Personvernnemndas avgjørelse av 16.2.2011 (Eva I. E. Jarbekk, Arve Føyen, Tom Bolstad, Leikny Øgrim, Ann R Sætnan, Jostein Halgunset, Ørnulf Rasmussen)
1 Innledning
Personvernnemnda har ved oversendelse fra Datatilsynet mottatt klage på tilsynets delvise avslag på søknad om konsesjon i forbindelse med prosjektet ”Nordisk omfangsundersøkelse – Ung i Norden 2009”.
2 Saksgang
Datatilsynet mottok den 7.10.2009 søknad om konsesjon i forbindelse med forskning, innsendt via Norsk samfunnsvitenskapelig datatjeneste AS (NSD). Prosjektet ble tilrådd av Den nasjonale forskningsetiske komité for samfunnsvitenskap og humaniora (NESH) i brev av 1.9.2009. Datatilsynet ga i vedtak av 12.11.2009 delvis avslag på søknad om konsesjon. I e-post av 7.12.2009 anmodet NSD på vegne av forsker om utsatt klagefrist til 21.12.2009. Datatilsynet aksepterte denne utsettelsen av klagefristen. Avslaget ble påklaget i brev av 21.12.2009.
I brev av 27.11.2009 klager QuestBack på Datatilsynets delvise avslag. Klagen retter seg mot Datatilsynets vurdering av informasjonssikkerheten. NSD har i brev av 25.11.2009 bedt om klargjøring av Datatilsynets vurdering av informasjonssikkerheten ved bruk av nettundersøkelser for innsamling av sensitive personopplysninger.
Klager har i sakens anledning innhentet uttalelser fra både Lucy Smith i brev av 16.12.2009 og Barneombudet i brev av 22.12.2009.
Datatilsynet mottok den 22.12.2009 klage fra Norsk institutt for forskning om oppvekst, velferd og aldring (NOVA) på delvis avslag på søknad om konsesjon til å behandle personopplysninger i forbindelse med forskning.
Datatilsynet sendte saken til Personvernnemnda 4.5.2010, som mottok saken 18.5.2010. Klagerne ble orientert om dette i brev fra nemnda datert 28.5.2010, med frist til uttalelse innen 18.6.2010. Brev fra NOVA kom inn 18.8.2010. Brev fra NSD kom inn 18.8.2010.
3 Faktum
Det delvise avslaget ble gitt i vedtak av 12.11.2009, og gjaldt søknad om konsesjon i forbindelse med prosjektet ”Nordisk omfangsundersøkelse – Ung i Norden 2009”. Det dreier seg om en omfangsundersøkelse om ungdoms erfaringer med å bli utsatt for eller utsette andre for voldelige eller uønskede hendelser av seksuell karakter. Undersøkelsen skal også kartlegge mer hverdagslige hendelser som oppvekstbetingelser og helsespørsmål. Spørsmålene skal bli stilt til ungdom som har fylt 15 år.
4 Klagers anførsler
Klager anfører at ”Nordisk omfangsundersøkelse” er en felles nordisk omfangsundersøkelse der undersøkelsesdesignet og utformingen/utvalg er bygget på erfaringer fra tidligere norske, nordiske og internasjonale undersøkelser. Bakgrunnen for at det skal gjennomføres en felles nordisk undersøkelse er at man skal sammenligne forholdene i de nordiske landene.
Formålet til undersøkelsen er tredelt. For det første skal den gi økt kunnskap om i hvilken grad ungdom i Norden og Norge har vært utsatt for vold, overgrep og uønskede seksuelle erfaringer med voksne og/eller jevnaldrende. Dette omfatter også eksponering gjennom bruk av mobiltelefon og Internett. For det andre skal faktorer som har betydning for unges utvikling, trivsel og hverdagsliv ses i sammenheng med utsatthet for vold, overgrep og uønskede seksuelle erfaringer. For det tredje skal undersøkelsen gi et bedre grunnlag for å utvikle forebyggende tiltak for å hindre seksuelle og fysiske overgrep i barndom og ungdom. Det er trukket et landsrepresentativt utvalg av 10 000 ungdommer i 10. klasse på ungdomskolen i skoleåret 2009/2010 til den norske delen av undersøkelsen. Det er opplyst at på undersøkelsestidspunktet vil elevene, som alle er født i 1994 være 14-15 år gamle, og at de aller fleste vil ha fylt 15 år (84 prosent). Ungdom i siste klasse på ungdomskolen er valgt for å sikre et representativt utvalgt blant ungdom. En liten gruppe elever dropper ut av skolen ved overgangen til videregående skole eller i løpet av første halvår på videregående skole. Det er også opplyst at erfaringer viser at frafallet i skolebaserte undersøkelser gjennomført på videregående skole er høyere enn ved gjennomføring på ungdomsskoler.
Datamaterialet vil i en periode på tre måneder være direkte og indirekte personidentifiserbart. Det er opplyst at man senest 31.3.2010 skal slette adressene og indirekte identifiserbare opplysninger skal fjernes. Ved datainnsamlingen sendes det ut en link til det elektroniske skjemaet via den enkeltes e-postadresse. Det er prosjektgruppen som mottar e-postene fra skolene og som legger inn e-postadressene i QuestBack-systemet. Koblingen mellom spørreskjemabesvarelsene og e-postadressene vil foreligge i databasen til databehandler QuestBack under selve datainnsamlingen. Kort tid etter at man er ferdig med purringer, og senest 31.3.2010, vil adressene slettes og indirekte identifiserende opplysninger vil samtidig fjernes.
Datafilen som NOVA mottar og skal benytte til analyser, vil inneholde indirekte identifiserbare opplysninger til den anonymiseres senest 31.3.2010.
Det er søkt om å innhente passivt samtykke fra foreldrene for barnas deltakelse i prosjektet. Det skal innhentes aktivt samtykke fra ungdommene.
I søknaden er det opplyst at foresatte skal informeres om undersøkelsen i forkant. Det er opplyst at informasjonen sendes per post. Foresatte vil da få informasjon om at de kan kontakte prosjektgruppen dersom de ønsker spørreskjema i forkant av datainnsamlingen. Det opplyses også om hvem de kan kontakte dersom de ønsker å reservere seg mot at deres sønn/datter deltar i undersøkelsen.
NOVA opplyser i klagebrevet at den optimale løsningen ville vært å gjennomføre en fullstendig anonym undersøkelse. En løsning ville da vært å gjennomføre undersøkelsen via url-svaring. Dette er imidlertid ikke aktuelt fordi man ikke har kontroll på datatilgangen. Det opplyses at man da kunne risikert at noen svarte flere ganger eller at flere enn de som var invitert til å delta svarte på undersøkelsen, noe som ville satt datakvaliteten i fare.
