Årsrapport for 2020

Årsrapport for 2020

Her kan du lese om hva som preget 2020 på personvernfeltet, og hvilke utfordringer Datatilsynet ser fremover. Du finner også en gjennomgang av de viktigste sakene og områdene vi har jobbet med. Vi presenterer her de mest sentrale kapitlene fra årsrapporten som er sendt til Kommunal- og moderniseringsdepartementet. Last ned pdfen dersom du vil lese hele den endelige årsrapporten.

Leders beretning

Leders beretning er en introduksjon til årsmeldingen, skrevet av direktør Bjørn Erik Thon. Han gir her et overordnet bilde over meldingsåret 2020.

For Datatilsynet har 2020 vært et unntaksår, slik det har vært for hele samfunnet vårt. De prioriteringene vi gjorde da vi planla året, måtte brått kastes om da samfunnet ble stengt ned den 12. mars.

Det er nå to og et halvt år siden personvernforordningen trådte i kraft. Det har vært en prioritet for oss å bygge ny forvaltningspraksis etter det nye regelverket, få på plass en ny tilsynsmetodikk, utvikle rutiner for behandling av ulike sakstyper og jobbe for å få på plass akkreditering og sertifisering. Mye av dette arbeidet har vært samordnet med det europeiske Personvernrådets veiledere og praksis.

Vi har også jobbet for å få på plass bedre statistikkverktøy, mer strømlinjeformet klagebehandling, en egen tipsbase, skjema for melding av avvik, ny prosess for virksomhets­planlegging, ny strategi, nytt system for intern rapportering og bedre interne sikkerhetsløsninger. Det har vært krevende å få alt dette på plass i dette spesielle koronaåret, både fordi det rett og slett er store prosesser, fordi utviklingsarbeid møter andre utfordringer når vi alle jobber hjemmefra og fordi vi har opplevd stor pågang og hatt krevende enkeltsaker til behandling. Tross dette, og noen forsinkelser, har vi enten sluttført eller hatt god framdrift i alle disse prosessene.

Noen prosesser har imidlertid blitt satt på vent. Planen var blant annet å evaluere omorganiseringen vi gjennomførte i 2019, og å gjennomføre en bred arbeidsmiljøundersøkelse. Vi valgte å utsette evalueringen og gjennomførte en begrenset arbeidsmiljøundersøkelse om utfordringer knyttet til hjemmekontor.

Når det gjelder eksterne aktiviteter, har koronaen så absolutt satt sitt preg på vår arbeidshverdag og våre prioriteringer. Nytt for 2020 var at vi skulle gjennomføre prioriterte tilsyn. Tanken var, og er, at disse skal gis høy prioritet, bemannes med solide ressurser, ha stor innvirkning på den enkelte sektor eller marked og være forankret helt til topps i organisasjonen vår. Vi skulle også gjennomføre tre prioriterte prosjekter. Tre av de fire tilsynene ble gjennomført, mens ett ble «byttet ut» med tilsynssaken mot Smittestopp. Av prosjektene ble ett nedskalert, ett prioritert bort og ett gjennomført. En rekke aktiviteter som sprang ut av koronasituasjonen ble prioritert i stedet, for eksempel veiledning om digital undervisning, utstrakt veiledning og kommunikasjon om spørsmål knyttet til korona og SMS-varslinger og -tellinger.

Med prioriteringsøyne har imidlertid Smittestopp-saken hatt størst betydning. Når vi tok den opp til behandling, var det av stor betydning å sette sammen et tverrfaglig team med høy kompetanse, samt sørge for god framdrift. Dette førte til at andre saker, blant annet et av tilsynene, ble prioritert bort.

Men også andre forhold enn koronasituasjonen har hatt betydning for arbeidet og resultatoppnåelsen vår i 2020. Vi har opplevd en økning i antall klagesaker, mens antall innmeldte avvik har holdt seg på samme høye nivå som i 2019. Mange saker har fått mye omtale i media, blant annet den nevnte Smittstopp-appen, «SMS-overvåking» og overvåking i arbeidslivet. Det har også vært et betydelig behov for informasjon og veiledning.

Når det gjelder prioritering av temaer og sektorer, har vi som planlagt hatt et særlig fokus på skolesektoren. Vi har behandlet store enkeltsaker (blant annet knyttet til avvik), gjennomført en rundebordskonferanse og deltatt på et stort antall digitale arrangementer. Vi har et bestemt inntrykk av at arbeidet vårt har gitt resultater. Vi opplever at både enkeltkommuner og kommunenes organisasjoner og myndighetsorganer på området, vier personvern større oppmerksomhet og har det høyere på dagsorden enn tidligere. Det har vært en liten forskyvning i fremdriftsplanen, men prioritering og fremdrift er stort sett opprettholdt.

Også helsesektoren har vært prioritert, og her har det viktigste vært å behandle avvik og enkelt­saker, samt påvirke, eller være sparringspartner, i de store utviklingsløpene som nå pågår (for eksempel Akson, helseanalyseplattformen og helsedataplattformen). Enkelte saker har tatt noe lenger tid enn ønsket, men vi har i all hovedsak fulgt vår planlagte prioritering.

En annen høyt prioritert oppgave har vært å etablere regulatorisk sandkasse for kunstig intelligens. Fremdriftsplanen vår har vært fulgt til punkt og prikke: Vi har bemannet sandkassa med kompetente medarbeidere, fastsatt kriterier for å delta i sandkasse og utviklet tilsynsmetodikk, for å nevne noe. Ettersom det er bevilget egne midler til sandkassa, har arbeidet i liten grad gått på bekostning av andre oppgaver, bortsett fra å få på plass administrative funksjoner slik som kontorplasser og lignende.

Et siste punkt å nevne er at Datatilsynet er på flyttefot og skal inn i nye lokaler på nyåret 2021. Det har vært en svært ressurskrevende oppgave å gjennomføre tilbudsprosess, befaringer, forhandling og inngå kontrakt. For ikke å snakke om gjennomføringen av selve den fysiske flyttingen, inkludert å få på plass nye IT-systemer i de nye lokalene og en rekke annet. Som en følge av dette er enkelte prosesser, blant annet ny budsjettprosess, skjøvet ut i 2021.

Når det gjelder den overordnede vurderingen av de samlede resultatene, måloppnåelsen og ressursbruken for året i lys av hovedmålet om et godt personvern for alle, kan dette sies:

Vi har lykkes godt med å få ut informasjon til borger og næringsdrivende om plikter og rettigheter knyttet til koronaen. Vi har brukt mer ressurser enn normal på kommunikasjonsarbeid. Dette har bidratt til stort press på de som til daglig jobber med kommunikasjon, men også i stor grad på andre i organisasjonen, ettersom de er involvert i kommunikasjonsaktiviteter knyttet til sine fagområder. Dette har i sin tur gått noe ut over saksbehandlingstiden som til tider har vært lenger enn ønsket. For å bøte på dette har vi jobbet for å effektivisere saksbehandlingen og gjennomført digitaliseringstiltak. Vi har også tatt ressurser fra de prioriterte prosjektene for å styrke kapasiteten i saksbehandlingen. Vi har heller ikke gjennomført noen store utredningsoppgaver, slik vi gjør i et normalår.

Det meste av arbeidet vårt overfor den enkelte sektor, er gjennomført i henhold til planen. Vi har behandlet kontrollsaker av meget stor betydning for norske borgere og forbrukere, og vi har opprettholdt høy prioritering av personvern for barn og unge.

Vi mener vi har oppnådd gode resultatet i 2020, og at vi har benyttet ressursene på en god måte. Jeg vil særlig trekke frem at vi har klart å omprioritere ressurser for å jobbe med spørsmål og saker som har oppstått som følge av koronasituasjonen. Vi mener omprioriteringene har vært riktige og forsvarlige, og at dette ikke har gått på bekostning av den samlede måloppnåelsen.

Oslo, 1.3.2021

Bjørn Erik Thon
Direktør

Kort om Datatilsynet

Datatilsynet ble opprettet i 1980, og er et uavhengig forvaltningsorgan under Kommunal- og moderniseringsdepartementet (KMD). Vår hovedoppgave er å bidra til at personvernlovgivningen etterleves, og at alle skal ha beskyttelse i tråd med personopplysningsregelverket.

Vi skal fremme personvern som en sentral verdi i samfunnet og være ombud i personvernspørsmål. Vi skal delta i personverndebatten og sette dagsorden, vi skal undersøke og dele fakta om person­vernets kår både nasjonalt og internasjonalt, og vi skal jobbe for at personvernet ivaretas også på områder som faller utenfor vårt tilsynsområde.

Personvern handler enkelt sagt om retten til et privatliv og retten til å bestemme over egne personopplysninger. Personvern er en menneskerettighet som skal sikre hensynet til den enkeltes personlige integritet, men det er også en ideell interesse og svært viktig for å sikre felles goder i et demokratisk samfunn. Datatilsynet må derfor jobbe aktivt for å oppnå en god ivaretagelse av personvernet i avveiingen mot andre samfunnsinteresser.

Hovedaktiviteter

Datatilsynets hovedmål er definert som «Et godt personvern for alle». For å nå hovedmålet vårt, lanserte vi høsten 2017 en strategi som skulle være førende for arbeidet vårt til og med 2020. Der var definert seks delmål som skulle ligge til grunn for arbeidet vårt.

Datatilsynet skal:

  1. arbeide for en mer rettferdig maktbalanse mellom individet på den ene siden, og kommersielle aktører og det offentlige på den andre.
  2. arbeide for å fremme personvernvennlig digitalisering, innovasjon og utvikling.
  3. arbeide for at virksomheter blir kompetente, forstår viktigheten av godt personvern og etterlever regelverket.
  4. bidra til at individet i større grad kan ivareta sitt eget personvern.
  5. påvirke og ta lederrollen i noen utvalgte internasjonale prosesser for å fremme bedre personvern.
  6. være et kompetent og fremtidsrettet tilsyn.

Virkemidler

For å nå hovedmålet vårt har vi en rekke virkemidler til disposisjon. Vi prøver til enhver tid å kombinere disse virkemidlene der det er mulig for å oppnå en best mulig effekt. Her er en generell oversikt over virkemidlene. Vi vil så videre i rapporten gå dypere inn i aktivitetene våre og se nærmere på tall og måloppnåelse.

Saksbehandling

Gjennom saksbehandling tilegner vi oss erfaring og kunnskap om hvordan personvern­hensyn ivaretas i praksis, og vi skal særlig ha oppmerksomheten rettet mot å identifisere systemfeil i virksomheter og bransjer.

Saksbehandling som virkemiddel har særlig vært brukt på områder der vi mottar mange henvendelser og klager. Som en offentlig etat, er vi naturlig nok bundet av forvaltningsrettslige regler og normer. Det gjøres derfor mye saksbehandling også innenfor områder som ikke er hovedprioritet.

Tilsynsvirksomheten

Gjennomføringen av tilsyn (kontroller) gir signal om at regel­verket skal etterleves og at etterlevelsen blir kontrollert. Tilsynsvirksomheten gir oss et fakta­basert grunnlag for kommunikasjon til ulike bransjer og relevante aktører. Tilsyn skal dessuten benyttes aktivt for å under­søke og avklare praksis, og til å følge opp konkrete problemstillinger i enkeltsaker. Tilsynsvirksomheten inkluderer også bruk av kontrollhjemler i saks­behandlingen, slik som for eksempel når vi følger opp enkeltklager gjennom krav om redegjørelse.

Ved å gjennomføre tilsyn når nye løsninger tas i bruk, men før en praksis har satt seg, kan tilsyn også medvirke til å forme et område videre.

Noen ganger benyttes kontrollene dessuten for å få bedre oversikt over et område eller en sektor, og for å skaffe et bedre grunnlag for å ta i bruk de andre virkemidlene. Andre ganger benyttes de for å holde oppe et trykk på en bestemt sektor – gjerne innenfor et bestemt tema.

Kommunikasjon

Datatilsynet skal veilede og informere om personvernlovgivning og forvaltningspraksis. Kommunikasjon som virkemiddel benyttes ofte sammen med de øvrige virkemidlene. En del av kommunikasjonen og dialogen vår skjer derfor gjennom veiledningstjenesten, veilednings­møter og annen dialog med rammesettere, beslutningstakere, virksomheter og enkeltpersoner.

Gjennom kommunikasjon ønsker vi dessuten å spre informasjon om personvernets tilstand, samt skape debatt og gi uttrykk for synspunkter vi måtte ha som forvaltnings- og tilsynsorgan og i rollen som ombud. Ombudsrollen brukes blant annet ved utspill og kommentarer overfor mediene, i foredragsvirksomheten og i blogg­innlegg.

Forsknings-, utviklings- og utredningsarbeid

Gjennom nær kontakt med miljøer i inn- og utland som driver med forsknings- og utviklingsarbeid, setter vi oss selv bedre i stand til å sette personvernhensyn inn i en samfunnsmessig kontekst, og til å fange opp trender og utviklingstrekk på et tidlig stadium. Vår kontakt med forskningsmiljøer kan stimulere til forskning på personvern, samtidig som personvernhensyn også blir ivaretatt i annen forskning.

Vårt eget utrednings- og kartleggingsarbeid utgjør også en viktig kilde til kunnskap. Det gir dybde til ulike temaer vi jobber med og er med på å skape oppmerksomhet om personvernspørsmål. Resultater fra vårt forskning-, utviklings- og utredningsarbeid legges også til grunn ved bruk av de øvrige virkemidlene.

Regulatorisk sandkasse

Datatilsynet opprettet i 2020 en regulatorisk sandkasse for kunstig intelligens. Her tilbyr vi kvalifisert veiledning til et utvalgt antall virksomheter. Målet med sandkassen er å stimulere til utvikling av innovative og samfunnsnyttige tjenester med godt, innebygd personvern. Sandkassen vil hjelpe virksomhetene til å følge regelverket, og samtidig bidra til kompetansebygging både hos den enkelte virksomhet og innad i Datatilsynet.

Andre virkemidler

Deltagelse i ulike råd og utvalg er et godt virkemiddel for å best mulig kunne påvirke aktører til å etablere god praksis. Det samme gjelder deltagelse i arbeid knyttet til innebygd personvern og regelverksutvikling. En slik måte å arbeide på egner seg særlig på områder der det pågår større reformer og utviklingsarbeid, særlig dersom de er teknologidrevne.

Personvernombudsordningen er et utpreget organisatorisk virkemiddel. Antall personvernombud i landet vokser, og er viktige ambassadører for personvern både i offentlige og private virksomheter.

Når det gjelder overtredelsesgebyr og tvangsmulkt, er dette økonomiske virkemidler som er blitt tatt stadig mer i bruk. Med innføringen av nytt personvernregelverk, er det åpnet for høyere overtredelsesgebyr enn tidligere, og virkemidlet er slik forsterket.

Organisasjon

Datatilsynet er administrativt underlagt Kommunal- og moderniseringsdepartementet (KMD). Bjørn Erik Thon er direktør. I tillegg består ledergruppen av fire avdelingsdirektører – en mann og tre kvinner. Videre hadde Datatilsynet ved årsskiftet fem seksjonsledere – to menn og tre kvinner.

Datatilsynet hadde 58 ansatte per 31. desember 2020. I tillegg hadde vi syv studenter tilknyttet ressursenheten for veiledning og enkel saksbehandling. 

Organisasjonskart per 31. desember 2020:

Organisasjonskart

Kontroll og saksbehandling

Datatilsynets oppgaver og myndighet finner man i personopplysningsloven (kapittel 6 og 7) og personvernforordningen (artikkel 57 og 58). Artikkel 57 inneholder en liste på 22 punkter over våre oppgaver. I dette kapittelet vil gå gjennom tall og tendenser fra saksbehandlingen.

Våre oppgaver og myndighet følger først og fremst av personopplysningsloven med personvernforordningen, men også av politiregisterloven, helseregisterloven og SIS-loven, i tillegg til en håndfull forskrifter.

Personvernforordningen slår fast at Datatilsynet «skal føre tilsyn med og håndheve anvendelsen av denne forordningen». Vi forstår dette tilsynsbegrepet i lys av den engelske språkversjonen av forordningen. Der brukes begrepet «monitor», som kan oversettes med «følge med på», «føre overoppsyn med», eller lignende.

Mange av oppgavene våre innebærer skriftlig saksbehandling. En vesentlig del av de innkommende saksdokumentene som Datatilsynet mottar, er klager fra enkeltindivider (i forordningen og loven betegnet som «de registrerte»). Regelverkets formål er å styrke enkeltindividets grunnleggende rettigheter, og tilsynsmyndighetens plikt til å følge opp klagene fra enkeltpersoner følger direkte av forordningens bestemmelser.

Vi har i tillegg flere saker til behandling som ikke er initiert av slike individklager. Dette kan være søknader om godkjenning av bindende virksomhetsregler (BCR), godkjenning av ad hoc-kontrakter for overføring av opplysninger til tredjeland, godkjenning av atferdsnormer, og så videre. BCR-sakene er blant de mest krevende å behandle, ettersom prosessen involverer både andre europeiske tilsynsmyndigheter og det felleseuropeiske Personvernrådet (EDPB), samt at den totale saksbehandlingstiden, inkludert godkjenning i EDPB, kan være på omkring to år.

Datatilsynet mottar dessuten en lang rekke meldinger om brudd på personopplysningssikkerheten (avviksmeldinger). Mange av disse meldingene krever mindre oppfølging, men flere av dem nødvendiggjør metikuløs oppfølging av saksbehandlerne i tilsynet.

Ansvarsprinsippet i forordningen skal sikre at de som er behandlingsansvarlige eller databehandlere etterlever regelverket. Konsekvensene ved lovbrudd kan bli alvorlige, loven og forordningen har ulike bestemmelser om administrative sanksjoner og overtredelsesgebyr. Hvis lovovertrederen er et foretak, kan de mest alvorlige lovbruddene resultere i gebyrer på opptil 4 prosent av den samlede globale omsetningen fra forrige regnskapsår. I alle andre tilfeller ligger den øvre beløpsgrensen på 20 millioner euro, for de bruddene som i artikkel 83 nr. 5 i personvernforordningen er angitt som de mest alvorlige.

Antall saker, saksdokumenter og klager

I 2020 har vi registrert et høyere antall nyopprettede saker enn i 2019. I løpet av året registrerte Datatilsynets arkiv 3 271 nye saker. Til sammen ble det registrert 5 733 innkommende dokumenter. Sammenlignet med årene før, innebærer dette en markant økning. Samtidig ble det sendt ut 4 337 dokumenter fra Datatilsynet i løpet av året. Dette er også et høyere tall enn noen gang før.

journalførte saker.jpg journalførte dokumenter.jpg

Som mange andre land i EØS-området, ser vi en økning i antallet klagesaker som handler om behandling av personopplysninger. Økningen har vært vedvarende siden personvern­forordningen ble innført i norsk rett sommeren 2018. Vi antar at den økende opp­merksomheten om personvern, og folks forventninger om at personopplysninger skal behandles på en måte som tilfredsstiller lovens krav, er en konsekvens av det nye regelverket. En mulig årsak kan også være mer effektiv håndheving av regelverket de siste årene, for eksempel gjennom økt sanksjonering av regelverksbrudd som krenker enkeltindividets grunnleggende rettigheter, og at dette har vist at «det nytter» å klage.

