KONTROLLUTVIKLINGEN I RETNING AV FORVARINGSREGIMET DATASKANDALEN, PERSONVERN OG LÆRDOMMER
Kontrollutviklingen i fengslene går i en stadig mer restriktiv retning, og det er en sammenheng mellom kontroll og personvern. Økt kontroll innebærer økt kartlegging og overvåkning av fangene, som i sin tur medfører økt innsamling, oppbevaring og behandling av sensitive personopplysninger, skriver forvaringsfangen 03/43.
Av forvaringsfange 03/43, Ila fengsel, forvarings- og sikringsanstalt
Foredraget var ett av flere innlegg i debatt om kontrollutvikling i fengsel. Forvaringsfangen 03/43 ble nektet permisjon for å delta på konferansen. Forsøk på å påklage nektelsen har ikke ført frem, og Krom fikk beskjed den 12. januar at nektelsen ble opprettholdt på regionsnivå. Krom har derfor valgt å publisere foredraget.
Innledning
Kontrollutviklingen i fengslene går i en stadig mer restriktiv retning, og det er en sammenheng mellom kontroll og personvern. Økt kontroll innebærer økt kartlegging og overvåkning av fangene, som i sin tur medfører økt innsamling, oppbevaring og behandling av sensitive personopplysninger.
Jeg pleier å si at den som vil vite hvordan fengslene vil bli utformet og drevet noen år frem i tid, kan ta en titt på hvordan forvaringsanstalten drives i dag. Forvaringsregimet fremstår som en generalprøve eller en forsmak på hva fangebefolkningen som helhet har i vente. Med den såkalte dataskandalen på Ila som bakteppe, ønsker jeg i dag å fokusere på personvernrelaterte utfordringer som fangene i økende grad kan bli stående overfor.
En detaljert gjennomgang av selve datasaken vil være så omfattende at den kunne ha fylt en hel konferanse alene. Derfor vil jeg fatte meg i relativ korthet når det gjelder sakens faktiske forhold og i stedet fokusere på problemstillinger som ble aktualisert i kjølvannet av saken og lærdommer som kan være verdifulle både for fangebefolkningen som helhet og fengselsvesenet som etat.
Dataskandalen
La meg først gjøre følgende klinkende klart: Fanger er ikke fradømt retten til personvern og fengselsvesenet er pålagt å opptre i henhold til personopplysningsloven. Man kan faktisk hevde at personvern er særlig viktig for mennesker som er frihetsberøvet og som dermed befinner seg i en tvangssituasjon.
I en årrekke har forvaringsfanger hevdet at fangers personvern krenkes grovt i fengslene. Vår påstand var at det hersket fri flyt av sensitive personopplysninger i fengslene og at selve behandlingen foregikk i strid med gjeldende regler. I 2005 brakte vi saken inn for kontaktutvalget (tillitsmannsutvalget) ved Ila fengsel og tilsynsrådet for region nordøst. Saken ble blankt avvist.
I 2006 klaget vi saken inn for Datatilsynet, som gjennomførte en stedlig kontroll ved Ila fengsel i november 2007. Etter å ha intervjuet ansatte og gått grundig gjennom fengselets rutiner og datasystemer, konkluderte tilsynet med at fangene hadde rett på samtlige punkter.(1)
Tilsynet bekreftet fangenes påstand om at det eksisterte et uoffisielt, ukontrollert og ulovlig personregister ved Ila der sensitive personopplysninger om samtlige fanger lå lagret. Dokumentene var usikrede, dvs. at samtlige voktere ikke bare hadde lesetilgang, men hadde også mulighet til å gjøre endringer i dokumentene uten at endringene kunne spores tilbake til den aktuelle vokteren.(2)
Det ble avdekket at fengselsvesenet manglet et rettslig grunnlag i form av lovhjemmel for sine datasystemer (3) og at etaten ikke ivaretok fangenes og andres rettigheter med hensyn til informasjon, innsyn, retting og sletting av personopplysninger . Det var heller ikke etablert et internkontrollsystem som sørget for tilfredsstillende informasjonssikkerhet . Opplysningene i datasystemet Kompis (kriminalomsorgens produktivitetsfremmende informasjonssystem) ble ikke slettet, noe som innebar at alle registrerte opplysninger om alle som er eller har vært innsatt i et norsk fengsel siden 1992 lå fullt tilgjengelige (4).
