 2002 s 391 «God Morgon» og Rt 1997 s 1954 «Løten kommune».
196 Se Sejersted m fl., EØS-rett, 2. utg., Oslo 2004, s 103. Se også Falch, «Menneskerettigheter og EU/EØS – En eller flere konstitusjoner for Europa?» Lov og Xxxx, 1997, s 451-479, s 463. Falch viser til at det er «[v]anskelig å se grunner til at EU-domstolen skulle anvende andre prinsip- per på akkurat menneskerettvernet enn de EU-domstolen ellers anvender. Skulle for eksempel EU-domstolen mene at EØS-avtalen gir en særlig sterk menneskerettighetsbeskyttelse, vil EU-domstolens øvrige praksis på menneskerettsområdet lett komme i et underlig lys. Når det gjelder EFTA-domstolen, tror jeg den i sin praksis vil tillegge hensynet til rettslikhet særlig vekt, blant annet for å opprettholde EØS-avtalen som noe mer betydningsfullt og mer integre- rende enn en frihandelsavtale.»
I likhet med OECDs retningslinjer og Europarådskonvensjonen bygger person- verndirektivet på betrakningen om at varierende personopplysningsvern i med- lemsstatene kan legge hindringer for den økonomiske samhandlingen mellom medlemslandene. Selv om flere land hadde tiltrådt Europarådets personvern- konvensjon, gjaldt dette ikke alle. Direktivet søker derfor å etablere felles regler for behandling av personopplysninger i hele EU/EØS-området.
Direktivet har to hovedformål. For det første skal direktivet beskytte individets grunnleggende rettigheter og friheter, spesielt retten til privatliv, i forbindelse med behandling av personopplysninger, jf art 1 (1). For det andre skal direktivet sikre fri flyt av personopplysninger mellom medlemslandene som ledd i et funge- rende indre marked. Denne målsetningen følger av art 1 (2), som slår fast at medlemslandene ikke skal hindre eller forby fri flyt av personopplysninger av hensyn til vern av personopplysninger.197 Ser man de to formålene i sammen- heng, fremgår det at direktivet er tuftet på ideen om at et høyt og ensartet per- sonopplysningsvern i alle medlemsstatene vil sikre fri flyt av personopplysnin- ger, og derigjennom bidra til å realisere det indre marked og de fire friheter, samtidig som det vil bidra til å beskytte grunnleggende menneskerettigheter.
Mens direktivet legger til rette for fri flyt av personopplysninger mellom med- lemsstatene, oppstilles det strenge regler for utlevering til tredjeland. Overfø- ring av personopplysninger til tredjeland kan som hovedregel bare skje dersom landet sørger for et «tilstrekkelig vernenivå», jf art 25 (1). Direktivet legger opp til et system der medlemslandene og EU-Kommisjonen skal vurdere tredjelands nivå for personopplysningsvern. Systemet fremstår som noe omstendelig og tungvint, og foreløpig er det få land som har blitt vurdert til å ha tilstrekkelig vernenivå.198 Det er imidlertid etablert ordninger med enkelte land, herunder
«Safe Harbor»-avtalen med USA fra 2000 som ble kjent ugyldig av EU-domsto- len 6. oktober 2015.199
Etter art 26 er det også gitt adgang til å overføre opplysninger til tross for man- glende vernenivå, blant annet dersom den registrerte samtykker, dersom over- føringen er nødvendig for å inngå eller oppfylle en kontrakt mellom den regis-
197 Se også fortalen nr 3, 5, 7, 8 og 9.
199 Se sak C-362/14, Xxxxxxxxx Xxxxxxx v Data protection Commissioner. Safe Harbor innebar at amerikanske virksomheter som frivillig implementerer de 7 Safe Harbor-prinsippene og en FAQ kunne motta og behandle personopplysninger. Se nærmere om reglene om internasjona- le overførsler i Blume, Retlig regulering af internationale persondataoverførsler, København 2006.
trerte og den behandlingsansvarlige eller overføringen har hjemmel i lov. Det er også tillatt å overføre personopplysninger dersom den behandlingsansvarlige stiller tilstrekkelige garantier. Praktisk viktig er EUs standardardavtaler som inngås mellom den behandlingsansvarlige virksomhet i EØS-området som overfører personopplysninger og den virksomhet i tredjeland som personopp- lysningene overføres til.200 For store internasjonale konserner vil imidlertid standardkontraktene kunne påkreve mye administrasjon, og det vil kunne være mer hensiktsmessig å etablere bindende konsernregler for behandling av personopplysninger («Binding Corporate Rules» – «BCR»). Slike bindende kon- sernregler godkjennes i henhold til rutiner og krav oppstilt av Artikkel 29- gruppen, og gir grunnlag for å søke datatilsynene om overføring av personopp- lysninger mellom selskaper i selskapsgruppen som er etablert i EØS til selskaper i selskapsgruppen som er etablert utenfor EØS.201
Etter art 3 (2) er direktivets virkeområde avgrenset til behandling i forbindelse med utøvelse av virksomhet som omfattes av «felleskapsrettens område». Denne begrensningen henger blant annet sammen med direktivets rettsgrunnlag, og er en henvisning til det som gjerne omtales som EU-samarbeidets «første søyle», dvs det indre marked og de fire friheter.202 I prinsippet faller derfor virksomhet knyttet til EUs andre og tredje søyler utenfor.203 Direktivet får heller ikke anven- delse på behandling av personopplysninger som utføres av en fysisk person
«som ledd i rent personlige eller familiemessige aktiviteter». Etter art 9 skal dessuten medlemsstatene avstemme direktivets regler mot retten til ytringsfri- het.
Mens personverndirektivet slår fast de generelle grunnprinnsippene for person- opplysningsvern i EU/EØS, er det i tillegg vedtatt et direktiv om personopplys- ningsvern i forbindelse med elektronisk kommunikasjon. Kommunikasjons- verndirektivet 2002/58/EF (sist endret ved direktiv 2009/136/EF) har som formål
200 Standardkontraktene for overføring til henholdsvis behandlingsansvarlig og databehandler er tilgjengelige på EU-kommisjonens nettsider: xxxx://xx.xxxxxx.xx/xxxxxxx/xxxx-xxxxxxxxxx/ document/international-transfers/transfer/index_en.htm
201 Se nærmere om bindende konsernregler og Artikkel 29-gruppens veiledning tilknyttet dette på EU-kommisjonens nettsider: xxxx://xx.xxxxxx.xx/xxxxxxx/xxxx-xxxxxxxxxx/xxxxxxxx/xxxxx- national-transfers/binding-corporate-rules/index_en.htm.
202 De «fire friheter» benyttes gjerne som en fellesbetegnelse på EF-traktatens prinsipper om fri bevegelighet av varer, tjenester, personer og kapital. Se nærmere Sejersted m fl., EØS-rett, 2. utg., Oslo 2004, s 260.
203 Se personverndirektivets fortale premiss 13 som henviser til Unionstraktaten (Traktaten om Den europeiske union, Mastricht, 1992) tittel V og VI som gjelder offentlig sikkerhet, forsvar, statens sikkerhet og statens virksomhet på det strafferettslige området. Se også personverndi- rektivet art 13 (1) om adgangen for medlemsstatene til å gjøre unntak fra deler av direktivet for å ivareta slike interesser.
