Vurdering av fremtidsutsikter
Vi har gjennom årsrapporten omtalt interne forhold i virksomheten som vil kunne påvirke Datatilsynets måloppnåelse fremover. Vi vil derfor her gi en overordnet omtale av noen eksterne faktorer som kan påvirke evnen vår til å løse samfunnsoppdraget vårt på sikt, og hvilke mulige konsekvenser disse kan få for måloppnåelse og resultater fremover.
En urolig verden
De siste årene har vi opplevd en global pandemi og krig på europeisk jord. Andelen av verdens befolkning som lever i fullverdige demokratier er på tilbakegang, og autoritære ledere vinner eller tar makten i stadig flere land. Det digitale trusselbildet er i endring, og personopplysninger brukes blant annet i storskala cyberoperasjoner, i manipulering av innhold i digitale kanaler og til bruk i inngripende overvåking.
Historien har gang på gang vist oss at grunnleggende rettigheter ofres når en krise inntreffer. Terroren som traff verden 11. september 2001, er et eksempel på en hendelse som førte til omfattende og inngripende systemer og lover for overvåking. Koronapandemien utløste en lang rekke inngripende tiltak som begrenset menneskers frihet, og den stadig tilbakevendende terrortrusselen flytter grenser for hvor inngripende overvåkingsmetoder politi og etterretning ønsker å ta i bruk. Å forstå verdien av, og å kunne ivareta, personvern for menneskets og samfunnets integritet, blir enda viktigere i en urolig verden.
Kunstig intelligens (KI)
Det har skjedd et taktskifte innen utviklingen av kunstig intelligens. I det øyeblikket OpenAI lanserte ChatGPT, akselererte tempoet i KI-kappløpet mellom kommersielle selskap og mellom nasjoner. Kunstig intelligens har lenge vært en komponent i forbrukerteknologi og har sakte, men sikkert, også gjort sitt inntog i offentlig forvaltning. I de neste par årene, forventer vi at kunstig intelligens vil bli brukt aktivt i alle sektorer. Bruken vil bli mer avansert og gripe inn i flere samfunnsområdet enn det vi har sett tidligere.
Den nyeste KI-teknologien er eid og finansiert av store internasjonale aktører som kontrollerer en stadig større del av den grunnleggende digitale infrastrukturen globalt. Mange av selskapene er bygd på forretningsmodeller som aktivt sporer livene våre, og omgjør data til profitt.
Når et knippe store aktører dominerer markedet, skaper det et ujevnt maktforhold mellom tilbydere og de som tar i bruk teknologien. Denne dynamikken gjør det utfordrende for norske myndigheter, virksomheter og innbyggere å sette krav som ivaretar personvernet. En annen utfordring, er at kunstig intelligens i årene fremover vil kunne forsterke eksisterende forskjeller i samfunnet hvis beslutningstakerne ikke tar aktive grep for å sikre menneskevennlig og rettferdig bruk av teknologien. Algoritmer som lærer av et skjevt datagrunnlag, kan videreføre og forsterke skjevheter i samfunnet, og sårbare grupper og individer kan bli enda mer sårbare i møte med svarte bokser som tar avgjørelser som påvirker livene deres.
Myndighetsovervåking
Personvern har tradisjonelt handlet om å beskytte enkeltindividet fra myndigheters overvåking og kontroll. Uten frihet fra overvåking kan ikke frie samfunn eksistere. De siste årene har kommersiell overvåking og teknologikjempenes makt fått stadig større oppmerksomhet, men den samme teknologien er også svært interessant for offentlige myndigheter.
Flere konkrete lover og enkeltsaker illustrerer det offentliges ønsker og ambisjoner i et datadrevet samfunn. For eksempel har etterretningstjenestene fått utvidet fullmakt til å drive såkalt bulkinnsamling av data som krysser landegrensene, politiet har fått utvidet adgang til å spore IP-adresser og PST til å samle inn informasjon fra åpne kilder. Lovene har møtt sterk motstand fra ulike fagmiljøer som beskytter grunnleggende rettigheter og demokratiet, og de vil sannsynligvis bli utfordret i norske og europeiske domstoler i tiden fremover.
Demokratisk nedkjøling
Personvern som verdi og lovene som regulerer personvernet, er i stor grad individfokusert. Fundamentalt sett handler det om beskyttelse av individets rett til frihet fra uforholdsmessig overvåking, manipulering og kontroll. Personvern har imidlertid også en kollektiv dimensjon som blir stadig viktigere jo mer digitale liv vi lever. Personvern er en forutsetning for andre verdier og rettigheter slik som ytringsfrihet, tankefrihet og demokrati.
Det økende omfanget av overvåking og registrering fra både kommersielle selskap og myndigheter, gjør at vi i noen tilfeller legger bånd på oss og er mer forsiktige enn vi ellers ville vært. Dette blir ofte omtalt som «nedkjølingseffekt». Individuelle personverninngrep kan i sum skape kollektiv skade ved at vi vegrer oss fra å søke informasjon, ta i bruk tjenester eller delta i samfunnsdebatten. Dette utfordrer demokratiske verdier som ytringsfrihet og retten til å søke informasjon, og det kan hindre folk å få tilgang til tjenester de har rett på.
