Tema
- Saksbehandling
Rettskildekategori
- Retningslinje
UDI 2015-026 Bruk av nettbaserte åpne kilder og sosiale medier i saksbehandlingen i UDI
1. Innledning
Denne retningslinjen gir veiledning om trygg og riktig bruk av nettbaserte åpne kilder (ÅK), herunder sosiale medier, i saksbehandlingen i Utlendingsdirektoratet (UDI).
Videre veiledning og maler til effektiv bruk av åpne kilder i saksbehandlingen finnes på arbeidsrommet for åpne kilder (ekstern lenke til UDI sitt arbeidsrom, kun tilgjengelig for ansatte i UDI).
Deler av punkt 5.3 og 6.2.1 samt hele 4.2, 4.3, og 4.4 er unntatt offentlighet av hensyn til direktoratets behov for kontroll i enkeltsaker, jf. offentleglova § 24 første ledd (ekstern lenke).
Et sentralt bakgrunnsdokument for retningslinjen er The Berkeley Protocol on digital Open Source Investigations av Human Rights Center (UC Berkely School of Law) i samarbeid med OHCHR (ekstern lenke).
1.1.Hva er åpne kilder?
Med nettbaserte åpne kilder menes informasjon som er offentlig tilgjengelig på internett. Dette er digital informasjon som alle kan se, kjøpe eller be om tilgang til uten krav om særegen juridisk status eller bruk av ulovlige metoder. For vår del er dette som oftest tekst, bilder og videoer. Et nettsted som krever brukerprofil og passord, kan også anses som allment tilgjengelig dersom alle kan skaffe seg tilgang.
Noen åpne kilder krever en sikrere løsning. Det tenkes her særlig på sosiale medier, private blogger og nettsteder, kommunikasjonsapper, diskusjonsforum og lignende. Felles for disse åpne kildene er at UDI ønsker bedre kontroll over hvilke spor UDI legger igjen når det søkes. Kapittel 4 i retningslinjen beskriver denne sikre løsningen.
Samtidig finnes det åpne kilder på internett som ikke krever en sikker løsning som beskrevet i kapittel 4. Dette er eksempelvis offentlig tilgjengelige registre (Brønnøysundregistrene), telefonkataloger, hjemmesider til arbeidsgivere og søk for å få informasjon om arbeidsgivere i Norge og utlandet, studiesteder med mere. Her kan man trygt bruke vanlig nettleser uten ekstra sikkerhetstiltak.
Det understrekes at vi skal være passive i vår innhenting av informasjon, og at vi ikke skal kommunisere aktivt med andre brukere på eksempelvis sosiale medier for å tilegne oss informasjon. Saksbehandlere skal heller ikke aktivt oppsøke datalekkasjer som fra tid til annen legges ut på ulike forum/medier av privatpersoner/grupper.
Til slutt finnes det en rekke verktøy og kilder som ligger bak betalingsmurer. For eksempel er det et økende antall profesjonelle virksomheter som selger alt fra avansert analyse verktøy, skreddersydde søketjenester til registersøk (offentlig tilgjengelig data som virksomheten har samlet inn og systematisert). Dersom UDIs fagmiljø for åpne kilder skal benytte seg av denne type betalingstjenester må det gjennomføres en risiko og sårbarhetsanalyse (ROS-analyse) av hver løsning ÅK-fagteam velger å kjøpe. Dersom andre kontrollmiljøer i UDI skal ha tilgang til denne type tjenester må det godkjennes av Prosessledelse.
Med søk i åpne kilder menes også selve metoden og fremgangsmåten der man bruker informasjon fra åpne kilder for å opplyse en sak.
2. Organisering av åpne kilder i UDI
Åpne kilder har en egen fagansvarlig og et fagteam. Les mer om dette på arbeidsrommet. Videre ansvarsfordeling om hvem som til enhver tid er fagressurser (ÅK-nettverk) i de ulike prosessene er beskrevet på arbeidsrommet.
