Biblioteker og behandling af personoplysninger. Udarbejdet af Brit Borum Madsen. Vejledninger fra Biblioteksstyrelsen 16

Transkript

1 Biblioteker og behandling af personoplysninger Udarbejdet af Brit Borum Madsen Vejledninger fra Biblioteksstyrelsen 16 Juridisk specialkonsulent: Henriette Fenger Grønfeldt Redaktion: Vibeke Cranfield og Mette Udesen Udgivet i 2005 af Biblioteksstyrelsen Nyhavn 31 E 1051 København K Telefon: E-post: bs@bs.dk Hjemmeside: Omslag: Stæhr Reklame og Marketing Elektronisk ISBN: Publikationen foreligger kun elektronisk

2 FORORD... 4 INDLEDNING... 5 PERSONDATALOVENS GYLDIGHEDSOMRÅDE... 7 PERSONOPLYSNINGERNES KARAKTER... 8 REGISTRERING AF BRUGEROPLYSNINGER... 9 Hvornår er behandling af oplysninger tilladt?...9 Regler for god databehandlingsskik...9 Udtrykkeligt angivne og saglige formål...9 Oplysningernes omfang...9 Lovhjemmel for biblioteksvirksomhed...10 Registrering af brugernes benyttelse af bibliotekets pc'er...10 I kontroløjemed...10 Til videnskabelig brug...11 Periodisk opbevaring af personoplysninger ugersreglen...12 Udlån efter særlige serviceordninger...12 Inaktive lånere...13 Internetadfærd...13 VIDEREGIVELSE AF LÅNEROPLYSNINGER Ved udbud af webtjenester...14 Ved brugerorienterede Internetydelser...14 Samtykke fra registrerede brugere...15 Sikkerhedsanvisninger i forbindelse med brugerorienterede Internetydelser...15 Bibliotekernes udlånssystem Tjenestens brugergrænseflade Opsummering SIKKERHED Generelle sikkerhedskrav i henhold til persondataloven...19 Generelle sikkerhedskrav i forhold til eksterne IT-systemer og Internettrafik...19 Beskyttelse af datas fortrolighed...21 Beskyttelse af datas autenticitet og integritet...22 IT-løsninger i forhold til Internetbaserede kommunikationsformer...23 Web-opslag med brugeradgang til bestillinger og lånerstatus...23 Krypteret Ikke-krypteret

3 Oversigt over regler for elektronisk dataudveksling mellem bruger og bibliotek...24 Generelle sikkerhedskrav i forhold til trådløse netværk...25 OFFENTLIGE MYNDIGHEDERS ANMELDELSESPLIGT Ved anmeldelse af registre til Datatilsynet...28 OPLYSNINGSPLIGT OVER FOR REGISTREREDE HENVISNINGSOVERSIGT LOVTEKSTER, BEKENDTGØRELSER OG VEJLEDNINGER Bilag 1: Uddrag af persondataloven...31 Bilag 2: Sikkerhedsbekendtgørelse nr. 528 af 15. juni Bilag 3: Uddrag af bekendtgørelse om undtagelse fra anmeldelsespligten, nr. 529 af 15. juni LITTERATUR

4 Forord Den teknologiske udvikling øger ikke alene bibliotekernes mulighed for at tilbyde nye og spændende serviceydelser. Den stiller også krav til en løbende sikring af at bibliotekerne behandler personoplysninger i overensstemmelse med persondataloven. På baggrund af en stigende række af henvendelser er det imidlertid Biblioteksstyrelsens erfaring at persondataloven giver anledning til en række tvivlsspørgsmål, ikke alene i forhold til bibliotekernes mulighed for behandling af personoplysninger, men også i forhold til gældende sikkerhedskrav som bibliotekerne er forpligtet til at overholde. Med denne vejledning ønsker Biblioteksstyrelsen at afklare og samle en række juridiske spørgsmål for at skabe større forståelse af bibliotekernes muligheder og ansvar. Samtidig er det Biblioteksstyrelsens ønske at vejledningen skal bidrage til øget refleksion over såvel nye som eksisterende forhold i forbindelse med den daglige omgang med personoplysninger og sikkerheden hermed. Formålet er at yde bibliotekerne juridisk vejledning for at sikre at behandlingen af personoplysninger på landets biblioteker sker i overensstemmelse med Lov om behandling af personoplysninger. Vejledningen henvender sig primært til landets folkebiblioteker, sekundært til forskningsbiblioteker og systemleverandører. 4

5 Indledning Med vedtagelsen af Lov om behandling af personoplysninger, lov nr. 429 af 31. maj. 2000, som trådte i kraft den 1. juli 2000, er vilkårene for behandling af brugeroplysninger på en række områder ændret. I forhold til almindelig biblioteksvirksomhed er der en række juridiske aspekter som på forskellig vis forpligter bibliotekerne. Formålet med denne vejledning er at yde bibliotekerne rådgivning i Lov om behandling af personoplysninger, i daglig tale kaldet persondataloven, således at loven overholdes og brugernes rettigheder beskyttes. Persondataloven erstattede på baggrund af et EU-direktiv fra to tidligere lovgivninger på området, henholdsvis Lov om offentlige myndigheders registre og Lov om private registre. Med indførelsen af persondataloven omfattes såvel offentlige myndigheder som private af én lov, og loven går dermed på tværs af to sektorer der traditionelt har været adskilt i dansk lovgivning. EU-direktivet udsprang af den kraftige udvikling inden for informationsteknologien, der i stadig større grad udbyggede forskellige metoder til og dermed muligheder for behandling, lagring og udveksling af oplysninger på tværs af medlemsstaterne. Internt i EU opstod der parallelt med fremskridtene på det teknisk-videnskabelige område behov for harmonisering af de enkelte medlemslandes lovgivninger på området for behandling og videregivelse af personoplysninger. I Danmark kom persondataloven således på baggrund af et generelt krav om en samordning af medlemslandenes lovgivning. Formålet med EU-direktivet og følgelig med persondataloven er: Sikring af privatlivets fred Fjernelse af hindringer for udveksling af oplysninger i EU. På baggrund af EU-direktivets formål er persondatalovens sigte at implementere en ny generel databeskyttelsesretlig regulering. Reguleringen har til hensigt at beskytte dels det enkelte individs grundlæggende rettigheder og frihedsrettigheder, 2 dels den frie udveksling af personoplysninger medlemsstaterne imellem. Et af hovedsigterne med persondataloven er således en styrkelse af det enkelte individs retsstilling ved behandling af oplysninger, og gennem større åbenhed og retsbeskyttelse at sikre at individets rettigheder ikke krænkes. Denne vejledning er udelukkende af vejledende karakter og er på ingen måde udtømmende i forhold til persondatalovens gyldighedsområde med hensyn til forhold der kan vise sig relevante for administrationen af almindelig biblioteksvirksomhed. Enhver specifik problematik og nyudvikling inden for eksempelvis systemudvikling, arbejdsgange og brugerservice bør derfor underlægges konkret vurdering inden nye tiltag iværksættes. 1 Europaparlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (se Datatilsynets hjemmeside: 2 Disse rettigheder er anført i den europæiske konventions artikel 8. 5