Samtidig ser vi at det i flere saker har vært nødvendig å kontakte klagerne for å få opplyst sakenes faktiske sider, og dette har også bidratt til at antallet utgående dokumenter har økt.

Klager på Datatilsynets enkeltvedtak

I løpet av året fattet vi 252 vedtak registrert i arkivsystemet, men dette tallet er noe usikkert. Tallet er i realiteten høyere, og omfatter for eksempel ikke saker der vi påpeker hvilke plikter en virksomhet har uten å fatte et formelt vedtak.

Vi mottok 38 klager på våre vedtak. I 20 av klagesakene er klagerne privatpersoner, i resten av sakene er det offentlige eller private virksomheter som har klaget. I to tilfeller resulterte klagene i at vi omgjorde våre egne vedtak (jf. forvaltningsloven § 33 andre ledd). I 22 tilfeller ble sakene sendt videre til Personvernnemnda for klagebehandling. Kun tre av klagene gjaldt ileggelse av overtredelsesgebyr. Seks av klagene var fremdeles til behandling ved overgangen til 2021.

Av de 38 klagesakene er åtte klager på våre avslag på innsynsbegjæringer etter offentlighetsloven. Datatilsynet omgjorde fem av disse avslagene etter å ha mottatt klager, og delvis innsyn ble gitt. To av klagesakene gjaldt delvise avslag på innsynsbegjæringer etter offentlighetsloven, og disse sakene ble klagebehandlet av Kommunal- og moderniseringsdepartementet som avslo begge klagene. Den siste klagen ble trukket.

vedtak og klager.jpg Saker til PVN.jpg

Sanksjoner

gebyr og mulkt.jpg

I løpet av meldingsåret, har Datatilsynet fattet 13 avgjørelser om overtredelsesgebyr eller tvangsmulkt. Sakene gjelder brudd på regelverkets krav i forbindelse med kameraovervåking, informasjonssikkerhet, overvåking på arbeids­plassen og innhenting av kredittopplysninger.

Det høyeste gebyret var på 3 millioner kroner, og det laveste på 75 000 kroner. Til sammen utstedte Datatilsynet gebyrer på til sammen 5 875 000 kroner i løpet av året. Tre av overtredelsesgebyrene har blitt påklaget, og skal behandles av Personvernnemnda i 2021.

I tillegg har Datatilsynet utstedt irettesettelser (i medhold av personvernforordningen art. 58 nr. 2 bokstav b) i fem saker i løpet av meldingsåret. I enkeltvedtakene som er fattet i 2020, er det dessuten gitt ulike pålegg (i mehold av art. 58 nr. 2), enten i stedet for eller i kombinasjon med overtredelses­gebyr og irettesettelser.

Høringer

I løpet av 2020 mottok Datatilsynet 198 høringssaker. Datatilsynet ga innspill til 50 av disse. Dette er et høyt tall sammenlignet med foregående år, og antallet innkommende høringssaker er vesentlig høyere enn i fjor. De av høringssakene som ikke blir besvart med konkrete merknader og innspill, blir gjennomgått og vurdert av en saksbehandler, og om Datatilsynet finner at det ikke er grunn til å gi noen uttalelse, eller høringssaken ikke kan prioriteres, blir den tatt til etterretning og avsluttet.

Sju av uttalelsene vi ga uttalelser til, handlet om regler foreslått på bakgrunn av pandemien. Noen av disse hadde svært knappe høringsfrister.

Noen av de mest sentrale høringssakene Datatilsynet ga uttalelse til i 2020, var:

  • NOU 2019:9 Fra kalveskinn til datasjø (utsatt svarfrist)
  • Forslag til kredittopplysningsforskrift
  • NOU 2019: 26 Rusreformutvalget – fra straff til hjelp
  • NOU 2019: 20 En styrket familietjeneste
  • NOU 2019:23 – ny opplæringslov
  • Forslag til lov om informasjonstilgang mv. for Koronakommisjonen
  • Forslag til endringer i politiregisterloven og politiregisterforskriften
  • Forslag til endringer i statsansatteloven – lovhjemmel for etablering av en registreringsordning for statsansattes økonomiske interesser mv.
  • Forslag til endringer i forvaltningsloven m.m. – utvidet adgang til informasjonsdeling
  • Nye hjemler for deling av pasientopplysninger – endringer i helsepersonelloven. Bruk av kunstig intelligens i helse- og omsorgstjenesten – Etablering av behandlingsrettet helseregister med tolkede genetiske varianter
  • Forslag til lov om Stortingets ombud for forvaltningen (Sivilombudsloven)

Dere finner nærmere omtale av noen av våre mest sentrale høringsuttalelser under de prioriterte områdene.

høringer.jpg

Offentlighetsloven og innsynskrav - eInnsyn

eInnsyn.jpg

Via eInnsyn mottok vi 3 671 innsynskrav i løpet av meldingsåret. Dette er en økning sammenlignet med 2019, og vi har registrert en jevn økning de seneste årene. Dette er nok en naturlig konsekvens av at vi også har registrert flere inn- og utgående dokumenter.

Vi ga innsyn i de langt fleste tilfellene, men ga avslag på 348 innsynsbegjæringer, som følge av at dokumentene inneholdt taushetsbelagt informasjon. I 628 tilfeller ga vi delvis innsyn, som følge av meroffentlighetsvurderinger.

Vi legger ned betydelige ressurser i utøvelsen av offentlighet, og dette arbeidet utføres særlig av arkivet og Datatilsynets juridiske avdeling.

Tilsyn og tilsynsmetodikk

Datatilsynet har hatt behov for en oppdatert og mer effektiv tilsynsmetodikk som kan bidra til en koordinert og enhetlig gjennomføring av tilsyn. Personvern­forordningen har gitt nye rammer for tilsynsvirksomheten:

  • konsesjonsarbeidet ble avviklet og ansvaret for etterlevelse i sin helhet overført til de behandlingsansvarlige
  • manglende samsvar med personvernforordningen gir vesentlig høyere gebyrer
  • de tekniske løsningene blir stadig mer komplekse.

I tillegg til tradisjonelle dokumenttilsyn, ønsker vi større grad å gjennomføre stedlige tilsyn, ved verifisering av dokumentasjon gjennom intervju, befaring og tekniske undersøkelser.

Forprosjektets tilsynsrapport ga anbefalinger til oppfølgingspunkter knyttet til valg av metodikk, støttesystemer og rutiner for prosjekthåndtering og opplæring. Dette har dannet grunnlaget for «Tilsynsmetodikkprosjektet» i 2020. Prosjektet leverte rapport, metodikk og sine anbefalinger til ledergruppen høsten 2020, der det ble besluttet at vi skal benytte dette som vårt verktøy for gjennomføring av framtidige tilsyn.

Tilsynsmetodikken skal oppleves som solid og tillitsvekkende både for de som skal gjennomføre tilsyn, for våre tilsynsobjekter og samfunnet for øvrig. Den er basert på ISO 19011 (retningslinjer for revisjon av ledelsessystemer), men betydelig tilpasset vårt regelverk der personvernforordningen gir tilsynskriterier.

Alle ledere og saksbehandlere har gjennomført kurs i ISO 19011 og ISO 9O001. Nøkkel­medarbeidere som er tiltenkt rollen som tilsynsledere, har tatt eksamen i ISO 19011.

2020 ble et annerledes år også når det gjaldt gjennomføring av tilsyn, men vi har likevel gjennomført en kontroll hvor vi testet ut og brukte den nye metodikken. Erfaringene derfra er at metodikken er et godt og effektivt hjelpemiddel for gjennomføring av tilsyn etter personopplysningsloven.

Vi har også endret på organisering av tilsynsvirksomheten vår gjennom å opprette en rolle som tilsynskoordinator. Denne skal ha det overordnede oppsynet med tilsynsvirksomheten, koordinere gjennomføringen av hele tilsynsforløpene, og også sikre at både gjennomføring av tilsyn og bruk og nytte av metodikken kontinuerlig evalueres.

I 2021 vil metodikken utvides med en egenutviklet opplæringspakke, oppdatert malverk og metodikk for tilsyn med algoritmer og kunstig intelligens.

Tilsyn med algoritmer og KI

En ny EU-lovgivning for etisk, kunstig intelligens ble i oktober 2020 foreslått for Kommisjonen av det europeiske Personvernrådet. Forslaget understreker betydningen av personvernregelverket, også innenfor kunstig intelligens, i tillegg til sentrale, etiske prinsipper slik som menneskets selvbestemmelse og kontroll, sikkerhet og andre grunnleggende rettigheter. For teknologier med høy risiko for å skade enkeltpersoner og samfunnet, er det foreslått særlige regler, inkludert et nasjonalt tilsynsorgan.

Gjennom vår tilsynsmetodikk for algoritmer og KI, samt erfaringene fra regulatorisk sandkasse for ansvarlig, kunstig intelligens, videreutvikler og spisser vi vår kompetanse på tilsyn av algoritmer, teknologi, personvernvennlig kunstig intelligens.

Datatilsynet ønsker å ta rollen som tilsynsmyndighet for etisk kunstig intelligens, dersom forslaget blir vedtatt.

Spesielt om avviksmeldinger

avviksmeldinger.jpg

Innføringen av personvernforordningen i 2018 førte til at Datatilsynet mottar langt flere avviksmeldinger (meldinger om brudd på personopplysnings­sikkerheten) enn tidligere.

Forordningen stiller strenge og endrede krav til at brudd på personopplysningssikkerheten skal meldes inn til datatilsynsmyndighetene, og dette gjenspeiles i en betydelig økt saksbehandlings­mengde knyttet til avviksmeldinger. I 2020 mottok Datatilsynet 2 009 meldinger. Det vil si et gjennomsnitt på omlag 150 avviksmeldinger per måned siden forordningen trådte i kraft.

Antallet meldte brudd i 2020 er en økning sammenlignet med de foregående årene, og det blir spennende å se om tallet er i ferd med å stabilisere seg på rundt 2 000 avvik i året.

(Merk: Det er noen ulikheter mellom tallene vi henter ut fra saksbehandlingssystemet vårt (figuren over), og de tallene vi har behandlet manuelt og som ligger til grunn for den videre analysen. Avviket er mindre enn 2 prosent og vil dermed ikke ha innvirkning på helhetsbildet.)

avviksmeldinger pr mnd.jpg

Det er positivt at avvik meldes inn. Det viser at virksomhetene er kjent med plikten til å melde avvik, og at de har rutiner både for å avdekke og melde slike avvik. Det er imidlertid grunn til å tro at det fortsatt er mørketall og at en del avvik ikke meldes inn. I vår kommunikasjon har vi lagt vekt på hvor viktig det er å melde fra om brudd på personopplysningssikkerheten, og at det ligger mye læring i dette for den enkelte virksomhet.

Det omfattende antallet har naturlig nok ført til økt ressursbruk knyttet til saksbehandling, men er samtidig en kilde til kunnskap som kan informere og styre ressurser knyttet til tilsyn, veilednings- og kommunikasjonsarbeid.

Hvilke typer overtredelser er meldt inn?

Meldingene Datatilsynet behandler varierer fra menneskelige feil som rammer én eller få personer, til målrettede hackerangrep med mange hundre tusen rammede. Den vanligste årsaken til at et avvik oppstår er at personopplysninger blir sendt til feil mottaker. Disse sakene utløser som regel ingen reaksjon fra vår side, og de rammede personene er som regel informert om avviket idet meldingen kommer inn til oss.

avviksmeldinger - type brudd.jpg

Kategorien «Annet» omfatter alt fra konsekvenser av manglende testing, lagring på feil sted, øvrige faktorer knyttet til løsninger, programmer med manglende innebygd personvern og lignende. Denne kategorien skal deles opp og defineres tydeligere i kommende år.

Hvem melder avvik til Datatilsynet?

Antall innmeldte avvik representerer ikke nødvendigvis et korrekt bilde av antall faktiske avvik. Når enkelte sektorer melder flere avvik enn andre kan det like gjerne antyde at kompetansen, systemene og rutinene er bedre utviklet her. På samme måte kan det at enkelte sektorer og aktører nesten ikke melder inn avvik til Datatilsynet, like gjerne antyde mangelfulle rutiner som at avvik ikke forekommer. 

avviksmeldinger - hvilke områder.jpg

28 prosent av alle avvikene som meldes inn, kommer fra kommunesektoren. Det inkluderer skoler, barnehager, mange helsetjenester, eldreomsorg og barnevern. Kommunene er ansvarlige for mange av tjenestene som er nærmest enkeltindividet, og følgelig behandles mange sensitive opplysninger her. Å løfte kommunenes kompetanse på personvern og informasjonssikkerhet er dermed spesielt viktig.

Finanssektoren, som her inkluderer blant annet bank, forsikring, inkasso og kredittvurdering, står for 23 prosent av de innmeldte avvikene. De færreste av disse gjelder særlige kategorier personopplysninger, og er følgelig ikke de som er mest alvorlige. Sammenlignet med 2019 har andelen avviksmeldinger økt i kommunesektoren og falt i finanssektoren.

Sekkekategorien «annen privat» inkluderer alle private selskaper som ikke faller naturlig inn under noen av de andre kategoriene.

Internasjonalt arbeid og samarbeid

Internasjonalt samarbeid er svært viktig for Datatilsynet siden personvernforordningen skal tolkes likt i hele EØS. Hva som skjer i andre EØS-stater og det europeiske Personvernrådet (European Data Protection Board – EDPB) kan påvirke handlingsrommet til Datatilsynet.

Det er nedfelt i strategien vår at vi skal påvirke og ta lederrollen i noen utvalgte internasjonale prosesser for å fremme bedre personvern. I 2020 har vi fullført en slik lederrolle, og vi har dessuten tatt på oss ansvar i nye prosesser.

Deltakelse i Personvernrådet med ekspertgrupper

Det europeiske Personvernrådet er et uavhengig EU-organ opprettet i henhold til personvern­forordningen. De viktigste oppgavene til rådet er å gi retningslinjer og uttalelser om hvordan personvernforordningen skal forstås og sikre at den tolkes på en ensartet måte i EØS. Dessuten er rådet den øverste rådgivende forsamlingen for EU-kommisjonen i spørsmål om personvern og informasjonssikkerhet. Personvernrådet består av datatilsynsmyndighetene i EU og EØS. Datatilsynet er fullverdig medlem, men siden Norge er en EØS-stat har vi ikke rett til å stemme eller stille til valg som rådets leder eller nestleder.

I 2020 har Datatilsynet deltatt på Personvernrådets plenumsmøter som vanligvis avholdes omtrent én gang i måneden, men som under korona har blitt gjennomført i form av langt hyppigere videomøter. I tillegg har Datatilsynet deltatt aktivt i samtlige av rådets ekspertgrupper som også har møttes digitalt:

  • Border, Travel and Law Enforcement Expert Subgroup
  • Compliance, e-Government and Health Expert Subgroup
  • Cooperation Expert Subgroup
  • Enforcement Expert Subgroup
  • Financial Matters Expert Subgroup
  • International Transfers Expert Subgroup
  • IT Users Expert Subgroup
  • Key Provisions Expert Subgroup
  • Social Media Expert Subgroup
  • Strategic Advisory Expert Subgroup
  • Taskforce on Fining
  • Technology Expert Subgroup

Alle disse gruppene forbereder saker for plenumsmøtene i Personvernrådet hvor de endelige avgjørelsene om retningslinjer, uttalelser og så videre blir fattet. Ekspertgruppene møtes som regel i forkant av hvert plenumsmøte. Til sammen åtte jurister og én teknolog fra Datatilsynet deltok fast i EDPBs plenums- og ekspertgruppemøter i 2020.

Under Personvernrådet er det opprettet en egen komité, Coordinated Supervision Committee, for koordinering av tilsyn med store EU-plattformer. Komiteen hadde to møter i 2020, der én jurist fra Datatilsynet deltok.

Personvernrådet har dessuten et eget kommunikasjonsnettverk som diskuterer kommunikasjons­strategi og der man deler nasjonale nyhetssaker. Én kommunikasjonsrådgiver deltok fast i kommunikasjonsnettverket i 2020.

Utarbeidelse av felles europeiske retningslinjer om innebygd personvern

I 2018 ble vi utpekt som hovedrapportør for Personvernrådets felles europeiske retningslinjer om innebygd personvern og personvern som standardinnstillinger. Hovedrapportøren har hovedansvaret for å utarbeide retningslinjene i tråd med de andre EØS-statenes innspill. I 2020 har vi avsluttet dette arbeidet. Én jurist og én teknolog har jobbet med dette.

Retningslinjene analyserer ordlyden i personvernforordningen artikkel 25 og forklarer hvordan den skal forstås. Deretter gir retningslinjene eksempler på elementer som må bygges inn i systemer og rutiner for hvert av personvernprinsippene.

Retningslinjene ble vedtatt 13. november 2019. Deretter ble de sendt på offentlig høring og revidert. Retningslinjene ble endelig vedtatt den 20 oktober 2020.

Organisering av plenumsmøter

Personvernrådet holder for tiden på å forbedre egen organisering for å gjøre plenumsmøtene mer fokuserte og effektive og for å oppnå klarere oppgavefordeling. Datatilsynet ble i 2020 utpekt som hovedrapportør for dette arbeidet. Én jurist jobber med dette.

Internajonal saksbehandling/IMI

internasjonal saksbehandling.jpg

Personvernforordningen kapittel VII og VIII inneholder nærmere regler om saksbehandlingen ved såkalt grenseoverskridende behandling av personopplysninger. I denne typen saker må alle berørte datatilsynsmyndigheter identifiseres, og deretter vil en ledende datatilsynsmyndighet bli utpekt etter nærmere regler. Ledende datatilsynsmyndighet undersøker saken og legger deretter frem et utkast til avgjørelse som de berørte datatilsyns­myndighetene kan komme med innsigelser mot. Til denne prosessen brukes et saksbehandlingssystem som heter Internal Market Information System (IMI).

I 2020 ble Datatilsynet identifisert som berørt datatilsynsmyndighet i 320 nye saker. I samme periode var vi ledende datatilsynsmyndighet i 20 saker. De fleste av disse sakene er fremdeles åpne ved årsskiftet.

Internasjonal saksbehandling krever at vi fortløpende følger med på hva som skjer i IMI, siler saker og gir tilbakemelding der det er nødvendig. Det kan være krevende å nå enighet med andre datatilsynsmyndigheter om hva avgjørelsene skal gå ut på. Internasjonal saksbehandling krever derfor en del ressurser, og saksbehandlingstiden er adskillig lenger enn i ikke-grenseoverskridende saker.

Overføring til tredjeland og BCR

Den 16. juli 2020 falt dommen i den såkalte Schrems II-saken i EU-domstolen. Denne dommen ugyldiggjorde EU-kommisjonens adekvansbeslutning som tillot overføring av personopplysninger til en rekke amerikanske virksomheter i henhold til Privacy Shield-rammeverket. Dessuten stilte EU-domstolen opp strenge vilkår for lovlig overføring av personopplysninger ut av EØS. Disse vilkårene innebærer at hver enkelt virksomhet må foreta kompliserte vurderinger, og mange overføringer vil være ulovlige fordi de ikke kan oppfylle vilkårene.