Datatilsynet konkluderte med at over 4.000 ansatte hadde tilgang til sensitive personopplysninger om mer enn 30.000 personer (5), og fremhevet at fengselsvesenets behandling av sensitive personopplysninger ikke ivaretok grunnleggende lovkrav til beskyttelse av den enkeltes personlige integritet (6). Funnene var så alvorlige at Justisdepartementets kriminalomsorgsavdeling ble anbefalt å delegere bort ansvaret for etterlevelsen av personopplysningsloven (7).
I kjøvannet av «Ila-saken» ble fengselsvesenet gitt åtte pålegg av Datatilsynet (8).
Funnene på Ila var i stor grad et resultat av forvaringsanstaltens utstrakte kartlegging av fangene – en overvåkningspraksis som medfører innsamling, oppbevaring og behandling av en stor mengde sensitive personopplysninger. Mye tyder dessverre på at den form for overvåkning som i lang tid har foregått på Ila nå skal tas i bruk overfor samtlige fanger i samtlige fengsler. Regjeringen fremhever i sin nye stortingsmelding at kartlegging gjennom standardiserte verktøy er nødvendig dersom man skal kunne si noe om fangenes behov og risikonivå (9).
De erfaringene forvaringsfangene har gjort seg, antyder derfor hvilke problemstillinger samtlige fanger risikerer å stå overfor i fremtiden. Den behandlingen forvaringsfangene ble utsatt for fra etatens side i datasaken sier noe om hvilke fremgangsmåter fengselsvesenet bør unngå i fremtiden. En rekke lærdommer og påminnelser kan abstraheres fra dataskandalen.
For det første: Fengselsvesenet er en villedende og vanskelig motpart
Hvordan reagerer fengselsregimet når det blir utfordret, og særlig når det blir utfordret av fanger? Det er i slike tilfeller fengselssystemet viser sin verste side, løsrevet fra alle luftige idealer om human fangebehandling og individuell oppfølging. Utfordring fra fangene synes å aktivere en responskjede fra avvisning til villedning og uærlighet via indirekte trusler. Avvisning skjer inntil systemet innser at fangene ikke vil oppgi sine krav. Indirekte trusler trer da i stedet. Villedning og uærlighet iverksettes i det øyeblikk systemet innser at truslene ikke har ønsket virkning.
Forvaringsfangene reiste først sine bekymringer for kontaktutvalget ved Ila, et såkalt «samarbeidsorgan» der fangerepresentanter møter anstaltsledelsen. Der ble vi avvist. Ledelsen hevdet at samtlige voktere måtte ha tilgang til opplysninger om samtlige fanger for å kunne gjøre jobben sin. I et forsøk på å legitimere sin egen påstand og samtidig latterliggjøre fangenes bekymringer, forklarte inspektøren: «Det kan være at en fange har hemoroider. Dette må vokteren vite om slik at han ikke beordrer fangen til å sette seg i en stol» (10).
Fangene gav seg imidlertid ikke, og da kom truslene: «Dette er en sak dere som fanger bør holde dere langt unna». Heller ikke truslene fungerte, og oppskriftsmessig ble villedning og uærlighet den foretrukne systemstrategien. Fangene ble forsikret om at samtlige voktere skulle få instruks om å utvise forsiktighet med hensyn til personopplysningene. Det viste seg imidlertid at denne instruksen aldri ble gitt.
Systemstrategiene er ikke utelukkende forberholdt fangene; de ble også benyttet overfor Datatilsynet. Som følge av fangenes klage ble fengselsvesenet pålagt å gi tilsynet skriftlige redegjørelser for situasjonen (11). Etaten gikk langt i å avvise fangenes påstander kategorisk og hevde at alt var i sin skjønneste orden. Ila fengsel fremhevet at fangene ofte er så psykisk ustabile og preget av personlighetsforstyrrelser at fengselsvesenet må ha anledning til å balansere fangenes personvern opp mot sikkerhetsmessige hensyn (12). Man går her langt i å hevde at fangene er så farlige at ordinære regler for personvern må tilsidesettes. Implisitt påberoper fengselet seg monopol på hvordan fangene skal behandles, med et budskap til utenforstående om at det vil kunne være skadelig for samfunnet dersom forvaringsanstalten ikke får det handlingsrommet den ønsker.