I UDI er det besluttet at alle saksbehandlere skal kunne foreta grunnleggende søk i åpne kilder som del av saksbehandlingen når porteføljeeier mener det er nødvendig. Det betyr at alle saksbehandlere i UDI må gjøre seg kjent med sikker bruk av åpne kilder og hvilke rutiner som til enhver tid er gjeldende for saker og porteføljer. Saksbehandleres evne til å gjøre søk i åpne kilder er den viktigste faktoren for å sikre at like saker behandles likt. På arbeidsrommet til åpne kilder ligger opplæringsmateriell og brukerveiledninger tilgjengelig.
3. Rettslig grunnlag
3.1 Rettslige grunnlag å opplyse en sak
3.1.1 UDIs utredningsplikt
UDI skal utrede alle saker «så godt som mulig» før det fattes vedtak, jf. forvaltningsloven (fvl.) § 17 (ekstern lenke). Utredningsplikten i fvl. § 17 er videre understreket i utlendingsloven (utl.) § 93 fjerde ledd, som pålegger UDI et selvstendig ansvar for å innhente nødvendige og tilgjengelige opplysninger i asylsaker. Bestemmelsene utgjør det rettslige grunnlaget for å innhente opplysninger fra åpne kilder til bruk i saksbehandlingen.
På lik linje med andre relevante opplysninger, kan opplysninger i åpne kilder og sosiale medier bidra til at saken opplyses så godt som mulig. Søk i åpne kilder kan gi støtte til en forklaring, og/eller avdekke uriktige opplysninger i en sak.
I utgangspunktet har ikke UDI plikt til å innhente opplysninger fra åpne kilder, men det er lov å innhente informasjon så lenge denne er offentlig. Dette fremkommer også av FOU-rapporten «Søk i åpne kilder - hva er lov?» av Simonsen Vogt Wiig AS fra 2019 (ekstern lenke til PDF på udi.no).
God forvaltningsskikk og personvernlovgivningen stiller krav til at innhenting av opplysninger skal være nødvendig og relevant for saken som er til behandling. Dersom det er sannsynlig at undersøkelser i åpne kilder kan gi opplysninger av betydning for vedtaket, faller slike undersøkelser normalt innenfor formålet om å utrede saken så godt som mulig. Så lenge det er relevant for opplysning av saken, er det også adgang til å foreta søk på personens relasjoner og nettverk i åpne kilder.
3.1.2 Personens opplysningsplikt
Personen har en selvstendig plikt til å opplyse saken sin, jf. utl. § 83 første og annet ledd, § 93 fjerde ledd og statsborgerloven (stbl.) § 29 første og annet ledd. UDI kan oppfordre personen til å fremlegge relevant informasjon fra åpne kilder og sosiale medier, men UDI kan ikke pålegge personen å utlevere påloggingsinformasjon til brukerkontoer for selv å hente ut eventuell relevant informasjon.
3.2 Rett til innsyn og uttalelse
3.2.1 Partsinnsyn og innsyn etter personvernregelverket
Det kan gis både innsyn etter forvaltningsloven og innsyn etter personvernregelverket.
Hovedregelen når det gjelder ÅK-rapporter er at det gis innsyn. Dokumenter som inneholder opplysninger av betydning for avgjørelsen skal som hovedregel gjøres tilgjengelige for personen, jf. fvl. § 18 (ekstern lenke). I praksis vil dette si at personen har rett til innsyn i alle opplysninger UDI finner i åpne kilder som bidrar til opplysning av saken.
Generell informasjon om hvordan UDI skal behandle krav om partsinnsyn etter forvaltningsloven er beskrevet i UDI 2014-010 Innsyn etter forvaltningsloven. Her står det også mer om når en kan gjøre unntak fra innsyn i enkelte tilfeller. Innsynsretten kan eksempelvis utsettes hvis slikt innsyn kan motvirke muligheten for å få saken avklart, se forvaltningsloven § 20 (ekstern lenke). Det er da anledning til å lagre rapporten internt i en periode, og at man først gjør den tilgjengelig når saken er avklart.
