Årsrapport for 2021

Kommunikasjon og veiledning

Personvernlovgivningen legger i stor grad ansvaret på den enkelte når det gjelder å ivareta eget personvern. Samtidig har virksomheter som behandler personopplysninger plikt til å etterleve lovgivningen på området. Dette gjelder både offentlige etater, private organisasjoner og nærings­drivende. Fordi disse gruppene har så forskjellige behov, stiller det store krav til hvordan vi jobber med kommunikasjon i Datatilsynet.

Vi skal bidra til økt kunnskap om og interesse for personvern. God veiledning og informative nettsider om personvernreglene til borgere og virksomheter er avgjørende for å oppnå målene våre. Her har kommunikasjon som virkemiddel vært svært viktig.

Kommunikasjonsarbeidet er basert på statens kommunikasjonspolitikk og gjeldende regelverk, slik som offentlighetsloven og forvaltningsloven. Videre heter det i virksomhetsinstruksen at vi skal ha en aktiv holdning til kommunikasjon, både internt og eksternt. Det er viktig at vi fanger opp signaler som angår Datatilsynet, og at vi bruker dette aktivt i kommunikasjonsarbeidet.

Kommunikasjonen skjer i første rekke gjennom nettstedet vårt, direkte veiledning overfor publikum, aktiv mediekontakt og gjennom en utstrakt foredragsvirksomhet. I 2021 har vi dessuten kommet godt i gang med egen podkast, Personvernpodden, samt formidling via video.

Det at veiledningstjenesten er en del av kommunikasjonsavdelingen, gjør oss godt rustet til å fange opp behovet fra publikum, og koble ulike tiltak tett opp mot kommunikasjon i ulike kanaler.

Formidling gjennom egne kanaler

Nettstedet datatilsynet.no

Nettstedet er det viktigste verktøyet vårt for kommunikasjon med målgruppene våre, og vi har høye besøkstall. I 2021 hadde vi over 7 millioner sidevisninger. Vi legger stor vekt på at innholdet skal væregodt, relevant og enkelt tilgjengelig, og det overordnede målet er å gjøre brukerne mer selvhjulpne. Et av ønskene våre er å redusere antall henvendelser til veiledningstjenesten. I løpet av 2021 har vi fortsatt jobben med å forbedre tilgjengeligheten på og opplevelsen av nettsidene våre, såkalt universell utforming, for at så mange som mulig kan få informasjon uavhengig av funksjonsevne. Dette arbeidet vil vi fortsette å prioritere høyt også i 2022.

I perioden siden mars 2020, der vi i hovedsak har hatt hjemmekontor, er enkelte satsninger utsatt til vi igjen kan jobbe sammen på felles kontor. Dette gjelder blant annet en ny chat-funksjon som er tenkt brukt av veiledningstjenesten vår. Denne gir mest effekt når de som gir veiledning har vakter i samme fysiske rom og fortløpende kan fordele innkommende samtaler per telefon med en web-basert chat. Lanseringen av et intranett er imidlertid førsteprioritet. Dette arbeidet ble intensivert i 2021, og vi håper å kunne lansere ett første trinn med intern deling av sentral informasjon i løpet av våren 2022. På sikt vil intranettet by på muligheter for mer samhandling og økt funksjonalitet.

Arbeidet med et mer omfattende elektronisk klageskjema har høy prioritet. Vi har satt i gang et arbeid som skal kartlegge hvordan et slikt skjema raskt og trygt kan bli en ny kanal for publikum slik at de kan klage til oss via nettsiden.

I forbindelse med relanseringen av nettsiden Dubestemmer.no, valgte vi å gjenbruke løsninger vi har utviklet for Datatilsynet.no. Det gjelder statistikkløsningen vår som ikke bruker informasjonskapsler (cookies), ordlistefunksjonen og tofaktorautentisering. Dubestemmer.no bruker også Datatilsynets personvernvennlige videoløsning Dream Broker for å vise filmer. Dette gjenbruket er ressursbesparende, og er en fornuftig måte å tenke samarbeid og flerbruk på.

unike sidevisninger-nettsidene.jpg

Veiledning på nett

Vi produserer, oversetter og publiserer veiledere til sentrale deler av det nye regelverket for å kunne hjelpe virksomhetene med å tilpasse seg suksessivt. God veiledning er avgjørende for virksomheter som skal følge opp plikter de har etter personvernregelverket.

