Til Datatilsynet

Til startsiden til Datatilsynet

Veileder

Årsmelding for 2014

Hva rører seg på personvernfeltet? Hva har Datatilsynet jobbet med i året som gikk, og hvilke utfordringer ser vi nå - og fremover?

Denne årsmeldingen inneholder hovedtemaene fra årsrapporten vår til Kommunal- og moderniserings­departementet.

Skriv ut veileder Last ned PDF

Leders beretning

Aldri har det vært mer oppmerksomhet om personvernspørsmål og aldri har det vært større krav til Datatilsynet. Etter å ha rundet av 2014 er det derfor viktig å reflektere over hva den store oppmerksomheten skyldes, og om vi klarer å leve opp til de kravene så mange samfunnsaktører har til oss.


Året 2013 ble preget av Edward Snowdens avsløringer som sendte sjokkbølger inn i de øverste politiske sirkler. Det er ikke hverdags­kost at personvern er aller høyest på den politiske dagsorden, at personvern skaper diplomatisk krisetilstand mellom USA og Tyskland, og at et samlet politisk Norge er enig i at vår nærmeste allierte gikk alt for langt i sin overvåking av enkeltmennesker (og, for ordens skyld, også politikere).

Hva har så 2014 bragt med seg på personvernfronten? Var Snowden-avsløringene kun er lite blaff i seilet som ga personvernskuta litt ekstra fart for en kort periode? Etter min mening er svaret nei. Oppmerksomheten om personvern er fortsatt stor.

Øke kjennskap til plikter og rettigheter

Flere nå enn tidligere gir uttrykk for at personvern er en viktig verdi. Det ser vi i vårt daglige arbeid. Og det er til stor hjelp ettersom et av våre viktigste mål er å øke kjennskapen til lovfestede rettigheter og plikter både i befolkningen og i virksomheter. Da vi startet arbeidet vårt med personvern i skolen og gjennomførte de første skole­tilsynene, spredte nyheten seg som ild i tørt gress blant ledere i norske skoler.

Dette kan selvsagt skyldes at mange ble usikre og kanskje til og med redde for hva vi ville finne på tilsyn. Etter vår erfaring skyldes dette imidlertid snarere at mange kastet seg rundt fordi de syntes at personvern var viktig, at elevenes opplysninger skulle være godt sikret, og at det faktisk var helt vesentlig å ha en oversikt over hvilke opplysninger en skole har om hver enkelt elev.

Innebygd personvern

De siste årene har vi jobbet hardt for å fremme prinsippene for innebygd personvern. Dette betyr at personvern skal bygges inn i de teknologiske løsningene helt fra starten av, ja faktiske helt fra et IKT-prosjekt er på tegnebrettet for første gang. Erfaringer har vist at dette er svært mye billigere og gir bedre personvern enn å inkludere personvernløsninger på et senere tidspunkt.

Jeg føler at dette arbeidet har båret frukter. Begrepet innebygd personvern er nå i alminnelig bruk blant utviklere. Da Stortinget behandlet Datatilsynets årsmelding for 2013, trakk flere representanter fram nettopp dette viktige prinsipper. Dette er særlig viktig, ettersom det offentlig etter vår oppfatning bør ligge i front når det gjelder å jobbe etter prinsippene for innebygd personvern.

Digitalisering av offentlig sektor

Et annet område hvor jeg synes vi har lykkes godt, er i arbeidet med digitalisering av offentlig sektor. Det pågår nå en lang rekke prosjekter, fra digital postkasse til borgerkort, der det er viktig å ivareta personvernet. Mer samhandling, mer deling av opplysninger og gjenbruk utfordrer automatisk viktige personvernprinsipper slik som formåls­bestemthet og dataminimalisering.

Vi opplever at det er et betydelig ønske om å snakke med Datatilsynet og å ta mot våre råd. I nær sagt alle prosesser er det snakk om innebygd personvern. Datatilsynets ønske for 2015 er at vi blir medlem i det organet som skal bidra til samordning av digitaliserings­prosessene i offentlig sektor – SKATE. Dette ville være det endelig beviset på at personvern blir tatt på alvor i digitaliseringen som skjer i offentlig sektor.