Dommen skapte utfordringer for en rekke norske virksomheter. Vi prioriterte derfor å utarbeide veiledningsmateriell til datatilsynet.no om hva dommen betyr og hvordan norske virksomheter skal forholde seg til den. Vi har også gjennomført dialogmøter med flere aktører og holdt flere foredrag om denne problematikken.

Ved utgangen av 2020 hadde Datatilsynet, som ledende tilsynsmyndighet, 12 åpne søknader om godkjenning av bindende konsernregler (BCR) som grunnlag for overføring av personopplysninger til tredjeland. Kun fire andre land i EØS har flere søknader til behandling.

En BCR må først legges frem for Personvernrådet for uttalelse før den kan godkjennes av de nasjonale datatilsynsmyndighetene. Det tok lang tid for rådet å få på plass prosedyrer for dette, og prosedyrene som har blitt vedtatt, krever tett samhandling mellom alle datatilsynsmyndighetene i EØS og er svært ressurs- og tidkrevende. Personvernrådet ga sin første uttalelse om en BCR mot slutten av 2019, og så langt har kun et fåtall BCR-er vært til behandling i rådet.

I 2020 ble den første norske BCR-søknaden lagt frem for Personvernrådet. Den 31. juli 2020 vedtok rådet en formell uttalelse om søknaden, der rådet uttalte at BCR-en kunne godkjennes uten endringer. Kun fire andre land hadde lagt frem BCR-søknader for Personvernrådet og fått en uttalelse før dette.

I tillegg har Datatilsynet gjennomgått fem BCR-søknader hvor andre EØS land er den ledende tilsynsmyndigheten (såkalt co-review). Dette er en del av prosessen før en BCR kan legges frem for Personvernrådet. Norske konsern som har fått en godkjent BCR, skal årlig sende en oppdatering til Datatilsynet som må gjennomgås. Ved utgangen av 2020 gjaldt det syv konsern.

Eurodac og Visumsamarbeidet i Europa (Eurodac og VIS Supervision Coordination Group (SCG))

Vi er fullverdig medlem av de to koordineringsgruppene Eurodac og Visumsamarbeidet i Europa. Møtene finner som regel sted samtidig, ettersom de to temaene er beslektet. I 2020 deltok vi på begge møtene som ble avholdt digitalt. Én jurist har deltatt.

Schengen Information System (SIS) Supervision Coordination Group (SCG)

Vi er fullverdig medlem av Schengen-koordinasjonsgruppen som møtes i EU-parlamentet i Brussel. I 2020 deltok vi på begge møtene som ble avholdt digitalt. Én jurist har deltatt.

Oppfølging av Schengen-evaluering av Norge

Schengen-samarbeidet bygger på Schengen-konvensjonen av 1985 som Norge sluttet seg til i 1996. Konvensjonen skal styrke det europeiske samarbeidet om kontroll av de ytre Schengen-grensene. Den innebærer felles visumregler, samt et styrket politimessig og rettslig samarbeid. Norge deltar også i det europeiske fingeravtrykksamarbeidet Eurodac. Datatilsynet er tilsynsorgan for den nasjonale behandlingen av personopplysninger i SIS (Schengen informasjonssystem) og VIS (Visa informasjonssystem).

Norges etterlevelse av Schengen-regelverket ble evaluert av en felleseuropeisk komité i november 2017. Neste evaluering vil finne sted i 2022. Evalueringen innebar en inspeksjon av vår etterlevelse av tilsynsoppgavene etter VIS og SIS. I tillegg ble KRIPOS og UDI, som behandlingsansvarlige for henholdsvis SIS og VIS, kontrollert.

I rapporten fra evalueringen ble det konkluderte med i alt 33 anbefalinger fra komitéen. Åtte av anbefalingene gjaldt særskilt for Datatilsynet. De gikk blant annet ut på å bedre informasjonen om de registrertes rettigheter på hjemmesiden vår, samt at vi jevnlig må kontrollere lovligheten av behandlingen av opplysninger i VIS og SIS. Særlig måtte vi sørge for å oppfylle vår plikt til å gjennomføre et tilsyn med behandlingen av personopplysninger i VIS. Vi gjennomførte et tilsyn av UDI og deres behandling av opplysninger i den nasjonale delen av VIS i 2019. Rapporten er fremdeles under arbeid.

Internasjonalt samarbeid mellom datatilsyns-, forbruker- og konkurransetilsynsmyndigheter

Det europeiske Personvernrådet og det tilsvarende forumet for forbrukertilsynsmyndigheter, Consumer Protection Cooperation Network (CPC), har satt i gang et arbeid for å se hvordan datatilsyns- og forbrukertilsynsmyndighetene kan samarbeide tettere. Dette arbeidet er inspirert av gode eksempler i ulike EØS-land, der det norske Datatilsynets nære samarbeid med Forbrukertilsynet har blitt særlig fremhevet. Vi har en sentral rolle i dette arbeidet. Én jurist deltok i dette arbeidet.

Vi deltar dessuten på møter i Digital Clearinghouse, en møtearena opprettet av European Data Protection Supervisor (EDPS), men som nå organiseres av universitetene i Namur og Tilburg, samt Eurpoean Policy Centre. Møtene samler representanter fra europeiske datatilsynsmyndigheter, forbrukerombud og konkurransetilsynsmyndigheter fra hele verden. Formålet med møtene er å undersøke hvordan vi sammen kan håndtere utfordringer i det digitale økosystemet på en mest mulig effektiv måte. I 2020 har én samfunnsviter og én jurist deltatt på disse møtene.

Global Privacy Assembly (GPA) er et internasjonalt forum for hele verdens datatilsynsmyndigheter. Én av GPAs arbeidsgrupper, Digital Citizen and Consumer Working Group, ser særlig på krysningspunktet mellom personvern, forbrukervern og konkurranserett. Datatilsynet er medlem av denne arbeidsgruppen. Én jurist deltok på arbeidsgruppens møter i 2020, og vi deltok på GPAs digitale årsmøte.

Andre samarbeid

Vi deltar også i andre internasjonale fora, slik som Berlingruppen (International Working Group on Data Protection in Telecommunications – IWGDPT), og vi samarbeider med de øvrige nordiske datatilsynsmyndighetene. Disse foraene har ikke hatt møter i 2020 på grunn av koronasituasjonen.

Spesielt om koronasituasjonen

Koronasituasjonen har hatt stor betydning for Datatilsynet i meldingsåret. Ettersom denne pandemien langt på vei har endret det norske samfunn og folks syn på personvern, i hvert fall på kort sikt, vil vi her gi en samlet oversikt over vårt arbeid med koronarelaterte problemstillinger og utfordringer i 2020.

Saksbehandling

Forvaltningspraksisen vår

Når krisen traff oss, gikk samfunnet inn i en unntakstilstand. For Datatilsynet ble det viktig å understreke at personvernregelverket også gjelder i krisetid, samtidig som vi måtte utvise nødvendig fleksibilitet og skjønn, gitt situasjonens alvor.

Vi besluttet blant annet å ikke håndheve brudd på 72-timers-fristen for å melde avvik, og ikke håndheve annet enn alvorlige brudd på personvernsikkerheten i skolesektoren. Dersom det var nødvendig å ta i bruk tjenester som ikke var risikovurdert, oppfordret vi likevel å gjennomføre forenklede vurderinger og dokumentere dem. Staten ga betydelig kompensasjonsmidler til mange bedrifter, blant annet for å forhindre konkurser. Vi besluttet i starten av koronaen å utvise stor forsiktighet med å utstede overtredelsesgebyrer, særlig til mindre bedrifter.

Smittestopp-saken

Appen Smittestopp ble lansert medio april 2020. Gjennom appen skulle Folkehelseinstituttet (FHI) foreta digital smittesporing. Appen skulle også bidra med data til analyse og modellering av smitteverntiltak, samt til forskning.

Smittestopp samlet blant annet inn brukerens GPS-lokasjon og informasjon om brukerens kontakt med andres telefoner til enhver tid. Prinsipielt innebar dette et stort potensiale for overvåking av brukerne av appen. Dataene skulle lagres i en sentral database. Brukerne kunne ikke velge å bidra med data til ett av flere formål: smitte-/kontaktsporing, analyse eller forskning.

Vi satte i verk en dokumentkontroll av appen. I første omgang varslet vi pålegg om endring av risiko- og sårbarhetsanalysen, samt protokollen for Smittestopp. Vi avdekket vesentlige mangler ved dokumentasjonen som vi mente burde rettes umiddelbart.

I juni 2020 varslet vi FHI om et midlertidig forbud mot behandling av personopplysninger i tilknytning til Smittestopp, da vi mente at FHI ikke hadde dokumentert appens nytteverdi. Vi så særlig på appens manglende funksjonalitet og den lave oppslutningen om Smittestopp. Vi mente også at FHI ikke hadde godtgjort at det var nødvendig å bruke lokasjonsdata fra GPS i kontaktsporingsarbeidet. Dette var etter vårt syn i strid med prinsippet om dataminimering.

Videre var vi kritiske til at brukerne ikke hadde mulighet til å velge å gi fra seg personopplysninger for kun ett eller enkelte av flere formål. Stortinget vedtok senere at formålene måtte splittes.

Etter at de mottok varselet om midlertidig forbud, valgte FHI å stanse innsamlingen og slette alle personopplysninger. Vi fattet formelt vedtak om midlertidig forbud i juli 2020.

FHI lanserte i desember 2020 en ny versjon av Smittestopp. Den nye appen har kun smitte- og kontaktsporing som formål, og er samtykkebasert. Appen bruker kun Bluetooth i kontaktsporingen, og dataene lagres lokalt på den enkelte brukers mobiltelefon. Etter det vi kan se, er personvernet mye bedre ivaretatt i den nye løsningen.

Tilsyn med befolkningsvarsling

Det har i hele kriseperioden vært viktig å nå ut med mest mulig konkret og treffsikker informasjon. Ulike typer befolkningsvarsling har vært brukt til dette formålet, blant annet ble det sendt ut en melding om reisekarantene til alle som var på reise i Danmark. For å få klarhet i hvordan disse varslingstjenestene fungerte, hvem som var involvert og ansvarsforholdet mellom partene, startet vi en tilsynssak om lokasjonsbaserte SMS-varsler. Sakene er ikke avsluttet.

Sentrale høringsuttalelser

I løpet av året har vi avgitt flere høringsuttalelser om ulike lovforslag om bank- og finanssektoren, herunder forslag til endringer i hvitvaskingsregelverket, midlertidig forskrift til koronaloven om billettering på ferger og ny pengespillov.

Datatilsynet har gitt to høringsuttalelser om endringer i boliglovene i 2020. På bakgrunn av koronapandemien var det behov for å gjøre midlertidige endringer i boliglovene for blant annet å kunne avholde årsmøter for borettslag og sameier digitalt. Det ble derfor først sendt ut en hastehøring med hjemmel i koronaloven. I etterkant av denne runden ble det sendt ut forslag om permanente endringer.

I tillegg har vi gitt høringsuttalelser blant annet om disse forslagene:

  • Gjennomføring av digitale rettsmøter (tilpasninger til prosesslovgivning)
  • Innreiserestriksjoner
  • Reiseregistrering
  • Isolering og begrensninger i bevegelsesfrihet mv. i smittevernloven
  • Endringer i forskrift om meldingssystem for smittsomme sykdommer

Dere finner de mest sentrale høringsuttalelsene våre på vår samleside 

Øvrige aktiviteter

Informasjon om smittede og folk i karantene

Få dager etter nedstengningen mottok vi de første spørsmålene fra arbeidsgivere og media om hva man kunne opplyse om ansatte som var i karantene eller som var smittet av Covid 19. Vi besvarte mange henvendelser på telefon, og la ut veiledning fortløpende på hjemmesiden vår. Her ga vi blant annet råd om at arbeidsgiver bør gi informasjon internt om at en ansatt er i karantene eller smittet, og be om samtykke fra den ansatte før vedkommende sitt navn ble nevnt. Slik informasjon bør ikke gis til utenforstående. Vi oppfordret også ledelsen i virksomhetene til å utarbeide en plan for å informere om følgene av at noen var smittet, ved for eksempel å si at saksbehandlingstiden var lenger enn normalt, eller kundeservice lavere bemannet.

Stengte skoler og digital undervisning

Da skolene stengt, ble lærerne digitale eksperter, stuebordet klasserom og foreldrene lærere. Det var en krevende situasjon for alle, og vi understreket i vår kommunikasjon at «tiden ikke er inne for streng håndheving», og oppfordret alle til å utvise smidighet. Vi utarbeidet veiledning der vi orienterte om hvor den enkelte lærer kunne søke råd, hva skolen burde ta spesielt hensyn til og pekte på at man også kunne fjernundervise på en personvernvennlig måte. Det var betydelig interesse fra både media og publikum om disse spørsmålene.   

Bruk av mobildata til befolkningstelling- og varsling

Hytteforbudet ble innført 16. mars, og dette ga støtet til bruk av ulike former for telling av hyttefolket, slik som hvor mange som kjørte på hytta (punktteling av SIM-kort) og hvor mange som faktisk var på hyttene sine (sammenligning mellom antall innbyggere i en kommune, og antall SIM-kort registrert i samme kommune). Lovreguleringen på området er ikke krystallklar, og det var viktig å skille mellom telling av mennesker og telling av «anonyme» SIM-kort. Vi understreket at den enkelte kommune var ansvarlig, og at de måtte veie ulike interesser mot hverandre: På den ene siden hensyn til innbyggernes helse, på den andre siden det som kan oppleves som en krenkelse av personvernet.

Digitale konsultasjoner

Behovet for konsultasjoner med det offentlig generelt, og helsevesenet spesielt, avtok ikke med pandemien. Datatilsynet mottok mange henvendelser fra virksomheter om muligheten for å ta i bruk nye løsninger og ny teknologi, slik som Facetime og Skype. En særlig utfordring var at mange av disse løsningene ikke var risikovurdert, og at de skulle brukes til kommunikasjon av sensitive opplysninger. Vi utarbeidet en liste over hva de behandlingsansvarlige burde gjøre. Blant annet at man burde søke råd hos ansvarlige myndigheter, dokumentere vurderingene de gjorde best mulig og evaluere iverksatte tiltak.

Veiledningshenvendelser

Under kapittelet «Kommunikasjon og veiledning» gir vi en grundig oversikt over generelle henvendelser til veiledningstjenesten vår. Her vil vi kort gå gjennom henvendelsene vi fikk knyttet spesifikt til koronasituasjonen. Så mye som syv prosent av alle henvendelser i 2020 gjaldt dette. Fra den vanlige og stabile 50/50-delingen av henvendelser fra virksomheter og privatpersoner, så vi at i perioden etter nedstengningen stod virksomheter for hele 70 prosent av henvendelsene og av disse var det flest spørsmål om informasjonssikkerhet. Henvendelsene handlet typisk om nye IT-løsninger som virksomhetene så seg nødt til å anskaffe for å kunne takle overgangen til hjemmekontor.

I april og mai var om lag 50 prosent av alle spørsmål som gjaldt korona knyttet til arbeidslivet. På telefon fikk vi høre eksempler om til dels svært inngripende tiltak som løpende innsyn i e-post eller krav om å ha på kamera hele arbeidsdagen for å kunne kontrollere arbeidstakernes arbeidsinnsats.

Enda det var urovekkende mange henvendelser av denne typen, har vi ikke sett at sakene senere har kommet inn til oss som formelle klagesaker. Vi har inntrykk av at de fleste vi har snakket med har en høy terskel for å varsle av frykt for negative konsekvenser. Det gjelder selv om innringere som varsler om kritikkverdige forhold på arbeidsplassen blir gjort oppmerksom på at vi har en streng taushetsplikt å forholde oss til.

Veiledning på nett

For å hjelpe på det massive behovet for veiledning opprettet vi en egen temaside på datatilsynet.no. Der vi publiserte vi fortløpende alt innhold som var relatert til korona-situasjonen. Det ble blant annet lagt ut artikler, veiledninger og råd om skole og digitalisering, digitale konsultasjoner, bruk av mobildata til befolkningsvarsling, besøksregistrering og smittesporing, retningslinjer om helsedata og lokasjonsdata, samt kontroll og håndheving av regelverket.

Vi la også vekt på å fortløpende oversette og publisere sentrale retningslinjer og veiledere fra Europa­kommisjonen og Personvernrådet, blant annet om apper til støtte for bekjempelse av pandemien.

Spesielt om regulatorisk sandkasse for ansvarlig kunstig intelligens

I regjeringens nasjonale strategi for kunstig intelligens (KI) som ble lansert i januar 2020, var et av tiltakene å etablere en regulatorisk sandkasse for ansvarlig kunstig intelligens.

Som en oppfølging av strategien, innvilget Kommunal- og moderniseringsdepartementet støtte til etablering av en regulatorisk sandkasse i regi av Datatilsynet. Vi har brukt siste halvdel av 2020 til å etablere denne sandkassen.

Målet med sandkassen er å stimulere til innovasjon av etisk og ansvarlig KI fra et personvern­perspektiv. Kunstig intelligens representerer store muligheter, men byr også på utfordringer når det kommer til bruk av personopplysninger og personvern. Sandkassen skal hjelpe enkeltaktører med å følge regelverket og utvikle personvernvennlige KI-løsninger. Vi vil bruke eksempler og læring fra de ulike prosjektene til å lage veiledning som kan hjelpe andre å ta i bruk kunstig intelligens på en personvernvennlig måte.

I etableringsfasen av den regulatoriske sandkassen har vi arbeidet målrettet med å få på plass interne ressurser, informere eksternt om sandkassen, innhente eksterne innspill og utarbeide prosedyrer og rammer for søknadsprosess og drift av sandkassen.

Innspillsrunder

Datatilsynet har jobbet aktivt for å forankre arbeidet eksternt for å sikre at sandkassen oppleves relevant. Vi ba om innspill via egne nettsider, gjennomførte bilaterale møter og arrangerte seks digitale workshops med eksterne. Vi fikk innspill fra rundt 60 aktører som en del av dette arbeidet. Vi har fått mange gode innspill til hvilken tematikk sandkassen bør adressere, hvordan sandkassen bør organiseres og hvilke type «output» som er nyttig for eksterne aktører. En oppsummering av innspillene ble publisert på nettsidene våre. Vi har hatt god nytte av dialog med datatilsynsmyndigheten i Storbritannia (ICO) og Finanstilsynet her i Norge. Begge aktørene har raust delt interne dokumenter og erfaringer fra sine sandkasser.

Kommunikasjon

I tillegg har arbeidet i etableringsfasen av sandkassen dreiet seg om å informere om at sandkassen åpnet for søknader 1. desember. Vi har annonsert i relevante medier, twitret, sendt ut nyhetsbrev, laget podcast, produsert videosnutter og annet innhold om sandkassen og søknadsprosessen på nettsidene – både på norsk og engelsk. Vi har også vært aktive med å holde foredrag om sandkassen i ulike forum.

Vi har også opprettet en egen samleside for alt innhold som har med sandkassen å gjøre

Digitale seminar og møter

Vi åpnet første søknadsrunde med et digitalt seminar 1. desember der det var innlegg fra Distrikts- og digitaliseringsminister Linda Hofstad Helleland og tre andre eksterne innledere. Arrangementet ble fulgt av rundt 400 deltakere. Vi arrangerte også et åpent informasjonsmøte for potensielle søkere 16. desember med rundt 60 deltakere.

