Årsrapport for 2022

Årsrapport for 2022

I årsrapporten kan du lese om hva Datatilsynet jobbet med i 2022, og hvilke utfordringer vi ser fremover.

Her finner du en gjennomgang av de viktigste sakene og områdene vi har jobbet med, samt sentrale tall og trender. Last ned rapporten i pdf dersom du vil lese den fullstendige versjonen som er sendt til Kommunal- og distriktsdepartementet.

Leders beretning

Leders beretning er en introduksjon til årsrapporten, skrevet av direktør Line Coll. Her gis det et overordnet bilde over rapporteringsåret 2022.

Året 2022 har vært fullt av små og store hendelser, både internt og eksternt. Jeg er imponert over de ansattes evne til både innsats, produksjon og samarbeid, i en tid med endring og uro. Begynnelsen av året var preget av uforutsigbarhet og nedstengning. Da samfunnet igjen åpnet etter pandemien, brøt det ut krig i Ukraina. Dette kom uforutsett på oss alle, og vi ble berørt av det på flere områder. Datatilsynet prioriterte situasjonen med krig i Europa høyt, og vurderte hvilke personvern­konsekvenser krigen eventuelt ville kunne gi i Norge. Faren for målrettede cyberoperasjoner økte, og norske selskaper som hadde databehandleravtaler med Russland og Ukraina, ble anbefalt å gå gjennom denne typen kontrakter på nytt. Det viste seg at dette var en riktig prioritering, og flere selskaper brøt samarbeidet med Russland. Sårbarheten rundt personopplysninger i krig og krise kom for alvor nærmere vårt eget land.

I februar avsluttet tidligere direktør Bjørn Erik Thon sitt andre åremål, og Janne Stang Dahl ble konstituert direktør frem til min oppstart i august 2022. Disse endringene har selvsagt også hatt innvirkning på de ansatte.

Løpende saksbehandling, kontroll og veiledning har vært høyt prioritert. Vi har hatt flere store saker knyttet til cyberangrep og urettmessig deling av data. NAV fikk overtredelsesgebyr etter at person­opplysninger om arbeidssøkende ulovlig hadde ligget åpent på en arbeidsgiverportal, Stortinget vedtok det ilagte gebyret, og vi åpnet sak om overføring av kundedata fra matvare­bransjen til Statistisk sentralbyrå (SSB). Vi ser også et visst etterslep etter pandemien hos ulike virksomheter, og har hatt mange saker knyttet til blant annet overvåking av ansatte på hjemmekontor og digitalisering i skolen.

I november kom Personvernkommisjonens rapport (NOU 2022: 11 «Ditt personvern – vårt felles ansvar»), og vi støtter helhjertet opp om de fleste tiltakene som foreslås der. Kommisjonen har levert en grundig, god og viktig utredning, og vi håper anbefalingene som gis blir fulgt opp med konkrete tiltak som kan styrke personvernet, både for enkeltindividet og for samfunnet. Vi har i tiden etter offentliggjøringen jobbet for at rapporten skal følges opp og være på agendaen hos både beslutningstakere og politikere.

I Personvernkommisjonens rapport trekkes det frem at det er en gjennomgående tendens at digitaliseringen skjer på bekostning av personvernet. Kommisjonen understreker at dette utviklingstrekket underbygger viktigheten av et styrket Datatilsyn i Norge.

Barn og unge har vært et prioritert område for oss også i 2022, og vi har vært meget tydelige på at personvernet i skole og barnehage er under press. Personvernkommisjonens rapport fremhever også dette, og løfter frem flere av våre tidligere forslag.

I 2022 mottok vi flere klager enn året før. Feil i behandling av personopplysninger i registre, er det vi mottar flest klager på og får flest henvendelser om til veiledningstjenesten vår. Antall meldinger om brudd på personopplysningssikkerheten (avvik) fra virksomheter har også økt. Avviksmeldingene kommer fra både offentlige og private virksomheter over hele landet. Den mest vanlige årsaken til avvikene, er feilsendinger og feilpubliseringer av personopplysninger. Manglende rutiner for tilgangsstyring er også et problem.

Antall innsynsbegjæringer har økt med hele 21 prosent på ett år, fra 5 715 til 6 916 dokumenter.  Omfanget og presset på innsyn i saker og dokumenter, er svært utfordrende for oss, og vi bruker mye tid og store ressurser på å håndtere disse riktig.

Datatilsynet jobber mer og mer internasjonalt, og vi er aktivt med i Det europeiske personvernrådet (EDPB) – det øverste personvernorganet i EU. Det internasjonale arbeidet er tidkrevende, men nødvendig ettersom mye av rettsdannelsen skjer i EU. Flere saker av internasjonal karakter har fått stor oppmerksomhet, og debatten om og sakene mot teknologigantene har skutt fart. Schrems II-dommen og overføring av data til tredje land får fremdeles stor oppmerksomhet, og vi opplever at veiledningsbehovet på området er stort.

Datatilsynets hovedmål er et godt personvern for alle. Vi mener vi har oppnådd hovedmålet på en god måte. Gjennom klagesaksbehandlingen har vi fulgt opp viktige sentrale prinsipper i personvern­retten, og vi har gitt overtredelsesgebyr i de alvorligste sakene. Dette gir en viktig signaleffekt. Behandling av saker og ileggelse av reaksjoner bidrar til etterlevelse, noe som nettopp er kjernen i hovedmålet.

Den regulatoriske sandkassen har vært en suksess. Nyheten om at dette ble et fast tilskudd på stats­budsjettet, ble derfor mottatt med glede. Vi har satt i gang en ekstern evaluering av sandkassen som vil ferdigstilles i 2023. Vi har hatt god dialog med virksomhetene som har deltatt i de ulike sandkasse­prosjektene, og det er et viktig mål for oss at sluttrapportene vi produserer i sandkassen skal ha betydning og effekt også for andre virksomheter og bransjer. Det er lagt vekt på at prosjektene som tas opp skal være innovative og samfunnsnyttige. Arbeidet i sandkassen bidrar dermed til å oppfylle målet vårt om et godt personvern for alle. Sandkassen har hatt omlag fem årsverk til disposisjon, noe som er et betydelig antall i et tilsyn med rundt 60 årsverk, men vi mener dette har vært en god og riktig bruk av ressurser.

En av kjerneoppgavene våre er å kontrollere regelverk gjennom tilsyn og saksbehandling, og samtidig gi veiledning. Den desidert største ressursinnsatsen i meldingsåret har vært knyttet til slikt arbeid, og de fleste tallene går oppover. Det krever tydelige prioriteringer. Dette er noe vi kommer nærmere inn på i flere deler av denne rapporten, og i «Vurderinger av fremtidsutsikter» beskriver vi hvordan dette vil påvirke arbeidet vårt fremover.

Vi har holdt en stabilt høy produksjon etter pandemien. Vi merker likevel at vi er berørt også i etterkant av koronaen, ikke minst når det gjelder de ansattes trivsel. Det å komme inn i «den nye normalen» tar tid. Mange sliter fortsatt med ettervirkninger av ulik art, men motivasjonen for igjen å kunne delta i fysiske møter, bygge nettverk og treffes ansikt til ansikt igjen er stor. Vi synes vi har håndtert dette på en god måte, og vi har klart å holde både motet og arbeidsinnsatsen oppe, selv om mange er slitne.

Ut fra en samlet vurdering av de oppnådde resultatene, ressursbruk og måloppnåelse mener vi å ha oppnådd hovedmålet.

Oslo, 15. mars 2023

Line Coll
Direktør

Kort om Datatilsynet

Datatilsynet ble opprettet i 1980, og er et uavhengig forvaltningsorgan under Kommunal- og distriktsdepartementet (KDD). Vår hovedoppgave er å bidra til at personvernlovgivningen etterleves, og at alle skal ha beskyttelse i tråd med personopplysningsregelverket.

Vi skal fremme personvern som en sentral verdi i samfunnet, og være ombud i personvernspørsmål. Vi skal delta i personverndebatten og sette dagsorden, vi skal undersøke og dele fakta om person­vernets kår både nasjonalt og internasjonalt, og vi skal jobbe for at personvernet ivaretas også på områder som faller utenfor tilsynsområdet vårt.

Personvern handler enkelt sagt om retten til et privatliv og retten til å bestemme over egne personopplysninger. Personvern er en menneskerettighet som skal sikre hensynet til den enkeltes personlige integritet, men det er også en ideell interesse. Personvern står helt sentralt når felles goder i et demokratisk samfunn skal sikres. Datatilsynet må derfor alltid jobbe aktivt for å oppnå en god ivaretagelse av personvernet i avveiingen mot andre samfunnsinteresser.

Hovedaktiviteter

Datatilsynets hovedmål er definert som «et godt personvern for alle». I dette ligger at både innbyggere, virksomheter, organisasjoner og offentlig forvaltning skal kjenne og etterleve personvernregelverket. Borgerne skal settes i stand til å ivareta eget personvern. Regjeringen vil sikre at den enkelte har størst mulig råderett over egne personopplysninger. Gjennom kompetansen, myndigheten og de oppgavene som følger av lov om behandling av personopplysninger 15. juni 2018 nr. 38 (personopplysningsloven) §§ 20 og 21, og personvernforordningen 2016/679 artikkel 55 til 59, har vi som fagmyndighet og tilsynsorgan et særlig ansvar for å bidra til at dette målet nås.

For å oppnå best mulig personvern, er vi nødt til å prioritere oppgavene og jobbe strategisk. Vi har derfor en strategi med seks overordnede, mål som er styrende for arbeidet vårt i tre år, fram til og med 2023.  

Datatilsynet skal:

  • arbeide for en mer rettferdig maktbalanse mellom individet på den ene siden, og kommersielle aktører og det offentlige på den andre
  • arbeide for å fremme personvernvennlig digitalisering, innovasjon og utvikling
  • arbeide for at virksomheter har nødvendig kompetanse, forstår viktigheten av godt personvern og etterlever regelverket
  • bidra til at individet i større grad kan ivareta sitt eget personvern
  • påvirke, ta lederrollen og fremme kunnskapsutveksling i noen utvalgte internasjonale prosesser for å fremme bedre personvern
  • være et kompetent, fleksibelt og fremtidsrettet tilsyn

Virkemidler

For å nå hovedmålet vårt har vi en rekke virkemidler til disposisjon. Vi prøver til enhver tid å kombinere disse virkemidlene der det er mulig for å oppnå en best mulig effekt. Her gir vi en generell oversikt over virkemidlene. Lenger bak i rapporten går vi dypere inn i aktivitetene våre og ser nærmere på tall og måloppnåelse.

Saksbehandling som virkemiddel

Saksbehandling er et sentralt virkemiddel for å sikre regelverksetterlevelse hos offentlige og private virksomheter. Samtidig bidrar saksbehandlingen til at vi tilegner oss erfaring og kunnskap om hvordan personvern­hensyn ivaretas i praksis.

Saksbehandling som virkemiddel blir særlig brukt på områder der vi mottar mange henvendelser, avviksmeldinger og klager. Behandling av klager fra enkeltindivider er en prioritert oppgave for Datatilsynet, ettersom forordningen særlig trekker frem slike saker

Tilsynsvirksomheten som virkemiddel

Gjennomføringen av tilsyn (kontroller) gir signal om at regel­verket skal etterleves og at etterlevelsen blir kontrollert. Tilsynsvirksomheten gir oss et fakta­basert grunnlag for kommunikasjon til ulike bransjer og relevante aktører. Tilsyn skal dessuten benyttes aktivt for å under­søke og avklare praksis, og til å følge opp konkrete problemstillinger i enkeltsaker. Tilsynsvirksomheten inkluderer også bruk av kontrollhjemler i saks­behandlingen, slik som for eksempel når vi følger opp enkeltklager gjennom krav om redegjørelse.

Ved å gjennomføre tilsyn når nye løsninger tas i bruk, men før en praksis har satt seg, kan tilsyn også medvirke til å forme et område videre.

Noen ganger benyttes kontrollene dessuten for å få bedre oversikt over et område eller en sektor, og for å skaffe et bedre grunnlag for å ta i bruk de andre virkemidlene. Andre ganger benyttes de for å holde oppe et trykk på en bestemt sektor – gjerne innenfor et bestemt tema.

Sanksjoner som virkemiddel

Irettesettelser og overtredelsesgebyr er administrative sanksjoner som er blitt tatt mer i bruk de siste årene. Personvernforordningen åpnet for langt høyere overtredelsesgebyr enn før. Tidligere var maksimumsgebyret på 10G, nå er det 20 millioner euro, eller 4 prosent av global omsetning hvis lovovertredelsen er begått av et foretak. Overtredelsesgebyrene vil derfor virke både individualpreventivt og allmennpreventivt i større grad enn tidligere.

Kommunikasjon som virkemiddel

Datatilsynet skal veilede og informere om personvernlovgivning og forvaltningspraksis. Kommunikasjon benyttes ofte sammen med de øvrige virkemidlene. En del av kommunikasjonen og dialogen vår skjer derfor gjennom veiledningstjenesten, veilednings­møter og annen dialog med rammesettere, beslutningstakere, virksomheter og enkeltpersoner.

Gjennom kommunikasjon ønsker vi dessuten å spre informasjon om personvernets tilstand, samt skape debatt og gi uttrykk for synspunkter vi måtte ha som forvaltnings- og tilsynsorgan og i rollen som ombud. Ombudsrollen brukes blant annet ved utspill og kommentarer overfor mediene, i foredragsvirksomheten og i innlegg på blogg og i podkast­.

Forsknings-, utviklings- og utredningsarbeid

Gjennom nær kontakt med miljøer i inn- og utland som driver med forsknings- og utviklingsarbeid, setter vi oss selv bedre i stand til å sette personvernhensyn inn i en samfunnsmessig kontekst, og til å fange opp trender og utviklingstrekk på et tidlig stadium. Kontakten med forskningsmiljøer, kan stimulere til forskning på personvern, samtidig som personvernhensyn også blir ivaretatt i annen forskning.

Vårt eget utrednings- og kartleggingsarbeid utgjør også en viktig kilde til kunnskap. Det gir dybde til ulike temaer vi jobber med og er med på å skape oppmerksomhet om personvernspørsmål. Resultater fra dette arbeidet legges også til grunn ved bruk av de øvrige virkemidlene.

Regulatorisk sandkasse

I den regulatoriske sandkassen for kunstig intelligens, tilbyr vi kvalifisert veiledning til utvalgte virksomheter. Målet med sandkassen er å stimulere til utvikling av innovative og samfunnsnyttige tjenester med godt, innebygd personvern. Sandkassen vil hjelpe virksomhetene til å følge regelverket, og samtidig bidra til kompetansebygging både hos den enkelte virksomhet og innad i Datatilsynet.

Personvernombudsordningen

Personvernombudsordningen er et utpreget organisatorisk virkemiddel. Antall personvernombud i landet vokser stadig, og ombudene er viktige ambassadører for personvern både i offentlige og private virksomheter. Vi har utarbeidet en egen strategi for arbeidet vårt med personvernombud over hele landet.

Råd, utvalg og dialog

Deltagelse i ulike råd og utvalg er et godt virkemiddel for å best mulig kunne påvirke aktører til å etablere god praksis. Det samme gjelder deltagelse i arbeid knyttet til innebygd personvern og regelverksutvikling. En slik måte å arbeide på egner seg særlig på områder der det pågår større reformer og utviklingsarbeid, særlig dersom de er teknologidrevne.

Organisasjon

Datatilsynet er administrativt underlagt Kommunal- og distriktsdepartementet (KDD). Bjørn Erik Thon gikk av som direktør i Datatilsynet etter to åremål på til sammen 12 år, og trådte inn i ny stilling som likestillings- og diskrimineringsombud i februar 2022. Avdelingsdirektør Janne Stang ble konstituert som direktør fra og med 4. februar og frem til vår nye direktør Line Coll tiltrådte 1. august 2022. Datatilsynet har dermed hatt tre direktører i rapporteringsperioden.

I tillegg består ledergruppen av fire avdelingsdirektører – en mann og tre kvinner. Ved årsskiftet hadde vi dessuten seks seksjonsledere – tre menn og tre kvinner. Til sammen utgjør dette Datatilsynets utvidede ledergruppe.

Organisering/ansatte

Datatilsynet hadde 68 ansatte per 31. desember 2022. Av disse var 55 stillinger faste og 13 midlertidige. De midlertidige stillingene er prosjektstillinger knyttet til sandkassen (6 stykker) og studenter som betjener veiledningstjenesten. Studentene har en stillingsbrøk på 25 prosent og er samlet beregnet til 2,1 årsverk.

Seks fast tilsatte og tre studenter sluttet i løpet av 2022. Syv av disse er erstattet ved årsskiftet, og rekrutteringsprosesser pågår. I hovedsak er turnover i løpet av året, reduserte stillingsbrøker og lengre perioder med vakanse årsaken til at samlet antall utførte årsverk er beregnet til 60,68 (DFØ modellen) og 64 etter SSB-statistikk.

 

2019

2020

2021

2022

Antall ansatte per 31. desember

45

58

72

68

Antall årsverk (DFØ-modellen)

42,4

51,6

60,6

60,68

Antall årsverk (SSB)

-

60

64

64

Kjønnsfordeling

De faste stillingene har en kjønnsfordeling på 58,8 prosent kvinner og 41,2 prosent menn. Kjønns­fordelingen i ledergruppen er 80 prosent kvinner og 20 prosent menn. Kjønnsfordelingen blant seksjonssjefene er 50 prosent menn og 50 prosent kvinner.

Avdelingene

Avdelingen for regelverksetterlevelse, internasjonal samhandling og sanksjoner (RIS) består av tre seksjoner som hver ledes av en seksjonssjef:

  • seksjon for offentlige tjenester
  • seksjon for private tjenester
  • internasjonal seksjon

Avdelingen for teknologi, analyse og sikkerhet (TAS) består av tre seksjoner som hver ledes av en seksjonssjef. I tillegg er intern sikkerhetsleder (CISO) organisert direkte inn under avdelingsdirektøren TAS. Sikkerhetslederen rapporterer likevel direkte til direktør:

  • seksjon for analyse, utredning og politikk (UAP)
  • seksjon for intern IKT, sikkerhet og etterlevelse (ISE)
  • seksjon for teknologi, sikkerhet og tilsyn (TST).

Avdelingen for kommunikasjon og samfunnskontakt gir kommunikasjonsfaglige råd internt til seksjoner og ledelse, og har hovedansvar informasjonsspredning eksternt gjennom mediekontakt og egne kanaler. Avdelingen har også ansvar for ressursenheten for veiledning og enkel saksbehandling som består av studenter i deltidsstillinger.

Administrasjonsavdelingen har ansvar for arkivtjenesten, budsjett/regnskap, administrativ styring, sentralbordtjeneste og øvrige fellesfunksjoner. Avdelingen har også det overordnede personal­ansvaret (HR).

Organisasjonskart per 31. desember 2022:

organisasjonskart.jpg

Fordelingen på de ulike avdelingene/seksjonene (i tillegg til direktøren) er:

  • Avdeling for håndheving av regelverk, internasjonal samhandling og sanksjoner (RIS) – 31 medarbeidere
  • Avdeling for teknologi, analyse og sikkerhet (TAS) – 19 medarbeidere. Personvernombudet er organiser i TST, mens CISO er organisert under avdelingsdirektøren i TAS. Begge rapporterer til direktøren.
  • Avdeling for kommunikasjon og samfunnskontakt (KOM) – 5 medarbeidere, pluss 6 studenter
  • Administrasjonsavdelingen – 6 medarbeidere

Budsjett

Datatilsynet ble i 2022 tildelt 70 986 000 kroner. Dette er en videreføring av budsjettet for 2021, samt kompensasjon for lønns- og prisjusteringer. Budsjettet dekker Datatilsynets lønns- og drifts­kostnader, kostnader til utvikling og drift av IKT-systemer, etablering av nye digitale kommunikasjons­løsninger, informasjons- og kommunikasjonstiltak, kompetanseutvikling og kostnader knyttet til økt deltagelse i internasjonalt personvernarbeid.

