Håndbok i datasikkerhet og fysisk sikring · 2012. 10. 24. · «Håndbok i datasikkerhet og fysisk sikring» inneholder de regler og interne retningslinjer som styrer sikkerheten

45

Statistisk sentralbyrå • Statistics NorwayOslo–Kongsvinger 1998

Håndbok i datasikkerhetog fysisk sikring

Revidert utgave, november 1998

Statistisk sentralbyrås håndbøker

2

Sikkerhetshåndbok Statistisk sentralbyrås håndbøker 45

3

Statistisk sentralbyrås håndbøker 45 Sikkerhetshåndbok

Forord

En av de viktigste forutsetningene for at datasikkerheten og den fysiske sik-ringen i Statistisk sentralbyrå er god, er at alle ansatte kjenner de viktigsteregler og rutiner som gjelder og respekterer disse.

«Håndbok i datasikkerhet og fysisk sikring» inneholder de regler og interneretningslinjer som styrer sikkerheten i Statistisk sentralbyrå og som er av all-menn interesse for alle ansatte. Den inneholder også beskrivelser av hvordansikkerhetsarbeidet er organisert, hvordan sikkerhetsoppgaver og ansvar erfordelt samt at den sier litt om de viktigste rutinene som skal følges forivaretagelse av sikkerheten for hele Statistisk sentralbyrå. I tillegg er det tattmed stoff som er av mer informativ karakter.

Sikkerhetshåndboka deles ut til alle ansatte i Statistisk sentralbyrå, men jegforutsetter ikke at alle skal måtte lese alt. Det viktigste er at den enkelte gjørseg kjent med boka og at de deler av den som har interesse og betydning iden enkeltes daglige arbeid blir lest mer nøye.

Stoffet i denne utgaven av Sikkerhetshåndboka er disponert slik at det er lagtstørre vekt på behandling av person- og foretaksopplysninger enn tidligere.Dette betyr imidlertid ikke at Statistisk sentralbyrå anser fysiske og IT-messige sikringstiltak som mindre viktige.

Har du spørsmål til håndboka eller andre forhold rundt sikkerheten i Statis-tisk sentralbyrå som du ikke får svar på ved din enhet, kan du henvende degtil et av Sikkerhetsutvalgets medlemmer.

Statistisk sentralbyrå,Oslo, november 1998

Svein Longva

4


5


A1. Innledning ......................................................................... 71.1. Mål for sikkerheten i Statistisk sentralbyrå ..................................... 71.2. Lovgrunnlag for SSBs virksomhet .................................................... 7

Statistikkloven ............................................................................... 7Datatilsynets rammekonsesjon ....................................................... 8Forvaltningslov og offentlighetslov .................................................. 8Personregisterloven ........................................................................ 8EØS ............................................................................................... 8

1.3. Opplegg for sikkerhetshåndboka .................................................... 8

B2. Sikkerhetsorganisasjon, ansvar/oppgavefordeling ....... 102.1. Instrukser for sikkerhetsansvarlige .................................................. 10

C Behandling av PERSONOPPLYSNINGER/FORETAKS-OPPLYSNINGER i statistikkproduksjon ............................... 12

3. Datainnsamling ................................................................. 123.1. Generelt ........................................................................................ 123.2. Hjemmel for datainnsamling mv. ................................................... 123.3. Vedtak om bruk av lovhjemmel ved datainnsamling og ved bruk av

tvangsmulkt ................................................................................... 133.4. Frivillige undersøkelser ................................................................... 143.5. Databehandling i Statistisk sentralbyrå som databehandlingsforetak 153.6. Taushetsplikten ............................................................................. 153.7. Personregister ................................................................................ 163.8. Plikter pålagt den registeransvarlige i Statistisk sentralbyrå ............. 173.9. Rutiner ved søknad/melding om konsesjon ..................................... 17

4. Databearbeiding .................................................................. 194.1. Generelt ........................................................................................ 194.2. Koblinger av data som er samlet inn med hjemmel i statistikkloven 194.3. Koblinger av frivillige undersøkelser med andre data ...................... 194.4. Kryptering av fødselsnummer, rutiner ............................................. 19

5. Datalagring........................................................................... 215.1. Lagring med identifikasjon ............................................................. 215.2. Lagring med kryptert identifikasjon ................................................ 215.3. Overlevering til Riksarkivet ............................................................. 21

6. Offentliggjøring av statistikk ............................................. 226.1. Offentliggjøring av statistikk ........................................................... 22

7. Utlevering av individualopplysninger/mikrodata ............. 247.1. Den enkeltes innsynsrett i SSBs personregistre ................................ 247.2. Offentlighetens rett til innsyn ......................................................... 247.3. Generelt om utlevering av individualopplysninger/mikrodata fra

statistiske grunndata ...................................................................... 257.4. Utlevering av individualopplysninger til forskningsformål og

offentlig planlegging ...................................................................... 267.5. Utlevering av næringsopplysninger for etablering og ajourhold av

registre .......................................................................................... 26

Innhold

6


7.6. Overføring av personregistre til utlandet ......................................... 277.7. Utlevering av data innenfor EØS-området ....................................... 277.8. Saksbehandling ved utleveringssaker ............................................. 287.9. Retningslinjer for Statistisk sentralbyrås medvirkning ved trekking

av utvalg til bruk i spørreundersøkelser som gjennomføres av andre 30

D Sikringstiltak ............................................................................ 31Generelt ........................................................................................ 31

8. Fysiske sikringstiltak ........................................................ 318.1. Behandling av makulatur ............................................................... 318.2. Fysisk sikring og adgangskontroll i SSBs lokaler .............................. 318.3. Utlevering og tilbakelevering av nøkler og adgangskort .................. 328.4. Merking av utstyr........................................................................... 328.5. Beredskaps- og katastrofesikring .................................................... 328.6. Branninstruks ................................................................................. 32

9. IT-messige sikringstiltak ...................................................... 349.1. Sikkerhetsinstruks for dataeier .......................................................9.2. Sikkerhetsinstruks for dataog programbrukere.............................. 349.3. Sikkerhetsinstruks for systemutviklere og programmerere ............. 349.4. Sikkerhetsinstruks for systemprogrammerere .................................. 349.5. Sikkerhetsinstruks for maskindrift ................................................... 349.6. Regler for sletting av data på PC .................................................... 359.7. Bruk av telenett og Internett for informasjonsoverføring .................. 35

10. Prosedyremessige sikringstiltak ........................................ 3610.1.Sikkerhetsklarering og autorisasjon av personale ............................ 3610.2.Bruk av kopimaskin og skrivere ...................................................... 36

VedleggA: Konsesjon for opprettelse av personregister .................................... 37B1: Melding om opprettelse av personregister med sensitivt innhold og

andre registre opprettet på frivillig grunnlag jfr. rammekonsesjon97/1805-8 av 11.11.97 .................................................................. 60

B2: Veiledning til meldeskjema for opprettelse/endring av person-registre som inneholder sensitive personopplysninger og for person-registre der opplysningene er innhentet på frivillig grunnlag ............ 61

B3: Hva som skal med om hvert enkelt register i den halvårligerapporten til Datatilsynet med utgangspunkt i ny konsesjon ............ 64

C: Taushetserklæring ......................................................................... 65D: Modellavtaler ved utlevering av data fra Statistisk sentralbyrå og

modellbrev for avslag på søknad om utlevering .............................. 66E: Utlevering/tilbakelevering av data .................................................. 72F: Sikker databehandling i Statistisk sentralbyrå ................................. 74G: Mal for årlig sikkerhetsrapport fra avdelingene ............................... 75H: Retningslinjer for: Etablering av ny statistikk, frigiving av statistikk

og forholdet til pressen .................................................................. 76

Indeks ........................................................................................... 80

De sist utgitte publikasjonene i serien Statistisksentralbyrås håndbøker .......................................................... 83

7


er mulig, og ikke lagre data med en detaljrikdom Sta-tistisk sentralbyrå ikke har bruk for.

Sikringstiltakene bør ikke være av en slik art at de ska-per unødige tunge arbeidsrutiner og redusert trivsel forden enkelte. På den annen side må medarbeidernesette seg inn i og respektere de sikkerhetsregler og til-tak som gjelder til enhver tid.

En god sikkerhet har også som mål å ivareta den en-kelte ansattes sikkerhet og eiendom ved å redusere risi-koen mest mulig for at uvedkommende tar seg inn iStatistisk sentralbyrås bygninger.

Arbeidet med å sikre den enkeltes arbeidsplass, arbeids-miljø, helse o.l. vil ellers ikke bli behandlet i dennehåndboka da dette er saksområder som reguleres avarbeidsmiljøloven samt annet regelverk. Disse forholder det blant annet egne utvalg i Statistisk sentralbyråsom har ansvar for.

1.2. Lovgrunnlag for SSBs virksomhetStatistikklovenStatistisk sentralbyrås virksomhet reguleres avstatistikkloven. Statistikklovens formål er å fremme ef-fektiv produksjon av tjenlig statistikk gjennom reglerfor innsamling og bruk av opplysninger til statistiskeformål (statistikkloven § 1-1).

Statistisk sentralbyrå er det sentrale organ for utarbei-ding og spredning av offisiell statistikk, men skal ogsågi opplysninger til statistisk bruk for forskningsformålog for offentlig planlegging innenfor de rammer lovengir.

Både innhenting, bruk og utlevering av opplysningerreguleres i statistikkloven. Både opplysninger innhentetpå frivillig grunnlag og opplysninger innhentet etterfastsatt opplysningsplikt reguleres av loven.

Statistisk sentralbyrå kan med hjemmel i statistikk-loven § 2-2 benytte oppgaveplikt dersom opplysningeneer nødvendig for utarbeidelse av offisiell statistikk.Bare lovbestemt taushetsplikt kan stå i veien foroppgaveplikten. Oppgaveplikten kan pålegges «en-hver», dvs. både fysiske og juridiske personer, privatesom offentlige.

I tillegg har Statistisk sentralbyrå rett til å utnytte alle-rede eksisterende administrative registre i stats-forvaltningen og i landsomfattende kommunale organi-sasjoner. Dette følger av statistikkloven § 3-2.

A1. InnledningSikkerhet deles inn i tre forhold som skal dekke dentotale sikkerheten:Konfidensialitet (Begrenset innsyn)Kvalitet (Data er til å stole på)Tilgjengelighet (Data er tilgjengelig)

1.1. Mål for sikkerheten i Statistisksentralbyrå

En god sikkerhet skal medvirke til at Statistisk sentral-byrå oppfyller målsetningen om å fremme effektiv pro-duksjon av tjenlig statistikk uten å bryte statistikkloven,andre lovbestemmelser eller pålegg fra Datatilsynet.

Dette innebærer at den totale informasjonsmengde Sta-tistisk sentralbyrå til enhver tid sitter inne med blirgodt ivaretatt gjennom en tilfredsstillende datasikkerhetog fysisk sikring av bygninger og materiell.

Dette skal forhindre at informasjonen blir:Brukt til andre formål enn forutsattØdelagt/slettet tidligere enn nødvendigEndret/forfalsket/feiltolketBrukt av ikke autorisert personaleOppbevart lenger enn nødvendig

Sikkerhetstiltakene må være rettet mot de hovedformerfor trusler som finnes. De må være rettet mot misbrukhos Statistisk sentralbyrås medarbeidere og andre somkommer i lovlig kontakt med våre data og dataanlegg,da disse representerer alle former for trusler.

Det er særlig viktig at all utlevering av individuelleopplysninger/mikrodata fra statistiske grunndata blirnøye vurdert i forhold til de lover og retningslinjer somgjelder for slik utlevering.

Videre må tiltakene være rettet mot innbrudd i Statis-tisk sentralbyrås lokaler, tapping av linjer og alle for-mer for ulovlig adgang til data fra fremmede termina-ler, mot tekniske feil og ulykker som brann, strøm-brudd, vannskader, innbrudd o.l. som kan forårsakeødeleggelse av data og utstyr.

Det er dessuten viktig å ha et datavern som kan forsva-res økonomisk og som ikke sinker statistikk-produksjonen unødig. Det er derfor også viktig å redu-sere sikkerhetsrisikoen og dermed sikkerhetstiltakeneså langt som mulig.

Sikkerhetsrisikoen kan bl.a. reduseres ved å slette datasom det ikke lenger er bruk for, kryptereidentifikasjonsnumre eller avidentifisere data der dette

8


Statistikklovens regler om taushetsplikt (statistikkloven§ 2-4), bruk av opplysninger (statistikklovens § 2-5) ogoffentliggjøring av opplysninger (statistikklovens § 2-6)angir rammene for hvordan vi kan behandle de opplys-ninger som er innhentet med sikte på å utarbeide offisi-ell statistikk.

Datatilsynets rammekonsesjonSelv om Statistisk sentralbyrås virksomhet, inkludertinnhenting og bruk av opplysninger, reguleres avstatistikkloven, vil det oppstå konsesjonsplikt ved opp-rettelse av personregistre, se punkt 3.7.

Dette følger av personregisterloven. Lovgiver harm.a.o. overlatt til Datatilsynet å sette vilkår for etable-ring av personregistre i Statistisk sentralbyrå utover detsom følger av statistikkloven mht. innhold og bruk.

Dessuten er Datatilsynet gitt myndighet til å bestemmeat opplysninger gitt frivillig eller innhentet etter fastsattopplysningsplikt kan brukes til annet enn utarbeidelseav offisiell statistikk (statistikklovens § 2-5).

Det følger av forarbeidene til loven at man her snakkerom enkelte, lite følsomme opplysninger. Eksempel påslik godkjennelse av «annen bruk» er den tillatelse somer gitt i rammekonsesjonen til utlevering av særskiltenæringsopplysninger til bruk for opprettelse og opp-datering av andre offentlige og private registre.

Den tillatelse som er gitt i rammekonsesjonen til statis-tisk bruk av opplysninger til forsknings- og offentligeplanleggingsformål, er også eksempler på at Da-tatilsynet har godkjent «annen bruk».

Da Statistisk sentralbyrå er innehaver av et stort antallpersonregistre som ville gjøre det upraktisk å ha enegen konsesjon for hvert enkelt register, har Datatilsy-net regulert våre registre gjennom en egen ramme-konsesjon.

Her er det gitt rammebetingelser for registrene og detskal innenfor rammekonsesjonen sendes melding forhvert nytt register som opprettes og/eller for eventuelleendringer i forhold til tidligere meldinger. Slik melde-plikt gjelder imidlertid kun for registre som inneholdersensitive personopplysninger og for registre der opplys-ningene er innhentet på frivillig grunnlag. For andreregistre gjelder det en halvårlig rapporteringsplikt. Semer om dette under kapittel C,pkt. 3.

Det er et grunnleggende og viktig krav at medarbei-derne i Statistisk sentralbyrå må kjenne til og over-holde bestemmelsene i statistikkloven og vilkår satt iDatatilsynets rammekonsesjon. Statistikkloven ogrammekonsesjonen følger som vedlegg til denne hånd-boka.

Forvaltningslov og offentlighetslovStatistisk sentralbyrå som forvaltningsorgan er under-lagt forvaltningsloven og offentlighetslovens bestem-melser om saksbehandling, journalføring, tilgang tilopplysninger, offentlighet/unntak fra offentlighet mv.

En del av disse bestemmelsene som omhandler tilgangtil og beskyttelse av opplysninger, vil være av betydningfor ivaretakelse av sikkerheten i Statistisk sentralbyråog vil derfor bli gjennomgått i det følgende.

PersonregisterlovenEn god del av våre registre vil være opprettet til andreformål enn til utarbeidelse av offisiell statistikk. Slikeregistre vil ikke høre inn under rammekonsesjonen,men i utgangspunktet være konsesjonspliktige.

I forskriftene til personregisterloven er det gjort unntakfra konsesjonsplikten for en del typiske registre, somlønns- og personalregistre, journal/brevarkiv,adresseregistre og kunderegistre.

Forskriftene angir hvilke opplysninger disse registrenekan inneholde, hva de kan brukes til og hvem/hva detkan utleveres opplysninger til. Holder man seg innenforvilkår satt i forskriftene trenger man ikke søke konse-sjon.

Ved opprettelse av personregistre som faller utenforrammekonsesjonen (opprettet til andre formål enn sta-tistikk) og opprettelse av personregistre som ikke erunntatt fra konsesjon, jf. personregisterlovens forskrif-ter, vil det måtte søkes særskilt konsesjon. Eksempel påregister som krever særskilt konsesjon er bedriftshelse-tjenestens IT-register.

EØSEnkelte EØS-relevante forordninger og direktiver ermed å danne grunnlag og sette rammebetingelser forStatistisk sentralbyrås virksomhet. Både EUs person-verndirektiv, rådsforordning om overføring avkonfidensielle data til Eurostat og EUs statistikklov børnevnes i denne sammenheng.

Implementeringsarbeidet som gjelder for all EØS-rele-vant EU-lovgivning er imidlertid ikke sluttført. Det fore-ligger utkast til ny lov om behandling av person-opplysninger. Loven forventes vedtatt i løpet av 1998og vil erstatte dagens personregisterlov.

EUs statistikklov forutsettes også implementert i norsklovgivning. Loven antas ikke å medføre behov for sær-lige endringer i statistikkloven, men arbeidet her erennå ikke sluttført fra Finansdepartementets side.