NOVA opplyser at man har valgt å styrke personvernet ved at NOVA kun har tilgang på anonymiserte datafiler. Skole skal ikke forekomme på datafilen, og man ønsker å fjerne variabelen der man skal svare på hvilket annet språk enn norsk det snakkes hjemme. Videre opplyses det at anonymiseringsdatoen er satt til tre måneder etter planlagt innsamlingsslutt.
NOVA trekker også frem at QuestBack har skissert en alternativ løsning for å sikre konfidensialitet og gi en anonym undersøkelse. Denne muligheten vil NOVA utforske videre.
5 Datatilsynets vurdering
5.1 Samtykke fra foreldre
Datatilsynet viser for det første til klage på krav om samtykke fra foreldre.
5.1.1 NOVA
NOVA klager på Datatilsynets krav om samtykke fra foreldre for deltakelse i prosjektet. I klagen trekkes tre forhold frem som sentrale:
- 15- åringers samtykkekompetanse,
- ungdommers evne til å vurdere konsekvenser av å delta i undersøkelsen og
- undersøkelsens samfunnsmessige betydning.
NOVA fremhever at det ikke finnes faglige grunnlag (i psykologisk eller sosiologisk forstand) å hevde at ungdom som har fylt 15 år ikke kan ha selvstendig samtykkekompetanse. Studien gir mulighet for foreldre til å beskytte sitt barn mot å delta. Det foreligger imidlertid ikke kunnskap som tilsier at dette er noe som barn over 15 år i sin alminnelighet bør beskyttes mot å delta i.
NOVA fremhever også at Datatilsynets alternativ, anonymisert undersøkelse, ikke er et heldig signal til forskningen. Dersom undersøkelsen gjøres anonym, faller den utenfor personopplysningslovens saklige virkeområde og dermed utenfor Datatilsynets kompetanse. NOVA synes dette er betenkelig. NOVA ønsker å gjennomføre en undersøkelse som i utgangspunktet er gjort til gjenstand for eksterne kritiske vurderinger både i faglig, etisk og rettslig forstand. Datatilsynets vurdering gir ingen hjelp i så måte.
5.1.2 Notat fra Lucy Smith
I sitt notat til NOVA skriver Lucy Smith at barnekonvensjonen artikkel 12 handler om barnets rett til å uttale seg i saker som angår han/henne, og at denne retten blir ivaretatt ved at det i denne saken kreves et positivt samtykke fra barnets side. Lucy Smith konkluderer i sitt notat med at det bør kreves samtykke også av foreldrene til barna som skal være med på denne undersøkelsen. Dette bygger hun først og fremst på en analogislutning fra helseforskningsloven § 17 som bestemmer at barn over 16 år bestemmer selv om de skal være med på et ”helseprosjekt”. Hun foretar deretter en vurdering av om det er tilstrekkelig med passivt samtykke fra foreldrene. Etter Lucy Smiths vurdering er det klart at kravet om uttrykkelig samtykke etter personopplysningsloven § 2 nr 7 ikke gjelder for foreldres samtykke på vegne av barn. Etter Lucy Smiths vurdering er myndighetsgrensen for deltakelse i denne typen undersøkelser 16 år, og disse barna ligger svært nær denne grensen. På bakgrunn av at undersøkelsen befinner seg i ytterkanten av området hvor det kreves foreldresamtykke, og fordi det her er barnets samtykke som er det sentrale, kommer Lucy Smith til at det må være tilstrekkelig med et passivt samtykke fra foreldrene.
5.1.3 Barneombudets uttalelse
Barneombudet uttaler at det her er snakk om to forskjellige typer samtykke (aktivt og passivt) og det må gjøres en konkret vurdering av hvilket samtykke som kreves fra henholdsvis foreldre og barn. Barneombudet kommer til at utfallet bør bli forskjellig. Barneombudet trekker frem at hensynet til barnets beste, jf. barnekonvensjonen artikkel 3, sammenholdt med foreldres plikt til å øke barns selvbestemmelsesrett jo eldre barn er, jf barneloven § 33, begrenser foreldremyndigheten og øker barnets selvbestemmelsesrett. Etter Barneombudets vurdering bør ungdom på 15 år selv kunne ta stilling til, og gi sitt samtykke til deltakelse i en frivillig og anonymisert undersøkelse om sin erfaring om overgrep og vold. Ombudet legger til grunn at foreldres behov for beskyttelse av enkeltbarn blir ivaretatt gjennom et passivt samtykke, fordi foreldrene gjennom å utvise aktiv handling kan hindre deltakelse. Det at undersøkelsen sikrer anonymitet er etter Barneombudets skjønn et forhold som øker barns selvbestemmelsesrett, fordi personvernhensyn ikke gjør seg like gjeldende og behovet for beskyttelse reduseres. Ut fra en samlet vurdering av gjeldende regelverk og lovforslag mener Barneombudet at ungdom på 15 år bør gis anledning til selv å gi aktivt samtykke til deltakelse i en anonymisert undersøkelse. Ombudets utgangspunkt er at ungdom på 15 år er i stand til å vurdere konsekvensene av deltakelse i en anonymisert undersøkelse. Barneombudet trekker til slutt frem at det bør være en utfordring for alle instanser å søke etter de virkemidler som øker barns og unges deltakelse, jf. barnekonvensjonen artikkel 12. I denne vurderingen må en se hen på de foreslåtte lovendringer i personopplysningsloven, i tillegg til bestemmelsene i Barnekonvensjonen og barneloven.
5.1.4 Datatilsynets vurdering
I personopplysningsloven § 2 nr 7 er samtykke definert på følgende måte; ”en frivillig, uttrykkelig erklæring fra den registrerte om at han eller hun godtar behandling av opplysninger om seg selv”. Datatilsynet mener det er viktig å presisere at passivt samtykke ikke er en form for samtykke i henhold til personopplysningsloven § 2 nr 7. Det er altså ikke riktig at man her opererer med to former for samtykke.
I personopplysningsloven § 2 nr 1 er personopplysning definert på følgende måte; ”opplysninger og vurderinger som kan knyttes til en enkeltperson”. Det er opplyst i prosjektvurderingen at datamaterialet i en periode på tre måneder vil være direkte og indirekte personidentifiserbart. Etter man er ferdig med purringer og senest 31.3.2010 vil e-post adresser bli slettet og indirekte identifiserbare opplysninger skal fjernes. I klagebrevet til NOVA er det opplyst at anonymiseringsdatoen er satt til tre måneder etter planlagt prosjektavslutning.
