Personvernnemndas avgjørelse av 2. februar 2010 (Eva I. E. Jarbekk, Arve Føyen, Tom Bolstad, Leikny Øgrim, Ann R Sætnan, Jostein Halgunset, Michal Wiik Johansen)
1 Innledning
Personvernnemnda har ved oversendelse fra Datatilsynet mottatt klage på tilsynets vedtak av 14.11.2008 pkt 3, hvor Datatilsynet vedtok at Altinn sentralforvaltning må avslutte logging av fødselsnummer og tilhørende IP-adresse.
2 Saksgang
Datatilsynet fattet vedtak overfor Altinn sentralforvaltning (heretter ”Altinn”) 14.11.2008 etter en stedlig kontroll foretatt 14.- 15.8 samme år. Vedtaket inneholdt flere punkter og Altinn påklaget tre av punktene i brev av 16.1.2009. Datatilsynet besluttet omgjøring for to av de tre punktene i brev av 25.3.2009. Det siste punktet, punkt 3 i Datatilsynets vedtak, ble ikke omgjort og er gjenstand for klage til Personvernnemnda. I punkt 3 har Datatilsynet vedtatt at Altinn må avslutte logging av fødselsnummer og tilhørende IP-adresse. Frist for gjennomføring av vedtaket er 31.12.2009.
Personvernnemnda mottok saken, som ble oversendt fra Datatilsynet 17.8.2009. Klager ble orientert om dette i brev fra nemnda datert 26.8.2009, med frist til uttalelse innen 14.9.2009. I brev av 9.9.2009 kom Altinn med kommentarer til Datatilsynets oversendelsesbrev. Datatilsynet sendte et ytterligere brev til Personvernnemnda datert 12.1.2010 med presisering av kvaliteten i IP-adresser. Brevet ble sendt i kopi til klager. Personvernnemnda har ikke gitt klager en ny frist til å komme med kommentarer til Datatilsynets brev, idet Personvernnemnda anser at informasjonen i brevet allerede er premisser i vedtaket.
3 Faktum
Altinn er en internettportal hvor man kan fylle ut og sende inn skjema som skal til det offentlige, for eksempel selvangivelse, merverdiavgiftoppgaver, statistikkoppgaver etc. Det er også mulig å sende informasjon direkte til Altinn fra en rekke bedriftssystemer, for eksempel regnskaps- og lønnsprogram. Systemet ligger administrativt under Brønnøysundregistrene. Rettigheter i Altinn tildeles på grunnlag av registrerte roller i Enhetsregisteret. Personer med en registrert rolle i en virksomhet (for eksempel styreleder eller daglig leder) vil automatisk få forhåndstildelte rettigheter til å fylle ut og sende inn skjema på vegne av virksomheten.
Innlogging i Altinn følger prosedyrer som skal hindre uautorisert bruk av andres identitet. Man bruker et passord man bestemmer selv. For å dekke kravene til sikkerhet vil man ved bruk av et slikt passord også motta en engangskode på tekstmelding til mobiltelefon (SMS-engangskode) hver gang man logger inn. For å få tilgang til Altinn må man ha fødselsnummer og engangskode (PINkode) tilgjengelig. Koden finner man på selvangivelsen for lønnstakere og pensjonister, på skattekortet eller man kan få den tilsendt fra Altinn. Et annet alternativ er å bruke et Smartkort fra Buypass for å logge inn i Altinn.
Altinn logger fødselsnummer og tilhørende IP-adresse. Loggen fungerer som en såkalt ”ikke-benekt”, for å autentisere og autorisere en bruker av systemet.
4 Klagers anførsler
Altinn argumenterer prinsipalt med at personopplysningsforskriften §§ 2-14 og 2-16 må hjemle logging av IP-adresser, dersom det skal være noe mening med å registrere bruk av Altinn og hendelser med betydning for informasjonssikkerheten. For at slik loggføring skal ha noen verdi, må man logge IP-adressen som ble benyttet og knytte denne til en entydig identifikator, nemlig fødselsnummeret.
Subsidiært mener Altinn at logging av IP-adresse og fødselsnummer må kunne hjemles i personopplysningsloven § 8 bokstav f. Det er i den registrerte bruker av Altinn sin interesse at det logges IP-adresse. Ved urettmessig bruk av en brukers identitet til å utføre handlinger på Altinn, vil loggen kunne støtte opp under brukerens påstander, samt bidra til å straffeforfølge forbryteren. Dette er i henhold til personvernlovgivningens formål og egnet til å beskytte brukernes interesser. Dermed ivaretar Altinn en berettiget interesse og den registrertes personverninteresse overstiger ikke behovet for en logging som forebygger identitetstyveri.