1.3. Opplegg for sikkerhetshåndbokaSikkerhetshåndboka er delt inn i 4 hovedkapitler. Tilforskjell fra tidligere utgaver av sikkerhetshåndboka er

9


nå temaer som mer naturlig hører sammen, samletinnenfor hvert av disse hovedkapitlene. Man håper meddette å gjøre det enklere for leserne å bruke håndboka.

Kapittel A er en innledende redegjørelse for utgangs-punktet for sikkerhetsarbeidet i SSB samt for rammenefor virksomheten.

Kapittel B beskriver hvordan sikkerhetsarbeidet i SSBer organisert og plasserer ansvar for de forskjellige de-ler av sikkerhetsarbeidet.

Kapittel C omhandler reglene for behandling av person-opplysninger som gjelder for SSB og tar for seg de be-stemmelser og vilkår for behandling som følger avstatistikkloven, personregisterloven og ramme-konsesjonen fra Datatilsynet.

Kapittel D omhandler fysiske, IT-messige ogprosedyremessige sikringstiltak som må gjelde for å si-kre tilgjengelighet til opplysningene og den nødvendigekonfidensialitet.

10


3. Avdelingslederen er ansvarlig for at saker foreleg-ges Sikkerhetsutvalget der hvor dette følger avgjeldende regelverk og instrukser.

4. Avdelingslederen skal sørge for klarering og auto-risasjon av sitt personale.

5. Avdelingslederen skal i januar hvert år sende enmelding til Sikkerhetsutvalget om sikkerhets-arbeidet ved avdelingen.

Sikkerhetsrapporten skal dekke de områder avde-lingsleder har ansvaret for. Ut fra dette skal rap-porten minst gi opplysninger om følgende:• Hvem som har ansvaret for sikkerheten (inkl.

gitte fullmakter) ved avdelingen.• Hvilke sikkerhetstiltak som er gjennomført i løpet

av året, opplæring, nye instrukser mv.• Antall meldinger sendt til Datatilsynet.• Praksis ved utlevering av data i året som gikk.• Informasjon til nye medarbeidere - hva som blir

gitt.• Kryptering av fødselsnummer - bruk av dette

innen avdelingen.• Problemer som det arbeides med, opprydding i

dataarkiv, nye instrukser mv.• Spesielle problemer som avdelingen trenger hjelp

til.

6. Avdelingslederen er innenfor gjeldende regelverkansvarlig for:

6.1. De registre avdelingen eier eller låner. Detteomfatter:• Gradering av egne registre.• Nødvendige konsesjoner fra Datatilsynet.• Melding til Datatilsynet i henhold til gitte kon-

sesjoner.• Lagring av data.• Utlevering til interne og eksterne brukere av

egne registre.• Kobling med andre registre.• Kryptering.• Sletting/makulering.• Eventuelle andre spesielle pålegg.• Behandle lånte registre etter eierens instruks.

6.2. Bruk og vedlikehold av eget frittstående tekniskutstyr og IT-utstyr (utstyr som ikke er koblet tillokalnett eller sentral stormaskin).

6.3. Fysisk sikkerhet i avdelingens lokaler og adgangs-kontroll til disse, se imidlertid punkt 9 nedenfor.

B2. Sikkerhetsorgansisasjon, ansvar/oppgavefordeling2.1. Instrukser for sikkerhetsansvarligeStatistisk sentralbyrå samler inn og lagrer store meng-der data om personer, foretak, organisasjoner og myn-digheter. Det er etter statistikkloven og personregister-loven vårt ansvar at disse dataene blir effektivt utnyttettil statistikk og forskning og samtidig blir beskyttet slikat den enkelte oppgavegiver ikke blir skadelidende.Statistisk sentralbyrå har også et ansvar for at datasom skal brukes i fremtiden blir arkivert på en forsvar-lig måte.

Alle tilsatte i Statistisk sentralbyrå skal følge de reglerog instrukser de blir pålagt av sine overordnede. Hvertilsatt har et eget ansvar for at taushetsbelagte opplys-ninger ikke blir gjort tilgjengelig for uvedkommende.Den som oppdager brudd på sikkerhetsregler eller man-gelfull sikring av data skal melde dette til nærmesteoverordnede eller til Sikkerhetsutvalget.

Administrerende direktør har det øverste ansvaret forsikkerheten i Statistisk sentralbyrå.

Sikkerhetsutvalget skal sørge for at Statistisk sentral-byrå holder en høy sikkerhetsstandard ved å utarbeideregler, retningslinjer og instrukser.

Avdelingslederne skal sørge for at seksjons- og gruppe-ledere kjenner og etterlever det regelverk som gjelderog at dette regelverket blir supplert etter behov medspesielle tiltak og instrukser i forståelse medSikkerhetsutvalget.

Seksjonsledere og kontorsjefer skal sørge for at alle vedseksjonen/gruppa kjenner og etterlever det regelverketsom gjelder for den enkeltes arbeidsområde og foreslåspesielle tiltak og instrukser for områder som er spesi-elle for seksjonen/gruppa.

Avdelingsleder1. Avdelingslederen skal sette seg inn i alle lover, re-

gler og instrukser for innsamling, lagring, behand-ling og utlevering av data som gjelder i Statistisksentralbyrå, og som er aktuelle for egen avdeling.

Dersom avdelingslederen mener det er behov forandre instrukser i tillegg til disse ved avdelingen,skal vedkommende ta initiativ til at slike blir utar-beidet og godkjent av Sikkerhetsutvalget.

2. Avdelingslederen skal gjøre alle ved avdelingenkjent med de lover, regler og instrukser som skalgjelde for den enkelte seksjon eller gruppe ogpåse at disse blir etterlevd.

11


Ansvaret for dette kan avdelingslederen delegere tilavdelingens seksjons- og kontorsjefer.

7. Avdelingslederen skal påse at avdelingen følgerforsvarlige regler for publisering innenfor hvertstatistikkområde ved avdelingen og at oppgave-giverne blir gjort kjent med at de kan kreve tall iStatistisk sentralbyrås tabeller undertrykket dersom det etter en nærmere vurdering viser seg atpublisering er i strid med statistikkloven.

8. Avdelingsleder ved Administrasjonsavdelingen erhovedansvarlig for den fysiske sikkerheten i Statis-tisk sentralbyrås lokaler, kontroll av adgang tilbygningene og for at retningslinjer og rutiner formakulering av sensitiv informasjon etterleves. Avdelingsleder ved administrasjonsavdelingen er videre ansvarlig for utlevering av nøkkelkort og ad-gangstegn.

9. Den avdelingsleder som administrerende direktørpeker ut er ansvarlig for sikring av den sentraledatabehandling og beskyttelse av det sentrale ar-kiv.

Juridisk rådgiver tilknyttet Sikkerhetsutvalget• skal være SSBs rådgiver innen de fleste områder

av sikkerhetsarbeidet• skal forelegges alle vesentlige saker av sikker-

hetsmessig art og skal kunne uttale seg om disse• skal kunne møte i de fora der sikkerhets-

spørsmål drøftes• skal kunne veilede og orientere linjelederne i

sikkerhetsspørsmål.

Seksjonssjef for Seksjon for IT-drift har det overordneteansvaret for den daglige datasikkerheten i Statistisksentralbyrå. Dette inkluderer bl.a. ansvar for system-programmering og driftsansvar for felles programvareog datamaskiner. Seksjonssjefen for IT-drift har ogsådet overordnede ansvar for å holde à jour lese- ogskrivetillatelser i sikkerhetsprogrammet og for at de eri samsvar med skriftlig ordre fra registeransvarlig.

Dataadministratoren, ved Seksjon for IT-drift, skal til-dele registernummer og føre en journal over alle regis-tre. Journalen skal vise hvem som eier registeret oghvilke restriksjoner som er lagt på registeret.

Dataadministrator skal sørge for at rutiner for krypte-ring av identifikasjonsnummer blir holdt ajour, tilfreds-stillende beskrevet, og at informasjonen om bruken avrutinen er tilfredsstillende. Dataadministrator er videreansvarlig for oppfølging av halvårlige rapporteringertil Datatilsynet i tråd med rammekonsesjonen.

Kontorsjefene ved IT-kontorene i avdelingene vil ha an-svar for datasikkerheten i avdelingen og for de edb-

rutiner som utvikles ved avdelingene og for tildeling avbrukerprofiler for ansatte i IT-gruppa.

Sikkerhetsutvalget1. Utvalget har en rapporterings- og orienteringsplikt

overfor administrerende direktør i alle sikkerhets-saker. Utvalget skal hvert år utarbeide en rapportom sikkerhetsarbeidet i Statistisk sentralbyrå.

2. Utvalget er ansvarlig for at Statistisk sentralbyråtil enhver tid både har en tilfredsstillende edb-sikkerhet og organisatorisk sikkerhet ved å utarbeideregler, retningslinjer og instrukser som:• Sikrer at datainnsamling, datalagring og data

utlevering skjer i samsvar med de lover ogforskrifter som gjelder slik at Statistisk sentral-byrås interesser ivaretas.

• Regulerer sikkerheten og pålegger de ansatte ogandre som befinner seg i Statistisk sentralbyråslokaler ansvar og plikter.

• Sørger for at arbeidet innen hver avdeling blirorganisert på en slik måte at de sikkerhetsmessige hensyn blir ivaretatt.

3. Sikkerhetsutvalget møter i Statistisk sentralbyråsdirektørmøter 2 ganger i året for å ta opp aktuellesikkerhetsspørsmål. De aktuelle spørsmålene forut-settes behandlet i avdelingene på forhånd.

4. Sikkerhetsspørsmål skal settes opp som sak påminst ett Alledermøte i året etter forslag fraSikkerhetsutvalget.

5. Sikkerhetsutvalget velger tilfeldig ut minst en seksjon i året til sikkerhetskontroll. Kontrollen gjennomføres av Sikkerhetsutvalget i samarbeid medIT-utvalget og dataadministrator. Etter kontrollenlages det en rapport som behandles i Direktørmøte.

6. Utvalget har ansvar for å holde à jour Statistisksentralbyrås beredskapsplan.

7. Utvalget kan sette i gang sikkerhetstiltak etter godkjenning av administrerende direktør.

8. Statistisk sentralbyrås kontakt med Datatilsynetskal skje gjennom Sikkerhetsutvalget, unntatt rutinemessige meldinger om opprettelse av personregistre hvor Sikkerhetsutvalget har et tilsynsansvar.

Sikkerhetsutvalget oppnevnes av administrerende direk-tør og består av den i ledelsen som er tillagt politikk-og tilsynsansvaret for området, for tiden Johan-KristianTønder, lederen for IT-drift, for tiden Rune Gløersen, enav Administrasjonsavdelingens jurister, for tiden KjetilRaaness, administrasjonsdirektøren, for tiden KariMetliaas, og Sikkerhetsutvalgets sekretær, for tidenBritt Laberg.

12


C Behandling av personopplysninger/foretaks-opplysninger i statistikkproduksjon

3. Datainnsamling3.1. GenereltSelv om de regler og rutiner som er nevnt nedenfor re-laterer seg til behandling av informasjon til statistikk-produksjonen, er det viktig å huske at Statistisk sentral-byrå også behandler mye informasjon også til andreformål.

Som eksempel nevnes lønns- og personalopplysningerom tilsatte i Statistisk sentralbyrå, økonomi- ogbudsjettopplysninger og korrespondanse med andre of-fentlige etater, bedrifter og enkeltpersoner.

For behandling av denne type informasjon vil mange avde samme retningslinjer og rutiner som nevnes neden-for, i stor grad gjelde tilsvarende.

I Statistisk sentralbyrå er det nødvendig å gjøre mangeunntak fra allmennhetens rett til innsyn i dokumentermv. Primærdata og administrative data innhentet medhjemmel i statistikkloven og opplysninger innhentet påfrivillig grunnlag, er i medhold av loven undergitt taus-hetsplikt.

Oppgavegiverne har ifølge loven krav på at opplysnin-gene bare nyttes til utarbeiding av offisiell statistikkeller annen bruk godkjent av Datatilsynet, og at opplys-ningene ikke offentliggjøres slik at de kan spores til-bake til oppgavegiver eller annen identifiserbar enkelt-person til skade for denne (eller til urimelig skade fordenne dersom oppgavegiveren er et foretak eller offent-lig organ).

Opplysningene som blir gitt frivillig eller som blir sam-let inn med hjemmel i andre lover, skal i denne sam-menheng behandles som om de var samlet inn medhjemmel i statistikkloven.

Det er et generelt prinsipp for behandling av all infor-masjon som skal brukes i statistikkproduksjon at:1. Det bare skal samles inn den informasjon det er

behov for i statistikkproduksjonen.2. Oppgavegiverne skal ikke identifiseres mer enn det

er behov for på hvert trinn i produksjonen.3. Sikkerhetsgradert informasjon som det ikke er be-

hov for i statistikkproduksjonen skal fjernes så tid-lig som mulig.

4. Informasjon som skal brukes, må sikres. Informa-sjon som ikke brukes, skal slettes.

5. Informasjonene skal ordnes i registre, og hvert re-gister skal ha en ansvarlig eier.

6. Rutiner og informasjon skal dokumenteres på enfullstendig og oversiktlig måte.

For øvrig viser vi til publiseringshåndboka og SLo18.12.96, Etablering av ny statistikk (se vedlegg H).

3.2. Hjemmel for datainnsamling mv.Lov om personregistre m.m. av 9.6.78 nr. 48 og for-skrifter fastsatt med hjemmel i denne samt SSBsrammekonsesjon for føring av personregistre av11.11.97, inneholder bestemmelser som er av betydningfor hvordan Statistisk sentralbyrå kan bruke den infor-masjonen som befinner seg i SSBs lokaler.

Personregisterloven pålegger enhver som ønsker å opp-rette et register for lagring av identifiserbare person-opplysninger å innhente tillatelse (konsesjon) fra Data-tilsynet.

Loven gir videre anvisning på generelle retningslinjerfor enhver som er i befatning med personopplysninger,bl.a. presiseres den regel at identifiserbare person-opplysninger bare skal lagres dersom det er en sakligbegrunnelse for det og at sensitive personopplysninger,som helseopplysninger, opplysninger om seksuelle for-hold, straffbare forhold m.m., bare skal registreres iden grad det er nødvendig. Personregisterloven stillerm.a.o. et sterkere behovskrav når det er snakk om sen-sitiv informasjon.

Disse krav vil stort sett være tilfredsstilt dersom opplys-ningene anses nødvendige for utarbeidelse av offisiellstatistikk.

En strengere vurdering av sensitive opplysninger børuansett, slik personregisterloven legger opp til, ogsåvære retningsgivende for Statistisk sentralbyrå i vurde-ringen av hva som er nødvendig å registrere/lagre i detenkelte tilfellet.

Slike sensitive opplysninger vil ofte være underlagttaushetsplikt i særlov. Det er da viktig å merke seg atdet ved innhenting av slik informasjon vil være nødven-dig med dispensasjon fra taushetsplikten fra det aktu-elle fagdepartement.

For øvrig vil det alltid bli stilt strengere vilkår medhensyn til sikkerhet, oppbevaring og bruk av slik sensi-tiv informasjon.

13


Personopplysninger er opplysinger og vurderinger somdirekte eller indirekte kan knyttes til identifiserbare en-keltpersoner, sammenslutninger eller stiftelser. Defini-sjonen omfatter således både fysiske personer (enkelt-personer) og juridiske personer (foretak, selskap, AS,o.l.). For øvrig viser vi til Interne dokumenter97/1 Hjemmel for datainnsamling.

3.3. Vedtak om bruk av lovhjemmel veddatainnsamling og ved bruk av tvangs-mulkt

For alle data som SSB mottar, skal hjemmels-grunnlaget gjøres klart for dataleverandør.

Datamottaket i SSB bygger på:1. Hjemmel i statistikkloven § 2-22. Hjemmel i statistikkloven § 2-2 jf. § 3-23. Hjemmel i andre lover som gir SSB rett til å kreve

opplysningene4. Frivillig innsamling.

Det vises for øvrig til «Lovhjemmel ved datainnsam-ling». (Interne dokumenter 97/1.)

Oppgavegiverne skal ikke gis vederlag for å kunne opp-fylle oppgaveplikten. Dette gjelder også for administra-tive data, jf. brev fra Finansdepartementet av 18.03.96(saksnr. 96/309). Lovgiverne har imidlertid erkjent atdet finnes en grense for hvor stor økonomisk belastningen oppgavegiver må tåle i denne sammenheng.

Vurderingen av hvor store kostnader en oppgavegiverkan påføres må foretas før beslutningen om bruk avoppgaveplikt tas. Som vurderingskriterier sies det i for-arbeidene til statistikkloven (Innst. O nr. 97 1988/89s. 3) at:• Det skal tas hensyn til nødvendigheten av at opp-

lysningene gis til SSB, men også til de omkostnin-gene oppgavegiver pådrar seg i forbindelse medoppfyllelse av oppgaveplikten. Den samlede tids-bruk for oppgavegiverne skal anslås.

• Vurderingen skal foretas konkret i det enkelte til-fellet.