Villednings- og uærlighetsstrategien ble etter hvert fremtredende. Fangene hevdet i sin klage til tilsynet at personopplysninger om både nåværende og tidligere fanger er tilgjengelige for samtlige ansatte i norske fengsler gjennom datasystemet Kompis. Ila fengsel svarte med å hevde at det kun er spesielt utvalgte voktere som har en slik informasjonstilgang (13). Region nordøst bekreftet i sin tur forvaringsanstaltens påstand (14). I møte med Datatilsynet gjentok fengselsvesenet at vokterne kun har tilgang til opplysninger om nåværende eller tidligere fanger ved det fengsel der de har sitt daglige arbeid (15).
Datatilsynet avslørte imidlertid at samtlige ansatte hadde tilgang til opplysninger om samtlige fanger som soner eller har sonet siden 1992, uavhengig av soningssted. Totalt var det snakk om opplysninger om mer enn 30.000 personer (16). Altså var fangenes påstand korrekt.
Datatilsynet konkluderte med at fengselsvesenet har gitt feilaktig og mangelfull informasjon, både gjennom årelang skriftlig korrespondanse og under den stedlige kontrollen. Tilsynet mente at etaten hadde tilbakeholdt vital informasjon (17).
Mange vil nok si at selve prosessen i denne saken tilhører fortiden. Likevel gir den noen viktige signaler med hensyn til hvilke utfordringer fangebefolkningen står overfor også i fremtiden. Fangene må være forberedt på å møte motstand fra et massivt fengselsvesen med et team av jurister til sin disposisjon.
For det andre: Fengselsvesenet lider av alvorlige lærevansker
Dataskandalen førte til stor oppstandelse. Det forløp flere år fra fangene først reiste problemstillingen for fengselet til Datatilsynet gav fengselsvesenet sine åtte pålegg. Saken ble grundig omtalt i mediene – både i form av artikler, kronikker og leserinnlegg – og statsråd Storberget måtte redegjøre for situasjonen i Stortinget .
Man skulle tro at fengselsvesenet generelt, og forvaringsanstalten spesielt, etter denne saken hadde lært og ville gjøre alt i sin makt for å forhindre tilsvarende skandaler. Men tvert imot: I stedet for å ta et grundig oppgjør med den horrible personvernsituasjonen på Ila, valgte forvaringsanstalten å utsette fangene for et nytt kartleggingsprosjekt som ville medføre intensivert overvåkning og håndtering av en enda større mengde sensitive personopplysninger, inkludert taushetsbelagte helseopplysninger, uten at prosjektet var klarert med Datatilsynet. Formelt skulle prosjektet handle om å samkjøre hjelpeapparatets individuelle planer og fengselsvesenets soningsplaner for den enkelte (18).
Fengselet hadde ikke lært, men det hadde fangene. Prosjektet ble umiddelbart klaget inn for Datatilsynet og har foreløpig strandet. Nær samtlige fanger boikottet prosjektet, noe som er relativt radikalt i forvaringsanstaltens historie.
Så nylig som november i fjor så vi opptakten til det som kunne blitt en ny dataskandale. Også denne saken var det fanger som, via pressen, varslet om. Det viste seg at lister med navn og (sonings)sted for fanger lå tilgjengelige for nær 2.000 medfanger gjennom det såkalte spesialinternettet fanger har fått tilgang til i skolesammenheng. Enkelte opplysninger om lærere var også tilgjengelige (19). Også i denne saken forsøkte fengselsvesenet å nekte for sakens realiteter, men måtte til slutt erkjenne. Denne gangen reagerte etaten relativt raskt, sannsynligvis fordi enkelte av opplysningene omhandlet ansatte.
Vi er vitne til et fengselsvesen som har liten evne og vilje til å lære av erfaring. I verste fall kan man hevde at alt er som før. I beste fall kan man si at etaten preges av meget selektive reaksjonsmekanismer; det reageres relativt raskt når ansatte er berørt, men lite eller intet skjer når fangene er de skadelidte.
