Et begivenhetsrikt år!

Mitt første hele år som direktør for Datatilsynet har vært begivenhetsrikt. Rapporteringsåret preges av store, prinsipielle saker og mye medieoppmerksomhet, samtidig om vi har jobbet med organisasjons­utvikling, intern drift og kompetanseheving. Det er en krevende spagat for en liten organisasjon som Datatilsynet, og jeg er imponert og stolt over den innsatsen og engasjementet alle viser hver eneste dag, og som gir viktige resultater.

Datatilsynets hovedmål er et godt personvern for alle. Jeg mener vi har oppnådd hovedmålet på en god måte. Gjennom klagesaksbehandlingen har vi fulgt opp viktige sentrale prinsipper i personvern­retten, og vi har gitt overtredelsesgebyr i de alvorligste sakene. Ved å ta på oss store og prinsipielle saker med virkning ut over landegrensene, har Datatilsynet satt både personvern og Norge på kartet. Dette gir en viktig signaleffekt. Behandling av saker som engasjerer mange, og tydelige reaksjoner, bidrar til etterlevelse. Veiledningsarbeidet har vært høyt prioritert, og vi har jobbet særlig med dialog og tilgjengelighet inn mot det private næringsliv, samtidig som vi styrker og fortsetter den tette dialogen vi har med det offentlige.

Vi har holdt en stabilt høy produksjon også i 2023. Ut fra en samlet vurdering av de oppnådde resultatene, ressursbruk og måloppnåelse mener vi å ha oppnådd hovedmålet.

Nasjonale og internasjonale bølger

Det krever mot å stå opp mot giganter, og vi lever klart opp til vår verdi om å være modige. Vedtaket vårt i juli 2023 mot Meta Inc og Facebook Norge AS, skapte store reaksjoner og medførte en runde i retten med et omfang som var nytt for Datatilsynet. Med god hjelp fra Regjeringsadvokaten, blir saken stående som en viktig seier for personvernet i Norge og Europa for øvrig.

Etter noen år hvor gjennomføring av stedlige tilsyn har vært vanskelig på grunn av pandemi og restriksjoner, har vi nå fått satset mer på store og viktige tilsyn. Vi gjennomførte et av de mest omfattende tilsynene høsten 2023, med brevlig tilsyn av 100 kommuner og fylkeskommuner, og fulgte opp med stedlig tilsyn hos noen utvalgte kommuner. I etterkant av tilsynet, la vi vekt på å gi god veiledning i tilsynsrapporten, med henvisning til både egne og andre etaters veilednings­materiale og avgjørelser. Men en slik tilnærming til rapportene våre, ser vi at tilsynsvirksomheten vår får en effekt langt ut over det enkelte tilsynsobjektet. Vi gjennomførte også et større tilsyn i NAV som har fått stor oppmerksomhet.

Vi har fortsatt hatt barn og unge som prioritert område. Vi har fulgt opp Personvern­kommisjonens bekymring for digitalisering av skolen, vi har gjennomført tilsyn på arbeidsplasser som overvåker ansatte under 18 år med kamera, og vi har publisert viktig veiledning om strømming av barneidrett.

Prosjekt Kvist og økt samarbeid

I rapporteringsåret inviterte vi mer enn 160 private og offentlige virksomheter til dialog i det vi kalte Prosjekt Kvist. Vi ba virksomhetene om å gi innspill til hvordan vi i Datatilsynet kunne bevege oss litt mer ut fra den trygge stammen og ut på den operasjonelle kvisten, for å bli enda bedre og mer relevante i vårt arbeid for virksomhetene. Det ble interessante møter med kloke og engasjerte mennesker som ga oss viktig innsikt og økt bransje- og sektorkunnskap. Flere av innspillene er tatt inn i virksomhetsplanen vår for 2024. Innspillene vil være sentrale som strategisk og operasjonell rettesnor fremover.

Datatilsynet er en kunnskapsbedrift, og kompetanseheving og god samfunns- og bransjeforståelse er sentralt for oss. Prosjekt Kvist var viktig i dette arbeidet. Tilsynets medarbeidere har i tillegg deltatt på en rekke dialogmøter, kontaktmøter, konferanser og arrangementer. På denne måten kan vi bidra til å formidle kunnskap, samtidig som vi tilegner oss ny kunnskap og får høre andres perspektiver på personvernregelverket og på vårt eget arbeid.

Relasjonen til andre offentlige organer er svært viktig for oss. Samarbeidsflaten vår både nasjonalt og internasjonalt er stor, og det gjør oss enda bedre posisjonert til å oppfylle samfunnsoppdraget vårt. Den gode dialogen vi har internasjonalt, med andre lands tilsynsmyndigheter og gjennom det nordiske og europeiske personvernnettverket, er sentralt for at vi skal kunne gjøre en helhetlig jobb som tilsyn.

Et tilsyn for fremtiden – organisasjonsutvikling og ny strategi

En sentral oppgave for meg som direktør, er å arbeide for at tilsynet er beredt for fremtiden. Det har derfor vært viktig for meg å bruke tid på organisasjonsutvikling.

Vi har i 2023 jobbet frem en ny strategi som gjelder fra 2024, hvor vi har lagt en retning for Datatilsynets arbeid med blikket rettet mot 2030. Diskusjonene vi hadde i forbindelse med dette arbeidet har blant annet handlet om rolleforståelse, tilsynsvirksomhet og veiledning, samt hvordan Datatilsynet skal virke fremover. Vi har videre jobbet frem et nytt og helhetlig styringssystem som vil danne grunnlag mer hensiktsmessige arbeidsprosesser og saksbehandling. Vi har også sett på utvikling, kompetanseheving og forbedringer. Prosjekt Kvist har også hatt en intern effekt, i den forstand at innspillene fra alle virksomhetene har gitt oss viktig innsikt og -kompetanse, som vi tar med oss i de daglige oppgavene våre.

Jeg har stor tro på at arbeidet som er lagt ned i disse interne prosjektene, vil gi gode og synlige effekter i årene som kommer. Målet vårt er hele tiden å effektivt håndheve personvernforordningen og forebygge lovbrudd ved veiledning og informasjon. Innsatsen vi har lagt ned i 2023 vil gjøre oss i stand til å sette agendaen og levere på samfunnsoppdraget vårt på en enda bedre måte i tiden som kommer.

Rammeverk for tillit

Kunstig intelligens ble allemannseie i 2023. For å utvikle, lage og bruke systemer for kunstig intelligens, trenger man data. Svært mye av disse dataene er personopplysninger i en eller annen form. I møte med en teknologisk utvikling som beskrives som en revolusjon, er behovet for tillit svært tydelig. Lovlig og etisk bruk av personopplysninger i utviklingen og bruk av kunstig intelligens, er avgjørende for denne tilliten – både til systemene og virksomhetene som tilbyr og bruker disse.

Personvernregelverket gir regler for når og hvordan personopplysninger kan brukes, og er et helt sentralt regelverk for utvikling og bruk av kunstig intelligens. Ved å følge og etterleve personvernregelverket, vil virksomhetene oppnå tillit. Personvernforordningen er derfor et rammeverk for tillit i det digitale Norge.

En revolusjon karakteriseres gjerne av hurtige og dramatiske endringer, som det ikke alltid er lett å se omfanget og konsekvensene av når det står på. Vi ser nå en utvikling hvor teknologi, digitalisering og bruk av kunstig intelligens skal være med på å løse mange av utfordringene vi står ovenfor i samfunnet, og hvor etterspørselen etter innovasjon, raske avgjørelser og tilstrekkelige ressurser er stor. I en slik omstillingsprosess og utvikling, er det viktig å hegne om grunnleggende verdier i samfunnet. Ivaretagelse av personvernet står i en særstilling i den utviklingen vi nå ser, ettersom personopplysninger er råvaren alle etterspør.

Etterlevelse av det grunnleggende personvernregelverket vil ikke alltid gi raske løsninger, men over tid er det å sikre personvernet en forutsetning for et velfungerende og robust samfunn og demokrati. Det er også en grunnleggende forutsetning for tilliten til både myndighetene og til offentlige og private virksomheter som utvikler og tar teknologien i bruk. Gode rammevilkår for etterlevelse av regelverk for å sikre tilliten til produkter, tjenester og leveranser er dermed viktigere enn noen gang.

Datatilsynet skal være en viktig brikke i dette. Vi skal fortsette vårt systematiske arbeid for å sikre best mulig personvern for alle.  Vi skal være et fremtidsrettet og tilgjengelig tilsyn. Vi skal være med på å sette gode rammer for den teknologiske utviklingen av samfunnet i tråd med visjonen vår: «Sammen for menneskeverd og tillit i det digitale Norge».

Oslo, 8. mars 2024

Line Coll
Direktør

Datatilsynet skal fremme personvern som en sentral verdi i samfunnet. Vi skal jobbe for at personvernet ivaretas på alle samfunnsområder i tråd med regelverket, og for å oppnå en god ivaretagelse av personvernet i avveiingen mot andre samfunnsinteresser.

Hovedaktiviteter

Datatilsynets hovedmål er «et godt personvern for alle». I dette ligger at både virksomheter, organisasjoner og offentlig forvaltning skal kjenne og etterleve personvernregelverket, og borgerne skal settes i stand til å ivareta eget personvern.

For å oppnå best mulig personvern, er vi i Datatilsynet nødt til å prioritere oppgavene våre og jobbe strategisk. Vi har i rapporteringsåret hatt seks overordnede mål som har vært styrende for arbeidet.  

Datatilsynet skal:

• arbeide for en mer rettferdig maktbalanse mellom individet på den ene siden, og kommersielle aktører og det offentlige på den andre
• arbeide for å fremme personvernvennlig digitalisering, innovasjon og utvikling
• arbeide for at virksomheter har nødvendig kompetanse, forstår viktigheten av godt personvern og etterlever regelverket
• bidra til at individet i større grad kan ivareta sitt eget personvern
• påvirke, ta lederrollen og fremme kunnskapsutveksling i noen utvalgte internasjonale prosesser for å fremme bedre personvern
• være et kompetent, fleksibelt og fremtidsrettet tilsyn

I 2023 utarbeidet vi en ny strategi som skal gjelde for perioden 2024-2026. Vi har også laget en ny visjon som retter blikket lenger enn strategiperioden, og som gir oss en tydelig overordnet føring for prioriteringer og arbeidet fremover: "Sammen for menneskeverd og tillit i det digitale Norge".

Organisasjon og ledelse

Per 31. desember 2023 var det 68 ansatte i tilsynet. Av disse var 58 stillinger faste, 1 midlertidig og 9 var studenter. Turnover i løpet av året og lengre perioder med vakanse er årsaken til at samlet antall utførte årsverk er beregnet til 56,79 (DFØ modellen) og 61 etter SSB-statistikk. Studentene som er tilknyttet ressursenheten for veiledning og enkel saksbehandling utgjorde samlet 2,35 årsverk.

Ledergruppen består av direktør Line Coll og fire avdelingsdirektører – en mann og tre kvinner. Ved årsskiftet hadde vi i tillegg seks seksjonsledere. Dette utgjør tilsammen Datatilsynets utvidede ledergruppe.

Organisasjonskart per 31. desember 2023:

Fra årsregnskapet

Fra saksbehandlingen

Fra kommunikasjon og veiledning

Grafisk fremstilling av noen hovedtall som er trukket frem fra rapporten:

Alle Datatilsynets aktiviteter og resultater er basert på oppgaver som følger av personvern­forordningen artikkel 57 nr. 1. Antall innkomne saker, innsynsbegjæringer og avviksmeldinger er høyt, og vi må gjøre kontinuerlige prioriteringer.

Personopplysningsloven og personvernforordningen gir oss myndighet til å gi pålegg, iverksette undersøkelser og ilegge administrative sanksjoner. Vi har også oppgaver i henhold til kreditt­opplysningsloven, politiregisterloven, helseregisterloven og SIS-loven, i tillegg til en rekke forskrifter.

Mange av oppgavene innebærer skriftlig saksbehandling. En høy andel av henvendelsene som kommer inn, er klager på mulige brudd på personvernregelverket fra enkeltindivider. Loven fastslår at slike saker skal behandles, og Personvernnemnda har bidratt til å avklare at vi ikke kan avslutte saksbehandlingen uten å fatte vedtak.

Kvalifiserte brudd på personopplysningssikkerheten er meldepliktig, og antallet slike innkommende «avviksmeldinger» fortsetter å øke. Mange av disse sakene fører til omfattende undersøkelser, og flere av dem ender med vedtak om pålegg eller sanksjoner.

Vi starter også saker av eget tiltak, og gjennomfører ulike former for kontroller for å undersøke om reglene blir fulgt. Disse sakene starter etter en gjennomført risikovurderinger eller etter mottatte tips.

Antall saker, vedtak og klager

I 2023 har vi nok en gang registrert et høyere antall nye saker og dokumenter enn foregående år. I løpet av året registrerte vi 4 204 nye saker.

I løpet av året mottok vi 62 klager på vedtak vi har gjort. I sju saker omgjorde vi vedtakene våre, mens vi sendte 31 saker over til Personvernnemnda for klagebehandling.

Personvernnemnda fattet vedtak i 24 saker i 2023, og i 19 av dem ble Datatilsynets vedtak opprettholdt. Det er altså en relativt lav andel av vedtakene våre som blir omgjort.

Klager fra enkeltpersoner på mulige regelverksbrudd holder seg relativt konstant. I 2023 gjaldt dette 591 av sakene som kom inn. Hele 170 av disse klagene handlet om ulike personvernspørsmål som oppstår i forbindelse med kunde- og medlemsforhold, mens 91 handlet om personvern på arbeidsplassen.

Korrigerende tiltak og sanksjoner

I 2023 ble det ilagt seks overtredelses­gebyr for brudd på reglene i personvern­forordningen. Dette er det laveste antallet siden forordningen ble innført. Det er særlig antall overtredelses­gebyrer for brudd på reglene om kreditt­vurderinger og overvåking på arbeidsplassen som har gått ned, og som er hovedårsaken til nedgangen.

Overtredelsesgebyrene ble gitt til både private og offentlige virksomheter som etter den norske spesiallovgivningen i utgangspunktet stilles på lik linje når det gjelder denne sanksjonsformen (se personopplysningsloven § 26 andre ledd).

I Meta-saken vedtok vi en løpende tvangsmulkt på 1 million kroner per dag inntil det aktuelle lovbruddet opphørte (se nærmere omtale av denne saken under «Internasjonalt arbeid og samarbeid»). Da tvangsmulkten ble betalt i slutten av november 2023, var det endelige beløpet på nesten 83 millioner kroner.

Totalt har vi ilagt overtredelsesgebyr og tvangsmulkt på 96,4 millioner kroner i rapporteringsåret:

Vi ga dessuten 12 irettesettelser, og det ble gitt pålegg om å etterkomme lovens krav i 23 av sakene.

