Spesielt om koronasituasjonen
Koronasituasjonen har hatt stor betydning for Datatilsynet i meldingsåret. Ettersom denne pandemien langt på vei har endret det norske samfunn og folks syn på personvern, i hvert fall på kort sikt, vil vi her gi en samlet oversikt over vårt arbeid med koronarelaterte problemstillinger og utfordringer i 2020.
Saksbehandling
Forvaltningspraksisen vår
Når krisen traff oss, gikk samfunnet inn i en unntakstilstand. For Datatilsynet ble det viktig å understreke at personvernregelverket også gjelder i krisetid, samtidig som vi måtte utvise nødvendig fleksibilitet og skjønn, gitt situasjonens alvor.
Vi besluttet blant annet å ikke håndheve brudd på 72-timers-fristen for å melde avvik, og ikke håndheve annet enn alvorlige brudd på personvernsikkerheten i skolesektoren. Dersom det var nødvendig å ta i bruk tjenester som ikke var risikovurdert, oppfordret vi likevel å gjennomføre forenklede vurderinger og dokumentere dem. Staten ga betydelig kompensasjonsmidler til mange bedrifter, blant annet for å forhindre konkurser. Vi besluttet i starten av koronaen å utvise stor forsiktighet med å utstede overtredelsesgebyrer, særlig til mindre bedrifter.
Smittestopp-saken
Appen Smittestopp ble lansert medio april 2020. Gjennom appen skulle Folkehelseinstituttet (FHI) foreta digital smittesporing. Appen skulle også bidra med data til analyse og modellering av smitteverntiltak, samt til forskning.
Smittestopp samlet blant annet inn brukerens GPS-lokasjon og informasjon om brukerens kontakt med andres telefoner til enhver tid. Prinsipielt innebar dette et stort potensiale for overvåking av brukerne av appen. Dataene skulle lagres i en sentral database. Brukerne kunne ikke velge å bidra med data til ett av flere formål: smitte-/kontaktsporing, analyse eller forskning.
Vi satte i verk en dokumentkontroll av appen. I første omgang varslet vi pålegg om endring av risiko- og sårbarhetsanalysen, samt protokollen for Smittestopp. Vi avdekket vesentlige mangler ved dokumentasjonen som vi mente burde rettes umiddelbart.
I juni 2020 varslet vi FHI om et midlertidig forbud mot behandling av personopplysninger i tilknytning til Smittestopp, da vi mente at FHI ikke hadde dokumentert appens nytteverdi. Vi så særlig på appens manglende funksjonalitet og den lave oppslutningen om Smittestopp. Vi mente også at FHI ikke hadde godtgjort at det var nødvendig å bruke lokasjonsdata fra GPS i kontaktsporingsarbeidet. Dette var etter vårt syn i strid med prinsippet om dataminimering.
Videre var vi kritiske til at brukerne ikke hadde mulighet til å velge å gi fra seg personopplysninger for kun ett eller enkelte av flere formål. Stortinget vedtok senere at formålene måtte splittes.
Etter at de mottok varselet om midlertidig forbud, valgte FHI å stanse innsamlingen og slette alle personopplysninger. Vi fattet formelt vedtak om midlertidig forbud i juli 2020.
FHI lanserte i desember 2020 en ny versjon av Smittestopp. Den nye appen har kun smitte- og kontaktsporing som formål, og er samtykkebasert. Appen bruker kun Bluetooth i kontaktsporingen, og dataene lagres lokalt på den enkelte brukers mobiltelefon. Etter det vi kan se, er personvernet mye bedre ivaretatt i den nye løsningen.
Tilsyn med befolkningsvarsling
Det har i hele kriseperioden vært viktig å nå ut med mest mulig konkret og treffsikker informasjon. Ulike typer befolkningsvarsling har vært brukt til dette formålet, blant annet ble det sendt ut en melding om reisekarantene til alle som var på reise i Danmark. For å få klarhet i hvordan disse varslingstjenestene fungerte, hvem som var involvert og ansvarsforholdet mellom partene, startet vi en tilsynssak om lokasjonsbaserte SMS-varsler. Sakene er ikke avsluttet.
Sentrale høringsuttalelser
I løpet av året har vi avgitt flere høringsuttalelser om ulike lovforslag om bank- og finanssektoren, herunder forslag til endringer i hvitvaskingsregelverket, midlertidig forskrift til koronaloven om billettering på ferger og ny pengespillov.
Datatilsynet har gitt to høringsuttalelser om endringer i boliglovene i 2020. På bakgrunn av koronapandemien var det behov for å gjøre midlertidige endringer i boliglovene for blant annet å kunne avholde årsmøter for borettslag og sameier digitalt. Det ble derfor først sendt ut en hastehøring med hjemmel i koronaloven. I etterkant av denne runden ble det sendt ut forslag om permanente endringer.
