Årsmelding for 2014

Årsmelding for 2014

Hva rører seg på personvernfeltet? Hva har Datatilsynet jobbet med i året som gikk, og hvilke utfordringer ser vi nå - og fremover?

Denne årsmeldingen inneholder hovedtemaene fra årsrapporten vår til Kommunal- og moderniserings­departementet.

Leders beretning

Aldri har det vært mer oppmerksomhet om personvernspørsmål og aldri har det vært større krav til Datatilsynet. Etter å ha rundet av 2014 er det derfor viktig å reflektere over hva den store oppmerksomheten skyldes, og om vi klarer å leve opp til de kravene så mange samfunnsaktører har til oss.

Året 2013 ble preget av Edward Snowdens avsløringer som sendte sjokkbølger inn i de øverste politiske sirkler. Det er ikke hverdags­kost at personvern er aller høyest på den politiske dagsorden, at personvern skaper diplomatisk krisetilstand mellom USA og Tyskland, og at et samlet politisk Norge er enig i at vår nærmeste allierte gikk alt for langt i sin overvåking av enkeltmennesker (og, for ordens skyld, også politikere).

Hva har så 2014 bragt med seg på personvernfronten? Var Snowden-avsløringene kun er lite blaff i seilet som ga personvernskuta litt ekstra fart for en kort periode? Etter min mening er svaret nei. Oppmerksomheten om personvern er fortsatt stor.

Øke kjennskap til plikter og rettigheter

Flere nå enn tidligere gir uttrykk for at personvern er en viktig verdi. Det ser vi i vårt daglige arbeid. Og det er til stor hjelp ettersom et av våre viktigste mål er å øke kjennskapen til lovfestede rettigheter og plikter både i befolkningen og i virksomheter. Da vi startet arbeidet vårt med personvern i skolen og gjennomførte de første skole­tilsynene, spredte nyheten seg som ild i tørt gress blant ledere i norske skoler.

Dette kan selvsagt skyldes at mange ble usikre og kanskje til og med redde for hva vi ville finne på tilsyn. Etter vår erfaring skyldes dette imidlertid snarere at mange kastet seg rundt fordi de syntes at personvern var viktig, at elevenes opplysninger skulle være godt sikret, og at det faktisk var helt vesentlig å ha en oversikt over hvilke opplysninger en skole har om hver enkelt elev.

Innebygd personvern

De siste årene har vi jobbet hardt for å fremme prinsippene for innebygd personvern. Dette betyr at personvern skal bygges inn i de teknologiske løsningene helt fra starten av, ja faktiske helt fra et IKT-prosjekt er på tegnebrettet for første gang. Erfaringer har vist at dette er svært mye billigere og gir bedre personvern enn å inkludere personvernløsninger på et senere tidspunkt.

Jeg føler at dette arbeidet har båret frukter. Begrepet innebygd personvern er nå i alminnelig bruk blant utviklere. Da Stortinget behandlet Datatilsynets årsmelding for 2013, trakk flere representanter fram nettopp dette viktige prinsipper. Dette er særlig viktig, ettersom det offentlig etter vår oppfatning bør ligge i front når det gjelder å jobbe etter prinsippene for innebygd personvern.

Digitalisering av offentlig sektor

Et annet område hvor jeg synes vi har lykkes godt, er i arbeidet med digitalisering av offentlig sektor. Det pågår nå en lang rekke prosjekter, fra digital postkasse til borgerkort, der det er viktig å ivareta personvernet. Mer samhandling, mer deling av opplysninger og gjenbruk utfordrer automatisk viktige personvernprinsipper slik som formåls­bestemthet og dataminimalisering.

Vi opplever at det er et betydelig ønske om å snakke med Datatilsynet og å ta mot våre råd. I nær sagt alle prosesser er det snakk om innebygd personvern. Datatilsynets ønske for 2015 er at vi blir medlem i det organet som skal bidra til samordning av digitaliserings­prosessene i offentlig sektor – SKATE. Dette ville være det endelig beviset på at personvern blir tatt på alvor i digitaliseringen som skjer i offentlig sektor.

Internasjonalt arbeid

Det er viktig for Datatilsynet å være aktive på den internasjonale arenaen. At Norge ikke er medlem i EU setter selvsagt noen begrensninger på vår innflytelse, men desto viktigere blir det å vise aktivitet i andre fora.

For to år siden satte vi som et strategisk mål å bli en ledende internasjonal personvernmyndighet på spørsmål knyttet til personvern og Big Data. Vi skrev først en norsk rapport om temaet, og påtok oss deretter å skrive en rapport for den såkalte Berlin-gruppen, en internasjonal gruppe som jobber med aktuelle personvernspørsmål. I 2014 kronet vi arbeidet med å fremme, og få vedtatt, en resolusjon på den internasjonale personvernkonferansen, med unison støtte fra øvrige lands person­vern­myndigheter.

Vi er faktisk ganske stolte over å ha fått til dette, og det viser hvor viktig det er å tenke langsiktig, og ikke minst å være villig til å påta seg arbeid også i internasjonal sammenheng.

Personvern i folks hverdag

Datatilsynet har som mål å gjøre personvern mer kjent og forståelig for folk flest, i deres hverdag. Og det er unektelig slik at personvernutfordringer treffer enkelt­mennesker i større grad enn tidligere. Mulig­hetene for å overvåke og kontrollere hva folk gjør er nærmest ubegrenset. De sosiale mediene er en del av livene våre.

Særlig bekymringsfullt er det at vi ser en ytterligere økning i antall henvend­elser som gjelder kontrolltiltak i arbeidslivet. Det kunne jo vært positivt, men dessverre er det stadig færre arbeidsgivere som tar kontakt før de iverksetter kontrolltiltak, og stadig flere arbeidstagere som tar kontakt fordi de føler seg urettmessig overvåket og kontrollert. Det burde jo ha vært motsatt!

Mange utfordringer – også i det nye året

Selv om personvernvernet trues fra mange kanter er jeg godt fornøyd med hva vi i Datatilsynet har fått til i 2014. Jeg har inntrykk av at vi blir oppfattet som en viktig samarbeidspartner for stadig flere aktører. Vi har fått gjennomslag for prinsippene om innebygd personvern og folk ringer og skriver til oss for å få råd og hjelp. Datatilsynets stemme er tydelig i den offentlige debatten om personvern og overvåking. Gjennom tilsynsvirksomheten bidrar vi til å snu hele sektorer og få dem til å ivareta personvernet på en bedre måte enn tidligere. Vårt kommunikasjonsarbeid gjør også folk i bedre stand til å ta vare på sitt eget personvern.

Ressursbruk

I en virksomhet som vår er det viktig å bruke ressursene riktig. Dersom alle saker skal behandles like grundig, alle sektorer vies like stor oppmerksomhet og alle mediehenvendelser tas like seriøst, har vi en umulig oppgave. Derfor jobber vi stadig for å effektivisere saksbehandlingen og tilsynsmetodikken vår.

Vi har også et gjennomtenkt forhold til når vi skal bruke de ulike virkemidlene vi har til disposisjon, og hvordan vi fordeler ressursene på disse. Rundt 35 prosent av personalressursene våre går med til å kontrollere om lover og regler følges og annen saksbehandling, og 27 prosent benyttes til å gi veiledning, samt andre kommunikasjonsaktiviteter. Vi mener selv dette er en riktig fordeling av ressursene, og det som gir best effekt og måloppnåelse.

Ønsker et mer moderne lovverk velkommen

2015 er året da EUs personvernforordning etter all sannsynlighet blir vedtatt. Dagens regelverk er fra 2000, altså fra før både Google, Twitter og Facebook. Og selv om lovverket har tålt tidens tann godt, er det viktig å få på plass et nytt. Dette vil bety en stor omstilling også for Datatilsynet. Vi må gjennomgå vår praksis og vår måte å jobbe på. Dette gleder vi oss virkelig til, og jeg er trygg på at Datatilsynet kan gjøre en enda bedre jobb med et moderne lovverk i ryggen. 

Bjørn Erik Thon
Direktør

Introduksjon til virksomheten og hovedtall

Datatilsynet ble opprettet i 1980, og er et uavhengig forvaltningsorgan underlagt Kommunal- og moderniseringsdepartementet (KMD). Vårt hovedmål er å bidra til at personvernlovgivningen etterleves, og at alle skal ha beskyttelse i tråd med gjeldende personopplysningsregelverk. Vi skal også fremme personvern som en sentral verdi i samfunnet. I dette arbeidet bruker vi ombudsrollen vår ved å ta i bruk ulike formidlingskanaler, og delta i offentlig ordskifte om personvern.

Personvern handler enkelt sagt om retten til et privatliv og retten til å bestemme over egne personopplysninger. Personvern er en menneskerettighet som skal sikre hensynet til den enkeltes personlige integritet, men det er også en ideell interesse og er svært viktig for å sikre felles goder i et demokratisk samfunn.

Det vil for eksempel være uheldig dersom enkeltpersoner begrenser sin deltagelse i den åpne meningsutvekslingen og politiske aktiviteten fordi de frykter at opplysninger om personlige forhold vil bli trukket frem og gjort til allmenn oppmerksomhet. Eller dersom de setter begrensninger på seg selv fordi de er redde for at myndighetene registrerer og lagrer opplysninger om deres kommunikasjon med andre, om ferdselsmønster, interesser eller uttrykk for holdninger. Datatilsynet må derfor jobbe aktivt for å oppnå en god ivaretagelse av personvernet i avveiingen mot andre samfunnsinteresser.

Målsettinger

For å realisere hovedmålet har Datatilsynet prioritert følgende hovedaktiviteter. Vi skal:

  • skape oppmerksomhet om behov for personvern og gjøre personvernspørsmål mer relevant i folks hverdag.
  • øke kjennskapen til lovfestede plikter og rettigheter både i befolkningen og i virksomheter.
  • stimulere til at personvernhensyn blir tatt tidlig i utviklingen av nye løsninger eller nytt regelverk, og fremme bruk av innebygd personvern.
  • gjennomføre tilsyn i prioriterte sektorer basert på risikoanalyse, systematisere og kommunisere funn fra tilsynene til aktuelle målgrupper, samt følge opp etterlevelse av pålegg.
  • delta aktivt i internasjonalt personvern­arbeid.

I 2014 har Datatilsynet valgt å særlig prioritere personvern i helsesektoren, skole- og utdanningssektoren, justissektoren og digitaliseringen av offentlig sektor. I de neste kapitlene beskrives i tillegg aktiviteten på en rekke andre områder, både nasjonalt og internasjonalt.

Virkemidler

For å nå den overordnede målsettingen har vi i hovedsak fem ulike virkemidler til disposisjon. Ved å ha kontinuerlig opp­merksomhet på hvordan vi kombinerer virkemidlene våre, kan vi oppnå en betydelig bedre effekt enn om vi benytter hvert virkemiddel alene.

Saksbehandling som virkemiddel

Gjennom saksbehandling tilegner vi oss erfaring og kunnskap om hvordan personvern­hensyn i praksis ivaretas. Spesielt skal vi ha oppmerksomheten rettet mot å identifisere systemfeil i virksomheter og bransjer.

Saksbehandling som virkemiddel har særlig vært brukt på sektorer der vi mottar mange henvendelser og klager.

Tilsynsvirksomhet som virkemiddel

Gjennomføringen av tilsyn gir oss et fakta­basert grunnlag for kommunikasjon til ulike bransjer og relevante aktører. Tilsyns­virke­middelet skal benyttes aktivt for å under­søke og avklare praksis, og til å følge opp konkrete problemstillinger i enkeltsaker. En aktiv tilstedeværelse gir signal om at regel­verket skal etterleves og at etterlevelsen blir kontrollert. Tilsynsvirksomheten inkluderer også bruk av kontrollhjemler i saks­behandlingen, som for eksempel når vi følger opp enkeltklager gjennom krav om redegjørelse.

Ved å gjennomføre tilsyn når nye løsninger tas i bruk, men før en praksis har satt seg, kan tilsynene medvirke til å forme et område videre.

Noen ganger benyttes kontrollene for å få bedre oversikt over et område eller en sektor, og for å skaffe et bedre grunnlag for å ta i bruk de andre virkemidlene. Andre ganger benyttes de for å holde oppe et trykk på en bestemt sektor – gjerne innenfor et bestemt tema.

Kommunikasjon som virkemiddel

For at øvrige virkemidler skal gi best mulig effekt, er kommunikasjonsvirksomheten et sentralt virkemiddel. Datatilsynet prøver derfor i økende grad å integrere kommunikasjons­­­virksomheten med de øvrige virkemidlene vi har til disposisjon. En del av kommunikasjonen og dialogen vår skjer derfor gjennom veiledningstjenesten, veilednings­møter og annen dialog med rammesettere og beslutningstakere.

Datatilsynet skal veilede og informere om personvernlovgivning og forvaltningspraksis. Kommunikasjonsvirksomheten benyttes derfor i stor grad for å spre informasjon om personvernets tilstand, samt til å skape debatt og gi uttrykk for synspunkter vi måtte ha som forvaltnings- og tilsynsorgan, og i rollen som ombud. Kommunikasjon har naturlig nok, vært det dominerende virkemiddelet ved utøvelse av vår ombudsrolle. Dette blir blant annet gjort ved utspill og kommentarer overfor mediene, foredragsvirksomhet og blogg­innlegg.

Kommunikasjon brukes med andre ord som et aktivt virkemiddel både ved utøvelse av Datatilsynets ombudsrolle, men også i rollen som forvaltningsorgan.

Organisatoriske, tekniske og økonomiske virkemidler

Deltagelse i ulike råd og utvalg er et godt virkemiddel for best å kunne påvirke aktører til å etablere god praksis. Det samme gjelder deltagelse i arbeid knyttet til personvern­fremmende teknologi og regelverksutvikling. Disse virkemidlene egner seg særlig på områder der det pågår større reformer og utviklingsarbeid, særlig dersom de er teknologidrevet. Stortingsmeldingen «Personvern – utsikter og utfordringer» fastsetter for eksempel et prinsipielt mål om innebygd personvern i alle sektorer. Det har derfor vært viktig å minne beslutningstagere om dette prinsippet i viktige prosesser.

Personvernombudsordningen er også et utpreget organisatorisk virkemiddel.

Når det gjelder overtredelsesgebyr og tvangsmulkt, er det økonomiske virkemidler som i økende grad tas i bruk fra Datatilsynets side.

Kartlegging, utredning og analyse som virkemiddel

Utredninger og kartlegginger er en viktig kilde til kunnskap. Resultat av dette arbeidet legges til grunn ved bruk av øvrige virkemidler.

Personvernundersøkelsen som ble gjennomført i 2013, og sluttført og publisert i 2014, har for eksempel gitt et godt grunnlag for kunnskap og refleksjon omkring publikums holdninger og forventninger til ulike problemstillinger rundt personvern. I tillegg har undersøkelsen ved flere anledninger blitt benyttet som grunnlag for omtale i mediene. Utredninger og kartlegginger fungerer på samme måte. De gir dybde til ulike tema vi jobber med og kan være med på å skape oppmerksomhet i media, samt benyttes i vår argumentasjon både nasjonalt og internasjonalt.

Ressurs- og virkemiddelbruk

Tabellen under viser hvordan vi i hovedsak vurderer at Datatilsynet har gjort bruk av de 41 årsverkene vi har hatt til disposisjon i 2014.

Om lag 35 prosent av personalressursene har gått med til tilsynsvirksomhet, behandling av konsesjonssøknader, eller til øvrig saks­behandling. Dette utgjør i underkant av 15 årsverk. I kategorien «tilsynsvirksomhet» inngår både såkalte stedlige og brevlige tilsyn, samt saksbehandling hvor det benyttes kontrollhjemler i personvernlovgivningen.

Vi legger stor vekt på kommunikasjon og veiledning, og har derfor benyttet nesten en fjerdedel av personalressursene til dette, det vil si om lag ti årsverk. Her inngår vår juridiske og teknologiske veiledning, omfattende fore­drags­virksomhet, mediekontakt og annen kommunikasjonsvirksomhet.

Til personvernombudsordningen anslår vi ressursbruken til tre prosent, det vil si noe over ett årsverk, mens vi til utredning og analyse bruker noe over to årsverk.

Til vårt internasjonale arbeid bruker vi omlag halvannet årsverk (seks prosent).

I kategorien «fellesfunksjoner» inngår arkiv, personal- og økonomifunksjoner, IKT-drift og andre administrative oppgaver. Også kompetansebygging, strategi- og planarbeid og lederressursene regnes inn her. De 28 prosentene som går til slike interne felles­funksjoner utgjør nærmere tolv årsverk. Ett av disse kan knyttes til håndteringen av innsynsbegjæringer etter offentlighetsloven.

Vi vurderer denne ressursbruken som hensiktsmessig for 2014. Det har gått med en del ressurser til å endre vår organisasjonsmodell. Dette har naturlig nok gått på bekostning av vår saksbehandlings­kapasitet, og det har særlig gitt seg utslag i mindre tilsynsvirksomhet enn normalt. Vi regner med å realisere effektiviserings­gevinster fra den nye organisasjonsmodellen ut over 2015.

Kommunikasjonsvirksomheten

I Datatilsynets strategi for perioden 2011 til 2016 sier vi blant annet at to av våre prioriterte hovedaktiviteter er at vi skal skape oppmerksomhet om behovet for personvern og gjøre personvernspørsmål mer relevant i folks hverdag, samt at vi skal øke kjennskapen til lovfestede plikter og rettigheter både i befolkningen og i virksomheter. Dette skaper grunnlaget for all vår kommunikasjons-virksomhet.

www.datatilsynet.no

Nettstedet vårt, datatilsynet.no, er selve navet i kommunikasjonsvirksomheten vår. Veiledningstjenesten og kommunikasjons­avdelingen samarbeider om å identifisere behovet for informasjon på nettstedet, enten det dreier seg om informasjon til enkeltpersoner eller virksomheter. Basert på analyser av henvendelser og bruk av nettsidene, har samarbeidet resultert i mer brukertilpasset informasjon.

Nettredaktøren samarbeider også tett med veiledningstjenesten om saker som er til behandling i Datatilsynet og som offentligheten kan ha interesse av. Kommunikasjonsavdelingen utarbeider fortløpende nyhetssaker og oppdaterer veiledningsmateriale ut ifra dette.

Et resultat av omorganiseringen høsten 2014 (omtalt under «Organisasjon og budsjett»), er at de fire faggruppene har fått et særskilt ansvar for at det som ligger på nettsidene innen gruppas ansvarsområde er korrekt og oppdatert. Kommunikasjonsavdelingens medarbeidere deltar på gruppenes møter for å sikre at dette blir ivaretatt.

Statistikk
I 2014 hadde nettstedet totalt 185 000 besøk, mot 230 000 året før. Dette innebærer en nedgang på 24 prosent. Hver besøkende var i snitt innom tre sider hver. 

Dersom nedgangen i besøk fortsetter også i 2015, vil vi analysere nærmere hva dette kan skyldes, og hvordan utviklingen kan møtes. Vi må kanskje tenke nytt dersom det er slik at vårt eget nettsted er blitt mindre viktig for dem som søker etter informasjon om personvern og Datatilsynet.

Andelen mobilbrukere er stadig økende. 16 prosent av brukerne oppsøkte mobil­versjonen av nettstedet i 2014. Vi tror imidlertid at andelen brukere med mobile enheter er større enn hva dette tallet tilsier. Webanalyseverktøyet klarer ikke å identifisere 14 prosent av brukernes plattformer, og trolig utgjør en stor andel av disse mobil- og nettbrett. Dette viser at vår satsing på såkalt «responsivt design» (tilpasning til mobile enheter) var veldig riktig da nettstedet ble lansert.

Statistikken viser blant annet ellers at sidene om kameraovervåking er vårt mest leste veiledningsmateriale, med 16 000 sidevisninger. Spørsmål og svar-funksjonen vår er også mye brukt og har 30 000 sidevisninger. 

Nøkkeltall fra nettstatistikken:

  20131 2014
Antall sider på nettstedet (Google site search) 1 900 2 300
Antall besøk til nettstedet 230 000 185 000
Gjennomsnittlig besøksvarighet -2 3 min og 29 sek
Antall søk i søkemotoren på datatilsynet.no 43 000 30 000
Andel besøk fra mobile enheter 15 % 16 %
Antall publiserte nyhetssaker 60 63

1. Det nåværende nettstedet ble lansert i 2013, derfor har vi ikke sammenlignbare tall fra tidligere år
2. Vi hadde ikke tilgang på denne type tall før i 2014


Brukertesting og ekspertvurdering

I september 2014 gjennomførte vi en brukertest av nettstedet vårt. De åtte brukerne som deltok i testen var overraskende entydige i sin dom, selv om de representerte vidt forskjellige brukergrupper. Noen av hovedfunnene var at brukerne hadde problemer med å forholde seg til den overordnede menyen og til den mer utvidede menystrukturen. Pdf-dokumenter på nettstedet var heller ikke ønskelig. Et flertall av testerne fremholdt likevel at de i det store og det hele var godt fornøyd med nettstedet.  

Høsten 2014 fikk vi også en rapport fra konsulentfirmaet Funka Nu om tilgjengeligheten på nettstedet for mennesker med funksjonsnedsettelser. Nettstedet ble vurdert opp mot kravene til universell utforming. Rapporten var klar på at datatilsynet.no har et stykke igjen før det tilfredsstiller kravene til tilgjengelighet som ligger i diskriminerings- og tilgjengelighets­loven (som trådte i kraft 1. juli 2014). Som eksisterende nettsted er vi imidlertid ikke bundet av loven før i 2020. Rapporten fra Funka Nu pekte blant annet på at skjemaene våre er mangelfulle både når det gjelder kode og muligheter for innlevering på nett. Vi har som følge av denne rapporten lagt planer for hvordan manglene skal utbedres i 2015.

Kronikker, personvernblogg og sosiale medier

I mange sammenhenger vil det være mest formålstjenlig å respondere på et dagsaktuelt tema, for eksempel et medieoppslag, ved å gi et raskt tilsvar på vår egen blogg, Personvernbloggen.no.

Slike tilsvar kan kjapt videreformidles i blant annet sosiale medier. Dette som et alternativ til å måtte forholde oss til usikkerheten knyttet til om, og når, vi faktisk får inn en kronikk eller et debattinnlegg i en avis. I 2014 hadde vi likevel ni egenproduserte kronikker og debattinnlegg på trykk i andre medier.

