Årsrapport for 2020

Kontroll og saksbehandling

Datatilsynets oppgaver og myndighet finner man i personopplysningsloven (kapittel 6 og 7) og personvernforordningen (artikkel 57 og 58). Artikkel 57 inneholder en liste på 22 punkter over våre oppgaver. I dette kapittelet vil gå gjennom tall og tendenser fra saksbehandlingen.

Våre oppgaver og myndighet følger først og fremst av personopplysningsloven med personvernforordningen, men også av politiregisterloven, helseregisterloven og SIS-loven, i tillegg til en håndfull forskrifter.

Personvernforordningen slår fast at Datatilsynet «skal føre tilsyn med og håndheve anvendelsen av denne forordningen». Vi forstår dette tilsynsbegrepet i lys av den engelske språkversjonen av forordningen. Der brukes begrepet «monitor», som kan oversettes med «følge med på», «føre overoppsyn med», eller lignende.

Mange av oppgavene våre innebærer skriftlig saksbehandling. En vesentlig del av de innkommende saksdokumentene som Datatilsynet mottar, er klager fra enkeltindivider (i forordningen og loven betegnet som «de registrerte»). Regelverkets formål er å styrke enkeltindividets grunnleggende rettigheter, og tilsynsmyndighetens plikt til å følge opp klagene fra enkeltpersoner følger direkte av forordningens bestemmelser.

Vi har i tillegg flere saker til behandling som ikke er initiert av slike individklager. Dette kan være søknader om godkjenning av bindende virksomhetsregler (BCR), godkjenning av ad hoc-kontrakter for overføring av opplysninger til tredjeland, godkjenning av atferdsnormer, og så videre. BCR-sakene er blant de mest krevende å behandle, ettersom prosessen involverer både andre europeiske tilsynsmyndigheter og det felleseuropeiske Personvernrådet (EDPB), samt at den totale saksbehandlingstiden, inkludert godkjenning i EDPB, kan være på omkring to år.

Datatilsynet mottar dessuten en lang rekke meldinger om brudd på personopplysningssikkerheten (avviksmeldinger). Mange av disse meldingene krever mindre oppfølging, men flere av dem nødvendiggjør metikuløs oppfølging av saksbehandlerne i tilsynet.

Ansvarsprinsippet i forordningen skal sikre at de som er behandlingsansvarlige eller databehandlere etterlever regelverket. Konsekvensene ved lovbrudd kan bli alvorlige, loven og forordningen har ulike bestemmelser om administrative sanksjoner og overtredelsesgebyr. Hvis lovovertrederen er et foretak, kan de mest alvorlige lovbruddene resultere i gebyrer på opptil 4 prosent av den samlede globale omsetningen fra forrige regnskapsår. I alle andre tilfeller ligger den øvre beløpsgrensen på 20 millioner euro, for de bruddene som i artikkel 83 nr. 5 i personvernforordningen er angitt som de mest alvorlige.

Antall saker, saksdokumenter og klager

I 2020 har vi registrert et høyere antall nyopprettede saker enn i 2019. I løpet av året registrerte Datatilsynets arkiv 3 271 nye saker. Til sammen ble det registrert 5 733 innkommende dokumenter. Sammenlignet med årene før, innebærer dette en markant økning. Samtidig ble det sendt ut 4 337 dokumenter fra Datatilsynet i løpet av året. Dette er også et høyere tall enn noen gang før.

journalførte saker.jpg journalførte dokumenter.jpg

Som mange andre land i EØS-området, ser vi en økning i antallet klagesaker som handler om behandling av personopplysninger. Økningen har vært vedvarende siden personvern­forordningen ble innført i norsk rett sommeren 2018. Vi antar at den økende opp­merksomheten om personvern, og folks forventninger om at personopplysninger skal behandles på en måte som tilfredsstiller lovens krav, er en konsekvens av det nye regelverket. En mulig årsak kan også være mer effektiv håndheving av regelverket de siste årene, for eksempel gjennom økt sanksjonering av regelverksbrudd som krenker enkeltindividets grunnleggende rettigheter, og at dette har vist at «det nytter» å klage.

Samtidig ser vi at det i flere saker har vært nødvendig å kontakte klagerne for å få opplyst sakenes faktiske sider, og dette har også bidratt til at antallet utgående dokumenter har økt.

