FRÅN DATAINSPEKTIONEN #2/2005 IT i vården vad är på gång? DATA PÅ DRIFT PÅ SENARE TID HAR MILJONER PERSONUPPGIFTER FÖRSVUNNIT. MÅNGA KAN ANVÄNDAS FÖR IDENTITETS- STÖLD. SID 4. NU SKA VI BOKFÖRAS PÅ LÄGENHET ETT LÄGENHETSREGISTER ÄR FÖRSTA STEGET MOT EN REGISTERBASERAD FOLK- OCH BOSTADSRÄKNING. SID 7 OLIKA SYN PÅ NORDISKA PIRATER I ALLA DE NORDISKA LÄNDERNA FINNS FILDELARE OCH ANTIPIRATER. MAGAZIN MEN SYNEN DIREKT #2/2005 PÅ DERAS METODER 1 SKILJER SIG ÅT. SID 8
IT i vården vad är på gång? På alla nivåer inom vården arbetar man med att införa IT-system för patientdata. Nationellt, regionalt, lokalt. Men det kommer att ta tid innan allt är klart. På många håll är det fortfarande papper som gäller och de system som finns kan sällan samarbeta. Dessutom ska kärnfrågan lösas: Hur kan man se till att vårdpersonalen får den information man behöver varken mer eller mindre? UNDER 2004 gjorde Datainspektionen en kartläggning av flödet av personuppgifter inom vården. Vi inspekterade sjukhus och vårdcentraler i åtta av landets 21 landsting och studerade hur journaluppgifter lämnas ut mellan vårdinrättningar, hur man arbetar med att ta fram sammanhållna journaler, informationssäkerheten, hur de trådlösa näten fungerar och mycket annat. Resultaten sammanfattas just nu i en rapport som ska bli klar efter sommaren. En något överraskande iakttagelse var att de flesta av de granskade sjukhusen fortfarande använder pappersjournaler. Arbetet med en sammanhållen elektronisk patientjournal har inte kommit särskilt långt. Sådana journaler finns än så länge på enstaka avdelningar, främst förlossning och mödravård. Många sjukhus har planer på att införa elektroniska journaler, ofta har man fattat beslut om vilken inriktning man ska ha, men det tar tid att genomföra. 2
IDAG FINNS MÅNGA OLIKA system inom landstingen som inte kan kommunicera med varandra. Bara i Stockholms finns mer än 20 olika system, en sjuksköterska kan under en arbetsdag behöva logga in i 10 15 stycken. Inom primärvården har däremot datoriseringen kommit långt och det förekommer ett omfattande utbyte av information. IT-SYSTEM FÖR PATIENTDATA planeras på alla nivåer: Regeringen har tillsatt en arbetsgrupp som ska ta fram en nationell policy för IT i vården. Den ska ge förutsättningar för att systemen som införs kan samverka. Också i Dagmaröverenskommelsen 2005 pekar regeringen och huvudmännen för vården på att systemen måste koordineras. Man prioriterar en nationell patientjournal (om Elsa från Härnösand bryter benet i Trelleborg, ska sjukhuset där ha tillgång till hennes sjukjournal). Man har anslagit pengar för utveckling, men än så länge finns ingenting konkret. Mer konkreta är planerna på en nationell patientöversikt. Det är en light-version av journalen med viktiga basdata som kroniska sjukdomar, överkänslighet och medicinering. I höst ska modellen testas i liten skala. Landstingen i Jönköping, Norrbotten, Uppsala och Östergötland ska kunna utbyta viss journalinformation, ett trettiotal patienter från varje landsting kommer att delta. Ett förslag är att uppgifterna ska ligga på en webbsida där även patienterna ska kunna ta del av informationen. Försöket bygger på deltagarnas samtycke, både när data läggs in i systemet och när uppgifterna hämtas ut. Ännu återstår säkerhets- och sekretessfrågor att lösa. Försöket drivs av Carelink, en intresseförening för landsting, regioner, kommuner och enskilda vårdföretag. Sekretessen ses ofta som ett hinder. Ett sätt att ta bort sekretessmurarna är att landstinget beslutar att man ska vara ett enda verksamhetsområde. Det gjorde landstinget i Västerbotten, när Datainspektionen inspekterade pågick arbete med att skapa ett gemensamt journalsystem med hela landstinget som myndighetsgräns. Man ville ge alla läkare och sjuksköterskor möjlighet att läsa all journalinformation i hela landstinget (enstaka känsliga uppgifter skulle kunna spärras). Men enligt vårdregisterlagen får bara den som behöver uppgifterna för sitt arbete ha direktåtkomst till dem. I sitt beslut (dnr 1459-2004, se DIrekt 1/05) skriver Datainspektionen att det föreslagna systemet skulle ge många anställda tillgång till betydligt mer känslig patientinformation än de har behov av. Ledningen måste ge tydliga regler för journalhanteringen, som utgår från vilken information personalen verkligen behöver. Andra landsting har valt andra lösningar. Olika landsting har olika syn på hur tillgänglig informationen ska vara. Några använder gemensamma översikter eller portaler med basinformation av samma typ som den nationella patientöversikten. Andra kopplar behörigheten till vilken tjänst man har och var man arbetar. Man kan också analysera hur information rör sig i vårdkedjan. Enheter som har mycket samarbete kan få tillgång till varandras information. Det finns sjukhus där personalen enbart kan få information om patienter på sin egen avdelning och ett stort sjukhus har ett gemensamt journalsystem som hela personalen kan läsa (viss känslig information hålls utanför systemet). EN KÄRNFRÅGA är alltså rutinerna för behörighet. Hur ser man till att vårdpersonalen får den information de behöver varken mer eller mindre? Det behövs både tekniska och administrativa lösningar. Det räcker inte att ge breda behörigheter, lita på att