• Det skal i vurderingen også tas hensyn til «hvaslags statistikk som er tilgjengelig for bedrifteneog hvilken kvalitet statistikken har». Dette innebæ-rer at selv om det vil være kostnadskrevende for enoppgavegiver å oppfylle oppgaveplikten, vil dissekostnadene tillegges redusert vekt dersom oppgavegiveren selv er bruker av statistikken og derved av-hengig av at statistikken holder et høyt kvalitets-nivå.

Dersom omkostningene likevel blir for store, må alter-nativet til oppgaveplikt bli frivillig innlevering eller atundersøkelsen ikke gjennomføres.

Dette vil også til en viss grad kunne åpne for finansier-ing som skal kompensere for noe av oppgavegiverneskostnader ved å delta i en statistisk undersøkelse. Enslik kompensasjon skal alltid godkjennes av administre-rende direktør.

SSB har, med unntak av omfattende og ressurskrevendeundersøkelser som krever særskilt budsjettbehandling iStortinget, fått delegert myndigheten til selv å be-stemme hva som skal lages av offisiell statistikk oghvilket grunnlag denne statistikken skal bygges på.

SSB må derfor konkret vurdere om de opplysninger denenkelte oppgavegiver blir bedt om å gi er nødvendige iforhold til formålet med undersøkelsen.

Oppgaveplikten er som omtalt i pkt. 3.2 begrenset avlovbestemt taushetsplikt. Statistikkloven eller forarbei-dene til denne sier ellers lite om begrensninger i rettentil å pålegge oppgaveplikt.

Det finnes imidlertid grenser for hva det kan spørresom, først og fremst av hensynet til diskresjon og urime-lig inntrengen i den enkelte oppgavegivers privatesfære. I praksis bør vi særskilt vurdere undersøkelsereller spørsmål som inneholder:1. Vurderinger eller hypotetiske spørsmål (f.eks.

konjunkturbarometeret).2. Sensitive opplysninger, f.eks.:

• opplysninger om rase, eller politisk eller religiøsoppfatning

• opplysninger om at en person har vært mistenkt,tiltalt eller dømt for straffbare forhold

• opplysninger om helseforhold eller bruk av rus-midler

• opplysninger om seksuelle forhold, eller• andre opplysninger om familieforhold enn slike

som gjelder slektskap eller familiestatus, formues-ordning mellom ektefeller og forsørgelsesbyrde

3. Undersøkelser/spørsmål som er særskilt tidkrevendeog vanskelige.

Grensene mellom disse gruppene er ikke klare.Forbruksundersøkelsen i sin nåværende form er f.eks.særlig belastende og kan være sensitiv. For undersøkel-ser som faller inn under de to første gruppene, vil viikke bruke oppgaveplikt.

Vi bør også være noe tilbakeholdne med å påleggeoppgaveplikt for opplysninger om fremtidige planer.Men en vurdering av samfunnsnytten av f.eks. en statis-tikk over næringslivets investeringsplaner har resultert iinnføring av oppgaveplikt for foretak til den kvartals-vise investeringsstatistikken.

14


I noen få tilfeller har vi i undersøkelser med oppgave-plikt tatt inn spørsmål som faller innen gruppe 1) eller2), men markert at det er frivillig å svare på disse spørs-målene.

Vi bør unngå å ta med slike spørsmål i oppgavepliktigeundersøkelser, men dersom det likevel gjøres må det ty-delig oppgis hvilke spørsmål det ikke er oppgavepliktfor.Innhenting av administrative data skal alltid baseres påoppgaveplikt med hjemmel i statistikkloven hvis ikkedatainnhentingen er hjemlet i annen lov, (jf. begrensnin-ger i særlov).

Statistikklovens §3-2 gir statistisk sentralbyrå rett til åutnytte administrative datasystemer i statsforvaltningenog landsomfattende kommunale organisasjoner somgrunnlag for offisiell statistikk.

Med hjemmel i statistikkloven har derfor Statistisk sen-tralbyrå inngått avtale med de fleste aktuelle statligeforvaltningsorganer om utlevering av slike data, (jf.Rapport om bestemmelsene i statistikkloven om admi-nistrative data og samordning av statistikk. Status31.12.1994 Planer og meldinger 9/95).

Disse avtalene med hjemmel i statistikklovens § 2-2, jf.§3-2 gir det formelle grunnlag for å be om overføringav slike data (jf. Forskrift om gjennomføring og utfyl-ling av Statistikkloven, §1-2, fastsatt av Finansdeparte-mentet 13.2.1990).

Det er ikke nødvendig med ytterligere godkjenning avadministrerende direktør i forbindelse med overføringav data som er omfattet av en inngått avtale.

Dersom det ikke er inngått slik avtale mellom et statligforvaltningsorgan og SSB, er det ikke tillatt å overføredata uten at det fattes særskilt vedtak av administre-rende direktør. (For statlige forvaltningsorganer kan viikke pålegge tvangsmulkt, jf. delegeringsbrevet fra Fi-nansdepartementet av 13.2.1990.)

Rutinene for vedtak om oppgaveplikt er beskrevet iHåndbok nr. 49 s. 9; «Oppgaveplikt og tvangsmulkt».Disse retningslinjene suppleres noe her.

For all statistikkproduksjon som skal baseres på ny di-rekte datainnsamling skal de respektive avdelinger vur-dere om oppgaveplikt, med eller uten bruk av tvangs-mulkt, skal benyttes. Statistikkloven hjemler altsågrunnlag for å pålegge oppgaveplikt (§2-2).

SSB kan også med hjemmel i statistikkloven § 2-3 omnødvendig ilegge tvangsmulkt ved overskridelse av fristtil å gi opplysninger. Oppgaveplikt kan altså vedtasbåde med og uten bruk av tvangsmulkt.

Avdelingens vurdering av bruk av oppgaveplikt skaldokumenteres skriftlig. Det samme gjelder ved størreendringer i datainnsamling og når det er spørsmål omå innføre bruk av tvangsmulkt i tilfeller der det tidli-gere er fattet vedtak om oppgaveplikt uten bruk avtvangsmulkt.

Administrerende direktør fatter vedtak i Direktørmøte.Den skriftlige dokumentasjonen skal inneholde opplys-ninger om:• Oppgavegivere.• Hvilke data som skal samles inn (eventuelt med

vedlegg for utfyllende informasjon).• Bruk av dataene (med referanse til produkter i

produktregisteret pluss eventuelle andre prosjek-ter).

• Begrunnelse for hvorfor det er ønskelig medoppgaveplikt, eventuelt bruk av tvangsmulkt.

• Finansiering av prosjektene dataene skal brukestil.

• Andre opplysninger som kan være av betydning foreventuelt vedtak (alternative datakilder jf. f.eks.oppgavepliktregisteret, bruk av andre data i tillegg til de som skal samles inn mv.).

• Forslag til vedtak av administrerende direktør.

Vedtak i saken tas inn i referat fra Direktørmøtesammen med eventuelle korrigeringer i saksdokument-ene. Saksdokumentene og referatet fra Direktørmøtetoppbevares hos administrerende direktør.

Kopier av disse dokumentene skal også oppbevares avde seksjonene som foretar datainnsamlingen. Doku-mentene med vedtak er ikke unntatt offentlighet. Ved-taket skal også registreres i produktregisteret. For øv-rig henviser vi til SSH 49.

Kopi av vedtak om bruk av oppgaveplikt skal følgemed den melding som sendes Datatilsynet.

3.4. Frivillige undersøkelserStatistikkloven forutsetter at SSB kan innhente opplys-ninger på frivillig grunnlag. Det er således i ramme-konsesjon fra Datatilsynet gitt tillatelse til å registrereopplysninger innhentet på frivillig grunnlag.

Når opplysninger innhentes på denne måten, gjelderdet spesielle vilkår både med hensyn til den informa-sjon som gis til den enkelte og med hensyn til hvordanSSB kan bruke opplysningene.

Når intervjuundersøkelser eller oppgaveinnhenting erbasert på samtykke fra den enkelte, er utgangspunktetat den bruk som i ettertid gjøres av opplysningene sty-res av det samtykket som er gitt, det vil si at SSBs retttil utnyttelse av opplysningene ikke går lenger enn hvaden enkelte har gitt sitt samtykke til.

15


Det blir derfor avgjørende at den informasjon som gisså konkret som mulig beskriver hva SSB skal brukeopplysningene til. Dette innebærer også at det må in-formeres om hvorvidt opplysningene skal kobles motopplysninger i andre registre. (Se nærmere om dette ipunkt 4.3.)

Når opplysninger innhentes på frivillig grunnlag, skaldet alltid gjøres uttrykkelig oppmerksom på at den en-kelte kan nekte å delta i vedkommende undersøkelsee.l. (rammekonsesjonens punkt 2.2).

SSBs praksis med å registrere opplysninger om perso-ner som ikke samtykker til å delta, har vært kritisert avDatatilsynet. Grensene for hva som er tillatt er nå fast-satt i rammekonsesjonens pkt. 2.2 hvor hovedregelen erat registrering av frafallsårsak kun er tillatt der resp-ondenten samtykker til slik registrering.

Frafallsårsak kan registreres i en av følgende grupper:intervjuobjektet indisponert, kommunikasjonsproblemereller nekting. Dersom intervjuobjektet ikke treffes, kandette registreres som «ingen kontakt med intervjuobjek-tet» eller «intervjuobjektet utilgjengelig».

3.5. Databehandling i Statistisk sentralbyråsom databehandlingsforetak

Dersom SSB bearbeider opplysninger på oppdrag fraandre offentlige etater eller private foretak, vil SSB et-ter personregisterloven kunne defineres som etdatabehandlingsforetak.

Databehandlingsvirksomhet er konsesjonspliktig virk-somhet som reguleres av personregisterloven.

I den grad SSB mottar personregistre fra andre for åbearbeide personopplysninger etter oppdrag, vil slikvirksomhet kunne være konsesjonspliktig databehand-ling. Personregisteret kan i så fall bare brukes til deformål og på den måte som oppdragsgiver bestemmer.

Det er usikkert i hvilken grad det er aktuelt for SSB ådrive slik virksomhet. I forbindelse med ordinæroppdragsvirksomhet vil SSB alltid forbeholde seg rettentil å publisere materialet som offisiell statistikk.

I de tilfellene der innhenting av opplysninger skjer medhjemmel i statistikkloven eller er basert på frivillighetfra den enkelte oppgavegiver, vil det være i strid medstatistikkloven at oppdragsgiver avskjærer denne mulig-heten.

Dersom SSB mottar personregistre som etdatabehandlingsforetak, vil det ikke være nødvendig åbruke statistikkloven som hjemmel for innhentingenfordi en registereier lovlig kan utlevere et register til etforetak som har databehandlingskonsesjon.

3.6. TaushetspliktenStatistikklovens § 2-4 pålegger taushetsplikt for ansattei SSB når disse forbereder eller utarbeider offisiell sta-tistikk. Dette gjelder opplysninger om personlige for-hold, drifts- og forretningsforhold eller tekniske innret-ninger og fremgangsmåter.

I tillegg kan ansatte i SSB komme bort i informasjonsom ikke har noe med statistikkproduksjon å gjøre,f.eks. personal- og budsjettopplysninger. I henhold tilannen lovgivning (f.eks. forvaltningslovens § 13) vil detgjelde taushetsplikt også for denne type opplysninger.

Alt personale tilknyttet SSB skal derfor undertegne enegen taushetserklæring og gjøres kjent med det straffe-ansvar som følger av brudd på taushetsplikten, jf.statistikklovens § 5-1.

Når det gjelder innhenting av informasjon fra adminis-trative registre i organ for stat og kommune, viloppgavegiverens taushetsplikt som hovedregel ikkevære til hinder for utlevering til SSB, jf. forvaltnings-lovens § 13b nr 4 (“opplysningene kan brukes for statis-tisk bearbeiding”).

Unntak gjelder der taushetsplikt er fastsatt i særlov(f.eks. legelovens eller tannlegelovens § 31).

Det er også utarbeidet en taushetserklæring som måunderskrives av personer med annen tilknytning til SSBenn ansettelseskontrakt, som i deres arbeid kankomme bort i taushetsbelagt informasjon.

Eksempler på ulike tilknytningsforbindelser i dennesammenheng kan være at en person:• Er medlem av et utvalg tilknyttet SSB.• Er deltaker i et internt prosjekt.• Har konkret tilgang til opplysninger i forbindelse

med eksterne prosjekter.• Har tilgang til utstyr som kan inneholde taushets-

belagt informasjon (reparasjons- og serviceperso-nale).

Taushetserklæringen pålegger alle ansatte i SSB og an-dre med tilknytning til SSB, å vise aktsomhet i behand-lingen av alle opplysninger som SSB henter inn.

Taushetsplikten gjelder overfor uvedkommende; det vilsi også overfor andre personer i SSB som ikke har be-hov for å kjenne til en bestemt type informasjon i sittarbeide. Personopplysninger skal ikke spres unødig.Det gjelder et “need to know”-prinsipp internt i SSB.

Opplysninger som av hensyn til offentlige, enkelt-personers, institusjoners eller bedrifters interesser er åanse som fortrolige må ikke gjøres kjent for andre.

16


Alle blir også pålagt ikke å gi opplysninger om resulta-ter av statistiske undersøkelser før SSB har frigitt demtil offentliggjøring.

Taushetsplikten gjelder også etter at man har sluttet iSSB eller oppdraget for SSB er ferdig utført. For opp-lysninger til bruk for statistikk gjelder taushetsplikten i100 år for opplysninger om personlige forhold, og i 60år for opplysninger om drifts- eller forretningsforhold.

3.7. PersonregisterPersonregistre er registre, fortegnelser m.m. der person-opplysninger, dvs. opplysninger både om fysiske og ju-ridiske personer, er lagret systematisk slik at opplysnin-ger om den enkelte kan finnes igjen.

Det vil således alltid være et personregister dersom opp-lysningene er knyttet til fødselsnummer eller andre di-rekte identifiserende kjennetegn. Hva som eridentifiserende må vurderes i forbindelse med det en-kelte register.

Desto flere opplysninger om den enkelte et registerinneholder, jo større er muligheten for identifikasjon.Summen av en rekke opplysninger vil kunne gjøre detmulig å identifisere en person selv om hverken fødsels-nummer, fødselsdato eller navn er registrert.

I et avidentifisert register er navn, fødselsnummer ellerandre direkte kjennetegn fjernet.

Et avidentifisert register vil kunne være et person-register dersom det til tross for avidentifiseringen kan«bakveisidentifiseres», dvs. at det er mulig å identifi-sere den enkelte på bakgrunn av de opplysninger somer gitt. Først når slik indirekte identifikasjon ikke ermulig (i hvert fall uforholdsmessig vanskelig), vil mankunne definere registeret som anonymt. Et anonymt re-gister er pr. definisjon ikke et personregister.

Det er derfor viktig å skille mellom avidentifiserte oganonymiserte registre (se også pkt. 7.3). Etavidentifisert register som ikke er tilstrekkeliganonymisert, er underlagt personregisterlovens bestem-melser.

Et tilstrekkelig anonymisert register faller utenfor dissebestemmelsene da det ikke regnes som et person-register.

Et kryptert register vil imidlertid alltid regnes for etpersonregister dersom registereier (se pkt. 3.8) sittermed krypteringsnøkkelen.

Det som er sagt om avidentifiserte registre vil ogsågjelde for krypterte registre med hensyn til hvorvidt deter tilstrekkelig anonymisert.

Det kreves som hovedregel samtykke (konsesjon) for åopprette personregister som skal gjøre bruk av elektro-niske hjelpemidler.

Samtykke kreves også for å opprette manuelle person-registre dersom de skal inneholde opplysninger omrase, politisk eller religiøs oppfatning, helseforhold,misbruk av rusmidler, seksuelle forhold eller andreopplysninger om familieforhold enn slike som gjelderslektskap og familiestatus, formuesordningen mellomektefeller og forsørgelsesbyrde.

For opplysninger samlet inn til bruk i statistikk-produksjon og annen nærmere angitt bruk godkjent avDatatilsynet med hjemmel i statistikkloven § 2-5 (spesi-fisert i SSBs rammekonsesjon, se vedlegg 1), behøvesdet imidlertid ikke å søke om konsesjon. Det skal i ste-det sendes en melding om opprettelse av nytt/endring iallerede meldt register. Se pkt. 5.3 nedenfor for nær-mere veiledning.

Hva er et register i Statistisk sentralbyrå?Presisering av hva som er ett personregister har størstbetydning for informasjon som skal brukes i statistikk-produksjonen. Dette fordi de fleste administrative regis-tre til bruk internt i Statistisk sentralbyrå stort sett erunntatt fra konsesjonsplikten, se også nedenfor underpunkt. 5.7.

Det er nødvendig å ha et godt register over alleoppgavegivere, dvs alle enheter som statistikken skalomfatte. Disse enhetene er personer og foretak. Offent-lige myndigheter, foreninger osv. oppfattes her somforetak.

Det følger av definisjonen av et personregister at detkan bli vanskelig å avgrense registrene i Statistisk sen-tralbyrå. Det må derfor stilles tilleggsvilkår slik atregisterbegrepet og konsesjonssystemet gir mening.

En samling opplysninger hvor den enkelte person/fore-tak/bedrift m.m. kan gjenfinnes må tilfredsstille føl-gende vilkår (alle må være oppfylt) for å kunne regnessom ett personregister:1. Enhetene opplysningene gjelder er definert på

samme måte.2. Enhetene er identifiserbare ved samme

identifikasjonssystem, f.eks. ved bruk av fødsels-nummer/organisasjonsnummer.