Datatilsynet legger til grunn at søkes om konsesjon for behandling av sensitive personopplysninger, og at dette ikke er en anonym spørreundersøkelse. Det er imidlertid opplyst at NOVA utforsker muligheten for en alternativ løsning hvor undersøkelsen gjennomføres anonymt. Det bemerkes til dette at dersom opplysningene som behandles i spørreundersøkelsen ikke kan knyttes til enkeltpersoner, vil de ikke være personopplysninger etter personopplysningsloven § 2 nr 1, og faller dermed utenfor personopplysningslovens saklige virkeområde, jf personopplysningsloven § 3.
Sensitive personopplysninger kan behandles når det foreligger hjemmel i personopplysningsloven §§ 8 og 9, jf. § 11. Bestemmelsene gir adgang til behandling av personopplysninger dersom det foreligger samtykke, lovhjemmel eller dersom konkrete, nødvendige kriterier er oppfylt. Lovens ordlyd gir ikke veiledning for prioritering mellom disse hjemmelsgrunnlagene. Datatilsynet viser imidlertid til lovens forarbeider, særlig til merknadene til § 8 i Ot.prp. nr 92 (1998-99) s. 108, andre spalte, avsnitt 2: ”Behandling av personopplysninger bør i størst mulig utstrekning baseres på samtykke fra den registrerte, selv om den også kan hjemles i de grunnlagene som oppstilles i bokstavene a-f. For det første vil dettes styrke den registrertes mulighet til å råde over opplysninger om seg selv. For det annet vil man ved å basere behandlingen på samtykke unngå tvil om de mer skjønnsmessige vilkårene i bokstav a til f er oppfylt”.
Personvernnemnda har støttet dette synspunktet blant annet i saksnummer 2004/01 (”STAMI-saken”). Det ble i denne saken avgjort at hensynet til den enkeltes autonomi utgjør et hovedprinsipp etter personverndirektivet og den norske implementeringen av direktivet. Det uttales i saken at: ”For at man skal kunne gjøre avvik fra hovedprinsippet, må det derfor foreligge en begrunnelse. Denne begrunnelsen kan, som nevnt ovenfor, ikke bare være en ren hensiktsmessighetsbetraktning, f eks unngå kostnader, spare tid eller lignende – selv om slike begrunnelser selvsagt må vurderes i forhold til den enkelte sak.”
For å kunne fastslå om barnas samtykke kan være behandlingsgrunnlag må det vurderes om de har selvstendig samtykkekompetanse. I henhold til personopplysningslovens § 2 nr 7 jf. lov om vergemål § 2, er hovedregelen at bare myndige personer kan avgi et gyldig samtykke. Det vil si personer som har fylt 18 år. Utgangspunktet etter personopplysningsloven § 2 nr. 7 er at foreldre har samtykkekompetanse på vegne av sine barn i kraft av foreldreansvaret. Dette følger av Ot.prp. nr 92 side 103 hvor følgende er uttalt om definisjonen av samtykke i personopplysningsloven § 2 nr 7: ”Samtykke må i utgangspunktet gis av den registrerte selv … For mindreårige og umyndiggjorte som ikke kan samtykke selv, må spørsmålet om samtykke skal gis vurderes av vergen.” Datatilsynet anser det som klart at foreldrene i utgangspunktet har samtykkekompetanse på vegne av barna etter personopplysningsloven § 2 nr 7. Personopplysningsloven inneholder ingen særskilte regler om behandling av mindreåriges personopplysninger og må derfor suppleres av barnelova og annen spesiallovgivning.
Det følger av barnelova § 30 første ledd annet punktum at de som har forelderansvaret har rett og plikt til å ta avgjørelser for barnet i personlige forhold. Dette omfatter i utgangspunket også samtykke til behandling av personopplysninger. Foreldrenes bestemmelsesrett overfor barna er imidlertid ikke absolutt. For det første nevnes den generelle begrensning i at foreldreansvaret må utøves ut fra barnets interesser og behov. For det andre nevnes at foreldreansvaret må begrenses ut fra barnets medbestemmelsesrett og barnets selvbestemmelsesrett, jf barnelova §§ 31 og 33. Datatilsynet mener medbestemmelsesretten i denne saken er ivaretatt ved det fastsatte kravet om samtykke fra barna. For det tredje nevnes at foreldreansvaret kan være begrenset med hjemmel i lov.
Datatilsynet nevnte i sitt delvise avslag at den helserettslige myndighetsalder etter pasientrettighetsloven og helseforskningsloven er 16 år. Dette var ment som eksempler på lovbestemte begrensninger i foreldreansvaret. Datatilsynet presiserer at lovene ikke får direkte anvendelse for dette prosjektet.
Pasientrettighetsloven § 4-3 regulerer hvem som har myndighet til å samtykke til helsehjelp. Bestemmelsens bokstav b fastslår at ”den helserettslige myndighetsalder” er 16 år, med mindre annet er bestemt i lov eller noe annet fremkommer av tiltakets art. Det som reguleres av bestemmelsen er altså kompetansen til å ta avgjørelser i spørsmål om helsehjelp. Pasientrettighetsloven regulerer altså ikke adgangen til å samtykke til deltakelse i dette forskningsprosjektet.
Helseforskningslovens saklige virkeområde er definert i lovens § 2. Det følger av § 2 første ledd første punktum at loven gjelder for medisinsk og helsefaglig forskning på mennesker, humant biologisk materiale eller helseopplysninger. Bestemmelsen regulerer altså medisinsk og helsefaglig forskning. Etter Datatilsynets vurdering er ikke dette et medisinsk og helsefaglig forskningsprosjekt. Datatilsynet legger dermed til grunn at helseforskningsloven ikke får direkte anvendelse for gjennomføringen av dette prosjektet. I samme retning taler at den forskningsetiske vurderingen av prosjektet er foretatt av Nasjonal forskningsetisk komité for humaniora og samfunnsfag (NESH). Det er de regionale komiteer for medisinsk og helsefaglig forskningsetikk (REK) som vurderer om forskningsprosjekter faller innenfor helseforskningslovens virkeområde. Det er også REK som godkjenner forskningsprosjekter etter helseforskningsloven.
Datatilsynet har i praksis lagt til grunn at personer under 18 år kan avgi et gyldig samtykke for behandling av personopplysninger. Det kan i denne sammenheng nevnes at Datatilsynet og Forbrukerombudet har utarbeidet en veileder om barn og unges samtykkekompetanse. Det er en veiledning ved innhenting og bruk av personopplysninger på internett. Veilederen er basert på prinsippet i blant annet barneloven om barns rett til gradvis selvbestemmelse og gir anvisning på anbefalte aldersgrenser på ulike områder. Det følger av veilederen at mindreårige som har fylt 15 år som hovedregel selv kan samtykke til innhenting av og bruk av egne personopplysninger. For barn som er under 15 år må foreldre samtykke til innhenting av og bruk av personopplysninger. Behandling av sensitive personopplysninger forutsetter foreldrenes samtykke inntil barnet er 18 år. Justisdepartementet vurderer i sitt høringsnotat om etterkontroll av personopplysningsloven om disse retningslinjene bør kodifiseres.