å spesifisere og supplere personverndirektivets bestemmelser i forhold til per- sonopplysningsvern i forbindelse med elektronisk kommunikasjon, jf art 1 (1) og (2). Bestemmelsene retter seg i følge art 3 mot tilbydere av elektronisk kom- munikasjonsnett og -tjenester. Mens personverndirektivets bestemmelser kun gjelder behandling av opplysninger om fysiske personer, er også opplysninger om juridiske personer som er abonnenter gitt et visst vern i kommunikasjons- verndirektivet, jf art 1 (2). Kommunikasjonsverndirektivets bestemmelser er i hovedsak gjennomført i norsk rett ved ekomloven og ekomforskriften.204
Datalagringsdirektivet 2006/24/EF, som ble kjent ugyldig av EU-domstolen 8. april 2014,205 innebar endring av enkelte bestemmelser i kommunikasjonsvern- direktivet, blant annet om forbud mot å lagre data utover det som er nødvendig for trafikk og -faktureringsformål, og innebar en plikt for medlemsstatene til å pålegge tilbydere lagring av trafikkdata som er generert i forbindelse med elek- tronisk kommunikasjon i en periode på mellom 6 og 24 måneder. Formålet med lagringen var å bekjempe «alvorlig kriminalitet» («serious crime»), jf art 1 (1). Som følge av EU-domstolens avgjørelse om at direktivet var i strid med EUs charter om grunnleggende rettigheter, besluttet Regjeringen Xxxxxxx 24. novem- ber 2014 å stanse arbeidet med å innføre direktivet.206
EU-domstolen («Domstolen») har de senere årene avsagt flere prejudisielle tolk- ningsavgjørelser vedrørende personverndirektivet og kommunikasjonsverndi- rektivet.207 Med hensyn til elektronisk samhandling over Internett er det særlig viktig å trekke frem Lindqvist, som omhandlet lovligheten av Xxxxx Xxxxxxxxxx publisering av opplysninger om sine arbeidskolleger ved et kirkekontor i Sveri- ge.208 Domstolen slo her fast at offentliggjøring av informasjon på Internett om- fattes av personverndirektivets virkeområde siden det ikke faller inn under unntaket etter personverndirektivet art 3 (2) om behandling av personopplys- ninger «som ledd i rent personlige eller familiemessige aktiviteter». Videre slo
204 Se nærmere om kommunikasjonvernsdirektivet, ekomloven og ekomforskriften i kap 6.4. 205 Se forente saker C-239/12 og C-594/12, Digital Rights Ireland, 8. april 2014.
206 Datalagringsdirektivet ble gjennomført i norsk rett i 2011, bl.a. ved å innføre en ny § 2-7a i ekomloven som pålegger tilbyderne å lagre nærmere angitte data i 6 måneder, jf. lov 15. april 2011 nr 11 om endringer i ekomloven og straffeloven mv. (gjennomføring av EUs datalagrings- direktiv i norsk rett). Etter planen skulle endring ha trådt i kraft 1. april 2012, men ble utsatt flere ganger. Se erklæring 24. november 2014 på Regjeringens nettsider om at datalagringsdi- rektivet stoppes, xxxxx://xxx.xxxxxxxxxxx.xx/xx/xxxx/xxxxxxxxx-xx-xxxxxxxxxxxxx/xxxx- tronisk-kommunikasjon/datalagringsdirektivet/id666723/.
207 De fleste avgjørelsene gjelder tolkningsspørsmål som er fremmet av de nasjonale domstolene til EU-domstolen etter EFT 234. EU-domstolen vil bare fortolke felleskapsretten, selve sub- sumpsjonen er en ekslusiv oppgave for den nasjonale domstol.
208 Jf sak C-101/01, Xxxxx Xxxxxxxxx, Sml. 2003 s. I-12971.
Domstolen fast at slik publisering ikke regnes som en overføring av opplysnin- ger til tredjeland etter art 25.
Domstolens avgjørelser har også bidratt til å klargjøre direktivenes formål og harmoniseringsnivå, noe som har stor betydning for forståelsen av hvordan di- rektivene skal tolkes og gjennomføres i nasjonal rett. Med henvisning til person- verndirektivets fortale 8 og 10 understreket Domstolen x Xxxxxxxxx at direktivet har til formål å sikre et ensartet og høyt nivå for personopplysningsvern i felles- kapet. I følge Domstolen er harmoniseringen ikke begrenset til en mini- mumsharmonisering, men en harmonisering «der i princippet er fuldstendig», og at det er i dette perspektivet at direktivet tilsikter å sikre utveksling av per- sonopplysninger.209 Domstolen påpeker videre at direktivet innrømmer med- lemsstatene et visst slingringsmonn på visse områder,210 men disse muligheter skal imidlertid anvendes på en måte som er fastsatt i direktivet og i overrens- stemmelse med dets formål, «som består i at opretholde en ligevækt mellom den frie udveksling af personoplysninger og beskyttelsen af privatlivet.» Innenfor disse rammer er direktivet derfor ikke til hinder for at medlemsstatene innfører et sterkere personopplysningsvern eller at gjennomføringslovgivning gis et videre anvendelsesområde enn direktivets anvendelsesområde.211
Domstolens uttalelser om direktivets høye harmoniseringsambisjoner kan imidlertid problematiseres. I juridisk teori er det blant annet med henvisning til direktivets mange åpne og vage bestemmelser stilt spørsmål om direktivet over- hodet er egnet til å harmonisere.212 I praksis viser det seg også at det er relevativt store nasjonale forskjeller på hvordan direktivet er blitt implementert.213
Et annen prinsipiell side ved Domstolens praksis er at den bekrefter personvern- direktivenes formål om å ivareta privatlivets fred gjennom regler for personopp- lysningsvern, og at direktivene må tolkes i lys av EUs charter og praksis fra EMD vedrørende EMK art 8.
209 Lindqvist, premiss 96.
210 Se f eks art 8 (7) nr 2 som slår fast at «Medlemstatene skal bestemme hvilke vilkår som må oppfylles for at et nasjonalt identifikasjonsnummer eller andre vanlige midler til identifika- sjon kan behandles». Se også art 5, som innleder kapitlet om behandlingsvilkår, om at med- lemsstatene skal «innen rammen av bestemmelsene i dette kapittel fastsette mer nøyaktig hvilke vilkår som må oppfylles for at behandlingen av personopplysinger skal være lovlig.»
211 Lindqvist, premiss 95-98.
212 Se Blume, «Databeskyttelsesrettens harmonisering», UfR, U.2004B.45 (2004).
213 Se European Commission, First report on the implementation of the Data Protection Directive (95/46/EC), Brussel, 2003.
Allerede i EU-domstolens første tolkningsuttalelse, Rechnungshof,214 ble det ut- trykkelig slått fast at personverndirektivet må fortolkes under hensyntagen til grunnrettighetene som ifølge fast praksis hører til de alminnelige rettsgrunn- setninger. Spørsmålet var om østerriksk lovgivning som påla utlevering og of- fentlig publisering av lønnsopplysninger for offentlige ansatte var i strid med direktivet. Domstolens ressonement bygger på at siden direktivet skal beskytte privatlivets fred, jf EMK art 8, må lovgivningen også være i henhold til EMK. Det vises til at disse prinsippene er uttrykkelig innarbeidet i art 6 (2) TEU. Vi- dere påpekes at direktivet selv, i art 1 (1) og fortalens premiss 10 og 11, slår fast at medlemsstatene skal sikre beskyttelsen av fysiske personers grunnleggende rettigheter og frihetsrettigheter, især retten til privatlivets fred, i forbindelse med behandling av personopplysninger.215
I senere avgjørelser som f eks Promusicae, som gjelder tolkningen av kommuni- kasjonsverndirektivet, viser Domstolen til direktivets fortale premiss 2 om at direktivets formål er å overholde de grunnleggende rettigheter og respektere de prinsipper som anerkjennes «i især Charteret».216 Domstolen viser til at art 7 i det vesentlige gjengir EMK art 8, mens Charterets art 8 utrykkelig proklamerer retten til personopplysningsvern. EUs Charter art 7 og 8 har også vært utgangs- punktet for EU-domstolens vurderinger i senere prinsipielle saker, for eksempel i avgjørelsen vedrørende datalagringsdirektivet (anses stridende mot charteret og derfor ugyldig),217 Xxxxx Xxxxxxxx (retten til å få slettet søkeresultater hos søkemotorer)218 og Maxilliam Schrems (Safe Harbor anses ugyldig).219
2.4.6 Forslag til ny personvernforordning
Utover 2000-tallet ble det stadig klarere at det var behov for en revisjon av EUs personverndirektiv. Blant annet er det blitt pekt på at direktivet er blitt imple- mentert og praktisert forskjellig i medlemslandene, noe som gjør at direktivet ikke realiserer formålet med å gi et høyt og harmonisert vernenivå for person- opplysninger. Ulik praktisering av regelverket innebærer også at virksomheter som er etablert i flere medlemsland må bruke store ressurser på rette seg etter hvert lands regelverk og tilsynspraksis. Det er også blitt anført at den teknolo- giske utviklingen har løpt fra et regelverk som ble fremforhandlet tidlig på 1990-tallet, og som derfor er utfordrende å anvende og håndheve på for eksem-
214 Jf sak C-465/00, C-138/01 og C-139/01, Rechnungshof mot Österreichischer Rundfunk m. fl og Xxxxxxx Xxxxxxx og Xxxxxx Xxxxxxxxx mot Österreichischer Rundfunk, Sml. 2003 s. I-4989.