Vi har publisert 50 innlegg på bloggen vår i 2014, og antallet besøk på bloggen har mer enn doblet seg fra 2013. I tillegg til å sende ut nyhetsbrev, benytter vi dessuten Twitter til å spre blogginnleggene våre, og vi ser at Personvernbloggen ofte danner utgangspunkt for en dialog med interessenter på Twitter. Vi er fornøyde med variasjonen på temaer i 2014, og er tilfreds med at vi har rekruttert nye skribenter internt i Datatilsynet i løpet av året. Vi har dermed posisjonert oss godt for å bygge videre på denne positive trenden.

Vi følger rutinemessig og aktivt med på hva som skrives om Datatilsynet på Twitter, og besvarer de aller fleste av spørsmålene som blir rettet til oss. I løpet av året publiserte vi 193 meldinger på Twitter, mot 220 året før. Ved årsskiftet hadde vi 12 392 følgere. I tillegg benytter flere medarbeidere sine individuelle twitterkontoer til å formidle personvern på Datatilsynets vegne. 

Noen nøkkeltall fra kommunikasjonsvirksomheten for de siste årene:

  2011 2012 2013 2014
Kronikker og debattinnlegg 6 10 8 9
Innlegg på Personvernbloggen* - - 41 50
Besøk på Personvernbloggen - - 8 000 20 000
Twittermeldinger 275 391 220 193
Twitterfølgere 4 900 7 500 10 065 12 392
Antall mediehenvendelser 1 120 876 850 800

*Bloggen ble opprettet i februar 2013


Mediekontakt

I løpet av året har Datatilsynet registrert 800 besvarte mediehenvendelser. Vi opplever fremdeles stor interesse fra medienes side, selv om antall registrerte mediehenvendelser er noe lavere enn tidligere år.

Registreringssystemet vårt i denne sammenhengen er ikke etablert med statistikk som formål, men for å sikre en best mulig oversikt og koordinering av vår kontakt med mediene. Vi registrerer derfor bare førstegangshenvendelser. En større andel henvendelser enn tidligere blir også besvart direkte av ledere og fagpersoner uten alltid å bli registrert av kommunikasjonsavdelingen. Det eksakte tallet henvendelser er derfor noe høyere.

Noen saker har fått særlig medieomtale i 2014. Flere av disse er nærmere omtalt under respektive områder i neste kapittel:

  • Den internasjonale personverndagen 28. januar og konferansen vi arrangerte i fellesskap med Teknologirådet.
  • Datatilsynets personvernundersøkelse 2013/2014.
  • Datalagringsdirektivet ble kjent ulovlig av EU-domstolen.
  • PST ville lagre stordata fra blant annet sosiale nettsamfunn.
  • Aftenpostens avsløring av såkalte IMSI-catchere i Oslo.
  • Politiets bruk av kameraovervåking av gater og torg i ulike byer og tettsteder.
  • Etteretningsbataljonen fikk overtredelsesgebyr for registreringen av journalister.
  • Barn og unges personvern. Overvåking fra foreldrenes side og publisering av bilder av barn.
  • Hacking av bilder fra Snapchat (via tjenesten Snapsaved).
  • Personvern i skolen – lansering av samlerapporten vår.
  • Retten til å bli glemt. Søkemotorer og av­indeksering (EU-domstolen og Google).
  • Publisering av skattelister og registrering av hvem som søker.
  • Kameraovervåking og tilgang til opptak via nettet på grunn av dårlig sikring.
  • Overgangen til kontantløst samfunn.
  • Forslag om opprettelse av gjeldsregister.
  • Internet Sweep Day 2014 – kartlegging av personvern i ulike mobilapplikasjoner


Vi har lagt en del ressurser i å ta initiativ til redaksjonelle artikler og nyhetsinnslag. Vår erfaring er at dette kan gi større uttelling, til betydelig mindre ressursbruk, enn å kanskje få inn en kronikk eller et debattinnlegg i ulike medier.

Eksempler på innsalg av saker i 2014 er:

  • Pressemøte i januar om tall og utviklings­trekk fra 2013, samt våre planer for 2014.
  • Den internasjonale personverndagen.
  • Lansering av samlerapporten om personvern i skolen.
  • Barn og unges personvern. Deltakelse i TV2s «God morgen Norge» og Dagbladets «Magasinet +».


Vi er også opptatt av å prioritere å stille til debatter og studiosamtaler om temaer som berører personvernet. Vi har derfor deltatt i mange slike sammenhenger også i 2014, og da særlig i NRK Dagsrevyen, Dagsnytt 18 og Her&Nå, men også i TV2 og P4. Debattene har blant annet handlet om følgende temaer:

  • PSTs ønske om å benytte stordataanalyse av sosiale medier.
  • Schibsteds registrering av brukerdata
  • det kontantløse samfunn
  • foresattes overvåking av barn på sosiale medier
  • skattelister
  • forslag om opprettelse av gjeldsregister
  • forsikringsselskapers overvåking av kunder ved mistanke om forsikringssvindel


Foredragsvirksomheten

Datatilsynet ønsker å være synlig og tilstede på arenaer der vi møter representanter fra virksomheter, interesseorganisasjoner og andre aktører. Å stille med foredragsholdere, innledere, holde innlegg eller delta i paneldebatter på ulike arrangementer, er en viktig del av dette arbeidet. 

I 2014 har vi holdt 170 foredrag på eksterne arrangementer, mot 149 året før.

Vi får en rekke forespørsler om å holde foredrag gjennom hele året. Disse forespørslene vurderer vi ut fra satsingsområdene i virksomhetsplanen vår, antall deltakere, tema og kapasitet på aktuelt tidspunkt. Vi har et mål om å holde mellom 120 og 150 eksterne foredrag i løpet av året.

Foruten generelle foredrag om personvern, overvåking og Datatilsynets oppgaver, har vi holdt flest foredrag om:

  • lagring i nettskyen – utfordringer for personvernet og hvordan bruke dette riktig, både i offentlig og privat sektor
  • internkontroll, informasjonssikkerhet og digitalisering av offentlig sektor
  • helse, særlig om velferdsteknologi og tilgangsstyring
  • Big Data og hvordan dette utfordrer personvernet


Språk og forenkling

I 2012 ble det satt i gang ekstra klarspråk-tiltak i Datatilsynet, med bistand fra Direktoratet for forvaltning og IKT (DIFI). I 2013 ble det så utarbeidet en egen språkprofil som ansatte i Datatilsynet skal benytte.

Arbeidet med klarspråk har fortsatt også i 2014. Med utgangspunkt språkprofilen vår, har vi gått gjennom alle malene for brev knyttet til tilsynsvirksomheten vår, med unntak av selve kontrollrapportene. Vi har jobbet med både språk og brevenes struktur. Malene har inntil nå hatt en lite gunstig og uoversiktlig struktur med en rekke lange og tunge formuleringer. Dette har ført til at mange medarbeidere skriver dem om, noe som igjen har ført til at det har oppstått ulike måter å kommunisere det samme på. De nye malene skal gjøre det enklere for mottageren å få tak i hva som er hovedbudskapet fra oss, i tillegg til at språket generelt vil kunne gjøre innholdet tydeligere. Dette vil også gjøre det enklere for våre ansatte å skrive strukturerte og gode brev.

Når det gjelder bruk av nynorsk i tekst­produksjonen vår på nett, mener vi å oppfylle mållovens krav på 25 prosent. To av tre stillingsannonser har også vært på nynorsk i 2014. Vi arbeider kontinuerlig med å bli bedre, da vi ikke anser oss for å være helt i mål enda.

Veiledningstjenesten

Datatilsynets veiledningstjeneste har som hovedoppgave å besvare henvendelser som i hovedsak kommer inn på telefon og e-post. Henvendelsene kommer fra offentlige og private virksomheter, så vel som fra enkeltpersoner. Spørsmålene som kommer inn er i stor grad varierende, og de er av både juridisk, teknisk og sikkerhetsmessig art.

Denne tjenesten er et viktig lavterskeltilbud for publikum som har spørsmål knyttet til behandling av personopplysninger, og et viktig mål med tjenesten er å gjøre borgere og virksomheter i stand til å ivareta eget ansvar for personvern. Svarene vi gir på telefon og e‑post er som hovedregel av veiledende karakter. Det er viktig å presisere at denne veiledningstjenesten ikke fatter vedtak i saker på telefon eller som svar på en enkelt e-post.

I løpet av 2014 har veiledningstjenesten besvart 9 033 henvendelser. Dette består av 3 264 henvendelser på e-post og 5 769 via telefon. Sammenlignet med året før har det vært en markant oppgang i samlet antall henvendelser på 19 prosent.

Oversikt over antall henvendelser til veiledningstjenesten de siste årene:

  2011 2012 2013 2014
Totalt antall henvendelser 7 828 6 850 7 578 9 033



Henvendelser til veiledningstjenesten fordelt på epost og telefon. Grafisk fremstilling.


Hvem tar kontakt?

Vi har et klart inntrykk av at de fleste som tar kontakt med oss, er privatpersoner i rollen som registrert på en eller annen måte. Hovedinntrykket er at det er de nære ting som opptar folk. Det vil si personvernrettslige spørsmål som får direkte innvirkning på folks hverdag. Eksempler på dette er arbeidstakere som føler seg uberettiget overvåket på jobb, kunder som ønsker å bli slettet fra et kunderegister eller folk som er bekymret for om deres personopplysninger er trygge på internett.

Hva handler henvendelsene om?

Datatilsynet utarbeider hvert år en analyse av henvendelsene til denne tjenesten. Hensikten er å få en oversikt over hva som treffer oss av spørsmål, fange opp trender og skaffe grunndata for å se hva som er utfordringene fremover.

Alle telefonhenvendelser og e-poster grovkategoriseres i ti kategorier. Vi foretar dessuten en gjennomgang av alle e-postene for å kartlegge nærmere hva henvendelsene dreier seg om.

Det ble endret noe på kategoriene i 2014. Blant annet het kategorien «Arbeidsliv» tidligere «Arbeidsliv/skole», mens det nå er opprettet en egen kategori der henvendelser om skole og utdanning registreres.

Tallene fra før 2014 er derfor ikke helt sammenlignbare, men de viser likevel trender i hva publikum henvender seg om.

Oversikt over antall henvendelser fordelt på ulike kategorier de siste årene:

  2012 2013 2014
Arbeidsliv 1 201 1 642 1 798
Register (helse-, kreditt-, kunde-, medlems- og offentlige) 985 1 118 1 301
Kameraovervåking 965 1 302 1 148
Internett 689 705 741
Melding/konsesjon 675 711 766
Fødselsnummer 424 405 495
Informasjonssikkerhet - - 376
Skole/barnehage - - 265
Lydopptak - - 204
Annet 1 911 1 695 1 939
Totalt 6 850 7 578 9 033

 

Kategorien «Annet» inneholder hele 21 prosent av alle henvendelsene. Men, omtrent halvparten av spørsmålene i denne kategorien falt utenfor hva personopplysningsloven regulerer. Dette er for eksempel spørsmål som fanges opp av unntakene for kunstnerisk, litterær og journalistisk virksomhet, spørsmål knyttet til offentlighetsloven eller spørsmål om brudd på taushetsplikt (som ofte faller innunder forvaltningsloven eller annen spesiallovgivning). 

Andre tema som havner i denne samle­kategorien er spørsmål om databehandler­avtaler, overføring av personopplysninger til utlandet og spørsmål om svindel og politisaker.  



Arbeidsliv

Om lag 20 prosent av henvendelsene dreide seg om arbeidslivsrelaterte spørsmål. Dette er den største kategorien med unntak av samlekategorien «Annet». Godt over halvparten av alle henvendelsene innenfor arbeidslivsområdet handler om kontroll og overvåking av ansatte. De to største underkategoriene innenfor arbeidsliv er kameraovervåking og innsyn/ sletting av ansattes e-post, men det er også henvendelser om GPS-sporing og andre kontrolltiltak.

Register
14 prosent av henvendelsene var ulike spørsmål knyttet opp til en eller annen form for register. Generelt handler det her om hva som kan registreres i ulike registre, når og hvordan man kan kreve å få slettet informasjon og hvem som har tilgang til opplysningene i registrene.

Videre er det en del spørsmål om i hvilken grad det kan utleveres informasjon fra ett register til en tredjepart.

Det er flest spørsmål knyttet til kunderegistre, men det er også mange spørsmål knyttet til offentlige registre, samt helse­registre, kreditt­opplysnings­virksomheters registre og medlemsregistre.

Kameraovervåking
«Kameraovervåking» er en annen stor kategori og utgjorde 13 prosent av henvendelsene i 2014. Kameraovervåking i arbeidslivet kategoriseres under «Arbeidsliv». Den totale andelen henvendelser innen dette temaet er derfor i realiteten er noe høyere.

Kameraovervåking i borettslag og i nabosituasjoner er henvendelser som går igjen. Andre henvendelser gjelder bruk av webkamera og spørsmål om lovligheten av ulike oppsatte kameraer på for eksempel byggeplasser eller i båthavner. Vi har den siste tiden dessuten fått noen henvendelser om mønstergjenkjenning det vil si lærende eller intelligente kameraer, noe som muligens kan være en ny trend.

Ellers er det en del spørsmål fra virksomheter som har eller som ønsker å iverksette kameraovervåking.

Internett
Ulike henvendelser om internett sto for fire prosent av det totalet antallet henvendelser. Spørsmål om regler for bruk av sosiale medier og publisering av bilder på nett utgjør en stor del. Over halvparten av spørsmålene om publisering av bilder gjelder bilder tatt av mindreårige på idrettsarrangementer, ved skolefotografering, eller i ulike sosiale sammenhenger. Oppmerksomheten rundt barns personvern ser derfor ut til å være stor, noe vi merker oss som en positiv trend.

I siste halvdel av 2014 så det ut til at flere hadde oppdaget retten til å bli glemt som følge av den såkalte Google-dommen (omtalt på s. 51). Det blir i slike saker gitt veiledning om skjemaet Google har opprettet for å kunne søke om å få fjernet uønskede søketreff i Google.

Veiledningstjenesten får ellers en del spørsmål om kontroll, sporing og sikkerhet på internett. Mange er bekymret for om deres person­opplysninger er trygge på internett og om deres nettaktivitet spores.

Melding og konsesjon
Seks prosent av henvendelsene falt inn under kategorien «Melding og konsesjon». Dette gjaldt spørsmål om hvorvidt en behandling er melde- eller konsesjonspliktig. Det kom også en del spørsmål om endring og oppfølging av melding og konsesjon.

Fødselsnummer
Denne kategorien har vi hatt lenge og antallet henvendelser om dette er ganske stabilt. Selv om det er et snevert tema utgjør det fem prosent av henvendelsene. Spørsmålene knytter seg først og fremst til bekymrede privatpersoner som føler ubehag ved å måtte oppgi fødselsnummeret sitt.

Informasjonssikkerhet
Fire prosent av henvendelsene gjaldt informasjonssikkerhet. Spørsmålene handler gjerne om sikker forsendelse, overføring og lagring av personopplysninger, både fysisk og elektronisk. Det kommer også inn en del spørsmål om bruk av SMS og e-post til forsendelse av informasjon. Flere lurer på når det er et krav om at personopplysninger skal være krypterte, og når det er tillatt å bruke skytjenester.

Videre er det en del spørsmål om tilgangsstyring og hvem som har tjenstlige behov og lovlig tilgang til personopplysninger. Henvendelser som gjelder dokumenter eller personopplysninger som har kommet på avveier, og generelle henvendelser om hvilke plikter som gjelder med tanke på informasjonssikkerhet, faller også inn i denne kategorien.

Merk at spørsmål om informasjonssikkerhet også kan inngå i de andre kategoriene. Henvendelser om dette går dessuten ofte direkte til teknologene i Datatilsynet, og faller utenfor denne registreringen. Antall henvendelser om dette temaet totalt til Datatilsynet er derfor en del høyere enn det som fremgår her. 

Skole og barnehage
Dette er en relativt liten kategori, og omfattet tre prosent av henvendelsene i 2014. Det har vært en liten økning i antall henvendelser sammenlignet med 2013, men siden vi først skilte ut dette som en egen kategori i 2014, har vi ikke eksakte tall å sammenligne med. Den økte interessen for dette feltet kan ha sammenheng med at skole/barnehage har vært et satsningsområde for Datatilsynet.

Flere av henvendelsene er knyttet til informasjonssikkerhet, som for eksempel ved bruk av læringsplattformer og lagring i skytjenester. Andre spørsmål gjelder hvilke opplysninger som kan lagres om barnet, hvor lenge opplysningene kan oppbevares og hvilke opplysninger som kan overføres mellom skole og barnehage. Det er også her en del henvendelser om fotografering og filming av barn.

Lydopptak
Denne kategorien utgjorde bare to prosent av henvendelsene. De fleste spørsmålene handler om kunder som lurer på om virksomheten de har ringt til har lov til å gjøre lydopptak av telefonsamtalene.

Skattelister
Vi har i tidligere år hatt relativt mange henvendelser om innsyn i skattelister. I 2014 skjedde det ikke, noe som sier at regelendringen om begrensninger i innsynsretten har vært vellykket sett med personvernøyne.

Saksbehandlingen

Saksbehandling er en stor del av oppgaveløsningen i Datatilsynet og vi jobber stadig med å effektivisere håndteringen av sakene vi får inn. Vi har ikke kapasitet til å behandle alle saker i full bredde, og det er viktig for oss å ha god balanse mellom saksbehandling og de andre virkemidlene vi har til rådighet. Vi ser både på ren effektivisering av sakshåndteringen, men også på en riktig prioritering av sakene, det vil si å bruke tid på de riktige sakene.

I 2014 har vi sett nærmere på noen sakstyper og vurdert om vår praksis bør endres utfra endringer i regelverk og samfunnsforhold. Vi har blant annet sett at noen standard­konsesjoner som vi tidligere har utstedt, nå kan erstattes av lovhjemmel som rettslig grunnlag. Mer tidsriktig fortolkning og endringer i regelverk vurderes som tilstrekkelig grunnlag, for eksempel for kommunenes håndtering av person­opplysninger. Resultatet er at vi får noen gevinster tidsmessig, og denne tiden kan benyttes til annet og mer målrettet arbeid.

Vi har også sett på om det er regler som bør endres for å skape en mer effektiv forvaltning. At Datatilsynet skal være obligatorisk høringsinstans i saker om endring i pasientjournaler, mener vi er unødvendig. Dette har vi spilt inn til Helse- og omsorgsdepartementet. Vi kan heller være en mulig høringsinstans i enkeltsaker dersom helsemyndighetene har behov for våre vurderinger.

Antall nye saker og saksdokumenter

I løpet av 2014 ble det registrert 1 468 nye saker hos Datatilsynet. Dette innebærer en økning på 4,5 prosent fra året før.

Vi ser imidlertid at antallet registrerte enkelt­dokumenter har hatt en relativ økning som er betydelig større enn dette. Antallet registrerte dokumenter inn til oss var 3 466 i 2014, mot 2 814 året før. Dette utgjør en økning på over 23 prosent. Vi tillegger denne økningen at kompleksiteten i sakene øker. Dette er tydeligst i de kontrollsakene vi selv har initiert, og kanskje særlig i de sakene som ender opp som klagesaker til Personvern­nemnda.

 

Vedtak, klageomfang og prioritering

Antallet vedtak som er fattet har også økt, og i 2014 har vi fattet 525 vedtak. Det vil i realiteten si at vi har tatt konkret stilling til flere enkeltspørsmål enn i 2013. Vi har i 2014 hatt som mål å ha tydelige saksavgjørelser, samt tydelige skiller mellom forvaltningssaker hvor vi fatter vedtak og de sakene hvor vi svarer veiledende til de som henvender seg.

Klageomfanget er lite og vi opplever stort sett at vedtakene våre blir akseptert. Vi har de siste årene hatt noen klagesaker på at vi ikke tar opp enkeltsaker til behandling. Gjennom slike klager har vi blitt utfordret på prioriteringene våre flere ganger, men vi opplever at det har vært en større andel i 2014 enn tidligere med dette som tema. Vi prøver gjennom disse klagesakene å kartlegge hvilke prioriteringer vi kan foreta uten at det kan angripes ved klage. Klagebehandling er ressurskrevende og vi ønsker derfor en høy forutsigbarhet på hvilke beslutninger vi kan gjøre med endelig virkning.

Antall vedtak og klager telles manuelt fra saksbehandlingssystemet. Det er en svakhet med telleformen at den baserer seg på teksten i brev og i dokumenter, og ikke utelukkende på arkivkoder eller annet enhetlig registreringssystem. 

Fattede vedtak og antall klager de siste årene. Grafisk fremstilling.

Saker oversendt til Personvernnemnda
I 2014 sendte Datatilsynet 26 saker til klagebehandling i Personvernnemnda. Antallet saker som gikk til nemnda var høyere i 2013, men de to siste årene er markert høyere enn de to foregående.

Antall saker oversendt nemnda. Grafisk fremstilling.

Ved årsskiftet var ti av sakene behandlet, mens de resterende 16 fortsatt er til behandling. Klager ble gitt medhold i to av sakene, det ble gitt delvis medhold i én sak, mens i seks saker førte ikke klagen frem. I ett tilfelle var saken opprinnelig avsluttet i Datatilsynet med veiledning til vedkommende som henvendte seg, noe det ble klaget på. Personvernnemnda sendte saken tilbake til Datatilsynet igjen med beslutning om også formelt å ta stilling til spørsmålet som var bragt inn. Uenigheten gikk på om vi kunne nedprioritere saken med veiledning, eller om vi måtte fatte formelt vedtak. Formelle saker er mer ressurskrevende enn å avslutte en sak med veiledning til de som henvender seg til oss.

Som tidligere år mener vi at omgjøringsandelen er lav. De sakene som bringes inn for Personvernnemnda er som regel av betydning utover den enkelte saken.

Andel avgjørelser i Nemnda. Grafisk fremstilling. 

Klagebehandlingen er også et bidrag i utviklingen av Datatilsynets forvaltnings­praksis. Justeringer av praksis vil måtte skje over tid, og klagesaksbehandling er et partsdrevet system hvor pliktsubjekter og rettighetshavere kan påvirke utviklingen. Resultatet er at dette blir bidrag i en praksis som er en riktig balanse mellom rettigheter og plikter.

Konsesjoner

I 2014 mottok vi totalt 235 søknader om konsesjon, og ga til sammen 179 konsesjoner. Blant annet har 22 treningssentre fått konsesjon til å behandle personopplysninger i tilfeller der det er mistanke om bruk av dopingmidler. Konsesjonsdokumentene er tidligere utarbeidet i dialog med Antidoping Norge.