3. Personopplysningene er standardiserte, dvs. at deenkelte kjennemerker som inngår i materialet måvære definert og klassifisert på en ensartet måte.Enkeltkjennemerker som refererer til ulike tidspunk-ter eller perioder, vil i denne sammenheng oppfattessom forskjellige kjennemerker.

4. Det faglige ansvar for lagring, oppdatering og brukav data kan legges til en og samme administrativeenhet.

17


Dersom ett eller flere punkter ikke er oppfylt, må sam-lingen av opplysninger deles i flere registre.

En rekke typer personregistre til ulike formål er unntattkonsesjonsplikt. Personregisterlovens forskrifter, kapit-tel 2, konkretiserer hvilke registre dette er.

Det er viktig å merke seg at forskriftene er uttøm-mende, dvs. registrene kan bare inneholde de nevnteopplysninger og kan bare brukes til de nevnte formålfor å kunne være unntatt konsesjonsplikt.

Viktige unntak for SSB er registre over nåværende ellertidligere ansatte, bibliotekets låneregister og kunde-,abonnent- og leverandørregistre.

3.8. Plikter pålagt den registeransvarlige iStatistisk sentralbyrå

SSB defineres som registereier. Leder i sikkerhets-utvalget er i rammekonsesjonen oppnevnt som register-ansvarlig generelt for alle SSBs registre. Dette ansvaretvil i praksis kunne delegeres til den enkelte avdeling/seksjon som oppretter registeret. Den som har fått dele-gert registeransvar må påse følgende:• At melding om opprettelse og endring av person-

register blir utarbeidet i tråd med rammekonsesjonfra Datatilsynet, behandlet i SSBs ledelse og sendtDatatilsynet.

• Ha ansvaret for de datasettene/opplysningene som etregister til enhver tid består av.

• Avgjøre hvem som skal gis tilgang til datasett/opp-lysninger. Tilsatte ved den enkelte enhet skal baregis tilgang til de datasett/opplysninger vedkom-mende har et tjenestemessig behov for.

• Ved ansettelse av nye personer orientere om hvilkedata/opplysninger som er undergitt taushetsplikt, ogbetydningen av at taushetsplikten overholdes.

• Være ansvarlig for at det ved den enkelte avdeling/seksjon/gruppe etableres regler og rutiner for be-handling av data gradert høyere enn FORTROLIG ogBEGRENSET, jf. nedenfor under pkt. 9.5.

3.9. Rutiner ved søknad/melding om konse-sjon

Hvordan melde registre?SSBs rammekonsesjon har fastsatt rammen for hvaslags type registre SSB kan ha, hvordan informasjonskal samles inn, oppbevares og brukes. Datatilsynet harimidlertid innenfor rammekonsesjonen et system hvornye registre/endringer i tidligere etablerte registre skalmeldes før opplysninger kan samles inn og lagres.

Disse meldingene skal skje på et fastsatt skjema, jf. ved-legg B. Praksis har vist at disse meldingene har blittbehandlet som ordinære søknader om konsesjon, noesom bl.a. innebærer at innholdet av disse meldings-skjemaene blir viktige.

Etter revisjonen av rammekonsesjonen (konsesjon av11.11.97) har omfanget av meldeplikten blitt redusert.Det er nå kun to kategorier registre som skal meldesfortløpende:1. Opprettelse/endring av personregistre som innehol

der sensitive personopplysninger.2. Opprettelse/endring av personregistre der opplysnin

gene er innhentet på frivillig grunnlag. Slike regis-tre er meldepliktige selv om de ikke inneholder sen-sitive personopplysninger.

Meldingen skal inneholde kopi av eventuelt vedtak ombruk av oppgaveplikt.

Disse to ovennevnte registertyper er skilt ut for at Data-tilsynet skal kunne kontrollere at innhentingen av opp-lysningene er lovlig før konsesjon kan gis. Ved innhen-ting av sensitive opplysninger vil Datatilsynet kontrol-lere hvorvidt det foreligger lovbestemt taushetspliktsom kan være til hinder for innhenting av opplysnin-gene.

Ved innhenting av opplysninger gitt på frivillig grunn-lag, reguleres innhentingen av respondentens samtykke.Datatilsynet ønsker i den forbindelse å kontrollere atdet avgitte samtykket er reelt. Dette vil gjøres ved atDatatilsynet gjennomgår den informasjon som gis resp-ondenten i forbindelse med gjennomføring av undersø-kelsen.

I tillegg til meldeplikt for de ovennevnte registre er detfastsatt at det hvert halvår skal sendes en oversikt tilDatatilsynet med en kortfattet melding for alle registresom er opprettet i SSB de siste seks måneder. (VedleggB3) Denne meldingen sendes av IT-Drift. Seksjonenemelder også de registre som ikke er frivillige eller sominneholder sensitive opplysninger til IT-Drift. En brukerdet samme skjemaet som for melding til Datatilsynet(Vedlegg B1). IT-Drift sørger for at både registre somalt er meldt Datatilsynet og de som etter konsesjonenikke skal meldes, kommer med på halvårsrapporten.

Innenfor de regler rammekonsesjonen setter og utfradet som her er sagt om hva som er et personregister iSSB, er det fortsatt stor frihet i forhold til hva som skalmeldes som ett register til Datatilsynet. Følgende reglerkan imidlertid legges til grunn for de meldinger somskal sendes:• Det skal ikke meldes unødig mange registre, dvs. en

melding skal alltid dekke minst det omfang og detdatainnhold registret skal ha.

• Når det meldes et nytt register og det regnes somsikkert at det nye registeret vil bli koblet med et ek-sisterende eller fremtidig register, skal det sendes enmelding som dekker de registrene som vil bli ko-blet. Meldingen om registre som inngikk i koblingenskal da tilbakekalles.

18


• En database som inneholder data fra to eller flereregistre, skal meldes som et nytt register. Denne mel-dingen bør være så omfattende at den dekker de tid-ligere meldingene.

• Dersom datainnsamlingen utvides, må den register-ansvarlige sørge for at det sendes en endrings-melding eller melding om nytt register til Datatilsy-net. Dersom to eller flere tidligere meldte registreblir koblet til et register, og disse ikke skal oppbeva-res med kryptert identifikasjon, skal det nye registe-ret alltid meldes til Datatilsynet som nytt register.Meldingen om de registre som inn gikk i koblingenskal da tilbakekalles.

19


4. DatabearbeidingDatatilsynet har gitt uttrykk for at det ikke vil være til-strekkelig å informere generelt om at opplysningenesom innhentes vil kunne bli koblet med andre opplys-ninger. Det kreves en mer konkret angivelse av hvilkeregistre eller hvilke typer registre det vil bli koblet mot.Også kobling av krypterte registre krever respondentenssærskilte samtykke.

Hvorvidt det skal angis type register, navn på register,hvor opplysningene er hentet fra eller navn på register-eier (f.eks. i de tilfellene det skal kobles mot adminis-trative registre som er innhentet med hjemmel istatistikkloven), vil måtte vurderes i forbindelse medden enkelte undersøkelse og vil bl.a. avhenge av hvasom er mest informativt. Ved tvil skal spørsmålet fore-legges Sikkerhetsutvalget.

4.4. Kryptering av fødselsnummer, rutinerOm kryptering av fødselsnummer og begrunnelse fordetteKrypteringen bidrar til avidentifisering av dataene ogstyrker derved vårt datavern. Kryptering kan være etalternativ til anonymisering (total fjerning av alle kjen-netegn, S-nr. og K-nr.) som vil kunne avskjære SSBsmulighet til fremtidig kobling. Der fremtidig koblinghelt klart ikke er aktuelt, bør imidlertid registeretanonymiseres.

Kryptering av personregistre i Statistisk sentralbyråinnebærer at fødselsnummeret blir erstattet av etinformasjonsfritt og permanent nummer (K-nummer)som fremkommer ved å bruke spesielle krypteringsnø-kler.

Før dette kan skje, må imidlertid fødselsnummeret gjø-res om til et nummer (S-nummer) som er permanentknyttet til en person selv om fødselsnummeret skifter.

Formålet med kryptering er å:• bygge opp beredskap for statistikkproduksjonen

fordi det ofte vil være behov for å ta vare påmuligheten for kobling av data fra ulike tidsperio-der. Dersom fødselsnummer er koblingsnøkkelen,vil kobling være vanskelig, og ved å kryptere vilStatistisk sentralbyrå dessuten kunne bygge oppen høyere beredskap for tilfeldige oppdrag der deter behov for det.

Det er nedenfor gitt utfyllende informasjon om de mertekniske sider av krypteringsrutinene.

Interne rutinerInformasjon om kryptering fås hos Statistisk sentralby-rås dataadministrator. For øvrig gjelder følgende ruti-ner:

4.1. GenereltStatistikkloven hjemler SSBs adgang til å samle innopplysninger som er nødvendige for å utarbeide offisi-ell statistikk. De personregistre som opprettes som enfølge av oppgave-/datainnhenting er i hovedsakkonsesjonspliktige, hvilket innebærer at enhver bruk avregistrene må reguleres i konsesjon.

Således vil også den kobling som foretas mellom to el-ler flere registre måtte meldes til Datatilsynet dersomkoblingen resulterer i et nytt register eller det blir til-ført nye typer opplysninger i personregister som kobles.Dette kan gjøres ved at det ved innmeldingen av et ny-opprettet register kan oppgis hvilke andre registre/opp-lysninger det ev. skal kobles med, eller det må meldesfra dersom det er aktuelt å koble to eller flere registresom det hver for seg er sendt melding om tidligere.

Meldeplikten ved kobling gjelder kun dersom det i ut-gangspunktet dreier som om registre som er melde-pliktige. Koblinger som resulterer i statistikk og/ellerkoblinger med anonymt resultat, er ikke meldepliktigekoblinger etter konsesjonen

4.2. Koblinger av data som er samlet inn medhjemmel i statistikkloven

Slike koblinger må meldes, slik det er beskrevet i punkt4.1, dersom koblingen medfører at det oppstår et nyttregister (at et register blir tilført nye opplysningstyper),og dersom det nye registeret inneholder sensitivepersonopplysninger. Dersom det ikke inneholder sensi-tive personopplysninger, skal registeret kun oppgis i dehalvårlige meldingene.

Ifølge rammekonsesjonens punkt 2.6.1 kan opplysnin-ger som er innhentet etter pålagt oppgaveplikt (inklu-dert administrative registre i det offentlige), koblesmed SSBs egne eller andres registre.

Rammekonsesjonen setter som vilkår at slik kobling måvære nødvendig for å gjennomføre de oppgaver SSB erpålagt etter statistikkloven.

4.3. Koblinger av frivillige undersøkelser medandre data

Det følger av frivillighetsprinsippet (som omtales underpunkt 3.6) at det for opplysninger innhentet på frivilliggrunnlag må kreves samtykke fra den enkelte regis-trerte før kobling kan finne sted.

Datatilsynet setter vilkår i rammekonsesjonens punkt2.6.2 om at registre inneholdende opplysninger innhen-tet på frivillig grunnlag krever særskilt samtykke fraden registrerte.

20


• Den registeransvarlige fyller ut krypterings-blanketten med blant annet forslag til hvilkenkrypteringsserie som skal nyttes, registernummer,filidentifikasjon på input og output, størrelsen påfila og startposisjoner for Snr./Knr.

• Krypteringsblanketten sendes Statistisk sentral-byrås dataadministrator som fastlegger krypte-ringsserien.

• Dataadministrator kaller inn de to krypterings-operatørene, som er ansvarlige for hver sin del avkrypteringsnøkkelen, og kjører krypteringen.

• Krypteringsblanketten signeres av Dataadministra-tor og krypteringsoperatørene og returneres denregisteransvarlige sammen med utskrift frakrypteringskjøringen.

• Den registeransvarlige sørger for at en medarbei-der som kjenner registeret kontrollerer innholdet idet krypterte registeret og bekrefter at bare detdatainnholdet som skal være med har kommetmed, og at det ikke inneholder noen form for iden-tifikasjon.

• Den registeransvarlige kontrollerer at det krypterteregisteret inneholder riktig antall records, at det erkatalogisert på riktig fil-ident, bekrefter at registermed fødselsnummer er slettet, signerer krypterings-blanketten og sender kopi av blanketten til data-administrator.

Dekryptering av K-nr. til S-nr.Den nøkkelen, og bare den, som ble brukt ved krypter-ingen kan brukes til å komme tilbake til S-nr. ved åbruke programmet for dekryptering. Det skal egentligikke være noe behov for å bruke dette programmet.Det kan betraktes som en beredskap i tilfelle et uforut-sett behov skulle dukke opp. Dekryptering skal godkjen-nes av administrerende direktør.

OmkrypteringVed kryptering fra S-nr. til K-nr. skal registre som detikke er behov for å koble gis forskjellig krypterings-serie. Dersom det senere skulle vise seg nødvendig åkoble registre fra forskjellige serier, kan programmetfor omkryptering brukes for å flytte et register fra enserie til en annen uten å gå veien om S-nr. ved endekryptering. Begge sett med nøkler må brukes ved enomkryptering.

Omkryptering vil også være aktuelt dersom krypterings-nøkkelen er blitt kjent eller K-nr. for deler av registereter avdekket ved bakveisidentifisering. Etter en slikomkryptering skal de første nøklene slettes.Omkryptering skal godkjennes av administrerende di-rektør.

Hvor anonymt er et kryptert register?Risikoen for at krypteringen blir brutt ved analyse avtilgjengelige K-nr. må regnes som liten da det er enrent tilfeldig sammenheng mellom S-nr. og K.nr.Krypteringsnøkkelen er delt i to deler som oppbevaresav to personer på forskjellige steder. Dette gir stor sik-kerhet mot at nøkkelen kommer på avveie. Menkryptering er aldri sikrere enn en avidentifisering, dvs.fjerning av fødselsnummer.

Det vil kunne være mulig med bakveisidentifikasjon,dvs. identifisering av personer gjennom andre data iregisteret.

Statistisk sentralbyrå har oversikt over hvilke registrehver bruker har adgang til. Registereier har ansvar forå påse at registre som ikke er kryptert brukes sammenmed krypterte registre på en slik måte at bakveis-identifikasjon ikke kan finne sted.

21


5. Datalagringringstiltak som anses nødvendige. Det vil også kunnevære avgjørende for hvorvidt SSB får godkjent løsningerfor ekstern kommunikasjon hvor godt “beskyttet”personopplysninger lagres.

Det er for øvrig som hovedregel et krav at elektroniskoverføring av personopplysninger skal skje kryptert,hvilket f.eks. vil gjelde for overføring mellom Oslo ogKongsvinger.

5.3. Overlevering til RiksarkivetSpørsmålet om avlevering av personopplysninger tilRiksarkivet har lenge vært og er fortsatt pr. i dag uav-klart, idet det er vedtatt ny arkivlov som foreløpig ikkehar trådt i kraft på grunn av manglende forskrifter.

I henhold til Datatilsynets rammekonsesjon punkt 2.5vil derfor krav til sletting/anonymisering måtte utståinntil forholdet til Riksarkivet er avklart.

Det er etter dagens arkivlov anledning til å deponereregistre hos Riksarkivet, hvilket innebærer en slag fjern-arkivering hvor den som avleverer materialet fortsatthar råderetten over det. Slik avlevering vil kunne væreet midlertidig alternativ for SSB i de tilfellene man øn-sker å slette/anonymisere et register.

Det vil også kunne være et alternativ til “intern fjern-lagring”. Dersom registre overføres til Riksarkivet, vildet fortsatt gjelde taushetsplikt etter statistikkloven,samtidig som de vilkår som er satt i rammekonsesjonennår det gjelder utlevering til forskning og planlegging,vil gjelde.

Denne fremgangsmåten bør imidlertid bare benyttesunntaksvis idet man ved fysisk å skille seg med mate-rialet nødvendigvis også i praksis gir fra seg kontrollenmed sikringstiltak.

5.1. Lagring med identifikasjonDet er et generelt personvernprinsipp at innhenting ogregistrering av personopplysninger bare skal skje i dengrad man har saklig behov for det, eller i den grad deter nødvendig forsåvidt gjelder sensitive opplysninger.Datatilsynet har i rammekonsesjonen (punkt 2.5) derforinntatt et vilkår om at opplysninger som ikke lengerhar betydning for formålet skal slettes eller anonymise-res. Anonymisering likestilles her med sletting.

Som hovedregel bør personopplysninger kun oppbeva-res med full identitet i den grad det er absolutt nødven-dig for utarbeidelse av statistikk. Dersom person-opplysningene ikke lenger er aktuelle for utarbeidingav offisiell statistikk og opplysningene ikke slettes, skaldet vurderes hvorvidt personopplysningene bør anonym-iseres.

Det ble i ny rammekonsesjon av 11.11.97 satt vilkårom at registrene skal anonymiseres snarest mulig ogsenest innen ett år dersom ikke navn, fødselsnummereller annen personidentifikasjon blir erstattet medkryptert nummer. Datatilsynet kan fastsette lengreoppbevaringstid i forbindelse med den enkelte melding.