Veiledning for innsyn etter personvernregelverket er beskrevet i dette dokumentet «de registrertes rettigheter etter personvernlovgivningen». Personvernlovgivningen inneholder også flere unntak fra retten til innsyn. Dersom en utsetter innsyn etter forvaltningsloven § 20 (ekstern lenke) kan en også nekte innsyn i opplysninger som utelukkende finnes i interne dokumenter og det er nødvendig for å sikre forsvarlige interne avgjørelsesprosesser, jf. Personopplysningsloven §16 første ledd bokstav e (ekstern lenke).
3.2.2 Personens rett til å uttale seg
Dersom personen har rett til innsyn i opplysningene, skal opplysningene også bli forelagt personen til uttalelse, jf. fvl. § 17 annet ledd første punktum (ekstern lenke). Dette gjelder likevel ikke dersom funnene bekrefter personens opplysninger, ikke har avgjørende betydning for vedtaket, eller andre hensyn i fvl. § 17 annet ledd bokstav a-c (ekstern lenke) gjør seg gjeldende.
Ved funn i åpne kilder som står i motstrid til personens forklaring på en slik måte at opplysningene kan få betydning for vedtaket, har derfor personen som hovedregel rett til å uttale seg. På hvilket tidspunkt opplysningene skal gjøres kjent for parten, må vurderes opp mot kontrollhensynet. Kravet til kontradiksjon forutsetter at personen gis anledning til å uttale seg om opplysninger av betydning for saken før vedtak fattes jf. fvl. § 17 første ledd (ekstern lenke).
I de tilfellene hvor det gjort funn i åpne kilder som styrker personens øvrige opplysninger trenger ikke UDI å forelegge opplysningene til uttalelse. Personen vil i alle tilfeller ha innsyn i funnene som er gjort, når disse er samlet i et saksdokument.
4. Sikker bruk av åpne kilder
Aktivitet på internett etterlater elektroniske spor, som kan bli gjenfunnet av andre. UDI har derfor tiltak som skal beskytte organisasjonen, personene UDI søker etter og privatlivet til den som utfører søket.
Løsningen fungerer slik at det ikke vil være synlig for tredjeparter hvem UDI søker etter på internett. Her brukes både en isolert sikker søkeplattform, dedikerte søkeprofiler som ikke kan knyttes til UDI og en VPN-løsning som gir oss en annen IP-adresse. Dette er tiltak som sikrer at taushetsbelagte opplysninger ikke blir kjent for uvedkommende.
Ved bruk av et isolert søkemiljø og dedikerte søkeprofiler sikrer UDI også at det private digitale livet til den som utfører søket (UDI-ansatte) ikke sammenblandes med de undersøkelsene som gjøres i åpne kilder som saksbehandler.
Bruken av et isolert søkemiljø tilfører også sikkerhet og beskytter UDI.
4.1 Faglig kompetanse
For å benytte åpne kilder i saksbehandlingen skal alle som utfører denne type kontroll ha gjort seg kjent med de til enhver tid gjeldene rutiner og prosedyrer for sikker bruk av åpne kilder, innhenting av opplysninger og lagring av disse på sak. Det forutsettes at saksbehandler har gjennomgått relevant opplæring av ÅK-fagteam eller ÅK-nettverksressurs.
I UDI skal alle som foretar søk i åpne kilder være:
-
Ansvarlige for sine handlinger (sikres gjennom tydelig rapportskriving og følge retningslinjer og rutiner)
-
Kompetente (sikres gjennom å delta på kurs og lese og følge retningslinje og veiledere)
-
Objektive (sikres gjennom gode arbeidshypoteser, trekke faktabaserte konklusjoner og ikke favoriserer)
-
Lovlydige (overholde gjeldende lover inkludert personvern og rett til privatliv)
-
Sikkerhetsbevisste (beskytte UDI, personen og seg selv)