Arbeidet med konsesjoner er ved siden av kontrollsakene en av de mer arbeidskrevende oppgavene vi har. Behandling av konsesjons­søknader er i realiteten en forhåndskontroll av om de som søker har tilstrekkelig rettslig grunnlag for det de ønsker å gjøre.

Forhånds­kontrollen kan også omfatte andre deler av personopplysningslovens krav, for eksempel om virksomhetene har tilstrekkelige internkontrollrutiner på plass. Vi kan gjennom konsesjonsarbeidet også kompensere for noen av personvernulempene som behandlingen eventuelt fører med seg, ved å stille vilkår for den aktuelle behandlingen.

Bruk av administrative sanksjoner

Vi benytter oss av administrative sanksjoner kun i et fåtall saker. Som etterfølgende sanksjon kan vi utstede overtredelsesgebyr, mens for å sikre gjennomføring av vedtak, kan vi pålegge tvangsmulkt (for eksempel per dag) frem til at et pålegg er etterkommet. Sanksjoner av denne typen er, og skal være, forbeholdt de mer alvorlige overtredelsene som i høy grad utfordrer de rettighetene loven gir den registrerte. Datatilsynet har ikke benyttet tvangsmulkt i løpet av året. Flere av sakene der det er gitt overtredelsesgebyr, er nærmere omtalt under de respektive områdene i kapittelet «Årets viktigste aktiviteter».

Vi har ikke hatt nok saker på alle områder til at vi kan si at det har utviklet seg en generell praksis for når vi nytter overtredelsesgebyr. For noen sakstyper er vi likevel i ferd med å etablere en praksis for bruk av sanksjoner. Vårt mål er at det skal være forutsigbart når man vil få en sanksjon som et ledd i arbeidet med å sikre etterlevelse av personopplysnings­regelverket.

Innen arbeidsliv hatt vi en rekke saker om brudd på personopplysningsforskriftens regler om innsyn i ansattes e-post, samt i utstyr stilt til disposisjon for arbeidstakeren. Her har typisk en som er oppsagt, eller som har sluttet, ikke noen maktmidler overfor sin tidligere arbeidsgiver. Alvorlige brudd på disse reglene har vi valgt å forfølge blant annet med bruk av overtredelsesgebyr.

Mange saker løses imidlertid med veiledning til partene, og uten at vi trenger å bruke overtredelsesgebyr som virkemiddel. Vår praksis er ment å være et strengt signal på at arbeidstakernes rett til å ha kontroll over e‑post i eget navn har stor verdi, og at arbeidsgivere må respektere disse rettighetene.

Vi har også benyttet overtredelsesgebyr i saker om publisering bilder og film på internett fra ellers lovlig kameraovervåking. I 2014 ble vi gjort oppmerksom på flere tilfeller enn tidligere år. Slike brudd på reglene kan den registrerte ikke beskytte seg mot og vanskelig ta til motmæle mot, i tillegg til at det er politiet sin oppgave å forfølge. Dette er noen tungtveiende argumenter for en streng reaksjon når slik publisering oppdages. Vi har valgt å reagere strengt for å sende et tydelig signal om at slike handlinger er alvorlige brudd på personopplysningsloven.

Restanser

Datatilsynet har som mål at saker og henvendelser skal være besvart og håndtert innen ti uker. De langt fleste sakene og henvendelsene blir besvart med en gang eller i løpet av fire uker. Restansebegrepet vårt er knyttet opp til overnevnte målsetting om at vi ikke skal ha saker som er eldre enn ti uker. For å nå dette målet teller vi antall dokumenter som står som ubesvart eller ubehandlet etter ti uker, regnet fra de er registrert inn. For å følge med utviklingen over tid ser vi på antall dokumenter som er en restanse, holdt opp mot hvor mye vi registrerer inn hos oss.

For å sikre en god prioritering av restanse­arbeidet følger vi også med på dokumenter som blir eldre enn henholdsvis seks og tolv måneder. Vi er godt fornøyd med utviklingen de senere årene og hadde ved årsskiftet ingen saker i den eldste kategorien. 

Utvikling av andel restanser. Grafisk fremstilling.

Når vi ser på hvilke typer saker restansene består av, er konsesjonssaker overrepresentert. Hele 26 av totalen på 62 saker eldre enn ti uker, var konsesjonssaker. Det er ikke veldig overraskende da dette i mange tilfeller er kompliserte saker som det tar tid å sette seg inn i. I mange tilfeller kan en konsesjonssak være vel så krevende å håndtere som en kontrollsak. Disse to sakstypene kan sammenliknes, da konsesjons­behandling er en forhåndskontroll av om lovens vilkår er oppfylt for de som søker om å få tillatelse til å behandle personopplysninger.

Restanser fordelt på sakstyper. Grafisk fremstilling.

Det er et ganske beskjedent antall saker (totalt ti stykker) som blir liggende lenger enn seks måneder, noe vi er godt fornøyd med. Ingen saker var eldre enn tolv måneder. For noen av kontrollsakene i kategorien eldre enn seks måneder, har vi ventet på en avklaring av konkrete spørsmål i Personvernnemnda. Flere saker inneholdt tilsvarende spørsmål nemnda hadde til behandling allerede. En avklaring av sentrale spørsmål ville påvirke vår håndtering av sakene og vi mente at det var mest effektivt å få en avklaring fra nemnda før vi ferdigstilte alle sakene. 

Prioritering av restanser
Restansesituasjonen er bedre ved utgangen av 2014 enn sammenliknet med tidligere år, selv om det har kommet et større antall dokumenter inn totalt enn de årene vi sammenlikner med. Vi er fornøyde med at antall saker som er blitt gamle er redusert, siden vi jobber kontinuerlig med å sikre at saker ikke blir liggende å vente. Noen saker erfarer vi at tar lang tid, men ren ventetid på saksbehandlerkapasitet jobber vi med å få bort.

Restansearbeid har også en side til prioritering av saker internt. Vi har i flere år jobbet med å ha et bevisst forhold til hvilke saker vi åpner for full forvaltningsbehandling av. Dette skal særlig være saker innenfor de satsings­områdene vi har, eller i tilknytning til spesielle områder eller sektorer hvor vi etter en risikoanalyse ser at det er viktig å ta tak i enkeltsaker. Det er da ofte henvendelser som kan tyde på systemsvikt eller systemfeil som når opp i prioriteringen.

Datatilsynet som høringsinstans

I 2014 har vi gitt merknader til høringer vi har mottatt i noe mindre grad enn tidligere. Det er Justis- og beredskapsdepartementet som er den største avsenderen av høringsbrev dette året. Det skiller seg fra tidligere år hvor det har vært størst aktivitet på helseområdet, med Helse- og omsorgsdepartementet som den mest aktive aktøren. Viktige høringer er omtalt under de respektive områdene i kapittelet «Årets viktigste aktiviteter».

Oversikt over antall høringer vi har behandlet de siste årene:

  2012 2013 2014
Med merknader 58 52 39
Uten merknader 47 29 37
Til etterretning 58 53 64
Sum 163 134 140


Avviksmeldinger

Det er en rapporteringsplikt til Datatilsynet for hendelser som har medført uautorisert utlevering av personopplysninger der konfidensialitet er nødvendig (person­opplysningsforskriften § 2-6).

Rapporterte avvik anses som en relevant aktivitetsindikator, samt en indikator på hvor godt virksomhetene fanger opp avvik og kjenner til rapporteringsplikten for disse. 

Rapporterte avviksmeldinger. Grafisk fremstilling.

Generelt observerer vi en jevn økning i meldte avvik. Det fremstår for oss som om kjennskapen til meldeplikten er vesentlig bedre enn tidligere, men at det fremdeles er store mørketall. Vi har ikke holdepunkter for å si at det faktiske antallet hendelser er voksende.

Offentlighetsloven og innsynskrav

Datatilsynets postjournal er tilgjengelig via Offentlig Elektronisk Postjournal (OEP), en samordning av offentlige postjournaler på internett.

I 2014 håndterte Datatilsynet innsynskrav om til sammen 2 219 dokumenter via OEP. Vi ser slik en liten nedgang sammenliknet med året før. I tillegg til de begjæringene som kommer via OEP, kommer det imidlertid en god del henvendelser om innsyn direkte til arkivet. Tar vi med dette i tallmaterialet er det totale nivået noe i overkant av hva det var i 2013.

Tall fra OEP. Grafisk fremstilling.

Antall innsynskrav var ventet å øke etter endringene i offentlighetsloven. Nå ser det imidlertid ut til at dette er i ferd med å stabilisere seg.

Vi har i noe større grad avslått innsynskrav sammenliknet med 2013. Økningen er ikke utslag av noen endring av praksis fra vår side, og vi tilskriver økningen at de etterspurte opplysningene i større grad er unntatt offentlighet enn tidligere.  

I 2014 har vi bare hatt fire klagesaker som er sendt til Kommunal- og moderniseringsdepartementet som er klageinstans, og én som vi omgjorde selv etter klagen. Vi har ikke talt det som klage når vi har blitt bedt om en utvidet forklaring på hvorfor vi har nektet innsyn. Med såpass få klager mener vi at vi har et rutinesett og en praksis som stemmer godt med lovens intensjon og publikums forventning.

Vi har etablert gode rutiner som fungerer i det daglige for håndteringen av innsynskrav. Vi ser imidlertid at vi bruker forholdsvis store ressurser på dette arbeidet.

Kameraovervåking og private formål

Datatilsynets langvarige praksis har vært at en privatperson lovlig kan overvåke sitt eget hus og hage med kamera. Overvåking som gjøres for rent personlige eller private formål er nemlig unntatt fra lovens virkeområde (jf. personopplysningsloven § 3 annet ledd). Kameraet kan ikke samtidig fange opp deler av offentlig område eller andres private eien­dom, siden det da ikke lenger er å karakterisere som et rent personlig eller privat formål. Dette gjelder uavhengig av hva som er formålet med overvåkingen.

Den 27. august 2014, kom så Personvernnemnda med en avgjørelse (PVN-2013-25) som endret vår praksis. Nemnda konkluderte med at når en hytteeier hadde montert opp et kamera på egen hytte, et kamera som også fanget opp felles vei og andre hytteeieres eiendom, var det å anse som et privat formål. Slik kameraovervåking ble etter nemndas syn ikke omfattet av personopplysningsloven. Konsekvensen av nemndas avgjørelse var at privatpersoners bruk av kamera normalt må anses som et privat formål, uavhengig av om kameraet fanger opp nabotomten, fellesområder eller offentlig vei. Nemndas konklusjon var overraskende, men den førte til at vi la om praksis og endret veiledningsmaterialet.

Den 11. desember 2014 kom EU-domstolen derimot med en avgjørelse som slo fast at kameraovervåking som blir utført av en privatperson fra egen privat grunn, men som også fanger opp offentlig område, ikke er å regne som et «purely personal or houshold activity» (personverndirektivet artikkel 3 annet ledd). En slik bruk omfattes derfor av direktivets virkeområde.

På bakgrunn av EU-domstolens avgjørelse har Datatilsynet valgt å legge om praksisen tilbake til det vi hadde før Personvernnemndas avgjørelse. Veiledningsmaterialet har også blitt revidert tilbake til sitt opprinnelige innhold.

Selv om avgjørelsen i EU-domstolen retter seg konkret mot en privatperson som kameraovervåker offentlig område, er det mye som taler for at det samme må gjelde for en privatperson som overvåker en nabo, felles vei eller lignende med kamera.

Tilsynsvirksomheten


Gjennomføring av tilsyn/kontroll er en viktig aktivitet for å nå Datatilsynets mål. Vi skal gjennomføre tilsyn i prioriterte sektorer basert på risikoanalyse, systematisere og kommunisere funnene, samt følge opp etterlevelsen av pålegg.

Vi bruker planlagte tilsyn strategisk for å avklare praksis og for å skape oppmerksomhet om kravene i regelverket. Formålet med de fleste tilsynene går utover det å bare kontrollere regelverksetterlevelse hos den ene virksomheten. Vi arbeider for at tilsynsaktiviteten vår skal bidra til bedre regelverksetterlevelse hos et større antall virksomheter. Her er bruk av kontroller i kombinasjon med andre virkemidler, spesielt kommunikasjon, sentralt.

Tilsyn gjennomføres i hovedsak innen våre prioriterte områder. De er nærmere beskrevet under kapittelet «Årets viktigste aktiviteter».

Hvilke virksomheter vi faktisk velger å kontrollere, faller normalt i to kategorier; virksomheter hvor det antas å være en særskilt risiko, og representative virksomheter for å avdekke status i en sektor eller et tematisk område. I 2014 gjennomførte vi totalt 68 tilsyn. I tillegg kommer bruk av kontrollhjemlene våre i annen saksbehandling enn tilsyns­virksomheten, til sammen 246 saker.

I løpet av 2014 gjennomførte vi generelle kontroller hos en rekke virksomheter innen skole- og utdanningssektoren for å skaffe oss et godt grunnlag for påfølgende bruk av andre virkemidler. Videre gjennomførte vi noen mer spissede tematiske tilsyn innen helse og velferd (slik som tilsyn hos tiltaksarrangører for NAV), samt justissektoren. Det ble også gjennomført tilsyn med internkontroll og informasjonssikkerhet i offentlig sektor for å påvirke sektoren til en bedre etterlevelse.

Generelle kommentarer

Det vi her regner som tilsyn, er våre kontroller med om regelverket er fulgt, og der det normalt blir utarbeidet en rapport i etterkant. Et tilsyn eller en kontroll blir vanligvis gjennomført ved at to eller tre medarbeidere fra Datatilsynet besøker en virksomhet.

I noen tilfeller gjennomføres planlagte kontroller som en skriftlig prosess, uten at vi er på fysisk besøk hos virksomheten. Dette er i tilfeller hvor det vi ønsker å undersøke er egnet å få avklart uten stedlig oppmøte. I 2014 ble 55 av tilsynene gjennomført hos virksomhetene (stedlig tilsyn), mens 13 ble gjennomført via brev (brevlig tilsyn).

De brevlige tilsynene skiller seg fra bruk av de samme kontrollhjemlene i øvrig saksbehandling ved at de er en planlagt undersøkelse av konkrete forhold i virksomhetene. I 2014 ble brevlige tilsyn vurdert som hensiktsmessig for den oppfølgingen vi gjorde overfor banker og noen av skolene.

Oversikt over kontrollene Datatilsynet gjennomførte i 2014, fordelt på stedlige og brevlige tilsyn:

Bransje/sektor/område Stedlig Brevlig Totalt
Justis- og politisektoren 4 0 4
Helse og velferd 14 0 14
Skole og utdanning 11 9 20
Offentlig sektor 18 0 18
Bank og finans 0 3 3
Kameraovervåking 6 0 6
Andre 2 1 3
Sum 55 13 68

 

Tilsyn fordelt på områder. Grafisk fremstilling.


Vi har brukt kontrollhjemler i 246 øvrige saker. Dette tallet er hentet ut fra arkivsystemet ved hjelp av søk på sakstype og dokumentenes tittel. På grunn av måten disse dataen er hentet ut på kan vi ikke legge til grunn at tallet er fullstendig presist, men vi anser det som et representativt mål. Selv om det er gjentatt bruk av kontrollhjemler i en enkelt sak, er saken bare talt én gang.

Avvik fra planer

Vi planla å gjennomføre 77 tilsyn i 2014. Årsresultatet er noe under dette. Det er flere grunner til dette:

  • Omorganiseringen (se «Organisasjon og budsjett») kostet oss noe kapasitet på kort sikt, selv om målet er bedre og mer effektiv oppgaveløsning.
  • Vi kuttet ut to kontroller med granskningsvirksomheter. Dette fordi gjennomføringen av de to første kontrollene krevde mye ressurser (overtredelsesgebyrsaker og klagesaker), og at vi anser at målet med kontrollene på kort sikt blir nådd ved å gjennomføre to og ikke fire tilsyn.
  • Vi kuttet tilsyn etter politiregisterloven, da bruk av andre virkemidler ble vurdert som mer egnet.
  • Prosjekttilsyn om internkontroll og informasjonssikkerhet i reiselivsbransjen ble utsatt. Disse ble varslet i 2014 og gjennomføres i januar og februar 2015.
  • Tre planlagte kontroller med kommuner ble ikke varslet på grunn av en flom på Vestlandet som to av de aktuelle tilsynsobjektene var berørt av. Tilsyn ble i stedet varslet på slutten av året og gjennomføres i februar 2015.
  • Etterkontroll med Narvik kommune om bruk av skytjenester ble utsatt og kontrollbrev ble sendt ut sent i 2014, med svarfrist i 2015.


Funn fra tilsynene – avdekkede avvik

Funn som blir gjort under tilsyn kategoriseres som avvik. Det vi si at vi har vurdert praksisen hos den kontrollerte virksomheten til å være et avvik fra krav i regelverket.

Hvilke avvik som avdekkes vil naturligvis avhenge av hva som er tema for den aktuelle kontrollen. For eksempel er kontrollene med finanssektoren brevkontroller på et spesifikt tema, og vi undersøker da ikke internkontroll generelt eller bruk av avtaler.

Saker med særlig interesse er omtalt under de respektive fagområdene under «Årets viktigste aktiviteter». Det er likevel grunn til å fremheve at vi ser systematiske avvik i offentlig sektor og utdanningssektoren knyttet til internkontroll, informasjonssikkerhet og etablering av databehandleravtaler. For tilsyn gjennomført i 2014 er det varslet overtredelsesgebyr overfor fem av atten offentlige virksomheter.

Ett av tilsynene som ble gjennomført i 2014 er ikke kommet tilstrekkelig langt i saks­behandlingen til at avvikene lar seg klassifisere. Derfor avviker antallet tilsyn i tabellen under fra det totale antallet tilsyn gjennomført i 2014.

Oversikt over hvilke typer avvik vi har avdekket under kontrollene i 2014:

Område

 

Totalt ant. tilsyn Antall tilsyn hvor det ble avdekket avvik av en gitt kategori
Ingen avvik Fravær av intern-kontroll1 Utilstr. enkelt-rutiner i intern-kontroll1 Utilstr. sikkerhets-tiltak2 Manglende rettslig gr.lag3 Utilstr. avtaler4 Brudd på mld. plikt Annet avvik
Justis- og politisektoren 4 0 0 0 3 1 4 0 0
Helse og velferd 13 1 0 5 4 0 5 1 3
Skole og utdanning 20 0 0 20 20 2 19 0 0
Offentlig sektor 18 0 5 13 14 0 11 8 0
Bank og finans 3 3 - 0 - 0 - - -
Kameraovervåking 6 0 - 4 1 4 0 2 5
Andre 3 0 1 1 1 0 2 1 0
Sum 67 4 6 43 43 7 41 12 8

 

  1. Internkontroll her er både knyttet til informasjonssikkerhet (pol § 13 og tilsvarende) og ivaretakelse av lovens øvrige krav (pol § 14 og tilsv.). "Fravær av internkontroll" benyttes dersom virksomheten har store mangler i det systematiske arbeidet. For øvrig benyttes "Utilstrekkelige enkeltrutiner"
  2. Herunder manglende risikovurderinger
  3. Herunder brudd på konsesjonsplikten
  4. Databehandleravtaler (pol § 15 og tilsv.), avtale med sikkerhetsparter (pof § 2-15 og tilsv.), samt andre forhold som skal reguleres i avtale
  5. "-" brukes der hvor kategorien ikke ble kontrollert


Kommunikasjon av funn fra kontrollene

Funn fra våre tilsyn blir først samlet og systematisert i kontrollrapporter. Foreløpige rapporter blir så sendt til tilsynsobjektet, tilbakemeldinger blir vurdert og det utformes til slutt en endelig rapport.Alle endelige rapporter publiseres på Datatilsynets nettsted slik at andre aktører i tilsvarende bransje kan lese om funn og hva vi er opptatt av. Videre stadfester rapportene vår forvaltningspraksis innen de aktuelle feltene.

Utover dette brukes funnene i dialog med bransjeforeninger, sektormyndigheter og andre sentrale aktører som tar utfordringene videre. Funn fra tilsyn presenteres også på relevante foredrag.

Noen gjennomførte og planlagte aktiviteter for å følge opp tilsynene i 2014: 

  • Etter tilsynene med skoler og barnehager, oppsummerte vi arbeidet i en samlerapport. Denne ble lansert i juli 2014 på en pressekonferanse sammen med Kommunal- og moderniseringsdepartementet (KMD) og Kunnskapsdepartementet (KD). Videre dialog med sektoren er påbegynt med mål om påvirke sektoren til å etablere nødvendig veiledning, for eksempel en bransjenorm. Dette omtales nærmere i kapittelet om «Barn, unge og utdanning». 
  • Etter tilsynene med private etterforsknings- og granskningsvirksomheter, har vi møtt bransjeorganisasjoner i arbeidet med å etablere felles retningslinjer (bransjenorm) for sektoren. Vi har i den forbindelse deltatt i Finansnæringens fellesorganisasjon (FNO) sitt arbeid med en bransjenorm for forsikringsbransjen. 
  • Vi har over tid konstatert at kommunene har utfordringer med å etterleve systempliktene i regelverket. Vi intensiverer nå dialogen med Kommunesektorens organisasjon (KS) om dette temaet. Vi legger til grunn at bruken av overtredelsesgebyr etter tilsynene i 2014 vil bidra til at budskapet mottas bedre i sektoren.
  • Vi har også startet opp et prosjekt hvor vi først vil gjennomføre et fåtall tilsyn i en bransje hvor vi ikke har vurdert risikoen som høy (reisebyrå), for deretter ta initiativ til dialog med aktuelle bransjeforeninger for å sørge for at det utarbeides veiledningsmateriell for bransjen. Bred etterlevelse av regelverket får vi først når sektorer selv arbeider for etterlevelse. Prosjektet har som mål å initiere slike prosesser med en begrenset ressursbruk fra Datatilsynets side.


Etterkontroller

I 2014 gjennomførte Datatilsynet etterkontroll med en skole. Tre øvrige etterkontroller som var planlagt ble utsatt som beskrevet over (to kommuner og skytjenester). Disse ble varslet på slutten av 2014, og gjennomføres i 2015.

I tillegg ble det gjennomført tre tilsyn med kommuner som hadde negative svar om etterlevelse av internkontrollplikten i kommuneundersøkelsen vår i 2010/2011. For to av disse resulterte tilsynene med at det ble varslet om overtredelsesgebyr på grunn av store mangler ved kommunenes internkontroll.