I løpet av året fattet vi også flere andre ulike typer vedtak. Dette inkluderer forskjellige avvisnings­vedtak og avslag på søknader. Vi ga også tillatelser til å behandle personopplysninger, for eksempel i saker om dopingkontroll på treningssentre (ihht. overgangsreglene (FOR-2018-06-15-877)). I mange tilfeller gikk vedtaket ut på at regelverkets krav ikke var brutt. Andre ganger fant vi at regelverks­kravene var krenket, samtidig som vi besluttet å ikke ilegge korrigerende tiltak. Videre er pålegg om å utlevere informasjon til oss som en del av tilsyn, inkludert i vedtaksstatistikken. En del saker blir også fulgt opp med skriv som inneholder informasjon om hva som er de behandlingsansvarliges plikter eller de registrertes rettigheter. Slike «påpekinger» regnes ikke som enkeltvedtak, og de inngår derfor ikke i vedtaksstatistikken.

Offentlighetsloven og innsynsbegjæringer – eInnsyn

Igjen ser vi en markant økning i antall innsynsbegjæringer sammenlignet med tidligere år. Håndteringen av begjæringene i samsvar med lovens krav, er utfordrende og tidkrevende, ikke minst alle meroffentlighetsvurderingene. Antallet avslåtte begjæringer har gått ned sammenlignet med 2022 og 2021. Samtidig sendte vi ut mer enn 2 131 sladdede dokumenter i løpet av året, noe som også innebærer en økning sammenlignet med tidligere.

Vi tror at økningen i innsynsbegjæringer kan forklares med økt dokumenttilfang, men trolig er det også stigende interesse for Datatilsynets saksbehandling. Vi har satt i verk tiltak for å møte den voksende etterspørselen, men alle tiltakene krever manuell innsats – i fraværet av bedre og mer moderniserte digitale verktøy eller fellesløsninger for statlige organer til å håndtere disse sakene.

Høringer

Vi mottok hele 211 høringssaker i rapporteringsåret, noe som er en tydelig oppgang fra årene før. Vi skrev 52 høringssvar, noe som er på linje med tidligere år. Dette til tross for at vi har måttet prioritere ned høringsarbeidet.

Noen av de mest sentrale høringsuttalelsene våre omtales mer konkret lenger bak i rapporten.

Meldinger om brudd på personopplysningssikkerheten – avviksmeldinger

Personvernforordningen stiller krav til at brudd på personopplysnings­sikkerheten, også kalt avvik, skal meldes til Datatilsynet. I 2023 mottok vi 2 822 slike meldinger. Det er en økning på oppunder 25 prosent. I 2017, året før forordningen trådte i kraft, mottok vi 349 avviksmeldinger. Vi ser altså en markant økning i antall meldinger i årene etter.

Alle meldingene vurderes manuelt og journalføres. Av de innmeldte bruddene, avsluttet vi omlag 80 prosent med et standard avslutningsbrev. 

Det er ressurskrevende å behandle et så stort antall avviksmeldinger, og det er derfor nødvendig å prioritere de mest alvorlige avvikene. Avviksmeldingene som ikke tas opp til videre saks­behandling, er likevel en verdifull kilde til informasjon, og de gir oss et godt grunnlag for å vurdere hvilke utfordringer, sårbarheter og trusler ulike private og offentlige virksomheter må håndtere.

Vi ser at det har vært en vekst i de fleste typer brudd siden 2022. Kategorien «tilsiktede angrep» har økt med hele 143 prosent i 2023, noe som gjenspeiler den krevende trusselsituasjonen offentlig og privat sektor må håndtere. I tillegg ser vi en økning i avviksmeldinger knyttet til «manglende/feil i tilgangsstyring» på 44 prosent.

Fra januar 2023 ble sektorkategoriene oppdatert i tråd med inndeling (NACE-koder) brukt av SSB og Brønnøysundregistrene. Det gjør at sektorstatistikk fra tidligere år ikke lar seg direkte sammenligne.

Selv om en sektor melder mange avvik, er det ikke nødvendigvis slik at personvern og personopplysningssikkerhet er dårligere ivaretatt der enn i sektorer som melder inn få avvik. Et høyt antall avvik kan også skyldes at sektoren behandler store mengder persondata, og at de har gode rutiner for å avdekke og melde inn alle typer avvik.

Tilsynsvirksomheten

Vi gjennomførte 119 planlagte og hendelsesbaserte tilsyn, fordelt på både privat og offentlig sektor. Av disse ble 105 utført som skriftlige tilsyn (brevkontroller) og 14 ble gjennomført som stedlige kontroller. Vi så nærmere på følgende tema:

• oppfyllelse av personvernprinsippene og behandlingsansvar
• ivaretakelse av registrertes rettigheter
• kontroll av virksomhetenes styringssystem for personvern og informasjonssikkerhet
• personopplysningssikkerhet i offentlig sektor
• kameraovervåking i arbeidslivet
• eksponering av barn i sosiale medier

Et fellestrekk vi så, var at mange virksomheter har mangler knyttet til internkontrollen og styringssystemene sin. Vi observerer også at mange virksomheter ikke har iverksatt tilstrekkelige tiltak for å ivareta personopplysningssikkerheten. Dette inkluderer mangler knyttet til logging, tilgangsstyring, autentisering og sikkerhetskopiering/gjenoppretting. En del virksomheter har i tillegg utfordringer knyttet til kravene til behandlingsprotokoll og manglende oversikt over interne ansvarsforhold.

Majoriteten av tilsynene ble rettet mot offentlig sektor. Dette inkluderer tilsyn med Arbeids- og velferdsetaten (NAV) og med kommuner i hele landet. Disse tilsynene omtales nærmere under «Annen vesentlig aktivitet».

Det europeiske personvernrådet (European Data Protection Board – EDPB, også kalt bare Personvernrådet) er et uavhengig EU-organ. Rådets viktigste oppgaver er å komme med retningslinjer og uttalelser om hvordan personvernforordningen skal forstås, vedta bindende beslutninger i enkelte grenseoverskridende saker, samt gi råd til lovgiverne i EU. Personvernrådet bidrar slik til en ensartet anvendelse av regelverket. I noen tilfeller kan Personvernrådet også overprøve de enkelte datatilsynsmyndighetenes vurderinger i enkeltsaker. Det er derfor viktig for Datatilsynet å delta aktivt i Personvernrådet for å ivareta norske interesser.

I grenseoverskridende saker, kan vi dessuten ha nytte av – og i mange tilfeller plikt til – å samarbeide med datatilsynsmyndigheter i andre land.

Datatilsynet har hatt som strategisk mål å påvirke og ta lederrollen i noen utvalgte internasjonale prosesser for å fremme bedre personvern. Vi har med hell engasjert oss internasjonalt i temaer og saker som kan ha mye å si for personvernet i Norge. Over de siste fem årene har vi bygget oss opp en solid posisjon i relevante internasjonale fora som har gitt oss gode påvirkningsmuligheter, og vi er med på å sette agendaen for personvern internasjonalt.

Deltakelse i Personvernrådet med ekspertgrupper

Datatilsynet er fullverdig medlem av Personvernrådet, men siden Norge er en EØS-stat, har vi ikke rett til å stille til valg som rådets leder eller nestleder. Vi deltar i rådets plenumsmøter som vanligvis holdes omtrent én gang i måneden. I tillegg deltar vi i samtlige av rådets ekspertgrupper:

• Border, Travel and Law Enforcement Expert Subgroup
• Compliance, e-Government and Health Expert Subgroup
• Cooperation Expert Subgroup
• Enforcement Expert Subgroup
• Financial Matters Expert Subgroup
• International Transfers Expert Subgroup
• IT Users Expert Subgroup
• Key Provisions Expert Subgroup
• Social Media Expert Subgroup
• Strategic Advisory Expert Subgroup
• Taskforce on Fining
• Technology Expert Subgroup

Gruppene diskuterer og forbereder saker og dokumenter for plenumsmøtene i Personvernrådet, hvor endelige avgjørelser om retningslinjer, uttalelser og så videre blir fattet. Til sammen ni jurister og én teknolog fra Datatilsynet deltok fast i plenums- og ekspertgruppemøter i 2023.

Datatilsynet bidrar aktivt, blant annet ved å være med å føre utvalgte retningslinjer og uttalelser i pennen. I rapporteringsåret har vi blant annet bidratt som rapportør for retningslinjer om berettiget interesse som behandlingsgrunnlag.

Internasjonal saksbehandling

Personvernforordningen kapittel VII og VIII inneholder nærmere regler om saksbehandlingen ved grenseoverskridende behandling av personopplysninger. I denne typen saker må alle berørte datatilsynsmyndigheter identifiseres, og deretter vil en ledende datatilsynsmyndighet bli utpekt ut fra hvor virksomheten har sin hoved­etablering. Den ledende datatilsynsmyndigheten undersøker så saken og legger frem et utkast til avgjørelse som de berørte datatilsyns­myndighetene eventuelt kan komme med innsigelser mot. Til denne prosessen brukes det et saksbehandlings­system som heter Internal Market Information System (IMI).

I 2023 ble det norske Datatilsynet identifisert som berørt datatilsynsmyndighet i 304 nye saker, og ledende tilsynsmyndighet i 13 av sakene. Det er imidlertid en del usikkerhet knyttet til disse tallene, siden ikke alle bruker samme fremgangsmåte i IMI for å melde inn saker.

Internasjonal saksbehandling krever at vi kontinuerlig følger med på hva som skjer i IMI, siler saker og gir tilbakemelding der det er nødvendig. I de aller fleste sakene kommer datatilsynsmyndighetene til enighet om avgjørelsene.

Personvernforordningen åpner for at man i visse, begrensede tilfeller kan gi unntak fra de ordinære samarbeidsprosedyrene i grenseoverskridende saker. Vilkårene er at det er en hastesak og at vedtakets varighet ikke overstiger tre måneder. I 2023 benyttet Datatilsynet denne unntaks­bestemmelsen. Meta, som eier Facebook og Instagram, behandlet personopplysninger ulovlig, samtidig som det irske tilsynet ikke grep inn mot den ulovlige aktiviteten (les om den konkrete saken under). Vi fattet derfor et hasteforbud direkte overfor Meta, og ba deretter Personvernrådet gjøre forbudet permanent og utvide det til hele EØS-området. Personvernrådet etterkom forespørselen, og det er første gang en slik forespørsel har ført frem. Denne av avgjørelsen kan ha endret styrkeforholdet mellom de europeiske datatilsynsmyndighetene.

Meta-saken

Datatilsynet har fulgt med på Metas behandling av personopplysninger i flere år.

Fra 2018 til 2022 pågikk det en sak som handlet om hvorvidt Meta hadde lov til å behandle personopplysninger for atferdsbasert markedsføring. Meta mente behandlingen var nødvendig for tjenesteavtalen med brukerne, altså for å levere Facebook- og Instagram-tjenestene, og at den dermed var lovlig. Det irske datatilsynet, som var ledende tilsynsmyndighet og behandlet saken, ønsket opprinnelig å fatte vedtak i tråd med Metas syn, men Datatilsynet og andre datatilsynsmyndigheter i EØS-området var uenige og fremsatte formelle innsigelser. Saken ble derfor løftet til behandling i Personvernrådet som konkluderte med at Meta hadde behandlet personopplysninger ulovlig. Som et resultat ble Meta pålagt å innrette behandlingen av personopplysninger for atferdsbasert markedsføring på en lovlig måte innen april 2023.

I april 2023 informerte Meta om at de ville fortsette med den atferdsbaserte markedsføringen, men nå fordi de etter en interesseavveiing mente at deres interesser veide tyngre enn brukernes rettigheter, friheter og interesser.

Datatilsynet vurderte saken og kom frem til at Metas argumenter ikke sto seg – og at Meta dermed fortsatte å behandle personopplysninger ulovlig. Vi sendte derfor en formell forespørsel til det irske tilsynet om å gripe inn, og saken fortsatte deretter i et nytt prosessuelt spor.

Sommeren 2023 kom det en dom fra EU-domstolen, den såkalte Bundeskartellamt-dommen, som uttalte klart at Meta ikke kunne basere den atferdsbaserte markedsføringen på en interesseavveiing. Det kom også en foreløpig vurdering fra det irske tilsynet som uttalte at Meta trolig behandlet personopplysninger ulovlig, men på tross av dette planla de ikke å gripe inn med korrigerende tiltak.

I juli 2023 fattet derfor Datatilsynet et midlertidig hastevedtak om forbud mot Metas ulovlige behandling av personopplysninger for atferdsbasert markedsføring i Norge. I dialog med Meta ble det klart at selskapet ikke kom til å innrette seg etter vedtaket, så i august 2023 fattet Datatilsynet vedtak om tvangsmulkt på 1 million kroner per dag.

Meta fremsatte en rekke forvaltningsklager mot Datatilsynets forbud og tvangsmulkt. Klagesakene er fremdeles pågående ved årsskiftet. I tillegg ba Meta om en midlertidig forføyning mot Datatilsynets vedtak. Det ble satt av to dager i Oslo tingrett i august til å behandle saken. Den 6. september 2023 avslo tingretten Metas forføyningsbegjæring.

Datatilsynet ba i september Personvernrådet om å gjøre forbudet permanent og utvide det til hele EØS-området. Personvernrådet sa seg enig i at Meta behandlet personopplysninger ulovlig og at de prosessuelle vilkårene for hastesaker forelå. I oktober instruerte Personvernrådet det irske datatilsynet om å nedlegge et permanent forbud ovenfor Meta gjeldende for hele EØS-området, noe tilsynet gjorde.

Mens Personvernrådets behandling foregikk, saksøkte Meta Datatilsynet, med påstand om at vedtakene var ugyldige. Etter at Personvernrådets konklusjon ble kjent, trakk imidlertid Meta søksmålet. Meta forfølger nå saken for EU-domstolen og irske domstoler i stedet.

Meta betalte i november tvangsmulkten knyttet til det midlertidige, norske vedtaket på i underkant av 83 millioner kroner. Meta presiserte at selskapet betalte mulkten under protest. 

Forbudet Meta ble ilagt gjaldt behandling av personopplysninger for atferdsbasert markedsføring basert på personopplysningsloven artikkel 6(1)(b) og (f). Meta har siden fortsatt med praksisen, men da basert på at selskapet mener brukerne har samtykket til det etter personvernforordningen. Datatilsynet er sterkt i tvil om Metas samtykker er gyldige etter forordningen, og planlegger å følge saken videre i 2024.

Overføring av personopplysninger til land utenfor EØS

Den 16. juli 2020 avsa EU-domstolen den såkalte Schrems II-dommen, hvor EU-kommisjonens adekvansbeslutning for USA ble kjent ugyldig. Dommen skapte store utfordringer for norske offentlige og private virksomheter, som i stor grad har gjort seg avhengige av særlig amerikanske tjenester.

Sommeren 2023 kom det på plass en ny og forbedret adekvansbeslutning for USA. Det gjør det igjen enkelt å overføre personopplysninger til amerikanske virksomheter. Dette har lettet mange av utfordringene som norske virksomheter har opplevd. Samtidig ventes det at også den nye adekvansbeslutningen vil utfordres i EU-domstolen, noe som kan medføre en viss usikkerhet fremover.

Datatilsynet har i 2023 prioritert å gi veiledning om dette temaet.

