Taushets- og fortrolighetsplikt vedrørende tilgangen til advokatfirmaers elektroniske arkiv, uttalelse av 13. august 2013
1. Bakgrunn
Etikkutvalget har fått følgende henvendelse:
«I mange firmaer er det slik at alle har tilgang til alt, med unntak av børssakene. Med bedre søkemotorer, er det nå blitt stadig lettere å finne fram i sakene. Også for ansatte som ikke har arbeidet med sakene. Samtidig har antall ansatte i firmaene økt.
Hva krever taushetsplikten og diskresjonsplikten av begrensning i tilgang til dokumentene i det elektroniske saksbehandlingssystemet i advokatfirmaene?»
Denne uttalelsen inneholder følgende:
Punkt 2: Oversikt over relevant regelverk
Punkt 3: Oversikt over tilsvarende regler i helsepersonelloven
Punkt 4: Kort om taushetspliktreglene for finansnæringen
Punkt 5: Oppsummering
2. Oversikt over relevant regelverk
Regler for god advokatskikk punkt 2.3 omhandler fortrolighet. Bestemmelsen har følgende ordlyd:
«2.3 Fortrolighet
2.3.1 Det er av sentral betydning for advokatens virke at klienter og andre kan gi advokaten opplysninger som advokaten er forpliktet til ikke å meddele videre. Advokatens plikt til å behandle opplysningene fortrolig, er en nødvendig forutsetning for tillit og er således en grunnleggende og overordnet rett og plikt for advokaten.
Advokatens plikt til å bevare taushet om opplysninger han mottar, fremmer rettspleien så vel som klientens interesser og har derfor krav på en særlig beskyttelse fra statens side.
2.3.2 En advokat skal overholde den taushetsplikt som han er pålagt gjennom lovgivningen.
Opplysninger advokaten blir kjent med i sitt virke som advokat, må behandles fortrolig også når opplysningene ikke omfattes av hans lovbestemte taushetsplikt. Plikten til fortrolighet er ikke tidsbegrenset
2.3.3 Advokaten skal kreve at fullmektiger, personale og enhver person som han engasjerer i forbindelse med advokatvirksomheten, overholder den samme taushets- og fortrolighetsplikt.»
I punkt 2.3.2 første ledd er det vist til den taushetsplikten advokater er pålagt gjennom lovgivningen. Den sentrale taushetspliktbestemmelsen for advokater er straffeloven § 144 første ledd:
«Prester i statskirken, prester eller forstandere i registrerte trossamfunn, advokater, forsvarere i straffesaker, meklingsmenn i ekteskapssaker, leger, psykologer, apotekere, jordmødre og sykepleiere samt disses betjenter eller hjelpere, som rettsstridig åpenbarer hemmeligheter, som er dem eller deres foresatte betrodd i stillings medfør, straffes med bøter eller med fengsel inntil 6 måneder.»
Begge regelsett nevner hjelpere og synes å forutsette at slike kan benyttes. Etikkutvalget viser her også til Knut Svalheim «Advokaters taushetsplikt» (1996), der det på side 131 er uttalt:
«I forhold til advokatens medhjelpere kan det settes spørsmålstegn ved om taushetsplikten er absolutt. Slik strl. 5Ss 144 er utformet, kan det synes som om lovgiver har ansett det for selvsagt at advokater lar seg bistå av medhjelpere som får innsyn i taushetsbelagt informasjon. Loven kan sies å forutsette at spørsmålet om taushetsplikt overfor medhjelperen kommer i et annet lys enn hva som er tilfelle i forhold til helt utenforstående tredjemenn. At en advokat f.eks. vil la seg bistå av sin sekretær vil en klient måtte regne med. Det normale må derfor være at en advokat er berettiget til å benytte seg av medhjelpere uten at det er nødvendig å avklare dette med klienten på forhånd.»
Dette innebærer etter utvalgets syn at det å bruke interne hjelpere i enkeltsaker og gi dem tilgang til opplysninger som i utgangspunktet er taushetsbelagte, ikke vil være i strid med gjeldende regler. Utvalget forutsetter da at Regler for god advokatskikk punkt 2.3.3 er fulgt.
