Kontroll og saksbehandling

Mange av oppgavene innebærer skriftlig saksbehandling. En høy andel av henvendelsene som kommer inn til Datatilsynet, er klager på mulige brudd på personvernregelverket fra enkeltindivider. Ettersom regelverkets formål blant annet er å styrke enkeltindividets grunnleggende rettigheter, er plikten vår til å behandle disse klagene direkte formulert i forordningen.

I tillegg behandler vi søknader om godkjenning av bindende virksomhetsregler (BCR), ad hoc-kontrakter for overføring av opplysninger til tredjeland, atferdsnormer og så videre.

Vi kan også starte saker av eget tiltak, for eksempel på bakgrunn av tips fra publikum eller pressen. Vi mottar også et høyt antall meldinger om brudd på personopplysningssikkerheten (avviksmeldinger). Flere av disse meldingene fører til grundige undersøkelser.

Ifølge personvernforordningen er det de som er behandlingsansvarlige eller databehandlere som skal sørge for at regelverket etterleves. Lovbrudd kan få alvorlige konsekvenser. Regelverket inneholder bestemmelser om administrative sanksjoner og overtredelsesgebyr, som i de mest alvorlige tilfellene kan resultere i gebyrer på opptil 4 prosent av samlet global omsetning eller opptil 20 millioner euro.

Gjennomføring av tilsyn er et av virkemidlene Datatilsynet kan benytte seg for å gjennomføre samfunns­oppdraget. Vi skal gjennomføre tilsyn og kontrollere prioriterte områder basert på risiko. Vi skal systematisere og kommunisere funnene, samt følge opp etterlevelsen av pålegg. Tilsyns­virksomheten skal avdekke sårbarheter og manglende robusthet som kan medføre kompromittering, endringer på eller tap av innbyggernes personopplysninger. Videre skal vi sikre at de kontrollerte objektene har eller får på plass tiltak, rutiner og/eller retningslinjer som bidrar til robuste systemer for behandling av personopplysningene.

Vi opplever at stedlig tilsyn har en stor effekt, ikke bare for den virksomheten vi gjennomfører tilsynet hos, men også gjennom ringvirkningene funnene kan ha på andre virksomheter i ulike sektorer. Allerede fra vi varsler om et tilsyn, begynner den behandlings­ansvarlige å klargjøre og kanskje rydde opp i områder som vi varsler at vi skal se på. Vi ser også at leverandørene vi var på tilsyn hos, strakk seg langt for å bidra til at deres behandlings­ansvarlige skulle opptre i samsvar med regelverket og være bevisste på plikter i personvernregelverket.

Likevel har vi de siste årene valgt bort stedlig tilsyn. Rett etter innføringen av personvern­forordningen måtte vi la virksomhetene få på plass rutiner for å etterleve det nye regelverket, og selv har vi hatt fokus på å få på plass tilsynsmetodikk etter innføringen av det nye regelverket.

I strategien vår for 2022 besluttet vi imidlertid å få gjennomført noen stedlige og egeninitierte tilsyn. Det er etterspørsel og forventninger om tilsynsvirksomhet fra virksomhetene selv, ikke minst fordi resultatene fra våre tilsyn kan gi mer klarhet i hvordan de skal forstå regelverket.

Datatilsynet skiller mellom egeninitierte tilsyn og hendelsesbaserte tilsyn. Hendelsesbaserte tilsyn gjør vi fortløpende gjennom hele året. Egeninitierte tilsyn planlegges og velges bevisst ut for det kommende året. Alle våre tilsyn skal være risikobaserte, utvelgelsen baseres derfor på innkommende klager, meldinger om brudd på personopplysningssikkerheten, tips og henvendelser til veilednings­tjenesten.

Antall saker, saksdokumenter og innkomne klager

I 2022 har vi registrert et høyere antall nye saker enn noe tidligere år. I løpet av året registrerte arkivet 3 519 nye saker, og til sammen 6 072 nye innkommende dokumenter. Vi ser altså at antallet enkeltsaker går opp, mens antallet innkommende dokumenter totalt sett har gått noe ned. Trenden er uansett at antallet saker totalt har økt jevnt siden innføringen av det nye regelverket i 2018, og ikke minst sammenlignet med årene før. For å vise økningen har vi også tatt med antall nye saker i 2013 i figuren, og vi ser da at antallet er mer enn doblet i løpet av ti år.