Utvalgte hovedtall

Her har vi samlet noen hovedtall fra virksomheten vår. Nærmere omtale og kommentarer til tallene, finner dere under relevante kapitler i rapporten.

Fra årsregnskapet

 

2019

2020

2021

2022

Antall ansatte

45

581

722

683

Antall årsverk (SSB)

-

60

64

64

Antall årsverk (DFØ-modellen)

42,4

51,6

60,6

60,8

Samlet tildeling

57 672 000

66 703 000

67 845 000

70 986 000

Utnyttelsesgrad

-

96,67

98,62

96,37

Andel lønnsutgifter

68,6

71,7

77,7

75,7

Andel driftsutgifter

31,4

28,3

22,3

24,3

Lønn per årsverk

989 798

968 439

798 9004

833 900

1 Inkl. 8 midlertidige stillinger og 7 studenter i deltidsstillinger. 
2 Inkl. 6 midlertidige stillinger og 10 studenter i deltidsstillinger.
3 Inkl. 6 midlertidige stillinger og 7 studenter i deltidsstillinger.
4 Nedgang skyldes rekruttering av ansatte i lavere lønnstrinn.

kjønnsfordeling.jpg

Fra saksbehandlingen

 

2019

2020

2021

2022

Antall saker

3 118

3 271

3 474

3 519

Antall vedtak

285

252

306

301

Antall klager på vedtak

23

38

43

38

Antall omgjøringer av vedtak

-

-

6

5

Antall oversendelser til Personvernnemnda

16

22

26

22

Antall meldte avvik

1 893

2 008

2 255

2 250

Antall egeninitierte tilsyn1

-

-

-

28

Antall høringssvar

33

50

61

46

Antall sanksjoner

10

13

26

17

Antall innsynsbegjæringer

3 437

3 671

5 715

6 916

1 Vi startet ny tilsynsmetodikk og nye definisjoner av tilsynsbegreper i 2021, så tallene fra tidligere år er ikke sammenlignbare.

eInnsyn-liten.jpg 

Fra kommunikasjon og veiledning

 

2019

2020

2021

2022

Antall henvendelser til veiledningstjenesten

7 186

5 3641

5 911

5 313

Antall medieoppslag

4 233

4 391

5 173

4 281

Antall unike sidevisninger på datatilsynet.no

-

2 849 2932

6 307 509

6 823 888

  1 I 2020 kuttet vi veiledning på epost, så dette gjelder bare telefonhenvendelser.
  2 Vi fikk ny statistikkløsning 1. juli, så dette gjelder bare for de siste 6 mnd. av 2020.

 

Kontroll og saksbehandling

Personopplysningsloven, inkludert personvernforordningen, angir som omtalt over de langt fleste av Datatilsynets oppgaver og myndighet. I tillegg gir også kredittopplysningsloven, politiregisterloven, helseregisterloven og SIS-loven, i tillegg til en håndfull forskrifter oss oppgaver.

Mange av oppgavene innebærer skriftlig saksbehandling. En høy andel av henvendelsene som kommer inn til Datatilsynet, er klager på mulige brudd på personvernregelverket fra enkeltindivider. Ettersom regelverkets formål blant annet er å styrke enkeltindividets grunnleggende rettigheter, er plikten vår til å behandle disse klagene direkte formulert i forordningen.

I tillegg behandler vi søknader om godkjenning av bindende virksomhetsregler (BCR), ad hoc-kontrakter for overføring av opplysninger til tredjeland, atferdsnormer og så videre.

Vi kan også starte saker av eget tiltak, for eksempel på bakgrunn av tips fra publikum eller pressen. Vi mottar også et høyt antall meldinger om brudd på personopplysningssikkerheten (avviksmeldinger). Flere av disse meldingene fører til grundige undersøkelser.

Ifølge personvernforordningen er det de som er behandlingsansvarlige eller databehandlere som skal sørge for at regelverket etterleves. Lovbrudd kan få alvorlige konsekvenser. Regelverket inneholder bestemmelser om administrative sanksjoner og overtredelsesgebyr, som i de mest alvorlige tilfellene kan resultere i gebyrer på opptil 4 prosent av samlet global omsetning eller opptil 20 millioner euro.

Gjennomføring av tilsyn er et av virkemidlene Datatilsynet kan benytte seg for å gjennomføre samfunns­oppdraget. Vi skal gjennomføre tilsyn og kontrollere prioriterte områder basert på risiko. Vi skal systematisere og kommunisere funnene, samt følge opp etterlevelsen av pålegg. Tilsyns­virksomheten skal avdekke sårbarheter og manglende robusthet som kan medføre kompromittering, endringer på eller tap av innbyggernes personopplysninger. Videre skal vi sikre at de kontrollerte objektene har eller får på plass tiltak, rutiner og/eller retningslinjer som bidrar til robuste systemer for behandling av personopplysningene.

Vi opplever at stedlig tilsyn har en stor effekt, ikke bare for den virksomheten vi gjennomfører tilsynet hos, men også gjennom ringvirkningene funnene kan ha på andre virksomheter i ulike sektorer. Allerede fra vi varsler om et tilsyn, begynner den behandlings­ansvarlige å klargjøre og kanskje rydde opp i områder som vi varsler at vi skal se på. Vi ser også at leverandørene vi var på tilsyn hos, strakk seg langt for å bidra til at deres behandlings­ansvarlige skulle opptre i samsvar med regelverket og være bevisste på plikter i personvernregelverket.

Likevel har vi de siste årene valgt bort stedlig tilsyn. Rett etter innføringen av personvern­forordningen måtte vi la virksomhetene få på plass rutiner for å etterleve det nye regelverket, og selv har vi hatt fokus på å få på plass tilsynsmetodikk etter innføringen av det nye regelverket.

I strategien vår for 2022 besluttet vi imidlertid å få gjennomført noen stedlige og egeninitierte tilsyn. Det er etterspørsel og forventninger om tilsynsvirksomhet fra virksomhetene selv, ikke minst fordi resultatene fra våre tilsyn kan gi mer klarhet i hvordan de skal forstå regelverket.

Datatilsynet skiller mellom egeninitierte tilsyn og hendelsesbaserte tilsyn. Hendelsesbaserte tilsyn gjør vi fortløpende gjennom hele året. Egeninitierte tilsyn planlegges og velges bevisst ut for det kommende året. Alle våre tilsyn skal være risikobaserte, utvelgelsen baseres derfor på innkommende klager, meldinger om brudd på personopplysningssikkerheten, tips og henvendelser til veilednings­tjenesten.

Antall saker, saksdokumenter og innkomne klager

I 2022 har vi registrert et høyere antall nye saker enn noe tidligere år. I løpet av året registrerte arkivet 3 519 nye saker, og til sammen 6 072 nye innkommende dokumenter. Vi ser altså at antallet enkeltsaker går opp, mens antallet innkommende dokumenter totalt sett har gått noe ned. Trenden er uansett at antallet saker totalt har økt jevnt siden innføringen av det nye regelverket i 2018, og ikke minst sammenlignet med årene før. For å vise økningen har vi også tatt med antall nye saker i 2013 i figuren, og vi ser da at antallet er mer enn doblet i løpet av ti år.

antall saker.jpg antall dokumenter.jpg

Dokumentproduksjonen i tilsynet har også hatt en signifikant økning. I 2022 sendte vi ut totalt 5 664 dokumenter, mot 5 222 i 2021. Dette innebærer en økning på om lag 8 prosent. Vi ser også en tilsvarende økning i antallet overtredelsesgebyr og klager på enkeltvedtak som er sendt til behandling i Personvernnemnda (se nedenfor).

Samlet sett ser vi altså at utviklingen siden innføringen av personvernforordningen i 2018 fortsetter, med både et høyere sakstall enn tidligere og et stigende antall utsendte dokumenter. Dette viser med tydelighet at arbeidsmengden innenfor saksbehandlingen i Datatilsynet stadig øker.

Hele 598 av de registrerte sakene gjelder klager på mulige regelverksbrudd fra enkeltpersoner. Et høyt antall av disse klagesakene, rundt 25 prosent, gjelder personvern i forbindelse med kunde- og medlemsforhold, og nivået er det samme som i fjor. Over hundre av sakene handler om personvern på arbeidsplassen. Det kan dreie seg om overvåking av arbeidstakernes bruk av e-post eller internett, kameraovervåking på arbeidsplassen eller lignende. Omtrent 12 prosent av klagene gjelder helseopplysninger.

Vi mottar også en betydelig andel klager på ulovlig behandling av personopplysninger som skjer ved hjelp av ulike digitale systemer eller tjenester, slik som internett, sosiale medier og applikasjoner for mobiltelefoner. Andre sakskategorier som er høyt representert her er kredittopplysninger og barns personvern.

Klager på Datatilsynets enkeltvedtak

I løpet av året fattet vi 301 enkeltvedtak. Bare 38 av enkeltvedtakene våre ble påklaget. Tallene er omtrent like som året før. I 22 tilfeller ble sakene sendt videre til Personvernnemnda for klage­behandling.

Hele 29 av klagene gjaldt avvisningsvedtak eller beslutninger om å avslutte saken. Vi mottok fem klager på overtredelsesgebyr vi hadde gitt, tre klager gjaldt irettesettelser og én gjaldt en sak hvor vi hadde gitt pålegg. I fem av tilfellene førte klagene til at vi helt eller delvis omgjorde vedtakene våre. Det ble sendt over én klage til KDD på avslag om å gi innsyn etter offentlighetsloven.

Totalt fattet Personvernnemnda 19 vedtak i løpet av 2022. I to av sakene ble vedtakene våre omgjort, mens et overtredelsesgebyr ble satt ned i en tredje sak.

antall vedtak og klager.jpg antall saker til PVN.jpg

Sanksjoner

Vedtak om OTG mm.jpg

I løpet av 2022 har Datatilsynet ilagt 17 overtredelses­gebyr. Det ble ikke gitt noen tvangsmulkter. Dette er en nedgang i antall overtredelsesgebyr sammenlignet med 2021, men tallet er fremdeles høyere sammenlignet med tidligere år. I tillegg utstedte vi 37 irettesettelser i løpet av året.

Overtredelsesgebyrene gjaldt blant annet brudd på person­opplysningssikkerhet, ulovlig overvåking på arbeids­plassen, innhenting av kredittopplysninger og ulovlig utlevering av person­opplysninger via mobilapplikasjoner.

Les om noen av de mest sentrale overtredelses­gebyrene under «Annen vesentlig aktivitet». 

Offentlighetsloven og innsynskrav – eInnsyn

Vi mottok hele 6 916 innsynsbegjæringer i løpet av 2022. De fleste innsynskravene mottas via eInnsyn. Dette innebærer en markant økning sammenlignet tidligere år. I fjor mottok vi 5 715 slike begjæringer, og i 2020 var tallet 3 671. Dette tilsvarer en økning på 21 prosent i forhold til i fjor, og sammenligner vi med 2020, ser vi at antallet nesten har doblet seg. Økningen har medført økt innsats til å håndtere alle begjæringene, og ikke minst har arbeidet med å vurdere meroffentlighet vært mer ressurskrevende enn noensinne. Vi sendte ut mer enn 2 000 sladdede dokumenter i løpet av året.

eInnsyn.jpg

Økningen i innsynsbegjæringer kan trolig delvis forklares med økt dokumentproduksjon som beskrevet over, og delvis med en stadig økende interesse for Datatilsynets virksomhet. Vi har iverksatt ulike tiltak for å imøtekomme den voksende etterspørselen, men alle tiltakene krever manuell innsats.

Som det fremgår av figuren, innvilger vi langt de fleste begjæringene. Det ble likevel gitt avslag på 493 forespørsler om innsyn, ettersom dokumentene inneholdt taushetsbelagt informasjon. I 2 019 tilfeller ga vi delvis innsyn som følge av meroffentlighetsvurderinger.

Vi legger flere ressurser i utøvelsen av offentlighet enn noen gang. Innsynsbegjæringene treffer særlig Datatilsynets juridiske avdeling. Avdelingen får som en følge av dette, mindre tid til å arbeide med de oppgavene som personvernforordningen foreskriver, og det samme gjelder oppgavene som følger av det øvrige regelverket vi har ansvaret for, slik som politiregisterloven og helseregisterloven. Vi stiller spørsmål ved om de digitale fellesløsningene for innsyn i offentlige saksdokumenter bør oppgraderes eller oppdateres for å imøtekomme denne trenden.

Vi mener den økte interessen for saksbehandlingen vår er positiv, og presseomtale av sakene våre kan bidra til økt oppmerksomhet om personopplysningsvern, både hos rettighetshavere og plikthavere. Åpenhet om forvaltningens virksomhet er selvsagt helt grunnleggende i et demokratisk samfunn, men vi er urolige for at den økende arbeidsmengden samtidig vil kunne føre til forsinkelser i saksbehandlingstiden og at det blir vanskeligere å utføre andre av tilsynets oppgaver på en optimal måte.

Høringer

Høringer.jpg

I løpet av 2022 mottok vi 150 høringssaker, en nedgang sammenlignet med året før. I virksomhets­­planen vår har vi fastslått at hørings­uttalelser i saker som ikke har stor betydning for personvernet, skal nedprioriteres. Likevel ga vi 46 uttalelser med merknader i løpet av året. De høringssakene som ikke blir besvart med merknader, blir likevel underlagt behandling. Hvis vi beslutter at en uttalelse ikke skal gis, tar vi høringssaken til etterretning.

Gjennom året har vi blant annet gitt hørings­uttalelser til forslag til utvidelse av gjelds­informasjons­ordningen og forslag om å styrke forbrukernes rett til å betale med kontanter. Vi har også kommet med høringssvar om PSTs etterretningsvirksomhet, og om behandling av åpent tilgjengelig, digital informasjon. Andre sentrale høringsuttalelser gjelder forslag til endringer i etterretningstjenestelovens bestemmelser om tilretteleggingsplikten, og forslag til endringer i ekomforskriften som skal utfylle bestemmelsene om IP-lagring.

I flere av uttalelsene som gjelder saker med stor betydning for personvernet, har vi pekt på at Datatilsynet burde ha blitt involvert på et tidligere stadium, slik personvernforordningen krever (artikkel 36 nr. 4). Personvernkommisjonen har skrevet det samme i sin rapport.

Les nærmere omtale om noen av de mest sentrale høringsuttalelsene våre under de prioriterte områdene.

Spesielt om meldinger om brudd på personopplysningssikkerheten (avviksmeldinger)

Personvernforordningen stiller krav til at brudd på personopplysningssikkerheten, ofte kalt avvik, skal meldes inn til Datatilsynet. I 2022 mottok vi 2 250 slike meldinger, noe som vil si et gjennomsnitt på i underkant av 190 meldinger per måned.

antall avviksmeldinger.jpg

I 2017, året før forordningen trådte i kraft, mottok vi 349 avviksmeldinger. Siden da har det altså vært en voldsom økning i antall meldinger om brudd. Antallet har imidlertid stabilisert seg de siste par årene, og vi ser at antall innmeldte brudd i 2022 ligger omtrent på samme nivå som året før.

Av de 2 250 meldingene, valgte vi å lukke 1 864 av dem uten grundigere saksbehandling på grunn av ressurskapasitet. Standardbrevet vi sendte til de vi ikke gikk videre med, minner likevel den behandlingsansvarlige om plikten til å håndtere bruddet etter artikkel 33 og 34, og til å lukke sårbarheten.

Når det gjelder rapporteringen om brudd til Datatilsynet, antar vi at det er langt flere som faktisk har meldepliktige brudd, enn de som melder fra til oss. Det er blant annet få meldinger om brudd på personopplysningssikkerheten fra flere større virksomheter, direktorat, kommuner og lignende der vi antar at det skjer meldepliktige brudd. Det er menneskelig å feile, og umulig å få til så robuste løsninger at de dekker alle aktuelle og fremtidige sårbarheter. Fra store virksomheter med mange ansatte, ligger det derfor en naturlig forventing om flere meldinger om brudd på personopplysnings­sikkerheten.

Antagelsen vår samsvarer med mørketallsundersøkelsen for 2022. Den viser at 12 prosent av bedriftene som har hatt sikkerhetshendelser, rapporterte til politiet. Bare 8 prosent oppga at de meldte fra til Datatilsynet. Vi er klar over at langt fra alle sikkerhetshendelser er brudd på person­opplysningssikkerheten, men vi synes dette er bekymringsverdig. Mørketallsundersøkelsen viste videre at fire av ti bedrifter sier at hendelser oppdages tilfeldig, og at noen hendelser oppdages gjennom medieoppslag. Det kan tyde på at sikkerhetsarbeidet er hendelsesstyrt og i så fall er det alvorlig.

En årsak til den manglende innmeldingen, kan være at en del virksomheter ikke er kjent med plikten til å melde ifra om slike brudd. Det kan også være at noen virksomheter mangler føringer internt for hendelseshåndtering, inkludert det å avdekke, og melde inn brudd på personopplysningssikkerheten

Det høye antallet avviksmeldinger fører uansett til mer ressursbruk til saksbehandling enn vi har kapasitet til, og vi må derfor prioritere å behandle de meldingene vi anser og antar som er mest personverninngripende. Avviksmeldingene er likevel en viktig kilde for oss om risiko, sårbarheter og trusler ved behandlingen av personopplysninger i ulike virksomheter. Sammen med annen statistikk, for eksempel fra tips og klager som kommer inn til oss, er dette del av grunnlaget vi bruker når vi skal planlegge risikobaserte tilsyn.

Hvilke typer brudd er meldt inn?

Avviksmeldingene vi får inn, varierer fra menneskelige feil som rammer én eller få personer, til mål­rettede hackerangrep med mange hundre tusen rammede og stor medieeksponering. Det vanligste bruddet på personopplysningssikkerheten, er at personopplysninger sendes til feil mottaker(e). Denne andelen har gått noe opp fra i fjor. Disse sakene utløser som oftest ingen reaksjon fra vår side, og de berørte personene er som regel informert om avviket når meldingen kommer inn til oss.

Avvvik - type brudd.jpg

Andre brudd kan utløse store overtredelsesgebyrer og få politiske konsekvenser. I 2022, som i 2021, har det vært en rekke store dataangrep mot så vel offentlige som private virksomheter. Andelen innmeldte brudd som skyldes eksterne tilsiktede angrep (hacking, malware og phishing), har likevel totalt sett sunket fra 13 prosent i 2021 til 4 prosent i 2022.

Med unntak av en svak nedgang i innmeldte dataangrep, er fordelingen relativt lik som året før. Kategorien «Annet» omfatter alt fra konsekvenser av manglende testing og opplæring, lagring på feil sted, manglende reservekopiering, manglende innebygd personvern i løsninger og programmer, og andre faktorer.

Hvem melder brudd på personopplysningssikkerheten til Datatilsynet?

En tredjedel av alle avviksmeldingene som sendes inn, kommer fra kommunesektoren. Det er omtrent samme andel som i 2021. Bergen og Oslo kommuner melder inn klart flest brudd. Det inkluderer hendelser på skoler, barnehager, ulike helsetjenester, innen eldreomsorg og barnevern. Kommunene er ansvarlige for mange av tjenestene som er nærmest enkeltindividet, og følgelig behandles mange person­opplysninger her, ofte også særlige kategorier av personopplysninger. Å løfte kommunenes kompetanse om personvern og informasjonssikkerhet er derfor en viktig prioritering for Datatilsynet.

avvik - sektorvis.jpg

Finanssektoren inkluderer blant annet bank, forsikring, inkasso og kredittvurdering. Denne sektoren står for 19 prosent av de innmeldte avvikene, en svak nedgang fra 2021. De færreste av disse gjelder særlige kategorier person­opplysninger.

Fordelingen mellom de øvrige sektorene er om lag lik som i 2021. Sekkekategorien «annen privat» inkluderer alle private selskaper som ikke faller naturlig inn under noen av de andre kategoriene.

