Årsrapport for 2021

Årsrapport for 2021

Her kan du lese om hva som preget Datatilsynets virksomhet i 2021, og hvilke utfordringer vi ser fremover. Du finner også en gjennomgang av de viktigste sakene og områdene vi har jobbet med. Vi presenterer her de mest sentrale kapitlene fra årsrapporten som er sendt til Kommunal- og distriktsdepartementet. Last ned rapporten i pdf dersom du vil lese den fullstendige versjonen.

Leders beretning

Leders beretning er en introduksjon til årsmeldingen, skrevet av direktøren. Her gis det et overordnet bilde over meldingsåret 2021.

Året 2021 har vært som en berg- og dalbane. I større grad enn forventet har vi vært påvirket av koronapandemien. Vi har gått fra nedstengte vintermåneder, via semiåpne sommermåneder og åpne høstmåneder til en stadig mer nedstengt senhøst. Nok en gang må vi berette om et år preget av uforutsigbarhet og nedstengning. Ved årets start hadde Datatilsynet satt opp personvern og korona som prioritert område for 2021. Dette viste seg å være riktig. Internt har det vært utfordrende å følge opp alle ansatte som har sittet på hjemmekontor, men jeg er imponert over hvor høy produksjonen har vært. Vi har hatt flere store saker direkte knyttet til pandemien, blant annet spørsmål om koronasertifikat. Det har vært en økning i koronarelaterte klager, slik som overvåking av ansatte på hjemmekontor. Koronasituasjon, og spesielt smittesporing, var også tema for personverndagen.

Også saksbehandling, kontroll og veiledning har vært prioritert. Vi mottok flere klager enn året før, der kundeforhold er det vi mottar flest klager om. Antall avviksmeldinger fra virksomheter har også økt. Flere store saker har vært knyttet til cyberangrep, blant annet på Østre Toten og Stortinget, og disse illustrerer hvor sårbart et digitalt samfunn er og hvor store skadevirkninger et cyberangrep kan få. Vi har også sett internasjonalt samarbeid i sammenheng med klagesaks­behandlingen. Datatilsynet er også aktivt med i Personvernrådet (EDPB), det øverste personvernorganet i EU. Flere saker av internasjonal karakter har fått stor oppmerksomhet, blant annet sakene mot Grindr som fikk et overtredelsesgebyr på 65 millioner, og Disqus.

Videre har vi også gjort en full personvernkonsekvensutredning av vår eventuelle bruk av Facebook Pages, og konkludert med at Datatilsynet ikke vil opprette en slik side. Grunnen er at vi ikke ville hatt kontroll på de opplysningene Facebook hadde samlet inn via en Facebook-side. Vi gjennomførte denne vurderingen som behandlingsansvarlig, ikke som tilsynsmyndighet. I tråd med den overordnede policyen vår om åpenhet, valgte vi å offentliggjøre vurderingen, noe som medførte en bred og god diskusjon i mange fora.

Datatilsynets hovedmål er et godt personvern for alle. Vi mener vi har oppnådd gode resultater på disse områdene. Gjennom klagesaksbehandlingen har vi fastslått viktige prinsipper, og vi har gitt overtredelsesgebyr i de alvorligste sakene. Dette gir en signaleffekt i de enkelte sektorene. Det bidrar også til etterlevelse, som jo er i tråd med hovedmålet.

Den regulatorisk sandkassen har vært en stor suksess. Vi har sluttført de første prosjektene med godt resultat, og er godt i gang med runde nummer to og nye prosjekter. Vi har hatt meget god dialog med virksomhetene som har deltatt, og vårt mål er at sluttrapportene vi produserer skal ha betydning også for andre virksomheter og bransjer. Det er lagt vekt på at prosjektene skal være innovative, samfunnsnyttige og ha godt personvern. Dette bidrar til å oppfylle målet om et godt personvern for alle. Sandkassen har hatt omlag fem årsverk til disposisjon, noe som er et betydelig antall i et tilsyn med over 60 årsverk, men vi mener dette har vært en riktig bruk av ressurser.

Det internasjonale arbeidet er tidkrevende, men nødvendig, ettersom mye av rettsdannelsen skjer i EU. En kjerneoppgave for Datatilsynet er å kontrollere regelverk gjennom tilsyn og saksbehandling, og samtidig gi veiledning. Den desidert største ressursinnsatsen i meldingsåret har vært knyttet til slikt arbeid. Ut fra en samlet vurdering av de oppnådde resultatene, ressursbruk og måloppnåelse mener vi å ha oppnådd hovedmålet.

Enkelte eksterne og interne forhold har påvirket resultatoppnåelsen, om enn ikke i betydelig grad. Selv om vi har holdt en stabilt høy produksjon under pandemien, har den likevel hatt en negativ påvirkning, ikke minst på de ansattes trivsel. Dette er jo en forutsetning for enhver suksess. Å ikke kunne delta i fysiske møter, bygge nettverk og treffes ansikt til ansikt er selvsagt en negativ konsekvens, men vi synes vi har håndtert det på en god måte, og vi har klart å holde både motet og arbeidsinnsatsen oppe.

Vi vil til slutt trekke fram at det er krevende å rekruttere sikkerhetsfolk. Dette er en utfordring vi dessverre ikke er alene om, med dertil følgende konkurranse om de gode hodene.

Kort om Datatilsynet

Datatilsynet ble opprettet i 1980, og er et uavhengig forvaltningsorgan under Kommunal- og distriktsdepartementet (KDD). Vår hovedoppgave er å bidra til at personvernlovgivningen etterleves, og at alle skal ha beskyttelse i tråd med personopplysningsregelverket.

Vi skal fremme personvern som en sentral verdi i samfunnet og være ombud i personvernspørsmål. Vi skal delta i personverndebatten og sette dagsorden, vi skal undersøke og dele fakta om person­vernets kår både nasjonalt og internasjonalt, og vi skal jobbe for at personvernet ivaretas også på områder som faller utenfor vårt tilsynsområde.

Personvern handler enkelt sagt om retten til et privatliv og retten til å bestemme over egne personopplysninger. Personvern er en menneskerettighet som skal sikre hensynet til den enkeltes personlige integritet, men det er også en ideell interesse og svært viktig for å sikre felles goder i et demokratisk samfunn. Datatilsynet må derfor jobbe aktivt for å oppnå en god ivaretagelse av personvernet i avveiingen mot andre samfunnsinteresser.

Hovedaktiviteter

Datatilsynets hovedmål er definert som «Et godt personvern for alle». I dette ligger at både innbyggere, virksomheter, organisasjoner og offentlig forvaltning skal kjenne og etterleve personvernregelverket. Borgerne skal settes i stand til å ivareta eget personvern. Regjeringen vil sikre at den enkelte har størst mulig råderett over egne personopplysninger. Gjennom kompetansen, myndigheten og de oppgavene som følger av lov om behandling av personopplysninger 15. juni 2018 nr. 38 (personopplysningsloven) §§ 20 og 21 og generell personvernforordning 2016/679 artikkel 55 til 59, har vi som fagmyndighet og tilsynsorgan et særlig ansvar for å bidra til at dette målet nås.

For å oppnå best mulig personvern, er vi nødt til å prioritere oppgavene og jobbe strategisk. Vi har derfor utformet en strategi med seks overordnede, strategiske mål som skal være styrende for Datatilsynets arbeid i tre år, fra og med april 2021.  

Datatilsynet skal:

  • arbeide for en mer rettferdig maktbalanse mellom individet på den ene siden, og kommersielle aktører og det offentlige på den andre
  • arbeide for å fremme personvernvennlig digitalisering, innovasjon og utvikling
  • arbeide for at virksomheter har nødvendig kompetanse, forstår viktigheten av godt personvern og etterlever regelverket
  • bidra til at individet i større grad kan ivareta sitt eget personvern
  • påvirke, ta lederrollen og fremme kunnskapsutveksling i noen utvalgte internasjonale prosesser for å fremme bedre personvern
  • være et kompetent, fleksibelt og fremtidsrettet tilsyn

Virkemidler

For å nå hovedmålet vårt har vi en rekke virkemidler til disposisjon. Vi prøver til enhver tid å kombinere disse virkemidlene der det er mulig for å oppnå en best mulig effekt. Her gir vi en generell oversikt over virkemidlene. Lenger bak i rapporten går vi dypere inn i aktivitetene våre og ser nærmere på tall og måloppnåelse.

Saksbehandling som virkemiddel

Saksbehandling er et sentralt virkemiddel for å sikre regelverksetterlevelse hos offentlige og private virksomheter. Samtidig bidrar saksbehandlingen til at vi tilegner oss erfaring og kunnskap om hvordan personvern­hensyn ivaretas i praksis.

Saksbehandling som virkemiddel blir særlig brukt på områder der vi mottar mange henvendelser, avviksmeldinger og klager. Behandling av klager fra enkeltindivider er en prioritert oppgave for Datatilsynet, ettersom forordningen særlig trekker frem slike saker

Tilsynsvirksomheten som virkemiddel

Gjennomføringen av tilsyn (kontroller) gir signal om at regel­verket skal etterleves og at etterlevelsen blir kontrollert. Tilsynsvirksomheten gir oss et fakta­basert grunnlag for kommunikasjon til ulike bransjer og relevante aktører. Tilsyn skal dessuten benyttes aktivt for å under­søke og avklare praksis, og til å følge opp konkrete problemstillinger i enkeltsaker. Tilsynsvirksomheten inkluderer også bruk av kontrollhjemler i saks­behandlingen, slik som for eksempel når vi følger opp enkeltklager gjennom krav om redegjørelse.

Ved å gjennomføre tilsyn når nye løsninger tas i bruk, men før en praksis har satt seg, kan tilsyn også medvirke til å forme et område videre.

Noen ganger benyttes kontrollene dessuten for å få bedre oversikt over et område eller en sektor, og for å skaffe et bedre grunnlag for å ta i bruk de andre virkemidlene. Andre ganger benyttes de for å holde oppe et trykk på en bestemt sektor – gjerne innenfor et bestemt tema.

Sanksjoner som virkemiddel

Irettesettelser og overtredelsesgebyr er administrative sanksjoner som er blitt tatt mer i bruk det siste året. Personvernforordningen åpner for langt høyere overtredelsesgebyr enn før. Tidligere var maksimumsgebyret på 10G, nå er det 20 millioner euro, eller 4 prosent av global omsetning hvis lovovertredelsen er begått av et foretak. Overtredelsesgebyrene vil derfor virke både individualpreventivt og allmennpreventivt i større grad enn tidligere.

Kommunikasjon som virkemiddel

Datatilsynet skal veilede og informere om personvernlovgivning og forvaltningspraksis. Kommunikasjon som virkemiddel benyttes ofte sammen med de øvrige virkemidlene. En del av kommunikasjonen og dialogen vår skjer derfor gjennom veiledningstjenesten, veilednings­møter og annen dialog med rammesettere, beslutningstakere, virksomheter og enkeltpersoner.

Gjennom kommunikasjon ønsker vi dessuten å spre informasjon om personvernets tilstand, samt skape debatt og gi uttrykk for synspunkter vi måtte ha som forvaltnings- og tilsynsorgan og i rollen som ombud. Ombudsrollen brukes blant annet ved utspill og kommentarer overfor mediene, i foredragsvirksomheten og i blogg­innlegg.

Forsknings-, utviklings- og utredningsarbeid

Gjennom nær kontakt med miljøer i inn- og utland som driver med forsknings- og utviklingsarbeid, setter vi oss selv bedre i stand til å sette personvernhensyn inn i en samfunnsmessig kontekst, og til å fange opp trender og utviklingstrekk på et tidlig stadium. Vår kontakt med forskningsmiljøer kan stimulere til forskning på personvern, samtidig som personvernhensyn også blir ivaretatt i annen forskning.

Vårt eget utrednings- og kartleggingsarbeid utgjør også en viktig kilde til kunnskap. Det gir dybde til ulike temaer vi jobber med og er med på å skape oppmerksomhet om personvernspørsmål. Resultater fra vårt forskning-, utviklings- og utredningsarbeid legges også til grunn ved bruk av de øvrige virkemidlene.

Regulatorisk sandkasse

Datatilsynet driver en regulatorisk sandkasse for kunstig intelligens. Her tilbyr vi kvalifisert veiledning til et utvalgt antall virksomheter. Målet med sandkassen er å stimulere til utvikling av innovative og samfunnsnyttige tjenester med godt, innebygd personvern. Sandkassen vil hjelpe virksomhetene til å følge regelverket, og samtidig bidra til kompetansebygging både hos den enkelte virksomhet og innad i Datatilsynet.

Andre virkemidler

Personvernombudsordningen er et utpreget organisatorisk virkemiddel. Antall personvernombud i landet vokser, og er viktige ambassadører for personvern både i offentlige og private virksomheter.

Deltagelse i ulike råd og utvalg er et godt virkemiddel for å best mulig kunne påvirke aktører til å etablere god praksis. Det samme gjelder deltagelse i arbeid knyttet til innebygd personvern og regelverksutvikling. En slik måte å arbeide på egner seg særlig på områder der det pågår større reformer og utviklingsarbeid, særlig dersom de er teknologidrevne.

Organisasjon og budsjett

Bjørn Erik Thon var direktør i 2021. I tillegg har ledergruppen av fire avdelingsdirektører – en mann og tre kvinner. Videre hadde Datatilsynet ved årsskiftet seks seksjonsledere – tre menn og tre kvinner.

Datatilsynet hadde 72 ansatte per 31. desember 2021. Av disse var 56 stillinger faste. De midlertidige stillingene er prosjektstillinger knyttet til etablering av sandkassen (6 stykker) og studenter (10 stykker) som betjener Datatilsynets veiledningstjeneste. Studentene har en stillingsbrøk på 25 prosent.   

Økningen i antall avtalte og utførte årsverk fra 2020 til 2021 er en følge av at bevilgningen er økt for å dekke kostnader knyttet til innføringen av nytt personvernregelverk og derav flere oppgaver. Det er også opprettet to nye stillinger som følge av omorganisering og analyse av kompetansebehov.    

Det er 58,3 prosent kvinner og 41,7 prosent menn tilsatt i de faste stillingene.

Samlet antall utførte årsverk er beregnet til 60,6 (DFØ modellen) og 64 etter SSB-statistikk. Av disse hadde vi 10 studenter tilknyttet ressursenheten for veiledning og enkel saksbehandling. Samlet utgjør studentene 2,5 årsverk.

Organisasjonskart per 31. desember 2021:

organisasjonskart sept2021.jpg

Fordelingen på de ulike avdelingene/seksjonene er:

  • Avdeling for regelverksetterlevelse, internasjonal samhandling og sanksjoner (RIS) – 33 medarbeidere
  • Avdeling for teknologi, analyse og sikkerhet (TAS) – 16 medarbeidere
  • Kommunikasjonsavdelingen – 5 medarbeidere, pluss 10 studenter
  • Administrasjonsavdelingen – 7 medarbeidere
  • I tillegg kommer Datatilsynets direktør

Vi har ingen CISO per i dag, men stillingen er plassert i organisasjonskartet og er utlyst.

Avdelingene

Avdelingen for regelverksetterlevelse, internasjonal samhandling og sanksjoner (RIS) består av tre seksjoner som hver ledes av en seksjonssjef:

  • seksjon for offentlige tjenester
  • seksjon for private tjenester
  • internasjonal seksjon

Avdelingen for teknologi, analyse og sikkerhet (TAS) består av tre seksjoner som hver ledes av en seksjonssjef:

  • seksjon for analyse, utredning og politikk (UAP)
  • seksjon for intern IKT, sikkerhet og etterlevelse (ISE)
  • seksjon for teknologi, sikkerhet og tilsyn (TST). Denne seksjonen ble opprettet høsten 2021.

Avdelingen for kommunikasjon og samfunnskontakt gir kommunikasjonsfaglige råd internt til seksjoner og ledelse, og har hovedansvar informasjonsspredning eksternt gjennom mediekontakt og egne kanaler. Avdelingen har også ansvar for ressursenheten for veiledning og enkel saksbehandling som består av studenter i deltidsstillinger.

Administrasjonsavdelingen har ansvar for arkivtjenesten, budsjett/regnskap, administrativ virksomhetsstyring, sentralbordtjeneste og øvrige fellesfunksjoner. Avdelingen har også det overordnede personalansvaret (HR).  

Budsjett

Datatilsynet ble i 2021 tildelt 67 845 000 kroner. Dette er en videreføring av budsjettet for 2020, samt kompensasjon for lønns- og prisjusteringer. Budsjettet dekker Datatilsynets lønns- og driftskostnader, kostnader til utvikling og drift av IKT-systemer, etablering av nye digitale kommunikasjonsløsninger, informasjons- og kommunikasjonstiltak, kompetanseutvikling og kostnader knyttet til økt deltagelse i internasjonalt personvernarbeid, samt kostnader knyttet til å flytte og etablere tilsynet i nye lokaler.

I 2021 benyttet tilsynet 52 728 000 kroner (77,7 prosent) til lønn og 15 117 000 kroner (22,3 prosent) til drift.

Kontroll og saksbehandling

Det er i første rekke personopplysningsloven og personvernforordningen som definerer Datatilsynets oppgaver og myndighet. I tillegg fastsetter også politiregisterloven, helseregisterloven og SIS-loven, i tillegg til en håndfull forskrifter, oppgaver for tilsynsmyndigheten.

Mange av oppgavene våre innebærer skriftlig saksbehandling. En høy andel av saksdokumentene Datatilsynet mottar, er klager fra enkeltindivider. Regelverkets formål er å styrke enkeltindividets grunnleggende rettigheter, og derfor er vår plikt til å følge opp klagene fra enkeltpersoner direkte formulert i forordningen.

Vi har i tillegg en rekke andre typer saker til behandling, slik som søknader om godkjenning av bindende virksomhetsregler (BCR), godkjenning av ad hoc-kontrakter for overføring av opplysninger til tredjeland, godkjenning av atferdsnormer og så videre. Vi kan også opprette saker av eget tiltak, for eksempel på bakgrunn av tips fra media eller publikum. Tilsynet mottar dessuten en lang rekke meldinger om brudd på personopplysnings-sikkerheten (avviksmeldinger). Flere av disse meldingene nødvendiggjør grundige analyser og oppfølging av saksbehandlerne i tilsynet.

Ifølge personvernforordningen er det de som er behandlingsansvarlige eller databehandlere som skal sørge for at regelverket blir etterlevd. Konsekvensene ved lovbrudd kan bli svært alvorlige. Loven og forordningen inneholder bestemmelser om administrative sanksjoner og overtredelsesgebyr. Hvis lovovertrederen er et foretak, kan de mest alvorlige lovbruddene resultere i gebyrer på opptil 4 prosent av den samlede globale omsetningen fra forrige regnskapsår. I alle andre tilfeller ligger den øvre beløpsgrensen på 20 millioner euro.