personalen inte tjuvkikar på sådant man inte har med att göra och kontrollera loggar för att i efterhand hitta eventuella intrång. När ett intrång är gjort är skadan redan skedd, skriver Datainspektionen i sitt beslut om Västerbottens landsting. En annan risk är att den som skriver journalen gör ofullständiga anteckningar eftersom många kan läsa dem. Man kan till och med tänka sig personer som av samma skäl avstår från att söka vård. PATIENTDATAUTREDNINGEN, som ska vara klar vid årsskiftet, ska analysera frågor som rör elektroniska patientjournaler. En utgångspunkt är att i framtiden ska alla journaler vara elektroniska. Utredningen ska också fundera över hur patienterna ska få tillgång till sina egna journaler och det är ett kapitel för sig: Under 2003 planerade landstinget i Uppsala län att låta länets 300 000 invånare ta del av sina sjukjournaler via Internet. Ett försök med 2 000 patienter var redan igång när Datainspektionen granskade projektet och kom fram till att det var ett utlämnande som stred mot vårdregisterlagen. Där står nämligen att bara den som behöver uppgifterna för sitt arbete får ha direktåtkomst till vårdregister. Beslutet överklagades till länsrätten, som kom fram till att Datainspektionen hade gjort en riktig tolkning. I år har projektet återuppstått i form av ett forskningsprojekt som är godkänt av en etikprövningsnämnd. Senare i år ska alltså Patientdatautredningen ge sin syn på om man ska få lämna ut journaler via Internet och hur det i så fall ska gå till. Uppdraget är att göra en avvägning mellan enskildas behov av skydd för den personliga integriteten, nyttan för samhället och patientsäkerheten. EN MER UTFÖRLIG GENOMGÅNG av frågorna kommer i Datainspektionens rapport som beräknas bli klar efter sommaren. Till området hör också registrering av läkemedel och recept. Där är också mycket på gång: lagändringar, utredningar och nya förslag. Mer om detta i nästa nummer av DIrekt. Olika lägen för nordisk vård-it IT i vården har olika förutsättningar i de nordiska länderna. Alla vill ha samordnade system, men i Norge är till exempel regionala och nationella journaler förbjudna i lag. På de nordiska dataskyddschefernas årliga möte i juni (se även sidan 9) diskuterade man IT i vården. I Norge är det en hel del som skiljer sig från de svenska förhållandena. Där är hälsosektorn organiserad i fem regionala hälsoföretag (RHF), som administrerar specialistvården. Under dessa sorterar ett antal hälsoföretag (HF) som sköter själva vården. Dessutom finns primärvården, som i Norge främst är privatmottagningar. Enligt Helseregisterloven är det förbjudet att ge tillgång till uppgifter mellan olika verksamheter. Uppgifter får inte hämtas, de ska lämnas ut. Lagen förbjuder också nationella och regionala journaler. Precis som i Sverige finns nu önskemål om samordnade system, tre av de fem regionerna har redan börjat planera. Men det är hälsoföretagen som är registeransvariga och enligt lagen får inte flera ansvariga ha ett gemensamt system. Det återstår alltså knutar att lösa, tills vidare ska de norska journaluppgifterna efter vederbörlig prövning lämnas ut via Norsk Helsenet, ett datanät med hög säkerhet som är skilt från Internet. Även i Danmark har man planer på elektroniska journaler och samordnade system. Det etiske råd, www.etiskraad.dk, har gjort ett uttalande om hur det bör gå till. 3
Data på drift De senaste månaderna har stöld och förlust av stora mängder personuppgifter varit ett återkommande inslag i fackpress och på nyhetssajter. Det handlar främst om företag i USA och ofta är det okrypterade backup-band som har kommit på drift. Uppgifterna kan säljas eller användas för identitetsstöld. Världens hittills största stöld av personuppgifter upptäcktes i maj i en kortköpcentral i Tucson, Arizona. Hackare har kommit över kortnummer och utgångsdatum för mer än 40 miljoner betal- och kreditkort som är spridda över hela världen. (Källa: TT) När Citigroup, ett av världens största finansbolag, i maj skulle skicka databand till en kreditbyrå i Texas, försvann ekonomisk information om 3,9 miljoner kunder. Transportföretaget Universal Parcel Services (UPS), ett av världens största företag inom sin bransch, har ingen aning om vart banden har tagit vägen. (Källa: Cnet) Polisen i Hackensack, New Jersey, USA utreder just nu en härva där kontouppgifter för 500 000 kunder i fyra amerikanska banker troligen har stulits och sålts vidare, främst till indrivningsföretag. Hittills har nio personer åtalats, sju av dem är eller har varit bankanställda. (Källa: www.computerworld.com) 4
