Datatilsynet mener personvernet ikke blir tilfredsstillende ivaretatt ved innføring av biometriske pass, det vil si pass som inneholder ansiktsgjenkjenning og fingeravtrykk.
Men dette har ikke stoppet opp produksjonen av biometriske pass, som ble vedtatt for halvannet år siden.
Ifølge seksjonssjef Steinar Talgø i Politidirektoratet er det foreløpig ansiktsgjenkjenning som er aktuelt, og Talgø anslo til digi.no at det i løpet av oktober i fjor ville bli trykket opp i underkant av 30 000 nye biometriske pass.
Men nå setter Datatilsynet foten ned, og mener at Politidirektoratet ikke kan dokumentere at sikkerheten er godt nok ivaretatt ved innføringen av de nye biometriske passene.
Dette kommer fram i en foreløpig rapport etter at Datatilsynet var på tilsynsbesøk hos Politidirektoratet.
Politidirektoratet er administrativt ansvarlig for utstedelsen av de nye passene.
Datatilsynet har tidligere stilt spørsmål ved om personvernet er tilfredsstillende ivaretatt ved innføringen av de nye biometriske passene, mens Justisdepartementet på sin side har hevdet at de nye passene ikke representerer noen trussel mot legitime personverninteresser.
Datatilsynet mener at det ikke er gjort tilstrekkelige vurderinger med hensyn til personvern og informasjonssikkerhet. Informasjonen til dem som får utstedt de nye passene er også mangelfull.
Datatilsynet varsler derfor Politidirektoratet om at det kan bli fattet vedtak om følgende pålegg:
- Det må gis informasjon om passinnehaverens rett til innsyn og eventuell retting av personopplysninger som lagres i passene. Det må også tilbys en teknisk løsning som faktisk gjør det mulig for passinnehaver å få sjekket at de opplysningene som lagres i passets databrikke er korrekte. Passinnehaveren må også gis tilstrekkelig informasjon om hvordan opplysningene fra passet blir behandlet på grensekontrollene, både i Norge og i andre land.
- Politidirektoratet må etablere en mer fullstendig databehandleravtale med firmaet som produserer de nye passene.
- Datatilsynet konstaterte også etter tilsynet at Politidirektoratet hadde et mangelfullt system for internkontroll, når det gjaldt håndteringen av de nye passene.
Politidirektoratet vil bli gitt en frist til 1. mai 2006 til å etterkomme påleggene fra Datatilsynet. Fristen for å komme med tilbakemelding i forhold til det varslede vedtaket er satt til 31. januar.