Personopplysninger til Google Skjemaer - avtaler og vurderinger?

Innsynshenvendelsen var delvis vellykket.

Kjære Stortingets kontrollutvalg for etterretnings-, overvåknings- og sikkerhetstjeneste,

I følge [1] som lenker via [2] til [3], så har EOS-utvalget tatt i bruk Google Docs / Google Skjemaer til mottak av personopplysninger.

Skjemaet gjelder påmelding til seminaret «EOS-utvalgets årskonferanse for 2017», der en skal fylle inn blant navn, epostadresse, tittel, virksomhet, om en ønsker lunsj og eventuelle matallergier. Dette innebærer at personopplysninger sendes til maskiner kontrollert av selskapet Google i USA.

Slik deling av personopplysninger med tredjeparter krever i følge personopplysningsloven en databehandleravtale. Det kreves videre i følge personopplysningsforskriften at det gjøres en risikoanalyse.

Kan dere sende en kopi av databehandleravtale EOS-utvalget har med Google for behandling av personopplysninger i denne forbindelse? Er det gjort en risikoanalyse og sikkerhetsrevisjon for denne behandlingen? I så tilfelle vil jeg gjerne også ha en kopi av disse.

Har EOS-utvalget vurdert hvordan det påvirker troverdigheten og omdømmet til utvalget at en velger å samle inn personopplysninger om seminardeltagere hos utlandet hos aktører som Snowden-bekreftelsene dokumenterte samarbeider med USAs etterretning (Google), og som innebærer at trafikken sendes via land der det er dokumentert at lenkene avlyttes av utenlands etterretning (i dette tilfellet FRA i Sverige i følge GeoTraceroute[4])?

[1] <URL: https://eos-utvalget.no/norsk/eos_utvalg... >
[2] <URL: https://goo.gl/forms/UOO5ssMMqmIVfE8l1>
[3] <URL: https://docs.google.com/forms/d/e/1FAIpQ... >
[4] <URL: https://geotraceroute.com/?node=1042&... >

Med vennlig hilsen,

P. Reinholdtsen

Henrik Magnusson, Stortingets kontrollutvalg for etterretnings-, overvåknings- og sikkerhetstjeneste

P. Reinholdsen,

Takk for din henvendelse.

Det følger av EOS-kontrolloven § 1 tredje ledd at offentleglova ikke gjelder for EOS-utvalgets virksomhet. Etter samme lov § 9 første ledd har utvalget en generell taushetsplikt. Disse forholdene forhindrer imidlertid ikke et svar på din henvendelse.

EOS-utvalget har ikke inngått noen databehandleravtale med Google for behandling av personopplysninger. Det er heller ikke gjort noen risikoanalyse og sikkerhetsrevisjon for denne behandlingen. På bakgrunn av din henvendelse og enkelte undersøkelser i dag, har utvalget i kveld besluttet å ikke benytte Google Skjemaer ved påmelding til senere arrangementer. Utvalget vil sørge for at løsninger som velges senere er i samsvar med personopplysningsloven og personopplysningsforskriften.

Troverdigheten og omdømmet til utvalget avgjøres nok ikke først og fremst av valg av påmeldingsløsning til en konferanse. Når det der sagt, vil utvalget alltid at dets virksomhet holder seg innenfor regelverket. Dette er grunnen til at vi som nevnt allerede har besluttet å finne en løsning som samsvarer med personopplysningslovens krav.

Konferansen er gratis, og det er fortsatt noen ledige plasser. Vi tar gjerne imot påmeldinger på andre måter, f.eks. per telefon eller e-post.

Med vennlig hilsen
 
Henrik Magnusson
Sekretariatsleder
 

Tlf.   +47 23 31 09 30
Dir.  +47 23 31 09 31
Mob. +47 99 39 21 89
 
Postadresse: Postboks 84 Sentrum, 0101 OSLO
Besøksadresse: Akersgata 8, 0026 Oslo
 
www.eos-utvalget.no

-----Opprinnelig melding-----
Fra: P. Reinholdtsen [mailto:[Innsyns-e-postadresse #330]]
Sendt: 16. mars 2017 08:01
Til: POST <[epostadresse]>
Emne: innsyn etter Offentleglova - Personopplysninger til Google Skjemaer - avtaler og vurderinger?

Kjære Stortingets kontrollutvalg for etterretnings-, overvåknings- og sikkerhetstjeneste,

I følge [1] som lenker via [2] til [3], så har EOS-utvalget tatt i bruk Google Docs / Google Skjemaer til mottak av personopplysninger.

Skjemaet gjelder påmelding til seminaret «EOS-utvalgets årskonferanse for 2017», der en skal fylle inn blant navn, epostadresse, tittel, virksomhet, om en ønsker lunsj og eventuelle matallergier. Dette innebærer at personopplysninger sendes til maskiner kontrollert av selskapet Google i USA.

Slik deling av personopplysninger med tredjeparter krever i følge personopplysningsloven en databehandleravtale. Det kreves videre i følge personopplysningsforskriften at det gjøres en risikoanalyse.

Kan dere sende en kopi av databehandleravtale EOS-utvalget har med Google for behandling av personopplysninger i denne forbindelse? Er det gjort en risikoanalyse og sikkerhetsrevisjon for denne behandlingen? I så tilfelle vil jeg gjerne også ha en kopi av disse.