Selv om en sektor melder mange avvik, er den ikke nødvendigvis en «personvernversting» av den grunn. Et høyt antall avvik kan også skyldes at sektoren behandler store mengder persondata, slik som for eksempel i finanssektoren, og at de har gode rutiner for å avdekke og melde inn alle typer avvik. På samme måte kan mangel eller fravær av innmeldte avvik skyldes at virksomhetene ikke har etablert en god hendelseshåndtering, og trenger ikke nødvendigvis bety at det ikke skjer brudd på personopplysningssikkerheten der.

Tilsynsvirksomheten

Basert på strategien vår, valgte vi i 2022 å se nærmere på følgende tema gjennom tilsynsvirksomheten:

  • oppfyllelse av personvernprinsippene og innebygd personvern
  • behandlingsansvar
  • ivaretakelse av registrertes rettigheter
  • om det er opprettet personvernombud og dennes plass i organisasjonen
  • kontrollere virksomhetenes styringssystem for personvern og informasjonssikkerhet

Gjennom året gjennomførte vi 28 egeninitierte tilsyn, fordelt på både privat og offentlig sektor. To av disse var Schengen-relaterte, de øvrige var hos Elkjøp, Telenor, tre ulike databehandlere i form av leverandører av trygghetsalarmer, 16 var relatert til forvaltning av kode 6 og 7 (trusselutsatte personer), fire i kriminalomsorgen, ett i Skatteetaten og ett hos Politiets IKT-tjeneste.

Oppsummeringen fra de tilsynene vi rakk å behandle ferdig i 2022, er at enkelte virksomheter har liten oversikt over roller og ansvar, og dermed også ofte mangler i styringssystem og ledelsens føringer for personvern og informasjonssikkerhet. Hos andre ser vi mangel på tilgangsstyring, logging og sletterutiner. Vi ser også mangler i de behandlingsansvarliges databehandleravtaler med deres leverandører.

Oversikt over de ulike tilsynsobjektene og hvilken metode som ble brukt:

Tilsynsobjekt

Metode

Politiets IKT-tjeneste (PIT)

Stedlig

Kriminalomsorgen

Stedlig

Schengentilsyn

Brevlig

Tilsyn med kode 6/7

Brevlig

Trygghetsalarmer

Stedlig

Skatteetaten – Folkeregisterets ansvar for å rette opp feil

Stedlig

Telenor – fokus på organisatoriske tiltak og personvernombudets rapportering

Stedlig

Elkjøp – om innebygget personvern knyttet til behandling av kundedata og utøvelse av rettigheter

Stedlig

Vi er mer bevisste på å plukke ut tilsynsobjekter basert på erfaringene våre relatert til tips, klager og meldinger om brudd på personopplysningssikkerheten. Vi benytter dessuten tilsyns­hjemmelen i øvrig saksbehandling og hendelsesbaserte tilsyn. Der tar vi utgangspunkt i risikoen for de registrerte gjennom det vi mottar av klager, avviksmeldinger, tips, media og telefoner inn til veiledningstjenesten.

Tilsynsmetodikk

I 2021 godkjente ledelsen en ny metodikk for gjennomføring av tilsyn. Metodikken er basert på «ISO 19011 – Veiledning for revisjon av ledelsessystemer» og «ISO 9001 – Sertifisering av kvalitetssystem», men tilpasset personvernforordningens tilsynskriterier og tilsynsarbeidet vårt.

I 2022 ble denne tilsynsmetodikken benyttet i forbindelse med alle de stedlige tilsynene. Prosjektet som utviklet metodikken har fungert som mottaksapparat for tilbakemeldinger fra tilsynsteamene, og har sammen med tilsynslederne hatt fokus på kontinuerlig forbedring av metodikken. Arbeidet med en ny og forbedret versjon av metodikken har startet, og den nye versjonen er utvidet til å også omfatte første versjon av metodikk for gjennomføring av algoritmetilsyn.

De fire fasene i vår gjennomføring av tilsyn:

Tilsynsvirksomheten.jpg

Tilsynskoordinatoren er ansvarlig for et årshjul for egeninitierte tilsyn, bistår tilsynsteamene med planleggingen og gjennomføringen av tilsyn, samt rapporterer om status til ledelsen. Koordinatoren har en samlet oversikt over den interne tilsynsaktiviteten og er en ressursperson for tilsynslederne og for oppfølgingen. I tillegg har koordinatoren det overordnede ansvaret for kontinuerlig evaluering og oppdatering av tilsynsmetodikken, samt gjennomføring av intern opplæring.

Datatilsynet har plikt til å underrette Statsforvalteren om kommende tilsyn i kommunesektoren. Tilsynskoordinatoren har deltatt i flere tilsynsfora hos Statsforvalterne for å bidra til en nasjonal samordning av tilsynsaktiviteten. Koordinatoren har også ansvar for å registrere planlagte og hendelses­baserte tilsyn med kommuner og fylkeskommuner i den nasjonale tilsynskalenderen. Dette bidrar til at den samlede tilsynsbelastningen for den enkelte kommune og fylkeskommune ikke blir for stor.

Internasjonalt arbeid og samarbeid

Internasjonalt samarbeid er svært viktig for Datatilsynet siden personvernforordningen skal tolkes likt i hele EØS. Hva som skjer i andre EØS-stater og i Det europeiske personvernrådet (European Data Protection Board – EDPB) kan påvirke handlingsrommet vårt.

Det er nedfelt i strategien vår at vi skal påvirke og ta lederrollen i noen utvalgte internasjonale prosesser for å fremme bedre personvern. Datatilsynet har fortsatt å engasjere seg i temaer og saker som kan ha mye å si for personvernet i Norge. I 2022 ble det enda tydeligere enn før at Datatilsynets internasjonale arbeid i Personvernrådet har resultert i gode påvirkningsmuligheter i EU. Datatilsynet har påvirket utfallet i flere store og betydningsfulle saker på EU-nivå, og vi har gjort oss bemerket i den politiske diskusjonen om håndhevingen av personvernforordningen.

Deltakelse i Personvernrådet med ekspertgrupper

Personvernrådet er et uavhengig EU-organ opprettet i henhold til personvern­forordningen. De viktigste oppgavene til rådet er å komme med retningslinjer og uttalelser om hvordan personvernforordningen skal forstås og sikre at den tolkes på en ensartet måte i EØS. Dessuten er rådet den øverste rådgivende forsamlingen for EU-kommisjonen i spørsmål om personvern.

Personvernrådet består av datatilsynsmyndighetene i EU og EØS. Datatilsynet er fullverdig medlem, men siden Norge er en EØS-stat, har vi ikke rett til å stemme eller stille til valg som rådets leder eller nestleder. Datatilsynet deltar i Personvernrådets plenumsmøter, som vanligvis holdes omtrent én gang i måneden. I tillegg deltar vi i samtlige av rådets ekspertgrupper:

  • Border, Travel and Law Enforcement Expert Subgroup
  • Compliance, e-Government and Health Expert Subgroup
  • Cooperation Expert Subgroup
  • Enforcement Expert Subgroup
  • Financial Matters Expert Subgroup
  • International Transfers Expert Subgroup
  • IT Users Expert Subgroup
  • Key Provisions Expert Subgroup
  • Social Media Expert Subgroup
  • Strategic Advisory Expert Subgroup
  • Taskforce on Fining
  • Technology Expert Subgroup

De fleste ekspertgruppene møtes også som regel én gang i måneden. Gruppene diskuterer og forbereder saker og dokumenter for plenumsmøtene i Personvernrådet, hvor de endelige avgjørelsene om retningslinjer, uttalelser og så videre blir fattet. Til sammen ni jurister og én teknolog fra Datatilsynet deltok fast i Personvernrådets plenums- og ekspertgruppemøter i 2022.

Hver ekspertgruppe ledes av én eller flere koordinatorer. Datatilsynet bidrar med én av to koordinatorer for Social Media Expert Subgroup.

I tillegg til ekspertgruppene finnes det flere ad hoc-arbeidsgrupper, typisk for koordinering i ulike sakskomplekser. Vi deltar også i dette arbeidet.

Under Personvernrådet er det opprettet en egen komité, Coordinated Supervision Committee, for koordinering av tilsyn med store EU-plattformer. I 2022 deltok én jurist fra Datatilsynet i komiteens møter.

Personvernrådet har dessuten et eget kommunikasjonsnettverk som diskuterer kommunikasjons­strategi og -tiltak, samt deler nasjonale nyhetssaker. Én kommunikasjonsmedarbeider deltok fast i nettverket i 2022.

Rapportøroppdrag

I 2022 har Datatilsynet vært hovedrapportør for Personvernrådets retningslinjer om teknologi som kan avsløre og rapportere barneovergrepsmateriale på nett. Dette arbeidet fortsetter inn i 2023.

Datatilsynet har dessuten vært en del av rapportørteamet for Personvernrådet og European Data Protection Supervisors felles uttalelse om EUs nye lovforslag om forebygging og bekjempelse av barneovergrepsmateriale. Vi har også vært en del av rapportørteamet for én av Personvernrådets bindende beslutninger i tvisteløsningsmekanismen etter personvernforordningen.

Internasjonal saksbehandling / IMI

Personvernforordningen kapittel VII og VIII inneholder nærmere regler om saksbehandlingen ved såkalt grenseoverskridende behandling av personopplysninger. I denne typen saker må alle berørte datatilsynsmyndigheter identifiseres, og deretter vil en ledende datatilsynsmyndighet bli utpekt etter nærmere regler. Den ledende datatilsyns­myndigheten undersøker så saken, og legger deretter frem et utkast til avgjørelse som de berørte datatilsyns­myndighetene kan komme med innsigelser mot. Til denne prosessen brukes det et saksbehandlings­system som heter Internal Market Information System (IMI).

berørt og ledende tilsynsmyndighet.jpgInternasjonal saksbehandling krever at vi fortløpende følger med på hva som skjer i IMI, siler saker og gir tilbakemelding der det er nødvendig. I de aller fleste sakene kommer tilsynsmyndighetene til enighet om hva avgjørelsene skal gå ut på, men særlig i saker om de største internasjonale teknologiselskapene, kan det være krevende å komme til enighet med den ledende tilsyns­myndigheten.

I 2022 har vi som berørt tilsynsmyndighet kommet med innsigelser i to saker som gjelder store, internasjonale teknologiselskaper. Når vi kommer med innsigelser, må ledende tilsyns­myndighet enten ta innsigelsen til følge, eller saken må behandles i Personvernrådet gjennom personvernforordningens tvisteløsnings­mekanisme. I 2022 ble flere av våre innsigelser fra 2021 og 2022 behandlet av Personvernrådet, og Datatilsynet er meget fornøyd med utfallet av denne behandlingen. 

I 2022 ble vi identifisert som berørt datatilsynsmyndighet i 178 nye saker. I samme periode ble vi identifisert som ledende tilsynsmyndighet i 16 saker. En stor andel av de grenseover­skridende sakene fra tidligere år er fremdeles åpne ved årsskiftet, siden saksbehandlingstiden i denne typen saker er lengre enn for andre saker.

Godkjenning av overføringsgrunnlag

Datatilsynet kan godkjenne bindende konsernregler (BCR) som grunnlag for overføring av personopplysninger ut av EØS. Dette krever imidlertid samarbeid med andre datatilsynsmyndigheter i EØS, samt at BCR-søknaden må legges frem for Personvernrådet for en uttalelse.

Ved utgangen av 2022 hadde vi, som ledende tilsynsmyndighet, elleve åpne søknader om godkjenning av BCR som overføringsgrunnlag.

I tillegg har Datatilsynet i 2022 gjennomgått tre BCR-søknader hvor en tilsynsmyndighet i et annet EØS-land er den ledende tilsynsmyndigheten (såkalt co-review). Dette er en del av prosessen før en BCR kan legges frem for Personvernrådet.

Norske konsern som har fått en godkjent BCR, skal årlig sende oss en oppdatering som må gjennomgås. Ved utgangen av 2022 gjaldt dette ti konsern.

Schengen-samarbeid

Datatilsynet er tilsynsorgan for den nasjonale behandlingen av personopplysninger i de felleseuropeiske systemene som er etablert gjennom Schengen-samarbeidet, Schengen informasjonssystem (SIS) og visuminformasjonssystemet VIS. I 2022 fikk vi også nye oppgaver etter Eurodac II-forordningen.

Oppgavene våre består av tilsyn, behandling av klager fra registrerte, informasjon og veiledning, deltagelse i samarbeidsfora på europeisk nivå og besvarelse av høringer om regelverksendringer. Vi deltar også ved evaluering av andre medlemsstaters etterlevelse av Schengen-regelverket på personvernområdet. Schengen-systemene skal utvides i årene fremover, og med det blir Datatilsynet tillagt flere tilsyns- og rapporteringsoppgaver. 

Som ledd i det pågående arbeidet vårt med å overholde forpliktelsene som følger av Schengen-regelverket, har vi opprettet en tverrfaglig intern gruppe som har ansvaret for koordinering og gjennomføring av Schengen-oppgaver. I 2022 utarbeidet denne gruppen en egen strategi for Datatilsynets arbeid med Schengen-forpliktelsene.

Schengen-evaluering av Norge

Som medlem i Schengen-samarbeidet er Norge regelmessig gjenstand for inspeksjon og evaluering gjennom den såkalte Schengen-evalueringsmekanismen. Formålet med slike evalueringer er å sikre at Schengen-regelverket anvendes effektivt og enhetlig av medlemsstatene, samtidig som det opprettholdes et høyt nivå av gjensidig tillit mellom medlemslandene.

I juni 2022 ble det gjennomført en evaluering av Norges etterlevelse av Schengen-regelverket på personvernområdet. Evalueringen ble gjennomført av en delegasjon bestående av representanter fra forskjellige EU-/EØS-land og fra EU-kommisjonen. Delegasjonen besøkte Datatilsynet 27. juni 2022. Her fikk de blant annet presentert våre tilsyns- og kontrolloppgaver knyttet til SIS og VIS. I løpet av inspeksjonsperioden ble det også gjennomført besøk hos Utlendingsdirektoratet og Politiet.

I etterkant av evalueringen avgir delegasjonen en rapport til EU-kommisjonen. Evalueringsrapporten om Norges etterlevelse på personvernområdet var ikke klar på rapporteringstidspunktet.

Koordineringsgrupper for tilsyn med SIS, VIS og Eurodac

Som nevnt deltar Datatilsynet i samarbeidsfora på europeisk nivå. Det er etablert tre koordinerings­grupper med formål å koordinere og utveksle informasjon om datatilsyns­myndighetenes tilsyn med nasjonal behandling av personopplysninger i henholdsvis SIS, VIS og Eurodac. Vi er fullverdig medlem av disse gruppene, og i 2022 deltok én jurist i disse møtene.

Global Privacy Assembly (GPA)

GPA er et den største internasjonale sammenslutningen av datatilsynsmyndigheter, og består av datatilsyn fra hele verden. I 2022 deltok én jurist og én samfunnsviter på GPAs årsmøte. Dessuten deltar Datatilsynet i tre av GPAs arbeidsgrupper, med én jurist i hver: International Enforcement Working Group, Digital Citizen and Consumer Working Group og Digital Education Working Group.

Datatilsynet er én av fire såkalte co-chairs for International Enforcement Working Group.

Nordisk møte

Datatilsynsmyndighetene i Norge, Island, Finland, Danmark, Sverige, Færøyene og Åland har årlige møter for å diskutere i personvernspørsmål i kontekst av våre nordiske verdier. I 2022 fant det nordiske møte sted i Helsinki. Under møtet ble vi enige om å fortsette det tette, nordiske samarbeidet, blant annet når det gjelder barns personvern i kontekst av gaming. De nordiske datatilsynsmyndighetene vil dessuten fokusere på de nye lovforslagene fra EU på det digitale feltet, noe vi frykter kan føre til fragmentert håndhevelse og ressursutfordringer.

Internasjonalt samarbeid mellom datatilsyns-, forbruker- og konkurransetilsynsmyndigheter

Personvernrådet og det tilsvarende forumet for forbrukertilsynsmyndigheter, Consumer Protection Cooperation Network (CPC), har satt i gang et arbeid for å se hvordan data- og forbrukertilsyns­myndighetene kan samarbeide tettere. Dette arbeidet er inspirert av gode eksempler i ulike EØS-land, der det norske Datatilsynets nære samarbeid med Forbrukertilsynet har blitt fremhevet. Vi har en sentral rolle i dette arbeidet. Arbeidet har fortsatt i 2022, og én jurist har deltatt.

Én av GPAs arbeidsgrupper, Digital Citizen and Consumer Working Group, ser særlig på krysnings­punktet mellom personvern, forbrukervern og konkurranserett, og vi er som nevnt over medlem av denne arbeidsgruppen.

Andre samarbeid

Datatilsynet er også med i andre internasjonale fora, slik som den såkalte Berlingruppen (International Working Group on Data Protection in Technology – IWGDPT) og Global Privacy Enforcement Network (GPEN).

Spesielt om regulatorisk sandkasse for ansvarlig kunstig intelligens

2022 var det andre året med operativ drift for Datatilsynets regulatoriske sandkasse. Sandkassen ble opprettet høsten 2020 og de første prosjektene startet på nyåret i 2021.

Målet med sandkassen er å stimulere til innovasjon av etisk og ansvarlig KI fra et personvern­perspektiv. Sandkassen hjelper enkeltaktører med å følge regelverket og utvikle personvernvennlig kunstig intelligens. For å skalere effekten av sandkassen deler vi de konkrete vurderingene og løsningene vi kommer frem til slik at andre virksomheter som tar i bruk kunstig intelligens kan hente inspirasjon og læring fra sandkasseprosjektene.

Sandkassen var i 2022 finansiert av et tverr-departementalt samarbeid. Det inkluderer Kommunal- og distriktsdepartementet, Arbeids- og sosialdepartementet, Helse- og omsorgsdepartementet, Kunnskapsdepartementet, Nærings- og fiskeridepartementet og Samferdselsdepartementet.

Gjennomførte aktiviteter

I 2022 har hovedaktivitetene i sandkassen vært gjennomføring og avslutning av prosjekter, samt opptak av tre nye prosjekter. Utadrettet kommunikasjon for å få søkere og for å spre læringen fra prosjektene, har også vært en prioritet.

Datatilsynet har evaluert alle sandkasseprosjektene som er gjennomført. Evalueringene av prosjektene inkluderte både de eksterne deltakerne og de som var involvert fra Datatilsynet. Tilsynet har også fullført en anskaffelsesprosess av en ekstern aktør, som skal evaluere effekten av sandkassen. Aktøren ble valgt i desember 2022 og arbeidet med evalueringen starter opp i januar 2023.

Sandkasseprosjekter

Sandkassen publiserte sluttrapporter for følgende prosjekter i 2022:

  • NAV vil bruke KI til å predikere sykefraværslengden til sykmeldte personer. Formålet er å få en mer brukervennlig og effektiv oppfølging av sykmeldte. Sandkasseprosjektet utforsket hvilken informasjon saksbehandler trenger om hvordan algoritmen kommer frem til en anbefaling, for at vedkommende kan ta en god beslutning. Prosjektet avdekket også at det er uklart hjemmels­grunnlag for utvikling av kunstig intelligens i særlovgivningen. Funnet er relevant for andre sektorer innen det offentlige, der utydelig regelverk (når det gjelder bruk av personopplysninger til å utvikle kunstig intelligens) kan være en barriere for innovasjon.
  • Secure Practice ønsker å utvikle en tjeneste som profilerer ansatte, for å kunne tilby tilpasset sikkerhetsopplæring. I sandkassen synliggjorde vi hvordan rollen til Secure Practice som databehandler/behandlingsansvarlig kan brukes til å begrense arbeidsgiverens tilgang til de ansattes data for å ivareta personvernet på en god måte. Vi gjennomførte også fokusgrupper, som bidro til å belyse hvilke behov den ansatte har for informasjon om hvordan opplysningene deres brukes.
  • Kommunenes interesseorganisasjon (KS) ønsker å analysere elevers data fra ulike digitale læringsverktøy for å støtte lærerne i vurderingsarbeidet og for å tilpasse undervisningen bedre til elevenes individuelle nivå. KS samarbeider med Slate ved Universitetet i Bergen og Utdanningsetaten i Oslo i prosjektet, og temaet var behandlingsgrunnlag og åpenhet. Dette er et foregangsprosjekt som viser hvordan utdanningssektoren kan implementere kunstig intelligens i læringsverktøy på en personvernvennlig og ansvarlig måte.
  • Finterai er en oppstartsbedrift som vil gå løs på et samfunnsproblem innen finanssektoren: hvitvasking og terrorfinansiering. De vil benytte seg av føderert læring, en desentralisert metode, som blir ansett som mer personvernvennlig. Slik skal bankene lære av hverandres data uten å faktisk dele dem. Prosjektet hadde spesielt fokus på behandlingsansvar, dataminimering og sikkerhet.
  • Helse Bergen HF ønsker å bruke kunstig intelligens til å peke ut hvilke pasienter som står i fare for å komme kjapt i retur til sykehuset. Ved å bruke et slikt verktøy kan helsevesenet gi bedre oppfølging på tvers av helsetjenestene, i håp om å spare pasientene og samfunnet for unødige innleggelser. Dette prosjektet gikk i dybden på spørsmål knyttet til lovlighet, åpenhet og rettferdighet.
  • Simplifai ønsker å ta i bruk maskinlæring for å identifisere og foreslå hvilke eposter og tilhørende dokumenter som regnes som arkivverdige. Målet er å hjelpe offentlig sektor med å møte arkiveringskravene i regelverket og effektivisere arkiveringsprosessen. Sandkasseprosjektet har sett på lovligheten i løsningen og innebygd personvern ved kjøp av intelligente løsninger.