Tiden fremover

Fra oppstart har sandkassen fått stor og positiv respons fra virksomheter, akademia, politisk ledelse og andre offentlige etater.

Responsen viser at det er stor aktivitet og interesse for å implementere KI-løsninger på den ene siden, og at mange aktører på tvers av sektorer opplever at personvernregelverket kan være vanskelig å implementere i praksis på den andre.

Datatilsynet vil bruke KI-sandkassen som en pilot for å vurdere om sandkassemetoden kan være et nyttig virkemiddel på mer permanent basis for å hjelpe virksomheter å operasjonalisere personvernet på en god måte.

Spesielt om barn, unge og utdanning

Barn og unge i omsorgs- og utdanningsløp blir i omfattende og stadig økende grad registrert og vurdert i digitale løsninger. Personopplysninger registreres og lagres på helsestasjonen, barnehagen og skolen, og det er et stort ønske å bruke og dele opplysningene til mange, ulike formål.

Økt digitalisering og registrering øker også faren for at det behandles overskuddsinformasjon om barn.

Barn er gitt rett til særskilt beskyttelse gjennom personvernregelverket. Det er blant annet begrunnet med at behandlingene av deres opplysninger oftest besluttes av andre enn dem selv. I tillegg anses de ikke å fullt ut kunne vurdere konsekvensene av hva behandlingen av deres personopplysninger medfører i de tilfellene der de selv kan bestemme.

I tillegg er det spesielle utfordringer som oppstår når all aktivitet, vurderinger og kommunikasjon skal skje gjennom digitale løsninger. Trygg bruk av slike verktøy forutsetter kunnskap på mange nivåer, fra de som utvikler og tilbyr systemer og tjenester, kommuner som skal kjøpe inn systemer og tjenester og sitter med det overordnede ansvaret, til skoler, lærere, elever og foreldre som skal bruke disse løsningene. Vi ser dessverre et økende antall avvik som følger av manglende kunnskap og manglende risikoforståelse knyttet til digitale verktøy.

Et eksempel som har aktualisert seg er store dataaktører som tilbyr gratisapper til bruk i skolen. Ofte forutsetter slike løsninger at brukeren gir noe tilbake. For barn og unge har dette materialisert seg ved at selskapene vil registrere personopplysninger om brukeren, for så å bruke denne informasjonen senere. Hovedspørsmålet her er om kommunen/skolen skal kunne ta i bruk denne typen apper uten at den enkelte elev eller foresatte selv kan bestemme om den kommersielle aktøren skal få registrere personopplysninger om eleven.

Kommunen har plikt til å ha en plan for å forebygge mobbing, og det tas i den sammenheng i bruk løsninger som ikke alltid tilfredsstiller kravene i personvernregelverket. Dette gjelder blant annet spørreundersøkelser. Enkelte undersøkelser gir for eksempel inntrykk av at elevene kan svare anonymt, mens barna i realiteten kan gjenkjennes på svaret eller ved bakgrunnsinformasjonen som gis. Andre undersøkelser går langt i å oppfordre elevene til å navngi medelever som de mener har en uakseptabel oppførsel. Når informasjonssikkerheten ved gjennomføringen av disse undersøkelsene i tillegg er utilfredsstillende, og det gis liten eller ingen informasjon til de foresatte, er dette i sum undersøkelser som i liten grad ivaretar barnas personvern.

Datatilsynet har i 2020 videreført arbeidet med å styrke personvernet til barn og unge i offentlig sektor. Vi har sett nærmere på flere saker som berører de utfordringene vi ser innen blant annet skolesektoren og barnevernsektoren. Utfordringsbildet i sakene vi har behandlet er at det fortsatt er liten kompetansen blant ansatte i stat, kommune og fylkeskommune om barns særskilte beskyttelsesvern etter personvernregelverket.

Samtidig mangler fortsatt de sentrale aktørene oversikt over, og kontroll med, prosessering av personopplysninger og særlige kategorier personopplysninger om barn og unge slik personvernforordningen krever.

Koronasituasjonen skapte dessuten nye problemstillinger for skolesektoren når det gjelder personvern. Nedstengningen av landet innebar etablering av en rekke nye løsninger for å kunne gjennomføre hjemmeundervisning. Anskaffelsene og iverksettelsen av nye metoder for å kommunisere og drive undervisning ble gjort på ekstremt kort tid. Dette ga negative utslag som viste seg gjennom mange innmeldte avvik knyttet til selve teknologien, men også manglende kunnskap og opplæring hos de som skulle ta løsningene i bruk.

Sentrale høringsuttalelser

I 2020 har vi prioritert arbeidet med å gi høringsinnspill til lovforslag som påvirker barn og unges personvern. Kunnskapsdepartementet har sendt ut en rekke høringsforslag som gjelder barnehage- og skolesektoren. I Datatilsynets høringsinnspill til ny opplæringslov etterlyste vil blant annet forholdsmessighetsvurderinger av hvilken innvirkning digitale læringsverktøy i undervisningen har for barn og unges personvern.

Kunnskapsdepartementet la også frem forslag til samarbeidshjemler som gir offentlig sektor adgang til å dele personopplysninger, inkludert særlige kategorier personopplysninger, om barn og unge på tvers av sektorene. Datatilsynet ser dette behovet for deling av opplysninger. Samtidig erfarer vi at det er nærmest er umulig å tilbakekalle eller få slettet personopplysninger som er samlet inn ulovlig eller som er feil om barn og unge. Derfor presiserte vi overfor Kunnskapsdepartementet at det må gjennomføres en personvern­konsekvens­vurdering av forslaget om samarbeidshjemler. Barn og unges særskilte beskyttelsesvern i personvernforordningen krever at også lovgiver utviser aktsomhet når det utformes lover og forskrifter som vil påvirke barn og unges rettigheter og friheter.

Saksbehandling og sentrale nemndavgjørelser

Avvik og mangelfulle risikovurderinger

Datatilsynet har hatt et særlig blikk på skolesektoren i 2020. Flere kommuner har hatt betydelige brudd på personopplysningssikkerheten (avvik) ved bruk av digitale verktøy i skolen. En fellesnevner for disse sakene er at det er gjort mangelfulle risikovurderinger i forkant.

Flere av bruddene har vært knyttet til dårlige rutiner ved behandling av beskyttet adresse (kode 6 og 7). Hvis uvedkommende får tilgang til disse adressene kan det i de alvorligste tilfeller stå om liv og helse.

Det ble blant annet gitt et overtredelsesgebyr til Bergen kommune på 3 millioner kroner. I denne saken understreket Datatilsynet at kommunen ikke hadde etablert og kommunisert nødvendige retningslinjer for opplysninger om barn ved etablering av kommunikasjonsmodulen Vigilo.

I en annen sak ble en kommune ilagt et overtredelsesgebyr på 500 000 kroner for ikke å ha risikovurdert applikasjonen Showbie før den ble brukt til å kommunisere helserelaterte personopplysninger mellom skole og hjem. Overtredelsen omfattet elever ved en tilrettelagt avdeling ved skolen. Mangelfull sikkerhet ved innlogging i applikasjonen har blant annet gjort det mulig å få tilgang til andre elever i gruppen.

Google Chromebook

Flere kommuner har tatt i bruk Google sine løsninger i grunnskolen. På bakgrunn av bekymring hos flere foresatte, valgte Datatilsynet å se nærmere på tre kommuner som hadde tatt i bruk Google Chromebook og G Suite for Education. Undersøkelsen avdekket betydelige mangler og resulterte i at det ble reist sterk kritikk overfor disse kommunene.

For å hjelpe kommuner som ønsker å benytte disse eller andre skytjenester, valgte vi å lage utfyllende veiledning på bakgrunn av funnene. I veiledningen går vi kort gjennom hva «Google-pakken» inneholder og Datatilsynets forståelse av hvordan kommunene kan benytter den. Deretter tar veiledningen for seg de ulike kravene i regelverket hvor det ble funnet avvik hos kommunene. Veiledningen er slik tenkt å være et godt støtteverktøy for kommunene.

Spekter-saken

Personvernnemnda omgjorde vedtaket vårt om forbud mot bruk av kartleggingsverktøyet Spekter. Nemnda konkluderte med at den aktuelle kommunen hadde rettslig grunnlag i personvern­forordningen artikkel 6 nr. 1 bokstav c. Den understreket samtidig at kommunen må, for lovlig å kunne benytte Spekter i framtiden, etablere internkontrolldokumentasjon og rutiner som sikrer etterlevelse av personvernforordningen.

Øvrige aktiviteter

Rundebordskonferanse om personvern i skolen

Datatilsynet arrangerte i februar 2020 den andre rundebordskonferansen med tema informasjons­sikkerhet og personvern i skolen. Konferansen fulgte opp konferansen som ble arrangert i 2019, og hovedtema var behovet for samarbeid mellom kommuner, interesseorganisasjoner og myndigheter. Videre ble behovet for sentrale føringer og styring med personvern i skolesektoren diskutert, og dette har i etterkant av konferansen blitt gjentatt i flere relevante sammenhenger.

Det kom frem, i likhet med konferansen i 2019, at personvern og informasjonssikkerhet er kompliserte tema som kommunene bruker mye ressurser på, og at de har behov for bistand fra hverandre og de sentrale myndighetene.

Konferansene blir fulgt opp med en tredje rundebordskonferanse i februar 2021.

Du Bestemmer

Vi har i meldingsåret fortsatt vårt formelle samarbeid med Utdanningsdirektoratet om å heve barn og unges kompetanse om personvern, nettvett og digital dømmekraft. Nettressursen dubestemmer.no er her en viktig kanal for å nå frem til elevene med informasjon om personvern og rettigheter.

I 2018 og 2019 ble det gjort et større grunnlagsarbeid for videre utvikling av tjenesten. I 2020 gjennomførte vi et større arbeid sammen med Sopra Steria der vi jobbet med tydeligere målgrupper og ny interaksjonsdesign til de nye nettsidene. Vi gjennomførte også et mindre prosjekt med designbyrået Nano som utviklet en ny fargeprofil, nye logoer og en illustrasjonspakke basert på dette. Høsten 2020 begynte så arbeidet med å bygge de nye nettsidene sammen med CapGemini. Alt det gamle innholdet skal revideres og mye nytt innhold produseres. Ved årsskiftet er Dubestemmer-prosjektet midt i dette arbeidet. Det har vært en del forsinkelser knyttet til utfordringene fra koronasituasjonen, men en lansering er forventet i løpet av våren 2021.

I februar arrangerte vi et frokostseminar på Safer Internet Day 2020 i Tromsø sammen med Utdanningsdirektoratet og NorSIS. Temaet for arrangementet var hvordan vi kan heve hånderingskompetansen blant ungdom og voksne, særlig knyttet til uheldige hendelser på nett slik som ulike former for svindel. Vi lanserte også prosjektets nyeste film Porn scam.

Fremtidige utfordringer

Selv om utviklingen er positiv, gjenstår mye arbeid før sektoren kan friskmeldes. Mange kommuner mangler kompetanse for å digitalisere riktig, og selv kommuner med betydelig ressurser gjør feil.   Det er derfor stort behov for veiledere, selvhjelpsverktøy og bistand for å gjøre arbeidet riktig.  Trusselbildet er også utfordrende, og fiendtlige angrep må antas å øke både i omfang og kompleksitet. 

Sektoren er dessuten fragmentert. Vårt inntrykk er at viljen til og ønsket om å dele kunnskap på tvers av kommunegrensene er økende, men fortsatt sitter for mange alene, på sin egen tue, og har liten oversikt over hvem som kan hva, og hvem som kan bidra. Bedre samordning og koordinering er derfor viktige stikkord. Det er også behov for fortsatt politisk innsats og engasjement for å «holde trykket oppe».

Datatilsynet ønsker fortsatt å spille en viktig rolle – både som diskusjonspartner, tilrettelegger for dialog, pådriver, og ved å behandle enkeltsaker og avviksmeldinger og gjennomføre tilsyn. Vi opplever dialogen med sektoren som veldig god, og at våre bidrag oppfattes som positive. Vi er opptatt av å opprettholde denne posisjonen.

Annen vesentlig aktivitet

Akkreditering og sertifiseringsordninger

Datatilsynet opprettet i 2020 en prosjektgruppe med mandat til å legge til rette for etableringen av atferdsnormer og sertifiseringsordninger (jf. personvernforordningen artikkel 57 nr. 1 bokstav m, n, p og q og art. 40-43).

Arbeidet bestod av å lage en prosjektplan, delta på eksterne opplæringskurs om sertifisering og å gjennomføre intern opplæring for alle ansatte i temaene akkreditering og sertifisering. Høsten 2020 ble et utkast til kriterier for akkreditering av kontrollorganer for atferdsnormer (i henhold til artikkel 41) ferdigstilt og oversendt til Personvernrådet. Kriteriene forventes godkjent i løpet av våren 2021.

Vi har startet arbeidet med planlegging og utarbeidelse av kriterier for akkreditering av sertifiseringsorganer (i henhold til artikkel 42) som forventes ferdigstilt i 2021.

Arbeidsliv

Personvern i arbeidslivet utgjør en stor del av henvendelsene til Datatilsynet. Les mer om henvendelsene til veiledningstjenesten under «Kommunikasjon og veiledning».

I meldingsåret har vi mottatt om lag 75 klager som gjelder personvern i arbeidslivet. I tillegg har vi mange løpende saker til behandling.

Det som ofte kjennetegner klagesaker innen arbeidslivet er:

  • Påstanden om brudd på personvernreglene er del av et større sakskompleks,
    ofte med høyt konfliktnivå
  • Dokumentasjonen er omfattende
  • En eller flere av partene er bistått av advokat
  • Klagerne står i en særlig sårbar posisjon, hvor mange får helseplager

De to største kategoriene av klager er kontrolltiltak fra arbeidsgiverne og arbeidsgivernes håndtering av arbeidstakerens personalopplysninger. Disse hovedgrupperingene ser vi også hos veiledningstjenesten.

Kontrolltiltak

For å gjennomføre kontrolltiltak må arbeidsgiverne følge både reglene i arbeidsmiljøloven, forskriftene om e-post og kameraovervåking, samt de alminnelige reglene i personopplysningsloven fullt ut. Kontrolltiltak vi mottar mange spørsmål og klager om er blant annet:

  • Innsyn i arbeidstakerens e-post og annet elektroniske utstyr, videresending eller manglende sletting
  • Kameraovervåking på arbeidsplassen
  • Andre type kontrolltiltak slik som GPS-sporing, tidsmåling og logging

Brudd på reglene om kontrolltiltak blir ofte håndhevet med overtredelsesgebyr. For meldingsåret har Datatilsynet gitt to gebyr for innsyn i arbeidstakers e-post og ett for kameraovervåking på arbeidsplassen. I tillegg er det gitt varsel om overtredelsesgebyr i fem saker som gjelder innsyn eller manglende sletting av arbeidstakeres e-post, og i to saker som gjelder kameraovervåking på arbeidsplassen.

Ett gebyr som ble gitt i 2019 gjaldt ulovlig innhenting av kameraopptak om egne ansatte. Dette ble omgjort av Datatilsynet etter en klage. Personvernnemnda har dessuten behandlet en klage på et vedtak vi har gitt om innsyn i e-post. I denne saken var Personvernnemnda enig i vår vurdering om at innsynet var lovlig, fordi innsynet var begrunnet i hensynet til daglig drift og arbeidsgiveren hadde fulgt den forskriftsmessige framgangsmåten. 

Personalopplysninger

Arbeidsgiveres behandling av personalopplysninger utgjør en stor og økende del av klagesakene. Vi har inntrykk av at arbeidstakere i større grad bruker personvernregelverket aktivt for å ivareta sine rettigheter i arbeidsmiljøloven.

Typiske saker er:

  • Innsyn og sletting av personopplysninger i personalmappen
  • Innsyn i forbindelse med varslingssaker
  • Arbeidsgivers deling av personalopplysninger

I saker om personalopplysninger har vi ikke gitt overtredelsesgebyr i løpet av 2020. For arbeidsgivers utlevering av personalopplysninger har vi i én sak gitt varsel om gebyr.

Arbeidstakere som krever innsyn i personalmappen får som regel innsyn i de personopplysningene de har krav på gjennom saksbehandlingen, slik at formelle vedtak ikke blir nødvendig. Det er imidlertid også reell uenighet om hvilke opplysninger arbeidstakere har krav på å få. Dette gjelder særlig hvem som er kilden til personopplysningene.

Vi er i dialog med Arbeidstilsynet om forholdet mellom personvernreglene og reglene om varsling i arbeidsmiljøloven.

I meldingsåret har Personvernnemnda endret Datatilsynets vedtak i to saker som gjelder sletting av personopplysninger i personalmappe. I begge sakene kom Personvernnemnda til at arbeidstakeren hadde krav på å få slettet personopplysningene.

Korona og mulige hindringer mot å sende klage til Datatilsynet i arbeidslivssaker

Datatilsynets veiledningstjeneste har i meldingsåret fått flere henvendelser om til dels omfattende kontrolltiltak fra arbeidsgiverne, begrunnet med tiltak mot koronapandemien. Vi har til tross for dette ikke mottatt noen skriftlige klager på det samme. Vårt inntrykk er at selv om en klager er beskyttet mot gjengjeldelse i lovgivningen, er det fortsatt en høy terskel å varsle en tilsynsmyndighet om lovbrudd.

Bank, finans og kredittvurdering

Personopplysninger om økonomi innhentes, behandles og sammenstilles på stadig nye måter, og stadig flere aktører kommer til. Dette ser vi blant annet i fremveksten av nye betalingstjenester, automatiserte lånesøknader og robotrådgivere.

Bank- og finansbransjen behandler store mengder personopplysninger av privat karakter om mange. En sammenstilling av disse opplysningene kan gi et detaljert bilde av en persons liv. Personvernbrudd i denne bransjen medfører derfor høy risiko, og kan få store konsekvenser for de registrerte.

I 2020 har vi gjennomført flere veiledningsmøter og holdt foredrag, og vi har hatt en observatørrolle i et av prosjektene i Finanstilsynets regulatoriske sandkasse for fintech. Vi har også hatt kontaktmøter med Finanstilsynet og Forbrukerrådet om utfordringer i bransjen, med særlig fokus på følgene av implementeringen av EUs reviderte betalingstjenestedirektiv (PSD2-direktivet) i norsk rett.

Hele 23 prosent av alle meldingene om brudd på personopplysnings-sikkerheten vi mottok i 2020, kom fra finanssektoren. I 2020 har finanssektoren dermed vært den sektoren som har stått for det nest høyeste antallet slike meldinger. Omtrent 43 prosent av meldingene gjaldt personopplysninger som ble sendt til feil mottaker. I andre tilfeller er det ofte manglende eller feil tilgangsstyring og utilsiktet publisering som er temaet.

Vi har også behandlet flere klagesaker fra privatpersoner i løpet av meldingsåret. Disse sakene har blant annet handlet om innsyn i personopplysninger, og om retting eller sletting av slike opplysninger.