215 Se Rechnungshof, premiss 68-70.
216 Jf sak C-275/06, Productores de Música de España (Promusicae) mot Telefónica de Espanã, Sml. 2008 s. I-271, premiss 64.
217 Forente saker C-239/12 og C-594/12, Digital Rights Ireland (Datalagringsdirektivet).
218 Sak C-131/12, Xxxxx Xxxxxxx Xxxxxxxx mot Google Spain (Right to be forgotten). 219 Sak C-362/14, Maxilliam Schrems mot Data protection Commissioner (Safe Harbor)
pel nye løsninger innen Big Data, sosiale medier, tingenes internett, skytjenester og biometri.
Lenge var det ventet at EU ville foreslå omfattende oppdatering av gjeldende personverndirektiv. Det er imidlertid nå klart at EU vil gjennomføre en omfat- tende personvernreform gjennom en ny personvernforordning som vil erstatte dagens personverndirektiv. Bakgrunnen for at det er foreslått en forordning og ikke et revidert direktiv, er at en forordning vil gi bedre harmonisering av lov- givningen i medlemslandene. I motsetning til direktiver, som forutsetter gjen- nomføring i medlemslandene gjennom nasjonal lovgivning, har en forordning direkte virkning.
EU-kommisjonen la frem sitt forslag til ny personvernforordning i 2012.220 EU-parlamentet vedtok sin versjon av forordningsteksten i mars 2014,221 og Rå- det la frem sitt utkast 15. juni 2015.222 Den endelige forordningen vil være det som blir resultatet av trialogforhandlingene mellom Kommisjonen, Rådet og Parlamentet. Forordningen i sin endelige utforming er forventet å bli vedtatt i desember 2015 eller tidlig 2016, og vil deretter ventelig tre i kraft senest etter to år. Forordningen vil, når den trer i kraft, erstatte personopplysningsloven og (avhengig av gjennomføringen i norsk rett) gjelde direkte som norsk lov.
Selv om det er for tidlig å si noe endelig om detaljene i de nye reglene, følger det av utkastene som er blitt fremmet at forordningen bygger videre på de samme grunnprinsipper og begreper som vi kjenner fra personverndirektivet. De regu- latoriske virkemidlene er imidlertid vektet noe annerledes enn i direktivet.
Når det gjelder bokens tema vedrørende persovnernøkende identitetsforvalt- ning er det særlig sentralt å peke på at forordningen går langt i å stille krav om
For øvrig er det viktig å trekke frem at forordningen vil stille økte krav til doku- mentasjon av virksomhetens behandling av personopplysninger. Dokumenta-
220 Commission proposal for a General Data Protection Regulation, COM(2012) 11 final, 25. ja- nuar 2012.
221 European Parliament legislative resolution on the proposal for a General Data Protection Re- gulation, 2012/011(COD), 12. mars 2014.
222 Council of the European Uninon proposal for at General Data Protection Regulation, 2012/011 (COD), 11. juni 2015.
sjonskravene har store likhetstrekk med det vi kjenner som internkontroll i norsk rett. Virksomheter som har på plass en god internkontroll etter norske regler antas derfor å ha et godt utgangspunkt for å tilpasse seg forordningens dokumentasjonskrav.
Det er også ventet at forordningen vil gå lenger enn direktivet i å stille krav til informasjonssikkerhet. Et viktig formål med reglene er å gi et effektivt vern, samtidig som man ønsker å unngå unødvendige byrder for næringslivet («cut- ting red tape for businesses»). Dette gir seg utslag i at mange av reglene i forord- ningen forutsetter at den ansvarlige virksomheten får på plass tiltak som står i forhold til personvernrisikoen.
Et sentralt mål for forordningen er å sikre europeiske borgeres rettigheter i møte med en stadig mer globalisert økonomi. Ut fra forslagene som er blitt fremmet antas det at reglene i betydelig utstrekning også vil gjelde overfor virksomheter som er etablert utenfor EØS, men som tilbyr varer, tjenester innenfor EØS-om- rådet eller monitorer europeiske borgere. For internasjonale virksomheter som er etablert i flere land i EØS-området vil forordningen kunne innebære at det blir enklere å etterleve regelverket, idet det skal være mulig å forholde seg til bare ett Datatilsyn («one continent one law»).
Det er også grunn til å minne om at Snowden-avsløringene i 2013 om omfatten- de myndighetsmisbruk av personopplysninger ble en vekker for europeiske myndigheter. Dette har blant annet ført til økt fokus på gjeldende regler for overføring av personopplysninger og vern mot innsyn fra utenlandske myndig- heter.223 I all hovedsak vil dagens regler for overføring av personopplysninger videreføres. Det er imidlertid forventet en kodifisering av dagens praksis knyttet til BCR/BCRP, og at EU-kommisjonen vil ha en særlig rolle med å påse at ulike overføringsgrunnlag gir tilstrekkelig vern for europeiske borgere (jf. også kri- tikk knyttet til Safe Harbor som i 2015 ble kjent ugyldig av EU-domstolen).
Innenfor området for profilering, markedsføring og «Big Data» er det ventet at forordningen, i tillegg til kravene om innebygd personvern, vil stille strengere krav til klar og tydelig informasjon og samtykke. Et viktig mål med forordnin- gen er at den enkelte skal settes i stand til å forstå og ha kontroll over bruk av egne personopplysninger, og at det skal være enklere å få slettet opplysninger («right to be forgotten»).
223 Se nærmere Xxxxx, Xxxxxx «Utlevering av opplysninger til utenlandske myndigheter», Lov&- Data, nr 3, 2015.
Avslutningsvis skal det nevnes at sanksjonene er forventet å bli langt strengere under forordningen. For gjentatte eller svært grove overtredelser er det ventet at tilsynsmyndighetene vil kunne gi bøter opp til Euro 100 millioner, eller opp til 5 % av virksomhetens årlige omsetning. Dette vil kunne gi et kraftig insentiv for virksomheter til å ta etterlevelse av regelverket på alvor og løfte viktige beslut- ninger vedrørende personvern opp til virksomhetens ledelse og styre.
2.5 Grunnleggende personvernprinsipper
De aller fleste internasjonale og nasjonale regler for vern av personopplysninger er tuftet på et sett med felles grunnsprinsipper. Også norsk personopplysnings- rett, som er utgangspunktet for de videre rettslige analyser, bygger på de samme grunnprinsipper. Redegjørelsen for grunnprinsippene er ment å gi en nødven- dig oversikt over regelverkets grunnstruktur og systematikk, og det vil aktivt bli trukket veksler på prinsippene i de rettslige analyser.
I juridisk teori er personvernprinsippene beskrevet som «abstraksjoner som oppsummerer kjernen i et sett rettsregler».224 Det er videre blitt påpekt at de har normativ kraft i seg selv, enten ved at de er inkorporert i lovgivningen som selv- stendige regler eller ved at de fungerer som retningslinjer for datatilsynsmyndig- heters skjønnsmessige avveininger. I tillegg er det påpekt at prinsippene påvir- ker utforming av ny lovgivning. Siden flere av personvernprinsippene overlapper på flere punkter er det rom for å diskutere hvor mange prinsipper man skal operere med og hva som er den mest hensiktsmessige rekkefølge. Når fremstil- lingen her avviker noe fra tidligere «norske» fremstillinger er det først og fremst for å knytte prinsippene opp mot identitetsforvaltning og for å belyse prinsippe- nes innbyrdes sammenheng og systematikk.
Det er også viktig å presisere at personvernprinsippene primært beskriver de grunnleggende prinsippene som gjelder for behandlingsansvarliges behandling av personopplysninger. Slik prinsippene er fremstilt her beskriver de ikke per- sonverndirektivets viktige regler om tilsyn og kontroll gjennom uavhengige da- tatilsynsmyndigheter. Prinsippene gjenspeiler heller ikke det viktige skillet mel- lom behandling av opplysninger innen EU/EØS og de regler som gjelder for overføring av personopplysninger til tredjeland.
224 Schartum og Xxxxxxx, Personvern i informasjonssamfunnet: en innføring i vern av personopp- lysninger, Bergen 2011, s 100. Fremstillingen i Schartum og Xxxxxxx bygger på analysen i By- grave, Data protection law: approaching its rationale, logic and limits, The Hague 2002, s 57-69. Se også Xxxxxxx, Data Privacy Law: An International Perspective, Oxford 2014, kapittel 5.