Selv om det skulle være på det rene at et register vilkunne slettes utfra en behovsvurdering i SSB, vil detimidlertid være nødvendig først å avklare hvorvidt deteksisterer plikt eller anledning til å overføre registerettil Riksarkivet (jf. punkt 5.3).

5.2. Lagring med kryptert identifikasjonDersom det ikke er absolutt nødvendig å lagre person-opplysninger med full identitet, skal opplysningenekrypteres. (Se punkt 4.4; kryptering, rutiner.) Innen ettår skal registrene som hovedregel anonymiseres ellerslettes dersom de ikke krypteres.

Hvorvidt personopplysninger er lagret med full identiteteller er kryptert, vil kunne ha betydning for hvilke sik-

22


6. Offentliggjøring av statistikk6.1. Offentliggjøring av statistikkStatistikklovens § 2-6 omhandler offentliggjøring avstatistikk. Opplysninger skal ikke i noe tilfelle offent-liggjøres slik at de kan føres tilbake til oppgavegivereller annen identifiserbar enkeltperson til skade fordenne, eller til urimelig skade for denne dersomoppgavegiveren eller enkeltpersonen er et foretak somnevnt i § 5-1 tredje ledd (selskap med begrenset an-svar, et kommandittselskap eller annen sammenslut-ning eller en stiftelse) eller en offentlig virksomhet.

Loven skiller altså mellom fysisk person og juridisk per-son/offentlig virksomhet når det gjelder krav tilanonymisering.

Statistikk blir gjort tilgjengelig i form avaggregerte størrelser, slik at de opplysninger som giskarakteriserer massen av oppgavegivere, og ikke de en-kelte i den forstand at de kan identifiseres. Det kan li-kevel tenkes tilfeller hvor det, f.eks. av hensyn til enhensiktsmessig oppbygging av statistikken, vil værevanskelig å unngå at enkelte opplysninger indirektekan føres tilbake til den enkelte oppgavegiver.

Det vil imidlertid ikke være adgang til å offentliggjøreoffisiell statistikk slik at opplysninger kan føres tilbaketil oppgavegiver eller annen identifiserbar enkeltperson(fysisk person) dersom dette er til skade for denne.

Dersom oppgavene gjelder juridiske personer eller of-fentlig virksomhet, sier loven imidlertid at opplysnin-gene ikke må gjøre urimelig skade. Det er her tenkt påtilfeller hvor offentliggjøring er lite betenkelig, opplys-ningene kan være offentlig tilgjengelig, f.eks.regnskapsopplysningene i et aksjeselskap.

Det kan dessuten være tilfeller der en avveining mellommotstridende interesser faller slik ut at offentliggjøringbør skje, til tross for at dette kan være ubehagelig foroppgavegiver. Er interessene og hensynene som talerfor offentliggjøring overveiende, kan oppgavegiverensinteresse måtte vike. Det er likevel forutsatt at dettebare skjer dersom det ikke er til urimelig skade.

Loven pålegger oss å være særlig påpasselig med of-fentliggjøring av opplysninger om fysiske personer. Hermå vi forvisse oss om at opplysningene ikke er til skadefor den enkelte dersom indirekte informasjon er mulig.For juridiske personer/offentlig virksomhet gir lovenadgang til å vurdere samfunnsnytten av offentliggjøringav opplysninger mot graden av skade publiseringen for-årsaker.

Hva denne rettslige standard innebærer vil avhenge avopplysningenes karakter. Det vil være av særlig betyd-

ning, men ikke avgjørende, om oppgavegiver (og denopplysningene gjelder, dersom dette er en annen) sam-tykker i offentliggjøring av opplysningene.

Ovennevnte lovregel fører til at SSB vanligvis ikke pu-bliserer tabeller med mindre enn tre enheter i engruppe (tabellcelle). En befolkningstabell for en kom-mune må f.eks. kunne vise folketallet fordelt på geo-grafisk område og kjønn selv om antall enheter skullekomme ned under tre i få områder.

Tilsvarende må vi kunne offentliggjøre at det er 0-2 be-drifter i en næring i en kommune, men i utgangspunk-tet ikke ytterligere spesifikasjoner for disse cellene medså få antall bedrifter.

Det er viktig å passe på at opplysninger for gruppermed mindre enn tre enheter ikke kan avleses indirekteav aggregater i tabellverket. Det er f.eks. ikke noenhensikt å prikke ut tallet bare i en celle dersom det kanavleses ved å beregne det ut fra et aggregat i tabellen.

Innen de forskjellige statistikkområder har det i samrådmed brukerne utviklet seg prioriteringer vedundertrykkinger i tabellverkene. I næringsstatistikkenkan en f.eks. velge å beholde hovedtall for en nærings-gruppe, men gi avkall på detaljert gruppering etterstørrelse, geografi m.v.

I næringsstatistikken finnes det avvik fra hovedregelenom tre enheter i en gruppe. I en bedriftstabell vil entabellcelle måtte inneholde bedrifter i minst tre foretakfor å opprettholde ovennevnte sikkerhet med tre enhe-ter.

Det samme gjøres f.eks. i tabell over vareproduksjoneni industrien. Produksjonsopplysninger om en vare kanikke offentliggjøres uten at denne er produsert i minsttre foretak.

I utenrikshandelstatistikken praktiseres ikke uten videredenne regel med publisering uten at det minst er treimportører/eksportører. Her undertrykkes tallene bare ide tilfeller en næringsdrivende har hevdet at offentlig-gjøring av opplysninger vil være til urimelig skade forvedkommende. SSB har hittil akseptert den enkeltesegen vurdering.

For å vanskeliggjøre gjenkjenning kreves at summen avkjennemerker (f.eks. lønnssum) i bedriftene i et foretakikke utgjør 90 prosent eller mer av totalsummen forgruppen. Har f.eks. et foretak 90 prosent av lønns-summen i en næring i et fylke, skal tall for dennegruppen i utgangspunktet ikke offentliggjøres.

23


Videre praktiserer vi den regelen at vi ikke offentliggjørtall dersom de to største enhetene (foretakene) tilsammen har minst 95 prosent av totalsummen.

I noen tilfeller har SSB innhentet samtykke fra enheterom å offentliggjøre statistikk som støter an mot dissereglene. Mange av disse tilfeller gjelder opplysningerfor store foretak. Selv om lovreglene gir hjemmel forpublisering så fremt det ikke kan påvises urimeligskade, bør eventuell publisering som vedkommendesetter seg i mot, vurderes meget nøye.

24


7. Utlevering av individualopplysninger/mikrodataopplysningene skal gjøres tilgjengelige. På anmodningskal svar gis skriftlig i form av utskrift eller avskrift.

Forsåvidt gjelder forespørsel om typer av opplysningerskal disse besvares umiddelbart. Dette følger avforskriftens § 1-3. Rent praktisk bør man her ha listerover dette liggende klart.

Avslutningsvis nevnes at avgjørelse som går på ominnsynsrett skal gis eller ikke er et enkeltvedtak somkan påklages etter forvaltningslovens regler.

7.2. Offentlighetens rett til innsynAv § 2 i lov 19.6.70 nr 69 om offentlighet i forvaltnin-gen fremgår at forvaltningens saksdokumenter er of-fentlige så langt det ikke er gjort unntak i lov ellermedhold av lov og at enhver hos vedkommendeforvaltningsorgan kan kreve å få gjøre seg kjent meddet offentlige innholdet i en bestemt sak.

Innsynsretten gjelder sakens dokumenter og i den for-bindelse må ikke begrepet dokument tolkes snevert.Som dokument regnes brev, uttalelser, journaler, regis-tre, utskrifter, kart, skisser, fotografier og ellers altsom er relevant for den saken man ber om innsyn i.Forsåvidt gjelder dokumentbegrepets anvendelse påelektronisk lagret materiell vises til det som er sagtovenfor under pkt. 7.1.

Man bør merke seg at begrensningene i offentlighetensinnsynsrett til dels er vesentlige som følge av de mangelovfestede unntak som er gjort, ikke minst ioffentlighetsloven selv. En annen begrensning kanfølge av det faktum at man for å få innsyn må kunneidentifisere den aktuelle sak man ønsker innsyn i;innsynsretten gjelder i en bestemt sak.

Nærmere om unntakene fra offentlighetslovenOffentlighetslovens §§ 5, 5a og 6 har bestemmelsersom sier hva som kan unntas fra offentlighet. Det er iden forbindelse viktig og merke seg skillet mellom do-kumenter og opplysninger.

I noen tilfeller kan det derfor være slik at det er vissetyper av opplysninger som kan unntas, mens dokumen-tet for øvrig er offentlig, med mindre disse deler alenevil gi et åpenbart misvisende bilde av innholdet eller deunntatte opplysninger utgjør den vesentligste del av do-kumentets innhold, jf. § 5a annet ledd. Jf. også § 6siste ledd hvor det samme prinsipp er lagt til grunn for-såvidt gjelder unntak for dokumenter.

Det er også viktig å være oppmerksom på det forholdat bestemmelsene er formulert slik at opplysninger kanunntas. Dette betyr at det således er hjemmel for å

7.1. Den enkeltes innsynsrett i SSBs personregistre

Den enkeltes innsynsrett, dvs. retten til å få vite hvasom er registrert om en selv i et register, er en sentralrettighet i personvernsammenheng. Denne rettigheten erhjemlet i personregisterlovens § 7.

Av bestemmelsens første ledd fremgår at «alle har retttil å få vite hvilke opplysninger om dem selv som la-gres eller bearbeides ved elektroniske hjelpemidler».

For SSBs virksomhet er det her særlig viktig å merkeseg den begrensning som er gjort i innsynsretten for-såvidt gjelder registre som kun benyttes til statistikk,forskning eller planleggingsformål.

Begrunnelsen for dette er at slike registre ikke blirbrukt til å fatte enkeltvedtak og at det også vil kunnevære vanskelig å trekke ut opplysninger som gjelderden enkelte.

Statistisk sentralbyrå har imidlertid plikt til på fore-spørsel å informere om hvilke personregistre vi har. Pågrunnlag av denne informasjonen kan publikum fåkunnskap om i hvilke registre de kan være registrert,men de vil ikke få informasjon om hva som står omdem i registrene.

Hvordan innsyn etter personregisterloven skal gisI forskrift til personregisterloven av 21. des. 1979 nr 22er det gitt en del bestemmelser om hvordan innsyn skalgis. Det gjelder ikke generell innsynsrett for SSBs regis-tre, men det vil gjelde innsynsrett for SSBs egne ansattei f.eks. lønns- og personalregisteret.

Ut fra rent praktiske grunner oppstilles et krav omskriftlighet. Forsåvidt gjelder identifikasjon av det re-gister det ønskes innsyn i er det tilstrekkelig å rette enhenvendelse til det organ som er registereier, uten atnoen nærmere spesifisering anses for påkrevet.

Når det gjelder identifikasjon av den registrerte selv, erdet her opp til den enkelte registereier å utforme in-terne retningslinjer, herunder påse at taushetsplikten ogandre regler overholdes slik at opplysninger ikke utle-veres til uvedkommende.

Svar på henvendelse skal ifølge forskriftens§ 1-1 som hovedregel gis skriftlig, snarest mulig og se-nest innen en måned.

Formen må også være slik at den er forståelig for mot-taker ut i fra dennes forutsetninger. Forsåvidt gjelder demanuelle registrene bestemmer her registeransvarlig, uti fra hensynet til forsvarlig saksbehandling, hvordan

25


tas, så snart som mulig (senest ved avsendelse av brev)påføres nøyaktig og fullstendig hjemmel for dette. F.eks. skal det ved bruk av § 5a også vises til den særlov/paragraf som inneholder den aktuelle taushetsplikt-bestemmelse.

Ansvaret for å unnta påhviler i utgangspunktet den an-svarlige saksbehandler.

Når det gjelder saksbehandlingsregler ved innsyns-henvendelser, vises til bestemmelsene i offentlighets-lovens §§ 8 og 9.

7.3. Generelt om utlevering av individual-opplysninger/mikrodata fra statistiskegrunndata

Adgangen til å utlevere opplysninger fra SSBs statis-tiske registre følger av statistikklovens § 2-5 og SSBsrammekonsesjon fra Datatilsynet (se vedlegg A). Detvises også til punkt 3 ovenfor, som må sees i sammen-heng med reglene om utlevering.

Rammekonsesjonens system innebærer at det er nødven-dig å skille mellom tre typer av opplysninger i dennesammenheng:• Identifiserbare opplysninger, dvs. opplysninger

hvor det er mulig å identifisere enkeltpersoner, be-drifter o.l. ved at den enkelte fil inneholder fød-selsnummer/bedriftsnummer og/eller navn.

• Avidentifiserte opplysninger, dvs. opplysningerhvor de data som brukes som identifikasjonsnøkkelved registeret er fjernet. Dette vil vanligvis værenavn, adresser og fødselsnummer/bedriftsnummer.

• Anonymiserte opplysninger, dvs. opplysninger hvorså mange kjennemerker/kategorier er fjernet atdet med rimelige midler ikke er mulig (er ufor-holdsmessig vanskelig) å knytte opplysningenehverken direkte eller indirekte til identifiserbareenkeltpersoner, sammenslutninger eller stiftelser.(Se også nærmere pkt. 3.7.)

Selv om registrering av anonymiserte opplysninger ikkekrever konsesjon, bør det ved utlevering av denne typedata, på samme måte som man må ved utlevering avavidentifiserte data, kreves undertegnet en erklæringsom pålegger vedkommende taushetsplikt i henhold tilstatistikklovens § 2-4 samt at dataene bør slettes etterat prosjektet e.l. er avsluttet, se standardavtale nr. 4 ivedlegg D.

Det er viktig å merke seg at reglene åpner for en ad-gang til utlevering av opplysninger (“kan utleveres”).Det er en forutsetning for utlevering av opplysninger atdet “finnes rimelig og ikke medfører uforholdsmessigulempe for andre interesser”.

Et moment i denne vurderingen er de vilkår og begrens-ninger SSB kan sette for utleveringen som innebærer

unnta, men at det ikke foreligger noen plikt til å gjøredette. En skjønnsmessig avveining på bakgrunn av prin-sippet om meroffentlighet i forvaltningen vurdert oppmot de hensyn som taler for å unnta, blir derfor å leggetil grunn.

Interne dokumenterOffentlighetslovens § 5 hjemler unntak for interne do-kumenter, dvs dokumenter som er utarbeidet for internsaksforberedelse. Dette kan f. eks. være interne notater,forslag, utkast, møtereferater, arbeidsdokumenter, kor-respondanse med anmodning om faglig/teknisk rådgiv-ning mv. Dokument som er utarbeidet av underordnedeorgan for den interne saksforberedelse kan også unn-tas.

Opplysninger undergitt lovbestemt taushetspliktOffentlighetsloven § 5a hjemler unntak for opplysnin-ger som er undergitt taushetsplikt i lov eller i medholdav lov (forskrift). Bestemmelsen gjelder kun opplysnin-ger, og det foreligger her en plikt til å unnta disse.

Generelle bestemmelser om taushetsplikten finnes iforvaltningslovens §§ 13 - 13 f, men det finnes ogsåmange andre bestemmelser om dette spredt rundt om ilovverket.

Statistikklovens § 2-4 vil således være sentral for an-satte i SSB. Taushetsplikten etter § 2-4 gjelder imidler-tid kun for opplysninger innhentet med sikte på utar-beidelse av offisiell statistikk. Utover dette gjelderforvaltningslovens taushetspliktbestemmelser.

Statistikklovens § 2-4 omfatter således opplysninger ialt statistisk grunnmateriale (skjemaer, revisjonsskriv,navnekort mv.) arbeidstabeller og manuskripter. Dettegjelder også opplysninger som er innhentet på frivilliggrunnlag og data som andre organer stiller til rådig-het. Videre omfattes opplysninger i statistiske registre,både sentrale og delregistre, som nyttes i samband medoppgaveinnhenting.

Unntak på grunn av dokumentets innholdOffentlighetslovens § 6 hjemler unntak for visse typerav nærmere angitte dokumenter.

Dokumenter det kan være aktuelt å unnta med hjemmeli § 6 kan være saksdokumenter i forbindelse med perso-nal- og lønnssaker (nr 2 a og nr 4), dokumenter i sakervedrørende oppgaveplikt, tvangsmulkt og politi-anmeldelser (nr 2 c og nr 5), dokumenter i saker somgjelder byråskolen/intern opplæring (nr 6), dokumenteri saker vedrørende budsjett og regnskap (nr 2 a og nr7), graderte dokumenter (nr 1).

SaksbehandlingDet er viktig at dokumenter som skal unntas fra offent-lighet eller som inneholder opplysninger som kan unn-

26


vurdering av både mottakers formål med bruk av opp-lysningene og eventuelle skadevirkninger for andre ba-sert på opplysningenes følsomhet og faren for lekkasjeog misbruk.

Det er viktig å merke seg at utlevering også kan værebetinget av at det dispenseres fra lovbestemt taushets-plikt. Dette vil gjelde opplysninger som er taushets-belagt i henhold til særlovgivning, som f.eks. lege-loven, og hvor eksempelvis Sosialdepartementet må dis-pensere fra taushetsplikten før SSB kan utlevere opplys-ningene.