Gjennomførte aktiviteter

Antall saker, saksdokumenter og klager

I 2021 har vi registrert et høyere antall nye saker enn i 2020. I løpet av året, registrerte arkivet vårt 3 474 nye saker. På samme tid i fjor rapporterte vi om 3 271 opprettede saker totalt. Økningen er på omlag seks prosent.

Til sammen ble det registrert 6 285 nye innkommende dokumenter i 2021. Tallet for 2020 var 5 733, og økningen tilsvarer litt i underkant av ti prosent. Tilfanget av antallet saker og saksdokumenter, har økt konstant siden 2014.

journalførte-saker.jpg journalførte-dokumenter.jpg

Datatilsynets dokumentproduksjon har også økt betydelig. I 2021 ble det sendt ut 5 222 dokumenter, mot 4 337 i 2020. Dette innebærer en økning på om lag 20 prosent. Vi ser også en tilsvarende økning i antallet overtredelsesgebyr og klager på enkeltvedtak sendt til behandling i Personvernnemnda (se nedenfor).

Samlet sett ser vi altså at utviklingen siden innføringen av personvernforordningen i 2018 fortsetter, med et stigende antall registrerte dokumenter inn og et høyere sakstall enn tidligere. Dokument­produksjonen har også gått markant opp. Samlet sett viser statistikken at Datatilsynets totale arbeidsmengde stadig øker.

Av de registrerte sakene er i underkant av 600 klagesaker fra enkeltindivider. Et høyt antall av disse klagesakene, rundt 25 prosent, gjelder personvern i forbindelse med kundeforhold. Omtrent 12-13 prosent av klagene gjelder helseopplysninger. En tilsvarende andel handler om personvern på arbeidsplassen. Videre mottar vi en betydelig andel klagesaker om behandling av personopplysninger på eller ved hjelp av ulike digitale systemer eller tjenester, slik som internett, sosiale medier og mobiltelefonapplikasjoner. Andre sakskategorier som er høyt representert blant de individuelle klagesakene er kredittopplysninger, kameraovervåking og barns personvern.

Klager på Datatilsynets enkeltvedtak

I løpet av året fattet vi 306 enkeltvedtak. Det innebærer en økning på litt over 21 prosent sammenlignet med året før. Samtidig ble 43 av enkeltvedtakene våre påklaget. Også dette innebar en økning fra 2020 (13 prosent). I 21 tilfeller ble sakene sendt videre til Personvern­nemnda for klage­behandling.

Seks klager resulterte i at Datatilsynet omgjorde egne vedtak i løpet av meldingsåret. Det resterende antallet var fremdeles under forberedelse ved utgangen av meldingsåret.

journalførte-saker.jpg journalførte-dokumenter.jpg

I syv av tilfellene førte klagene til at enkelt­vedtakene ble helt eller delvis omgjort. Blant disse klagene gjaldt om lag halvparten våre avvisningsvedtak eller beslutninger om å avslutte saken. Vi mottok åtte klager på ileggelse av overtredelsesgebyr, mens én klage gjaldt en irettesettelse. I noen av sakene førte saks­behandlingen i Personvernnemnda til reduksjon i de utmålte overtredelsesgebyrene. Nemnda ga i disse sakene uttrykk for at lang saksbehandlings­tid måtte føre til lavere overtredelsesgebyr. Vi har derfor særlig merket oss disse nemnds­avgjørelsene.

Et antall klagesaker ble forberedt oversendt til klagebehandling i løpet av året, og det resterende antallet klager har resultert i videre undersøkelser – flere av disse klagesakene var ikke avsluttet ved overgangen til 2022. Totalt fattet Personvernnemnda 26 vedtak i meldingsåret.
Se fullstendig oversikt over sakene som ble oversendt til nemnda i 2021 under Vedlegg.

Sanksjoner

I løpet av meldingsåret, har Datatilsynet gitt 26 overtredelsesgebyr etter brudd på bestemmelser i personvernforordningen. Dette innebærer en dobling sammenlignet med 2020.

Disse sakene gjelder blant annet brudd på person­opplysningssikkerhet, ulovlig overvåking på arbeids­plassen, innhenting av kreditt­opplysninger og ulovlig utlevering av personopplysninger via mobilapplikasjoner.

Det høyeste overtredelsesgebyret som ble gitt var på 65 millioner kroner. I denne saken hadde et amerikansk selskap samlet inn og solgt person­opplysninger av sensitiv karakter via en dating-app, Grindr. Datatilsynet vurderte saken som svært alvorlig, og ga selskapet det høyeste gebyret i norsk personvernhistorie så langt. Saken er imidlertid ikke rettskraftig avgjort ved årsskiftet da klagefristen utløper medio februar 2022.

I en annen sak, ga vi bompengeselskapet Ferde et gebyr på 5 millioner for å ha overført person­opplysninger om bompasseringer til Kina uten rettslig grunnlag. Selskapet valgte å godta gebyret, og avgjørelsen blir dermed stående.

Alt i alt utstedte Datatilsynet overtredelsesgebyrer på i underkant av 80 millioner kroner i løpet av 2021. I noen av disse sakene har vi mottatt klager, og i et fåtall av sakene var klagefristen fremdeles ikke gått ut ved årsskiftet. Sammenlignet med 2020, da vi hadde 13 saker som resulterte i overtredelses­gebyr på til sammen snaue seks millioner, er dermed økningen betydelig. Dette gjelder både antallet ilagte overtredelsesgebyr og, ikke minst, det totale beløpet. I tillegg ble det gitt 13 irettesettelser. Reaksjonene kom blant annet som følge av ulovlig kameraovervåking, publisering av personopplysninger på et kommunalt nettsted og lydopptak uten samtykke.

Se fullstendig oversikt over overtredelsesgebyrene og tvangsmulktene som ble gitt i 2021 under Vedlegg.

Høringer

I løpet av 2021 mottok Datatilsynet 205 høringssaker. Vi ser altså at også her er det en jevn økning. På grunn av behovet for å prioritere andre saksbehandlingsoppgaver, er det uttalt i Datatilsynets virksomhetsplan at høringsuttalelser i saker som ikke har stor betydning for personvernet, skal nedprioriteres. Likevel har vi gitt 61 uttalelser i 2021. En del av forklaringen på det relativt høye antallet kan være at det kom flere forslag enn normalt på grunn av pandemien. Mange av disse sakene berørte personvernet i vesentlig grad. Flere av dem hadde svært knappe høringsfrister som gjorde at vi måtte kaste oss brått rundt.

høringer.jpg

De av høringssakene som ikke blir besvart med konkrete merknader og innspill, blir likevel gjennomgått og vurdert av en seksjonssjef eller en saksbehandler. Dersom vi finner at det ikke er grunn til å gi en uttalelse, eller at høringssaken er blant dem som ikke skal prioriteres, blir den tatt til etterretning og avsluttet. Vi vil fortsette å nedprioritere høringssaker som ikke har stor betydning for personvernet i 2022.

Les nærmere omtale av noen av våre mest sentrale høringsuttalelser videre utover i rapporten. Se forøvrig en fullstendig oversikt over høringsuttalelsene våre med merknader i 2021, under Vedlegg.

Offentlighetsloven og innsynskrav – eInnsyn

Via OEP mottok vi 5 715 innsynsbegjæringer i løpet av meldingsåret. Dette er en betydelig økning siden 2020, da vi mottok 3 671 innsynskrav, noe som også da var et rekord­høyt antall. Økningen er på nærmere 60 prosent. Tidligere år har det vært en jevn økning, men antallet har altså gått vesentlig opp i 2021. Denne stigningen har vært merkbar, og den har hatt store konsekvenser for det øvrige arbeidet, slik som saks­behandlingen. Noe av årsaken kan nok tilskrives det økte antallet saker som beskrevet over, og også at mange journalister ønsker innsyn i de innmeldte avvikssakene. Vi har vurdert ulike tiltak for å imøtekomme den voksende etterspørselen, og dette vil bli et tema videre utover i 2022.

Vi gir innsyn i de langt fleste tilfellene. Det ble likevel gitt avslag på 522 innsynsbegjæringer da dokumentene inneholdt taushetsbelagt informasjon. I 963 tilfeller ga vi delvis innsyn, som følge av meroffentlighetsvurderinger.

Vi legger flere ressurser i utøvelsen av offentlighet enn noen gang, og disse innsynsbegjæringene treffer særlig juridiske avdeling. Avdelingen får som en følge av det høye antallet innsynsbegjæringer, mindre tid til å arbeide med de oppgavene som personvernforordningen foreskriver, og det samme gjelder oppgavene som følger av det øvrige regelverket vi har ansvaret for, slik som politi­registerloven og helseregisterloven.

Åpenhet om forvaltningens virksomhet er helt grunnleggende i et demokratisk samfunn, men dersom utviklingen fortsetter i samme retning, vil det samtidig kunne få negative konsekvenser for en annen grunnleggende rettighet, nemlig personvernet.

tall fra einnsyn.jpg

Tilsyn og tilsynsmetodikk

Gjennomføring av tilsyn/kontroll er en viktig aktivitet for å nå målene våre og gjennomføre samfunns­oppdraget vårt. Vi skal gjennomføre tilsyn og kontrollere prioriterte områder basert på risiko. Vi skal systematisere og kommunisere funnene, samt følge opp etterlevelsen av pålegg. Hvilke virksomheter vi velger å kontrollere, faller normalt i to kategorier: virksomheter hvor vi antar at det er en særskilt risiko, og representative virksomheter hvor vi ønsker å avdekke status innenfor en sektor eller et tematisk område. Vi har også som mål at vi skal gjennomføre det vi har definert som profilerte tilsyn. Det skal synliggjøre tilsynsvirksomheten vår, og ikke minst skape en allmennpreventiv virkning av bruken av tilsyn som virkemiddel.

Som en følge av innføringen av personvernforordningen i norsk rett og vår egen tilpasning av saksbehandlingen, har vi de siste årene gjennomført færre tilsyn enn tidligere. 2020 ble så svært preget av pandemien, og i 2021 ønsket vi derfor å øke tilsynsaktiviteten og hadde planlagt 14 stedlige tilsyn. Dessverre har de restriksjonene og begrensningene som har fulgt av koronapandemien, også i 2021 ført til at dette ikke lot seg gjøre. Ni av disse tilsynene er enten påbegynt høsten 2021 eller overført til tilsynsplanen vår for 2022. De øvrige vil bli erstattet av andre og mer aktuelle tilsyn i planen for 2022.

Vi gjennomfører dessuten kontinuerlig hendelsesbaserte tilsyn der vi benytter tilsynshjemmelen vår for å undersøke blant annet brudd på personopplysningssikkerheten nærmere. Vi ser at vi er sårbare ved restriksjoner og begrensninger knyttet til fysiske møter, og har derfor satt i gang et arbeid med å utarbeide rutiner og retningslinjer for gjennomføring av tilsyn ved hjelp av videoløsninger.

Tilsynsmetodikk

I 2020 startet vi et arbeid med å utforme forbedret tilsynsmetodikk tilpasset nytt lovverk og tilsynsobjektene. En tverrfaglig prosjektgruppe fikk i oppdrag å utforme en felles tilsynsmetodikk for alle typer tilsyn som Datatilsynet utfører. Metodikken skulle være basert på anerkjente revisjonsstandarder, men tilpasset regelverket vi forvalter.

Våren 2021 godkjente ledelsen ny tilsynsmetodikk. Den er basert på «ISO 19011 – Veiledning for revisjon av ledelsessystemer» og «ISO 9001 – Sertifisering av kvalitetssystem», men tilpasset personvernforordningens tilsynskriterier. En viktig leveranse i arbeidet var både opplæringspakke for tilsynsteam og for tilsynsledere.

Det er også opprettet en egen tilsynskoordinator i Datatilsynet. Tilsynskoordinatoren sine viktigste oppgaver er å følge opp planlegging og gjennomføring av tilsyn, samt rapportering av avvik til ledelsen. Koordinatoren har en samlet oversikt over tilsynsaktiviteten, er en ressursperson for tilsynslederne, sørger for kontinuerlig evaluering og oppdatering av tilsynsmetodikken, sørger for intern opplæring i tilsynsmetodikken, samt bistår ledelsen og ser til at hvert enkelt tilsyn har tilstrekkelig ressurser – både tid og personell.

Høsten 2021 ble det gjennomført opplæring av tilsynsdeltakere og tilsynsledere, og metodikken er allerede tatt i bruk. Det er også utarbeidet og implementert egne retningslinjer for utvelgelse av risikobaserte- og profilerte tilsyn.

Høsten 2021 startet også arbeidet med å videreutvikle metodikken til å omfatte algoritmetilsyn.

Spesielt om meldinger om brudd på personopplysningssikkerheten (avviksmeldinger)

avviksmeldinger.jpgForordningen stiller krav til at brudd på personopplysningssikkerheten relatert til konfidensialitet, integritet og tilgjengelighet skal meldes inn til Datatilsynet. I 2021 mottok vi 2 255 slike avviksmeldinger. Det vil si et gjennomsnitt på i underkant av 190 avviksmeldinger per måned.

Det har altså vært en voldsom økning i antall avviksmeldinger sammenlignet med året før personvernforordningen trådte i kraft (2017) da vi mottok 349 avviksmeldinger. Den nærmest eksplosive økningen vi opplevde rett etter innføringen av forordningen, har roet seg noe, men vi ser likevel en jevn økning fra år til år. Dette medfører selvsagt et økt behov for oppfølging og saksbehandling.

Det er positivt at avvik meldes inn. Det viser at virksomhetene er kjent med plikten til å melde ifra om avvik, og at de har rutiner både for å avdekke og melde slike avvik. Økningen i antall innmeldte brudd på personopplysnings­sikkerheten reflekterer en økt bevissthet knyttet til denne plikten. Det er likevel grunn til å tro at det fortsatt er mørketall og at en del avvik ikke meldes inn. I Datatilsynets kommunikasjon utad har vi imidlertid prøvd å legge vekt på hvor viktig det er å melde fra om brudd på personopplysningssikkerheten.

Det omfattende antallet har ført til økt ressursbruk knyttet til saksbehandling i tilsynet.  Samtidig er avviksmeldingene en god kilde til kunnskap om risiko, sårbarheter og trusler ved behandlingen av personopplysninger. Dette er en viktig kilde for oss, i tillegg til statistikk fra tips og klager som kommer inn til oss, når vi skal planlegge risikobaserte tilsyn.

Hvilke typer sikkerhetsbrudd er meldt inn?

Avviksmeldingene vi får inn varierer fra menneskelige feil som rammer én eller få personer, til mål­rettede hackerangrep med mange hundre tusen rammede (se oversikt på neste side). Den vanligste årsaken til at et avvik oppstår, er at personopplysninger blir sendt til feil mottaker. Disse sakene utløser som regel ingen reaksjon fra vår side, og de rammede personene er som regel informert om avviket idet meldingen kommer inn til oss.

Fordelingen på de ulike typene avvik er omtrent lik som foregående år. I 2021 har en rekke store dataangrep mot så vel offentlige som private virksomheter preget nyhetsbildet. Andelen hacker­angrep er omtrent på samme nivå som i 2020, mens andelen ransomware har økt. Ofte benytter trusselaktører angrepsvektorene phishing og ransomware for å gjennomføre et angrep, og det er derfor naturlig å se disse under ett.

Kategorien «Annet» omfatter alt fra konsekvenser av manglende testing, lagring på feil sted, øvrige faktorer knyttet til løsninger, programmer med manglende innebygd personvern og lignende.

avvik-typer brudd.jpg

Hvem melder om brudd på personopplysningssikkerheten til Datatilsynet?

Hele 32 prosent av alle meldingene som sendes inn, kommer fra kommunesektoren. Det inkluderer skoler, barnehager, ulike helsetjenester, eldreomsorg og barnevern. Kommunene er ansvarlige for mange av tjenestene som er nærmest enkeltindividet, og følgelig behandles mange person­opplysninger her. Å løfte kommunenes kompetanse på personvern og informasjonssikkerhet er derfor en viktig prioritering for Datatilsynet.

avvik-sektorvis.jpg

Finanssektoren, som her inkluderer blant annet bank, forsikring, inkasso og kredittvurdering, står for 22 prosent av de innmeldte avvikene. De færreste av disse gjelder særlige kategorier person­opplysninger. Fordelingen mellom de ulike sektorene er om lag lik som i 2020. Sekkekategorien «annen privat» inkluderer alle private selskaper som ikke faller naturlig inn under noen av de andre kategoriene.

Selv om en sektor melder mange avvik, er den ikke nødvendigvis en «personvernversting» av den grunn. Et høyt antall avvik kan også skyldes at sektoren behandler store mengder persondata, slik som for eksempel i finanssektoren, og at de har gode rutiner for å avdekke og melde inn alle avvik. På samme måte kan mangel eller fravær av innmeldte avvik skyldes at virksomheter ikke har etablert en god hendelseshåndtering.

Internasjonalt arbeid og samarbeid

Internasjonalt samarbeid er svært viktig for Datatilsynet siden personvernforordningen skal tolkes likt i hele EØS. Hva som skjer i andre EØS-stater og det europeiske Personvernrådet (European Data Protection Board – EDPB) kan påvirke handlingsrommet vårt.

Det er nedfelt i strategien vår at vi skal påvirke og ta lederrollen i noen utvalgte internasjonale prosesser for å fremme bedre personvern. I 2021 har vi engasjert oss særskilt i enkelte temaer og saker som kan ha stor påvirkning på personvernet i Norge. Vi har dessuten påtatt oss ansvar i nye prosesser.

Gjennomførte aktiviteter

Deltakelse i Personvernrådet med ekspertgrupper

Det europeiske Personvernrådet er et uavhengig EU-organ opprettet i henhold til personvern­forordningen. De viktigste oppgavene til rådet er å komme med retningslinjer og uttalelser om hvordan personvernforordningen skal forstås og sikre at den tolkes på en ensartet måte i EØS. Dessuten er rådet den øverste rådgivende forsamlingen for EU-kommisjonen i spørsmål om personvern. Personvernrådet består av datatilsynsmyndighetene i EU og EØS. Datatilsynet er fullverdig medlem, men siden Norge er en EØS-stat har vi ikke rett til å stemme eller stille til valg som rådets leder eller nestleder.