Organisasjon og budsjett


Datatilsynet fikk 38 264 000 kroner til disposisjon i 2014. Dette var en økning på 1,4 prosent i forhold til 2013. Når overføringene fra 2013 og tilleggs­bevilgninger var lagt til, hadde vi totalt 40 526 000 kroner til disposisjon i 2014.

Oversikt over bevilgninger de siste årene:   

År Bevilgning
2011 32 051 000,-
2012 35 015 000,-
2013 37 753 000,-
2014 38 264 000,-


Fordelt på lønn og drift, utgjorde lønns­utgiftene 27 785 000 kroner (69 prosent). Driftsutgiftene utgjorde 12 741 000 kroner (31 prosent). 

Organisasjon

Datatilsynet ledes av direktør Bjørn Erik Thon. Ledergruppen består av fire menn og en kvinne.

I 2014 har Datatilsynet hatt 41 faste stillinger. Av disse var 54 prosent kvinner og 46 prosent menn. I løpet av året har to medarbeidere sluttet, mot tre året før.

   

Den 1. september 2014 gikk vi bort fra en profesjonsbasert organisasjonsmodell og over til en organisering som i mye større grad baserer seg på tverrfaglighet i oppgave­løsningen. Slik vil flere beslutninger kunne bli tatt uten at de blir hevet opp til avdelings­direktørnivå eller direktørnivå.

Ved å gå bort fra en profesjonsbasert tilnærming har medarbeiderne fått en bedre oversikt over hva som rører seg innen de sektorene de respektive gruppene er ansvarlig for, og har fått en mer helhetlig tilnærming til sin oppgaveløsning.

Det har også vært et mål at ledelsen skal gis større rom til å drive strategisk ledelse, og til å ta ansvar for ulike overordnede og horisontale funksjoner i virksomheten. Dette gjelder for eksempel juridisk utviklingsarbeid, inter­nasjonal deltakelse og informasjonssikkerhet.

Inkluderende arbeidsliv (IA)

Datatilsynet er omfattet av avtalen om inkluderende arbeidsliv, og har spesiell oppmerksomhet på forebygging og oppfølging av sykefravær. Vi har en sykefraværsprosent som er 2,84 prosent lavere enn sykefraværet på nasjonalt nivå (som er oppgitt å være 5,5 prosent). Sykefraværet i 2014 var totalt 2,66 prosent mot 3,1 prosent i 2013. Det er altså en nedgang i sykefraværet fra året før.

Datatilsynet har i samarbeid med bedrifts­helse­tjenesten gjennomført arbeidshelse­kontroller og ergonomisk veiledning for å forebygge sykefraværet. Det tilbys dessuten trening i treningssenter. Det ble også kjøpt inn hjertestarter og arrangert et kurs i bruk av denne i 2014.

Som arbeidsgiver har Datatilsynet plikt til å innkalle minst én kvalifisert funksjons­hemmet/yrkeshemmet søker til ansettelses­intervju. I løpet av 2014 har ikke Datatilsynet hatt søkere som har oppgitt nedsatt funksjonsevne til noen stillinger.

Vi har heller ikke hatt personer tilsatt på IA-plass eller traineeordning i 2014.

Lære- og praksisplasser

Med utgangspunkt i samfunnskontrakten for 2013-2015, skal statsforvaltningen øke antallet lærlinger. Datatilsynet vurderer fortløpende henvendelser om å ta inn lærlinger eller opprette praksisplasser, og vi vurderer da også om vi har kapasitet til å følge opp vedkommende tilstrekkelig.

I 2014 har vi hatt to praksisplasser. I januar startet vi opp en praksisplass knyttet til IT-drift. Denne kom i stand etter en henvendelse fra tiltaksarrangøren Reaktorskolen. Vi har også hatt en praksisplass tilknyttet kommunikasjonsavdelingen i en periode på omlag fem måneder, finansiert av NAV.

Datatilsynet har dessuten hatt to studentarbeidsplasser i 2014. Arbeids­oppgavene deres har vært knyttet til veiledningstjenesten, der de særlig har jobbet med å besvare e-post og å produsere utkast til veiledende svar i enklere saker. Vi mener at studentene har fått en god praktisk erfaring i personvernjuridisk arbeid, noe som er vanskelig å få andre steder enn i Datatilsynet.

Helse og velferd

Helse- og velferdsområdet omfatter blant annet barnevern, helse- og omsorgs­tjenestene, NAV, helseforskning og samfunns­forskning. Opplysningene som behandles i denne sektoren er blant de mest sensitive som finnes, og befolkningen selv anser opplysningene for særlig beskyttelses­verdige. Det behandles opplysninger om befolkningen i alle livsfaser, og ønsket om bruk og gjenbruk av opplysningene til stadig flere formål, øker.

Hovedutfordringen for personvernet innen helsesektoren er at denne sektoren er gjenstand for store forandringer, og at disse endringene skjer i et raskt tempo. Som eksempel nevnes ny lovgivning, ny forordning, teknologiutviklingen og utviklingen innen e‑helse.

Videre er det en utfordring at helse- og omsorgstjenestene er preget av mange aktører og flere ulikt organiserte virksomheter med forvaltningsansvar og beslutnings­myndighet. Leverandører og databehandlere har ofte sentrale roller. I spesialisthelse­tjenesten ser vi at viktige deler av data­behandlingsansvaret, slik som tilgangs­styring i helseforetakene, i praksis ivaretas av enheter eller underselskaper som er opprettet av de regionale helseforetakene. Dette kan utfordre de reelt ansvarlige helseforetakenes muligheter til å overholde sine plikter, og det er viktig at det legges til rette for at helse­foretakene kan utøve sitt ansvar og styre underleverandørene på en god måte.

Endringer i bruken av pasientjournalsystemer, primært for å gi tilgang til pasientinformasjon på tvers av virksomhetsgrenser, stiller nye krav til systemenes evne til å ivareta sikkerheten, slik at opplysninger ikke gjøres tilgjengelig utover det som er nødvendig og relevant for den helsehjelpen som skal ytes.

En annen aktuell utfordring er den økte utvekslingen av helseopplysninger som følger av helse- og omsorgsreformen. Flere opplysningskategorier om den enkelte vil gjøres tilgjengelig for et økende antall helse- og omsorgsarbeidere. Informasjonsdeling til beste for den enkelte pasient er utvilsomt et gode. Det å sørge for at slik informasjons­deling ikke fører til utilsiktet spredning av sensitive opplysninger, er imidlertid en vesentlig utfordring for ivaretakelsen av enkeltindividets krav på beskyttelse av sine egne opplysninger.

Ny lovgivning som trådte i kraft fra januar 2015, åpner for ytterligere informasjons­utveksling mellom virksomheter innenfor helse- og omsorgstjenesten. Dette skjer ved at det generelle forbudet om tilgang til opplysninger på tvers av virksomheter, som gikk frem av tidligere helseregisterlov § 13, ikke videreføres i de nye lovene.

Velferdsteknologi har vært et sentralt tema for Datatilsynet de siste årene, så også i 2014, og vi ser at det fortsatt er store personvern­utfordringer på området. Utfordringene knytter seg blant annet til krav til sikkerhet, dokumentasjon og praktiske utfordringer ved bruk. Vi ser at anvendelsen av velferds­teknologi i den ordinære helse- og omsorgstjeneste fremdeles er meget begrenset, og at tjenesten fortsatt testes ut i piloter og prosjekter. Vi forventer imidlertid at velferdsteknologi i større utstrekning brukes i ordinær tjeneste fra 2015.  

NAV behandler store mengder opplysninger om hele Norges befolkning, og har mange av de de samme problemstillingene som vi finner i helsesektoren knyttet til behandling av personopplysninger. Dilemmaet mellom å ha tilgjengelige opplysninger og å sikre tilfredsstillende konfidensialitet kan utgjøre utfordringer for personvernet.

En annen utfordring innen NAV-systemet er at det i stor grad benyttes eksterne leverandører for å oppfylle de oppgavene NAV skal ivareta. Datatilsynet oppfatter at ansvarsforholdene i disse tjenestene er uklare. Etter å ha forsøkt å få klarhet i dette gjennom korrespondanse med NAV over lang tid, mente vi at det var nødvendig å gjennomføre tilsyn med NAVs bruk av tiltaksarrangører i 2014. NAV har vurdert det slik at tiltaksarrangørene er behandlingsansvarlige for behandlingen av opplysninger de gjør på oppdrag fra NAV, og at NAV ikke kan anses som ansvarlige.

Datatilsynets overordnede mål for helse- og velferdsområdet er at vi skal være pådrivere for at de ansvarlige beslutningstakerne ivaretar sine plikter etter personopplysnings­loven. Vi skal formidle de gode mulighetene som ligger i innebygd personvern, og fremheve hvordan sektoren kan bruke opplysninger som ikke identifiserer enkeltindivider.


Gjennomførte aktiviteter

Innen helse- og velferdssektoren bruker vi forholdsvis mye tid på foredrag for, og kontakt med, sentrale aktører for å oppnå godt personvern. Vi har i 2014 gjennomført en rekke møter med blant annet leverandører av tekniske løsninger og journalsystemer, helseforetak, helseregistermiljøer og helse­myndighetene. Slike møter anses som nyttige både for vår egen kunnskapsbygging og fordi vi på enkle måter får formidlet viktige personvernhensyn.

I forbindelse med behandlingen av konsesjons­­saker har vi i mange tilfeller gjennomført møter med behandlings­ansvarlige og med personvernombudene dersom virksomheten har det. Disse møtene er nyttige for å kunne belyse saken på en god måte. Det letter også den skriftlige delen av saksbehandlingen i ettertid.

I løpet av året har vi gjennomført flere tilsyn på dette området. Vi hadde blant annet behov for å følge opp tidligere tilsyn med tilgangs­styring, skaffe oss mer kunnskap om den faktiske situasjonen innen velferds­teknologi og for å avklare ansvarsforhold rundt NAVs bruk av tiltaksarrangør.

Vi har også en omfattende involvering i arbeidet med og rundt Norm for informasjons­sikkerhet i helse-, omsorgs- og sosialsektoren. I 2014 har vi blant annet bidratt med juridisk og sikkerhetsfaglig kompetanse i arbeidet med å utarbeide en veileder for ivaretakelse av informasjonssikkerhet ved bruk av velferds­teknologi i kommunene. Veilederen skal ferdigstilles tidlig i 2015.

Tilsyn med tilgangsstyring

Tilgangen til helseopplysninger om enkelt­personer skal være styrt av tekniske tiltak. Pasientopplysninger skal bare være tilgjengelige for det helsepersonellet som behøver opplysningene for å gi enkeltpersoner helsehjelp, og opplysningene skal bare være tilgjengelige når personellet trenger tilgang.

Datatilsynet gjennomførte i 2014 tilsyn med tre sykehus og hvordan de styrer tilgangen til pasientopplysninger i elektroniske pasient­journaler. Vi kontrollerte dette også i 2005, 2009 og 2013, men anså at det var nødvendig å gjøre en oppfølging for å se hvordan situasjonen var nå. Vi vurderte det også som særlig viktig i forkant av ny pasientjournallov, som i større grad enn tidligere åpner for tilgang til opplysninger på tvers av virksomheter.

Vårt inntrykk er at sektoren er blitt bedre på dette. Likevel finner vi fortsatt alvorlige brudd på bestemmelsene om tilgangsstyring. Funnene våre viser at sykehusene er for dårlige på å gjennomføre vurderinger av hvilke opplysninger som skal være tilgjengelige for hvem. De faktiske tilgangene til helse­opplysninger er for vide, og tilgangene fjernes ikke når de ikke lenger er relevante for å gi helsehjelp. Virksomhetene fører heller ikke tilstrekkelig kontroll med hvordan helsepersonellets tilganger benyttes.

Manglende tilgangsstyring internt i helse­virksomhetene er alvorlig nok. Trusselen mot personvernet blir enda større når tilgangene ikke begrenses av virksomhets­grenser. Ny pasientjournallov og forskrift om tilgang til helseopplysninger mellom virksomheter, åpner for tilgang til svært mange flere pasient­opplysninger enn i dag. Dette stiller ytterligere krav til tilgangsstyring. Datatilsynet stiller seg spørrende til om sektoren er klar for å ivareta de kravene som er nødvendige for å åpne for slike tilganger.

Tilsyn med bruk av velferdsteknologi

Vi gjennomførte fem tilsyn med bruk av velferdsteknologi i desember 2014. To av tilsynene ble gjennomført med leverandører og tre med kommunale tjenester.

Erfaringen fra tilsynene er at velferdsteknologi kun i liten grad er tatt i bruk i ordinær helse- og omsorgstjeneste i kommunene. Imidlertid har det vært testet ut i prosjekter som også fullt ut reguleres av personvernregelverket. Funnene fra tilsynene tilsier at kravene til avtale ved behandling av opplysninger på vegne av databehandlingsansvarlige i liten grad er oppfylt. I tillegg mener Datatilsynet at det trolig er for vide tilganger til opplysninger hos databehandlere/leverandører.

Erfaringene vi har gjort gjennom kontrollene har gitt oss en oversikt over utstrekningen av velferdsteknologi, i tillegg til at vi har identifisert enkelte problemstillinger og avvik fra personvernregelverket som vi kan arbeide videre med i 2015. Tidlig påvirkning, også ved bruk av tilsyn, vil bidra til at utbredelsen av velferdsteknologi skjer i samsvar med regelverket.

Tilsyn med NAVs bruk av tiltaksarrangører

Datatilsynet valgte å gjennomførte fire kontroller med NAVs bruk av tiltaks­arrangører, etter at vi har forsøkt å klargjøre ansvarsforholdene rundt denne ordningen over en lang periode. Det har tidligere vært avholdt møter og det har vært skriftlig korrespondanse, uten at forholdene etter vår oppfatning har blitt klarere. En av kontrollene ble gjort med Arbeids- og velferdsdirektoratet og tre kontroller ble gjort med arbeids­markeds­­bedrifter.

Etter disse tilsynene konkluderte vi med at NAV er å anse som behandlingsansvarlig for mange av de tiltakene som leveres gjennom tiltaksarrangører, og at det anses som avvik at det ikke foreligger tilfredsstillende data­behandlingsavtaler mellom partene.

Høring – tilgang til helseopplysninger på tvers av virksomhetsgrenser

De nye lovene om helseregistre og pasientjournaler ble vedtatt av Stortinget sommeren 2014, og trådte i kraft 1. januar 2015. Den nye pasientjournalloven inneholder hjemmel for å tillate tilgang til helse­opplysninger på tvers av virksomhets­grenser. Denne åpningen forutsetter imidlertid at slik tilgang reguleres i forskrift. Høsten 2014 sendte Helse- og omsorgsdepartementet derfor forslag til forskrift som skal regulere tilgang til helseopplysninger på tvers av virksomhetsgrenser, på høring.

Datatilsynet hadde vesentlige innvendinger til hvordan departementet hadde valgt å utforme forskriften. Først og fremst mente vi at det manglet en erkjennelse av at det å åpne for tilgang til pasientjournaler på tvers av virksomheter, er å godta at tilgjengelighet skal gå på bekostning av konfidensialitet. En slik erkjennelse er avgjørende for å kunne gjøre reelle risikovurderinger og beslutte riktige sikkerhetstiltak.

Dernest mente vi at forslaget til forskrift var for generell og åpen for skjønnsmessige vurderinger. Departementet burde enten gitt en større grad av detaljregulering i forskrift, eller sørget for en godkjenningsordning for de virksomhetene som skal åpne for tilgang på tvers.

Datatilsynet understreket behovet for å korrigere svakhetene ved dagens journal­systemer før det åpnes for tilgang til pasient­journaler mellom virksomheter. Et eksempel vi har trukket frem som sentralt, er at virksomheter som skal åpne for tilgang på tvers, må ha en elektronisk pasientjournal som lar seg sortere (krav til strukturering).

Datatilsynet støttet forslaget om en egen bestemmelse som gir en plikt til å følge opp avvik fra bestemmelsene om tilgang, samt plikt til å informere pasienten om slike avvik. Dette ble ivaretatt når forskriften ble vedtatt.

Også på flere andre områder var vi positive til den endelige forskriften, blant annet hvordan loggkravet ivaretas og at forskriften på en ryddig måte legger plikter på begge parter i kommunikasjonen. Videre er vi positive til at forskriften skal revideres etter ett år.

Saksbehandling og sentrale nemndsavgjørelser

Datatilsynet har også i 2014 hatt mange saker til behandling innen dette feltet. Noen av sakene opprettes etter at enkeltpersoner kontakter oss, og at vi så velger å ta sakene inn til ordinær saksbehandling. Målet med saksbehandlingen er i disse tilfellene å avdekke om det foreligger systemsvikt som bakgrunn for enkelthenvendelsene. Et annet mål er å skaffe kunnskap om området, og å avdekke om det kan være behov for å gjennomføre kontroller.

Den største delen av sakene gjelder likevel søknader om konsesjon til gjennomføring av forsknings- og kvalitetssikringsprosjekter, og behandling av opplysninger i helseregistre. Vi har sett at det er et økende ønske om å opprette kvalitetsregistre knyttet til spesialisthelsetjenesten.

I mangel av sentrale eller lokale registre for kommunalhelsetjenesten, har vi gjennom saksbehandlingen sett at det er ønske om å bruke eksisterende registre som er opprettet for andre formål, for å hente ut informasjon til forsknings- og kvalitetssikringsformål. For eksempel har Datatilsynet behandlet flere konsesjonssaker hvor det skal benyttes data fra HELFOs register KUHR (Kontroll og utbetaling av helserefusjon), som er opprettet for å forvalte behandlingsrefusjon og er hjemlet i folketrygdloven.

En annen tendens vi har sett er at forsknings­miljøene ønsker å samle store datasett i et «hovedprosjekt» eller i en form for forsknings­register, og så benytte dataene i flere underprosjekter. Vi har hatt flere veilednings­møter i forbindelse med søknader om konsesjon og opprettelse av registre i 2014, og vi forventer søknader om konsesjon for flere av disse prosjektene og registrene i 2015. Vi ser også at eksisterende registre utvides og at opprinnelig avgitte samtykker strekkes langt og tolkes utvidende.

Personvernnemnda har i 2014 kommet med flere avgjørelser som har betydning for Datatilsynets saksbehandling av konsesjons­søknader knyttet til rekkevidden av avgitte samtykker, plikten til å gi informasjon og Datatilsynets konsesjonskompetanse:

NOKBIL (PVN-2013-28) og NORHIV (PVN-2014-02)
I årsmeldingen for 2013 omtalte vi to prinsipielle avgjørelser om avslag på søknad om konsesjon for nasjonale kvalitetsregistre. De prinsipielle temaene i de to sakene belyser grensedragningen mellom hvilke samtykkebaserte registre som kan opprettes i medhold av konsesjon fra Datatilsynet, og hvilke av disse registrene som krever forskriftsregulering. Den ene søknaden gjaldt opprettelse av et nasjonalt register, NOKBIL, over pasienter som benytter biologiske legemidler. Dette er basert på fellesregistermodellen, og består av flere underordnede registre som rapporterer til et overordnet register. Det andre nasjonale registeret, NORHIV, innebar registrering av HIV-pasienter.

Datatilsynet la til grunn at begge registrene, hver på sin måte, var av en slik karakter at konsesjon ikke var et tilfredsstillende rettslig grunnlag etter helseregisterloven. Vi viste til intensjonene med å regulere helseregistre i særlov, som var å styrke det rettslige grunnlaget for å etablere registre. Det ble også vist til lovforarbeidenes føringer for å vurdere skillet mellom de ulike hjemmelsgrunnlagene for ulike typer helseregistre. Datatilsynet la derfor til grunn at begge registrene eventuelt måtte opprettes i medhold av forskrift etter helseregisterloven § 8.

Personvernnemnda vurderte klagen og kom til samme konklusjon som Datatilsynet. Nemnda uttaler i tillegg at kravene til forskrifts­regulering i helseregisterloven § 8, ikke kan omgås ved å benytte § 5 og konsesjon som grunnlag for slike registre.

Individuell informasjonsplikt etter helseforskningsloven (PVN-2013-23)
Saken gjaldt Universitetssykehuset Nord-Norge HFs plikt etter helseforskningsloven § 28 til å på forhånd informere alle pasienter om at humant biologisk materiale som er innsamlet som ledd i diagnostisering og behandling, i visse tilfeller kan benyttes til forskning uten innhenting av pasientens samtykke. Det var på det rene at helse­foretaket ikke hadde oppfylt informasjons­plikten sin i perioden 2009-2013.

Spørsmålet som var til behandling i denne saken var om helseforetaket kunne reparere dette ved å gi generell informasjon i form av pressedekning eller lignende, eller om hver enkelt pasient måtte få individuell informasjon. Nemnda var enig med Datatilsynet i at reparasjon av den ikke-oppfylte plikten til informasjon måtte gis individuelt i form av brev til de berørte pasientene.

Krav om samtykke for registrering i Nasjonalt tvillingregister (PVN-2013-17)
Nasjonalt folkehelseinstitutt (FHI) ønsket å samle datasett fra flere ulike forsknings­prosjekter som gjaldt tvillinger, i et nasjonalt tvillingregister. Spørsmålet Personvern­nemnda skulle ta stilling til var om FHI måtte innhente nye samtykker fra de registrerte for å overføre helse- og personopplysninger til det nasjonale registeret.  

Konklusjonen nemnda kom til var at det måtte innhentes nye samtykker fra deltakerne. Det ble lagt vekt på at det er en vesentlig forskjell på å samtykke til tidsbegrensede og formåls­bestemte forskningsprosjekter, og til registrering i et permanent, nasjonalt forskningsregister. Videre kom nemnda til at informasjonen som forskningsdeltakerne får, vil være førende for hvilken adgang det er til å tilføre et register nye opplysninger.

Reseptregisteret – hva betyr pseudonymt? (PVN-2013-15)
Oslo universitetssykehus (OUS) ønsket å gjennomføre et forskningsprosjekt som innebar kobling mellom pasientjournaler og Reseptregisteret. Pasientene som deltok i prosjektet hadde samtykket til gjennomgang av pasientjournalen, men OUS ønsket en mer strukturert innhenting av oppfølgningsdata ved kobling med flere helseregistre, deriblant Reseptregisteret.