Godkjenning av overføringsgrunnlag

Datatilsynet kan godkjenne bindende virksomhetsregler (BCR) som grunnlag for overføring av personopplysninger ut av EØS-området. Dette krever imidlertid samarbeid med andre datatilsyns­myndigheter, samt at BCR-søknaden må legges frem for Det europeiske personvernrådet for en uttalelse.

Ved utgangen av 2023 hadde vi som ledende tilsynsmyndighet, ni åpne søknader om godkjenning av BCR som overføringsgrunnlag. I tillegg har vi gjennomgått tre BCR-søknader hvor en tilsynsmyndighet i et annet EØS-land er den ledende tilsynsmyndigheten (såkalt co-review). Dette er en del av prosessen før en BCR kan legges frem for Personvernrådet. Vi har dessuten deltatt ved behandlingen av to BCR-søknader i Personvernrådet.

Norske konsern som har fått en godkjent BCR, skal årlig sende oss en oppdatering som må gjennomgås. Ved utgangen av 2023 gjaldt dette ti konsern.

Internasjonalt samarbeid

Global Privacy Assembly (GPA)

GPA er den største internasjonale sammenslutningen av datatilsynsmyndigheter, og består av representanter fra datatilsyn fra hele verden. I 2023 deltok to jurister på årsmøtet til GPA på Bermuda. Vi sitter dessuten i tre arbeidsgrupper, med én jurist i hver: International Enforcement Working Group, Digital Citizen and Consumer Working Group og Digital Education Working Group.

Datatilsynet er én av fire såkalte co-chairs for International Enforcement Working Group.

Nordisk møte og samarbeid

Datatilsynsmyndighetene i Norge, Island, Finland, Danmark, Sverige, Færøyene og Åland har årlige møter. I 2023 fant det nordiske møtet sted i Reykjavik. Vi ble der enige om å fortsette det tette, nordiske samarbeidet, blant annet når det gjelder tiltak for effektivisering. De nordiske datatilsynsmyndighetene har alle ressursutfordringer, noe som kan vise seg særlig krevende i møte med ny og omfattende EU-lovgivning på det digitale feltet.

Det ble også vedtatt at de nordiske landene skal samarbeide tettere når det kommer til analyse og innsikt. Det norske Datatilsynet fikk stafettpinnen, og arrangerer digitale møter annenhver måned der deltakere fra alle de nordiske landene deler erfaringer, data og innsikt i analysearbeidet.

I tillegg har det vært jevnlige møter mellom de nordiske tilsynene på ulike nivåer om en rekke faglige problemstillinger.

Andre internasjonale samarbeid

I tillegg til samarbeid relatert til den regulatoriske sandkassen vår som omtales senere, deltar vi også i andre internasjonale fora, slik som Berlingruppen (International Working Group on Data Protection in Technology – IWGDPT) og Global Privacy Enforcement Network (GPEN).

Sandkassen er finansiert gjennom et departementalt samarbeid, ved Kommunal- og distriktsdepartementets bidrag på tre millioner kroner, mens Nærings- og fiskeridepartementet, Arbeids- og inkluderingsdepartementet, Kunnskapsdepartementet og Helse- og omsorgsdepartementet bidrar med én million kroner hver.

Det opprinnelige oppdraget og målet med sandkassen var å stimulere til innovasjon av etisk og ansvarlig kunstig intelligens (KI) fra et personvern­perspektiv. Fra 2023 ble mandatet utvidet til også å omfatte annen personvernvennlig innovasjon og digitalisering.

Sandkassen bistår enkeltaktører i deres innovasjons- og digitaliseringsprosjekter med dialogbasert veiledning. For å skalere effekten av sandkassen, formidler vi de konkrete vurderingene fra prosjektene i en så generisk form som mulig, til slik at andre virksomheter kan hente inspirasjon og læring.

I tillegg til gjennomføring, avslutning og opptak av nye prosjekter, har vi i 2023 sett nærmere på ulike konsepter for en fremtidig organisering. Det er også gjennomført ekstern og intern evaluering av blant annet effekten av arbeidet i sandkassen. Utadrettet kommunikasjon for å få søkere og for å spre læringen fra prosjektene, har også vært en prioritert oppgave.

Avsluttede prosjekter

Sandkassen publiserte sluttrapporter for flere prosjekter i rapporteringsåret.

• Simplifai har utviklet en maskinlæringsbasert, digital medarbeidersom kan sikre og effektivisere arkivering og journalføring i offentlig sektor. I sandkassen fikk de utforsket hvordan offentlige aktører kan gjøre informerte valg når de skal kjøpe intelligente løsninger.
• Ruter ønsker å bruke kunstig intelligens i forsøket på å forstå kundenes behov og bevegelses­mønstre, for å kunne tilby persontilpassede tjenester innen kollektivtransport. I sandkassen så vi på hvordan de kan være åpne om behandlingen av personopplysninger som vil skje i løsningen.
• Akershus Universitetssykehus (AHUS) ønsker å utvikle en algoritme som skal kunne forutsi faren for hjertesvikt. Verktøyet bygger blant annet på EKG-målinger og er tenkt brukt som beslutningsstøtte i klinikken. I sandkassen har de, sammen med Datatilsynet og Likestillings- og diskrimineringsombudet, sett på hvordan kan uønsket algoritmeskjevhet og diskriminering kan forhindres i et slikt beslutningsstøttesystem.
• Doorkeeper er et oppstartsfirma med mål om å styrke personvernet i moderne kamera­overvåkings­systemer. Ønsket deres er å bruke intelligent videoanalyse til å sladde identifiserende opplysninger (slik som ansikter og menneskeformer) i videostrømmen, og sørge for at færre opptak blir lagret. I sandkassen så vi nærmere på personvernkonsekvensene av en slik løsning.

Opptak av nye prosjekter

I 2023 hadde vi to opptaksrunder med til sammen 26 søknader. Av disse var 18 fra privat sektor og åtte fra offentlig sektor. To prosjekter ble valgt ut og hadde oppstart våren 2023:

• Politihøgskolen ønsker å forebygge seksuelle overgrep mot barn ved bruk av en KI-basert chatbot, PrevBOT. Den skal kartlegge atferd som indikerer risiko for å begå seksuelt overgrep. Den er tenkt som et beslutningsstøtteverktøy som skal kunne peke ut risikable sosiale arenaer, og i sanntid kunne flagge samtaler i chatforum.
• Mobai/SALT har til hensikt å lage en KI-basert autentiseringsløsning for bruk i både privat og offentlig sektor. Målet er å forbedre nøyaktigheten av ansiktsgjenkjennings­løsninger, lage forbedret svindelforebyggingsteknologi og tilby nye løsninger for ansiktsgjenkjenning.

Følgende prosjekter ble valgt ut i desember og vil ha oppstart i 2024:

• NTNU ønsker å diskutere overordnede juridiske problemstillinger ved bruk av Microsoft Copilot (KI) på virksomhetens egne data.
• Helsedirektoratetønsker å minske tiden foresatte og tjenesteytere bruker på samordning og å søke etter informasjon. En slik tjeneste vil bety mye for de som står i krevende omsorgssituasjoner, og vil kunne effektivisere tjenesteytelsen.
• Juridisk ABC har som mål å gjøre kunnskap om praktisk arbeidsrett mer tilgjengelig. LawAi skal kombinere språkmodeller og arbeidsrettslig ekspertise for å gi umiddelbare svar og praktiske løsninger på arbeidsrettslige spørsmål og utfordringer. I sandkassen vil de diskutere hvordan de bør håndtere personopplysninger ved trening av generativ KI innen juss.
• Akershus Universitetssykehus (AHUS) ønsker å videreutvikle digital hjemmeoppfølging ved å lage en pårørendelogg der barn/unge kan behandle egne opplysninger, foresatte kan dele opplysninger med helsetjenesten, det kan styres hva pårørende skal se, assistenter/hjelpere har tilgang og der data kan deles mellom ulike helseinstitusjoner.

Evaluering av sandkassen

Agenda Kaupang gjennomførte en evaluering av sandkassen og leverte sin rapport før sommeren 2023. Det ble der konkludert med at måten Datatilsynet har organisert sandkassearbeidet på, inkludert gjennomføring av opptak og prosjekter og kommunikasjon, er meget tilfredsstillende. Både oppdragsgiverne, deltakerne i prosjektene og andre med kjennskap til sandkassen, mener den bidrar til økt kompetanse på KI sett fra et personvernståsted.

Agent Kaupang pekte også på noen forbedringsområder, slik som at sandkassen i større grad kunne tiltrukket seg oppmerksomhet og kompetanse fra akademia, at det er krevende å nå ut til de som ikke naturlig tenker på at Datatilsynet er en aktør innenfor KI, samt mulighetene for å vurdere andre opptakskriterier enn søknadsrunder.

Innspillene fra rapporten ble tatt med som underlag i forslaget til framtidig organisering, inkludert hvordan Datatilsynet tar opp prosjekter. Innspillene har også vært viktige i arbeidet med videre kommunikasjonstiltak. Videre har sandkassen laget planer for bredere involvering av eksterne, inkludert akademia og målgrupper som vi ikke har klart å nå i stor nok grad.

Vi gjennomførte også en intern evaluering. De viktigste funnene fra denne var at sandkassen har vært et svært positivt bidrag til økt læring og kompetanse på KI-området for Datatilsynet generelt og for prosjektdeltakerne spesielt. Sandkassen har også vært en viktig læringsarena for prosjektledelse, prosjektdeltakelse og prosjektgjennomføring. Imidlertid kom det også fram at ressursallokering og det å kunne fristille de riktige ressurser til så omfattende prosjektarbeid, er krevende for linje­ledelsen og til en viss grad for ressursene selv. Det å løse disse utfordringene og videreføre de positive læringseffektene, har derfor vært viktig i arbeidet med å utrede den framtidige organiseringen.

Utadrettet aktivitet

Åpenhet rundt prosessene og konklusjonene i sandkassen, er en viktig del av metoden for å få best mulig effekt. I løpet av 2023 publiserte vi fire sluttrapporter og en mer generisk samlerapport. Det ble også skrevet blogger og artikler eller arrangert webinarer for hver rapportpublisering, i tillegg til dedikerte episoder i podkastserien SandKasten. I tillegg ble det sendt ut 14 nyhetsbrev.

Arrangementer

Vi gjennomførte sju arrangementer i anledning rapportlanseringer, i tillegg til det årlige Sandkasseseminaret der vi presenterte de pågående prosjektene. Vi har også arrangert et erfaringsseminar i samarbeid med de andre sandkassene i Norge, og holdt åpne informasjonsmøter i forbindelse med søknadsrundene.

Datatilsynet har i tillegg bidratt på rundt 25 arrangement i både inn- og utland. I de fleste tilfellene er det sandkasse som metode og konkrete læringer fra sandkassen som er temaet.

Koordinering og samarbeid

Datatilsynet har også i 2023 fortsatt å arrangere koordineringsmøter med andre norske sandkasser. Deltakerne her er Arkivverket, Finanstilsynet, Digitaliseringsdirektoratet, eHelsedirektoratet, Helsetilsynet, Legemiddelverket, Folkehelseinstituttet, Helsedirektoratet og Vegdirektoratet.

Vi samarbeider med datatilsynsmyndighetene i Europa som har igangsatt egne sandkasser eller sandkasselignende initiativer. Det norske Datatilsynet leder dette arbeidet som består av fire møter per år der vi utveksler erfaringer, diskuterer muligheter og ser på potensiale for ytterligere samarbeid. Foruten oss, deltar datatilsynsmyndighetene i Storbritannia (ICO), Frankrike (CNIL), Sverige (IMY) og Island (Persónuvernd). 

Vi har også hatt møter med politiske rådgivere i EU. De ønsker å ta med seg erfaringene våre inn i prosessen med AI Act (KI forordningen). Vi har også jevnlige møter med andre sandkasseinitiativ i EU-regi, slik som sandkassen for blockchain.

Annet

Vi opplever fortsatt en stor interesse for sandkassen, både nasjonalt og internasjonalt. Både sandkassen som tiltak i seg selv, og sandkassens programleder, har blitt nominert til forskjellige priser. Sandkassens tidligere programleder Kari Laumann fikk i november prisen Privacy Pioneer 2023 i regi av det europeiske nettverket Women@Privacy.   

Erfaringer

Sandkassen gir Datatilsynet og deltakende virksomheter muligheten til å gå i dybden på problemstillinger det ikke finnes enkle svar og rettslige avgjørelser på. Også i 2023 har vi sett særlig på spørsmål om krav til åpenhet, lovlighet, rettferdighet, innebygd personvern, etikk og dataminimering i KI-løsninger. Gjennom prosjektene får vi innsikt i juridiske, tekniske og organisatoriske spørsmål som kan bidra til å senke terskelen for å få til personvernvennlig innovasjon.

Evalueringene fra de gjennomførte prosjektene viser at nytteverdien for både deltakerne og Datatilsynet er stor, og deltakerne får viktige avklaringer. Datatilsynet opplever at sandkassen bidrar til å bygge verdifull intern kompetanse som er viktig for at vi skal kunne gi relevant og aktuell veiledning og gjøre saksbehandling og tilsynsvirksomhet på området på en god og kompetent måte.

Barn og unge er mindre bevisste på hva behandling av personopplysninger innebærer, hvilken risiko det kan medføre og hvilke rettigheter de har. De har også mindre erfaring med, er mer påvirkelige av og er lettere å manipulere med, kommersielle budskap. Denne gruppen har derfor et særlig krav på vern etter personvernregelverket.

Trygg bruk av digitale verktøy i skole og barnehage forutsetter kompetanse i alle ledd: hos de som utvikler og tilbyr systemer og tjenester, i kommuner som skal sørge for anskaffelser, og blant skoler, lærere, elever og foreldre som skal bruke løsningene. Barn og unges aktiviteter gjennom for eksempel spill og i sosiale nettverk, skaper særlige utfordringer når det gjelder samtykke og aldersverifisering, sporing og atferdsbasert markedsføring.

Datatilsynet er bekymret for barn og unges personvern på nett, og mener det er stort behov for bedre ivaretagelse av barns og unges rettigheter og friheter på digitale flater.

Vi har hatt som et strategisk mål å arbeide for at offentlige og private virksomheter og leverandører blir mer kompetente, forstår viktigheten av godt personvern og etterlever regelverket. Dette gjelder også innenfor skolesektoren. Vi bruker derfor mye tid på veiledning til behandlingsansvarlige som behandler personopplysninger om barn og unge gjennom veiledningstjenesten vår, møter og ved å gi innspill til offentlige prosjekter og initiativer.

Sentrale høringer

NOU 2023:19 «Læring, hvor ble det av deg i alt mylderet – Bruk av elev- og studentdata for å fremme læring»

Bruk av digital læringsanalyse i skolen er ikke særlig utbredt i dag, men det kan endre seg i nær fremtid. Digital læringsanalyse gjør det mulig å behandle opplysninger om enkeltelever på nye måter, noe som kan være nyttig for skolen, men som også utfordrer personvernet. Et av hovedmålene med anbefalingene som ble sendt på høring i 2023, var å styrke tilliten til at personvernet blir ivaretatt.