Internasjonalt arbeid

Det er viktig for Datatilsynet å være aktive på den internasjonale arenaen. At Norge ikke er medlem i EU setter selvsagt noen begrensninger på vår innflytelse, men desto viktigere blir det å vise aktivitet i andre fora.

For to år siden satte vi som et strategisk mål å bli en ledende internasjonal personvernmyndighet på spørsmål knyttet til personvern og Big Data. Vi skrev først en norsk rapport om temaet, og påtok oss deretter å skrive en rapport for den såkalte Berlin-gruppen, en internasjonal gruppe som jobber med aktuelle personvernspørsmål. I 2014 kronet vi arbeidet med å fremme, og få vedtatt, en resolusjon på den internasjonale personvernkonferansen, med unison støtte fra øvrige lands person­vern­myndigheter.

Vi er faktisk ganske stolte over å ha fått til dette, og det viser hvor viktig det er å tenke langsiktig, og ikke minst å være villig til å påta seg arbeid også i internasjonal sammenheng.

Personvern i folks hverdag

Datatilsynet har som mål å gjøre personvern mer kjent og forståelig for folk flest, i deres hverdag. Og det er unektelig slik at personvernutfordringer treffer enkelt­mennesker i større grad enn tidligere. Mulig­hetene for å overvåke og kontrollere hva folk gjør er nærmest ubegrenset. De sosiale mediene er en del av livene våre.

Særlig bekymringsfullt er det at vi ser en ytterligere økning i antall henvend­elser som gjelder kontrolltiltak i arbeidslivet. Det kunne jo vært positivt, men dessverre er det stadig færre arbeidsgivere som tar kontakt før de iverksetter kontrolltiltak, og stadig flere arbeidstagere som tar kontakt fordi de føler seg urettmessig overvåket og kontrollert. Det burde jo ha vært motsatt!

Mange utfordringer – også i det nye året

Selv om personvernvernet trues fra mange kanter er jeg godt fornøyd med hva vi i Datatilsynet har fått til i 2014. Jeg har inntrykk av at vi blir oppfattet som en viktig samarbeidspartner for stadig flere aktører. Vi har fått gjennomslag for prinsippene om innebygd personvern og folk ringer og skriver til oss for å få råd og hjelp. Datatilsynets stemme er tydelig i den offentlige debatten om personvern og overvåking. Gjennom tilsynsvirksomheten bidrar vi til å snu hele sektorer og få dem til å ivareta personvernet på en bedre måte enn tidligere. Vårt kommunikasjonsarbeid gjør også folk i bedre stand til å ta vare på sitt eget personvern.

Ressursbruk

I en virksomhet som vår er det viktig å bruke ressursene riktig. Dersom alle saker skal behandles like grundig, alle sektorer vies like stor oppmerksomhet og alle mediehenvendelser tas like seriøst, har vi en umulig oppgave. Derfor jobber vi stadig for å effektivisere saksbehandlingen og tilsynsmetodikken vår.

Vi har også et gjennomtenkt forhold til når vi skal bruke de ulike virkemidlene vi har til disposisjon, og hvordan vi fordeler ressursene på disse. Rundt 35 prosent av personalressursene våre går med til å kontrollere om lover og regler følges og annen saksbehandling, og 27 prosent benyttes til å gi veiledning, samt andre kommunikasjonsaktiviteter. Vi mener selv dette er en riktig fordeling av ressursene, og det som gir best effekt og måloppnåelse.

Ønsker et mer moderne lovverk velkommen

2015 er året da EUs personvernforordning etter all sannsynlighet blir vedtatt. Dagens regelverk er fra 2000, altså fra før både Google, Twitter og Facebook. Og selv om lovverket har tålt tidens tann godt, er det viktig å få på plass et nytt. Dette vil bety en stor omstilling også for Datatilsynet. Vi må gjennomgå vår praksis og vår måte å jobbe på. Dette gleder vi oss virkelig til, og jeg er trygg på at Datatilsynet kan gjøre en enda bedre jobb med et moderne lovverk i ryggen. 