Nettsidene om korona og personvern har blitt løpende oppdatert også dette året. Vi publiserte blant annet enkel veiledning om koronapass, besøksregistrering og smittesporing, retningslinjer om helsedata og lokasjonsdata, samt kontroll og håndheving av regelverket under pandemien.

Mange er opptatt av konsekvensene av Schrems II-dommen. Personvernrådet har laget en egen veiledning som vi også har publisert, i tillegg til at vi løpende oppdaterer med informasjon og eksempler. Det er også laget egne temasider dedikert til alt innhold om den regulatorisk sandkassen. Her har vi samlet informasjon, tips, søknadsskjema og aktuelt stoff om tematikken. Vi publiserer også rapportene fra prosjektene der fortløpende.

Personvernblogg, sosiale medier og podkast

Personvernbloggen er et rom hvor vi kan reise andre problemstillinger enn vi gjør på den ordinære nettsiden. Det er et sted for faglig profilering blant ansatte og et sted der Datatilsynet i større grad kan benytte sin ombudsrollen. Der publiserer vi også kronikker som vi har hatt på trykk i aviser og tidsskrifter.

Vi følger med på omtale av Datatilsynet og personvern på Twitter, og vi besvarer de fleste spørsmål og kommentarer som kommer via denne kanalen.

Podkasten vår er, på samme måte som Personvernbloggen, en kanal hvor vi kan ta opp andre temaer og reise andre typer problemstillinger enn vi gjør i mye annen ekstern kommunikasjon og i den ordinære forvaltningen for øvrig. Podkasten skal engasjere både nye og eksisterende målgrupper, og bidra til å øke bevisstheten og refleksjoner rundt personvern i befolkningen. I 2021 publiserte vi 13 episoder som ble publisert på vår egen nettside, samt på podkast-plattformen Acast og andre tredjepartstjenester

Høsten 2021 offentliggjorde vi en rapport med risikovurdering og personvernkonsekvensvurdering av å ha en egen side på Facebook. Vi konkluderte med at vi ikke kan bruke denne plattformen som kommunikasjonskanal. Offentliggjøringen ga oss mye oppmerksomhet, med blant annet 172 medieoppslag i perioden 22. september til 15. november. Denne rapporten er omtalt nærmere under «Annen vesentlig aktivitet».

Nyhetsbrev

abonnenter-nyhetsbrev.jpgVed utgangen av 2021 var det 4 761 som abonnerte på det ordinære nyhetsbrevet vårt, og vi opplever en jevn økning i antall abonnenter. I tillegg hadde vi 227 abonnenter på «Sandkassebrevet», som tar for seg nyheter fra den regulatoriske sandkassen vår for kunstig intelligens. Vi hadde også en julekalender i desember, med 816 abonnenter gjennom adventstiden.

I løpet av 2021 sendte vi ut 21 ordinære nyhetsbrev. Videre sendte vi ut fem «Sandkassebrev». Av personvernhensyn har vi ikke noen spesifikk statistikk på antall klikk, men vi har grunn til å tro at vi har en høy åpningsrate i nyhetsbrevene våre, og at de skaper økt trafikk til nettsidene våre.

Mediekontakt

antall medieoppslag og mediehenvendelser.jpgVi vurderer mediene som en svært viktig kanal for å få frem budskapene våre, og det er jevn pågang og interesse fra disse. Vi legger stor vekt på å ha et profesjonelt forhold til pressen. Dette innebærer at vi skal ha god tilgjengelighet og et høyt servicenivå overfor journalistene. Dette mener vi å ha lykkes godt med også i 2021.

Vi noterer ned hver gang vi kontaktes av journalister i en ny sak, og i løpet av året har vi registrert 720 besvarte mediehenvendelser til kommunikasjons­avdelingen. Det er imidlertid mange henvendelser som generer flere oppslag i ulike medier, og i mange mediesaker er vi omtalt uten å være kontaktet. Vi benytter Retriever til medieovervåking og i løpet av våret har de registrert til sammen 5 173 oppslag i medier der «Datatilsynet» er omtalt, inkludert i internasjonale medier. Hele 23 prosent av oppslagene var i internasjonale kilder, da vi har hatt flere saker som har skapt internasjonal interesse.