Vi var positive til flere av anbefalingene, særlig om normer og retningslinjer for personvern og bruk av læringsanalyse. Vi fremhevet imidlertid også at bruken av digitale læremidler som baserer seg på systematisk bruk av aktivitetsdata, må ha et pedagogisk formål, et solid rettslig grunnlag og ta høyde for den teknologiske utviklingen.

NOU 2023:7 «Trygg barndom, sikker fremtid - Gjennomgang av rettssikkerheten for barn og foreldre i barnevernet»

Barnevernsutvalget har hatt som mandat å vurdere tiltak for å sikre riktig myndighetsutøvelse og etterprøvbare avgjørelser når barneverntjenesten gjør alvorlige inngrep. I høringssvaret vårt støttet vi i all hovedsak utvalgets forslag, men vi hadde noen merknader som handlet om vekten av barns rett til selvbestemmelse og privatliv.

Vi ga også uttrykk for at opprettelsen av et barnevernsregister er svært inngripende. Bufdir har senere tatt kontakt med Datatilsynet i forbindelse med utredningen av en ny bestemmelse i barnevernsloven om et nasjonalt barnevernsregister.

Avviksmeldinger

Datatilsynet mottok 301 meldinger om brudd på personopplysningssikkerheten (avvik) som gjaldt skole/barnehage i 2023. Mange av disse meldingene skyldes manglende kunnskap om bruk av digitale verktøy. I tillegg er det mange avvik som handler om personopplysninger sendt til feil mottaker.

Bekymringsmeldinger til barnevernet forsvant

I juni 2023 ble det oppdaget en teknisk feil som førte til at bekymringsmeldinger sendt gjennom Nasjonal portal for bekymringsmelding (NPB) i noen tilfeller ikke hadde blitt registrert i fagsystemet Visma Familia. Dermed ble meldingene heller ikke fanget opp av den kommunale barnevernstjenesten. Datatilsynet mottok avviksmeldinger fra omtrent 20 kommuner i forbindelse med denne feilen.

Saken fremstod som svært alvorlig. Tilgjengelighetsbruddet hadde medført at flere barn ikke hadde fått nødvendig oppfølging fra barneverntjenesten.

I den første fasen av oppfølgingen la vi ut informasjon på våre egne nettsider med råd til alle kommunene som var rammet. Vi etablerte også kontakt med leverandøren av systemet feilen gjaldt, samt med Bufdir og kommunesektorens interesseorganisasjon (KS) for å få klarhet i hendelses­forløpet, årsakene og de enkelte aktørenes håndtering av hendelsene.

Datatilsynet deltok i den etterfølgende granskningen, hvor en rekke sentrale aktører bidro. Arbeidet resulterte i rapporten «Gjennomgang av svikt i tekniske løsninger for elektronisk bekymringsmelding til barnevernet» fra Barne- og familiedepartementet.

Oppfølgingen av avviksmeldingene Datatilsynet mottok, er ikke avsluttet.

Tilsyn

Vi gjennomførte rapporteringsåret tilsyn med Familiekanalen. Tilsynet ble åpnet etter informasjon vi fikk gjennom medieoppslag. Der kom det frem at Familiekanalen publiserte videoer på både Facebook og YouTube der barn ble eksponert. Barna ble blant annet eksponert gjennom intervjuer av dem selv eller foreldrene deres, og der de snakket om barnevernssakene sine. Tilsynet er fortsatt pågående.

Barn og unge arbeidstakere kan være ekstra sårbare i møtet med arbeidslivet. Vi mottar både tips og klager fra unge arbeidstakere som gjelder bruk av kameraovervåking på arbeidsplassen, og gjennom­førte derfor flere tilsyn på arbeidsplasser med unge arbeidstakere i 2023. Les mer om disse tilsynene under «Annen vesentlig aktivitet».

Internasjonalt arbeid

Datatilsynet har også bidratt i internasjonale aktiviteter og samarbeid som handler spesifikt om barns personvern. Vi har blant annet deltatt i:

• Global Privacy Assembly sin Digital Education Working Group
• en nordisk arbeidsgruppe som ser på barns personvern i kontekst av gaming
• Det europeiske personvernrådets ekspertgruppe Key Provisions som jobber med retningslinjer om behandling av barns personopplysninger
• OECD sitt rundebordsmøte om Digital Safety by Design for Children.

Andre aktiviteter

Det er iverksatt flere initiativer fra sentrale aktører for å bedre barn og unges personvern. Vi har blant annet gitt veiledning til KS Skolesec sitt prosjekt om felles personvernkonsekvensvurdering (DPIA) for skoleverktøy, og vi har hatt samtaler med Kunnskapsdepartementet om utredningen om bedre data om barn i skoler og barnehager.

Vi har også holdt foredrag på konferanser og samlinger som har barn og unges personvern som tema, og vi har etablert en intern faggruppe for å sikre at alle aktivitetene våre som berører barn og unges personvern, er koordinerte både internt og eksternt. Gruppen er sammensatt av representanter fra flere seksjoner og avdelinger.

Et innlegg på Personvernbloggen om at Norge trenger en nasjonal og handlekraftig personvernpolitikk med konkrete tiltak for å sikre reklamefri skole, førte til at tematikken ble tatt opp på NRK Ekko. Innlegget ble skrevet i samarbeid med Forbrukertilsynet.

Deltakelse i handlingsplan for trygg digital oppvekst

I 2023 har vi fortsatt deltakelsen i en direktoratsgruppe kalt samarbeidsorganet. Gruppen har jobbet med en handlingsplan for trygg digital oppvekst. Planen skal følge opp målene i strategien «Rett på nett» som regjeringen la frem høsten 2021. Medietilsynet koordinerer arbeidet i gruppen der også Helsedirektoratet, Barne-, ungdoms- og familiedirektoratet, Politidirektoratet, Utdannings­direktoratet og Forbrukertilsynet er med. Handlingsplanen, som skal være klar i 2024, skal skissere utfordringer og gi en oversikt over eksisterende og planlagte tiltak på området, samt komme med anbefalinger til nye tiltak og løsninger.

Vi deltok i denne forbindelsen også i et innspillsmøte arrangert av Barne- og familiedepartementet, i sammenheng med at en interdepartemental arbeidsgruppe parallelt skulle gjøre en helhetlig gjennomgang av barns forbrukervern i digitale medier.

Strømming av idrett for barn

I desember 2022 ble det stor medieoppmerksomhet om strømmetjenesten MyGame som strømmer kamper innen breddeidrett for barn ned til 15-årsklassen, og Datatilsynet mottok en rekke henvendelser både fra publikum og media. MyGame satte strømming av idrett for mindreårige på pause i januar 2023 etter et vedtak fra idrettsstyret, og Norges Idrettsforbund (NIF) satte ned et eget utvalg for å komme med anbefalinger om strømming.

I juni publiserte vi utfyllende veiledning om strømming av idrettsarrangementer for barn, der vi blant annet la til grunn at strømming av lagidrett for barn ofte ikke vil kunne gjennomføres lovlig, med mindre det er snakk om toppidrett eller andre arrangementer med allmenn interesse. Vi presenterte innholdet i et møte med NIFs strømmeutvalg, og vi arrangerte en debatt om tematikken på Arendalsuka, der blant annet NIF og Redaktørforeningen deltok. I forbindelse med lanseringen av veiledningen åpnet vi også for innspill.

Utvalget kom med sin rapport og sine anbefalinger i november 2023, og uken etter vedtok idrettsstyret nye retningslinjer for strømming av idretten. Datatilsynets veiledning har hatt stor påvirkning på innholdet i disse nye retningslinjene.

Dubestemmer.no

Vi formidler også informasjon om personvern og rettigheter til barn og unge gjennom nettressursen dubestemmer.no. Dette er et samarbeid med Utdanningsdirektoratet, og annenhver uke holdes det arbeidsmøter der vi blant annet diskuterer innhold, forvaltning, statistikk og markedsføring. Innholdet er for unge mellom 9 og 18 år. Det er også egne sider som skal gi lærere den kunnskapen og kompetansen de trenger for å undervise om dette.

Akkreditering og sertifiseringsordninger

Datatilsynet jobber med å legge til rette for etableringen av atferdsnormer og sertifiseringsordninger (jf. personvernforordningen artikkel 57 nr. 1 bokstav m, n, p og q og artikkel 40-43).

I 2023 inngikk vi en samarbeidsavtale med Norsk akkreditering i 2023 for å avklare roller og oppgaver i prosessen med å etablere sertifiseringsordninger og akkreditere sertifiseringsorganer. Gjennom året er det jobbet med å publisere krav for akkreditering av kontrollorganer til atferds­normer og tilleggskrav for akkreditering av sertifiseringsorganer, samt veiledning om disse ordningene.

I tillegg til å delta på møter i Personvernrådets undergrupper der etablering av sertifiseringsordninger var tema, deltok vi også i to workshoper om sertifisering. Hensikten med workshopene var å diskutere hvordan andre land har vurdert ordningene, og hvilke problemstillinger som kan oppstå på nasjonalt, transnasjonale og europeiske nivå.

Arbeidsliv

Vi mottar fremdeles mange henvendelser om personvern i arbeidslivet. I 2023 gjaldt dette hver fjerde av alle henvendelsene til veiledningstjenesten. Det som går igjen her er behandling av personopplysninger i personalmapper og elektronisk utstyr. Vi mottar også mange spørsmål om forskjellige kontrolltiltak. Ulike utfordringer i arbeidslivet er også et gjentakende tema i presse- og foredragshenvendelser vi mottar.

I løpet av 2023 fikk vi inn 91 klager på behandling av personopplysninger på arbeids­plassen. Dette er nedgang fra 2022, men samtidig betydelig over tidligere år. I tillegg mottar vi mange anonyme tips om personvern og arbeidsliv.

Klager og korrigerende tiltak

Klagesakene er ofte preget av høyt konflikt­nivå og stor kompleksitet. Typiske temaer er innsyn i arbeidstakeres e-post og annet elektronisk utstyr, automatisk videresending av e-poster, person­opplysninger i personalmappe, manglende sletting av personopplysninger, kameraovervåking på arbeidsplassen og andre typer kontrolltiltak som GPS-sporing, effektivitetsmåling og logging.

Vi ser alvorlig på lovbrudd i denne typen saker blant annet på grunn av det ujevne styrkeforholdet mellom arbeidsgiver og arbeidstaker. I 2023 har vi blant annet fattet vedtak om overtredelsesgebyr i to slike saker. Virksomhetene har klaget i begge sakene, og endelig vedtak er ikke klart. Det ble også gitt vedtak om korrigerende tiltak i flere arbeidslivsrelaterte saker.

Tilsyn med kameraovervåking i arbeidslivet

Datatilsynet gjennomførte i 2023 to tilsyn som gjaldt kameraovervåking i arbeidslivet. Tilsynene ble gjennomført på bakgrunn av tips og at vi ønsket å se nærmere på forholdene til unge arbeidstakere. Vi ser at det er lett å ta i bruk rimelige kameraløsninger, og mange bekymrer seg for om arbeids­giveren følger med på arbeidet gjennom kameraet. Mange av kameraene er forhånds­innstilt på en lite personvernvennlig måte, og er derfor enkle å misbruke.

Vi gjennomførte tilsyn hos godteributikken Fast Candy AS i Vika i Oslo og lekebutikken Ringo AS i Askim. Tilsynet hos Fast Candy AS endte med flere vedtak om pålegg, samt stans av deler av kameraovervåkingen. Saken som gjelder Ringo AS Askim er ikke ferdigstilt ved utgangen av rapporteringsåret.

Veiledning og samarbeid

Personvern i arbeidslivet og reglene i arbeidsmiljøloven (som håndheves av Arbeidstilsynet), henger tett sammen. Vi har derfor jevnlig kontakt med Arbeidstilsynet og andre relevante aktører i arbeids­livet for å utveksle erfaringer og fagkunnskap. I rapporteringsåret deltok vi sammen med Arbeids­tilsynet på et webinar om hvordan arbeidsgivere kan håndtere personopplysninger i varslingssaker.

Det har også blitt lagt ned mye arbeid i foredrag og skriftlig veiledning om overvåking av arbeids­takere. Kunstig intelligens setter arbeidsgivere i stand til å samle inn informasjon om arbeidstakerne, for eksempel om hvor effektive de er og til og med hva de føler. Samtidig fører den økende digitaliseringen til at stadig flere yrkesgrupper, for eksempel lager- og bygningsarbeidere, bruker elektronisk utstyr i jobben sin. Potensialet for kontroll og overvåking er derfor stort, og det er behov for veiledning om hvor grensene går. 

I 2023 arrangerte vi også et eget seminar om overvåking og algoritmisk styring i det digitale arbeids­livet. Om lag 300 personer fulgte til sammen seminaret digitalt og fysisk.

På nettsidene våre har vi dessuten publisert veiledning om e-postforskriftens forbud mot overvåking av arbeidstakers bruk av elektronisk utstyr. Slik overvåking kan bare unntaksvis skje hvis formålet er å administrere virksomhetens datanettverk eller avdekke eller oppklare sikkerhetsbrudd i nettverket. Partene i arbeidslivet og andre interesserte har gitt innspill til eksempler der behovet er størst for klargjøring.

Bank, finans og kredittvurdering

Finansbransjen behandler store mengder personopplysninger av privat karakter om svært mange. En sammenstilling av disse opplysningene kan gi et detaljert bilde av en persons liv. Personvernbrudd i denne bransjen har derfor høy risiko og kan få store konsekvenser. Vi har derfor hatt flere kontakt­møter med Finanstilsynet der vi deler kunnskap og erfaring om tema som er relevante for begge.

I løpet av året hadde vi flere foredrag for aktører i finansbransjen, der blant annet avvikshåndtering var tema. Vi gjennomførte også tilsyn med selskapet Convene Collection AS på bakgrunn av en avviksmelding fra selskapet, samt klager og tips fra berørte forbrukere. I tilsynet så vi på om behandlingen av personopplysninger og informasjonssikkerheten i forbindelse med utsendelse av faktura og betalingskrav var i tråd med personvernreglene. Tilsynet var ikke avsluttet ved utgangen av året.

Datatilsynet deltar dessuten i referansegruppen for utvalget som skal se på trygge og enkle betalinger for alle (Betalingsutvalget). Vi har så langt bidratt med innspill til utvalget om kontanters rolle for personvernet.

Kredittvurdering

Konsesjonsordningen for kredittopplysningsvirksomhet ble avviklet i forbindelse med at kredittopplysningsloven trådte i kraft sommeren 2022. Avviklingen har skapt noen utfordringer for aktører som leverer data til kredittopplysningsforetak. Tidligere var det et vilkår at nye kredittopplysningsforetak kunne vise til en konsesjon fra Datatilsynet for å få tilgang til data. Når det ikke lenger foreligger en konsesjon, må foretakene finne nye kriterier for å få utlevert data.