Digitale barn og unge
Barn og unges oppvekst blir i stadig større grad preget av at vi bruker digitale virkemidler på alle livsområder. Barn er nå selvstendige digitale brukere fra svært ung alder. Det benyttes digitale hjelpemidler i barnehage og skole, og de unge utfører det aller meste av skolearbeidet på digitale flater. Leverandørene av verktøyene er store, internasjonale selskaper og det er kompliserte avtaler som ligger til grunn.
Læringsplattformene gir muligheter for tilpasset undervisning og læringsanalyser, men bruken av slike digitale plattformer kan også medføre kompliserte personvernspørsmål. Mange aktører mangler nødvendig kompetanse, og selv kommuner med betydelig ressurser trår feil. Det er derfor et stort behov for veiledning, selvhjelpsverktøy og bistand for å bruke disse verktøyene riktig.
Vi ser en positiv utvikling, og opplever at sentrale aktører har iverksatt arbeid for å forbedre barn og unges personvern. Samtidig er det et stort behov for å øke bevisstheten og kompetansen hos både de unge selv, foreldre, omsorgspersoner og lærere, men også hos de behandlingsansvarlige, utviklere av programmer og systemer.
Reguleringsbølge fra EU
I løpet av de neste årene vil flere europeiske regelverk, inkludert Digital Services Act, Digital Markets Act, Digital Governance Act, AI Act og Data Act, bli gjeldende i Norge. Reguleringsbølgen fra EU er utformet for å temme teknologigigantenes innflytelse og legge til rette for ansvarlig digitalisering og innovasjon.
For å lette arbeidet i de grenseoverskridende sakene har EU-kommisjonen foreslått ny lovgivning om samarbeid mellom datatilsynsmyndighetene, den såkalte GDPR Procedural Regulation. Datatilsynet stiller spørsmål ved om enkelte av de foreslåtte bestemmelsene kan føre til mer byråkrati uten å lette samarbeidet, og en særlig utfordring er at flere av bestemmelsene begrenser partsinnsyn og offentlig innsynsrett. Det er viktig at datatilsynsmyndighetene i hele EØS-området er så åpne som mulig om hvordan de utfører oppgavene sine.
I løpet av de neste årene skal det også innføres nye informasjonssystemer: et system for inn- og utreiseregistrering (Entry/Exit System) og et system for fremreisetillatelse (European Travel Information and Authorisation System - ETIAS). Et rammeverk for interoperabilitet mellom EUs informasjonssystemer er også vedtatt og skal implementeres i EU- og Schengen-landene.
EU legger viktige premisser for digitalisering og bruk av data. En gjennomgående trend ved utviklingen, er at det kan behandles flere personopplysninger, for flere formål, med tilgang for flere myndigheter og med en tettere integrasjon mellom systemene. Et interessant spørsmål i årene som kommer, er hvilken innvirkning dette vil ha på personvernforordningen og personvernet, og for Datatilsynet vil dette kunne bety både endrede og nye oppgaver.
Norge er del av et europeisk marked, og vår praksis skal være harmonisert med resten av Europa. Det er viktig at Norge følger opp reguleringer og strategier som kommer fra EU. Samtidig er det viktig å sørge for at utviklingen skjer i praksis og i tråd med ønsker og behov i det norske samfunnet.
Regelverkskompleksitet og økt ansvar
Budsjettet til Datatilsynet står ikke i forhold til oppgavene som ligger til oss. Likevel oppnår vi svært mye og står frem som en tydelig og sentral datatilsynsmyndighet både nasjonalt og internasjonalt.
I kapittelet om saksbehandling og kontroll, så vi at det er et stadig voksende saksomfang på alle områder – særlig når det gjelder antall saker inn, avviksmeldinger og innsynsbegjæringer. Dette gjør at prioriteringen av arbeidet vårt vil bli stadig tøffere. Vi ser også at sakene våre blir større og mer komplekse. Saker med høye overtredelsesgebyr har stor effekt, men krever også mer saksbehandling og oppfølging etter endelig vedtak. Slike store og komplekse saker legger ytterligere press på ressursene vi har – både i selve saksbehandlingen, men også i eventuelle etterfølgende klage- og rettsprosesser.
Datatilsynet har et bredt samfunnsoppdrag, men er en mindre virksomhet med i overkant av 60 årsverk. Ressurssituasjonen vår påvirker i særlig grad tilsynsarbeidet ettersom vi ikke har tilstrekkelige ressurser til å føre tilsyn i den grad vi ser behov for, og heller ikke i den grad virksomhetene etterspør fra oss. Datatilsynet opplever tilsyn som et effektivt verktøy med stor effekt utover tilsynsobjektet.
De nye regelverkene fra Europa vil prege Datatilsynets arbeid i årene som kommer. Samlet sett vil dette bidra til et mer fragmentert rettsområde, som det blir enda mer krevende å navigere i.
I en verden fylt med uro og endring vil det alltid være mange eksterne faktorer som påvirker hvordan vi løser samfunnsoppdraget vårt. Vi må derfor hele veien prioritere oppgaveløsingen vår slik at vi kontinuerlig jobber for målet om best mulig personvern for alle.