Av direktør i Datatilsynet Bjørn Erik Thon
At dagens teknologiutvikling går i rasende fart er ingen overdrivelse. Vi konsumerer og bruker data i et voldsomt tempo. Hele 90 prosent av dagens digitale data er generert bare i løpet av de to siste årene og datamengden er antatt å øke med 40 prosent per år framover. I løpet av det minuttet det har tatt å bla seg fram til denne artikkelen og lese det som er skrevet til nå er det lastet ned 47 000 apper, lagt ut 30 timer video på YouTube, sendt 204 millioner e-poster og gjort to millioner søk på Google.
Denne utviklingen treffer i aller høyeste grad Datatilsynet. Det pågår knapt en politisk diskusjon uten at det har en side til personvernet. Bompenger, elektroniske billetter, GPS i arbeidslivet, helsejournaler og helseregistre, sosiale medier, søkemotorer, terrortrusler, digitalisering av offentlig sektor, kameraovervåking og betalingskort; alt har en personvernmessig konsekvens.
Personvern er et begrep med mange nyanser og ulike forståelser. Det finnes derfor ikke én presis og god definisjon på hva personvern er, men enkelt sagt handler personvern om retten til et privatliv og retten til å bestemme over egne personopplysninger. Personvern er ikke bare en viktig menneskerettighet som skal sikre hensynet til den enkeltes personlige integritet og privatliv. Personvern er også viktig for å sikre felles goder i et demokratisk samfunn. Et dårlig ivaretatt personvern vil sette demokratiet i fare ved at borgerne begrenser sin deltakelse i åpen meningsutveksling og politisk aktivitet. Den enkelte kan frykte at opplysninger om personlige forhold kan bli trukket frem og gjort til allmenn oppmerksomhet. Man kan også sette begrensninger på seg selv, fordi man frykter at myndighetene registrerer og lagrer opplysninger om ens ferdsel, interesser, uttrykk for holdninger eller kommunikasjon med andre.
Datatilsynets rolle er å passe på at personvernet ivaretas. Vi skal ivareta enkeltpersoner som mener at deres personvern er krenket, og vi skal passe på at de som har plikter etter personopplysningsloven følger disse.
Datatilsynet manøvrerer i et krevende landskap. Tilsynet består av drøye førti kloke hoder som er veldig bevisste på at vi sammen, og ved å jobbe riktig, kan få til mye godt personvern for norske borgere, samt sørge for at regelverket etterleves bedre enn i dag. Med begrensede ressurser er det imidlertid viktig at Datatilsynet har en god strategi for sitt arbeid. Vi har grovt sett fire virkemidler til disposisjon; behandling av enkeltsaker, kontroller/tilsyn, veiledning av publikum og de som behandler personopplysninger, samt informasjon og bruk av ombudsrollen for å skape debatt og påpeke utfordringer for personvernet. Det er viktig å bruke de ulike virkemidlene riktig. På enkelte områder er utstrakt tilsynsvirksomhet sentralt, på andre områder er veiledning det viktigste, mens det på atter andre områder er viktig å drive informasjonsarbeid.
Datatilsynet må være veldig tydelig på hva som prioriteres. I meldingsåret har følgende områder vært høyest prioritert: Justissektoren, arbeidsliv, økonomi og finans, helse og omsorg, Internett og sosiale medier, samt samferdsel. Grunnen til dette er ganske enkelt at vi ut fra en risikovurdering fant at det er i disse sektorene personvernet er under størst press. Det er de samme prioriteringene som i 2011, og etter vår vurdering har det vært viktig å beholde de samme områdene over minst to år. Samtidig har prioriteringer en negativ side. Viktige områder som for eksempel skole- og utdanningssektoren, registrering av personopplysninger ved bruk av fordelskort og personvern i idretten har for eksempel ikke vært prioritert i 2012.