Hvem kan utlevere opplysningene?Bare den som har ansvaret for et register og fullmakttil å utlevere opplysninger fra det, kan godkjenne slikutlevering. Vedkommende må kjenne bestemmelsene iStatistikkloven, rammekonsesjonen og eventuelle spesi-elle restriksjoner som er gitt for det aktuelle registeret.Slike restriksjoner er registrert på registernivå i data-dokumentasjonen.

Sammendrag av reglene om utlevering:Statistikklovens § 2-5 gir Datatilsynet fullmakt til åbestemme at opplysningene i SSBs registre kan brukestil annet enn å utarbeide offisiell statistikk. I SSBsrammekonsesjon har Datatilsynet gitt regler om slik“annen bruk”. Konsesjonen gir også regler om:• Formål for bruk av opplysningene.• Hva som kan utleveres.• Betingelser som SSB skal eller kan stille.

Etter konsesjonens bestemmelser kan utlevering av in-formasjon i annen form enn som offisiell statistikk,foretas i de tilfeller som er nevnt under punktene 7.4,7.5 og 7.6.

7.4. Utlevering av individualopplysninger tilforskningsformål og offentlig planleg-ging

Slik utleveringsadgang følger av Datatilsynets ramme-konsesjon punkt 2.4.2. Utlevering til forskningsformålkan skje til etablerte forskningsinstitutter, forskere medforskerkompetanse og hovedfagsstudenter, forutsatt atdisse er under veiledning av en med forskerkompetanseved undervisningsstedet.

Utlevering til offentlig planlegging kan skje til organersom stat eller kommune. Utlevering kan også foretas tilet organ som skal utarbeide slik statistikk på oppdragfor stat eller kommune.

For begge typer utlevering gjelder at opplysningeneskal avidentifiseres i den grad formålet tillater det.

Det aktuelle fagdepartement må alltid dispensere frataushetsplikt før utlevering finner sted dersom det

dreier seg om opplysninger som er underlagt taushets-plikt etter særlovgivning.

Videre er det viktig å merke seg at data fra frivilligeundersøkelser ikke kan utleveres uten samtykke fra in-formantene, hverken i identifiserbar elleravidentifiserbar form.

Søkeren må bekrefte at de data det søkes om er nød-vendige for prosjektet. Dette gjelder spesielt hvor det erfremsatt ønske om at dataene må være identifiserbare.

Ved utlevering av personopplysninger må det alltid stil-les som betingelse at søkeren har konsesjon fra Data-tilsynet for å opprette det personregister som eventueltfølger av utleveringen.

Når opplysningene er hentet fra andre offentlige orga-ner (administrative registre) og det er tvil om utleve-ring bør finne sted, skal SSB forelegge utleverings-spørsmålet for det avgivende organ.

Utlevering skjer etter skriftlig søknad, og øvrige vilkårfølger av standardavtale nr. 1 i vedlegg D.

7.5. Utlevering av næringsopplysninger foretablering og ajourhold av registre

Med hjemmel i statistikklovens § 2-5 kan Datatilsynetgjøre unntak fra taushetsplikten i statistikklovens § 2-4slik at visse næringslivsopplysninger kan brukes til an-net enn å utarbeide offisiell statistikk.

I Statistisk sentralbyrås rammekonsesjon har Datatilsy-net med hjemmel i statistikkloven gitt tillatelse til utle-vering av enkelte næringslivsopplysninger til bruk foropprettelse og oppdatering av offentlige og private re-gistre. Slike utleveringer er det bare Seksjon forbedriftsregister som kan foreta.

I konsesjonens pkt. 2.4.3 er det spesifisert hvilke opp-lysninger som kan gis. Dette er:• Eierform (enhetstype) for juridiske personer og

andre som driver næringsvirksomhet.• Adresseopplysninger.• Bransje (næringsgruppekode), sektorkode.• Sysselsetting (i grupper etter antall sysselsatte/års-

verk).• Statuskode (om virksomheten er i vanlig drift/ute

av drift/opphørt mv.• Foretaks-/enhets-/organisasjonsnummer.• Datoer for stiftelse/registrering og endring av

ovennevnte opplysninger.

Datatilsynet setter visse vilkår for utlevering:• Mottaker må ha nødvendig konsesjon fra Data-

tilsynet til å innhente opplysningene fra SSB, even-tuelt være fritatt fra konsesjonsplikt, jf. person-

27


registerlovens § 41 eller forskrifter til person-registerloven. Hjemmelen må omfatte innhenting avopplysninger fra SSB.

• Mottaker skal bruke registeret bare til de formålsom er spesifisert i Datatilsynets konsesjon.

• Statistisk sentralbyrå skal påse at opplysningeneoppdateres jevnlig og at tidligere versjoner slettesved mottak av nye opplysninger.

• Statistisk sentralbyrå skal gjøre mottaker oppmerksom på at opplysningene ikke kan legges tilgrunn ved avgjørelser i enkeltsaker.

• Når oppdatering skal skje ved kobling av registre,skal koblingen skje i Statistisk sentralbyrå.

Utleveringen skal skje etter skriftlig søknad, og øvrigevilkår følger av Standardavtale for innvilget utleveringav registerdata som registeransvarlig og søker skal un-dertegne.

Seksjonen må kontrollere nøye at dataspesifikasjonene imottakers konsesjon samsvarer med opplysningene somutleveres.

Kjennemerker utover de som er spesifisert i Data-tilsynets konsesjon til Statistisk sentralbyrå kan ikkeutleveres. Dette gjelder selv om mottaker har konsesjonfor å opprette register, oppbevare det og ajourføre detog har fått Datatilsynets godkjennelse til å motta data-ene fra Statistisk sentralbyrå.

Det er en rekke forutsetninger som må oppfylles og ved-tak som må gjøres før Statistisk sentralbyrå skal kunneutlevere data utover de dataene som er spesifisert i vårkonsesjon fra Datatilsynet. SSB må bl.a. søke Datatilsy-net om konsesjon til å levere ut opplysninger for detteformål.

En slik søknad fra Statistisk sentralbyrå må i hvert en-kelt tilfelle godkjennes av administrerende direktør.Grunnen til dette er bl.a. at Statistisk sentralbyrå øn-sker å praktisere strenge restriksjoner for utlevering avidentifiserbare opplysninger som er samlet inn av Sta-tistisk sentralbyrå for utarbeiding av offisiell statistikk.

Dersom administrerende direktør vedtar å søke konse-sjon for slik utlevering, skal seksjonen utarbeide vilkå-rene for utlevering i samråd med Sikkerhetsutvalget.

Datatilsynet har ved siste revisjon av ramme-konsesjonen (11.11.97) vurdert etter søknad fra SSBhvorvidt det bør være samme adgang til utlevering avandre grunndata som inngår i Enhetsregisteret. Datatil-synet har ikke gitt tillatelse til dette fordi de ikke finnergrunn til å sette likhetstegn mellom SSB og Enhets-registeret med hensyn til adgangen til utlevering avopplysninger om de som er registrert i Enhetsregisteret.Dette hovedsakelig fordi det gjelder særskilte bestem-

melser i Enhetsregisterloven om utlevering av opplys-ninger fra Enhetsregisteret. Disse bestemmelsene gjelderikke for utlevering av opplysninger fra de tilknyttederegistrene.

7.6. Overføring av personregistre tilutlandet

Overføring av personregistre til utlandet skal meldes tilDatatilsynet på SSBs meldingsskjema (se vedlegg 2), jf.personregisterlovens § 36 og personregisterlovens for-skrifter § 8-1.

Meldeplikt gjelder også for overføring av person-opplysninger dersom formålet er å innføre opplysnin-gene i et register som ville vært konsesjonspliktig her ilandet.

Det foreligger ikke meldeplikt til Datatilsynet for over-føringen dersom Norge har plikt til å foreta overføringetter folkerettslig overenskomst, f.eks. EØS-avtalen, el-ler som følge av medlemskap i internasjonal organisa-sjon.

Overføring av avidentifiserte personopplysninger(personopplysninger som ikke er fullstendiganonymisert) skal også meldes. (Om avidentifisering/anonymisering se pkt 3.7.)

Datatilsynet kan nekte overføring til utlandet ellersette vilkår for overføringen. I sin vurdering legger Da-tatilsynet bl.a. vekt på hvorvidt det er etablert tilstrek-kelig personvernlovgivning i det land overføringenskal skje til, og det kan legges vekt på hvem som ermottaker av opplysningene og hva opplysningene skalbrukes til.

7.7. Utlevering av data innenfor EØS-områdetI artikkel 76 i EØS-avtalen sies det at avtaleparteneskal påse at det utarbeides og spres statistikk med siktepå å beskrive og overvåke ulike sider av EØS-områdetsamt “utvikle og benytte” harmoniserte metoder, fellesprogrammer og fremgangsmåter for å organisere sam-arbeidet.

Videre henvises det til protokoll 30 i avtalen mht. sær-lige bestemmelser om organiseringen av samarbeidet.Hverken artikkel 76 eller protokoll 30 utpeker hvemsom skal ha hovedansvar for produksjon av statistikkfor EØS-området, eller gir klare og generelle regler omutleveringsplikt.

Disse spørsmålene avklares imidlertid gjennom kon-krete rettsakter innenfor de områder hvor det skal utar-beides statistikk i henhold til EØS-avtalen og senereendringer i den. Se for øvrig også pkt. 1.2 om lov-grunnlag for SSBs virksomhet og implementerings-arbeidet for EØS-relevant EU-lovgivning.

28


Rådsforordning/EØF) nr. 1588/90 om oversendelse avfortrolige statistiske opplysninger til Det europeiske fel-lesskaps statistikkbyrå (Eurostat), har som hovedformål“to remove the legal obstacles which may have hinde-red Member States in transferring statistical informa-tion due to national confidentiality rules” (pkt. 2.2 iEurostats utkast til Manual on protection ofconfidential data av 12.11.1993).

Forordningen gir ikke i seg selv Eurostat hjemmel til åpålegge de enkelte nasjonale statistikkbyråer utleve-ring, jf. også forordningens Art 3 nr. 2, men om slikplikt foreligger i en spesifikk EØS-rettsakt, skal person-vern/taushetspliktsregler i de enkelte land ikke være tilhinder for slik utlevering.

For å kunne fastslå om SSB har plikt til å utlevere dataog eventuelt på hvilket detaljeringsnivå mv. er det der-for først og fremst de enkelte rettsakter (lovbestemmel-ser) innenfor de enkelte statistikkområder som fastleg-ger pliktens omfang.

Overføring av personopplysninger som følger direkte aven EØS-rettsakt vil ikke være meldepliktig til Datatilsy-net. Overføring av personopplysninger uten hjemmel ien EØS-rettsakt vil imidlertid være meldepliktig. Detvises i denne forbindelse til det som er sagt under pkt.7.6.

7.8. Saksbehandling ved utleveringssakerDet skal alltid foreligge en skriftlig søknad om data-utlevering med beskrivelse av formålet meddatautleveringen og dokumentasjon av behovet forenkeltkjennemerker, med særlig vekt på behovet foridentifiserende opplysninger.

Ved muntlige forespørsler kan det redegjøres for ret-ningslinjene for utlevering, men saksbehandlingen ogvedtakene skal alltid gjøres på grunnlag av en skriftligsøknad.

Alle skriftlige søknader skal journalføres. Dette skalgjøres uansett utfallet av søknaden. Dersom det undersaksbehandlingen blir hentet inn tilleggsinformasjonfra søkeren, må det passes på at også denne blir jour-nalført.

Søknaden skal behandles av den seksjon som «eier» da-taene det er forespørsel om. Dersom søknaden gjelderdata som tilhører flere seksjoner, må den seksjon somførst får tilsendt søknaden straks ta kontakt med de an-dre aktuelle seksjonene og bli enige om hvilke seksjonsom skal samordne saksbehandlingen. Blant annet forfremdriften av prosjektet og kontakten med søkeren erdet viktig at en seksjon får oppgaven med å samordnearbeidet.

Det må vurderes/undersøkes om de formelle krav tildatautlevering er til stede og hvilke krav som må væreoppfylt før utlevering finner sted. Vær sikker på at allekravene er oppfylt.

Blant kravene nevnes:1. Krav til mottaker av dataene. Se f.eks. kravene som

stilles til mottakere av data for forsknings-formål.Er det spesielle grunner til at vi tviler på at motta-keren av data ikke er i stand til å oppfylle vårekrav til fortrolig behandling av dataene?

2. Kravene til formålet med databruken. For utleve-ring til forskningsformål, må det f.eks. foreligge etseriøst forskningsprosjekt. Det kan være en rette-snor at et prosjekt er vurdert og finansiert av etatersom forvalter offentlige forskningsmidler. Uansettmå det vurderes om prosjektet på noen måte kanvære til skade for SSB eller oppgavegiverne.

3. Har mottaker fått den nødvendige konsesjon fraDatatilsynet? SSB skal ha kopi av konsesjonen, ogvi må vurdere nøye om dataene det er aktuelt å ut-levere er innen konsesjonens rammer.

For utlevering av særskilte næringsopplysningerskal datamottaker også ha konsesjon fra Datatilsy-net til å motta data fra SSB. Bare dersom mottakerskal oppbevare dataene manuelt og dataene ikke erav sensitiv art, vil mottaker ikke trenge konsesjonfra Datatilsynet.

Dersom dataleveransene går utover de rammer somer gitt i Datatilsynets rammekonsesjon til SSB, skalogså SSB søke særskilt konsesjon for utlevering.Dette gjelder selv om datamottaker har konsesjontil å motta data fra SSB. Søknad om slik konsesjonskal godkjennes av administrerende direktør. Vilkårfor utlevering i SSBs rammekonsesjon gjelder uav-hengig av om mottaker skal lagre dataene manuelteller elektronisk.

4. For administrative data samlet inn ved hjemmel istatistikkloven, skal det innhentes samtykke fradataeier (den etat vi har fått dataene fra). Detteskal innhentes ved alle utleveringer så sant det ikkehar blitt gitt generelt samtykke til utlevering, f.eks.til en viss type anvendelse. Søknad til en etat omutlevering av data skal gå fra den seksjonen i SSBsom er ansvarlig for etatskontakten, eller sendes isamråd med denne seksjonen.

Dersom data er underlagt taushetsplikt etter særlov,må det alltid søkes om dispensasjon fra det aktuellefagdepartement. Det er viktig at dette vilkåret eroppfylt.

29


Utlevering av avidentifiserte data skal godkjennes avavdelingsleder eller den han/hun bemyndiger. Dersomleveransen omfatter koblinger mellom flere datakilder,skal utlevering godkjennes av administrerende direktøreller den han/hun bemyndiger.

Ved utlevering av anonymiserte mikrodata, skalanonymiseringen godkjennes av avdelingsleder ellerden han/hun bemyndiger. Også i slike tilfeller skaldatamottaker levere tilbake/slette opplysningene ettersamme regler som for utlevering av avidentifiserte opp-lysninger. Vi stiller også ved utlevering avanonymiserte data krav om bruken av dataene og pu-blisering av resultater, se vedlegg D.

Når vi stiller slike krav også til anonymiserte data,skyldes det at vi aldri kan se helt bort fra at personermed stor forhåndskunnskap om de individer dataenedekker, kan identifisere enkelte personer/foretak i detutleverte materialet.

Avslag på søknad om tilgang til opplysninger er etenkeltvedtak etter forvaltningslovens § 2 bokstav b, ogkan påklages etter reglene i forvaltningslovens kapittelVI, jf. vedlegg D. Vedtak om avslag skal godkjennes avavdelingsleder.

Både brev med vedlegg om utlevering av mikrodata,avidentifisert eller anonymisert (også koblinger) ogbrev om avslag, skal alltid journalføres. Interne utred-ninger og vedtak i forbindelse med utleveringssakeneskal også registreres i postekspedisjonen. Grunnen til atvi gjør dette er at en del av utleveringssakene er van-skelige og krever utredninger og uttalelser/godkjennin-ger før endelig beslutning om utlevering eller eventueltnekting blir fattet.

Ved registrering i postekspedisjonen kan vi lett gå til-bake og sette oss inn i saksgangen og vurderingene iden enkelte sak. Saksbehandleren må passe på atdenne registreringen blir gjort.

Postekspedisjonen skal også registrere dentilbakeleveringsdatoen (eventuelt bekreftelse på slet-ting) som er oppgitt i vårt brev til datamottakeren (sevedlegg E).

Postekspedisjonen skal, når vi kommer til denne da-toen, varsle ansvarlig seksjon om at betingelsene iutleveringsbrevet ikke er oppfylt. Det er videre seksjo-nens oppgave å forfølge saken. For at denne ordningenskal fungere tilfredsstillende, må seksjonen sørge for ateventuell tilbakelevering før «siste frist datoen» blir re-gistrert i postekspedisjonen.

5. For utlevering av data innhentet på frivillig grunn-lag gjelder spesielle regler. Det skal foreligge sam-tykke fra oppgavegiver for at dataene skal kunneutleveres i avidentifisert form. Dette gjelder for alletyper av data som klassifiseres som personregisteri personregisterlovens forstand (avidentifiserte data,både for personer/husholdninger og bedrifter). Seomtale av frivillige undersøkelser i punkt 3.4.

Det er viktig å forsikre seg om at en utlevering er itråd med de retningslinjer vi har på dette området.Vær også oppmerksom på at kobling av frivilligavgitte data med andre data ikke kan gjøres utenetter samtykke fra den som frivillig har gitt ossopplysningene. Disse reglene er absolutte og er ennødvendig forutsetning for utlevering.