Det er særlig barnelova § 33 som vil kunne føre til at foreldrenes bestemmelsesrett bortfaller før barnet har fylt 18 år. Det vil si at barnet kan få selvbestemmelsesrett før det fyller 18 år også på andre områder enn de som er direkte lovregulerte. I praksis vil spørsmålet om samtykkekompetanse bero på en konkret vurdering av behandlingens art og omfang, og sakens kompleksitet for øvrig. Det må kunne forutsettes av barnet er i stand til å vurdere konsekvensene av å avgi et samtykke, herunder tilegne seg nødvendig informasjon. Barnets alder og modenhet må vurderes i forhold til behandlingens formål, art og omfang, samt opplysningenes innhold.
Barnelova § 33 gir ikke noen klar anvisning på når barn kan oppnå selvbestemmelsesrett, og det kan derfor oppstå mange tvilstilfeller i praksis. Det må derfor vurderes om det foreligger andre lovbestemmelser som det er naturlig å analogisere fra.
Datatilsynet mener det er mest naturlig å vurdere om myndighetsalderen for deltakelse i helseforskningsprosjekter etter helseforskningsloven § 17 kan gis analogisk anvendelse. Forskning på helseopplysninger etter helseforskningsloven og denne type forskning på sensitive personopplysninger kan være nokså likartede. Likhetsargumentet kan dermed tale for at myndighetsalderen også bør være den samme. Etter helseforskningsloven § 17 første ledd er myndighetsalderen som hovedregel 16 år. En analogisk fortolkning av helseforskningsloven § 17 første ledd tilsier dermed at dette utvalget (fra 14-15 år) ikke har selvstendig samtykkekompetanse. Datatilsynet mener imidlertid at en slik analogisk fortolkning ikke kan legges entydig til grunn. Bestemmelsen utgjør etter Datatilsynets vurdering likevel et tolkningsbidrag i retning av at utvalget ikke har selvstendig samtykkekompetanse.
Datatilsynet påpeker at det er gjort et begrenset unntak fra hovedregelen om myndighetsalder på 16 år i helseforskningsloven § 17 siste ledd. Der heter det at ”Departementet kan i forskrift bestemme at for spesielle typer forskningsprosjekter kan barn mellom 12 og 16 år selv samtykke til forskning på helseopplysninger. Departementet kan i forskrift gi nærmere regler om kravene til et slikt samtykke.” Forskrift til denne begrensede unntaksbestemmelsen er ikke gitt på nåværende tidspunkt. Datatilsynet mener derfor at dette unntaket ikke kan gis analogisk anvendelse. Det er også uklart hvilke krav og vilkår som vil bli fastsatt i forskriften.
Datatilsynet kan ikke se at høringen om etterkontroll av personopplysningsloven kan tillegges vekt i retning av at barna har samtykkekompetanse for deltakelse i dette prosjektet. Datatilsynet vil generelt fremheve at forslag til lovendringer normalt har liten rettskildemessig vekt. I denne sammenheng fremgår det dessuten av oversendelsesbrevet fra departementet at siktemålet med høringen var å undersøke om loven virker etter sin hensikt. I høringen presenterer også departementet kun foreløpige merknader til enkelte utvalgte problemstillinger. Mindreåriges personvern omtales i punkt 8 flg. Datatilsynet kan ikke se at departementets foreløpige merknader kan tas til inntekt for at personopplysningsloven bør åpne for at barn har samtykkekompetanse for deltakelse i et forskningsprosjekt av denne art.
Klager har vist til flere undersøkelser hvor det ikke har blitt stilt krav om aktivt samtykke fra foreldre. Datatilsynet påpeker at spørsmålet om samtykkekompetanse må vurderes konkret i hver enkelt sak. Datatilsynet vil presisere at det ikke ble gitt konsesjon for prosjektet Ung i Oslo. Datatilsynet så derimot alvorlig på NOVAS gjennomføring av dette prosjektet, og det ble fattet vedtak med krav om sletting/ anonymisering av innsamlede opplysninger. Prosjektet Roland og Auestad 2009 ble vurdert av NSD, og ikke Datatilsynet. NSD la til grunn at elevundersøkelsen var anonym. (Datatilsynet har ikke funnet konsesjon for undersøkelsen Schou, Dyp og Iversen 2007 i arkiv.) Første innsamling av opplysninger om utvalget i prosjektet Ung i Norge skjedde i 1992. Etter Datatilsynets vurdering kan ikke et vedtak fattet for omkring 17 år siden med hjemmel i dagjeldende personregisterlov tillegges nevneverdig vekt i denne sammenheng.
I vurderingen av om barna har samtykkekompetanse legger Datatilsynet avgjørende vekt på at undersøkelsen innebærer en omfattende og detaljert kartlegging av det enkelte barns liv. Det skal registreres over hundre spørsmål av svært inngående og sensitiv karakter, jf. personopplysningsloven § 2 nr 8 bokstav a til d. Datatilsynet fremhever at spørsmålene omhandler barnas fysiske og psykiske helse. Undersøkelsen skal også avdekke vold, overgrep, uønskede seksuelle erfaringer og det innhentes opplysninger om tredjepersoner. Det er altså studiens sensitivitet målt opp mot barnas alder (14-15 år) som tilsier at det av hensynet til barna må kreves foreldresamtykke. Datatilsynet legger til grunn at foreldre i hovedsak er de som kjenner barna best, vet deres modenhet, livserfaringer og individuelle fysiske og psykiske forutsetninger. For hovedparten av utvalget vil det dermed ivareta hensynet til barna at foreldrene samtykker.
I et utvalg på omkring 10 000 vil det variere hvilke forutsetninger barn har for å samtykke til deltakelse i et forskningsprosjekt av denne art. Etter Datatilsynet vurdering må det imidlertid foreligge relativt klare holdepunkter for å legge til grunn at hele utvalget har selvstendig samtykkekompetanse. I denne saken trekker som nevnt også helseforskningsloven § 17 første ledd klart i retning av at barna ikke har selvstendig samtykkekompetanse. Etter Datatilsynets vurdering må også tvil vedrørende barns samtykkekompetanse trekke i retning av at hovedregelen om foreldresamtykke gjør seg gjeldende. I denne saken anser Datatilsynet det som høyst tvilsomt at det kan legges til grunn at utvalget har selvstendig samtykkekompetanse.
På bakgrunn av det ovennevnte fastholder Datatilsynet at utvalget ikke har selvstendig samtykkekompetanse.