5. Når skal UDI foreta søk i åpne kilder?
5.1 Innledning
UDI må vekte forvaltningslovens krav til at saken skal utredes «så godt som mulig» opp mot hensynet til effektiv saksbehandling og forsvarlig bruk av forvaltningens ressurser. Gevinstene av søk vil variere mellom sakstyper og landporteføljer over tid og må vurderes konkret og jevnlig i hver portefølje. I likhet med andre typer undersøkelser, ligger ansvaret for å vurdere om det er hensiktsmessig å benytte søk i åpne kilder hos de ulike saks- og landporteføljene. Når det fastsettes rutiner for søk i åpne kilder må man sørge for at prinsippet om likebehandling følges innad i team og på tvers av team og prosesser. Det vil derfor, i mange tilfeller, være nødvendig å involvere andre deler av organisasjonen for å utveksle erfaringer og kompetanse for å sikre lik behandling av sakene uavhengig av hvor i organisasjonen en sak behandles.
Fagteamet i åpne kilder kan være behjelpelige med slike vurderinger og bør kontaktes som ressurspersoner i denne sammenheng.
5.2 Sannsynlighet for å gjøre relevante funn
Den generelle erfaringen med søk i åpne kilder i UDI er at dette er et svært nyttig og ressursbesparende verktøy. Ved vurdering av om det er sannsynlig at søk kan gi informasjon som er av betydning for å fatte riktig vedtak i den aktuelle saken, skal det ses hen til tidligere erfaringer med søk i den aktuelle porteføljen der dette allerede er kartlagt. Det er derfor viktig at team og prosesser jevnlig vurderer relevansen av slike søk og deler sine erfaringer på tvers i UDI. Dette er spesielt viktig i tilfeller hvor man avdekker modus for bestemte søkergrupper eller landporteføljer som kan være av betydning for saksbehandlingen.
Ved vurderingen av ressursbruken i den enkelte sak vil det være relevant å se hen til hvilken betydning eventuelle funn vil ha i den enkelte sak eller portefølje.
Det er viktig å være bevisst at resultatet av eventuelle tidligere søk i åpne kilder kan ha endret seg på kort tid. Det kan derfor ikke utelukkes at man vil gjøre nye relevante funn kort tid etter forrige ÅK-søk i samme sak.
5.3 Tidspunktet for søk
Behovet for avklaring i saken, forvaltningens utredningsplikt og effektivitetshensyn i saksbehandlingen taler for å gjøre søk i åpne kilder så tidlig som mulig i saksgangen. Hvorvidt UDI også skal gjennomføre søk der politiet allerede har foretatt ÅK-søk, må vurderes konkret i den enkelte sak.
6. Hvordan bruke opplysningene fra åpne kilder i saksbehandlingen?
6.1 Generelt om bruk av opplysninger fra åpne kilder
Mange funn i åpne kilder bekrefter og støtter opplysningene gitt av søkeren. Samtidig gjøres det også funn som svekker opplysningene som er gitt i saken og svekker personens troverdighet.
Opplysninger funnet i åpne kilder er ikke en forklaring gitt av personen til utlendingsforvaltningen. Informasjon UDI finner i åpne kilder og sosiale medier spesielt, er publisert uten noen krav om sannhet eller seriøsitet.
Hvilken vekt funn i åpne kilder skal tillegges, må vurderes i tråd med alminnelige bevisteoretiske prinsipper. Det vil si at funn fra åpne kilder, som andre opplysninger i en sak, vurderes konkret og holdt opp mot andre opplysninger i saken.
Som hovedregel skal opplysninger hentet fra åpne kilder, og særlig sosiale medier, underbygges av andre opplysninger i saken, dersom de skal vektlegges i utlendingens disfavør. Funn som består i fravær av opplysninger skal gjennomgående behandles med større varsomhet enn positive funn. Troverdigheten av utlendingens forklaring rundt funnene skal alltid vurderes.
