Årsmelding for 2019

Vurdering av fremtidsutsikter

Knapt noen sektor er uberørt av den teknologiske utviklingen, og nær sagt alle sektorer har som mål å bruke persondata til å utvikle nye tjenester, gi bedre tilbud eller mer målrettede reklame, for å nevne noe. Kunstig intelligens og automatiske beslutninger har vi snakket om i mange år, men det er først nå vi faktiske ser at systemer med kunstig intelligens tar i bruk for å treffe beslutninger som berører folks daglige hverdagsdagligliv. Det gjelder for eksempel lån, kreditt og ulike stønader.

Dette er ikke nødvendigvis en uheldig utvikling. Datatilsynet er for eksempel positiv til regjeringens strategi for kunstig intelligens, og vi ser på det å bruke data i dag er en helt naturlig del av markeds­økonomien. Det er imidlertid helt avgjørende at data brukes riktig, og at systempliktene i personvernforordningen følges.    

For oss det er det avgjørende å rekruttere og ikke minst beholde kvalifisert arbeidskraft. Datatilsynet er en høykompetanse-virksomhet, og vår kompetanse er svært etterspurt. Vi må bruke ulike virkemidler for å forbli en attraktiv arbeidsplass, som for eksempel lønn, mulighet for kompetanse­utvikling, studiebesøk, et godt arbeidsmiljø og stor mulighet til å påvirke sin egen arbeidshverdag.

Det er også viktig med tett og god kontakt med næringsliv, offentlige etater og organisasjoner. Dette gir gjensidige læring, og bygge respekt «begge veier». Vi ser imidlertid et behov for ytterligere virkemidler for sørge for at regelverket etterleves. Vi er derfor svært glad for at opprettelsen av en regulatorisk sandkasse i Datatilsynet er blant tiltakene i regjeringens strategi for kunstig intelligens. Dette vil skape innovasjon, vinn-vinn situasjoner og økt kompetanse både hos oss og de som skal delta i sandkassen.

Det er også utfordringer knyttet til enkelte av virkemidlene våre, og til enkelte av sektorene. Disse vil vi gå gjennom nedenfor.

Kontroll og saksbehandling

Personvernregelverket er fremdeles relativt ferskt. Datatilsynet har for eksempel kun fattet tre vedtak om overtredelsesgebyrer i 2019, og ingen av dem er rettet mot private foretak. I tiden som kommer vil vi gjennomføre kontroll og etterlevelse av regelverket i privat sektor. Dersom behandlingen av disse sakene munner ut i overtredelsesgebyr, er Datatilsynet forberedt på å bli utfordret rettslig på en annen måte enn hva vi har opplevd hittil.

Prosedyrene som gjelder saker av grenseoverskridende art, er fremdeles kompliserte og utfordrende å følge i praksis. Tilsynssamarbeid på tvers av landegrensene hviler på et grundig teoretisk fundament, men hvordan dette vil virke i praksis, er fremdeles noe usikkert.

En harmonisert praktisering av regelverket på tvers av Europa, blir en utfordring i 2020 og fremover. Det utarbeides hjelpemidler som skal bidra til å lette arbeidet, og dette skjer i regi av Personvern­rådet. Gjennom fortsatt deltakelse i rådet og dets undergrupper, vil vi imidlertid være godt forberedt og ha løpende kunnskap om rettsutviklingen i EU og EØS. Dette er krevende, men nødvendig. Ikke bare for å bidra til en harmonisert rettsanvendelse, men også for å sikre at vi til enhver tid er oppdatert på gjeldende rett, innenfor et felt der en vesentlig del av rettsutviklingen skjer i Europa.

Internasjonalt

Det vil bli utfordrende å vedlikeholde det høye aktivitetsnivået på det internasjonale området samt å sørge for at tilsynet ikke går glipp av viktig informasjon eller viktige prosesser. Dessuten utgjør det relativt høye antallet BCR-søknader i Norge en utfordring. Ved årsskiftet var saksbehandlingstiden på BCR-søknader og grenseoverskridende saker svært høy, og en sentral utfordring er å jobbe for å få ned denne saksbehandlingstiden. Dette er dessuten saker vi i liten grad har kontroll på. Det er samtidig saker som vi er forpliktet til å behandle, noe som kan gå på bekostning av andre viktige oppgaver.

Skole, barn og utdanning 

Å ivareta barn og unges personvern i og utenfor skolen er grunnleggende for å opprettholde vårt demokratiske samfunn. Det er essensielt å kunne ha mulighet til å opprettholde og skille mellom de ulike rollene man har i alle mulige sammenhenger i oppveksten.