Det som da gjenstår å vurdere, er om det er i strid med taushetsplikten og diskresjonsplikten å gi alle, eller tilnærmet alle, medarbeidere ved et advokatkontor mer eller mindre fri tilgang til elektronisk lagrede opplysninger i saker som de ikke jobber med. Også denne problemstillingen er berørt i Knut Svalheim «Advokaters taushetsplikt» (1996), der det på side 135-136 er uttalt:
«Er f.eks. en praksis med felles arkiv- og datasystem som også andre advokater har adgang til i strid med taushetsplikten?
Felles for de nevnte eksempler er at man gir andre advokater tilgang på taushetsbelagt informasjon, uten at dette kan begrunnes i hensynet til en pågående klientbehandling, jfr. begrensningen i legel. § 34. Rettskildemessig er det vanskelig å peke på hvor grensene går. Når det gjelder bruk av felles arkiver kan man igjen trekke parallellen til hva som gjelder for leger. Legers taushetsplikt er ikke til hinder for at pasientjournaler oppbevares i arkiver som også er tilgjengelige for andre ansatte.»
Dette kan isolert sett tale for at det ikke vil være i strid med advokaters taushetsplikt å ha et elektronisk arkiv som alle, eller tilnærmet alle, medarbeidere ved et advokatkontor har tilgang til. På den andre siden er den dagjeldende legeloven § 34 som det er vist til i sitatet ovenfor, senere erstattet av mer utførlige bestemmelser i helsepersonelloven, jf. punkt 3 nedenfor.
I en uttalelse av 8. desember 2006 uttalte etikkutvalget seg om plassering av medarbeidere i en organisasjon i åpent kontorlandskap, herunder med advokater og advokatfullmektiger. Uttalelsen inneholder følgende konklusjon:
«Etikkutvalgets konklusjon var at utøvelsen av vanlig advokatpraksis i åpent kontorlandskap som beskrevet, vil innebære en slik stadig risiko for at uvedkommende skal få tilgang til klientopplysninger, at det må frarådes.»
Praktiske hensyn må her også kunne trekkes inn. Alternativet til den ordning som i dag synes å være vanlig, vil være at alle arkivsystemer lukkes slik at bare bestemte personer får tilgang til dokumentene i den enkelte sak. Utvalget antar at dette vil være mulig i praksis ettersom det er nødvendig i forhold til eksempelvis børssensitive saker.
En begrensning av tilgangen til arkivsystemer vil imidlertid ikke hindre advokatfirmaer i å overholde gjeldende bestemmelser om interessekonflikt, idet avdekking av klient- og motpartsrelasjoner ikke krever tilgang til ytterligere informasjon. Men også i denne forbindelse må det iakttas at klientens navn kan være omfattet av taushetsplikten, jf. Rt 2010 s. 1638.
Advokatfirmaer vil være underlagt bestemmelsene i personopplysningsloven. Lovens § 13 første ledd slår fast at den behandlingsansvarlige og databehandleren skal sørge for «tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet». I forarbeidene er følgende eksempel gitt, jf. Ot.prp. nr. 92 (1998-1999) side 115:
«Eksempler på organisatoriske tiltak kan være å etablere klare ansvars- og myndighetsforhold i organisasjonen, sørge for tilfredsstillende kompetanse hos den behandlingsansvarliges personell, og bare autorisere personellet for tilgang til personopplysninger i den grad det er nødvendig for å utføre pålagte oppgaver.»