6. Dersom seksjonen/avdelingen er i tvil om det for-melle grunnlaget, skal saken forelegges Sikkerhets-utvalget.

Under saksbehandlingen bør det vurderes om det finnesandre alternative datakilder enn utlevering avidentifiserbare opplysninger. I noen tilfeller kan detf.eks. være tilstrekkelig med et utvalg i stedet for opp-lysninger om hele datamassen. I så tilfelle bør detteforeslås.

I visse tilfeller kan søkeren være fornøyd med å få til-sendt tabeller eller aggregerte utkjøringer. Dersom for-holdene ellers ligger til rette for det, bør vi tilby oss åutarbeide slike tabeller/aggregater.

Vurder kritisk avidentifiseringen av dataene. Både vedutlevering til forskning og offentlig planlegging, skaldataene avidentifiseres så langt det ikke skaper proble-mer for den videre bruk av dataene. Vi må sørge for åsløyfe kjennemerker som ikke er nødvendige, og muligeaggregeringer foretas for identifiserende kjennemerker/kjennemerkealternativer.

Data skal tilbakeleveres snarest mulig etter endt brukeller senest innen en oppgitt dato. Mottaker kan eventu-elt selv slette dataene snarest mulig etter endt bruk ogsenest innen en oppgitt dato. Slettingen skal bekreftesskriftlig. Samme regler gjelder for koblinger. Disse skaloppløses etter bruk og senest innen en gitt dato.

Før utlevering skal mottaker få tilsendt skriftlig orien-tering om betingelsene for utlevering, bl.a. taushets-regler og tilbakelevering/sletting, og undertegne god-kjenning av disse. Se vedlegg D. Dersom ikke mal-brevene nyttes, må det alltid kontrolleres at alle betin-gelsene kommer med i brevet.

30


a) at Statistisk sentralbyrå sender ut skjemaet til etutvalg personer/husholdninger ellerbedrifter/fore-tak, heretter benevnt IO,

b) at oppdragsgiveren ikke har fått navn og adressepå de IO-er som mottar brevet og skjemaet,

c) at det er frivillig å delta i undersøkelser, men der-som en sender inn skjemaet, innebærer det at enhar sagt seg villig til å medvirke, og oppdragsgiverfår dermed IOs navn og adresse,

d) at skjemaet skal returneres til oppgavegiver og ikketil Statistisk sentralbyrå,

e) hvilke registeropplysninger om IO som Statistisksentralbyrå (eventuelt) vil utlevere til oppdragsgi-ver,

f) at oppdragsgiver har konsesjon fra Datatilsynet forå opprette et register med de opplysningene somgår fram av spørreskjemaet, og - for register-opplysningenes del - av følgeskrivet,

g) at oppdragsgiver i henhold til konsesjonen bare kanbruke opplysningene til statistisk bruk, for fors-kningsformål eller til offentlig planlegging, og ikketil behandling av enkeltvedtak i forvaltningen.

h) Offentliggjøring skal skje på en slik måte at opplys-ninger ikke kan føres tilbake til enkeltpersoner.

i) Eventuelle spørsmål rettes til oppgavegiveren påtelefon ...............................

8. Før noen del av oppdraget gjennomføres, må detforeligge kopi av konsesjon fra Datatilsynet. Utfør-ende seksjon må forsikre seg om at det er samsvarmellom spørreskjema- og register-opplysninger somnevnes i søknaden, og de som står i konsesjonen.

9. Oppdragsgiveren må dessuten bekrefte overfor Sta-tistisk sentralbyrå at opplysningene kun skal brukesi samsvar med pkt. 7 g.

10. Seksjonen som trekker utvalget skal ha det fagligeansvaret og koordinere oppdraget. Alt arbeid skalfaktureres etter Statistisk sentralbyrås vanlige sat-ser.

7.9 Retningslinjer for Statistisk sentralbyråsmedvirkning ved trekking av utvalg tilbruk i spørreundersøkelser som gjen-nomføres av andre

1. Retningslinjene skal avgrense Statistisk sentralbyråsarbeid og ansvar når formålet er å trekke utvalg avpersoner/husholdninger og bedrifter/foretak for an-dre, basert på opplysninger samlet inn med hjemmeli Statistikkloven. Formidling av spesielle nærings-livs-opplysninger (såkalte grunndata) er unntatt fradisse retningslinjene og behandles i henhold til be-stemmelsene i punkt 2.4.3 i SSBs konsesjon fra Da-tatilsynet.

2. Ved alle oppdrag som skal utføres, enten av et of-fentlig planleggingsorgan eller en forsknings-institusjon, skal formål, utvalg og spørreskjema leg-ges fram for administrerende direktør. Statistisksentralbyrå skal vurdere opplegg for klargjøring ogestimering og på dette grunnlag eventuelt gi tilbudom assistanse.

3. Oppdrag som bare skal gjøre bruk av data fra Detsentrale folkeregister, skal henvises til Skattedirek-toratet.

4. Data som Statistisk sentralbyrå har samlet inn medhjemmel i statistikkloven, kan foruten til utarbei-ding av offisiell statistikk, være til statistisk bruk forforskningsformål og for offentlig planlegging innen-for rammen av statistikklovens §2-5, se ogsåstatistikklovens §3-1d.

5. Oppdrag som skal utføres for andre formål enn desom er nevnt i pkt. 4 eller av andre enn organernevnt i pkt. 2 skal avvises.

6. Utførende seksjon trekker utvalget etter avtale medoppdragsgiver. Navn- og adresse trekkes fra navne-basen i BEBAS (Seksjon for befolknings- ogutdanningsstatistikk) eller fra Bedrifts- og foretaks-registeret (Seksjon for bedriftsregister).

7. Utførende seksjon har ansvar for utsending av spør-reskjema. Skjemaet sendes ut i Statistisk sentralby-rås konvolutt og med et følgeskriv fra StatistiskSentralbyrå der det presiseres:

31


D SikringstiltakGenereltSikringstiltakene deles inn i tre hovedområder, fysiskesikringstiltak, IT-messige sikringstiltak ogprosedyremessige sikringstiltak.

De fysiske sikringstiltakene omfatter bygningsmessigeforhold, branntekniske forhold og lignende. Altså for-hold omkring fysiske objekter.

De IT-messige sikringstiltakene omfatter forhold om-kring programvare og data benyttet på IT-utstyr.

De prosedyremessige sikringstiltakene er rettet mot åha rutiner og tiltak som sørger for at de to andresikringstiltakene får sin tiltenkte effekt.

Sikkerhet kan deles inn i tre sikkehetsaspekter:• Konfidensialitet (Begrenset innsyn)• Kvalitet (Data er til å stole på)• Tilgjengelighet (Data er tilgjengelig)

8. Fysiske sikringstiltak

8.1. Behandling av makulatur1. InnledningDenne instruksen er retningsgivende for hvordan maku-lering av papir skal skje og for hvordan det praktiskearbeidet ved innlevering blir organisert.

2. AnsvarsfordelingDen enkelte medarbeider har ansvaret for at papir formakulering (farlig makulatur) blir oppbevart på en be-tryggende måte før det blir levert til sentralt oppbeva-ringssted.

Den enkelte medarbeider må selv sørge for at makula-tur blir brakt til sentrale oppbevaringssteder. Avdelin-gene v/avdelingslederne har det formelle ansvaret forat instruksen blir fulgt. Administrasjonsavdelingen haransvaret for sentralt oppbevaringssted og for å avhendemateriell.

3. Sikkerhetsgradert materialeDet gjelder særskilte regler med hensyn til makulering/tilintetgjøring av materiale som er gradert etterSikkerhetsinstruksen som STRENGT HEMMELIG, HEM-MELIG, KONFIDENSIELT eller BEGRENSET, og etterBeskyttelsesinstruksen som STRENGT FORTROLIG ellerFORTROLIG. Det vises for øvrig til pkt. 9.5 om grade-ring, beskyttelse og bruk av informasjonsmateriale ihenhold til Sikkerhets- og Beskyttelsesinstruksen.

Ved tilintetgjøring av gradert materiale må fremgangs-måten i Sikkerhetsinstruksen eller Beskyttelses-instruksen følges.

Bare administrerende direktør, eller den hanbemyndiger, kan beordre eller godkjenne tilintetgjø-relse av dokumenter gradert etter Sikkerhetsinstruksen.

Materiale gradert etter Beskyttelsesinstruksen(STRENGT FORTROLIG eller FORTROLIG) skal tilin-tetgjøres under betryggende kontroll og det må gjøresanmerkning om tilintetgjørelsen i den journal som skalføres for slike dokumenter.

Materiale gradert KONFIDENSIELT eller BEGRENSETog som er godkjent for tilintetgjørelse, og materialesom er gradert STRENGT FORTROLIG eller FORT-ROLIG, må merkes med «farlig makulatur» på innpak-ningen og behandles som beskrevet i det følgende:

Dokumenter som er unntatt offentlighet i medhold avlov av 19. juni 1970 nr. 69 om offentlighet i forvaltnin-gen (offentlighetsloven), må på samme måte behand-les og merkes som «farlig makulatur».

Dette gjelder også annet materiale som ikke er gra-dert eller unntatt offentlighet, men hvor det likevel kanantas at noe av innholdet kan forårsake skade for detoffentlige/SSBs interesser, en bedrift, institusjon ellerenkeltperson at dokumentets innhold blir kjent.

Datalister og annet papir som inneholder navn på per-soner, firmaer osv. bør i utgangspunktet alltid behand-les og merkes med «farlig makulatur».

4. OppbevaringMakulaturen legges i egne låste beholdere som er ut-plassert i en del printer-/kopirom i Oslo. I Kongsvin-ger legges makulatur i eget avlåst rom i kjelleren.

5. AvhendingFarlig makulatur transporteres til godkjent mottaker-sted for tilintetgjørelse. En ansatt i SSB skal følge trans-porten samt overvære prosessen. SSBKongsvinger kan dersom det er kostnads- ogmiljømessig forsvarlig, makulere på egen makule-rings-maskin.

8.2. Fysisk sikring og adgangskontroll i SSBslokaler

1. Alle tilsatte skal alltid ha med seg adgangskort ogbruke dette, eventuelt sammen med kode, ved pas-sering av låste dører. Kortet skal alltid brukes ellervises uoppfordret ved passering av resepsjonen på

32


eget arbeidssted. Ved besøk på SSBs andre arbeids-sted skal den besøkende registreres ved inn- ogutpassering.

2. Tap av adgangskort må straks meldes til adminis-trasjonskontoret ved avdelingen eller til resepsjon-svakten i Oslo og til Postekspedisjonen i Kongsvin-ger.

3. Adgangskort og tilhørende kode må ikke lånes ellerutleveres til andre.

4. Dersom alarm utløses ved passering av alarm-belagte dører, skal den som forårsaket dette ventepå stedet til vaktpersonale kommer.

5. Ingen skal slippe personer uten synlig adgangs- el-ler besøkskort gjennom låste dører. Alle tilsattehar et ansvar for å påse at uvedkommende ikke fårtilgang til Statistisk sentralbyrås lokaler.

6. Den som får disposisjon over kantine eller annetlokale utenfor kontortiden skal følge den instruksensom blir gitt i det enkelte tilfellet.

7. Den som blir påtruffet av SSBs mobilvakt, skaloppgi navn og vise nødvendig legitimasjon etter atvakten har legitimert seg.

8. Den som mottar besøk, er ansvarlig for vedkom-mende fra besøket blir varslet fra resepsjonen tilvedkommende forlater SSBs lokaler.

8.3. Utlevering og tilbakelevering av nøklerog adgangskort

UtleveringAlle nyansatte og andre personer med kortere engasje-ment for SSB, som ikke regnes som besøk, får utlevertnøkkel til sitt kontor og adgangskort til dører medkortleser.

Det må kvitteres for mottatte nøkler og adgangskort iOslo og for tilsvarende i Kongsvinger.

Tilbakelevering• Engasjement opphører:Når engasjementet for SSB opphører, skal adgangskor-tet leveres tilbake siste arbeidsdag.

• OppsigelseI brevet som bekrefter oppsigelsen fra medarbeider, tasdet med en setning om at SSBs nøkler og adgangskortskal leveres til administrasjonskontoret ved avdelingensenest siste arbeidsdag. Ved tilbakelevering gjøres detanmerkning på listen for utleverte nøkler/adgangskortom at disse er mottatt.

• PermisjonNår det innvilges permisjon i tre måneder eller mer,følges samme rutine for tilbakelevering som ved oppsi-gelse.

8.4. Merking av utstyrIT-utstyr, og ikke minst stasjonære PC-er og bærbarePC-er, er enkelt å frakte med seg. Slikt utstyr er ogsålett omsettelig, hvilket gjør det fristende for eventuelleinnbruddstyver. For å redusere risikoen for tyveri ogforenkle eventuell oppklaring av tyverier skal alt IT-utstyr merkes med dertil egnet merkeutstyr.

For tiden betyr det at alle PC-er (bærbare og stasjon-ære), skrivere, skjermer og tilleggsutstyr til slikt, skalmerkes med «Statistisk sentralbyrå». Egnet merkeutstyrer anskaffet av Administrasjonsavdelingen, og IT-drifthar tilgang til dette.

Merkeutstyret benytter en etsende lakk som ved sidenav farge, også lager relieff i materialet. Dette gjør detvanskelig å fjerne.

Eksisterende utstyr, herunder hjemlåns-PC-er, skal mer-kes i henhold til dette. Nyanskaffet utstyr skal merkesfør utplassering.

8.5. Beredskaps- og katastrofesikringI tilfelle nasjonale eller internasjonale krisesituasjonerer det utarbeidet en særskilt generell beredskapsplanfor Statistisk sentralbyrå. Denne er gradert BEGRENSETi henhold til Sikkerhetsinstruksen.

Planen er gitt den laveste gradering i henhold tilSikkerhetsinstruksen og innebærer at alle ansatte i Sta-tistisk sentralbyrå som har behov for det i sitt arbeid,er autorisert til å få denne til utlån. Beredskapsplaneninneholder derfor ikke opplysninger som anses for åvære svært sensitive.

Det er imidlertid også utarbeidet særskilte beredskaps-planer for det sentrale IT-utstyret og annetviktig utstyr som inneholder retningslinjer og regler forhvilke rutiner som skal følges ved f.eks. brann ellerstrømstans.

8.6. Branninstruks1. Alle ansatte i SSB plikter å gjøre seg kjent med og

følge branninstruksen.

2. Hver enkelt plikter å gjøre seg kjent med:- Rømningsveier- Utganger og trapper- Plassering av slukningsutstyr- Plassering av brannmeldere

33


3. Ved brann eller brannalarm skal lokalene forlatesøyeblikkelig. Om mulig skal dører og vinduer luk-kes.

4. Oppdages brann skal det om mulig slås alarm vednærmeste brannmelder. Den enkelte skal om muligvarsle alle i sin nærhet ved f.eks. rop, og om muligsjekke om rommene i nærheten er tomme.

5. Dersom det synes forsvarlig å prøve og slukke bran-nen før brannvesenet kommer til stedet, husk atvannslanger ikke må benyttes mot elektriske instal-lasjoner.

6. Ta fremfor alt hensyn til at liv er viktigere enn ver-dier.

7. Brannvarsling skal respekteres og bygningenerømmes ved enhver utløsning av brannalarmen.Ved brann eller utløsning av alarm, skal heiserikke benyttes. Følg de instrukser som eventuelt sek-sjonssjef/kontorsjef eller de ansvarshavende forfløy/etasjen, gir.

8. Seksjonssjef/kontorsjef eller ansvarshavende forfløy/etasje, skal straks bli varslet av den enkeltenår vedkommende har kommet utenfor faresonen.Den enkelte skal møte på avtalt oppmøtested.

9. Feil eller mangler ved brannsikkerheten (f.eks.blokkerte rømningsveier, manglende sluknings-utstyr) må meldes snarest til seksjonssjef/kontorsjefeller ansvarshavende for fløy/etasje.

34


9. IT-messige sikringstiltak9.1. Sikkerhetsinstruks for dataeierDataeier plikter å tilse at sikringstiltak blir iverksatt ogbetryggende ivaretatt innenfor sitt ansvarsområde.

Hvert enkelt datasett i SSB «eies» av den enhet som haransvaret for statistikken/opplysningene på det feltetdatasettet primært skal dekke. Lederen for enheten haransvaret for de datasettene/opplysningene enheten eier,inkludert ansvar for at nødvendige meldinger blir sendtDatatilsynet ved opprettelse av nye registre og ved end-ring eller kobling av eksisterende registre.

Lederen av den ansvarlige enheten avgjør hvem somskal gis tilgang til datasett/opplysninger. Tilsatte vedden enkelte enhet skal bare gis tilgang til de datasett/opplysninger vedkommende har et tjeneste-messig be-hov for.

Den samme vurdering skal også foretas dersom perso-ner ved andre enheter ønsker tilgang til datasettene/opplysningene. For datasett som inneholder individual-data, er det en forutsetning for at tillatelse blir gitt atdet foreligger et prosjektskriv godkjent avadministerende direktør og/eller fremgår av godkjentarbeidsprogram.

