Årsrapport for 2019

Årsrapport for 2019

I årsrapporten vår kan du lese om hva som preget 2019 på personvernfeltet, og hvilke utfordringer Datatilsynet ser fremover. Du finner også en gjennomgang av de viktigste sakene og områdene vi har jobbet med. Årsmeldingen er et utdrag av årsrapporten som er sendt til Kommunal- og moderniseringsdepartementet. Last ned pdfen dersom du vil lese hele den godkjente årsrapporten.

Leders beretning

Leders beretning er en introduksjon til årsmeldingen, skrevet av direktør Bjørn Erik Thon, der han gir et overordnet bilde over meldingsåret 2019.

Skal vi feste noen stikkord til året 2019, må det bli avvik, politisk debatt, internasjonalt arbeid og forberedelse til de neste fem årene.

Avviksmeldinger

Avviksmeldinger er ikke noe nytt for Datatilsynet, og plikten til å melde avvik har eksistert i en årrekke. Men antall meldinger har vært beskjedne, med en bunnår i 2015 da vi mottok fattige 86 meldinger. Med det nye personvernregelverket ble kravet om å melde avvik skjerpet, og som alltid når nye regler kommer, er det interessant å stille følgende spørsmål: Får de næringsdrivende med seg endringene? Svaret må besvares med et entydig ja, i hvert fall hva angår plikten til å melde avvik. Vi endte opp med 1 916 avviksmeldinger.

Nå er det ikke slik at alle disse sakene tas opp til full forvaltningsbehandling. Dersom avviket karakteriseres som lite alvorlig, og virksomheten har iverksatt tiltak for å lukke avviket og begrense skaden, avsluttes saken med et enkelt brev. Men vi ser også at de mest alvorlige sakene vi har behandlet det siste året, har sitt utspring i avviksmeldinger. Det er også grunn til å peke spesielt på personvernet for barn og unge i utdanningen, og vi viser særlig til det som er skrevet om dette i et eget kapittel i årsmeldingen.

Politisk debatt

En annen ting som har preget året, er politisk debatt om personvernspørsmål. Debatten om det som ble omtalt som «dødelig personvern» handlet om hvorvidt en for streng fortolkning av personvern­reglene forhindret behandling av pasienter. Datatilsynet tok utfordringen, stilte til debatt og strakte ut en hånd til kritikerne. Etter at debatten hadde lagt seg, opplevd vi imidlertid ingen særlig respons på vår utstrakte hånd. Her håper vi på mer bevegelse fremover.

I januar gjorde Datatilsynet et linjeskift. Vi åpnet, med noen klare forutsetninger, for veiprising. Grunnen til vårt standpunkt kan kort oppsummeres slik: Statens inntekter knyttet til bilkjøring går dramatisk nedover, og dagens system med at man betaler for passering av et «tilfeldig» punkt er i lengden ikke bærekraftig og heller ikke særlig rettferdig. Det vil derfor gi bedre personvern om Datatilsynet setter premissene for en personvernvennlig veiprising, enn å sette seg på bakbeina og si nei. Vi forutsetter at det ikke registreres hvor man har kjørt, bare at man har kjørt. Personvern må bygges inn i teknologien fra starten og gi bedre personvern samlet sett, enn dagens løsning gjør.

En tredje debatt å trekke frem, handler om digitalt grenseforsvar som også ble omtalt i fjorårets årsmelding. I vårt høringssvar gikk vi imot regjeringens forslag som også fikk sterk kritikk fra uventet hold. Både Riksadvokaten, Politiets Sikkerhetstjeneste og de hemmelige tjenestenes kontrollorgan (EOS-utvalget), gikk alle ut med til dels sterk kritikk av forslaget. Vi har sjelden sett et lovforslag få en så dårlig start. Særlig alvorlig er det at det er umulig å fastslå omfanget av overvåkingen – med det i mente at lovverket skal praktiseres i hemmelighet av en hemmelig tjeneste.

Internasjonalt arbeid

En av de viktigste pilarene i personvernregelverket er et forpliktende samarbeid koordinert av det europeiske Personvernrådet (EDPB). Datatilsynet har vært meget aktive i dette arbeidet. Vi har vært rapportør for to viktige veiledere, og det er faktisk halvparten av de totale antall veilederne Personvernrådet har ferdigstilt.

Det behandles også en stor mengde overnasjonale saker, der poenget er å samarbeide på tvers av landegrensene. Vi følger nøye med på og bidrar med innspill i mange viktige saker, og har også hatt ansvar for ti saker der norske virksomheter har vært klaget inn.

Interne prosesser

De siste årene har vi sett at Datatilsynets organisering ikke har vært optimal, sett i lys av våre oppgaver. Vi har tidligere valgt å utsette en organisasjonsgjennomgang til vi har sett et samlet bilde av hva som ville treffe oss etter at det nye personvernregelverket trådte i kraft. I 2019 var tiden moden, og etter en grundig prosess som var godt forankret i hele virksomheten, kom den nye organisasjonen på plass tidlig på høsten.

Introduksjon til virksomheten

Datatilsynet ble opprettet i 1980, og er et uavhengig forvaltningsorgan under Kommunal- og moderniseringsdepartementet (KMD). Vår hovedoppgave er å bidra til at personvernlovgivningen etterleves, og at alle skal ha beskyttelse i tråd med gjeldende personopplysningsregelverk.

Vi skal fremme personvern som en sentral verdi i samfunnet og være ombud i personvernspørsmål. Vi skal delta i personverndebatten og sette dagsorden, vi skal undersøke og dele fakta om person­vernets kår både nasjonalt og internasjonalt, og vi skal jobbe for at personvernet ivaretas også på områder som faller utenfor vårt tilsynsområde.

Personvern handler enkelt sagt om retten til et privatliv og retten til å bestemme over egne personopplysninger. Personvern er en menneskerettighet som skal sikre hensynet til den enkeltes personlige integritet, men det er også en ideell interesse og svært viktig for å sikre felles goder i et demokratisk samfunn. Datatilsynet må derfor jobbe aktivt for å oppnå en god ivaretagelse av personvernet i avveiingen mot andre samfunnsinteresser.

Mål

Datatilsynets hovedmål er definert som «Et godt personvern for alle». For å nå hovedmålet vårt, lanserte vi høsten 2017 en strategi som skal være førende for arbeidet vårt fram til og med 2020. Der har vi definert seks delmål som skal ligge til grunn for arbeidet vårt. Datatilsynet skal

  1. arbeide for en mer rettferdig maktbalanse mellom individet på den ene siden, og kommersielle aktører og det offentlige på den andre
  2. arbeide for å fremme personvernvennlig digitalisering, innovasjon og utvikling
  3. arbeide for at virksomheter blir kompetente, forstår viktigheten av godt personvern og etterlever regelverket
  4. bidra til at individet i større grad kan ivareta sitt eget personvern
  5. påvirke og ta lederrollen i noen utvalgte internasjonale prosesser for å fremme bedre personvern
  6. være et kompetent og fremtidsrettet tilsyn

Prioriteringer

De områdene/aktivitetene som har hatt høyest prioritet i meldingsåret er:

  • Behandling av avviksmeldinger
  • Behandling av internasjonale saker
  • Barn, unge og utdanning
  • Helse og Nav
  • Kommunikasjon og veiledning
  • Intern IKT

Virkemidler

For å nå hovedmålet vårt har vi i hovedsak fem ulike virkemidler til disposisjon. Vi prøver til enhver tid å kombinere disse virkemidlene der det er mulig for å oppnå en best mulig effekt. Her er en generell oversikt over de ulike virkemidlene.

Saksbehandling som virkemiddel

Gjennom saksbehandling tilegner vi oss erfaring og kunnskap om hvordan personvern­hensyn ivaretas i praksis, og vi skal særlig ha oppmerksomheten rettet mot å identifisere systemfeil i virksomheter og bransjer.

Saksbehandling som virkemiddel har særlig vært brukt på områder der vi mottar mange henvendelser og klager. Som offentlig etat, er vi naturlig nok bundet av forvaltningsrettslige regler og normer. Det gjøres derfor mye saksbehandling også innenfor områder som ikke er hovedprioritet.

Tilsynsvirksomhet som virkemiddel

Gjennomføringen av tilsyn gir signal om at regel­verket skal etterleves og at etterlevelsen blir kontrollert. Tilsynsvirksomheten gir oss et fakta­basert grunnlag for kommunikasjon til ulike bransjer og relevante aktører. Tilsyn skal dessuten benyttes aktivt for å under­søke og avklare praksis, og til å følge opp konkrete problemstillinger i enkeltsaker. Tilsynsvirksomheten inkluderer også bruk av kontrollhjemler i saks­behandlingen, slik som for eksempel når vi følger opp enkeltklager gjennom krav om redegjørelse.

Ved å gjennomføre tilsyn når nye løsninger tas i bruk, men før en praksis har satt seg, kan tilsyn også medvirke til å forme et område videre.

Noen ganger benyttes kontrollene dessuten for å få bedre oversikt over et område eller en sektor, og for å skaffe et bedre grunnlag for å ta i bruk de andre virkemidlene. Andre ganger benyttes de for å holde oppe et trykk på en bestemt sektor – gjerne innenfor et bestemt tema.

Kommunikasjon som virkemiddel

Datatilsynet skal veilede og informere om personvernlovgivning og forvaltningspraksis. Kommunikasjon som virkemiddel benyttes ofte integrert med de øvrige virkemidlene. En del av kommunikasjonen og dialogen vår skjer derfor gjennom veiledningstjenesten, veilednings­møter og annen dialog med rammesettere og beslutningstakere.

Gjennom kommunikasjon ønsker vi dessuten å spre informasjon om personvernets tilstand, samt skape debatt og gi uttrykk for synspunkter vi måtte ha som forvaltnings- og tilsynsorgan og i rollen som ombud. Ombudsrollen brukes blant annet ved utspill og kommentarer overfor mediene, i foredragsvirksomheten og i blogg­innlegg.

Forsknings-, utviklings- og utredningsarbeid

Gjennom nær kontakt med miljøer i inn- og utland som driver med forsknings- og utviklingsarbeid, setter vi oss selv bedre i stand til å sette personvernhensyn inn i en samfunnsmessig kontekst, og til å fange opp trender og utviklingstrekk på et tidlig stadium. Vår kontakt med forskningsmiljøer kan stimulere til forskning på personvern, samtidig som personvernhensyn også blir ivaretatt i annen forskning.

Vårt eget utrednings- og kartleggingsarbeid utgjør også en viktig kilde til kunnskap. Det gir dybde til ulike temaer vi jobber med og er med på å skape oppmerksomhet om personvernspørsmål. Resultater fra vårt forskning-, utviklings- og utredningsarbeid legges også til grunn ved bruk av de øvrige virkemidlene.

Andre virkemidler

Deltagelse i ulike råd og utvalg er et godt virkemiddel for å best mulig kunne påvirke aktører til å etablere god praksis. Det samme gjelder deltagelse i arbeid knyttet til innebygd personvern og regelverksutvikling. En slik måte å arbeide på egner seg særlig på områder der det pågår større reformer og utviklingsarbeid, særlig dersom de er teknologidrevne.

Personvernombudsordningen er et utpreget organisatorisk virkemiddel. Antall personvernombud i landet vokser, og er viktige ambassadører for personvern både i offentlige og private virksomheter.

Når det gjelder overtredelsesgebyr og tvangsmulkt, er dette økonomiske virkemidler som er blitt tatt stadig mer i bruk. Med innføringen av nytt personvernregelverk, er det åpnet for høyere overtredelsesgebyr enn tidligere, og virkemidlet er slik forsterket.

Organisasjon

Datatilsynet hadde 52 ansatte per 31. desember 2019. Av disse var 43 stillinger faste og to midlertidige, i tillegg til én lærling og seks studenter.

Bjørn Erik Thon er direktør. I tillegg består ledergruppen av fire avdelingsdirektører, to menn og to kvinner. Videre har Datatilsynet fire seksjonsledere: en mann og tre kvinner. Organisasjonskart fra og med 1.9.2019:

Organisasjonskart 2019

Kontroll og saksbehandling

Datatilsynets oppgaver og myndighet er angitt i personopplysningsloven (kapittel 6 og 7) og personvernforordningen (artikkel 57 og 58). Artikkel 57 inneholder en liste på 22 punkter over tilsynets oppgaver. I dette kapittelet ser vi på tall og tendenser i saksbehandlingen.

Mange av oppgavene er nye med forordningen. Vi har identifisert at 14 av punktene krever en eller annen form for saks­behandling. Det innledende punktet slår fast at Datatilsynet «skal føre tilsyn med og håndheve anvendelsen av denne forordningen». Tilsynsbegrepet bør her forstås i vid forstand, den engelske forordningsteksten bruker for eksempel begrepet «monitor», som kan oversettes med «følge med på».

En stor del av saksmengden er klager fra enkeltpersoner. Enkeltindividet har fått et styrket vern i forordningen. Regelverket slår fast at den registrerte (enkeltindividet) har en rett til å klage til Datatilsynet dersom han eller hun anser at en behandling av opplysninger om ham eller henne er i strid med regelverket. Datatilsynet «skal» i så fall behandle klagesaken.

Eksempler på nye oppgaver er behandling av søknader om godkjenning av bindende virksomhets­regler (BCR), ad hoc-kontrakter for overføring av personopplysninger til tredjeland og godkjenning av atferdsnormer. Dette er særlig krevende former for saksbehandling. I tillegg kommer oppfølging og saksbehandling av et høyt antall meldinger om brudd på personopplysnings­sikkerheten (avviksmeldinger).

Konsesjonsplikten, som spilte en sentral rolle i personopplysningsloven 2000, er nå avviklet. Samtidig er ansvarlighetsprinsippet fremhevet som et av de sentrale prinsippene i personopplysningsretten. Vi har slik opplevd en overgang fra forhåndskontroll til etterkontroll.

Sanksjonsmidlene som er innført, skal sikre etterlevelsen av regelverket i praksis. Forordningens fortalepunkt 148 uttaler at «[f]or å styrke håndhevingen av bestemmelsene i denne forordning, bør det ved overtredelse av denne forordning ilegges sanksjoner, herunder overtredelses­gebyr». Unntak fra dette utgangspunktet gjelder «mindre overtredelser», eller dersom lovovertrederen er en fysisk person. De mest alvorlige lovbruddene kan resultere i gebyrer på opptil 4 prosent av den samlede globale omsetningen i forrige regnskapsår dersom lovovertrederen er et foretak, eller 20 millioner euro i alle andre tilfeller. 

Antall saker, saksdokumenter og klager

I løpet av 2019 har vi registrert et rekordhøyt antall nyopprettede saker. I løpet av året registrerte arkivet 3 118 nye saker, og til sammen 5 096 innkommende dokumenter. Sammenlignet med året før, innebærer det en økning på 18 prosent i antallet registrerte saker. Det dreier seg med andre ord om en betydelig økning.