Bjørn Erik Thon
Direktør

Introduksjon til virksomheten og hovedtall

Datatilsynet ble opprettet i 1980, og er et uavhengig forvaltningsorgan underlagt Kommunal- og moderniseringsdepartementet (KMD). Vårt hovedmål er å bidra til at personvernlovgivningen etterleves, og at alle skal ha beskyttelse i tråd med gjeldende personopplysningsregelverk. Vi skal også fremme personvern som en sentral verdi i samfunnet. I dette arbeidet bruker vi ombudsrollen vår ved å ta i bruk ulike formidlingskanaler, og delta i offentlig ordskifte om personvern.


Personvern handler enkelt sagt om retten til et privatliv og retten til å bestemme over egne personopplysninger. Personvern er en menneskerettighet som skal sikre hensynet til den enkeltes personlige integritet, men det er også en ideell interesse og er svært viktig for å sikre felles goder i et demokratisk samfunn.

Det vil for eksempel være uheldig dersom enkeltpersoner begrenser sin deltagelse i den åpne meningsutvekslingen og politiske aktiviteten fordi de frykter at opplysninger om personlige forhold vil bli trukket frem og gjort til allmenn oppmerksomhet. Eller dersom de setter begrensninger på seg selv fordi de er redde for at myndighetene registrerer og lagrer opplysninger om deres kommunikasjon med andre, om ferdselsmønster, interesser eller uttrykk for holdninger. Datatilsynet må derfor jobbe aktivt for å oppnå en god ivaretagelse av personvernet i avveiingen mot andre samfunnsinteresser.

Målsettinger

For å realisere hovedmålet har Datatilsynet prioritert følgende hovedaktiviteter. Vi skal:

  • skape oppmerksomhet om behov for personvern og gjøre personvernspørsmål mer relevant i folks hverdag.
  • øke kjennskapen til lovfestede plikter og rettigheter både i befolkningen og i virksomheter.
  • stimulere til at personvernhensyn blir tatt tidlig i utviklingen av nye løsninger eller nytt regelverk, og fremme bruk av innebygd personvern.
  • gjennomføre tilsyn i prioriterte sektorer basert på risikoanalyse, systematisere og kommunisere funn fra tilsynene til aktuelle målgrupper, samt følge opp etterlevelse av pålegg.
  • delta aktivt i internasjonalt personvern­arbeid.

I 2014 har Datatilsynet valgt å fokusere særlig på personvern i helsesektoren, skole- og utdanningssektoren, justissektoren og ivaretagelse av personvern ved digitalisering av offentlig sektor. 

Virkemidler

For å nå den overordnede målsettingen har vi i hovedsak fem ulike virkemidler til disposisjon. Ved å ha kontinuerlig opp­merksomhet på hvordan vi kombinerer virkemidlene våre, kan vi oppnå en betydelig bedre effekt enn om vi benytter hvert virkemiddel alene.

Saksbehandling som virkemiddel

Gjennom saksbehandling tilegner vi oss erfaring og kunnskap om hvordan personvern­hensyn i praksis ivaretas. Spesielt skal vi ha oppmerksomheten rettet mot å identifisere systemfeil i virksomheter og bransjer.

Saksbehandling som virkemiddel har særlig vært brukt på sektorer der vi mottar mange henvendelser og klager.

Tilsynsvirksomhet som virkemiddel

Gjennomføringen av tilsyn gir oss et fakta­basert grunnlag for kommunikasjon til ulike bransjer og relevante aktører. Tilsyns­virke­middelet skal benyttes aktivt for å under­søke og avklare praksis, og til å følge opp konkrete problemstillinger i enkeltsaker. En aktiv tilstedeværelse gir signal om at regel­verket skal etterleves og at etterlevelsen blir kontrollert. Tilsynsvirksomheten inkluderer også bruk av kontrollhjemler i saks­behandlingen, som for eksempel når vi følger opp enkeltklager gjennom krav om redegjørelse.

Ved å gjennomføre tilsyn når nye løsninger tas i bruk, men før en praksis har satt seg, kan tilsynene medvirke til å forme et område videre.

Noen ganger benyttes kontrollene for å få bedre oversikt over et område eller en sektor, og for å skaffe et bedre grunnlag for å ta i bruk de andre virkemidlene. Andre ganger benyttes de for å holde oppe et trykk på en bestemt sektor – gjerne innenfor et bestemt tema.