Når det gjelder alternativt hjemmelsgrunnlag til samtykke, har NSD anført at personopplysningsloven § 8 bokstav d jf § 9 bokstav h bør kunne utgjøre behandlingsgrunnlag for prosjektet, hvoretter personopplysninger kan behandles når behandlingen er nødvendig for vitenskapelige formål og samfunnets interesse i å gjennomføre behandlingen klart overstiger de ulempene dette kan medføre for den enkelte. Datatilsynet ser at krav om samtykke fra foreldre kan medføre lavere deltakelse i forskningsprosjektet. Noen foreldre kan også ha en egeninteresse i at det ikke forskes på barna. Dette kan samlet sett medføre at datamaterialet får alvorlige mangler. Datatilsynet bestrider heller ikke den samfunnsmessige interesse i å få kunnskap om de temaer undersøkelsen tar sikte på å frembringe. Datatilsynet mener imidlertid at behandling av personopplysninger, hvor det er nødvendig at den registrerte bidrar aktivt gjennom å fylle ut et skjema, vanskelig vil kunne hjemles i andre behandlingsgrunnlag enn samtykke. Dette gjør seg spesielt gjeldende når det skal innhentes svært mange sensitive opplysninger om barn, som ikke i samme grad har mulighet til å ivareta sine egne personverninteresser.
Etter Datatilsynets vurdering foreligger det en informasjonsplikt til foresatte når det samles inn opplysninger fra deres barn, jf personopplysningsloven § 19. Dette følger ikke direkte av ordlyden i personopplysningslovens § 19, men må bero på en tolkning av bestemmelsens bokstav e ”annet som gjør den registrerte i stand til å bruke sine rettigheter…”. Bestemmelsen regulerer uttrykkelig de tilfeller hvor informasjonen skal gis til samme person som skal gi fra seg sine opplysninger (den registrerte). I disse tilfellene vil det nødvendigvis fremgå hvilke opplysninger som skal behandles. For at den foresatte skal kunne foreta en grundig vurdering av om eleven skal delta i undersøkelsen er det etter tilsynets vurdering nødvendig at den foresatte også får informasjon om hvilke opplysninger som skal behandles. Datatilsynet påpeker at det i dette tilfellet er snakk om innhenting av svært sensitive og omfattende opplysninger. Dette vil skjerpe kravet til informasjonens klarhet, og det må kunne forventes at det informeres mer konkret om hvilke opplysninger som skal behandles, for eksempel ved at en kopi av spørreskjemaet legges ved. Etter Datatilsynet vurdering har det derfor begrenset vekt i interesseavveiningen at prosjektet tar sikte på at foreldrene til en viss grad skal informeres om prosjektet, og gis anledning til å reservere barnet.
Datatilsynet mener videre at kravet til lovhjemlenes klarhet styrkes når tilsynet skal gjøre unntak fra hovedregelen om foreldresamtykke for deltakelse i et forskningsprosjekt av denne art, jf legalitetsprinsippet. Behandlingsgrunnlaget i personopplysningsloven § 8 d og 9 h beror på en skjønnsmessig interesseavveining. Datatilsynet legger til grunn at unntak fra hovedregelen om foreldresamtykke for deltakelse i dette forskningsprosjektet også må være i samsvar med barnelova. Barnelova § 33 gir ikke noe klar anvisning på når barn kan oppnå selvstendig selvbestemmelsesrett for deltakelse i denne typen forskningsprosjekt. På bakgrunn av dette mener Datatilsynet hjemmelsgrunnlaget for å gjøre unntak fra hovedregelen om foreldresamtykke fremstår som meget vagt. I motsetning til helseforskningsloven § 17 siste ledd. Der er det utformet en særskilt lovhjemmel for å gjøre et begrenset unntak fra hovedregelen om foreldresamtykke. Datatilsynet mener dette trekker i retning av at hovedregelen om foreldresamtykke gjør seg gjeldende for deltakelse i dette prosjektet.
Etter Datatilsynets vurdering trekker også helseforskningsloven i retning av at behandlingsgrunnlaget i dette tilfellet bør være samtykke fra foreldre. Et tilsvarende helseforskningsprosjekt måtte vært basert på samtykke fra foreldre, jf. helseforskningsloven § 17 fjerde ledd. I tillegg måtte vilkårene for forskning på mindreårige vært oppfylt, jf. helseforskningsloven § 18.
Det bemerkes at forskningsprosjektet ikke har til formål å følge opp barn ved behov eller yte helsehjelp. Elever informeres om hvem de kan ta kontakt med, dersom de i etterkant av undersøkelsen føler behov for å snakke med noen. Datatilsynet fastholder at behandlingsgrunnlaget er samtykke fra foreldre, jf. personopplysningsloven § 8 og § 9 første ledd bokstav a.
5.2 Klage på Datatilsynets vurdering av informasjonssikkerheten
For det annet skal det foretas en vurdering av informasjonssikkerheten.
5.2.1 NOVA
NOVA klager over Datatilsynets vurdering av at informasjonssikkerheten ikke er tilfredsstillende ivaretatt ved den omsøkte gjennomføringen av prosjektet.
NOVA slutter seg til klagen fra QuestBack, og legger denne til grunn ved sin klage. Enkelt punkter i QuestBacks klage gjentas. Det pekes på at skjema ikke lagres i lesbar form verken på den enkeltes PC, proxy-er eller andre mellomstasjoner. NOVA uttaler at det optimale ville vært en anonym innsamling. Men at dette ikke er gjennomførbart da det vil gi manglende kontroll med datainngangen.
Personvernet anføres styrket ved at NOVA kun har tilgang til anonymiserte datafiler. Skole vil ikke figurere på datafila, og de ønsker også å fjerne variabelen om hvilket språk som snakkes hjemme. Dette for å øke konfidensialiteten.
Det redegjøres for at autoriserte teknikere har tilgang og en teoretisk mulighet til å knytte besvarelser med registrert e-post adresse. Det gjøres videre rede for strenge rutiner for teknikeres tilgang.
Det anføres også at identifiserbare data kun vil være tilgjengelige i et kort tidsrom. Anonymiseringsdato er satt til tre måneder etter planlagt prosjektavslutning.
5.2.2 Datatilsynets vurdering
Datatilsynet vurderte i sitt delvise avslag at informasjonssikkerheten ikke var tilstrekkelig ivaretatt i løsningen slik det var søkt om jf. personopplysningsloven § 13, jf personopplysningsforskriften kapittel 2. Konklusjonen i det delvise avslaget av 12.11.2009 opprettholdes. Informasjonssikkerheten anses ikke tilfredsstillende ivaretatt jf personopplysningsloven § 13, jf personopplysningsforskriften kapittel 2. Begrunnelsen for konklusjonen er imidlertid endret.
På bakgrunn av klagen innrømmes klager(ne) at avslaget kunne leses urettmessig mot QuestBack som leverandør. Det bemerkes at anførslene ikke skulle vært anført mot QuestBack direkte, men mot innsamling over Internett generelt.