Klager på Datatilsynets enkeltvedtak

I løpet av året fattet vi 252 vedtak registrert i arkivsystemet, men dette tallet er noe usikkert. Tallet er i realiteten høyere, og omfatter for eksempel ikke saker der vi påpeker hvilke plikter en virksomhet har uten å fatte et formelt vedtak.

Vi mottok 38 klager på våre vedtak. I 20 av klagesakene er klagerne privatpersoner, i resten av sakene er det offentlige eller private virksomheter som har klaget. I to tilfeller resulterte klagene i at vi omgjorde våre egne vedtak (jf. forvaltningsloven § 33 andre ledd). I 22 tilfeller ble sakene sendt videre til Personvernnemnda for klagebehandling. Kun tre av klagene gjaldt ileggelse av overtredelsesgebyr. Seks av klagene var fremdeles til behandling ved overgangen til 2021.

Av de 38 klagesakene er åtte klager på våre avslag på innsynsbegjæringer etter offentlighetsloven. Datatilsynet omgjorde fem av disse avslagene etter å ha mottatt klager, og delvis innsyn ble gitt. To av klagesakene gjaldt delvise avslag på innsynsbegjæringer etter offentlighetsloven, og disse sakene ble klagebehandlet av Kommunal- og moderniseringsdepartementet som avslo begge klagene. Den siste klagen ble trukket.

vedtak og klager.jpg Saker til PVN.jpg

Sanksjoner

gebyr og mulkt.jpg

I løpet av meldingsåret, har Datatilsynet fattet 13 avgjørelser om overtredelsesgebyr eller tvangsmulkt. Sakene gjelder brudd på regelverkets krav i forbindelse med kameraovervåking, informasjonssikkerhet, overvåking på arbeids­plassen og innhenting av kredittopplysninger.

Det høyeste gebyret var på 3 millioner kroner, og det laveste på 75 000 kroner. Til sammen utstedte Datatilsynet gebyrer på til sammen 5 875 000 kroner i løpet av året. Tre av overtredelsesgebyrene har blitt påklaget, og skal behandles av Personvernnemnda i 2021.

I tillegg har Datatilsynet utstedt irettesettelser (i medhold av personvernforordningen art. 58 nr. 2 bokstav b) i fem saker i løpet av meldingsåret. I enkeltvedtakene som er fattet i 2020, er det dessuten gitt ulike pålegg (i mehold av art. 58 nr. 2), enten i stedet for eller i kombinasjon med overtredelses­gebyr og irettesettelser.

Høringer

I løpet av 2020 mottok Datatilsynet 198 høringssaker. Datatilsynet ga innspill til 50 av disse. Dette er et høyt tall sammenlignet med foregående år, og antallet innkommende høringssaker er vesentlig høyere enn i fjor. De av høringssakene som ikke blir besvart med konkrete merknader og innspill, blir gjennomgått og vurdert av en saksbehandler, og om Datatilsynet finner at det ikke er grunn til å gi noen uttalelse, eller høringssaken ikke kan prioriteres, blir den tatt til etterretning og avsluttet.

Sju av uttalelsene vi ga uttalelser til, handlet om regler foreslått på bakgrunn av pandemien. Noen av disse hadde svært knappe høringsfrister.

Noen av de mest sentrale høringssakene Datatilsynet ga uttalelse til i 2020, var:

  • NOU 2019:9 Fra kalveskinn til datasjø (utsatt svarfrist)
  • Forslag til kredittopplysningsforskrift
  • NOU 2019: 26 Rusreformutvalget – fra straff til hjelp
  • NOU 2019: 20 En styrket familietjeneste
  • NOU 2019:23 – ny opplæringslov
  • Forslag til lov om informasjonstilgang mv. for Koronakommisjonen
  • Forslag til endringer i politiregisterloven og politiregisterforskriften
  • Forslag til endringer i statsansatteloven – lovhjemmel for etablering av en registreringsordning for statsansattes økonomiske interesser mv.
  • Forslag til endringer i forvaltningsloven m.m. – utvidet adgang til informasjonsdeling
  • Nye hjemler for deling av pasientopplysninger – endringer i helsepersonelloven. Bruk av kunstig intelligens i helse- og omsorgstjenesten – Etablering av behandlingsrettet helseregister med tolkede genetiske varianter
  • Forslag til lov om Stortingets ombud for forvaltningen (Sivilombudsloven)

Dere finner nærmere omtale av noen av våre mest sentrale høringsuttalelser under de prioriterte områdene.

høringer.jpg

Offentlighetsloven og innsynskrav - eInnsyn

eInnsyn.jpg

Via eInnsyn mottok vi 3 671 innsynskrav i løpet av meldingsåret. Dette er en økning sammenlignet med 2019, og vi har registrert en jevn økning de seneste årene. Dette er nok en naturlig konsekvens av at vi også har registrert flere inn- og utgående dokumenter.