Økningen kommer trolig av fortsatt stigende oppmerksomhet om personvern, både på rettighets­siden og pliktsiden, etter innføringen av personvernforordningen.

Nye saker Nye dokumenter

Datatilsynet fattet 285 enkeltvedtak i 2019. Dette innebærer en økning sammenlignet med 2018, da tallet på enkeltvedtak var 246. Samtidig var antallet utgående dokumenter på 3 531. Antallet utgående dokumenter innebærer en markant økning sammenlignet med foregående år. Sammenlignet med fjoråret var det en økning på 34 prosent.

Sammenlignet med årene før personvernforordningen, ser vi imidlertid en klar nedgang i antall enkeltvedtak. Hovedårsaken til dette er trolig avviklingen av konsesjonsplikten, og plikten til å søke om forhåndsgodkjenning ved overføring av personopplysninger til utlandet i medhold av EU-kommisjonens standardkontrakter. I tillegg er det ikke lenger nødvendig å søke Datatilsynets tillatelse for å opprette personvernombud.

Klager på Datatilsynets enkeltvedtak

Vedtak og klagerI løpet av året, mottok vi 23 klager på våre enkeltvedtak. Dette er det laveste tallet på mange år. To av klagene gjelder vedtak som vi fattet i 2018. Ti av klagene gjaldt beslutninger om å avslutte sakene, mens tre av klagene gjaldt vedtak om overtredelsesgebyr.

I 16 av sakene var det en fysisk person som klaget, og i de resterende sakene kom klagene fra organisasjoner, offentlige etater og private selskaper. I to av sakene omgjorde vi vårt opprinnelige vedtak etter klage. Disse sakene gjaldt retten til innsyn i egne personopplysninger. Ni av klagesakene er fremdeles til behandling hos oss, resten er oversendt til Personvernnemnda, eller i ett tilfelle Kommunal- og moderniserings­departementet for endelig avgjørelse.

NemndsakerAv Datatilsynets vedtak som ble klagebehandlet i nemnda i 2019, ble kun ett omgjort. Denne saken gjaldt sletting av personopplysninger i søketreff­indeksen i Google. Datatilsynet kom opprinnelig til at klageren ikke kunne kreve å få de aktuelle søke­treffene slettet, men Personvernnemnda kom til en annen konklusjon. To av klagesakene som ble oversendt til nemnda, ble senere trukket av klager.

Sanksjoner

SanksjonerI løpet av meldingsåret, har Datatilsynet fattet tre avgjørelser om overtredelsesgebyr etter brudd på bestemmelser i personvernforordningen. Vi har i tillegg fattet sju andre vedtak om overtredelses­gebyr etter reglene i den gamle personopplysningsloven, siden forordningen ikke har tilbakevirkende kraft. Disse sakene gjelder ulovlig innsyn i e-post på arbeidsplassen, kredittvurderinger uten saklig behov og ulovlig publisering av bilder fra overvåkingskamera.

De tre avgjørelsene som er avgjort etter reglene i personvernforordningen, har alle handlet om brudd på personopplysningssikkerheten. Ingen av dem ble klaget inn for Personvernnemnda. Det ble ikke gitt vedtak om tvangsmulkt i 2019.

Høringer

I løpet av 2019 har Datatilsynet kommet med 33 høringsuttalelser, av totalt 159 mottatte hørings­saker. Dette er noe lavere enn de siste årene. Blant annet tror vi at dette kan være et resultat av strengere prioriteringer internt i Datatilsynet – vi har måtte konsentrere oss om de aller viktigste høringssakene.

I uttalelsene våre har vi kommet med nokså omfattende merknader i forbindelse med ulike lov- eller forskriftsendringsforslag. Blant de mest sentrale er uttalelsene våre til

  • forslaget om endringer i personopplysningsloven
  • NOU 2019: 9 Fra kalveskinn til datasjø, ny lov om samfunnsdokumentasjon og arkiver
  • NOU 2019: 3 Nye sjanser – bedre læring
  • NOU 2019: 5 Ny forvaltningslov
  • NOU 2019: 10 Åpenhet i grenseland, om bilder, film og lydopptak i helse- og omsorgstjenesten, barnevernet, skolen og barnehagen
  • forslag til ny lov om etterretningstjenesten

Høringer

Konsesjoner og forhåndsdrøftelser

Forhåndsdrøftelser ble innført med personvernforordningen, og skal delvis kompensere for at konsesjonsplikten falt bort med innføringen av det nye regelverket. Initiativet til slike drøftelser skal komme fra de behandlingsansvarlige. Plikten til å gjennomføre slike drøftelser med Datatilsynet oppstår når den behandlingsansvarlige har identifisert at en forestående behandling av person­opplysninger vil kunne medføre høy risiko for de registrertes rettigheter og friheter, for eksempel etter først å ha gjennomført en personvernkonsekvensvurdering.

I løpet av meldingsåret mottok Datatilsynet fem henvendelser om forhåndsdrøftelser. I tillegg var det registrert to saker i 2018, som ble fulgt opp i 2019. De formelle kriteriene for forhåndsdrøftelser var bare oppfylt i to av sakene, og i begge tilfellene ble det gjennomført drøftelser i løpet av meldings­året. De øvrige anmodningene ble enten avvist fordi de formelle forutsetningene for forhånds­drøftelser ikke var oppfylt, eller de ble trukket tilbake.

I løpet av meldingsåret ble det gitt én konsesjon. Konsesjonsplikten ble som tidligere nevnt avviklet ved innføringen av det nye regelverket, men i medhold av overgangsreglene fikk ett selskap konsesjon av Datatilsynet til å behandle personopplysninger i forbindelse med kredittopplysnings­virksomhet.

Atferdsnormer

Datatilsynet mottok i 2018 flere søknader om godkjenning av atferdsnormer, og noen av disse ble besvart i 2019. Alle svarene som ble sendt ut gjorde søkerne oppmerksomme på Personvernrådets retningslinjer om atferdsnormer, og at ingen av søknadene oppfylte kravene som stilles i disse retningslinjene.

Offentlighetsloven og innsynskrav – OEP

OEPVia eInnsyn mottok vi 3 437 innsynskrav i løpet av meldingsåret. Dette er en økning på om lag 14 prosent sammenlignet med 2018. Tallet på innsynskrav øker fremdeles jevnt. Dette fremstår som en naturlig stigning med tanke på at vi også har registrert flere saker. Av disse innsynskravene avslo vi kun 256. Det ble samtidig levert ut 409 sladdede dokumenter (meroffentlighet), noe som betyr at det ble gitt helt eller delvis innsyn i hele 80,7 prosent av alle innsyns­begjæringene.

Vi bestreber oss på etterleve offentlighets­lovens mål om åpenhet, og vi legger ned store ressurser i utførelsen av de oppgavene som offentlighetsloven pålegger oss. Både arkiv­personalet, en dedikert juridisk fagdirektør og de enkelte saksbehandlerne, er alle med på vurdere innsynskravene. Dette gjenspeiles i et relativt høyt antall utleverte sladdede dokumenter. Det er også mange følsomme personopplysninger i dokumenter som vi mottar i forbindelse med klager om ulike personvernkrenkelser fra enkeltpersoner, og som må vernes etter de gjeldende reglene i offentlighetsloven og forvaltningsloven om taushetsplikt.

Spesielt om avviksmeldinger

AvviksmeldingerInnføringen av personvernforordningen har ført til at Datatilsynet mottar langt flere avviksmeldinger enn tidligere. Forordningen stiller strenge krav til at brudd på personopplysningssikkerheten skal meldes inn til datatilsynsmyndighetene. Siden inn­føringen av forordningen har Datatilsynet mottatt nesten 3 000 avviksmeldinger. I 2019 alene er tallet på mottatte avviksmeldinger 1 916. Den store økningen i antall mottatte avviksmeldinger har naturlig nok ført til økt ressursbruk knyttet til saks­behandling, men er samtidig en kilde til kunnskap som kan informere og styre ressurser knyttet til tilsyn, og veilednings- og kommunikasjons­­­arbeid.

Tallene vi har basert den videre analysen på er fra og med februar og ut 2019. Vi har imidlertid identifisert noen svakheter ved statistikkføringen – både når det gjelder kategoriseringer og interne rutiner. Et større arbeid med å få på plass gode tekniske løsninger, samt en gjennomgang av kategoriseringer til statistikkføring er per i dag under utvikling. Dette gjør at tallene i denne årsmeldingen må ses på som overslag og trender.

Hvilke typer overtredelser er meldt inn?

Avvikene Datatilsynet behandler varierer fra menneskelige feil som rammer én eller få personer, til målrettede hackerangrep med mange tusen rammede. Den desidert vanligste årsaken til at et avvik oppstår, er at personopplysninger blir sendt til feil mottaker. Disse sakene utløser som regel ingen reaksjon fra Datatilsynets side, og de rammede personene er som regel informert om avviket idet meldingen kommer inn til oss.

Type overtredelser

«Annet» er dessverre foreløpig en stor kategori. Der havner for eksempel mange saker som har lav risiko for de berørte og dermed ikke er meldepliktige, eller der type overtredelse er uklart på melde­tidspunktet. Meldinger som ikke lar seg plassere i andre kategorier, havner også her. Dette er noe vi jobber med å forbedre med nytt system og nye rutiner.

Hvor skjer avvikene?

Finanssektoren, som her inkluderer blant annet bank, forsikring, inkasso og kredittvurdering, står for hele 30 prosent av de innmeldte avvikene. De færreste av disse gjelder imidlertid særlige kategorier personopplysninger, og er følgelig ikke de mest alvorlige. Antallet avvik fra finanssektoren kan også delvis forklares med et stort fokus på etterlevelse av forordningen og høy kompetanse.

Hvor skjer avvikene

Sekkekategorien «annen privat» inkluderer alle private selskaper som ikke faller naturlig inn under noen av de andre kategoriene.

23 prosent av alle avvik kommer fra kommunesektoren. Det inkluderer skoler, barnehager, mange helsetjenester, eldreomsorg og barnevern. Kommunene er ansvarlige for mange av tjenestene som er nærmest enkeltindividet, og mange sensitive opplysninger behandles i denne sektoren. Ikke overraskende meldes flest avvik inn fra kommunene med flest innbyggere. Det er imidlertid viktig å være klar over at meldte avvik ikke er det samme som manglende informasjons­sikkerhet. Det kan også bety høy bevissthet om informasjonssikkerheten.

Avvik som rammer barn/unge

Avvik - barnPerson­vernregelverket stiller strenge krav til behandling av personopplysninger om barn. Likevel har om lag én av ti avviksmeldinger Datatilsynet har mottatt i meldingsåret, handlet om avvik som har rammet barn, og 49 prosent av dem gjelder skolesektoren. Flere av disse avvikene har vært alvorlige og har utløst overtredelsesgebyr (se mer under kapittelet om barn, unge og utdanning). Å løfte kommunenes kompetanse på personvern og informasjons­sikkerhet blir dermed spesielt viktig fremover.

Tiltak

Avvik - behandlingDe aller fleste avviksmeldingene blir avsluttet uten noen videre form for saksbehandling. Dette er saker hvor vi vurderer risikoen for alvorlige konsekvenser for enkeltindividet som lav, samt at de ansvarlige har gjort tiltak for å informere de berørte. 16 prosent går imidlertid videre til mer omfattende saksbehandling.

 

Internasjonalt arbeid og samarbeid

Internasjonalt samarbeid er svært viktig for Datatilsynet, siden personvernforordningen skal tolkes likt i hele EØS. Hva som skjer i andre EØS-stater og det europeiske Personvernrådet (European Data Protection Board – EDPB) kan påvirke handlingsrommet til Datatilsynet.

Det er nedfelt i Datatilsynets strategi at vi skal påvirke og ta lederrollen i noen utvalgte internasjonale prosesser for å fremme bedre personvern. I 2019 har vi hatt to slike lederroller i kontekst av Personvern­rådet, samt bidratt aktivt på mange områder.

Deltakelse i Personvernrådet og dets ekspertgrupper

Personvernrådet er opprettet i henhold til personvernforordningen og er den øverste rådgivende forsamlingen for EU-kommisjonen i spørsmål om personvern og informasjonssikkerhet. De viktigste oppgavene til Personvernrådet er å gi retningslinjer om hvordan personvernforordningen skal forstås og sikre at den tolkes på en ensartet måte i EØS. I Personvernrådet møter alle lederne for datatilsyns­myndighetene i EU og EØS. Norge er fullverdig medlem som EØS-stat, men har ikke rett til å stemme eller stille til valg som rådets øverste leder.

I 2019 har Datatilsynet deltatt på Personvernrådets plenumsmøter som avholdes omtrent én gang i måneden. I tillegg har vi deltatt aktivt i flere av rådets ekspertgrupper. Vi har vært med i flere ekspertgrupper enn tidligere, og ved utgangen av 2019 var tilsynet representert i følgende grupper under Personvernrådet:

  • Strategic Advisory Expert Subgroup
  • Border, Transport and Law Enforcement Expert Subgroup
  • Cooperation Expert Subgroup
  • Compliance, e-Government and Health Expert Subgroup
  • Enforcement Expert Subgroup
  • International Transfers Expert Subgroup
  • IT Users Expert Subgroup
  • Key Provisions Expert Subgroup
  • Social Media Expert Subgroup
  • Technology Expert Subgroup
  • Taskforce on Fining
  • Coordinated Supervision Committee
  • Communications Network

Alle disse gruppene forbereder saker for plenumsmøtene i Personvernrådet, hvor de endelige avgjørelsene om retningslinjer, uttalelser og så videre blir fattet. Ekspertgruppene møtes som regel i forkant av hvert plenumsmøte. Til sammen fem jurister og én teknolog fra Datatilsynet deltok fast i disse møtene i 2019.

Utarbeidelse av felles europeiske retningslinjer om innebygd personvern

I 2018 ble vi utpekt som hovedrapportør for Personvernrådets felles europeiske retningslinjer om innebygd personvern og personvern som standardinnstillinger. Hovedrapportøren har hovedansvaret for å utarbeide retningslinjene i tråd med de andre EØS-statenes innspill gjennom møtevirksomhet i Technology Expert Subgroup, skriftlig korrespondanse og telefonkonferanser. I 2019 har vi fortsatt dette arbeidet.

Retningslinjene analyserer ordlyden i personvernforordningen artikkel 25, og forklarer hvordan den skal forstås. Deretter gir retningslinjene eksempler på elementer som må bygges inn i systemer og rutiner for hvert av personvernprinsippene.

Retningslinjene ble vedtatt 13. november 2019. Deretter ble de sendt på offentlig høring frem til 16. januar 2020. Etter høringen vil retningslinjene bli revidert og vedtatt på nytt.