I løpet av året har vi gitt flere høringsuttalelser om ulike lovforslag innen bank- og finanssektoren. Det gjelder blant annet forslag til endringer i hvitvaskingsregelverket, midlertidig forskrift til koronaloven om billettering på ferger og ny pengespillov.

Innføringen av PSD2-direktivet har åpnet for nye aktører som leverer betalingsinitierings- og kontoinformasjonstjenester. Vi forventet at dette ville bli et marked i stor vekst i meldingsåret. En kartlegging som vi utførte i 2020 viser imidlertid at markedet fortsatt er umodent og lite tilrettelagt for nye aktører som er interessert i å etablere en lønnsom kommersiell virksomhet. Vi vil følge nøye med på hvordan markedet utvikler seg videre. 

Koronapandemien har ført til en kraftig økning i bestillings- og betalingsløsninger for serverings­steder. For å minimere nærkontakt har de fleste serveringssteder tatt i bruk nye løsninger for kontaktløs bestilling og betaling, samt smittesporing. I løsninger som utvikles under sterkt tidspress, kan personvernet og informasjonssikkerheten ofte bli nedprioritert. Vi har derfor åpnet tilsyn mot Ordr, en av de prominente norske aktørene i dette markedet, for å undersøke hvordan personvernet er ivaretatt, øke bevisstheten i bransjen og ivareta de registrertes rettigheter.

Kredittopplysning

Datatilsynet mottar mange klager og veiledningshenvendelser fra enkeltpersoner som opplever å ha blitt kredittvurdert uten rettslig grunnlag. I 2020 mottok vi rundt 40 klager fra enkeltpersoner eller enkeltpersonforetak på kredittvurderinger.

En kredittvurdering er et resultat av sammenstilling av personopplysninger fra mange ulike kilder, og angir sannsynligheten for at en person vil kunne betale for seg. En kredittvurdering vil også vise detaljer om enkeltpersoners privatøkonomi slik som eventuelle betalingsanmerkninger, frivillige pantstillelser og gjeldsgrad. Personvernundersøkelsen 2019/2020 viste at finansielle opplysninger lå høyt på listen over hvilke opplysninger folk opplever som beskyttelsesverdige.

For at en kredittvurdering skal være lovlig, må virksomheten som innhenter vurderingen oppfylle kravene i personvernforordningen, herunder kravet til rettslig grunnlag. I mange av klagesakene vi behandler er ikke dette kravet oppfylt. I 2020 har vi varslet flere overtredelsesgebyr for kredittvurdering uten rettslig grunnlag, og vi fattet fire vedtak om pålegg og overtredelsesgebyr. De vedtatte gebyrene er på 150 000 kroner til én virksomhet, to virksomheter har fått gebyrer på 100 000 kroner hver, mens en siste virksomhet har fått et gebyr på 75 000 kroner. Enkelte av disse sakene er påklaget og vil bli behandlet av Personvernnemda.

Ny kredittopplysningslov med forskrift

Lov om behandling av opplysninger i kredittopplysningsvirksomhet (kredittopplysningsloven) ble vedtatt i desember 2019. Loven skal suppleres med en forskrift om kredittopplysning. Forskriften spesifiserer blant annet lovens regler om hvilke type opplysninger som kan behandles i kreditt­opplysningsvirksomheter. 

I vår høringsuttalelse påpekte vi at det var en svakhet at forskriftsforslaget ikke presiserte hva som regnes som offentlig tilgjengelige kilder, ettersom denne manglende presiseringen kan gå ut over opplysningenes kvalitet og føre til flere klagesaker. Vi mente også at forskriften burde presisere at media ikke er en lovlig kilde for opplysninger om enkeltpersoner.

I januar 2021 er forskriften under behandling, og loven har ikke trådt i kraft.

Forskning og utvikling

Personvernfeltet favner fagdisipliner fra svært ulike felt. Det er også et felt hvor teknologiske, sosiale og politiske endringsprosesser skjer svært raskt. Det er derfor avgjørende at vi har jevnlig og nær kontakt med miljøer i inn- og utland som driver med forsknings- og utviklingsarbeid, slik at vi settes i stand til å fange opp trender og utviklingstrekk på et tidlig stadium. I tillegg kan vi spille en proaktiv rolle ved å stimulere til forskning på personvern og at personvern bakes inn i eksisterende forskningsarbeid.

Datatilsynet har bidratt aktivt for å få med personvern i de forskningsprosjektene som ligger inne i EUs niende rammeprogram for forskning og innovasjon, Horisont Europa, som Norge nå er et fullverdig medlem av.

Vi har blant annet vært gjesteforelesere ved ulike universitet og høgskoler slik som UiO, UiB, UiA, NTNU, BI, HII og OsloMET for å bidra til at personvern kommer med i undervisningen.

Helse- og velferd

Vi har i 2020 arbeidet med flere problemstillinger knyttet til helse- og velferdssektoren. Gjennom arbeidet og prioriteringene våre, bidrar vi til en mer rettferdig maktbalanse mellom pasienter og brukere på den ene siden, og aktørene i sektoren på den andre siden. Arbeidet vårt bidrar også til økt forståelse for personvern hos enkeltindivider, noe som setter dem i bedre stand til å kunne ivareta sitt eget personvern i møte med sektoren.

Aktuelle spørsmål i meldingsåret har blant annet handlet om behandlingsansvar og informasjon til de registrerte. Pandemien har også medført raske endringer i måtene helsehjelp ytes på, for eksempel med digitale konsultasjoner.

Gjennom saksbehandlingen har vi sett utfordringer med ivaretakelse av personvernet til NAVs egne ansatte. I tillegg har NAV endret sin praksis med å gi innsyn i logger over oppslag, noe som også har medført innkommende saker for Datatilsynet.

Endringer i hjemler for tilgang til og utlevering av pasientopplysninger

Helse- og omsorgsdepartementet foreslo i 2020 lovendringer om utvidet tilgang til pasient­informasjon for å administrere helsehjelp, yte forsvarlig helsehjelp til annen pasient og hente ut helseopplysninger til undervisningsformål. Forslaget gikk også ut på å hjemle dispensasjon fra taushetsplikten for utlevering av pasientopplysninger til bruk i utvikling av beslutningsstøtteverktøy. Videre foreslo departementet å opprette et felles register for tolkede genetiske varianter på tvers av genetiske avdelinger.

Vi kommenterte at lovforslaget har betydelige konsekvenser for pasientenes personvern. Endrings­forslaget kom i kjølvannet av flere foreslåtte endringer i lovverket som utvider kretsen av helsepersonell med tilgang til pasientopplysninger for andre formål enn å yte helsehjelp til pasienten selv. Vi mente at opprettelsen av et register over tolkede genetiske varianter i for liten grad var regulert med hensyn til krav til samarbeid og organisering.

Øvrige aktiviteter

I meldingsåret har vi arbeidet med ulike løsninger for smittesporing og varsling som følge av pandemien. Arbeidet med Smittestopp-saken var betydelig våren 2020. Dette er omtalt nærmere under «Spesielt om koronasituasjonen».

Vi har også behandlet en stor mengde avvikssaker knyttet til konfidensialitetsbrudd for pasientopplysninger. En særlig utfordring vi ser er beskyttelse av hemmelige adresser. Et annet område hvor det oppstår mange avvik er i forbindelse med digitalisering av offentlige postjournaler, hvor det i en rekke saker har blitt offentliggjort taushetsbelagte opplysninger.

Idrett, forening og trossamfunn

Idrett

De aller fleste barn er innom barneidretten i løpet av sin oppvekst, og i norsk idrett blir det behandlet personopplysninger om store deler av befolkningen.

Datatilsynet varslet i desember 2020 et overtredelsesgebyr til Norges Idrettsforbund på 2,5 millioner kroner. Årsaken var at personopplysninger om 3,2 millioner nordmenn hadde blitt liggende tilgjengelig på nett i 87 dager etter en feil i forbindelse med test av en skyløsning. Nesten en halv million av disse var barn. Datatilsynet vurderte at Norges idrettsforbund ikke hadde iverksatt gode nok sikkerhetsrutiner for testingen, og at det ikke var nødvendig å teste med et slikt omfang av personopplysninger.

Videre har vi hatt to veiledningsmøter med Norges Fotballforbund i løpet av året. Et av møtene gjaldt publisering av personopplysninger i deres kanaler, og det andre var om tilkobling til FIFA Connect-programmet og eventuell utlevering av personopplysninger til tredjeland.

Borettslag, sameier og foreninger

Datatilsynet mottar jevnlig henvendelser og klager som gjelder borettslag og sameier, og pandemien har ført til nye utfordringer for denne typen sammenslutninger. Styrene har ikke nødvendigvis kjennskap til regelverkets anvendelsesområde, og vi ser ofte gjennom saksbehandlingen at de ikke ser hen til regelverket så lenge de ikke behandler opplysninger som oppfattes som sensitive.

Mange av sakene vi behandler gjelder kameraovervåking, men vi har også behandlet en sak hvor beboerne i et borettslag ble bedt om å svare på spørsmål om sin helse og mulige symptomer før deltakelse på årsmøtet. I tillegg har vi fattet et vedtak om irettesettelse mot et sameie for ulovlig publisering av opplysninger om deres beboere på internett.

Datatilsynet har gitt to høringsuttalelser om endringer i boliglovene i 2020. På bakgrunn av koronapandemien var det behov for å gjøre midlertidige endringer i boliglovene for blant annet å kunne avholde årsmøter for borettslag og sameier digitalt. Det ble derfor først sendt ut en hastehøring med hjemmel i koronaloven. I etterkant av denne runden ble det sendt ut forslag om permanente endringer.

Boligbyggelagene har i lengre tid etterspurt lovendringer som tillater flere elektroniske hjelpemidler i kommunikasjon med beboere og avvikling av årsmøter, og det er positivt at det er et ønske om å modernisere regelverket. I høringssvarene våre påpekte vi likevel at forholdet til personvernregelverket ikke var tilstrekkelig kommentert. Forslaget manglet klare henvisninger til personvernregelverket, og vi vurderte at for mye var overlatt til styrene selv å finne ut av.

Fagforeningstilhørighet og politisk oppfatning er særlige kategorier av personopplysninger etter personvernforordningen, og slike sammenslutningers behandling av opplysninger om deres medlemmer er derfor underlagt strengere regler enn mange andre typer sammenslutninger.

I 2020 har vi holdt foredrag for LO Favør om deres medlemsføring, hatt veiledningsmøte med en annen fagforening, og ellers veiledet i eller behandlet flere saker knyttet til fagforeninger og politiske organisasjoner.

Tros- og livssynssamfunn

Den nye trossamfunnsloven trådte i kraft 1. januar 2021, og i tilknytning til dette sendte Datatilsynet flere høringsuttalelser til Barne- og familiedepartementet i 2020.

Vi ga innspill til departementets forslag til forskrifter til loven. De regulerer blant annet medlemsregisterføring og rapportering av medlemmers fødselsnumre til staten for beregning av tilskudd, samt etablering av særskilt digital løsning for sistnevnte. Vårt syn var at flere av forslagene medførte betydelige konsekvenser for personvernet, og ikke var grundig nok vurdert opp mot personvernforordningen.

Videre ga vi innspill til en foreløpig administrativ utredning fra departementet om menneskerettslige og personvernrettslige spørsmål angående Den norske kirke og andre tros- og livssynssamfunn. Spørsmålet var om de skulle få hjemmel til å få utlevert taushetsbelagte opplysninger fra Folkeregisteret om medlemmers barn. I innspillet var vi negative til en slik tilgang, idet vi viste til at behovene som skulle begrunne tilgang for tros- og livssynssamfunn til taushetsbelagte opplysninger om medlemmers barn, ikke sto i forhold til personvernhensynene som talte imot.

I 2020 mottok Datatilsynet en klage fra Human-Etisk Forbund på Den norske kirke. Klagen gjaldt behandlingen av personopplysninger om mindreårige tilhørige som ble registrert basert på fødselsmeldinger som Den norske kirke mottok fra Folkeregisteret frem til oktober 2018. Datatilsynet har mottatt to redegjørelser fra Den norske kirke, og saken er fortsatt under behandling. Den norske kirke har bekreftet at personopplysningene til alle mindreårige tilhørige hvor foreldrene ikke har samtykket til behandlingen av personopplysninger, vil slettes innen 1. januar 2021 når kirkelovens tilhørighetsordning oppheves.

Strømming av arrangementer har fått en større aktualitet i løpet av året 2020, og dette gjelder også religiøse samlinger. I starten av året gjennomførte Datatilsynet et veiledningsmøte med en kirkelig aktør om strømming av gudstjenester. Religiøs tilhørighet er en særlig kategori personopplysning, og den behandlingsansvarlige må derfor grundig vurdere lovligheten og potensielle personvernfremmende tiltak før strømming av gudstjenester.

Datatilsynet fattet også et vedtak om irettesettelse overfor en misjonsforsamling for behandling av kameraopptak av et styremedlemmene deres. Opptakene ble oversendt fra en tredjepart som hevdet seg trakassert av vedkommende styremedlem, og opptakene ble gjennomgått av misjonsforsamlingen. Datatilsynet vurderte at det ikke var rettslig grunnlag for misjonsforsamlingens bruk av opptakene. Saken ble klaget inn til Personvernnemnda, hvor et flertall konkluderte med at det likevel var rettslig grunnlag for bruken av kameraopptakene. Datatilsynets vedtak om irettesettelse ble dermed opphevet.

Informasjonssamfunnstjenester og annonseindustrien («ad tech»)

I 2020 behandlet vi flere klager på «informasjonssamfunnstjenester», slik som on-line spill og diverse applikasjoner («apper») på mobiltelefoner og nettbrett. Slike tjenester samler ofte inn og behandler personopplysninger om brukeren.

Det er ikke alltid enkelt å komme i kontakt med tilbydere av informasjonssamfunnstjenester da de kan ha hovedkontorer i USA eller andre steder i verden. Noen av klagene handlet om at enkeltpersoner ikke får svar på forespørsel om for eksempel innsyn i eller sletting av personopplysningene sine, eller at tilbyderen har avslått forespørselen. Det kan være utfordrende for oss å oppnå kontakt med disse tjenestetilbyderne, og saksbehandlingen blir derfor ekstra ressurs­krevende.

Vi har også behandlet saker som har rettet seg mot annonseindustrien («ad tech»), og har hatt et ekstra blikk på disse i meldingsåret. Annonseindustrien handler blant annet om at tilbyderne utleverer personopplysninger om brukerne sine til tredjepartsaktører (annonsører) for å tilby persontilpasset reklame.

Vi ser at brukerne ofte ikke er godt nok informert om at personopplysningene deres er gjenstand for bud og salg på et digitalt marked. Tredjepartsaktørene kan potensielt selge personopplysningene videre. Når dette mer eller mindre skjer i det skjulte, reduserer det brukernes mulighet til å utøve reell kontroll over personopplysningene sine. Industrien opererer også i stor skala. Det dreier seg gjerne om et stort antall tredjepartsaktører som mottar dataene, samt mange berørte.

I 2020 klagde Forbrukerrådet det amerikanske selskapet Grindr LLC inn til Datatilsynet, fordi appen Grindr utleverer GPS-lokasjon, enkelte opplysninger fra brukerprofilene og det faktum at vedkommende er Grindr-bruker til flere tredjepartsaktører. Saken har vært omfattende, og både jurister og teknologer har bidratt i saksbehandlingen. Vår foreløpige konklusjon er at Grindr trenger samtykke for å utlevere personopplysningene og at Grindr ikke har innhentet gyldige samtykker fra brukerne. I tillegg mener vi at det å være Grindr-bruker er en særlig kategori personopplysning som må beskyttes, fordi denne informasjonen sier noe om vedkommendes legning. På nyåret varslet vi Grindr om at vi ville ilegge selskapet et gebyr på 100 millioner norske kroner, og behandlingen av saken vil fortsette i 2021.

Forbrukerrådet klagde også inn fem tredjepartsselskaper for å ha mottatt og behandlet personopplysninger samlet inn fra Grindr-appen. Det har vært utfordrende å oppnå kontakt med selskapene som er hjemmehørende i USA. En av sakene hørte hjemme hos en annen tilsynsmyndighet, og de fire resterende sakene er under utredning.

Vi åpnet også sak mot Disqus Inc., et amerikansk selskap som tilbyr kommentarfeltløsninger, etter at NRK Beta avslørte at selskapet utleverte personopplysninger til en rekke tredjeparter uten at brukerne ble informert. Flere norske nettsider har benyttet løsningen, og vi jobber med å utrede saken.

Disse sakene har et internasjonalt tilsnitt ved at de retter seg mot utenlandske selskaper og det finnes berørte i flere EU/EØS-land. Vi må derfor alltid avklare om den enkelte saken kan behandles lokalt eller om den hører hjemme hos en annen datatilsynsmyndighet. Selv om vi har kunnet behandle flere av sakene lokalt, har vi likevel sørget for dialog med andre tilsynsmyndigheter i EU/EØS.

Justis

I justissektoren møter vi hensyn som taler for at staten skal kunne gjøre inngrep i enkeltpersoners rettssfære. Den enkeltes valgfrihet er gjerne begrenset, og behandlinger av personopplysninger skjer ofte uten den enkeltes medvirkning eller kunnskap. Det er derfor særlig viktig at tilsynsmyndighetene sikrer at folks rettigheter ivaretas innenfor denne sektoren.

Politiregisterloven og -forskriften regulerer politiets og påtalemyndighetens behandling av personopplysninger. SIS-loven og utlendingsloven har regler om informasjonssystemene som brukes i Schengen-samarbeidet. Datatilsynet har en sentral rolle som kontrollør av at regelverket om behandling av personopplysninger på disse områdene etterleves.

Lov om ny etterretningstjeneste

En sentral sak i 2020 gjaldt Forsvarsdepartementets forslag til ny lov om Etterretningstjenesten. Vi pekte på at lovforslaget la opp til overvåking av nordmenns kommunikasjon i så omfattende utstrekning at lovforslaget ikke burde gjennomføres. Etter vår vurdering, utgjorde de foreslåtte lovendringene et stort inngrep i enkeltindividets rett til privatliv, og vi pekte også på at det ville rokke ved vårt demokratiske fundament om lovendringene ble vedtatt. Særlig gjaldt dette den metoden som i høringsnotatet var omtalt som «tilrettelagt innhenting».

Tilrettelagt innhenting innebærer innhenting av elektronisk kommunikasjon som transporteres over den norske landegrensen. Selv om Etterretningstjenestens arbeid er rettet mot utenlandske trusler, vil tiltaket ramme de fleste brukere av telefoni og internett i Norge fordi norsk datatrafikk går inn og ut av landet. Dette skjer uavhengig av om kommunikasjonen er mellom personer som begge oppholder seg i Norge. Tiltaket innebærer derfor i praksis overvåking av oss alle.

Hovedformålet med denne innhentingen er at Etterretningstjenesten skal kunne gjøre søk i de lagrede dataene som er hentet inn. Lagring av metadata vil være den mest sentrale komponenten i den foreslåtte løsningen. Metadata inneholder blant annet informasjon slik som navn, dato, klokkeslett, geografisk plassering og IP-adresse. Metadata kan avsløre intime detaljer om en persons liv, særlig når de analyseres på en systematisk måte. Dermed vil det i realiteten dreie seg om en form for overvåking av store deler av landets befolkning, som etter Datatilsynets vurdering vil kunne være i strid med både Grunnloven og menneskerettighetene.

