Årsrapport for 2022

Vurdering av fremtidsutsikter

Vi ser en rekke interne og eksterne forhold som vil kunne skape utfordringer for virksomheten vår i tiden fremover, både på kort og lang sikt. Ikke minst vil slike forhold kunne påvirke mulighetene våre for å nå målene vi har satt oss.

Vi har omtalt ulike utfordringer flere steder i denne rapporten. Blant annet ser vi at økningen i antallet saker og den store økningen av innsynsbegjæringer, kan gå på bekostning av annet viktig arbeid, slik som stedlige tilsyn, oppfølging av tips og meldinger om brudd på personopplysnings­sikkerheten og sentrale høringssaker.

I kapittelet «Samlet vurdering av prioriteringer, ressursbruk og måloppnåelse» redegjør vi for at vi ikke har godt nok samsvar mellom oppgavene vi skal løse og de ressursene vi har. Dette gjør det svært utfordrende å prioritere ut i fra mangfoldet av oppgaver som vi er forpliktet til å gjøre etter personvernforordningen artikkel 57 nr. 1. Økningen av saker i både omfang og kompleksitet, gjør at vi kontinuerlig jobber med ulike effektiviseringsprosjekter og -tiltak for å bedre saksbehandlings­prosessen. Vi tror utviklingen kommer til å fortsette i samme retning fremover.

Det juridiske og teknologiske arbeidet vil fortsette å kreve mye ressurser fremover, ikke minst i forbindelse med saksbehandlingen, regulatorisk sandkasse, produksjon av nødvendig veilednings­materiell, behandling av avviksmeldinger og gjennomføring av tilsyn. Det vil være utfordrende å følge med på rettsutviklingen i årene som kommer, ettersom den teknologiske utviklingen ser ut til å gå raskere og raskere, etter hvert som flere saker bringes inn for EU-domstolen for avklaring av prinsipielle spørsmål, og praksis på tvers av Europa utkrystalliserer seg.

Vi har tidligere i rapporten vist at det er en økende arbeidsmengde blant annet i forbindelse med å behandle innsyns­begjæringer. Vi er pliktige til å utvise meroffentlighet, og mener dette er et viktig demokratisk prinsipp i offentlig forvaltning og ut mot innbyggere. Vi ser imidlertid at det store omfanget av innsynskrav fører til forsinkelser i saksbehandlingstiden og at det blir vanskeligere å utføre andre av tilsynets oppgaver på en optimal måte. For å kunne prioritere mer fornuftig i personvernets favør fremover, håper vi at det etableres enda bedre digitale felles­løsninger for å effektivisere innsyns­prosessen.

Inkludert deltidsansatte og studenter, teller Datatilsynet 68 ansatte, hvorav omlag 38 kan regnes som rene saks­behandlere. Hvis vi summerer antall journalførte saker med antall innsynsbegjæringer, var det hele 10 435 saker til behandling i 2022, en økning på 14 prosent fra året før. I snitt gir dette 274 saker til behandling per hode i rapporteringsåret. All statistikk tyder på at vi kan forvente det samme i 2023, og vi ser at nedprioriteringen vår av ulike oppgaver derfor bare vil fortsette.

Datatilsynet skal føre tilsyn med og håndheve anvendelsen av personopplysningsregelverket. Vi har ikke tilstrekkelige ressurser til å føre tilsyn i den grad vi ser behov for, ei heller i den grad virksomhetene etterspør tilsyn fra oss. I lys av undersøkelsesplikten vi har i forbindelse med klager fra individer, ser vi imidlertid at det kan bli utfordrende å øke innsatsen så mye som vi anser er nødvendig.

Vi kan også forvente å bli involvert i flere regelverksutviklingsprosesser i årene som kommer, særlig i kjølvannet av Personvernkommisjonens anbefalinger. Samtidig fortsetter regelverksutviklingen i Europa i et høyt tempo. Digital Services Act, Data Governance Act, Digital Markets Act og Artificial intelligence Act, og dessuten nye regler på ekom-feltet, er noen eksempler. Samlet sett vil dette bidra til et mer fragmentert rettsområde, som det blir enda mer krevende å navigere i. Det samme gjelder Schengen acquis, som både vokser i omfang og gir nye oppgaver for datatilsyns­myndighetene. I årene som kommer, vil Datatilsynet få lovpålagte tilsynsoppgaver knyttet til nye Schengen-systemer. Dette vil også medføre et økt ressursbehov.

Det internasjonale arbeidet krever mye ressurser, særlig på saksbehandlingsfronten. Arbeidet i Det europeiske personvernrådet øker i omfang hvert år, noe som gjør det stadig mer utfordrende å følge alle relevante prosesser. Det finnes fremdeles uutnyttede muligheter for Norge til å påvirke. Når EU etter hvert vedtar stadig flere lover med grenseflate mot personvernforordningen, vil regelverks­kompleksiteten øke både nasjonalt og internasjonalt. Det er en fare for fragmentert håndhevelse av lover som påvirker personvernfeltet. Det vil være krevende for Datatilsynet å forholde seg til dette for å sørge for ensartet håndheving og effektiv regelverksetterlevelse i praksis.