Datatilsynet deltar i Personvernrådets plenumsmøter, som vanligvis holdes omtrent én gang i måneden. I tillegg deltar vi i samtlige av rådets ekspertgrupper:

  • Border, Travel and Law Enforcement Expert Subgroup
  • Compliance, e-Government and Health Expert Subgroup
  • Cooperation Expert Subgroup
  • Enforcement Expert Subgroup
  • Financial Matters Expert Subgroup
  • International Transfers Expert Subgroup
  • IT Users Expert Subgroup
  • Key Provisions Expert Subgroup
  • Social Media Expert Subgroup
  • Strategic Advisory Expert Subgroup
  • Taskforce on Fining
  • Technology Expert Subgroup

De fleste ekspertgruppene møtes også som regel én gang i måneden. Gruppene diskuterer og forbereder saker og dokumenter for plenumsmøtene i Personvernrådet, hvor de endelige avgjørelsene om retningslinjer, uttalelser og så videre blir fattet. Til sammen ni jurister og én teknolog fra Datatilsynet deltok fast i Personvernrådets plenums- og ekspertgruppemøter i 2021.

Hver ekspertgruppe ledes av én eller flere koordinatorer. Fra 2021 er Datatilsynet én av to koordinatorer for Social Media Expert Subgroup. I tillegg til ekspertgruppene finnes det flere ad-hoc-arbeidsgrupper, typisk for koordinering i ulike sakskomplekser. Vi deltar også i dette arbeidet.

Under Personvernrådet er det opprettet en egen komité, Coordinated Supervision Committee, for koordinering av tilsyn med store EU-plattformer. I 2021 deltok én jurist fra Datatilsynet i komiteens møter.

Personvernrådet har dessuten et eget kommunikasjonsnettverk som diskuterer kommunikasjons­strategi og -tiltak, samt deler nasjonale nyhetssaker. Én kommunikasjonsrådgiver deltok fast i nettverket i 2021.

Rapportøroppdrag

I 2020 ledet vi arbeidet med intern organisering av møtene i Personvernrådet. Dette arbeidet fortsatte i 2021, og det er nå sekretariatet i rådet som fører dette videre. Fra 2021 er vi dessuten hovedrapportør for Personvernrådets retningslinjer om verktøy for avdekking av barneovergrepsmateriale. Dette arbeidet vil starte for fullt i 2022.

Internasjonal saksbehandling / IMI

Personvernforordningen kapittel VII og VIII inneholder nærmere regler om saksbehandlingen ved såkalt grenseoverskridende behandling av personopplysninger. I denne typen saker må alle berørte datatilsynsmyndigheter identifiseres, og deretter vil en ledende datatilsynsmyndighet bli utpekt etter nærmere regler. Den ledende datatilsyns­myndigheten undersøker så saken, og legger deretter frem et utkast til avgjørelse som de berørte datatilsyns­myndighetene kan komme med innsigelser mot. Til denne prosessen brukes det et saksbehandlingssystem som heter Internal Market Information System (IMI).

Internasjonal saksbehandling krever at vi fortløpende følger med på hva som skjer i IMI, siler saker og gir tilbakemelding der det er nødvendig. I de aller fleste sakene kommer tilsynsmyndighetene til enighet om hva avgjørelsene skal gå ut på, men særlig i saker om de største internasjonale teknologiselskapene, kan det være krevende å komme til enighet med den ledende tilsyns­myndigheten.

IMI-antall saker berørt og ledende myndighet.jpgI 2021 har vi som berørt tilsynsmyndighet kommet med innsigelser i tre saker som gjelder store, internasjonale teknologiselskaper. Det kan føre til at de ledende tilsynsmyndighetene blir avskåret fra å fatte vedtak i tråd med sitt utkast til avgjørelse. I så fall må de enten følge innsigelsen eller saken må tas opp til behandling i Personvernrådet.

I 2021 ble Datatilsynet identifisert som berørt datatilsynsmyndighet i 281 nye saker. I samme periode ble vi identifisert som ledende tilsynsmyndighet i 12 saker. En stor andel av de grenseover­skridende sakene fra tidligere år, er fremdeles åpne ved årsskiftet, siden saksbehandlingstiden i denne typen saker er adskillig lengre enn for andre saker.

Godkjenning av overføringsgrunnlag

Datatilsynet kan godkjenne bindende konsernregler (BCR) som grunnlag for overføring av personopplysninger ut av EØS. Dette krever imidlertid samarbeid med andre datatilsynsmyndigheter i EØS, samt at BCR-søknaden må legges frem for Personvernrådet for en uttalelse.

Ved utgangen av 2021 hadde vi, som ledende tilsynsmyndighet, ni åpne søknader om godkjenning av BCR som overføringsgrunnlag.

I tillegg har Datatilsynet gjennomgått fem BCR-søknader hvor en tilsynsmyndighet i et annet EØS-land er den ledende tilsynsmyndigheten (såkalt co-review). Dette er en del av prosessen før en BCR kan legges frem for Personvernrådet. Vi har dessuten deltatt som nøytral datatilsynsmyndighet ved behandling av to BCR-søknader i rådet, hvor en tilsynsmyndighet i et annet EØS-land er den ledende tilsynsmyndigheten.

Norske konsern som har fått en godkjent BCR, skal årlig sende oss en oppdatering som må gjennomgås. Ved utgangen av 2021 gjaldt dette ti konsern.

Vi kan også godkjenne administrative ordninger mellom offentlige myndigheter eller organer som overføringsgrunnlag. Også dette krever at søknaden legges frem for Personvernrådet for en uttalelse. I 2021har vi godkjent én slik ordning.

Koordineringsgrupper for tilsyn med Schengen informasjonssystem (SIS), Visuminformasjonssystem (VIS) og Eurodac

Disse tre koordineringsgruppene har som formål å koordinere og utveksle informasjon om datatilsynsmyndighetenes tilsyn med Schengen-systemene SIS, VIS og Eurodac. Vi er fullverdig medlem av disse gruppene, og i 2021 deltok én jurist i disse møtene.

Oppfølging av Schengen-evaluering av Norge

Schengen-samarbeidet bygger på Schengen-konvensjonen av 1985, og som Norge sluttet seg til i 1996. Konvensjonen skal styrke det europeiske samarbeidet om kontroll av de ytre Schengen-grensene. Den innebærer felles visumregler, samt et styrket politimessig og rettslig samarbeid. Norge deltar også i det europeiske fingeravtrykksamarbeidet Eurodac. Datatilsynet er tilsynsorgan for den nasjonale behandlingen av personopplysninger i SIS (Schengen informasjonssystem) og VIS (Visuminformasjonssystem).

Etter Schengen-evalueringen i 2017, fikk vi åtte anbefalinger, blant annet å gjennomføre et tilsyn med behandlingen av personopplysninger i VIS. Tilsyn med UDI ble gjennomført i 2019, og den endelige rapporten fra dette tilsynet er nylig sendt ut. Vi gjennomførte så brevkontroll med Kripos som behandlingsansvarlig for SIS i 2021. Foreløpig tilsynsrapport er under arbeid.

Norges etterlevelse av Schengen-regelverket skal igjen evalueres i 2022. Evalueringen vil innebære en inspeksjon av etterlevelsen vår av tilsynsoppgavene etter SIS og VIS. Kripos og UDI, som er behandlingsansvarlige for henholdsvis SIS og VIS, vil evalueres samtidig. Arbeidet med forberedelser til evalueringen er påbegynt, blant annet gjennom en besvarelse av Schengen Questionnaire i 2021.

Global Privacy Assembly (GPA)

GPA er et den største internasjonale sammenslutningen av datatilsynsmyndigheter, og består av datatilsyn fra hele verden. I 2021 deltok én jurist og én samfunnsviter på GPAs årsmøte. Dessuten deltar Datatilsynet i tre av GPAs arbeidsgrupper, med én jurist i hver: International Enforcement Working Group, Digital Citizen and Consumer Working Group og Digital Education Working Group.

Fra 2021 er vi dessuten én av fire såkalte co-chairs for International Enforcement Working Group.

Internasjonalt samarbeid mellom datatilsyns-, forbruker- og konkurransetilsynsmyndigheter

Personvernrådet og det tilsvarende forumet for forbrukertilsynsmyndigheter, Consumer Protection Cooperation Network (CPC), har satt i gang et arbeid for å se hvordan data- og forbrukertilsyns­myndighetene kan samarbeide tettere. Dette arbeidet er inspirert av gode eksempler i ulike EØS-land, der det norske Datatilsynets nære samarbeid med Forbrukertilsynet har blitt fremhevet. Vi har en sentral rolle i dette arbeidet. Arbeidet har fortsatt i 2021, og én jurist har deltatt.

Én av GPAs arbeidsgrupper, Digital Citizen and Consumer Working Group, ser særlig på krysnings­punktet mellom personvern, forbrukervern og konkurranserett, og vi er som nevnt over medlem av denne arbeidsgruppen.

Vi deltar dessuten på møter i Digital Clearinghouse, en møtearena opprettet av European Data Protection Supervisor (EDPS), men som nå organiseres av universitetene i Namur og Tilburg sammen med European Policy Centre. Møtene samler blant annet representanter fra europeiske datatilsyns­myndigheter, forbrukerombud og konkurransetilsynsmyndigheter fra hele verden. Formålet med møtene er å undersøke hvordan man kan håndtere utfordringer i det digitale økosystemet på en mest mulig effektiv måte. I 2021 har én samfunnsviter og én jurist deltatt på disse møtene.

Andre samarbeid

Vi deltar også i andre internasjonale fora, slik som Berlingruppen (International Working Group on Data Protection in Technology – IWGDPT), og vi har egne møter med de øvrige nordiske datatilsynsmyndighetene. Sistnevnte forum har ikke hatt faste møter i 2021 på grunn av koronasituasjonen.

Spesielt om regulatorisk sandkasse for ansvarlig kunstig intelligens

I regjeringens nasjonale strategi for kunstig intelligens (KI), som ble lansert i januar 2020, var et av tiltakene å etablere en regulatorisk sandkasse for ansvarlig kunstig intelligens. Sandkassen ble opprettet høsten 2020, og 2021 var det første operative året.

Målet med sandkassen er å stimulere til innovasjon av etisk og ansvarlig KI fra et personvern­perspektiv. Kunstig intelligens representerer store muligheter, men byr også på utfordringer når det kommer til personvern og bruk av personopplysninger. Sandkassen hjelper enkeltaktører med å følge regelverket og utvikle personvernvennlige KI-løsninger. Vi kan så bruke eksempler og læring fra de ulike prosjektene til å lage veiledning som kan hjelpe andre virksomheter å ta i bruk kunstig intelligens på en personvernvennlig måte.

Sandkassen er finansiert av et tverr-departementalt samarbeid. Det inkluderer Kommunal- og distriktsdepartementet, Arbeids- og sosialdepartementet, Helse- og omsorgsdepartementet, Kunnskapsdepartementet, Nærings- og fiskeridepartementet og Samferdselsdepartementet.

Gjennomførte aktiviteter

I 2021 har hovedaktivitetene i sandkassen vært opptak av sandkasseprosjekter og drift av prosjektene. I tillegg har vi drevet utadrettet kommunikasjon for å få søkere og for å spre læringen fra de første prosjektene.

Søknadsrunder

I 2021 har vi hatt to søknadsrunder. Den første hadde søknadsfrist i januar og den andre i september. Til sammen fikk vi inn 46 søknader som representerte et bredt utvalg sektorer og personvernproblemstillinger knyttet til KI. Søknadsbunken inneholdt mange spennende innovasjonsprosjekter som berørte bruk av kunstig intelligens i Norge. Temaer som gikk igjen i søknadene var transparens, rettferdighet, dataminimering, anonymisering og behandlingsgrunnlag.

sandkassesøknader.jpg

Opptakskomiteen bestod av en intern, tverrfaglig gruppe som gjennomførte samtaler med samtlige søkere. En ekstern referansegruppe med medlemmer fra Innovasjon Norge, Norsk Regnesentral, Likestillings- og diskrimineringsombudet og Tekna hjalp oss med å vurdere samfunnsnytten i prosjektene. Den endelige utvelgelsen av prosjektene som ble tatt opp i sandkassen, ble gjort av styringsgruppen som består av ledelsen i tilsynet.

Utvelgelsen av prosjektene var basert på noen konkrete søknadskriterier. Prosjektene må blant annet involvere kunstig intelligens og de må ha konkrete personvernproblemstillinger det ønskes hjelp til for å muliggjøre en tjeneste. I utvelgelsen var det viktig for tilsynet å velge ut aktører som representerer et spenn av virksomheter (offentlig, privat, oppstartsbedrifter, større virksomheter). Vi la spesielt vekt på om personvernproblemstillingene i prosjektene er relevante for andre aktører som benytter KI for å skalere effekten av sandkassen.

Gjennomførte og påbegynte sandkasseprosjekter

Første runde hadde oppstart i slutten av mars og bestod av fire prosjekter:

  • Age Labs er et ungt gründerselskap innenfor prediktiv diagnostikk. De kombinerer maskinlæring og biobanker, og ser på epigenetikken, altså hvordan genene blir slått av og på. Med maskinlæring finner de signaler på sykdom, og målet er å oppdage diagnoser tidligere. I dette prosjektet så vi på hvilke muligheter det er for å bruke KI til dette formålet. Det ble vurdert hvordan anonymisering kan legge til rette for bruk av personopplysninger til å avdekke aldersrelatert sykdom.
  • Secure Practice jobber med informasjonssikkerhet. De ønsker å utvikle en tjeneste som profilerer ansatte for å kunne tilby tilpasset sikkerhetsopplæring basert på hvilke profilkategorier de ansatte havner i. I sandkassen synliggjorde vi hvordan rollen til Secure Practice som databehandler/behandlingsansvarlig kunne brukes til å begrense arbeidsgiverens tilgang til de ansattes data for å ivareta personvernet på en god måte. Vi gjennomførte også fokusgrupper som bidro til å belyse hvilke behov den ansatte har for informasjon om hvordan opplysningene deres brukes.
  • NAV vil bruke KI til å predikere sykefraværslengden til sykmeldte personer. Formålet er å få en mer brukervennlig og effektiv oppfølging av sykmeldte, ved å unngå å kalle inn til unødvendige møter. I dette prosjektet avdekket vi at det er uklart hjemmels­grunnlag for utvikling av kunstig intelligens i særlovgivningen. Dette er et viktig funn som er relevant for andre sektorer innen det offentlige, og som kan være en barriere for utvikling av KI.
  • Kommunenes sentralforbund (KS) ønsker å analysere elevers data fra ulike digitale læringsverktøy for å støtte lærerne i vurderingsarbeidet og for å tilpasse undervisningen bedre til elevenes individuelle nivå. KS samarbeider med Slate ved Universitetet i Bergen og Utdanningsetaten i Oslo i prosjektet, og temaet var behandlingsgrunnlag og åpenhet. Dette er et foregangsprosjekt som viser hvordan utdanningssektoren kan implementere kunstig intelligens i læringsverktøy på en personvernvennlig og ansvarlig måte.

Andre runde hadde oppstart i november og består av tre prosjekter som ikke er avsluttet ved årsskiftet:

  • Finterai er en fersk oppstartsbedrift som vil gå løs på et samfunnsproblem langt større aktører har slitt med tidligere: hvitvasking og terrorfinansiering. De vil benytte seg av føderert læring, en desentralisert metode som blir ansett som mer personvernvennlig. Slik skal bankene lære av hverandres data uten å faktisk dele dem.
  • Simplifai ønsker å ta i bruk maskinlæring for å identifisere og foreslå hvilke eposter og tilhørende dokumenter som regnes som arkivverdige. Målet er å hjelpe offentlig sektor med å møte arkiveringskravene i regelverket og effektivisere arkiveringsprosessen.
  • Helse Bergen HF ønsker å bruke kunstig intelligens for å identifisere pasienter som trenger ekstra oppfølging. Hvis disse pasientene skrives ut med en ekstra oppfølgingsmerkelapp, kan de få bedre hjelp av tverrfaglige helsetjenesteteam. Slik kan risikoen bli redusert for en rask retur til sykehuset, noe som er gunstig både for pasientene og helsevesenet.

Utadrettet aktivitet

Å skape nytteverdi for andre virksomheter enn de som deltar, er et viktig mål for sandkassen. I alle prosjektene praktiserer vi åpenhet ved å publisere prosjektplanene og sluttrapportene på nettsidene våre.

Vi har opprettet en egen podkast-serie om sandkassen, SandKasten. Der deler vi innsikt fra de ulike prosjektene. Vi innledet også et samarbeid med Digital Norway, hvor vi har utviklet et e-læringsopplegg om behandlingsgrunnlag – et tema som går igjen i søknadene til sandkassen.

Vi har videre arrangert to workshops for alle søkerne om tematikk vi så gikk igjen. Det arrangeres faste møter på tvers av deltagerprosjektene for å få synergier på tvers av prosjektene. Vi arrangerte et panel om personvern og kunstig intelligens sammen med Digital Norway på Arendalsuka, og i slutten av august arrangerte vi et åpent seminar der sandkassedeltakerne presenterte erfaringer fra prosjektene.

Vi har i 2021 opplevd stor interesse for sandkassen, både nasjonalt og internasjonalt. Vi har holdt innlegg om sandkassen på over 30 ulike konferanser og arrangementer i både inn- og utland, og både utenlandske og norske medier med fokus på teknologi og utvikling, har vært interesserte i erfaringene våre. Disse nyttige for å nå frem til de primære målgruppene våre.

Vi har arrangert koordineringsmøter med Arkivverket og Finanstilsynet som har sandkasser i sine sektorer, og vi holder i et europeisk nettverk for sandkasser der ICO i Storbritannia og CNIL fra Frankrike deltar. Vi har også hatt møter med myndigheter i flere land som er interessert i å høre om erfaringene våre, blant annet Italia, Saudi-Arabia, Kroatia, Estland og Bermuda. 

Flere masterstudenter og doktorgradsstipendiater har skrevet oppgaver om sandkassen, og vi har delt erfaringene våre med dem. En doktorgradsstipendiat fra Senter for rettsinformatikk ved Universitetet i Oslo har fulgt ett av sandkasseprosjektene fra oppstart. 

Erfaringer

I løpet av 2021 har vi altså gjennomført den første runden med prosjekter, og startet på runde nummer to. Etter at prosjektene er valgt ut, skal det lages en prosjektplan, selve prosjektet skal gjennomføres, sluttrapport skal skrives og prosjektet evalueres. Vi har lært mye gjennom den første runden, både når det kommer til det personvernfaglige og metodisk.

Gjennom sandkassen har vi mulighet til å gi virksomhetene som deltar direkte og grundig veiledning på tema som de finner utfordrende. Gjennom arbeidsmøter har vi hjulpet deltakerne med å blant annet definere egen rolle på en måte som kan beskytte dataene til sluttbrukerne. Vi har også belyst hvordan åpenhet og forklarbarhet ikke bare kan løses på en måte som tilfredsstiller kravene i regelverket, men som også kan bidra til at folk har tillit og er villige til å dele reelle data – noe som i konsekvens gir mer presise resultater. I et par av prosjektene brukte vi fokusgrupper for å forstå sluttbrukerperspektivet bedre. I NAV-prosjektet har vi identifisert at en barriere i regelverket relatert til behandlingsgrunnlag kan hindre utvikling av kunstig intelligens i offentlig sektor.