Oversikten viser fordelingen av medieoppslag gjennom 2021:

medieoppslag-nasjonalt-internasjonalt-tid.jpg

Det er et relativt jevnt trykk når det gjelder omtale av Datatilsynet i mediene hele året, men av de sakene som har preget nyhetsbildet i 2021, kan vi trekke frem saken om dating-appen Grindr. Den gikk verden over, noe som gir store utslag på statistikken da varselet om vedtak ble gitt i januar, og så igjen i desember da vi vedtok et overtredelsesgebyr på 65 millioner kroner.

I desember 2021 ble det gjennomført et hackerangrep mot Amedia, og flere av datasystemene deres ble satt ut av drift. Dette er med på å gi det store utslaget på mediesaker i desember.

Ellers er det flere saker som har fått stor nasjonal oppmerksomhet, blant annet krav om redegjørelse fra Jehovas vitner, overtredelsesgebyr til bomselskapet Ferde for overføring av bilder til Kina og til Østre Toten for manglende informasjonssikkerhet, Facebook-rapporten vår, ulike koronarelaterte problem­stillinger og at Bjørn Erik Thon fikk stillingen som likestillings- og diskrimineringsombud. Avvik som meldes inn til oss er også en gjenganger – enten som oppslag om enkeltsaker eller bruk av tall i generelle oppslag.

medieoppslag-medietype.jpg

medieoppslag-fordeling av papiroppslag.jpg

Når vi ser på de mest delte mediesakene (på Facebook og Twitter) der Datatilsynet var omtalt i 2021, ser vi at det er et bredt spekter av saker folk interesserer seg for, men der den røde tråden er personvernrettigheter.

Omdømmeundersøkelse

Datatilsynet var for tredje år på rad med i IPSOS omdømmeundersøkelse. Vi ligger godt innenfor kategorien «godt omdømme», og skårer spesielt høyt på samfunnsansvar og kunnskap. Av de 18 tilsynsvirksomhetene, ombudene og nemdene som vi sammenlignes med, skårer vi aller høyest på kompetanse og fagkunnskap.

Foredragsvirksomheten

Foredrag er en viktig del av vår utadrettede kommunikasjons­virksomhet. De gir oss muligheten til å informere om rettigheter og plikter, og til å skape økt forståelse for betydningen av personvern. Samtidig viser vi synlighet og tilgjengelighet for virksomheter, interesseorganisa­sjoner og publikum.

antall foredrag.jpgEksterne forespørsler vurderes ut fra noen faste kriterier slik som antall deltagere, om temaet er relevant for våre satsningsområder, og selvfølgelig kapasitet. I 2021 har mange av foredragene vært digitale grunnet smittevern.

Eksterne foredrag

I 2021 holdt vi 188 foredrag på kurs, konferanser og seminarer i regi av andre aktører som ønsket vår deltakelse. Dette er en dobling av året før og er nok en naturlig konsekvens både av at det ble mulig å delta på fysiske arrangement igjen, men også at det ble planlagt flere digitale arrangement enn året før.

Egne arrangement

Direkte dialog med ulike målgrupper har vært avgjørende i arbeidet med implementeringen av personvernforordningen, særlig blant små og store virksomheter. Vi har deltatt som arrangør eller medarrangør på større konferanser om teknologi og samfunn slik som KiNS, Sikkerhetskonferansen, Nokios, SKATE og Normkonferansen.

Personverndagen
I 2021 markerte vi for niende gang den internasjonale personverndagen i januar med et seminar i samarbeid med Teknologirådet på DOGA i Oslo. På grunn av smittesituasjonen ble arrangementet strømmet og publisert på nettsiden vår i etterkant. Arrangementet var planlagt som en «korona spesial», og tok opp temaer som vaksinepass, smittesporing og personvern.

Konkurranse om innebygd personvern i praksis
De siste årene har vi utlyst en konkurranse for alle som har utviklet en løsning, applikasjon eller et system i tråd med kravene til innebygd personvern. Målet er å løfte frem gode eksempler på praktisk bruk av innebygd personvern.

Vinneren av prisen for 2020 var «Anonyme Tokens», og prisen ble delt ut på et digitalt seminar våren 2021. Gruppen bak bidraget har utviklet en løsning som gir brukere med en positiv COVID 19-test økt anonymitet ved bruk av appen Smittestopp. «Anonyme Tokens» er dermed den fjerde vinneren av Datatilsynets konkurranse om innebygd personvern, og gruppen besto av deltakere fra NTNU og Forsvarets Forskningsinstitutt.