6 Persondataloven hører under Datatilsynets myndighedsområde, og som persondatalovens fagkyndige organ er det Datatilsynet der fører tilsyn med at persondataloven overholdes. Denne vejledning er udarbejdet af Biblioteksstyrelsen, men drøftet med Datatilsynet som i processen har bistået Biblioteksstyrelsen med råd og vejledning. Det skal imidlertid understreges at vejledningen alene er Biblioteksstyrelsens ansvar og udtryk for styrelsens fortolkninger og anbefalinger. Vejledningen vil på ingen mulig måde influere på gældende lovpraksis, ligesom Datatilsynet ikke kan tages til indtægt for dens indhold. Reglerne for hvornår og under hvilke betingelser en offentlig myndighed, herunder folkebibliotekerne, må behandle personoplysninger, er i et vist omfang åbne for fortolkning. Det anbefales derfor at det enkelte bibliotek ved tvivlsspørgsmål retter henvendelse enten til Biblioteksstyrelsen eller direkte til Datatilsynet som det fagkyndige organ for persondataloven. Hvor ikke andet er påført, henviser anførte kapitler og paragraffer til Lov om behandling af personoplysninger, lov nr. 429 af 31. maj 2000, i det følgende kaldet persondataloven. For læsning af den fulde lovtekst og tilhørende vejledninger, bekendtgørelser og afgørelser henvises der til Datatilsynets hjemmeside Biblioteksstyrelsen kan endvidere henvise til Datatilsynets egen mere generelle pjece Persondataloven der ligger på Datatilsynets hjemmeside Bagerst i vejledningen findes en samlet oversigt over de anvendte uddrag af juridisk materiale i form af lovtekster, bekendtgørelser og vejledninger i øvrigt. 6

7 Persondatalovens gyldighedsområde I henhold til persondatalovens 1 finder loven anvendelse for behandling af personoplysninger, som helt eller delvis foretages ved hjælp af elektronisk behandling, og for ikke-elektronisk behandling af personoplysninger, der er eller vil blive indeholdt i et register. 3 I lovens 2, stk. 2, defineres begrebet behandling som enhver operation eller række af operationer med eller uden brug af elektronisk databehandling, som oplysninger gøres til genstand for. Ved behandling forstås således enhver form for håndtering af oplysninger, herunder indsamling, registrering, systematisering, opbevaring, logning, tilpasning eller ændring, selektion, søgning, brug, videregivelse ved transmission, formidling, sammenstilling eller samkøring samt blokering, sletning eller tilintetgørelse etc. Udtrykket behandling dækker således over enhver håndtering af oplysninger. 4 Desuden defineres personoplysninger i lovens 3, stk. 1, som enhver form for information om en identificeret eller identificerbar fysisk person (den registrerede). Af forarbejderne til 3, nr. 1, fremgår det at begrebet personoplysninger omfatter oplysninger der kan henføres til en fysisk person selvom dette forudsætter kendskab til personnummer, registreringsnummer eller lignende særlig identifikation som f.eks. løbenummer. Det er uden betydning hvorvidt identifikationsoplysningen er alment kendt eller umiddelbart tilgængelig. Også de tilfælde hvor det kun for den indviede vil være muligt at forstå hvem en oplysning vedrører, er omfattet af definitionen. Det er med andre ord tilstrækkeligt at der i forbindelse med behandlingen er etableret en ordning med et løbenummer eller lignende, f.eks. medlemsnummer eller journalnummer. Er f.eks. navn eller adresse erstattet af en kode der kan føres tilbage til den oprindelige individuelle personoplysning, vil der stadigvæk være tale om en personoplysning. Ved afgørelsen af om en person er identificerbar, skal alle hjælpemidler der med rimelighed kan tænkes anvendt for at identificere den pågældende enten af den dataansvarlige eller af anden person, tages i betragtning. Kun oplysninger der er gjort anonyme på en sådan måde at det ikke længere er muligt at identificere den registrerede, falder uden for lovens anvendelsesområde. Dette indebærer at krypterede oplysninger også omfattes af begrebet personoplysninger. Loven gælder således ved behandling af personoplysninger udført via elektronisk databehandling og manuelle registre. Det betyder at almindelig tekstbehandling 5 i en pc 3 Ved begrebet register med personoplysninger menes enhver struktureret samling af personoplysninger, der er tilgængelig efter bestemte kriterier, hvad enten denne samling er placeret centralt, decentralt eller er fordelt på et funktionsbestemt eller geografisk grundlag ( 3, stk. 3). 4 Persondataloven udvider dermed anvendelsesområdet for lovgivningen i forhold til de to tidligere registerlove for henholdsvis privat og offentlig virksomhed. Sammenholdt med de to sidstnævnte der udelukkende omfattede regulering af registrering og videregivelse af personoplysninger, omfatter persondataloven enhver form for behandling af personoplysninger. Modsat de tidligere love er persondataloven ikke begrænset til kun at omhandle registre men gælder derimod al behandling af personoplysninger, herunder eksempelvis brugeroplysninger. 5 Såsom udfærdigelse af breve eller systematisering af persondata. 7

8 og/eller fremsendelse af personoplysninger over internettet er indbefattet af persondataloven hvad enten behandlingen er en del af et manuelt register eller et edbsystem. Det er således uden betydning om de behandlede personoplysninger indgår i et egentligt edb-register. Personoplysningernes karakter Karakteren af personoplysninger har blandt andet betydning for hvorvidt en behandling er tilladt, og for hvilke sikkerhedsforanstaltninger der kræves i forhold til beskyttelsen af personoplysningerne. Personoplysningernes karakter er således bestemmende for de retningslinier persondataloven udstikker for databehandling. Persondataloven opererer med tre typer af personoplysninger, henholdsvis almindelige personoplysninger, fortrolige personoplysninger samt følsomme og andre rent private personoplysninger. Skemaet nedenfor giver en kort oversigt over kategoriseringen af de typer af personoplysninger et bibliotek normalt opererer med. I flere tilfælde vil der være tale om en samkøring af flere oplysninger i forbindelse med almindelig biblioteksvirksomhed. Tabel 1. Oversigt over personoplysninger brugt ved almindelig biblioteksvirksomhed Art Type CPR-nummer Fortrolig Navn Almindelig Navn og tidsbestilling Almindelig Betaling til og fra en offentlig myndighed Fortrolig Sammenhæng mellem navn og udlån Fortrolig Lånerpræferencer Fortrolig Udlånsmønstre Fortrolig E-post adresse eller anden personhenførbar oplysning i kombination med Almindelig oplysning om materialebestilling etc. uden specifikation af titel E-post adresse eller anden personhenførbar oplysning i kombination med Fortrolig udlån på titelniveau Erstatningskrav Fortrolig 8