Datatilsynet har i 2023 gitt veiledning til Skatteetaten og Brønnøysundregistrene i forbindelse med at de har utarbeidet et egenerklæringsskjema som nye kredittopplysningsforetak må signere før de får tilgang til data. Vi har også blitt enige med Skatteetaten og Brønnøysundregistrene om en ordning der de underretter Datatilsynet når nye kredittopplysningsforetak får tilgang til data. På denne måten kan vi holde oss orientert om nye kredittopplysningsaktører i markedet. Etter ønske fra Skatteetaten og Brønnøysundregistrene har vi også startet på en utredning av hvilket regelverk som gjelder for utenlandske aktører som ønsker å drive kredittopplysningsvirksomhet i Norge. Dette arbeidet var fortsatt pågående ved årets slutt.

Datatilsynet behandler hvert år en rekke saker der enkeltpersoner har blitt kredittvurdert uten rettslig grunnlag. Flere av sakene har endt med overtredelsesgebyr for virksomheten som gjennomførte kredittvurderingen.

Vi åpnet i 2023 tilsyn med de fire etablerte foretakene som kredittvurderer enkeltpersoner. Temaet for tilsynet er behandling av personopplysninger i historisk arkiv. Vi ønsker å kontrollere om de etablerte aktørene overholder kredittopplysningslovens særbestemmelse om historisk arkiv, samtidig som vi ønsker at dette kan bidra til en felles forståelse av regelverket for behandling av personopplysninger i historisk arkiv. Det kan igjen danne grunnlag for veiledning til nye kredittopplysningsforetak. Tilsynet var fortsatt pågående ved utgangen av året.

Helse- og velferd

Helseplattformen

Helseplattformen, en felles journalløsning for primær- og spesialisthelsetjenesten i region Midt-Norge, ble lansert i mai 2022. Vi hadde flere dialogmøter med prosjektet i forkant av lanseringen.

Siden innføringen har Datatilsynet mottatt mange meldinger om brudd på personopplysnings­sikkerheten. De fleste av avvikene gjelder mangelfull tilgangsstyring ved at mange ansatte har hatt tilgang til pasientopplysninger de ikke hadde tjenstlig behov for. Meldingene gir viktig bakgrunnsinformasjon for det videre arbeidet vårt, og det har vært viktig for oss å følge med på om bruddene gjentar seg etter hvert som nye virksomheter tar Helseplattformen i bruk.

Store endringer i helseforvaltningen

Helse- og omsorgsdepartementet har vedtatt større endringer i helseforvaltningen, med ikrafttredelse 1. januar 2024. Endringene innebærer blant annet at Direktoratet for e-helse legges ned og innlemmes i Helsedirektoratet, at Folkehelseinstituttet (FHI) overtar forvaltningsansvaret for de nasjonale helseregistrene og at Helsedirektoratet overtar dataansvaret for to viktige nasjonale e-helseløsninger (Reseptformidleren og Kjernejournal) fra Norsk helsenett SF.

Departementet sendte i 2023 ut flere høringer knyttet til dette. Datatilsynet har uttrykt skepsis til at FHI, som er en forskningsinstitusjon og stor databruker, også skal forvalte tilgangen til data blant annet til forskning. Videre har vi stilt spørsmål ved hensiktsmessigheten av å flytte dataansvaret bort fra Norsk helsenett SF som bygger og drifter de nasjonale e-helseløsningene.

Tilsyn og varsel om overtredelsesgebyr til NAV

I september 2023 gjennomførte vi et tilsyn hos NAV. I tilsynet kontrollerte vi om NAV sikrer tilfredsstillende konfidensialitet i IT-løsningene («fagsystemene») som benyttes til å behandle person­opplysninger i forbindelse med tjenesteyting. Kontrollen omfattet tekniske og organisatoriske tiltak ved tilgangsstyring, logg og loggkontroll, og om NAV hadde etablert et egnet styringssystem. Kontrollen var avgrenset til behandling av person­opplysninger i fagsystemer som inngår i den statlige delen av NAVs tjenesteyting.

I tilsynsrapporten identifiserte vi en rekke lovbrudd. Hovedfunnene gjelder særlig konsekvensen organiseringen av NAV har for tilgangsadministrasjon og oppfølging. I november 2023 varslet vi NAV om at de vil pålegges å rette opp i avvikene. Samtidig varslet vi ileggelse av et overtredelsesgebyr på 20 millioner kroner. Datatilsynets vedtak er ikke endelig ved utløpet av rapporteringsåret.

Informasjonssamfunnstjenester og annonseindustrien («ad tech»)

I 2023 behandlet vi flere saker om «informasjonssamfunnstjenester», slik som for eksempel applikasjoner («apper») på mobiltelefoner og nettbrett. Slike tjenester samler ofte inn og behandler store mengder personopplysninger om brukerne. Vi har blant annet behandlet saker knyttet til apper for parkering, dating og idrett.

Vi har særlig sett på saker som har rettet seg mot annonseindustrien («ad tech»). Denne industrien handler blant annet om at tilbyderne utleverer personopplysninger om brukerne sine til tredjeparts­aktører (annonsører) for å tilby persontilpasset reklame. Vi ser at brukerne ofte ikke er godt nok informert om at personopplysningene deres er gjenstand for bud og salg på et digitalt marked. Tredjepartsaktørene kan potensielt selge personopplysningene videre. Når dette mer eller mindre skjer i det skjulte, reduserer det brukernes mulighet til å ha reell kontroll over opplysningene sine. Industrien opererer også i stor skala. Det dreier seg gjerne om et stort antall tredjepartsaktører som mottar dataene, og mange berørte brukere.

Meta-saken som handler om behandling av personopplysninger for atferdsbasert markedsføring, er omtalt under "Internasjonalt arbeid og samarbeid".

Grindr

Grindr er en dating-app som retter seg mot homofile og bifile menn, transpersoner og skeive. Saken ble åpnet i 2020 etter at Forbrukerrådet klagde selskapet inn til Datatilsynet fordi appen utleverte GPS-lokasjon, enkelte opplysninger fra brukerprofilene og det faktum at vedkommende er Grindr-bruker, til flere tredjepartsaktører.

I 2022 ila vi det amerikanske selskapet Grindr Inc. (Grindr) et overtredelsesgebyr på 65 millioner kroner, men vedtaket ble klaget inn til Personvernnemnda. I september 2023 kom Nemnda med sin avgjørelse der de opprettholdt Datatilsynets vedtak om overtredelsesgebyr fullt ut.

I oktober 2023 stevnet Grindr Staten ved Personvernnemnda for Oslo tingrett. Grindr sin prinsipale påstand er at vedtaket til Personvernnemnda kjennes ugyldig, eventuelt at overtredelsesgebyret settes ned. Saken er planlagt behandlet i Oslo tingrett i løpet av 2024.

Justis

Politiets behandling av personopplysninger

Datatilsynet er tilsyns- og kontrollmyndighet for politiets behandling av personopplysninger etter politiregisterloven. I 2023 har vi tatt opp flere saker av eget initiativ, for eksempel om politiets bruk av droner, elektronisk lagring av bevis og bruk av informasjon i VISA Information System (VIS) til politimessige formål. Vi har også sendt et generelt krav om redegjørelse til Politidirektoratet (POD) som følge av flere avviksmeldinger om pass og nasjonale Id-kort på avveier.

Datatilsynet har jevnlige møter med politimyndighetene og deltar i møter med personvernrådgiverne i politiet. Vi ga i 2023 flere høringsuttalelser om regelendringer knyttet til politiets behandling av personopplysninger, samt en uttalelse om Politidirektoratets forslag til forskrift om vurdering av skikkethet ved ansettelser i politiet – et forslag som berørte behandling av personopplysninger på flere punkter.

Schengen-samarbeid

Norge deltar i Schengen-samarbeidet og er en del av Schengen-området, med felles yttergrense og indre reisefrihet. Datatilsynet er tilsynsorgan for den nasjonale behandlingen av personopplysninger i de felleseuropeiske systemene som er etablert gjennom Schengen- og Dublin-samarbeidet: Schengen informasjonssystem (SIS), visuminformasjonssystemet VIS og fingeravtrykksregisteret Eurodac.

Våre oppgaver består av tilsyn, behandling av klager fra registrerte, informasjon og veiledning, deltagelse i samarbeidsfora på europeisk nivå og besvarelse av høringer om regelverksendringer. En tverrfaglig gruppe sørger for intern koordinering og gjennomføring disse oppgavene.

Datatilsynet er representert i EU-kommisjonens ekspertpool som skal sikre optimalisert utvelgelse av deltakere i gruppene som evaluerer Schengen-landenes etterlevelse av regelverket. I 2023 deltok vi i evalueringen av Estland.

Tilsyn med Sysselmesteren på Svalbard

Som tilsynsmyndighet for den nasjonale behandling av personopplysninger i visuminformasjons­systemet VIS, gjennomførte Datatilsynet i 2023 tilsyn med Sysselmesteren på Svalbard. Det er ikke visumplikt for innreise til Svalbard, men Sysselmesteren er ansvarlig for behandling av søknader om visum til fastlands-Norge fra tredjelandsborgere på Svalbard, og har derfor tilgang til VIS.

Tilsynet avdekket avvik knyttet til behandlingsansvar og internkontroll. Datatilsynet har derfor pålagt Sysselmesteren på Svalbard å klargjøre og dokumentere ansvarsfordelingen mellom Sysselmesteren og Utlendingsdirektoratet for behandling av personopplysninger i visuminformasjonssystemet VIS. Sysselmesteren er videre pålagt å etablere internkontroll som er tilpasset virksomheten og behandlingsansvaret sitt.

Videreutvikling av Schengen-regelverket – endrede og nye informasjonssystemer

De senere årene er det vedtatt flere endringer i eksisterende systemer. SIS er det største informasjonsdelingssystemet for sikkerhet og grenseforvaltning i Europa. Den 7. mars 2023 ble det iverksatt endringer i SIS som innebærer at systemet er utvidet til å omfatte flere kategorier av personopplysninger. Blant annet skal tredjelandsborgere som har fått et returvedtak nå registreres i SIS.

Datatilsynet har i 2023 gitt flere høringssvar om regelendringer knyttet til Schengen-samarbeidet, blant annet endring av visuminformasjonssystemet VIS. Vi har også gjennomført møter med politiet og utlendingsmyndighetene om implementeringen av de endrede og nye systemene.

Schengen-evaluering av Norge

Etter Schengen-evalueringen av Norge i 2022, har evalueringsdelegasjonen kommet med en rapport til EU-kommisjonen. Rapporten ble vedtatt i september 2023. Vi avventer nå en beslutning om anbefalinger, og vil deretter utarbeide en handlingsplan for å følge opp anbefalingene.

Kundedata og infosikkerhet

I 2023 mottok Datatilsynet 171 klager som gjaldt personopplysninger om kunder og medlemmer. Dette er en økning fra året før. Disse sakene gjelder ofte sletting og innsyn, og berører både offentlige, private og internasjonale virksomheter. Behandling av personopplysninger i kundelister og medlemsregistre er også en gjenganger i henvendelsene til veiledningstjenesten.

Overtredelsesgebyr til SATS

Datatilsynet mottok flere klager på SATS i perioden 2018 til 2021. Etter å ha behandlet saken, konkluderte vi med at SATS ikke hadde klart å oppfylle de registrertes rettigheter til innsyn og til sletting på en tilfredsstillende måte. Treningssenterkjeden manglet også hjemmel til å behandle data om kundenes treningshistorikk. I 2023 fattet vi derfor vedtak om overtredelsesgebyr på 10 millioner kroner.

Vedtak om forbud mot behandling av bongdata til SSB

I april 2023 fattet vi vedtak om forbud mot Statistisk sentralbyrå (SSB) sin planlagte innsamling av data om den norske befolkningens dagligvarekjøp (bongdata) til bruk i kostholds- og forbruksstatistikk.

SSB planla innsamling av bongdata fra de fire største dagligvareaktørene som dekker 99 prosent av det norske dagligvaremarkedet. Gjennom bongdata og banktransaksjonsdata, ville SSB hatt opplysninger om hva omlag 70 prosent av befolkningen handler av dagligvarer. Dette ville igjen kunne kobles opp mot sosioøkonomiske data slik som husholdningstype, inntekt og utdanningsnivå.

Innsamlingen av bongdata ville innebære en helt ny form for innsamling av enorme mengder data fra private aktører. Kundene ville ikke ha noen reell mulighet til å motsette seg innsamlingen, annet enn gjennom å bruke kontanter som betalingsmiddel. Saken vekket derfor stor interesse både hos privatpersoner og media.

SSB mente at vedtaket deres om opplysningsplikt (fattet i medhold av statistikkloven § 10) var et rettslige grunnlag for innsamlingen av bongdata. Datatilsynet konkluderte imidlertid med at det ikke var et tilstrekkelig rettslig grunnlag for en så inngripende behandling av personopplysninger, og mente at inngrepet i personvernet er stor allerede ved innsamlingen av opplysningene. Kjernen i vurderingen av personverninngrepet er hva det er nødvendig for offentlige myndigheter å vite om den enkelte innbygger, og kravene til hjemmel ved slike store inngrep.

I etterkant av vedtaket har Datatilsynet og SSB hatt dialog om veien videre for utvikling av kostholds- og forbruksstatistikk.

Personvernombudsordningen

Ved utgangen av 2023 var det registrert 1 547 person­vernombud (PVO) som repre­sen­terte til sammen 2 111 virk­som­­heter. Differansen skyldes at mange er personvernombud for flere behandlings­ansvarlige.

Datatilsynet følger opp personvernombudene tett. Nye ombud får veiledning om ombudsrollen og tips til aktører og ressurser vi mener de vil kunne ha nytte av. De får også tilbud om å delta på digitale introduksjonskurs om denne ombudsrollen, om Datatilsynet og om hva vi kan bistå med. Fra 2023 har vi også tilbudt kurs om brudd på personopplysningssikkerheten og plikten til å melde avvik til Datatilsynet.

Datatilsynet har prioritert å stille opp med foredragsholder på Foreningen Personvernombudenes månedlige medlemsmøter når vi er blitt invitert. Vi stod i 2023 som vertskap og ansvarlig for det faglige innholdet på foreningens medlemsmøte og sommeravslutning. Vi har også hatt kontaktmøte med styret i foreningen.

Som i tidligere år, har vi dessuten prioritert å stille opp i samlinger som har vært i regi av ulike regionale eller sektorvise nettverk av personvernombud. I meldingsåret deltok vi på 17 slike nettverksmøter. Datatilsynets egen kontaktperson for eksterne personvernombud bruker også mye tid på kontakt med både nye og mer erfarne ombud.

Samarbeidet med utdanningsinstitusjonene Høgskolen i Innlandet, BI og Oslo Met om deres deltidsstudier i personvern har fortsatt i 2023. Vi har deltatt med foredragsholdere på alle studiene, i tillegg til på Juristenes utdanningssenter sitt kurs for personvernombud.

Som ledd i det omfattende kommunetilsynet overfor omlag hundre kommuner og fylkeskommuner, kartla vi i hvilken grad kommunene hadde implementert personvernombudsordningen. Selv om det er store variasjoner, synes kommunene i hovedsak å ha tatt i bruk personvernombudsrollen som forutsatt.