Evalueringen fra første runde med prosjekter viser at nytteverdien for både deltakerne og Datatilsynet er stor. Vi ser at det er viktig å prioritere nøye hvilke spørsmål vi skal besvare i hvert enkelt sandkasseprosjekt. Hvis vi biter over for mye er det krevende å gå i dybden på problemstillingene. Og det er ofte i dybden det blir interessant – målet med sandkassen er jo å gi konkrete eksempler hvordan regelverket kan implementeres i praksis, fremfor å gi generell veiledning. Vi ser også at sluttrapportene, som er en oppsummering av prosess og funn i hvert prosjekt, er ressurskrevende å utarbeide og vi vurderer å endre på formatet til andre runde.

Muligheten for å gå dypere inn i problemstillinger, og forstå hvordan disse oppleves i virksomheten, er verdifull innsikt for Datatilsynet. Det bidrar til å bygge kompetanse og innsikt på viktige felt, både juridisk, teknologisk og samfunnsmessig. Denne kompetansen spres internt i tilsynet ved at medarbeiderne som arbeider i sandkassen representerer ulike seksjoner. Vi deler det også gjennom internt kommunikasjon slik som ukentlige oppdatering, interne nyhetsbrev og faglige påfyll. Økt forståelse for kunstig intelligens og hvordan regelverket kommer til anvendelse, er viktig for at tilsynet skal kunne gi veiledning, gjøre saksbehandling og tilsynsvirksomhet på dette området på en god og kompetent måte.

Spesielt om barn og unge

Barn og unge i omsorgs- og utdanningsløp blir i omfattende og stadig økende grad registrert og vurdert i digitale løsninger.

Personopplysninger registreres og lagres på helsestasjonen, barnehagen og skolen, og det er et stort ønske om å bruke og dele opplysningene til mange, ulike formål. Økt digitalisering og registrering øker også faren for at det behandles overskuddsinformasjon om barn.

Barn er gitt rett til særskilt beskyttelse gjennom personvernregelverket. Det er blant annet begrunnet med at behandlingene av opplysningene deres oftest besluttes av andre enn dem selv. I tillegg anses de ikke å fullt ut kunne vurdere konsekvensene av hva behandlingen av deres personopplysninger medfører i de tilfellene der de selv kan bestemme.

I tillegg er det spesielle utfordringer som oppstår når all aktivitet, vurderinger og kommunikasjon skal skje gjennom digitale løsninger. Trygg bruk av slike verktøy forutsetter kunnskap på mange nivåer, fra de som utvikler og tilbyr systemer og tjenester, kommuner som skal kjøpe inn systemer og tjenester og sitter med det overordnede ansvaret, til skoler, lærere, elever og foreldre som skal bruke disse løsningene. Datatilsynet mottar mange meldinger om avvik som følger av manglende kunnskap og manglende risikoforståelse knyttet til digitale verktøy. I tillegg er det i mange tilfeller avvik som oppstår som følge av feil bruk av systemene man har, for eksempel ved å sende opplysninger til feil mottakere.

Utfordringsbildet i sakene vi har behandlet i 2021, er fremdeles at det er liten kompetanse blant ansatte i stat, kommune og fylkeskommune om hvordan personopplysninger skal behandles i tråd med personvernregelverket.

Gjennomførte aktiviteter

Sentrale høringsuttalelser

I 2021 har vi gitt høringsinnspill i to sentrale lovforslag som påvirker barn og unges personvern. Disse forslagene gjelder ny opplæringslov og ny barnelov.

I høringsinnspillet vårt til den nye barneloven, ga vi støtte til behovet for en tydeliggjøring av forholdet mellom barns rett til personvern og foreldrenes plikt til å ivareta barnets beste. Vi støttet forslaget om å etablere tydelige bestemmelser for fastsettelse av generelle aldersgrenser. Vi presiserte også at det er positivt at utvalget har tatt barns rett til personvern på alvor, særlig når det gjelder i relasjon til omsorgspersoner.

Vi ga også en høringsuttalelse til ny opplæringslov i desember 2021. Vi presiserte blant annet at det er viktig at opplæringsloven tar høyde for personvernrettslige problemstillinger, både med tanke på omfanget av personopplysningene som blir behandlet, hvilke metoder som benyttes og spørsmål knyttet til utlevering av opplysninger til andre.

I opplæringssektoren er utfordringen å behandle opplysninger om elever på en måte som ivaretar formålet med opplæringsloven og den enkelte skolens handlingsrom, samtidig som elevenes personvern er ivaretatt. Selv om det er viktig at opplæringsloven inneholder et klart og tydelig rettslig grunnlag for behandling av personopplysninger for å utføre oppgaver som følger av loven, er det en rekke andre forpliktelser som følger av personvernforordningen skolesektoren må innrette seg etter samtidig.

Vi understreket derfor at personvernforordningen også innebærer en rekke rettigheter for elevene og deres foresatte som det er viktig at skolesektoren har systemer for å ivareta. Plikten til å sikre etterlevelse av personvernforordningen genererer behov for ressurser og kompetanse. Retningslinjer og kvalitetssystemer må utarbeides, og tilstrekkelig informasjonssikkerhet koster mer enn vanlig informasjonssikkerhet. Vår anbefaling var blant annet å utforme klare henvisninger til personvernregelverket i den nye opplæringsloven.

Avvikssaker

Vi behandler forskjellige typer saker som kommer inn til Datatilsynet, og også i 2021 har vi mottatt flere meldinger om brudd på personopplysningssikkerheten ved bruk av digitale verktøy i skolen. Sakene gjelder både tekniske og menneskelige feil. Vi ser at sektoren har blitt mer modne når det gjelder bruk av digitale verktøy, men at det fortsatt er behov for opplæring i bruken for å minimere risikoen for menneskelige feil. Typiske hendelser er feilsending av dokumenter som er underlagt taushetsplikt. De fleste av disse sakene blir avsluttet med veiledning fra vår side.

Andre aktiviteter

Rundebordskonferanse om personvern i skolen

Datatilsynet arrangerte i februar 2021 den tredje rundebordskonferansen med tema informasjons­sikkerhet og personvern i skolen. Konferansen fulgte opp tilsvarende konferanser i 2019 og i 2020, og hovedtema var behovet for samarbeid mellom kommuner, interesseorganisasjoner og myndigheter. Videre ble behovet for sentrale føringer og styring med personvern i skolesektoren diskutert, og dette har i etterkant av konferansen blitt gjentatt i flere relevante sammenhenger.

Gjennom runden kom det i likhet med tidligere frem at personvern og informasjonssikkerhet er kompliserte tema som kommunene bruker mye ressurser på, og at de har behov for bistand fra hverandre og de sentrale myndighetene.

Vi vil fortsetter samarbeidet med relevante aktører som blant annet KINS og KS for videre oppfølging av personvernproblemstillinger på dette feltet.

DuBestemmer-prosjektet

Vi har i 2021 fortsatt det formelle samarbeidet vårt med Utdanningsdirektoratet om å heve barn og unges kompetanse om personvern, nettvett og digital dømmekraft. Nettressursen dubestemmer.no, som vi driver sammen med direktoratet, er her en viktig kanal for å nå frem til både elever og lærere med grunnleggende informasjon om personvern og rettigheter.

Høsten 2020 og våren 2021 arbeidet prosjektet med å bygge nye nettsider. Alt det gamle innholdet ble revidert og mye nytt innhold produsert. I juni ble så de nye nettsidene publisert, og har fått mange positive tilbakemeldinger fra skolene som har tatt dem i bruk.

Annen vesentlig aktivitet

I tillegg til de prioriterte områdene, er det stor aktivitet på mange felt. Her er en gjennomgang av det mest sentrale.

Akkreditering og sertifiseringsordninger

Datatilsynet opprettet i 2020 en prosjektgruppe med mandat til å legge til rette for etableringen av atferdsnormer og sertifiseringsordninger (jf. personvernforordningen artikkel 57 nr. 1 bokstav m, n, p og q og art 40-43).

Dette prosjektet er delt i tre faser:

  • Fase 1: Utarbeidelse og formell godkjenning av kriterier for akkreditering av kontrollorganer for atferdsnormer
  • Fase 2: Utarbeidelse og formell godkjenning av tilleggskriterier for akkreditering av sertifiseringsorganer, samt etablere en mekanisme for akkreditering
  • Fase 3: Utrede spørsmål knyttet til etableringen av en prosess for å evaluere og godkjenne kriterier for sertifiseringsordninger

Arbeidet har vært høyt prioritert i 2021 og prosjektets første fase er ferdigstilt. Prosjektet er nå i avslutningen av fase 2 og arbeidet med fase 3 er påbegynt.

Vi deltar aktivt på møter i Personvernrådets undergrupper hvor spørsmål knyttet til etablering av kriterier for sertifiseringsordninger er tema, og da særlig hvordan prosessen for godkjennelse av sertifiseringsordninger blir mest mulig konsistent gjennom hele EØS-området. Vi kommer til å fortsette denne deltakelsen i 2022. Prosjektet gjennomfører også jevnlig intern opplæring, og har ansvaret for overføring av oppgaver videre ut i organisasjonen.

Arbeidsliv

Når arbeidstakere er på jobb legger de igjen mange personopplysninger i form av digitale spor, og det er ikke fritt frem for arbeidsgiver å bruke alle disse. Retten til personvern gjelder også når man er på jobb, og alle arbeidsgivere må holde seg innenfor grensene i personvernregelverket når de behandler personopplysninger om sine ansatte.

Datatilsynet får mange henvendelser om personvern i arbeidslivet hvert år. I løpet av 2021 mottok vi 77 klager som gjaldt behandling av personopplysninger på arbeidsplassen. I tillegg har vi mange løpende saker til behandling, og vi får mange forespørsler om veiledningsmøter og foredrag knyttet til personvern i arbeidslivet.

Klagesakene innenfor dette temaet er ofte preget av høyt konfliktnivå og stor kompleksitet. En eller flere av partene har ofte advokatbistand, og mange av klagerne står i en særlig sårbar posisjon. Typiske problemstillinger i klagene er innsyn i arbeidstakeres e-post og annet elektronisk utstyr, videresending av e-post eller manglende sletting av opplysninger, personopplysninger i personalmapper, kameraovervåking på arbeidsplassen, og andre typer kontrolltiltak som GPS-sporing, tidsmåling og logging.

Spørsmål knyttet til personvern i arbeidslivet utgjør dessuten en stor andel av henvendelsene til veiledningstjenesten. Hele 28 prosent av de registrerte henvendelsene til denne tjenesten gjaldt spørsmål om personvern i arbeidslivet, slik som innsyn, overvåking og kontroll.

Korrigerende tiltak

Når en arbeidsgiver bryter personvernforordningen, reagerer Datatilsynet ofte med overtredelsesgebyr eller andre korrigerende tiltak. Vi ser alvorlig på disse sakene, og en av grunnene er det ujevne styrkeforholdet mellom arbeidsgiver og arbeidstaker.

I 2021 har vi fattet vedtak om overtredelsesgebyr i syv saker. Seks av sakene er endelig avgjort, mens en sak er påklaget og venter på klagebehandling. Tre av overtredelsesgebyrene gjaldt ulovlig innsyn i eller videresending av ansattes e-post, to saker gjaldt ulovlig kameraovervåking på arbeidsplassen, mens de to øvrige gjaldt annen ulovlig behandling av personopplysninger om ansatte. Vi fattet videre vedtak om irettesettelse i fire saker. I tillegg sendte vi ut tre varsel om overtredelsesgebyr, og femten varsel om andre korrigerende tiltak til arbeidsgivere. Slike korrigerende tiltak er for eksempel pålegg om å utarbeide skriftlige rutiner, pålegg om å gi innsyn, eller pålegg om å slette personopplysninger.

Personvernnemnda behandlet til sammen tre vedtak fra Datatilsynet som gjaldt personvern i arbeidslivet. En av sakene gjaldt kameraovervåking på arbeidsplassen, og nemnda var enig med Datatilsynet i at overvåkingen var ulovlig. Samtidig mente den at lovbruddet ikke skulle sanksjoneres med overtredelsesgebyr.

Veiledningsarbeid og myndighetskontakt

Datatilsynet ser på veiledningsarbeid og kontakt med aktørene i arbeidslivet som svært viktige verktøy for å sikre personvernet i arbeidslivet. Det er helt avgjørende at arbeidsgivere kjenner til de rettslige rammene for driften deres, og at arbeidstakerne er klare over hvilke rettigheter de har for eksempel i møte med kontrolltiltak fra arbeidsgivers side. 

Personvern i arbeidslivet og reglene i arbeidsmiljøloven, som håndheves av Arbeidstilsynet, henger tett sammen. Vi har derfor hatt jevnlig kontakt med Arbeidstilsynet og andre relevante aktører i arbeidslivet gjennom meldingsåret for å utveksle erfaringer og bidra til hverandres arbeid. Vi jobber for tiden med å oppdatere veiledningen om personvern i arbeidslivet på nettsidene våre, og har i den forbindelsen også vært i dialog med Arbeidstilsynet for å utveksle erfaringer. 

På bakgrunn av dialog med Arbeidstilsynet laget vi også et eget veiledningsskriv om reglene for kameraovervåking i virksomhet rettet mot overnattings- og serveringsbransjen, og som Arbeidstilsynet nå deler ut på stedlige tilsyn der det er relevant. Veiledningsskrivet er også publisert på nettsiden vår. Vi har dessuten opprettet en tipskanal, der Arbeidstilsynet har mulighet til å tipse Datatilsynet om potensielt ulovlig kameraovervåking som de finner på sine stedlige tilsyn.

Vi har gjennomført flere veiledningsmøter og foredrag om personvern i arbeidslivet, blant annet for LOs sommerpatrulje om kameraovervåking på arbeidsplassen, og for Arkivverket om bruken av kunstig intelligens i ansattes e-postkasser for å identifisere hva som er journal- og arkivverdig.

Veiledningstjenesten vår har som nevnt fått flere henvendelser om til dels omfattende kontrolltiltak fra arbeidsgiverne, blant annet begrunnet med tiltak mot koronapandemien. Vi har til tross for dette ikke mottatt noen skriftlige klager på det samme. Vårt inntrykk er at selv om en klager er beskyttet mot gjengjeldelse i lovgivningen, er det fortsatt en høy terskel å varsle en tilsynsmyndighet om lovbrudd. Les mer om henvendelsene til veiledningstjenesten under «Kommunikasjon og veiledning».

Bank, finans og kredittvurdering

Personopplysninger om økonomi innhentes, behandles og sammenstilles på stadig nye måter, og nye og flere aktører kommer til. Dette ses blant annet i utviklingen av nye betalingstjenester, automatiserte lånesøknader og robotrådgivere.

Bank- og finansbransjen behandler store mengder personopplysninger av privat karakter om svært mange. En sammenstilling av disse kan gi et detaljert bilde av en persons liv. Personvernbrudd i denne bransjen har derfor høy risiko, og kan få store konsekvenser for de registrerte.

Så mye som 22 prosent av meldingene vi mottok om brudd på personopplysningssikkerheten i 2021, kom fra finanssektoren. Dette er dermed den sektoren som sendte nest flest avviksmeldinger til Datatilsynet i løpet av året. De fleste av disse meldingene gjaldt personopplysninger sendt til feil mottaker. Andre gjennomgangstema for meldingene fra denne bransjen var manglende eller feil i tilgangsstyring og utilsiktet publisering.

I 2021 har vi gjennomført flere veiledningsmøter og holdt foredrag for aktører innen bank og finans. Vi har også hatt kontaktmøter med Finans Norge og Finanstilsynet om utfordringer i bransjen, og gitt en høringsuttalelse om bakgrunnsundersøkelser ved Norges Bank. I tillegg har vi gitt en uttalelse til Barne- og familiedepartementet om personvernkonsekvenser ved en eventuell utvidelse av gjeldsinformasjonsordningen.

Vi følger særlig med på hvordan innføringen av PSD2 har åpnet for nye og flere aktører innen betalingsinitierings- og kontoinformasjonstjenester. Dialogen med Finanstilsynet er særlig nyttig her.

Kredittopplysninger

Datatilsynet mottar mange klager og veiledningshenvendelser fra enkeltpersoner som opplever å ha blitt kredittvurdert uten rettslig grunnlag. I 2021 mottok vi omlag 24 klager fra enkeltpersoner eller enkeltpersonforetak på kredittvurderinger. Det er 16 færre enn i 2020.

En kredittvurdering er et resultat av sammenstilling av personopplysninger fra mange ulike kilder, og angir sannsynligheten for at en person vil kunne betale for seg. En kredittvurdering vil også vise detaljer om enkeltpersoners privatøkonomi slik som eventuelle betalingsanmerkninger, frivillige pantstillelser og gjeldsgrad. Personvernundersøkelsen 2019/2020 viste at finansielle opplysninger lå høyt på listen over hvilke opplysninger folk opplever som beskyttelsesverdige.

For at en kredittvurdering skal være lovlig må virksomheten som henter inn kredittvurderingen oppfylle kravene i personvernforordningen, herunder kravet til rettslig grunnlag. I mange av klage­sakene vi behandler er ikke dette kravet oppfylt. I 2021 har vi varslet flere overtredelsesgebyr for kredittvurdering uten rettslig grunnlag, og fattet tre vedtak om pålegg og overtredelsesgebyr. De vedtatte gebyrene er på henholdsvis 100 000 og 125 000 kroner, mens en siste virksomhet har fått et gebyr på 1 million kroner. Et av vedtakene er påklaget og er til klagebehandling i Personvernnemnda.

Facebook-rapport

I 2021 skrev vi en rapport der vi gjorde en selvstendig og grundig personvernkonsekvensvurdering av om Datatilsynet skulle opprette en egen side på Facebook. Vi konkludert med at Datatilsynet ikke skal benytte Facebook til egen kommunikasjonsvirksomhet. Vi mener at behandlingen av personopplysninger gjennom å ha en side på Facebook, medfører en for høy risiko for brukernes rettigheter og friheter. Vi vurderer det slik at vi ved en eventuell tilstedeværelse på denne plattformen, ikke ville ha oppfylt alle vilkårene i personvernforordningens artikkel 26 om felles behandlingsansvar, da vi vurderer avtalen mellom Facebook og Datatilsynet som mangelfull.

Rapporten ble offentliggjort i september, og i etterkant har debatten gått høyt i både offentlig og privat sektor. Vi har deltatt på en rekke seminarer og informasjonsmøter om temaet. Vi ser at bevisstheten rundt bruk av sosiale medier og personvern har økt, og flere aktører både i offentlig og privat sektor har valgt å slette sin tilstedeværelse på Facebook eller har startet opp med sine egne risikovurderinger av tilstedeværelsen på plattformen.