9 Registrering af brugeroplysninger Hvornår er behandling af oplysninger tilladt? Når offentlige myndigheder foretager behandlinger af personoplysninger, skal dette ske i overensstemmelse med en række generelle og grundlæggende krav. Regler for god databehandlingsskik For det første skal behandlingen, i henhold til 5, stk. 1, følge reglerne for god databehandlingsskik. Begrebet god databehandlingsskik betyder mere konkret at den dataansvarlige 6 ikke må søge at omgå reglerne i persondataloven. Med andre ord skal den dataansvarlige følge reglerne i hvad man kalder i ånd såvel som i bogstav. Datatilsynets praksis i afgørelsessager tegner nærmere bestemt indholdet af begrebet god databehandlingsskik. Udtrykkeligt angivne og saglige formål For det andet er det ifølge 5, stk. 2, påkrævet at enhver indsamling af oplysninger skal ske til udtrykkeligt angivne og saglige formål, og senere behandling må ikke være uforenelig med disse formål. Om et formål i en konkret sag er sagligt afhænger i vid udstrækning af hvorvidt behandlingen er nødvendig for løsning af den eller de opgaver der er pålagt myndigheden. Sagligheden er således kontekstuel og må vurderes særskilt i hver enkelt situation. Det følger af loven at det ikke er tilladt at indsamle oplysninger ud fra en forventning om at der i fremtiden måske opstår behov for en sådan registrering. Grundlæggende må registrerede oplysninger ikke anvendes ved en efterkommende lejlighed hvis en sådan behandling vurderes i strid med det oprindelige formål for indsamlingen. En undtagelse herfra er dog hvis en senere behandling af oplysninger udelukkende sker ud fra en historisk, statistisk eller videnskabelig hensigt. Disse bevæggrunde for senere anvendelse af tidligere registreringer anses ikke som uforenelige med de formål hvortil oplysningerne oprindeligt var indsamlet (jf. 5, stk. 2). Oplysningernes omfang Endvidere følger det, i henhold til persondatalovens 5, stk. 3, at de indsamlede oplysninger ikke må være mere vidtgående end nødvendigt for løsningen af den pålagte opgave: Oplysninger, som behandles, skal være relevante og tilstrækkelige og ikke omfatte mere, end hvad der kræves til opfyldelse af de formål, hvortil oplysninger indsamles, og de formål, hvortil oplysninger senere behandles. 6 I 2, stk. 4 defineres den dataansvarlige som en fysisk eller juridisk person, offentlige myndighed, institution eller ethvert andet organ, der alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af oplysninger. 9

10 Lovhjemmel for biblioteksvirksomhed Behandlinger i forhold til almindelig biblioteksvirksomhed finder ofte hjemmel i lovens 6, stk. 1, nr. 6: Behandlingen er nødvendig af hensyn til udførelsen af en opgave, der henhører under offentlig myndighedsudøvelse, som den dataansvarlige eller en tredjemand 7, til hvem oplysningerne videregives har fået pålagt. 8 Hvilke opgaver biblioteket ved lov er blevet pålagt at udføre - dets formål og virksomhed - er indskrevet i Lov om biblioteksvirksomhed. I lovens 1 står det anført at: Folkebibliotekernes formål er at fremme oplysning, uddannelse og kulturel aktivitet ved at stille bøger, tidsskrifter, lydbøger og andre egnede materialer til rådighed såsom musikbærende materialer og elektroniske informationsressourcer, herunder Internet og multimedier. Biblioteksloven identificerer dermed de opgaver som sagligheden ved enhver konkret behandling af personoplysninger foretaget af et folkebibliotek skal måles i forhold til. Registrering af brugernes benyttelse af bibliotekets pc'er I kontroløjemed Oplysninger om brugen af bibliotekers internetforbindelser er omfattet af persondataloven. Hvorvidt der er lovhjemmel til logning af brugeres pc-adfærd er situationsbestemt og må vurderes konkret i det enkelte tilfælde. Som udgangspunkt er det ikke tilladt at logge brug og/eller anvende anden form for brugerregistrering hvis registreringen ikke indgår som en naturlig del af bibliotekets virksomhed. Det betyder med andre ord at det som hovedregel ikke er lovligt for bibliotekerne at: samkøre logfiler og registre over hvem der har benyttet en pc på et givet tidspunkt logge hvilke internetsteder der besøges fra hvilke af bibliotekets Internetforbindelser hvis disse registre kobles med oplysninger om tidsbestilling. Der er imidlertid lovhjemmel til registrering af brugernes tidsbestilling såfremt det er nødvendigt i forhold til et tidsbestillingssystem anvendt af biblioteket til administration af dets internetforbindelser. Derimod er der ifølge Datatilsynet ikke hjemmel i persondataloven for indsamling og registrering af oplysninger om biblioteksbrugeres pc-adfærd, hvis behandlingen alene foretages med henblik på at oplysningerne ved en senere given lejlighed kan rekvireres af politi eller anden offentlig myndighed. Dette skyldes at bibliotekets opgave først og fremmest er tilvejebringelse af materiale, ikke kontrol med brugen heraf, jf. Lov om biblioteksvirksomhed 1. 7 Tredjemand defineres i persondataloven som: Enhver anden fysisk eller juridisk person, offentlig myndighed, institution eller ethvert andet organ end den registrerede, den dataansvarlige, databehandleren og de personer under den dataansvarliges eller databehandlerens direkte myndighed, der er beføjet til at behandle oplysninger. 8 Dette kriterium for hvornår behandling af oplysninger er tilladt, er et af i alt syv opstillede. Bestemmelsen foreskriver at blot ét af de syv kriterier skal være opfyldt for at en behandling har lovhjemmel. For en udtømmende liste over forhold der retfærdiggør behandling af brugeroplysninger, se Lov om personoplysninger, lov nr. 429 af 31. maj 2000, 6, stk. 1 (bilag 2). 10