Opptak av nye prosjekter

sandkassesøknader.jpg

I 2022 hadde vi en opptaksrunde i mars. Det kom inn 11 søknader hvorav 8 var fra privat sektor og tre fra offentlig sektor. Det var en nedgang i antallet søknader fra tidligere runder. Vi tror nedgangen kan komme av at vi gikk mindre bredt ut med informasjon denne gangen, og at vi var spissere i presiseringen av hvilke prosjekter vi ønsker å ha med i sandkassen. Alle 11 prosjektene var imidlertid relevante, og opptakskomiteen hadde mange gode prosjekter å velge imellom.

Opptakskomiteen bestod av en intern, tverrfaglig gruppe som gjennomførte samtaler med samtlige søkere. Tilsynet fikk hjelp av en ekstern referansegruppe til å vurdere samfunnsnytten (som er ett av opptakskriteriene) til prosjektet. Denne gruppen består av representanter fra Innovasjon Norge, Norsk Regnesentral, Likestillings- og diskrimineringsombudet og Tekna. Den endelige utvelgelsen av prosjektene ble gjort av styringsgruppen som består av ledelsen i tilsynet.

Følgende prosjekter ble valgt ut og hadde oppstart sommeren 2022:

  • Ruter ønsker å bruke kunstig intelligens i forsøket på å forstå kundenes behov og bevegelsesmønstre, for å kunne tilby persontilpassede tjenester innen kollektivtransport.
  • Ahus vil utvikle en algoritme som skal kunne forutsi faren for hjertesvikt. Verktøyet bygger blant annet på EKG-målinger og er tenkt brukt som beslutningsstøtte i klinikken.
  • Doorkeeper er et oppstartsfirma ønsker å tilby personvernvennlig intelligent videoanalyse.

Utadrettet aktivitet

Åpenhet rundt prosess og konklusjoner i sandkassen er en viktig del av sandkassemetoden for å skalere effektene av prosjektene. Derfor er det vesentlig å publisere prosjektplaner og sluttrapporter fra alle prosjektene på nettsidene våre.

Rapporter

I løpet av 2022 har vi publisert seks sluttrapporter. Vi sendte ut pressemeldinger ved lansering av rapportene, noe som ofte genererte eksterne oppslag. Det ble også skrevet blogger og artikler eller arrangert webinarer for hver rapportpublisering, der essensen av læringen i prosjektet ble dratt fram.

På tampen av 2022 publiserte vi en erfaringsrapport om åpenhet i kunstig intelligens, der et tema som gikk igjen i tre av de første prosjektene ble løftet fram. Det er den første rapporten fra sandkassen som ikke er en sluttrapport, og er et startskudd for at læringen fra sandkassen i fortsettelsen skal pakkes om og tematiseres på forskjellige måter.

Podkast og formidling gjennom kommunikasjonskanalene våre

Vi slapp fem podkast-episoder i serien SandKasten: Én for hvert av prosjektene i andre sandkasserunde, i tillegg til to episoder som er opptak av arrangementer vi holdt på CPDP-konferansen og Arendalsuka.

Sandkassen sto ellers bak ett innlegg i Personvernbloggen og sendte ut 12 nyhetsbrev. Vi har dessuten hatt to annonser med redaksjonelt innhold, én i Aftenposten/BT og én på dn.no. Den første fokuserte på sandkassemetoden, mens den andre viste fram hvor mye vi har fått til i sandkassen.

Det har også blitt laget en kommunikasjonsplan for 2023, som tar for seg et økt fokus på å få generert kunnskap fra sandkassen helt fram – i forskjellige formater om ulike tema – til de som trenger hjelpen.

Arrangementer

I løpet av året sto vi for seks arrangementer. To av dem var i anledning rapportlanseringer: Ett sammen med KS, Utdanningsetaten i Oslo og Slate/UiB i anledning AVT-rapporten. Det andre var i samarbeid med Finansforbundet i anledning lansering av Finterai-rapporten.

I mai sto sandkassen som arrangør for et panel under CPDP-konferansen i Brüssel, med tittelen «A Sand Storm or Just a Breeze? What’s the Fuss About Sandboxes?». Under Arendalsuka arrangerte vi et panel sammen med Likestillings- og diskrimineringsombudet, med tittelen «Når algoritmer saksbehandler». I april arrangerte vi et erfaringsseminar om sandkasser i samarbeid med de andre sandkassene i landet «hjemme hos» Arkivverket. Og i november holdt vi det årlige Sandkasseseminaret (digitalt), der vi trakk fram læring fra et utvalg av prosjektene.

I tillegg har vi blitt invitert, og har deltatt, på rundt 25 arrangement i både inn- og utland der vi samlet sett har nådd et publikum på rundt 3450. I de fleste tilfellene er det sandkasse som metode og konkrete læringer fra sandkassen som er temaet. For eksempel presentere vi funn fra Helse Bergen- og Ahus-prosjektet på helsekonferansene EHiN2022 og Normkonferansen 2022.

Koordineringsmøter

Vi har fortsatt å arrangere koordineringsmøter med de andre norske sandkassene. I tillegg til Arkivverket og Finanstilsynet, har Digitaliseringsdirektoratet og Helsedirektoratet kommet til i løpet av 2022. Også det europeisk nettverket for sandkasser, som vi holder i, har vokst fra ICO i Storbritannia og CNIL i Frankrike, til å inkludere Island og Sverige. Vi har også hatt møter med politiske rådgivere i EU, som vil ta med seg den norske sandkassens erfaringer inn i prosessen med AI Act, der det ligger an til å anbefale alle medlemsland å etablere egne sandkasser for kunstig intelligens. 

Annet

Vi opplever fortsatt en stor interesse for sandkassen, både nasjonalt og internasjonalt, og har opplevd at både sandkassen som tiltak i seg selv og sandkassens programleder har blitt nominert til forskjellige priser. Datatilsynet har blitt intervjuet av fire ulike doktorgradsstipendiater om sandkassen, samt av to mastergradsstudenter og ett forskningsprosjekt i 2022.

Erfaringer

Sandkassen gir Datatilsynet og deltakende virksomheter muligheten til å gå i dybden på problemstillinger det ikke finnes enkle fasitsvar og rettslige avgjørelser på. I løpet av 2022 har vi spesielt utforsket spørsmål knyttet til krav til åpenhet, lovlighet, rettferdighet, innebygd personvern og dataminimering i kunstig intelligens-løsninger. Gjennom prosjektene får vi også innsikt i tekniske og organisatoriske spørsmål som kan bidra til å senke terskelen for å få til personvernvennlig innovasjon. Eksempler på dette er innsikt i hvordan føderert læring kan bidra til personvernvennlig deling uten å faktisk dele data, og en bedre forståelse av hvordan tydelige krav til personvern i anskaffelse av kunstig intelligens kan bidra til bedre løsninger.

Evalueringene fra de gjennomførte prosjektene viser at nytteverdien for både deltakerne og Datatilsynet er stor. Deltakerne melder tilbake at de har får viktige avklaringer i prosjektene. Datatilsynet opplever at sandkassen bidrar til å bygge verdifull intern kompetanse som er viktig for at tilsynet skal kunne gi veiledning, gjøre saksbehandling og tilsynsvirksomhet på dette området på en god og kompetent måte.  Opptaksrunden i 2022 var tredje runde med prosjekter, og erfaringene fra tidligere runder gjorde at prosjektgjennomføringen ble mer effektiv og rapportskrivingen enklere fordi grunnleggende tematikk allerede var behandlet i tidligere sluttrapporter.

Datatilsynet opplever stor interesse for sandkassemetoden og tematikken både nasjonalt og internasjonalt, og har bygget betydelig kompetanse som gjør at vi ligger blant de fremste tilsynene på dette området internasjonalt. Metoden er en måte å jobbe på som fostrer læring og dialog om ny teknologi og rettslige krav som det finnes lite presedens på. Vi ser på sandkassen som et viktig verktøy som bidrar til praktisk kunnskap om hvordan regelverket skal anvendes i et økende digitalisert samfunn. Satsingen er nå under evaluering.

Spesielt om barn og unge

Datatilsynet har i flere år prioritert å jobbe med personvernutfordringer som gjelder barn og unge i omsorgs- og utdanningsløp.

Barn blir i stor grad registrert og vurdert i digitale løsninger. Denne kartleggingen begynner på helsestasjonen, og fortsetter i barnehagen og på skolen. Mange ønsker å bruke og dele opplysningene for ulike formål. Økt digitalisering og registrering innebærer også en fare for at det blir behandlet overskuddsinformasjon om barn.

Barn er gitt en rett til særskilt beskyttelse gjennom personvernregelverket. Det er blant annet begrunnet med at behandling av deres opplysninger oftest besluttes av andre enn dem selv. I tillegg er det ofte vanskelig for barn å vurdere konsekvensene av hva behandlingen av deres personopplysninger medfører i de tilfellene der de selv kan bestemme.

Særskilte utfordringer oppstår når all aktivitet, alle vurderinger og alt som kommuniseres skal skje gjennom digitale løsninger. Trygg bruk av slike verktøy forutsetter kunnskap på mange nivåer, fra de som utvikler og tilbyr systemer og tjenester, kommuner som skal kjøpe inn systemer og tjenester og sitter med det overordnede ansvaret, til skoler, lærere, elever og foreldre som skal bruke disse løsningene.

Datatilsynet mottar fortsatt mange meldinger om brudd på personopplysningssikkerheten som følge av manglende kunnskap og manglende risikoforståelse knyttet til digitale verktøy.

Utfordringsbildet i sakene vi har mottatt i 2022, tilsvarer tidligere år. Det er fremdeles varierende kompetanse blant ansatte i stat, kommune og fylkeskommune om hvordan opplysninger skal behandles i tråd med personvernregelverket.

Gjennom 2022 har vi imidlertid også sett flere positive initiativer fra sentrale aktører som arbeider med å bedre personvern for barn og unge.

Deltakelse på arrangementer og i råd og utvalg

Datatilsynet ser positivt på at det er iverksatt flere initiativ fra sentrale aktører med formål å bedre personvern for barn og unge, og vi har i 2022 prioritert å delta på de arbeidene og arrangementene vi har blitt invitert til.

Vi har hatt jevnlig kontakt med KINS og KS sitt prosjekt SkoleSec. Datatilsynet har bidratt til gjennomføring av konferanser og arrangement gjennom planlegging og foredrag. I tillegg har vi levert innspill til Utdanningsdirektoratet i arbeidet med å gi veiledning gjennom en kompetansepakke for personvern rettet mot lærere og skoleeiere.

Datatilsynet har også takket ja til å levere innspill til Kunnskapsdepartementets ekspertgruppe for digital læringsanalyse, og vi har vi blitt invitert til å gi innspill til departementets arbeid med analyse av data om barn og unge.

Vi deltar dessuten i en direktoratsgruppe i regi av Medietilsynet. Den jobber blant annet med en handlingsplan for trygg digital oppvekst.

Strømming av idrett for barn

Siden 2020 har Datatilsynet fått et økende antall henvendelser til veiledningstjenesten om strømming av idrett for barn. Denne trenden har fortsatt i 2022, og de som kontakter oss er både foresatte, frivillige i idrettsklubber og kommuner som arenaeiere.

I februar 2022 deltok Datatilsynet i et veiledningsmøte med Norges Fotballforbund, og vi ga da generell veiledning om regelverket i forbindelse med at særforbundet skulle lage retningslinjer for strømming for fotballklubbene.

I mars deltok vi et møte som barne- og familieministeren inviterte til for å diskutere hvordan det kan jobbes for at barn ikke blir ekskludert på grunn av at flere fritidsaktiviteter strømmes. Bekymringen er at barn som lever under strenge beskyttelsestiltak ikke kan delta på idrettsaktiviteter fordi de strømmes. Norges Idrettsforbund (NIF), Stine Sofie Stiftelsen og Medietilsynet deltok også på møte.

Datatilsynet deltok også på et møte om strømming mellom NIF og Redaktørforeningen i oktober, hvor vi redegjorde generelt for personvernregelverket.

I desember 2022 ble det stor medieoppmerksomhet knyttet til strømmetjenesten MyGame som strømmer kamper innen breddeidrett for barn ned til 15-årsklassen. De siste to ukene av 2022 mottok vi også flere tips om denne tjenesten. Vi vil følge nøye med på aktører og problemstillinger knyttet til strømming av idrett for barn i 2023.

I 2022 begynte vi også på arbeidet med en veiledning om strømming av idrett for barn. Den vil ferdigstilles i 2023.

Bruk av Googles skoleverktøy

I 2022 kom det danske Datatilsynet med en avgjørelse om bruk av Googles skoleverktøy. Den saken har vi fulgt med interesse. Det danske tilsynet fattet vedtak om at Helsingør kommune hadde tatt i bruk verktøyet uten at personvernregelverket var ivaretatt i tilstrekkelig grad. Manglene knyttet seg blant annet til manglende risikovurderinger, og risiko for gjenbruk av barns personopplysninger til kommersielle formål. Vi vil følge den videre utviklingen i saken, og vurdere om den også kan ha betydning for norske skoler.

Personvernkommisjonens rapport

Et av kapitlene i Personvernkommisjonens NOU-rapport, handler om personvern i skole og barnehage. Da utredningen kom, uttalte vi at vi støttet kommisjonens konkrete forslag til tiltak i forbindelse med digitaliseringen i skole og barnehage. Vi understreket også at det haster å få iverksatt relevante tiltak. Blant annet trakk vi frem at det er viktig å få på plass et forbud mot atferdsbasert markedsføring rettet mot barn, slik kommisjonen har foreslått.

Rapporten inneholder flere anbefalinger for å bedre personvernet i skole og barnehage. Vi ser at mange av anbefalingene er i tråd med allerede pågående initiativer og prosesser, og vi legger til grunn at mange av anbefalingene vil bli fulgt opp i 2023.

Annen vesentlig aktivitet

Akkreditering og sertifiseringsordninger

Datatilsynet har en prosjektgruppe med mandat til å legge til rette for etableringen av atferdsnormer og sertifiseringsordninger (jf. personvernforordningen artikkel 57 nr. 1 bokstav m, n, p og q og art 40-43).

Dette prosjektet er delt i tre faser:

  • Fase 1: Utarbeidelse og formell godkjenning av kriterier for akkreditering av kontrollorganer for atferdsnormer.
  • Fase 2: Utarbeidelse og formell godkjenning av tilleggskriterier for akkreditering av sertifiseringsorganer, samt etablere en mekanisme for akkreditering.
  • Fase 3: Utrede spørsmål knyttet til etableringen av en prosess for å evaluere og godkjenne kriterier for sertifiseringsordninger.

Fase 1 og første del av Fase 2 er ferdigstilt. Vi har i 2022 hatt jevnlige møter med Norsk akkreditering for å utrede etablering av en mekanisme for akkreditering av sertifiseringsorganer. Vi har også kartlagt andre europeiske lands erfaringer med dette arbeidet. Parallelt med dette arbeidet har vi måttet utrede spørsmål knyttet til hvordan vi skal evaluere og godkjenne kriterier for sertifiseringsordninger (Fase 3).

Siste del av Fase 2 og Fase 3 er planlagt ferdigstilt i løpet av 2023, og planlagt overført til linjen.

Vi deltar ellers aktivt på møter i Personvernrådets undergrupper, hvor spørsmål knyttet til etablering av kriterier for sertifiseringsordninger er tema, og da særlig hvordan prosessen for godkjennelse av sertifiseringsordninger blir mest mulig konsistent gjennom hele EØS-området. Vi kommer til å fortsette denne deltakelsen i 2023. Prosjektet gjennomfører også jevnlig intern opplæring, og har ansvaret for overføring av oppgaver videre ut i organisasjonen.

Arbeidsliv

antall klager arbeidsliv.jpgSom tidligere år, får vi mange henvendelser om personvern i arbeidslivet. I 2022 handlet hele 27 prosent av henvendelsene til veiledningstjenesten vår om arbeidsliv (les mer om henvendelsene til veiledningstjenesten under «Kommunikasjon og veiledning»). Ulike utfordringer i arbeidslivet er dessuten et gjentakende tema i pressehenvendelsene, og mange kontakter oss og ønsker foredrag eller veiledningsmøter om dette feltet. Det er blant annet økt interesse for grensene for overvåking av digitale arbeidsverktøy.

Vi antar at noen av årsakene til dette er at hjemmekontor har blitt vanligere etter pandemien, og at virksomheter opplever økt behov for sikkerhetstiltak for å sikre intern informasjon og systemer.

I løpet av året fikk vi dessuten inn 104 klager på behandling av personopplysninger på arbeids­plassen. Dette er en større økning fra tidligere år. Klagesakene er ofte preget av høyt konflikt­nivå og stor kompleksitet. Typiske temaer i klagene er innsyn i arbeidstakeres e-post og annet elektronisk utstyr, automatisk videresending av e-poster, personopplysninger i personalmappe, manglende sletting av personopplysninger, kameraovervåking på arbeidsplassen, og andre typer kontrolltiltak som GPS-sporing, effektivitetsmåling og logging.

I tillegg mottar vi mange anonyme tips om personvern og arbeidsliv.

Korrigerende tiltak

Vi ser alvorlig på lovbrudd i denne typen saker, blant annet på grunn av det ujevne styrkeforholdet mellom arbeidsgiver og arbeidstaker.

I 2022 har vi fattet vedtak om overtredelsesgebyr i tre saker innenfor personvern i arbeidslivet. En av disse ble påklaget til Personvernnemnda som opprettholdt vedtaket vårt.

I tillegg sendte vi ut 19 vedtak hvor vi ga andre korrigerende tiltak. Eksempler på dette er irettesettelse og pålegg om å utbedre rutiner eller informasjon til arbeidstakerne. Vi fattet også seks vedtak hvor vi konstaterte brudd uten å ilegge noen korrigerende tiltak.

Veiledningsarbeid og myndighetskontakt

Personvern i arbeidslivet og reglene i arbeidsmiljøloven (som håndheves av Arbeidstilsynet), henger tett sammen. Vi har fortsatt jevnlig kontakt med Arbeidstilsynet og andre relevante aktører i arbeidslivet for å utveksle erfaringer og fagkunnskap. Vi har fått flere tips fra Arbeidstilsynet på potensielt ulovlig kameraovervåking som de finner på sine stedlige tilsyn.

Vi har også hatt dialog med Arbeids- og inkluderingsdepartementet om e-postforskriften. E-postforskriften regulerer arbeidsgivers adgang til å gjøre innsyn i arbeidstakers e-post og annet elektronisk utstyr som arbeidsgiveren har stilt til arbeidstakerens disposisjon. Vi ser behov for en oppdatering av lovverket, blant annet for å sikre harmoni med de generelle reglene i personvern­forordningen og for å tydeliggjøre rekkevidden til enkelte av bestemmelsene i forskriften.