Helse- og velferd

Vi har i 2021 arbeidet med flere problemstillinger knyttet til helse- og velferdssektoren. Gjennom arbeidet og prioriteringene våre, bidrar vi til en mer rettferdig maktbalanse mellom pasienter og brukere på den ene siden, og aktørene i sektoren på den andre siden. Arbeidet vårt bidrar også til økt forståelse for personvern hos enkeltindivider, noe som setter dem i bedre stand til å kunne ivareta sitt eget personvern i møte med sektoren.

Vi ga blant annet overtredelsesgebyr til Statens pensjonskasse for innhenting og manglende sletting av overskuddsinformasjon i form av inntektsopplysninger om uføretrygd. Saken er påklaget til Personvernnemnda, men foreløpig ikke avgjort. Det ble også gitt vedtak om overtredelsesgebyr til Sykehuset Østfold HF og St. Olavs hospital HF for mangelfull tilgangsstyring ved lagring av pasientopplysninger uten informasjonssikring.

Vi har dessuten mottatt en stor mengde avvikssaker knyttet til konfidensialitetsbrudd i forbindelse med behandling av pasientopplysninger. En særlig utfordring er beskyttelse av hemmelige adresser. Et annet område hvor det oppstår mange avvik, er i forbindelse med digitalisering av offentlige postjournaler, hvor det i en rekke saker har blitt offentliggjort taushetsbelagte opplysninger.

Datatilsynet har også fulgt den nye helseforvaltningen og nye felles nasjonale løsninger for behandling av helseopplysninger tett. Dette har vi blant annet gjort ved å vurdere ny funksjonalitet i Nasjonal Kjernejournal gjennom skriftlig og muntlig innhenting av informasjon. Vi har også hatt flere møter om Helseanalyseplattformen og Helseplattformen. Disse prosessene er langsiktige oppgaver for oss, og må også følges i tiden fremover.

Relevante høringsuttalelser

I høringsinnspillene våre til forslag om innføring av koronasertifikat, sa vi at et koronasertifikat kan være et forholdsmessig tiltak, ettersom det åpner for lettelser der alternativet er å opprettholde strenge smitteverntiltak. Vi presiserte imidlertid at bruk av koronasertifikat likevel vil kunne utfordre sentrale menneskerettigheter, slik som retten til privatliv, bevegelses- og forsamlingsfrihet og vern mot diskriminering. Selv om bruk av koronasertifikat er frivillig, vil frivilligheten i noen tilfeller ikke oppleves som reell. Samtykke fra den enkelte vil derfor neppe være et egnet rettslig grunnlag.

Vi leverte også en omfattende uttalelse til forslaget om Nasjonal digital samhandling til beste for pasienter og brukere. Innspillene våre gjaldt utfordringen ved en nasjonal digital infrastruktur knyttet til spørsmålet om tilgangsstyring, og virksomhetenes praktiske mulighet til å følge opp denne delen av dataansvaret. Vi pekte også på mangler i utredningene av personvernkonsekvenser, men var positive til den foreslåtte reguleringen av og plasseringen av dataansvaret. Forslaget åpnet også for å kunne ta i bruk automatiserte beslutninger i «lite inngripende» tilfeller. Vi presiserte at dette kan være vanskelig å vurdere, og anbefalte at det derfor bør fastsettes mer konkrete kriterier for hvilke typer avgjørelser forslaget åpner for.

Det ble også sendt inn et omfattende innspill til Helse- og omsorgsdepartementets forslag til forskrift om løsning for tilgjengeliggjøring av helsedata. Overordnet stilte vi oss positive til at departementet i større grad enn tidligere anerkjente og redegjorde for personvernkonsekvensene av forslaget. Innspillene våre ellers gjaldt forslagets ivaretakelse av personvernforordningens grunnprinsipper, ivaretakelsen av den registrertes rettigheter, dataansvaret for plattformen, vilkår for tilgjengeliggjøring, informasjonssikkerhet og overføring til utlandet.

Øvrige aktiviteter

En stor del av de bruddene på personopplysningssikkerheten som meldes inn, er knyttet til manglende rutiner eller etterlevelse av eksisterende rutiner ved publisering gjennom offentlig elektronisk postjournal (OEP). Mange av disse bruddene gjelder manglende etterkontroll. Det vil si at man ikke gjør noen kvalitetskontroll på dokumenter etter et de er lagt ut. Slike brudd rubriseres gjerne under betegnelsen «menneskelig svikt». En slik betegnelse forutsetter imidlertid at det finnes rutiner om slik kontroll, noe som ikke alltid er tilfellet. Vi har i 2021 behandlet en rekke slike hendelser, gjennom avvik, klager og tips. Flere av tilfellene har blitt sanksjonert med overtredelsesgebyr.

Gjennom saksbehandlingen vår har vi sett utfordringer ved ivaretakelse av personvernet til NAVs egne ansatte. I tillegg har NAV endret praksisen med å gi innsyn i logger over oppslag, noe som også har medført flere saker inn til oss. NAV meldte også inn et avvik knyttet til nettsiden arbeidsplassen.no. Dette er en nettside som publiserer CVen til personer som mottar dagpenger, og det har vært et vilkår for å motta ytelsen at opplysningene blir publisert. Saken er ikke ferdigbehandlet.

På barnevernsområdet har vi mottatt et stadig økende antall saker, og de fleste er i form av klager fra de registrerte. Vi fant det derfor hensiktsmessig å lage veiledning til de registrerte om hvilken bistand Datatilsynet kan gi, og i hvilke tilfeller det er andre instanser som er de rette til å vurdere klager om for eksempel krav om retting eller sletting til. Mange tilfeller reguleres av arkivlovgivningen og ikke av personvernregelverket. I forbindelse med dette arbeidet, har vi vært i kontakt med statsforvalterne og det planlegges et felles møte mellom Datatilsynet og relevante deltakere fra de forskjellige statsforvalterne i landet. Dette er en problemstilling som er felles for også andre offentlige myndigheter, og vi planlegger derfor å generalisere veiledningen vår.

Idrett, forening og trossamfunn

Idrett

De aller fleste barn er innom barneidretten i løpet av oppveksten, og i norsk idrett blir det dermed behandlet personopplysninger om store deler av befolkningen.

Vi vedtok i mai 2021 å gi overtredelsesgebyr til Norges Idrettsforbund på 1,25 millioner kroner. Årsaken var at personopplysninger om 3,2 millioner nordmenn hadde blitt liggende tilgjengelig på nett i 87 dager etter en feil i forbindelse med test av en skyløsning. Nesten en halv million av disse var barn. Vi vurderte at Norges idrettsforbund ikke hadde iverksatt gode nok sikkerhetsrutiner for testingen, og at det ikke var nødvendig å teste med et slikt omfang av personopplysninger.

Datatilsynet har dessuten i løpet av året hatt to veiledningsmøter med Norges Idrettsforbund og selskapet MyGame om en plattform for strømming av norsk breddeidrett.

Trossamfunn

I trossamfunn kan det være en ubalanse i maktforholdet mellom ledere og menige medlemmer. I 2021 åpnet vi sak mot trossamfunnet Jehovas vitner, etter at vi hadde mottatt to klager og flere tips. Henvendelsene vi mottok beskrev at Jehovas vitner lagrer personopplysninger ulovlig, at det ikke gis fullt innsyn i personopplysninger, eller at personopplysninger ikke slettes i tråd med personvern­regelverket. Enkelte sier at de har vært involvert i såkalte «dømmende utvalg» av ulike årsaker, ofte i forbindelse med seksuelle forhold. Det skal ha blitt tatt notater under disse utvalgene, og personene var bekymret for at det blir lagret opplysninger om deres seksuelle forhold. Datatilsynet har sendt trossamfunnet krav om redegjørelser i to omganger, og har mottatt svar på disse. Klagesakene er fortsatt under behandling.

I juni 2021 varslet vi om irettesettelse til Den norske kirke (DNK). Saken startet med en klage fra Human-Etisk Forbund på vegne av åtte klagere i 2020. Bakgrunnen for varselet var at DNK samlet inn fødselsmeldingene til medlemmers barn fra Folkeregisteret i en og en halv måned etter at tillatelsen deres til å motta disse folkeregisteropplysningene opphørte. Vår foreløpige konklusjon er at innsamlingen og den videre lagringen av fødselsmeldingene etter at tillatelsen opphørte, ikke hadde gyldig rettslig grunnlag. I tillegg har vi konkludert med at det ikke ble gitt lett tilgjengelig informasjon om innsamlingen av fødselsmeldingene fra Folkeregisteret.

Informasjonssamfunnstjenester og annonseindustrien («ad tech»)

I 2021 behandlet vi flere klager på «informasjonssamfunnstjenester», slik som for eksempel applikasjoner («apper») på mobiltelefoner og nettbrett. Slike tjenester samler ofte inn og behandler store mengder personopplysninger om brukerne.

Vi har særlig behandlet saker som har rettet seg mot annonseindustrien («ad tech»), og har hatt dette som et prioritert område i meldingsåret. Annonseindustrien handler blant annet om at tilbyderne utleverer personopplysninger om brukerne sine til tredjepartsaktører (annonsører) for å tilby persontilpasset reklame.

Vi ser at brukerne ofte ikke er godt nok informert om at personopplysningene deres er gjenstand for bud og salg på et digitalt marked. Tredjepartsaktørene kan potensielt selge personopplysningene videre. Når dette mer eller mindre skjer i det skjulte, reduserer det brukernes mulighet til å ha reell kontroll over opplysningene sine. Industrien opererer også i stor skala. Det dreier seg gjerne om et stort antall tredjepartsaktører som mottar dataene, og mange berørte.

Grindr

I desember 2021 vedtok Datatilsynet et rekordstort overtredelsesgebyr på 65 millioner kroner til det amerikanske selskapet Grindr LLC. Grindr er en dating-app som retter seg mot homofile og bifile menn, transpersoner og skeive. Saken ble åpnet i 2020 etter at Forbrukerrådet klagde selskapet inn til oss fordi appen utleverte GPS-lokasjon, enkelte opplysninger fra brukerprofilene og det faktum at vedkommende er Grindr-bruker til flere tredjepartsaktører. Datatilsynet varslet vedtak om overtredelsesgebyr i saken i januar 2021, og mottok både Grindr og Forbrukerrådet sine kommentarer til varselet.

Vår konklusjon i vedtaket er at Grindr i perioden fra juli 2018 til april 2020 delte personopplysninger til tredjepartsaktører for persontilpasset markedsføring, uten gyldig rettslig grunnlag, ettersom de såkalte samtykkene selskapet samlet inn ikke oppfylte kravene i personvernforordningen. Vi konkluderte også med at selskapet ulovlig delte opplysninger om brukernes seksuelle orientering, fordi opplysninger om at noen er Grindr-bruker sterkt indikerer at de tilhører en seksuell minoritet. Saken har vært svært omfattende, og har fått stor oppmerksomhet. Grindr har frist til å klage på vedtaket frem til 14. februar 2022.

Disqus

Vi varslet i mai 2021 om et overtredelsesgebyr på 25 millioner kroner mot Disqus Inc., et amerikansk selskap som blant annet tilbyr kommentarfeltløsninger. Datatilsynet ble kjent med saken i desember 2019, etter at NRK Beta avslørte at selskapet sporet, profilerte og utleverte personopplysninger om besøkende på norske nettsider som benyttet deres kommentarfeltløsninger – uten at brukerne ble informert om det.

Vår foreløpige konklusjon er at Disqus ikke hadde rettslig grunnlag for disse behandlingene av personopplysninger, og at selskapet ikke oppfylte informasjonskravene i personvernforordningen. Vi har også foreløpig konkludert med at selskapet har brutt ansvarlighetsprinsippet ved å feilaktig legge til grunn at personvernforordningen ikke gjaldt for fysiske personer i Norge. Vi har mottatt selskapets kommentarer til varselet, og vil fatte et endelig vedtak i saken i 2022.

Overvåkingsbasert markedsføring

I 2021 har vi tatt til orde for et europeisk forbud mot overvåkingsbasert markedsføring, og bedt regjeringen spille dette inn til EU i forbindelse med den pågående lovgivningsprosessen knyttet til Digital Services Act (DSA). Vi har sammen med Forbrukerrådet og Amnesty gått ut i media og hatt møter med politikere om dette standpunktet. Vi mener teknologigigantenes forretningsmodell og omfattende kommersielle overvåking, er i strid med grunnleggende menneskerettigheter, forbrukerrettigheter og rett til personvern. Et forbud mot overvåkingsbasert markedsføring vil være et viktig virkemiddel for å begrense disse virksomhetenes makt.

Store deler av personopplysningene som samles inn om norske internettbrukere og brukes i annonseindustrien, samles inn gjennom cookies og andre sporingsteknologier som reguleres av ekomloven. Arbeidet vi har gjort med cookies og høringen om ny ekomlov (les mer under «Telekom»), henger derfor tett sammen med arbeidet vårt med annonseindustrien.

MyHeritage

Datatilsynet opprettet i 2020 en sak mot gentestingsselskapet MyHeritage, basert på en oversendt rapport fra Forbrukerrådet. Forbrukerrådet fremhevet i sin rapport flere forhold som problematiske. Det var særlig forhold knyttet til informasjonen som blir presentert for brukerne av tjenesten, blant annet dokumentenes lengde, et uklart språk og et uklart forhold mellom norsk og engelsk versjon.

På bakgrunn i rapporten sendte vi i 2021 et krav om redegjørelse til selskapet. Vi har mottatt svar, men saken er fortsatt under behandling.

Justis

I justissektoren møter vi hensyn som taler for at staten skal kunne gjøre inngrep i enkeltpersoners rettssfære. Den enkeltes valgfrihet er gjerne begrenset, og behandlinger av personopplysninger skjer ofte uten den enkeltes medvirkning eller kunnskap. Det er derfor særlig viktig at tilsynsmyndighetene sikrer at folks rettigheter ivaretas innenfor denne sektoren.

Politiregisterloven og -forskriften regulerer politiets og påtalemyndighetens behandling av personopplysninger. SIS-loven og utlendingsloven har regler om informasjonssystemene som brukes i Schengen-samarbeidet. Datatilsynet har en sentral rolle som kontrollør av at regelverket om behandling av personopplysninger på disse områdene etterleves.

Vi har arbeidet aktivt med analyse av rettsutviklingen fra EU-domstolen og Den europeiske menneskerettsdomstolen (EMD) på området, samt skrevet flere større høringsuttalelser. Det har vært foreslått flere nye overvåkingstiltak, blant annet lagring av IP-adresser og flypassasjerinformasjon, og vi har uttalt oss om samarbeid om arbeidslivskriminalitet, påvirkningsoperasjoner og PSTs innhenting fra åpne kilder. Vi har fokusert på å formidle personvernets betydning for den enkelte og for samfunnet som helhet, og hvilke negative effekter overvåkingen kan medføre. I tråd med rettsutviklingen har det blitt lagt vekt på målretting av tiltak og gode kontrollmekanismer.

Tilsyn mot Kriminalomsorgen

I 2021 gjennomførte vi et tilsyn mot Kriminalomsorgsdirektoratet. Tema for kontrollen var fordeling av ansvar for behandling av personopplysninger i den samlede etaten, i tillegg til etterlevelse av internkontrollplikten. Kontrollrapporten er under arbeid. Dette tilsynet er planlagt fulgt opp gjennom verifiseringstilsyn med enkelte enheter, men dette måtte utsettes noe grunnet koronasituasjonen på tidspunktet gjennomføringen var planlagt.

Kundedata og infosikkerhet

Vi har behandlet to saker som gjelder personopplysningssikkerhet i kundeklubber og fordelsprogram i meldingsåret. Bakgrunnen var at medlemmene har kunnet registrere andres kontonummer på medlemsprofilen, og dermed skaffe seg tilgang til andres handlehistorikk. Fordelsprogrammene har ikke hatt en løsning for å verifisere at den som registrerer bankkontoen, også er den som er innehaver av kontoen. Det har vært innrettet slik at ved å registrere bankkonto, får man tilgang til hva, når og hvor man har handlet.

Rema sendte først inn melding om brudd på personopplysningssikkerheten da de ble kjent med et tilfelle der en Æ-bruker hadde registrert en annen person sitt kontonummer på egen bruker. Rema begrenset informasjonsmengden som var tilgjengelig for Æ-brukerne fram til en verifikasjonsløsning ble implementert. Vi avsluttet saken overfor Rema uten sanksjoner.

I 2016 gjennomførte vi et tilsyn med Trumf. Vi tydeliggjorde da hvor sentralt det var å sikre verifikasjon av kontoinnehaveren, slik at ingen Trumf-medlemmer kunne registrere andre personers bankkonto og på denne måten få tilgang til personopplysninger om dem. I etterkant av avviks­meldingen fra Rema, åpnet vi et nytt tilsyn mot Trumf. Det viste seg at en verifikasjonsløsning hadde ikke blitt innført, og Trumf har fått et varsel om overtredelsesgebyr på 5 millioner kroner. Saken er ikke endelig avgjort og gebyret er ikke endelig, men Trumf har nå sikret at kontonummer verifiseres før man får tilgang til handlehistorikken.

Personvernombudsordningen

antall virksomheter med PVO.jpgI Norge har vi hatt en personvernombudsordning siden innføringen av den forrige personopp­lys­nings­­loven i 2001. Person­vern­forordningen gjorde imidler­tid utnevning av person­vernombud obliga­torisk for nesten alle offentlige etater og for mange virksomheter i privat sektor. Fra 2018 har derfor antallet oppnevnte ombud, vokst kraftig. Ved utgangen av 2021 var det registrert 1 420 person­vernombud som repre­sen­terte 1 992 virk­som­­heter. Differansen skyldes at enkelte er personvern­ombud for flere behandlings­ansvarlige.

Personvernombudene er sentrale i virksomhetenes etterlevelse av personvern­lovgivningen. Ombudets rolle er å gi råd om hvordan personverninter­essene ivaretas kan best mulig, men også å kontrollere etterlevelsen av regelverket. I tillegg skal de være kontaktpunkt for de registrerte og overfor Datatilsynet. Personvernombudene skal ha en uavhengig rolle, og de skal ikke instrueres fra ledelsens side om sine prioriteringer eller utførelsen av oppgavene.

Dette innebærer at det å være personvernombud kan oppleves som en ensom, og tidvis også krevende rolle internt i virksomheten. For å beholde engasjementet og oppleve seg trygge i rolleutøvelsen, har ombudene derfor behov for å få motivasjon og støtte gjennom nettverks­bygging med andre ombud – i tillegg til å sparre med Datatilsynet. Aller viktigst er dog at virksomhetens øverste ledelse viser forståelse og anerkjennelse for personvernombudets arbeid.