For det tredje: Dagens tilsynssituasjon preges av alvorlige mangler
Dataskandalen demonstrerte svakhetene ved dagens tilsynssituasjon. Internasjonale bestemmelser krever at fengslene skal være gjenstand for jevnlig offentlig inspeksjon og uavhengig tilsyn (20). Fengselsvesenets egne tilsynsordninger kan neppe karakteriseres som «uavhengige».
I fengselsvesenet kan de som skal kontrolleres selv bestemme omfanget av kontrollen. Dette fordi de såkalte tilsynsrådene får sine bevilgninger over fengselsregionenes budsjett. Fra 2005 fikk tilsynsrådet for region nordøst halvert sitt budsjett i forhold til forbruket i 2004. Dette har ført til en sterkt redusert besøksfrekvens ved de enheter som skal kontrolleres. Tilsynsrådets kontroller ved forvaringsanstalten har blitt redusert til en tredjedel (21).
Tilsynsrådet har hverken beslutningsmyndighet eller sanksjoneringsmidler, det fremstår ikke som en uavhengig kontrollinstans, av økonomiske årsaker har det kun sporadisk kontakt med fangene, og det kan ikke vise til tilfredsstillende resultatoppnåelse.
Utfallet av datasaken var en direkte følge av at Datatilsynet kom inn i bildet. Fangers bruk av eksterne tilsynsorganer er imidlertid forbundet med komplikasjoner. Eksterne instanser mangler detaljkunnskap om fengselsvesenets praksis. Resultatet er at hele bevisbyrden faller på fangene, som i utgangspunktet mangler både formell juridisk kompetanse og nødvendig informasjonstilgang. Et hovedproblem i datasaken var at Ila fengsel nektet tilgang til relevant lovverk. Det var først etter bistand fra rettshjelpsorganisasjonen Juss-Buss at vi fikk tilgang til personopplysningsloven.
Kommunikasjonsproblemer gjør seg også gjeldende. Fangers telefonering er i utgangspunktet begrenset til 20 minutter pr. uke og det er i dag ikke selvsagt at man får kommunisere ukontrollert med eksterne tilsynsmyndigheter. Praktiseringen av regelverket er og blir i stor grad skjønnsmessig basert. I datasaken krevde forvaringsanstalten at hovedtyngden av kontakten mellom fangene og Datatilsynet skulle underlegges kontroll, henholdsvis gjennom telefonavlytting og brevsensur. Ved ett tilfelle valgte Ila å iverksette cellerazzia hos en av de involverte fangene og beslaga deler av tilsynssakens dokumenter.
Dataskandalen tydeliggjør at noe må gjøres med tilsynssituasjonen. I første omgang må det legges bedre til rette for fangers kontakt med eksterne kontrollinstanser. På sikt bør man avskaffe de regionale tilsynsrådene og erstatte disse med et uavhengig fengselstilsyn som har reell beslutningsmyndighet og sanksjoneringsmidler.
For det fjerde: Fangepolitisk arbeid nytter
Den kanskje viktigste lærdommen er at det faktisk nytter. Dataskandalen viste at fanger kan nå frem, få gehør for sine synspunkter og tvinge frem enkelte systemendringer.
Tidligere var personvern et mer eller mindre fraværende perspektiv i fengselsvesenet. Ordet «personvern» er ikke nevnt i hverken stortingsmeldingen fra 1997, straffegjennomføringsloven, retningslinjene for gjennomføring av forvaring eller riksrevisjonens analyse av måloppnåelse i fengselsvesenet.
I dag har personvern i noen grad kommet på dagsorden. Dataskandalen er nevnt både i regjeringens nye stortingsmelding og i Justisdepartementets såkalte etterkontroll av særreaksjonen forvaring. Datatilsyn, nettvett og sikkerhet har kommet inn på læreplanen for fengselsskolen og Justisdepartementet arbeider nå med å endre straffegjennomføringsloven slik at det etableres en eksplisitt lovhjemmel for behandling av personopplysninger.
Vi er på ingen måte i mål, men vi er vitne til noen gode tendenser. Det gjenstår imidlertid å se hvorvidt et formelt fokus på personvern i styringsdokumenter faktisk medfører et reelt fokus på personvern i fengslene.