Polis i USA och flera andra länder har gripit 30 personer i en liga som hade tagit sig in i databaser och stulit sju miljoner kontonummer och kreditkortskoder. Ligan opererade i åtta delstater och sex andra länder. (Källa: TT) Bank of America, USA:s tredje största bank, rapporterade i februari att man hade förlorat konto- och personuppgifter om 1,2 miljoner offentliganställda kunder, däribland 900 000 anställda hos försvarsdepartementet och flera medlemmar av Senaten. Det var ett antal backup-band som hade försvunnit under en transport. (Källa: Reuter) Handelshuset Ameritrade har också blivit av med ett backupband. Bandet innehöll uppgifter om 200 000 kunder. (Källa: Security Focus) Time Warner lämnade i mars ett antal backup-band till företaget Iron Mountain, som lagrar datamedier åt stora företag. Band med uppgifter om 600 000 nuvarande och tidigare anställda försvann. (Källa: www.news.com) Mizuho, Japans största bank, medger att man har tappat bort uppgifter om 270 000 kontoinnehavare. (Källa: http://sakerhet. idg.se) I mars lyckades kriminella lura till sig 145 000 personprofiler från USA-företaget ChoicePoint i USA. (Källa: www.news.com) Nästan samtidigt tog sig hackare in hos konkurrenten LexisNexis, ett av världens största informationsföretag, och kom över detaljerade uppgifter om mer än 300 000 personer. Man använde stulna lösenord och tog sig in i systemet 59 gånger. Både LexisNexis och ChoicePoint är data brokers, de samlar in personuppgifter och säljer information bland annat för kreditprövning och kontroll av arbetssökande. (Källa: Ny Teknik) I maj stals en bärbar dator med data om 80 000 anställda vid USA:s justitiedepartement. Datorn stals från departementets resebyrå. (Källa: Washingtonpost.com) Uppgifter om 90 000 studenter vid University of California i Berkley fanns lagrade i en bärbar dator, som stals. (Källa: http://sakerhet.idg.se) SOM SYNES kommer de flesta exemplen från USA. Det kan bero på att Europa har personuppgiftslagar med strängare regler för datasäkerhet. En annan orsak kan vara större öppenhet i vissa stater är det lagstadgat att ett företag som har förlorat persondata måste offentliggöra det. EN GENOMGÅNG av det senaste årets klipp ger bara ett enda svenskt exempel på förmodad stöld av adressregister: Det var Myntverket Monetas kunddatabas med 100 000 adresser som var på drift förra våren. (Källa: Norrköpings Tidningar). Däremot fanns det flera exempel på ett annat problem i Sverige och Skandinavien: Uppgifter som av misstag läggs ut på nätet. Det finns en rad exempel på myndigheter främst kommuner som antingen har råkat lägga ut listor med mängder av personuppgifter eller också har glömt att rensa bort känsliga uppgifter när man lägger ut offentlig information. Ett ytterligare exempel är massutskick med e-post, där sändlistan inte har dolts. Även företag har läckt uppgifter, både på Internet och på sitt intranät. Senast var det Ericsson som hade lagt ut graverande uppgifter om anställda på sitt intranät. ETT NYTT PROBLEM I USA är backup-band som kommer på drift, uppgifterna på de banden är sällan krypterade. Enterprise Strategy Group (www.enterprisestrategygroup.com) har gjort en undersökning som visar att bara sju procent av de amerikanska företagen krypterar all sin backup. 60 procent krypterar aldrig sin backup och ofta förvaras den hos speciella företag, Iron Mountain är ett exempel. En lågavlönad lågstatusgrupp, tape monkeys, sköter transporterna av banden och det kan vara lockande att tjäna en extra slant genom att låta ett eller annat band försvinna. Det är massor av band att hålla reda på, så det kan dröja innan svinnet upptäcks. Bara Iron Mountain hämtar och lämnar fem miljoner band om året. Om vi jämför med Sverige, är det vanligt här att åtminstone de större företagen lagrar sina egna backup-band och har egen personal som sköter hanteringen, vilket minskar risken för stölder. STULNA UPPGIFTER kan säljas vidare till företag som använder dem till direktreklam, personundersökningar, indrivning etc., men det vanligaste är att de används till identitetsstöld, där tjuven utnyttjar de registrerades bankkonton eller kreditkort. I USA är det Federal Trade Commission, www.ftc.gov, som har hand om frågan och där får man varje vecka in mellan 15 000 och 20 000 klagomål på identitetsstölder, dvs. uppemot 10 miljoner per år. Nu har politikerna börjat reagera, en senator har nyligen krävt federala regler för skydd av personuppgifter. En amerikansk PuL på gång? Kortfattat Förundersökningen mot MKB nedlagd Uppståndelsen blev stor när det kom fram att Malmös kommunala bostadsbolag MKB förde en svart lista med personer som inte är önskvärda som hyresgäster (se DIrekt 1/05). Det var Sydsvenska Dagbladet som hade kommit över några pärmar med utskrifter av mer än 1 000 mejl, många med kränkande personuppgifter. Datainspektionen begärde en redogörelse från MKB, som valde att polisanmäla sig själv. Åklagarkammaren i Malmö inledde en förundersökning I sitt beslut (dnr 82-2005) skrev Datainspektionen att hantering av känsliga person- och brottsuppgifter i mejl om hyresgäster och bostadssökande är oförenlig med PuL. Dock var det inte möjligt att fastställa i vilka fall brott hade begåtts, eftersom Sydsvenska Dagbladet vägrade lämna ut pärmarna med hänvisning till meddelarskyddet. Datainspektionen avskrev ärendet eftersom åklagare hade startat en utredning, men man kommer att följa upp med en inspektion efter sommaren. Därefter har åklagaren meddelat att förundersökningen mot MKB läggs ner. Enligt uppgift sändes mejlen för flera år sedan och därför är eventuella brott mot PuL preskriberade. Åklagaren har inte heller kunnat avgöra om själva pärmarna är olagliga personregister, eftersom de inte har lämnats ut. Fallet visar att det behövs tydligare ramar för hur bostadsbolag får hantera personuppgifter. Datainspektionen har därför verkat för att en branschöverenskommelse om bostadsbolagens behandling av personuppgifter arbetas fram. I mars samlade man representanter för Fastighetsägarna (privatvärdarnas organisation), Sabo (de allmännyttiga bostadsbolagens organisation) och Hyresgästföreningen för att diskutera en branschöverenskommelse om bostadsbolagens behandling av personuppgifter. Nu arbetar parterna på ett förslag. När det blir klart ska det granskas av Datainspektionen som har till uppgift att kontrollera om överenskommelsen följer aktuell lagstiftning. 5
