Nå må Folkehelsa slette uskyldiges DNA-info
I over to år har Datatilsynet og Folkehelseinstituttet kranglet om DNA-lagring. Men nå har Personvernnemnda gitt Datatilsynet fullt medhold.
Saken begynte i 2010 da Datatilsynet var på tilsyn hos det som da het Rettsmedisinsk institutt og var underlagt Universitetet i Oslo.
Da fant tilsynet ut at instituttet satt på et stort DNA-register.
Det var ikke bare av personer som var under etterforskning eller som var straffedømte. Også tusenvis av DNA-profiler med tilhørende personlig informasjon av frikjente, fornærmede og vitner var lagret — ingenting var egentlig slettet.
Dette mente Datatilsynet var ulovlig og kalte det et grovt tillitsbrudd.
Fullt medhold
Instituttet ville ikke føye seg. Først kranglet tilsynet med universitetet, og de siste to årene med Folkehelseinstituttet (FHI), som overtok Rettsmedisinsk institutt.
Men nå er saken endelig avgjort i Personvernnemnda. Nemnda, som har brukt nesten et halvt år på å avgjøre saken, gir Datatilsynet fullt medhold.
<span style="font-size:110%">Datatilsynet: <br/> DNA-profiler <br/> blir ikke slettet <br/> når de skal</span>
Det betyr at Folkehelseinstituttet må slette all informasjon utover det også Kripos sitter med.
OPPDATERING: Datatilsynet har nå fattet vedtak om at FHI må slette informasjonen senest 1.oktober.
Det vil si at de ikke lenger skal sitte på informasjon knyttet til DNA-profiler til for eksempel personer som er frikjent og de som har fått henlagt saken sin.
Også info fra vitner og fornærmede som har gitt fra seg DNA-profilen sin for å hjelpe til i etterforskningen, må slettes.
Har du tips om denne saken eller andre personvernsaker? Kontakt Aftenpostens journalist her
Kripos har lov til å lagre DNA-profiler til personer som er under etterforskning for noe som kan føre til fengselsstraff, og til personer som er dømt til minst to måneder i fengsel.
Dette kan også FHI nå lagre, fordi de har en databehandleravtale med Kripos.
Farskaps-DNA skal slettes
I begrunnelsen fra nemnda vises det til at det ikke er grunnlag hverken i loven eller i forarbeidene til loven for at instituttet kan lagre personopplysninger knyttet til uskyldiges DNA-profiler.
Nemnda gir også Datatilsynet medhold i at FHI ikke skal sitte på DNA-profiler eller informasjon knyttet til andre oppdragsgivere. Det gjelder for eksempel farskapstester som er gjort på vegne av en domstol.
Unntaket er dersom den som har en DNA-profil lagret hos dem, selv gir et eksplisitt samtykke til at de skal få lov til å beholde profilen.
DNA-profilene kan ligge litt til
En liten kuriositet er at Personvernnemnda har gitt FHI lov til å lagre bare DNA-profilene. Det er fordi det står i loven at «Analyseinstitusjonen kan likevel oppbevare profilene utelukkende for det formål å dokumentere sin virksomhet.»
Men denne setningen ble tatt inn i loven på feilaktig grunnlag. I forarbeidene fra 2009 kommer det frem at Rettsmedisinsk institutt først sa at det ikke var teknisk mulig å slette DNA-profilen.
Men i 2011 innrømmet John Kristian Thoresen, som var direktør i 2009, at det ikke var korrekt.
— Det er bare tull at det ikke kunne slettes. Det er bare en teknisk sak, sa John Kristian Thoresen, eks-direktør ved Rettsmedisinsk institutt til VG Nett.
Riksadvokaten vil at flere havner i DNA-registeret
Han sier at det bare var snakk om en bestilling og sa da at han ikke hadde noen forklaring på hvorfor departementet konkluderte at det var ulovlig.Han hevdet at han selv sa til dem at det var mulig, men at andre på RMI mente det ikke var mulig.
I den nye politiregisterloven, som trolig trer i kraft i begynnelsen av 2014, er setningen om å lagre DNA-profiler for å «dokumentere sin virksomhet» tatt bort. Da må instituttet også slette selve DNA-profilene til de uskyldige.
Ikke i tvil om jusen
Eva Jarbekk, advokat og leder av Personvernnemnda, sier at årsaken til at de har brukt nesten et halvt år på saken er for å «trenge gjennom fakta» og enorme mengder av sakspapirer.
— Juridisk var vi ikke i tvil, sier hun.
Men frem til politiregisterloven trer i kraft, vil fortsatt FHI ha mulighet til å lagre DNA-profilene, men ikke informasjon knyttet til dem.
— Det er mildest sagt beklagelig dersom bakgrunnen for lovforslaget som lar FHI foreløpig få lagre DNA-profiler, ikke var korrekt, kommenterer Jarbekk.
Men så lenge loven gjelder, kan ikke Personvernnemnda overprøve den, til tross for at en del av loven er vedtatt på feilaktig grunnlag.
Datatilsynet: Veldig fornøyde
Cecilie Rønnevik, fagdirektør hos Datatilsynet, er svært tilfreds med vedtaket.
— Vi er veldig fornøyd med resultatet. Dette gir oss også svar på enkelte viktige spørsmål som har betydning også utover denne saken.
Kripos fortviler - færre frivillige vil gi dem DNA-profilen sin
Hun viser blant annet til at Personvernnemnda nå har slått fast at arkivloven ikke gjelder for virksomheter i tilfeller hvor de behandler informasjon for andre. Slik som for eksempel når FHI behandler informasjon på vegne av Kripos eller andre. — Vi er også glad for at nemnda har avklart Folkehelseinstituttets rolle som en vanlig analyseinstitusjon.
OPPDATERING FREDAG ETTERMIDDAG: Divisjonsdirektør Bjørn Magne Eggen ved Folkehelseinsituttet sier at de ikke kan svare på konkrete spørsmål om vedtaket ennå.
— Vi trenger mer tid til å grundig gjennom vedtaket. Denne gjennomgangen vil skje i dialog med våre oppdragsgivere og datasystemleverandører i løpet av sommeren.
arild@aftenposten.no
twitter: @afaeraas