Publisering på nett

Saker som gjelder publisering av personopplysninger på nett, havner ofte i spenn mellom retten til personopplysningsvern på den ene siden, og allmennhetens ytrings- og informasjonsfrihet på den andre siden. Mens ytrings- og informasjonsfrihet stor grad tilsier åpenhet og tilgjengelighet av opplysninger, vil personopplysningsvernet ofte tilsi begrensninger i åpenhet og tilgjengelighet av opplysninger.

Det er imidlertid et unntak i personopplysningsloven § 3 som skal sikre balanse mellom de to grunnleggende rettighetene. Bestemmelsen gir viktige unntak når det gjelder behandling av person­opplysninger som skjer for journalistiske, akademiske, kunstneriske eller litterære formål. Unntaket skal sikre at personvernet ikke griper inn i retten til ytrings- og informasjonsfrihet i for stor grad, og den skal balansere disse rettighetene opp mot hverandre.

Bestemmelsen ble endret i 2022 for å åpne for mer nyanserte avveininger mellom de to grunn­leggende rettighetene. Endringen rettet seg i første rekke mot publiseringer som etter loven har «journalistiske» formål, men som skjer i uredigerte medier. Høsten 2023 publiserte vi derfor en utfyllende veiledning om personvern versus ytrings- og informasjonsfrihet.

I 2023 mottok vi 53 klagesaker om publisering på nett. Klagene handler om publiseringer i alt fra sosiale medier og nettaviser til publisering i offentlig postjournal. I tillegg fikk vi 11 saker som handlet spesifikt om fjerning av søketreff fra søkemotorer.

Vi åpnet dessuten et tilsyn etter medieoppslag om eksponering av barn i videoer på YouTube og Facebook, publisert av Familiekanalen. Tilsynet er omtalt i kapittelet «Spesielt om barn og unge», men var ikke avsluttet ved utgangen av rapporteringsåret.

Datatilsynet har i løpet av året også hatt veiledningsmøte med Antidoping Norge om publisering av dopingdommer innenfor den organiserte idretten og Rent Senter-ordningen. Kultur- og likestillings-departementet deltok også.

Slektsgranskning

Et av temaene som Datatilsynet mottar spørsmål om, er slektsgranskning. I 2023 oppdaterte vi derfor veiledningen på nettsidene våre. Personvernregelverket gjelder ikke når privatpersoner behandler personopplysninger til rent private formål. Regelverket kan imidlertid gjelde for slektsgranskning, for eksempel dersom opplysningene deles på nett (eller med andre), og i tillegg inneholder direkte eller indirekte opplysninger om levende personer (for eksempel opplysninger om arvelige sykdommer i slekten).

Samferdsel

I januar 2023 ga vi innspill til Skatteetaten og Statens Vegvesens høring om Konseptvalgutredningen (KVU) for veibruksavgift og bompenger. I høringen vurderes fire forskjellige konsept som i fremtiden kan erstatte dagens system for fastsettelse og innkreving av veibruksavgift og bompenger.

De viktigste merknadene våre var at forholdet til bokføringsregelverket må utredes, og at bruk av «tykk klient» og lokal prosessering i kjøretøyet er ufravikelige krav til en satellittbasert løsning som i fremtiden skal omfatte lette kjøretøy.

Telekom

Nummeropplysningstjenester

Nummeropplysningstjenester har også i 2023 vært tema i samarbeidet mellom Nkom og Datatilsynet. Ekomregelverket og personvernregelverket utfyller hverandre ved behandlingen av personopplysninger til nummeropplysningsvirksomhet.

Vi har behandlet flere saker om bruken av personopplysninger utlevert til nummer­opplysnings­tjenester. Kjernen i flere av klagene vi får er hvordan personopplysninger som er utlevert under ekomregelverket senere benyttes til andre formål enn til nummeropplysnings­tjenester.

Lokasjonsbasert SMS-varsling

Lokasjonsbasert SMS-varsling har eksistert i mange år, og kan brukes av myndigheter til å telle hvor mange som befinner seg i et gitt geografisk område på et aggregert nivå, og til å sende ut SMS-varslinger til de som befinner seg der. Det var en økende bruk av teknologien under pandemien, og den ble benyttet i nye sammenhenger. Teknologien ble igjen dagsaktuell i påsken 2023 i forbindelse med stor skredfare i Nord-Norge. Datatilsynet hadde i den forbindelse møte med Direktoratet for samfunnssikkerhet og beredskap (DSB), og fikk samordnet informasjon ut til kommunene og andre relevante aktører.

I 2023 ble også den nasjonale varslingsløsningen Nødvarsel tatt i bruk i Norge, og det ble gjennomført en felles, nasjonal varslingsprøve i juni. Det er DSB, i samarbeid med politiet, Nasjonal kommunikasjonsmyndighet og mobiloperatørene, som har levert Nødvarsel – myndighetenes nye system for befolkningsvarsling på mobil. Datatilsynet hadde et møte med DSB og Politidirektoratet om tjenesten i januar. Den nasjonale varslingsløsningen bruker Cell Broadcast-teknologien, som er en mer personvernvennlig teknologi enn lokasjonsbasert SMS-varsling.

Rapport om 5G

I 2023 publiserte vi en rapport om bruk av 5G-nettet. Rapporten inneholder en beskrivelse av teknologien, samt en analyse av hvilke konsekvenser bruken av 5G kan ha for informasjonssikkerhet og personvern. Vi kommer også med noen råd for hvordan et godt personvern kan ivaretas ved bruk av 5G.

Tilsyn med kommuner og fylkeskommuner

Datatilsynet har over tid mottatt flere klagesaker som gjelder Grimstad kommune, og gjennomførte derfor et tilsyn med kommunen for å undersøke systematikken deres for etterlevelse av personvernregelverket. Tilsynet ble gjennomført i mars 2023, og temaet var blant annet kommunens styringssystem og deres organisatoriske tiltak for å sikre opplæring av ansatte, håndtering av innsynskrav fra registrerte og rapportering til kommunens ledelse. Tilsynet førte til irettesettelse av kommunen.

Høsten 2023 gjennomførte dessuten Datatilsynet et stort antall tilsyn med norske kommuner. Over 100 kommuner og fylkeskommuner ble undersøkt. Vi stilte blant annet spørsmål om kommunenes etterlevelse av krav til informasjonssikkerhet og internkontroll. Det ble utarbeidet en felles tilsynsrapport med veiledning om temaene fra tilsynene. Veiledningen vil også gjøres tilgjengelig for andre virksomheter på nettsidene våre. Arbeidet var ikke ferdig på rapporteringstidspunktet og følges opp i 2024.

Trossamfunn

Trossamfunn behandler som regel en rekke opplysninger om sine medlemmer, for eksempel i medlemsregistre. Opplysninger om at en person er medlem av et trossamfunn har et særskilt vern i personvernregelverket. Tidvis behandler trossamfunn også andre opplysninger som er sensitive for den det gjelder. Det er derfor viktig at trossamfunn er klar over de pliktene og begrensningene som følger av personvernregelverket når personopplysninger behandles. Dette gjelder særlig i lys av at det kan være en ubalanse i maktforholdet mellom ledere av og medlemmer i et trossamfunn.

I januar 2023 fattet Datatilsynet vedtak om irettesettelse til Den norske kirke (DNK). Saken startet med en klage fra Human-Etisk Forbund (HEF) på vegne av åtte klagere. Bakgrunnen var at DNK samlet inn fødselsmeldingene til medlemmers barn fra Folkeregisteret i en og en halv måned etter at tillatelsen deres til å motta disse folkeregisteropplysningene opphørte. Vår konklusjon var at innsamlingen og den videre lagringen av fødselsmeldingene etter at tillatelsen opphørte, ikke hadde et gyldig rettslig grunnlag. I tillegg mente vi at det ikke ble gitt lett tilgjengelig informasjon om innsamlingen av fødselsmeldingene fra Folkeregisteret. HEF har klaget på reaksjonsformen, som de mener bør være strengere. Klagen er fortsatt under behandling.

Vi har i tillegg hatt ni andre klagesaker mot ulike trossamfunn til behandling i 2023. Åtte av disse pågår fortsatt.

I oktober ga vi også et høringssvar til forslag om endringer i trossamfunnloven knyttet til statsstøtteordningen. I høringssvaret fastholdt vi vårt standpunkt om at offentlige myndigheter prinsipielt ikke bør vite hvilke(t) tros- og livssynssamfunn innbyggerne er medlem av. Når offentlige myndigheter likevel behandler slike opplysninger, er det viktig at løsningen er vurdert grundig opp mot Den europeiske menneskerettskonvensjonen og personvernregelverket.

Alle virksomheter som behandler personopplysninger har plikt til å etterleve personvern­lovgivningen. Dette gjelder både offentlige etater, private organisasjoner og nærings­drivende, store og små. Samtidig legger lovgivningen i stor grad ansvaret på hver og en av oss når det gjelder å ivareta eget personvern. Fordi disse gruppene har så forskjellige behov, stiller det store krav til hvordan vi jobber med kommunikasjon i Datatilsynet.

Vi skal bidra til økt kunnskap om og interesse for personvern. God veiledning og informative nettsider om personvernreglene til både innbyggere og virksomheter er avgjørende for å oppnå dette. Her er kommunikasjon som virkemiddel svært viktig.

Kommunikasjonsarbeidet i Datatilsynet er basert på statens kommunikasjonspolitikk og gjeldende regelverk, slik som offentlighetsloven og forvaltningsloven. Videre heter det i virksomhetsinstruksen at vi skal ha en aktiv holdning til kommunikasjon, både internt og eksternt. Vi er derfor både lyttende og aktive i det offentlige ordskiftet og ellers i kommunikasjonsarbeidet.

Veiledningstjenesten er en del av avdelingen for kommunikasjons- og samfunnskontakt. Dette gjør oss godt rustet til å fange opp behovet fra publikum, og koble på ulike kommunikasjonstiltak i forskjellige kanaler på en effektiv måte.

Formidling gjennom egne kanaler

Nettstedet

Datatilsynet.no er den viktigste kanalen for kommunikasjon med målgruppene våre, og vi har høye besøkstall. I 2023 hadde vi 7 222 007 unike sidevisninger. Vi legger stor vekt på at innholdet skal være godt, relevant og enkelt tilgjengelig, og det overordnede målet er å gjøre brukerne mer selvhjulpne. Det er et mål for oss å redusere antall henvendelser til veiledningstjenesten med blant annet god informasjon på nettsiden, noe vi muligens ser en tendens til med en liten nedgang i telefonhenvendelser i 2023.

Vi ser at besøket på datatilsynet.no er relativt jevnt høyt gjennom hele året, og at besøket går noe ned når det er sommerferie og juleferie. Det er derfor ingen tvil om at sidene brukes aktivt som en kilde til informasjon om personvern og personvernregelverket.

Det å sørge for god tilgjengelighet og gode brukeropplevelser på nettsidene våre, har vært et viktig mål. Vi har lagt særlig vekt på universell utforming (UU), slik at så mange som mulig kan få informasjon uavhengig av funksjonsevne, og har høy score på UU-kravene.

Arbeidet med et elektronisk klageskjema har vært høyt prioritert, og risikovurderingen er gjennomført. Skjemaet vil publiseres våren 2024.

I slutten av 2023 gjennomførte vi et prosjekt sammen med en ekstern aktør for å kartlegge forbedringspotensialet for søkemotoroptimalisering (SEO). Prosjektet resulterte i en rapport med tekniske og ikke-tekniske tiltak som vi mener vil være mest effektive for å forbedre treffene våre i søkemotorer. Noen av tiltakene vil implementeres i 2024.

Nøkkeltall fra statistikken på datatilsynet.no:

Personvernblogg, sosiale medier og podkast

Personvernbloggen.no er et sted hvor vi kan reise andre problemstillinger enn vi gjør på den ordinære nettsiden. Her formidler vi faglige refleksjoner og debatter om personvern. Vi publiserer også kronikker som vi har hatt på trykk i aviser og tidsskrifter. I 2023 publiserte vi 16 innlegg på bloggen.

Datatilsynet har i flere år benyttet X (tidligere Twitter) til å kommunisere nyheter, veiledning og annen informasjon. Vi følger der også med på andres omtale av oss og ulike debatter om personvern, og vi besvarer de fleste spørsmål og kommentarer som kommer. Ved årsskiftet hadde vi 26 536 følgere. I 2023 ferdigstilte vi en risikovurdering og vurdering av personvernkonsekvenser av denne plattformen. Dette er en intern vurdering av behandling av personopplysninger som skjer i forbindelse med vår egen tilstedeværelse og bruk, samt hvilken risiko bruken av plattformen innebærer. Vurderingen har bidratt til å få oversikt over behandlingen, identifisere risiko, og til å sette inn risikoreduserende tiltak og sikre bedre etterlevelse av pliktene i personvernforordningen. Datatilsynet har besluttet at vi skal fase ut bruken av X i 2024.  

Personvernpodden er Datatilsynet egen podkast. Denne satsingen skal engasjere nye og eksisterende målgrupper, sette personvernet i en samfunnsmessig kontekst og bidra til å øke bevisstheten og refleksjoner rundt personvern i befolkningen. I 2023 publiserte vi åtte episoder som i 2023 ble lastet ned 8 754 ganger tilsammen. Datatilsynet tilbyr også podkasten som nedlastbar .mp3-fil, som vi ikke kan innhente statistikk på.

Datatilsynets nyhetsbrev er en sentral kanal for å spre kunnskap om personvern. Alle aktuelle saker som publiseres på nettsidene våre, videreformidles i nyhetsbrevet vårt. Ved årsskiftet hadde vi 5 630 abonnenter på det ordinære nyhetsbrevet vårt. I tillegg har Datatilsynets regulatoriske sandkasse et eget nyhetsbrev, Sandkassebrevet. Det ble sendt ut 32 ganger og hadde ved årsskiftet 1 399 abonnenter.

Nøkkeltall fra kanalene våre:

Mediekontakt og omdømme

Vi vurderer mediene som en svært viktig kanal for å få frem budskapene våre, og vi legger stor vekt på å ha et profesjonelt forhold til pressen. Dette innebærer at vi skal ha god tilgjengelighet og et høyt servicenivå overfor journalistene.

Vi noterer ned hver gang vi kontaktes av journalister i en ny sak, og i løpet av året har vi registrert 873 besvarte mediehenvendelser til kommunikasjons­avdelingen. Det er imidlertid mange henvendelser som generer flere oppslag i ulike medier, og i mange mediesaker er vi omtalt uten å være kontaktet.

Vi benytter Retriever til medieovervåking, og i løpet av året er det registrert til sammen 5 661 medie­saker der «Datatilsynet» er omtalt, inkludert i internasjonale medier. Av disse var 4 094 i norske redaksjonelle medier, noe som vil si at det også var en høy andel omtale i internasjonale medier.