11 Det bør dog nævnes at der i specifikke situationer vil være mulighed for på politiets forespørgsel at udlevere oplysninger om en konkret persons materialelån hvis dette vurderes nødvendigt for efterforskningen af en alvorlig kriminalsag. 9 I sådanne tilfælde vil politiet kunne indhente en dommerkendelse hvorfor Biblioteksstyrelsen anbefaler at et bibliotek alene udleverer oplysninger efter modtagelse af dommerkendelse. Ved et identificeret misbrug af bibliotekets internetforbindelser, som for eksempel surf på porno, er det Datatilsynets vurdering at bibliotekerne har ret til at registrere trafikken på internettet. Det er bibliotekets ret at bestemme hvad deres pc er kan anvendes til. Eventuelle retningslinier for brugen af bibliotekernes pc er skal imidlertid udtrykkeligt fremgå af biblioteksreglementet. Såfremt et bibliotek vælger at overvåge internettrafikken for at komme et identificeret misbrug til livs, her surf på porno, skal biblioteket opfylde oplysningspligten over for pcbrugerne. Det betyder at biblioteket skal sikre at brugerne forud for anvendelsen af internettet, i tilstrækkelig grad er blevet gjort opmærksomme på at det ikke er tilladt at anvende bibliotekets computere til surf på porno. Det er desuden et udtrykkeligt lovkrav at brugerne på forhånd skal informeres om at trafikken på bibliotekets computere bliver overvåget for at forhindre surf på porno. Det er Biblioteksstyrelsens opfattelse at overvågning, også i forbindelse med et identificeret misbrug af databaser som bibliotekerne giver fjernadgang til, tjener et sagligt formål. I sådanne tilfælde har bibliotekerne derfor formentlig lovhjemmel til at registrere internettrafikken, dog igen forudsat at bibliotekerne opfylder oplysningsforpligtelsen over for de registrerede parter. Det anbefales imidlertid at biblioteket, forud for en sådan overvågning af internettrafikken, kontakter Datatilsynet med en konkret forespørgsel. Til videnskabelig brug Ved undersøgelser af brugen af internettet på folkebibliotekerne i statistisk eller videnskabeligt øjemed stiller loven sig imidlertid anderledes. Datatilsynet har ved en tidligere lejlighed vurderet at der i persondataloven er lovhjemmel til gennemførelse af stikprøveundersøgelser med henblik på kortlægning af biblioteksbrugeres Internetadfærd såfremt sådanne undersøgelser vurderes at være af samfundsmæssig betydning. Af 6, stk. 1, nr. 5, der gælder i forhold til almindelige ikkefølsomme oplysninger, fremgår det at behandling af oplysninger kun må finde sted hvis behandlingen er nødvendig af hensyn til udførelsen af en opgave i samfundets interesse. Der er tillige lovhjemmel for anvendelse af følsomme oplysninger eller andre rent private oplysninger ( 7, stk. 1 og 8) ved gennemførelse af statistiske undersøgelser. Det følger nemlig af 10, stk. 1 at de i 7, stk. 1 og 8 indeholdte personoplysninger må behandles hvis det alene sker med henblik på at udføre statistiske eller videnskabelige undersøgelser af væsentlig samfundsmæssig betydning, og hvis behandlingen er nødvendig for udførelsen af undersøgelserne. 9 I tilfælde hvor politiet indhenter oplysninger om en låner og låners materialelån i forbindelse med forebyggelse, efterforskning, afsløring og retsforfølgning i straffesager, er bibliotekerne som den dataansvarlige myndighed undtaget kravet om oplysningspligt over for den oplysningerne vedrører. 11

12 Periodisk opbevaring af personoplysninger Det følger af persondatalovens 5, stk. 5 at indsamlede oplysninger ikke må opbevares på en måde, der giver mulighed for at identificere den registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil oplysningerne behandles. Af 5 i Bekendtgørelse om undtagelse fra pligten til anmeldelse af visse handlinger, som foretages for den offentlige forvaltning 10 følger det at registrering af ikke fortrolige oplysninger kan opbevares så længe det er nødvendigt, af hensyn til de formål hvortil oplysningerne behandles. Dette gælder tillige fortrolige oplysninger såsom personnummer eller andre identifikationsoplysninger samt oplysninger om betaling til og fra en offentlig myndighed. Det er dog forudsat at oplysningerne ikke er af følsom karakter, omhandler andre rent private forhold, og/eller at myndighedens behandling ikke inkluderer samkøring eller samstilling af oplysninger med henblik på kontrol eller overvågning. 11 Ifølge 5, stk. 1 skal oplysningerne efter endt opgaveudførelse slettes eller overføres til arkiv efter reglerne i arkivlovgivningen, mens det i 5, stk. 2, angives at den dataansvarlige myndighed (her biblioteket) skal fastsætte et tidspunkt for sletning af oplysninger. Den dataansvarlige skal tillige opbevare dokumentation for opbevaringsperiodens udløb. Mindst en gang årligt skal den dataansvarlige kontrollere at der ikke foregår behandling af oplysninger der er irrelevante for varetagelsen af myndighedens opgaver (jf. 5, stk. 3). Bibliotekerne bør tilse at en sådan praksis er implementeret. 4 ugersreglen For et biblioteks register over udlånte bøger skal der generelt være en ganske kort slettefrist, typisk 4 uger beregnet fra henholdsvis returneringstidspunktet, eller sidste interessedatos udløb (jf. 12) der anvendes eksempelvis ved bestilling af materiale via bibliotek.dk eller bibliotekets egen web-database. Denne 4 ugersregel er lavet for at sikre muligheden for at trække statistiske data. Det er Biblioteksstyrelsens vurdering at der ved samkøring af oplysninger om låner og låners udlån generelt ikke er hjemmel til opbevaring udover de anførte 4 uger efter at bestillingen enten er effektueret eller forældet i forhold til den påførte interessedato. Ønsker biblioteket at opbevare oplysninger ud over 4 ugersreglen, skal Datatilsynet forespørges og ved godkendelse skal behandlingen efterfølgende anmeldes til Datatilsynet. Udlån efter særlige serviceordninger Ved udlån efter en særlig serviceordning er der hjemmel til registrering af oplysninger om låneren og udlånet i op til fem år (jævnfør Bekendtgørelse om undtagelse fra pligten til anmeldelse af visse behandlinger, som foretages for den offentlige forvaltning, nr. 529 af juni 2000). Der kræves således ikke særskilt godkendelse til etablering af bogen kommer 10 Bekendtgørelse nr. 529 af 15. juni For en udførlig liste over undtagelsesbestemmelserne for opbevaring af oplysninger i bekendtgørelsens 5 se persondatalovens 45, stk. 1 (bilag 5). 12