Vi ga innsyn i de langt fleste tilfellene, men ga avslag på 348 innsynsbegjæringer, som følge av at dokumentene inneholdt taushetsbelagt informasjon. I 628 tilfeller ga vi delvis innsyn, som følge av meroffentlighetsvurderinger.

Vi legger ned betydelige ressurser i utøvelsen av offentlighet, og dette arbeidet utføres særlig av arkivet og Datatilsynets juridiske avdeling.

Tilsyn og tilsynsmetodikk

Datatilsynet har hatt behov for en oppdatert og mer effektiv tilsynsmetodikk som kan bidra til en koordinert og enhetlig gjennomføring av tilsyn. Personvern­forordningen har gitt nye rammer for tilsynsvirksomheten:

  • konsesjonsarbeidet ble avviklet og ansvaret for etterlevelse i sin helhet overført til de behandlingsansvarlige
  • manglende samsvar med personvernforordningen gir vesentlig høyere gebyrer
  • de tekniske løsningene blir stadig mer komplekse.

I tillegg til tradisjonelle dokumenttilsyn, ønsker vi større grad å gjennomføre stedlige tilsyn, ved verifisering av dokumentasjon gjennom intervju, befaring og tekniske undersøkelser.

Forprosjektets tilsynsrapport ga anbefalinger til oppfølgingspunkter knyttet til valg av metodikk, støttesystemer og rutiner for prosjekthåndtering og opplæring. Dette har dannet grunnlaget for «Tilsynsmetodikkprosjektet» i 2020. Prosjektet leverte rapport, metodikk og sine anbefalinger til ledergruppen høsten 2020, der det ble besluttet at vi skal benytte dette som vårt verktøy for gjennomføring av framtidige tilsyn.

Tilsynsmetodikken skal oppleves som solid og tillitsvekkende både for de som skal gjennomføre tilsyn, for våre tilsynsobjekter og samfunnet for øvrig. Den er basert på ISO 19011 (retningslinjer for revisjon av ledelsessystemer), men betydelig tilpasset vårt regelverk der personvernforordningen gir tilsynskriterier.

Alle ledere og saksbehandlere har gjennomført kurs i ISO 19011 og ISO 9O001. Nøkkel­medarbeidere som er tiltenkt rollen som tilsynsledere, har tatt eksamen i ISO 19011.

2020 ble et annerledes år også når det gjaldt gjennomføring av tilsyn, men vi har likevel gjennomført en kontroll hvor vi testet ut og brukte den nye metodikken. Erfaringene derfra er at metodikken er et godt og effektivt hjelpemiddel for gjennomføring av tilsyn etter personopplysningsloven.

Vi har også endret på organisering av tilsynsvirksomheten vår gjennom å opprette en rolle som tilsynskoordinator. Denne skal ha det overordnede oppsynet med tilsynsvirksomheten, koordinere gjennomføringen av hele tilsynsforløpene, og også sikre at både gjennomføring av tilsyn og bruk og nytte av metodikken kontinuerlig evalueres.

I 2021 vil metodikken utvides med en egenutviklet opplæringspakke, oppdatert malverk og metodikk for tilsyn med algoritmer og kunstig intelligens.

Tilsyn med algoritmer og KI

En ny EU-lovgivning for etisk, kunstig intelligens ble i oktober 2020 foreslått for Kommisjonen av det europeiske Personvernrådet. Forslaget understreker betydningen av personvernregelverket, også innenfor kunstig intelligens, i tillegg til sentrale, etiske prinsipper slik som menneskets selvbestemmelse og kontroll, sikkerhet og andre grunnleggende rettigheter. For teknologier med høy risiko for å skade enkeltpersoner og samfunnet, er det foreslått særlige regler, inkludert et nasjonalt tilsynsorgan.

Gjennom vår tilsynsmetodikk for algoritmer og KI, samt erfaringene fra regulatorisk sandkasse for ansvarlig, kunstig intelligens, videreutvikler og spisser vi vår kompetanse på tilsyn av algoritmer, teknologi, personvernvennlig kunstig intelligens.