Reseptregisterforskriften fastslår imidlertid at det er et forbud mot å ha samtidig tilgang til identitetsopplysninger og reseptopplysninger. Forbudet gjør det ulovlig å omgjøre et pseudonymt register til å bli et person­identifiserbart register. Dette betyr at Datatilsynet ikke kan gi konsesjon til en slik kobling, med mindre koblingen er pseudonymisert, eller at den registrerte samtykker.

Personvernnemnda sluttet seg til Datatilsynets vedtak. 

Farmers biobank – bredt samtykke (PVN-2013-14)
Spørsmålet i denne saken var knyttet til rekkevidden av samtykker gitt for 20 til 25 år tilbake i tid. Samtykkene ble gitt av bønder som hadde takket ja til å delta i et forsknings­program i regi av Statens arbeidsmiljøinstitutt (STAMI). Deltakerne fikk informasjon om at formålet var å «kartlegge allergi, luftvegs- og lungesjukdom i landbruket». Kreftregisteret ønsket så å inkludere helseopplysningene i et tematisk forskningsregister, og benytte dem til å studere eksponeringer som har betydning for helseforhold, sykdom og død blant bønder. Datatilsynet mente derimot at samtykket ikke dekket en slik bruk.

Personvernnemnda kom til at det opprinnelige samtykket også omfattet slik forskning som det nå ble søkt om. Klagen ble tatt til følge og Datatilsynet fikk ikke medhold i sitt syn.

Nyrebiopsiregisteret (PVN-2013-07)
Sakens opprinnelse var en klage på Datatilsynets avslag på endring av konsesjon. Datatilsynet mente at i de tilfellene hvor de registrerte i nyrebiopsiregisteret var mindreårige, og foresatte eller verge hadde samtykket på deres vegne, måtte databehandlingsansvarlig innhente nye samtykker fra ungdommene når de fylte 16 år.

Personvernnemnda kom imidlertid til at vergens samtykke fortsatt er gyldig, men at råderetten for tilbaketrekking går over til barnet ved fylte 16 år. Klagen ble tatt til følge.

Øvrige aktiviteter

Kontaktmøter
Innen helsesektoren er det flere store prosesser i gang, og vi har i 2014 hatt bred kontakt med Helsedirektoratet tilknyttet blant annet Nasjonal kjernejournal «En innbygger – en journal», Min Helsejournal og e-Resept.

Datatilsynet har også hatt kontaktmøter med andre sentrale aktører innen helse- og velferdssektoren, både i tilknytning til saks­behandling av konsesjoner og generelle kontaktmøter. I 2014 har vi blant annet hatt møter med Norsk Pasientregister, Helsenett, HUNT (Helseundersøkelsen i Nord-Trøndelag), Norsk senter for telemedisin (NST), Universitetet i Tromsø (i forbindelse med Tromsøundersøkelsen), Senter for klinisk dokumentasjon og evaluering (SKDE) og Kommunesektorens organisasjon (KS).

I desember 2014 deltok vi i et møte mellom sentrale aktører innen helseregistermiljøene for å diskutere betydningen av den nye helseregisterloven som trer i kraft 1. januar 2015.

Referansegruppe
Datatilsynet har deltatt i en referansegruppe i to utredninger gjort av KS.

Den første utredningen gjaldt kommunenes praksis ved behandling av individuell opplæringsplan (IOP). Den andre utredningen, som fortsatt er under utarbeidelse, tar for seg kommunenes praksis for håndtering og arkivering av dokumentasjon innenfor pleie- og omsorgstjenestene. I denne utredningen ses det særlig på når dokumentasjon skal registreres i saksbehandlingssystem, og når det skal dokumenteres i elektronisk pasientjournal.

I begge utredningene blir arkivrettslige og personvernrettslige problemstillinger vurdert. Utredningene har tatt sikte på å se på gjeldende rett, beskrive praksis ute i kommunene, påpeke avvik fra regelverket, samt komme med anbefalinger til hvordan kommunene kan innrette seg for å ha en praksis i tråd med gjeldende regelverk.

Datatilsynet opplever å ha reell innflytelse på innholdet i denne type arbeid. I den grad vi setter av nok ressurser til å kunne gi konkrete råd og anbefalinger, så er deltakelse i eksterne arbeidsgrupper en type arbeid som vi får god uttelling for.


Fremtidige utfordringer

Med ny lovgivning har det blitt større adgang til å kunne gi tilgang til pasientopplysninger på tvers av virksomhetsgrensene. Forskriften som regulerer slik tilgang, inneholder få krav til fagsystemene, noe som er en forutsetning for å sikre at tilgangene som gis ikke medfører en utilsiktet og ulovlig tilgang til person­opplysninger. Datatilsynets kontroller over tid viser at pasientjournaler mangler den nødvendige strukturen som skal til for å kunne sikre at det ikke gis tilgang til mer enn det som er nødvendig. Riksrevisjonen har også gjort tilsvarende funn, publisert i en rapport fra november 2014. Vi er derfor bekymret for at den adgangen pasientjournalloven gir, kan føre til unødvendig og utilsiktet spredning av pasientopplysninger.

Pasientjournalloven åpner også for at det kan opprettes behandlingsrettede helseregistre mellom samarbeidende helsepersonell, og det er gitt forskriftshjemmel til å regulere disse forholdene. Uten at slik forskrift gis, er vi bekymret for hvordan praksisen vil utvikle seg på dette området.

På velferdsteknologiområdet mener vi at det ligger en stor personvernrisiko i at det ikke foreligger sentrale føringer for bruken i nevneverdig grad. Normens veileder vil gi noen retningslinjer, men det er fortsatt et stort behov for kunnskap, knyttet til behandling av opplysninger ved bruk av velferdsteknologi.

Barn, unge og utdanning

Barnehager, grunnskoler og videregående skoler behandler store mengder opplysninger om barn, elever og foresatte. Opplysningene befinner seg gjerne på tradisjonelle lagrings­steder som papirbaserte arkiv, permer, notatbøker, ranselpost og lignende. Den teknologiske utvikling de senere har imidlertid ført til at opplysninger om barnehagebarn og elever i stadig større grad behandles digitalt.

Opplysningene befinner seg nå i saks­behandlingssystemer, skoleadministrative systemer, lærings­plattformer, innloggings­tjenester på internett, i digitale lærings­ressurser og så videre. Det er mange aktører på banen, og kunnskapen om personvern blant barnehageeiere, skoleeiere, lærere og leverandører av digitale tjenester er varierende.

Dette bildet skaper utfordringer for person­vernet fordi systemene som tas i bruk fordrer både at bestillerne (fylkeskommune, kommune, barnehage, skole) evner å sette de begrensningene som personopplysningsloven krever, og at leverandørene evner å tilby løsninger som oppfyller kravene i regelverket.

Alle registreringene om et barn gjennom et helt utdannelsesløp utgjør tilsammen et sett med opplysninger som gir et omfattende og detaljert bilde av barnets utvikling, samt faglige og sosiale atferd. Det at flere opplysninger om barna lagres digitalt, betyr også at spredningspotensialet blir større. Uten tekniske sperrer og gode rutiner, er det lettere at opplysningene brukes til andre formål enn det de var ment til, og opplysningene kan med få tastetrykk spres til mange. Barn og unge er slik sett en ekstra sårbar gruppe, da de ikke kan samtykke til all registreringen selv.

Datatilsynets overordnede mål for dette området er at alle barn skal ha beskyttelse i tråd med gjeldende personopplysnings­regelverk. Vi jobber derfor kontinuerlig med å bidra til at barn og unge læres opp til å bli bevisste om sitt eget personvern. Det er i den sammenhengen minst like viktig at barnehage- og skoleeierne tar personvern på alvor, både i egen organisasjon, og overfor barna og deres foresatte. Vi har derfor et langsiktig mål om at bevisstheten om personvern blant skoleeiere, lærere, foresatte og elever i løpet av et par år skal være så god at Datatilsynet ikke trenger å være på banen med annet enn veiledning.

Men for å nå disse målene må vi ha oversikt over hvilke utfordringer som finnes (hvem lagrer hva, hvor lagres det, hvorfor, hvem har tilgang, hvordan behandles alle opplysningene og så videre). Datatilsynet prioriterte derfor å se nærmere på dette i 2013 og 2014. Gjennom møter med aktører på området, og kontroller ved en rekke barnehager, grunnskoler og videregående skoler, har vi derfor skaffet oss en viss oversikt over hvilke opplysninger som registreres om barna i både barnehager og skoler, og hvordan disse opplysningene behandles.

Vi har avdekket at rutinene for å sikre barns personvern i skoler og barnehager er mangelfulle. Samtidig vet vi at bruken av elektroniske og nettbaserte tjenester i skoler og barnehager bare vil øke ytterligere i årene som kommer. Tilgjengelighet er et stikkord i dagens og morgendagens skole. Mange ser nytten av å ta i bruk mobiltelefoner, nettbrett og lignende i skolehverdagen. Flere av aktørene vi har vært i kontakt med påpeker at nettbaserte løsninger er sårbare, og at det er behov for veiledning knyttet til hva som er akseptable sikkerhetsløsninger.


Gjennomførte aktiviteter

For å skaffe oss en bedre oversikt over hvilke personopplysninger om barn og unge som blir behandlet, og hvordan de behandles og sikres, valgte vi altså å benytte tilsynsvirkemiddelet og gjennomførte kontroller med en rekke skoler og barnehager, både offentlige og private, i 2014.

Mange av funnene var sammenliknbare, og denne kartleggingen oppsummerte vi i en samlerapport som ble kommunisert aktivt gjennom en rekke kanaler. Vi har også deltatt som foredragsholdere ved flere store og små arrangementer. På dette området mener vi å ha fått til en god og hensiktsmessig bruk av, samt en god balanse mellom, de ulike virkemidlene vi har til disposisjon.

Tilsynsrekke i barnehager, grunnskoler og videregående skoler

I løpet av året gjennomførte vi stedlige kontroller med elleve grunnskoler, fire videregående skoler og fem barnehager. Vi gjennomførte brevlige kontroller med fire grunnskoler og fem videregående skoler. Ved skoletilsynene så vi særlig på bruken av læringsplattformer, skoleadministrative systemer, digitale læringsressurser og overvåking av elevenes bruk av IKT. Ved barnehagetilsynene så vi på kommunikasjons­plattformer og kartleggingsverktøy. Ved to av kontrollene ved grunnskolene så vi særlig på bruken av verktøyet SWIS, som skal sørge for godt psykososialt miljø.

Vi gjennomførte én etterkontroll ved en videregående skole. Temaet for denne kontrollen var å se på om skolen fortsatt la ut dokumenter med sensitive opplysninger om enkeltelever i læringsplattformen, og om dokumentene fremdeles var tilgjengelige for alle ansatte ved skolen.

Vi konstaterer at det er et gjennomgående problem at skolene og barnehagene ikke har tilfredsstillende rutiner for å oppfylle pliktene i personopplysningsloven med forskrift.
Dette gjelder særlig pliktene til:

  • å ha oversikt over hvilke behandlinger av personopplysninger skolen eller barnehagen gjør,
  • å sørge for at foresatte og elever informeres om hvordan opplysninger blir håndtert,
  • å sørge for at innsyn blir håndtert på riktig måte, og
  • å sørge for å ha slette- og/eller arkiv­rutiner for opplysningene om barna.

Det viser seg at det er uklarheter omkring hva personopplysninger er, at dette faktisk er alle opplysninger som kan knyttes til enkelt­personer, slik som bilder, kommunikasjon, logg fra elevers bruk av skolens IKT-utstyr og liknende. Videre er det er ofte uklart hvem som er ansvarlig for behandlingen av person­opplysninger i skole og barnehage, og hvilket ansvar som følger med.

Fylkeskommunen/kommunen har gjerne over­ordnede rutiner, men disse er enten lite kjent på skolen eller i barnehagen, eller de er for lite tilpasset til at de kan brukes der. I den grad skolene og barnehagene har skrevne rutiner om behandlingen av person­opplysninger, handler de gjerne om informasjons­­sikkerhet.

Inntrykket er imidlertid at tradisjonen med papirbasert dokumenthåndtering fortsatt er sterk, og at mange har en oppfatning av at informasjonssikkerhet hovedsakelig handler om å sørge for konfidensialitet. Tilgjengelighet og integritet (det vil si at opplysningene er oppdaterte og korrekte) er ikke like mye vektlagt. Et eksempel er at enkelte vi har snakket med har en oppfatning av at når de har lagret et dokument på en minnepenn og låst den inn i et skap, er informasjons­sikkerheten ivaretatt på en god måte. Opplysningene vil riktignok være vanskelige for en utenforstående å få tak i, men det er en tungvint ordning for de som skal ha tilgang til opplysningene for å gjøre jobben sin (tilgjengelighet). Og ved at det er tungvint er det ikke alltid sikkert at opplysningene blir oppdatert, noe som også er et krav i personopplysningsloven.

Skolens ansatte tar gjerne i bruk digitale verktøy uten å klarere det med skoleeieren, og det er liten bevissthet om mengden personopplysninger som deles med tredjeparter. Leverandørene setter dermed gjerne standarden for personvernet. Flere av skole- og barnehageeierne hadde mangler ved etableringen av databehandleravtaler, samt mangelfull gjennomføring og oppfølging av risikovurderinger. I de tilfellene risiko­vurderinger var foretatt, var de ofte mangelfulle, både med tanke på hvem som utarbeidet dem, variasjon i scenarioer og forslag til sikkerhetstiltak.

Ved kontrollene i barnehagene opplevde vi at det er ulik oppfatning blant barnehageeierne om hvorvidt det skal være opp til de foresatte å bestemme om barnas atferd skal kartlegges ved hjelp av standardiserte kartleggings­verktøy, og om alle barna skal kartlegges, eller bare de med behov.

Ved fem av kontrollene i skolene så vi spesifikt på hva som gjøres av overvåking av elevene. Vi opplevde at omfanget er lite, men at det forekommer overvåking ved noen skoler. Det er lagt opp til liten grad av selvbestemmelse i denne overvåkingen, og det blir gitt for lite informasjon om hvordan det foregår, når logger slettes, hva de brukes til og liknende.

Høring – utredning om Massive Open Online Courses (MOOC)

Kunnskapsdepartementet har gjennomført en utredning av Massive Open Online Courses (MOOC). Denne ble sendt på høring høsten 2014, og vi ga en høringsuttalelse.

Utvalget som står bak utredningen, trekker fram læringsanalyse som en endring hel­digitale læringstilbud vil føre med seg. Av de formene for læringsanalyse som utvalget beskriver, er vi særlig bekymret for såkalt prediktiv analyse. Denne har som mål å forutsi studentenes prestasjoner. Sosiale nettverk blir analysert, og man tar mål av seg til å identifisere studenter som ikke er sosialt og faglig integrert.

En faktor som gjør det ekstra viktig å følge utviklingen i bruk av verktøy som muliggjør læringsanalyse, er at disse verktøyene gir skoleelever liten mulighet til selv å følge med på hvordan egne personopplysninger blir behandlet, og hvor de havner.

Saksbehandling og sentrale nemndavgjørelser

Vi har behandlet en del tips om skoler og barnehager som ikke ivaretar barnas personvern. Ut i fra størrelse og omfang har vi prioritert hvilke saker vi skulle følge opp. Vi har gjennomført tilsyn basert på tips, og vi har fattet vedtak om endring av rutiner og forbedring av informasjonssikkerheten.

Vi har dessuten mottatt og behandlet en rekke avviksmeldinger fra skoleeiere, der det har vært uautorisert utlevering av konfidensielle personopplysninger om elever. Det har blant annet vært tilfeller hvor elever har fått tak i en lærers brukernavn og passord til lærings­plattformer. Elevene har logget seg på og endret egne og andres karakterer. Vi har derfor vedtatt at skoleeiere må innføre sterk autentisering for ansattes pålogging til læringsplattform fra eksterne nett.

Det er fattet to vedtak i Personvernnemnda som berører temaet barn, skole og utdanning:

Innsynsrett for foreldre i skolens aktivitetslogg (PVN-2014-05)
Saken dreide seg om foreldres krav om innsyn i skolens aktivitetslogg, uten barnets medvirkning. Datatilsynet kom til at foreldre til barn over 15 år, ikke har rett til innsyn i aktivitetsloggen fra datasystemet på skolen hvor barnet går. Personvernnemnda sluttet seg til Datatilsynets konklusjon i saken.  

Ansattes innsynsrett i foreldres klager (PVN-2014-09)
Saken dreide seg om en ansatts krav om innsyn i to foreldreklager i en barnehage. Foreldreklagene handlet nettopp om den som ba om innsyn, og foreldrene hadde bedt om å få være anonyme. 

Det som skulle vurderes i saken var om det å gi en klager innsyn i opplysninger om hvem som har klaget på vedkommende, vil komme i konflikt med foreldrenes krav på personvern eller andre åpenbare og grunnleggende interesser.

Datatilsynet mente at det er viktig for en barne­­hage å legge til rette for at foreldre har muligheten til å varsle om forhold i barne­hagen, uten å risikere at det blir avslørt hvem som har fremsatt klagen. Virksomhetens art gjør at dette hensynet veier ekstra tungt. Ansatte i barnehagen arbeider tett med barna, og tillitt til at barna blir ivaretatt på en trygg og omsorgsfull måte, er avgjørende for en god barnehagedrift.

Dersom det gis innsyn i hvem som har fremsatt klager, kan det medføre at foreldre ikke tør gi tilbakemeldinger på forhold i barnehagen, i frykt for eventuelle konse­kvenser dette kan få for dem selv og barnet. Hensynet til at det skal kunne varsles om kritikkverdige forhold, og hensynet til barnas beste, anses i denne sammenhengen for «åpenbare» og «grunnleggende» private interesser. Dette taler for at innsynsretten kun gjelder så lenge foreldrenes og barnas identitet ikke blir avslørt.

Personvernnemnda sluttet seg til Datatilsynets vurdering i saken, og klagen ble ikke tatt til følge.

Øvrige aktiviteter

Som nevnt tidligere skrev vi våren 2014 en rapport om hovedutfordringene knyttet til personvern i opplærings- og barnehage­sektorene. Dette var en samlerapport basert på et forprosjekt vi gjennomførte i 2013, samt funnene fra tilsynsrekken i 2014. Vi kom i rapporten også med forslag til måter å møte disse utfordringene på.

Rapporten ble lansert i begynnelsen av juli på sommerskolen i Oslo, med statsråden i Kommunal- og moderniseringsdepartementet, statssekretæren i Kunnskapsdepartementet og Datatilsynets direktør til stede. Lanseringen førte til en bred pressedekning i både TV, aviser og tidsskrifter.

Vi har også formidlet funnene våre som foredragsholdere på små og store arrangement der vi har møtt ansatte i skoler, kommuner, fylkeskommuner og barnehager, leverandører av IKT-løsninger og andre aktører i opplæringssektoren.

Vi har gjennomført en rekke møter med skoleeiere og leverandører av IKT-løsninger for å se på hvordan de best kan ivareta barnas personvern, og vi har gitt råd til leverandører om å utvikle nye løsninger med innebygd personvern.

Vi har sett at utfordringene, og behovet for veiledning, er felles for alle skole- og barnehage­eierne. Vi mener derfor at det er svært viktig at det tas et samlet og koordinert tak i hele opplæringssektoren, for eksempel med veiledning eller et normarbeid. Vi har derfor invitert sentrale aktører i opplærings­sektoren til å sette i gang et arbeid med å skape en ensartet praksis, en praksis som i hvert fall oppfyller minimumskravene etter lovverket. Vi har hatt et innledende møte, og vil følge opp dette arbeidet i 2015.

Arbeidet vårt med opplæringssektoren har dessuten fått oppmerksomhet i internasjonale fora som Norge deltar i. På bakgrunn av dette har Berlin-gruppen vedtatt at det skal skrives et «working paper» om personvern i skolen. Nederland har lederrollen i dette arbeidet, mens Norge og Canada er utpekt som sparringspartnere og bidragsytere.

Samarbeidsprosjektet «Du Bestemmer»
Du Bestemmer er et undervisningsopplegg som drives i samarbeid mellom Senter for IKT i utdanningen (prosjektleder), Teknologirådet og Datatilsynet. Opplegget skal øke ungdoms kunnskap om personvern, og heve deres bevissthet om valg man gjør ved bruk av digitale medier. Ungdommene skal lære seg å ta kontroll over egne personopp­lys­­n­in­ger, men samtidig respektere andres opplysninger.

I mai ble nettstedet dubestemmer.no relansert. Alt innhold ble da omskrevet og omstrukturert. Det ble også gjennomført et større prosjekt rundt ny interaksjonsdesign og en ny profil med blant annet ny logo, nye farger og nye illustrasjoner. Dette ble gjort i regi av IKT-senteret, men vi deltok aktivt i arbeidet. I tillegg til at det nå er lettere å finne frem i innholdet, ble det laget noen nye elementer som skal øke bruker­vennligheten og oppmuntre til digitalt første­valg. Et av disse er et presentasjons­modus som skal fungere som støtteverktøy når opplegget skal brukes i klasserommet eller lignende.

I forbindelse med lanseringen av nettstedet, ble det også laget en film om personvern og hvorfor det er viktig. Filmen ble dessuten laget i nynorsk og engelsk versjon.

Det kommer jevnlig inn bestillinger på klassesett fra hele landet, og nettstedet er svært godt besøkt. Opplegget benyttes ikke bare i skoler, men også av politi, frivillige organisasjoner, bibliotek, helsestasjoner, foreldre­represen­tanter, til konformasjonsundervisning og lignende.

Til nå er det sendt ut over 650 000 hefter etter bestillinger siden prosjektstart i 2007. Vi ser at antall bestillinger har sunket noe i forhold til tidligere år, og dette kan komme av det som er beskrevet over – at det er blitt mye lettere å benytte nettstedet direkte i undervisningen. Det kan også komme av at heftene fremstår lite oppdaterte etter at alt innholdet på nettsidene ble omskrevet. På slutten av året ble det derfor vedtatt i styringsgruppa å lage nye hefter som samsvarer bedre med innholdet på nettsidene.


Fremtidige utfordringer

Bruken av elektroniske og nettbaserte tjenester i skoler og barnehager vil øke ytterligere i årene som kommer. Det blir tatt i bruk mobiltelefoner, nettbrett og liknende i skolehverdagen, og flere ser nytten og behovet for å ta i bruk skytjenester. Risikoen ved dette er at IKT-utstyr og tjenester tas i bruk uten at det er gjort risikovurderinger eller stilt krav om databehandleravtaler.