Har EOS-utvalget vurdert hvordan det påvirker troverdigheten og omdømmet til utvalget at en velger å samle inn personopplysninger om seminardeltagere hos utlandet hos aktører som Snowden-bekreftelsene dokumenterte samarbeider med USAs etterretning (Google), og som innebærer at trafikken sendes via land der det er dokumentert at lenkene avlyttes av utenlands etterretning (i dette tilfellet FRA i Sverige i følge GeoTraceroute[4])?

[1] <URL: https://eos-utvalget.no/norsk/eos_utvalg... > [2] <URL: https://goo.gl/forms/UOO5ssMMqmIVfE8l1>
[3] <URL: https://docs.google.com/forms/d/e/1FAIpQ... > [4] <URL: https://geotraceroute.com/?node=1042&... >

Med vennlig hilsen,

P. Reinholdtsen

-------------------------------------------------------------------

Vennligst bruk denne e-post adressen for alle svar:
[Innsyns-e-postadresse #330]

Er [EOS-utvalget henvendelses-e-postadresse] feil adresse for henvendelser om innsyn etter Offentleglova til Stortingets kontrollutvalg for etterretnings-, overvåknings- og sikkerhetstjeneste? I så fall, vær så snill å ta kontakt med oss ved å bruke dette skjemaet:
https://www.mimesbronn.no/change_request...

Merk: Innholdet i denne innsynsforespørselen og alle dine svar vil bli offentliggjort på Internett. Du finner våre regler for personvern og åndsverk her:
https://www.mimesbronn.no/help/officers

Om du, som saksbehandler, syntes denne tjenesten er nyttig, be gjerne nettredaktøren hos dere lenke til oss fra din organisasjons innsyn-side.

-------------------------------------------------------------------

________________________
This email was scanned by Bitdefender

Kjære Henrik Magnusson,

Tusen takk for raskt, nyttig og interessant svar med klar tale!

Vurderer dere utleveringen av personopplysningene til utlandet som så alvorlig at dere planlegger å sende en avviksmelding til Datatilsynet om saken? Det kan jo argumenteres med at informasjon om allergier er helseopplysninger, og helseopplysninger er sensitive personopplysninger i følge personopplysningsloven. Hvis dette utgjør uautorisert utlevering personopplysninger hvor konfidensialitet er nødvendig, så skal Datatilsynet varsles i følge personopplysningsforskriften § 2-6.

Med vennlig hilsen,

P. Reinholdtsen

Henrik Magnusson, Stortingets kontrollutvalg for etterretnings-, overvåknings- og sikkerhetstjeneste

Hei igjen,

Etter å ha studert regelverket nærmere og tatt kontakt med Datatilsynet, har utvalget i dag besluttet å gjøre følgende tiltak:

1. Fjerne påmeldingsløsningen. Det er utført. Ev. påmeldinger fra nå gjøres per e-post (vi har vår egen e-postserver) eller telefon.
2. Gjennomføre en intern avviksbehandling.
3. Varsle Datatilsynet om avviket gjennom en avviksmelding.

Informasjonssikkerhet og behandling av sensitive personopplysninger er noe utvalget har et meget bevisst forhold til i sin kontrollvirksomhet, og god kompetanse på. Men i dette tilfellet, der vi har samlet inn personopplysninger ifm. et utadrettet tiltak (konferansen), har vi utvilsomt gjort en for dårlig jobb. Dette tar vi lærdom av. Takk for at du gjorde oss oppmerksom på situasjonen. Det vil ikke gjenta seg.

Med vennlig hilsen
 
Henrik Magnusson
Sekretariatsleder
 
Tlf.   +47 23 31 09 30
Dir.  +47 23 31 09 31
Mob. +47 99 39 21 89
 
Postadresse: Postboks 84 Sentrum, 0101 OSLO
Besøksadresse: Akersgata 8, 0026 Oslo
 
www.eos-utvalget.no

-----Opprinnelig melding-----
Fra: P. Reinholdtsen [mailto:[Innsyns-e-postadresse #330]]
Sendt: 16. mars 2017 21:24
Til: Henrik Magnusson <[epostadresse]>
Emne: Re: SV: innsyn etter Offentleglova - Personopplysninger til Google Skjemaer - avtaler og vurderinger?

Kjære Henrik Magnusson,

Tusen takk for raskt, nyttig og interessant svar med klar tale!

Vurderer dere utleveringen av personopplysningene til utlandet som så alvorlig at dere planlegger å sende en avviksmelding til Datatilsynet om saken? Det kan jo argumenteres med at informasjon om allergier er helseopplysninger, og helseopplysninger er sensitive personopplysninger i følge personopplysningsloven. Hvis dette utgjør uautorisert utlevering personopplysninger hvor konfidensialitet er nødvendig, så skal Datatilsynet varsles i følge personopplysningsforskriften § 2-6.

Med vennlig hilsen,

P. Reinholdtsen

vis sitert seksjon

Kjære Henrik Magnusson,

Tusen takk for svaret, det er betryggende å vite at dere går grundig frem. Jeg er imponert over hvor raskt og godt dere har håndtert mine spørsmål, og håper deres svar kan være en inspirasjon for andre!

Med vennlig hilsen,

P. Reinholdtsen

P. Reinholdtsen la igjen en merknad ()

Saken fikk litt pressedekning på nettavisen digi.no, se https://www.digi.no/artikler/eos-utvalge...