Altinn mener at behandlingen av personopplysninger til dette formål er saklig begrunnet i virksomheten, som i dette tilfellet er å ivareta informasjonssikkerheten ved borgernes bruk av Altinn. Det finnes ingen andre entydige identifikatorer som kan benyttes til formålet, jf personopplysningsloven § 12. Informasjonen lagres i seks måneder, som er minimum oppbevaringstid for telekomleverandører.
Høyesterett har avgjort at politiet kan innhente navn og kontaktinformasjon på abonnent hos en teleoperatør dersom de fremlegger en IP-adresse og et nøyaktig tidspunkt. Dersom Altinn må avslutte sin logging, vil politiet miste sin kilde til å få opplyst IP-adresse i forbindelse med en politianmeldelse av identitetstyveri og uautorisert bruk av Altinn.
Det er også mulig å logge bare IP-adressen i en logg, dersom Altinn senere kan ha anledning til å sammenstille denne loggen med påloggingsinformasjon/fødselsnummer. Slik sammenstilling kan være aktuelt ved ID-tyveri og politietterforskning.
Altinn kan eventuelt erstatte fødselsnummer med et løpenummer eller annen identifikator. Da må det beholdes en mulig kobling mellom løpenummer og fødselsnummer for å muliggjøre autentisering og autorisasjon.
For det tilfelle at Altinn ikke skulle få medhold i klagen, ønsker Altinn at Personvernnemnda kommer med en prinsipiell uttalelse om hvordan man på best mulig måte kan ivareta brukernes interesse og sikkerhet i forhold til tyveri av ID.
5 Datatilsynets vurdering
Datatilsynet mener at Altinn ikke har grunnlag for loggingen i personopplysningsforskriftens §§ 2-14 og 2-16. Forskriften pålegger tiltak for å hindre uautorisert tilgang, men ikke slik som Altinn legger opp til, nemlig å logge all trafikk for å kunne etterspore en eventuell uautorisert tilgang til systemet. Personopplysningsforskriftens §§ 2-14 og 2-16 sikter normalt til aktivitetslogger i eget informasjonssystem, hvor brukere er autorisert av behandlingsansvarlig for å gjennomføre behandling av personopplysninger på vedkommendes vegne. De nevnte bestemmelsene kan derfor ikke brukes til et utvidet loggregime overfor publikum.
En slik logg kan heller ikke brukes som sikkerhetslogg fordi fødselsnummer normalt ikke vil avklare om det har skjedd autorisert eller uautorisert adgang til et informasjonssystem, jf personopplysningsforskriftens § 2-14. En sikkerhetslogg inneholder normalt ikke fødselsnummer eller et løpenummer som kan knyttes til et fødselsnummer. Kobling mellom IP-adresse og fødselsnummer kan ikke bekrefte eller avkrefte hvem som har benyttet tjenesten da det ikke finnes en konkret tilgjengelig oversikt over hvem som til enhver tid har en spesifikk IP-adresse. Det må eventuelt hentes ut etter rettsavgjørelse i straffesak eller ved annet gyldig lovgrunnlag hos den aktuelle leverandør av internettilgang.
Datatilsynet mener at loggen er ment å skulle kompensere for svake autentiseringsløsninger. Datatilsynet mener at slik logging ikke kan benyttes som ”bevis” overfor skatteyter.
6 Personvernnemndas merknader
I denne saken skal nemnda ta stilling til hvorvidt Altinn kan behandle (logge) IP-adresse og fødselsnummer som et sikkerhetstiltak i informasjonssystemet. Klager påberoper seg hjemmel for behandlingen prinsipalt i personopplysningsforskriftens §§ 2-14 og 2-16. Datatilsynet har bestridt denne hjemmelen. Klager anfører derfor subsidiært personopplysningsloven § 8 bokstav f som behandlingsgrunnlag.
Personopplysningsforskriften § 2-8 pålegger behandlingsansvarlig å registrere (logge) autorisert bruk av informasjonssystemet. Det samme gjelder forsøk på uautorisert bruk, jf personopplysningsforskriften § 2-14. Loggene skal lagres i minst tre måneder, jf personopplysningsforskriften § 2-16. Sletting skal skje når opplysningene ikke lenger er nødvendige for å gjennomføre formålet med behandlingen, jf personopplysningsloven § 28.
Datatilsynet mener at Altinn logger mer informasjon enn nødvendig for å oppfylle kravene i personopplysningsforskriften når Altinn logger den påloggedes IP-adresse og det oppgitte fødselsnummer. Dersom behandling av denne typen informasjon ikke har hjemmel i personopplysningsforskriften §§ 2-8, 2-14 og 2-16, kreves det et behandlingsgrunnlag i personopplysningsloven § 8.