Ved at det tas i bruk skytjenester uten data­behandleravtale, kan ikke barnehage- eller skoleeier vite hvordan leverandørene håndterer barnas personopplysninger, om sikkerheten er tilfredsstillende eller hvor opplysningene blir lagret. Man vet ikke hvem hos leverandøren som har tilgang til opp­lysningene eller om leverandøren selv vil komme til å bruke opplysningene til egne formål.

Læringsplattformer, kartleggingsverktøy og skoleadministrative systemer inneholder personopplysninger om nesten alle barn og unge, blant annet i kommunikasjon eller som vurderinger, karakterer og opplysninger om atferd. Før alle virksomhetene har fått på plass sterk autentisering for de ansattes tilgang til disse systemene, anser vi risikoen som høy for at utenforstående vil kunne klare å logge seg på gjennom de ansattes tilganger. Det kan da gjøres forsøk på å endre karakterer og vurderinger, eller tilegne seg informasjon utenforstående absolutt ikke skal ha.

Det er anslått at læringsanalyse vil komme for fullt i løpet av noen års tid. Ved bruk av prediktiv analyse, vil skolen for eksempel kunne forutse hvilke elever som har en større sjanse for å droppe ut av skolen. Skolen vil da kunne sette i gang tiltak for å forhindre at dette skal skje, allerede når barna går i de laveste klassetrinnene. Det som gjør det ekstra viktig for oss å følge utviklingen av verktøy som muliggjør læringsanalyse, er at disse verktøyene kan gi skoleelever og foresatte liten mulighet til selv å følge med på hvordan barnas personopplysninger blir behandlet, hvilke antakelser som ligger til grunn for slik analyse og hvor person­opplysningene havner.

Kartlegging og måling av barns ferdigheter vil bare øke i årene som kommer. Vi er kritiske til en utvikling der kartleggingsverktøy i stadig større grad blir brukt overfor barn uten at foreldrene samtykker til dette. Vi mener dette fratar de foresatte retten til å selv bestemme om egne barns ferdigheter skal kartlegges. Vi må også følge nøye med på myndighetenes økende behov for å måle barnas ferdigheter fremover og ønsket de har om å samle inn resultater av stadig flere nasjonale prøver.

Justissektoren

Individets rett til å bestemme over egne personopplysninger gjelder ikke uten begrensninger. I justissektoren møter vi flere svært tungtveiende hensyn som taler for at staten skal kunne gjøre inngrep i den enkeltes rettssfære, og for at den enkeltes interesser settes til side. Innen den offentlige justis­sektoren er dette strengt lovregulert og kontrollert, og det er stor åpenhet om myndighetenes fullmakter og metoder.

I 2014 trådte også politiregisterloven i kraft. Denne regulerer politiets behandling av person­opplysninger, også utenom straffesaker, og er ment å styrke den registrertes rettigheter.

Vi erfarer at private aktører i stadig større utstrekning benytter seg av tiltak som tradisjonelt har vært forbeholdt offentlige myndigheter, slik som ulike former for privat etterforskning/granskning. Dette kan ha sammenheng med at politiet i stor grad henlegger anmeldte lovbrudd. I privat regi skjer etterforskningen med utgangspunkt i uklart regelverk, den er underlagt lite kontroll og foregår gjerne i det skjulte. Privat etterforskning/granskning har som mål å avdekke om det har skjedd en eller annen form for normbrudd. Flere konsulent­selskaper og advokatfirmaer tilbyr tjenester innen privat etterforskning og granskning.

Det er særlig tre områder innen justissektoren som har hatt hovedprioritet i 2014. Dette gjelder vårt arbeid med politiregisterloven, datalagringsdirektivet og privat etterforskning/granskning.

Både Snowden-avsløringene i 2013, terror­trusselen i juli 2014 og avsløringene som kom i desember 2014 om at mobilnettet i Oslo sentrum har blitt overvåket, har blåst liv i den offentlige debatten om personvern og terror­bekjempelse.

I kraft av ombudsrollen har Datatilsynet deltatt i en rekke debatter om dette temaet, blant annet om hvilken adgang PST bør ha til å bedrive en mer generell overvåking på internett.

Datatilsynets overordnede mål for denne sektoren er at inngrep overfor den enkelte borger skal ha en særskilt begrunnelse. I praksis vil det si en god rettslig forankring av tiltak mot enkeltindivider, og god forut­beregnelighet for den eller de som kan bli utsatt for undersøkelser. Informasjon om offentlig myndighetsutøvelse er også et mål for Datatilsynet. Det er viktig at publikum er informert om regler og plikter i forkant, og det er avgjørende at enkeltindivider blir informert om hva som undersøkes om dem, enten med en gang, og i hvert fall i etterkant.

Vi har også som mål for sektoren å se til at inngripende tiltak blir gjenstand for offentlig debatt og gode demokratiske prosesser.


Gjennomførte aktiviteter

Politiregisterloven trådte i kraft 1. juli 2014. Noen bestemmelser er allikevel utsatt, og det er etablert enkelte overgangsordninger. Vi har i løpet av året hatt god dialog og jevnlige møter med sentrale politimyndigheter og med politiets personvernrådgivere. Blant annet arrangerte vi et halvdagsseminar for person­vern­rådgiverne, der vi så på lovens krav til internkontroll. I møter med Politidirektoratet og Kripos er vi holdt løpende orientert om fremdriften i de ulike prosjektene som jobber med å implementere det nye regelverket, og vi har stilt oss til disposisjon for å bistå i arbeidet. Vårt generelle inntrykk er at politiet har store utfordringer med implementeringen, men at det jobbes planmessig og godt, og med en fremdrift som er forsvarlig. Vi har heller ikke mottatt klager eller andre henvendelser som gir grunn til bekymring vedrørende politiets arbeid, og har derfor ikke sett det som formålstjenlig å gjennomføre kontroller med etterlevelse av politiregisterloven i 2014.

I løpet av året har vi fulgt opp kontrollene av privat etterforskningsvirksomhet som ble gjennomført i 2013. I tillegg til å holde en rekke foredrag om temaet, har vi bistått Finans Norge med å etablere en bransjenorm for forsikringsselskapenes utredning av svik. Denne er ikke ferdigstilt.

Tilsyn med privat etterforskning/granskning

Vi har gjennomført tilsyn hos FaVer AS som tilbyr privat etterforskning/granskning, særlig ved utredning av svik i forsikringsbransjen. I tillegg har vi kontrollert to selskaper som tilbyr granskningstjenester, PWC og Advokatfirmaet Wiersholm. Vi ønsket å se nærmere på om behandlingen er tilfredsstillende regulert og kontrollert gjennom databehandleravtaler med de behandlingsansvarlige.

Vi fattet vedtak om retting og om over­tredelses­gebyr overfor FaVer. Vedtaket er påklaget, og vil oversendes Personvern­nemnda for klagebehandling. Vi har også varslet vedtak om retting og om overtredelses­­gebyr overfor Wiersholm og PWC. Selskapenes tilsvar foreligger, og sakene vil bli behandlet i 2015.

Sentrale høringsuttalelser

Samferdselsdepartementet har foreslått å lovregulere veimyndighetenes behandling av personopplysninger. Datatilsynet er fornøyd med at det etableres en egen lovregulering på området. Vi er også fornøyde med at det ikke ble foreslått å gi politiet en mer generell adgang til å samle inn og bruke opplysninger fra veimyndighetenes registre i andre tilfeller enn ved kontroll og håndhevelse av veg­trafikklovens bestemmelser. Politiets adgang til å samle inn personopplysninger for polisiære formål utover dette, er – og bør fremdeles være – regulert i straffe­prosess­loven.

Justis- og beredskapsdepartementet foreslo å etablere en hjemmel i politiloven, for å gi kommunene adgang til å forby tigging. Datatilsynet er fornøyd med at det ikke ble foreslått å etablere et sentralt tiggerregister, og forutsetter at personopplysninger om tiggerne blir behandlet i tråd med politiregister­lovens bestemmelser.

Saksbehandling og sentrale nemndavgjørelser

Datatilsynet har ilagt Forsvaret et overtredelsesgebyr på 75 000 kroner. Bakgrunnen er at Etterretningsbataljonen i Nord-Norge hadde registrert opplysninger om elleve norske journalister i sine systemer, uten at det forelå nødvendig behandlingsgrunnlag. Dette ble ansett å være et ulovlig inngrep i både journalistenes privatliv og i pressens frihet. Vedtaket ble ikke påklaget.

Gjensidige Forsikring – informasjonssikkerhet og internkontroll (PVN-2013-27)
I 2013 fattet Datatilsynet en rekke vedtak overfor Gjensidige Forsikring med bakgrunn i en kontroll av selskapet. I 2014 ble tre av i alt elleve vedtakspunkter opphevet av Personvern­­nemnda, da nemnda mente at vedtakene manglet «nødvendig presisjonsnivå». Vedtakene om at selskapet må etablere internkontroll og betale et overtredelsesgebyr på 600 000 kroner ble imidlertid ikke opphevet.

Gjensidige Forsikring – skjult granskning (PVN-2014-11)
I 2013 fattet Datatilsynet også et vedtak overfor Gjensidige Forsikring med bakgrunn i en klage fra en privatperson. Klagen gjaldt selskapets utredning av hans forsikringskrav, deriblant bruk av skjulte metoder som spaning og infiltrasjon. Vi mente at dette var et klart uforholdsmessig tiltak, og vedtok et overtredelsesgebyr på 600 000 kroner. Personvernnemnda opphevet dette vedtaket i 2014, da disse tiltakene «etter en konkret helhetsvurdering» ble funnet rettmessige.

Skan-Kontroll – klage på pålegg og overtredelsesgebyr (PVN-2014-01)
I 2012 fattet Datatilsynet en rekke vedtak overfor Skan-Kontroll AS, basert på en kontroll av selskapet. I 2014 stadfestet Personvernnemnda fem av i alt seks vedtakspunkter, men sendte spørsmålet om overtredelsesgebyr tilbake til ny behandling. Datatilsynet traff så et nytt vedtak om overtredelsesgebyr. Dette er påklaget.


Fremtidige utfordringer

Innen justissektoren er det særlig kampen mot kriminalitetsbekjempelse generelt, og terror­bekjempelse spesielt, som utgjør den største trusselen mot personvernet. Denne debatten ventes å fortsette, og vil bli prioritert av Datatilsynet også i fremtiden.

Vi ser dessuten et behov for at det etableres klarere regler for behandling av person­opplysninger i forbindelse med avdekking av hvitvasking, skatteunndragelser og terror­finansiering, områder der banker og finans­virksomheter har et lovpålagt ansvar for å kontrollere og treffe tiltak overfor den enkelte. 

Digitalisering av offentlig sektor

Regjeringen har laget en strategi for sitt digitaliseringsprogram, «På nett med innbyggerne». Programmet skal forbedre og effektivisere offentlige tjenester. Digitalisering betyr i denne sammenhengen å benytte moderne teknologi i kommunikasjonen mellom innbygger og offentlig myndighet, i saksbehandling og i samhandlingen mellom offentlige instanser. For innbyggerne inne¬bærer dette at de skal forholde seg til flere nettbaserte offentlige tjenester. Når flere tjenester flyttes over på nett, skapes nye utfordringer for personvernet, samtidig som det også gir muligheter for å bygge hensynet til personvern inn i løsningene.

Digitaliseringen er kommet langt i offentlig sektor, og stadig nye tjenester tilbys i digital form. Det blir stadig flere som tar i bruk den teknologiske plattformen i Altinn, autenti­serings­løsningene i ID-porten brukes i stadig større grad, og digital post og sikker digital­postboks er i ferd med å tas i bruk i minst to varianter. Likevel er det ennå mange av de viktige digitaliseringsprosessene som er i startgropa. Det er derfor viktig at vi er på banen for å påvirke de riktige aktørene. Vi må sørge for å fremme personvern i alle disse prosessene. Det er fremdeles viktig at vi konsentrerer oss om myndighetsutøverne og beslutningstakerne, idet det er her de viktigste premissene blir lagt. Eksempler på områder der det vil komme utfordringer, er autentisering av ansatte/virksomheter, nasjonalt ID-kort, bruk av biometri til autentisering og identifisering, A-ordningen og andre tjenester der deling av data er sentrale elementer. 

Ved deling og gjenbruk av person­opplysninger, utfordres prinsippet om formålsavgrensning i personvernlovgivningen. Samtidig er det slik at teknologi gir muligheter for å utvikle og effektivisere offentlig sektor. For å sikre et godt personvern ved utveksling og deling av personopplysninger mellom ulike offentlige instanser, og mellom offentlige og private aktører, må ansvarsforholdene være tydelig avklart. For at innbyggerne skal kunne ivareta sitt eget personvern, må de få informasjon om hvilke instanser som lagrer, behandler og utveksler opplysninger om dem, til hvilke formål, samt hvordan de kan ivareta retten sin til innsyn, retting og sletting.  

Offentlig sektor er storforbruker av alle typer personopplysninger. Opplysningene benyttes særlig for å fastslå hvilke rettigheter og plikter den enkelte innbygger har. Det er derfor i innbyggernes interesse at det offentlige har tilgang på korrekte personopplysninger. Hvis videreutviklingen av Altinn, eID-løsningene og en sikker digital postboks tar utgangspunkt i prinsippene for innebygd personvern, kan digitaliseringen av offentlig sektor på noen områder bidra til å bedre innbyggernes personvern.

Det viktige innenfor også denne sektoren er å skape forståelse for nytten av godt person­vern, bidra til god regelverks­etterlevelse, og bidra til at internkontroll og informasjons­sikkerhet er prioritert i digitaliserings­prosjekter og i innføring og bruk av slike løsninger.


Gjennomførte aktiviteter

Datatilsynet utarbeidet i 2013 «Strategi for godt personvern i digitaliseringen av offentlig sektor». Strategien ble revidert i 2014 og danner grunnlaget for de aktivitetene vi prioriterer innenfor dette området.

Vi har gjennomført kontroller med både statlige og kommunale virksomheter som vi over tid har opplevd at har utfordringer med å etterleve kravene til internkontroll og informasjonssikkerhet. Etter vår vurdering er det viktig at virksomhetene først har kommet opp på et akseptabelt nivå med internkontroll og informasjonssikkerhet, før de tar fatt på de store digitaliseringsprosessene.

Vi har gjennomført i alt ti veiledningsmøter med aktører i sektoren. I tillegg kommer utstrakt veiledning per telefon og e-post.

Vi deltar på flere arenaer der vi ønsker å gjøre Datatilsynets ståsted og holdninger kjent, og vi er tilstede på konferanser med både foredrag og stands, og deltar gjerne i debatten knyttet til personvern i digitaliseringen av offentlig sektor. Vi forsøker alltid å bidra med foredrag der vi kan møte mange som har roller i tilknytning til digitalisering, og internkontroll og informasjonssikkerhet i tilknytning til dette.

Vi har også jevnlig møter på toppnivå med alle sentrale aktører innenfor digitalisering, og jobber for å få en fast plass i samarbeids­organet Skate (Styring og koordinering av tjenester i e-forvaltning).

Vi synes vi har fått til en god og hensikts­messig kombinasjon av virkemidlene våre på dette området.

Tilsyn med offentlige virksomheter – internkontroll og informasjonssikkerhet

I 2014 gjennomførte vi kontroller med 18 forskjellige offentlige virksomheter; elleve kommuner, fire direktorater mv., en fylkeskommune, ett fylkesmannsembete og ett departement. Dette er både stikkprøve­kontroller, risikobaserte kontroller og etterkontroller, i den forstand at enkelte av kommunene ble kontrollert som en oppfølging av brevkontroller fra 2011. Samtlige kontroller hadde etterlevelse og dokumentasjon av internkontroll og informasjonssikkerhet som tema.

Selv om det er store variasjoner i hvordan etterlevelsen og dokumentasjon framstår hos de forskjellige tilsynsobjektene, kan vi konstatere at det er et gjennomgående problem at mange offentlige virksomheter ikke har tilfredsstillende rutiner for å oppfylle pliktene i personopplysningslovgivningen.

Dette gjelder særlig pliktene til å:

  • ha oversikt over hvilke behandlinger av personopplysninger virksomheten har,
  • sørge for at innbyggere blir informert om hvordan opplysninger blir håndtert,
  • sørge for at innsyn blir håndtert på riktig måte,
  • gjennomføre og dokumentere risikovurderinger og sikkerhetsrevisjoner,
  • ha oversikt over databehandlere og ha tilfredsstillende databehandleravtaler med disse.

Vi har ikke kunnet fastslå at det er signifikante forskjeller knyttet til skillet mellom stat og kommune, regionale forskjeller eller forskjeller knyttet til størrelse på virksomhetene. Det er gjerne slik at store virksomheter har mer og bredere kompetanse, men det er ikke alltid slik at dette gir seg utslag i bedre ivaretakelse av personvern og oppfyllelse av pliktene i personopplysningsloven. Imidlertid mener vi å kunne se at virksomheter som har personvern­ombud, gjennomgående har en bedre ivare­takelse av personvernet og oppfyllelse av pliktene i loven. Dette mener vi viser at ordningen med personvernombud, og opp­læringen av disse, har en positiv effekt for personvernet.

Like fullt er det bekymringsfullt at virksomheter som har ansvar for digitali­serings­prosesser, og virksomheter som i økende grad benytter nye digitale løsninger, ikke har tilstrekkelig fokus på å ivareta personvernet og å oppfylle pliktene i person­opplysningsloven knyttet til internkontroll og informasjonssikkerhet. Dette gjør at vi også i kommende år vil måtte bruke tilsyns­virkemiddelet for å sikre at nye digitale tjenester ivaretar personvernet, og at de virksomhetene som benytter dem har god nok internkontroll og informasjonssikkerhet.

Sentrale høringsuttalelser

Datatilsynet har i 2014 hatt tre høringer til uttalelse innenfor tema digitalisering. Vi har ikke hatt innvendinger mot noen av disse. I den grad vi har gitt kommentarer, var det kun for å uttrykke støtte til det som var foreslått, eller for å understreke punkter som var berørt eller behandlet.

Saksbehandling

Vi har behandlet tips om forhold i offentlig sektor som omhandler personvern. Ut i fra størrelse og omfang har vi så prioritert hvilke saker vi skulle følge opp, og på hvilke måter. Vi har ikke gjennomført tilsyn basert på tips, men vi har fulgt opp innkomne henvendelser ved å be om redegjørelser. Dette har blant annet resultert i at vi har fattet vedtak om endring av rutiner og sikkerhetstiltak.

Vi har mottatt og behandlet en rekke avviksmeldinger fra sektoren, der det har vært uautorisert utlevering av personopplysninger om registrerte eller ansatte. Også her har vi i enkelte saker bedt om redegjørelser og hatt påfølgende saksbehandling.

Øvrige aktiviteter

Vi har oppsummert funnene våre og delt denne kunnskapen i ulike sammenhenger. Vi har blant annet deltatt som foredragsholdere på små og store arrangement hvor vi har møtt ansatte i offentlig sektor, kommuner, fylkeskommuner, direktorater, departementer, leverandører av IKT-løsninger og andre aktører i sektoren.

Vi har gjennomført en rekke møter med beslutningstakere i offentlig sektor og leverandører av IKT-løsninger, for å se på hvordan de best kan bygge og vedlikeholde gode internkontrollsystemer og god informasjonssikkerhet for å ivareta person­vernet. Vi forsøker å gjøre aktører i sektoren til gode bestillere av løsninger med innebygd personvern, og vi har gitt råd til leverandører om å ta hensyn til innebygd personvern i deres leveranser til offentlig sektor.


Fremtidige utfordringer

Selv om vi har lyktes med å skape oppmerksomhet rundt aktiviteten vår på området, og at vi har lyktes med å forbedre internkontroll og informasjonssikkerhet hos mange virksomheter, tyder funnene fra kontrollene på at sektoren fremdeles har betydelige mangler og en relativt lang vei å gå, før vi kan si at sektoren som sådan er på et tilfredsstillende nivå. Riktignok finnes det flere unntak, og mange har kommet langt i etter­kant av kontroller eller veiledning fra oss. Like fullt er det bekymringsfullt at sektoren har så betydelige mangler knyttet til internkontroll og informasjonssikkerhet som den har.

Dette betyr at vi, sammen med andre aktører, må arbeide for at sektoren bedrer seg i arbeidet med internkontroll og informasjons­sikkerhet. Vi må fortsette å bruke våre virkemidler for å høyne nivået i sektoren.

Vi vet at økt digitalisering og flere digitale løsninger, øker kravet til god internkontroll og informasjonssikkerhet. Det blir derfor enda viktigere at vi kommer tidlig på banen i slike prosesser. Etter kontroller gjennomført i 2014, har vi varslet at vi vil ilegge overtredelsesgebyr i fem tilfeller. Det videre forløpet til disse sakene kan ha betydning for at sektoren i større grad tar inn over seg kravene i regelverket.

Det er også viktig å kunne påvirke beslutningstakere, slik at personvernspørsmål er på agendaen så tidlig som mulig i digitaliseringen. I så måte er kontaktmøter på toppledernivå med de viktigste «digitaliseringsaktørene», tett dialog med de ansvarlige departementene og deltakelse på beslutningsarenaer som Skate, viktig for å sikre godt personvern i digitaliseringen av offentlig sektor.

Annen vesentlig aktivitet


Telekom, internett og teknologi

Frem til datalagringsdirektivet ble kjent ugyldig i april 2014, ble det fra Datatilsynets side lagt ned et betydelig arbeid med tanke på konsekvensene av implementering av direktivet. Etter at beslutningen om at direktivet ikke skulle innføres likevel, ble selvsagt også vårt arbeid med implementeringen avsluttet.

Gjennom arbeidet som er gjennomført både før og etter denne beslutningen, har det kommet klare indikasjoner på at tele­operatørene de siste årene har trappet betydelig opp lagringen av person­opplysninger på flere felt. Dette omfatter opplysninger som Nasjonal Kommunikasjons­myndighet og Datatilsynet nå ser på om det er hjemmel for å lagre. Det er viktig for vårt arbeid på dette området å ha klarhet i hvilke personopplysninger som lagres hos teleoperatørene, og at de ikke lagres ulovlig.

Det benyttes en rekke teknologier for å hente ut informasjon om den enkeltes interesser og nettaktivitet når vi beveger oss på nett. Derfor er det viktig for Datatilsynet å følge opp bruken av ulik sporingsteknologi brukt på nett, som for eksempel informasjonskapsler, IP-adressesporing og det som kalles «device fingerprinting». I tillegg øker bruken av innloggingstjenester, ofte med en felles identitet som benyttes på tvers av ulike tjenester.