2.5.1 Prinsippet om rettferdig og rettmessig behandling
Prinsippet om rettferdig og rettmessig behandling kan sies å være overordnet de andre prinsippene idet det både genererer og forutsetter de andre personvern- prinsippene. Prinsippet kommer direkte til uttrykk i personverndirektivet art 6
(1) a) som slår fast at personopplysninger skal behandles på «rimelig og lovlig vis». I direktivets fortale premiss 28 knyttes prinsippet særlig til kravet til angivelse av et eksplisitt og legitimt formål ved innsamling av personopplysningene: «Opplys- ningene må særlig være adekvate, relevante og ikke for omfattende i forhold til de formål de behandles for», og formål som fastsettes etter innsamlingen «må ikke være uforenlige med formålene slik de opprinnelig ble fastsatt.» I forhold til per- sonopplysningslovens systematikk korresponderer dette i stor grad med grunn- kravene i § 11. Bestemmelsen stiller krav til behandlingsgrunnlag samt overhol- delse av prinsippene formålsbestemthet, minimalitet og datakvalitet.
I direktivets fortale premiss 38 er kravet til rettferdig behandling særlig knyttet til at den registrerte skal ha kunnskap og informasjon om behandlingen:
«En rettferdig behandling av opplysninger forutsetter at den registrerte kan få kjenn- skap til at en slik behandling eksisterer og, når det samles inn opplysninger fra ved- kommende, kan få nøyaktige og fullstendige opplysninger om de nærmere omstendig- hetene ved innsamlingen.»
I juridisk teori er det gjerne lagt til grunn at rettferdig behandling er noe utover at behandlingen skal være rettmessig/lovlig. Særlig er det fremhevet at den be- handlingsansvarlige skal ha «respekt for den registrertes interesser og rimelige forventninger».225 Schartum og Xxxxxxx peker i denne forbindelse blant annet på at inngrepet som behandlingen innebærer ikke skal være uforholdsmessig og at innsamling og videre behandling skal være gjennomsiktig og forståelig for den registrerte. De peker videre på at prinsippet har relevans og betydning for utvik- ling av systemer for behandling av personopplysninger. Med hensyn til imple- mentering av identitetsforvaltningstjenester blir dette særlig et spørsmål om hvordan brukeren best kan settes i stand til å treffe informerte beslutninger ved- rørende utveksling av egne personopplysninger. Mange av de sentrale kravene som skal sikre at brukeren kan utøve slik autonomi er det naturlig å behandle i tilknytning til prinsippet brukermedvirkning og kontroll.
2.5.2 Brukermedvirkning og kontroll
Prinsippet om brukermedvirkning og kontroll innebærer i følge juridisk teori at den registrerte «skal kunne delta i og ha en viss mulighet til å påvirke andres
225 Se Schartum og Xxxxxxx, Personvern i informasjonssamfunnet: en innføring i vern av person- opplysninger, Bergen 2011, s 101.
behandling av opplysninger om den registrerte.»226 Xxxxxxx påpeker at det er sjelden prinsippet uttrykkes som sådan i personopplysningsregelverk, men at prinsippet manifisterer seg gjennom kombinasjoner av flere kategorier av reg- ler.227 En første kategori er f eks regler om meldeplikt som på generelt grunnlag skal heve bevisstheten om behandling av personopplysinger. En annen kategori er bestemmelser som skal bidra til at den registrerte har kunnskap og innflytelse på behandlingen. En tredje kategori gjelder regler som gir rett til innsyn i be- handlingsansvarliges behandlingsrutiner og/eller egne opplysninger. Den fjerde og siste kategorien gjelder regler som gir den registrerte rett til å nekte videre behandling eller til å få rettet eller slettet opplysninger.
Et viktig hensyn bak utviklingen av standarder for relasjonsorientert identitets- forvaltning er at brukeren selv skal ha kontroll på utveksling av egne opplysnin- ger. Med begreper som «user-centric identity management» eller «brukerorien- tert identitetsforvaltning» menes gjerne at man setter brukeren i sentrum og at denne på informert grunnlag samtykker til utveksling av egne opplysninger.228 Siden brukerperspektivet er så sentralt ved identitetsforvaltning, er det naturlig å rette fokuset mot reglene knyttet til kategori nr to over. Disse reglene regulerer blant annet hvorvidt samtykke skal være prioritert behandlingsgrunnlag, hvor- vidt opplysningene skal innsamles direkte fra den registrerte samt krav til for- midling av informasjon om behandlingen. Vi kommer tilbake til hvilke krav prinsippet om brukermedvirkning og kontroll stiller til identitetsforvaltning i kapittel 7.
Det er viktig å poengtere at personverndirektivet og personopplysningsloven er ansett å bygge på et liberalt idégrunnlag hvor den enkelte selv skal kunne be- stemme over og kontrollere bruken av egne personopplysinger. Samtykke har derfor en sentral plass som behandlingsgrunnlag, selv om Personvernnemnda i senere praksis har slått fast at de alternative behandlingsgrunnlagene er likestil- te.229 Av alle de grunnleggende prinsippene er det prinsippet om brukermed- virkning og kontroll som klarest fremmer hensynet til autonomi vedrørende behandling av egne personopplysninger. Det kan diskuteres om begrepet bru- kermedvirkning er treffende, og om ikke karakteristikken gitt innledningsvis om at den registrerte skal ha en «viss mulighet» til å påvirke andres behandling
226 Schartum og Xxxxxxx, Personvern i informasjonssamfunnet: en innføring i vern av personopp- lysninger, Bergen 2011, s 103. Forfatterne omtaler prinsippet som «medvirkning». Xxxxxxx om- taler derimot prinsippet som «data subject participation and control», jf Xxxxxxx, Data prote- ction law: approaching its rationale, logic and limits, The Hague 2002, s 63.
227 Se Xxxxxxx, Data protection law: approaching its rationale, logic and limits, The Hague 2002, s 63-65.
228 Se nærmere om brukerorientert identitetsforvaltning i kap 5.
229 Se nærmere redegjørelse for prioritering av samtykke, lov og nødvendighetsgrunner i bokens kap 7.4.2.
er en underdrivelse av prinsippet rettslige innhold. Begrepsbruken og beskrivel- sen kan imidlertid forsvares ved at opplysninger i mange tilfeller også kan be- handles med hjemmel i lov eller en av nødvendighetsgrunnene.
2.5.3 Prinsippet om formålsbestemthet
Prinsippet om formålsbestemthet kommer til uttrykk i personverndirektivet art 6 (1) b) som slår fast at medlemsstatene skal fastsette bestemmelser om at personopplysninger:
«skal innsamles til bestemte, uttrykkelig angitte og berettigede formål samt at senere behandling ikke skal være uforenlig med disse formålene.»
Som observert av Xxxxxxx innebærer prinsippet i realiteten tre krav.230 Prinsip- pet stiller for det første krav til at det angis et formål ved innsamling av person- opplysninger.231 For det andre stilles det krav til formålets presisjon, angivelse og innhold: slike formål skal være «bestemte, uttrykkelig angitte og berettigede». For det tredje oppstiller prinsippet begrensninger på videre behandling av per- sonopplysninger, idet slik behandling ikke kan være «uforenlig» med det opp- rinnelige angitte formålet.
Kravet til formålsangivelse danner grunnlaget for vurderinger som må gjøres i henhold til flere av de andre grunnleggende prinsippene. I følge minimalitets- prinsippet skal det i utgangspunktet ikke behandles flere opplysninger enn det som er nødvendig for formålet. Videre er formålet utgangspunktet for å vurdere hvilke krav som skal stilles til blant annet korrekthet og oppdaterthet etter data- kvalitetsprinsippet. Prinsippet om brukermedvirkning og kontroll stiller for før- ste krav til at brukeren gjøres kjent med formålet gjennom regler om blant annet meldeplikt, informasjonsplikt og innsynsrett. Videre vil formålsbestemthets- prinsippets krav til formålets angivelse og presisjon, jf nr to over, være avgjøren- de for at det kan sies å foreligge et uttrykkelig og informert samtykke.232
2.5.4 Prinsippet om minimalitet
Kjernen i det såkalte minimalitetsprinsippet er at mengden personopplysninger skal begrenses til det som er nødvendig for å realisere formålet med innsamlin- gen og den videre behandlingen av personopplysningene. Mens prinsippet særlig retter oppmerksomheten mot innsamlingen av opplysninger, stilles det også krav til at allerede innsamlede opplysninger skal slettes eller anonymiseres når de
230 Xxxxxxx, Data protection law: approaching its rationale, logic and limits, The Hague 2002, s 61.
231 Merk at personopplysningsloven § 11 (1) c) etter ordlyden ikke knytter formålsangivelsen til innsamlingen av personopplysningene. Se nærmere om dette i kap 7.2 ««Innsamling» – skjæ- ringspunkt i forhold til formålsangivelse, behandlingsgrunnlag og informasjon».