Datatilsynet har i meldingsåret jobbet for å få opp antallet gjennomførte tilsyn. 2011 var preget av utredningsarbeid og ny strategi, og det var nødvendig å prioritere dette på bekostning av antall tilsyn. I 2012 har antallet derimot økt igjen. Vi er imidlertid mer opptatt av å gjennomføre de riktige tilsynene i de riktige sektorene framfor et visst antall tilsyn. Litt forenklet sagt kan Datatilsynet lett gjennomføre 50 tilsyn på en uke dersom vi ville se nærmere på merkingen av kameraovervåking i de største byene våre, men dette er neppe den beste måten å bruke ressursene på. Et riktig gjennomført tilsyn gir positive ringvirkninger i bransjen og gir bedre regeletterlevelse totalt.
Internasjonalt arbeid er viktig for tilsynet. I januar 2012 la EU-kommisjonen fram et forslag til ny personvernforordning som, når den blir vedtatt, blir til norsk lov. En av hovedhensiktene med forslaget er at håndhevingen av regelverket på tvers av de enkelte nasjonene skal blir bedre. For å lede og koordinere dette arbeidet foreslås det opprettet et eget organ, European Data Protection Board. Det er fortsatt uklart om Norge får en plass i dette organet, og vi har forsøkt å gjøre det politiske miljøet og forvaltningen oppmerksom på hvor viktig det er å jobbe for at Datatilsynet blir med. Den nordiske kanalen er viktig i dette arbeidet. Men mest av alt er det viktig at politikere på alle nivåer og i alle partier bruker sitt internasjonale nettverk for å gi Datatilsynet en plass rundt det bordet hvor beslutninger tas.
Vi i Datatilsynet må til enhver tid sørge for å ha god nok kompetanse til å matche kompetansen hos næringsdrivende, offentlige etater og andre vi fører tilsyn med. En av våre målsetninger er å være Norges mest kompetente fagmiljø på personvern. Andre virksomheters kompetanse på personvern blir stadig bedre, og de fleste store bedrifter, organisasjoner og offentlige etater har i dag ansatt personverneksperter. Dette ser vi først og fremst på som en fordel fordi det er lettere å skape forståelse hos folk med kompetanse på området.
Vi har også som målsetning å gjøre andre gode personvern. I dette ligger en enkel realitet, nemlig at førti mennesker alene ikke klarer å gjøre jobben med å sørge for at lovverket etterleves. Manglende etterlevelse av lovverket skyldes oftere mangel på kunnskap enn manglende vilje, og bedre kunnskap hos eksterne parter fører til bedre etterlevelse av regelverket. En viktig del av denne satsingen er å ha proaktiv kontakt med eksterne aktører. Vi gjennomfører årlig en rekke kontaktmøter og dialogmøter for å fremme personverntanken, lære av andre og finne sammen i godt samarbeid.
Ikke minst er det viktig å ha god kontakt med forsknings- og utviklingsmiljøene. For to år siden pekte vi ut dette som en strategisk satsing, og det har gitt resultater. Vi har bygd ut kontaktnettet med sentrale forsknings- og utdanningsinstitusjoner, vi har vært veiledere på studentoppgaver og vi ser at interessen for å skrive om personvern både på master- og doktornivå er økende.
Men, kompetanse har også en side til det vi startet denne innledningen med, nemlig teknologi. Datatilsynets ansatte må være godt skolert på teknologi. Vi må fange opp teknologitrender tidlig og ha tett dialog med de sentrale teknologidriverne nasjonalt og ikke minst internasjonalt. Teknologi går inn i alt vi gjør, innen alle sektorer. Her må Datatilsynet ligge i forkant. Og vi må sørge for at teknologien tas i bruk for å fremme personvernet. I denne sammenhengen blir innebygd personvern viktig. Ved å bygge personvernet inn i de teknologiske løsningene fra starten av, oppstår det en vinn-vinn-situasjon for alle parter; brukerne får personvernvennlige løsninger, mens virksomhetene slipper kostnadene ved å måtte bake inn gode løsninger i etterkant.