Tilsvarende ser vi en økning i sporing av hvordan folk beveger seg rundt i det offentlige rom ved at mobilene våre lokaliseres. Denne informasjonen samles for kommersielle formål, og vi ser teknologien benyttet både på offentlige veier og plasser, samt på kjøpesentre, flyplasser, inne i butikker med mer. Det som benyttes er de unike adressene til mobilens Wifi eller Bluetooth, samt ved bruk av beacons fra forskjellige leverandører, som for eksempel Apple. Beacons sender ut identiteter som fanges opp av smartmobiler, og kan igjen si noe om hvor du står eller hva du står i nærheten av og eventuelt interesserer deg for. Bruken varierer fra å lagre de unike identitetene og steds­informasjon ifra noen minutter, til ubegrenset tid. Dette er en utfordring for muligheten til anonym ferdsel og muligheten til å ha kontroll med egne opplysninger. Ofte innhentes ikke nødvendig samtykke til bruken, eller det er problematisk å innhente dette samtykket på tilfredsstillende måte.

Særlig kraftfullt blir dette når informasjon om hva vi stopper opp ved og interesserer oss for ute i det offentlige rom legges i profiler på den enkelte av oss, og kombineres med etter­følgende informasjon gitt via nett.

Ønsket om, og presset for, å ta i bruk ulike biometriske løsninger har vært svært økende det siste året. Dette kommer både fra offentlige myndigheter, som for eksempel politiet, og fra næringslivsaktører, slik som banknæringen. Det har vært viktig for Datatilsynet at bruk av slike løsninger ikke benyttes unødvendig og uproporsjonalt i forhold til formålet, samt at eventuell lagring av opplysninger er skikkelig regulert.

Retten til å bli glemt
Det 13. mai 2014 avsa EU-domstolen en avgjørelse om at EUs personverndirektiv og nasjonal personvernlovgivning gjelder for søkemotorselskaper som har tilstedeværelse i et EU-land. Dommen slår blant annet fast at slike selskaper har et selvstendig behandlings­ansvar for personopplysningene som indekseres, selv om opplysningene først er publisert av andre medier. Europeiske borgere har etter denne dommen rett til å gå til søkemotorer etablert i Europa, og be om å få søketreff fjernet. Dersom søkemotoren ikke etterkommer kravet om sletting, kan privat­personer bringe saken inn for domstolene eller nasjonale personvern­myndigheter. 

I etterkant av EU-avgjørelsen kom Artikkel 29-gruppen med retningslinjer for hvordan EU-domstolens avgjørelse skal tolkes. Uttalelsen fra arbeidsgruppen er rådgivende, men blir generelt tillagt stor vekt fordi den gir uttrykk for personvernmyndighetene i Europa sin felles tolkning av personverndirektivet. Formålet med retningslinjene er å sikre en lik praksis i de europeiske landene i sakene som gjelder retten til å bli glemt.

Datatilsynet har mottatt elleve klager på dette området, og tre av dem ble ferdigbehandlet i løpet av 2014. Fordi dette har vært de første sakene på området, og på grunn av deres prinsipielle karakter, har sakene vært forankret på direktørnivå. Ressursbruken for hver sak har derfor vært noe større enn for ordinær klagebehandling. I tillegg til saksbehandling har vi blant annet holdt foredrag om temaet og utarbeidet veiledningsmateriale.


Bank/Finans

Vi har ikke hatt særlige satsinger innen finans­sektoren 2014, utover arbeidet med forsikrings­bransjens utredningsvirksomhet og utstedelse av standardkonsesjoner til banker og forsikringsselskaper.

Vi holder øye med utviklingen innen denne sektoren, og registrerte at noen forsikrings­selskap har sett på løsninger som innebærer automatisk registering av føreradferd i kjøretøy via sensorer, GPS-registering og lignende, som et mulig kriterium for prising av forsikringstjenester. Vi valgte å presisere i et eget skriv til alle forsikringsselskaper at standardkonsesjonen som alle skal ha, ikke omfatter denne typen tjeneste, og at det må søkes om særskilt konsesjon for slik behandling. Vi har i løpet av året mottatt to søknader om slik konsesjon, men de er ikke ferdig behandlet.

Personvernnemnda har også kommet med noen avgjørelser på dette saksområdet. Det er truffet vedtak om at butikkene er behandlings­ansvarlige for kameraovervåking knyttet til bank-i-butikk og post-i-butikk, og at opptakene kun kan lagres i inntil syv dager (PVN-2013-21 og PVN-2014-04).

Nemnda har også truffet vedtak om at innsyn i lydopptak gjort etter verdipapirhandellovens bestemmelser, skal følge personopplysnings­lovens hovedregel, slik at den registrerte kan få en kopi av lydfilen eller at opptaket skrives ut på papir (PVN-2013-19).


Samferdsel

Innenfor samferdselssektoren foregår det en rekke aktiviteter som påvirker den enkeltes personvern. Det er Statens vegvesen som håndterer de fleste av disse aktivitetene. Datatilsynet er involvert i de prosessene som er av betydning, for eksempler i diskusjonene om etablering av intelligente transport­systemer (ITS). Vi arbeider for at personvern­hensyn vektlegges på et tidlig stadium.

Vi jobber også aktivt for å skape engasjement for anonyme alternativer og mest mulig personvernvennlige løsninger. I den forbindelse prøver vi å dra nytte av at det er skapt interesse og forståelse for personvern blant annet i Samferdselsdepartementet og Statens vegvesen. Å fremdeles kunne ferdes sporfritt (anonymt) har vært, og vi mener det fortsatt bør være, et grunnleggende og lett oppnåelig alternativ for alle som ønsker det. For eksempel bør det være mulig å passere en bomstasjon uten å måtte legge igjen opplysninger om når og hvor passeringen fant sted. Dette synet opplever vi å ha fått gjennomslag for. Vi samarbeider derfor med Samferdselsdepartement for å få til en endring i regnskapsreglene som per i dag pålegger lagring av passeringsdata knyttet til innehavere av identifiserbare bombrikker.

Datatilsynet er bekymret for hvilke konsekvenser etableringen av nye kontroll­midler og trafikkovervåking vil kunne få i fremtiden. Erfaringsmessig vil utstyr som i dag tas i bruk til i for seg tilforlatelige formål, senere kunne brukes til nye formål og av andre aktører, noe som er begrunnelsen for at vi følger med på utviklingen innen dette området.


Arbeidsliv

Vi har tidligere hatt arbeidsliv som satsingsområde, men har i 2014 ikke hatt særlige planlagte tiltak innen denne sektoren. Vi har likevel prioritert en del enkeltsaker i form av klager fra arbeidstakere, spesielt vedrørende arbeidsgiveres innsyn i e-post og bruk av GPS-opplysninger til kontrollformål.

Mange av klagene avdekker systemsvikt eller store svakheter hos den behandlingsansvarlige (arbeidsgiveren), noe som er hovedkriteriene for om en sak tas opp til grundigere behandling. Dette er en type lovbrudd vi ser alvorlig på, og som i en rekke tilfeller har resultert i overtredelsesgebyr. Arbeidstakeren er helt klart den svake parten sakene, og lovbrudd og overtramp fra arbeidsgivers side er det vanskelig for den enkelte arbeidstaker å forsvare seg mot.

I tillegg til å prioritere de alvorligste sakene, har vi god beredskap for de som henvender seg til oss på telefon og e-post gjennom vår veiledningstjeneste. En stor andel av henvendelsene som kommer til denne tjenesten, er innenfor temaet arbeidsliv (les mer under «Veiledningstjenesten»).

Innenfor dette området ser vi også en sterk økning i antall konsesjonssøknader for etablering av varslingskanaler og innføring av kontrolltiltak.


Personverndagen 28. januar

I anledning den internasjonale personvern­dagen 28. januar, arrangerte Datatilsynet og Teknologirådet et frokost­seminar. Målet med en slik dag er å sette personvern på dagsorden.

Ved å skape oppmerksomhet og debatt om hvordan personopplysninger enkeltpersoner legger igjen brukes, og av hvem, vil vi bevisst­gjøre myndigheter, presse, fagmiljøer og folk flest om utfordringer for personvernet.

På seminaret presenterte vi hovedtrekkene fra rapporten «Personvern – tilstand og trender 2014» som var skrevet til denne anledningen. Noe av det som blir diskutert i rapporten er avveiningen mellom personvern og andre hensyn, grensen for inngripen i den enkeltes privatliv for å bekjempe terror, og beskyttelse av personvern på tvers av landegrenser. Ellers inneholdt rapporten blant annet artikler om kroppsnær teknologi, bruk av metadata og effekter av Snowden-saken.

Seminaret ble fort fulltegnet, og vi oppnådde god pressedekning både i forkant, under og i etterkant av seminaret.

Arrangementet og samarbeidet med Teknologirådet ble vurdert som så vellykket at det ble bestemt å arrangere et tilsvarende seminar på personverndagen 2015.


Personvernundersøkelsen

Våren 2014 lanserte vi resultatene fra personvernundersøkelsen 2013/2014. Denne befolkningsundersøkelsen er den mest omfattende kartleggingen Datatilsynet har gjort av folks tanker og kunnskaper om, og holdninger til, personvernspørsmål siden 2005. Undersøkelsen fulgte i stor grad opp spørsmålene fra 2005, i tillegg til å ha noen nye spørsmål om personvernutfordringer som har oppstått siden forrige undersøkelse. Vi gjennomførte undersøkelsen både for å få et inntrykk av hvordan situasjonen er i dag, og for å kunne se om det er en utvikling eller endring i folks holdninger fra 2005.

Noen av funnene fra undersøkelsen ble presentert i forbindelse med den internasjonale personverndagen, samt brukt som underlag til rapporten «Personvern – tilstand og trender 2014». De påfølgende månedene publiserte vi dessuten åtte tematiske delrapporter. Disse omhandlet blant annet folks interesse for å ta i bruk ny teknologi, tillit til behandling av person­opplysninger, erfaringer med misbruk av egne personopplysninger, ivaretagelse av rettigheter og holdninger til kameraovervåking.

Personvernundersøkelsen gir mange muligheter til å skape interesse og oppmerksomhet om personvern, både i medier og fagmiljøer. Funnene er også nyttige i vår foredragsvirksomhet. Ved å publisere de ulike delrapportene separat, har vi oppnådd stor medieinteresse og mediedekning, både i riksmedier, lokalmedier, fagtidsskrifter og bransjemedier.


Internet Sweep Day – sveipet

Datatilsynet deltok i 2014 for andre gang på Global Privacy Enforcement Network (GPEN) sin «Internet Sweep Day». GPEN er et samarbeidsforum for personvernmyndigheter, og er nærmere omtalt i kapittelet «Internasjonale samarbeidsrelasjoner».

Temaet for sveipet denne gangen var mobilapplikasjoner (apper). Nesten alle apper ber om tilgang til informasjon i telefonen eller nettbrettet. Det kan være kontaktliste, internett, andre apper, kamera eller tekstmeldinger. Selv om det kan være gode grunner til at appen ber om disse tilgangene, har personvernmyndighetene rundt om i verden de siste årene vært opptatt av hva delingen av så store mengder personlig informasjon med så mange ulike aktører, betyr for den enkeltes personvern.

Selve sveipet innebar at Datatilsynet sjekket hvilken informasjon brukerne får om tilgang til personopplysninger før og etter nedlasting av en app. Tilsammen sjekket vi i Datatilsynet omlag 80 nasjonale og internasjonale applikasjoner (apper) for Android og iOS på mobiltelefoner eller nettbrett i løpet av en dag i mai. Appene var valgt ut på bakgrunn av popularitet, tema og hvilken tjeneste den tilbyr.

Et av målene med denne sjekken var å finne ut mer om hvilken informasjon brukerne får om behovet for de ulike tilgangene, hvilken informasjon som samles inn, hva den skal brukes til og hvordan den beskyttes. Samtidig ville vi bidra til å bevisstgjøre publikum og brukere av apper, om hvilke person­opplysninger som samles inn. Hvis brukerne ikke vet hva virksomheten samler inn, vet de heller ikke at de kan benytte seg av innsynsretten sin.

I tillegg til å bevisstgjøre brukerne, er vi opptatt av å bevisstgjøre utviklere og bestillere av apper om hvilke plikter de har overfor brukerne. Vi lanserte derfor en norsk versjon av en veileder for apputviklere, laget av personvernmyndighetene i Storbritannia. Veilederen gir praktiske råd og eksempler på hvilke hensyn man må ta til personvernet ved utvikling av apper.

Resultatene fra det norske sveipet ble oppsummert i en rapport. En felles konklusjon for alle deltakerlandene var at brukerne av apper har for liten mulighet til å finne relevant og dekkende informasjon om hvilke personopplysninger som samles inn.

Funnene ble fulgt opp ved at Datatilsynet og 22 andre personvernmyndigheter sendte et felles brev til syv ulike appbutikker. Butikkene blir der bedt om å gjøre det obligatorisk for alle apper å lenke til en personvernerklæring. I tillegg vil Datatilsynet jobbe videre med å kommunisere personvernlovgivningen og prinsippet om innebygd personvern til appeiere, -bestillere, og -utviklere.


Personvernombudsordningen

Stadig flere virksomheter ser betydningen av å opprette et personvernombud. Dette ombudet er en ressursperson som kjenner virksomheten godt, og som har oversikt over hvilke personopplysninger som blir behandlet til ulike formål. Personvernombudet vil derfor raskt og presist kunne håndtere personvernutfordringer som måtte oppstå. Ikke minst vil ombudet, både innad og utad, fremstå som en fagperson med spesialkompetanse på personvern. Denne kompetansen bygges gjennom deltakelse på ulike kurs og seminarer, og gjennom annen dialog med Datatilsynet. 

Ved utgangen av 2014 hadde Datatilsynet registrert 233 personvernombud. Noen av disse er ombud for flere virksomheter, og til sammen representerer de 450 virksomheter.


Oversikt over utviklingen av personvernombudsordningen de siste årene: 

 Antall

2011

2012

2013

2014

Personvernombud

193

203

210

233

Virksomheter med ombud

370

390

420

450


De administrative sidene av driften har blitt noe effektivisert i løpet av året. Datatilsynet bruker nå i overkant av ett årsverk på arbeidet med personvernombud, fordelt på flere medarbeidere. Arbeidet består i å arrangere faglige tilbud som kurs og konferanser, veiledning over telefon og e-post, sende ut nyhetsbrev til ombudene, behandling av søknader om nye ombud og å drifte informasjonen på våre nettsider.

Vi tilbyr flere forskjellige kurs for personvern­ombudene; grunnkurs for nye ombud, to juridiske påbyggingskurs og to påbyggingskurs i informasjonssikkerhet og internkontroll. Grunnkurset holdes både i vår- og høstsemesteret. I tillegg ble den årlige fagdagen for alle personvernombudene arrangert i mars.

I september gjennomførte vi for første gang et dagsseminar for personvernombud fra helse- og forskningsvirksomheter. Seminaret fikk svært gode tilbakemeldinger og vurderes gjentatt i 2015. Personvernombudene beskriver våre kurs og seminarer som viktige for deres mulighet til å gjøre en god jobb, og arrangementene er som regel fulltegnet.

EUs arbeid med ny personvernforordning peker mot store endringer på personvern­ombudsfeltet, blant annet at ordningen blir obligatorisk for mange virksomheter. Mot slutten av 2014 mottok vi en del henvendelser fra virksomheter som vurderer å oppnevne personvernombud for å forberede seg på de kommende kravene. Dette kan bety at tilstrømningen til ordningen blir større i 2015 enn tidligere.

Internasjonalt arbeid

Internasjonalt arbeid er viktig for Datatilsynet. Siden Norge ikke er medlem i EU, kan det være vanskelig å få innflytelse på EUs beslutningsprosesser. Datatilsynet deltar imidlertid i sentrale EU-organ både som observatør og som aktiv deltager.

Andre internasjonale samarbeidsarenaer er derfor også viktig for oss. I samarbeid med de andre nordiske datatilsynsmyndighetene diskuterer vi svært relevante problem­stillinger, da utfordringene treffer oss relativt likt både i tid og kultur. Andre globale arenaer hvor vi har full tilgang er også viktig for oss, slik som GPEN, den internasjonale personvern­konferansen og ikke minst Berlin-gruppen hvor vi har markert oss tydelig ved å holde i Big Data-arbeidet.

Vi føler slik at vi har reelle muligheter til å være med på å påvirke internasjonale prosesser som er av betydning for personvernet til norske borgere.

Artikkel 29-gruppen (Art. 29 Data Protection Working Party – WP 29)

Artikkel 29-gruppen er opprettet i henhold til personverndirektivet, og er den øverste rådgivende forsamlingen for EU-kommisjonen i spørsmål om personvern og informasjons­sikkerhet. Her møter alle lederne for EU-landenes datatilsynsmyndigheter. Norge har observatørstatus som EØS-land, og møter med en representant for ledelsen i Datatilsynet.

Det er avholdt fem møter i Artikkel 29-gruppen i 2014. Datatilsynet har vært representert på alle møtene. Deltakelse i denne gruppen er en effektiv måte å holde oss orientert om hva som er på dagsorden om personvern i EU. Norske borgeres personvern utfordres ikke bare nasjonalt, så et internasjonalt fora som dette er viktig, og blir viktig også i fremtiden. Personvernet utfordres av globale aktører, og opplysninger om oss flyttes over landegrenser uten at vi vet om det i særlig grad. For å stå sterkere enn det vi klarer som en enkelt nasjon, er det viktig med lik praktisering av personvernregelverk i Europa, det vil si EU/EØS, og deltakelse i denne gruppen bidrar til at vi holder oss orientert om praksis i Europa.

Eksempler på temaer som har vært oppe til diskusjon gjennom året, er hvilke personvern­konsekvenser vi ser av «Internet of Things». Dette har også preget diskusjoner i forskjellige nasjonale fora.

«Passenger Name Record» (PNR) har dessuten vært tema på mange av møtene, og ble plutselig veldig aktuelt i starten av 2015, etter terroren i Paris.

Artikkel 29-gruppen har også hatt oppe til diskusjon andre konsekvenser av etterretnings­organisasjoners mulige innsyn i opplysninger som sendes mellom Europa og USA. Det er blant annet stilt spørsmål ved om Safe Harbour-avtalen i tilstrekkelig grad sikrer personvernet til borgere i Europa nå etter at Snowden-avsløringene viste at NSA kan få tak i opplysningene.

Det har videre vært sett på rutiner for behandling av personopplysninger internt i store internasjonale selskaper, og selskaper imellom. Artikkel 29-gruppens «Binding Coorporate Rules» (BCR) er et verktøy som skal sikre at personvernet ivaretas på en effektiv måte.

Et annet tema som har vært oppe en rekke ganger, er kontrollene med globale aktører som Facebook, Google, Microsoft og LinkedIn. Alle tilsynsmyndighetene som er representert i Artikkel 29-gruppen, har gjennom sin deltakelse hatt anledning til å stille spørsmål, og komme med sine synspunkter til disse kontrollene. Norge har også vært med i dette arbeidet, og da særlig knyttet til kontrollen med Facebook. Temaet har blant annet vært endringer i brukervilkårene, og hvilke konsekvenser det har hatt for brukernes personvern.

Artikkel 29-gruppen ga i 2014 en uttalelse som er sentral for forståelsen av personvern­direktivets begrep «legitimate interests» (noe som kan oversettes til «berettiget interesse» i personopplysnings­loven § 8 bokstav f), og som er et veldig aktuelt rettslig grunnlag for behandling av personopplysninger. Uttalelsen sikrer harmonisering internt i Europa, og vil være en viktig kilde for Datatilsynet.

Technology Subgroup

Technology Subgroup er en arbeidsgruppe som gjør saksforberedelser for Artikkel 29-gruppen. Disse forberedelsene danner grunnlag for mange av Artikkel 29-gruppens uttalelser. Datatilsynets deltakelse i arbeidsgruppen gir god mulighet til å fremme norske synspunkter innenfor spørsmål om bruk av teknologi og koblingen til juss og regelverk. I og med at Datatilsynet kun er observatør i selve Artikkel 29-gruppen er deltakelse i denne arbeidsgruppen svært verdifull, da vi deltar på lik linje med alle andre deltagere, også deltagere fra EU-land.

Berlin-gruppen

Dette er en gruppe som arbeider med personvern innen elektronisk kommunikasjon i utvidet forstand. I det vesentlige er det personvernmyndigheter som deltar i her. Gruppen avgir uttalelser (Working Papers) om aktuelle personvernspørsmål.

I 2013 påtok Datatilsynet seg ansvar for å skrive gruppens rapport om Big Data. Rapporten ble endelig godkjent etter siste møte i gruppen, våren 2014. Det var første gang Datatilsynet skrev en rapport for denne gruppen.

I tillegg vedtok gruppen et dokument om personvernutfordringer ved privateid utstyr i profesjonell bruk (Bring Your Own Device).

Den internasjonale personvernkonferansen

Datatilsynet deltok høsten 2014 med to delegater på den årlige internasjonale konferansen for personvernmyndigheter. På konferansen deltok over 80 personvern­myndigheter fra alle kontinenter. Denne internasjonale arenaen er mer enn en konferanse. Dette er stedet hvor verdens personvernmyndigheter samles og enes om overordnede prinsipper og retninger for personvernarbeidet, og det gjøres komité- og gruppearbeid mellom de faktiske konferansene.

På bakgrunn av rapporten fra Berlin-gruppen, skrev Datatilsynet et utkast til en resolusjon om hvordan personvernmyndighetene bør forholde seg til Big Data. Denne resolusjonen ble fremmet av det norske Datatilsynet, med støtte fra en rekke andre personvern­myndigheter. Resolusjonen ble vedtatt.

På konferansen ble det også tatt et stort skritt fremover i arbeidet med å legge til rette for internasjonalt samarbeid ved at «Resolution on enforcement cooperation» ble vedtatt. Videre ble resolusjonen «Privacy in the Digital Age» vedtatt. Dette er en støtteerklæring til FNs pågående arbeid med oppfølging av myndighetenes masseovervåking på tvers av landegrenser.

International Conference – Data Protection Enforcement

Datatilsynet deltok med én deltaker på den tredje samlingen om koordinert regelverks­håndhevelse for personvernmyndigheter. Dette er en oppfølging av et mandat fra den internasjonale personvernkonferansen. Samlingen er en oppfølging av resolusjonen om «International Enforcement Cooperation» fra den internasjonale personvernkonferansen i 2011. Denne samlingen er også en møtearena for GPEN-medlemmer.