Dokumentproduksjonen i tilsynet har også hatt en signifikant økning. I 2022 sendte vi ut totalt 5 664 dokumenter, mot 5 222 i 2021. Dette innebærer en økning på om lag 8 prosent. Vi ser også en tilsvarende økning i antallet overtredelsesgebyr og klager på enkeltvedtak som er sendt til behandling i Personvernnemnda (se nedenfor).

Samlet sett ser vi altså at utviklingen siden innføringen av personvernforordningen i 2018 fortsetter, med både et høyere sakstall enn tidligere og et stigende antall utsendte dokumenter. Dette viser med tydelighet at arbeidsmengden innenfor saksbehandlingen i Datatilsynet stadig øker.

Hele 598 av de registrerte sakene gjelder klager på mulige regelverksbrudd fra enkeltpersoner. Et høyt antall av disse klagesakene, rundt 25 prosent, gjelder personvern i forbindelse med kunde- og medlemsforhold, og nivået er det samme som i fjor. Over hundre av sakene handler om personvern på arbeidsplassen. Det kan dreie seg om overvåking av arbeidstakernes bruk av e-post eller internett, kameraovervåking på arbeidsplassen eller lignende. Omtrent 12 prosent av klagene gjelder helseopplysninger.

Vi mottar også en betydelig andel klager på ulovlig behandling av personopplysninger som skjer ved hjelp av ulike digitale systemer eller tjenester, slik som internett, sosiale medier og applikasjoner for mobiltelefoner. Andre sakskategorier som er høyt representert her er kredittopplysninger og barns personvern.

Klager på Datatilsynets enkeltvedtak

I løpet av året fattet vi 301 enkeltvedtak. Bare 38 av enkeltvedtakene våre ble påklaget. Tallene er omtrent like som året før. I 22 tilfeller ble sakene sendt videre til Personvernnemnda for klage­behandling.

Hele 29 av klagene gjaldt avvisningsvedtak eller beslutninger om å avslutte saken. Vi mottok fem klager på overtredelsesgebyr vi hadde gitt, tre klager gjaldt irettesettelser og én gjaldt en sak hvor vi hadde gitt pålegg. I fem av tilfellene førte klagene til at vi helt eller delvis omgjorde vedtakene våre. Det ble sendt over én klage til KDD på avslag om å gi innsyn etter offentlighetsloven.

Totalt fattet Personvernnemnda 19 vedtak i løpet av 2022. I to av sakene ble vedtakene våre omgjort, mens et overtredelsesgebyr ble satt ned i en tredje sak.

Sanksjoner

I løpet av 2022 har Datatilsynet ilagt 17 overtredelses­gebyr. Det ble ikke gitt noen tvangsmulkter. Dette er en nedgang i antall overtredelsesgebyr sammenlignet med 2021, men tallet er fremdeles høyere sammenlignet med tidligere år. I tillegg utstedte vi 37 irettesettelser i løpet av året.

Overtredelsesgebyrene gjaldt blant annet brudd på person­opplysningssikkerhet, ulovlig overvåking på arbeids­plassen, innhenting av kredittopplysninger og ulovlig utlevering av person­opplysninger via mobilapplikasjoner.

Les om noen av de mest sentrale overtredelses­gebyrene under «Annen vesentlig aktivitet». 

Offentlighetsloven og innsynskrav – eInnsyn

Vi mottok hele 6 916 innsynsbegjæringer i løpet av 2022. De fleste innsynskravene mottas via eInnsyn. Dette innebærer en markant økning sammenlignet tidligere år. I fjor mottok vi 5 715 slike begjæringer, og i 2020 var tallet 3 671. Dette tilsvarer en økning på 21 prosent i forhold til i fjor, og sammenligner vi med 2020, ser vi at antallet nesten har doblet seg. Økningen har medført økt innsats til å håndtere alle begjæringene, og ikke minst har arbeidet med å vurdere meroffentlighet vært mer ressurskrevende enn noensinne. Vi sendte ut mer enn 2 000 sladdede dokumenter i løpet av året.

Økningen i innsynsbegjæringer kan trolig delvis forklares med økt dokumentproduksjon som beskrevet over, og delvis med en stadig økende interesse for Datatilsynets virksomhet. Vi har iverksatt ulike tiltak for å imøtekomme den voksende etterspørselen, men alle tiltakene krever manuell innsats.