I statsbudsjettet for 2023 ble sandkassen omgjort til en permanent satsing. Det er positivt at regjeringen satser på sandkassen som et tiltak for ansvarlig invasjon. Den permanente satsingen kommer med et bredere mandat; digitalisering og innovasjon. Kunstig intelligens vil være en naturlig del av dette mandatet, både fordi kunstig intelligens vil være en viktig del av samfunns­utviklingen fremover og fordi det kommer nytt regelverk fra EU som er delvis overlappende med eksisterende lovverk på området. Det utvidede mandatet gir også muligheter til å ta opp prosjekter med andre former for innovativ bruk av personopplysninger ut over kunstig intelligens.

I 2023 planlegger sandkassen å ta opp to nye prosjekter, samt jobbe med å kommunisere ut lærdommen fra sandkasseprosjektene så langt. Vi skal også bygge en god permanent struktur. Det handler både om hvordan sandkassen skal være organisert i linjeorganisasjonen i tilsynet, og hvordan prosjektene skal gjennomføres og kommuniseres ut. I prosjektperioden var budsjettet på rundt åtte til ni millioner, mens den permanente sandkassen har fått sju millioner. Nedgangen i midler vil ha påvirkning på arbeidet og leveransene fra sandkassen.

Barn og unge har vært et viktig prioriteringsområde, og vil også være det fremover, Datatilsynet ser positivt på utviklingen i bevisstheten rundt de unges personvern. Personvernkommisjonen har også bidratt til å fremheve problemstillinger knyttet til denne viktige gruppen, og vi vil særlig engasjere oss i digitaliseringen i skoler og barnehager i tiden som kommer.

Økningen av cyberoperasjoner er merkbar. Mange private og offentlige virksomheter mangler imidlertid digitaliseringskompetanse, og selv kommuner med betydelige ressurser gjør feil. Det er fortsatt et stort behov for veiledning, selvhjelpsverktøy og bistand for å gjøre arbeidet som vi ønsker å følge opp riktig. Trusselbildet i verden er utfordrende, og fiendtlige angrep må antas å øke både i omfang og kompleksitet. Kommunesektoren er dessuten spesielt fragmentert. Bedre samordning og koordinering er derfor viktige stikkord. Det er også behov for fortsatt politisk innsats og engasjement for å holde trykket oppe.

Vi ser videre at arbeidet med akkreditering og sertifiseringsordninger vil ta ressurser i tiden som kommer. Godkjenning av tilleggskriterier og mekanismer for akkreditering vil stå i fokus, sammen med utredning av spørsmål knyttet til evaluering.

Arbeidsliv er et område som peker seg ut som utfordrende. Antall klagesaker øker, og vi ser behovet for veiledning og fortsatt god myndighetskontakt. Ellers vil vi følge opp den nye kreditt­opplysnings­loven med forskrift, noe som innebærer at vi skal kontrollere etterlevelse av regelverket fremfor å bruke konsesjoner. På helseområdet er Helseplattformen og Kjernejournal store tiltak som rulles ut, og som kommer til å få oppmerksomhet. Bruk av kundedata er også et sentralt tema, for ikke å snakke om annonseindustrien. Dette er et område der store mengder personopplysninger om digitale brukere behandles og selges videre.

Vi ser at det blir en viktig oppgave å følge med på offentlige virksomheters sammen­stilling og deling av data. Denne delingen av data gir mange samfunnsgevinster både i form av effektivitet, kunnskap og tilgjengelighet, men det gir også personvernutfordringer.

I kommunikasjonsarbeidet vårt ser vi flere utfordringer som vi må prioritere oppfølgingen av nøye, både ut i fra målvurdering og ressursbruk. Digitaliseringsspørsmål, både internt i organisasjonen og eksternt blant virksomheter og befolkningen, skyter fart. Vi må selv passe på å gjøre grundige risiko­vurderinger før nye verktøy og plattformer tas i bruk. Dette vet vi at er tidvis ressurskrevende både for virksomheter der ute, og for oss selv.

I tillegg er det en høy forventning til rask service på veiledningstjenesten fra publikum som består av alt fra «den vanlige borger», til små og store virksomheter, og avanserte jurister. Dette stiller krav til oss om å klare å plukke ut prioriterte målgrupper. Når det gjelder media har vi merket oss at journalister jobber raskere og publiserer fortere enn tidligere. De aller fleste publiserer digitalt og i et stort tempo. Dette gjør at tidspresset er sterkere, både for kommunikasjonsavdelingen men også blant fagpersoner som følger opp med å svare ut henvendelser fra både lokalpresse og riksdekkende media.

Overholdelse av personvernforordningen er nå en sentral del av de fleste virksomheters etter­levelses­arbeid. Mange erfarer imidlertid fortsatt at regelverket er vanskelig tilgjengelig og ikke alltid lett å omsette i praksis. Med det tidligere omtalte Prosjekt Kvist, ønsker vi i Datatilsynet å gjøre oss enda bedre rustet til å bistå virksomheter, både offentlige og private, i å oppnå operasjonelt og funksjonelt personvern. Vi oppfatter at det fortsatt er et stort behov for en omsetning av personvern­forordningen til mer praktisk gjennomførbar veiledning til de ulike virksomhetene. Som tilsynsmyndighet med et tydelig veiledningsansvar, må også vi våge å bevege oss noe ut fra stammen.