Kortfattat Internationellt Datainspektionen deltar i kampanj om IT-säkerhet Datainspektionen är en av 15 myndigheter, organisationer och företag som stödjer den nationella kampanjen Surfa Lugnt. Syftet med kampanjen är att öka medvetenheten hos privatpersoner och småföretagare om säkerhetsriskerna på Internet. Bland annat kommer IT-specialister att berätta om hur man skyddar sig mot virus, spam och bedrägeriförsök. Enligt planerna ska kampanjen besöka 100 platser runt om i landet. Som en del i kampanjen har Post- och telestyrelsen öppnat en ny webbplats, www.testadatorn.se, där man kan testa sin hemdator och se om den har några hål i säkerheten. Bakom kampanjen står, förutom Datainspektionen, Postoch Telestyrelsen, Krisberedskapsmyndigheten, Sveriges Kommuner och Landsting, 24-timmarsdelegationen, Bankföreningen, F-Secure, IBM, II-stiftelsen, IT-Företagen, Microsoft, Dataföreningen, Svenskt Näringsliv, Symantec och TeliaSonera. OK att överföra passagerardata infört i personuppgiftsförordningen Som vi tidigare har nämnt, senast i DIrekt 3/2004, har EU-kommissionen trots protester från parlamentet och datachefernas 29-grupp beslutat att passageraruppgifter (Passenger Name Records, PNR) får överföras till USA eftersom man anser att de får så kallat adekvat skydd. Nu har de svenska reglerna anpassats till beslutet genom ett tillägg i bilaga 1 till personuppgiftsförordningen (PuF). Bilaga 1 innehåller en förteckning över beslut där kommissionen har konstaterat att ett land utanför EU och EES har en skyddsnivå som gör att personuppgifter fritt får föras över till landet ifråga (jfr 13 1 PuF). I bilagan har regeringen nu lagt till kommissionens beslut 20004/535/EG om adekvat skydd för personuppgifter i PNR om flygpassagerare, som överförs till USA:s tull- och gränsskyddsmyndighet. Ändringen har införts genom SFS 2004:1022 som trädde i kraft den 1 januari 2005. Det finns därmed två beslut om personuppgifter som anses få adekvat skydd i USA. Besluten gäller dock endast vissa begränsade situationer överföring till sådana som har anslutit sig till Safe Harbor respektive överföring av uppgifter i PNR. Släktforskning på nätet nästa år Snart kan det vara möjligt att söka sina rötter på nätet. Datainspektionen ger i ett remissvar klartecken för att lägga ut kyrkböcker som är äldre än 70 år på Internet. Integritetskänsliga uppgifter om hälsa och adoption får däremot inte publiceras. Förr fick släktforskarna resa runt mellan pastorsexpeditionerna och leta i kyrkoböckerna. År 1991 övergick ansvaret för folkbokföringen från Svenska kyrkan till skattemyndigheten och då flyttades materialet till landsarkiven. Eftersom papper är förgängligt, började materialet mikrofilmas och sedan 2003 skannas det in på datamedium. Det är det digitaliserade materialet som en utredning nu vill göra tillgängligt på nätet. Datainspektionen har fått förslaget på remiss och ser vissa risker. Även om materialet är mer än 70 år gammalt kan vissa berörda ännu vara i livet. Vissa uppgifter kan vara känsliga för dessa och även för släktingar till avlidna registrerade. Uppgifter om adoption, livslängd och sjukdomar bör därför sållas bort vid publicering på Internet. Datainspektionen föreslår att material som lämnas ut på cd-rom eller dvd-skivor ska omfattas av samma begränsningar eftersom dessa medier också ger stora möjligheter att bearbeta och sammanställa uppgifter. För att underlätta för forskning föreslår utredningen att det ska vara möjligt att använda sökbegrepp som normalt inte får användas i Skatteverkets folkbokföringsdatabas. Datainspektionen konstaterar att om sådana undantag ska få göras, måste forskningsintresset väga tyngre än behovet av skydd för den registrerade. Hela remissvaret (dnr 312-2005) finns på www.datainspektionen.se, notis 2005-05-26. Nya regler för att lämna uppgifter till tredje land Enligt dataskyddsdirektivet får ett EU-land i vissa fall föra över personuppgifter till ett land utanför EU eller EES, även om landet inte har en adekvat skyddsnivå. Villkoret är att den personuppgiftsansvarige kan garantera integritetsskyddet. År 2001 beslutade EU-kommissionen om några standardformuleringar (standardavtalsklausuler) som anses ge tillräckliga garantier om de förs in i avtal regeln gäller främst kommunikation mellan företag. Beslutet fördes in i svensk lag genom 13 i personuppgiftsförordningen. Vissa branschorganisationer, under ledning av internationella handelskammaren ICC, har inte varit nöjda med klausulerna. Under tre års har man förhandlat med EU-kommissionen som nu har beslutat att också godkänna en annan uppsättning klausuler. Enligt ett pressmeddelande från kommissionen garanterar de nya klausulerna samma dataskydd som de tidigare, samtidigt som dataskyddsmyndigheterna får större möjlighet att ingripa och ge sanktioner om