Gjennomførte aktiviteter

De siste årene har Datatilsynet valgt å ikke prioritere å holde kurs eller opplæring av personvernombudene i egen regi. Vi har imidlertid samarbeidet med blant annet Høgskolen i Innlandet, BI og Oslo Met, som har bygget opp deltidsstudier med studiekompetanse innen personvern. Vi har stilt opp med foredragsholdere hos alle disse i 2021.

Foreningen Personvernombudene

Foreningen Personvernombudene holdt sitt aller første medlems­møte på den internasjonale person­vern­dagen, 28. januar 2021, hvor tema var nettopp personvernombudsrollen og hva den inne­bærer av muligheter og utfordringer. Foreningen har etter dette holdt månedlige møter for sine hittil 350 medlemmer som kommer fra både offentlig og privat sektor. Vi har prioritert å stille opp med foredragsholder på alle medlemsmøtene ettersom vi er opptatt av å holde nær og god kontakt med foreningen, i tillegg til andre sektorvise og regionale nettverk for ombudene. Disse utgjør viktige kanaler for å formidle personvernfaglig kompetanse og bidra til motivasjon i ombudenes arbeid. Ikke minst er dette også viktige arenaer for å få konstruktive tilbakemeldinger om hvor­dan vi og vårt arbeid, rutiner og regelverksforståelse blir oppfattet, forstått og akseptert i norske virksomheter.

Personvernombudsundersøkelsen

I desember 2020 gjennomførte vi i samarbeid med Opinion AS, en kvantitativ spørreundersøkelse blant personvernombudene. Tema for undersøkelsen var hvordan ombudene, to og et halvt år etter at personvern­forordningen trådte i kraft, opplever arbeidshverdagen og rammebetingelsene sine. Dette sett både i relasjon til de behandlingsansvarlige og når det gjelder kontakten med Datatilsynet. Rapporten fra undersøkelsen ble ferdigstilt i løpet av våren, og publisert i september 2021.

I undesøkelsen svarte halvparten av personvernombudene at de det siste året hadde brukt 20 prosent stilling eller mindre på dette arbeidet. Elleve prosent meldte at de i realiteten ikke hadde brukt noen tid i det hele tatt på PVO-rollen. Nær hvert tredje ombud opplever at de ikke får satt av tilstrekkelig med tid til ombudsrollen, og at ledelsen i liten, eller svært liten grad viser interesse for deres arbeid. Bare halvparten av ombudene svarte at de gjennomfører faste møter med ledelsen.

Strategi for personvernombudsordningen

Basert på disse, og mange andre tilbakemeldinger fra personvernombudene, har vi utarbeidet en strategi for hvordan vi fra Datatilsynets side kan benytte ordningen som et mer aktivt virkemiddel, med mål om bedre personvernetterlevelse i norske virksomheter. Denne strategien vil implementeres i 2022. Det skal gjennom­føres tiltak rettet både mot ­om­budene, behandlings­ansvarlige virksom­heter og de registrerte. Dette skal bidra til at personvernombudene opprettholder eller bygger mer motivasjon for arbeidet, og at ledelsen i virksomhetene i større grad blir bevisst sitt ansvar for å gi ombudene riktige rammebetingelser.

Datatilsynet har en egen kontaktperson for personvernombudene og virksomheter som har spørsmål om selve ombudsordningen. Vedkommende har brukt i underkant av 20 prosent av stillingen på å jobbe spesifikt med denne ordningen. I tillegg bruker tilsynet noe ressurser gjennom veilednings­tjenesten og i forbindelse med foredragsvirksomhet.

Siden personvernforordningen så uttrykkelig legger ansvaret for etterlevelse på virksomhetene selv, har vi nedskalert den direkte ressursinnsatsen mot personvernombudene de siste årene. Under­søk­elsen som ble gjennomført viser også at ombudene er godt fornøyd med både Datatilsynets nettsider og kontakten med veiledningstjenesten og personvernombudskoordinatoren.

Publisering på internett

Saker som gjelder publisering av personopplysninger på internett, havner ofte i spenn mellom de registrertes rett til beskyttelse av sine personopplysninger og allmennhetens ytring- og informasjonsfrihet. Vi mottar jevnlig saker der disse to rettighetene må veies opp mot hverandre.

Legelisten

I 2021 avgjorde Høyesterett (sak HR-2021-2403-A) at nettstedet legelisten.no har et gyldig rettslig grunnlag for publiseringen av anonyme vurderinger om helsepersonell som navngis på siden uten noen generell reservasjonsadgang. Nettsiden ble først klaget inn til Datatilsynet, og i 2017 fattet vi vedtak om at helsepersonell må gis reservasjonsrett for å bedre ivareta personvernet deres. Legelisten klaget saken inn til Personvernnemnda, som kom til en annen konklusjon. Legeforeningen gikk da til søksmål for å få omgjort vedtaket.

Høyesterett drøftet de samme vilkårene og vurderingstemaene som Datatilsynet ved vurderingen av behandlingsgrunnlaget. I vurderingen sin vektla imidlertid Høyesterett allmenhetens rett til informasjon tyngre enn hva vi hadde gjort i vurderingen vår. Saken fikk sin endelige konklusjon med denne avgjørelsen.

Shinigami Eyes

Vi mottok i 2021 en klage fra en privatperson mot nettlesertillegget «Shinigami Eyes». Dette tillegget markerer det som skal være «trans-vennlige» brukernavn på ulike nettsteder med én farge, mens det som skal være «trans-fiendtlige» brukernavn med en annen farge. Vi har vurdert klagen og varslet et forbud mot behandlingen av personopplysninger i «Shinigami Eyes», for brudd på kravet til rettslig grunnlag og manglende informasjon til de registrerte. Saken har skapt mye medieoppmerksomhet både nasjonalt og internasjonalt.

Babyverden

I 2021 ferdigstilte vi en sak mot nettsiden babyverden.no. Bakgrunnen for saken var en klage fra en person som tidligere hadde vært registrert som bruker på forumet til nettsiden, og som ønsket å få slettet innlegg fra forumet. Innleggene inneholdt personlig informasjon om klageren og klagerens familieliv, inkludert fotografier av klagerens barn.

Vi kom til at publiseringen av innleggene ikke utelukkende var journalistiske, og at personvern­regelverket dermed kom til anvendelse. Videre kom vi til at interesseavveiningen mellom retten til beskyttelse av egne personopplysninger og ytrings- og informasjonsfriheten, falt i klagerens favør. Vi konkluderte derfor med at innleggene måtte slettes. Saken er prinsipielt viktig og illustrerer en situasjon der deler av en nettside ikke utelukkende hadde et journalistisk formål.

Sletting av søketreff i saksbehandlingen

Vi mottok 14 saker om sletting av søketreff i løpet av året. Ved overgangen til det nye året, har vi 22 saker som ikke er ferdigbehandlet og som handler om sletting av søketreff.  To av sakene ble oversendt til Personvernnemda, som opprettholdt vår avgjørelse i begge sakene. Vurderingene i disse sakene kan være utfordrende, og krever at vi vekter den registrertes rett til vern av sine personopplysninger opp mot allmennhetens behov og interesse for informasjon.

Veiledning

Høsten 2021 publiserte vi veiledning om strømming av kultur- og idrettsarrangementer for barn. Vi har også jobbet med å oppdatere informasjonen om sletting av søketreff fra søkemotorer. Dette er gjort for å fange opp den nåværende rettstilstanden som følge av de siste rettsavgjørelsene på området fra EU-domstolen, og vil publiseres i 2022.

Schrems II – overføring til tredjeland

Den 16. juli 2020 ble den såkalte Schrems II-dommen avsagt i EU-domstolen. Denne dommen ugyldiggjorde EU-kommisjonens adekvansbeslutning som tillot overføring av personopplysninger til en rekke amerikanske virksomheter i henhold til Privacy Shield-rammeverket. Dessuten stilte EU-domstolen opp strenge vilkår for lovlig overføring av personopplysninger ut av EØS. Disse vilkårene innebærer at hver enkelt virksomhet må foreta kompliserte vurderinger, og mange overføringer vil være ulovlige fordi de ikke kan oppfylle vilkårene.

Dette har naturlig nok skapt store utfordringer for norske virksomheter, siden de i stor grad er avhengig av særlig amerikanske tjenester. Spesielt for små og mellomstore virksomheter kan det være krevende å sikre tilstrekkelige økonomiske og faglige ressurser til å sikre etterlevelse med Schrems II-dommen.

I 2021 utarbeidet vi ny veiledning i reglene for overføring av personopplysninger til tredjeland til nettsidene våre, basert på anbefalingene til Personvernrådet. Vi har dessuten stilt som foredragsholder på en rekke arrangementer og konferanser for å informere om dette.

Vi behandlet ved årsskiftet tre klagesaker om Schrems II-problemstillinger, nærmere bestemt overføring av personopplysninger til USA i kontekst av Google Analytics og Facebooks påloggingsverktøy. Klagene ble fremmet av personvernorganisasjonen Noyb. Siden alle EØS-land har mottatt tilsvarende klager, koordineres klagebehandlingen i en ad hoc-arbeidsgruppe i regi av Personvernrådet.

I 2021 ble det gitt et overtredelsesgebyr på 5 millioner kroner til bomselskapet Ferde på Vestlandet. Gebyret ble gitt etter at selskapet benyttet en underleverandør i Kina til manuell avlesning av bilskilt uten at det forelå databehandleravtale og overføringsgrunnlag, og uten at det var gjennomført risikovurdering av informasjonssikkerheten.

Telekom

Vi mottar jevnlig henvendelser om informasjonskapsler (cookies). Plasseringen av slike informasjonskapsler og bruken av tilsvarende teknologi for å spore brukere, benyttes til å kartlegge store deler av aktiviteten vår på nett. Denne formen for sporing reguleres i lov om elektronisk kommunikasjon (ekomloven), som Nasjonal kommunikasjonsmyndighet (Nkom) fører tilsyn med.

Datatilsynet har ikke mulighet til å kontrollere den opprinnelige plasseringen av informasjonskapsler, men vi kan kontrollere hvordan de innsamlede personopplysningene benyttes i etterkant. I høringen om forslag til ny ekomlov, ny ekomforskrift og endringer i nummerforskriften, leverte vi en felles høringsuttalelse sammen med Forbrukertilsynet. Uttalelsen rettet seg spesifikt mot reguleringen av informasjonskapsler og samtykkekravet for plasseringen av informasjonskapsler. Vi understreket at den foreslåtte endringen etter vår mening ikke ivaretar personvernforordningens krav til samtykke, at ordlyden bør henvise direkte til personvernforordningens definisjon av samtykke, og at Datatilsynet også bør få tilsynskompetanse for bestemmelsen.

Lokasjonsbasert SMS-varsling har eksistert i mange år, og kan brukes til å telle hvor mange som befinner seg i et gitt geografisk område på et aggregert nivå, og til å sende ut SMS-varslinger til de som befinner seg der. Under pandemien har bruken av disse tjenestene økt, og de er benyttet i nye sammenhenger. I 2021 har vi fortsatt arbeidet vi startet på i 2020, og vi har jobbet med veiledning om temaet. Vi har fått innspill fra Nkom i dette arbeidet, og veiledningen vil ferdigstilles i 2022. Vi har også gitt innspill til regelverket for befolkningsvarsling i forbindelse med høring om ny ekomlov.

Videre har vi samarbeidet med Nkom om nummeropplysningsbransjen, og hatt flere saksbehandlermøter om dette temaet. I møtene har vi sett på hvordan ekomregelverket og personvernregelverket utfyller hverandre når det gjelder nummeropplysningsvirksomhet. Vi har også deltatt på nummeropplysningsforum etter invitasjon fra Nkom, hvor teletilbyderne og representanter for nummeropplysningsvirksomhetene samles. Videre har vi hatt et veiledningsmøte med Telenor, Telia og Ice om utlevering av nummeropplysningsinformasjon, og vi har gitt innspill om regelverket for nummeropplysningsvirksomhet i høringen til ny ekomlov.

Vi har også hatt ytterligere samarbeid med Nkom, blant annet to direktørmøter og to overordnede saksbehandlermøter. Vi har samarbeidet om avvikssaker på telekom-området hvor begge tilsynene mottok avviksmeldinger om de samme hendelsene.

Høsten 2021 satte vi dessuten i gang med et 5G-prosjekt som vil undersøke potensielle personvernspørsmål knyttet til utbyggingen av 5G-nettverket nærmere. Prosjektet vil levere en rapport med funnene i løpet av 2022.

Østre Toten-saken

Østre Toten kommune fikk i 2021 et overtredelsesgebyr på 4 millioner kroner. Kommunen ble også pålagt å implementere et egnet styringssystem for informasjonssikkerhet og personopplysnings­sikkerhet.

Bakgrunnen for saken var at Østre Toten kommune i januar 2021 ble utsatt for et alvorlig dataangrep. Angrepet var særlig alvorlig fordi det rammet en betydelig del av kommunens data, kontrollen over personopplysningene ble fullstendig tapt og opplysninger om kommunens innbyggere og ansatte ble delt på det mørke nettet i ukjent omfang. Vi vurderte i etterkant at det var store og grunnleggende mangler ved Østre Toten kommunes personopplysningssikkerhet. Manglene knyttet seg både til logg og logganalyse, sikring av backup og manglende tofaktorautentisering eller tilsvarende sikkerhetstiltak.

Som følge av dataangrepet, har kommunen måttet bruke store summer på å gjenopprette et fungerende IT-system og sørge for tilfredsstillende informasjonssikkerhet. Kommunen har også gjort et omfattende arbeid opp mot tilsynsmyndigheter, politi og innbyggere/ansatte etter at avviket ble oppdaget. Uten disse forholdene, ville overtredelsesgebyret blitt satt vesentlig høyere.

Kommunikasjon og veiledning

Personvernlovgivningen legger i stor grad ansvaret på den enkelte når det gjelder å ivareta eget personvern. Samtidig har virksomheter som behandler personopplysninger plikt til å etterleve lovgivningen på området. Dette gjelder både offentlige etater, private organisasjoner og nærings­drivende. Fordi disse gruppene har så forskjellige behov, stiller det store krav til hvordan vi jobber med kommunikasjon i Datatilsynet.

Vi skal bidra til økt kunnskap om og interesse for personvern. God veiledning og informative nettsider om personvernreglene til borgere og virksomheter er avgjørende for å oppnå målene våre. Her har kommunikasjon som virkemiddel vært svært viktig.

Kommunikasjonsarbeidet er basert på statens kommunikasjonspolitikk og gjeldende regelverk, slik som offentlighetsloven og forvaltningsloven. Videre heter det i virksomhetsinstruksen at vi skal ha en aktiv holdning til kommunikasjon, både internt og eksternt. Det er viktig at vi fanger opp signaler som angår Datatilsynet, og at vi bruker dette aktivt i kommunikasjonsarbeidet.

Kommunikasjonen skjer i første rekke gjennom nettstedet vårt, direkte veiledning overfor publikum, aktiv mediekontakt og gjennom en utstrakt foredragsvirksomhet. I 2021 har vi dessuten kommet godt i gang med egen podkast, Personvernpodden, samt formidling via video.

Det at veiledningstjenesten er en del av kommunikasjonsavdelingen, gjør oss godt rustet til å fange opp behovet fra publikum, og koble ulike tiltak tett opp mot kommunikasjon i ulike kanaler.

Formidling gjennom egne kanaler

Nettstedet datatilsynet.no

Nettstedet er det viktigste verktøyet vårt for kommunikasjon med målgruppene våre, og vi har høye besøkstall. I 2021 hadde vi over 7 millioner sidevisninger. Vi legger stor vekt på at innholdet skal væregodt, relevant og enkelt tilgjengelig, og det overordnede målet er å gjøre brukerne mer selvhjulpne. Et av ønskene våre er å redusere antall henvendelser til veiledningstjenesten. I løpet av 2021 har vi fortsatt jobben med å forbedre tilgjengeligheten på og opplevelsen av nettsidene våre, såkalt universell utforming, for at så mange som mulig kan få informasjon uavhengig av funksjonsevne. Dette arbeidet vil vi fortsette å prioritere høyt også i 2022.

I perioden siden mars 2020, der vi i hovedsak har hatt hjemmekontor, er enkelte satsninger utsatt til vi igjen kan jobbe sammen på felles kontor. Dette gjelder blant annet en ny chat-funksjon som er tenkt brukt av veiledningstjenesten vår. Denne gir mest effekt når de som gir veiledning har vakter i samme fysiske rom og fortløpende kan fordele innkommende samtaler per telefon med en web-basert chat. Lanseringen av et intranett er imidlertid førsteprioritet. Dette arbeidet ble intensivert i 2021, og vi håper å kunne lansere ett første trinn med intern deling av sentral informasjon i løpet av våren 2022. På sikt vil intranettet by på muligheter for mer samhandling og økt funksjonalitet.

Arbeidet med et mer omfattende elektronisk klageskjema har høy prioritet. Vi har satt i gang et arbeid som skal kartlegge hvordan et slikt skjema raskt og trygt kan bli en ny kanal for publikum slik at de kan klage til oss via nettsiden.

I forbindelse med relanseringen av nettsiden Dubestemmer.no, valgte vi å gjenbruke løsninger vi har utviklet for Datatilsynet.no. Det gjelder statistikkløsningen vår som ikke bruker informasjonskapsler (cookies), ordlistefunksjonen og tofaktorautentisering. Dubestemmer.no bruker også Datatilsynets personvernvennlige videoløsning Dream Broker for å vise filmer. Dette gjenbruket er ressursbesparende, og er en fornuftig måte å tenke samarbeid og flerbruk på.

unike sidevisninger-nettsidene.jpg

Veiledning på nett

Vi produserer, oversetter og publiserer veiledere til sentrale deler av det nye regelverket for å kunne hjelpe virksomhetene med å tilpasse seg suksessivt. God veiledning er avgjørende for virksomheter som skal følge opp plikter de har etter personvernregelverket.

Nettsidene om korona og personvern har blitt løpende oppdatert også dette året. Vi publiserte blant annet enkel veiledning om koronapass, besøksregistrering og smittesporing, retningslinjer om helsedata og lokasjonsdata, samt kontroll og håndheving av regelverket under pandemien.

Mange er opptatt av konsekvensene av Schrems II-dommen. Personvernrådet har laget en egen veiledning som vi også har publisert, i tillegg til at vi løpende oppdaterer med informasjon og eksempler. Det er også laget egne temasider dedikert til alt innhold om den regulatorisk sandkassen. Her har vi samlet informasjon, tips, søknadsskjema og aktuelt stoff om tematikken. Vi publiserer også rapportene fra prosjektene der fortløpende.

