Rapporteringsåret er preget av et økende antall saker, stort behov for veiledning og en transformativ teknologisk utvikling. Så og si alle sakene som kommer inn til oss, både fra enkeltpersoner og virksomheter, berører teknologiske utfordringer og kunstig intelligens på en eller annen måte. Det er ingen tvil om at Datatilsynets hovedmål om et godt personvern for alle, er mer relevant enn noen sinne, og at bevisstheten rundt personvern er økende. Personvernundersøkelsen vår viser også at over 80 prosent av befolkningen er opptatt av personvern.

Datatilsynet fikk en ny strategi i 2024. Den definerer tre satsningsområder: individ, samfunn og virksomheter. Strategien skal danne grunnlag for økt samarbeid på tvers inn mot disse områdene, og for mer dialog med både privat og offentlig sektor. Arbeidet gjøres under den overordnede visjonen vår, «Sammen for menneskeverd og tillit i det digitale Norge».

Jeg ønsker å trekke frem veiledningsarbeidet vårt opp mot kommunene som et viktig tiltak i 2024. Dette var en oppfølging av kommunetilsynet vi startet i 2023. Kommunene behandler mye og sensitiv informasjon om innbyggerne, og bedre personvern her har stor effekt for mange. Tilsynsrapporten ble utformet slik at veiledningseffekten skulle bli størst mulig for flest mulig, og vi har fremhevet den generelle læringen fra tilsynet i både veiledningsmateriale og foredrag. I 2024 startet vi også et tilsyn om nettsiders bruk av sporingsteknologi. Slik teknologi kan ha ukjent og høy risiko for mange mennesker, og ønsket er å se særlig på nettsider for barn og unge.

Rapporteringsåret var dessuten et år der mange uttrykte bekymring for eget personvern i forbindelse med hvordan store internasjonale teknologiselskaper benytter dataene deres. Datatilsynet fulgte opp med konkret veiledning om hvordan brukerne kan reservere seg, og deltok aktivt i det europeiske samarbeidet for å følge opp teknologiselskapenes praksis på en god måte.

Jeg ønsker også å trekke fra arbeidet i den regulatoriske sandkassen. Gjennom året har vi jobbet med flere sentrale tema. I et sandkasseprosjekt med NTNU, utforsket vi hvordan KI-verktøyet Copilot kan tas i bruk på en personvernvennlig måte i arbeidslivet. Vi har også hatt private aktører i sandkassen, der vi blant annet har sett på KI i arbeidslivet.

På barn og unge-feltet jobbet vi særlig med sosiale medier og aldersverifisering. Vi bidro med veiledning og deltok aktivt i samfunnsdebatten om temaet. Barn og unge vil fortsatt være høyt på agendaen i kommende år, og vi vil blant annet gjennomføre tilsyn med bruk av læringsverktøy i skolesektoren.

Internt har vi prioritert å jobbe med og være best mulig rustet til å møte den stadig økende saksmengden og det store veiledningsbehovet. Vi har i den sammenhengen sett på organiseringen av arbeidet vårt, effektivisering av prosesser og vi har jobbet med nye former for veiledning. DFØ gjennomførte en evaluering der det understrekes at Datatilsynet oppnår mye med knappe ressurser, men at det likevel er et behov for å styrke tilsynet. Samtidig gir evalueringen flere anbefalinger om enda mer effektivisering og veiledning. Dette var en prioritet for oss i 2024 og vil fortsette å være det fremover.

Regjeringens digitaliseringsstrategi gir store forventninger til bruk og utvikling av ny teknologi og deling av data. Jeg er glad for at strategien definerer personvern som en forutsetning for å lykkes med digitaliseringen. Personvern er, som det understrekes i strategien, en menneskerettighet. Vi har en nøkkelrolle i å bidra til å sikre at personvern er en del av det solide fundamentet som må ligge til grunn for å utnytte mulighetene i kunstig intelligens, sette fart på den digitale omstillingen og for å fremme innovasjon. Et godt personvern er en absolutt forutsetning for tilliten til det digitale samfunnet, og vi vet at tillit er avgjørende for at tjenester og løsninger skal tas i bruk og for at vi skal lykkes med den digitale omstillingen.

Oslo, 11. mars 2025

Line Coll
Direktør

Datatilsynet er et uavhengig forvaltningsorgan under Digitaliserings- og forvaltningsdepartementet (DFD).

Datatilsynet og samfunnsoppdraget

Datatilsynets hovedmål er et godt personvern for alle. I dette ligger at både virksomheter, organisasjoner og offentlig forvaltning skal kjenne og etterleve personvernregelverket, samt legge til rette for at kan borgerne ivareta eget personvern.

Vi utarbeidet en strategi for perioden 2024-2026 for å nå hovedmålet vårt. I strategien er det identifisert tre innsatsområder som skal være styrende for arbeidet i perioden: samfunn, virksomheter og individ. 