Videre har Datatilsynet sett, blant annet gjennom NOVAs klage, at behandlingen kan gjennomføres med alternativ løsning. En slik løsing kan aksepteres med enkelte forutsetninger.
Hovedanførselen i QuestBacks brev er at Datatilsynets utsagn i brev av 12.11.2009 urettmessig rammer virksomheten. Det pekes her på uttalelser om at QuestBack har manglende informasjonssikkerhet og ikke tilfredsstillende infrastruktur. QuestBack er i denne saken en valgt leverandør av en løsning for innsamling av identifiserbare sensitive personopplysninger med et særlig høyt beskyttelsesbehov. Datatilsynet står fast ved at løsningen ikke er egnet for dette. Som QuestBack er kjent med er kravene til informasjonssikkerhet forholdsmessige, og Datatilsynets har i sine uttalelser ikke hatt til hensikt å konstatere generelle mangler hos QuestBack, men å fastsette at arkitekturen som nettbaserte innsamlingstjenester er basert på ikke er egnet for innsamling av denne typen opplysninger. Det har ikke vært til hensikt å påpeke mangler hos QuestBack knyttet til det alminnelige bruksområdet for tjenesten. Datatilsynet er kjent med, og forstår, QuestBacks bruk av krypteringsteknologi for å hindre at opplysningen blir lagret i kommunikasjonskjeden. Datatilsynet slutter seg til QuestBacks innsigelser på dette punkt, med unntak for utfordringer knyttet til sikkerhet på lokal maskin. Det vises til endret begrunnelse for vedtaket.
Videre peker QuestBack på at bruk av eID nivå 4 ikke er nødvendig for å oppnå tilfredsstillende sikkerhet i en tjeneste som den omsøkte. Datatilsynet slutter seg også til denne anførselen.
Datatilsynet legger til grunn at tilsynssak 09/01161 og dette brev korrigerer Datatilsynets forståelse av QuestBacks løsning. Det presiseres at det under tilsynet ble fremhevet av QuestBack at tjenesten i liten grad ble brukt for behandling av sensitive personopplysninger.
For så vidt gjelder brev fra NSD, viser NSD til behovet for en offisiell uttalelse fra Datatilsynet knyttet til bruk av nettundersøkelser og innsamling av sensitive personopplysninger. Datatilsynet legger til grunn at vedtaket vil tilfredsstille det umiddelbare behov for klargjøringer. Videre har tilsynet til intensjon å gjøre vurderingene i denne sak generelle og tilgjengelige slik NSD ber om sitt brev. Datatilsynet slutter seg til NSDs syn om at tilsynets vurderinger må gjøres kjent også for en videre krets.
Når det gjelder brev fra NOVA, viser NOVA i hovedsak til QuestBacks brev. Utover dette redegjør NOVA for en mulig avidentifisert eller nær-anonym innsamling. Datatilsynet ser positivt på at disse alternative innsamlingsmetodene er fremmet av NOVA. Disse alternativene er videre diskutert i nytt vedtak, hvor det fremgår at Datatilsynet slutter seg til at en nær-anonym løsning kan være akseptabel for innsamlingen.
Datatilsynet omgjør sitt vedtak vedrørende informasjonssikkerhet. Det er søkt om at kommunikasjon og innsamling av opplysninger fra utvalget skal skje ved at deltakerne får invitasjon på e-post over Internett til å fylle ut spørreskjema via leverandøren av nettundersøkelser QuestBack. Datatilsynet har kommet til at informasjonssikkerheten ikke er tilfredsstillende ivaretatt i denne løsningen jf personopplysningsloven § 13, jf personopplysningsforskriften kapittel 2. Dette er å anse som delvis avslag på det omsøkte. Når det gjelder informasjonssikkerhet reiser den omsøkte løsningen to sentrale problemstillinger;
- håndtering av identifiserbare opplysninger hos leverandør av spørreundersøkelsen utenfor spesielt beskyttede nettverk, og
- besvarelse av spørreundersøkelse gjennomført fra utstyr i et trusselutsatt miljø.
Disse to forhold diskuteres i det videre.
Kravene til informasjonssikkerhet etter personopplysningslovens § 13 og personopplysningsforskriftens kapittel 2 er basert på forholdsmessig sikring, hvor sikkerhetstiltakene skal stå i samsvar med sannsynligheten og konsekvensene av sikkerhetsbrudd. Dette fremgår direkte av forskriftens § 2-1. Datatilsynet ser, som tidligere drøftet, at opplysningene som ønskes samlet inn i den foreliggende sak er spesielt beskyttelseverdige. Opplysingene må sies å være svært inngående og beskrivende for deltakerne rundt forhold som seksualitet, sosiale forhold, overgrep, og rusmiddelbruk. Videre er utvalget ungdom under 16 år, og må ses som ekstra sårbare om opplysninger om de gitte tema kommer på avveie. Etter Datatilsynet syn vil konsekvensene for den enkelte være svært store om opplysningene kommer på avveie. Med denne bakgrunn bør sikkerhetstiltakene rundt behandlingen av disse opplysningene legges på et særdeles høyt nivå.
Alminnelig praksis for beskyttelse sensitive personopplysninger i forskningssammenheng er at disse behandles i avidentifisert eller uten direkte identifiserende opplysninger som navn og fødselsnummer. Med denne bakgrunn ser Datatilsynet det som nødvendig at det sikres mot innsyn i identifiserende informasjon i dette prosjektet. Dette kan best løses, og i samsvar med etablert praksis for forskningsprosjekter, ved at direkte identifiserende opplysninger ikke finnes sammen med forskningsdata. En slik tilnærming ses som nødvendig for å etablere
- tilfredsstillende informasjonssikkerhet etter forskriftens § 2-1,
- konfidensialitetssikring i form av å hindre tilgang for ansatte (selv de som er autorisert for å arbeide med innsamlingen) og eksterne etter forskriftens § 2-11, og
- sikkerhetstiltak som kan hindre uautorisert bruk, og som ikke kan omgås av medarbeiderne, etter forskriftens § 2-14
På denne bakgrunn anser Datatilsynet den omsøkte løsningen, hvor identifiserbare opplysninger befinner seg hos leverandør av innsamlingsløsningen, for å være i konflikt med personopplysningslovens § 13, jf personopplysningsforskriftens §§ 2-1, 2-11 og 2-14. Den omsøkte innsamlingen er planlagt gjennomført over Internett, hvor innsamlingsregisteret med all grunn må antas å behandles på et sikkerhetsnivå hvor det er samtidig tilgang til Internett. En slik praksis er ikke tillagt avgjørende betydning for avgjørelsen ovenfor, da etablering av et direkte identifiserbart register i innsamlingsperioden uansett ikke er akseptabelt. Det bemerkes for øvrig at en Internettnær praksis ville representere en ytterligere heving av risiko, bryte med alminnelig praksis for behandling av identifiserbare sensitive personopplysninger (dedikerte systemer eller tilsvarende), og faller i konflikt med de samme bestemmelser som nevnt ovenfor.