Utarbeidelse av felles europeiske retningslinjer om avtale som behandlingsgrunnlag

I 2018 ble vi utpekt som hovedrapportør for Personvernrådets felles europeiske retningslinjer om forordningens artikkel 6 nr. 1 bokstav b i kontekst av digitale tjenester. Hovedrapportøren har hovedansvaret for å utarbeide retningslinjene i tråd med de andre EØS-statenes innspill gjennom møtevirksomhet i Key Provisions Expert Subgroup, skriftlig korrespondanse og telefonkonferanser. I 2019 har vi sluttført dette arbeidet.

Den konkrete bestemmelsen er svært sentral i forbindelse med behandling av personopplysninger, og handler blant annet om hvilken adgang en virksomhet har til å behandle personopplysninger uten den enkeltes samtykke. Bestemmelsen er også nært tilknyttet spørsmålet om personopplysninger kan anses som et betalingsmiddel. Retningslinjene vil derfor ha stor innvirkning på digitale tjenester som de fleste av oss benytter. Det norske Datatilsynet har vært en pådriver for å tolke regelen på en måte som sikrer tilstrekkelig vern for den registrertes rettigheter og friheter.

Retningslinjene ble vedtatt 9. april 2019, deretter sendt på offentlig høring frem til 24. mai 2019. Etter høringen ble retningslinjene revidert og endelig vedtatt 8. oktober 2019.

Internasjonal saksbehandling/IMI

Identifisert som tilsynsmyndighet.jpgPersonvernforordningen kapittel VII og VIII inneholder nærmere regler om saksbehandlingen ved såkalt grenseoverskridende behandling av personopplysninger. I denne typen saker må alle berørte datatilsynsmyndigheter identifiseres, og deretter vil en ledende datatilsynsmyndighet bli utpekt etter nærmere regler. Den ledende datatilsynsmyndigheten undersøker så saken og legger deretter frem et utkast til avgjørelse som de berørte datatilsyns­myndighetene kan komme med innsigelser mot.

Til denne prosessen brukes et saksbehandlings­system som heter Internal Market Information System (IMI). Dette systemet er ikke tilrettelagt for datatilsyns­myndighetenes bruk og er derfor krevende å bruke.

I 2019 ble det norske Datatilsynet identifisert som berørt datatilsynsmyndighet i omtrent 459 saker. I samme periode var vi ledende data­tilsyns­­myndighet i 8 saker. Disse sakene er fremdeles åpne ved årsskiftet. (Vi har bare tall fra juli 2018 da personvernforordningen trådte i kraft.)

Internasjonal saksbehandling krever at vi fort­løpende følger med på hva som skjer i IMI, siler saker og gir tilbakemelding der det er nødvendig. Det kan være krevende å nå enighet med andre datatilsyns­myndigheter om avgjørelsene. Inter­nasjonal saks­behandling krever derfor en del ressurser, og saksbehandlings­tiden er adskillig lenger enn i ikke-grenseoverskridende saker.

Overføring til utlandet og BCR

Ved utgangen av 2019 hadde Datatilsynet 14 åpne søknader om godkjenning av bindende konsernregler (BCR) som grunnlag for overføring av personopplysninger til tredjeland. Sammenliknet med andre EØS-stater, er dette et høyt antall. Kun fire andre land har flere søknader til behandling.

En BCR må først fremlegges for Personvernrådet for uttalelse før den kan godkjennes av de nasjonale datatilsynsmyndighetene. Det har tatt lang tid for rådet å få på plass prosedyrer for dette, og prosedyrene som har blitt vedtatt, er svært ressurskrevende. Personvernrådet ga sin første uttalelse om en BCR 8. oktober 2019, og så langt har kun et fåtall BCR-er vært til behandling i rådet.

Datatilsynet har jobbet for å forberede den første norske BCR-søknaden for fremleggelse for Personvernrådet. Vi anslår at den vil fremlegges for rådet i første kvartal av 2020. I tillegg har vi bidratt til å gjennomgå andre lands BCR-søknader (såkalt co-review). Dette er en del av prosessen før en BCR kan legges frem for Personvernrådet.

I juni var vi vertskap for et to-dagers seminar om BCR. Seminaret hadde i underkant av 50 deltakere fra datatilsynsmyndigheter i 22 europeiske land, samt representanter for Personvernrådets sekretariat. Under seminaret var det innlegg og diskusjoner om kravene til en BCR-søknad, både formelt og innholdsmessig. Videre ble det utvekslet erfaringer om behandling av BCR-søknader både hos nasjonale datatilsynsmyndigheter og Personvernrådet.

Eurodac og Visumsamarbeidet i Europa  (Eurodac og VIS Supervision Coordination Group (SCG))

Vi er fullverdig medlem av de to koordineringsgruppene Eurodac og Visumsamarbeidet i Europa. Møtene finner som regel sted samtidig, ettersom de to temaene er beslektet. Vi deltok på begge møtene i 2019. 

Schengen Information System (SIS) Supervision Coordination Group (SCG) 

Vi er fullverdig medlem av Schengen-koordinasjonsgruppen som møtes i EU-parlamentet i Brussel. Vi deltok på et av to møter i 2019.

Oppfølging av Schengen-evaluering av Norge

Schengen-samarbeidet bygger på Schengen-konvensjonen av 1985 som Norge sluttet seg til i 1996. Konvensjonen skal styrke det europeiske samarbeidet om kontroll av de ytre Schengen-grensene. Den innebærer felles visumregler, samt et styrket politimessig og rettslig samarbeid. Norge deltar også i det europeiske fingeravtrykksamarbeidet Eurodac. Datatilsynet er tilsynsorgan for den nasjonale behandlingen av personopplysninger i SIS (Schengen informasjonssystem) og VIS (Visa informasjonssystem).

Norges etterlevelse av Schengen-regelverket ble evaluert av en felleseuropeisk komité i november 2017. Evalueringen innebar en inspeksjon av vår etterlevelse av våre tilsynsoppgaver etter VIS og SIS. I tillegg ble KRIPOS og UDI, som behandlingsansvarlige for henholdsvis SIS og VIS, kontrollert. 

I rapporten fra evalueringen ble det konkluderte med i alt 33 anbefalinger fra komitéen. Åtte av anbefalingene gjaldt særskilt for Datatilsynet. De gikk blant annet ut på å bedre informasjonen om de registrertes rettigheter på hjemmesiden vår, samt at vi jevnlig må kontrollere lovligheten av behandlingen av opplysninger i VIS og SIS. Særlig må vi sørge for å oppfylle vår plikt til å gjennomføre et tilsyn med behandlingen av personopplysninger i VIS.

Datatilsynet gjennomførte flere av anbefalingene i 2019, blant annet gjennomførte vi tilsyn av UDI og deres behandling av opplysninger i den nasjonale delen av VIS. Rapporten er under arbeid. 

Samarbeid med de nordiske datatilsynsmyndighetene

De nordiske datatilsynene har lang tradisjon for å samles til felles møte hvert år, og i 2019 ble møtet arrangert i Stockholm. Der ble det utvekslet erfaringer fra det første året med personvern­forordningen, og vi evaluerte også oppfølgingen av den såkalte København-erklæringen (en sam­arbeids­retning som ble avtalt under forrige møte). Et av de konkrete tiltakene der var et første felles tilsyn. Tema for tilsynet var personvernombudsordningen, og det ble gjennomført i Island, Sverige, Danmark, Norge og Sverige i 2018/2019. Vi holdt også innledninger om tilsynsmetodikk, sanksjoner og rettssikkerhet. Behandling av klager fra enkeltpersoner, og det europeiske samarbeidet i EDPB, meldinger om brudd på personopplysningssikkerheten, forholdet mellom personvernforordningen og ePrivacydirektivet, nøkkelterminologi og atferdsnormer var også temaer som ble diskutert.

Møtet ble avsluttet med ratifiseringen og kunngjøringen av Stockholm-deklarasjonen. Deklarasjonen understreker viktigheten av et fortsatt godt nordisk samarbeid, også i Personvernrådet og dets ekspertundergrupper. Gjennomføring av felles inspeksjoner, og løpende deling av erfaringer fra saksbehandling, arbeidsmetodikk, kommunikasjonstiltak og andre aktiviteter, er også viktige punkter i Stockholm-deklarasjonen. Det samme gjelder intensjonen om å støtte personvernombudene i de nordiske landene.

Internasjonalt samarbeid mellom forbrukerombud, datatilsyns- og konkurransetilsynsmyndigheter

Datatilsynet deltar på møter i Digital Clearinghouse, en møtearena opprettet av European Data Protection Supervisor (EDPS), men som nå organiseres av universitetene i Namur og Tilburg samt Eurpoean Policy Centre. Møtene samler representanter fra europeiske datatilsynsmyndigheter, forbrukerombud og konkurransetilsynsmyndigheter fra hele verden. Formålet med møtene er å undersøke hvordan vi sammen kan håndtere utfordringer i det digitale økosystemet på en mest mulig effektiv måte. I 2019 har blant annet datadeling og dataportabilitet blitt diskutert.

Den internasjonale personvernkonferansen (tidligere kjent som ICDPPC, nå GPA)

Den internasjonale personvernkonferansen ble i 2019 arrangert i Tirana. Hovedtemaet var konvergens av personvernregelverkene globalt. Kunstig intelligens, data-drevne forretningsmodeller og ansvarlighetsprinsippet sto også sentralt på agendaen. Konferansen vedtok flere resolusjoner. Datatilsynet var co-sponsor for en resolusjon om viktigheten av samarbeid mellom personvern- og forbrukervernmyndigheter i den digitale økonomien.

Berlingruppen - International Working Group on Data Protection in Telecommunications (IWGDPT)

Datatilsynet deltar på møter i Berlingruppen. Berlingruppen er et globalt fellesskap som arbeider med personvern og elektronisk kommunikasjon. Det er hovedsakelig personvernmyndigheter som deltar. Gruppen kommer med uttalelser (Working Papers) om aktuelle personvernspørsmål.

Spesielt om barn, unge og utdanning

Barn og unge i omsorgs- og utdanningsløp blir i omfattende og stadig økende grad registrert og vurdert i digitale løsninger. Personopplysninger registreres og lagres på helsestasjonen, barnehagen og skolen. Gjennom atferdsanalyser, læringsplattformer og -ressurser, PC-er og andre nettilkoblede enheter samles personopplysninger inn av ulike aktører med forskjellige hensikter.

Fra et personvernperspektiv reiser dette problemstillinger knyttet særlig til hvilke muligheter barn og unge har for å skape og opprettholde ulike roller i ulike sammenhenger, muligheten de egentlig har til å starte med blanke ark den dagen de får samtykkekompetanse, og faren for at det i stadig større grad lagres unødvendig overskuddsinformasjon som skulle vært slettet.

I tillegg er det særskilte utfordringer som oppstår når all aktivitet, vurdering og kommunikasjon skal skje gjennom digitale løsninger. Trygg bruk av slike verktøy forutsetter kunnskap på mange nivåer, fra de som utvikler og tilbyr systemer og tjenester, kommuner som skal kjøpe inn systemer og tjenester og sitter med det overordnede ansvaret, til skoler, lærere, elever og foreldre som skal bruke disse løsningene. Vi ser dessverre et økende antall avvik som følger av manglende kunnskap og manglende risikoforståelse knyttet til digitale verktøy.

En annen problemstilling som har aktualisert seg er der hvor store aktører tilbyr gratisapper til bruk i skolen. Problemet er imidlertid gjerne at dette ikke er helt «gratis», men apper som forutsetter at brukeren gir noe tilbake. For barn og unge har dette materialisert seg ved at selskapene vil registrere personopplysninger om brukeren, for så å bruke denne informasjonen senere. Hovedspørsmålet her er om kommunen/skolen skal kunne ta i bruk denne type apper uten at den enkelte elev eller foresatte selv kan bestemme hvorvidt den kommersielle aktøren skal få registrere person­opplysninger om eleven. Det handler om at eleven skal ha kontroll på personopplysninger om seg selv.

Kommunen har også plikt til å ha en plan for å forebygge mobbing, og noen ender opp med ferdiglagede undersøkelser som ikke nødvendigvis tilfredsstiller kravene i personvernregelverket. Noen undersøkelser gir inntrykk av at elevene kan svare anonymt, mens de i realiteten kan gjenkjennes på svaret eller ved bakgrunnsinformasjonen som gis. Andre undersøkelser går langt i å oppfordre elevene til å navngi medelever som de mener har en uakseptabel oppførsel. Når informasjons­­sikkerheten ved gjennomføringen av undersøkelsene i tillegg er utilfredsstillende, og det gis liten eller ingen informasjon til de foresatte, så er dette i sum undersøkelser som i liten grad ivaretar barnas personvern.

Sentrale høringsuttalelser

NOU 2019: 3 «Nye sjanser – bedre læring»

I 2017 satte regjeringen ned et utvalg (Stoltenbergutvalget) som skulle se på forskjellene mellom kjønn i skoleprestasjoner og utdanningsløp, samt foreslå tiltak for å motvirke slike forskjeller. I utredningen «Nye sjanser – bedre læring» er det blant annet foreslått å opprette et nasjonalt register for personentydige forløpsdata for barnehagen og grunnopplæringen.

Datatilsynet var svært tydelig i vårt høringssvar og støttet ikke forslaget. Vi mente at utvalget gjennom rapporten demonstrerte en mangelfull kompetanse hva gjelder personvern. I den grad personvern var nevnt, var det ensidig knyttet til informasjonssikkerhet og risiko for at person­opplysninger kunne komme på avveger. I uttalelsen la vi blant annet frem hvilke vurderingstema et forslag om et slikt register må inneholde for å sikre en balansert avveining mellom flere hensyn. Vi mente at registeret hverken var nødvendig eller proporsjonalt. Videre ga vi heller ikke støtte til forslaget om å standardisere kartlegginger av alle fire- og seksåringers ferdigheter.

Innføring av regler om psykososialt barnehagemiljø

Kunnskapsdepartementet la fram et forslag om å innføre reglene som er innført i skolen for å forebygge mobbing, også i barnehagene. Datatilsynet påpekte at alle parter i en mobbesak har krav på at deres rettssikkerhet blir ivaretatt, også den som regnes som mobber. Vi mente at hensynet til denne partens personvern i for liten grad ble omhandlet i høringen. Vi understreket også at det er viktig å skille forebygging av mobbing fra håndtering av enkeltsaker, og at det er problematisk å bruke samme verktøy (Spekter) for begge disse prosessene. Vi trakk også frem viktigheten av felles retningslinjer for håndtering av dokumentasjon i denne typen saker.