232 Se nærmere om kravene til gyldig samtykke i kap 7.5.
ikke lenger er nødvendige for formålet. Prinsippet kommer blant annet til ut- trykk i personverndirektivet art 6 (1) c) og e) som slår fast at personopplysninger:
«c) skal være adekvate, relevante og ikke for omfattende i forhold til de formål de er innsamlet for og/eller senere behandles for, (...)
e) skal oppbevares på en måte som ikke gir mulighet til å identifisere de registrerte lenger enn nødvendig for det formål opplysningene er innsamlet for eller senere be- handles for.»
Minimalitetsprinsippet kommer dessuten til uttrykk i direktivets art 7 og 8 som gir adgang til å behandle personopplysninger i den grad det er nødvendig for nærmere angitte formål.233
De ovennevnte bestemmelsene er gjennomført i personopplysningloven § 11 (1)
d) og e) samt §§ 8 og 9. En iøyenfallende forskjell er imidlertid at pol § 11 (1) d) ikke gjengir kravet etter direktivets art 6 c) om at omfanget av opplysningene skal være «ikke for omfattende». I stedet slår bestemmelsen fast at opplysninge- ne skal være «tilstrekkelige» for formålet med behandlingen. Tilsynelatende kan det synes som om den norske lovgiver har ønsket å vektlegge fullstendighet fremfor minimalitet. Det følger imidlertid av forarbeidene at uttrykket «rele- vante» markerer en ytre grense for hvilke personopplysninger som kan trekkes inn i behandlingen.234 Det kan i alle tilfelle konkluderes med at minimalitets- prinsippet ikke er tydeliggjort i denne delen av loven.
Minimalitetsprinsippet slik det kommer til uttrykk i personverndirektivets og personopplysningslovens bestemmelser retter oppmerksomheten først og fremst mot omfanget av innsamlede opplysninger. Et stadig mer aktuelt spørs- mål er i hvilken grad minimalitetsprinsippet også legger føringer for eller stiller krav til transaksjonsminimalitet, dvs at brukeren kan samhandle anonymt eller under pseudonym med den behandlingsansvarlige. Xxxxxxx viser til at person- opplysningsretten sjelden stiller slike krav direkte,235 men at det er mulig å argu- mentere for at man kan lese slike krav inn i lovgivningens generelle bestemmel-
233 Se nærmere om tolkningen av nødvendighetskriteriet i forhold til inngåelse og oppfyllelse av avtale etter pol § 8 (1) a) i kap 7.6.
234 Ot prp nr 92 (1998-99), s 114.
235 Se Xxxxxxx, Data protection law: approaching its rationale, logic and limits, The Hague 2002, s 153:
«Express concern in data protection laws for the interest in anonymity tends to be muted. While most data protection laws provide for the anonymisation of personal data once the need for per- son-identification lapses, they do not contain rules stipulating that active consideration be given to crafting technical solutions for ensuring transactional anonymity. The closest they come to such a stipulation is in rules embodying the minimality principle, particularly those providing that per- sonal data must not be «excessive» in relation to the purposes for which they are processed.»
ser, særlig når bestemmelsene sees i sammenheng.236 Schartum og Xxxxxxx peker på at «hvorvidt minimalitetsprinsippet kan utvides til et eget prinsipp om ano- nymitet er diskutabelt, men det bør åpenbart begrunne at teknologiske og orga- nisatoriske tiltak bør legge til rette for anonymitet.» Videre anfører forfatterne at prinsippet likeledes kan begrunne krav om at en transaksjon skal kunne full- føres ved bruk av pseudonymer som gjør det vanskelig å identifisere vedkom- mende person, hvis anonymitet ikke er mulig.237
Tydeligere krav og føringer for transaksjonsminimalitet fremgår imidlertid av personopplysningsregelverket innenfor elektronisk kommunikasjon. Dette fremgår av kommunikasjonverndirektivets art 6 (1), og ikke minst av følgende understrekning i fortalens premiss 30:238
«Systems for the provision of electronic communications networks and services should be designed to limit the amount of personal data necessary to a strict minimum. Any activities related to the provision of the electronic communications service that go beyond the transmission of a communication and the billing thereof should be based on aggregated, traffic data that cannot be related to subscribers or users. Where such activities cannot be based on aggregated data, they should be considered as value ad- ded services for which the consent of the subscriber is required.»
Personverndirektivet og kommunikasjonverndirektivets bestemmelser går imidlertid ikke så langt som f eks tysklands føderale personopplysningslov § 3a:
Ǥ 3a Data reduction and data economy
Data processing systems are to be designed and selected in accordance with the aim of collecting, processing or using no personal data or as little personal data as possible. In particular, use is to be made of the possibilities for aliasing and rendering persons anonymous, in so far as this is possible and the effort involved is reasonable in relation to the desired level of protection.»239
236 Se Xxxxxxx, Data protection law: approaching its rationale, logic and limits, The Hague 2002, s 60: «It is arguable, though, that such requirements may be read in to the more commonly fo- und provisions (...) in which the minimality principle is manifest, particularly when these provisions are considered as a totality».
237 Se Schartum og Xxxxxxx, Personvern i informasjonssamfunnet: en innføring i vern av person- opplysninger, Bergen 2011, s 102.
238 Siden det ikke finnes noen autorativ norsk oversettelse av kommunikasjonsverndirektivet be- nytter jeg her den engelske versjonen.
239 Bundesdatenschutzgesetz (sist endret 15. november 2006). Engelsk oversettelse hentet fra The Federal Commissioner for Data Protection and Freedom of Information: xxxx://xxx.xxxx. xxxx.xx/xxx_000/XX/XxxxXxxxxxxxxxXxxx/XxxxXxxxxxxxxxXxxx_xxxx.xxxx, sist nedlastet 14. september 2009.
Selv om man kan diskutere rekkevidden av minimalitetsprinsippet slik det kommer til uttrykk i EU-direktivene og i norsk gjennomføringslovgivning, er spørsmålet om transaksjonsminimalitet likefullt et stadig mer sentralt rettspo- litisk spørsmål. Internasjonalt har dette kommet til uttrykk i en rekke rekom- mendasjoner som tar til orde for å legge til rette for transaksjonsminimalitet, både i forhold til Internett generelt og identitetsforvaltning spesielt.240 Tilsva- rende synspunkter er også blitt fremmet i Norge, av Datatilsynet241 og i Regje- ringens IKT-politikk, hvor det fremheves «at det fremdeles må være tilbud om anonyme løsninger i sammenhenger der det ikke er nødvendig å identifisere seg.»242 Flere av Personvernkommisjonens tilrådinger kan også knyttes til trans- aksjonsminimalitet, blant annet hva gjelder anvendelse av personvernfremmen- de teknologier, mulighet for anonyme ytringer på Internett og sporfrie og/eller anonyme løsninger for betaling og bruk av transporttjenester.243
Transaksjonsminimalitet har også vært et av de sentrale spørsmålene ved utar- beidelsen av retningslinjer for autentisering og identidentitsforvaltningsløsnin- ger. Den rettslige statusen til slike retningslinjer varierer, men selv om de ikke er rettslig bindende kan de likefullt ha en viktig rolle i å utfylle lovgivningen eller danne grunnlag for nye bestemmelser. Det kan også argumenteres for at sterke avvik fra toneangivende retningslinjer og rådende oppfatninger på området vil kunne være i strid med prinsippet om rettferdig og rettmessig behandling. Sær- lig toneangivende er retningslinjer fra Center for Democracy and Technology som blant annet slår fast at det bare bør benyttes individuell autentisering når det er nødvendig og at autentiseringsløsninger ikke bør samle inn og lagre annen informasjon enn den som er nødvendig for å gjennomføre autentiserings-
240 Se f eks Artikkel 29-gruppen, Anonymity on the Internet, (1997) og Artikkel 29-gruppen, Wor- king Document on on-line authentication services, (2003).
241 Datatilsynet har særlig fremhevet retten til å ferdes anonymt, jf følgende prinsipp om anony- mitet: «Borgeren har krav på å ferdes anonymt. Når nye teknologiske løsninger tas i bruk, skal det legges til rette for at det fortsatt finnes muligheter til anonym ferdsel». Se Datatilsynet, Personvernrapporten 2009, Xxxxxxxxxxxx.xx, 2009, s 4.