Personvernnemnda skal først vurdere om Altinns behandling av IP-adresser er i samsvar med personopplysningsforskriften § 2-14, 2. ledd. Det følger av personopplysnings-forskriftens § 2-14 at virksomheten skal ha sikkerhetstiltak for å hindre uautorisert bruk av informasjonssystemet og gjøre det mulig å oppdage forsøk på slik bruk. Av annet ledd følger at forsøk på uautorisert bruk av informasjonssystemet skal registreres. En slik hendelseslogg vil typisk registrere alle transaksjoner i et system, det vil si påkobling, forsøk på innlogging, forsøk på uautorisert bruk etc ordnet kronologisk med hendelse, IP-adresse og tidspunkt.
Klager anfører at IP-adresse lagres sammen med abonnentens fødselsnummer og tidspunkt fordi det vil være bevis og dermed være et sikkerhetstiltak som gjør det mulig å oppklare forsøk på uautorisert bruk.
Nemnda skal bemerke at en IP-adresse er kun en adresse til en bestemt maskin. Man vil ikke nødvendigvis vite hvilken person som satt ved denne maskinen på det tidspunktet. At den påloggede oppgir et personnummer er heller ikke bevis for at vedkommende er den han/hun utgir seg for. IP-adressen kan likevel være en nyttig opplysning for å oppklare hva som faktisk har skjedd i Altinns system og som kan ha fått konsekvenser for den som innehar det oppgitte personnummeret.
Personopplysningsforskriften synes å være ment for å regulere sikkerhetstiltak innenfor en virksomhet, det vil si internt hos behandlingsansvarlig. Det følger av forskriftens § 2-1 at reglene i kapittelet gjelder for behandling av personopplysninger som helt eller delvis skjer ved elektroniske hjelpemidler der det for å hindre fare for tap av liv og helse, økonomisk tap eller tap av anseelse og personlig integritet er nødvendig å sikre konfidensialitet, tilgjengelighet og integritet for opplysningene. Formålet med forskriftens § 2-14 er at man skal logge for å hindre og for å oppdage, men ikke nødvendigvis oppklare, uautorisert bruk. Etter nemndas skjønn er det ikke støtte i ordlyden for å foreta slik behandling av IP-adresser som Altinn gjør, ved registrering av den påloggedes IP-adresse sammen med det oppgitte fødselsnummer. En slik logging (registrering) går ut over det forskriftens § 2-14 gir grunnlag for og krever derfor et behandlingsgrunnlag.
Personvernnemnda skal derfor gå over til å vurdere hvorvidt det foreligger et annet behandlingsgrunnlag for behandlingen. En IP-adresse er en personopplysning, men den er ikke sensitiv, jf personopplysningsloven § 2 nr 8. Det rettslige grunnlaget vil derfor eventuelt være personopplysningsloven § 8, jf § 11. Klager har påberopt seg personopplysningsloven § 8 bokstav f, som gir behandlingsgrunnlag dersom den behandlingsansvarlige skal ivareta en berettiget interesse og hensynet til den registrertes personvern ikke overstiger denne interessen.
Altinn anfører at de har et behov for å logge denne informasjonen for sikkerhetsformål, særlig for å ivareta brukernes interesse og sikkerhet i forhold til ID-tyveri. Altinn skal kun sikre spor slik at man har bevis for at noe har skjedd – det vil si etterprøving av informasjonssikkerhet i systemet. Nemnda har forståelse for dette behovet sett i lys av det store omfanget av offentlige tjenester og funksjoner som er tilgjengelige via Altinn, til tross for at IP-adressen ikke vil utgjøre en entydig identifikator i en eventuell sak. Slik nemnda vurderer det, er Altinns formål med behandlingen et begrenset formål og det er i brukerens interesse. Nemnda legger videre betydelig vekt på at Altinn er et system hvor man logger seg inn med fødselsnummer og at Altinns behandling av IP-adresser skal kun gjøres som en form for verifisering av opplysninger som er oppgitt av bruker selv. Det vil si at det i systemet foreligger en full identifikasjon av den antatte brukeren. Nemnda mener at denne typen behandling av IP-adresser ikke øker personverntrusselen i noen vesentlig grad i denne saken. Nemnda legger vekt på at andre enn politiet må ha en rettslig kjennelse for å få vite hvilken abonnent som skjuler seg bak IP-adressen, jf ekomloven § 2-9, 3. og 4. ledd. Altinns logg, som kobler IP-adresser med et påstått personnummer vil dermed kun komme til nytte dersom noen blir oppmerksom på og rapporterer en feil i personnummerkoblede opplysninger registrert i Altinn, slik at det settes i gang en etterforskning av når og hvorfra disse ble registrert. Etter en samlet vurdering er derfor nemnda kommet til at personvernulempen ved denne behandlingen må anses som beskjeden.
Etter Personvernnemndas syn er Altinns behandling av IP-adresser hjemlet i personopplysningsloven § 8 bokstav f.
7 Vedtak
Klagen tas til følge.
Oslo, 2. februar 2010
Eva I. E. Jarbekk
Leder