6.2 Gjenbruk av personopplysninger på tvers av saker
UDI kan i visse tilfeller gjenbruke personopplysninger på tvers av saker. Les mer om dette i punkt 4.2 i UDI 2010-149 Taushetsplikt i utlendings- og statsborgersaker. Her står det at bestemmelsen i annet ledd i utf. § 17-7a stadfester at UDI kan viderebehandle personopplysninger for nye formål når det er nødvendig av kontrollhensyn og sakene har en forbindelse, noe som medfører at opplysninger kan gjenbrukes i saker fra eksempelvis nær familie (ektefelle/samboer, barn, foreldre, søsken).
6.3 Dokumentering av søk
Gjøres det søk i åpne kilder skal dette alltid dokumenteres i DUF. Det er utarbeidet tre standard løsninger for 1) rapport ingen funn 2) rapport uten relevante funn og 3) rapport med relevante funn. Mal og brukerveiledning for å lage rapporten ligger på arbeidsrommet til åpne kilder (ekstern lenke til UDIs intranett, kun tilgjengelig for ansatte i UDI).
Årsaken til at vi også rapporterer der vi ikke har gjort funn eller relevante funn er fordi det er viktig å dokumentere hvilke undersøkelser som har blitt gjort. Det er også den eneste muligheten UDI har til å holde oversikt over alle saker der søk i åpne kilder brukes. Det er viktig for blant annet statistikk og revisjonshensyn.
6.3.1 Dokumentering av søk uten funn
I tilfeller der det er søkt i åpne kilder og ikke gjort funn som kan knyttes til personen skal søket likevel dokumenteres i en rapport. Av rapporten skal det fremgå at det er gjort et søk, når det er søkt og hvor det er gjort søk. Dette er en rask prosess med nick i postklienten. Det er en egen veileder på arbeidsrommet for hvordan dette gjøres i DUF.
6.3.2 Dokumentering av søk som gir treff uten relevante funn
I tilfeller der vi finner profiler i åpne kilder, men det gjøres ingen relevante funn som belyser hypotesen/spørsmålet i saken, skal søket likevel dokumenteres i en rapport. Av rapporten skal det fremgå at det er gjort et søk, når det er søkt, hvor det er gjort søk og det skal klippes inn URL til profilen og eventuelt ID-nummer.
Dette er en rask prosess med nick i postklienten og det er en egen veileder på arbeidsrommet for hvordan dette gjøres i DUF.
Det understrekes at denne forenklede rapporten uten skjermbilder ikke tilfredsstiller gjeldende krav til fullstendig ÅK-rapport. Det vil si at det ikke er tilstrekkelig begrunnet at profilene/funnene tilhører riktig person med skjermbilder og redegjørelse.
Dersom det er viktig å dokumentere at profilene som er funnet tilhører personen må løsningen under velges i stedet (6.3.3).
6.3.3 Dokumentering av søk som gir relevante funn
I tilfeller hvor det blir gjort funn etter søk i åpne kilder, skal funnene dokumenteres i en rapport. Rapportmalen ligger tilgjengelig på arbeidsrommet for nedlastning. På grunn av at rapporten vil inneholde bilder må denne lages utenfor saksbehandlingssystemene for deretter å lastes opp via t:disk.
6.4 Dataminimering og overskuddsinformasjon
Personvernlovgivningen åpner kun for å innhente og lagre relevante og nødvendige opplysninger. Etter personvernreglenes krav til formålsbestemthet og relevans ved innhenting og lagring av personopplysninger, skal det ikke lagres overskuddsinformasjon. Opplysninger uten betydning for vedtaket de er innhentet for, skal derfor slettes før rapporten lagres på saken. Dette gjelder også opplysninger som på vedtakstidspunktet kan tenkes å være nyttig å lagre med tanke på kontroll i senere saker. Det er viktig å vekte dette opp mot prinsippet om at personopplysningene skal være riktige. Hvis det slettes for mye av sammenhengen, kan opplysningene få en annen eller uklar betydning. Prinsippene om dataminimering og riktighet er begge like viktige å ivareta når man velger hva som skal være med i rapporten.
Tema
- Saksbehandling
Mottaker
- UDI
Eier
- UDI Kontroll
Rettskildekategori
- Retningslinje