Saksbehandling

Vi har gjennom avviksmeldingene som har kommet inn sett at det er en rekke hendelser som berører barn og unge i skolen. Vi har blant annet sett flere tilfeller knyttet til mangelfull tilgangsstyring til informasjonssystem med opplysninger om elever, blant annet i læringsplattformer og skole­administrative system, men også manglende tofaktorautentisering, menneskelig svikt og manglende rutiner går igjen. En særskilt problemstilling vi ser er at opplysninger som er overført fra Folkeregisteret til de digitale skoleløsningene ikke gjenspeiler reelle ansvars- og omsorgsforhold, og det er flere innmeldte avvik som viser at beskyttelsesverdige adresser (kode 6 og 7) blir avslørt. I noen tilfeller ser vi at avvikene kunne vært unngått dersom løsningene hadde blitt tilstrekkelig testet ut på forhånd. Datatilsynet har per januar 2020 flere alvorlige avvikssaker som berører barn og unge under behandling.

I 2019 ble det gitt overtredelsesgebyr i to saker som berørte barn og unges personopplysninger:

Bergen kommune

I den første saken fikk Bergen kommune et overtredelsesgebyr på 1,6 millioner kroner. Grunnen var at personopplysningssikkerheten i datasystemene som ble brukt i grunnskolen i kommunen, var mangelfull. Datafiler med brukernavn og passord til over 35 000 brukere – i hovedsak barn – hadde ligget tilgjengelige for elever og ansatte i grunnskolen. Det var dermed mulig å logge seg inn på skolens ulike informasjonssystemer som elev, ansatt eller administrator på skolen, og slik få tilgang til personopplysninger om andre elever og ansatte.

Oslo kommune

Oslo kommune fikk et overtredelsesgebyr på 1,2 millioner kroner for å ha brutt reglene om person­opplysningssikkerheten i forbindelse med behandling av personopplysninger i mobil­applikasjonen «Skolemelding». I denne appen kan foresatte og elever sende meldinger til ansatte i skolen. På grunn av manglende sikkerhetstiltak kunne uvedkommende logge seg inn som autoriserte brukere, og dermed få tilgang til personopplysninger om andre elever, foresatte og ansatte gjennom appen.

Øvrige aktiviteter

Rundebordskonferanse om personvern i skolen

Datatilsynet sto i mars som arrangør av en rundebordskonferanse der informasjonssikkerhet og personvern i skolen var tema. Bakgrunnen for konferansen var vår erfaring gjennom tilsyn og innkomne avviksmeldinger, og en generell bekymring knyttet til barns personvern.

I konferansen kom det fram mange utfordringer og det ble pekt på flere muligheter for å gjøre skolens etterlevelse av kravene i personvernlovgivningen enklere. På møtet ble særlig tre problemstillinger fremhevet:

  • Gratis programvare er et nyttig og verdifullt supplement i norsk skole, men gratis programvare har også ulike utfordringer knyttet til informasjonssikkerhet og personvern. Hvordan skal man høyne bevisstheten om disse utfordringene før gratis programvare tas i bruk?
  • Hvordan kan man forbedre bestillerkompetansen på nye digitale løsninger? Hva kan ulike aktører gjøre for å bidra til å heve denne kompetansen?
  • Hvordan skal man jobbe frem en god kultur for informasjonssikkerhet i skolen?

Representanter fra kommunene trakk frem at det brukes mye ressurser på å gjennomgå og å utarbeide gode databehandleravtaler, vurdere løsninger, gjennomføre risikovurderinger, gi riktig opplæring til lærere og så videre. De har behov for hjelp i dette arbeidet og etterlyser tilgang til gode maler, gode eksempler og «oppslagsverk». Det ble også tydelig at IKT-sikkerhet i skolen er et nedprioritert område. Det er viktig å jobbe med dette feltet på en måte som gjør at skoleeiere, skoleledere og lærere opplever at det er relevant og viktig. Det er viktig at sentrale myndigheter bidrar til at dette området blir opprioritert.

Konferansen vil bli fulgt opp med et nytt rundebord i 2020.

Du Bestemmer

Vi har i meldingsåret fortsatt vårt formelle samarbeid med Utdanningsdirektoratet om å heve barn og unges kompetanse om personvern, nettvett og digital dømmekraft. Nettressursen dubestemmer.no er her en viktig kanal for å nå frem til elevene med informasjon om personvern og rettigheter.

Prosjektet innebærer løpende arbeid med nettsidene, foredragsvirksomhet og mediearbeid. I løpet av 2018 ble det satt i gang et større kartleggingsarbeid for å lage et godt kunnskapsgrunnlag for videre utvikling av tjenesten. Dette arbeidet ble avsluttet våren 2019 og har gitt et godt grunnlag for videre arbeid med tjenesten. Høsten 2019 ble så arbeidet med å lage en plan for de nye nettsidene satt i gang. Dette innebærer blant annet å få på plass tydeligere målgrupper, ny interaksjonsdesign og designprofil.

I løpet av året ble det dessuten produsert en ny film i samarbeid med Sølvsuper. Filmen handler om konsekvensene av å ikke ha god nok digital kompetanse, i dette tilfellet hvordan kjenne igjen og håndtere scam-mailer og utpressing. Filmen vil lanseres på et frokostseminar på Safer Internet Day 2020 i Tromsø i samarbeid med Utdanningsdirektoratet og NorSIS. Temaet for arrangementet vil være hvordan vi kan heve hånderingskompetansen blant ungdom og voksne.

Spesielt om helse og NAV

Det pågår flere store prosesser med nasjonale løsninger som antas å medføre store endringer for alle berørte parter i helsesektoren. Dette gjelder for eksempel Helsenorge.no, Akson («Én innbygger, én journal»), Helseplattformen og Helseanalyseplattformen. Hensikten med disse prosjektene er enklere datatilgang for sekundære formål. Helsesektoren er dessuten preget av mange aktører og ulike virksomheter med forvaltningsansvar og beslutningsmyndighet. Leverandører og data­behandlere har ofte sentrale roller, og ansvarsforholdene kan ofte være uklare.

Endringer i måten man gir helsehjelp på, stiller nye krav til systemenes evne til å ivareta informasjons­­sikkerheten knyttet til konfidensialitet, tilgjengelighet og integritet. Det er samtidig en klart uttalt forventning om effektivisering. Dette kan medføre utkontrakteringer og sentralisering av kompetanse og beslutningsmyndighet.

Sentrale høringsuttalelser

Endringer i helseregistrene Nasjonal vaksinasjonsregister (SYSVAK) og Meldingssystem for smittsomme sykdommer (MSIS)

Forslaget innebærer endringer i registreringer av vaksiner og smittsomme sykdommer. For vaksine­opplysninger består endringene i at man går fra samtykkebasert behandling, eventuelt behandling med reservasjonsadgang, til et lovpålagt register. Nye smittsomme sykdommer ble i tillegg foreslått inkludert i MSIS. Formålet er å sikre et mer effektivt smittevern. Datatilsynet skrev i høringsuttalelsen at opplysningenes sensitivitet ikke var godt nok presentert i forslaget, og at en vesentlig økt personvernulempe og -risiko ikke var godt nok vurdert.

Endringer i hjemler for helsepersonells tilgang til data for egne læringsformål

I kjølvannet av debatten om en for streng personvernpraksis i sykehusene, kom det forslag om endring av helsepersonelloven. Endringen gir unntak fra taushetsplikt for helsepersonells lærings­formål knyttet til tidligere behandling de har vært involvert i. I høringsuttalelsen skrev vi at det i forslaget var lagt for mye vekt på praktiske hensyn, og at dette ville gå på bekostning av viktige personvernhensyn, hensynet bak reglene om taushetsplikt og grunnleggende informasjonssikkerhet.

NOU 2019:10 «Åpenhet i grenseland»

Utredningen «Åpenhet i grenseland» inneholder utkast til en veileder om bilde-/film-/lydopptak i helse- og omsorgstjenesten, barnevernet, skolen og barnehagen. Vi skrev i vårt høringssvar at veilederen må skille tydeligere mellom lovkrav og anbefalinger. Vi understreket også at formålet med opptakene er avgjørende for hva det er adgang til å gjøre opptak av og hvordan opptakene kan brukes videre. Videre påpekte vi at samtykke ikke alltid er egnet som rettslig grunnlag for behandling av personopplysninger om barn.

Endringer i helseregisterloven

Datatilsynet ga en omfattende høringsuttalelse til Helse- og omsorgsdepartementet om endringer i etableringen av og plasseringen av dataansvar i forbindelse med Helseanalyse­plattformen. Endringene skulle også sikre rettslig grunnlag for behandling av personopplysninger i løsningen.

Vi påpekte at utfordringene for personvernet var mangelfullt presentert, og at hverken sikkerhets­risiko eller personvernkonsekvenser var tilstrekkelig vurdert. Vi mente blant annet at forslagene medførte betydelige utvidelser i adgang til bruk av helsedata, og at løsningen med å etablere kopier av eksisterende helseregistre vil medføre en stor økning i sikkerhetsrisikonivået. I Reseptregisteret (Legemiddelregisteret) ble den tekniske løsningen for pseudonymforvaltning foreslått endret, noe som etter tilsynets vurderinger vil medføre personvernkonsekvenser som ikke var utredet i forslaget.

NOU 2019: 14 Tvangsbegrensningsloven

Høringen innebærer et forslag til en stor omlegging av regelverket for tvangsbruk på helse- og omsorgsområdet. Relevant for Datatilsynet er endringene som er foreslått i reglene for bruk av varslings- og lokaliseringsteknologi uten samtykke, noe som krever klare lovhjemler og grunn­leggende rettssikkerhetsgarantier. Generelt ser ikke Datatilsynet at personvernregelverket skal være til hinder for bruk av slik teknologi, forutsatt at den behandlingsansvarlige har gode rutiner for sletting, tilgangsstyring og lignende. Alternativet til overvåking ved hjelp av teknologi, typisk fysisk tilstedeværelse, vil ofte kunne oppleves mer inngripende for den enkelte pasient/bruker.

Lovforslaget innebærer også at fylkesmennene skal ha oversikt over all tvangsbruk, både regionalt og overfor den enkelte. Vi påpekte viktigheten av å definere formålet med slik informasjonsinnsamling klart og tydelig.

Saksbehandling

Overtredelsesgebyr til Oslo kommune

Sykehjemsetaten i Oslo kommunen lagret pasientopplysninger utenfor journalsystemet ved kommunens sykehjem/helsehus fra 2007 til november 2018. Datatilsynet vurderte at det meste av lovbruddet fant sted før personvernforordningen ble innført, og overtredelsesgebyret ble dermed fastsatt til 500 000 kroner.

Øvrige aktiviteter

2019 har vært preget av omstilling. Konsesjonsplikten har falt bort, samtidig som behandling av meldinger om brudd på personopplysningssikkerheten (avviksmeldinger) har vært mer ressurs­krevende enn noensinne. Vi har fulgt med på de store nasjonale prosessene som pågår i sektoren, blant annet gjennom orienteringsmøter på direktør- og saksbehandlernivå.

Datatilsynet har deltatt aktivt i en pågående debatt om personvernrettens rolle og gjennomslagskraft på Oslo Universitetssykehus (OUS). Debatten startet med en kronikk i dagspressen med tittelen «Dødelig personvern». Datatilsynets bidrag har bestått av kronikker, paneldiskusjoner og faglige innlegg. Debatten førte videre til foredragsvirksomhet og arbeid med et rundskriv fra Helse- og omsorgsdepartementet (HOD). I tillegg har vi bidratt i arbeidet med en veileder om temaet sammen med forskningsmiljøet ved OUS.

I Helsedataprogrammet har vi deltatt i referansegruppen og i arbeidsgruppen for personvern og informasjonssikkerhet. Vi har også levert faglige innspill til eHelsedirektoratet, i forbindelse med innbyggerundersøkelsen om befolkningens holdninger til helseregistre og forskning på helsedata.

Datatilsynet har også behandlet en sak om innsyn i opplysninger om NAV-ansatte. Resultatet ble at NAV forandret sin praksis om rett til innsyn i opplysninger om hvem som har gjort oppslag i databaser som inneholder personopplysninger om NAV-ansatte.

Vi har også deltatt på EHiN (E-helse i Norge) som er Norges største konferanse med fokus på digitalisering av helsesektoren. Det samme gjelder Normkonferansen, som arrangeres hvert år av Direktoratet for e-helse. Apotekbransjen har vi også hatt flere møter med i løpet av året.

Annen vesentlig aktivitet

Arbeidsliv

Arbeidsliv er et av fagområdene Datatilsynet årlig mottar mange henvendelser om. I meldingsåret har Datatilsynet mottatt i underkant av 70 nye saker som er relatert til arbeidsliv. Vi har i tillegg flere løpende saker under behandling. Typiske problemstillinger i disse sakene er innsyn i e-post og sletting av e-postkasse, sletting og retting av dokument i personalmappe, GPS-sporing av yrkes­sjåfører, kameraovervåking på arbeidsplassen, tilgangskontroll og så videre. Hele 21 prosent av henvendelsene til veiledningstjenesten dreier seg om personvern i arbeidslivet, noe som er et relativt høyt tall. Vi får også flere forespørsler om veiledningsmøter og foredrag relatert til denne tematikken.

I meldingsåret har Datatilsynet fattet vedtak om overtredelsesgebyr i fire saker som omhandler arbeidsliv. Tre av sakene er ferdigbehandlet og gjelder manglende sletting og ulovlig innsyn i ansattes e-postkasse. I tillegg har vi fattet vedtak i en sak som gjelder ulovlig innhenting av kameraopptak om egne ansatte, og som er under klagebehandling. I 2019 har det for øvrig blitt sendt ut varsel om overtredelsesgebyr i tre saker.

I 2019 kom det fem avgjørelser fra Personvernnemda som omhandler behandling av person­opplysninger i arbeidslivet:

  • To av sakene gjaldt klage på Datatilsynets vedtak om å ikke pålegge retting eller sletting av personopplysninger i personalmappe hos arbeidsgiver. Nemda var enig i Datatilsynets vurdering og klagene ble ikke tatt til følge.
  • En sak gjaldt en klage på vedtak om å avslutte behandlingen av en sak som gjaldt en tidligere ansatts krav om innsyn i personopplysninger i personalmappe uten å gi pålegg. Datatilsynet undersøkte saken og fant at klager hadde fått det innsynet og den informasjonen vedkommende har krav på etter personvernlovgivningen. Nemda la Datatilsynets syn til grunn og klagen ble ikke tatt til følge.
  • Nemda behandlet også en klage fra en arbeidsgiver på Datatilsynets vedtak om ileggelse av overtredelsesgebyr på 75 000 kroner for ulovlig innsyn i og manglende sletting av tidligere arbeidstakers e-post. Klagen ble ikke tatt til følge.
  • Også en sak som gjaldt en kommunes publisering av saksframlegg til et kommunestyremøte på kommunens nettside ble behandlet. Klagerne, som alle var omtalt i saksframlegget, mente at publiseringen innebar et brudd på personopplysningsloven og at de publiserte person­opplysningene var taushetsbelagte etter forvaltningsloven. Nemda kom i likhet med Datatilsynet til at det ikke har skjedd en utlevering av personopplysninger som var omfattet av bestemmelsene i person­opplysningsloven og det ikke var rettslig grunnlag for å gi pålegg etter denne loven.