13 ordninger. Bemærk dog at brugere af særlige serviceordninger ved underskrift skal godkende at oplysninger om tidligere lån gemmes. Endvidere bemærkes det at ovennævnte undtagelsesparagraf ikke uden videre kan udstrækkes til at gælde andre særlige brugerorienterede serviceydelser end Bogen kommer ordningen. Biblioteket bør kontakte Datatilsynet med en konkret forespørgsel ved udbud af nye særlige serviceordninger såfremt disse ordninger kræver opbevaring af personoplysninger ud over 4 ugersreglen. Inaktive lånere Hvad angår opbevaring af ikke fortrolige oplysninger om inaktive lånere, er en endelig tidsgrænse ikke fastlagt i praksis, men Datatilsynet anbefaler et tidsrum på mellem 2 og max 5 år. Det forudsættes dog at bibliotekets lånerregister udelukkende opbevarer almindelige låneroplysninger, såsom navn, adresse og fødselsdato, mens sammenkædning af låneridentifikation og udlån skal slettes. Det er det enkelte bibliotek som har ansvaret for at der slettes ikke aktuelle oplysninger efter ovenfor omtalte tidsmæssige retningslinier. Efter Biblioteksstyrelsens oplysninger understøtter bibliotekssystemerne på det danske marked en automatisk sletning. Internetadfærd Som udgangspunkt skal registrerede oplysninger om brugernes Internetadfærd slettes så snart oplysningerne ikke længere er nødvendige for bibliotekets opgavevaretagelse. Der kan imidlertid opstå særlige situationer med behov for at registrere oplysninger om brugeres Internetadfærd i et længere tidsrum end foreskrevet af bibliotekets normale driftsopgaver, eksempelvis i forbindelse med hærværk forårsaget på et biblioteks computere. Der foreligger p.t. ingen nærmere specificerede retningsliner for praksis ved sådanne grænsetilfælde, og disse bør derfor underlægges konkret vurdering ud fra omstændighederne. Det anbefales at biblioteket retter henvendelse til Datatilsynet om råd og vejledning i den henseende. 13

14 Videregivelse af låneroplysninger Ved udbud af webtjenester Biblioteker der ønsker at opbygge særlige elektroniske serviceydelser, som eksempelvis ordninger der formidler information om udlånsmønstre og lånerpræferencer, skal sikre sig at de opfylder persondatalovens bestemmelser i forhold til videregivelse af oplysninger. Som altovervejende hovedregel gælder det at det ikke er lovligt på forespørgsel, eller på eget initiativ, at videregive oplysninger om lånere og deres materialelån på biblioteket hverken til private personer, virksomheder, foreninger eller til andre offentlige myndigheder. Som udgangspunkt er det derfor ikke tilladt at videregive oplysninger om uhensigtsmæssige lånere til andre biblioteker. Heller ikke i tilfælde hvor et bibliotek ønsker at advare andre biblioteker om uhæderlige lånere der eksempelvis har påført biblioteket betydelige omkostninger i forbindelse med svind på udlånt materiale. Datatilsynet vurderer dog at der kan være særlige tilfælde der er undtaget fra denne hovedregel. Såfremt et bibliotek vurderer at have en saglig begrundelse for at videregive oplysninger om uhæderlige lånere til andre biblioteker, bør biblioteket forud for videregivelsen kontakte Datatilsynet som vil være behjælpelig med at vurdere den specifikke problemstilling. Udbud af et Amazon-lignende selvbetjeningssystem, såsom brugere som lånte denne bog lånte også, vurderes at være i overensstemmelse med persondataloven ud fra saglighedsprincippet. Dette gælder også selvom en sådan serviceydelse for at tegne en lånerprofil nødvendiggør opbevaring af historiske udlånsdata inklusiv registrering af et unikt låner-id. Selvbetjeningssystemet hjælper til dels at profilere bibliotekets samlinger af bøger, dels at lette brugerens valg af bøger, og systemet er følgelig i tråd med formålsbestemmelserne i Lov om Biblioteksvirksomhed. Det er dog en forudsætning at systemerne indrettes på en sådan måde at persondatalovens sikkerhedskrav opfyldes. Ved brugerorienterede Internetydelser Som nævnt i afsnittet om periodisk opbevaring af personoplysninger, må oplysninger ikke opbevares i et længere tidsrum end formålet betinger. Specifikt i forhold til opbevaring af fortrolige oplysninger om forholdet mellem låner og udlån i bibliotekets udlånssystem gælder at ved udlån efter en særlig serviceordning kan registreringen med lånerens skriftlige samtykke opretholdes i op til 5 år (jf. 12 i Bekendtgørelse nr. 529 af 15. juni 2000). Denne undtagelsesparagraf er skrevet specifikt med henblik på Bogen-kommer ordningen og kan ikke umiddelbart overføres til andre særlige brugerorienterede serviceydelser. Biblioteker der påtænker at indføre nye servicesystemer, bør derfor kontakte Datatilsynet for nærmere vejledning. Der foreligger ingen praksis i forhold til hvor lang tid personoplysningerne må opbevares ved andre særlige serviceordninger end bogen-kommer ordningen. Dette må bero på en konkret vurdering ud fra bibliotekets anmeldelse til Datatilsynet. 14

15 Samtykke fra registrerede brugere Ved behandling af personoplysninger generelt og specifikt i forhold til opbevaring heraf, skal behandlingen være i overensstemmelse med behandlingsreglerne i persondatalovens kapitel 4. Såfremt behandlingen baseres på et samtykke fra den registrerede, skal betingelserne i 3, nr. 8 opfyldes. Det fremgår her at et samtykke er enhver frivillig, specifik og informeret viljestilkendegivelse hvorved den registrerede indvilliger i at oplysninger der vedrører den pågældende selv, gøres til genstand for behandling. I kravet om at samtykket skal være specifikt, ligger at samtykket skal være konkretiseret således at det klart og utvetydigt fremgår hvad der meddeles samtykke til, herunder hvilke oplysninger der må behandles på baggrund af samtykket, af hvem og til hvilke formål. Herudover skal der i forbindelse med samtykket gives tilstrækkelige informationer om samtykkets rækkevidde således at den der afgiver samtykket, er klar over hvad dette indebærer. I praksis kan et samtykke indhentes via en elektronisk formular med afgivelse af digital signatur, eller et reglement som brugerne skal acceptere førend de får adgang til tjenesten. Den registrerede kan ifølge 38 tilbagekalde sit samtykke med den virkning at den behandling af oplysninger som den registrerede har givet samtykke til, normalt ikke må finde sted fremover. Det er vigtigt at holde sig for øje at brugers samtykke giver behandlingshjemmel, men ikke hjemmel til at omgå de i persondataloven anførte sikkerhedskrav. Persondatalovens sikkerhedskrav kan ikke gradbøjes uanset indhentet samtykke. Sikkerhedsanvisninger i forbindelse med brugerorienterede Internetydelser Ved vurdering af hvilke sikkerhedskrav der stilles i persondataloven til brugerorienterede serviceydelser på Internettet, er det nødvendigt at skelne imellem behandling af brugeroplysninger internt i bibliotekets udlånssystem og eksternt i forbindelse med tjenestens brugergrænseflade. Sikkerhedsanvisningerne afhænger således af om der er tale om behandlinger i bibliotekets udlånssystem og tjenestens brugergrænseflade. Bibliotekernes udlånssystem Ved opbevaring af historiske låneroplysninger i bibliotekets udlånssystem i forbindelse med særlige udlånstjenester, skal biblioteket sikre sig at det interne net er tilstrækkeligt beskyttet imod ekstern adgang således at oplysningerne ikke kommer uvedkommende til kendskab. Det vil sige at bibliotekets server, dets udlånssystem og lånerregister skal sikres imod adgang fra eksterne kommunikationsforbindelser via en firewall. Det gælder generelt at systemets sikkerhedsforanstaltninger skal sikres maksimalt ved løbende justering i forhold til den nyeste udvikling på området. 15