Ifølge juryen er vinnerbidraget på mange måter et produkt av tiden vi er inne i. Den pågående pandemien har vært en driver for økt digitalisering og utvikling av løsninger som på ulikt vis bidrar til å løse de utfordringene pandemien har ført med seg. Juryen mente at bidraget er egnet til å styrke enkeltpersoners kontroll over egne personopplysninger og kan gjøre det enklere for virksomheter å etterleve personvernregelverket.

Det er utlyst en tilsvarende konkurranse for 2021, og vinneren vil kåres i løpet av våren 2022.

Arendalsuka
Arendalsuka ble i år arrangert fra 16. til 20. august, og Datatilsynet deltok på flere arrangementer. Personvernets status i Norge og verden anno 2021, barn og unges personvern, datadeling og kunstig intelligens er bare noe av det vi var med på å debattere.

Vi hadde tre egne arrangementer i løpet av uka: «Personvernet slår tilbake» med Big Tech og personvern som hovedtema, «Personvern for barn og unge – hvordan sikrer vi at barna blir hørt?» og en debatt om kunstig intelligens, innovasjon og personvern i tilknytning til den regulatoriske sandkassen vår. Alle arrangementene ble strømmet, og ligger i opptak på nettsiden vår.

Webinar om personvernombudsrollen
I desember arrangerte vi et digitalt seminar om personvernombudsrollen sammen med Foreningen personvernombudene. På webinaret diskuterte vi funnene fra rapporten vår om ombudenes arbeidsvilkår, personvernombudsundersøkelsen 2020/21, og hvordan det oppleves å være personvernombud i dag.

Veiledningstjenesten

Datatilsynets veiledningstjeneste er et tilbud for virksomheter og publikum som har spørsmål som ikke krever ordinær saks­behandling om behandling av person­opplysninger. Et viktig mål med tjenesten er å gjøre enkeltpersoner i stand til å ivareta egne interesser i saker som gjelder personvern og å bistå virksomheter i å følge pliktene i person­vern­lovgivningen. Det er et stort spenn i kompleksiteten i spørsmålene som er av både juridisk og teknisk karakter.

I løpet av 2021 har veiledningstjenesten statistikkført totalt 5 911 henvendelser.

antall henvendelser til veiledningstjenesten.jpg

Hvem kontakter oss?

veiledning-hvem ringer.jpgStatistikken viser at 42 prosent av de som tar kontakt med veiledningstjenesten, er representanter for virksomheter, mens 51 prosent er privat­personer. Det nye regelverket begynner å bli godt implementert i flere virksomheter, men mange arbeider fortsatt med å etterlevelse i praksis som følge av overgangen til det nye regelverket.

Personvernombudene står for syv prosent av henvendelsene. Det er også flere henvendelser fra personvernombud som går til Datatilsynets egen personvernkoordinator. De er ikke inkludert i denne statistikken.

Hva handler henvendelsene om?

Vi fører statiststikk over henvendelsene som går direkte til veiledningstjenesten. Vi registrerer hva henvendelsene handler om, og hvem de kommer fra. I tillegg registrerer vi dersom det dreier seg om arbeidsliv. Siden 2020 har vi også registrert om henvendelser gjelder spørsmål som er særskilt knyttet til pandemien. Vi fører denne statistikken for å få bedre oversikt over hva publikum lurer på slik at vi kan tilpasse veiledningen på nettsiden vår og bygge kompetanse på aktuell tematikk.

Imidlertid ser vi at av 7 392 registrert besvarte samtaler i telefonsystemet vårt, er bare 5 911 statistikkført. Det kan være ulike grunner til dette avviket, slik som dobbeltoppringning, feil tastevalg eller rett og slett forglemmelse. Uansett vil det være et mål for kommende år å minke gapet mellom antall mottatte og registrerte henvendelser.

Oversikt over de mest sentrale kategoriene veiledningstjenesten får spørsmål om:
(Merk at tallene ikke vil ikke være fullstendig dekkende, ettersom flere av henvendelsene vil kunne plasseres i ulike kategorier.)

veiledning-tema.jpg

Personopplysninger i registre

Hele 37 prosent av henvendelsene til veiledningstjenesten gjelder personopplysninger i registre. Dette handler ofte om personlige opplysninger som registreres, lagres og brukes, samt rettigheter knyttet til innsyn. Blant henvendelsene fra privatpersoner, er særlig personopplysninger i kunderegister og personalregister vanlige tema. Vi har også fått et betraktelig antall henvendelser om kredittvurderinger og inkasso.