Som det fremgår av figuren, innvilger vi langt de fleste begjæringene. Det ble likevel gitt avslag på 493 forespørsler om innsyn, ettersom dokumentene inneholdt taushetsbelagt informasjon. I 2 019 tilfeller ga vi delvis innsyn som følge av meroffentlighetsvurderinger.

Vi legger flere ressurser i utøvelsen av offentlighet enn noen gang. Innsynsbegjæringene treffer særlig Datatilsynets juridiske avdeling. Avdelingen får som en følge av dette, mindre tid til å arbeide med de oppgavene som personvernforordningen foreskriver, og det samme gjelder oppgavene som følger av det øvrige regelverket vi har ansvaret for, slik som politiregisterloven og helseregisterloven. Vi stiller spørsmål ved om de digitale fellesløsningene for innsyn i offentlige saksdokumenter bør oppgraderes eller oppdateres for å imøtekomme denne trenden.

Vi mener den økte interessen for saksbehandlingen vår er positiv, og presseomtale av sakene våre kan bidra til økt oppmerksomhet om personopplysningsvern, både hos rettighetshavere og plikthavere. Åpenhet om forvaltningens virksomhet er selvsagt helt grunnleggende i et demokratisk samfunn, men vi er urolige for at den økende arbeidsmengden samtidig vil kunne føre til forsinkelser i saksbehandlingstiden og at det blir vanskeligere å utføre andre av tilsynets oppgaver på en optimal måte.

Høringer

I løpet av 2022 mottok vi 150 høringssaker, en nedgang sammenlignet med året før. I virksomhets­­planen vår har vi fastslått at hørings­uttalelser i saker som ikke har stor betydning for personvernet, skal nedprioriteres. Likevel ga vi 46 uttalelser med merknader i løpet av året. De høringssakene som ikke blir besvart med merknader, blir likevel underlagt behandling. Hvis vi beslutter at en uttalelse ikke skal gis, tar vi høringssaken til etterretning.

Gjennom året har vi blant annet gitt hørings­uttalelser til forslag til utvidelse av gjelds­informasjons­ordningen og forslag om å styrke forbrukernes rett til å betale med kontanter. Vi har også kommet med høringssvar om PSTs etterretningsvirksomhet, og om behandling av åpent tilgjengelig, digital informasjon. Andre sentrale høringsuttalelser gjelder forslag til endringer i etterretningstjenestelovens bestemmelser om tilretteleggingsplikten, og forslag til endringer i ekomforskriften som skal utfylle bestemmelsene om IP-lagring.

I flere av uttalelsene som gjelder saker med stor betydning for personvernet, har vi pekt på at Datatilsynet burde ha blitt involvert på et tidligere stadium, slik personvernforordningen krever (artikkel 36 nr. 4). Personvernkommisjonen har skrevet det samme i sin rapport.

Les nærmere omtale om noen av de mest sentrale høringsuttalelsene våre under de prioriterte områdene.

Spesielt om meldinger om brudd på personopplysningssikkerheten (avviksmeldinger)

Personvernforordningen stiller krav til at brudd på personopplysningssikkerheten, ofte kalt avvik, skal meldes inn til Datatilsynet. I 2022 mottok vi 2 250 slike meldinger, noe som vil si et gjennomsnitt på i underkant av 190 meldinger per måned.

I 2017, året før forordningen trådte i kraft, mottok vi 349 avviksmeldinger. Siden da har det altså vært en voldsom økning i antall meldinger om brudd. Antallet har imidlertid stabilisert seg de siste par årene, og vi ser at antall innmeldte brudd i 2022 ligger omtrent på samme nivå som året før.

Av de 2 250 meldingene, valgte vi å lukke 1 864 av dem uten grundigere saksbehandling på grunn av ressurskapasitet. Standardbrevet vi sendte til de vi ikke gikk videre med, minner likevel den behandlingsansvarlige om plikten til å håndtere bruddet etter artikkel 33 og 34, og til å lukke sårbarheten.

Når det gjelder rapporteringen om brudd til Datatilsynet, antar vi at det er langt flere som faktisk har meldepliktige brudd, enn de som melder fra til oss. Det er blant annet få meldinger om brudd på personopplysningssikkerheten fra flere større virksomheter, direktorat, kommuner og lignende der vi antar at det skjer meldepliktige brudd. Det er menneskelig å feile, og umulig å få til så robuste løsninger at de dekker alle aktuelle og fremtidige sårbarheter. Fra store virksomheter med mange ansatte, ligger det derfor en naturlig forventing om flere meldinger om brudd på personopplysnings­sikkerheten.