På hjemmesidene våre har vi oppdatert veiledningene om innsyn i arbeidstakers e-postkasse, arbeidsgivers innhenting av politiattest og kredittvurdering, og vi har lansert en veiledning om behandling av personopplysninger i forbindelse med varsling i arbeidslivet.

Vi har også begynt å jobbe med en veiledning om e-postforskriftens forbud mot overvåking av arbeidstakers bruk av elektronisk utstyr. Slik overvåking kan bare unntaksvis skje hvis formålet er å administrere virksomhetens datanettverk eller avdekke eller oppklare sikkerhetsbrudd i nettverket. Vi merker at vi får flere henvendelser om dette, og at det er behov for praktiske avklaringer. Veilederen skal etter planen publiseres i 2023.

I tillegg til veiledning på nettsidene, har vi også gjennomført veiledningsmøter med enkeltaktører. Vi var i møte med LO Stat om behandling av personopplysninger i forbindelse med lønnsforhandlinger, og med Tietoevry om logging av oppslag i kunderegister. Vi har også hatt veiledningsmøte med Arbeidstilsynet om ordningen med HMS-kort i bygge- og anleggsbransjen.

Bank, finans og kredittvurdering

Bank- og finansbransjen behandler store mengder personopplysninger av privat karakter om svært mange. En sammenstilling av disse opplysningene kan gi et detaljert bilde av en persons liv. Personvernbrudd i denne bransjen har derfor høy risiko, og kan få store konsekvenser for de registrerte.

I overkant av 19 prosent av meldingene vi mottok om brudd på personopplysningssikkerheten i 2022, kom fra finanssektoren. Også dette året var det den sektoren som sendte nest flest meldinger til Datatilsynet i løpet av året. De fleste avviksmeldingene vi mottar fra finanssektoren gjelder personopplysninger sendt til feil mottaker (41 prosent). Andre gjennomgangstema for meldingene fra denne bransjen er manglende eller feil i tilgangsstyring og utilsiktet publisering.

På bakgrunn av en pressemelding fra DNB og uttalelser i media, der banken ga inntrykk av at de ville bruke maskinlæringsteknologi fra Amazon Web Services (AWS) for å «lese kundenes følelser», innledet vi i 2022 tilsyn med DNBs bruk av maskinlæringsteknologi fra AWS. Tilsynet var fortsatt pågående ved utgangen av året.

Vi har også hatt et prosjekt i vår sandkasse for ansvarlig kunstig intelligens, hvor temaet var maskinlæring uten datadeling i bankenes kamp mot hvitvasking og terrorfinansiering. Les mer om dette i kapittelet om den regulatoriske sandkassen.

I løpet av året har vi gjennomført flere veiledningsmøter med aktører fra finansbransjen. Vi har også hatt flere kontaktmøter med Finanstilsynet gjennom året, der vi deler kunnskap og erfaring om tema som er relevante for begge tilsynene. Videre har vi også hatt kontaktmøte med Fintech Norway. Det er en næringspolitisk bransjeforening som blant annet representerer flere PSD2-aktører.

Vi har gitt høringsuttalelser om forslag til utvidelse av gjeldsinformasjonsordningen, og forslag om å styrke forbrukernes rett til å betale med kontanter. I tillegg har vi deltatt i et rundebordsmøte hos Barne- og familiedepartementet der temaet var personvernkonsekvenser ved en eventuell utvidelse av gjeldsinformasjonsordningen.

Datatilsynet deltar i undergruppen Financial Matters i Det europeiske personvernrådet.

Kredittvurdering

Den nye kredittopplysningsloven med forskrift trådte i kraft 1. juli 2022. Samtidig ble § 4 i overgangsbestemmelsene om behandling av personopplysninger opphevet. Kredittopplysningsloven erstatter den tidligere konsesjonsordningen. For Datatilsynet innebærer endringen at vi nå skal kontrollere etterlevelse av regelverket gjennom tilsyn, i stedet for å forhåndsgodkjenne behandlinger gjennom konsesjonssøknader.

I forbindelse med at det nye regelverket trådte i kraft, publiserte vi flere veiledningstekster på nettsidene våre. Informasjonen retter seg både mot kredittopplysningsforetakene og deres kunder, og mot enkeltpersoner som blir kredittvurdert.

Datatilsynet mottar fortsatt mange klager og veiledningshenvendelser fra enkeltpersoner som opplever å ha blitt kredittvurdert uten rettslig grunnlag. Av de finansrelaterte henvendelsene til vår veiledningstjeneste, var kredittvurdering og inkasso de vanligste temaene for henvendelser fra privatpersoner. I 2022 registrerte vi også 18 klager fra enkeltpersoner eller enkeltpersonforetak på kredittvurderinger. Det er noe færre enn de to foregående årene.

I 2022 fattet vi syv vedtak om overtredelsesgebyr for kredittvurdering uten rettslig grunnlag. Vi har i tillegg sendt ett varsel om vedtak om pålegg og overtredelsesgebyr, og vi har blant annet fattet to vedtak om irettesettelse. Gebyrene har variert fra 50 000 kroner til 200 000 kroner. To av vedtakene ble påklaget. I den ene saken besluttet Datatilsynet å sette ned gebyret noe, mens den andre saken er fortsatt under behandling. I tillegg ble en klage på et av vedtakene våre fra 2021 behandlet i Personvernnemnda, men nemnda ga oss medhold og opprettholdt vedtaket.

Helse- og velferd

Helseplattformen

Helseplattformen, en felles journalløsning for primær- og spesialisthelsetjenesten i region Midt-Norge, ble iverksatt 1. mai 2022. Datatilsynet hadde flere dialogmøter med Helseplattformen i forkant av lanseringen.

Siden innføringen av den nye journalløsningen har Datatilsynet mottatt flere meldinger om brudd på personopplysningssikkerheten (avviksmeldinger). Mange av avvikene knytter seg til tilgangsstyring, ved at mange ansatte har hatt tilgang til pasientopplysninger de ikke hadde tjenstlig behov for. Vi har hatt møter med Helseplattformen i etterkant for å få nærmere redegjørelse for avvikene og oppfølgingen av sikkerhetsbruddene. Enkelte avvik vil ikke bli fulgt opp videre av oss, men de gir likevel viktig bakgrunnsinformasjon for vårt videre arbeid opp mot Helseplattformen.

Kjernejournal

Gjennom 2022 har Helse- og omsorgsdepartementet fortsatt lovarbeidet for å tilrettelegge for en nasjonal infrastruktur for deling av journalopplysninger. Et pilotprosjekt for å bruke kjernejournal til deling av journaldokumenter har pågått i Helse Sør-Øst RHF og Helse Nord RHF. Datatilsynet har fulgt, og vil fortsette å følge med på, dette arbeidet. Vi har hatt dialog med både prosjektgruppen og ulike helseforetak i sakens anledning.

Departementet ønsker også å inkludere pasientens legemiddelliste i kjernejournalen. Det krever lovendring. Høringen for endring av pasientjournalloven for å tilrettelegge for dette, har frist i januar 2023.

Overtredelsesgebyr til NAV - Arbeidsplassen.no

 I juni 2022 fattet vi vedtak om overtredelsesgebyr på 5 millioner kroner til NAV for brudd på personvernforordningen artikkel 5 og 6. Bakgrunnen for gebyret var at NAV over flere år hadde publisert CV-er for personer under oppfølging på arbeidsformidlingsportalen arbeidsplassen.no uten å ha rettslig grunnlag. Publisering av CV hadde blitt satt som vilkår for å motta ytelser fra NAV.

NAV meldte selv til oss at publiseringen manglet rettslig grunnlag. I utmålingen av gebyret ble det lagt vekt på at bruddet gjaldt grunnleggende prinsipper i personvernforordningen, varigheten av den ulovlige behandlingen av personopplysninger, det store antallet registrerte og ubalansen i forholdet mellom NAV og de registrerte.

Tilsyn med leverandører av velferdsteknologi

I mars 2022 utførte Datatilsynet tre tilsyn med leverandører av trygghetsalarmtjenester til norske kommuner. Trygghetsalarmer er en form for velferdsteknologi som norske kommuner bruker i utførelsen av omsorgsoppgavene sine. Trygghetsalarmen er enten installert stasjonært i hjemmet eller på selve brukeren. Dette illustrerer en type problemstilling som ligger i kjernen av retten til personvern. 

Et tilsyn ble satt i gang som følge av en melding om brudd på personopplysningssikkerheten fra en kommune, i tillegg til en klage fra en trygghetsalarmbruker. Etter kartlegging av hvilke tjenesteleverandører norske kommuner har inngått avtaler med, opprettet vi tilsyn med tre av de største leverandørene av disse tjenestene.

Målet for tilsynet var å bistå kommunene i valg av leverandør, samt gjøre databehandlere bevisste på deres rolle i å ivareta informasjonssikkerheten i tjenestene de leverer. Kommunene vil som regel være avhengige av forhold på tjenesteleverandørenes side for å sikre at velferdsteknologitjenestene driftes i overensstemmelse med personvernregelverket.

I tilsynet så vi på hvorvidt tjenesteleverandørene behandler personopplysninger i tråd med databehandlerens forpliktelser. I tillegg ønsket vi å kartlegge ansvarsforholdet mellom leverandør og kommune, hvordan leverandørene bistår kommunene med å sikre et tilstrekkelig sikkerhetsnivå ved behandlingen av personopplysninger, og informasjonsflyten i tjenesten.

Informasjonssamfunnstjenester og annonseindustrien («ad tech»)

I 2022 behandlet vi flere saker som gjelder «informasjonssamfunnstjenester», slik som for eksempel applikasjoner («apper») på mobiltelefoner og nettbrett. Slike tjenester samler ofte inn og behandler store mengder personopplysninger om brukerne.

Vi har særlig sett på saker som har rettet seg mot annonseindustrien («ad tech»). Annonseindustrien handler blant annet om at tilbyderne utleverer personopplysninger om brukerne sine til tredjepartsaktører (annonsører) for å tilby persontilpasset reklame. Vi ser at brukerne ofte ikke er godt nok informert om at personopplysningene deres er gjenstand for bud og salg på et digitalt marked. Tredjepartsaktørene kan potensielt selge personopplysningene videre. Når dette mer eller mindre skjer i det skjulte, reduserer det brukernes mulighet til å ha reell kontroll over opplysningene sine. Industrien opererer også i stor skala. Det dreier seg gjerne om et stort antall tredjepartsaktører som mottar dataene, og mange berørte.

Datatilsynet har også jobbet for å rette oppmerksomhet mot personvernproblematikken som annonseindustrien medfører, siden vi mener at ytterligere regulering av dette økosystemet er nødvendig. Vi har blant annet løftet problemstillingen i det offentlige ordskiftet og hatt kontaktmøter med politikere i regjeringen og på Stortinget. Vi har også vært med på relevante arrangementer, slik som et rundebord med Facebook-varsler Frances Haugen, der representanter for blant annet offentlige organer og sivilsamfunn deltok. I dette arbeidet har vi samarbeidet og utvekslet erfaringer med andre relevante aktører, særlig Amnesty International Norge, Forbrukerrådet og Teknologirådet.

I løpet av 2022 har vi også hatt to møter med Mediebedriftenes Landsforening (MBL). Medie­bedriftene er blant de største aktørene i innen adtech i Norge, og i disse møtene mottar vi orientering og innspill fra MBL knyttet til utviklingen i bransjen og deres syn på pågående lovprosesser. Datatilsynet saksbehandler ikke på slike møter, og gir ingen form for godkjenning av mediebedriftenes praksiser.

Grindr

I februar 2022 mottok Datatilsynet en klage fra Grindr LLC på vedtaket vårt fra desember 2021. I vedtaket ila vi det amerikanske selskapet et rekordstort overtredelsesgebyr på 65 millioner kroner. Grindr er en dating-app som retter seg mot homofile og bifile menn, transpersoner og skeive. Saken ble åpnet i 2020 etter at Forbrukerrådet klagde selskapet inn til oss fordi appen utleverte GPS-lokasjon, enkelte opplysninger fra brukerprofilene og det faktum at vedkommende er Grindr-bruker, til flere tredjepartsaktører.

Vi vurderte klagen fra Grindr og opprettholdt våre konklusjoner i vedtaket. Vi oversendte derfor saken til klagebehandling hos Personvernnemnda i desember 2022. Konklusjonen vår i vedtaket er at Grindr i perioden fra juli 2018 til april 2020 delte personopplysninger til tredjepartsaktører for persontilpasset markedsføring, uten gyldig rettslig grunnlag, ettersom de såkalte samtykkene selskapet samlet inn ikke oppfylte kravene i personvernforordningen. Vi konkluderte også med at selskapet ulovlig delte opplysninger om brukernes seksuelle orientering, fordi opplysninger om at noen er Grindr-bruker sterkt indikerer at de tilhører en seksuell minoritet. Saken har vært svært omfattende, og har fått stor oppmerksomhet. Klagesaken vil bli behandlet og avgjort av Personvernnemnda i 2023.

Disqus

I 2022 jobbet vi videre med en endelig konklusjon i Disqus-saken, hvor det i 2021 ble varslet et overtredelsesgebyr på 25 millioner kroner for brudd på ansvarlighetsprinsippet, kravet til rettslig grunnlag og manglende informasjon til de registrerte. Konklusjonen vil foreligge i 2023.

Justis

Tilsyn mot Kriminalomsorgen

Datatilsynet har i perioden 2021-2022 gjennomført et omfattende tilsyn med kriminalomsorgen. Et stedlig tilsyn med Kriminalomsorgsdirektoratet (KDI) fant sted i november 2021. I tillegg ble det i april 2022 gjennomført stedlige tilsyn ved tre underliggende enheter. Gjennom kontrollene ble det funnet avvik fra regelverket knyttet til ansvarsplassering og internkontroll.

Plasseringen av behandlingsansvaret i Kriminalomsorgen har vært uklar. I løpet av tilsynsperioden har KDI gitt instruks om behandlingsansvaret, men denne var ennå ikke implementert fullt ut i etaten. Kriminalomsorgens internkontroll ble videre ansett som mangelfull.

Datatilsynet har pålagt KDI å sørge for at det etableres klare ansvars- og myndighetsforhold. KDI er videre pålagt å foreta en gjennomgang av internkontrollsystemet for informasjonssikkerhet, og oppdatere denne for å sikre at personopplysningsloven blir etterlevd i alle ledd i etaten. Fristen for å oppfylle pålegget er satt til seks måneder.

Datatilsynet mener det er grunn til å anta at et komplekst og fragmentert regelverk har gjort det vanskelig å forstå hvilke regler som gjelder, og at dette har hatt betydning for etatens etterlevelse av personvernreglene. På bakgrunn av tilsynet har vi rettet en henvendelse til Justis- og beredskapsdepartementet der vi påpeker behovet for å få på plass et nytt regelverk for behandling av personopplysninger i forbindelse med gjennomføring av straffereaksjoner.

Tilsyn med Politiets IT-enhet

Vi gjennomførte i 2022 stedlig tilsyn med Politiets IT-enhet (PIT). Formålet med dette tilsynet var å kontrollere behandlingen av personopplysninger i saksbehandlingssystemet Remedy Smart IT, som brukes til behandling av IKT-relaterte henvendelser fra hele politietaten. Tilsynet avdekket avvik i fra kravene til sporbarhet og sletterutiner. Politidirektoratet har meldt at avvikene er utbedret. Endelig kontrollrapport ferdigstilles i 2023.

Masseinnsamling av personopplysninger

Masseinnsamling av personopplysninger fra internett og teledata er verktøy som politi og etterretningstjenesten i økende grad har tatt i bruk og vil ta i bruk.

Formålet med innhentingen vil være å kunne søke et relevante personer eller mønster til bruk i etterretning, forebygging, avverging og etterforskning av kriminalitet, terror og andre sikkerhets- og nasjonale interesser.

Datatilsynet bidrar med personvernfaglige råd i den offentlige debatten, hovedsakelig gjennom høringsuttalelser, men også deltakelse i debatter og gjennom media. I 2022 har vi gitt høringsuttalelser knyttet til PSTs etterretningsoppdrag og behandling av åpent tilgjengelig informasjon, og forslag til endringer i etterretningstjenesteloven § 7-3 om tilretteleggingsplikten.

Avvik knyttet til politiets utlevering av personopplysninger til kriminalomsorgen

Datatilsynet mottok i mai 2021 en avviksmelding fra Trøndelag politidistrikt. Politidistriktet hadde avdekket en intern praksis der det, etter anmodninger fra Trondheim fengsel, rutinemessig var utlevert personopplysninger fra politiets registre til fengselet. Opplysningene skulle blant annet brukes i forbindelse med ansettelser, søknader om overføring til fengsel med lavere sikkerhetsnivå og besøk til innsatte. Utleveringene hadde pågått uformelt per e-post og telefon, uten hjemmelshenvisning, vurdering eller journalføring.

Datatilsynet kom til at politidistriktets praksis var i strid med sentrale krav til behandling av personopplysninger etter politiregisterloven og politiregisterforskriften. Manglende vurderinger av rettslig grunnlag, nødvendighet og forholdsmessighet innebærer at det kan ha blitt utlevert personopplysninger i større utstrekning enn det politiregisterloven åpner for. Saken ble ansett som alvorlig og kritikkverdig, siden utleveringene hadde pågått over mange år og praksisen antas å gjelde et betydelig antall personer. Vi mente samtidig at avviket var blitt fulgt opp på en tilfredsstillende måte av politiet, ved at det raskt ble iverksatt tiltak for å lukke avviket og sikre at fremtidige utleveringer var i samsvar med regelverket.

Datatilsynets virkemidler er regulert i politiregisterloven § 60. Saken ble avsluttet med kritikk av politidistriktet.

Vi fant også grunn til følge opp saken overfor Kriminalomsorgen og innhentet redegjørelser fra Trondheim fengsel og Kriminalomsorgsdirektoratet. Vi kom til at fengselets praksis var i strid med sentrale krav til behandling av personopplysninger. Innhenting av vandelsopplysninger i forbindelse med ansettelse og utførelse av oppgaver for kriminalomsorgen må foretas i samsvar med aktuelle bestemmelser i straffegjennomføringsloven og politiregisterlovens bestemmelser om vandelskontroll og attester.

Kundedata og infosikkerhet

Datatilsynet mottar mange henvendelser om kunde- og medlemsopplysninger. I 2022 mottok vi 149 klager som gjaldt personopplysninger om kunder og medlemmer. Disse sakene gjelder ofte sletting og innsyn, og berører både offentlige, private og internasjonale virksomheter. På veiledningstjenesten mottok vi totalt 531 henvendelser tilknyttet behandling av personopplysninger i kundelister og medlemsregistre.

I meldingsåret fattet vi vedtak om overtredelsesgebyr på fem millioner kroner til Trumf. Trumf er et fordelsprogram som tilbyr privatpersoner å spare bonus på kjøp i NorgesGruppens dagligvare­butikker og flere eksterne Trumf-partnere. Bakgrunnen for overtredelsesgebyret var at Trumf-medlemmer kunne få tilgang til andres handlehistorikk gjennom å registrere noen andres kontonummer på profilen.

Overtredelsesgebyr til Trumf

Bakgrunnen for saken var at Trumf-medlemmer kunne registrere andres kontonumre på medlems­profilen, og dermed skaffe seg tilgang til handlehistorikken deres. Vi gjennomførte et tilsyn i 2016 som viste at Trumf hadde ikke implementert en løsning for å verifisere at Trumf-medlemmet som registrerer bankkontoen også var innehaver av kontoen. Vi gjorde nye undersøkelser i 2020 og 2021, og de viste at Trumf ikke hadde innført en slik verifikasjonsløsning.

Trumf fikk varsel om overtredelsesgebyr i 2021, og endelig vedtak om brudd på personopplysningssikkerheten med et overtredelsesgebyr på fem millioner, ble fattet i meldingsåret. Trumf hadde i forkant av vedtaket sikret at kontonummer verifiseres før man får tilgang til handlehistorikken og ved nye registreringer av kontonummer.