Høyesterett har i HR-2013-1383-A drøftet reglene om advokaters taushetsplikt opp mot påtalemyndighetens behov for innsyn. Det ble presisert at Økokrim ikke har adgang til å grovsortere informasjon på en speilkopi av en advokats harddisk og bærbare PC, og at kopien på grunn av taushetsplikten skulle ha vært sendt tingretten for videre behandling, jf. straffeprosessloven § 205 tredje ledd. Fra avgjørelsens avsnitt 39 hitsettes:
«Avslutningsvis under dette punkt nevner jeg at ØKOKRIM har fremhevet at bare medarbeiderne ved dataavdelingen, og ikke etterforskerne, har hatt tilgang til speilkopien. Det er gjort et poeng av at taushetserklæring er undertegnet, og at man generelt må ha tillit til medarbeiderne i politi og påtalemyndighet. ØKOKRIM har gjort gjeldende at dette samlet sett gir en sikkerhet som kan likestilles med en forseglet overlevering til tingretten, jf. straffeprosessloven 205 tredje ledd. Til dette bemerker jeg at det ikke er grunn til å reise tvil om integriteten til medarbeiderne i ØKOKRIMs dataavdeling eller til politi og påtalemyndighet for øvrig. Men så lenge speilkopien er i ØKOKRIMs besittelse, vil det alltid med rette eller urette kunne oppstå mistanke om at taushetsbelagt informasjon har tilflytt personer som ikke burde hatt den. Man kan også tenke seg situasjoner der den som sitter på avgjørende informasjon utsettes for et betydelig press. Et system som baserer seg på tillit gir derfor ikke de nødvendige rettssikkerhetsgarantier. Jeg viser her til EMDs dom 27. september 2005 i saken Sallinen mfl. mot Finland EMD-1999-508821, som i avsnitt 89-92 nettopp fremhever behovet for « proper legal safeguards » ved beslag hos advokat.»
3. Oversikt over tilsvarende regler i helsepersonelloven
Mens det ikke finnes noen egen advokatlov med utførlige regler om taushetsplikt, finnes det bestemmelser i helsepersonelloven som det kan være av interesse å se på. I helsepersonelloven kapittel 5 er det gitt bestemmelser om helsepersonells taushetsplikt. Lovens §§ 25 og 26 har følgende ordlyd:
Ǥ 25. Opplysninger til samarbeidende personell
Med mindre pasienten motsetter seg det, kan taushetsbelagte opplysninger gis til samarbeidende personell når dette er nødvendig for å kunne gi forsvarlig helsehjelp. For elektronisk tilgang til helseopplysninger på tvers av virksomheter gjelder helseregisterloven § 13 tredje og fjerde ledd.
Taushetsplikt etter § 21 er heller ikke til hinder for at personell som bistår med elektronisk bearbeiding av opplysningene, eller som bistår med service og vedlikehold av utstyr, får tilgang til opplysninger når slik bistand er nødvendig for å oppfylle lovbestemte krav til dokumentasjon.
Med mindre pasienten motsetter seg det, kan taushetsbelagte opplysninger gis til samarbeidende personell når dette er nødvendig for å ivareta behovene til pasientens barn, jf. helsepersonelloven § 10 a.
Personell som nevnt i første, andre og tredje ledd har samme taushetsplikt som helsepersonell.»
Ǥ 26. Opplysninger til virksomhetens ledelse og til administrative systemer
Den som yter helsehjelp, kan gi opplysninger til virksomhetens ledelse når dette er nødvendig for å kunne gi helsehjelp, eller for internkontroll og kvalitetssikring av tjenesten. Opplysningene skal så langt det er mulig, gis uten individualiserende kjennetegn.
Den som yter helsehjelp, skal uten hinder av taushetsplikten i § 21 gi vedkommende virksomhets pasientadministrasjon pasientens personnummer og opplysninger om diagnose, eventuelle hjelpebehov, tjenestetilbud, innskrivnings- og utskrivningsdato samt relevante administrative data.
Reglene om taushetsplikt gjelder tilsvarende for personell i pasientadministrasjonen.»
Reglene er basert på at taushetsplikten innebærer at det ikke er fri adgang til å gi opplysninger til kollegaer og lignende. I forarbeidene til bestemmelsene er det blant annet uttalt følgende, jf. Ot.prp. nr. 13 (1998-1999) side 98:
«Departementet mener det er behov for å ha et klarere hjemmelsgrunnlag for å tilsidesette taushetsplikten ved å gi opplysninger til pasientadministrative systemer, og vil foreslå at det inntas et eget unntak fra taushetsplikten for disse opplysninger. Dette er foreslått regulert i lovutkastet § 26.»