Avslutning
Dataskandalen på Ila illustrerer de personvernmessige og rettssikkerhetsmessige farer som er forbundet med overvåkningsregimer generelt, og hvilke komplikasjoner fangebefolkningen står overfor når grunnleggende (menneske)rettigheter er truet.
Allerede i 2008 ble det klart at tilsvarende personvernrelaterte problemer eksisterte i andre fengsler, dog i mindre grad enn i forvaringsanstalten. Situasjonen var mer alvorlig på Ila ettersom det i forvaringsanstalten bedrives en særlig omfattende overvåkning – eller såkalt kartlegging og observasjon – av fangene som medfører håndtering av en stor mengde sensitive personopplysninger.
Det er grunn til å tro at fengselsvesenet generelt vil adoptere og implementere mange av de overvåknings- og dokumentasjonssystemene som i lang tid har vært brukt ved forvaringsanstalten. Fangebefolkningens personvern vil komme under sterkt press. Lærdommene fra dataskandalen bør derfor være relevante både for fanger og fengselsvesen.
Vi ser en tendens til at forvaringsregimet fremstår som en generalprøve på hva som etter hvert vil ramme fangebefolkningen som helhet. Vi får håpe at det er hold i teaterfolks påstand om at en dårlig generalprøve gir en god premiere.
Takk for oppmerksomheten.
Referanser:
1) Fri flyt av personopplysninger ved Ila fengsel. (2008). I: Personvernrapporten 2008, s. 32-33.
2) Datatilsynet. (2008). Endelig kontrollrapport etter tilsyn ved Ila landsfengsel. Rapportdato: 25.01.2008. Saksnr.: 07/01455. URL: http://www.datatilsynet.no . Pkt. 6.1, s. 5-6.
3) Ibid., pkt. 6.3, s. 7-8.
4) Ibid., pkt. 6.5, s. 9-11.
5) Ibid., pkt. 6.6, s. 11-12.
6) Ibid., pkt. 6.8, s. 14-15.
7) Ibid., pkt. 6.8, s. 14-15.
8) Ibid., s. 2.
9) Ibid., s. 1.
10) Vedtak fra Datatilsynet til kriminalomsorgens sentrale forvaltning. Dato: 25.01.2008. Datatilsynets ref.: 07/01455-9 /CBR. URL: http://www.datatilsynet.no .
11) St.meld. nr. 37 (2007-2008), pkt. 7.9.4, s. 78.
12) Fanger og personvern. (2007) I: Kromnytt nr. 1/2007, s. 4-8.
13) Brev fra Datatilsynet til kriminalomsorgens sentrale forvaltning. Dato: 13.11.2006.
14) Brev fra Ila fengsel til kriminalomsorgen region nordøst. Dato: 30.11.2006.
15) Ibid.
16) Brev fra kriminalomsorgen region nordøst til kriminalomsorgens sentrale forvaltning. Dato: 08.12.2006.
17) Datatilsynet. (2008). Endelig kontrollrapport etter tilsyn ved Ila landsfengsel. Rapportdato: 25.01.2008. Saksnr.: 07/01455. URL: http://www.datatilsynet.no . Pkt. 6.8.1.2, s. 15.
18) Ibid., pkt. 6.8.1.2, s. 15.
19) Ibid., pkt. 6.10, s. 17-19.
20) Dokument nr. 15 (2007-2008), spørsmål nr. 597, datert 05.02.2008, besvart 18.02.2008. URL: http://www.stortinget.no .
21) Justis- og politidepartementet. (2008). Etterkontroll av reglene om strafferettslig utilregnelighet, strafferettslige særreaksjoner og forvaring. Vedlegg 3, s. 21, 33-34.
22) Dagbladet (15.11.2009). Kriminelle fikk navneliste med fengselsansatte. URL: http://www.dagbladet.no/2009/11/15/nyheter/fengsel/kriminalomsorg/personvern/9031341
23) De europeiske fengselsreglene, pkt. 9.
24) Tilsynsrådet for kriminalomsorgen region nordøst (2006). Årsrapport for 2005. s. 1, 13.