Overvåking og sporing

Overvåking og sporing er det nest største temaet, og går igjen i 22 prosent av henvendelsene. Dette gjelder ofte privatpersoner som har spørsmål knyttet til overvåking av hjem og bolig (inkludert hytte), men også lydopptak av samtaler. Fra virksomheter får vi også mange henvendelser som er direkte knyttet til kameraovervåking, særlig av kunder, besøkende og gjester, eller på arbeidsplassen.

Internkontroll og informasjonssikkerhet

21 prosent av henvendelsene gjelder internkontroll og informasjonssikkerhet, og tallet holder seg på samme nivå som i fjor. Disse henvendelsene handler ofte om problemstillinger som er nært knyttet opp til personvernregelverket, og etterlevelsen av regelverket i virksomhetene. Fra virksomhetene får vi henvendelser om databehandlere, databehandleravtaler og behandlingsansvar. Også avviksbehandling og internkontroll (oversikter, rutiner, dokumentasjon og personvernerklæringer) går igjen.

Personopplysninger på internett

Henvendelser om personopplysninger på internett er en gjenganger ettersom mange lever stadig større deler av livene sine digitalt. Vi ser at antall henvendelser her har økt noe i forhold til i fjor (fra åtte til ni prosent). Spørsmålene gjelder særlig deling og publisering av bilder, film og tekst, samt sosiale medier og avindeksering. 

Overføring av personopplysninger til utlandet

Denne kategorien står for tre prosent av henvendelsene og har økt noe i forhold til 2020. Det henger trolig sammen med Schrems II-dommen. Denne dommen fra EU-domstolen fikk store konsekvenser for alle som overfører personopplysninger til land utenfor EØS, og ga en rekke vilkår som må være oppfylt for at en slik overføring skal være lov.

Annet

Noen av kategoriene våre er så små at vi har valgt å samle dem under «Annet». Dette gjelder «Bransjenormer og samarbeidsmekanismer», «Bruk av kunstig intelligens (inkludert maskinlæring og avanserte algoritmer)» og «Sertifisering og akkreditering». Disse ligger alle under én prosent av det totale antallet henvendelser, men vil sannsynligvis øke de neste årene da dette er noe som får stadig større plass.

Spesielt om henvendelser knyttet til arbeidsliv

Spørsmål knyttet til personvern i arbeidslivet har tradisjonelt sett utgjort en stor andel av henvendelsene til veiledningstjenesten. Det sjekkes derfor alltid om henvendelsen gjelder personvern i arbeidslivet i tillegg til kategori.

Statistikken viser at hele 28 prosent av de registrerte henvendelsene dreide seg om arbeidsliv, noe som er på linje med tidligere år. Av disse står virksomheter for 54 prosent og privatpersoner for 38 prosent av henvendelsene.

Av henvendelsene fra privatpersoner er det mange som har spørsmål knyttet til arbeidsforholdet sitt. Spørsmål som går igjen er behandling av personopplysninger i personalregistre, innsyn i ansattes epost og annet elektronisk lagret data, samt kontroll og overvåking. Andre gjengangere er kameraovervåking på arbeidsplassen og bruk av lokasjonsdata i virksomheter (slik som for eksempel GPS-sporing). Både arbeidstakere og arbeidsgivere er opptatt av hva som er lov å gjøre med opplysningene som er lagret i virksomheten.

Spesielt om henvendelser knyttet til korona

I det første «koronaåret» fikk veiledningstjenesten mange spørsmål om problemstillinger som hadde oppstått på grunn av pandemien. I 2020 var syv prosent av alle henvendelsene relatert til korona. I 2021 har vi imidlertid sett en nedgang i dette, og i løpet av året mottok vi bare om lag tre prosent slike henvendelser. Dette kan sees i sammenheng av at pandemien har vart i lang tid, og mange oppstartsproblemer knyttet til kontrolltiltak og informasjonssikkerhet har blitt håndtert.

De mest vanlige temaene for henvendelser relatert til korona i 2021, har vært behandling av personopplysninger i personalregister og andre registre. Den sektoren som har hatt flest korona-relaterte henvendelser er kommune- og fylkesadministrasjonen, etterfulgt av helse og omsorg.