2023 utpeker seg som et nytt toppår når det gjelder omtale i mediene, særlig fordi saken om Meta vakte stor nasjonal og internasjonal interesse. Det har imidlertid vært et relativt jevnt trykk når det gjelder omtale av Datatilsynet i mediene gjennom hele året. Av de sakene som har preget nyhetsbildet gjennom året, kan vi ellers trekke frem strømming av barneidrett, barn og unges bruk av kinesiskeide TikTok og varsel om overtredelsesgebyr til NAV. I tillegg er det et jevnt høyt trykk om avvikssaker fra offentlige virksomheter.

De mest sentrale fagområdene som oppslagene er fordelt på (med unntak av Meta-saken):

Retriever laget en analyse av medieomtalene av Datatilsynet i 2023, og oppsummerte følgende:

• Datatilsynet har middels til høy synlighet i 58 prosent av den totale omtalen som utgjør 2 374 oppslag. Dette er høyt sammenlignet med andre aktører.
• Riksmediene står for en stor andel av omtalen. Andelen på 27 prosent utgjør 1 068 oppslag. Det er over snittet for Retrievers kunder.
• Hele 47 prosent av den analyserte omtalen av Datatilsynet (ekskl. Meta) er positiv. Det betyr at det er Datatilsynet som er leverandør av budskapet. 53 prosent av omtalen er nøytral, og i underkant av én prosent er negativ. Dette er svært gode tall.
• 92 prosent av omtalen er basert på aktivt pressearbeid, noe som gir et godt bilde av Datatilsynet.

Spesielt om Meta-saken

Antall oppslag der Datatilsynet er nevnt i norske medier, øker markant siste halvdel av året. Dersom vi ser på oppslagene i perioden fra 17. juli og ut året, dreide hele 33 prosent seg om Meta-saken.

Den totale mediedekningen av Meta-saken i norske og internasjonale medier teller 1 785 oppslag i perioden 17. juli til 31. desember 2023.

Noen nøkkeltall fra Retriever:

Retriever laget en analyse for oss av medieomtalen av Meta-saken i norsk og internasjonal presse, og oppsummerte følgende:

• Datatilsynet har høy synlighet i 86 prosent av Meta-omtalen totalt. Dette er usedvanlig høyt.
• Hele 61 prosent av den totale omtalen i Meta-sakene var positiv for Datatilsynet, og det er svært lite kritikk å finne.
• Datatilsynet er driveren i omtalen av Meta-saken i både norsk og internasjonal presse, og er hovedaktør i flest oppslag (894 oppslag totalt). Hele 74 prosent av omtalen er behandlet av Datatilsynet (i form av at den enten er proaktiv eller reaktiv). Dette er svært høyt.
• Så mye som 735 ulike kilder i norsk og internasjonal presse dekket saken, og store internasjonale kilder som Yahoo News!, MSN og La Vanguardia var med på å trekke opp publikumstallet.

Les om selve Meta-saken under "Internasjonalt arbeid og samarbeid".

Omdømmeundersøkelser

Datatilsynet var i 2023 for femte år på rad med i IPSOS omdømmeundersøkelse. Vi ligger godt innenfor kategorien «godt omdømme», og skårer spesielt høyt på samfunnsansvar og kunnskap. Av de tilsynsvirksomhetene, ombudene og nemdene som vi sammenlignes med, skårer vi aller høyest innenfor kategorien «kompetanse og fagkunnskap» og «samfunnsansvar». Vi holder oss godt innenfor parametere for totalinntrykket sammenlignet med de 97 etatene som vi er sammenstilt med.

Kommunikasjonsbyrået Apeland hadde også en egen omdømmeundersøkelse «Traction offentlig». Den ble gjennomført på 30 utvalgte statlige etater og vakte stor oppmerksomhet. Datatilsynet skåret høyt i alle kategorier, inkludert «Snakke postivt om» og «Kvalitet». Samfunnsoppdraget og tilstedeværelsen i det offentlige rom opptar mange. Under kategorien «tillit» ble vi rangert som nummer 4 av 30 etater sammen med Forbrukerrådet.

Foredragsvirksomheten

Foredrag er en viktig del av kommunikasjons­virksomheten da det gir oss mulighet til å informere om rettigheter og plikter, og til å skape økt forståelse for betydningen av personvern. Dialog og erfaringsutveksling med andre aktører gir en større forståelse og gjensidig læring for ulike spørsmål og utfordringer som reises i tilknytning til praktisering av regelverket. Samtidig viser vi synlighet og tilgjengelighet for virksomheter, interesseorganisa­sjoner og publikum.

Eksterne foredrag

Vi holdt 193 foredrag på kurs, konferanser og seminarer i regi av andre aktører som ønsket deltakelse fra oss i rapporteringsåret. Når vi får foredragsforespørsler fra eksterne aktører, vurderer vi dem etter antall deltagere og om temaet er relevant for satsningsområdene våre. Vi takket derfor nei til om lag 50 forespørsler i 2023.

Det har særlig vært interesse for foredrag om erfaringene med sandkassen vår og personvernutfordringer ved bruk av kunstig intelligens. I tillegg har vi holdt mange foredrag om personvern i arbeidslivet. Meta-saken og bruk av skytjenester er også temaer det har vært stor interesse for.

Egne arrangement

Direkte dialog med ulike målgrupper er en viktig del av arbeidet vi gjør for å levere på samfunnsoppdraget vårt. Vi har i 2023 deltatt som arrangør eller medarrangør på flere større konferanser om teknologi og samfunn, slik som KiNS, Norsk konferanse for IKT i offentlig sektor (NOKIOS) og Normkonferansen. Vi har også gjennomført en rekke arrangementer om sandkassen.

Personverndagen 2023

Som vanlig markerte Datatilsynet den internasjonale personverndagen i januar med et personvernseminar i samarbeid med Teknologirådet. Temaet for dagen var nasjonal personvernpolitikk i møtet med neste generasjons internett. Arrangementet ble strømmet direkte og det ble lagt ut opptak på nettsidene våre i etterkant.

Arendalsuka 2023

Datatilsynet deltok på åtte arrangementer under Arendalsuka 2023. Hovedarrangementet vårt «En uforglemmelig barndom eller en barndom du helst vil glemme?» handlet om strømming av barneidrett som har vært en av de store personverndebattene i 2023. I tillegg deltok vi på flere arrangementer om kunstig intelligens, personopplysningssikkerhet i kommuner og deling av data.

Sikkerhetsfestivalen 2023

Sikkerhetsfestivalen ble arrangert i august 2023 på Lillehammer. Festivalen er et samarbeid mellom en rekke virksomheter og organisasjoner, og Datatilsynet er en av dem. Arrangementet hadde 1­ 350 påmeldte, og hadde tilsammen 15 parallelle spor og over 100 foredragsholdere. Datatilsynet arrangerte et eget spor med temaet "Personvern og teknologi".

Veiledningstjenesten

Datatilsynets veiledningstjeneste er et tilbud for alle som har spørsmål som ikke krever ordinær saks­behandling. Et viktig mål med tjenesten er å gjøre enkeltpersoner i stand til å ivareta egne personvern­rettigheter og å veilede virksomheter i pliktene som følger av regelverket. Spørsmålene er ofte av både juridisk og teknisk karakter, og det er stor variasjon i temaene.

Vi fører intern statiststikk over alle samtalene som blir besvart. Vi registrerer hva henvendelsene handler om og hvem de kommer fra. Dette gir oss kunnskap og bedre oversikt over hva publikum lurer på slik at vi blant annet kan tilpasse og forbedre veiledningen på nettsiden vår.

I løpet av 2023 viser telefonstatistikken vår at det kom inn 6 116 telefoner til tjenesten. Av disse er 5 169 statistikkført. Gjennomsnittlig ventetid i telefonkø er 2,42 minutter, og­ samtalene varer i gjennomsnitt 10,44 minutter.

I liket med 2022, var 41 prosent av henvendelsene vi mottok fra virksomheter, mens 54 prosent kom fra privatpersoner. Personvernombudene sto for fem prosent av henvendelsene. Mange personvernombud har imidlertid flere kanaler inn til Datatilsynet, så antall henvendelser fra disse ombudene totalt er høyere.

I 2023 innførte vi nye kategorier for å registrere hvilken bransje henvendelsen gjaldt. Tallene er derfor ikke direkte sammenlignbare med tidligere år.

Hva handler henvendelsene om?

Hvilke tema vi mottar henvendelser om har i stor grad vært uendret de siste årene. 

Hele 32 prosent av alle henvendelser vi mottok i 2023, handlet om bruk av personopplysninger i registre. Over halvparten av disse henvendelsene kom fra privatpersoner. Henvendelsene gjaldt blant annet behandlingen av opplysninger i personalregister, kundelister, medlemsregistre og journalopplysninger.

I likhet med 2022, gjaldt overvåking og sporing en fjerdedel av henvendelsene. De mest vanlige spørsmålene her handlet om privat kameraovervåking av hjem, bolig og hytte.

Spørsmål om internkontroll og informasjonssikkerhet utgjorde 22 prosent av henvendelsene. Det som går igjen her er praktiske spørsmål om avviksbehandling, databehandleravtaler og behandlings­ansvar.

Vi mottok som tidligere år også mange henvendelser om håndtering av personopplysninger på nett. Det store flertallet av disse handler om uønsket deling og publisering av bilder, film og tekst, sosiale medier og avindeksering. Vi mottok også en del spørsmål om sporing på digitale flater (slik som informasjonskapsler, tracking og piksler).

Det var en liten oppgang i henvendelser om overføring av personopplysninger til utlandet i forhold til tidligere år. Årsaken kan være at EU i 2023 vedtok nye regler som gjorde det enklere å overføre personopplysninger til USA.

Henvendelsene ellers gjelder blant annet bransjenormer og samarbeidsmekanismer, bruk av kunstig intelligens (inkludert maskinlæring og avanserte algoritmer), sertifisering og akkreditering, samt DPIA og forhåndsdrøftelser.

Aktørforum eID og tillitstjenester

Nasjonal kommunikasjonsmyndighet (Nkom) samler aktørene innen e-signaturområdet til aktør­forum. Forumet er av interesse for aktører som ønsker å holde seg oppdatert på forordningen om blant annet e-ID og e-signatur (EIDAS) og ETSI-standardiseringsaktivitet på feltet. Forumet er en viktig møteplass for myndigheter og bransje, hvor det også diskuteres problemstillinger knyttet til eID og tillitstjenester.

Arkivverket

Arkivverket og Datatilsynet har jevnlige møter på saksbehandler- og direktørnivå for gjensidig informasjons- og erfaringsutveksling. I sandkassen har vi jevnlige møter med Finanstilsynet og Arkivverket for å dele erfaringer om sandkassearbeid på tvers av organisasjonene.

Digitaliseringsdirektoratet (Digdir)

Datatilsynet samarbeider med Digdir sitt kompetanse­miljø innenfor informasjonssikkerhet. Vi har en del overlappende ansvarsområder, og samarbeider om ulike tema slik som blant annet å lage veiledere for anskaffelser, utvikling, internkontroll og informasjonssikkerhet. Vi deltar også i Digdirs referanseramme for informasjonssikkerhet i offentlig sektor sammen med DFØ, NSM, eHelse og KS. Vi sitter både i styringsgruppen og arbeidsgruppen.

I 2023 har vi dessuten samarbeidet om kunstig intelligens og hatt jevnlige kontaktmøter med Nasjonalt ressurssenter for deling av data.

Direktoratet for forvaltning og økonomistyring (DFØ)

Datatilsynet samarbeider med DFØ blant annet på områder knyttet til vurderinger og retningslinjer for bruk og innkjøp av skytjenester i offentlig sektor. Vi har også samarbeid relatert til informasjons­sikkerhet.

Forbrukerrådet

Vi har mange berøringspunkter med Forbrukerrådet. Forbrukerspørsmål som gjelder nettsider, atferdsbasert markedsføring og kunderegistre er temaer som går igjen i dialogmøtene våre. Vi har også skrevet innlegg sammen i kjølvannet av Personvernkommisjonens rapport, blant annet om digitale annonsebaserte verktøy i skolen.  

Forbrukertilsynet

Vi har etablert et godt samarbeid med Forbrukertilsynet. Det blir særlig viktig i årene fremover, da mange av de samme aktørene skaper utfordringer for oss, og behandling av personopplysninger har også sider til forbrukerutfordringer. Datatilsynet, Forbrukertilsynet og Konkurransetilsynet møtes jevnlig i et dedikert tilsynsforum for den digitale økonomien, der formålet er å diskutere problemstillinger som oppstår i grenseflatene mellom de tre tilsynenes kompetanse og mandat.

Foreningen Kommunal Informasjonssikkerhet (KiNS)

Datatilsynet har lenge vært en aktiv samarbeidspartner med KiNS. Vi deltar på styremøter som observatør og bidragsyter, og har i 2023 hatt kontaktmøter med styreleder og daglig leder i foreningen.

I forbindelse med den årlige KiNS-konferansen, deltok vi med én representant i programkomiteen. I tillegg deltok Datatilsynet med både direktøren og avdelingsdirektøren for teknologi, analyse og sikkerhet på konferansen, sammen med det danske datatilsynets teknologidirektør.

Vi har også deltatt med foredragsholdere på andre arrangementer i regi av KiNS og KINS-tech.

Foreningen Personvernombudene

Datatilsynet har et nært samarbeid med Foreningen Personvernombudene og har stilt med foredragsholdere på flere av de månedlige medlemsmøtene i foreningen. I likhet med året før var vi også vertskap for, og stod for det faglige innholdet på foreningens sommeravslutning i juni. Vi gjennomførte videre ett kontaktmøte med representanter for styret i foreningen og Datatilsynets ledelse.

Konkurransetilsynet

Vi har etablert et godt samarbeid med Konkurransetilsynet, både på direktør- og saksbehandlernivå. Vi møter også både Konkurransetilsynet og Forbrukertilsynet i det dedikerte tilsynsforumet for den digitale økonomien.

Kommunesektorens interesseorganisasjon (KS)

I forbindelse med Datatilsynets satsing på barn og unge, har vi samarbeidet med KS i arbeidet med informasjonssikkerhet og personvern i kommuner og skoler. Vi har hatt jevnlig kontakt med SkoleSec-prosjektet til KS, blant annet gjennom veiledningsmøter om konkrete tema i deres DPIA-vurdering av Googles skoleverktøy.

Nasjonal Kommunikasjonsmyndighet (Nkom)

Nkom fører tilsyn med ekomregelverket. Dette regelverket har spesialregler om behandling av personopplysninger, noe som medfører at det er nødvendig med et godt samarbeid mellom tilsynsmyndighetene. Som en del av samarbeidet har vi hatt møter både på saksbehandler- og direktørnivå, i tillegg til mer uformelle møter. Målet med møtene er blant annet å holde hverandre orientert om relevant utvikling på telekomfeltet, samt sikre gjensidig erfaringsutveksling.

Kontakten i 2023 har blant annet omfattet kommunikasjonsverndirektivet og den kommende kommunikasjonsvern­forordningen, ny ekomlov, avvikssaker i telekomsektoren, saker hvor politiet får tilgang til taushetsbelagt informasjon fra teletilbyderne («fritakssaker») og cookie-regelverket. Det har også vært et omfattende samarbeid innen befolkningsvarsling og nummer­opplysning.