16 Af sikkerhedsmæssige grunde anbefales det at de historiske data slettes i udlånssystemet efter forsendelsen til et såkaldt dataminingsystem der opbevarer og behandler de historiske data i anonymiseret form. Dataene om sammenhæng mellem låner og udlån/reserveringer bør slettes snarest eller senest fire uger efter overførslen. Herved sikres det at oplysningerne hverken er tilgængelige for bibliotekspersonale eller systemets brugere. Alternativt kan de historiske data i krypteret form opbevares på en separat server uden forbindelse til bibliotekets lånerregister. Tjenestens brugergrænseflade Ved transmission af registrerede oplysninger fra bibliotekets udlånssystem til tjenestens brugergrænseflade er det ifølge persondataloven en betingelse at oplysningerne anonymiseres på en sådan måde at man ikke kan spore hvilke lånere der har lånt hvilke bøger. Det er således en klar forudsætning at oplysningerne foreligger i anonym form på den offentligt tilgængelige del af selvbetjeningssystemet. Transmission af oplysninger fra bibliotekets udlånssystem (via et dataminingsystem) til det brugerorienterede selvbetjeningssystem kan overordnet ske på to måder, henholdsvis ved kryptering af personoplysninger eller ved eliminering af personoplysninger. Transmission ved kryptering af brugeroplysninger Ved denne metode overføres udlånsdata til dataminingsystemet i transformeret/krypteret form. For at undgå at sammenhængen mellem udlånsdata og låner-id ved en senere given lejlighed tilbageføres til en bestemt låner, bør disse oplysninger efter en fast rutine transformeres til en anden unik værdi. Således opbevares hver profil under et unikt ID. Denne unikke værdi kan eksempelvis beregnes ud fra lånerkortnummeret. Det er denne transformerede udgave af låner-id og udlån der transmitteres i krypteret form til dataminingsystemet via en anerkendt algoritme. I Dataminingsystemet bør de historiske udlånsdata således foreligge i en form hvor låner X altid opererer med samme låner-id, men hvor der er taget maksimale forholdsregler imod at identiteten af låner X kan identificeres. Det er vigtigt at bemærke at de transformerede historiske data stadig er personoplysninger da der er mulighed for en tilbagekryptering og dermed for en identifikation af låner. Behandlingen af de transformerede historiske udlånsdata skal derfor stadig overholde bestemmelserne i Sikkerhedsbekendtgørelsen (Bekendtgørelse nr. 528 af 15. juni 2000). Persondataloven påkræver at de historiske udlånsdata efterfølgende fremsendes til selvbetjeningssystemet i anonymiseret form. Biblioteksstyrelsen anbefaler at det alene er oplysninger om en given udlånssammenhæng der transmitteres fra dataminingsystemet til brugergrænsefladen, mens den unikke værdi (den krypterede låner-id) automatisk slettes forud for transmissionen fra dataminingsystemet. Dette indebærer at det kun er selve udlånsstrukturen der gøres tilgængelig i selvbetjeningssystemet. Herved forhindres det at det er muligt via tjenestens brugergrænseflade at spore hvilke lånere der har lånt hvilke materialer. Følges ovenstående anbefalinger, er låneroplysningerne med andre ord gjort anonyme i selvbetjeningssystemet som persondataloven betinger. 16

17 Denne metode indebærer imidlertid at selv om der opereres med anonymiserede historiske data i brugergrænsefladen, vil det reelt set være muligt for biblioteket at dekryptere de transformerede låner-id oplysninger som opbevares i dataminingsystemet. Dette betyder at dataminingsystemet skal beskyttes mod eksterne kommunikationsforbindelser med en firewall. Det betyder endvidere at bibliotekerne skal være opmærksomme på at de ikke har hjemmel til at anvende de historiske udlånsdata i anden sammenhæng til andre formål. Det anbefales som nævnt ovenfor at de historiske data efter forsendelsen til dataminingsystemet slettes i bibliotekets udlånssystem. Biblioteker der ønsker at udbyde et anbefalingssystem, eller en anden serviceydelse der anvender registre over historiske og fortrolige låneroplysninger, skal, selvom de opbevares i sikker krypteret form, forespørge Datatilsynet om tilladelse forud for oprettelsen af systemet. Bibliotekerne skal med andre ord anmelde behandlingen, herunder systemet, til Datatilsynet. Transmission ved eliminering af brugeroplysninger Denne metode karakteriseres ved at udlånsoplysningerne anonymiseres før transmissionen fra bibliotekets udlånssystem til dataminingsystemet ved at låneroplysningerne slettes forud for transmissionen. Herved forhindres at krypteringsnøglen eventuelt brydes eller at identiteten af låner X ved en senere given lejlighed identificeres med andet formål for øje. Denne metode betyder imidlertid at det ikke er muligt at sammenkæde historiske lånerdata, såsom denne låner lånte også, men at det udelukkende er muligt at sammenkæde udlånsdata, såsom denne bog er lånt sammen med. Metoden hvor sammenhængen mellem låner og udlån rutinemæssigt slettes forud for transmissionen fra udlånssystemet, og hvor disse data ikke kopieres og opbevares i krypteret form i et tilknyttet lånerregister, betyder at der udelukkende opereres med anonymiserede data der ikke kan spores tilbage til en given låner. I det øjeblik hvor personoplysningerne er anonymiseret på en sådan måde at det ikke efterfølgende kan spores hvem oplysningerne berører, falder behandlingen automatisk uden for persondatalovens gyldighedsområde. Hvis det derimod på nogen mulig måde er muligt at efterspore hvilke personer oplysningerne knytter sig til, bevæger vi os inden for persondataloven. Transmission ved eliminering af personoplysninger betyder at operationen ikke dækkes af persondatalovens bestemmelser. Dataene der anvendes i den videre bearbejdnin, er gjort anonyme. Opsummering Opsummerende gælder det at det er tilladt at opbygge en database der indeholder en oversigt over hvilke brugersegmenter der låner hvilke materialer, samt hvilke titler der statisk set udlånes i sammenhæng. 17