Kommunikasjon som virkemiddel

For at øvrige virkemidler skal gi best mulig effekt, er kommunikasjonsvirksomheten et sentralt virkemiddel. Datatilsynet prøver derfor i økende grad å integrere kommunikasjons­­­virksomheten med de øvrige virkemidlene vi har til disposisjon. En del av kommunikasjonen og dialogen vår skjer derfor gjennom veiledningstjenesten, veilednings­møter og annen dialog med rammesettere og beslutningstakere.

Datatilsynet skal veilede og informere om personvernlovgivning og forvaltningspraksis. Kommunikasjonsvirksomheten benyttes derfor i stor grad for å spre informasjon om personvernets tilstand, samt til å skape debatt og gi uttrykk for synspunkter vi måtte ha som forvaltnings- og tilsynsorgan, og i rollen som ombud. Kommunikasjon har naturlig nok, vært det dominerende virkemiddelet ved utøvelse av vår ombudsrolle. Dette blir blant annet gjort ved utspill og kommentarer overfor mediene, foredragsvirksomhet og blogg­innlegg.

Kommunikasjon brukes med andre ord som et aktivt virkemiddel både ved utøvelse av Datatilsynets ombudsrolle, men også i rollen som forvaltningsorgan.

Organisatoriske, tekniske og økonomiske virkemidler

Deltagelse i ulike råd og utvalg er et godt virkemiddel for best å kunne påvirke aktører til å etablere god praksis. Det samme gjelder deltagelse i arbeid knyttet til personvern­fremmende teknologi og regelverksutvikling. Disse virkemidlene egner seg særlig på områder der det pågår større reformer og utviklingsarbeid, særlig dersom de er teknologidrevet. Stortingsmeldingen «Personvern – utsikter og utfordringer» fastsetter for eksempel et prinsipielt mål om innebygd personvern i alle sektorer. Det har derfor vært viktig å minne beslutningstagere om dette prinsippet i viktige prosesser.

Personvernombudsordningen er også et utpreget organisatorisk virkemiddel.

Når det gjelder overtredelsesgebyr og tvangsmulkt, er det økonomiske virkemidler som i økende grad tas i bruk fra Datatilsynets side.

Kartlegging, utredning og analyse som virkemiddel

Utredninger og kartlegginger er en viktig kilde til kunnskap. Resultat av dette arbeidet legges til grunn ved bruk av øvrige virkemidler.

Personvernundersøkelsen som ble gjennomført i 2013, og sluttført og publisert i 2014, har for eksempel gitt et godt grunnlag for kunnskap og refleksjon omkring publikums holdninger og forventninger til ulike problemstillinger rundt personvern. I tillegg har undersøkelsen ved flere anledninger blitt benyttet som grunnlag for omtale i mediene. Utredninger og kartlegginger fungerer på samme måte. De gir dybde til ulike tema vi jobber med og kan være med på å skape oppmerksomhet i media, samt benyttes i vår argumentasjon både nasjonalt og internasjonalt.

Ressurs- og virkemiddelbruk

Tabellen under viser hvordan vi i hovedsak vurderer at Datatilsynet har gjort bruk av de 41 årsverkene vi har hatt til disposisjon i 2014.

Om lag 35 prosent av personalressursene har gått med til tilsynsvirksomhet, behandling av konsesjonssøknader, eller til øvrig saks­behandling. Dette utgjør i underkant av 15 årsverk. I kategorien «tilsynsvirksomhet» inngår både såkalte stedlige og brevlige tilsyn, samt saksbehandling hvor det benyttes kontrollhjemler i personvernlovgivningen.

Vi legger stor vekt på kommunikasjon og veiledning, og har derfor benyttet nesten en fjerdedel av personalressursene til dette, det vil si om lag ti årsverk. Her inngår vår juridiske og teknologiske veiledning, omfattende fore­drags­virksomhet, mediekontakt og annen kommunikasjonsvirksomhet.

Til personvernombudsordningen anslår vi ressursbruken til tre prosent, det vil si noe over ett årsverk, mens vi til utredning og analyse bruker noe over to årsverk.

Til vårt internasjonale arbeid bruker vi omlag halvannet årsverk (seks prosent).