Antagelsen vår samsvarer med mørketallsundersøkelsen for 2022. Den viser at 12 prosent av bedriftene som har hatt sikkerhetshendelser, rapporterte til politiet. Bare 8 prosent oppga at de meldte fra til Datatilsynet. Vi er klar over at langt fra alle sikkerhetshendelser er brudd på person­opplysningssikkerheten, men vi synes dette er bekymringsverdig. Mørketallsundersøkelsen viste videre at fire av ti bedrifter sier at hendelser oppdages tilfeldig, og at noen hendelser oppdages gjennom medieoppslag. Det kan tyde på at sikkerhetsarbeidet er hendelsesstyrt og i så fall er det alvorlig.

En årsak til den manglende innmeldingen, kan være at en del virksomheter ikke er kjent med plikten til å melde ifra om slike brudd. Det kan også være at noen virksomheter mangler føringer internt for hendelseshåndtering, inkludert det å avdekke, og melde inn brudd på personopplysningssikkerheten

Det høye antallet avviksmeldinger fører uansett til mer ressursbruk til saksbehandling enn vi har kapasitet til, og vi må derfor prioritere å behandle de meldingene vi anser og antar som er mest personverninngripende. Avviksmeldingene er likevel en viktig kilde for oss om risiko, sårbarheter og trusler ved behandlingen av personopplysninger i ulike virksomheter. Sammen med annen statistikk, for eksempel fra tips og klager som kommer inn til oss, er dette del av grunnlaget vi bruker når vi skal planlegge risikobaserte tilsyn.

Hvilke typer brudd er meldt inn?

Avviksmeldingene vi får inn, varierer fra menneskelige feil som rammer én eller få personer, til mål­rettede hackerangrep med mange hundre tusen rammede og stor medieeksponering. Det vanligste bruddet på personopplysningssikkerheten, er at personopplysninger sendes til feil mottaker(e). Denne andelen har gått noe opp fra i fjor. Disse sakene utløser som oftest ingen reaksjon fra vår side, og de berørte personene er som regel informert om avviket når meldingen kommer inn til oss.

Andre brudd kan utløse store overtredelsesgebyrer og få politiske konsekvenser. I 2022, som i 2021, har det vært en rekke store dataangrep mot så vel offentlige som private virksomheter. Andelen innmeldte brudd som skyldes eksterne tilsiktede angrep (hacking, malware og phishing), har likevel totalt sett sunket fra 13 prosent i 2021 til 4 prosent i 2022.

Med unntak av en svak nedgang i innmeldte dataangrep, er fordelingen relativt lik som året før. Kategorien «Annet» omfatter alt fra konsekvenser av manglende testing og opplæring, lagring på feil sted, manglende reservekopiering, manglende innebygd personvern i løsninger og programmer, og andre faktorer.

Hvem melder brudd på personopplysningssikkerheten til Datatilsynet?

En tredjedel av alle avviksmeldingene som sendes inn, kommer fra kommunesektoren. Det er omtrent samme andel som i 2021. Bergen og Oslo kommuner melder inn klart flest brudd. Det inkluderer hendelser på skoler, barnehager, ulike helsetjenester, innen eldreomsorg og barnevern. Kommunene er ansvarlige for mange av tjenestene som er nærmest enkeltindividet, og følgelig behandles mange person­opplysninger her, ofte også særlige kategorier av personopplysninger. Å løfte kommunenes kompetanse om personvern og informasjonssikkerhet er derfor en viktig prioritering for Datatilsynet.

Finanssektoren inkluderer blant annet bank, forsikring, inkasso og kredittvurdering. Denne sektoren står for 19 prosent av de innmeldte avvikene, en svak nedgang fra 2021. De færreste av disse gjelder særlige kategorier person­opplysninger.

Fordelingen mellom de øvrige sektorene er om lag lik som i 2021. Sekkekategorien «annen privat» inkluderer alle private selskaper som ikke faller naturlig inn under noen av de andre kategoriene.