Personvernblogg, sosiale medier og podkast

Personvernbloggen er et rom hvor vi kan reise andre problemstillinger enn vi gjør på den ordinære nettsiden. Det er et sted for faglig profilering blant ansatte og et sted der Datatilsynet i større grad kan benytte sin ombudsrollen. Der publiserer vi også kronikker som vi har hatt på trykk i aviser og tidsskrifter.

Vi følger med på omtale av Datatilsynet og personvern på Twitter, og vi besvarer de fleste spørsmål og kommentarer som kommer via denne kanalen.

Podkasten vår er, på samme måte som Personvernbloggen, en kanal hvor vi kan ta opp andre temaer og reise andre typer problemstillinger enn vi gjør i mye annen ekstern kommunikasjon og i den ordinære forvaltningen for øvrig. Podkasten skal engasjere både nye og eksisterende målgrupper, og bidra til å øke bevisstheten og refleksjoner rundt personvern i befolkningen. I 2021 publiserte vi 13 episoder som ble publisert på vår egen nettside, samt på podkast-plattformen Acast og andre tredjepartstjenester

Høsten 2021 offentliggjorde vi en rapport med risikovurdering og personvernkonsekvensvurdering av å ha en egen side på Facebook. Vi konkluderte med at vi ikke kan bruke denne plattformen som kommunikasjonskanal. Offentliggjøringen ga oss mye oppmerksomhet, med blant annet 172 medieoppslag i perioden 22. september til 15. november. Denne rapporten er omtalt nærmere under «Annen vesentlig aktivitet».

Nyhetsbrev

abonnenter-nyhetsbrev.jpgVed utgangen av 2021 var det 4 761 som abonnerte på det ordinære nyhetsbrevet vårt, og vi opplever en jevn økning i antall abonnenter. I tillegg hadde vi 227 abonnenter på «Sandkassebrevet», som tar for seg nyheter fra den regulatoriske sandkassen vår for kunstig intelligens. Vi hadde også en julekalender i desember, med 816 abonnenter gjennom adventstiden.

I løpet av 2021 sendte vi ut 21 ordinære nyhetsbrev. Videre sendte vi ut fem «Sandkassebrev». Av personvernhensyn har vi ikke noen spesifikk statistikk på antall klikk, men vi har grunn til å tro at vi har en høy åpningsrate i nyhetsbrevene våre, og at de skaper økt trafikk til nettsidene våre.

Mediekontakt

antall medieoppslag og mediehenvendelser.jpgVi vurderer mediene som en svært viktig kanal for å få frem budskapene våre, og det er jevn pågang og interesse fra disse. Vi legger stor vekt på å ha et profesjonelt forhold til pressen. Dette innebærer at vi skal ha god tilgjengelighet og et høyt servicenivå overfor journalistene. Dette mener vi å ha lykkes godt med også i 2021.

Vi noterer ned hver gang vi kontaktes av journalister i en ny sak, og i løpet av året har vi registrert 720 besvarte mediehenvendelser til kommunikasjons­avdelingen. Det er imidlertid mange henvendelser som generer flere oppslag i ulike medier, og i mange mediesaker er vi omtalt uten å være kontaktet. Vi benytter Retriever til medieovervåking og i løpet av våret har de registrert til sammen 5 173 oppslag i medier der «Datatilsynet» er omtalt, inkludert i internasjonale medier. Hele 23 prosent av oppslagene var i internasjonale kilder, da vi har hatt flere saker som har skapt internasjonal interesse.

Oversikten viser fordelingen av medieoppslag gjennom 2021:

medieoppslag-nasjonalt-internasjonalt-tid.jpg

Det er et relativt jevnt trykk når det gjelder omtale av Datatilsynet i mediene hele året, men av de sakene som har preget nyhetsbildet i 2021, kan vi trekke frem saken om dating-appen Grindr. Den gikk verden over, noe som gir store utslag på statistikken da varselet om vedtak ble gitt i januar, og så igjen i desember da vi vedtok et overtredelsesgebyr på 65 millioner kroner.

I desember 2021 ble det gjennomført et hackerangrep mot Amedia, og flere av datasystemene deres ble satt ut av drift. Dette er med på å gi det store utslaget på mediesaker i desember.

Ellers er det flere saker som har fått stor nasjonal oppmerksomhet, blant annet krav om redegjørelse fra Jehovas vitner, overtredelsesgebyr til bomselskapet Ferde for overføring av bilder til Kina og til Østre Toten for manglende informasjonssikkerhet, Facebook-rapporten vår, ulike koronarelaterte problem­stillinger og at Bjørn Erik Thon fikk stillingen som likestillings- og diskrimineringsombud. Avvik som meldes inn til oss er også en gjenganger – enten som oppslag om enkeltsaker eller bruk av tall i generelle oppslag.

medieoppslag-medietype.jpg

medieoppslag-fordeling av papiroppslag.jpg

Når vi ser på de mest delte mediesakene (på Facebook og Twitter) der Datatilsynet var omtalt i 2021, ser vi at det er et bredt spekter av saker folk interesserer seg for, men der den røde tråden er personvernrettigheter.

Omdømmeundersøkelse

Datatilsynet var for tredje år på rad med i IPSOS omdømmeundersøkelse. Vi ligger godt innenfor kategorien «godt omdømme», og skårer spesielt høyt på samfunnsansvar og kunnskap. Av de 18 tilsynsvirksomhetene, ombudene og nemdene som vi sammenlignes med, skårer vi aller høyest på kompetanse og fagkunnskap.

Foredragsvirksomheten

antall foredrag.jpgForedrag er en viktig del av vår utadrettede kommunikasjons­virksomhet. De gir oss muligheten til å informere om rettigheter og plikter, og til å skape økt forståelse for betydningen av personvern. Samtidig viser vi synlighet og tilgjengelighet for virksomheter, interesseorganisa­sjoner og publikum.

Eksterne forespørsler vurderes ut fra noen faste kriterier slik som antall deltagere, om temaet er relevant for våre satsningsområder, og selvfølgelig kapasitet. I 2021 har mange av foredragene vært digitale grunnet smittevern.

Eksterne foredrag

I 2021 holdt vi 188 foredrag på kurs, konferanser og seminarer i regi av andre aktører som ønsket vår deltakelse. Dette er en dobling av året før og er nok en naturlig konsekvens både av at det ble mulig å delta på fysiske arrangement igjen, men også at det ble planlagt flere digitale arrangement enn året før.

Egne arrangement

Direkte dialog med ulike målgrupper har vært avgjørende i arbeidet med implementeringen av personvernforordningen, særlig blant små og store virksomheter. Vi har deltatt som arrangør eller medarrangør på større konferanser om teknologi og samfunn slik som KiNS, Sikkerhetskonferansen, Nokios, SKATE og Normkonferansen.

Personverndagen

I 2021 markerte vi for niende gang den internasjonale personverndagen i januar med et seminar i samarbeid med Teknologirådet på DOGA i Oslo. På grunn av smittesituasjonen ble arrangementet strømmet og publisert på nettsiden vår i etterkant. Arrangementet var planlagt som en «korona spesial», og tok opp temaer som vaksinepass, smittesporing og personvern.

Konkurranse om innebygd personvern i praksis

De siste årene har vi utlyst en konkurranse for alle som har utviklet en løsning, applikasjon eller et system i tråd med kravene til innebygd personvern. Målet er å løfte frem gode eksempler på praktisk bruk av innebygd personvern.

Vinneren av prisen for 2020 var «Anonyme Tokens», og prisen ble delt ut på et digitalt seminar våren 2021. Gruppen bak bidraget har utviklet en løsning som gir brukere med en positiv COVID 19-test økt anonymitet ved bruk av appen Smittestopp. «Anonyme Tokens» er dermed den fjerde vinneren av Datatilsynets konkurranse om innebygd personvern, og gruppen besto av deltakere fra NTNU og Forsvarets Forskningsinstitutt.

Ifølge juryen er vinnerbidraget på mange måter et produkt av tiden vi er inne i. Den pågående pandemien har vært en driver for økt digitalisering og utvikling av løsninger som på ulikt vis bidrar til å løse de utfordringene pandemien har ført med seg. Juryen mente at bidraget er egnet til å styrke enkeltpersoners kontroll over egne personopplysninger og kan gjøre det enklere for virksomheter å etterleve personvernregelverket.

Det er utlyst en tilsvarende konkurranse for 2021, og vinneren vil kåres i løpet av våren 2022.

Arendalsuka

Arendalsuka ble i år arrangert fra 16. til 20. august, og Datatilsynet deltok på flere arrangementer. Personvernets status i Norge og verden anno 2021, barn og unges personvern, datadeling og kunstig intelligens er bare noe av det vi var med på å debattere.

Vi hadde tre egne arrangementer i løpet av uka: «Personvernet slår tilbake» med Big Tech og personvern som hovedtema, «Personvern for barn og unge – hvordan sikrer vi at barna blir hørt?» og en debatt om kunstig intelligens, innovasjon og personvern i tilknytning til den regulatoriske sandkassen vår. Alle arrangementene ble strømmet, og ligger i opptak på nettsiden vår.

Webinar om personvernombudsrollen

I desember arrangerte vi et digitalt seminar om personvernombudsrollen sammen med Foreningen personvernombudene. På webinaret diskuterte vi funnene fra rapporten vår om ombudenes arbeidsvilkår, personvernombudsundersøkelsen 2020/21, og hvordan det oppleves å være personvernombud i dag.

Veiledningstjenesten

Datatilsynets veiledningstjeneste er et tilbud for virksomheter og publikum som har spørsmål som ikke krever ordinær saks­behandling om behandling av person­opplysninger. Et viktig mål med tjenesten er å gjøre enkeltpersoner i stand til å ivareta egne interesser i saker som gjelder personvern og å bistå virksomheter i å følge pliktene i person­vern­lovgivningen. Det er et stort spenn i kompleksiteten i spørsmålene som er av både juridisk og teknisk karakter.

I løpet av 2021 har veiledningstjenesten statistikkført totalt 5 911 henvendelser.

antall henvendelser til veiledningstjenesten.jpg

Hvem kontakter oss?

veiledning-hvem ringer.jpgStatistikken viser at 42 prosent av de som tar kontakt med veiledningstjenesten, er representanter for virksomheter, mens 51 prosent er privat­personer. Det nye regelverket begynner å bli godt implementert i flere virksomheter, men mange arbeider fortsatt med å etterlevelse i praksis som følge av overgangen til det nye regelverket.

Personvernombudene står for syv prosent av henvendelsene. Det er også flere henvendelser fra personvernombud som går til Datatilsynets egen personvernkoordinator. De er ikke inkludert i denne statistikken.

Hva handler henvendelsene om?

Vi fører statiststikk over henvendelsene som går direkte til veiledningstjenesten. Vi registrerer hva henvendelsene handler om, og hvem de kommer fra. I tillegg registrerer vi dersom det dreier seg om arbeidsliv. Siden 2020 har vi også registrert om henvendelser gjelder spørsmål som er særskilt knyttet til pandemien. Vi fører denne statistikken for å få bedre oversikt over hva publikum lurer på slik at vi kan tilpasse veiledningen på nettsiden vår og bygge kompetanse på aktuell tematikk.

Imidlertid ser vi at av 7 392 registrert besvarte samtaler i telefonsystemet vårt, er bare 5 911 statistikkført. Det kan være ulike grunner til dette avviket, slik som dobbeltoppringning, feil tastevalg eller rett og slett forglemmelse. Uansett vil det være et mål for kommende år å minke gapet mellom antall mottatte og registrerte henvendelser.

Oversikt over de mest sentrale kategoriene veiledningstjenesten får spørsmål om:
(Merk at tallene ikke vil ikke være fullstendig dekkende, ettersom flere av henvendelsene vil kunne plasseres i ulike kategorier.)

veiledning-tema.jpg

Personopplysninger i registre

Hele 37 prosent av henvendelsene til veiledningstjenesten gjelder personopplysninger i registre. Dette handler ofte om personlige opplysninger som registreres, lagres og brukes, samt rettigheter knyttet til innsyn. Blant henvendelsene fra privatpersoner, er særlig personopplysninger i kunderegister og personalregister vanlige tema. Vi har også fått et betraktelig antall henvendelser om kredittvurderinger og inkasso.

Overvåking og sporing

Overvåking og sporing er det nest største temaet, og går igjen i 22 prosent av henvendelsene. Dette gjelder ofte privatpersoner som har spørsmål knyttet til overvåking av hjem og bolig (inkludert hytte), men også lydopptak av samtaler. Fra virksomheter får vi også mange henvendelser som er direkte knyttet til kameraovervåking, særlig av kunder, besøkende og gjester, eller på arbeidsplassen.

Internkontroll og informasjonssikkerhet

21 prosent av henvendelsene gjelder internkontroll og informasjonssikkerhet, og tallet holder seg på samme nivå som i fjor. Disse henvendelsene handler ofte om problemstillinger som er nært knyttet opp til personvernregelverket, og etterlevelsen av regelverket i virksomhetene. Fra virksomhetene får vi henvendelser om databehandlere, databehandleravtaler og behandlingsansvar. Også avviksbehandling og internkontroll (oversikter, rutiner, dokumentasjon og personvernerklæringer) går igjen.

Personopplysninger på internett

Henvendelser om personopplysninger på internett er en gjenganger ettersom mange lever stadig større deler av livene sine digitalt. Vi ser at antall henvendelser her har økt noe i forhold til i fjor (fra åtte til ni prosent). Spørsmålene gjelder særlig deling og publisering av bilder, film og tekst, samt sosiale medier og avindeksering. 

Overføring av personopplysninger til utlandet

Denne kategorien står for tre prosent av henvendelsene og har økt noe i forhold til 2020. Det henger trolig sammen med Schrems II-dommen. Denne dommen fra EU-domstolen fikk store konsekvenser for alle som overfører personopplysninger til land utenfor EØS, og ga en rekke vilkår som må være oppfylt for at en slik overføring skal være lov.

Annet

Noen av kategoriene våre er så små at vi har valgt å samle dem under «Annet». Dette gjelder «Bransjenormer og samarbeidsmekanismer», «Bruk av kunstig intelligens (inkludert maskinlæring og avanserte algoritmer)» og «Sertifisering og akkreditering». Disse ligger alle under én prosent av det totale antallet henvendelser, men vil sannsynligvis øke de neste årene da dette er noe som får stadig større plass.

Spesielt om henvendelser knyttet til arbeidsliv

Spørsmål knyttet til personvern i arbeidslivet har tradisjonelt sett utgjort en stor andel av henvendelsene til veiledningstjenesten. Det sjekkes derfor alltid om henvendelsen gjelder personvern i arbeidslivet i tillegg til kategori.

Statistikken viser at hele 28 prosent av de registrerte henvendelsene dreide seg om arbeidsliv, noe som er på linje med tidligere år. Av disse står virksomheter for 54 prosent og privatpersoner for 38 prosent av henvendelsene.

Av henvendelsene fra privatpersoner er det mange som har spørsmål knyttet til arbeidsforholdet sitt. Spørsmål som går igjen er behandling av personopplysninger i personalregistre, innsyn i ansattes epost og annet elektronisk lagret data, samt kontroll og overvåking. Andre gjengangere er kameraovervåking på arbeidsplassen og bruk av lokasjonsdata i virksomheter (slik som for eksempel GPS-sporing). Både arbeidstakere og arbeidsgivere er opptatt av hva som er lov å gjøre med opplysningene som er lagret i virksomheten.

Spesielt om henvendelser knyttet til korona

I det første «koronaåret» fikk veiledningstjenesten mange spørsmål om problemstillinger som hadde oppstått på grunn av pandemien. I 2020 var syv prosent av alle henvendelsene relatert til korona. I 2021 har vi imidlertid sett en nedgang i dette, og i løpet av året mottok vi bare om lag tre prosent slike henvendelser. Dette kan sees i sammenheng av at pandemien har vart i lang tid, og mange oppstartsproblemer knyttet til kontrolltiltak og informasjonssikkerhet har blitt håndtert.

De mest vanlige temaene for henvendelser relatert til korona i 2021, har vært behandling av personopplysninger i personalregister og andre registre. Den sektoren som har hatt flest korona-relaterte henvendelser er kommune- og fylkesadministrasjonen, etterfulgt av helse og omsorg.

Nasjonale samarbeidsrelasjoner

Datatilsynet har utstrakt kontakt med andre aktører. Her følger en oversikt over vår mest sentrale deltakelse i nasjonale fora.

I tillegg til disse kommer det et stort antall kontaktmøter med ulike aktører og samarbeid av mer kortvarig art. Vi har også avtaler om faglig samarbeid med flere sentrale, statlige virksomheter.

Aktørforum e-signatur

Nasjonal kommunikasjonsmyndighet (Nkom) samler aktørene innen e-signaturområdet til aktørforum. Hovedtema er EU-kommisjonens forslag til forordning om blant annet e-ID og e-signatur. Aktørforumet skal systematisere kontakten mellom aktørene, og Datatilsynet har fulgt opp arbeidet.

Arkivverket

Arkivverket og Datatilsynet har jevnlige møter på saksbehandler- og direktørnivå for gjensidig informasjon- og erfaringsutveksling. I sandkassen har vi jevnlige møter med Finanstilsynet og Arkivverket for å dele erfaringer om sandkassearbeid på tvers av organisasjonene.

Brønnøysundregistrene

Samarbeidet går ut på utveksling av erfaringer, og det er regelmessige møter både på direktør- og saksbehandlernivå.

Dataforeningen

Den norske dataforening er Norges største nettverk for IT- og digitaliseringsprofesjonelle. Datatilsynet har lenge sittet i styret for gruppen som jobber med informasjonssikkerhet, vi har ledet og arrangert fagseminarer på Software, «Cybersikkerhet på styrerommet» med mer, og bidratt til å sette personvern på agendaen.

Digitaliseringsdirektoratet

Datatilsynet samarbeider med Digitaliseringsdirektoratet sitt kompetanse­miljø innenfor informasjonssikkerhet. Vi har en del overlappende ansvarsområder, og samarbeider om ulike tema slik som blant annet å lage veiledere for anskaffelser, utvikling, internkontroll og informasjonssikkerhet. I tillegg har vi bidratt med veiledning i personvernspørsmål når det gjelder bruk av sosiale medier i offentlig forvaltning.

Direktoratet for e-helse

Det har vært jevnlige møter mellom Datatilsynet og direktoratet, både på direktør- og saksbehandlernivå. Nye løsninger presenteres og drøftes løpende med Datatilsynet.

Helsedataprogrammet ligger også under ansvarsområdet til Direktoratet for e-helse. Vi har deltatt i referansegruppen og i en av arbeidsgruppene i programmet.

