Torsdag meldte NRK at Høyre granskes av Datatilsynet for mulige brudd på personopplysningsloven.

Ifølge en avviksmelding Høyre har sendt Datatilsynet havnet sensitive personopplysninger om Høyre-medlemmer hos Facebook i valgkampen 2013. Høyre understreker at opplastingen skjedde i kryptert form.

Avtroppende markeds- og kampanjesjef i Høyre, Dag Terje Klarp Solvang, forklarte det med at Facebook i 2013 var nybrottsarbeid for partiet, og presiserte at Høyres medlemsinformasjon ikke har noe på Facebook å gjøre.

Avdekket lovbrudd i 2012

Nå kan NRK fortelle at partiet året før delingen med Facebook, hadde blitt sjekket av Datatilsynet.

HADDE KONTROLL HOS HØYRE: Direktør Bjørn Erik Thon i Datatilsynet sier en persons medlemskap i et politisk parti er regnet som en sensitiv opplysning i norsk lovgivning. Foto: Mariam Butt / NTB scanpix

– Det vi reagerte på den gangen i 2012 var at det ikke var god nok sikkerhet knyttet til forsendelse av medlemslister og sikkerhet knyttet til ulike typer innlogging, sier direktør Bjørn Erik Thon i Datatilsynet.

Han bemerker at opplysninger om en persons medlemskap i et politisk parti er regnet som en sensitiv opplysning i norsk lovgivning.

Det var tilfeldig at Høyre ble plukket ut for kontroll i 2012. Utvalget ble gjort ved loddtrekning, og Høyre, Frp og SV ble kontrollert.

Samtlige partier fikk pålegg om å endre sine rutiner knyttet til personvern.

Brøt fristen for å svare

Kontrollen hos Høyre ble gjort 5. juni 2012.

– Vi påla dem den gangen å lukke disse avvikene. Det betyr i klartekst at de skulle bedre sikkerheten i systemene sine, sier Thon.

Ett av påleggene var å sikre oversendelse av medlemslister.

Vedtak om pålegg Ekspandér faktaboks Med hjemmel i personopplysningsloven § 46 gir Datatilsynet følgende pålegg: 1. Høyre må etablere, oppdatere og implementere internkontroll i samsvar med personopplysningsloven § 14. Det vises til kontrollrapportens 6.1. Dette innebærer at virksomheten må: a. ha skriftlige rutiner for sletting av personopplysninger (medlemslister) i fylkesog lokallag jf. personopplysningsloven og 28, jf. personopplysningsforskriftens § 3-1 tredje ledd bokstav d). Det vises til kontrollrapporten pkt. 6.1.4.3. 2. Høyre må etablere og dokumentere tilfredsstillende informasjonssikkerhet i samsvar med personopplysningslovens § 13, jf. personopplysningsforskriftens kapittel 2. Dette innebærer at virksomheten må: a. dokumentere tilfredsstillende informasjonssikkerhet ved at det utarbeides risikovurdering i samsvar med personopplysningsloven § 13, jf. personopplysningsforskriften §§ 2-4. Det vises til kontrollrapportens pkt. 6.2.3. b. etablere system for sikkerhetsrevisjon i samsvar med personopplysningsloven § 13, jf. personopplysningsforskriften §§ 2-5. Det vises til kontrollrapportens pkt. 6.2.4. c. etablere et system for håndtering av avvik og/eller sikkerhetsbrudd, jf. personopplysningsloven § 13, jf. personopplysningsforskriften §§ 2-6. Det vises til kontrollrapportens pkt. 6.2.5. d. implementere sikker oversendelse av medlemslister når disse overføres elektronisk på et medium utenfor den behandlingsansvarliges fysiske kontroll, jf. personopplysningslovens § 13, jf. personopplysningsforskriftens § 2-11. Det vises til kontrollrapportens pkt. 6.2.6. e. etablere sterk autentisering for det webbaserte medlemsregisteret der hvor det er tilgjengelig utenfor partiets informasjonssystem. Dette i samsvar med personopplysningslovens § 13, jf. personopplysningsforskriftens § 2-11. Se kontrollrapportens pkt. 6.2.6 3. Høyre må lage rutiner for sletting av personopplysninger om utmeldte medlemmer, jf. personopplysningsloven § 28, jf. §§ 8 og 9a). Det vises til kontrollrapporten pkt. 6.1.4.3. Kilde: Vedtak om pålegg - Endelig kontrollrapport for Høyre, Datatilsynet 10. desember 2012

Thon påpeker at Facebook-saken er en helt separat sak, selv om begge forholdene dreier seg om medlemslister.

Fristen for å gjennomføre påleggene var 1. mars 2013, men Høyre svarte ikke før de fikk purring fra tilsynet 3. februar 2015, fremgår det av korrespondansen som NRK har fått tilgang til:

«Høyre fikk frist til 1. mars 2013 for gjennomføring av påleggene. Datatilsynet kan ikke se å ha mottatt skriftlig bekreftelse på at påleggene er gjennomført. Vi ber derfor om at en slik bekreftelse gis straks,» skrev Datatilsynet.

Beklaget

Da svarte Høyres generalsekretær 5. mars 2015, over to år etter at fristen hadde gått ut:

«Høyres IT-systemer har vært gjennom store endringer etter Datatilsynets kontroll. Noen prosjekter er ferdigstilt, noen er i prosess og noen vil bli igangsatt med det første. Vi vil derfor starte med å beklage at dette svaret har latt vente på seg, men flere av forutsetningene har i denne tiden endret seg som følge av disse prosjektene.»

7. mai 2015 avsluttet Datatilsynet saken, men i mellomtiden delte partiet altså medlemsinfo med Facebook.

Høyre gjør interne undersøkelser

NRK har vært i kontakt med daværende generalsekretær Lars Arne Ryssdal. Han henviser alle spørsmål til dagens organisasjonsledelse.

Pressesjef Peder Egseth svarer:

«Høyre har rutinemessig meldt to over fire år gamle saker til Datatilsynet som mulige avvik. Det er med andre ord prematurt å konkludere med brudd på internt eller eksternt regelverk. Høyre er godt i gang med å svare Datatilsynet på deres spørsmål og vi har i tillegg igangsatt interne undersøkelser for å få bedre oversikt over saken. Saken du viser til ble avsluttet av Datatilsynet etter at nye rutiner hadde blitt etablert og pålegg fra Datatilsynet fulgt opp.»