SSB-saken

Datatilsynet sendte i november 2022 et varsel om forbud mot behandling av personopplysninger til Statistisk sentralbyrå (SSB). Bakgrunnen for varselet var SSBs vedtak om opplysningsplikt for dagligvareaktørene Coop Norge ASA, NorgesGruppen ASA, Rema 1000 AS og Bunnpris-kjeden. I vedtakene om opplysningsplikt ble dagligvareaktørene pålagt å sende SSB alle bongdata, det vil si opplysninger om alle transaksjoner fra dagligvarehandelen. Opplysningene, koblet opp mot banktransaksjonsdata og sosioøkonomiske opplysninger, skulle brukes til å utarbeide kostholds- og forbruksstatistikk.

Vår foreløpige vurdering er at behandlingen av bongdata, som er hjemlet i vedtakene om opplysningsplikt fra SSB, ikke har tilstrekkelig rettslig grunnlag. Det gjør behandlingen ulovlig. Vi har derfor varslet forbud mot behandling av bongdataene.

SSB fikk frist til januar 2023 med å kommentere varselbrevet, og saken er fremdeles under behandling.

Personvernombudsordningen

virksomheter med pvo.jpgPersonvernombudene er sentrale i virksomhetenes etterlevelse av personvern­lovgivningen. Ombudets rolle er å gi råd om hvordan personverninter­essene kan ivaretas best mulig, men også å kontrollere etterlevelsen av regelverket. I tillegg skal de være kontaktpunkt for de registrerte og overfor Datatilsynet. Personvernombudene skal ha en uavhengig rolle, og de skal ikke instrueres fra ledelsens side om sine prioriteringer eller utførelsen av oppgavene.

Ved utgangen av 2022 var det registrert 1 432 person­vernombud som repre­sen­terte til sammen 1 988 virk­som­­heter. Differansen skyldes at noen er personvern­ombud for flere behandlings­ansvarlige.

Implementering av tiltak fra strategien for personvernombudsordningen

Det å være personvernombud kan oppleves som en tidvis krevende rolle i virksomheten. For å beholde engasjementet og oppleve seg trygge i rolleutøvelsen, har ombudene derfor behov for å få motivasjon og støtte gjennom nettverks­bygging med andre ombud – i tillegg til å sparre med Datatilsynet. Aller viktigst er dog at virksomhetens øverste ledelse viser forståelse og anerkjennelse for personvernombudets arbeid. I meldingsåret har vi derfor fortsatt implementeringen av strategien for personvernombudsordningen, som vi utarbeidet året før. Sentralt i denne strategien er å gjennom­føre tiltak rettet både mot ­om­budene, ledelsen i virksom­hetene og de registrerte. Dette skal bidra til at personvernombudene opprettholder og bygger motivasjon for arbeidet, og at ledelsen i virksomhetene i større grad blir bevisst sitt ansvar for å gi ombudene de rammebetingelsene de skal ha etter lovgivningen.

Velkommenmelding til nye personvernombud med tilbud om introkurs

Ett av de viktigste tiltakene fra strategiplanen gjennomført i meldingsåret, har vært å sende ut velkommen-eposter til alle de omlag 170 personene nyinnmeldte ombudene, uten tidligere erfaring med rollen. Her har vi gitt råd og veiledning om PVO-rollen, og ikke minst tips til nettsteder og aktører vi mener at de som er nye i personvernombudsrollen vil ha god nytte av å kjenne til. Alle har også blitt tilbudt å delta på digitale introkurs om personvernombudsrollen, om Datatilsynet og hva vi kan bistå med.  Vi har fått veldig positive tilbakemeldinger fra de personvernombudene som mottatt slik veiledning fra oss.

Foreningen personvernombudene, nettverk og annen kompetansebygging

Foreningen Personvernombudene er en av de aktørene vi har opplyst nye personvernombud om, og hvor vi har prioritert å stille opp med foredragsholder på foreningens månedlige medlemsmøter når vi er blitt invitert til det. Vi stod også som vertskap og ansvarlig for det faglige innholdet på foreningens medlemsmøte og sommeravslutning i juni 2022. I desember hadde vi vårt første kontaktmøte med representanter for foreningens styre, og har avtalt å gjennomføre slike møter hvert halvår.

Vi har også i 2022 prioritert å stille opp i samlinger som har vært i regi av ulike regionale eller sektorvise nettverk av personvernombud. Samarbeidet med utdanningsinstitusjonene Høgskolen i Innlandet, BI og Oslo Met om deres respektive deltidsstudier i personvern har fortsatt i 2022.

Publisering på internett

Saker som gjelder publisering av personopplysninger på internett, havner ofte i spenn mellom de registrertes rett til beskyttelse av personopplysningene sine og allmennhetens ytring- og informasjonsfrihet.

Fra 1. januar 2022 gir personopplysningsloven §3 tydeligere veiledning til virksomheter, privatpersoner og datatilsynet om hvordan disse interessene skal veies mot hverandre. Formålet med endringen er å åpne for mer nyanserte avveininger av personvernet og ytrings- og informasjonsfriheten, blant annet å sikre at bestemmelsen i enkelttilfeller ikke gjør unntak fra personopplysningsloven og personvernforordningen i uforholdsmessig stor grad. Når det gjelder behovet for å sikre at bestemmelsen ikke gjør unntak i uforholdsmessig stor grad, tar endringen i første rekke sikte på de ulike formene for behandling som omfattes av forordningens begrep om «journalistisk» formål, men som skjer i uredigerte medier. Når medier som er omfattet av medieansvarsloven publiserer utelukkende for journalistiske formål, er publiseringen unntatt fra de fleste bestemmelsene i personopplysningsloven. Vi har i 2022 avsluttet flere klagesaker med grunnlag i dette unntaket.

Shinigami Eyes

Datatilsynet forbød behandling av personopplysninger i nettlesertillegget Shinigami Eyes. Dette tillegget markerer det som skal være «trans-vennlige» brukernavn på ulike nettsteder med én farge, mens det som skal være «trans-fiendtlige» brukernavn med en annen farge.

Behandlingen manglet rettslig grunnlag, og de registrerte fikk ikke informasjon om at de ble kartlagt. Saken har skapt mye medieoppmerksomhet både nasjonalt og internasjonalt.

Sletting av søketreff i saksbehandlingen

Vi mottok 12 saker om sletting av søketreff i løpet av året. Fire av sakene ble avsluttet i løpet av året, og ingen av disse ble klaget videre til Personvernnemnda. Personvernnemnda avgjorde to saker om sletting av søketreff i 2022. Vedtaket fra Datatilsynet ble opprettholdt i den ene saken og omgjort i den andre.

Samferdsel

I forbindelse med at det skal utarbeides en nasjonal strategi og retningslinjer for personvern og digitalt privatliv, som er et av tiltakene i Hurdalsplattformen, ba Kommunal- og distriktsdepartementet (KDD) om et bidrag fra oss til å få bedre kunnskap om personvern i transportsektoren.

Datatilsynet leverte en redegjørelse til KDD i desember. Der fremhevet vi noen sentrale utfordringer i sektoren. Vi uttrykte at det bør innføres et unntak i bokføringsregleverket for fakturainformasjon som er utstedt i forbindelse med passeringer i AutoPASS. Måten passeringer registreres på i dag er et inngrep i menneskers rett til å ferdes fritt som ikke er godt nok begrunnet. Videre påpekte vi manglende åpenhet og kontroll, i tillegg til uklare ansvarsforhold, som viktige utfordringer.

I tillegg ga vi anbefalinger om utvikling av systemer for veiprising, tilkoblede kjøretøy og ansiktsgjenkjenning. Vi understreket at myndighetene må innta en helhetlig og prinsipiell holdning til de personvernrettslige utfordringene som kommer innen transportsektoren.

Schrems II – overføring til tredjeland

Den 16. juli 2020 ble den såkalte Schrems II-dommen avsagt i EU-domstolen. Denne dommen ugyldiggjorde EU-kommisjonens adekvansbeslutning som tillot overføring av personopplysninger til en rekke amerikanske virksomheter i henhold til Privacy Shield-rammeverket. Dessuten stilte EU-domstolen opp strenge vilkår for lovlig overføring av personopplysninger ut av EØS. Disse vilkårene innebærer at hver enkelt virksomhet må foreta kompliserte vurderinger, og mange overføringer vil være ulovlige fordi de ikke kan oppfylle vilkårene.

Også i 2022 har dommen skapt store utfordringer for norske virksomheter, som i stor grad er avhengig av særlig amerikanske tjenester. Spesielt for små og mellomstore virksomheter kan det være krevende å sikre tilstrekkelige økonomiske og faglige ressurser til å sikre etterlevelse med Schrems II-dommen.

I løpet av året har vi gjennomført flere veiledningsmøter der vi har hjulpet virksomheter finne praktiske måter å innrette seg på i tråd med reglene. Tilbakemeldingene fra disse møtene har vært gode. Samtidig har veiledningsmøtene gitt Datatilsynet eksempler på hvordan handlingsrommet i regelverket kan utnyttes i praksis.  Dette ønsker vi å bruke til å oppdatere veiledningen vår fremover, siden det kan komme flere virksomheter til gode.

I 2022 har vi opplevd at flere aktører har tatt til orde for å ikke følge Datatilsynet og Personvernrådets veiledning på feltet. Datatilsynet er bekymret for denne utviklingen. Selv i tilfeller der overføringer eller bruk av tredjelandstjenester skulle vise seg å være uproblematisk i praksis, vil virksomheter som ikke har gjennomført korrekte og tilstrekkelige vurderinger i forkant, bryte ansvarlighetsprinsippet. Det er viktig at det ikke tas i bruk løsninger som kan medføre høy regulatorisk risiko.

I 2022 la EU-kommisjonen frem utkast til adekvansbeslutning for USA. En adekvansbeslutning er en «godkjenning» som sier at det er trygt å sende personopplysninger til et tredjeland, og som vil gjøre det mye enklere å sende data til USA og bruke amerikanske tjenester. Det er ventet at beslutningen vil vedtas og tre i kraft i 2023. I praksis betyr dette at mange av utfordringene for norske virksomheter vil bli løst.

Telekom

Datatilsynet fortsatte samarbeidet med Nasjonal kommunikasjonsmyndighet (Nkom) gjennom 2022. Nkom og Datatilsynet forvalter ulike regelverk som kan utfylle og som til tider delvis overlapper hverandre. Som en del av samarbeidet mellom Nkom og Datatilsynet har vi hatt to overordnede saksbehandlermøter. Formålet med saksbehandlermøtene er blant annet å holde hverandre orientert om relevant utvikling i telekomfeltet, samt sikre gjensidig erfaringsutveksling. I tillegg til de to saksbehandlermøtene, har vi hatt kortere møter og dialog knyttet til spesifikke fagområder eller problemstillinger.

Som tidligere år har nummeropplysningstjenester vært et tema i samarbeidet mellom Nkom og Datatilsynet. Ekomregelverket og personvernregelverket utfyller hverandre ved behandlingen av personopplysninger til nummeropplysningsvirksomhet. Datatilsynet har saker til behandling som retter seg mot bruken av personopplysninger utlevert til nummeropplysningstjenester. Kjernen i flere av klagene vi har mottatt er hvordan personopplysninger som er utlevert under ekomregelverket senere benyttes til andre formål enn til nummeropplysningstjenester. Den etterfølgende behandlingen av personopplysninger som er mottatt for nummeropplysningsformål, er innenfor Datatilsynets tilsynskompetanse. Vi har også deltatt på et møte i Nummeropplysningsforum etter invitasjon fra Nkom, hvor teletilbyderne og representanter for nummeropplysningsvirksomhetene samles for å diskutere problemstillinger knyttet til utlevering av nummeropplysninger.

Ekomloven ble endret i 2022 og det ble innført en plikt for tilbydere av elektroniske kommunikasjons­tjenester (ekomtilbydere) til å lagre IP-adresser mv. under gitte vilkår. Datatilsynet har deltatt i et møte med Nkom om deres oppfølging av oppdrag fra Kommunal- og distriktsdepartementet knyttet til implementeringen av plikten til IP-lagring, hvor vi utfylte innspillene fra vårt høringssvar om temaet fra 2021. I 2022 svarte vi også på en høring til endringer i ekomforskriften, som skal utfylle bestemmelsene om IP-lagring.

Lokasjonsbasert SMS-varsling har eksistert i mange år, og kan brukes av myndigheter til å telle hvor mange som befinner seg i et gitt geografisk område på et aggregert nivå, og til å sende ut SMS-varslinger til de som befinner seg der. Det var økende bruk av teknologien under pandemien, og teknologien ble benyttet i nye sammenhenger. Datatilsynet har i 2022 arbeidet videre med dette temaet, og ferdigstilte på høsten en veiledning om bruk av lokasjonsbasert SMS-varsling.

I 2022 har vi utredet personvernkonsekvensene av bruk av 5G-nettet. Arbeidet skal resultere i en kort rapport som lanseres i 2023. Rapporten vil inneholde en teknisk beskrivelse, samt en analyse av hvilke konsekvenser bruken av 5G kan ha for informasjonssikkerhet og personvern.

Sentrale enkeltsaker

Overtredelsesgebyr til Stortinget

Høsten 2020 ble Stortinget utsatt for datainnbrudd. Bruddet omfattet blant annet uautorisert pålogging til e-postkontoene til flere stortingsrepresentanter og ansatte i administrasjonen. Datatilsynet vurderte sikkerhetstiltakene som utilstrekkelige og ila Stortinget et gebyr på 2 millioner. Vi la særlig vekt på at Stortinget ikke hadde etablert tofaktorautentisering eller tilsvarende effektive sikkerhetstiltak for å oppnå tilstrekkelig beskyttelse.

Etterfølgende undersøkelser avdekket at angripere hadde lastet ned ulike mengder data og at disse dataene kunne inneholde personopplysninger som stammet fra de berørte ansattes epostkontoer. Det ble i avviksmeldingen og etterfølgende tilleggsmelding opplyst om at det blant annet dreide seg om bank- og kontoinformasjon, inkludert personopplysninger om tredjeparter, fødselsnummer og helseopplysninger. Mulige konsekvenser for de berørte av angrepet kunne være misbruk av identitet, misbruk av betalingskort og bruk av informasjon til utpressing.

Overtredelsesgebyr Østre Toten

Østre Toten kommune ble ilagt et overtredelsesgebyr på 4 millioner kroner for brudd på personopplysningssikkerheten i forbindelse med et dataangrep. Lovbruddene gjaldt mangler ved logging og logganalyse, sikring av backup og tofaktorautentisering eller tilsvarende sikkerhetstiltak. Disse manglene hadde gjort kommunens datasystemer sårbare for datainnbrudd. Datatilsynet så alvorlig på saken, ettersom dataangrepet rammet en stor mengde persondata og opplysningene ble tilgjengeliggjort på det mørke nettet. Det ble også lagt vekt på en rekke formildende omstendigheter i saken, som for eksempel kommunens samarbeid med Datatilsynet etter bruddet, og kommunens informasjonsvirksomhet overfor egne innbyggere. Datatilsynets vedtak i saken ble for øvrig bekreftet av Personvernnemnda i januar 2023.

Folkeregisteret (retting av feilaktige opplysninger)

Datatilsynet startet brevkontroll med Skatteetaten i desember 2021. Bakgrunnen for kontrollen var en avviksmelding fra et helseforetak og en klage fra en pasient som feilaktig var meldt død i Folkeregisteret. Den feilaktige dødsmeldingen skapte store ulemper for pasienten. Skatteetaten er behandlingsansvarlig for Folkeregisteret.

I desember varslet vi Skatteetaten om vedtak om pålegg. Det handlet om at Skatteetaten har plikt til å ta kontakt med alle mottakere av feilaktige opplysninger om dødsfall og informere om at en feilregistrering har skjedd. Saken er fortsatt under behandling.

Kommunikasjon og veiledning

Personvernlovgivningen legger i stor grad ansvaret på den enkelte når det gjelder å ivareta eget personvern. Samtidig har virksomheter som behandler personopplysninger plikt til å etterleve lovgivningen på området. Dette gjelder både offentlige etater, private organisasjoner og nærings­drivende. Fordi disse gruppene har så forskjellige behov, stiller det store krav til hvordan vi jobber med kommunikasjon i Datatilsynet.

Vi skal bidra til økt kunnskap om og interesse for personvern. God veiledning og informative nettsider om personvernreglene til borgere og virksomheter er avgjørende for å oppnå målene våre. Her er kommunikasjon som virkemiddel svært viktig.

Kommunikasjonsarbeidet er basert på statens kommunikasjonspolitikk og gjeldende regelverk, slik som offentlighetsloven og forvaltningsloven. Videre heter det i virksomhetsinstruksen at vi skal ha en aktiv holdning til kommunikasjon, både internt og eksternt. Det er viktig at vi fanger opp signaler som angår Datatilsynet, og at vi bruker dette aktivt i kommunikasjonsarbeidet.

Kommunikasjonen skjer i første rekke gjennom nettstedet vårt, direkte veiledning overfor publikum, aktiv mediekontakt og gjennom foredragsvirksomhet. Vi har også en egen podkast, Personvernpodden, samt formidling via video.

Veiledningstjenesten er en del av kommunikasjonsavdelingen. Dette gjør oss godt rustet til å fange opp behovet fra publikum, og koble ulike tiltak tett opp mot kommunikasjon i ulike kanaler.

Formidling

Nettstedet datatilsynet.no

Nettstedet er den viktigste kanalen vårt for kommunikasjon med målgruppene våre, og vi har høye besøkstall. I 2022 hadde vi 6 823 888 unike sidevisninger. Vi legger stor vekt på at innholdet skal være godt, relevant og enkelt tilgjengelig, og det overordnede målet er å gjøre brukerne mer selvhjulpne. Et av ønskene våre er å redusere antall henvendelser til veiledningstjenesten, noe vi ser en tendens til med en liten nedgang av telefonhenvendelser i år.

Det å sørge for god tilgjengelighet og gode brukeropplevelser på nettsidene våre har vært et viktig mål i arbeidet vårt. Vi har lagt særlig vekt på universell utforming (UU), slik at så mange som mulig kan få informasjon uavhengig av funksjonsevne. Dette arbeidet vil vi fortsette å prioritere høyt også i 2023, og egenerklæring om UU vil legges ut på nettsidene. Vi ligger godt an i dette arbeidet, og har høy score på UU-kravene.

Arbeidet med et elektronisk klageskjema har vært høyt prioritet. I dette arbeidet har vi kartlagt hvordan et slikt skjema raskt og trygt kan bli en ny kanal for publikum slik at de kan klage til oss via nettsiden. Utvikling og design er ferdigstilt, og første trinn rulles ut våren 2023 når risikovurderingen er gjennomført.

Satsninger med på en chat-funksjon som er tenkt brukt av veiledningstjenesten vår er dessuten under planlegging. Målet er å tilby effektiv veiledning via web, og blir et supplement til telefonveiledningen.

Besøket på datatilsynet.no holder seg relativt jevnt høyt gjennom hele året, og går noe ned når det er sommerferie og juleferie. Det er derfor ingen tvil om at sidene brukes aktivt som en kilde til informasjon om personvern og personvernregelverket.

sidevisninger nettsiden.jpg

I mai ser vi imidlertid at det var en voldsom trafikk på nettstedet sammenlignet med resten av året. Den voldsomme økningen i antall besøk gjaldt stort sett bare én artikkel på datatilsynet.no – nemlig siden om kredittvurdering og hvordan man kan sperre seg. Bare i løpet av 11. mai 2022, var det hele 40 970 besøk på artikkelen. Årsaken til den voldsomme trafikken, var at det ble avdekket et innbrudd i søketjenesten til kartselskapet Norkart, der personopplysninger til 3,3 millioner nordmenn ble lastet ned før lekkasjen ble tettet. NorSIS oppfordret folk til å sperre seg for kredittsjekk, noe som førte til en voldsom bølge av søk etter informasjon om dette på nettsiden vår, i tillegg til henvendelser til veiledningstjenesten og pressetelefonen.