Direktoratet har sekretariatet for Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren (Normen), og det er også i den forbindelse mye kontakt. Vi har hatt jevnlige møter med sekretariatet gjennom året og har diskutert nødvendig endringer i Normen opp mot de nye personvernreglene.

Direktoratet for forvaltning og økonomistyring (DFØ)

Datatilsynet samarbeider med DFØ blant annet på områder knyttet til vurderinger og retningslinjer for bruk og innkjøp av skytjenester i offentlig sektor.

Finanstilsynet 

Finanstilsynet og Datatilsynet har jevnlige møter på saksbehandler- og direktørnivå for gjensidig informasjons- og erfaringsutveksling. I sandkassen har vi jevnlige møter med både Finanstilsynet og Arkivverket for å dele erfaringer om sandkassearbeid på tvers av organisasjonene.

Forbrukertilsynet og Konkurransetilsynet

Vi har etablert et godt samarbeid med Forbrukertilsynet og Konkurransetilsynet, og planen er å formalisere dette samarbeidet ytterligere. Det blir særlig viktig i årene fremover, da mange av de samme aktørene skaper utfordringer for våre respektive tilsyn, og behandling av personopplysninger har så vel konkurranse- og forbrukerutfordringer.

Foreningen kommunal informasjonssikkerhet (KINS)

Datatilsynet har deltat­­­t som samarbeidspartner i KiNS. Dette innebærer å delta på styremøter som observatør og bidragsyter, og å delta i planleggingen av KiNS sine arrangementer. Vi bidrar også med foredrag eller som paneldeltakere på disse arrangementene.

Foreningen Personvernombudene

Datatilsynet har et nært samarbeid med Foreningen Personvernombudene som hadde sitt aller første medlemsmøte i januar 2021. Noen av møtene arrangeres i felleskap med foreningens danske og svenske søsterorganisasjoner. Datatilsynet har deltatt med foredragsholdere på nesten alle foreningens møter. Ved årsskiftet hadde foreningen 350 medlemmer.

Helsedirektoratet

Det er jevnlig kontakt mellom Datatilsynet og Helsedirektoratet, både på direktør- og saksbehandlernivå.

ID-nettverket for en helhetlig ID-forvaltning

Datatilsynet deltar sammen med flere andre sentrale organisasjoner. Hovedmålet til nettverket er å arbeide for en helhetlig ID-forvaltning i Norge, og for å forebygge kriminalitet og dermed redusere trusselen mot velferdsstaten. Deltakelsen vår er viktig både for å ivareta personvernet i ID-forvaltningen, og for å bidra til at sikre løsninger etableres.

IKT-Norge

Vi har et godt samarbeid med IKT-Norge. På bakgrunn av satsingen vår på barn og unge, har vi satset på å formidle innebygd personvern for gruppen EdTech som ledes av IKT-Norge. EdTech er medlemmer som utvikler og tilbyr løsninger til skole og utdanningsmiljø i Norge.

Konkurransetilsynet

I forbindelse med Datatilsynets etablering av ny tilsynsmetodikk, har vi hatt nyttige møter og god erfaringsutveksling.

KS

I forbindelse med Datatilsynets satsing for barn og unge, har vi intensivert arbeidet vårt sammen med KS for å sette fokus på arbeidet med informasjonssikkerhet og personvern i kommuner og skoler. Vi deltar som observatører i SkoleSec-prosjektet.

Nasjonal Kommunikasjonsmyndighet (Nkom)

Nkom fører tilsyn med ekomregelverket. Dette regelverket har spesialregler om behandling av personopplysninger. Dette kan skape utfordrende grensedragninger opp mot personvernregelverket, og krever godt samarbeid mellom tilsynsmyndighetene. Datatilsynet har derfor jevnlige dialogmøter med Nkom om problemstillinger i telekombransjen, og det har vært gjennomført flere slike møter.

Kontakten omfattet særlig kommunikasjonsverndirektivet og den kommende kommunikasjonsvern­forordningen. Det har også vært et omfattende samarbeid innen befolkningsvarsling og nummer­opplysning.

Nasjonal sikkerhetsmyndighet (NSM)

Datatilsynet har et godt samarbeid med NSM, på direktør- og saksbehandlernivå. Vi har en del overlappende ansvarsområder, og samarbeider med dem om blant annet veiledere og anbefalinger innenfor informasjonssikkerhet.

Nasjonalt råd for Facilitation – NAFAL

Datatilsynet har én representant i Nasjonalt råd for Facilitation (NAFAL), sivil luftfart. Rådets mandat er å fremme forslag til fastsettelse av standarder for effektiv gjennomstrømming av personer, bagasje og varer på lufthavner. Luftfartstilsynet koordinerer gruppen som har medlemmer fra tolv ulike myndigheter og virksomheter innen sivil luftfart.

NAV

Det er jevnlig kontakt mellom Datatilsynet og NAV, både på saksbehandler- og på direktørnivå.

Norges Nasjonale Institusjon for Menneskerettigheter (NIM)

Datatilsynet samarbeider med NIM, blant annet i forbindelse med høringsuttalelser. Det er mange fellesnevnere i debatten om personvern og menneskerettigheter, blant annet når det gjelder digitalt grenseforsvar. Begge institusjonene deltok i Sametingets høring om bruk av samisk etnisitet i blant annet helseforskning, og diskuterte synspunkter i forkant.

Norsk Biometri Forum

Datatilsynet deltar i Norsk Biometri Forum som er et uformelt forum for presentasjon og diskusjon innenfor biometri. Det er lagt stor vekt på å få inn nye ideer, samtidig som møtene benyttes til orientering om pågående prosjekter innenfor offentlig og privat sektor.

Forumet møtes to ganger i året, og har deltakere fra departementer, direktorater og en del private bedrifter, samt NTNU i Gjøvik. Forumet arrangeres i tett samarbeid med Forum for Research and Innovation in Security and Communications (FRISC) og European Association for Biometrics (EAB).

Norsk Informasjonssikkerhetsforum (ISF)

ISF er en ideell organisasjon som arbeider med informasjonssikkerhet for medlemmene. Vi deltar aktivt i dette miljøet som medlemmer, for nettverksbygging og som foredragsholdere.

Norsk konferanse for IKT i offentlig sektor (NOKIOS)

Datatilsynet har deltatt som samarbeidspartner og i programkomiteen for NOKIOS. Dette innebærer både planleggingen av konferansen, og å være bidragsyter både når det gjelder innhold og gjennomføring. NOKIOS har etter hvert blitt en viktig arena der vi kan sette fokus på personvern i digitaliseringen av offentlig sektor.

Norsk senter for informasjonssikring (NorSIS)

Datatilsynet er representert i styret til NorSIS ved direktør Bjørn Erik Thon. Vi har mange overlappende ansvarsområder med NorSIS, og samarbeider derfor med dem om ulike tema, blant annet Nasjonal sikkerhetsmåned.

Referansegruppe for opptak av prosjekter til sandkassen

Den regulatoriske sandkassen vår for personvern og kunstig intelligens, har en referansegruppe i forbindelse med opptak av nye prosjekter. Gruppen bistår oss i å vurdere samfunnsnytten i prosjektene som søker opptak til sandkassen, og består av Likestillings- og diskrimineringsombudet (LDO), Norsk regnesentral, Innovasjon Norge og Tekna.

Riksrevisjonen

I forbindelse med utvikling av ny tilsynsmetodikk og arbeidet med metodikk for tilsyn med algoritmer, har det vært jevnlig kontakt med Riksrevisjonen. Det utveksles erfaringer og gis oppdateringer på arbeidet som gjøres innen teknologi og informasjonssikkerhet.

Samarbeidsprosjektet Du Bestemmer

Du Bestemmer er et formalisert samarbeid mellom Utdanningsdirektoratet og Datatilsynet. Sammen driver vi nettressursen dubestemmer.no som skal bidra til at barn og unge kan lære seg å ta kontroll over egne personopplysninger, og samtidig respektere andres opplysninger. I 2021 ble det holdt to styringsgruppemøter, og nye nettsider ble lansert.

Skatteetaten («Folkeregisterprosjektet»)

Det er viktig for Datatilsynet å følge med på utviklingen av hvordan Folkeregisteret kommer til å se ut i fremtiden. Vi har hatt én representant i referansegruppen, og vi har deltatt i enkelte møter i prosjektet.

Problemstillinger knyttet til hvilke opplysninger som skal inn i registeret, er noe vi jevnlig må forholde oss til.  Det har vært særlig oppmerksomhet omkring utveksling av opplysninger om «fortrolig» og «strengt fortrolig» adresse, private aktører som distributører av Folkeregisteret, Folkeregisterets rolle som ID-forvalter, tilgangskontroll og borgertjenester i registeret.

Standardisering – komitédeltagelse

Vi deltar i komiteer for standardisering der arbeidet har direkte relevans for vårt arbeidsområde. Standarder er førende for virksomhetenes praksis, også når det gjelder behandling av personopplysninger. Formålet med deltakelsen i komiteene er å sikre kunnskap om pågående prosesser internasjonalt, påvirke fremtidige rammebetingelser, samt bidra til å påvirke relevante standarder med hensyn til personvern og informasjonssikkerhet.

Datatilsynet deltar i fire komiteer:

  • SN/K 171 arbeider i hovedsak relatert til ISO/IEC JTC 1/SC 27 IT Security techniques
  • SN/K 175 Intelligente Transportsystemer (ITS)
  • SN/K 188 Person-ID, kortsystemer, biometri, sikre signaturer, borgerkort
  • SN/K 186 Læringsteknologi

Statens Vegvesen

Datatilsynet har et godt samarbeid med Statens vegvesen. Spesielt har samarbeidet vært omfattende innen ITS (Intelligente transportsystemer).

Styring og koordinering av tjenester i e-forvaltning (Skate)

Skate er et strategisk samarbeidsråd og rådgivende organ som skal bidra til at digitaliseringen av offentlig sektor blir samordnet og gir gevinster for innbyggere, næringsliv og forvaltningen. Datatilsynet har anledning til å møte i dette rådet, og benytter denne muligheten når det er saker på agendaen som vi mener det er nyttig for oss som personvernmyndighet å delta på. Vi har i 2021 blant annet holdt innlegg om avviksmeldinger.

Vurdering av fremtidsutsikter

Vi ser en rekke interne og eksterne forhold som vil kunne skape utfordringer for virksomheten vår i tiden fremover, både på kort og lang sikt, og ikke minst vil slike forhold kunne påvirke mulighetene våre for å nå målene vi har satt oss.

Vi har vært inne på ulike utfordringer flere steder i denne rapporten. Blant annet ser vi at økningen i antallet klagesaker kan gå på bekostning av annet viktig arbeid, slik som stedlige tilsyn, oppfølging av tips og meldinger om brudd på personopplysningssikkerheten og sentrale høringssaker, eller prosjekter, slik som den regulatoriske sandkassen. Det er ønskelig å gjennomføre flere stedlige tilsyn, inspeksjoner og andre kontrolltiltak av eget tiltak fremover, ikke minst i privat sektor. I lys av undersøkelsesplikten vi har i forbindelse med klager fra individer, ser vi imidlertid at det kan bli utfordrende å øke innsatsen.

Vi ser også for oss at avgjørelsene våre vil bli utfordret rettslig i større grad enn tidligere. Ved siden av å bidra til viktige rettslige avklaringer, vil samtidig konsekvensene for Datatilsynets kapasitet bli merkbare, for eksempel i forbindelse med forberedelser av flere klagesaker for Personvernnemnda.

På grunn av regelverkets teknologinøytrale karakter og teknologiens potensiale, er det sannsynlig at sakene over tid også vil øke i faktisk kompleksitet. Et eksempel er Cambridge Analytica-saken i Storbritannia. Et førtitalls medarbeidere i ICO (den britiske datatilsynsmyndigheten), pluss en håndfull innleide konsulenter, arbeidet i lang tid med å kartlegge hva som faktisk hadde skjedd, og analyserte i den forbindelse mange terabyte med beslaglagte data. 

Håndhevelse av regelverket overfor internasjonale teknologigiganter er også en utfordring. Kun et fåtall av disse selskapene har blitt ilagt korrigerende tiltak for manglende lovlighet siden regelverket trådte i kraft i 2018. Mange av selskapene går dessuten ofte til søksmål mot tilsynsmyndighetene, noe som forlenger prosessene. Dette er utfordrende både for den enkelte, som er avhengig av teknologi­selskapenes tjenester, og for norske virksomheter, som er i konkurranse med disse aktørene.

Den internasjonale dimensjonen medfører at mange av sakene fremstår som komplekse og utfordrende, både for de registrerte, pliktsubjektene, for tilsynsmyndigheten og for Personvernnemnda – og eventuelt også domstolene som behandler dem i neste instans.

En praktisering av personvernforordningen i harmoni med resten av Europa, vil forbli en utfordring. Vi ser det som et særlig ansvar å sørge for at Norges EØS-forpliktelser blir etterlevd. Harmonisert praktisering av regelverket er en del av dette, og en forutsetning for at norske innbyggere kan nyte godt av et rettsvern som er på samme nivå som resten av landene i EØS-området. Det vil også forventes at vi kan veilede om rettsutviklingstrekkene i Europa, både overfor enkeltpersoner og overfor offentlige og private virksomheter. Schrems II-dommen, og det behovet for avklaringer som oppsto i kjølvannet av den, er et eksempel på dette. Vi ser for oss at lignende situasjoner kan oppstå også i tiden fremover.

Arbeidet i det europeiske Personvernrådet vil være essensielt i den forbindelsen, og er et satsningsområde for oss. Utstrakt deltakelse i Personvernrådet med undergrupper vil derfor fortsatt ha høy prioritet. Dette arbeidet vil være en nødvendig forutsetning for å ruste oss til å møte de rettslige utfordringene som kommer. Kunnskap om rettsutviklingen i EU og EØS er nødvendig for en korrekt regelverkshåndhevelse innenfor personvernretten.

Vi regner også med at det høye antallet BCR-saker og andre ressurskrevende grenseoverskridende saker vil vedvare. Dette er saker som vi har plikt til å behandle, og dermed kan behandlingen av dem måtte gå foran andre viktige oppgaver.

Datatilsynet er godt i gang med andre runde av sandkassen, og opptaksrunde tre utlyses våren 2022. I tillegg til å gjennomføre oppstartede og nye prosjekter, vil vi jobbe med utadrettet veilednings­virksomhet med mål om å hjelpe et bredt spekter av norske virksomheter som skal utvikle eller ta i bruk kunstig intelligens på personopplysninger.

EU-kommisjonen har foreslått en «AI Act» for å regulere kunstig intelligens, og sandkasser er foreslått som ett av tiltakene. Vi har opplevd stor interesse for sandkassen vår nasjonalt og inter­nasjonalt, og vi tror dette er en metode som vil ha stor nytte for både virksomheter og myndigheter fremover. Vi opplever det som en effektiv metode for å utforske grensene for innovasjon og personvern – og ikke minst hvordan disse to kan gå hånd i hånd. Høsten 2021 sendte vi et satsingsforslag til Kommunal- og distriktsdepartementet med forslag om å etablere en permanent sandkasse for ansvarlig innovasjon, med oppstart i 2023.

Når det gjelder barn og unge, er utviklingen positiv, men det gjenstår det mye arbeid. Mange kommuner mangler kompetanse for å digitalisere riktig, og selv kommuner med betydelig ressurser gjør feil. Det er derfor et stort behov for veiledning, selvhjelpsverktøy og bistand. Trusselbildet er også utfordrende, og fiendtlige angrep må antas å øke både i omfang og kompleksitet.

Kommunesektoren er dessuten fragmentert. Vårt inntrykk er at viljen til og ønsket om å dele kunnskap på tvers av kommunegrensene, er økende. Bedre samordning og koordinering er viktige stikkord. Det er også behov for fortsatt politisk innsats og engasjement for å «holde trykket oppe». Datatilsynet ønsker fortsatt å spille en viktig rolle – både som diskusjonspartner, tilrettelegger for dialog og som pådriver. I tillegg vil vi fortsatt behandle enkeltsaker og avviksmeldinger, og gjennomføre tilsyn. Vi opplever dialogen med aktørene på feltet som veldig god, og at våre bidrag oppfattes som positive. Vi er opptatt av å opprettholde denne posisjonen.

Vi mottar fortsatt svært mange henvendelser om personvern i arbeidslivet. Dette er bekymringsfullt. Norske arbeidstakere tilbringer mye tid på arbeidsplassen. Det er et sted vi skal utvikle oss, i tillegg til å være en viktig sosial arena. Vår vurdering er at regelverket er godt, men at etterlevelsen er for dårlig. Datatilsynet har en viktig oppgave fremover med å gi råd og veiledning både til virksomheter og arbeidstagere, og kontrollere at regelverket følges. En del av sakene vi mottar, viser at det ofte er en underliggende konflikt som ligger bak et overvåkingstiltak fra arbeidsgiveren. Dette gjør bevisbildet komplisert, og saken vanskelig å løse. Vi må derfor utvikle strategier for mer effektiv behandling av saker om personvern i arbeidslivet.

En annen bekymring er knyttet til cybersikkerhet. Vi behandlet flere store saker knyttet til dette det siste året, og i årets siste uker var det fire store sikkerhetshendelser som rammet svært mange borgere i Norge. Mange virksomheter tar ikke sikkerhet på alvor før en hendelse inntreffer. Det er også påfallende at et angrep ofte starter ved at en ansatt åpner et vedlegg til en epost eller klikker på en lenke. Mange angrep kan forhindres med relativt enkle tekniske tiltak. Det blir derfor viktig for oss å aktivt spre informasjon om hvilke tiltak som bør iverksettes, og jobbe tett sammen med andre offentlige organer, private virksomheter og organisasjoner for å nå ut til flest mulig.

Datatilsynet er en populær arbeidsplass, og vi har en meget kompetent stab. Vi har mange gode søkere til de fleste stillingene våre, men vi ser at det er særlig utfordrende å få tak i folk med sikkerhetsbakgrunn.

I kommunikasjonsarbeidet vårt, ser vi også flere utfordringer som vi må prioritere oppfølgingen av nøye, både ut i fra målvurdering og ressursbruk. Digitaliseringsspørsmål, både internt i organisasjonen og eksternt blant publikum, skyter stadig fart, og vi må gjøre grundige risiko­vurderinger før nye verktøy og plattformer tas i bruk. Dette er tidvis ressurskrevende. I tillegg er det en høy forventning til rask service på veiledningstjenesten fra publikum som består av alt fra «den vanlige borger», til små og store virksomheter, og avanserte jurister. Dette stiller krav til oss om å klare å plukke ut prioriterte målgrupper.

I skrivende stund har den tragiske krigen i Ukraina brutt ut. Vi vet at dette vil gi store ringvirkninger, også for personopplysningssikkerheten. Vi vil derfor følge utviklingen nøye.