I 2019 ble det i tillegg oversendt to saker til Personvernnemda som gjaldt klage på vedtak om avslutning av sak vedrørende arbeidsgivers innsyn i e-postkasse og klage på vedtak om avslutning av sak vedrørende krav om sletting av personopplysninger i personalmappe. Se for øvrig oversikt over alle sakene som ble oversendt til nemnda i 2019 under vedlegg.

Av annen vesentlig aktivitet kan det nevnes at den oppdaterte veilederen om kontroll og overvåking i arbeidslivet skrevet i samarbeid med Arbeidstilsynet, Petroleumstilsynet og partene i arbeidslivet ble publisert i 2019. I 2018 var Datatilsynet dessuten med i en arbeidsgruppe bestående av flere tilsynsmyndigheter, ledet av arbeidstilsynet, hvis oppgave var å utarbeide felles retningslinjer for mottak og håndtering av eksterne varsel til offentlige myndigheter. Lanseringen av disse retningslinjene fant sted i januar 2019.

Datatilsynet har i meldingsåret for øvrig iverksatt arbeidet med å forbedre og oppdatere veiledning på nettsiden vår. Oppdateringene vil bli publisert løpende i 2020.

Justis

I justissektoren møter vi hensyn som taler for at staten skal kunne gjøre inngrep i enkeltpersoners rettssfære. Den enkeltes valgfrihet er gjerne begrenset, og behandling av personopplysninger om individer skjer ofte uten den enkeltes medvirkning eller kunnskap. Det er derfor særlig viktig at tilsynsmyndighetene sikrer at folks rettigheter ivaretas innenfor denne sektoren.

Politiregisterloven og -forskriften regulerer politiets og påtalemyndighetens behandling av person­opplysninger. SIS-loven og utlendingsloven har regler om informasjonssystemene som brukes i Schengen-samarbeidet. Datatilsynet har en sentral rolle som kontrollør av at regelverket om behandling av personopplysninger på disse områdene etterleves.

I løpet av 2019 behandlet vi en rekke saker innenfor justissektoren, blant annet flere saker om innsyn i SIS (Schengen Information System). Datatilsynet har også kommet med flere høringsuttalelser.

Forslag til ny lov om Etterretningstjenesten

En sentral høringsuttalelse gjaldt Forsvarsdepartementets forslag til ny lov om Etterretnings­tjenesten. Vi pekte i uttalelsen vår på at lovforslaget la opp til overvåking av nordmenns kommunikasjon i så omfattende utstrekning at lovforslaget ikke burde gjennomføres. Etter vår vurdering, utgjorde de foreslåtte lovendringene et stort inngrep i enkeltindividets rett til privatliv. Vi pekte også på at det ville rokke ved vårt demokratiske fundament dersom lovendringene ble vedtatt. Særlig gjaldt dette den metoden som i høringsnotatet var omtalt som «tilrettelagt innhenting».

Tilrettelagt innhenting innebærer innhenting av elektronisk kommunikasjon som transporteres over den norske landegrensen. Selv om Etterretningstjenestens arbeid er rettet mot utenlandske trusler, vil tiltaket ramme de fleste brukere av telefoni og internett i Norge, fordi norsk datatrafikk går inn og ut av landet, uavhengig av om kommunikasjonen er mellom personer som begge oppholder seg i Norge.

Tiltaket innebærer derfor i praksis overvåking av oss alle. Hovedformålet med denne innhentingen er at Etterretningstjenesten skal kunne gjøre søk i de lagrede dataene som er hentet inn. Lagring av metadata vil være den mest sentrale komponenten i den foreslåtte løsningen. Metadata inneholder blant annet informasjon som navn, dato, klokkeslett, geografisk plassering og IP-adresse. Metadata kan avsløre intime detaljer om en persons liv, særlig når det analysers på en systematisk måte. Dermed vil det i realiteten dreie seg om en form for overvåking av store deler av landets befolkning, som etter Datatilsynets vurdering vil kunne være i strid med både Grunnloven og menneske­rettighetene.

Høringsuttalelse om endringer i personopplysningsloven

I desember ga Datatilsynet sin høringsuttalelse til Justis- og beredskapsdepartementets forslag til endringer i personopplysningsloven. Endringsforslaget gjaldt personopplysningslovens unntak for ytrings- og informasjonsfrihet og forholdet til offentlighetsloven. I tillegg foreslo departementet å gi loven anvendelse på Svalbard. Datatilsynet uttalte da at lovforslaget måtte avgrenses i samsvar med EØS-retten, men at tilsynet for øvrig kunne gi sin tilslutning til departementets forslag om å innføre et nødvendighetskrav i personopplysningsloven § 3. Datatilsynet satte også spørsmålstegn ved om eksisterende offentlige ordninger om eInnsyn på internett, har tilstrekkelig behandlingsgrunnlag etter forordningen. Som en løsning på denne utfordringen, foreslo vi å innføre et unntak fra dette nødvendighetskriteriet i offentlighetsloven.

Høringsuttalelse om ny forvaltningslov

Datatilsynet ga høringsuttalelse til Justis- og beredskapsdepartementets forslag om ny forvaltningslov (NOU 2019:5). Vi trakk frem at det var positivt at sentrale problemstillinger på personvernområdet ble drøftet, men vi påpekte samtidig at personvernkonsekvensene ved forslaget ikke var tilstrekkelig vurdert. Reglene møter heller ikke de utfordringene som en digital forvaltning vil medføre på en tilfredsstillende måte.

I tråd med regjeringens digitaliseringsstrategi åpner lov­forslaget for økt deling av opplysninger mellom forvaltningsorganer, noe som kan utfordre person­vernet. Datatilsynet la derfor vekt på vekt på at individets rettigheter må ivaretas, og at den nye loven må fastsette grunnleggende prinsipper for deling av opplysninger, og hvordan automatiserte systemer skal utformes. Vi understreket også at forslaget bør forelegges Datatilsynet til en forhåndskonsultasjon etter personvernforordningen artikkel 36.4 før det oversendes Stortinget.

Bank, finans, forsikring

Behandling av personopplysninger blir en stadig viktigere del av mange private selskapers forretningsmodell. Dette gjelder ikke minst i bank-, finans- og forsikringsbransjen. Bransjen behandler personopplysninger om de fleste, og det er snakk om store mengder opplysninger av privat karakter. Risikoene ved brudd på personvernregelverket kan derfor være høy.

Innføringen av PSD2 påvirker finanssektoren. Opplysninger om vår privatøkonomi vil i tiden fremover bli behandlet på nye måter og til nye formål, samt av nye og flere aktører enn i dag. I forsikrings­bransjen ser vi økt bruk av sensorteknologi (Internet of Things), og mer personalisert forsikring.

I 2019 har vi holdt foredrag og gjennomført flere veiledningsmøter med bank- og finanssektoren. Vi arrangerte også et kontaktmøte med Finans Norge der vi utvekslet erfaringer, og snakket om utfordringer sektoren står overfor.

I løpet av meldingsåret har vi behandlet et stort antall saker innen sektoren. Flertallet av sakene er meldinger som gjelder brudd på persondatasikkerheten (avviksmeldinger). 30 prosent av alle avviksmeldinger vi mottar er fra finanssektoren. Finanssektoren var dermed den sektoren som sendte Datatilsynet flest avviksmeldinger i løpet av 2019. I overkant av 80 prosent av disse meldingene skjedde på grunn av internt utilsiktede hendelser, som for eksempel at personopplysninger ble sendt til feil mottaker.

Vi har også behandlet flere klagesaker fra privatpersoner. De fleste sakene gjelder krav om innsyn, retting eller sletting av personopplysninger, særlig hos banker eller kredittopplysningsforetak. En sakstype som går igjen er klager på virksomheters innhenting av kredittopplysninger fra kredittopplysningselskaper. To av disse sakene endte med overtredelsesgebyr på 75 000 kroner. En av sakene er til klagebehandling i Personvernnemda. Vi har i tillegg varslet vedtak om overtredelsesgebyr i to saker. Disse er forventet ferdigbehandlet i løpet av 2020. 

Lov om behandling av opplysninger i kredittopplysningsvirksomhet (kredittopplysningsloven) ble vedtatt i desember 2019. Det er forventet at loven vil gjelde fra vår/sommer 2020 sammen med tilhørende forskrift. Vi har i meldingsåret gitt tilbakemelding til utformingen av forskriften til kredittopplysningsloven.

Rapport om målretting av politiske budskap

I juni 2019 lanserte Datatilsynet rapporten «På parti med teknologien – digital målretting av politiske budskap i Norge». Rapporten så på hvordan norske politiske partier målretter politiske budskap i valgkampsammenheng. Rapporten var bygget på intervjuer med representanter fra alle de politiske partiene som er representert på Stortinget.

Våre funn tyder på at norske partier i hovedsak er varsomme i sin bruk av mikromålretting av politiske budskap. Dette kan sees i lys av flere viktige rammebetingelser som partiene må forholde seg til.

Norske partier har relativt beskjedne valgkampbudsjetter, noe som begrenser muligheten til å kjøpe inn tjenester for utstrakt mikromålretting av politiske budskap. Likevel, målrettingsteknologi blir kontinuerlig billigere og mer brukervennlig, og det er derfor ikke sikkert at partienes økonomiske situasjon vil være en like naturlig begrensning i årene som kommer.

Alle partiene bruker Facebook for å annonsere politiske budskap. I intervjuene kom det fram at partiene målretter budskap på Facebook basert på data om geografi, demografi, interesser og atferd. Partiene avstår imidlertid fra å laste opp egne data i Facebooks annonseringsløsninger. Husbesøk blir også i økende grad effektivisert ved bruk av dataanalyse. Teknologien som tas i bruk ved husbesøk deler opp befolkningen i målgrupper og er ofte koblet sammen med kartløsninger.

Våre funn viste at det norske partier gjør, er et godt stykke unna praksisen som ble avslørt i forbindelse med Cambridge Analytica. Det finnes likevel flere risikomomenter. Ingen av partiene har nedskrevne retningslinjer for bruk av persondata i valgkamp. Dette gjør dem sårbare for utglidning mot mer invaderende målrettingsmetoder, spesielt ved nyansettelser eller når de kjøper inn tjenester fra nye aktører. Datatilsynet foreslår derfor at partiene lager nedskrevne kjøreregler for bruk av digital målretting. På bakgrunn av dette, formulerte vi flere råd til de politiske partiene om forsvarlig bruk av digital målrettingsteknologi.

Rapporten ble lansert på Kulturhuset i Oslo den 20. juni. Vi presenterte også funnene fra rapporten under Arendalsuka på et arrangement vi organiserte sammen med Civita. Vi vil i tiden fremover følge utviklingen og bruken av målrettingsteknologi frem mot stortingsvalget i 2021.

Personopplysninger på internett

I løpet av 2019 har vi registrert 22 nye saker som gjelder avindeksering av søketreff på Google eller andre søkemotorer. Ti av disse sakene var behandlet ferdig ved inngangen til 2020. I disse sakene må Datatilsynets saksbehandlere ofte gjøre grundige og komplekse vurderinger, hvor hensynet til ytringsfrihet veies opp mot individets rett til personvern og privatliv. I seks av sakene ble de aktuelle søketreffene avindeksert, mens kravene om avindeksering ble avslått i fire av sakene.

Mimes Brønn

I en annen sak hadde de ansatte i Direktoratet for samfunnssikkerhet og beredskap klaget på at informasjon om alle de ansattes navn, fødselsår, stillingskoder og lønn var publisert på nettsiden mimesbronn.no («Mimes brønn»). Vi kom til at disse opplysningene måtte slettes, ettersom det ikke var hjemmel i personopplysningsloven for å offentliggjøre disse opplysningene på en slik måte.

Vi vurderte også forholdet til ytringsfriheten. Personopplysningsloven § 3 gjør unntak fra flere sentrale regler i personvern­forordningen dersom personopplysninger utelukkende behandles for journalistiske formål. Vi kom til at dette unntaket ikke gjorde seg gjeldende i denne saken, og henviste blant annet til EU-domstolens avgjørelse i sak C-73/07 (Satakunnan).

Legelisten

I januar i meldingsåret fattet Personvernnemnda vedtak i saken om legelisten.no («Legelisten»). Saken gjaldt behandling av personopplysninger om helsepersonell på nettstedet legelisten.no, og nemnda kom til at Legelistens publisering av vurderinger av helsepersonell ikke er omfattet av journalistunntaket i personopplysningsloven § 3. Det sentrale spørsmålet var hvorvidt Legelisten har behandlingsgrunnlag for å samle inn og publisere vurderinger av helsepersonell uten at helse­personellet gis en generell reservasjonsadgang.

Nemnda konkluderte – under dissens – med at Legelisten.no har behandlingsgrunnlag i personvernforordningen art. 6(1) f for å samle inn og publisere subjektive brukervurderinger av helsepersonell på nettstedet uten at helsepersonell gis en generell reservasjonsadgang. Legeforeningen gikk til søksmål for å få omgjort nemndas vedtak, og saken er fremdeles ikke rettskraftig avgjort når dette skrives.

Høringsuttalelse om ny lov om samfunnsdokumentasjon og arkiver

I vår høringsuttalelse om ny arkivlov (NOU 2019:9 «Fra kalveskinn til datasjø») støttet vi utvalgets forslag om en tydelig lovregulering fremfor vide forskriftsfullmakter. Lovforslaget må da gjenspeile de grunnleggende prinsippene i personvernforordningen og de øvrige skrankene for behandling av personopplysninger. Vi påpekte for øvrig at forslaget til ny arkivlov fremsto som prematurt, og at det er nødvendig med ytterligere utredninger før en lovproposisjon kan legges frem for Stortinget.

Personvernombudsordningen

PVO.jpgOrdningen med personvernombud har eksistert i Norge siden 2001. Med den nye personvern­lovgivningen er innholdet i personvernombudsrollen blitt betydelig styrket. Ordningen ble samtidig gjort obligatorisk for de aller fleste statlige og kommunale virksomheter, og for en rekke private virksomheter og organisa­sjoner.

Ved utgangen av 2019 var det registrert 1 267 personvernombud som representerte 1 852 virk­somheter.

Gjennomførte aktiviteter

Datatilsynet tilbyr ikke lenger kurs eller annen opplæring for personvernombud i egen regi. Vi samarbeider imidlertid med ulike utdanningsaktører for å sikre at personvernombudene fortsatt har et godt utdanningstilbud om personvernlovgivningen. Blant andre har BI, Høgskolen i Innlandet og Oslo Met bygget opp egne deltidsstudier som gir studiekompetanse. Datatilsynet deltar med foredrag om enkeltemner på disse studiene. Også andre aktører tilbyr ulike kurs og seminarer rettet mot personvernombudene, hvor vi så langt mulig stiller opp.