Helsepersonelloven kapittel 8 omhandler journaler og § 45 omhandler tilgang til journaler:
Ǥ 45. Utlevering av og tilgang til journal og journalopplysninger
Med mindre pasienten motsetter seg det, skal helsepersonell som skal yte eller yter helsehjelp til pasient etter denne lov, gis nødvendige og relevante helseopplysninger i den grad dette er nødvendig for å kunne gi helsehjelp til pasienten på forsvarlig måte. For elektronisk tilgang til helseopplysninger på tvers av virksomheter gjelder helseregisterloven § 13 tredje og fjerde ledd. Det skal fremgå av journalen at annet helsepersonell er gitt helseopplysninger.
Helseopplysninger som nevnt i første ledd kan gis av den databehandlingsansvarlige for opplysningene eller det helsepersonell som har dokumentert opplysningene, jf. § 39. Departementet kan i forskrift gi nærmere bestemmelser til utfylling av første ledd, og kan herunder bestemme at annet helsepersonell kan gis tilgang til journalen også i de tilfeller som faller utenfor første ledd.»
I forarbeidene til denne bestemmelsen er det blant annet uttalt følgende, jf. Ot.prp. nr. 13 (1998- 1999) side 120:
«Journalen skal altså ikke være tilgjengelig for alle som arbeider innen en behandlingsenhet eller for enhver som har nedtegnet opplysninger i journalen. Tilgjengeligheten skal vurderes ut fra det behovet den enkelte profesjonsutøver har for opplysninger for å kunne gi pasienten tilfredsstillende hjelp.»
4. Kort om taushetspliktreglene for finansnæringen
Da det ble kjent at ansatte i banker hadde solgt kontoopplysninger til Se og Hør, sendte det daværende Kredittilsynet 13. mars 2007 ut følgende rundskriv til banker og andre finansieringsforetak:
«Det er i senere tid avdekket et behov for å understreke viktigheten av taushetsplikten som gjelder for banker og finansieringsforetak om kunders forhold. Tillits- og tjenestemenn er underlagt helt klare regler om taushetsplikt om bankkunders forhold mv. i henholdsvis finansieringsvirksomhetsloven, forretningsbankloven og sparebankloven.
Etter finansieringsvirksomhetsloven § 3-14 første ledd første punktum har tillits- og tjenestemenn taushetsplikt 'om det de i stillingens medfør får kjennskap til om andres forretningsmessige eller private forhold hvis de ikke etter lov har plikt til å gi opplysninger'. Tilsvarende bestemmelser er gitt i forretningsbankloven § 18 og sparebankloven § 21, som taler om at tillits- og tjenestemenn har taushetsplikt om 'bankens eller bankkundes eller annen banks eller dens bankkundes forhold'.
Brudd på taushetsplikten er straffesanksjonert. Finansieringsvirksomhetsloven § 5-1 lyder:
'Den som forsettlig eller uaktsomt overtrer denne lov eller bestemmelse eller pålegg gitt med hjemmel i loven eller medvirker til dette, straffes med bøter, eller under særlig skjerpende omstendigheter med fengsel i inntil I år, dersom forholdet ikke går inn under noen strengere straffebestemmelse.'
Bestemmelser om straff er også gitt i forretningsbankloven § 43 og sparebankloven § 59. Det er de enkelte banker og finansieringsforetak som har ansvaret for å påse at bestemmelsene overholdes og som skal beskytte kundene mot at kontoopplysninger og andre forhold omkring kundeforholdet kommer ut til uvedkommende. En viktig del av arbeidet med å hindre brudd på taushetsplikten er holdningsskapende arbeid internt i bankene og finansieringsforetakene. I interne retningslinjer og i ansettelsesavtaler bør det gjøres klart at brudd på taushetsplikten vil kunne få følger for ansettelsesforholdet.
Kredittilsynet ber institusjonene om å gjennomgå sine rutiner og den interne kontrollen med rutinene for å sikre at taushetsplikten overholdes. Foretakene bør i denne sammenheng vurdere begrensninger for hvem som til enhver tid har tilgang til fortrolig kundeinformasjon. Institusjonene bør også vurdere om det bør være særlige begrensninger med hensyn til hvilke ansatte som skal ha tilgang til opplysninger om enkelte kunder eller kundegrupper. Behandlingen av taushetspliktreglene bør videre være et punkt som tas opp i internkontrollrapporteringen til styret. Kredittilsynet vil ved framtidige inspeksjoner også følge opp denne delen av internkontrollen.»