Global Privacy Enforcement Network – GPEN

GPEN er et samarbeidsforum for personvern­myndigheter. Datatilsynet deltok på et møte i forumet i sammenheng med den internasjonale personvernkonferansen, samt i telefonkonferanser gjennom året. GPEN legger til rette for informasjonsutveksling, og det planlegges koordinerte aktiviteter som myndighetene kan velge å delta i. Det pågår en oppgradering av samhandlingsløsningen for GPEN-medlemmene, og Datatilsynet har bidratt økonomisk ved etableringen av denne.

Datatilsynets faglige bidrag til GPEN har i 2014 stort sett vært knyttet til «Internet Sweep Day». Gjennomføringen av sveipet hvor vi undersøkte personvernet i mobilapper var en GPEN-koordinert aktivitet, og er nærmere omtalt under kapittelet «Annen vesentlig aktivitet».

Schengen Coordination Group (SCG)

Datatilsynet er tilsynsmyndighet for den norske delen av Schengen Informations System (SIS), og vi er også deltakere i Schengen Coordination Group (SCG). Gruppen er sammensatt av representanter for alle Schengen-land sine tilsynsmyndigheter, og vi har deltatt på de to møtene som har vært avholdt i 2014. Gruppen utveksler informasjon om egne saker og felles problemstillinger i praktiseringen av reglene for SIS.

Datatilsynet stilte med én deltaker på det internasjonale inspeksjonsteamet, som våren 2014 førte tilsyn med Sveits sine forpliktelser etter Schengen-regelverket. Deltakelsen ga erfaring om hvordan slike kontroller faktisk skjer, en erfaring vi vil ha nytte av neste gang Norge skal kontrolleres.

Eurodac / Visumsamarbeid (VIS)

Datatilsynet har i 2014 deltatt med én deltager i møtene som arrangeres av henholdsvis Eurodac Supervision Coordination Group og Visa Information System Supervision Coordination Group (VIS SCG) i Brüssel.

Eurodac er et sentralt europeisk register over fingeravtrykk av asylsøkere, og brukes primært i asylsaker. I det siste har imidlertid også politimessige formål blitt inkludert i Eurodac-regelverket, og Europol kan under visse vilkår få tilgang til databasen.

VIS er et tilsvarende register som inneholder opplysninger om visumsøkere, og formålet med registeret er å forbedre gjennomføringen av felles visumpolitikk og konsulært samarbeid i Europa. Det er også et viktig mål å forenkle utvekslingen av opplysninger mellom medlemsstatene om søknader og avgjørelser om visum.

I disse gruppene møter samtlige ansvarlige datatilsynsmyndigheter etter de aktuelle forordningene, for å samkjøre oppfølgingen av sine kontrolloppgaver, og for å diskutere aktuelle problemstillinger.

Aktuelle temaer som har vært diskutert i 2014 er overføring av data til tredjeland, bruk av underleverandører ved behandling av visum­søknader, informasjonssikkerhet og data­angrep, felles opplegg for inspeksjoner og diverse spørreundersøkelser.

Samarbeid og felles tilsyn med de nordiske datatilsynsmyndighetene

I mai 2014 deltok Datatilsynet på et felles nordisk møte i Sverige. I løpet av samlingen var det noen felles presentasjoner, og det ble holdt parallelle møter for ledelsen, juristene og teknologene. Disse nordiske møtene er en fin anledning for å drøfte egne saker med de andre landenes representanter.

I 2013 ble det gjennomført noen felles nordiske kontroller, blant annet med banker som hadde kontorer i flere nordiske land. Disse kontrollene ble gjennomgått på møtet, og vi kom frem til at det er behov for videre arbeid med å gjennomføre felles kontroller. Dette både for å kunne møte problemstillinger som går over de nordiske grensene på en god måte, og for å høste kompetanse av hverandre.

Samarbeid med og bistand til Republikken Makedonia

Det norske utenriksdepartementet har gitt direkte finansiell støtte til Republikken Makedonia (FYROM), til utvikling av landets personvernmyndighet. Directorate for Personal Data Protection (DPDP) ble etablert i 2005, og består av 24 medarbeidere.

Fra vår side har vi forpliktet oss til å gi faglig støtte til makedonerne innen særlig to temaer; personvern i sosiale nettsamfunn og skytjenester, herunder bruk av databehandleravtaler.

I februar ble det holdt et større lanserings­arrangement i Skopje, hvor vår direktør holdt innlegg. I mars deltok to medarbeidere fra Datatilsynet og én fra Norsk senter for informasjonssikring (NorSIS), som nasjonale eksperter på kompetansebygging for medarbeiderne i DPDP. Det ble vist stor interesse for måten vi i Norge ikke bare arbeider for å forebygge nettkrenkelser, men også for hvordan vi gjennom Slettmeg-tjenesten prioriterer å gi rask og handlekraftig hjelp når skaden først har skjedd. Det var også hyggelig for oss å se at makedonerne hadde tatt i bruk materiale fra undervisningsopplegget vårt, Du Bestemmer.

I juni kom en delegasjon på syv medarbeidere fra DPDP på studiebesøk til Norge. Det var naturlig nok sosiale nettsamfunn og skytjenester som fikk mest oppmerksomhet, men vi var også innom mange andre temaer. Delegasjonen besøkte blant annet Kripos, Redaktørforeningen og Presseforbundet, NorSIS, Avdeling for forvaltningsinformatikk ved UIO og Direktoratet for forvaltning og IKT (Difi). Forbrukerrådet holdt også en presentasjon for delegasjonen.      

Denne delen av samarbeidsprosjektet ble så markert som avsluttet ved en konferanse i Makedonia i november. Begivenheten ble omfattet av stor interesse, blant annet med innslag i Makedonske tv- og radiokanaler.

Makedonia har sendt en ny søknad om økonomisk bistand fra norske myndigheter. I det nye prosjektet er det et mål å utvikle et nærmere samarbeid mellom personvern­myndighetene på Vest-Balkan, der de skal dra nytte av de positive erfaringene som er gjort i vårt samarbeidsprosjekt så langt. Dersom Utenriksdepartementet gir sin støtte til et videre prosjekt, vil vi fra Datatilsynet være positive til å fortsatt stille opp med vår kompetanse.

Nasjonale samarbeidsformer

Datatilsynet har utstrakt kontakt med andre aktører. Nedenfor følger en oversikt over vår deltakelse i nasjonale fora. I tillegg til disse kommer det et stort antall kontaktmøter med sentrale aktører og samarbeid av mer kortvarig art.

Datatilsynet har også avtaler om faglig samarbeid med Nasjonal Sikkerhetsmyndighet (NSM), Nasjonal kommunikasjonsmyndighet (tidligere Post- og teletilsynet) og Arbeidstilsynet. Avtalen med NSM ble inngått i 2014.

Standardisering – komitédeltagelse

Datatilsynet deltar i komiteer for standardisering der arbeidet har direkte relevans for vårt arbeidsområde. Standarder er førende for virksomhetenes praksis, også når det gjelder behandling av person­opplysninger. Formålet med deltakelsen i komiteene er å sikre kunnskap om pågående prosesser internasjonalt, påvirke fremtidige rammebetingelser, samt bidra til å påvirke relevante standarder med hensyn til personvern og informasjonssikkerhet. Det er også viktig å få innblikk i hvilken praksis som anses som god, samt holde kontakt med fagmiljøet.

Datatilsynet deltar i tre komiteer:

  • SN/K 171 arbeider i hovedsak relatert til ISO/IEC JTC 1/SC 27 IT Security techniques.
  • SN/K 175 Intelligente Transportsystemer (ITS).
  • SN/K 188 Person-ID, kortsystemer, biometri, sikre signaturer, borgerkort.

Norsk Biometri Forum

Datatilsynet deltar i Norsk Biometri Forum, som er et uformelt forum for presentasjon og diskusjon innenfor biometri. Det er lagt stor vekt på å få inn nye ideer, samtidig som møtene benyttes til orientering om pågående prosjekter innenfor offentlig og privat sektor.

I prinsippet er forumet åpent for alle interesserte innen offentlig sektor, næringsliv og forskning. Forumet møtes omtrent to ganger i året og har deltakere fra departementer, direktorater og en del private bedrifter, samt Høgskolen i Gjøvik. Dette forumet arrangeres i tett samarbeid med Forum for Research and Innovation in Security and Communications (FRISC) og European Association for Biometrics (EAB).

ITS-rådet (ITS – Intelligente Transport Systemer)

Én representant fra Datatilsynet er oppnevnt som medlem av ITS-rådet. Rådets over­ordnede formål er å bidra til implementering av ITS-løsninger i Norge, og å bygge opp under de norske transportpolitiske målene om trafikksikkerhet, fremkommelighet, miljø og tilgjengelighet for alle. ITS-rådet skal også fremme samarbeid og medvirkning i nasjonale og internasjonale prosesser og markeder for ITS. Rådet ledes av vegdirektøren, og har 14 faste medlemmer. I tillegg inviteres deltakere etter behov.

ID-nettverket for en helhetlig ID-forvaltning

Datatilsynet deltar sammen med flere andre sentrale organisasjoner i dette nettverket. Hovedmålet til nettverket er å arbeide for en helhetlig ID-forvaltning i Norge og for å forebygge kriminalitet, og dermed redusere trusselen mot velferdsstaten. Datatilsynets deltakelse er viktig både for å ivareta personvernet i ID-forvaltningen, og for å bidra til at sikre løsninger etableres.

Referansegruppe for policyutvikling for bruk av skytjenester

Kommunal- og moderniseringsdepartementet (KMD) etablerte høsten 2014 en inter­departemental arbeidsgruppe som skal kartlegge hindringer i regelverket for bruk av skytjenester. KMD har samtidig etablert en ekstern referansegruppe med interessenter, potensielle brukere og eksperter fra relevante områder, for å se på policyutvikling for bruk av skytjenester i offentlig sektor.

Datatilsynet deltar med én representant i referansegruppen. Det har vært avholdt to møter høsten 2014 og arbeidet videreføres i 2015.

Arbeidet knyttet til forslaget om ny personvernforordning i EU

Datatilsynet har tilbudt bistand i ulike sammenhenger når det gjelder arbeidet med EU-kommisjonens forslag til ny forordning. Vi har tidligere vært aktive i Justis- og beredskaps­departementets (JD) referansegruppe i forbindelse med nasjonal representasjon i Brussel.

I 2014 har vår bistand bestått i å være diskusjonspart med fagavdelingen i KMD og JD, i forbindelse med de mange forslagene som har vært oppe til behandling i DAPIX (Working Party on Information Exchange and Data Protection). DAPIX er arbeidsgruppen i EU, og forhandler om innholdet i den nye forordningen.

Norm for informasjonssikkerhet i helse-, omsorgs- og sosialsektoren

I september 2006 ble en bransjenorm om informasjonssikkerhet for helsesektoren lansert. Datatilsynet deltar som observatør i styringsgruppen.

Ved behov deltar Datatilsynet også i grupper knyttet til utarbeidelse av faktaark og veiledninger etter normen. I 2014 gjaldt dette veiledere i bruk av velferdsteknologi, elektromedisinsk utstyr, samt personvern og informasjonssikkerhet for psykologer, fysioterapeuter, manuellterapeuter og kiropraktorer. I tillegg ble eksisterende materiell revidert.

Arbeid med anonym løsning for helautomatiske bomstasjoner

Datatilsynet har hatt som mål at det skal utvikles et anonymt alternativ ved bruk av bompengebrikker i helautomatiske bomstasjoner. Sammen med Statens Vegvesen og Samferdselsdepartementet utarbeidet vi for et tid tilbake en mulighets­studie som viser at under gitte forutsetninger er det mulig å få til en anonym løsning. Forutsetningen var blant annet at bokførings­regelverket ikke må sperre for en slik løsning. Arbeidsgruppen har sett på hva som skal til, og konkludert med at det må regelendringer til for at en anonym løsning skal kunne gjennomføres.

Arbeidet har pågått i flere år, og i 2014 tok Datatilsynet initiativ til å bringe dette opp på et politisk nivå med mål om en avklaring. Prosessen er ikke sluttført enda, og vil bli fulgt opp fra vår side også i 2015.

Kommunal informasjonssikkerhet (KINS)

Datatilsynet har deltatt som samarbeids­partner i Kommunal informasjonssikkerhet (KINS). Dette innebærer å delta på styremøter som observatør og bidragsyter, og å delta i planleggingen av KINS sine arrangementer. Vi er også bidragsyter med foredrag eller som paneldeltakere på disse arrangementene.

Samarbeidsprosjektet Du Bestemmer

Du Bestemmer er et undervisningsopplegg som drives i samarbeid mellom Senter for IKT i utdanningen (prosjektleder), Teknologirådet og Datatilsynet, og ble lansert i januar 2007. Målet med opplegget er å øke ungdoms kunnskap om personvern generelt, samt heve deres bevissthet om valg man gjør ved bruk av digitale medier slik som internett og mobil­telefon. Ungdommene skal lære seg å ta kontroll over egne personopp­lys­­n­in­ger, men samtidig respektere andres opplysninger. Opplegget er til nå tatt i bruk i over 16 andre land.

Årets aktiviteter er nærmere beskrevet i kapittelet «Barn, unge og utdanning».

Norsk senter for Informasjonssikring (NorSIS)

Datatilsynet er representert i styret til NorSIS ved direktøren.

Vi har mange overlappende ansvarsområder med NorSIS, og samarbeider derfor med dem om blant annet ID-tyveri og nettsvindel, og om nasjonal sikkerhetsmåned. I tillegg har veiledningstjenesten og Du Bestemmer-prosjektet god dialog med Slettmeg-tjenesten, som drives av NorSIS, om relevante problemstillinger.

Folkeregisterprosjektet

Det er viktig for Datatilsynet å følge med på utviklingen av hvordan folkeregisteret kommer til å se ut i fremtiden. Vi har per i dag med én representant i referansegruppen, samt at vi har deltatt i enkelte møter i prosjektet. Tilgang til opplysninger fra folke­registeret er en problemstilling Datatilsynet jevnlig må forholde seg til.

NAFAL

Datatilsynet er oppnevnt med én representant i nasjonalt råd for Facilitation (NAFAL), sivil luftfart. Rådets mandat er å fremme forslag til fastsettelse av standarder for effektiv gjennom­strømming av personer, bagasje og varer på lufthavner. Luftfartstilsynet koordinerer gruppen, som har medlemmer fra tolv ulike myndigheter og virksomheter i sivil luftfart.

Bransjenorm for utredningsvirksomhet for forsikringsbransjen

I forbindelse med en kontrollsak mot et forsikringsselskaps etterforsknings­/granskningsvirksomhet, ble det innledet et formelt samarbeid med Finans Norge for å utarbeide en bransjenorm for denne formen for virksomhet. Hensikten var blant annet å klargjøre hva som skal til for at forsikrings­selskaper skal kunne innhente opplysninger i enkeltsaker ved bruk av videopptak, eventuelt hemmelig opptak av enkeltpersoner i saker hvor det er mistanke om svik overfor selskapet.

Datatilsynet vil også se hen til dette arbeidet ved en eventuell revisjon av den konsesjonen forsikringsselskapene har i dag.

Vurdering av fremtidsutsikter

I forrige kapittel pekte vi på noen spesifikke utfordringer knyttet til enkelte samfunnsområder og sektorer som er blitt spesielt prioritert hos oss i 2014. Her vil vi skissere andre og mer overordnede forhold vi mener vil få særlig betydning for evnen vår til å oppfylle oppdraget vårt og målene våre.

Internasjonal utvikling

For det første er den internasjonale utviklingen viktig. Nordmenn bruker i stor utstrekning tjenester fra selskaper som ligger utenfor Europa, og da særlig i USA. I tillegg vedtas helt sentrale lover på personvern­området i EU, der Norges rolle er begrenset. Vi må derfor utvikle strategier som gir oss mulighet for påvirkning, selv om beslutningene treffes utenfor landets grenser.

For oss i Datatilsynet er det viktig å holde oss orientert om utviklingen i USA, og å ha jevn dialog med de store teknologiselskapene som har sine hovedkontorer der. Dette gjør vi først og fremst gjennom deres representanter i Norge, men også ved at vi med noen års mellomrom har møter med selskapsledelse på høyt nivå i USA. Vi ser også at Artikkel 29-gruppen (les mer under Internasjonalt arbeid) tar opp konkrete saker mot disse selskapene. Det er viktig at vi fra norsk side, så langt ressursene tillater, også påtar oss arbeid for internasjonale organer. Dette gjorde vi blant annet da vi for noen år siden ga viktige innspill til det irske datatilsynet når de førte tilsyn med Facebook.

Vi har også valgt å ta en sentral rolle i utviklingen av den internasjonale personvern­politikken når det gjelder Big Data (stordata). På vegne av Berlin-gruppen (les mer under Internasjonalt arbeid) påtok vi oss å utarbeide en rapport (en såkalt «opinion») om person­vernutfordringer ved bruk av stordata, og hvordan disse utfordringene kan møtes. Rapporten ble senere godkjent også av Artikkel 29-gruppen, og dannet videre grunnlag for en erklæring fra den inter­nasjonale personvernkonferansen høsten 2014. Dette var første gang at vi fra det norske Datatilsynets side har tatt denne typen initiativ.

Dette er en arbeidsmetodikk vi ønsker å utvikle videre. Norge er ikke medlem i EU, og har dermed liten formell innflytelse på de beslutningsprosessene som foregår i de sentrale organene der. Av den grunn er det desto viktigere at vi, gjennom å stille oss til disposisjon for å delta i utviklingen av policy­dokumenter, likevel kan påvirke inter­nasjonale prosesser som er av betydning for personvernet til norske borgere. Vi har som følge av dette som mål at vi skal påta oss rollen som såkalt «rapportør» for en ny utredning for Artikkel 29-gruppen. Temaet for en slik utredning er foreløpig ikke avklart.

Vi har også som mål å være pådriver i samarbeidet mellom de nordiske personvern­myndig­hetene. En av grunnene til at vi ser dette samarbeidet som viktig, er at en viktig vei til påvirkning i EU, nettopp går gjennom de nordiske landene som sitter godt posisjonert i EUs organer.

EUs personvernforordning

EUs personvernforordning vil gi oss nye muligheter. Det nye lovverket vektlegger i større grad enn tidligere de såkalte system­pliktene, slik som strengere krav til avviks­håndtering. På flere områder vil også den enkelte borgers personvern bli styrket. Dette gjelder for eksempel gjennom «retten til å bli glemt» og ved «dataportabilitet», som er retten til å hente ut egne personopplysninger fra en tjeneste, og så eventuelt flytte disse over til en annen tjenesteleverandør. I personvernforordningen vektlegges også prinsippet om innebygd personvern. Dette vil gjøre det enklere for oss å nå målet om at dette i større grad skal bli implementert i praksis hos norske virksomheter.

Forordningen gir imidlertid også Datatilsynet utfordringer. Det vil bli opprettet et nytt organ kalt European Data Protection Board (EDPB), som vil få en sentral rolle blant annet i tolkning av personvernregel­verket. Norge vil trolig kun få observatørstatus i dette organet. Det blir derfor vesentlig for oss å finne strategier for å kunne få mer innflytelse. Vi har allerede lagt en strategi for å øke aktivitets­nivået vårt i Artikkel 29-gruppen. Dette er viktig, ettersom EDPB vil ha mange av de samme medlemmene som Artikkel 29-gruppen. Ved å være aktive i denne gruppen, og påta oss arbeid, vil vår stemme også bli bedre hørt i det nye organet.

Det nye felles personvernregelverket i Europa gjør at vi må gå gjennom hele vår juridiske praksis og alle våre arbeidsmetoder. Dette innebærer nye og spennende utfordringer for Datatilsynet, noe vi stiller oss udelt positive til å ta fatt på. Arbeidet fordrer imidlertid at vi tilføres økte ressurser. Dette trengs blant annet til å utvikle elektroniske løsninger for å håndtere avviksrapporteringer fra virksomhetene, og til informasjonstiltak overfor virksomheter og befolkningen forøvrig.

Den teknologiske utviklingen

Det er avgjørende for Datatilsynet å være godt oppdatert på den teknologiske utviklingen. Teknologi er i dag helt sentralt i alle sektorer, og for alle profesjoner. Alle ansatte i Datatilsynet må derfor være godt oppdatert på nye teknologitrender. For å klare dette må vi bygge kompetanse internt, delta i internasjonalt arbeid, dra på studiereiser til utlandet og ha tett kontakt med norske teknologibedrifter. Tett og god kontakt med forsknings- og utviklingsmiljøer er også sentralt.

Økende etterspørsel etter tilsynets kompetanse

Vi opplever en økende etterspørsel etter Datatilsynets kompetanse og ressurser. Vi mottar stadig flere henvendelser fra privatpersoner, vi får flere foredrags­henvendelser, svært mange virksomheter vil ha våre uttalelser og råd, og vi opplever jevnt stor pågang fra media. Samtidig gjennomfører vi årlig om lag 70 tilsyn, og behandler en lang rekke konsesjonssaker og enkeltsaker. Vi inviteres med i ulike fora for å gi våre innspill, og mange offentlige etater vil høre vår mening.

Nødvendig med handlingsrom

Det er selvfølgelig svært positivt at det er interesse om personvernspørsmål, og at vår kompetanse blir verdsatt. Samtidig må vi ha klare prioriteringer for arbeidet vårt. Det er derfor viktig at Datatilsynet har handlingsrom til å nedprioritere enkeltsaker og områder som vi etter grundige vurderinger mener det ikke er riktig å prioritere. Dersom alle saker skal behandles like grundig, og alle områder vies like stor oppmerksomhet, står vi overfor en umulig oppgave. Vi ser samtidig at vi må jobbe for å fjerne tidstyver i egen virksomhet, effektivisere egne arbeidsmetoder og sørge for å rekruttere medarbeidere med høy kompetanse.

Datatilsynet er en liten organisasjon som står overfor de samme kravene og forventningene som de store statsetatene når det gjelder for eksempel de statlige fellesføringene og krav til rapportering, modernisering og utvikling. Vi har et begrenset økonomisk handlingsrom. Dette gjør det vanskelig for oss, i hvert fall på kort sikt, å omdisponere innen gitte økonomiske rammer, uten at dette går ut over vårt utadrettede personvernarbeid.