så skulle behövas. Det nya kommissionsbeslutet (2004/5271) ändrar det äldre beslutet (2001/497) genom att de nya klausulerna läggs till. Man kan alltså tillämpa de äldre klausulerna från 2001 om man vill. Själva beslutet, pressmeddelandet m.m. finns på kommissionens webbsida om dataskydd. Enklaste vägen dit är via www.datainspektionen.se, Länkar, EU Data Protection, News 07.01.2005. Det nya beslutet är infört i svensk lag genom en ändring i personuppgiftsförordningen. Den 1 juli blev livet lite lättare för den som har tillstånd att bedriva inkasso. Då ändrades Datainspektionens föreskrifter DIFS 1989:1 om tillstånd enligt inkassolagen, så att de som har inkassotillstånd slipper skicka sin årsredovisning till Datainspektionen. Man behöver inte heller skicka in skrifter som man använder i sin marknadsföring. Ändringen anges i DIFS 2005:1. 6
Första steget mot register-fob Nu föreslår regeringen att alla lägenheter ska få ett id-nummer och registreras. Nästa steg blir att föra in lägenhetsnumret i folkbokföringen så att man kan se exakt var du bor. Då är allt klart för en registerbaserad folk- och bostadsräkning (FoB). DET TOG 15 ÅR. Den senaste och sista folk- och bostadsräkningen genomfördes 1990. Det vill säga, det var den sista FoB:en där uppgifterna samlades in direkt från folket. Då var protesterna kraftiga, många vägrade lämna uppgifter, vissa brände sina FoB-blanketter rituellt. Svarsfrekvensen hamnade farligt nära den låga gräns där statistiken inte går att använda. Redan då varnade Datainspektionen: FoB behövs, de flesta länder gör en FoB vart femte, vart tionde år, och det minst integritetskänsliga sättet är att data hämtas direkt från de registrerade. Alternativet är att data samlas in från register och läggs in i andra, stora register där du har sämre kontroll över dina uppgifter. Under de 15 år som gått sedan dess har ett antal förslag till FoB-register lagts fram och förkastats. Vid varje remissomgång har Datainspektionen upprepat: Det minst integritetskänsliga sättet är att hämta uppgifterna direkt från folket! NU FÖRESLÅS en lag för lägenhetsregister som är första steget mot en register-fob. Lägenhetsregistret och folkbokföring på lägenhet är förutsättningarna för framställning av registerbaserad hushålls- och bostadsstatistik står det i pressmeddelandet. Varje bostadslägenhet ska få ett eget id-nummer, på sikt ska numret föras in i folkbokföringen så att man kan se exakt var du bor och vilka andra som bor i lägenheten. Vissa uppgifter ska hämtas från fastighetsregistret, övriga direkt från fastighetsägarna: typ av kök, antal rum, yta, fastighetsbeteckning m.m. Lagen ska träda i kraft den 1 januari 2006 (Proposition 2004/05:171). Det rör sig om 2,3 miljoner lägenheter som ska numreras. Fastighetsägarna har protesterat, man måste numrera om sina lägenheter och det kommer att kosta 2-300 kronor per nummer. 7
Hurtigruten, juni. Pirater var ett passande ämne när de nordiska dataskyddscheferna träffades på den klassiska båtturen för att hålla sitt årliga möte. Olika syn på nordiska pirater PIRATER eller fildelare, alltså personer som kopierar upphovsrättsskyddat material på Internet förekommer i alla de nordiska länderna. Likaså antipirater som jagar fildelarna. Men synen på antipiraternas metoder skiljer sig åt. SVERIGE: Datainspektionen anser att den svenska Antipiratbyrån bryter mot PuL i sin jakt på fildelare. Man har registrerat misstänkta piraters IP-nummer (datorns motsvarighet till telefonnumret) och det är en personuppgift när någon, till exempel en Internetleverantör, kan koppla numret till en person. Detta betyder att PuL gäller och enligt PuL är det förbjudet för andra än myndigheter att registrera uppgifter om brott eller brottsmisstankar. I BÖRJAN AV MARS fick Datainspektionen ta emot tusentals anmälningar från människor som vände sig mot Antipiratbyråns metoder att leta upp fildelare på nätet. Byrån, som företräder företag inom film- och dataspelsbranschen, använde en programvara för att leta efter datoranvändare som spred filmer och dataspel i strid med upphovsrätten. IP-nummer och brottsmisstankar registrerades i stor omfattning. Antipiratbyrån har under det senaste året gjort hundratals polisanmälningar och skickat totalt 400 000 mejl, främst till Internetleverantörer, som förväntas skicka dem vidare till piraterna. Byrån har registrerat och vidarebefordrat IP-nummer, alias, filnamn och sökväg, tidpunkt samt vilken server datorn var uppkopplad mot. ENLIGT DATAINSPEKTIONENS FÖRFATTNING 1998:3 får enstaka brottsuppgifter behandlas om det är nödvändigt för att försvara rättsliga anspråk. Men Antipiratbyrån har behandlat en stor mängd uppgifter, så regeln är inte tillämplig. Datainspektionen har möjlighet att besluta om undantag från förbudet men någon anökan om det hade inte kommit in när beslutet togs. Nu finns en ansökan som ska behandlas. Beslutet, dnr 593-2005, finns på www.datainspektionen.se, notis 2005-06-10. DANMARK: Redan 2003 behandlade Datatilsynet frågan. Då kom man fram till att IP-nummer är personuppgifter, men man gjorde bedömningen att Antipiratgruppen, som den heter i Danmark, får registrera IP-nummer, namn, adress och vilket skyddat material som har tankats ner, eftersom det är nödvändigt för att rättsliga krav ska