Ny forvaltningslov

Datatilsynet ga også en høringsuttalelse til Justis- og beredskapsdepartementets forslag om ny forvaltningslov. I høringen er det foreslått utvidet adgang til deling av informasjon mellom forvaltningsorganer. Informasjon skal kunne deles dersom mottakerorganet har saklig behov for informasjonen.

Vi mener at forslaget har en svakhet ved at avgiverorganet skal vurdere om mottakerorganet har behov for opplysningene. Videre mener vi at et saklig behov ikke er tilstrekkelig. Opplysningene må være nødvendige. Vi la vekt på vekt på at individets rettigheter må ivaretas, samt at den nye loven må fastsette grunnleggende prinsipper for deling av opplysninger og hvordan automatiserte systemer skal utformes.

Personvernombudsordningen

PVO.jpg

Vi har i Norge hatt personvernombud i 20 år (siden 2001). Med den nye personopplysningsloven er innholdet i personvernombudsrollen blitt betydelig styrket. Ombudsordningen ble samtidig gjort obligatorisk for de aller fleste statlige og kommunale virksomheter, og for en rekke private virksomheter og organisa­sjoner.

Personvernombudene er der det skjer, og det er ute i virksomhetene ivaretakelsen av personvernet i første rekke finner sted. Ombudene har sitt fokus rettet mot personvern, de skal bidra med kunnskap og råd, og de skal også si tydelig ifra overfor de behand­lings­­ansvarlige når det er nødvendig. De er slik å betrakte som hjørnesteiner i virksomhetenes etterlevelse av personvernlovgivningen.

Ved utgangen av 2020 var det registrert 1 341 personvernombud som representerte 1 891 virk­som­­heter. Differansen skyldes at enkelte er personvernombud for flere behandlings­ansvarlige.

Opplæring og nettverk

Datatilsynet tilbyr ikke lenger kurs eller opplæring av personvernombud i egen regi. Vi samarbeider imidlertid med ulike utdanningsaktører for å sikre at personvernombudene fortsatt har et godt utdanningstilbud om personvernlovgivningen. Blant andre har BI, Høgskolen i Innlandet og Oslo Met bygget opp egne deltidsstudier som gir studiekompetanse. Datatilsynet deltar med foredrag om enkeltemner på disse studiene. Også enkelte andre aktører tilbyr ulike kurs og seminarer rettet mot personvernombudene, hvor vi så langt mulig stiller opp.

Det er videre blitt etablert flere ulike nettverksforum for ombudene, gjerne sektorbaserte eller som regionale nettverk. Vi har prioritert å delta på samlinger i regi av slike nettverksgrupper. Aktiviteten i disse nettverkene synes å ha vært noe redusert i 2020.

Undersøkelse blant ombudene

På slutten av året gjennomførte vi i samarbeid med Opinion AS en kvantitativ spørreundersøkelse blant personvernombudene. Tema for undersøkelsen var hvordan disse ombudene, to og et halvt år etter at personvern­forordningen trådte i kraft, opplever sin arbeidshverdag og sine rammebetingelser. Dette sett både i relasjon til de behandlingsansvarlige, men også når det gjelder kontakten med Datatilsynet.

Tilbakemeldingene vi får fra denne undersøkelsen skal i første rekke benyttes som et kunnskaps­grunnlag for oss når det gjelder hvordan vi skal forholde oss til personvern­ombudene framover. Dernest skal også tilbakemeldingene fra person­vern­om­budene, benyttes i dialog med ombudene og representanter for de behandlingsansvarlige. Det vil vi gjøre gjennom publisering av funnene, deltakelse i ulike nettverks­samlinger for ombudene, og foredrag på konferanser og seminarer. Undersøkelsen vil bli fulgt opp i 2021.

Personvernundersøkelsen 2019/2020

For drøyt to år siden trådte den nye personvernforordningen i kraft i Norge. Regelverket ga norske borgere styrkede personvernrettigheter i en tid hvor stadig større deler av hverdagen, handlingene og kommunikasjonen vår blir digitalisert. Vinteren 2019/2020 gjennomførte vi derfor en undersøkelse blant befolkningen der vi ville se nærmere på om folk faktisk kjenner personvernrettighetene sine, hvordan de opplever flyten av personopplysninger på nett og tilliten deres til hvordan offentlige og private virksomheter bruker persondata.

Funnene ble lansert i august 2020 og avdekket flere bekymringsverdige utviklingstrekk:

  1. Utbredt følelse av mangel på kontroll og maktesløshet. Hele to av tre føler at de har liten kontroll og er maktesløse når det gjelder flyten av personopplysninger på internett. Over halvparten har unnlatt å bruke en tjeneste på grunn av usikkerhet knyttet til hvordan personopplysninger samles inn og blir brukt. De siste årene har flere fått øynene opp for hvor mye data som samles inn om oss når vi ferdes på internett, og at det er svært vanskelig å ha full kontroll. Svært mange opplever åpenbart dette kontrolltapet som ubehagelig.
  2. Nedkjølingseffekten er reell og må tas på alvor. Svært mange svarte at de endrer atferd eller unnlater å gjøre en rekke aktiviteter på grunn av usikkerhet knyttet til selskapenes bruk av deres personopplysninger. Halvparten av de spurte har avstått fra å delta i en debatt på nett som følge av denne usikkerheten. Én av tre har avstått fra å søke informasjon på internett og én av to har unnlatt å gjennomføre netthandel.
  3. Kjennskap til personvernforordningen har nær sammenheng med sosioøkonomisk status. To av tre kjenner til personvernforordningen og rettighetene som følger av den. Langt flere med høy utdannelse og inntekt innehar denne kunnskapen.
  4. Lav tillit til virksomheter bak sosiale medier og søkemotorer. Det er gjennomgående høy tillit til offentlige virksomheter, men svært lav tillit til selskapene bak sosiale medier, søkemotorer og meldingstjenester.
  5. Det er ikke ønske om å dele finansiell informasjon med andre aktører enn egen bank. Åtte av ti er skeptiske til å la andre aktører enn banken få tilgang til denne informasjonen.

Publisering på internett

Det siste året har Datatilsynet behandlet flere saker som i ulik grad har handlet om publisering av personopplysninger på internett. Flere av disse sakene er også omtalt andre steder i denne rapporten og har handlet om personopplysninger i offentlige postjournaler, videostrømming på nett, utenlandske nettsider som publiserer kontaktinformasjon hentet fra andre steder, samt sikkerhet knyttet til lagring av personopplysninger i nettskyen, informasjonsjonssamfunnstjenester, apper og andre digitale verktøy som benyttes i ulike sammenhenger slik som i skolen. Datatilsynet har også mottatt klager på pressens publisering av kredittvurderinger, noe som krever inngående vurderinger knyttet til ytrings- og informasjonsfriheten.

I løpet av 2020 har vi registrert elleve nye saker som gjelder sletting av søketreff hos søkemotorer. I tillegg har vi flere saker til behandling. I meldingsåret ble klagerne gitt medhold i fire slike saker. I to saker ble det gitt avslag, men disse er ikke endelig avgjort. I tillegg til de avsluttede sakene, fattet Personvernnemda vedtak i to tidligere saker. I den ene saken fikk klager delvis medhold, da nemnda kom til at det ene søketreffet skulle fjernes. I den andre saken fikk klager medhold i at søketreffet skulle fjernes. I denne typen saker må Datatilsynets saksbehandlere ofte gjøre grundige og komplekse vurderinger, hvor hensynet til ytringsfriheten veies opp mot individets rett til personvern og privatliv.

Datatilsynet varslet i 2020 et overtredelsesgebyr på 150 000 kroner til et kraftselskap. Selskapet hadde et panorerende webkamera på taket av bygget sitt som direktesendte video fra Rognan sentrum på YouTube. Kvaliteten på bildene var slik at bilnummer og detaljer i ansikt normalt ikke kunne tydes. Datatilsynet vurderte imidlertid at personer som ble fanget opp av overvåkingen var identifiserbare ut i fra andre forhold og direktesendingen manglet rettslig grunnlag i personvernforordningen.

Telekom

Lokasjonsbasert SMS-varsling har eksistert i mange år, og kan brukes til å telle hvor mange som befinner seg i et gitt geografisk område på et aggregert nivå, og til for eksempel å sende ut SMS-varslinger til de som befinner seg der. Under pandemien har bruken av disse tjenestene økt, og de er benyttet i nye sammenhenger. Helsemyndighetene har brukt varslingen til å informere reisende om økende smitte i regioner som kan medføre reisekarantene, og kommuner har benyttet den til å informere om hytteforbud eller minne om smittevernstiltak.

I meldingsåret har vi derfor bedt om redegjørelser fra flere aktører som benytter eller er involvert i leveringen av lokasjonsbasert SMS-varsling. Hensikten har vært å undersøke hvordan disse tjenestene behandler personopplysninger og hvordan ansvaret etter personvernregelverket er fordelt mellom partene. Dette gjør vi for å sikre at personvernregelverket blir fulgt og at de registrertes rettigheter blir ivaretatt. Sakene er fortsatt under behandling, og Datatilsynet har dialog med Nasjonal Kommunikasjonsmyndighet (Nkom) i forbindelse med behandlingen.

Datatilsynet fattet i 2020 et vedtak om irettesettelse mot Telenor Norge for manglende personopplysningssikkerhet i talepostkassefunksjonen, og for manglende avviksmelding. En sikkerhetsfeil hadde gjort det mulig for uvedkommende å få tilgang til mobilsvarene til om lag 1,3 millioner kunder ved å bruke såkalte «spoofing-tjenester». Nkom hadde tidligere fattet vedtak om overtredelsesgebyr på 1.5 millioner for brudd på ekomloven for det samme forholdet som Datatilsynet vurderte. For at Telenor Norge AS ikke skulle bli straffet to ganger for samme handling, ga vi en irettesettelse.

Videre har vi samarbeidet med Nkom om nummeropplysningsbransjen, og vil fortsette dette arbeidet i 2021. Vi har mottatt flere klager på nummeropplysningsaktører, og varslet blant annet selskapet Gul Index et pålegg om utbedring av informasjonen til de registrerte. Selskapet valgte imidlertid å avslutte sin nummeropplysningsvirksomhet etter varselet vårt.

Datatilsynet mottar også jevnlig henvendelser om informasjonskapsler (cookies). Plassering av informasjonskapsler reguleres av ekomregelverket, som Nkom fører tilsyn med. Henvendelsene har bakgrunn i at flere antar at dette er Datatilsynets myndighetsområde. Det er ulik forståelse av innholdet i samtykkekravet etter norsk praksis og europeisk rett. De som henvender seg til Datatilsynet uttrykker at de mener aktører bryter loven og at de ikke føler at personvernet blir ivaretatt.

Kommunikasjon og veiledning

Datatilsynet har som strategisk satsing at vi skal bidra til økt kunnskap om og interesse for personvern. Vi skal også jobbe for at andre aktører tar personvernhensyn. Vi skal sette borgeren i stand til å ta vare på sitt eget personvern, og vi skal ha stor synlighet i personverndebatten.

Personvernregelverket legger i stor grad ansvaret på den enkelte når det gjelder å ivareta eget personvern. Samtidig har virksomheter som behandler personopplysninger plikt til å etterleve lovgivningen på området. Dette gjelder både offentlige etater, private organisasjoner og næringsdrivende. Fordi disse gruppene har så forskjellige behov, stiller det store krav til hvordan vi jobber med kommunikasjon i Datatilsynet.

God veiledning og informative nettsider om personvernreglene til borgere og virksomheter er avgjørende for å oppnå våre mål. Her har kommunikasjon som virkemiddel selvsagt vært svært viktig.

Kommunikasjonsarbeidet er basert på statens kommunikasjonspolitikk og gjeldende regelverk, slik som offentlighetsloven og forvaltningsloven. Videre heter det i instruksen fra Kommunal- og moderniseringsdepartementet at vi skal ha en aktiv holdning til kommunikasjon, både internt og eksternt. Det er viktig at vi fanger opp signaler som angår Datatilsynet, og at vi bruker dette aktivt i kommunikasjonsarbeidet. Kommunikasjon skjer i første rekke gjennom nettstedet vårt, direkte veiledning overfor publikum, aktiv mediekontakt og gjennom en utstrakt foredragsvirksomhet.

I 2020 har vi dessuten utvidet våre kommunikasjonskanaler til også å inkludere en egen podcast, Personvernpodden, samt åpnet for formidling via video. Veiledningstjenesten har vært gjennom sitt første år som del av kommunikasjonsavdelingen. På denne måten er vi godt rustet til å fange opp behovet fra publikum, og koble ulike tiltak tett opp mot kommunikasjon i ulike kanaler.

Formidling gjennom egne kanaler

Nettstedet datatilsynet.no

Hjemmesiden er vårt viktigste verktøy for kommunikasjon med våre målgrupper, og vi legger stor vekt på at innholdet skal være relevant og enkelt tilgjengelig for våre brukere. Nettsidene har fått bedre strukturert innhold og nye løsninger etter at vi lanserte dem i 2019, og det overordnede målet er å gjøre brukerne mer selvhjulpne. Et selvstendig mål er å redusere antall henvendelser til veiledningstjenesten vår, noe vi mener vi har lykkes med. Effekten vil vi imidlertid først kunne si noe konkret om over tid. I løpet av 2020 har vi jobbet med å forbedre tilgjengeligheten på og opplevelsen av nettsidene våre, såkalt universell utforming, for at så mange som mulig kan få informasjon fra nettsidene uavhengig av funksjonsevne.

Etter mars 2020, der vi i hovedsak har hatt hjemmekontor, er enkelte satsninger utsatt til vi igjen kan jobbe sammen på felles kontor. Dette gjelder blant annet en ny chat-funksjon som er tenkt brukt av veiledningstjenesten vår. Denne gir mest effekt når veilederne har vakter i samme fysiske rom og fortløpende kan fordele innkommende samtaler per telefon med en web-basert chat. Planen er å sette opp en pilot så raskt vi får mulighet i løpet av 2021.

Våren 2020 publiserte vi et tips-skjema på nettsidene. Der får vi jevnlig inn anonyme tips fra publikum. Tipsene registreres ikke som saker og statistikkføres heller ikke, men de gir et overblikk over hva publikum melder inn som mulige brudd. Arbeidet med et mer omfattende elektronisk klageskjema har fortsatt gjennom 2020 og har høy prioritet. Dette nye skjemaet skal kobles til saksbehandlingssystemet vi nylig har tatt i bruk, Public 360. Arbeidet fortsetter i 2021.

I 2020 fikk vi en ny løsning for å vise film på nettsiden. Løsningen tillater oss å vise opptak fra egne arrangementer eller tilby informasjonsfilmer som supplement til annet innhold. Vi kan snart også strømme arrangementer direkte i løsningen. Videoplattformen er det mest personvernvennlige alternativet på markedet. Den inkluderer ikke informasjonskapsler, og all behandling av informasjon i forbindelse med denne plattformen foregår i Norden/EU i tråd med kravene i personvernregelverket.

Veiledning på nett

Vi produserer og publiserer fortløpende veiledning til ulike deler av personvernregelverket for å kunne hjelpe virksomhetene med å tolke og bruke regelverket. God veiledning er avgjørende for virksomheter som skal følge opp plikter de har etter personvernregelverket.

I løpet av meldingsåret har vi jobbet særlig med å gi fortløpende veiledning om koronasituasjonen og personvern, og opprettet en egen temaside for alt innhold knyttet til dette. Vi lagde også en egen temaside i tilknytning til det nye prosjektet for regulatorisk sandkasse der vi samlet søknadsinformasjon og aktuelt stoff.

Videre lagde vi en norsk, uoffisiell versjon av en standard databehandleravtale. Avtalen skal sikre at personopplysninger blir behandlet i samsvar med regelverket og den setter en klar ramme for hvordan databehandleren kan behandle opplysninger.

Sammen med Forbrukertilsynet lagde vi også veiledning om digitale tjenester og forbrukeres personopplysninger. Der går vi gjennom det viktigste man som utvikler, markedsfører eller tilbyder av digitale tjenester må vite om reglene for forbruker- og personvern.

Statistikk og informasjonskapsler (cookies)

For å ha god innsikt og kunne jobbe målrettet, er vi avhengige av gode statistikkverktøy på nettsiden. Etter en nøye vurdering valgte vi å prioritere en nettside som var oppdatert i forhold til endringene i cookies-retningslinjene fra Personvernrådet etter EU-dommen i den såkalte Planet49-saken. I juli 2020 fikk vi derfor en ny, cookie-fri måte å hente ut statistikk på, og innførte et cookie-banner med ulike tillatelser.

Løsningen gir oss grunnleggende data om antall besøk til nettsiden, men unngår å «huske» detaljer om de besøkendes navigering. Ifølge vår tekniske samarbeidspartner er løsningen unik i norsk og europeisk sammenheng. Vi får som resultat tall om besøk til nettsiden, men innsikten er selvsagt mangelfull sammenlignet med hva statistikk basert på informasjonskapsler kan tilby.

Tallene fra før og etter at vi fikk ny statistikkløsning er ikke direkte sammenlignbare, men når vi ser på statistikken fra og med 1. juli, ser vi at interessen for informasjonen på våre nettsider vokste kraftig utover høsten.

statistikk nett.jpg

Personvernbloggen, sosiale medier, podcast og debattinnlegg

Personvernbloggen.no fungerer etter intensjonen. Den er et rom hvor vi kan reise andre problemstillinger enn vi gjør på den ordinære nettsiden, et sted for faglig profilering og et sted der vi i større grad kan benytte ombudsrollen vår. Der publiserer vi også kronikker som vi har hatt på trykk i aviser og tidsskrifter.

Vi følger med på omtale av Datatilsynet og personvern på Twitter, og vi besvarer de fleste spørsmål og kommentarer som kommer via denne kanalen.

Vi vurderer også tilstedeværelse i andre SOME-kanaler. Våren 2020 gjennomførte vi en risikovurdering av tilstedeværelse på Facebook etter personvernforordningen som den første datatilsynsmyndigheten i Europa. Det ble da besluttet å ikke opprette konto og kommunisere på den plattformen. Dette vurderingsarbeidet har hatt flere positive ringvirkninger, inkludert intern kompetanseheving, overførbarhet til andre risikovurderinger i Datatilsynet og erfaringsutveksling med andre aktører som jobber med personvern. Vi tror også dette arbeidet vil være interessant for offentligheten. 

Våren 2020 lanserte vi podkasten «Personvernpodden». Målet er at podkast-satsingen skal engasjere både nye og eksisterende målgrupper, og at Personvernpodden kan bidra til å øke bevisstheten og refleksjoner rundt personvern i befolkningen. I 2020 publiserte vi fire episoder som ble publisert på egne nettsider, podkast-plattformen Acast og andre tredjepartstjenester.

Nyhetsbrev

nyhetsbrev.jpg

Ved utgangen av 2020 var det 4 326 som abonnerte på nyhetsbrevet vårt, og vi opplever en jevn økning i antall abonnenter.