Nøkkeltall fra statistikken på datatilsynet.no:

 

2020

2021

2022

Antall sider på nettstedet

1 039

1 240

1 472

Antall unike sidevisninger

2 849 293*

6 307 509

6 823 888

 *Vi fikk ny statistikkløsning 1. juli 2020, så dette tallet gjelder bare de siste 6 mnd.

Personvernblogg, sosiale medier og podkast

Personvernbloggen.no er et rom hvor vi kan reise andre problemstillinger enn vi gjør på den ordinære nettsiden, et sted for faglig profilering og en plass vi i større grad kan benytte ombudsrollen vår. Der publiserer vi også kronikker som vi har hatt på trykk i aviser og tidsskrifter. I 2022 publiserte vi 18 innlegg på Personvernbloggen.

Vi benytter Twitter daglig og kommuniserer nyheter, arrangementer og annen informasjon. Vi følger også med på omtale av Datatilsynet og debatt om personvern på Twitter, og besvarer de fleste spørsmål og kommentarer som kommer via denne kanalen. I 2022 startet vi en fornyet risikovurdering og vurdering av personvernkonsekvenser av Twitter. Vurderingene skal sikre etterlevelse av pliktene i personvernforordningen. Arbeidet vil ferdigstilles våren 2023.

«Personvernpodden» er Datatilsynets egen podkast. Satsingen skal engasjere nye og eksisterende målgrupper, sette personvernet i en samfunnsmessig kontekst og bidra til å øke bevisstheten og refleksjoner rundt personvern i befolkningen. I 2022 publiserte vi 12 episoder som til sammen ble lastet ned 12 148 ganger. Datatilsynet tilbyr også podkasten som nedlastbar .mp3-fil.

Ved utgangen av 2022 var det 5 056 abonnenter på nyhetsbrevet vårt, og vi opplever en jevn tilvekst i abonnenter. I løpet av 2022 sendte vi ut 30 nyhetsbrev. Vi sender dermed i snitt ut over to nyhetsbrev i måneden, avhengig av hvor mange saker vi har å formidle.

Nøkkeltall fra kanalene våre:

 

2019

2020

2021

2022

Antall innlegg på Personvernbloggen

14

18

23

18

Antall twitterfølgere – Datatilsynets konto

17 398

18 917

21 229

25 783

Antall nedlastinger Personvernpodden – Acast*

-

2 871

13 112

12 148

Antall abonnenter på nyhetsbrevet vårt

3 698

4 226

4 761

5 056

* Rapportering f.o.m. opprettelsen i mai 2020.

Intranett

Det første trinnet i et nytt intranett ble lansert i november. Her deles sentral informasjon, og sidene fungerer også som en intern digital møteplass for alle ansatte i Datatilsynet. Gjennom 2023 vil intranettet gradvis utvides slik at det kan by på flere muligheter for samhandling og økt funksjonalitet.

Dubestemmer.no

Dubestemmer.no er et samarbeidprosjekt mellom Utdanningsdirektoratet og Datatilsynet. Vi lanserte nytt nettsted i 2021, og i 2022 jobbet vi med å fortsette utviklingen av ressursen.

Som en del av samarbeidet, benytter nå dubestemmer.no samme statistikkløsning – en så å si coockiefri løsning – ordlistefunksjon og tofaktorautentisering som på datatilsynet.no. Nettstedet bruker også Datatilsynets personvernvennlige videoløsning DreamBroker for å vise filmer. Dette gjenbruket er ressursbesparende, og er en fornuftig måte å tenke samarbeid og flerbruk på.

Nøkkeltall fra statistikken på dubestemmer.no:
(Siden nettstedet ble nylansert i 2021 og vi nå benytter en ny statistikkløsning, har vi ikke sammenlignbare tall fra tidligere.)

 

2022

Totalt antall sidevisninger

373 000

Antall unike sidevisninger

302 000

 Mediekontakt

antall mediehenvendelser og oppslag.jpgVi vurderer mediene som en svært viktig kanal for å få frem budskapene våre, og legger stor vekt på å ha et profesjonelt forhold til pressen. Dette innebærer at vi skal ha god tilgjengelighet og et høyt servicenivå overfor journalistene. Dette mener vi å ha lykkes godt med også i 2022. 

Vi noterer ned hver gang vi kontaktes av journalister i en ny sak, og i løpet av året har vi registrert 725 besvarte mediehenvendelser til kommunikasjons­avdelingen. Det er imidlertid mange henvendelser som generer flere oppslag i ulike medier, og i mange mediesaker er vi omtalt uten å være kontaktet. Vi benytter Retriever til medieovervåking, og i løpet av året er det registrert til sammen 4 281 oppslag i medier der «Datatilsynet» er omtalt, inkludert i internasjonale medier. Oppslag der Datatilsynet er omtalt holder seg altså svært jevnt.

2021 utpeker seg som et «toppår», men det er fordi saken om dating-appen Grindr vakte svært stor internasjonal interesse. Dersom vi fjerner internasjonale medier fra søket, er derimot tallene helt jevne de siste årene.

Av figuren under, ser vi også at det er et relativt jevnt trykk når det gjelder omtale av Datatilsynet i mediene gjennom hele året. Av de sakene som har preget nyhetsbildet i 2022, kan vi trekke frem overtredelsesgebyret til Stortinget etter at de ble rammet av et dataangrep på grunn av manglende sikkerhet, SSB-saken der vi varslet forbud mot å samle inn data fra kundenes dagligvarekjøp, forslaget om at PST skal få utvidede hjemler til innsamling av data, Norkart-lekkasjen som førte til voldsom interesse fra publikum, MyGame og strømming av barneidrett, barn og unges bruk av kinesiskeide TikTok og overtredelsesgebyr til Nav for ulovlig deling av CV-er.  I tillegg er det et jevnt høyt trykk om avvikssaker fra offentlige virksomheter.

Fordelingen av medieoppslag gjennom 2022:

antall medieoppslag månedlig.jpg

fordeling medietyper.jpg fordeling papiroppslag.jpg

Foredragsvirksomheten

antall foredrag.jpg

Foredrag er en viktig del av vår utadrettede kommunikasjons­virksomhet. De gir oss muligheten til å informere om rettigheter og plikter, og til å skape økt forståelse for betydningen av personvern. Samtidig viser vi synlighet og tilgjengelighet for virksomheter, interesseorganisa­sjoner og publikum.

Eksterne foredrag

Eksterne forespørsler vurderes ut fra noen faste kriterier slik som antall deltagere, om temaet er relevant for våre satsningsområder, og selvfølgelig kapasitet.

I 2022 holdt vi 150 foredrag på kurs, konferanser og seminarer i regi av andre aktører som ønsket vår deltakelse. Flere av dem har vært digitale. Nedgangen fra 2021, kan nok i stor grad forklares med at vi hadde et skifte av direktør. Den tidligere direktøren Bjørn Erik Thon, hold svært mange foredrag, og da han sluttet ble det naturlig en nedgang i antall foredrag. Den nye direktøren var på plass i august, og selv om hun har holdt flere foredrag, har tiden naturlig også gått mye til intern aktivitet og opplæring.

Egne arrangement

Direkte dialog med ulike målgrupper har vært avgjørende i arbeidet med implementeringen av personvernforordningen, særlig blant små og store virksomheter. Vi har deltatt som arrangør eller medarrangør på større konferanser om teknologi og samfunn slik som KiNS, Sikkerhetskonferansen, Nokios og Normkonferansen.

Konkurranse om innebygd personvern i praksis

De siste årene har vi utlyst en konkurranse for alle som har utviklet en løsning, applikasjon eller et system i tråd med kravene til innebygd personvern. Målet er å løfte frem gode eksempler på praktisk bruk av innebygd personvern. Dette var fjerde gang prisen ble delt ut, og i forbindelse med kåringen, inviterte vi til frokostseminar om innebygd personvern på Rebel i Oslo.

Vinneren av prisen var Test-Norge og Tenor testdatasøk. De hadde laget en løsning som tilgjengeliggjør syntetiske testdata for enhver virksomhet som har behov for nøyaktig testing, uten å måtte benytte reelle personopplysninger.

Juryen mente bidraget støtter opp under innebygd personvern – ikke bare ved å gi tilgang til bruk av testdata med minimale personvernkonsekvenser, men også gjør personvernvennlig testing langt mer virkelighetstro. Testfasen er en avgjørende fase i utviklingen av en løsning (der det behandles personopplysninger). Bidraget dekker et nasjonalt behov for testing av løsninger med integrasjon mot de større offentlige etatene slik som skatt, NAV, folkeregisteret og så videre. Løsningen har store muligheter til å utvikle og utvide Test-Norge, og flere virksomheter benytter allerede løsningen.

Personverndagen 2022

Også dette året markerte Datatilsynet den internasjonale personverndagen i januar med et personvernseminar i samarbeid med Teknologirådet på DOGA i Oslo. Temaet for dagen var offentlig sektors avhengighet av teknologigigantene. Bakteppet for innlegg og diskusjon var Datatilsynets valg om ikke å opprette egen Facebook-side, Tysklands oppfølging av offentlig etaters bruk av Facebook og Teknologirådets rapport om kommersiell sporing i offentlig sektor. Arrangementet for øvrig ble preget av at det var Bjørn Erik Thons siste offentlige opptreden som direktør for Datatilsynet.

Personverndagen ble gjennomført under pandemi og bar preg av det. Arrangementet ble strømmet direkte på en ad-hoc Vimeo-kanal og hadde på det meste rundt 1200 publikummere under direktesendingen. Opptak ble også lagt ut på Datatilsynets nettsider i etterkant og er sett 829 ganger. 

Erfaringsseminar om bruk av egen side på Facebook

Høsten 2021 offentliggjorde Datatilsynet risikovurderingen vår av tilstedeværelse på Facebook. Dette skapte bølger i en lang rekke sektorer og bransjer. Vi inviterte derfor til et innspillsseminar i juni der vi samlet trådene og delte erfaringer. Det ble lagt frem ulike perspektiver, vurderinger og synspunkter på Facebook fra ulike offentlige og private aktører. Vi hadde også «åpen mikrofon» slik at alle som ønsket kunne kommer med innspill.

Arendalsuka 2022

Datatilsynet deltok på åtte arrangementer under Arendalsuka. Sammen med Likestillings- og diskrimineringsombudet arrangerte vi panelet «Når algoritmer saksbehandler: Hvordan hindre diskriminering ved bruk av kunstig intelligens i offentlig sektor?». I tillegg deltok vi på arrangementer som tematiserte teknologigantenes forretningsmodeller og roller, algoritmer, teknologi på arbeidsplassen, digitale helsetjenester, kunstig intelligens og sporing og offentlige registerets sammenstilling av persondata.

Omdømme

Datatilsynet var for fjerde år på rad med i IPSOS omdømmeundersøkelse. Vi ligger godt innenfor kategorien «godt omdømme», og skårer spesielt høyt på samfunnsansvar og kunnskap. Av de 18 tilsynsvirksomhetene, ombudene og nemdene som vi sammenlignes med, skårer vi aller høyest innenfor kategorien «kompetanse og fagkunnskap».

Veiledningstjenesten

antall henvendelser.jpgDatatilsynets veiledningstjeneste er et tilbud for alle som har spørsmål som ikke krever ordinær saks­behandling. Et viktig mål med tjenesten er å gjøre enkeltpersoner i stand til å ivareta egne personvernrettigheter og å veilede virksomheter i pliktene i person­vern­lovgivningen. Spørsmålene er ofte av både juridisk og teknisk karakter, og det er stor variasjon i temaene for henvendelsene.

Vi fører statiststikk over alle henvendelsene som blir besvart av veiledningstjenesten. Vi registrerer hva henvendelsene handler om og hvem de kommer fra. I tillegg registrer vi om det dreier seg om arbeidsliv eller om det er korona­relaterte problemstillinger. Dette gir oss bedre oversikt over hva publikum lurer på slik at vi kan tilpasse veiledningen på nettsiden vår og bygge kompetanse på aktuell tematikk.

I løpet av 2022 mottok veiledningstjenesten 6 803 telefoner. Av disse er totalt 5 313 henvendelser statistikkført. Gjennomsnittelig ventetid i telefonkø er 01:55 minutter, en liten nedgang fra ifjor. Hver enkelt veilednings­samtale er i gjennomsnitt 09:55 minutter.

Hvem kontakter oss?

veiledningstjenesten-hvem.jpg41 prosent av de som tar kontakt med veilednings­tjenesten er virksomheter, mens 52 prosent er privat­personer.

Personvernombudene står for syv prosent av henvendelsene. Noen personvernombud henvender seg direkte til Datatilsynets egen personvernkoordinator. Disse er ikke inkludert i denne statistikken.

Hvilke bransjer gjelder henvendelsene?

Dersom vi ser på hvilke bransjer henvendelsene gjelder, har vi mottatt flest henvendelser om offentlig sektor, det vil si kommune- og fylkesadministrasjon, og helse og omsorg. Offentlige virksomheter behandler mange, og ofte svært sensitive, persono­pplysninger om borgerne. Felles for henvendelsene om offentlig sektor er at innringeren oftest ønsker veiledning om behandling av journalopplysninger. Det kan for eksempel dreie seg om et ønske om innsyn eller sletting hos ulike helseinstitusjoner eller hos NAV.

Av henvendelsene som gjelder privat sektor, handler flest om forsikrings- og finansvirksomheter, samt telekom eller IT-bedrifter. De fleste henvendelsene om forsikring- og finansvirksomheter kommer fra privatpersoner. Nesten fire av ti av henvendelser om denne bransjen handler om kreditt­vurdering og inkasso. Om telekom og IT-bedrifter mottar vi en større variasjon av henvendelser, men oftest om databehandleransvar og databehandleravtaler, behandlingsansvar, deling og publisering av opplysninger, og behandling av personopplysninger i kundelister. Vi mottar også mange henvendelser angående borettslag og sameier. De fleste av disse – nesten seks av ti – involverer spørsmål om kameraovervåking av hjem og bolig.

Område

Antall

Kommune- og fylkesadministrasjon

493

Helse og omsorg

472

Forsikring- og finansvirksomheter

390

Telekom eller IT-bedrifter

384

Statlig administrasjon

319

Borettslag og sameier

313

Andre bransjer

280

Frivillige organisasjoner og foreninger

253

Varehandel og butikk

239

Grunn- og videregående skole og barnehage

226

Rådgivning- og konsulentvirksomheter og advokatfirma

204

Transport og samferdsel

166

Forskning og høyere utdanning

149

Industri og produksjon

99

Bygg- og anleggsvirksomhet

94

Overnattings- og serveringsvirksomhet

56

Vi har registrert 1 176 henvendelser som ikke har blitt registrert på en bransje. Dette kan gjelde problemstillinger som ikke kan knyttes opp mot en spesifikk bransje. Dette kan for eksempel gjelde nabokrangler om privat overvåking, eller der hvor det av andre grunner ikke er enkelt å kategorisere bransje.

Hva får vi spørsmål om? 

Hvilke tema vi mottar henvendelser om er meget likt året før. Det eneste unntaket er spørsmål om overvåking og sporing, der vi har sett en økning på tre prosent fra 2021

Personopplysninger i registre

36 prosent av alle henvendelser vi mottar handler om bruk av personopplysninger i registre, og de fleste henvendelsene kommer fra privatpersoner. Disse har oftest spørsmål om behandling av personopplysninger i kundelister, journaler eller personalregistre. Vi mottar også et betydelig antall henvendelser fra privatpersoner om kredittvurdering og inkasso.

Overvåking og sporing

En av fire henvendelser vi får handler om overvåking og sporing, og det vanligste temaet er kamera­overvåking. I løpet av de siste årene har Datatilsynet sett en økning i antallet henvendelser som har å gjøre med kameraovervåking av hjem og bolig. Denne trenden kan muligens forklares med økt tilgjengelighet og lavere pris for overvåkingsløsninger rettet mot forbrukermarkedet.

Vi får også mange henvendelser om overvåking og sporing i arbeidssituasjoner. Dette inkluderer henvendelser om innsyn i ansattes epost og annet elektronisk lagret data, og bruk av lokasjonsdata i virksomheter (for eksempel GPS-sporing).

Internkontroll og informasjonssikkerhet

Veiledningstjenesten mottar også mange henvendelser om internkontroll og informasjonssikkerhet, og de fleste av disse kommer fra virksomheter. Henvendelsene gjelder særlig spørsmål rundt rollen som databehandler og behandlingsansvarlig, og praktisk spørsmål om hvordan utforme databehandler­avtaler. Spørsmål knyttet til avviksbehandling og internkontroll (oversikter, rutiner, dokumentasjon og personvernerklæringer) er også gjentagende.

Personopplysninger på internett

De fleste henvendelsene om personopplysninger på internett handler om uønsket deling og publisering. Dette kan for eksempel gjelde bilder, film, tekst. Det er også en del som har spørsmål om avindeksering (fjerning av søketreff på et navn).

Overføring av personopplysninger til utlandet

Denne kategorien står for to prosent av henvendelsene og har sunket noe i forhold til 2021. Nedgangen kan nok skyldes at Schrems-II-dommen – som hadde konsekvenser for overføring av personopplysninger til land utenfor EØS – fortsatt var fersk i 2021. Likevel, Datatilsynet har erfart at det også i 2022 har vært mye diskusjon rundt overføring av personopplysninger ut av EØS.

Andre områder

Noen av kategoriene våre er så små at vi har valgt å samle dem under «Annet». Dette gjelder «Bransjenormer og samarbeidsmekanismer», «Bruk av kunstig intelligens (inkludert maskinlæring og avanserte algoritmer)», «Sertifisering og akkreditering» og «DPIA og forhåndsdrøftelser». Henvendelser om disse temaene omfatter én prosent av det totale antallet henvendelser.

Bruk av personopplysninger i arbeidslivet

I tillegg til å registrere tema, registrerer vi som nevnt om henvendelsen handler om arbeidslivet. Spørsmål knyttet til personvern i arbeidslivet har tradisjonelt sett utgjort en stor andel av henvendelsene til veiledningstjenesten. I 2022 gjaldt hele 27 prosent av alle henvendelsene problemstillinger i arbeidslivet.

Det mest gjentagende temaet er spørsmål om behandling av person­opplysninger i personalregister. Overvåking og sporing er også gjentakende, og vi har fått mange spørsmål om innsyn i ansattes epost og annen elektronisk lagret data.

Personvern og korona

Da pandemien brøt ut, begynte veiledningstjenesten også å registrere statistikk knyttet til spørsmål vi fikk som var relatert til pandemien. I 2020 var hele syv prosent av alle henvendelsene koronarelaterte. Siden da har disse henvendelsene falt til tre prosent i 2021, og bare én prosent i 2022. Nedgangen kan selvsagt forklares med at problemstillingene knyttet til pandemien ikke er like akutte som før.

Nasjonale samarbeidsrelasjoner

Datatilsynet har utstrakt kontakt med andre aktører. Her følger en oversikt over vår mest sentrale deltakelse i nasjonale fora.

I tillegg til aktørene i denne oversikten kommer det et stort antall kontaktmøter med ulike aktører og samarbeid av mer kortvarig art. Vi har også avtaler om faglig samarbeid med flere sentrale, statlige virksomheter.

Aktørforum eID og tillitstjenester

Nasjonal kommunikasjonsmyndighet (Nkom) samler aktørene innen e-signaturområdet til aktørforum. Hovedtema er EU-kommisjonens forslag til forordning om blant annet e-ID og e-signatur (eidas). Aktørforumet skal systematisere kontakten mellom aktørene, og Datatilsynet har fulgt opp arbeidet.

Arkivverket

Arkivverket og Datatilsynet har jevnlige møter på saksbehandler- og direktørnivå for gjensidig informasjons- og erfaringsutveksling. I sandkassen har vi jevnlige møter med Finanstilsynet og Arkivverket for å dele erfaringer om sandkassearbeid på tvers av organisasjonene.