I kategorien «fellesfunksjoner» inngår arkiv, personal- og økonomifunksjoner, IKT-drift og andre administrative oppgaver. Også kompetansebygging, strategi- og planarbeid og lederressursene regnes inn her. De 28 prosentene som går til slike interne felles­funksjoner utgjør nærmere tolv årsverk. Ett av disse kan knyttes til håndteringen av innsynsbegjæringer etter offentlighetsloven.

Vi vurderer denne ressursbruken som hensiktsmessig for 2014. Det har gått med en del ressurser til å endre vår organisasjonsmodell. Dette har naturlig nok gått på bekostning av vår saksbehandlings­kapasitet, og det har særlig gitt seg utslag i mindre tilsynsvirksomhet enn normalt. Vi regner med å realisere effektiviserings­gevinster fra den nye organisasjonsmodellen ut over 2015.

Årets viktigste aktiviteter

I 2014 har Datatilsynet valgt å særlig prioritere personvern i helsesektoren, skole- og utdanningssektoren, justissektoren og digitaliseringen av offentlig sektor. I de neste kapitlene beskrives i tillegg aktiviteten på en rekke andre områder, både nasjonalt og internasjonalt.


Vurdering av fremtidsutsikter

I forrige kapittel pekte vi på noen spesifikke utfordringer knyttet til enkelte samfunnsområder og sektorer som er blitt spesielt prioritert hos oss i 2014. Her vil vi skissere andre og mer overordnede forhold vi mener vil få særlig betydning for evnen vår til å oppfylle oppdraget vårt og målene våre.


Internasjonal utvikling

For det første er den internasjonale utviklingen viktig. Nordmenn bruker i stor utstrekning tjenester fra selskaper som ligger utenfor Europa, og da særlig i USA. I tillegg vedtas helt sentrale lover på personvern­området i EU, der Norges rolle er begrenset. Vi må derfor utvikle strategier som gir oss mulighet for påvirkning, selv om beslutningene treffes utenfor landets grenser.

For oss i Datatilsynet er det viktig å holde oss orientert om utviklingen i USA, og å ha jevn dialog med de store teknologiselskapene som har sine hovedkontorer der. Dette gjør vi først og fremst gjennom deres representanter i Norge, men også ved at vi med noen års mellomrom har møter med selskapsledelse på høyt nivå i USA. Vi ser også at Artikkel 29-gruppen (les mer under Internasjonalt arbeid) tar opp konkrete saker mot disse selskapene. Det er viktig at vi fra norsk side, så langt ressursene tillater, også påtar oss arbeid for internasjonale organer. Dette gjorde vi blant annet da vi for noen år siden ga viktige innspill til det irske datatilsynet når de førte tilsyn med Facebook.

Vi har også valgt å ta en sentral rolle i utviklingen av den internasjonale personvern­politikken når det gjelder Big Data (stordata). På vegne av Berlin-gruppen (les mer under Internasjonalt arbeid) påtok vi oss å utarbeide en rapport (en såkalt «opinion») om person­vernutfordringer ved bruk av stordata, og hvordan disse utfordringene kan møtes. Rapporten ble senere godkjent også av Artikkel 29-gruppen, og dannet videre grunnlag for en erklæring fra den inter­nasjonale personvernkonferansen høsten 2014. Dette var første gang at vi fra det norske Datatilsynets side har tatt denne typen initiativ.

Dette er en arbeidsmetodikk vi ønsker å utvikle videre. Norge er ikke medlem i EU, og har dermed liten formell innflytelse på de beslutningsprosessene som foregår i de sentrale organene der. Av den grunn er det desto viktigere at vi, gjennom å stille oss til disposisjon for å delta i utviklingen av policy­dokumenter, likevel kan påvirke inter­nasjonale prosesser som er av betydning for personvernet til norske borgere. Vi har som følge av dette som mål at vi skal påta oss rollen som såkalt «rapportør» for en ny utredning for Artikkel 29-gruppen. Temaet for en slik utredning er foreløpig ikke avklart.

Vi har også som mål å være pådriver i samarbeidet mellom de nordiske personvern­myndig­hetene. En av grunnene til at vi ser dette samarbeidet som viktig, er at en viktig vei til påvirkning i EU, nettopp går gjennom de nordiske landene som sitter godt posisjonert i EUs organer.