Det er videre blitt etablert flere ulike nettverksforum for ombudene, gjerne sektorbaserte, eller som regionale nettverk. Vi har prioritert å delta på samlinger i regi av slike nettverksgrupper. I samarbeid med Foreningen Kommunal Informasjonssikkerhet (KiNS) var vi initiativtakere til et dagsseminar for kommunale og fylkeskommunale personvernombud. Tilsvarende arrangerte vi et halvdags­seminar for personvernombudene innen helsesektoren. Det gjorde vi i samarbeid med Direktoratet for e‑helse i forbindelse med deres årlige Normkonferanse.

Enkelte nettverk av personvernombud innen kommunal sektor samarbeider dessuten om å arrangere kompetansehevende tiltak overfor ledere og saksbehandlere innen sine respektive kommuner og fylkeskommuner. Dette er initiativ som vi i Datatilsynet stiller oss svært positive til, og som vi deltar på langt vi har ressurser.

Kommunikasjon og veiledning

Personvernlovgivningen legger i stor grad ansvaret på den enkelte når det gjelder å ivareta eget personvern. Samtidig har virksomheter som behandler personopplysninger plikt til å etterleve lovgivningen på området. Dette gjelder både offentlige etater, private organisasjoner og næringsdrivende. Fordi disse gruppene har så forskjellige behov, stiller det store krav til hvordan vi jobber med kommunikasjon i Datatilsynet.

Datatilsynet har som strategisk satsing at vi skal bidra til økt kunnskap om og interesse for personvern. Vi skal også jobbe for at andre aktører tar personvernhensyn. Vi skal sette borgeren i stand til å ta vare på sitt eget personvern, og vi skal ha stor synlighet i personverndebatten. I 2019 har vi fortsatt arbeidet med å lage god veiledning til de nye personvernreglene. Her har kommunikasjon som virkemiddel selvsagt vært svært viktig.

Kommunikasjonsarbeidet er basert på statens kommunikasjonspolitikk og gjeldende regelverk, slik som offentlighetsloven og forvaltningsloven. Videre heter det i instruksen fra Kommunal- og moderniseringsdepartementet at vi skal ha en aktiv holdning til kommunikasjon, både internt og eksternt. Det er viktig at vi fanger opp signaler som angår Datatilsynet, og at vi bruker dette aktivt i kommunikasjonsarbeidet. Kommunikasjon skjer i første rekke gjennom nettstedet vårt, direkte veiledning overfor publikum, aktiv mediekontakt og gjennom en utstrakt foredragsvirksomhet.

I 2019 ble dessuten veiledningstjenesten en egen ressursenhet i kommunikasjonsavdelingen. På denne måten er vi godt rustet til å fange opp behovet fra publikum, og koble ulike tiltak tett opp mot kommunikasjon i ulike kanaler.

Formidling gjennom egne kanaler

Nettstedet datatilsynet.no

Hjemmesiden er vårt viktigste verktøy for kommunikasjon med våre målgrupper, og vi legger stor vekt på at innholdet skal være relevant og enkelt tilgjengelig for våre brukere. Vi lanserte oppdaterte nettsider i august 2019, der funksjonalitet og design var optimalisert etter vårt forarbeid med brukerbehov og analyser som ble lagt året før. Nettsidene har fått bedre strukturert innhold og nye løsninger som har som mål å gjøre brukerne mer selvhjulpne. Et selvstendig mål er å redusere antall henvendelser til vår veiledningstjeneste, noe vi tror vi har lykkes med. Effekten vil vi imidlertid først kunne si noe konkret om over tid.

I kommende periode satses det enda sterkere på veiledning ut til publikum, både til virksomheter og enkeltborgere. Vi skal satse ytterligere på nettbasert veiledning. I 2019 har vi jobbet med å legge til rette for at vi kan åpne opp for chat-tjenester via våre nettsider. Vi har vært på besøk hos Arbeidsdirektoratet i Bodø for å lære av deres måter å gi veiledning via en-til-en-chat, og redet grunnen for ulike verktøy som kan tas i bruk. Planen er å sette opp en pilot i løpet av 2020.

Vi har i 2019 styrket veiledningstjenesten med flere studenter som fortløpende lager aktuelle nettsaker der vi ser at skoen trykker. Arbeidet med elektronisk klageskjema er også høyt prioritert, og skal implementeres via nettstedet.

Vi jobber også med å implementere video-strømming og opptak av egne arrangementer og andre hendelser som kan ha større interesse enn for de som er til stede fysisk. Måler er å nå ut til flest mulig i hele landet. Vår erfaring er at mange virksomheter og enkeltpersoner følger med på våre arrangementer når vi direktesender, og vi ønsker å gjøre dette tilgjengelig fra egen nettside.

Veiledning

Vi produserer, oversetter og publiserer veiledere til sentrale deler av det nye regelverket for å kunne hjelpe virksomhetene med å tilpasse seg suksessivt. God veiledning er avgjørende for virksomheter som skal følge opp plikter de har etter personvernregelverket.

I løpet av meldingsåret ble det blant annet publisert oppdatert veiledning om overvåking og kontroll i arbeidslivet. Formålet er å gi virksomheter en enkel oppskrift på hvordan man kan finne frem i regelverket og gjennomføre gode prosesser. Vi lagde også veiledning om hvordan databehandler­avtaler skal sikre at personopplysninger blir behandlet i samsvar med regelverket og som setter en klar ramme for hvordan databehandleren kan behandle opplysninger. Dette gir en praktisk innføring i når man må inngå en databehandleravtale og kravene til innholdet i en slik avtale.

Utvikling og besøk

Antall besøk på datilsynet.no har økt kraftig de siste årene, med en prosentvis økning de siste tre årene på 48 prosent. Siden 2018 har det imidlertid vært en liten nedgang i besøk, noe som kan tyde på at informasjonsbehovet ikke har vært like intenst som i forordningsåret 2018. Det er likevel bare en liten nedgang, og vi vet at det fortsatt er et stort informasjonsbehov blant publikum. Antall sidevisninger har hatt en økning i samme periode, samtidig som vi har hatt en nedgang i antall sider på nettstedet. Nedgang i antall sider kommer av at vi har jobbet med å strukturere innholdet bedre og samle relevant informasjon på en mer effektiv måte.

Statistikk og informasjonskapsler (cookies)

For å ha god innsikt og målrettet arbeid er vi avhengige av gode statistikkverktøy på nettsiden. I 2018 anskaffet vi derfor SiteImpove Analytics for å sikre oss et mer stabilt og grundig datamateriale til vårt fremtidige arbeid. Dette verktøyet bestemte vi oss likevel for å stenge ned i tilknytning til lansering av de oppdaterte nettsidene i august 2019. Etter en nøye vurdering valgte vi å prioritere en nettside som var oppdatert i forhold til nytt regelverk og endringene i cookies-retningslinjene fra det europeiske Personvernrådet. Vi innførte også et cookie-banner med ulike tillatelser på nettsiden. Vi mangler dessuten statistikk på interne søk for hele 2019 siden denne ble slått av ved lansering av nye sider, og all tidligere historikk ble slettet. Vi vil få en annen, cookie-fri måte å hente ut anonym statistikk på fra serverne våre implementert fra nyåret 2020.

NKOM, norsk fagmyndighet på dette feltet, vurderer nå endringer i tolkningen av det norske regelverket.

Personvernblogg, sosiale medier og debattinnlegg

Personvernbloggen.no fungerer etter intensjonen. Den er et rom hvor vi kan reise andre problem­stillinger enn vi kan på den ordinære nettsiden, og der vi i større grad kan benytte ombudsrollen vår. Der publiserer vi også kronikker som vi har hatt på trykk i aviser og tidsskrifter.

Vi følger med på omtale av Datatilsynet og personvern på Twitter, og vi besvarer de fleste spørsmål og kommentarer som kommer via denne kanalen.

Vi vurderer også tilstedeværelse i andre SOME-kanaler, og startet opp en risikovurdering av vår eventuelle tilstedeværelse på Facebook. Vi er den første datatilsynsmyndigheten i Europa som gjør en slik grundig vurdering etter personvernforordningen. Vurderingen ferdigstilles våren 2020, og med bakgrunn i denne vi vil ta stilling til om vi åpner en konto for Datatilsynet eller ikke. Vi tror at dette arbeidet vil være en god pekepinn for våre søsterorganisasjoner, og vi regner også med at vår konklusjon vil være av stor interesse for andre aktører og offentligheten.

I 2019 startet vi opp et podcast-prosjekt. Planen er å lansere vår egen podcast, Personvernpodden, i løpet av våren 2020. På denne måten når vi ut i flere og nye kanaler. Målet er å øke bevisstheten og refleksjoner om personvern hos et større publikum.

Nyhetsbrev

Nyhetsbrev.jpgVed utgangen av 2019 var det 3 698 som abonnerte på nyhetsbrevet vårt, og vi opplever en jevn økning i antall abonnenter. Statistikken viser imidlertid en nedgang fra 2017 til 2018, noe som kommer av at vi måtte vi innhente nye samtykker fra alle mottakerne av nyhetsbrevet på grunn av det nye personvern­regelverket.

Vi sender i snitt ut to nyhetsbrev i måneden, avhengig av om vi har saker å formidle. Av personvern­hensyn har vi ikke noen spesifikk statistikk på antall klikk, men kan generelt si at vi har en høy åpningsrate i våre nyhetsbrev.

Mediekontakt

Vi vurderer mediene som en svært viktig kanal for å få frem budskapene våre, og det er jevn pågang og interesse fra disse. Vi legger stor vekt på å ha et profesjonelt forhold til pressen. Dette innebærer at vi skal ha god tilgjengelighet og et høyt servicenivå overfor journalistene. Dette mener vi å ha lykkes godt med også i 2019.

Mediehenvendelser.jpgVi noterer ned hver gang vi kontaktes av journalister i en ny sak, og i løpet av året har vi registrert 676 besvarte mediehenvendelser til kommunikasjons­avdelingen. Det er imidlertid mange henvendelser som generer flere oppslag i ulike medier, og i mange mediesaker er vi omtalt uten å være kontaktet. Medieovervåkingstjenesten Infomedia har registrert til sammen 4 233 oppslag i medier der Datatilsynet er omtalt i løpet av året.

Det er en ganske jevn fordeling av saker der Datatilsynet er omtalt i riksmedia, lokalmedia og annet (som her vil si nettsteder som ikke er definert som ordinær dagspresse, for eksempel fagtidsskrifter, nettmagasin, organisasjoner, nyhetsbyrå eller andre virksomheter):

Fordeling papir-eter.jpg  Fordeling riks-lokal.jpg

Når vi ser på et kodet utvalg av oppslagene, fordeler de seg på følgende kilder:

Fordeling mediesaker.jpg

Det er et relativt jevnt trykk i mediene hele året. Som oversiktene viser, har blant annet de store gebyrsakene knyttet til informasjonssikkerhet i Oslo og Bergen kommune preget nyhetsbildet gjennom året. Avviksmeldinger som meldes inn til tilsynet er også en gjenganger – enten som oppslag om enkeltsaker eller bruk av tall i generelle oppslag. Datatilsynets nei til ny lov om Etterretningstjenesten, skapte også mange oppslag og bred debatt.

Oversikten viser fordelingen av medieoppslag gjennom 2019:

Fordeling av mediesaker gjennom året.jpg

En skjematisk oversikt over noen av de mediesakene som fikk mest omtale:

Mediesaker gjennom året.jpg

Foredragsvirksomheten

Foredrag er en viktig del av vår utadrettede kommunikasjonsvirksomhet. De gir oss muligheten til å øke kjennskapen til rettigheter og plikter, og til å skape økt forståelse for betydningen av personvern. Samtidig viser vi synlighet og tilgjengelighet for virksomheter, interesseorganisa­sjoner og publikum. Eksterne forespørsler vurderes ut fra noen faste kriterier slik som antall deltagere, om temaet er relevant for våre satsningsområder, og selvfølgelig kapasitet.

Egne arrangement

Direkte dialog med ulike målgrupper har vært avgjørende i arbeidet med implementeringen av personvernforordningen, særlig blant små og store virksomheter. Stand på konferanser i privat og offentlig sektor har vært prioritert, blant annet Expo Stavanger, Trondheim og Oslo, i tillegg har vi deltatt som medarrangør på større konferanser om teknologi og samfunn slik som KiNS, Sikkerhetskonferansen, Nokios og Normkonferansen.

Personverndagen

Tradisjonen tro markerte Datatilsynet den internasjonale personverndagen i januar med et personvern­seminar i samarbeid med Teknologirådet. 2018 var et merkeår for personvernet: Den nye europeiske personvernlovgivningen (GDPR) trådte i kraft, og satte individenes rettigheter i førersetet. Samtidig ga granskningene av Cambridge Analytica og russisk innblanding i det amerikanske presidentvalget oss et unikt innblikk i hvordan persondata brukes til politisk påvirkning.

På seminaret så vi derfor på status for personvernet et halvt år etter at vi fikk det nye regelverket. Hva har det betydd og hvilke utfordringer ser vi? Teknologirådet diskuterte hvordan personvern og demokrati utfordres av ny teknologi, før arrangementet ble avsluttet med en paneldebatt.

Safer Internet Day – «Skal – skal ikke… Aldersgrenser og barn på sosiale medier»

I februar markerte vi den årlige internasjonale Safer Internet Day med et halvdagsseminar sammen med Utdanningsdirektoratet og Medietilsynet. Denne gangen var tema aldersgrenser og barn på sosiale medier. På seminaret prøvde vi å synliggjøre utfordringene knyttet til aldersgrensene som følger av personvernforordningen, samt å gi tips og råd til foreldre.

Av deltakerne i programmet var blant annet barneombud Inga Bejer Engh, skuespiller Ane Dahl Torp og vår egen direktør Bjørn Erik Thon. Den nyeste filmen vi har produsert i Dubestemmer-prosjektet, ble også lansert. Den tar opp nettopp dette med aldersgrenser i sosiale medier. Arrangementet var fulltegnet og kunne også følges på strømming.

Konkurranse om innebygd personvern i praksis

Innebygd personvern er en plikt for alle virksomheter som behandler personopplysninger. Det er et politisk ønske at dette prinsippet brukes både i statlig og offentlig forvaltning. Det vil styrke den enkeltes personvern og rettigheter, samt sikre personopplysningene bedre.

For å løfte frem eksempler på hvordan dette kan og bør jobbes med rent praktisk, har vi de siste årene utlyst en konkurranse. Alle med en løsning, et system, en applikasjon eller programvare som er utviklet i tråd med prinsippene om innebygd personvern, har vært oppfordret til å sende inn sine bidrag. Nytt av året var at det også ble delt ut en studentpris.

Av bidragene vi fikk inn i 2018, ble så tre finalister plukket ut av en jury til å presentere sine bidrag på et arrangement i mars 2019.