Melding om innvilget tillatelse sendes Seksjon for IT-drift på eget skjema. Skjemaet ligger som mal i Word,og sendes som e-post med ansvarlig dataeier som av-sender. Dataeier vil motta tilbakemelding pr. e-post fraSeksjon for IT-drift når tillatelse er opprettet.

Personer ved andre enheter får som standard bare tilla-telse til å lese ovennevnte datasett, og kan således ikkefjerne eller endre data.

Ved tildeling av lesetilgang skal det fastsettes for hvorlang tid den skal gjelde og når dataene skal slettes. Ei-eren av datasettet skal påse at datasettet blir slettet hosden nye brukeren etter tidens utløp. Den som får til-gang til datasettet er ansvarlig for eventuelle nødven-dige meldinger til Datatilsynet. I tillegg skal eier av detopprinnelige registeret gis melding om hvilken bruksom gjøres av det.

9.2. Sikkerhetsinstruks for dataog program-brukere

1. Brukeren skal oppbevare passord på en betryggendemåte og ikke overlate det til andre. Velg passordsom er vanskelig å gjette. Bruk minimum 6 tegn,som ikke skal være et ord eller navn, men en blan-ding av bokstaver, tall og spesialtegn. Skjerm-beskytter med passord aktiviseres automatisk nårskjermen ikke har vært i bruk i et gitt antall minut-ter.

2. Brukeren skal ikke gi fra seg beskyttede data til an-dre enn de som har fått tillatelse fra registereier,eller medvirke til at slike data kommer uvedkom-mende i hende.

3. Brukeren skal ikke bringe fremmede data eller pro-gram inn i datamaskinen uten at dette er godkjentog virustest er foretatt. Dersom brukeren benytteregen PC hjemme, må det kjøres virustest før bruk iSSB.

4. Beskyttede data, skal ikke kopieres til PC uten atdette er godkjent av registeransvarlig.

5. Brukeren skal holde skjema, lister og flyttbare elek-troniske lagringsmedia med beskyttede data nedlåstnår de ikke er under betryggende tilsyn.

9.3. Sikkerhetsinstruks for systemutviklereog programmerere

1. Program og programsystemer (applikasjoner) somutvikles for produksjon av statistikk, analyse mv.skal utvikles slik at data lagres på fastsatt sted isamsvar med gjeldende instrukser.

2. Applikasjonene skal utvikles slik at ingenuautoriserte får tilgang til data i systemet.

3. Programmene og de data som anvendes og produse-res av applikasjonene skal være dokumentert.

Systemutvikler og programmerer skal normalt ikke haadgang til produksjonsdata i systemet. Det innebærer atsystemendringer og testinger normalt skal utføres iegne testsystemer med anonymiserte eller syntetiskedata. Avvik fra dette kan aksepteres hvis det er nødven-dig for å rette, teste eller forstå feilsituasjoner.

9.4. Sikkerhetsinstruks for system-administratorer

1. Systemadministratoren har ikke adgang til andreprogram og data enn de vedkommende skal vedlike-holde.

2. Systemadministratoren skal påse at det ikke er an-dre adkomstmuligheter til data, program eller pass-ord enn det som tillates av sikkerhetsprogrammet.Dersom han/hun ser slikemuligheter, skal han/hun rapportere til nærmesteoverordnede med kopi til Sikkerhetsutvalget.

9.5. Sikkerhetsinstruks for maskindriftDen som er ansvarlig for drift av felles datamaskinereller lokalnett, skal:1. Sørge for at det blir tatt sikkerhetskopi etter fastsatt

mønster.

35


2. Oppbevare sikkerhetskopier forskriftsmessig somkun autorisert personell har tilgang til.

3. Sørge for fjernarkivering av data etter register-eierens krav.

4. Begrense fysisk adkomst til det sentrale utstyret sålangt som mulig.

5. Legge frem for Sikkerhetsutvalget alle endringer ikommunikasjon over linje til omverdenen og skifteav operativsystem eller sikkerhetsprogram.

6. Sørge for at Statistisk sentralbyrås bruker-identifikasjoner bare kan brukes fra Statistisk sen-tralbyrås PC/arbeidsstasjon/terminaler.

7. Bare bruke autorisert personale til system-programmering, til å operere maskinene og til åholde dem vedlike. Forslag til autorisering leggesfrem for seksjonssjef.

8. Gradere materiale for systemprogrammering BE-GRENSET og begrense utleveringen bare til autori-serte systemprogrammerere.

9. Sørge for at nødvendige sikkerhetsbestemmelserkommer inn i avtaler med eksterne leverandører.

9.6. Regler for sletting av data på PCVed vanlig sletting av filer på lokale disker vil detfremdeles være mulig å gjenskape informasjonen vedhjelp av spesielle programmer som er allment tilgjenge-lige.

Benyttes det spesielt utstyr vil det også være mulig ågjenskape informasjon som også er overskrevet et visstantall ganger. Det betyr at dersom disken (eller disket-ten) av en eller annen grunn har blitt benyttet i kortereeller lengre tid til å lagre sensitiv informasjon, må dis-ken eller disketten makuleres.

Dog kan gjenbruk internt i SSB i visse tilfeller aksepte-res. Det betyr at harddisken i PC-er som har vært benyt-tet til slik lagring ikke kan selges uten at harddiskenfjernes og makuleres (eventuelt gjenbrukes internt).

9.7. Bruk av telenett og Internett forinformasjonsoverføring

Informasjonsoverføring med elektronisk postElektronisk post til og fra Statistisk sentralbyrå må idag anses som et usikkert medium. Dette gjelder bådeX400 og SMTP (Internett).

På grunn av dette må ikke elektronisk post brukes til åformidle taushetsbelagt eller gradert materiale.

Dersom sensitive personopplysninger skal overføres idatanett som SSB ikke kontrollerer (f.eks. telenett),skal opplysningene krypteres. Dette gjelder også tilsva-rende opplysninger som overføres pr. telefaks, disketteller lignende.

Bruk av PC med Internett-tilkoblingEn del PC-er i Statistisk sentralbyrå er enten permanentkoblet til Internett eller kan kobles om ved å flytteveggkontakten. I begge tilfeller må det utvises forsiktig-het av de som bruker disse PC-ene:• Dersom du har taushetsbelagt eller gradert mate-

riale eller beskyttede data lagret på PC-en, skaldenne PC-en ikke under noen omstendighet knyttestil Internett.

• Det må utvises vanlig forsiktighet ved nedlasting avprogramvare, for å unngå at datavirus o.l. spres ibyrået.

• Normalt må PC-en kobles fri fra det interne nettetfor å nå Internett. Det er imidlertid strengt forbudtå koble PC-er slik at man samtidig har kontaktbåde med det lokale nettet og Internett.

• Automatisk videresending av mail ut av SSBs lokal-nett, er ikke tillatt.

Alle eksterne tilknytninger som f.eks. e-post, Internetteller modem, skal godkjennes av Datatilsynet. SSBs e-posttilknytning er forelagt Datatilsynet for slik godkjen-ning og spørsmålet er for tiden under utredning. Even-tuelle vilkår for slik kommunikasjon vil derfor kunnebli fastsatt.

36


10. Prosedyremessige sikringstiltak10.1. Sikkerhetsklarering og autorisasjon av

personaleDirektivet for personellsikkerhetstjenesten og person-kontrolltjenesten innen den sivile forvaltning av04.11.83 gir regler om fremgangsmåten ved sikkerhets-klarering og autorisasjon av personell som skal be-handle/ha adgang til materiale gradert etterSikkerhetsinstruksen, se punkt 9.5.

Informasjon gradert STRENGT HEMMELIG, HEMMELIGeller KONFIDENSIELT, kan bare behandles og gjøreskjent for personer som er sikkerhetsklarert og autorisertfor å kunne behandle slik informasjon. Før klareringog autorisasjon gis, skal sikkerhetssamtale og person-kontroll finne sted.

Sikkerhetsklarering innebærer at en person generelt an-sees for å være sikkerhetsmessig skikket til å bli gittadgang til gradert informasjon på et bestemt nivå etterat sikkerhetssamtale og personkontroll er foretatt.

Sikkerhetsautorisasjon er den konkrete beslutning somfattes om at en person etter å ha blitt sikkerhetsklarertkan få tilgang til en bestemt type gradert informasjon.

Før sikkerhetsklarering og autorisasjon kan foretas måvedkommende person gjennom en sikkerhetssamtale.

Denne utføres av avdelingslederen eller den han/hunutpeker i samarbeid med Sikkerhetsutvalget.

Personkontroll foretas av Politiets overvåkningstjenestebl.a. basert på opplysninger fremkommet i sikkerhets-samtalen. Sikkerhetsutvalget har nødvendige skjemaersom skal fylles ut, og er ellers ansvarlig for at fore-spørsel om personkontroll blir effektuert.

Utfylt skjema for personkontroll skal arkiveres hosSikkerhetsutvalget.

Sikkerhetsklarering og autorisasjon foretas av den en-kelte avdelingsleder når personkontroll er gjennomført,og "intet ufordelaktig" er funnet om den aktuelle per-son. Dette gjelder ikke dersom informasjonen er gradertSTRENGT HEMMELIG eller dersom personen er uten-landsk statsborger. I disse tilfellene foretas sikkerhets-klarering/autorisajon av Finansdepartementet.

10.2. Bruk av kopimaskin og skrivereVed kopiering/utskriving på skriver skal det bare tas dekopier/utskrifter som er nødvendige, og hver enkelt måpåse at kopier og utskrifter ikke blir liggende i kopi-maskin/skriver lenger enn høyst nødvendig.

37


80


A

Adgangskontroll 5, 11, 33Adgangskort 5, 33Administrative datasystemer 15Administrative registre 7, 16, 17, 20, 27Adresseregistre 8Andres registre 20Anonymisering 20, 22, 23, 28, 30Anonymiserte data 30Anonymiserte opplysninger 26Anonymiserte registre 17Anonymt 17, 20, 21Ansvar 3, 5, 7, 9, 10, 11, 18, 21, 23, 26,

27, 32, 33, 35, 37, 38Arbeidsstasjon 36Autorisasjon av personale 39Avdelingsledere 10, 11, 39Avidentifisering 17, 20, 21, 28, 30Avidentifiserte data 26, 30Avidentifiserte opplysninger 26, 30Avidentifiserte registre 17Avtale 15, 29, 36

B

Bakveisidentifikasjon 21Bearbeide 16, 25Bedrift 13, 14, 16, 17, 23, 26, 30, 32, 37Behovsvurdering 22Beredskaps- og katastrofesikring 33Beskyttelsesinstruksen 32, 37, 38, 39Bibliotek 18Brann 7, 34Branninstruks 34Bruk av opplysninger 7, 8Bruker 10, 14, 21, 23, 35, 36Bærbare PC 33

D

Database 19Databearbeiding 20Databehandlingsvirksomhet 16Datainnsamling 11, 13, 14, 15, 19Datalagring 11, 22Datasikkerhet 3, 7, 11Datatilsynet 7, 8, 9, 10, 11, 12, 13, 15, 16, 17,

18, 19, 20, 22, 26, 27, 28, 29, 36kontroll 8meldinger 36rammekonsesjon 7vilkår 11

Datavirus 36Diskett 36, 37, 38Diskresjon 14Dispensasjon 13, 30

E

E-post 35, 36Elektronisk post 36Endring 8, 9, 15, 17, 18, 28, 29, 35, 36, 37Enhetsregisteret 28EUs statistikklov 8, 9EØS 8, 28, 29EØS-avtalen 28, 29

F

Forbud 36Forbudt 36Foretaksopplysninger 3Forskning 7, 8, 10, 22, 25, 30Forskningsformål 27, 29Forvaltningen 25, 26, 32Forvaltningsloven 8, 16, 25, 26, 30Forvaltningsorgan 8, 15, 25Frivillige undersøkelser 15, 20, 27Frivillighet 16, 20Fysisk person 23Fysisk sikring 7, 33Fødselsdato 17Fødselsnummer 10, 17, 20, 21, 22, 26

G

Gjenbruk 36Gradering 10, 32, 33, 37, 38

H

Harddisk 36Helseforhold 17Hjemmel 7, 13, 14, 15, 16, 17, 20, 24, 26,

27, 28, 29, 30, 38for oppgaveplikt 17

I

Identifikasjon 7, 11, 17, 19, 21, 22, 25, 26, 36Indirekte identifikasjon 17Informasjon 7, 10, 11, 13, 15, 16, 17, 18, 20, 21,

23, 25, 27, 36, 37, 38, 39Informasjonsoverføring 6, 36Innhenting 15Innhenting 7, 8, 13, 16, 18, 22, 28Innsyn 7, 13, 25, 32Innsynsrett 5, 25Interne retningslinjer 3, 25Internett 36

J

Juridiske personer 7, 14, 17, 23, 27

K

Katastrofesikring 33Klage 25, 30

Indeks

81


Kobling 10, 19, 20, 28, 30, 36Konfidensialitet 7, 9, 32Konfidensiell 8Konsesjon 20Konsesjonsplikt 8, 16, 17, 18, 20, 28Kontroll 11, 18, 21, 22, 28, 30, 32, 33,

36, 38, 39Kopimaskin 39

bruk av 11Kryptering 10, 11, 17, 20, 21, 22Kryptert identifikasjon 19, 22

L

Lagre 7, 10, 13, 17, 18, 22, 25, 29, 35, 36, 38Leverandørregistre 18Lovbestemt taushetsplikt 7, 14, 18, 26, 27Lovgrunnlag 7, 29Lovhjemmel 14

M

Makulatur 32Manuelt 29Maskindrift 36

sikkerhetsinstruks for 36Meldeplikt 8, 18, 20, 28, 29Meldinger 8, 10, 12, 15, 18

N

Næringsdrivende 23Næringsopplysning 5Næringsopplysninger 8, 27, 29Nøkler 33

utlevering av 33

O

Offentlig planlegging 7, 27, 30Offentliggjøring av opplysninger 8, 23Offentlighet 8, 15, 25, 26, 32, 37, 38Offentlighetsloven 8, 25, 26, 32, 37, 38Offisiell statistikk 7, 8, 13, 14, 15, 16, 20, 22,

23, 26, 27, 28Oppdragsgiver 16Oppgaveplikt 7, 14, 15, 18, 20, 26Oppgavepliktregisteret 15Opplysning 15, 16, 17, 18, 20, 22, 23, 24, 25,

26, 27, 28, 29, 30Opplysninger 7, 8, 10, 13, 14, 15, 33, 36,

37, 38, 39Opplysninger om familieforhold 17

P

Passord 35Personalregistre 8Personregister 17, 18, 20, 27, 30

anonymiserte registre 17manuelt 29

Personregisterloven 8, 9, 10, 13, 16, 17, 25,28, 30

Personvern 8, 22, 25, 28, 29Programmerere 35

sikkerhetsinstruks for 35Prosedyremessige sikringstiltak 9, 32, 39Publisering 11, 23, 24, 30

R

Rammekonsesjon 8, 9, 11, 13, 15, 16, 17, 18,20, 22, 26, 27, 28, 29

Register 8, 11, 13, 16, 17, 18, 19, 20, 21,22, 25, 26, 27, 28

Registeransvarlig 11, 18, 19, 21, 25, 28, 35Registerbegrep 17Rikets sikkerhet 37Riksarkivet 22

S

Saklig behov 22Samordning av statistikk 15Samtykke 15, 16, 17, 18, 20, 23, 24, 27, 30Sensitiv 8, 11, 13, 14, 18, 20, 22, 29, 33, 36Sikkerhetsansvarlig 10Sikkerhetsautorisasjon 39Sikkerhetsinstruks for 36Sikkerhetsinstruksen 32, 33, 37, 38, 39Sikkerhetsklarering 39Sikkerhetssamtale 39Sikkerhetsutvalget 3, 10, 11, 12, 18, 20, 28, 30,

36, 37, 38, 39Sikring 3, 7, 10, 11, 33, 37Sikringstiltak 3, 7, 9, 22, 32, 35, 37, 39Skjønn 26Skrivere

bruk av 39Sletting 10, 22, 30, 31, 36Statistikkloven 7, 8, 9, 10, 11, 13, 14, 15, 16,

17, 20, 22, 23, 26, 27, 30Straff 13, 16Systemprogrammerere 35, 36

sikkerhetsinstruk for 35Systemutviklere 35Særlov 13, 15, 16, 26, 27

T

Taushetsplikt 7, 8, 13, 14, 16, 17, 18, 22,25, 26, 27, 29, 30

Telenett 36overføring i 36

Tvangsmulkt 14, 15, 26

U

Utlandet 28Utlevering 5, 7, 10, 16, 22, 26, 27, 28,

29, 30, 33, 36Utlevering av 5, 7, 8, 10, 11, 15, 25,

26, 27, 28, 29, 30

82


Utlevering av opplysninger 7, 27, 28forskningsformål 27innenfor EØS-området 28næringsopplysninger 27offentlig planlegging 27til utlandet 28

V

Vedtak om oppgaveplikt 15Vilkår 8, 9, 13, 15, 20, 22, 28, 29, 36Virksomhet 7, 8, 9, 16, 23, 25, 28, 29Virustest 35Vurderinger 14

Documents

Håndbok i datasikkerhet og fysisk sikring · 2012. 10. 24. · «Håndbok i datasikkerhet og fysisk sikring» inneholder de regler og interne retningslinjer som styrer sikkerheten