Det finnes alternativer til dette – alternativ innsamling i avidentifisert form eller uten direkte identifiserende opplysninger. To alternative innsamlingsformer fremstår her som potensielt mulige; uten direkte identifiserbare personopplysninger, eller i avidentifisert form ved at leverandør av innsamlingsløsningen ikke har tilgang til direkte identifiserende opplysninger. Begge disse alternative løsningene er foreslått som mulige alternativer i NOVAs klage av 21.12.2009. Hensikten med å gjøre innsamlingen i en avidentifisert form i stede for uten direkte identifiserende opplysninger vil kunne begrunnes i behov for å følge opp de som ikke har besvart (purring). Ved å ikke gjennomføre innsamlingen uten direkte identifiserende opplysninger, vil man også innføre en mulighet for å gå tilbake til enkeltperson, og øke muligheten for kompromittering eller ulovlig bruk av opplysningene. Den økte ulempen for den registrerte dette representerer må veies mot behovet for å kunne gjennomføre purringer i samsvar med interesseavveiningsprinsippet. Etter Datatilsynets forståelse vil utvalget være tilgjengelig for å kunne delta i undersøkelsen i skoletiden. At enkelte av disse velger å avstå fra å svare på undersøkelsen må ses som et bevisst valg. Forglemmelse og det alminnelige påminningsbehovet kan etter tilsynets syn i liten grad påberopes i dette tilfellet. Datatilsynet anser det generelle behovet for å ha kjennskap til hvilke personer som har svart på undersøkelsen til å være svært liten. Dette sammenstilt med ulempen og sikkerhetsrisikoen det representerer å etablere en knytning mellom identitet og besvarelse, selv om dette gjøres atskilt i to organisasjoner.
Det fremgår av personopplysningsloven § 28 at personopplysninger ikke skal lagres lenger enn det som er nødvendig for å gjennomføre formålet med behandlingen. Etter bestemmelsens annet ledd kan den behandlingsansvarlige likevel lagre personopplysningene for historiske, statistiske eller vitenskapelige formål dersom samfunnets interesse i at opplysningene lagres klart overstiger ulempende for den registrerte. Et viktig vilkår for dette er at opplysningene ikke skal oppbevares på måter som gjør det mulig å identifisere den registrerte lenger enn nødvendig. Datatilsynet mener det er et viktig personvernprinsipp at graden av personidentifikasjon ikke skal være større enn nødvendig for å nå formålet med behandlingen.
Datatilsynet mener det ikke er tilstrekkelig begrunnet at tilknytning til identitet er nødvendig for å nå formålet med innsamlingen av opplysningene. Følgelig må innsamlingen gjennomføres uten at identitet knyttes entydig til opplysningene. Det bemerkes at innsamlingen allikevel ikke vil være anonym, både på grunn av nærhet til den registrerte ved registrering, og på grunn av bakveis identifisering på grunn av datasettets innhold.
Innsamlingen er planlagt gjennomført ved at elevene gjennomfører undersøkelsene over Internett ved å bruke utstyr gjort tilgjengelig ved den enkelte skole. Datatilsynet forstår at det er gjort sikkerhetstiltak knyttet til kommunikasjon mot brukerutstyr (PC den enkelte elev benytter), og at det i webtjenenesten er gjort tiltak for å hindre at informasjon om bruken ligger igjen på de enkelte datamaskinene (som midlertidig lagring etc.). Selv om tjenesten fremstår som forsvarlig vil mangelfull lokal sikkerhet kunne medføre kompromittering av personopplysningene ved for eksempel uautorisert programvare på den enkelte datamaskin. Det bemerkes at også autorisert overvåkingsprogramvare benyttet av skolen kan medføre at opplysningene kommer på avveie. (At bruk av slik programvare i mange tilfeller vil være ulovlig problematiseres ikke videre).
Hovedproblemet er at selv om tjenesten er godt utformet, vil lokalt utstyr med autorisert eller uautorisert programvære representere en trussel.
Slik tilsynet forstår den omsøkte innsamlingen vil ikke NOVA ha konfigurasjonskontroll med utstyret slik det normalt kreves i samsvar med personopplysningsforskriftens § 2-7. Videre vil utstyret, etter Datatilsynets forståelse, befinne seg i et risikoutsatt miljø, skoler. Med bakgrunn i personopplysningslovens § 13, jf personopplysningsforskriftens § 2-7 kan ikke utstyr som er utenfor den behandlingsansvarliges kontroll benyttes til innsamlingen. Det bemerkes for ordens skyld at bestemmelsen ovenfor normalt tolkes annerledes når det kommuniseres med en privatperson over utstyr den private må antas å ha kontroll over. Det vil i slike tilfeller være tilstrekkelig, og i rimelig grad hjelpe den private til å ha egnet sikkerhet på det lokale utstyret, samt at bruken har et frivillighetsaspekt ved seg. I den omsøkte sak er det imidlertid lagt til rette for bruk av en annen profesjonell parts informasjonssystem, skolen.
Innsamling kan alternativt gjennomføres på utstyr under den behandlingsansvarliges kontroll. Dette enten ved utstyr direkte under kontroll av NOVA, eller ved at det sikres gjennom avtale med eier av utstyret at det er konfigurert tilfredsstillende. Krav om en slik avtale følger av personopplysningslovens § 13, jf. personopplysningsforskriftens § 2-15. En slik avtale bør minimum inneholder den behandlingsansvarliges krav knyttet til:
- virusbeskyttelse,
- oppdatert operativsystem og programvare,
- kontroll mot uautorisert programvare,
- kontroll mot uønsket autorisert programvare (overvåkingsprogramvare),
- forhåndskontroll før bruk av utstyret til innsamlingen, og
- etterkontroll av utstyret etter bruk til innsamling.
For øvrig forventes det at den behandlingsansvarlige foretar de nødvendige tiltakene basert på en risikovurdering etter forskriftens § 2-4.
Datatilsynet anser den primære omsøkte løsningen, hvor identifiserbare opplysninger befinner seg hos leverandør av innsamlingsløsningen, for å være i konflikt med personopplysningslovens § 13, jf. personopplysningsforskriftens §§ 2-1, 2-11 og 2-14.
Når det gjelder alternative innsamlingsmetoder anser Datatilsynet at knytning til identitet ved å gjøre innsamlingen i en avidentifisert form ikke er tilstrekkelig begrunnet, og følgelig ikke nødvendig i henhold til personopplysningsloven § 28 og prinsippet om krav til graden av bruk av personidentifikasjon.
