Bilde: Samuel1983/Pixabay.com

Viktig informasjon om SARTopo

FORF har kommet med oppdatert informasjon om bruken av SARTopo og arbeidet som gjøres i forbindelse med bruksforbudet som ble nedlagt. Også NRRL er berørt av dette, og det er viktig at alle som deltar med sporing og karttjeneste i redningsaksjoner setter seg inn i denne informasjonen, også selv om man selv ikke direkte har benyttet SARTopo.

Det følgende ble publisert på FORF sine nettsider før helga:

Informasjon og oppdatert info om SARTopo som et system med aksjonsstøttefunksjonalitet!

SARTopo er et system med aksjonsstøttefunksjonalitet som brukes av noen organisasjoner. SARTopo opereres per i dag uten de nødvendige databehandlingsavtaler og uten at organisatoriske og tekniske tiltak er etablert mellom redningsorganisasjonene og systemleverandøren CalTopo, som er lokalisert i USA.

Politidirektoratet har varslet Datatilsynet om mulige personvernbrudd.

I april 2022 leverte Politidirektoratet (POD) et varsel om bruken av SARTopo til Datatilsynet. I varselet blir frivillige redningsorganisasjoner omtalt, men ikke ved navn. POD oppgav at SARTopo ikke tilfredsstiller europeisk personvernlovgivning.

FORF ble informert om varslet i juni. Det ble raskt nedsatt en arbeidsgruppe i FORF til å håndtere situasjonen. I løpet av sommeren formidlet POD til FORF at bruken av SARTopo må opphøre og at de frivillige redningsorganisasjonene i stedet bør ta i bruk Garmin Basecamp. For å forenkle situasjonen for de frivillige noe, tilbyr politiet at de frivillige får tilgang til deres kartverk. Arbeidsgruppa i FORF la frem flere alternative forslag for POD, som alle ble avvist.

Hva gjør FORF og de frivillige redningsorganisasjonene?

Alle organisasjonene som bruker eller har brukt SARTopo må varsle Datatilsynet om at det muligens er skjedd personvernbrudd. Alle organisasjonene i FORF er enige om å sende inn et likelydende varsel til Datatilsynet. I varselet må man beskrive hvilke tiltak man innfører for å redusere risikoen for personvernbrudd.

Følgende tiltak innføres i medlemsorganisasjonene i FORF:

– De enkelte organisasjonene sender hvert sitt (likelydende) varsel til Datatilsynet.

– FORF ønsker – så langt det er mulig – å legge til rette for fortsatt bruk av SARTopo inntil nytt aksjonstøttesystem er rullet ut. FORF melder inn risikoreduserende tiltak, som skal utføres for å bedre personvernet best mulig, til Datatilsynet.

– FORF overtar kundeforholdet hos CalTopo fra Norsk Folkehjelp, som har administrert dette frem til i dag.

– SARTopo skal fremover settes opp på nytt med de strengeste personverninnstillinger og suppleres med en veileder for operasjonell bruk av SARTopo. Dette vil bl.a. innebære at det ikke blir mulig å legge inn noen personopplysninger i SARTopo, heller ikke i chatten.

Kan man bruke SARTopo fremover?

For de som allerede bruker SARTopo er målet at bruken skal bli personvernmessig mindre problematisk med tiltakene som nå iverksettes. Når nytt felles aksjonsstøtteverktøy er på plass, vil naturlig all bruk av SARTopo opphøre.

Hvordan påvirker dette NRRL og hva gjør vi?

NRRL bidrar til den frivillige redningstjenesten med leveranse av blant annet sambandsstøtte, sporingstjeneste,
reservesamband og teknisk bistand / kompetanse. Det er i overkant av 40 lokalgrupper med aktivert
sambandstjeneste i Norge. Organisasjonen har nasjonalt rett over 2000 medlemmer, hvorav man regner rundt
10% er engasjert i sambandstjenesten.

