Forsidebilde med illustrasjon av KI, sikkerhet og personvern

Årsrapport for 2023

I årsrapporten kan du lese om hva Datatilsynet jobbet med i 2023, og hvilke utfordringer vi ser fremover.

Her finner du en gjennomgang av de viktigste sakene og områdene vi har jobbet med, samt sentrale tall og trender. Last ned rapporten i pdf dersom du vil lese den fullstendige versjonen som er godkjent av Digitaliserings- og forvaltningsdepartementet.

Leders beretning

Leders beretning er en introduksjon til årsrapporten, skrevet av direktør Line Coll. Her gis det et overordnet bilde over rapporteringsåret 2023.

Et begivenhetsrikt år!

Mitt første hele år som direktør for Datatilsynet har vært begivenhetsrikt. Rapporteringsåret preges av store, prinsipielle saker og mye medieoppmerksomhet, samtidig om vi har jobbet med organisasjons­utvikling, intern drift og kompetanseheving. Det er en krevende spagat for en liten organisasjon som Datatilsynet, og jeg er imponert og stolt over den innsatsen og engasjementet alle viser hver eneste dag, og som gir viktige resultater.

Datatilsynets hovedmål er et godt personvern for alle. Jeg mener vi har oppnådd hovedmålet på en god måte. Gjennom klagesaksbehandlingen har vi fulgt opp viktige sentrale prinsipper i personvern­retten, og vi har gitt overtredelsesgebyr i de alvorligste sakene. Ved å ta på oss store og prinsipielle saker med virkning ut over landegrensene, har Datatilsynet satt både personvern og Norge på kartet. Dette gir en viktig signaleffekt. Behandling av saker som engasjerer mange, og tydelige reaksjoner, bidrar til etterlevelse. Veiledningsarbeidet har vært høyt prioritert, og vi har jobbet særlig med dialog og tilgjengelighet inn mot det private næringsliv, samtidig som vi styrker og fortsetter den tette dialogen vi har med det offentlige.

Vi har holdt en stabilt høy produksjon også i 2023. Ut fra en samlet vurdering av de oppnådde resultatene, ressursbruk og måloppnåelse mener vi å ha oppnådd hovedmålet.

Nasjonale og internasjonale bølger

Det krever mot å stå opp mot giganter, og vi lever klart opp til vår verdi om å være modige. Vedtaket vårt i juli 2023 mot Meta Inc og Facebook Norge AS, skapte store reaksjoner og medførte en runde i retten med et omfang som var nytt for Datatilsynet. Med god hjelp fra Regjeringsadvokaten, blir saken stående som en viktig seier for personvernet i Norge og Europa for øvrig.

Etter noen år hvor gjennomføring av stedlige tilsyn har vært vanskelig på grunn av pandemi og restriksjoner, har vi nå fått satset mer på store og viktige tilsyn. Vi gjennomførte et av de mest omfattende tilsynene høsten 2023, med brevlig tilsyn av 100 kommuner og fylkeskommuner, og fulgte opp med stedlig tilsyn hos noen utvalgte kommuner. I etterkant av tilsynet, la vi vekt på å gi god veiledning i tilsynsrapporten, med henvisning til både egne og andre etaters veilednings­materiale og avgjørelser. Men en slik tilnærming til rapportene våre, ser vi at tilsynsvirksomheten vår får en effekt langt ut over det enkelte tilsynsobjektet. Vi gjennomførte også et større tilsyn i NAV som har fått stor oppmerksomhet.

Vi har fortsatt hatt barn og unge som prioritert område. Vi har fulgt opp Personvern­kommisjonens bekymring for digitalisering av skolen, vi har gjennomført tilsyn på arbeidsplasser som overvåker ansatte under 18 år med kamera, og vi har publisert viktig veiledning om strømming av barneidrett.

Prosjekt Kvist og økt samarbeid

I rapporteringsåret inviterte vi mer enn 160 private og offentlige virksomheter til dialog i det vi kalte Prosjekt Kvist. Vi ba virksomhetene om å gi innspill til hvordan vi i Datatilsynet kunne bevege oss litt mer ut fra den trygge stammen og ut på den operasjonelle kvisten, for å bli enda bedre og mer relevante i vårt arbeid for virksomhetene. Det ble interessante møter med kloke og engasjerte mennesker som ga oss viktig innsikt og økt bransje- og sektorkunnskap. Flere av innspillene er tatt inn i virksomhetsplanen vår for 2024. Innspillene vil være sentrale som strategisk og operasjonell rettesnor fremover.