kunna fastläggas, göras gällande eller försvaras. I ett annat uttalande samma år påpekade man att det krävs domstolsbeslut för att en operatör ska få lämna ut uppgifter om vilken person som äger ett visst IP-nummer. Hela besluten finns på www.datatilsynet.dk, sök på Pirat. Sista ordet i frågan är inte sagt i Danmark. Ett stort antal pirater har anlitat advokat som har anmält Antipiratgruppen för alltför hotfulla varningsbrev. Man har också lämnat en förnyad anmälan till Datatilsynet. FINLAND: Dataombudsmannen anser att IP-nummer inte är personuppgift och därför ska inte finska PuL tillämpas. NORGE: Datatilsynet har ännu inte fått in något ärende. En representant för intresseorganisationen Motion Picture Association säger att man inte har resurser att driva en så storstilad jakt som i Sverige. Ett antal fall har dock polisanmälts. I dagarna antogs en ny lag, MP3-loven, som förbjuder nedladdning ungefär som den svenska lagen. Däremot ska det vara tillåtet att kopiera köpta CD till MP3. PÅ ISLAND har man antagit en kritiserad lag som ger polisen rätt att utan domstolsbeslut få veta vem som äger ett IPnummer. Mer från det nordiska mötet i nästa nummer. 8
Domar HD ändrade PuL-dom Med hänvisning till EG-domstolen har Högsta Domstolen ändrat en hovrättsdom om brott mot PuL. En person som hade lagt ut uppgifter på Internet ansågs inte ha lämnat ut uppgifterna till tredje land. Däremot fälldes han för att ha publicerat känsliga uppgifter. B var husfar på ett elevhem vid Lundsbergs privatskola. Efter en kontrovers med skolledningen han hade uttalat sig i pressen om missförhållanden på skolan blev han omplacerad och snart därefter sjukskriven. Detta offentliggjordes i ett informationsbrev som publicerades på en öppen webbplats på Internet. B polisanmälde saken. När han en tid senare slutade sin anställning fick han avgångsvederlag. I samband med det lämnade han i efterhand sitt samtycke till Internetpubliceringen och lovade ta tillbaka sin polisanmälan. Tingsrätten ansåg dock att man inte kan lämna samtycke i efterhand och dömde ordföranden i skolans styrelse till 80 dagsböter på 1 000 kronor för brott mot PuL. Dels hade han låtit behandla uppgifter om hälsa, dels hade uppgifterna genom publiceringen lämnats ut till tredje land. Hovrätten i Göteborg fastställde domen (se DIrekt 1/03 och 2/03). Högsta Domstolen prövade hovrättens dom och dömde ordföranden till 40 dagsböter på 1 000 kronor för behandling av känsliga uppgifter. Däremot friades han för att ha lämnat ut uppgifter till tredje land. HD hänvisade här till en dom i EG-domstolen som säger att det inte är överföring till tredje land om en person i ett EU-land lägger ut uppgifter på en webbplats och den som tillhandahåller servertjänsten, Internetleverantören, är etablerad i ett EU-land (den s.k. konfirmandlärardomen, se DIrekt 4/03). Fängelse för kränkningar på elektronisk anslagstavla Under 2002 till 2004 administrerade L en elektronisk anslagstavla, Bibeltemplet, som hade en avdelning med rubriken: Sodomi. Här kan du samtala öppet om vad bibeln säger om homosexualitet i forntid, nutiden och framtiden. En rad personer skrev inlägg som L kommenterade. Han skrev också egna inlägg. Anslagstavlan polisanmäldes och tingsrätten i Stenungsund fann att flera av inläggen hade uttryckt missaktning mot homosexuella. L dömdes till två månaders fängelse, dels för egna inlägg som ansågs vara hets mot folkgrupp, dels för att han hade publicerat kränkande inlägg från andra och därmed brutit mot lagen om elektroniska anslagstavlor. I domen nämndes särskilt Göta Hovrätts dom i februari (mål B 1987-04), där en pastor var åtalad för hets mot folkgrupp, men frikändes (domen ska överprövas i Högsta Domstolen). I det målet hade pastorn i en predikan uttalat sig kränkande om homosexuella. Tingsrätten framhöll att i det aktuella fallet hade inte åsikterna framförts i en predikosituation och de var inte heller bibelcitat eller härledningar ur bibeltexter. Dessutom når inlägg via Internet en mycket stor mängd människor, inte minst barn, och enligt tingsrättens åsikt minskar det utrymmet för vad som kan tillåtas. Datainspektionen har fått ett antal klagomål mot en annan webbplats med liknande tema. Där finns en lista, Sodomiterna med personer som påstås vara homo- eller bisexuella. Där finns också ett antal citat som säger att homosexuella ska dödas. Datainspektionen har polisanmält webbplatsen. Dnr 527-529, 533 och 546-2005. Höstens utbildningar för personuppgiftsombud Intresset för våra utbildningar är fortfarande mycket stort och under hösten anordnar vi åtta seminarier för dig som är anmäld som personuppgiftsombud. Kommunjurister, bolagsjurister och liknande är också välkomna. Vår målsättning med utbildningarna är att ge dig handfasta tips och råd om vad som förväntas av dig som är personuppgiftsombud. Mer information och anmälningsformulär hittar du på www.datainspektionen.se, Utbildning & konferenser, Utbildning för personuppgiftsombud. Utbildning för personuppgiftsombud (steg 1) 6 september Malmö 18 oktober Stockholm 8 november Stockholm 6 december Göteborg Utbildning för personuppgiftsombud (steg 2) 7 september Offentlig och privat verksamhet, Malmö 25 oktober Offentlig verksamhet, Stockholm 22 november Offentlig och privat