I tillegg har vi gitt høringsuttalelser blant annet om disse forslagene:
- Gjennomføring av digitale rettsmøter (tilpasninger til prosesslovgivning)
- Innreiserestriksjoner
- Reiseregistrering
- Isolering og begrensninger i bevegelsesfrihet mv. i smittevernloven
- Endringer i forskrift om meldingssystem for smittsomme sykdommer
Øvrige aktiviteter
Informasjon om smittede og folk i karantene
Få dager etter nedstengningen mottok vi de første spørsmålene fra arbeidsgivere og media om hva man kunne opplyse om ansatte som var i karantene eller som var smittet av Covid 19. Vi besvarte mange henvendelser på telefon, og la ut veiledning fortløpende på hjemmesiden vår. Her ga vi blant annet råd om at arbeidsgiver bør gi informasjon internt om at en ansatt er i karantene eller smittet, og be om samtykke fra den ansatte før vedkommende sitt navn ble nevnt. Slik informasjon bør ikke gis til utenforstående. Vi oppfordret også ledelsen i virksomhetene til å utarbeide en plan for å informere om følgene av at noen var smittet, ved for eksempel å si at saksbehandlingstiden var lenger enn normalt, eller kundeservice lavere bemannet.
Stengte skoler og digital undervisning
Da skolene stengt, ble lærerne digitale eksperter, stuebordet klasserom og foreldrene lærere. Det var en krevende situasjon for alle, og vi understreket i vår kommunikasjon at «tiden ikke er inne for streng håndheving», og oppfordret alle til å utvise smidighet. Vi utarbeidet veiledning der vi orienterte om hvor den enkelte lærer kunne søke råd, hva skolen burde ta spesielt hensyn til og pekte på at man også kunne fjernundervise på en personvernvennlig måte. Det var betydelig interesse fra både media og publikum om disse spørsmålene.
Bruk av mobildata til befolkningstelling- og varsling
Hytteforbudet ble innført 16. mars, og dette ga støtet til bruk av ulike former for telling av hyttefolket, slik som hvor mange som kjørte på hytta (punktteling av SIM-kort) og hvor mange som faktisk var på hyttene sine (sammenligning mellom antall innbyggere i en kommune, og antall SIM-kort registrert i samme kommune). Lovreguleringen på området er ikke krystallklar, og det var viktig å skille mellom telling av mennesker og telling av «anonyme» SIM-kort. Vi understreket at den enkelte kommune var ansvarlig, og at de måtte veie ulike interesser mot hverandre: På den ene siden hensyn til innbyggernes helse, på den andre siden det som kan oppleves som en krenkelse av personvernet.
Digitale konsultasjoner
Behovet for konsultasjoner med det offentlig generelt, og helsevesenet spesielt, avtok ikke med pandemien. Datatilsynet mottok mange henvendelser fra virksomheter om muligheten for å ta i bruk nye løsninger og ny teknologi, slik som Facetime og Skype. En særlig utfordring var at mange av disse løsningene ikke var risikovurdert, og at de skulle brukes til kommunikasjon av sensitive opplysninger. Vi utarbeidet en liste over hva de behandlingsansvarlige burde gjøre. Blant annet at man burde søke råd hos ansvarlige myndigheter, dokumentere vurderingene de gjorde best mulig og evaluere iverksatte tiltak.
Veiledningshenvendelser
Under kapittelet «Kommunikasjon og veiledning» gir vi en grundig oversikt over generelle henvendelser til veiledningstjenesten vår. Her vil vi kort gå gjennom henvendelsene vi fikk knyttet spesifikt til koronasituasjonen. Så mye som syv prosent av alle henvendelser i 2020 gjaldt dette. Fra den vanlige og stabile 50/50-delingen av henvendelser fra virksomheter og privatpersoner, så vi at i perioden etter nedstengningen stod virksomheter for hele 70 prosent av henvendelsene og av disse var det flest spørsmål om informasjonssikkerhet. Henvendelsene handlet typisk om nye IT-løsninger som virksomhetene så seg nødt til å anskaffe for å kunne takle overgangen til hjemmekontor.
I april og mai var om lag 50 prosent av alle spørsmål som gjaldt korona knyttet til arbeidslivet. På telefon fikk vi høre eksempler om til dels svært inngripende tiltak som løpende innsyn i e-post eller krav om å ha på kamera hele arbeidsdagen for å kunne kontrollere arbeidstakernes arbeidsinnsats.
Enda det var urovekkende mange henvendelser av denne typen, har vi ikke sett at sakene senere har kommet inn til oss som formelle klagesaker. Vi har inntrykk av at de fleste vi har snakket med har en høy terskel for å varsle av frykt for negative konsekvenser. Det gjelder selv om innringere som varsler om kritikkverdige forhold på arbeidsplassen blir gjort oppmerksom på at vi har en streng taushetsplikt å forholde oss til.
Veiledning på nett
For å hjelpe på det massive behovet for veiledning opprettet vi en egen temaside på datatilsynet.no. Der vi publiserte vi fortløpende alt innhold som var relatert til korona-situasjonen. Det ble blant annet lagt ut artikler, veiledninger og råd om skole og digitalisering, digitale konsultasjoner, bruk av mobildata til befolkningsvarsling, besøksregistrering og smittesporing, retningslinjer om helsedata og lokasjonsdata, samt kontroll og håndheving av regelverket.
Vi la også vekt på å fortløpende oversette og publisere sentrale retningslinjer og veiledere fra Europakommisjonen og Personvernrådet, blant annet om apper til støtte for bekjempelse av pandemien.