18 Kravet til en sådan database over brugerprofiler er at udtrækket fra udlånssystemet til et dataminingsystem sker krypteret via en krypteringsnøgle. Efterfølgende anonymiseres dataene inden de underlægges videre bearbejdning af interne eller eksterne brugere. Det er endvidere tilladt at overføre de anonymiserede data til andre biblioteker der ønsker at anvende de anonymiserede brugerprofiler til brugerorienterede internetydelser. Det anbefales at data vedrørende udlån og reserveringer slettes i udlånssystemet snarest og senest fire uger efter at disse data er transmitteret til det krypterede dataminingsystem. I dataminingsystemet kan dataene herefter opbevares i op til fem. 18

19 Sikkerhed Generelle sikkerhedskrav i henhold til persondataloven I henhold til persondatalovens 41, stk. 3, fremgår det at den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Konkret i forhold til folkebibliotekernes virksomhed er det det enkelte bibliotek generelt og bibliotekslederen specifikt der oppebærer rollen som dataansvarlig på området. Dette betyder at de enkelte biblioteker navnlig bør sikre sig imod at oplysninger vedr. biblioteksbrugere og disses adfærd kommer uvedkommende til kendskab, at oplysningerne bliver misbrugt eller i øvrigt behandles i strid med loven. De samme forpligtelser gælder for databehandlere 12 som i den dataansvarliges sted behandler personoplysninger eller har adgang til personoplysninger. Her tænkes navnlig på systemleverandører (databehandler) der betjener biblioteker (dataansvarlig) med ITsystemer etc. Såfremt et bibliotek overlader en behandling af oplysninger til en databehandler, er det den dataansvarliges ansvar dels at sikre sig at databehandleren kan træffe de nødvendige tekniske og organisatoriske sikkerhedsforanstaltninger, dels at tilse at dette sker. I 42, stk. 2, hedder det at gennemførelse af en behandling ved en databehandler skal ske i henhold til en skriftlig aftale parterne imellem. Aftalen skal indeholde krav om at databehandleren alene handler efter instruks fra den dataansvarlige, og at databehandleren ligesom den dataansvarlige er forpligtet til at tilvejebringe de fornødne sikkerhedsforanstaltninger til sikring at oplysningerne. 13 Ovenstående er eksempelvis aktuelt i forhold til et eller flere bibliotekers køb af eksterne serviceydelser, herunder konsulentbistand ved brugertilfredshedsundersøgelser, andre statistiske undersøgelser, samt ved bestilling af nye systemtekniske leverancer eller vedligeholdelse af eksisterende systemer hvor adgang til personlige oplysninger er nødvendig for at systemleverandørerne kan udføre bestillingerne. Generelle sikkerhedskrav i forhold til eksterne IT-systemer og Internettrafik Af Datatilsynets Vejledning nr. 37 til bekendtgørelse om sikkerhedsforanstaltninger 14 fremgår det ifølge 14, stk. 1, at: (d)er kun må etableres eksterne kommunikationsforbindelser, hvis der træffes særlige foranstaltninger for at sikre, at uvedkommende ikke gennem disse forbindelser kan få adgang til personoplysninger. 12 I persondatalovens 2, stk. 5, defineres databehandleren som den fysiske eller juridiske person, offentlig myndighed, institution eller ethvert andet organ, der behandler oplysninger på den dataansvarliges vegne. 13 Hvor persondataloven gælder for såvel private virksomheder som offentlige myndigheder, gælder sikkerhedsbekendtgørelsen formelt set kun for offentlige myndigheder, om end Datatilsynet anbefaler private virksomheder at handle i henhold til sikkerhedsbekendtgørelsen. 14 Vejledning til bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger som behandles for den offentlige forvaltning. 19

20 Dette gælder dels i forhold til adgang til bibliotekets hjemmeside hvor der er risiko for at uvedkommende som benytter bibliotekets servere, også tilegner sig adgang til bibliotekets interne net, dels i forhold til transmission af personlige oplysninger over Internettet. I sikkerhedsbekendtgørelsen står det således anført: (V)ed tilslutning til Internet eller andre åbne net skal der træffes foranstaltninger som sikrer imod uvedkommende trafik og forhindrer adgang fra det åbne net til den dataansvarliges interne net. Bibliotekets sikkerhedsforanstaltninger skal således vurderes særskilt i forhold til tilslutningen til Internettet generelt (beskyttelse af bibliotekets interne net) og specifikt i forhold til transmission af personoplysninger bibliotek og brugere imellem. I forhold til førstnævnte sikkerhedskrav, sikring af bibliotekets interne net ved tilslutning til Internettet, betinger persondataloven at det pågældende bibliotek sikrer dets IT-system imod uvedkommende trafik og forhindrer brugere adgang til det interne net via Internettet. Datatilsynet har i flere konkrete tilfælde vurderet at denne betingelse opfyldes i tilstrækkelig grad ved korrekt etablering af en firewall i bibliotekssystemet. En sådan etablering er sikkerhedsmæssigt tilstrækkelig såfremt systemet efterfølgende underlægges løbende kontrol og ajourføring. Dette krav om rutinemæssig kontrol af firewall logfilerne skyldes at en firewall ikke fuldt ud garanterer imod uregelmæssigheder eller vellykkede hackerangreb. Som en naturlig og nødvendig del af sikkerhedspolitikken bør logfilen således med jævne intervaller undersøges for fejlmeddelelser der eksempelvis advarer om hvorvidt firewallen har været udsat for hackerangreb. I forhold til sidstnævnte sikkerhedskrav, sikring af transmitterede personoplysninger via Internettet, pålægger persondataloven bibliotekerne at foretage de nødvendige tekniske sikkerhedsforanstaltninger der vil sikre: imod uvedkommendes adgang til personoplysningerne (datas fortrolighed) korrektheden af afsenders og modtagers identitet (autenticitet) de transmitterede oplysningers ægthed (integritet). Graden af de nødvendige sikkerhedsforanstaltninger i forhold til henholdsvis fortrolighed, autenticitet og integritet er kontekstuel og må vurderes i relation til karakteren af de personoplysninger som indgår i den konkrete behandling. Det er den dataansvarlige myndigheds opgave, eventuelt i samråd med Datatilsynet, at foretage en samlet vurdering af sikkerhedsrisici i den konkrete sag. Som allerede nævnt skelner persondataloven imellem almindelige personoplysninger 15 (jf. 6), følsomme oplysninger 16 (jf. 7) samt andre rent private oplysninger 17 (jf. 8). Denne differentiering mellem oplysningernes karakter er determinerende for hvilke generelle 15 Almindelige, ikke fortrolige personoplysninger dækker over oplysninger af anden karakter end oplysninger om rent private forhold. Af eksempler kan nævnes identifikationsoplysninger, oplysninger om økonomiske forhold, kundeforhold etc. 16 Følsomme personoplysninger dækker over racemæssig eller etnisk baggrund, politisk, religiøs, eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold og oplysninger om helbredsmæssige og seksuelle forhold. De anførte personfølsomme forhold er udtømmende. 17 Rent private forhold omfatter strafbare forhold, væsentlige sociale problemer samt andre rent private forhold end de i 7 nævnte (se note 9). 20