Datatilsynet er en kunnskapsbedrift, og kompetanseheving og god samfunns- og bransjeforståelse er sentralt for oss. Prosjekt Kvist var viktig i dette arbeidet. Tilsynets medarbeidere har i tillegg deltatt på en rekke dialogmøter, kontaktmøter, konferanser og arrangementer. På denne måten kan vi bidra til å formidle kunnskap, samtidig som vi tilegner oss ny kunnskap og får høre andres perspektiver på personvernregelverket og på vårt eget arbeid.

Relasjonen til andre offentlige organer er svært viktig for oss. Samarbeidsflaten vår både nasjonalt og internasjonalt er stor, og det gjør oss enda bedre posisjonert til å oppfylle samfunnsoppdraget vårt. Den gode dialogen vi har internasjonalt, med andre lands tilsynsmyndigheter og gjennom det nordiske og europeiske personvernnettverket, er sentralt for at vi skal kunne gjøre en helhetlig jobb som tilsyn.

Et tilsyn for fremtiden – organisasjonsutvikling og ny strategi

En sentral oppgave for meg som direktør, er å arbeide for at tilsynet er beredt for fremtiden. Det har derfor vært viktig for meg å bruke tid på organisasjonsutvikling.

Vi har i 2023 jobbet frem en ny strategi som gjelder fra 2024, hvor vi har lagt en retning for Datatilsynets arbeid med blikket rettet mot 2030. Diskusjonene vi hadde i forbindelse med dette arbeidet har blant annet handlet om rolleforståelse, tilsynsvirksomhet og veiledning, samt hvordan Datatilsynet skal virke fremover. Vi har videre jobbet frem et nytt og helhetlig styringssystem som vil danne grunnlag mer hensiktsmessige arbeidsprosesser og saksbehandling. Vi har også sett på utvikling, kompetanseheving og forbedringer. Prosjekt Kvist har også hatt en intern effekt, i den forstand at innspillene fra alle virksomhetene har gitt oss viktig innsikt og -kompetanse, som vi tar med oss i de daglige oppgavene våre.

Jeg har stor tro på at arbeidet som er lagt ned i disse interne prosjektene, vil gi gode og synlige effekter i årene som kommer. Målet vårt er hele tiden å effektivt håndheve personvernforordningen og forebygge lovbrudd ved veiledning og informasjon. Innsatsen vi har lagt ned i 2023 vil gjøre oss i stand til å sette agendaen og levere på samfunnsoppdraget vårt på en enda bedre måte i tiden som kommer.

Rammeverk for tillit

Kunstig intelligens ble allemannseie i 2023. For å utvikle, lage og bruke systemer for kunstig intelligens, trenger man data. Svært mye av disse dataene er personopplysninger i en eller annen form. I møte med en teknologisk utvikling som beskrives som en revolusjon, er behovet for tillit svært tydelig. Lovlig og etisk bruk av personopplysninger i utviklingen og bruk av kunstig intelligens, er avgjørende for denne tilliten – både til systemene og virksomhetene som tilbyr og bruker disse.

Personvernregelverket gir regler for når og hvordan personopplysninger kan brukes, og er et helt sentralt regelverk for utvikling og bruk av kunstig intelligens. Ved å følge og etterleve personvernregelverket, vil virksomhetene oppnå tillit. Personvernforordningen er derfor et rammeverk for tillit i det digitale Norge.

En revolusjon karakteriseres gjerne av hurtige og dramatiske endringer, som det ikke alltid er lett å se omfanget og konsekvensene av når det står på. Vi ser nå en utvikling hvor teknologi, digitalisering og bruk av kunstig intelligens skal være med på å løse mange av utfordringene vi står ovenfor i samfunnet, og hvor etterspørselen etter innovasjon, raske avgjørelser og tilstrekkelige ressurser er stor. I en slik omstillingsprosess og utvikling, er det viktig å hegne om grunnleggende verdier i samfunnet. Ivaretagelse av personvernet står i en særstilling i den utviklingen vi nå ser, ettersom personopplysninger er råvaren alle etterspør.

Etterlevelse av det grunnleggende personvernregelverket vil ikke alltid gi raske løsninger, men over tid er det å sikre personvernet en forutsetning for et velfungerende og robust samfunn og demokrati. Det er også en grunnleggende forutsetning for tilliten til både myndighetene og til offentlige og private virksomheter som utvikler og tar teknologien i bruk. Gode rammevilkår for etterlevelse av regelverk for å sikre tilliten til produkter, tjenester og leveranser er dermed viktigere enn noen gang.

Datatilsynet skal være en viktig brikke i dette. Vi skal fortsette vårt systematiske arbeid for å sikre best mulig personvern for alle.  Vi skal være et fremtidsrettet og tilgjengelig tilsyn. Vi skal være med på å sette gode rammer for den teknologiske utviklingen av samfunnet i tråd med visjonen vår: «Sammen for menneskeverd og tillit i det digitale Norge».

Oslo, 8. mars 2024

Line Coll
Direktør