verksamhet, Stockholm 7 december Offentlig och privat verksamhet, Göteborg Råd och Regler för inkasso och kreditupplysning Vid sidan av personuppgiftslagen är Datainspektionen tillsynsmyndighet för inkassolagen och kreditupplysningslagen och det har varit stor efterfrågan på information. Vi har därför startat en ny utbildning för dig som är inkassohandläggare, konsumentvägledare eller advokat, du som jobbar på socialbyrå, kreditupplysningsbolag eller bostadsbolag och alla ni andra som i ert arbete kommer i kontakt med frågor om integritet, inkasso och kreditupplysning. Utbildningarna har varit mycket populära, vi har satt in extra seminarier men det mesta är redan fullbokat. Det finns fortfarande platser kvar i Göteborg. Råd och Regler för inkasso och kreditupplysning 8 september Malmö Fulltecknat 15 november Stockholm Fulltecknat 24 november Stockholm Fulltecknat 8 december Göteborg 9
Pantbank får inte registrera brottsuppgifter AB Svensk Pantbelåning (Pantbanken) får inte registrera uppgifter som visar att personer har lämnat in stöldgods eller uppträtt hotfullt mot andra kunder. Däremot får man registrera uppgifter om kunder till exempel spelmissbrukare som själva har bett att företaget ska hindra dem från att lämna in gods. Enligt PuL är det förbjudet för andra än myndigheter att registrera brottsuppgifter. I särskilda fall får dock Datainspektionen besluta om undantag från förbudet. Pantbanken ansökte om ett sådant undantag. Man ville registrera uppgifter om personer som lämnat in stöldgods som senare blivit beslagtaget av polisen. Man ville också registrera personer som uppträtt hotfullt. Registret skulle användas för att spärra sådana personer så att Pantbanken ska kunna skapa en trygg miljö för sina kunder och anställda och undvika stöldgods. Datainspektionens bedömning var att det inte finns förutsättningar för att ge Pantbanken undantag från förbudet i PuL. När det gäller uppgifter om personer som har lämnat in stöldgods ansåg Datainspektionen att det finns en risk att icke kriminella kopplas ihop med brottslighet och därmed spärras. Att en person lämnar in gods som sedan blir beslagtaget, behöver ju inte innebära att personen är kriminell. Pantbanken ansökte också om att få registrera uppgifter om kunder som själva har bett att företaget ska hindra dem från att lämna in gods, till exempel på grund av spelmissbruk. Datainspektionen hade inga invändningar mot detta, under förutsättning att de registrerade lämnar sitt samtycke. men det får bostadsbolag Svenska Bostäder får registrera incidenter även om det innebär att brottsuppgifter hanteras förutsatt att ändamålet är att ta tillvara rättsliga anspråk, exempelvis uppsägning av ett hyreskontrakt. Efter ett klagomål och tillsyn har Datainspektionen beslutat att Svenska Bostäder får hantera brottsuppgifter om ändamålet är att tillvarata rättsliga anspråk angående hyreskontrakt. Enligt PuL är det förbjudet för andra än myndigheter att registrera brottsuppgifter, men det finns vissa undantag från förbudet. Skillnaden mellan Svenska Bostäder och Pantbanken är att det finns ett kontrakt mellan en hyresvärd och en hyresgäst. Av det följer skyldigheter och förpliktelser för båda parter. En konsekvens när dessa inte efterlevs är att avtalet kan sägas upp. En hyresvärd kan exempelvis säga upp hyresavtalet med en hyresgäst som har orsakat allvarliga störningar i boendet. För att Svenska Bostäder ska få behandla brottsuppgifter kräver Datainspektionen att uppgifterna registreras åtskilt från övriga uppgifter om hyresgäster, att antalet anställda som hanterar dem begränsas samt att uppgifterna raderas när de inte längre behövs. Den personuppgiftsansvarige, det vill säga hyresvärden, måste kontinuerligt göra en bedömning av hur länge uppgifterna får sparas. För närvarande arbetar några intresseorganisationer med en branschöverenskommelse om hur bostadsbolagen ska behandla personuppgifter. Avsikten är bland annat att skapa tydligare regler på området. Se sidan 5. Hela besluten, dnr 1917-2004 och 81-2005, finns på www.datainspektionen.se, notiser den 5 maj och 9 juni. 10
Kortfattat Två nya branschöverenskommelser Nu finns det fem branschöverenskommelser för behandling av personuppgifter. Datainspektionen har granskat två nya förslag och slår fast att de överensstämmer med PuL. De nya är Sveriges Inkassoorganisations (SIO) branschkodex för inkassoverksamhet och Sveriges Elevfotografers Riksförbunds överenskommelse för skolfotoverksamhet. En branschöverenskommelse innebär att en bransch normalt en branschorganisation arbetar fram ett förslag till hur personuppgifter ska behandlas inom branschen. Det handlar normalt om normer för god sed reglerna ska ge ett mervärde utöver en renodlad tillämpning av PuL. När förslaget är klart lämnar man det till Datainspektionen som granskar det och kontrollerar att det inte strider mot PuL eller andra författningar. Hittills har det gått till så att Data inspektionen har haft ett antal synpunkter på det första förslaget, varefter branschen har arbetat in synpunkterna i ett nytt förslag. Efter ett antal omgångar fram och tillbaka har man slutligen kommit fram till en överenskommelse som alla är nöjda med. Processen kräver mycket arbete och kan ta flera år. Det är inte många branscher