Datatilsynet skal alltid være relevante i utøvelsen av sitt arbeid. Vi har et mål om å bli enda bedre i å hjelpe norske virksomheter til godt operasjonelt og funksjonelt personvern. Våren 2023 inviterte vi derfor både offentlige og private virksomheter til å gi innspill, og vi har fått innspill fra over 160 norske virksomheter om hvordan vi kan hjelpe.

- Vi er overveldet av den fantastiske og entusiastiske responsen fra virksomhetene der ute. Vi har fått inn utrolig mange gode forslag og innspill til hvordan vi kan veilede bedre. Det er viktig for oss å forstå og lytte til hvordan det operasjonelle personvernarbeidet oppleves for virksomhetene, sier Line Coll, direktør i Datatilsynet.

Vi gjennomførte 13 innspillsmøter med virksomheter, og mottok 16 skriftlige innspill. Tilsynet ba om innspill på følgende spørsmål:

1. Hvordan er det å jobbe operativt med personvern i virksomheten din? Hva er de største utfordringene?
2. Hvordan kan Datatilsynet hjelpe virksomheten og bransjen din?
3. De neste ti årene: Hvilke personvernutfordringer og -muligheter ser du for bransjen din? Hvilke satsinger/prioriteringer ville du gjort hvis du var Datatilsynet?

Virksomhetene som kom med innspill representerer et tverrsnitt av sektorer, inkludert både offentlig og privat sektor.

Hvordan er det å jobbe operativt med personvern?

De som har gitt innspill er i hovedsak aktører som jobber med personvern i en virksomhet, eller som tilbyr ulike former for rådgivingstjenester til andre virksomheter. Det overordnede inntrykket er at disse opplever personvern som et spennende fagområde å jobbe med. Det er mye som skjer både når det kommer til teknologi- og regelverksutvikling på området. Flere sier derfor at det er utfordrende å holde seg oppdatert, og opplever ofte at de jobber alene med fagfeltet i sin virksomhet.

- Det er stort spenn i hvordan virksomhetene vi snakket med jobber med personvern. Spesielt små aktører sliter med grunnleggende forståelse og kjennskap til regelverket. På den andre siden har du store, etablerte aktører som har jobbet systematisk med personvern over mange år, sier Coll.

Spesielt små og mellomstore virksomheter melder at mangel på ressurser og forankring i ledelsen gjør personvernarbeidet utfordrende. For eksempel er det i små kommuner utfordrende å ivareta personvernet selv om kommunen forvalter mange personopplysninger om innbyggere. Mange virksomheter, både store og små, sier at det er vanskelig å nå ut i alle ledd i virksomheten med rutiner og kompetanse på personvernfeltet.

Én tilbakemelding som flere av aktørene nevnte var at det er vanskelig å få til en risikobasert tilnærming i praksis. Det er vanskelig å vite hva som er godt nok og hva de skal prioritere av personverntiltak. Mange opplever at noen temaer får uforholdsmessig stort fokus internt i virksomheten – som for eksempel Schrems 2-avgjørelsen – og stiller spørsmål ved om det er det som gir best personverneffekt.

Hvordan kan Datatilsynet hjelpe?

- Vi er veldig glade for de positive tilbakemeldingene vi har fått på det vi gjør bra – nettsider, veiledningstjeneste, synlighet i media og så videre. Men vi er kanskje enda mer glad for alle de konkrete og konstruktive forslagene til hvordan vi kan hjelpe enda mer, sier Coll.

Virksomhetene er tydelige på at de ønsker mer praktisk veiledning. De ønsker mer eksempler, maler, sjekklister, opplæringsmateriell og at vi er så konkrete som det lar seg gjøre. På ønskelisten står også flere veiledningsmøter, samt enklere tilgang til spesialister på ulike fagfelt i tillegg til den generelle veiledningstjenesten. Det er også ønske om mer dialogbasert veiledning, slik som den regulatoriske sandkassen som Datatilsynet har hatt et par år.

Mange oppfordrer tilsynet til å bruke saksbehandling og tilsyn på en pedagogisk måte. Dette kan også oppnås ved å kommunisere innholdet i vedtak på en måte som kommer flere til gode. Og å bruke tilsyn strategisk for å sette agenda og å vise virksomheter hva de bør prioritere for å få til godt personvern.

Det er også et tydelig behov for mer differensiert veiledning – små virksomheter ønsker veiledning direkte rettet mot dem, og det samme gjelder store virksomheter. Tilsynet har fått en lang smørbrødliste over temaer som virksomhetene ønsker mer veiledning om. Her er noen eksempler: sosiale medier, styreansvar, overføring til tredjeland, databehandleravtaler, risikobasert tilnærming og bestillerkompetanse.

Utfordringer og muligheter fremover

Da vi spurte virksomhetene om hvilke utfordringer og muligheter de ser for seg de neste ti årene, var kunstig intelligens på alles lepper. Men også andre teknologier som IoT, blokkjede, skytjenester og generell digitalisering av samfunnet ble nevnt. Det var enighet om at personvern bare blir enda viktigere fremover fordi behandling av personopplysninger er sentralt i alle deler av samfunn og næringsliv.

Virksomhetene peker også på en økende kompleksitet, både når det kommer til regelverk, teknologi og hvordan alt dette påvirker mennesker. Mange peker på viktigheten av å se helheten og flere viste til Personvernkommisjonens forslag om en nasjonal personvernpolitikk.

Mange har høye forventinger til Datatilsynet. I tillegg til å gi virksomheter god og praktisk veiledning er det en forventing om at Datatilsynet er i forkant og bidrar til å gjøre komplekse temaer enklere å forholde seg til. En av innspillene lød «Datatilsynet som vaktbikkje blir enda mer viktig.» Flere mente at personvernet vil være under press de neste ti årene og at Datatilsynet har et viktig oppdrag og ansvar for å ta kampen for individets rettigheter.

- Vi er godt i gang med å sortere og bearbeide innspillene. Jeg ser frem til arbeidet vi skal gjøre i høst med å prioritere tiltakene og lage oppfølgingsplaner. Vi vil bruke innspillene i arbeidet vårt i årene fremover, sier Coll.

Tilsynet skal bruke innspillene til å tilpasse veiledningsarbeidet sitt og i arbeidet med den nye strategien som skal gjelde fra 2024. Vi kommer med oppdatert informasjon om arbeidet utover høsten.