Synet på hvordan vi lærer er i endring. Synet på hva elever i norsk skole skal lære på skolen er også i endring. Disse endringene skjer imidlertid ikke så fort. Dette står i sterk kontrast til endringstakten i utviklingen av digitale læringsmidler. Mulighetene for skoleeiere til å ta i bruk digitale læringsmidler i form av både maskinvare og programvare er nærmest uendelige, og valgmulighetene blir bare flere.

Digitalisering av prosesser kan på mange måter bedre både informasjonssikkerhet og personvern. Eksempler på dette er tilrettelagte innsynsportaler hvor elever og foresatte kan få oversikt over hva skoleeieren har lagret av opplysninger om dem. Når det gjelder informasjonssikkerhet muliggjør digitaliseringen en mer presis tilgangsstyring, slik at bare de med saklig grunn har tilgang til personopplysninger.

Det er likevel en forskjell på digitalisering og effektivisering av prosesser som er kjente og som vi kan ha en viss kontroll over, og det å ta i bruk verktøy som vi ikke har forutsetning for å overskue konsekvensene av. Verktøy for læringsanalyse kan være et slikt eksempel hvis vi ikke setter de riktige rammene for bruk av teknologi.

Målet med læringsanalyse er å skape læring som er skreddersydd til den enkelte elev. Hensikten er god, men fra et personvernperspektiv er det en utfordring at for å få til dette er det nødvendig å innhente, lagre og analysere store mengder detaljerte opplysninger om elevens adferd på og utenfor skolen. Med «opplysninger om eleven» snakker vi ikke lenger bare om resultater på prøver. Det dreier det seg om alle mulige spor som eleven etterlater seg ved bruk av digitale hjelpemidler; ferdige og halvferdige arbeider og produksjoner, metadata om arbeid (når, hvor, hvordan, hvor lang tid og så videre), kommunikasjon med lærer og andre elever, eller filming og lydopptak på skolen og hjemme for å nevne noe.

Helse

Personvernet vil i tiden fremover utfordres med tanke på hvor mye personlig informasjon som skal lagres, og hvor lenge informasjonen skal oppbevares. På dette feltet har leverandørene og utviklerne av de tekniske løsningene stor innflytelse. De som bestiller og anskaffer de tekniske løsningene kan ha mindre reell kontroll over behandlingen av opplysninger, til tross for at regelverket legger ansvaret på dem. Det er foreløpig lite fokus på å sikre at løsningene har innebygd personvern.

Vi kan vente oss økt bruk av kunstig intelligens i tiden som kommer. Det samme gjelder big data. Det finnes allerede flere forskningsprosjekter som handler om dette. Innen forskning og kvalitetssikring er det stor etterspørsel etter å bruke allerede innsamlede data til nye formål. Mer effektiv datadeling er også på den politiske agendaen. Det er derfor sannsynlig at personvernet i helsesektoren vil stå under press i tiden som kommer.

Helse- og omsorgstjenesten og NAV har enorme mengder data om oss. Dataene er interessante i forbindelse med stordataanalyser. Slike analyser utfordrer den tradisjonelle praksisen knyttet til sekundærbruk av data, og den reiser nye problemstillinger for personvernet. Disse problem­stillingene kan være utfordrende, både for enkeltmennesket, og for de som skal vurdere om slik bruk av data skal tillates eller ikke.

Kommunikasjon

Utfordringen videre er å treffe med god, riktig og enkel informasjon til forskjellige formål og til ulike målgrupper. I kommende år legger vi derfor særlig vekt på å sette inn ressurser for å kontinuerlig jobbe med innholdsrevidering i tråd med erfaringer og behov med regelverket, utvikle digitale selvhjelpsverktøy, satse på nye kommunikasjonskanaler og jobbe med å kommunisere regelverket på et klart språk som kan forstås av flest mulig.

I 2020 vil det gjennomføres flere kontroller etter det nye regelverket. Dette, sammen med alt kunnskapsgrunnlaget vårt som ligger i innkomne avviksmeldinger, klagesaker og henvendelser, blir sentralt å bruke som grunnlag i videre kommunikasjon.

Året 2019 bygger vider på den nye æraen i Datatilsynets historie fra da det nye regelverket ble iverksatt i juli 2018. Det tar tid å få etablert ny regelverks­forståelse både internt og eksternt. Formidlingen er en stor og viktig oppgave, og er også utfordrende og ressurs­krevende.

Forventningene til god veiledning i offentlig sektor øker. Bedre digitale hjelpemidler er viktige verktøy som vi skal satse på fremover. Digitalisering krever imidlertid en stor menneskelig innsats, og det er avgjørende at vi er godt rigget for å møte virksomheter og innbyggere på en god og effektiv måte når de kontakter oss.