242 Se Fornyings- og administrasjonsdepartementet, Eit informasjonssamfunn for alle, 2006 ka- pittel 8.3.3 «Retten til å være anonym». Se nærmere om den rettspolitiske debatten knyttet til personvernøkende teknologi og anonymitet i kap 2.3.3.
243 Se NOU 2009: 1 Individ og integritet – Personvern i det digitale samfunnet, kap 10.1.2 «Ano- nyme alternativer, kap 13.3.8 «Retten til anonymitet» og kap 17.6 om Personvernkommisjo- nens tilrådinger i forhold til transport og kommunikasjonssektoren.
funksjonen.244 Teknologirådet har i sin rapport gitt sin tilslutning til CDTs prin- sipper.245 Krav eller hensyn til minimalitet er imidlertid ikke nevnt i ramme- verket for autentisering og uavviselighet i elektronisk kommunikasjon med og i offentlig sektor.246
Videre i boken redegjør jeg for hvordan transaksjonsminimalitet konseptuelt kan oppnås gjennom rolle- og attributtautentisering samt pseudonyme identifi- katorer (kapittel 3 og 4). Videre viser jeg hvordan slik rolle og attributtautentise- ring kan realiseres gjennom løsninger for relasjonsorientert identitetsforvalt- ning (kapittel 5).
2.5.5 Prinsippet om datakvalitet
Prinsippet om datakvalitet stiller krav til at personopplysninger som behandles er av tilstrekkelig kvalitet i forhold formålet med behandlingen. Prinsippet kommer til uttrykk i personopplysningsloven § 11 d) og e), som slår fast at den behandlingsansvarlige skal sørge for at personopplysningene som behandles:
«d) er tilstrekkelige og relevante for formålet med behandlingen, og
e) korrekte og oppdatert,»
Bestemmelsene gjennomfører personverndirektivet art 6 (1) c) og d), og av sist- nevnte fremgår det også at den behandlingsansvarlige skal etablere tiltak, jf
«every reasonable step must be taken», for å sikre at opplysningene holder til- strekkelig kvalitet.
Når det gjelder identitetsforvaltning er prinsippet om datakvalitet sentralt med hensyn til å vurdere hvilke krav som skal stilles til de tre grunnleggende fasene innrullering, løpende autentisering og autorisering.247 Dersom f eks sviktende
244 Se Center for Democracy and Technology, Privacy Principles for Authentication Systems, 2003, xxxx://xxx.xxx.xxx/xxxxxxx/xxxxxxxxxxxxxx/000000xxxxxxx.xxx, sist nedlastet 7. april 2009, prinsipp nr 3 og 5. Et tilsvarende minimalitetsprinsipp er kommet til uttrykk i Cameron, Laws of Identity, 2007, prinsipp nr 2: «Minimal Disclosure for a Constrained Use». Sammenliknin- ger av personopplysningslovgivning (Fair information practices) og Xxxxxxxx/Microsofts «7 Laws of Identity» viser at de to settene med prinsipper «are highly complementary and inform each other». Se Information and Privacy Commissioner of Ontario, 7 Laws of identity – The case for privacy-embedded laws of identity in the digital age Ukjent dato, s 3.
245 Se Teknologirådet, Elektroniske spor og personvern, 2005, s 44-45. Se også Datatilsynet, E-for- valtning – Datatilsynets tilrådning til regjeringen, Xxxxxxxxxxxx.xx, 2007, s 6, hvor tilsynet tilrå- der regjeringen om at det «trekkes opp retningslinjer som sikrer at identifisering kun skjer når det er reelt behov for sådan».
246 Se Fornyings- og administrasjonsdepartementet, Rammeverk for autentisering og uavviselig- het i elektronisk kommunikasjon med og i offentlig sektor, Oslo, 2008. Se nærmere redegjørelse for rammeverket i kap 3.5.2.
247 Se nærmere om disse fasene i kap 3.4.2.
rutiner knyttet til autentisering i innrulleringsfasen fører til en forveksling av to eller flere personer, vil dette, sett i lys av formålet med behandlingen, kunne være i strid med prinsippet om datakvalitet. Prinsippet om datakvalitet er for- øvrig ikke til hinder for at brukeren kan opptre anonymt eller under pseudonym dersom dette ellers er forenlig med formålet med behandlingen.248
2.5.6 Informasjonssikkerhet
Prinsippet om informasjonssikkerhet kommer til uttrykk i personopplysnings- loven § 13 som stiller krav til «tilfredsstillende informasjonssikkerhet med hen- syn til konfidensialitet, integritet og tilgjengelighet ved behandling av person- opplysninger.»
Bestemmelsen gjennomfører personverndirektivet art 17 som understreker at den behandlingsansvarlige skal implementere «hensiktsmessige tekniske og or- gnisatoriske tiltak». Sentralt i så måte er bestemmelsens andre ledd som stiller krav til at den behandlingsansvarlige bare velger databehandlere som kan sørge for tilfredsstillende informasjonssikkerhet. I følge art 17 (3) skal det foreligge en avtale mellom den behandlingsansvarlige og databehandleren som pålegger da- tabehandleren å følge den behandlingsansvarliges instrukser og som gjør data- behandleren oppmerksom på vedkommendes selvstendige ansvar for å følge reglene om informasjonssikkerhet.
Vi kommer tilbake de roller og oppgaver som følger av personopplysningslovens og -forskriftens krav til informasjonssikkerhet i kapittel 6. Redegjørelsen vil vise at bestemmelsene om organiseringen av forholdet mellom behandlingansvarlig og databehandler har betydning utover hensynet til informasjonsikkerhet.
2.5.7 Sensitivitet
Personopplysningsrettens sensitivitetsprinsipp innebærer at bestemte opplys- ningskategorier, for så vidt uavhengig av bruksområde og kontekst, anses som særlig ømfintelig og skal derfor være undergitt et strengere vern. Personverndi- rektivet art 8 (1) angir en uttømmende liste over opplysningstyper som det i ut- gangspunktet er forbudt å behandle, med mindre vilkårene for å behandle slike opplysninger er oppfylt.
Av personverndirektivet art 8 (7) fremkommer det også at nasjonale identifika- sjonsnumre og andre identifikasjonsnumre til generell anvendelse anses som opplysningstyper som har særlig innvirkning på personvernet. Direktivet stiller krav til at medlemsstatene har regulering som slår fast vilkårene for å anvende
248 Se om datakvalitetsprinsippet som grunnlag for å vurdere hvilke krav som skal stilles til au- tentisering i kap 7.8.2.1.
slike identifikatorer. Adgangen til å behandle det norske fødselsnummeret er regulert i pol § 12. Med hensyn til identitetsforvaltning er det viktig å være opp- merksom på at Personvernnemnda har presisert at fødselsnummeret bare kan benyttes til identifisering, ikke autentisering.249
249 Se PVN–2003-6 «Norsk Rikstoto». Se nærmere om adgangen til å behandle fødselsnummer i kap 7.8.2.3.
3 Identitet og identitetsforvaltning – utfordringer og begreper
3.1 Innledning
I dette kapitlet skal vi se nærmere på de viktigste premissene for å etablere løs- ninger for identitetsforvaltning over Internett. Med utgangspunkt i Internetts grunnleggende infrastruktur er formålet å innføre en hensiktsmessig systema- tikk og begrepsbruk. Systematikken og terminogien er utformet både med hen- blikk på senere beskrivelser av standarder og løsninger for identitetsforvaltning samt drøftelser av de personopplysningsrettslige spørsmålene som slike løsnin- ger reiser.
I kapittel 3.4 redegjør jeg for identitet og identitetsforvaltning. Redegjørelsen vil vise at «identitet» er et svært vidt begrep med varierende meningsinnhold. For å klargjøre viktige aspekter knyttet til identitet, skiller jeg derfor mellom fysiske individer, individers ulike roller og brukerkontoer knyttet til slike roller. Sondringen mellom individ og roller er viktig for å synliggjøre at beslutninger om autorisering ikke nødvendigvis forutsetter at man har brakt den enkeltes
«ene og sanne identitet» på det rene. Snarere vil det i mange tilfeller være mer hensiktsmessig å få autentisert den rollen som er relevant i den aktuelle kon- tekst.