Vårt bidrag med blant annet sporing av mannskaper kan ha bidratt til risiko. NRRL sendte inn sitt varsel til Datatilsynet fredag 16. september. Vi forholder oss lojalt til de felles tiltakene som FORF har beskrevet.

Felles FORF-forvaltet plan med risikoreduserende tiltak:

  • Organisatorisk tiltak: En arbeidsgruppe bestående av ansatte/frivillige i Norsk Folkehjelp, Norske redningshunder, Norsk Radio Relæ Liga, Norges Røde Kors og administrasjonen i FORF arbeider med effektuering av de risikoreduserende tiltakene.
  • Teknisk tiltak: Opprette ny instans av SARTopo i administrativ regi av FORF/medlemsorganisasjonene.
  • Organisatorisk tiltak: Bistå CalTopo med deres tilpasninger til GDPR-forordningen for å kunne signere Standard
  • Contractual Clauses og Transfer Impact Assessment.
  • Organisatorisk tiltak: Nåværende instans av SARTopo som er under frivillig-styring skal termineres. Alle aksjonsdata slettes når den nye instansen er operativ.
  • Teknisk tiltak: Innføre mest hensiktsmessig nivå på alle tilgjengelige personvernstillinger i den nye instansen.
  • Teknisk tiltak: Aksjonsdata (slettes umiddelbart etter maks 2 dager) etter eksport/sikring av aksjonsdata til internt arkivsystem.
  • Organisatorisk tiltak: Innføre presise instrukser til mannskapene om nytt regime for personopplysninger.
  • Organisatorisk tiltak: I SARTopo legges det kun inn «Initial Planning Point» (oppstartpunkt for aksjonen) og statistiske avstandsringer for å kunne benytte «sykkelhjulmodellen» til å etablere riktig søk – med bruk av behandlingsgrunnlag ‘Vitale interesser’ med fare for liv og død.

SAMMENDRAG av planlagte risikoreduserende tiltak:

  • FORF vil overta det formelle ansvaret for avtalen med CalTopo og SARTopo-lisensene i de to kontiene (eksisterende og ny)
  • FORF vil fortsette bruk av SARTopo og dette vil pågå kun frem til nytt felles aksjonstøttesystem (i regi av HRS/norske myndigheter) er fullt ut implementert i alle fylker.
  • Det er ønskelig at politiet/HRS kun overfører IPP-opplysninger og kategori/modus om savnede til de frivillige redningsaksjonene ved oppstart av søkeaksjoner.
  • Personvernkompetente ressurser i redningsorganisasjonene og FORF vil samarbeide med CalTopo om tilpasning til GDPR-forordningen både teknisk, organisatorisk og juridisk.
  • En restrisikovurdering vil bli utarbeidet i etterkant av samarbeidet med CalTopo hvor sentrale spørsmål blir avklart.
  • Det benyttes behandlingsgrunnlag ‘Vitale interesser’ for savnedes personvern og Artikkel 49 ‘Unntak for særlige situasjoner’ for frivillige mannskaper med personvernerklæring / signert samtykke der hvor personopplysninger blir registrert i SARTopo.
  • FORF-organisasjonene strammer inn maksimalt på tekniske tiltak i SARTopo-løsningen og supplerer med organisatoriske tiltak, tydelige instruksjoner og opplæring.
  • Aksjonsdataene slettes straks nødvendig dokumentasjon er sikret – maks 1–2 dager etter aksjonen er avsluttet og politiet har mottatt aksjonsdata eksportert fra SARTopo.

Norsk Radio Relæ Liga
Postadresse: Postboks 20 Haugenstua, 0915 Oslo
Besøksadresse: Nedre Rommen 5E, Oslo
 
Telefon: 22 21 37 90 - kontortid: tirsdag-torsdag kl 09-15 (ferielukket i juli)
Kontaktskjema

© Copyright 2017-2022 Norsk Radio Relæ Liga. Alt innhold er opphavsrettslig beskyttet.
Det betyr at du ikke kan kopiere tekst, bilder eller annet innhold uten avtale. NRRL har ikke ansvar for innhold på eksterne nettsider som det lenkes til.