Nasjonal sikkerhetsmyndighet (NSM)

Datatilsynet har samarbeid med NSM, på direktør- og saksbehandlernivå. NSM og Datatilsynet har enkelte overlappende ansvarsområder, og god dialog er viktig.

Nora.ai

I forbindelse med sandkassen har vi et utstrakt samarbeid med Norwegian Artificial Intelligence Research Consortium (Nora.ai). Dette er et samarbeid mellom åtte universiteter, tre høgskoler og fem forskningsinstitutter i Norge innen KI, maskinlæring og robotikk.

Norges Nasjonale Institusjon for Menneskerettigheter (NIM)

Datatilsynet har god dialog med NIM, og vi samarbeider blant annet i forbindelse med hørings­uttalelser og aktiviteter for å sette konkrete temaer på dagsorden. Det dreier seg om et uformelt samarbeid fra sak til sak, for eksempel i forbindelse med problemstillinger som berører personvern og menneskerettigheter mer generelt.

Norsk Informasjonssikkerhetsforum (ISF)

ISF er en ideell organisasjon som arbeider med informasjonssikkerhet for medlemmene. Datatilsynet deltar aktivt i dette miljøet som medlemmer, for nettverksbygging og som foredragsholdere. Vi er også partnere for den årlige sikkerhetsfestivalen på Lillehammer.

Norsk konferanse for IKT i offentlig sektor (NOKIOS)

Datatilsynet har deltatt som samarbeidspartner i NOKIOS og deltatt i programkomiteen. Dette innebærer både planlegging av konferansen, og å være bidragsyter til innhold og gjennomføring. NOKIOS har etter hvert blitt en viktig arena der vi kan få synliggjort personvern i digitaliseringen av offentlig sektor. Høsten 2023 hadde vi egen stand, der vi blant annet informerte om sandkassearbeidet vårt. Vi bidro både med åpningsinnlegg og flere foredrag på konferansen.

Næringslivets Sikkerhetsråd (NSR)

Datatilsynet har i 2023 vært representert i Næringslivets Sikkerhetsråd (NSR) ved avdelingsdirektøren for teknologi, analyse og sikkerhet.

Referansegruppen for Koordinering av identitetsforvaltning (KoID)

KoID er en rådgivende koordineringsgruppe på direktoratsnivå som skal bidra til at identitets-forvaltningen i Norge er mer samordnet og gir gevinster for offentlig sektor, innbyggere og næringslivet. Datatilsynet er med i KoIDs referansegruppe for å sikre bredere forståelse av den nasjonale identitetsforvaltningens utfordringer og for å bidra med innspill til forslag til nye tiltak som berører samfunnet.

Referansegruppe for opptak av prosjekter til sandkassen

Den regulatoriske sandkassen vår, har en referansegruppe for opptak av nye prosjekter. Gruppen bistår Datatilsynet i å vurdere samfunnsnytten i prosjektene som søker, og består av Likestillings- og diskrimineringsombudet (LDO), Norsk Regnesentral, Innovasjon Norge og Tekna.

Riksrevisjonen

Vi utveksler sporadisk erfaringer og gir oppdateringer på og veiledning om arbeidet som gjøres innen teknologi og informasjonssikkerhet. I 2023 møttes vi blant annet i forbindelse med Riksrevisjonens undersøkelse for bruk av KI i staten.

Samarbeidsprosjektet Du Bestemmer

Du Bestemmer er et formalisert samarbeid mellom Utdanningsdirektoratet og Datatilsynet. Sammen driver vi nettressursen dubestemmer.no som skal bidra til at barn og unge kan lære seg å ta kontroll over egne personopplysninger, og samtidig respektere andres opplysninger. I 2023 ble det holdt to styringsgruppemøter, i tillegg til faste arbeidsgruppemøter annenhver uke.

Samarbeidsgruppe – norske sandkasser

Datatilsynet har tatt initiativ til og leder et samarbeid mellom offentlige aktører som har eller planlegger å benytte sandkasse som virkemiddel. Det holdes fire møter per år der vi utveksler erfaringer, diskuterer muligheter og ser på potensiale for ytterligere samarbeid. I tillegg til Datatilsynet, deltar Finanstilsynet, Arkivverket, Helsedirektoratet, eHelse, Legemiddelverket, Helsetilsynet og Digitaliseringsdirektoratet.

Standardisering – komitédeltagelse

Vi deltar i komiteer for standardisering der arbeidet har direkte relevans for arbeidsområdet vårt. Standarder er førende for virksomhetenes praksis, også når det gjelder behandling av personopplysninger. Formålet med deltakelsen i komiteene er å sikre kunnskap om pågående prosesser internasjonalt, påvirke fremtidige rammebetingelser, samt bidra til å påvirke relevante standarder med hensyn til personvern og informasjonssikkerhet.

Styring og koordinering av tjenester i e-forvaltning (Skate)

Skate er et strategisk samarbeidsråd og rådgivende organ som skal bidra til at digitaliseringen av offentlig sektor blir samordnet og gir gevinster for innbyggere, næringsliv og forvaltningen. Vi har i 2023 holdt oss oppdatert på aktiviteter i møtene ved å få tilsendt agendaer og referater.

Teknologirådet

Datatilsynet har jevnlig kontakt med Teknologirådet, og for 11. året på rad samarbeidet vi i 2023 om å arrangere den internasjonale personverndagen. Temaet for dagen var personvernpolitikk, som en oppfølging av Personvernkommisjonens rapport som kom høsten før.

En urolig verden

De siste årene har vi opplevd en global pandemi og krig på europeisk jord. Andelen av verdens befolkning som lever i fullverdige demokratier er på tilbakegang, og autoritære ledere vinner eller tar makten i stadig flere land. Det digitale trusselbildet er i endring, og personopplysninger brukes blant annet i storskala cyberoperasjoner, i manipulering av innhold i digitale kanaler og til bruk i inngripende overvåking.

Historien har gang på gang vist oss at grunnleggende rettigheter ofres når en krise inntreffer. Terroren som traff verden 11. september 2001, er et eksempel på en hendelse som førte til omfattende og inngripende systemer og lover for overvåking. Koronapandemien utløste en lang rekke inngripende tiltak som begrenset menneskers frihet, og den stadig tilbakevendende terrortrusselen flytter grenser for hvor inngripende overvåkingsmetoder politi og etterretning ønsker å ta i bruk. Å forstå verdien av, og å kunne ivareta, personvern for menneskets og samfunnets integritet, blir enda viktigere i en urolig verden.

Kunstig intelligens (KI)

Det har skjedd et taktskifte innen utviklingen av kunstig intelligens. I det øyeblikket OpenAI lanserte ChatGPT, akselererte tempoet i KI-kappløpet mellom kommersielle selskap og mellom nasjoner. Kunstig intelligens har lenge vært en komponent i forbrukerteknologi og har sakte, men sikkert, også gjort sitt inntog i offentlig forvaltning. I de neste par årene, forventer vi at kunstig intelligens vil bli brukt aktivt i alle sektorer. Bruken vil bli mer avansert og gripe inn i flere samfunnsområdet enn det vi har sett tidligere.

Den nyeste KI-teknologien er eid og finansiert av store internasjonale aktører som kontrollerer en stadig større del av den grunnleggende digitale infrastrukturen globalt. Mange av selskapene er bygd på forretningsmodeller som aktivt sporer livene våre, og omgjør data til profitt.

Når et knippe store aktører dominerer markedet, skaper det et ujevnt maktforhold mellom tilbydere og de som tar i bruk teknologien. Denne dynamikken gjør det utfordrende for norske myndigheter, virksomheter og innbyggere å sette krav som ivaretar personvernet. En annen utfordring, er at kunstig intelligens i årene fremover vil kunne forsterke eksisterende forskjeller i samfunnet hvis beslutningstakerne ikke tar aktive grep for å sikre menneskevennlig og rettferdig bruk av teknologien. Algoritmer som lærer av et skjevt datagrunnlag, kan videreføre og forsterke skjevheter i samfunnet, og sårbare grupper og individer kan bli enda mer sårbare i møte med svarte bokser som tar avgjørelser som påvirker livene deres.

Myndighetsovervåking

Personvern har tradisjonelt handlet om å beskytte enkeltindividet fra myndigheters overvåking og kontroll. Uten frihet fra overvåking kan ikke frie samfunn eksistere. De siste årene har kommersiell overvåking og teknologikjempenes makt fått stadig større oppmerksomhet, men den samme teknologien er også svært interessant for offentlige myndigheter.

Flere konkrete lover og enkeltsaker illustrerer det offentliges ønsker og ambisjoner i et datadrevet samfunn. For eksempel har etterretningstjenestene fått utvidet fullmakt til å drive såkalt bulkinnsamling av data som krysser landegrensene, politiet har fått utvidet adgang til å spore IP-adresser og PST til å samle inn informasjon fra åpne kilder. Lovene har møtt sterk motstand fra ulike fagmiljøer som beskytter grunnleggende rettigheter og demokratiet, og de vil sannsynligvis bli utfordret i norske og europeiske domstoler i tiden fremover.

Demokratisk nedkjøling

Personvern som verdi og lovene som regulerer personvernet, er i stor grad individfokusert. Fundamentalt sett handler det om beskyttelse av individets rett til frihet fra uforholdsmessig overvåking, manipulering og kontroll. Personvern har imidlertid også en kollektiv dimensjon som blir stadig viktigere jo mer digitale liv vi lever. Personvern er en forutsetning for andre verdier og rettigheter slik som ytringsfrihet, tankefrihet og demokrati.

Det økende omfanget av overvåking og registrering fra både kommersielle selskap og myndigheter, gjør at vi i noen tilfeller legger bånd på oss og er mer forsiktige enn vi ellers ville vært. Dette blir ofte omtalt som «nedkjølingseffekt». Individuelle personverninngrep kan i sum skape kollektiv skade ved at vi vegrer oss fra å søke informasjon, ta i bruk tjenester eller delta i samfunnsdebatten. Dette utfordrer demokratiske verdier som ytringsfrihet og retten til å søke informasjon, og det kan hindre folk å få tilgang til tjenester de har rett på.

Digitale barn og unge

Barn og unges oppvekst blir i stadig større grad preget av at vi bruker digitale virkemidler på alle livsområder. Barn er nå selvstendige digitale brukere fra svært ung alder. Det benyttes digitale hjelpemidler i barnehage og skole, og de unge utfører det aller meste av skolearbeidet på digitale flater. Leverandørene av verktøyene er store, internasjonale selskaper og det er kompliserte avtaler som ligger til grunn.

Læringsplattformene gir muligheter for tilpasset undervisning og læringsanalyser, men bruken av slike digitale plattformer kan også medføre kompliserte personvernspørsmål. Mange aktører mangler nødvendig kompetanse, og selv kommuner med betydelig ressurser trår feil. Det er derfor et stort behov for veiledning, selvhjelps­verktøy og bistand for å bruke disse verktøyene riktig.

Vi ser en positiv utvikling, og opplever at sentrale aktører har iverksatt arbeid for å forbedre barn og unges personvern. Samtidig er det et stort behov for å øke bevisstheten og kompetansen hos både de unge selv, foreldre, omsorgspersoner og lærere, men også hos de behandlingsansvarlige, utviklere av programmer og systemer.

Reguleringsbølge fra EU

I løpet av de neste årene vil flere europeiske regelverk, inkludert Digital Services Act, Digital Markets Act, Digital Governance Act, AI Act og Data Act, bli gjeldende i Norge. Reguleringsbølgen fra EU er utformet for å temme teknologigigantenes innflytelse og legge til rette for ansvarlig digitalisering og innovasjon.

For å lette arbeidet i de grenseoverskridende sakene har EU-kommisjonen foreslått ny lovgivning om samarbeid mellom datatilsynsmyndighetene, den såkalte GDPR Procedural Regulation. Datatilsynet stiller spørsmål ved om enkelte av de foreslåtte bestemmelsene kan føre til mer byråkrati uten å lette samarbeidet, og en særlig utfordring er at flere av bestemmelsene begrenser partsinnsyn og offentlig innsynsrett. Det er viktig at datatilsynsmyndighetene i hele EØS-området er så åpne som mulig om hvordan de utfører oppgavene sine.

I løpet av de neste årene skal det også innføres nye informasjonssystemer: et system for inn- og utreiseregistrering (Entry/Exit System) og et system for fremreisetillatelse (European Travel Information and Authorisation System - ETIAS). Et rammeverk for interoperabilitet mellom EUs informasjonssystemer er også vedtatt og skal implementeres i EU- og Schengen-landene. 

EU legger viktige premisser for digitalisering og bruk av data. En gjennomgående trend ved utviklingen, er at det kan behandles flere personopplysninger, for flere formål, med tilgang for flere myndigheter og med en tettere integrasjon mellom systemene. Et interessant spørsmål i årene som kommer, er hvilken innvirkning dette vil ha på personvernforordningen og personvernet, og for Datatilsynet vil dette kunne bety både endrede og nye oppgaver.

Norge er del av et europeisk marked, og vår praksis skal være harmonisert med resten av Europa. Det er viktig at Norge følger opp reguleringer og strategier som kommer fra EU. Samtidig er det viktig å sørge for at utviklingen skjer i praksis og i tråd med ønsker og behov i det norske samfunnet.

Regelverkskompleksitet og økt ansvar

Budsjettet til Datatilsynet står ikke i forhold til oppgavene som ligger til oss. Likevel oppnår vi svært mye og står frem som en tydelig og sentral datatilsynsmyndighet både nasjonalt og internasjonalt.

I kapittelet om saksbehandling og kontroll, så vi at det er et stadig voksende saksomfang på alle områder – særlig når det gjelder antall saker inn, avviksmeldinger og innsynsbegjæringer. Dette gjør at prioriteringen av arbeidet vårt vil bli stadig tøffere. Vi ser også at sakene våre blir større og mer komplekse. Saker med høye overtredelsesgebyr har stor effekt, men krever også mer saksbehandling og oppfølging etter endelig vedtak. Slike store og komplekse saker legger ytterligere press på ressursene vi har – både i selve saksbehandlingen, men også i eventuelle etterfølgende klage- og rettsprosesser.

Datatilsynet har et bredt samfunnsoppdrag, men er en mindre virksomhet med i overkant av 60 årsverk. Ressurssituasjonen vår påvirker i særlig grad tilsynsarbeidet ettersom vi ikke har tilstrekkelige ressurser til å føre tilsyn i den grad vi ser behov for, og heller ikke i den grad virksomhetene etterspør fra oss. Datatilsynet opplever tilsyn som et effektivt verktøy med stor effekt utover tilsynsobjektet. 

De nye regelverkene fra Europa vil prege Datatilsynets arbeid i årene som kommer. Samlet sett vil dette bidra til et mer fragmentert rettsområde, som det blir enda mer krevende å navigere i.

I en verden fylt med uro og endring vil det alltid være mange eksterne faktorer som påvirker hvordan vi løser samfunnsoppdraget vårt. Vi må derfor hele veien prioritere oppgaveløsingen vår slik at vi kontinuerlig jobber for målet om best mulig personvern for alle.