EUs personvernforordning

EUs personvernforordning vil gi oss nye muligheter. Det nye lovverket vektlegger i større grad enn tidligere de såkalte system­pliktene, slik som strengere krav til avviks­håndtering. På flere områder vil også den enkelte borgers personvern bli styrket. Dette gjelder for eksempel gjennom «retten til å bli glemt» og ved «dataportabilitet», som er retten til å hente ut egne personopplysninger fra en tjeneste, og så eventuelt flytte disse over til en annen tjenesteleverandør. I personvernforordningen vektlegges også prinsippet om innebygd personvern. Dette vil gjøre det enklere for oss å nå målet om at dette i større grad skal bli implementert i praksis hos norske virksomheter.

Forordningen gir imidlertid også Datatilsynet utfordringer. Det vil bli opprettet et nytt organ kalt European Data Protection Board (EDPB), som vil få en sentral rolle blant annet i tolkning av personvernregel­verket. Norge vil trolig kun få observatørstatus i dette organet. Det blir derfor vesentlig for oss å finne strategier for å kunne få mer innflytelse. Vi har allerede lagt en strategi for å øke aktivitets­nivået vårt i Artikkel 29-gruppen. Dette er viktig, ettersom EDPB vil ha mange av de samme medlemmene som Artikkel 29-gruppen. Ved å være aktive i denne gruppen, og påta oss arbeid, vil vår stemme også bli bedre hørt i det nye organet.

Det nye felles personvernregelverket i Europa gjør at vi må gå gjennom hele vår juridiske praksis og alle våre arbeidsmetoder. Dette innebærer nye og spennende utfordringer for Datatilsynet, noe vi stiller oss udelt positive til å ta fatt på. Arbeidet fordrer imidlertid at vi tilføres økte ressurser. Dette trengs blant annet til å utvikle elektroniske løsninger for å håndtere avviksrapporteringer fra virksomhetene, og til informasjonstiltak overfor virksomheter og befolkningen forøvrig.

Den teknologiske utviklingen

Det er avgjørende for Datatilsynet å være godt oppdatert på den teknologiske utviklingen. Teknologi er i dag helt sentralt i alle sektorer, og for alle profesjoner. Alle ansatte i Datatilsynet må derfor være godt oppdatert på nye teknologitrender. For å klare dette må vi bygge kompetanse internt, delta i internasjonalt arbeid, dra på studiereiser til utlandet og ha tett kontakt med norske teknologibedrifter. Tett og god kontakt med forsknings- og utviklingsmiljøer er også sentralt.

Økende etterspørsel etter tilsynets kompetanse

Vi opplever en økende etterspørsel etter Datatilsynets kompetanse og ressurser. Vi mottar stadig flere henvendelser fra privatpersoner, vi får flere foredrags­henvendelser, svært mange virksomheter vil ha våre uttalelser og råd, og vi opplever jevnt stor pågang fra media. Samtidig gjennomfører vi årlig om lag 70 tilsyn, og behandler en lang rekke konsesjonssaker og enkeltsaker. Vi inviteres med i ulike fora for å gi våre innspill, og mange offentlige etater vil høre vår mening.

Nødvendig med handlingsrom

Det er selvfølgelig svært positivt at det er interesse om personvernspørsmål, og at vår kompetanse blir verdsatt. Samtidig må vi ha klare prioriteringer for arbeidet vårt. Det er derfor viktig at Datatilsynet har handlingsrom til å nedprioritere enkeltsaker og områder som vi etter grundige vurderinger mener det ikke er riktig å prioritere. Dersom alle saker skal behandles like grundig, og alle områder vies like stor oppmerksomhet, står vi overfor en umulig oppgave. Vi ser samtidig at vi må jobbe for å fjerne tidstyver i egen virksomhet, effektivisere egne arbeidsmetoder og sørge for å rekruttere medarbeidere med høy kompetanse.

Datatilsynet er en liten organisasjon som står overfor de samme kravene og forventningene som de store statsetatene når det gjelder for eksempel de statlige fellesføringene og krav til rapportering, modernisering og utvikling. Vi har et begrenset økonomisk handlingsrom. Dette gjør det vanskelig for oss, i hvert fall på kort sikt, å omdisponere innen gitte økonomiske rammer, uten at dette går ut over vårt utadrettede personvernarbeid.