5. Oppsummering
Klientens rett til fortrolighet og taushet omkring de opplysninger han gir sin advokat, korresponderer med advokatens plikt til å ikke bringe dem videre og å forhindre at uvedkommende får tilgang til opplysningene. Uvedkommende er i denne forbindelse også advokatens medarbeidere eller utenforstående, inkludert offentlige myndigheter, som ikke har særskilt hjemmel eller klientens samtykke.
Det er helt nødvendig for opprettholdelse av tillit til advokatene, samt ivareta advokatenes rolle som del av borgernes rettsikkerhetsgaranti, at advokatene selv er i stand til å organisere sin virksomhet på en tillitsvekkende måte. Et system basert på tillit gir ikke de nødvendige rettssikkerhetsgarantier, heller ikke innad på et advokatkontor. Det må derfor gjøres noen prinsipielle valg på hvem som skal ha tilgang på hvilken informasjon. Systemene må være mest mulig enhetlige og tilpasset gjeldende lovgivning.
Utfordringene med å oppfylle disse kravene vil variere alt etter størrelsen på advokatvirksomhetene og antall medarbeidere. Men prinsippene er de samme uansett. Advokaten vil være ansvarlig selv om lagringen av klientopplysningene ivaretas av et stort saksbehandlingssystem på et advokatkontor, både som saksansvarlig advokat og som (del)eier av virksomheten.
Fortrolige opplysninger kan også være salgbare slik det fremgår av punkt 4 ovenfor. Dette illustrerer en av flere trusler som gjør at kravene til sikring mot uhjemlet tilgang må praktiseres strengt.
Etikkutvalget har under punkt 2 ovenfor gitt en oversikt over regelverket og sagt noe om de rettslige rammer samt den praktiske tilnærming.
Utvalget er av den oppfatning at gjeldende regelverk innebærer at advokatfirmaer ikke kan ha elektroniske arkiver med taushetsbelagte opplysninger som er tilgjengelige for alle eller tilnærmet alle medarbeidere. Taushetsplikten gjelder i utgangspunktet også overfor andre medarbeidere i advokatfirmaet. Men dette er normalt ikke til hinder for en hensiktsmessig arbeidsdeling i den enkelte sak. Se Svalheims uttalelse sitert ovenfor på side 2-3. Utvalget har ikke kompetanse til å gi anvisninger på hvordan advokatvirksomhetene i praksis skal innrette seg, annet enn å presisere at å sikre klientens rett til fortrolighet og taushet er advokatens plikt og ansvar fullt ut. Makelighets- og hensiktsmessighetshensyn gir ikke grunnlag for å lempe på sikkerhetskravene.
Det er klart at klienten gjennom samtykke kan frita advokaten fra taushetsplikt. Det fremstår imidlertid som problematisk om advokatfirmaer skal basere sine elektroniske arkiv på at samtlige klienter samtykker i at alle advokater og øvrige ansatte har tilgang til alt.
Det er også utfordringer knyttet til hvordan et eventuelt samtykke skal innhentes. Utvalget kan ikke anbefale advokater å ta inn i sin standard oppdragsbekreftelse at klienten gir samtykke, eller antas å ha samtykket i at alle advokater og sekretærer i firmaet har tilgang til alle saksdokumenter med mindre forbehold tas. Det vil innebære et alvorlig innhugg i taushetsplikten og de hensyn som ligger bak. Her kommer også det forhold inn at et eventuelt samtykke bør være bevisst og uttrykkelig. Derfor bør et samtykke bare knytte seg til en konkret situasjon. Tilgangen bør styres etter hva som er nødvendig, jf. personopplysningslovens system. Tilgangen må kunne etterprøves og det må kunne dokumenteres at tilgangen har vært nødvendig.
Utover dette finner utvalget det ikke riktig å uttale seg nærmere om hvilke prinsipper som bør gjelde for advokatfirmaers elektroniske arkiver. I den forbindelse vises det til at Justisdepartementet nylig har nedsatt et advokatlovutvalg, som i henhold til sitt mandat blant annet skal vurdere følgende:
«Utvalget skal se på regler om advokaters lagring og arkivering av dokumenter, herunder ved overføring av saker mellom advokater eller ved opphør av advokatvirksomhet.»