Dataforeningen

Den norske dataforening er Norges største nettverk for IT- og digitaliseringsprofesjonelle. Datatilsynet sitter med representanter i to ulike faggrupper som jobber med hhv. Informasjonssikkerhet og KI. Vi bidrar til å sette personvern på agendaen, og deltar også som foredragsholdere.

Digitaliseringsdirektoratet

Datatilsynet samarbeider med Digitaliseringsdirektoratet sitt kompetanse­miljø innenfor informasjonssikkerhet. Vi har en del overlappende ansvarsområder, og samarbeider om ulike tema slik som blant annet å lage veiledere for anskaffelser, utvikling, internkontroll og informasjonssikkerhet. I tillegg har vi bidratt med veiledning i personvernspørsmål om bruk av skytjenester og Schrems II-problematikken.

Direktoratet for e-helse

Det har vært jevnlige møter mellom Datatilsynet og direktoratet, både på direktør- og saksbehandlernivå. Nye løsninger presenteres og drøftes løpende med Datatilsynet.

Helsedataprogrammet ligger også under ansvarsområdet til Direktoratet for e-helse. Vi har deltatt i referansegruppen og i en av arbeidsgruppene i programmet.

Direktoratet har sekretariatet for Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren (Normen), og det er også i den forbindelse mye kontakt. Vi har hatt jevnlige møter med sekretariatet gjennom året og diskuterer nødvendig endringer i Normen opp mot de personvernreglene.

Direktoratet for forvaltning og økonomistyring (DFØ)

Datatilsynet samarbeider med DFØ blant annet på områder knyttet til vurderinger og retningslinjer for bruk og innkjøp av skytjenester i offentlig sektor.

ESA – EFTAs overvåkingsorgan

I oktober ble det holdt et møte mellom Datatilsynet og ESA for andre år på rad. ESA tok opp Norges implementering av personvernforordningen. ESA fortalte også om en sak som involverer NAV.

Vi overrakte ESA et eksemplar av NOU 2022: 11, og redegjorde for noen av de foreslåtte tiltakene i utredningen, blant annet rapportens ulike avsnitt om Datatilsynets ressurssituasjon. Andre temaer var legelisten-saken, handlingsrommet innenfor personvernforordningen artikkel 57 nr. 1 bokstav f og Datatilsynets og Digdirs divergerende veiledninger om overføring av personopplysninger til tredjeland.

Forbrukertilsynet

Vi har etablert et godt samarbeid med Forbrukertilsynet. Det blir særlig viktig i årene fremover, da mange av de samme aktørene skaper utfordringer for oss, og behandling av personopplysninger har også sider til forbrukerutfordringer.

Foreningen kommunal informasjonssikkerhet (KiNS)

Datatilsynet har vært en aktiv samarbeidspartner med KiNS helt siden opprettelsen av foreningen i 2003. Dette innebærer å delta på styremøter som observatør og bidragsyter. Vi hadde også en representant i programkomiteen for den årlige KiNS-konferansen som i 2022 ble arrangert i Ålesund. I tillegg har vi deltatt med foredragsholdere både på denne og ved andre arrangementer i regi av KiNS.

Foreningen Personvernombudene

Datatilsynet har et nært samarbeid med Foreningen Personvernombudene og har stilt med foredragsholdere på flere av de månedlige medlemsmøtene i foreningen. Vi var også vertskap for, og stod for det faglige innholdet på foreningens sommeravslutning i juni. Vi har også etablert jevnlige kontaktmøter mellom styret i foreningen og Datatilsynets ledelse. Det første slike møtet ble holdt i desember. Ved årsskiftet hadde foreningen 445 medlemmer.

Helsedirektoratet

Det er jevnlig kontakt mellom Datatilsynet og Helsedirektoratet, både på direktør- og saksbehandlernivå.

ID-nettverket for en helhetlig ID-forvaltning

Datatilsynet deltar sammen med flere andre sentrale organisasjoner. Hovedmålet til nettverket er å arbeide for en helhetlig ID-forvaltning i Norge, og for å forebygge kriminalitet og dermed redusere trusselen mot velferdsstaten. Deltakelsen vår er viktig både for å ivareta personvernet i ID-forvaltningen, og for å bidra til at sikre løsninger etableres.

IKT-Norge

Vi har et godt samarbeid med IKT-Norge. På bakgrunn av satsingen vår på barn og unge, følger vi med på arbeidet i EdTech som ledes av IKT-Norge. EdTech er medlemmer som utvikler og tilbyr løsninger til skole og utdanningsmiljø i Norge.

Konkurransetilsynet

I forbindelse med Datatilsynets etablering av oppdatering av styringssystem for egen virksomhet, har vi hatt nyttige møter og god erfaringsutveksling. Vi har etablert et godt samarbeid med tilsynet, noe som er nyttig da behandling av personopplysninger ofte har konkurranseutfordringer.

Kommunenes interesseorganisasjon (KS)

I forbindelse med Datatilsynets satsing for barn og unge, har vi intensivert arbeidet vårt sammen med KS for å sette fokus på arbeidet med informasjonssikkerhet og personvern i kommuner og skoler. Vi deltar som observatører i SkoleSec-prosjektet.

Nasjonal Kommunikasjonsmyndighet (Nkom)

Nkom fører tilsyn med ekomregelverket. Dette regelverket har spesialregler om behandling av personopplysninger. Dette kan skape utfordrende grensedragninger opp mot personvernregelverket, og krever godt samarbeid mellom tilsynsmyndighetene. Datatilsynet har derfor jevnlige dialogmøter med Nkom om problemstillinger i telekombransjen, og det har vært gjennomført flere slike møter.

Kontakten omfattet særlig kommunikasjonsverndirektivet og den kommende kommunikasjonsvern­forordningen. Det har også vært et omfattende samarbeid innen befolkningsvarsling og nummer­opplysning.

Nasjonal sikkerhetsmyndighet (NSM)

Datatilsynet har et godt samarbeid med NSM, på direktør- og saksbehandlernivå. Vi har en del overlappende ansvarsområder, og samarbeider med dem om blant annet veiledere og anbefalinger innenfor informasjonssikkerhet.

Nasjonalt råd for Facilitation – NAFAL

Datatilsynet har én representant i Nasjonalt råd for Facilitation (NAFAL), sivil luftfart. Rådets mandat er å fremme forslag til fastsettelse av standarder for effektiv gjennomstrømming av personer, bagasje og varer på lufthavner. Luftfartstilsynet koordinerer gruppen som har medlemmer fra tolv ulike myndigheter og virksomheter innen sivil luftfart.

NAV

Det er jevnlig kontakt mellom Datatilsynet og NAV, både på saksbehandler- og på direktørnivå.

Norges Nasjonale Institusjon for Menneskerettigheter (NIM)

Datatilsynet samarbeider med NIM, blant annet i forbindelse med høringsuttalelser. Det dreier seg om et uformelt samarbeid fra sak til sak, for eksempel i forbindelse med problemstillinger som berører personvern og menneskerettigheter mer generelt.

Norsk Biometri Forum

Datatilsynet deltar i Norsk Biometri Forum som er et uformelt forum for presentasjon og diskusjon innenfor biometri. Det er lagt stor vekt på å få inn nye ideer, samtidig som møtene benyttes til orientering om pågående prosjekter innenfor offentlig og privat sektor.

Norsk Informasjonssikkerhetsforum (ISF)

ISF er en ideell organisasjon som arbeider med informasjonssikkerhet for medlemmene. Vi deltar aktivt i dette miljøet som medlemmer, for nettverksbygging og som foredragsholdere.

Norsk konferanse for IKT i offentlig sektor (NOKIOS)

Datatilsynet har deltatt som samarbeidspartner og i programkomiteen for NOKIOS. Dette innebærer både planleggingen av konferansen, og å være bidragsyter både når det gjelder innhold og gjennomføring. NOKIOS har etter hvert blitt en viktig arena der vi kan sette fokus på personvern i digitaliseringen av offentlig sektor.

Referansegruppe for opptak av prosjekter til sandkassen

Den regulatoriske sandkassen vår for personvern og kunstig intelligens, har en referansegruppe i forbindelse med opptak av nye prosjekter. Gruppen bistår oss i å vurdere samfunnsnytten i prosjektene som søker opptak til sandkassen, og består av Likestillings- og diskrimineringsombudet (LDO), Norsk regnesentral, Innovasjon Norge og Tekna.

Riksrevisjonen

Det utveksles sporadisk erfaringer og gis oppdateringer og veiledning på arbeidet som gjøres innen teknologi og informasjonssikkerhet.

Samarbeidsprosjektet Du Bestemmer

Du Bestemmer er et formalisert samarbeid mellom Utdanningsdirektoratet og Datatilsynet. Sammen driver vi nettressursen dubestemmer.no som skal bidra til at barn og unge kan lære seg å ta kontroll over egne personopplysninger, og samtidig respektere andres opplysninger. I 2022 ble det holdt to styringsgruppemøter, og det ble blant annet jobbet med å utvikle en felles strategi for arbeidet.

Standardisering – komitédeltagelse

Vi deltar i komiteer for standardisering der arbeidet har direkte relevans for vårt arbeidsområde. Standarder er førende for virksomhetenes praksis, også når det gjelder behandling av personopplysninger. Formålet med deltakelsen i komiteene er å sikre kunnskap om pågående prosesser internasjonalt, påvirke fremtidige rammebetingelser, samt bidra til å påvirke relevante standarder med hensyn til personvern og informasjonssikkerhet.

Statens Vegvesen

Datatilsynet har et godt samarbeid med Statens vegvesen, og spesielt innen ITS (Intelligente transportsystemer).

Styring og koordinering av tjenester i e-forvaltning (Skate)

Skate er et strategisk samarbeidsråd og rådgivende organ som skal bidra til at digitaliseringen av offentlig sektor blir samordnet og gir gevinster for innbyggere, næringsliv og forvaltningen. Datatilsynet har anledning til å møte i dette rådet, og benytter denne muligheten når det er saker på agendaen som vi mener det er nyttig for oss som personvernmyndighet å delta på. Vi har holdt oss oppdatert på aktiviteter i møtene, uten aktiv deltakelse i 2022.

Vurdering av fremtidsutsikter

Vi ser en rekke interne og eksterne forhold som vil kunne skape utfordringer for virksomheten vår i tiden fremover, både på kort og lang sikt. Ikke minst vil slike forhold kunne påvirke mulighetene våre for å nå målene vi har satt oss.

Vi har omtalt ulike utfordringer flere steder i denne rapporten. Blant annet ser vi at økningen i antallet saker og den store økningen av innsynsbegjæringer, kan gå på bekostning av annet viktig arbeid, slik som stedlige tilsyn, oppfølging av tips og meldinger om brudd på personopplysnings­sikkerheten og sentrale høringssaker.

I kapittelet «Samlet vurdering av prioriteringer, ressursbruk og måloppnåelse» redegjør vi for at vi ikke har godt nok samsvar mellom oppgavene vi skal løse og de ressursene vi har. Dette gjør det svært utfordrende å prioritere ut i fra mangfoldet av oppgaver som vi er forpliktet til å gjøre etter personvernforordningen artikkel 57 nr. 1. Økningen av saker i både omfang og kompleksitet, gjør at vi kontinuerlig jobber med ulike effektiviseringsprosjekter og -tiltak for å bedre saksbehandlings­prosessen. Vi tror utviklingen kommer til å fortsette i samme retning fremover.

Det juridiske og teknologiske arbeidet vil fortsette å kreve mye ressurser fremover, ikke minst i forbindelse med saksbehandlingen, regulatorisk sandkasse, produksjon av nødvendig veilednings­materiell, behandling av avviksmeldinger og gjennomføring av tilsyn. Det vil være utfordrende å følge med på rettsutviklingen i årene som kommer, ettersom den teknologiske utviklingen ser ut til å gå raskere og raskere, etter hvert som flere saker bringes inn for EU-domstolen for avklaring av prinsipielle spørsmål, og praksis på tvers av Europa utkrystalliserer seg.

Vi har tidligere i rapporten vist at det er en økende arbeidsmengde blant annet i forbindelse med å behandle innsyns­begjæringer. Vi er pliktige til å utvise meroffentlighet, og mener dette er et viktig demokratisk prinsipp i offentlig forvaltning og ut mot innbyggere. Vi ser imidlertid at det store omfanget av innsynskrav fører til forsinkelser i saksbehandlingstiden og at det blir vanskeligere å utføre andre av tilsynets oppgaver på en optimal måte. For å kunne prioritere mer fornuftig i personvernets favør fremover, håper vi at det etableres enda bedre digitale felles­løsninger for å effektivisere innsyns­prosessen.

Inkludert deltidsansatte og studenter, teller Datatilsynet 68 ansatte, hvorav omlag 38 kan regnes som rene saks­behandlere. Hvis vi summerer antall journalførte saker med antall innsynsbegjæringer, var det hele 10 435 saker til behandling i 2022, en økning på 14 prosent fra året før. I snitt gir dette 274 saker til behandling per hode i rapporteringsåret. All statistikk tyder på at vi kan forvente det samme i 2023, og vi ser at nedprioriteringen vår av ulike oppgaver derfor bare vil fortsette.

Datatilsynet skal føre tilsyn med og håndheve anvendelsen av personopplysningsregelverket. Vi har ikke tilstrekkelige ressurser til å føre tilsyn i den grad vi ser behov for, ei heller i den grad virksomhetene etterspør tilsyn fra oss. I lys av undersøkelsesplikten vi har i forbindelse med klager fra individer, ser vi imidlertid at det kan bli utfordrende å øke innsatsen så mye som vi anser er nødvendig.

Vi kan også forvente å bli involvert i flere regelverksutviklingsprosesser i årene som kommer, særlig i kjølvannet av Personvernkommisjonens anbefalinger. Samtidig fortsetter regelverksutviklingen i Europa i et høyt tempo. Digital Services Act, Data Governance Act, Digital Markets Act og Artificial intelligence Act, og dessuten nye regler på ekom-feltet, er noen eksempler. Samlet sett vil dette bidra til et mer fragmentert rettsområde, som det blir enda mer krevende å navigere i. Det samme gjelder Schengen acquis, som både vokser i omfang og gir nye oppgaver for datatilsyns­myndighetene. I årene som kommer, vil Datatilsynet få lovpålagte tilsynsoppgaver knyttet til nye Schengen-systemer. Dette vil også medføre et økt ressursbehov.

Det internasjonale arbeidet krever mye ressurser, særlig på saksbehandlingsfronten. Arbeidet i Det europeiske personvernrådet øker i omfang hvert år, noe som gjør det stadig mer utfordrende å følge alle relevante prosesser. Det finnes fremdeles uutnyttede muligheter for Norge til å påvirke. Når EU etter hvert vedtar stadig flere lover med grenseflate mot personvernforordningen, vil regelverks­kompleksiteten øke både nasjonalt og internasjonalt. Det er en fare for fragmentert håndhevelse av lover som påvirker personvernfeltet. Det vil være krevende for Datatilsynet å forholde seg til dette for å sørge for ensartet håndheving og effektiv regelverksetterlevelse i praksis.

I statsbudsjettet for 2023 ble sandkassen omgjort til en permanent satsing. Det er positivt at regjeringen satser på sandkassen som et tiltak for ansvarlig invasjon. Den permanente satsingen kommer med et bredere mandat; digitalisering og innovasjon. Kunstig intelligens vil være en naturlig del av dette mandatet, både fordi kunstig intelligens vil være en viktig del av samfunns­utviklingen fremover og fordi det kommer nytt regelverk fra EU som er delvis overlappende med eksisterende lovverk på området. Det utvidede mandatet gir også muligheter til å ta opp prosjekter med andre former for innovativ bruk av personopplysninger ut over kunstig intelligens.

I 2023 planlegger sandkassen å ta opp to nye prosjekter, samt jobbe med å kommunisere ut lærdommen fra sandkasseprosjektene så langt. Vi skal også bygge en god permanent struktur. Det handler både om hvordan sandkassen skal være organisert i linjeorganisasjonen i tilsynet, og hvordan prosjektene skal gjennomføres og kommuniseres ut. I prosjektperioden var budsjettet på rundt åtte til ni millioner, mens den permanente sandkassen har fått sju millioner. Nedgangen i midler vil ha påvirkning på arbeidet og leveransene fra sandkassen.

Barn og unge har vært et viktig prioriteringsområde, og vil også være det fremover, Datatilsynet ser positivt på utviklingen i bevisstheten rundt de unges personvern. Personvernkommisjonen har også bidratt til å fremheve problemstillinger knyttet til denne viktige gruppen, og vi vil særlig engasjere oss i digitaliseringen i skoler og barnehager i tiden som kommer.

Økningen av cyberoperasjoner er merkbar. Mange private og offentlige virksomheter mangler imidlertid digitaliseringskompetanse, og selv kommuner med betydelige ressurser gjør feil. Det er fortsatt et stort behov for veiledning, selvhjelpsverktøy og bistand for å gjøre arbeidet som vi ønsker å følge opp riktig. Trusselbildet i verden er utfordrende, og fiendtlige angrep må antas å øke både i omfang og kompleksitet. Kommunesektoren er dessuten spesielt fragmentert. Bedre samordning og koordinering er derfor viktige stikkord. Det er også behov for fortsatt politisk innsats og engasjement for å holde trykket oppe.

Vi ser videre at arbeidet med akkreditering og sertifiseringsordninger vil ta ressurser i tiden som kommer. Godkjenning av tilleggskriterier og mekanismer for akkreditering vil stå i fokus, sammen med utredning av spørsmål knyttet til evaluering.

Arbeidsliv er et område som peker seg ut som utfordrende. Antall klagesaker øker, og vi ser behovet for veiledning og fortsatt god myndighetskontakt. Ellers vil vi følge opp den nye kreditt­opplysnings­loven med forskrift, noe som innebærer at vi skal kontrollere etterlevelse av regelverket fremfor å bruke konsesjoner. På helseområdet er Helseplattformen og Kjernejournal store tiltak som rulles ut, og som kommer til å få oppmerksomhet. Bruk av kundedata er også et sentralt tema, for ikke å snakke om annonseindustrien. Dette er et område der store mengder personopplysninger om digitale brukere behandles og selges videre.

Vi ser at det blir en viktig oppgave å følge med på offentlige virksomheters sammen­stilling og deling av data. Denne delingen av data gir mange samfunnsgevinster både i form av effektivitet, kunnskap og tilgjengelighet, men det gir også personvernutfordringer.

I kommunikasjonsarbeidet vårt ser vi flere utfordringer som vi må prioritere oppfølgingen av nøye, både ut i fra målvurdering og ressursbruk. Digitaliseringsspørsmål, både internt i organisasjonen og eksternt blant virksomheter og befolkningen, skyter fart. Vi må selv passe på å gjøre grundige risiko­vurderinger før nye verktøy og plattformer tas i bruk. Dette vet vi at er tidvis ressurskrevende både for virksomheter der ute, og for oss selv.

I tillegg er det en høy forventning til rask service på veiledningstjenesten fra publikum som består av alt fra «den vanlige borger», til små og store virksomheter, og avanserte jurister. Dette stiller krav til oss om å klare å plukke ut prioriterte målgrupper. Når det gjelder media har vi merket oss at journalister jobber raskere og publiserer fortere enn tidligere. De aller fleste publiserer digitalt og i et stort tempo. Dette gjør at tidspresset er sterkere, både for kommunikasjonsavdelingen men også blant fagpersoner som følger opp med å svare ut henvendelser fra både lokalpresse og riksdekkende media.

Overholdelse av personvernforordningen er nå en sentral del av de fleste virksomheters etter­levelses­arbeid. Mange erfarer imidlertid fortsatt at regelverket er vanskelig tilgjengelig og ikke alltid lett å omsette i praksis. Med det tidligere omtalte Prosjekt Kvist, ønsker vi i Datatilsynet å gjøre oss enda bedre rustet til å bistå virksomheter, både offentlige og private, i å oppnå operasjonelt og funksjonelt personvern. Vi oppfatter at det fortsatt er et stort behov for en omsetning av personvern­forordningen til mer praktisk gjennomførbar veiledning til de ulike virksomhetene. Som tilsynsmyndighet med et tydelig veiledningsansvar, må også vi våge å bevege oss noe ut fra stammen.