I løpet av 2020 sendte vi ut 30 nyhetsbrev. Vi sender dermed i snitt ut over to nyhetsbrev i måneden, avhengig av hvor mange saker vi har å formidle. Av personvernhensyn har vi ikke noen spesifikk statistikk på antall klikk, men kan generelt si at vi har en høy åpningsrate i nyhetsbrevene våre, og at de skaper økt trafikk til nettsidene våre.

Mediekontakt

mediehenv - totalt.jpg

Vi vurderer mediene som en svært viktig kanal for å få frem budskapene våre, og det er jevn pågang og interesse fra disse. Vi legger stor vekt på å ha et profesjonelt forhold til pressen. Dette innebærer at vi skal ha god tilgjengelighet og et høyt servicenivå overfor journalistene. Dette mener vi å ha lykkes godt med også i 2020.

Vi noterer ned hver gang vi kontaktes av journalister i en ny sak, og i løpet av året har vi registrert 707 besvarte mediehenvendelser til kommunikasjons­avdelingen. Det er imidlertid mange henvendelser som generer flere oppslag i ulike medier, og i mange mediesaker er vi omtalt uten å være kontaktet. I 2020 gikk vi over til ny leverandør for medieovervåkings­tjenesten, Retriever. Retriever har registrert til sammen 4 391 medieoppslag der «Datatilsynet» er omtalt i løpet av året, inkludert i internasjonale medier.

mediehenv - månedsfordeling.jpg

Det er en klar topp rundt mai og juni. Sakene som særlig skapte interesse ser vi også igjen på deling i sosiale medier. Når vi ser på de mest delte mediesakene (på Facebook og Twitter) der Datatilsynet var omtalt i 2020, er det særlig to saker har stått for mye av interessen – appen Smittesporing og forslaget til nye etterretningslov:

  1. Regjeringen vil gi E-tjenesten rett til å lagre og se nordmenns nettbruk (ABC-Nyheter)
  2. Etterretningsloven - Nå starter masseovervåkingen (Dagbladet)
  3. Solberg: - Hvis vi skal få hverdagen tilbake, må flest mulig laste ned appen Smittestopp (VG)
  4. Camilla Stoltenberg om krisen: Tror vi må leve med tiltak i minst 18 måneder (NRK)
  5. Stortinget sier ja til masselagring av nordmenns nettrafikk (Dagsavisen)
  6. FHI lager app for å spore folk i kampen mot koronaviruset (NRK)

 

medieoppslag - fordeling papir.jpg medieoppslag - type.jpg

Foredragsvirksomheten

Foredrag er en viktig del av vår utadrettede kommunikasjonsvirksomhet. De gir oss muligheten til å øke kjennskapen til rettigheter og plikter, og til å skape økt forståelse for betydningen av personvern. Samtidig viser vi synlighet og tilgjengelighet for virksomheter, interesseorganisa­sjoner og publikum. Eksterne forespørsler vurderes ut fra noen faste kriterier slik som antall deltagere, om temaet er relevant for våre satsningsområder og selvfølgelig kapasitet. I 2020 har imidlertid mange av foredragene vært digitale grunnet smittevern.

Egne arrangement

Direkte dialog med ulike målgrupper har vært avgjørende i arbeidet med implementeringen av personvernforordningen, særlig blant små og store virksomheter. Vi har både gjennomført arrangementer selv eller vi har deltatt som medarrangør på større konferanser om teknologi og samfunn slik som KiNS, Sikkerhetskonferansen, NOKIOS, SKATE og Normkonferansen.

Personverndagen

I 2020 markerte Datatilsynet for åttende gang den internasjonale personverndagen i januar med et seminar i samarbeid med Teknologirådet på Litteraturhuset i Oslo. Temaene på programmet var ansiktsgjenkjenning og personvern i skolen:

  • Kunstig intelligens har gjort ansiktsgjenkjenning billigere og mer presist. Ansiktet kan brukes som ID-kort, til å låse opp telefonen og til å betale – praktisk og greit. Samtidig er teknologien som skapt for overvåking, så hvordan bør vi gripe an ansiktsgjenkjenning i Norge?
  • I 2019 ga Datatilsynet store gebyrer til kommuner som ikke har beskyttet barns personvern godt nok. Og internasjonale teknologiselskaper leverer digitale verktøy som baserer seg på storstilt innsamling, lagring og analyse av elevenes digitale atferd. I en tid med digitalisering og kommunesammenslåinger er det grunn til å tro at norske elevers personvern vil komme under ytterligere press. Kompetanse og bevissthet om personvern må derfor økes både hos leverandører, brukere og ansvarlige i skolesektoren.

Personverndagen ble strømmet på Teknologirådet sin YouTube-kanal og er sett 1 646 ganger.

Safer Internet Day

I anledning den internasjonale Safer Internet Day 2020, inviterte Utdanningsdirektoratet, Norsk senter for informasjonssikring (NorSIS) og Datatilsynet til seminar om digital håndteringskompetanse 11. februar: «Hvordan håndtere uønskede hendelser på nett?»

Seminaret ble arrangert i Tromsø, men ble strømmet og opptak ble lagt ut i etterkant. Det rettet seg mot fagpersoner som gjennom sitt arbeid møter barn, slik som ansatte i skole, SFO og helsetjenester. Målet var å gi noen konkrete tips til håndtering av uønskede hendelser på nett og se på ulike tiltak.

Den nyeste filmen vi hadde produsert i Dubestemmer-prosjektet, Porn Scam, ble også lansert samme dag.

Konkurranse om innebygd personvern i praksis

Innebygd personvern er en plikt for alle virksomheter som behandler personopplysninger. Det er et politisk ønske at dette prinsippet brukes både i statlig og offentlig forvaltning. Det vil styrke den enkeltes personvern og rettigheter, samt sikre personopplysningene bedre.

Målet med konkurransen er å løfte frem gode eksempler på praktisk implementering av innebygd personvern og personvern som standardinnstilling. Siden samfunnet vårt blir bare mer og mer digitalt, er det viktig å tenke personvern fra start i ulike prosjekter. Alle med en løsning, et system, en applikasjon eller programvare som er utviklet i tråd med prinsippene om innebygd personvern, har vært oppfordret til å sende inn sine bidrag.

Av bidragene vi fikk inn, ble noen finalister plukket ut av en jury. Siden vi ikke kunne arrangere en prisutdeling som planlagt, gikk distrikts- og digitaliseringsminister Linda Hofstad Helleland gjennom og introduserte de ulike bidragene, samt kåret vinnerne i en liten filmhilsen. Det ble også delt ut en studentpris.

Vinneren av innebygd personvernprisen 2019 var NAV med bidraget "Gjør test til en fest! Løsning for syntetiske testdata". NAV har utviklet en metode og løsning for å lage syntetiske testdata ved hjelp av maskinlæring og gjenbruk av eksisterende forretningslogikk. Syntetiske opplysninger trer inn i stedet for reelle opplysninger, og dette gir anonymisering etter at transformering har skjedd. Bidraget viser at det er fullt mulig å bruke syntetiske data, til tross for argumentasjoner om at det er for vanskelig, for kostbart og for tidkrevende. Det står på vilje og gammel vane.

Vinnerne av studentprisen var OsloMET og studentene bak bacheloroppgaven «Anonymization as a Service». Prosjektgruppen hadde utviklet en løsning for å pseudonymisere data for å beskytte individer i datasett mot risiko for re-identifisering. Løsningen bygget på moderne pseudonymiserings-verktøy som er gjort tilgjengelig som en brukertilpasset tjeneste.

Det er utlyst en tilsvarende konkurranse for 2020, og vinneren vil kåres i løpet av våren 2021.

Akerselvauka

Etter at Arendalsuka ble avlyst, mistet vi årets største møteplass for politikk, organisasjons- og næringsliv. DN laget imidlertid en alternativ arena for debatt og viktige samtaler i august. Datatilsynet deltok i en egen sesjon om elevers personvern, der digitalisering i skolen var tema.

Medvirkende var statssekretær Paul Chaffey i Kommunal- og moderniseringsdepartementet, politisk rådgiver Lars Øye Brandsås fra Kunnskapsdepartementet, direktør Bjørn Erik Thon, områdedirektør Kristin Weidemann Wieland i KS og rektor Magne Johansen ved Hagebyen skole i Harstad. Moderator var Torgeir Waterhouse.

Eksterne foredrag

foredrag.jpg

I 2020 holdt vi 80 foredrag på kurs, konferanser og seminarer i regi av andre aktører som ønsket vår deltakelse. Dette utgjør en halvering i forhold til året før. Nedgangen skyldes naturlig nok dels pandemien, men også at personvernforordningen ikke lenger har den nyhetens interesse som den har hatt i tidligere år.

Vi har sagt ja til de aller fleste av henvendelsene, men mottok naturlig nok mange avlysninger særlig i vårhalvåret.

Veiledningstjenesten

Datatilsynets veiledningstjeneste er et tilbud for virksomheter og publikum som har spørsmål som ikke krever ordinær saks­behandling om behandling av person­opplysninger. Et viktig mål med tjenesten er å gjøre enkeltpersoner i stand til å ivareta egne interesser i saker som gjelder personvern og å bistå virksomheter i å følge pliktene i person­vern­lovgivningen. Det er et stort spenn i kompleksiteten i spørsmålene som er av både juridisk og teknisk karakter.

I løpet av 2020 har veiledningstjenesten registrert totalt 5 364 henvendelser som til sammen har utgjort 967 timer med veiledning. Veiledningstjenesten hadde åpningstid fire dager i uken i første halvdel av meldingsåret og økte til fem dager i uken fra august.

Effektivitet og servicenivå i veiledningstjenesten

I andre halvdel av 2019 stengte vi for veiledningshenvendelser på epost. Målet var å gi et bedre og raskere tilbud til våre brukere. Ressursenhet har gjennom meldingsåret bestått av 7-10 deltidsansatte studenter fra juss- og teknologistudier. I tillegg til studentene bidrar jurister, teknologer og samfunnsvitere fra fagseksjonene i den daglige veiledningen på telefon.

veiledningshenvendelser.jpg

I meldingsåret reduserte vi gjennomsnittlig ventetid på telefon fra 4.13 minutter i 2019 til 2.41 minutter. Det er en reduksjon i ventetid på 36 prosent. Videre har gjennomsnittlig samtaletid økt fra 9.14 minutter i 2019 til 10.49 minutter i 2020. Vi har altså levert mer veiledning med kortere ventetid, og dermed lyktes med fjorårets mål om å redusere ventetiden. Dette har trolig sammenheng med en styrkning i antall ansatte i Ressursenhet for veiledning i 2020. I tillegg er den nye organisasjonsmodellen fra 2019 med veiledningstjenesten og kommunikasjon i en samlet egen avdeling godt implementert. Det er nå også en egen koordinator som gir tettere oppfølging til tjenesten.

Vi opplever at veiledningstjenesten vår har blitt mer effektiv ved å satse på telefonveiledning. Publikum får raskere svar, og dialogen i veiledningssituasjonen gjør at komplekse problemstillinger blir løst underveis i samtalen. Det hoper seg ikke opp med e-poster i saksbehandlingssystemet, og studenter og saksbehandlere frigjør med tid til ordinær saksbehandling og arbeid med nettsider.

Veiledningstjenesten er til enhver tid er bemannet med tre til fem personer, og etterspørselen fra publikum er stor. Det er stor variasjon i kompleksiteten i henvendelsene vi får. Noen besvares på få minutter mens flere av henvendelsene er omfattende og kompliserte.

Totalt antall henvendelser til veiledningstjenesten er noe lavere enn ventet i meldingsåret. Årsaken til dette er nok at det var nødvendig å redusere åpningstidene til tre dager i uken fra mars til mai, fordi man hadde behov for å frigjøre ressurser i organisasjonen til omstillingen som krevdes under pandemiens første fase. Telefon ble i den perioden kun bemannet av studentene i ressursenheten. Erfaringen er i stor grad at dersom man stenger telefon en dag, så vil ikke henvendelsene komme dagen etter eller senere.

Hvem kontakter oss?

veiledningshenv - hvem.png

Statistikken viser at 47 prosent av de som tar kontakt med denne tjenesten er representanter for virksomheter, mens 47 prosent er privatpersoner. Det nye regelverket begynner å bli godt implementert i flere virksomheter, men mange arbeider fortsatt med å etterlevelse i praksis som følge av overgangen til det nye regelverket.

Personvern­ombudene står for 6 prosent av henvendelsene. Vi erfarer at denne gruppen ofte er ute etter veiledning om avviksbehandling.

Hva handler henvendelsene om?

Vi fører statiststikk over henvendelsene som går direkte til veiledningstjenesten. Vi registrerer hva henvendelsene handler om, og hvem henvendelsene kommer fra. I tillegg registrerer vi om henvendelsene dreier seg om arbeidsliv. Dette gjør vi for å få bedre oversikt over hva publikum lurer på slik at vi kan tilpasse veiledningen på nettsiden vår og bygge kompetanse på aktuell tematikk.

Imidlertid ser vi av 5 364 besvarte samtaler, så er bare 4 849 statistikkført. De kan være ulike grunner til avviket som dobbeltoppringning, feil tastevalg eller at man glemmer å registrere henvendelsen i en travel hverdag. Uansett vil det være et mål for kommende år å vesentlig minke avviket i antall mottatte og antall registrerte henvendelser.

Nedenfor følger en kort oppsummering av de mest sentrale kategoriene for hva veiledningstjenesten får spørsmål om. Merk at tallene ikke vil være fullstendig dekkende, ettersom flere av henvendelsene vil kunne plasseres i ulike kategorier.

veiledningshenvendelser-tema.jpg

Register

Én av tre henvendelser til veiledningstjenesten handlet om registre. Det dreier seg blant annet om hva som kan registreres, når og hvordan man kan kreve å få slettet informasjon, samt rettigheter knyttet til innsyn i egne personopplysninger. Blant privatpersoner som ringer til veiledningstjenesten gjelder klart de fleste henvendelsene bruk av personopplysninger i ulike registre, for eksempel medlemsregistre, kundelister og journalopplysninger.

Internkontroll og informasjonssikkerhet

Internkontroll og informasjonssikkerhet var tema for 21 prosent av det totale antall henvendelser til veilednings­tjenesten. 29 prosent av disse henvendelsene gjaldt informasjonssikkerhet, slik som risiko­vurderinger, kryptering og autentisering. Utover det gjaldt 20 prosent av henvendelsene avviksbehandling, 20 prosent gjaldt databehandler­avtaler og 16 prosent internkontroll. Vi ser at antall henvendelser om dette har økt. Dette har trolig sammenheng med at temaene omfatter sentrale plikter for virksomhetene i personvernforordningen og forklarer også hvorfor dette er det temaet virksomheter spør mest om.

Hvis vi ser bare på henvendelsene fra virksomheter, er internkontroll og informasjonssikkerhet det vi får flest spørsmål om. Vi har også mottatt mange spørsmål om avviksbehandling og databehandler­avtaler. Dette henger nok sammen med at mange virksomheter fortsatt jobber med å sikre at deres systemer er forenelige med det nye personvernregelverket.

Overvåking og sporing

Spørsmål om overvåking og sporing står for 25 prosent av alle henvendelser og av disse utgjør 54 prosent spørsmål om kameraovervåking.

Kameraovervåking av hjem og bolig (inkludert hytte) står for en tredjedel av disse henvendelsene. Dette er en økning fra 2019 og kan ha sammenheng med at kameraovervåkingsutstyr til forbrukermarkedet gradvis har blitt mer tilgjengelig, fått lavere priser og bedre brukervennlighet. Særlig tilgang til kameraovervåking gjennom app på telefonen, har gjort det svært enkelt å kunne følge med på huset, hytta, båten, hunden eller gamle slektninger. Dette er en utvikling som ikke nødvendigvis er utelukkende positiv og noe som etter vår erfaring er kilde til for eksempel mange nabokrangler.

Utenom kameraovervåking får vi en rekke spørsmål om lydopptak av samtaler. For å bedre kunne svare ut disse henvendelsene oppdaterte og utvidet vi veilederen om lydopptak av samtaler til å inkludere eksempler med bakgrunn i ofte stilte spørsmål på telefon og nye temaer som lydopptak i arbeidslivet. 

Internett

Ulike henvendelser om personopplysninger på internett sto for 8 prosent av henvendelsene. Dette er på lik linje med de siste årene. Over halvparten av disse henvendelsene gjelder uønsket publisering av bilder, film, tekst og lignende på nett. 

Annet

Et betydelig antall av henvendelsene vi får lar seg ikke lett kategorisere og er derfor lagt til i samlekategorien «annet». Blant annet faller fire prosent av alle henvendelsene utenfor Datatilsynets forvaltningsmandat, og som vi derfor i liten grad har muligheten til å veilede om. Dette kan for eksempel være saker om ID-tyveri og som hører hjemme hos Politiet.

Spesielt om henvendelser knyttet til arbeidsliv

Spørsmål knyttet til personvern i arbeidslivet har tradisjonelt sett utgjort en stor andel av henvendelsene til veiledningstjenesten. Det sjekkes derfor alltid om henvendelsen gjelder personvern i arbeidslivet i tillegg til kategori, da spørsmål innen arbeidslivet kan falle inn under flere av kategoriene over.

Statistikken viser at 27 prosent av den totale andelen henvendelser dreide seg om arbeidsliv i meldingsåret. Av disse står virksomheter for 63 prosent og privatpersoner for 37 prosent av henvendelsene. Både arbeidsgivere og arbeidstakere stiller flest spørsmål innen temaene register og overvåking og sporing.

Av alle henvendelsene fra virksomheter utgjør spørsmål om personalregister 20 prosent, innsyn i arbeidstakeres e-post og private filer 9 prosent og kameraovervåking på arbeidsplassen 9 prosent.

Av alle henvendelser fra arbeidstakere utgjør spørsmål om personalregister 25 prosent, innsyn i e-post og private filer 14 prosent og kameraovervåking på arbeidsplassen 14 prosent.

Hva man kan gjøre med opplysningene man har om de ansatte, samt kontroll og overvåking, er gjentakende spørsmål både på arbeidstaker og arbeidsgiversiden. I henvendelser om arbeidslivet ser vi stor variasjon i mengde forhåndskunnskaper hos de som tar kontakt med oss.

Spesielt om henvendelser knyttet til korona

Når samfunnet ble stengt ned og svært mange virksomheter måtte digitaliseres raskt og på nye måter, oppstod det et stort informasjonsbehov om personvernregelverket. Vi svarte med å lage en egen temaside om korona og personvern på datatilsynet.no, og denne ble mye brukt. Der ble det raskt produsert og publisert en rekke veiledninger om de henvendelsene som gikk igjen, slik som:

  • Stengte skoler og digitale hjelpemidler
  • Opplysninger om smittede elever og lærere
  • Digitale konsultasjoner og personvern
  • Bruk av mobildata til befolkningstelling og – varsling
  • Besøksregistrering og smittesporing

I tillegg fikk vi fortløpende oversatt og publisert retningslinjer, veiledere og verktøykasser om korona og personvern fra Personvernrådet og EU-kommisjonen.

Syv prosent av alle henvendelser i 2020 var relatert til koronasituasjonen. I perioden etter nedstengningen fikk vi svært mange henvendelser om informasjonssikkerhet. Det gjaldt alt fra hjemmeskole til videokonferanseløsninger, da en rekke virksomheter ble tvunget til å raskt ordne nye IT-løsninger.