Selv om en sektor melder mange avvik, er den ikke nødvendigvis en «personvernversting» av den grunn. Et høyt antall avvik kan også skyldes at sektoren behandler store mengder persondata, slik som for eksempel i finanssektoren, og at de har gode rutiner for å avdekke og melde inn alle typer avvik. På samme måte kan mangel eller fravær av innmeldte avvik skyldes at virksomhetene ikke har etablert en god hendelseshåndtering, og trenger ikke nødvendigvis bety at det ikke skjer brudd på personopplysningssikkerheten der.

Tilsynsvirksomheten

Basert på strategien vår, valgte vi i 2022 å se nærmere på følgende tema gjennom tilsynsvirksomheten:

• oppfyllelse av personvernprinsippene og innebygd personvern
• behandlingsansvar
• ivaretakelse av registrertes rettigheter
• om det er opprettet personvernombud og dennes plass i organisasjonen
• kontrollere virksomhetenes styringssystem for personvern og informasjonssikkerhet

Gjennom året gjennomførte vi 28 egeninitierte tilsyn, fordelt på både privat og offentlig sektor. To av disse var Schengen-relaterte, de øvrige var hos Elkjøp, Telenor, tre ulike databehandlere i form av leverandører av trygghetsalarmer, 16 var relatert til forvaltning av kode 6 og 7 (trusselutsatte personer), fire i kriminalomsorgen, ett i Skatteetaten og ett hos Politiets IKT-tjeneste.

Oppsummeringen fra de tilsynene vi rakk å behandle ferdig i 2022, er at enkelte virksomheter har liten oversikt over roller og ansvar, og dermed også ofte mangler i styringssystem og ledelsens føringer for personvern og informasjonssikkerhet. Hos andre ser vi mangel på tilgangsstyring, logging og sletterutiner. Vi ser også mangler i de behandlingsansvarliges databehandleravtaler med deres leverandører.

Oversikt over de ulike tilsynsobjektene og hvilken metode som ble brukt:

Vi er mer bevisste på å plukke ut tilsynsobjekter basert på erfaringene våre relatert til tips, klager og meldinger om brudd på personopplysningssikkerheten. Vi benytter dessuten tilsyns­hjemmelen i øvrig saksbehandling og hendelsesbaserte tilsyn. Der tar vi utgangspunkt i risikoen for de registrerte gjennom det vi mottar av klager, avviksmeldinger, tips, media og telefoner inn til veiledningstjenesten.

Tilsynsmetodikk

I 2021 godkjente ledelsen en ny metodikk for gjennomføring av tilsyn. Metodikken er basert på «ISO 19011 – Veiledning for revisjon av ledelsessystemer» og «ISO 9001 – Sertifisering av kvalitetssystem», men tilpasset personvernforordningens tilsynskriterier og tilsynsarbeidet vårt.

I 2022 ble denne tilsynsmetodikken benyttet i forbindelse med alle de stedlige tilsynene. Prosjektet som utviklet metodikken har fungert som mottaksapparat for tilbakemeldinger fra tilsynsteamene, og har sammen med tilsynslederne hatt fokus på kontinuerlig forbedring av metodikken. Arbeidet med en ny og forbedret versjon av metodikken har startet, og den nye versjonen er utvidet til å også omfatte første versjon av metodikk for gjennomføring av algoritmetilsyn.

De fire fasene i vår gjennomføring av tilsyn:

Tilsynskoordinatoren er ansvarlig for et årshjul for egeninitierte tilsyn, bistår tilsynsteamene med planleggingen og gjennomføringen av tilsyn, samt rapporterer om status til ledelsen. Koordinatoren har en samlet oversikt over den interne tilsynsaktiviteten og er en ressursperson for tilsynslederne og for oppfølgingen. I tillegg har koordinatoren det overordnede ansvaret for kontinuerlig evaluering og oppdatering av tilsynsmetodikken, samt gjennomføring av intern opplæring.

Datatilsynet har plikt til å underrette Statsforvalteren om kommende tilsyn i kommunesektoren. Tilsynskoordinatoren har deltatt i flere tilsynsfora hos Statsforvalterne for å bidra til en nasjonal samordning av tilsynsaktiviteten. Koordinatoren har også ansvar for å registrere planlagte og hendelses­baserte tilsyn med kommuner og fylkeskommuner i den nasjonale tilsynskalenderen. Dette bidrar til at den samlede tilsynsbelastningen for den enkelte kommune og fylkeskommune ikke blir for stor.