Kapitlet introduserer også viktig systematikk vedrørende grunnleggende faser for identitetsforvalting. I de fleste tilfeller er det hensiktsmessig å skille mellom innrullering, løpende autentisering og autorisering. Innrullering omfatter gjer- ne initiell autentisering og tildeling av identifikator og autentiseringsmekanis- me. Løpende autentisering er når brukeren kommer tilbake og identifiserer og autentiserer seg ved hjelp av identifikatoren og autentiseringsmekanismen. Au-
torisering gjelder hvilke ressurser og tjenester brukeren skal ha tilgang til basert på den foregående løpende autentisering.
Hva som nærmere menes med autentisering blir drøftet i kapittel 3.5. Oppmerk- somheten rettes her mot hva som skal autentiseres, hvordan man autentiserer og hvilken styrke autentiseringen må ha. Det redegjøres særlig for autentisering basert på fysiske og digitale akkreditiv, biometri samt PKI og sertifikattjenester. Avslutningsvis redegjør jeg for rammeverket for autentisering og uaviselighet ved elektronisk samhandling med og i offentlig sektor,250 som definerer risiko- og sikkerhetsnivåer som grunnlag for felles autentiseringstjenester.
3.2 Internetts arkitektur – identitetsforvaltning i nivåer og faser
Identifisering og autentisering av personer og maskiner over åpne kommunika- sjonsnett kan skje ved hjelp av forskjellige metoder og på forskjellige nivåer. Hvilke tiltak som kreves for å sikre tilfredsstillende identifisering og autentise- ring av partene vil i stor grad være avhengig av hvilket sikkerhetsnivå som kre- ves for samhandlingen. Vurderingen av hvilke tiltak som kreves for å sikre til- fredsstillende identifisering og autentisering vil være med utgangspunkt i de kommunikasjonstjenestene partene benytter seg av og i hvilken grad disse til- fredsstiller partenes behov. I de fleste tilfeller vil identitetsforvaltning innebære et nært samspill mellom den underliggende tekniske kommunikasjonen (felles infrastruktur) og de individuelle organisatoriske og systemtekniske valg hos partene som samhandler. I det følgende gis en overordnet beskrivelse av de tek- niske og organisatoriske premissene for identitetsforvaltning over internett. Hovedsiktemålet med beskrivelsen er å gi oversikt over problemstillingene og å innføre en systematikk som er hensiktsmessig for senere drøftelser av de person- opplysningsrettslige aspektene ved identitetsforvaltning.
Utgangspunktet for den videre systematikk er Internetts lagdelte arkitektur av protokoller og tjenester. Denne lagdelte arkitekturen gir anledning til å innføre et skille mellom det jeg har kalt tjenestelaget som primært retter seg mot identi- fisering og autentisering av brukeren, og kommunikasjonslaget som primært har til oppgave å sørge for den underliggende kommunikasjon, samt identifisering og autentisering av de samhandlende partenes maskin- og programvare. Med utgangspunkt i disse to lagene gis en oversikt over ulike relasjoner som aktuali- serer identitetsforvaltningsspørsmål (kapittel 3.3.1-3.3.3).
250 Fornyings- og administrasjonsdepartementet, Rammeverk for autentisering og uavviselighet i elektronisk kommunikasjon med og i offentlig sektor, Oslo, 2008.
En annen viktig sondring som ligger til grunn for bokens systematikk er skillet mellom transaksjonsfasen og videre behandling (kapittel 3.2.3). Transaksjons- fasen betegner fasen hvor brukeren vil kunne ha kontroll over identifiserende elementer og andre personopplysninger, mens fasen videre behandling betegner virksomhetens eventuelle videre behandling av personopplysninger hvor bruke- rens kontroll og innflytelse normalt vil være svekket.
3.2.1 Internettets arkitektur: lagdeling av protokoller og tjenester
Internett er et verdensomspennende nettverk av datanett som gjør det mulig å utveksle data mellom datamaskiner som er tilknyttet nettverket. For at et nett skal være en del av Internett må det følge den tekniske Internett-standarden TCP/IP og være i stand til å utveksle informasjon med de øvrige nettene som er koblet til Internett. Til grunn for praktisk talt all datatrafikk på Internett finner vi protokollene251 TCP (Transmission Control Protocol) og IP (Internet Pro- tocol). Protokollene TCP og IP er så sentrale for virkemåten til Internett at de ofte blir omtalt som par: «TCP/IP». Videre blir betegnelsen «TCP/IP-baserte nett» gjerne brukt synonymt med nett som følger Internettstandarden.252
De to protokollene har klart definerte oppgaver. TCP sørger for transport av informa- sjonspakker, og IP sørger for adressering av pakkene. TCP omtales gjerne som en for- bindelsesorientert og sikker protokoll.253 I dette ligger det at de tjenestene som gjør bruk av TCP kan stole på at den sekvens av pakker som ble sendt avsender er den samme som kommer frem til mottaker. I korte trekk er det TCP som hos avsender deler informasjonen i IP-pakker, indekserer hver enkelt pakke og legger på feilsjek- kingsinformasjon. På mottakersiden benytter TCP indekseringen og feilsjekkingsin- formasjonen til å sette informasjonen sammen igjen, samt at mottaker kan få en kvit- tering når informasjonen er mottatt. Dersom datapakkene kommer frem i feil rekkefølge vil TCP sørge for å ordne dem i rett rekkefølge, og dersom det mangler pakker vil TCP sørge for å få de som mangler tilsendt på nytt. Hver pakke er merket
251 En protokoll angir et standardisert sett med meldinger med tilhørende semantikk. Se Xxxxx- xxx, Hva er internett, Oslo 2005, s 25-27 og Tanenbaum, Computer networks, 4th, Upper Saddle River, N.J. 2003, s 27.
252 TCP/IP ble opprinnelig definert for ARPAnet, forløperen for det vi i dag omtaler som Inter- nett. Se Cerf og Xxxx, «A Protocol for Packet Network Intercommunication», IEEE Transacti- ons on Communications [legacy, pre – 1988], 5, 1974, s 637-648. Formålet med ARPAnet, som var finansiert av det amerikanske forsvarets forskningsråd (Advanced Research Projects Agency, ARPA), var å lage et nettverk som tillot ARPA-finansierte institusjoner å samarbeide om bruk av kostbart utstyr. Se nærmere om Internetts historie i Bing, «Building Cyberspace: A Brief History of the Internet», I: Internet Governance, Xxxxxxx og Bing (red), 2009, s 8-47 og Xxxxxxxx, Hva er internett, Oslo 2005, kapittel 1.
253 Se Hannemyr, Hva er internett, Oslo 2005, s 62 og Tanenbaum, Computer networks, 4th, Up- per Saddle River, N.J. 2003, s 532.
med den unike IP-adressen til mottakerens datamaskin slik at ruterne i nettverket vet hvor pakkene skal sendes videre.254
IP er en pakkesvitsjet og forbindelsesfri protokoll, det vil si at hver melding deles opp i IP-pakker (datagrammer) hvor hver pakke finner sin vei gjennom nettet uavhengig av alle de andre pakkene i meldingssekvensen.255 Pakkesvitsjing medfører en mer effektiv bruk av nettverket enn linjesvitsjing, hvor man under kommunikasjon må holde av en egen datalinje mellom avsender og mottaker. I praksis er det ruterne som velger den forbindelseslinje som fremstår som raskest til mottaker, og det er derfor fullt mulig at IP-pakker tilhørende samme melding blir sendt langs forskjellige deler av nettverket. Denne måten å rute informasjonspakker gjennom nettet gir Internett en distribuert topologi, med mange alternative ruter mellom to noder i nettverket.256 I motsetning til sentraliserte løsninger (hvor all kommunikasjon går gjennom et sentralt knutepunkt) eller desentraliserte løsninger (med flere slike knutepunkter), er Internett derfor et ro- bust system der kommunikasjon ikke lett kan hindres eller kanaliseres av en utenfor- stående instans.257 Når Internett omtales som et åpent system, er det gjerne med refe- ranse til de fire særtrekkene ved nettet vi her har omtalt: distribuerte topologi, forbindelsesfri kommunikasjon, pakkesvitsjing og frie formater og protokoller.258
TCP/IP utgjør en grunnleggende infrastruktur som gjør det mulig å tilby ulike typer Internett-tjenester som følger nærmere bestemte applikasjonsprotokoller. Den desidert mest kjente og viktigste protokollen er HTTP (Hyper Text Trans- fer Protocol) som sammen med HTML (Hyper Text Markup Language) danner grunnlaget for World Wide Web (ofte forkortet www eller bare «web»).259 World Wide Web er et eksempel på et distribuert system hvor mange uavhengige data- maskiner kan fremstå for brukeren som ett samlet system.260 En webside vil for eksempel kunne fremstå for brukeren som ett dokument lastet ned fra én web- server, mens det i realiteten er satt sammen av ulike elementer som kan være lagret på mange uavhengige maskiner.