  • Vinner av hovedprisen var Microdata.no – en tjeneste som fjerner personvernrisikoen ved forskning på mikrodata, samtidig som forskerne får raskere og langt rimeligere tilgang til dataene. Microdata.no er utviklet av Norsk senter for forskningsdata (NSD) og Statistisk sentralbyrå (SSB).
  • Andreplassen gikk til No Isolation som har utviklet kommunikasjonsroboten AV1, der innebygd personvern legger grunnlaget for løsningen og designet. Den er laget for barn og unge med langtidssykdom, og er tatt i bruk i klasserom rundt om i hele Europa.
  • Studentprisen gikk til fem studenter fra Senter for Rettsinformatikk ved Universitetet i Oslo. De hadde tatt utgangspunkt i vinnerbidraget fra 2017, Kjernejournal, og uttalelser juryen ga om forbedringer. De kom så med gode, konkrete og beskrivende forslag til hvordan forbedringene kan implementeres i Kjernejournal.

Det er utlyst en tilsvarende konkurranse for 2019, og vinneren vil kåres i mars 2020.

Arendalsuka

Arendalsuka skal være en årlig nasjonal arena hvor aktører innenfor politikk, samfunns- og næringsliv møter hverandre og andre, for debatt og utforming av politikk for nåtid og framtid. Personvern berører så å si alle sektorer og områder i samfunnet vårt. Politikeres holdning til, forståelse for og i hvilken grad de tar hensyn til personvern, er svært viktig. Dette gjenspeiles blant annet i lovforslag, vurdering av kontrolltiltak i samfunnet og i om politikerne er i stand til å finne riktig balanse mellom sikkerhet, brukervennlighet, innovasjon og personvern. Arendalsuka er derfor en viktig arena for Datatilsynet å være synlig på for å best mulig kunne bidra til at personvern står høyt på agendaen når politikk utformes.

I meldingsåret hadde vi derfor flere arrangementer der vi inviterte politikere og fagfolk til debatt om en rekke tema:

  • «Kunstig intelligens og personvern: Hvordan styre algoritmene i riktig retning?» (sammen med Tekna)
  • «Fremtidens digitale borgere: Tar vi ansvar for å ivareta dem og personopplysningene deres godt nok?»
  • «Arendal Analytica: Digital målretting i politisk valgkamp?» (sammen med Civita)
  • «PlattformNorge: Datakappløp i helsesektoren – hva slags utfordringer har det for personvernet?»

I tillegg deltok vi på tre andre arrangementer, blant annet i en debatt om forslaget til ny lov om Etterretningstjenesten.

Vi var jevnt over fornøyde med oppmøtet og fikk gode tilbakemeldinger.

Eksterne foredrag

Foredrag.jpgI 2019 holdt vi 160 foredrag på kurs, konferanser og seminarer i regi av andre aktører som ønsket vår deltakelse. Vi er dermed tilbake på et tilsvarende antall som før personvernforordningen ble vedtatt i EU. Dette er innenfor det som har vært vårt normale aktivitetsnivå for foredragsvirksomheten i årene før personvernforordningen.

Vi har også i dette meldingsåret konsentrert innsatsen mot større konferanser og seminarer regi av bransjeorganisasjoner. Ikke minst har vi også prioritert å stille opp på ulike nettverksmøter for personvernombudene.

Vi takket nei til et betydelig antall forespørsler om foredrag som enten ikke oppfylte våre prioriteringskriterier, eller hvor vi rett og slett ikke hadde tilgjengelige medarbeidere på det ønskede tidspunktet.

Veiledningstjenesten

Datatilsynets veiledningstjeneste er et tilbud for virksomheter og publikum som har spørsmål som ikke krever ordinær saks­behandling om behandling av person­opplysninger. Et viktig mål med tjenesten er å gjøre enkeltpersoner i stand til å ivareta egne interesser i saker som gjelder personvern og å bistå virksomheter i å følge pliktene i person­vern­lovgivningen. Det er et stort spenn i kompleksiteten i spørsmålene som er av både juridisk og teknisk karakter.

I løpet av 2019 har veiledningstjenesten registrert totalt 7 186 henvendelser.

Veiledningshenvendelser.jpg

Effektivisering av veiledningstjenesten – utvidet åpningstid og utfasing av e-post

Fra og med juni økte vi våre åpningstider på telefonveiledningen, samtidig som vi faset ut veiledning på e-post. Begrunnelsen var å gi et bedre og raskere tilbud til våre brukere. Vi har lenge opplevd en stor økning i antall e-poster, og det kunne ta opptil flere uker å få svar på noe som kunne vært besvart raskt via telefon. I tillegg satser vi på å bygge ut våre nettsider som den primære kilde for informasjon om rettigheter og plikter. Vi har ansatt seks studenter fra juss- og teknologistudier i ressursenheten for veiledning som ble en del av kommunikasjonsavdelingen etter omorganiseringen. Studentene bidrar, foruten telefonveiledning, med å skrive tekster til nettsidene. I tillegg til studentene bidrar jurister og teknologer fra fagseksjonene i den daglige veiledningen på telefon.

Av de 7 186 henvendelser veiledningstjenesten registrerte i 2019, består 1 968 av e-poster (registrert frem til juni) og 5 218 telefoner. Henvendelser per e-post er betraktelig redusert etter at vi faset ut denne tjenesten og økte åpningstid for telefonveiledningen, mens antall telefonhenvendelser har økt noe.

Vi opplever at veiledningstjenesten vår har blitt mer effektiv ved å satse på telefonveiledning. Publikum får raskere svar, og dialogen i veiledningssituasjonen gjør at komplekse problemstillinger blir løst underveis i samtalen. Det hoper seg ikke opp med e-poster i saksbehandlingssystemet, og studenter og saksbehandlere frigjør med tid til ordinær saksbehandling og arbeid med nettsider.

Det er stor variasjon i kompleksiteten i henvendelsene vi får. Noen besvares på få minutter mens flere av henvendelsene er omfattende og kompliserte. I gjennomsnitt brukes det rundt ni minutter på en samtale, mens gjennomsnittlig ventetid er rundt fire minutter. Et mål for kommende år er å få ned ventetiden i telefonkø.

Veiledningstjenesten er til enhver tid er bemannet med tre til fire personer, og vi opplever at etterspørselen fra publikum er stor.

Vi fører statiststikk over henvendelsene som går direkte til veiledningstjenesten. Vi registrerer hva henvendelsene handler om, og hvem henvendelsene kommer fra. I tillegg registrerer vi om henvendelsene dreier seg om arbeidsliv. Dette gjør vi for å få bedre oversikt over hva publikum lurer på slik at vi kan tilpasse veiledningen på nettsiden vår og bygge kompetanse på aktuell tematikk.

Hvem kontakter oss?

Veiledning - fordeling.jpgStatistikken viser at 49 prosent av de som tar kontakt med denne tjenesten er representanter for virksomheter, mens 48 prosent er privatpersoner. Det nye regelverket begynner å bli godt implementert i flere virksomheter, men mange arbeider fortsatt med å etterlevelse i praksis.  Som følge av overgangen til det nye regelverket, har det også tiltrådt flere personvern­ombud i norske virksomheter.

Personvern­ombudene står for tre prosent av henvendelsene. Dette antallet er i realiteten høyere, siden vi bare har registrert henvendelser fra personvernombud siden april 2019.

Hva handler henvendelsene om?

Nedenfor følger en kort oppsummering av de mest sentrale kategoriene for hva veiledningstjenesten får spørsmål om. Merk at tallene ikke vil være fullstendig dekkende, ettersom flere av henvendelsene vil kunne plasseres i ulike kategorier.

Veiledning - tema.jpg

Register

Én av fire henvendelser til veiledningstjenesten handlet om registre. Det dreier seg blant annet om hva som kan registreres, når og hvordan man kan kreve å få slettet informasjon, samt rettigheter knyttet til innsyn i egne personopplysninger. Blant privatpersoner som ringer til veiledningstjenesten gjelder klart de fleste henvendelsene bruk av personopplysninger i ulike registre.

40 prosent av henvendelsene innenfor denne kategorien gjelder kunde- og medlemsregistre, 15 prosent av spørsmålene dreier seg om personalregistre, mens 17 prosent gjelder andre offentlige registre, slik som innenfor skole, skatt, politi og lignende. Vi får også en del spørsmål om journal­opplysninger (helse, NAV, barnevern og lignende), og registrering i forbindelse med kreditt­opplysnings­virksomhet.

Internkontroll og informasjonssikkerhet

Internkontroll og sikkerhet var tema for 23 prosent av det totale antall henvendelser til veilednings­tjenesten. 34 prosent av disse henvendelsene gjaldt informasjonssikkerhet, slik som risiko­vurderinger, kryptering og autentisering. Vi ser at antall henvendelser om dette har økt siden 2018.

Hvis vi ser bare på henvendelsene fra virksomheter, er internkontroll og informasjonssikkerhet det vi får flest spørsmål om. Vi har også mottatt mange spørsmål om avviksbehandling og databehandler­avtaler. Dette henger nok sammen med at mange virksomheter fortsatt jobber med å sikre at deres systemer er forenelige med det nye personvernregelverket.

Kameraovervåking

Kameraovervåking er en gjenganger, og i 2019 handlet 14 prosent av henvendelsene til veilednings­tjenesten om dette. Kameraovervåking av hjem og bolig står for en fjerdedel av disse henvendelsene.

Det er også mange arbeidstakere som tar kontakt fordi de føler seg urettmessig overvåket. Vi mottar dessuten en del spørsmål om kameraovervåking i borettslag/sameier, ved hytter og i private boliger.

Internett

Ulike henvendelser om internett sto for 7 prosent av henvendelsene. Dette er på lik linje med 2017 og 2018. Over halvparten av disse henvendelsene gjelder uønsket publisering av bilder, film, tekst og lignende på nett.

Sporing og kontroll

Denne kategorien utgjorde 10 prosent av henvendelsene, og hele 62 prosent av disse henvendelsene var relatert til arbeidslivet. De vanligste temaene for henvendelsene på dette området gjelder kontroll av e-post, hjemmeområde og telefon, mens 30 prosent av henvendelsene gjaldt sporings­teknologi slik som GPS, velferdsteknologi og flåtestyring.

Annet

Et betydelig antall av henvendelsene vi får lar seg ikke lett kategorisere og er derfor lagt til i samlekategorien «annet». Vi har blant annet mottatt et betydelig antall henvendelser som er utenfor Datatilsynets forvaltningsmandat, og som vi derfor i liten grad har muligheten til å veilede om.

Spesielt om spørsmål knyttet til arbeidsliv

Spørsmål knyttet til personvern i arbeidslivet har tradisjonelt sett utgjort en stor andel av henvendelsene til veiledningstjenesten. Det sjekkes derfor alltid om henvendelsen gjelder personvern i arbeidslivet i tillegg til kategori, da spørsmål innen arbeidslivet kan gjelde flere av kategoriene over.

Statistikken viser at hele 20 prosent av den totale andelen henvendelser dreide seg om arbeidsliv i meldingsåret. Mange av spørsmålene handler om kontroll og overvåking av ansatte. Det er spørsmål om kameraovervåking på arbeidsplassen, innsyn og sletting av ansattes e-post, samt adgangskontroll og logging av arbeidsinnsats. Vi får også spørsmål om bruk av GPS-sporing og annen sporing av ansatte.

Henvendelser fra personvernombud

Tre prosent av henvendelsene kommer fra personvernombud i offentlige og private virksomheter. Vi ser at denne gruppen ofte er ute etter veiledning om avviksbehandling.

Nasjonale samarbeidsrelasjoner

Datatilsynet har utstrakt kontakt med andre aktører. Nedenfor følger en oversikt over vår mest sentrale deltakelse i nasjonale fora.

I tillegg til disse kommer det et stort antall kontaktmøter med ulike aktører og samarbeid av mer kortvarig art. Vi har også avtaler om faglig samarbeid med flere sentrale statlige virksomheter.

Aktørforum e-signatur

Nasjonal kommunikasjonsmyndighet (Nkom) samler aktørene innen e-signaturområdet til aktørforum. Hovedtema er EU-kommisjonens forslag til forordning om blant annet e-ID og e-signatur. Aktørforumet skal systematisere kontakten mellom aktørene, og Datatilsynet har fulgt opp arbeidet i forumet.

Direktoratet for e-helse

Det har vært jevnlige møter mellom Datatilsynet og direktoratet i 2019, både på direktørnivå og på saksbehandlernivå. Nye løsninger presenteres og drøftes løpende med Datatilsynet.

Helsedataprogrammet ligger også under ansvarsområdet til Direktoratet for e-helse. Vi har deltatt i referansegruppen og i en av arbeidsgruppene i programmet.

Direktoratet har sekretariatet for Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren (Normen), og det er også i den forbindelse mye kontakt. Vi har også hatt jevnlige møter med sekretariatet gjennom året og har diskutert nødvendig endringer i Normen opp mot de nye personvernreglene.

Digitaliseringsdirektoratet

Datatilsynet har et godt samarbeid med Digitaliseringsdirektoratet (tidligere Difi) sitt kompetanse­miljø innenfor informasjonssikkerhet. Vi har en del overlappende ansvarsområder, og samarbeider med dem om ulike tema slik som blant annet veiledere for internkontroll og informasjonssikkerhet. I tillegg har vi bidratt med veiledning i personvernspørsmål når det gjelder bruk av sosiale medier i offentlig forvaltning.

Nasjonal sikkerhetsmyndighet (NSM)

Datatilsynet har et godt samarbeid med NSM. Vi har en del overlappende ansvarsområder, og samarbeider med dem om blant annet veiledere og anbefalinger innenfor informasjonssikkerhet.

Folkeregisterprosjektet

Det er viktig for Datatilsynet å følge med på utviklingen av hvordan Folkeregisteret kommer til å se ut i fremtiden. Vi har vært representert med en representant i referansegruppen, samt at vi har deltatt i enkelte møter i prosjektet. Problemstillinger knyttet til hvilke opplysninger som skal inn i registeret, er noe vi jevnlig må forholde oss til.

Det har vært særlig oppmerksomhet omkring utveksling av opplysninger om «fortrolig» og «strengt fortrolig» adresse, private aktører som distributører av Folkeregisteret, Folkeregisterets rolle som ID-forvalter, tilgangskontroll og borgertjenester i registeret.

Foreningen kommunal informasjonssikkerhet (KINS)

Datatilsynet har deltat­­­t som samarbeidspartner i Foreningen kommunal informasjonssikkerhet (KiNS). Dette innebærer å delta på styremøter som observatør og bidragsyter, og å delta i planleggingen av KiNS sine arrangementer. Vi bidrar også med foredrag eller som paneldeltakere på disse arrangementene.

Forumet «Stopp nettsvindelen»

Forumet «Stopp nettsvindelen» drives av Norsk senter for informasjonssikring (NorSIS). Datatilsynet deltar sammen med flere andre sentrale offentlige og private organisasjoner. I forumet legges det vekt på presentasjon av trender, metoder og fremgangsmåter som svindlere benytter, slik som identitetstyveri og svindel. Det fokuseres på erfaringsutveksling, tiltak og virkemidler.

