Leders beretning
Leders beretning er en introduksjon til årsrapporten, skrevet av direktør Line Coll. Her gis det et overordnet bilde over rapporteringsåret 2022.
Året 2022 har vært fullt av små og store hendelser, både internt og eksternt. Jeg er imponert over de ansattes evne til både innsats, produksjon og samarbeid, i en tid med endring og uro. Begynnelsen av året var preget av uforutsigbarhet og nedstengning. Da samfunnet igjen åpnet etter pandemien, brøt det ut krig i Ukraina. Dette kom uforutsett på oss alle, og vi ble berørt av det på flere områder. Datatilsynet prioriterte situasjonen med krig i Europa høyt, og vurderte hvilke personvernkonsekvenser krigen eventuelt ville kunne gi i Norge. Faren for målrettede cyberoperasjoner økte, og norske selskaper som hadde databehandleravtaler med Russland og Ukraina, ble anbefalt å gå gjennom denne typen kontrakter på nytt. Det viste seg at dette var en riktig prioritering, og flere selskaper brøt samarbeidet med Russland. Sårbarheten rundt personopplysninger i krig og krise kom for alvor nærmere vårt eget land.
I februar avsluttet tidligere direktør Bjørn Erik Thon sitt andre åremål, og Janne Stang Dahl ble konstituert direktør frem til min oppstart i august 2022. Disse endringene har selvsagt også hatt innvirkning på de ansatte.
Løpende saksbehandling, kontroll og veiledning har vært høyt prioritert. Vi har hatt flere store saker knyttet til cyberangrep og urettmessig deling av data. NAV fikk overtredelsesgebyr etter at personopplysninger om arbeidssøkende ulovlig hadde ligget åpent på en arbeidsgiverportal, Stortinget vedtok det ilagte gebyret, og vi åpnet sak om overføring av kundedata fra matvarebransjen til Statistisk sentralbyrå (SSB). Vi ser også et visst etterslep etter pandemien hos ulike virksomheter, og har hatt mange saker knyttet til blant annet overvåking av ansatte på hjemmekontor og digitalisering i skolen.
I november kom Personvernkommisjonens rapport (NOU 2022: 11 «Ditt personvern – vårt felles ansvar»), og vi støtter helhjertet opp om de fleste tiltakene som foreslås der. Kommisjonen har levert en grundig, god og viktig utredning, og vi håper anbefalingene som gis blir fulgt opp med konkrete tiltak som kan styrke personvernet, både for enkeltindividet og for samfunnet. Vi har i tiden etter offentliggjøringen jobbet for at rapporten skal følges opp og være på agendaen hos både beslutningstakere og politikere.
I Personvernkommisjonens rapport trekkes det frem at det er en gjennomgående tendens at digitaliseringen skjer på bekostning av personvernet. Kommisjonen understreker at dette utviklingstrekket underbygger viktigheten av et styrket Datatilsyn i Norge.
Barn og unge har vært et prioritert område for oss også i 2022, og vi har vært meget tydelige på at personvernet i skole og barnehage er under press. Personvernkommisjonens rapport fremhever også dette, og løfter frem flere av våre tidligere forslag.
I 2022 mottok vi flere klager enn året før. Feil i behandling av personopplysninger i registre, er det vi mottar flest klager på og får flest henvendelser om til veiledningstjenesten vår. Antall meldinger om brudd på personopplysningssikkerheten (avvik) fra virksomheter har også økt. Avviksmeldingene kommer fra både offentlige og private virksomheter over hele landet. Den mest vanlige årsaken til avvikene, er feilsendinger og feilpubliseringer av personopplysninger. Manglende rutiner for tilgangsstyring er også et problem.
Antall innsynsbegjæringer har økt med hele 21 prosent på ett år, fra 5 715 til 6 916 dokumenter. Omfanget og presset på innsyn i saker og dokumenter, er svært utfordrende for oss, og vi bruker mye tid og store ressurser på å håndtere disse riktig.
Datatilsynet jobber mer og mer internasjonalt, og vi er aktivt med i Det europeiske personvernrådet (EDPB) – det øverste personvernorganet i EU. Det internasjonale arbeidet er tidkrevende, men nødvendig ettersom mye av rettsdannelsen skjer i EU. Flere saker av internasjonal karakter har fått stor oppmerksomhet, og debatten om og sakene mot teknologigantene har skutt fart. Schrems II-dommen og overføring av data til tredje land får fremdeles stor oppmerksomhet, og vi opplever at veiledningsbehovet på området er stort.
Datatilsynets hovedmål er et godt personvern for alle. Vi mener vi har oppnådd hovedmålet på en god måte. Gjennom klagesaksbehandlingen har vi fulgt opp viktige sentrale prinsipper i personvernretten, og vi har gitt overtredelsesgebyr i de alvorligste sakene. Dette gir en viktig signaleffekt. Behandling av saker og ileggelse av reaksjoner bidrar til etterlevelse, noe som nettopp er kjernen i hovedmålet.
Den regulatoriske sandkassen har vært en suksess. Nyheten om at dette ble et fast tilskudd på statsbudsjettet, ble derfor mottatt med glede. Vi har satt i gang en ekstern evaluering av sandkassen som vil ferdigstilles i 2023. Vi har hatt god dialog med virksomhetene som har deltatt i de ulike sandkasseprosjektene, og det er et viktig mål for oss at sluttrapportene vi produserer i sandkassen skal ha betydning og effekt også for andre virksomheter og bransjer. Det er lagt vekt på at prosjektene som tas opp skal være innovative og samfunnsnyttige. Arbeidet i sandkassen bidrar dermed til å oppfylle målet vårt om et godt personvern for alle. Sandkassen har hatt omlag fem årsverk til disposisjon, noe som er et betydelig antall i et tilsyn med rundt 60 årsverk, men vi mener dette har vært en god og riktig bruk av ressurser.
En av kjerneoppgavene våre er å kontrollere regelverk gjennom tilsyn og saksbehandling, og samtidig gi veiledning. Den desidert største ressursinnsatsen i meldingsåret har vært knyttet til slikt arbeid, og de fleste tallene går oppover. Det krever tydelige prioriteringer. Dette er noe vi kommer nærmere inn på i flere deler av denne rapporten, og i «Vurderinger av fremtidsutsikter» beskriver vi hvordan dette vil påvirke arbeidet vårt fremover.
Vi har holdt en stabilt høy produksjon etter pandemien. Vi merker likevel at vi er berørt også i etterkant av koronaen, ikke minst når det gjelder de ansattes trivsel. Det å komme inn i «den nye normalen» tar tid. Mange sliter fortsatt med ettervirkninger av ulik art, men motivasjonen for igjen å kunne delta i fysiske møter, bygge nettverk og treffes ansikt til ansikt igjen er stor. Vi synes vi har håndtert dette på en god måte, og vi har klart å holde både motet og arbeidsinnsatsen oppe, selv om mange er slitne.
Ut fra en samlet vurdering av de oppnådde resultatene, ressursbruk og måloppnåelse mener vi å ha oppnådd hovedmålet.
Oslo, 15. mars 2023
Line Coll
Direktør