som har varit beredda att ta på sig ett så stort jobb, oftast nöjer man sig med att tilllämpa PuL och utse personuppgiftsombud. Möjligheten att få bransch överenskommelser kontrollerade har funnits sedan 1998, men hittills finns bara fem stycken: för direktmarknad s- föring (Swedma), marknadsundersökningar (SMIF) och inkasso (Svenska Inkassoföreningen) och nu har alltså även SIO och Sveriges Elevfotografers Riksförbund tagit fram godkända branschöverenskommelser. Branschöverenskommelsen från SIO ska gälla för medlemsföretagens behandling av personuppgifter i inkassoverksamhet. Sveriges Elevfotografers Riksförbunds branschöverenskommelse avser skolfotoverksamhet och försäljning av fotografier och skolkataloger. Huvudregeln är att personuppgifter bara får behandlas om både målsman och den elev som avses med personuppgiften har lämnat sitt samtycke. För närvarande samarbetar Datainspektionen med Fastighetsägarna, Sabo och Hyresgästföreningen för att ta fram regler för bostadsbolagens personuppgifter. Se sidan 5. Hur vill du ha i fortsättningen? På www.datainspektionen.se Magazinen kan laddas hem i PDF-format från vår webbplats. Prenumerera på vårt nyhetsbrev så får du ett e-brev när något nytt publiceras på vår webbplats, t.ex. ett nytt nummer av magazin DIrekt. Anmäl dig som prenumerant på www.datainspektionen.se. Med post Vi kan också sända dig en tryckt utgåva av magazin DIrekt. Fyll i uppgifterna på kupongen här nedanför och skicka eller faxa den till oss. Du kan också e-posta uppgifterna eller anmäla dig på vår webbplats. Det är gratis! magazin DIrekt produceras av Datainspektionen, Box 8114, 10420 Stockholm Tel: 08-657 61 00 (växel), 08-657 61 42 (beställningar) Fax: 08-652 86 52 E-post: datainspektionen@datainspektionen.se Webbplats: www.datainspektionen.se Layout: Datainspektionen Foto och illustration: Sören Svendsen/Siluet s. 1, Thomas Tolstrup/Siluet s. 2, Otto Dickmeiss s. 4, 7, Leif Stenström s. 8. Ansvarig utgivare: Göran Gräslund Redaktör: Leif Stenström. ISSN 1404-7832 JA! JAG VILL HA MAGAZIN DIREKT MED POST Brevporto SKRIV TYDLIGT! (Du behöver inte svara om du tidigare har skickat in kupongen eller om du hämtar DIrekt via Internet) Företag/myndighet/organisation... Personnamn... Postadress... DATAINSPEKTIONEN BOX 8114 104 20 STOCKHOLM Jag medger att uppgifterna dataregistreras för administration av prenumerationen 11
B PORTO BETALT Personnumrets lov Datainspektionen Box 8114 104 20 Stockholm LIKA BRA ATT ERKÄNNA först som sist. Jag tycker att personnummer är bra! Jag tycker det är praktiskt att mitt personkonto har mitt personnummer som kontonummer det är ju mitt konto och jag kan med ett ögonkast se att numret är det rätta. Och jag blir irriterad när numret på min pensionsförsäkring plötsligt en dag är utbytt från mitt personnummer till tio helt anonyma siffror. Nu måste jag kolla flera gånger siffra för siffra för att vara säker på att jag inte sätter in pengar på någon annans konto. JA, JAG VET att vi på Datainspektionen har drivit frågan om att skydda personnumret och jag vet att det står i PuL att det inte ska användas i onödan. Och visst, PuL ska följas och jag tycker inte heller att mitt personnummer ska användas i tid och otid. Men i stort sett tycker jag inte att numret är märkvärdigare än namn och adress. MEN DET ÄR MÅNGA som tycker att det är något alldeles särskilt. I Norge gjorde man alldeles nyligen en stor undersökning av inställningen till integritetsfrågor. På frågan Hur viktigt är det att skydda olika typer av personuppgifter? låg personnummer i topp!! 73 procent av norrmännen tycker att det är veldig viktig att skydda sitt personnummer, medan bara 68 procent tycker att det är veldig viktig att skydda uppgifter om sin hälsa. Uppgifter som i PuL anges som känsliga kom långt, långt på efterkälken. Politisk uppfattning: 19 procent, religiös uppfattning: 12 procent, medlemskap i fackförening: 8 procent. Köpvanor låg på 16 procent. Någon liknande undersökning är inte gjord Sverige, men jag anar att resultatet skulle bli likartat. MEN PERSONNUMRET ÄR INGEN HEMLIGHET. Det är allmän handling och Skatteverket som har hand om folkbokföringen måste lämna ut det (undantag: personer med skyddad adress). Ring bara Skatteupplysningen, 0771-567567, tryck 3, Frågor om folkbokföring eller adress och fråga vilket personnummer Anders Andersson på Torpvägen 3 i Anderstorp har, så får du alla hans siffror på sekunden, utan några frågor om vad du ska använda dem till. Du kan också nämna ett personnummer så får du ut namn och adress. PERSONNUMRET ÄR INTE MÄRKVÄRDIGARE än namn och adress därmed inte sagt att någotdera ska spridas till höger och vänster, särskilt inte på nätet. Det är denna övertro på att personnumret är något speciellt som kan göra det farligt. På många håll godtas det som en sorts legitimation, precis som om numret vore en hemlig nyckel som bara ägaren känner till. Det har förekommit både vid poliskontroller och på akutmottagningar att den som kan lämna någons namn, adress och personnummer utan vidare kontroll har registrerats som den personen. Och när en stulen identitet väl är inne i systemet kan den ställa till mycket skada. Leif Stenström DATAINSPEKTIONENS INFORMATIONSCHEF NÄSTA NUMMER KOMMER I OKTOBER. HA EN TREVLIG SOMMAR!