Med bakgrunn i personopplysningslovens § 13, jf. personopplysningsforskriftens § 2-7 kan ikke utstyr som er utenfor den behandlingsansvarliges kontroll benyttes til innsamlingen. Innsamling kan alternativt gjennomføres på utstyr under den behandlingsansvarliges kontroll. Dette enten ved utstyr direkte under kontroll av NOVA, eller ved at det sikres gjennom avtale med eier av utstyret at det er konfigurert tilfredsstillende.
Datatilsynet peker på den selvstendige plikten til å etablere tilfredsstillende informasjonssikkerhet etter personopplysningslovens § 13, jf. personopplysningsforskriftens 2. kapittel. Det vil påligge den databehandlingsansvarlige og databehandleren videre plikter enn det som er konkret vurdert i denne saken.
Spesielt peker Datatilsynet på følgende sikkerhetstiltak som kan være relevante:
- begrensning av lagringstid i eksponert løsning (nær Internett). Enten ved direkte eller regelmessige overføringer,
- kryptering av lagrede data, og kryptering under kommunikasjon mellom databehandler og behandlingsansvarlig,
- forsvarlige rutiner for sikkerhetskopiering,
- forsvarlig sletting hos databehandler etter innsamlingsfase. Inkludert sikkerhetskopier, og
- tekniske og administrative tiltak for å hindre at datasettet kan komme på avveie.
6 Personvernnemndas merknader
Saken dreier seg om en omfangsundersøkelse om ungdoms erfaringer med voldelige hendelser og uønskede hendelser av seksuell karakter. Undersøkelsen skal også kartlegge mer hverdagslige hendelser som oppvekstbetingelser og helsespørsmål. Spørsmålene skal bli stilt til ungdom som har fylt 15 år. Datatilsynet har gitt delvis avslag på søknad om konsesjon. Datatilsynet har satt som betingelse for konsesjon at det innhentes samtykke fra foresatte til ungdommene. I tillegg har Datatilsynet vurdert informasjonssikkerheten i undersøkelsen som utilfredsstillende. Begge punkter er påklaget.
Når det gjelder ungdoms samtykkekompetanse, er spørsmålet om de selv kan samtykke til deltakelse i undersøkelsen, eller om det i tillegg kreves samtykke fra ungdommens foresatte. Videre er det spørsmål om et eventuelt samtykke fra foresatte må være aktivt, eller om et passivt samtykke fra foresatte er tilstrekkelig.
Personvernnemnda skal først påpeke at opplysningene som undersøkelsen omfatter er sensitive, jf personopplysningsloven § 2 nr 8. Behandlingsgrunnlaget som oppgis er samtykke fra den registrerte, jf personopplysningsloven § 9. Behandlingen er dessuten konsesjonspliktig, jf § 33.
I barneloven er det satt en 18 års grense for samtykkekompetanse, men loven åpner for en gradvis samtykkekompetanse de siste årene frem mot myndighetsalder, jf barnelovens § 33. Helseforskningsloven § 17, 1. ledd setter som hovedregel en 16 års grense for samtykkekompetanse. Personvernnemnda er enig med Datatilsynets resonnement om at dette ikke er helseforskning. Utgangspunktet er dermed at det kreves samtykke fra foresatte frem til barnet har fylt 18 år. I denne saken skal ungdom som har fylt 15 år delta i en undersøkelse hvor besvarelsene skal sendes via internett. Forbrukerombudet og Datatilsynet har laget en veileder om dette temaet. Det følger av veilederen at mindreårige som har fylt 15 år som hovedregel selv kan samtykke til innhenting av og bruk av egne personopplysninger på internett. For barn som er under 15 år må foresatte samtykke til innhenting av og bruk av personopplysninger. Sensitive opplysninger forutsetter imidlertid samtykke fra foresatte frem til 18 år.
Som følge av dette mener Personvernnemnda at det ikke foreligger hjemmel for en 15 årings egensamtykke til behandling av sensitive personopplysninger i personopplysningsloven, og heller ikke i barneloven. Det kreves derfor samtykke fra foresatte for å delta i en slik undersøkelse som ikke er anonym.
Spørsmålet er så om et slikt foreldresamtykke kan avgis passivt. Personopplysningsloven åpner ikke for passivt samtykke. Et samtykke må være frivillig, uttrykkelig og informert, jf personopplysningsloven § 2 nr 7. Ved passivt samtykke er det den som ikke samtykker som må utvise aktivitet, mens den som samtykker kan forholde seg passiv. Motsatt ved aktivt samtykke. Når kravet til samtykke er at det skal være ”utrykkelig” er det bare det aktive samtykket som kan godtas. Nemnda er derfor av den oppfatning at også samtykke fra foresatte må oppfylle kravene i personopplysningsloven § 2 nr 7.
Klager har anført at foreldresamtykke vil gi et skjevt utvalg av besvarelser i en slik undersøke. Det anføres at dersom det foregår mishandling, overgrep eller lignende i hjemmet så vil ikke de foresatte samtykke. Etter nemndas syn gjør ikke dette motargumentet seg like sterkt gjeldende her hvor undersøkelsen uansett ikke fører til oppfølgning av enkelttilfellene. Det er mulig at dataene vil bli skjeve, at det vil bli en underrapportering etc., men slike elementer må klager ta hensyn til i sin drøfting av datamaterialet. Klager vil da vite bl.a. hvor mange som ikke har samtykket, og dermed får klager et grunnlag for å drøfte dette i datamaterialet. Skillet mellom aktivt og passivt foreldresamtykke vil etter nemndas mening ikke endre på dette. Dersom et samtykke skal være reelt må den som samtykker være informert og ta et aktivt valg.
Klager har argumentert med at dersom undersøkelsen var anonymisert ville den ha falt utenfor personopplysningsloven og det hevdes at dette ville svekke personvernet. Personvernnemnda er ikke enig i det standpunktet. En anonymisert undersøkelse vil ikke svekke personvernet, det vil tvert imot styrke personvernet.
Personvernnemnda har vurdert informasjonssikkerhetsspørsmålet, og finner ikke grunnlag for å endre på Datatilsynets vedtak. Nemnda er enig i Datatilsynets vurderinger. Utvalget ungdom er under 16 år og anses ekstra sårbare dersom opplysninger om de gitte temaer kommer på avveie. Informasjon skal avgis fra utstyr i et trusselutsatt miljø. På denne bakgrunn bør sikkerhetstiltakene rundt behandlingen av disse opplysningene legges på et særdeles høyt nivå. Personvernnemnda tiltrer tilsynets konklusjon. Vedtaket opprettholdes.
7 Vedtak
Klagen tas ikke til følge. Datatilsynets vedtak opprettholdes.
Oslo, 16. februar 2011
Eva I. E. Jarbekk
Leder