254 Hver maskin som er fast knyttet opp mot Internett, er tildelt en unik IP-adresse. I dagens ut- gave av Internett (IPv4) er denne adressen på 32 bit. Det er vanlig å skrive IP-adressene som fire desimale tall mellom 0 og 255 (en for hver byte), avskilt med komma (for eksempel 129.240.178.48 som er IP-nummeret til maskinen hvor dette avsnittet ble skrevet). IPv4 vil gradvis bli erstattet av en ny IPv6. Den nye protokollen medfører visse forbedringer i forhold til IPv4, ikke minst bøter den på problemet med at man er i ferd med å gå tom for IP-dresser. I IPv6 er det satt av hele 128 bit til adresser (2128 mulige adresser) mot 32 bit i IPv4 (altså 232 mulige adresser).
255 Se Hannemyr, Hva er internett, Oslo 2005, s 60-61 og Tanenbaum, Computer networks, 4th, Upper Saddle River, N.J. 2003, s 431-436.
256 Se Hannemyr, Hva er internett, Oslo 2005, s 61-62. 257 Se Xxxxxxxx, Hva er internett, Oslo 2005, s 63-64. 258 Se Xxxxxxxx, Hva er internett, Oslo 2005, s 63-64.
259 Se om bakgrunnen for World Wide Web i Bing, «Building Cyberspace: A Brief History of the Internet», I: Internet Governance, Xxxxxxx og Bing (red), 2009, s 38-47.
260 Se Tanenbaum, Computer networks, 4th, Upper Saddle River, N.J. 2003, s 2.
L ag | P rotokoller | Tjenes ter |
4 Applikasjonlag | HTTP, SMTP, POP, FTP… | web, e-post, filoverføring … |
3 Transportlag | TCP (UDP) | System-til-system-transport |
2 Nettverkslag | IP | Ruting og trafikk-kontroll |
1 Fysisk lag | ADSL, Ethernet… | Signaler og fysiske medier |
1 Fysisk lag ADSL, Ethernet… Signaler og fysiske medier
2 Nettverkslag IP Ruting og trafikk-kontroll
3 Transportlag TCP (UDP) System-til-system-transport
4 Applikasjonlag HTTP, SMTP, POP, FTP… web, e-post, filoverføring …
L ag P rotokoller Tjenes ter
Figur 3 TCP/IP-referansemodell: lagdeling av protokoller og tjenester
I mange sammenhenger blir World Wide Web brukt synonymt med Internett. Selv om denne forståelsen er utbredt er dette ikke riktig – World Wide Web er bare en av flere Internett-tjenester som kan tilbys på toppen av TCP/IP. Andre applikasjoner er for eksempel DNS (Domain Name System) for oversettelse av domenenavn til numeriske IP-adresser, FTP (File Transfer Protocol) for filoverføring, POP (Post Office Protocol), SMTP for distribusjon, lagring og lesning av e-post og NNTP (Network News Transfer Protocol) for distribusjon av informasjon på nyhetsgrupper.
Internett har i likhet med andre datanett en lagdelt struktur bestående av ulike protokoller. Mens det i den generelle referansemodellen for datanett, OSI,261 opereres med syv ulike lag, er det i referansemodellen for Internett (TCP/IP-re- feransemodellen) fire lag.262 Se oversikt i Figur 3.
261 OSI-modellen, opprinnelig utviklet i et europeisk nettprosjekt (Open Systems Interconnecti- on, «OSI»), er en generell modell som ble utviklet for å beskrive alle typer av nettverk hvor antall lag og de respektive oppgavene vil variere. OSI opererer med følgende syv lag, numme- rert fra 1 til 7: fysisk, datalink, nettverk, transport, sesjon, presentasjon og applikasjon. I TCP/ IP referansemodellen er lagene 1 og 2 (fysisk og datalink) slått sammen til fysisk lag, og lagene 5, 6 og 7 (sesjon, presentasjon og applikasjon) slått sammen til applikasjonslaget. Se nærmere i Xxxxxxxx, Hva er internett, Oslo 2005, s 57-64.
262 TCP/IP-referansemodellen knytter seg konkret til oppbygningen av Internett. Felles for begge de teoretiske modellene (OSI og TCP/IP) er at de bygger på konseptet om lagdeling av uavhen- gige protokoller, samt at beskrivelsen av funksjonaliteten i de enkelte lag i stor grad er lik. Et annet likhetstrekk er at de underliggende lagene til og med transportlaget er til for å sørge for ende til ende kommunikasjon for prosesser som ønsker å kommunisere, og som er uavhengig av nettverket som benyttes. I begge modellene er det også slik at protokollene over transport- laget knytter seg til applikasjoner som benytter seg av transportlaget. Se Tanenbaum, Compu- ter networks, 4th, Upper Saddle River, N.J. 2003, s 37-48.
I datanett-teori skiller man gjerne mellom datanettmodellens vertikale og hori- sontale dimensjon.263 Den horisontale dimensjonen omhandler den lagdelte oppbygningen av protokoller som tilsynelatende kommuniserer direkte med protokoller installert andre steder i nettet (for eksempel på en webserver). Den vertikale dimensjonen tar for seg hvordan hvert lag lokalt tilbyr klart avgrense- de tjenester til overliggende lag. I praksis betyr den lagdelte oppbygningen at man ved utvikling av nye tjenester ikke trenger å ta hensyn til kompleksiteten i de underliggende tjenestene.
Ved programmering av en nettleser vil man for eksempel bare måtte forholde seg til applikasjonsprotokollen HTTP som er konstruert slik at den kan overføre visse mel- dinger med et innhold som er meningsfylt i konteksten av en nettleser. HTTP er på sin side bygd opp på toppen av transportprotokollen TCP som tilbyr transport av meldin- ger fra sender til mottaker.264 TCP forholder seg til nettverksprotokollen IP som har til oppgave å rute meldingene til riktig adresse. Selve overføringen av meldingene skjer i det nederste, fysiske laget. Ved nedlasting av en nettside vil forespørselen sendes via nettleseren til applikasjonslaget (HTTP) og videre nedover i lagene helt til det fysiske laget som foretar selve overføringen av meldingene. Når meldingene er fremme ved den aktuelle webserver vil meldingene tilsvarende gå fra lavereliggende til høyere- liggende lag helt til forespørselen er fremme i applikasjonslaget hos brukeren. Svaret på forespørselen blir sendt motsatt vei nedover tjenestelagene, overføres vi det fysiske la- get, og oppover tjenestelagene hos brukeren helt til det kan fremvises i vedkommendes nettleseren.
3.2.2 Identitetsforvaltning i tjeneste og kommunikasjonslag
Datanettmodellens lagdeling av protokoller og tjenester vil kunne være et nyttig utgangspunkt for å studere personvernutfordringer knyttet til identitetsforvalt- ning ved samhandling over Internett. I det følgende vil jeg skille mellom det jeg kaller kommunikasjons- og tjenestelaget for Internett. Med kommunikasjonsla- get menes den underliggende infrastruktur som Internett bygger på, mens tje- nestelaget refererer til de Internettbaserte tjenester som tilbys på toppen av den grunnleggende infrastrukturen. I kommunikasjonslaget vil identitetsforvalt- ning primært være knyttet til identifisering og autentisering av maskin- og pro- gramvare. I tjenestelaget derimot vil identitetsforvaltning primært være knyttet til identifisering og autentisering av brukeren og tjenesteyteren, se Figur 4.
Figur 4 tar utgangspunkt i den såkalte «klient – server modellen», hvor en data- maskin (klient) benyttes for å skaffe seg tilgang til tjenester som er tilgjengelig
263 Se Hannemyr, Hva er internett, Oslo 2005, s 57-63.
264 I transportlaget suppleres TCP av protokollen UDP (User Datagram Protocol). UDP er en forbindelsesfri og usikker protokoll som hovedsakelig brukes til enkle signaliseringstjenester, for eksempel «streaming» av lyd eller bilde. Se Xxxxxxxx, Hva er internett, Oslo 2005, s 61-62.