Datatilsynet ønsker å ta rollen som tilsynsmyndighet for etisk kunstig intelligens, dersom forslaget blir vedtatt.

Spesielt om avviksmeldinger

avviksmeldinger.jpg

Innføringen av personvernforordningen i 2018 førte til at Datatilsynet mottar langt flere avviksmeldinger (meldinger om brudd på personopplysnings­sikkerheten) enn tidligere.

Forordningen stiller strenge og endrede krav til at brudd på personopplysningssikkerheten skal meldes inn til datatilsynsmyndighetene, og dette gjenspeiles i en betydelig økt saksbehandlings­mengde knyttet til avviksmeldinger. I 2020 mottok Datatilsynet 2 009 meldinger. Det vil si et gjennomsnitt på omlag 150 avviksmeldinger per måned siden forordningen trådte i kraft.

Antallet meldte brudd i 2020 er en økning sammenlignet med de foregående årene, og det blir spennende å se om tallet er i ferd med å stabilisere seg på rundt 2 000 avvik i året.

(Merk: Det er noen ulikheter mellom tallene vi henter ut fra saksbehandlingssystemet vårt (figuren over), og de tallene vi har behandlet manuelt og som ligger til grunn for den videre analysen. Avviket er mindre enn 2 prosent og vil dermed ikke ha innvirkning på helhetsbildet.)

avviksmeldinger pr mnd.jpg

Det er positivt at avvik meldes inn. Det viser at virksomhetene er kjent med plikten til å melde avvik, og at de har rutiner både for å avdekke og melde slike avvik. Det er imidlertid grunn til å tro at det fortsatt er mørketall og at en del avvik ikke meldes inn. I vår kommunikasjon har vi lagt vekt på hvor viktig det er å melde fra om brudd på personopplysningssikkerheten, og at det ligger mye læring i dette for den enkelte virksomhet.

Det omfattende antallet har naturlig nok ført til økt ressursbruk knyttet til saksbehandling, men er samtidig en kilde til kunnskap som kan informere og styre ressurser knyttet til tilsyn, veilednings- og kommunikasjonsarbeid.

Hvilke typer overtredelser er meldt inn?

Meldingene Datatilsynet behandler varierer fra menneskelige feil som rammer én eller få personer, til målrettede hackerangrep med mange hundre tusen rammede. Den vanligste årsaken til at et avvik oppstår er at personopplysninger blir sendt til feil mottaker. Disse sakene utløser som regel ingen reaksjon fra vår side, og de rammede personene er som regel informert om avviket idet meldingen kommer inn til oss.

avviksmeldinger - type brudd.jpg

Kategorien «Annet» omfatter alt fra konsekvenser av manglende testing, lagring på feil sted, øvrige faktorer knyttet til løsninger, programmer med manglende innebygd personvern og lignende. Denne kategorien skal deles opp og defineres tydeligere i kommende år.

Hvem melder avvik til Datatilsynet?

Antall innmeldte avvik representerer ikke nødvendigvis et korrekt bilde av antall faktiske avvik. Når enkelte sektorer melder flere avvik enn andre kan det like gjerne antyde at kompetansen, systemene og rutinene er bedre utviklet her. På samme måte kan det at enkelte sektorer og aktører nesten ikke melder inn avvik til Datatilsynet, like gjerne antyde mangelfulle rutiner som at avvik ikke forekommer. 

avviksmeldinger - hvilke områder.jpg

28 prosent av alle avvikene som meldes inn, kommer fra kommunesektoren. Det inkluderer skoler, barnehager, mange helsetjenester, eldreomsorg og barnevern. Kommunene er ansvarlige for mange av tjenestene som er nærmest enkeltindividet, og følgelig behandles mange sensitive opplysninger her. Å løfte kommunenes kompetanse på personvern og informasjonssikkerhet er dermed spesielt viktig.

Finanssektoren, som her inkluderer blant annet bank, forsikring, inkasso og kredittvurdering, står for 23 prosent av de innmeldte avvikene. De færreste av disse gjelder særlige kategorier personopplysninger, og er følgelig ikke de som er mest alvorlige. Sammenlignet med 2019 har andelen avviksmeldinger økt i kommunesektoren og falt i finanssektoren.

Sekkekategorien «annen privat» inkluderer alle private selskaper som ikke faller naturlig inn under noen av de andre kategoriene.