Videre rett til generelle opplysninger

Dersom det er registrert opplysninger om deg, har du krav på å få tilgang til flere generelle opplysninger om hvorledes personopplysningene blir behandlet enn det andre har, jf rutinen for generelt innsyn. For det første har du krav på å få innsyn i hvorledes opplysningene om deg sikres, og for det andre har du krav på utfyllende informasjon, se de tre neste kulepunktene.

  • Eksempel: Du har fått vite at barnevernskontoret har opplysninger om deg, og har derfor bl.a. rett til å få vite hvorledes de sikrer at ikke uvedkommende får tilgang til opplysningene. I tillegg kan du stille oppfølgende spørsmål om formålet med behandlingen, opplysningstyper som brukes m.v.
  • Begrunnelse: I § 18 annet og tredje ledd heter det bl.a. «Dersom den som ber om innsyn er registrert, skal den behandlingsansvarlige opplyse om […] b) sikkerhetstiltakene ved behandlingen så langt innsyn ikke svekker sikkerheten», og videre at «Den registrerte kan kreve at den behandlingsansvarlige utdyper informasjonen i første ledd bokstav a – f i den grad dette er nødvendig for at den registrerte skal kunne vareta egne interesser.» Den informasjonen det her vises til angir den generelle innsynsretten.
  • Lovtekst: http://www.lovdata.no/all/tl-20000414-031-003.html#18

Dersom det er registrert opplysninger om deg, har du krav på å få nærmere kunnskap om hvordan opplysningene om deg er sikret. Du har for det første krav på innsyn i hvorledes konfidensialiteten er sikret, dvs. hva som er gjort for å sikre at uvedkommende ikke kan få tilgang til opplysningene. For det andre har du innsyn i hva som er gjort for å hindre at uvedkommende ikke kan endre opplysninger eller legge til nye opplysninger (integritet). For det tredje har du rett til innsyn i hva som er gjort for å sikre at opplysningene er tilgjengelige når det er behov for dem. For det fjerde har du rett til innsyn i hva som er gjort for å sikre at opplysningene om deg har tilstrekkelig kvalitet, d.v.s. er relevante, riktige, fullstendige, oppdaterte og ikke for omfattende i forhold til formålet med behandlingen.

  • Eksempel: Som student ber du universitetet om å fortelle hvorledes de har sikret at uvedkommende ikke får tilgang til opplysninger om eksamenskarakterer m.v., og får til svar at de ligger på en maskin uten nettverkstilknytning og med passordbeskyttet tilgang for tre ansatte ved eksamensadministrasjonen. Du får videre vite hvilke rutiner som følges for håndtering av utskrifter og utlevering av slike opplysninger.
  • Begrunnelse: I § 18 annet ledd heter det bl.a. «Dersom den som ber om innsyn er registrert, skal den behandlingsansvarlige opplyse om […] b) sikkerhetstiltakene ved behandlingen så langt innsyn ikke svekker sikkerheten». «Sikkerhetstiltakene» må forstås som en henvisning til de to bestemmelsene som inneholder adekvate uttrykk: «informasjonssikkerhet» i § 13 og «sikre personopplysningens kvalitet» i § 14, jf § 11 bokstavene d og e.
  • Lovtekst: http://www.lovdata.no/all/tl-20000414-031-003.html#18

Du har likevel ikke krav på innsyn i sikkerhetstiltakene dersom slikt innsyn svekker sikkerheten. Dette gjelder særlig i forhold til sikring av konfidensialitet og integritet. Hvis kunnskap om hvorledes opplysninger er sikret setter deg (eller andre som du snakker med) bedre i stand til å få ulovlig tilgang til opplysningene eller endre opplysningene på ulovlig måte, har du altså ikke krav på innsyn. I forhold til innsyn i sikring av tilgjengelighet og informasjonskvalitet, er det forholdsvis lite praktisk å tenke seg at innsyn reduserer sikkerheten. Innsynsretten kan ikke reduseres ut over hva som er nødvendig for å vareta sikkerheten. Det foreligger trolig ingen plikt til begrunnelse når innsynet om sikkerhetstiltak blir begrenset.

  • Eksempel: Opplysninger om deg er registrert i kommunens system for elektronisk saksbehandling, noe som innebærer at de kan være tilgjengelige via nettet. Det er på det rene at det er etablert en «brannmur». Kommunen kan trolig nekte å gi nærmere opplysninger om brannmurløsningen fordi en spredning av kunnskap om dette øker farene for innbrudd.
  • Begrunnelse: I § 18 annet ledd heter det bl.a. «Dersom den som ber om innsyn er registrert, skal den behandlingsansvarlige opplyse om […] b) sikkerhetstiltakene ved behandlingen så langt innsyn ikke svekker sikkerheten.» Plikten til å begrunne innskrenkninger i innsynsretten etter § 23 tredje ledd gjelder bare ved bruk av unntakene i § 23 første ledd.
  • Lovtekst: http://www.lovdata.no/all/tl-20000414-031-003.html#18

Dersom det er registrert opplysninger om deg har du krav på å få nærmere kunnskap om generelle forhold som alle har innsynsrett i. I tillegg til navn og adresse på den som har ansvaret for behandlingen, kan du for eksempel be om e-postadresse, hjemmeside, telefaxnummer m.v. I stedet for å slå seg til ro med at formålet er «annonsevirksomhet», kan du f.eks. kreve opplysninger om hvilke produkter, når annonseringen skal skje m.v. Tilsvarende gjelder for andre opplysninger som det er generell innsynsrett for. Hvor mye du har krav på å få vite i tillegg avhenger av hva som skal til for å ivareta dine egne interesser (personverninteresser, økonomiske interesser m.v.). Det innebærer at du i disse tilfellene (trolig) må begrunne hvorfor du vil ha nærmere opplysninger.

  • Eksempel: Du vil ha nærmere innsyn i hvor Securitas sender opplysninger om butikknaskere og hvilke personer du kan kontakte på mottakerstedene. Du trenger opplysningene fordi du mener anholdelsen av deg for butikknaskeri var en misforståelse, og ønsker derfor å informere flest mulig om ditt syn på saken.
  • Begrunnelse: I § 18 tredje ledd heter det at «Den registrerte kan kreve at den behandlingsansvarlige utdyper informasjonen i første ledd bokstav a – f i den grad dette er nødvendig for at den registrerte skal kunne vareta egne interesser». For å avklare hva som er «nødvendig» trengs det en begrunnelse, men dette spørsmålet er ikke kommentert i forarbeidene.
  • Lovtekst: http://www.lovdata.no/all/tl-20000414-031-003.html#18