Restaurant-, serverings- og kulturbransjen fikk også en rekke plikter knyttet til besøksregistrering og måtte behandle store mengder personopplysninger på nye måter enn tidligere.

I april og mai var omlag 50 prosent av alle henvendelsene som gjaldt koronasituasjonen knyttet til arbeidslivet. På telefon fikk vi høre eksempler om til dels svært inngripende tiltak slik som løpende innsyn i e-post eller krav om å ha på kamera hele arbeidsdagen for å kunne kontrollere arbeidstakernes arbeidsinnsats.

Nasjonale samarbeidsrelasjoner

Datatilsynet har utstrakt kontakt med andre aktører. Her er en oversikt over vår mest sentrale deltakelse i nasjonale fora.

I tillegg til disse kommer det et stort antall kontaktmøter med ulike aktører og samarbeid av mer kortvarig art. Vi har også avtaler om faglig samarbeid med flere sentrale statlige virksomheter.

Aktørforum e-signatur

Nasjonal kommunikasjonsmyndighet (Nkom) samler aktørene innen e-signaturområdet til aktørforum. Hovedtema er EU-kommisjonens forslag til forordning om blant annet e-ID og e-signatur. Aktørforumet skal systematisere kontakten mellom aktørene, og Datatilsynet har fulgt opp arbeidet i forumet.

Brønnøysundregistrene

Samarbeidet går ut på utveksling av erfaringer og regelmessige møter både på direktørnivå og på saksbehandlernivå.

Dataforeningen

Den norske dataforening er Norges største nettverk for IT- og digitaliseringsprofesjonelle. Datatilsynet har lenge sittet i styret for gruppen «informasjonssikkerhet», ledet og arrangert fagseminarer om Software, Cybersikkerhet på styrerommet med mer, og bidratt til å sette personvern på agendaen.

Digitaliseringsdirektoratet

Datatilsynet samarbeider med Digitaliseringsdirektoratet (tidligere Difi) sitt kompetanse­miljø innenfor informasjonssikkerhet. Vi har en del overlappende ansvarsområder, og samarbeider om ulike tema slik som blant annet veiledere for internkontroll og informasjonssikkerhet. I tillegg har vi bidratt med veiledning i personvernspørsmål når det gjelder bruk av sosiale medier i offentlig forvaltning.

Direktoratet for e-helse

Det har vært jevnlige møter mellom Datatilsynet og direktoratet, både på direktørnivå og på saksbehandlernivå. Nye løsninger presenteres og drøftes løpende med Datatilsynet.

Helsedataprogrammet ligger også under ansvarsområdet til Direktoratet for e-helse. Vi har deltatt i referansegruppen og i en av arbeidsgruppene i programmet.

Direktoratet har sekretariatet for Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren (Normen), og det er også i den forbindelse mye kontakt. Vi har også hatt jevnlige møter med sekretariatet gjennom året og har diskutert nødvendig endringer i Normen opp mot de nye personvernreglene.

Finanstilsynet og Arkivverket

I forbindelse med etableringen av regulatoriske sandkasse for kunstig intelligens, har vi koordineringsrollen for møter mellom oss og sandkassene i henholdsvis Finanstilsynet og Arkivverket. Vi har også regelmessige møter på saksbehandlernivå.

Folkeregisterprosjektet

Det er viktig for Datatilsynet å følge med på utviklingen av hvordan Folkeregisteret kommer til å se ut i fremtiden. Vi har hatt en representant i referansegruppen, samt at vi har deltatt i enkelte møter i prosjektet. Problemstillinger knyttet til hvilke opplysninger som skal inn i registeret, er noe vi jevnlig må forholde oss til.

Det har vært særlig oppmerksomhet omkring utveksling av opplysninger om «fortrolig» og «strengt fortrolig» adresse, private aktører som distributører av Folkeregisteret, Folkeregisterets rolle som ID-forvalter, tilgangskontroll og borgertjenester i registeret.

Forbrukertilsynet og Konkurransetilsynet

Vi har etablert et godt samarbeid med Forbrukertilsynet og Konkurransetilsynet, og planen er å formalisere dette samarbeidet ytterligere. Det blir særlig viktig i årene fremover, da mange av de samme aktørene skaper utfordringer for våre respektive tilsyn, og behandling av personopplysninger har så vel konkurranse- og forbrukerutfordringer.

Foreningen kommunal informasjonssikkerhet (KINS)

Datatilsynet har deltat­­­t som samarbeidspartner i KiNS. Dette innebærer å delta på styremøter som observatør og bidragsyter, og å delta i planleggingen av KiNS sine arrangementer. Vi bidrar også med foredrag eller som paneldeltakere på disse arrangementene.

Helsedirektoratet

Det er jevnlig kontakt mellom Datatilsynet og Helsedirektoratet, både på direktørnivå og saksbehandlernivå.

ID-nettverket for en helhetlig ID-forvaltning

Datatilsynet deltar sammen med flere andre sentrale organisasjoner. Hovedmålet til nettverket er å arbeide for en helhetlig ID-forvaltning i Norge, og for å forebygge kriminalitet for dermed redusere trusselen mot velferdsstaten. Datatilsynets deltakelse er viktig både for å ivareta personvernet i ID-forvaltningen, og for å bidra til at sikre løsninger etableres.

IKT-Norge

Vi har et godt samarbeid med IKT Norge. På bakgrunn av satsingen vår på barn og unge, har vi fokusert på å formidle innebygd personvern for gruppen EdTech som ledes av IKT-Norge. EdTech er medlemmer som utvikler og tilbyr løsninger til skole og utdanningsmiljø i Norge.

Konkurransetilsynet og Riksrevisjonen

I forbindelse med Datatilsynets etablering av ny tilsynsmetodikk har vi hatt nyttige møter og god erfaringsutveksling.

KS

I forbindelse med Datatilsynets satsing for barn og unge har vi intensivert vårt arbeid sammen med KS for å sette fokus på arbeidet med informasjonssikkerhet og personvern i kommuner og skoler. Vi deltar som observatører i SkoleSec-prosjektet.

Nasjonal Kommunikasjonsmyndighet (Nkom)

Nkom fører tilsyn med ekomregelverket. Dette regelverket har spesialregler om behandling av personopplysninger for telekomleverandører. Dette kan skape utfordrende grensedragninger opp mot personvernregelverket, og krever godt samarbeid mellom tilsynsmyndighetene. Datatilsynet har derfor jevnlige dialogmøter med Nkom om problemstillinger i telekombransjen, og har gjennomført flere slike møter i 2020.

Det siste året har kontakten særlig omfattet kommunikasjonsverndirektivet og den kommende kommunikasjonsvernforordningen. Det har også vært et omfattende samarbeid innen områder som befolkningsvarsling og nummeropplysning.

Nasjonal sikkerhetsmyndighet (NSM)

Datatilsynet har et godt samarbeid med NSM. Vi har en del overlappende ansvarsområder, og samarbeider med dem om blant annet veiledere og anbefalinger innenfor informasjonssikkerhet.

Nasjonalt råd for Facilitation – NAFAL

Datatilsynet har én representant i Nasjonalt råd for Facilitation (NAFAL), sivil luftfart. Rådets mandat er å fremme forslag til fastsettelse av standarder for effektiv gjennomstrømming av personer, bagasje og varer på lufthavner. Luftfartstilsynet koordinerer gruppen som har medlemmer fra tolv ulike myndigheter og virksomheter innen sivil luftfart.

Norges Nasjonale Institusjon for Menneskerettigheter (NIM)

Datatilsynet samarbeider med NIM, blant annet knyttet til høringsuttalelser. Det er mange fellesnevnere i debatten om personvern og menneskerettigheter, blant annet i debatten om digitalt grenseforsvar. Begge institusjonene deltok i Sametingets høring om bruk av samisk etnisitet i blant annet helseforskning, og diskuterte synspunkter i forkant.

Norsk Biometri Forum

Datatilsynet deltar i Norsk Biometri Forum som er et uformelt forum for presentasjon og diskusjon innenfor biometri. Det er lagt stor vekt på å få inn nye ideer, samtidig som møtene benyttes til orientering om pågående prosjekter innenfor offentlig og privat sektor.

Forumet møtes to ganger i året, og har deltakere fra departementer, direktorater og en del private bedrifter, samt NTNU i Gjøvik. Forumet arrangeres i tett samarbeid med Forum for Research and Innovation in Security and Communications (FRISC) og European Association for Biometrics (EAB).

Norsk Informasjonssikkerhetsforum (ISF)

ISF er en ideell organisasjon som arbeider med informasjonssikkerhet for medlemmene. Vi deltar aktivt i dette miljøet som medlemmer, for nettverksbygging og som foredragsholdere.

Norsk konferanse for IKT i offentlig sektor (NOKIOS)

Datatilsynet har deltatt som samarbeidspartner og i programkomiteen for NOKIOS. Dette innebærer både planleggingen av konferansen, og å være bidragsyter både når det gjelder innhold og gjennomføring. NOKIOS har etter hvert blitt en viktig arena der vi kan sette fokus på personvern i digitaliseringen av offentlig sektor.

Norsk senter for informasjonssikring (NorSIS)

Datatilsynet er representert i styret til NorSIS ved direktør Bjørn Erik Thon. Vi har mange overlappende ansvarsområder med NorSIS, og samarbeider derfor med dem om ulike tema, blant annet Nasjonal sikkerhetsmåned.

Samarbeidsprosjektet Du Bestemmer

Du Bestemmer er et formalisert samarbeid mellom Utdanningsdirektoratet og Datatilsynet. Sammen driver vi blant annet nettressursen dubestemmer.no som skal bidra til at barn og unge skal lære seg å ta kontroll over egne personopplysninger, og samtidig respektere andres opplysninger. I 2020 ble det holdt to styringsgruppemøter, vi markerte Safer Internet Day med et frokostseminar i Tromsø, og det har vært et intensivt arbeid med å lage nye nettsider.

Standardisering – komitédeltagelse

Vi deltar i komiteer for standardisering der arbeidet har direkte relevans for vårt arbeidsområde. Standarder er førende for virksomhetenes praksis, også når det gjelder behandling av personopplysninger. Formålet med deltakelsen i komiteene er å sikre kunnskap om pågående prosesser internasjonalt, påvirke fremtidige rammebetingelser, samt bidra til å påvirke relevante standarder med hensyn til personvern og informasjonssikkerhet.

Datatilsynet deltar i fire komiteer:

  • SN/K 171 arbeider i hovedsak relatert til ISO/IEC JTC 1/SC 27 IT Security techniques
  • SN/K 175 Intelligente Transportsystemer (ITS)
  • SN/K 188 Person-ID, kortsystemer, biometri, sikre signaturer, borgerkort
  • SN/K 186 Læringsteknologi

Styring og koordinering av tjenester i e-forvaltning (Skate)

Skate er et strategisk samarbeidsråd og rådgivende organ som skal bidra til at digitaliseringen av offentlig sektor blir samordnet og gir gevinster for innbyggere, næringsliv og forvaltningen. Datatilsynet har anledning til å møte i dette rådet, og benytter denne muligheten når det er saker på agendaen som vi mener det er nyttig for oss som personvernmyndighet å delta på. Vi har i meldingsåret blant annet holdt innlegg om avviksmeldinger.

Vegvesenet

Datatilsynet har et godt samarbeid med Statens vegvesen. Spesielt har samarbeidet vært omfattende innen ITS (Intelligente transportsystemer).

Vurdering av framtidsutsikter

Vi vil her trekke frem og kommentere tre spesifikke områder - den spesielle koronasituasjonen, digitale plattformer og kunstig intelligens.

Spesielt om koronasituasjonen

2020 vil for alltid gå inn i historien som koronaåret. Vi mener denne situasjonen har vist at det er personvernrelaterte problemstillinger på nær sagt alle samfunnsområdet. Selv om virkningene av pandemien trolig vil avta i 2021, er det viktig å ta videre den personvernmessige læringen, både positivt og negativt, som vi har hatt.

På den positive siden har samfunnet gått gjennom en hurtigdigitalisering. Dette har skapt utfordringer, men mange virksomheter, ansatte (for eksempel lærere) og privatpersoner har måttet ta rev i seilene og bli mer digitale. Dersom dette følges opp på en riktig måte, kan det digitale løftet blir varig, og positivt.

På den negative siden har vi, litt tabloid sagt, erfart at hastverk er lastverk, og at flere prosesser kunne fått et annet utfall dersom man hadde brukt mer tid på utredning og ekstern kunnskaps­innhenting. Vi har sett mange eksempler på mangelfulle utredninger, for dårlig lederforankring og uklare ansvarsforhold. Det er viktig å ta lærdom av dette, og bruke erfaringene fra dette året til å gå gjennom egne rutiner og prosesser for å komme ut bedre rustet til å behandle persondata.

Digitale plattformer

De siste årene har de digitale plattformene styrket sin stilling. Alle norske borgere og virksomheter vil i løpet av én dag ha brukt tjenester fra de amerikanske teknologigigantene. Grunnen er flerdelt, men skyldes i hovedsak at de tilbyr gode og nyttig tjenester, og at de enorme datamengdene de har, langt på vei skaper en faktisk monopolsituasjon. At de fleste selskapene i stor grad kjøper opp konkurrenter bidrar til å forsterke dette bildet.

Plattformene skaper store personvernmessige utfordringer. Sannsynligvis kan ingen gi et sikkert svar på hva for eksempel Facebook samler inn av data, og hva de bruker dataene til. Enda mer usikkert er det hva disse datamengdene vil bli brukt til i fremtiden, særlig nå som kunstig intelligens virkelig er i ferd med å ta av.

Dette utfordrer oss som tilsynsmyndighet. Selskapene har nærmest ubegrensete ressurser. De er hjemhørende i USA, mens det europeiske kontoret ligger utenfor Norge, i mange tilfeller i Irland. Ytterligere utfordrende er at den enkelte sak, for eksempel om utforming av et samtykke eller plassering av en informasjonskapsel, ikke endrer det store bildet: at selve forretningsmodellen ikke er bærekraftig fra et personvernperspektiv. Det er prinsipielt bekymringsfullt at ett selskap kan påvirke utfallet av et valg, eller at en privat ansatt enkeltperson kan stengte USAs tidligere president ute fra et sosialt nettsamfunn.

Plattformer bygges også i offentlig sektor, for eksempel helseanalyseplattformen. Her samles det enorme datamengder, om alle norske borgere, som kan brukes av mange til et stort antall formål.

Sommeren 2020 falt den såkalte «Schems II-avgjørelsen» i EU-domstolen. Den dreide seg om hvorvidt Facebook lovlig kunne overføre data fra Facebook Europa til Facebook USA. Bakgrunnen for søksmålet var påstanden fra personvernaktivisten Max Schrems om at personopplysningene ikke var godt nok beskyttet i USA. Domstolen kom til at de vide hjemlene til amerikansk etterretning, samt det faktum at europeiske borgere ikke har god nok mulighet til å overprøve beslutninger om overvåking, i sum er så inngripende at den de facto innførte et forbud mot overføring av data til USA. Dette er en svært inngripende avgjørelse som også gjør vår håndheving av regelverket med den nødvendige fleksibilitet, krevende.

Hvordan jobber vi med dette?

De store, internasjonale plattformene er utfordrende. De ikke er underlagt vår jurisdiksjon, samtidig utfordrer de norske borgere kraftig. Det er en fare for at vi blir ansett som «tannlause», og kan oppleve kritikk for ikke å gjøre noe. Det blir viktig for oss å jobbe aktivt i det europeiske Personvernrådet, samarbeide med de landene som har jurisdiksjon og ikke minst gi god informasjon via våre kanaler.

Vi har også etablert et godt samarbeid med Forbrukertilsynet og Konkurransetilsynet i erkjennelsen av at vi møter de samme utfordringene, om enn fra ulik innfallsvinkel. Vi har også tatt opp store saker mot internasjonale selskaper som ikke er lokalisert i EU.

Når det gjelder de statlige plattformene, er bildet mer nyansert. Å samle store datamengder som beskrevet over, er utfordrende både i et personvern- og sikkerhetsperspektiv. Her har imidlertid Datatilsynet full jurisdiksjon. Vi har hatt god dialog med de som utvikler plattformene, og vil gjennom tilsyn og kontroll med regelverket kunne ivareta borgernes rettigheter etter personvernforordningen.

Det som er omtalt som Schrems-dommen over, har mange aspekter i seg: Handel mellom USA og EU (og Norge), tolkning av rettsavgjørelser, internasjonale avtaler og, mener noen, politikk. Dommen, og tolkningen til Personvernrådet, peker på noe vesentlig, nemlig at norsk alenegang i praksis ikke er mulig. Vår posisjon har hele tiden vært å følge de tolkningene rådet kommer fram til.

Det er viktig at personvernmyndighetene opptrer samlet og står skulder ved skulder, men samtidig begrenser det vårt nasjonale handlingsrom. Uten å gå inn på om vi er enige eller uenige i dommen og tolkningen av den, begrenser den vår mulighet til å praktisere regelverket, i den grad vi er uenig i fortolkningen. I dette ligger kjernen, og dilemmaet, i et forpliktende internasjonalt samarbeid. Etter vår oppfatning har det ikke vært eksemplifisert så godt som i denne saken tidligere. Vi har opplevd stor usikkerhet hos mange næringsdrivende og deres organisasjoner, og det har vært vanskelig å gi klare svar, og i enda større grad vanskelig å finne løsninger på de utfordringene som dommen skaper.

Kunstig intelligens

Kunstig intelligens (KI) er ikke lenger science fiction, men en realitet. Mange avgjørelser som i dag treffes både av private og offentlige etater, inneholder større eller mindre bruk av kunstig intelligens. Oppsiden er åpenbar: Det kan gi raskere, mer treffsikre avgjørelser, og vi kan ved hjelp av kunstig intelligens få fram kunnskap som mennesket med sin begrensede kapasitet, ikke kan.

Nedsiden er like åpenbart. KI gjør det vanskelig å etterprøve avgjørelse, ettersom vi ikke vet hva slags data som er benyttet i avgjørelsen. Viktige personvernprinsipper slik som retten til en forklaring og retten til å bli glemt, utfordres. Dersom KI får utvikle seg fritt og uregulert, ville det åpenbart gjort det krevende, for ikke å si umulig, å løse samfunnsansvaret vårt.

Hvordan jobber vi med dette?

Vårt samfunnsoppdrag kan og må løses ved hjelp av ulike virkemidler. I meldingsåret etablerte Datatilsynet en regulatorisk sandkasse for kunstig intelligens. Vi har også behandlet de første sakene der beslutninger er truffet ved hjelp av elementer av kunstig intelligens. I løpet av 2021 vil vi utvikle en tilsynsmetodikk for kontroll med slike systemer. EU-parlamentet vedtok i oktober 2020 et rammeverk for etiske aspekter ved kunstig intelligens, roboter og lignende teknologier, der det blant annet foreslås å opprette egne algoritmetilsyn (som vi etter vår oppfatning et stykke på vei allerede er).

Vi er relativt tidlig ute, og mange viktig prosesser er på gang. Vi har dessuten høy kompetanse på KI, en sandkasse, samt et sterkt analysemiljø.