21 sikkerhedskrav der er gældende i forhold til en konkret databehandling, og således også for graden af sikkerhedsforanstaltninger bibliotek og systemleverandør bør operere med. Overordnet opereres med to kategorier af sikkerhedsinstallationer, henholdsvis kryptering og personidentifikation. Hvor datas fortrolighed sikres ved forsvarlig kryptering af data, sikres meddelelsesautenticitet og personintegritet ved passende personidentifikation. Pligten til at træffe de fornødne sikkerhedsforanstaltninger som foreskrevet i persondataloven, er ufravigelig og bortfalder ikke selvom den eller de personer oplysningerne vedrører, giver sit samtykke til de aktuelle behandlingsformer. Nedenfor opregnes mere detaljeret de generelle krav indeholdt i persondataloven i forhold til dels fortrolighed, dels autenticitet og integritet. Beskyttelse af datas fortrolighed Ved brug af Internettet er der en generel risiko for at de behandlede oplysninger læses af uvedkommende. Der påhviler derfor den dataansvarlige myndighed generelt og biblioteket specifikt et ansvar for at behandlede personoplysninger beskyttes på en sådan måde at de ikke kommer uvedkommende til kendskab. Denne betingelse om beskyttelse af datas fortrolighed opfyldes ved at oplysningerne transmitteres i forsvarligt krypteret form. Hvad der henregnes som forsvarlig kryptering afhænger af hvorvidt der er tale om behandling af almindelige, fortrolige, eller følsomme personoplysninger. Ved behandling af almindelige, ikke-fortrolige oplysninger frafalder kravet om kryptering, mens det af Vejledning nr. 37 af 2. april 2001 fremgår, at (h)vis der er tale om transmission af fortrolige oplysninger, herunder personoplysninger, skal der som minimum foretages en kryptering. Hvis de transmitterede oplysninger er af følsom karakter (omfattet af persondatalovens 7, stk. 1, og 8, stk. 1), skal der anvendes en stærk kryptering, baseret på en anerkendt algoritme. Det er altså grundlæggende oplysningernes karakter der afgør graden af kryptering ved hjælp af hvilken de transmitterede datas fortrolighed skal søges beskyttet. 18 Kryptering kan eksempelvis ske i form af en SSL-løsning (Secure Sockets Layer). SSL er en betegnelse for en procedure for transmission af private dokumenter via Internettet mellem bruger-pc og server. Teknisk set er SSL et sikkerhedssystem der anvender en kombination af en privat og en offentlig nøgle til kryptering og dekryptering af data der transmitteres mellem browser og server. Med andre ord er SSL systemet baseret på et asymmetrisk nøglepar (offentligt versus privat) der skal garantere datas fortrolighed. Dette betyder at data som er krypteret med den offentlige nøgle, kun kan dekrypteres med den modsvarende private nøgle og vice versa. 19 En SSL-løsning hvor den offentlige del af nøglen lægges på bibliotekets webserver, sikrer dog teknisk set ikke uvedkommende i at få adgang til den krypterede meddelelse, med 18 Også ved registrering af CPR. nr. og andre fortrolige oplysninger i bibliotekernes webkataloger skal der anvendes kryptering i form https. 19 En URL som kræver en SSL forbindelse indledes ved https: fremfor 21

22 mindre SSL-løsningen som minimum kombineres med brug af personlig identifikation i form af ID-nummer suppleret med personlig adgangskode (se efterfølgende afsnit). I forhold til transmission af fortrolige eller følsomme oplysninger vis MMS og SMS frafalder kravet om kryptering, idet Datatilsynet vurderer det trådløse netværk anvendt ved mobiltelefoni som værende lige så sikkert som en fastnetforbindelse. Beskyttelse af datas autenticitet og integritet Ved transmission af data over Internettet er der desuden risiko for at oplysningerne enten ændres eller tilintetgøres undervejs, og/eller at modtager/afsender er en anden end denne foregiver at være. Hvor førstnævnte forhold refererer til beskyttelse af datas integritet, refererer sidstnævnte forhold til sikring af datas autenticitet. Det er bibliotekets opgave som dataansvarlig myndighed at sikre såvel ægtheden af afsenders/modtagers identitet såvel som de udsendte oplysningers korrekthed. Betingelsen om beskyttelse af datas autenticitet og integritet opfyldes ved som minimum at anvende bruger-id og personlig adgangskode (pinkode) som låneridentifikation ved kommunikation fra bruger-pc til bibliotekets webserver når der er tale om transmission af fortrolige oplysninger, og certifikat/digital signatur når der er tale om transmission af følsomme oplysninger. Disse betingelser for identifikationsmetoder til opfyldelse af meddelelsesautenticitet og brugerintegritet gælder dels i situationer hvor en bruger indsender personoplysninger fra egen pc (eller bibliotekets bruger-pc) til bibliotekets webserver, dels i situationer hvor en bruger læser/modtager personoplysninger direkte fra bibliotekets webserver. Sidstnævnte forhold er blandt andet relevant i forbindelse med at bruger søger information om egen lånerstatus i bibliotekets webkatalog. I forhold til forsendelse af pinkode (selvvalgt eller maskingeneret) gælder samme krav til serviceniveau som ved forsendelse af CPR-nummer eller andre fortrolige oplysninger. Enhver transmission af pinkoder skal ske i krypteret form. Dette gælder også for pinkoder der udsendes til bruger til brug første gang denne logger på. Som alternativ til kryptering ved forsendelse af pinkoder kan biblioteket vælge at udsende brugerens pinkode via brev eller personlig udlevering. Det kan oplyses at kravet om kryptering af pinkoder bortfalder ved transmission over det interne net. Trods Datatilsynets vurdering af at brugeridentifikation ved ID og adgangskode er sikkerhedsmæssigt tilstrækkelig, anbefaler Datatilsynet dog offentlige instanser generelt at øge sikkerheden ved kommunikation af fortrolige oplysninger over Internettet ved at anvende certifikat/digital signatur. Digital signatur er en signeringsmetode der dels sikrer at dokumentet ikke kan ændres efter afsendelse, dels at modtager med sikkerhed kan vide afsenders identitet. Bibliotekerne bør således overveje yderligere at øge sikkerheden ved at benytte certifikat eller elektronisk signatur på bibliotekets webgrænseflade Anvendelse af certifikat eller elektronisk signatur er kun et egentligt lovkrav ved fremsendelse af følsomme oplysninger. Behandling af følsomme oplysninger ligger uden for bibliotekernes fagområde. 22