Helsedirektoratet

Det er jevnlig kontakt mellom Datatilsynet og Helsedirektoratet, både på direktørnivå og saksbehandlernivå.

ID-nettverket for en helhetlig ID-forvaltning

Datatilsynet deltar sammen med flere andre sentrale organisasjoner i dette nettverket. Hovedmålet til nettverket er å arbeide for en helhetlig ID-forvaltning i Norge, og for å forebygge kriminalitet for dermed redusere trusselen mot velferdsstaten. Datatilsynets deltakelse er viktig både for å ivareta personvernet i ID-forvaltningen, og for å bidra til at sikre løsninger etableres.

Mobilitets- og teknologirådet

Samferdselsministeren leder rådet der Datatilsynet er representert ved direktøren. Rådet består av sentrale aktører i privat og offentlig sektor, og skal bidra til en felles forståelse av de mulighetene og utfordringene som ny teknologi i samferdselssektoren gir.

Nasjonalt råd for Facilitation – NAFAL

Datatilsynet har én representant i Nasjonalt råd for Facilitation (NAFAL), sivil luftfart. Rådets mandat er å fremme forslag til fastsettelse av standarder for effektiv gjennomstrømming av personer, bagasje og varer på lufthavner. Luftfartstilsynet koordinerer gruppen som har medlemmer fra tolv ulike myndigheter og virksomheter innen sivil luftfart.

Norges Nasjonale Institusjon for Menneskerettigheter (NIM)

Datatilsynet har et god samarbeid med NIM, blant annet knyttet til høringsuttalelser. Det er mange fellesnevnere i debatten om personvern og menneskerettigheter, blant annet i debatten om digitalt grenseforsvar. Begge institusjonene deltok i Sametingets høring om bruk av samisk etnisitet i blant annet helseforskning, og diskuterte synspunkter i forkant.

Norsk Biometri Forum

Datatilsynet deltar i Norsk Biometri Forum som er et uformelt forum for presentasjon og diskusjon innenfor biometri. Det er lagt stor vekt på å få inn nye ideer, samtidig som møtene benyttes til orientering om pågående prosjekter innenfor offentlig og privat sektor.

I prinsippet er forumet åpent for alle interesserte innen offentlig sektor, næringsliv og forskning. Forumet møtes omtrent to ganger i året, og har deltakere fra departementer, direktorater og en del private bedrifter, samt NTNU i Gjøvik. Forumet arrangeres i tett samarbeid med Forum for Research and Innovation in Security and Communications (FRISC) og European Association for Biometrics (EAB).

Norsk konferanse for IKT i offentlig sektor (NOKIOS)

Datatilsynet har deltatt som samarbeidspartner og i programkomiteen for NOKIOS. Dette innebærer bade planleggingen av konferansen, og å være bidragsyter både når det gjelder innhold og gjennomføring. NOKIOS har etter hvert blitt en viktig arena der vi kan sette fokus på personvern i digitaliseringen av offentlig sektor.

Norsk senter for informasjonssikring (NorSIS)

Datatilsynet er representert i styret til NorSIS ved direktør Bjørn Erik Thon. Vi har mange overlappende ansvarsområder med NorSIS, og samarbeider derfor med dem om ulike tema, blant annet Nasjonal sikkerhetsmåned.

Samarbeidsprosjektet Du Bestemmer

Du Bestemmer er et formalisert samarbeid mellom Utdanningsdirektoratet og Datatilsynet. Sammen driver vi blant annet nettressursen dubestemmer.no som skal bidra til at barn og unge skal lære seg å ta kontroll over egne personopplysninger, og samtidig respektere andres opplysninger. I 2019 ble det holdt to styringsgruppemøter, vi markerte Safer Internet Day med et frokostseminar og det ble blant annet produsert en ny undervisningsfilm.

Sikkerhetsfestivalen

Sikkerhetsfestivalen er en arena for erfaringsutveksling. Den ble arrangert for første gang i 2019. Ambisjon er at dette skal bli Norges største og viktigste sikkerhetsarrangement, og en samlende arena for alle med interesse eller ansvar for cyber, IKT og informasjonssikkerhet. Sikkerhetsfestivalen er et samarbeidsarrangement mellom en rekke virksomheter og organisasjoner som jobber med sikkerhet i Norge, hvor Datatilsynet er en av samarbeidspartnerne. Initiativtager er Norsk Informasjonssikkerhetsforum (ISF) som feiret sitt 25-årsjubileum i 2019. Datatilsynet hadde et eget spor på festivalen i 2019 om kunstig intelligens og personvern.

Skate

Datatilsynet møter jevnlig i Skate (Styring og koordinering av tjenester i e-forvaltning) og har i meldingsåret blant annet holdt innlegg om avviksmeldinger.

Standardisering – komitédeltagelse

Vi deltar i komiteer for standardisering der arbeidet har direkte relevans for vårt arbeidsområde. Standarder er førende for virksomhetenes praksis, også når det gjelder behandling av personopplysninger. Formålet med deltakelsen i komiteene er å sikre kunnskap om pågående prosesser internasjonalt, påvirke fremtidige rammebetingelser, samt bidra til å påvirke relevante standarder med hensyn til personvern og informasjonssikkerhet. Det er også viktig å få innblikk i hvilken praksis som anses som god, samt å holde kontakten med fagmiljøet.

Datatilsynet deltar i fire komiteer:

  • SN/K 171 arbeider i hovedsak relatert til ISO/IEC JTC 1/SC 27 IT Security techniques
  • SN/K 175 Intelligente Transportsystemer (ITS)
  • SN/K 188 Person-ID, kortsystemer, biometri, sikre signaturer, borgerkort
  • SN/K 186 Læringsteknologi

Vurdering av fremtidsutsikter

Knapt noen sektor er uberørt av den teknologiske utviklingen, og nær sagt alle sektorer har som mål å bruke persondata til å utvikle nye tjenester, gi bedre tilbud eller mer målrettede reklame, for å nevne noe. Kunstig intelligens og automatiske beslutninger har vi snakket om i mange år, men det er først nå vi faktiske ser at systemer med kunstig intelligens tar i bruk for å treffe beslutninger som berører folks daglige hverdagsdagligliv. Det gjelder for eksempel lån, kreditt og ulike stønader.

Dette er ikke nødvendigvis en uheldig utvikling. Datatilsynet er for eksempel positiv til regjeringens strategi for kunstig intelligens, og vi ser på det å bruke data i dag er en helt naturlig del av markeds­økonomien. Det er imidlertid helt avgjørende at data brukes riktig, og at systempliktene i personvernforordningen følges.    

For oss det er det avgjørende å rekruttere og ikke minst beholde kvalifisert arbeidskraft. Datatilsynet er en høykompetanse-virksomhet, og vår kompetanse er svært etterspurt. Vi må bruke ulike virkemidler for å forbli en attraktiv arbeidsplass, som for eksempel lønn, mulighet for kompetanse­utvikling, studiebesøk, et godt arbeidsmiljø og stor mulighet til å påvirke sin egen arbeidshverdag.

Det er også viktig med tett og god kontakt med næringsliv, offentlige etater og organisasjoner. Dette gir gjensidige læring, og bygge respekt «begge veier». Vi ser imidlertid et behov for ytterligere virkemidler for sørge for at regelverket etterleves. Vi er derfor svært glad for at opprettelsen av en regulatorisk sandkasse i Datatilsynet er blant tiltakene i regjeringens strategi for kunstig intelligens. Dette vil skape innovasjon, vinn-vinn situasjoner og økt kompetanse både hos oss og de som skal delta i sandkassen.

Det er også utfordringer knyttet til enkelte av virkemidlene våre, og til enkelte av sektorene. Disse vil vi gå gjennom nedenfor.

Kontroll og saksbehandling

Personvernregelverket er fremdeles relativt ferskt. Datatilsynet har for eksempel kun fattet tre vedtak om overtredelsesgebyrer i 2019, og ingen av dem er rettet mot private foretak. I tiden som kommer vil vi gjennomføre kontroll og etterlevelse av regelverket i privat sektor. Dersom behandlingen av disse sakene munner ut i overtredelsesgebyr, er Datatilsynet forberedt på å bli utfordret rettslig på en annen måte enn hva vi har opplevd hittil.

Prosedyrene som gjelder saker av grenseoverskridende art, er fremdeles kompliserte og utfordrende å følge i praksis. Tilsynssamarbeid på tvers av landegrensene hviler på et grundig teoretisk fundament, men hvordan dette vil virke i praksis, er fremdeles noe usikkert.

En harmonisert praktisering av regelverket på tvers av Europa, blir en utfordring i 2020 og fremover. Det utarbeides hjelpemidler som skal bidra til å lette arbeidet, og dette skjer i regi av Personvern­rådet. Gjennom fortsatt deltakelse i rådet og dets undergrupper, vil vi imidlertid være godt forberedt og ha løpende kunnskap om rettsutviklingen i EU og EØS. Dette er krevende, men nødvendig. Ikke bare for å bidra til en harmonisert rettsanvendelse, men også for å sikre at vi til enhver tid er oppdatert på gjeldende rett, innenfor et felt der en vesentlig del av rettsutviklingen skjer i Europa.

Internasjonalt

Det vil bli utfordrende å vedlikeholde det høye aktivitetsnivået på det internasjonale området samt å sørge for at tilsynet ikke går glipp av viktig informasjon eller viktige prosesser. Dessuten utgjør det relativt høye antallet BCR-søknader i Norge en utfordring. Ved årsskiftet var saksbehandlingstiden på BCR-søknader og grenseoverskridende saker svært høy, og en sentral utfordring er å jobbe for å få ned denne saksbehandlingstiden. Dette er dessuten saker vi i liten grad har kontroll på. Det er samtidig saker som vi er forpliktet til å behandle, noe som kan gå på bekostning av andre viktige oppgaver.

Skole, barn og utdanning 

Å ivareta barn og unges personvern i og utenfor skolen er grunnleggende for å opprettholde vårt demokratiske samfunn. Det er essensielt å kunne ha mulighet til å opprettholde og skille mellom de ulike rollene man har i alle mulige sammenhenger i oppveksten.

Synet på hvordan vi lærer er i endring. Synet på hva elever i norsk skole skal lære på skolen er også i endring. Disse endringene skjer imidlertid ikke så fort. Dette står i sterk kontrast til endringstakten i utviklingen av digitale læringsmidler. Mulighetene for skoleeiere til å ta i bruk digitale læringsmidler i form av både maskinvare og programvare er nærmest uendelige, og valgmulighetene blir bare flere.

Digitalisering av prosesser kan på mange måter bedre både informasjonssikkerhet og personvern. Eksempler på dette er tilrettelagte innsynsportaler hvor elever og foresatte kan få oversikt over hva skoleeieren har lagret av opplysninger om dem. Når det gjelder informasjonssikkerhet muliggjør digitaliseringen en mer presis tilgangsstyring, slik at bare de med saklig grunn har tilgang til personopplysninger.

Det er likevel en forskjell på digitalisering og effektivisering av prosesser som er kjente og som vi kan ha en viss kontroll over, og det å ta i bruk verktøy som vi ikke har forutsetning for å overskue konsekvensene av. Verktøy for læringsanalyse kan være et slikt eksempel hvis vi ikke setter de riktige rammene for bruk av teknologi.

Målet med læringsanalyse er å skape læring som er skreddersydd til den enkelte elev. Hensikten er god, men fra et personvernperspektiv er det en utfordring at for å få til dette er det nødvendig å innhente, lagre og analysere store mengder detaljerte opplysninger om elevens adferd på og utenfor skolen. Med «opplysninger om eleven» snakker vi ikke lenger bare om resultater på prøver. Det dreier det seg om alle mulige spor som eleven etterlater seg ved bruk av digitale hjelpemidler; ferdige og halvferdige arbeider og produksjoner, metadata om arbeid (når, hvor, hvordan, hvor lang tid og så videre), kommunikasjon med lærer og andre elever, eller filming og lydopptak på skolen og hjemme for å nevne noe.

Helse

Personvernet vil i tiden fremover utfordres med tanke på hvor mye personlig informasjon som skal lagres, og hvor lenge informasjonen skal oppbevares. På dette feltet har leverandørene og utviklerne av de tekniske løsningene stor innflytelse. De som bestiller og anskaffer de tekniske løsningene kan ha mindre reell kontroll over behandlingen av opplysninger, til tross for at regelverket legger ansvaret på dem. Det er foreløpig lite fokus på å sikre at løsningene har innebygd personvern.

Vi kan vente oss økt bruk av kunstig intelligens i tiden som kommer. Det samme gjelder big data. Det finnes allerede flere forskningsprosjekter som handler om dette. Innen forskning og kvalitetssikring er det stor etterspørsel etter å bruke allerede innsamlede data til nye formål. Mer effektiv datadeling er også på den politiske agendaen. Det er derfor sannsynlig at personvernet i helsesektoren vil stå under press i tiden som kommer.

Helse- og omsorgstjenesten og NAV har enorme mengder data om oss. Dataene er interessante i forbindelse med stordataanalyser. Slike analyser utfordrer den tradisjonelle praksisen knyttet til sekundærbruk av data, og den reiser nye problemstillinger for personvernet. Disse problem­stillingene kan være utfordrende, både for enkeltmennesket, og for de som skal vurdere om slik bruk av data skal tillates eller ikke.

Kommunikasjon

Utfordringen videre er å treffe med god, riktig og enkel informasjon til forskjellige formål og til ulike målgrupper. I kommende år legger vi derfor særlig vekt på å sette inn ressurser for å kontinuerlig jobbe med innholdsrevidering i tråd med erfaringer og behov med regelverket, utvikle digitale selvhjelpsverktøy, satse på nye kommunikasjonskanaler og jobbe med å kommunisere regelverket på et klart språk som kan forstås av flest mulig.

I 2020 vil det gjennomføres flere kontroller etter det nye regelverket. Dette, sammen med alt kunnskapsgrunnlaget vårt som ligger i innkomne avviksmeldinger, klagesaker og henvendelser, blir sentralt å bruke som grunnlag i videre kommunikasjon.

Året 2019 bygger vider på den nye æraen i Datatilsynets historie fra da det nye regelverket ble iverksatt i juli 2018. Det tar tid å få etablert ny regelverks­forståelse både internt og eksternt. Formidlingen er en stor og viktig oppgave, og er også utfordrende og ressurs­krevende.

Forventningene til god veiledning i offentlig sektor øker. Bedre digitale hjelpemidler er viktige verktøy som vi skal satse på fremover. Digitalisering krever imidlertid en stor menneskelig innsats, og det er avgjørende at vi er godt rigget for å møte virksomheter og innbyggere på en god og effektiv måte når de kontakter oss.