Organisasjon og ledelse

Per 31. desember 2024 var det 69 ansatte i tilsynet. Av disse var 56 faste stillinger, 3 midlertidige og 10 var studenter. Turnover i løpet av året og lengre perioder med vakanse, er årsaken til at samlet antall uførte årsverk er beregnet til 56,54 (DFØ modellen) og 63 etter SSB-statistikk. Studentene som jobber i deltidsstilling i ressursenheten for veiledning og enkel saksbehandling, utgjorde tilsammen 2,5 årsverk.

I 2024 ble det gjennomført en organisasjonsutviklingsprosess med bred medvirkning fra de ansatte. Som et resultat av prosessen er det blant annet gjennomført justeringer i organiseringen. Det nye organisasjonskartet hadde virkning fra 1. september 2024.

Organisasjonskartet per 31. desember 2024:

* Inkl. midlertidige stillinger og studenter i deltidsstillinger.

** Vi startet ny tilsynsmetodikk og nye definisjoner av tilsynsbegreper i 2021, så tallene fra tidligere er ikke sammenlignbare.

Vår myndighet omfatter adgang til å iverksette undersøkelser, gi pålegg og til å ilegge administrative sanksjoner.

Kontrollsaker kan utløses av at vi mottar klager fra enkeltpersoner om mulige brudd på personvern-regelverket. Klagesakene utgjør en høy andel av henvendelsene vi mottar. Loven fastslår at slike saker skal behandles, og vi har begrensede muligheter til å avslutte saker uten å fatte vedtak. Vi håndterer et variert utvalg av klagesaker. Noen er av mindre alvorlig karakter, mens andre involverer kompliserte problemstillinger som krever omfattende undersøkelser og høy faglig ekspertise for å kunne behandles.

Kvalifiserte brudd på personopplysningssikkerheten (avvik) er meldepliktig, og antallet innkommende avviksmeldinger har økt over mange år. En del av disse sakene fører til omfattende undersøkelser, og flere av sakene som tas opp til behandling, ender med vedtak om pålegg eller sanksjoner.

Vi gjennomfører også kontroller av eget tiltak i ulike former. Disse sakene starter basert på blant annet vurdering av personvernrisiko, satsingsområder eller etter mottatte tips.

Saker, klager og vedtak

I tråd med tendensene de siste årene, økte antall nye saker også i 2024 sammenlignet med foregående år. I løpet av året registrerte vi 4 736 nye saker.

I 2024 fikk vi inn 902 klager fra enkeltpersoner på mulige regelverksbrudd, mot 591 klager året før. Antall klager har altså økt med hele 53 prosent fra 2023. Den store økningen kan skyldes flere forhold, ikke minst at vi publiserte et digitalt klageskjema i april 2024, og antall klager økte umiddelbart. Den digitale løsningen har sannsynligvis gitt en lavere terskel for å sende inn klager. Vi ser forøvrig at det er et stort trykk med økning av innsendte klager i hele Europa. I Sverige har antall klager økt med 33 prosent over to år.

Klagesakene handlet i hovedsak om spørsmål rundt kundedata, publiseringer på nettet og sporing og kameraovervåking. 16 prosent av alle klagene dreide seg om personvern på arbeids­plassen.

I løpet av året fattet vi 384 vedtak. Dette inkluderer flere typer beslutninger, også de som tas underveis i saksbehandlingsprosessen.

Datatilsynet har hjemmel til å fatte vedtak om sanksjoner eller andre korrigerende tiltak. I 2024 fattet vi 44 slike vedtak (les mer lenger ned). I tillegg har vi fattet flere vedtak der vi har konkludert med brudd på personvernregelverket uten å ilegge sanksjoner eller korrigerende tiltak. Vi kan også fatte vedtak der vi konkluderer med at det ikke foreligger brudd på regelverket. I enkelte saker er det aktuelt å fatte avvisnings­vedtak, slik som når klageren ikke oppfyller vilkårene i personvernforordningen eller når klagens tema faller utenfor Datatilsynets myndighet.

Pålegg om å utlevere informasjon til oss som del av et tilsyn, skjer også i vedtaksform. Samlet utgjør dette 145 vedtak. Antallet avvisnings­vedtak og vedtak om at saken ikke var brudd på regelverket, utgjorde om lag 150 saker.

I løpet av året mottok vi 73 klager på vedtakene våre. Det har altså vært en økning i antall saker som ble påklaget, noe som innebærer at behandlings­­tiden for klager på vedtak har økt det siste året. I fem saker omgjorde vi vedtakene, mens vi sendte 48 saker over til Personvern­nemnda for klagebehandling.

Personvernnemnda fattet vedtak i 28 saker i 2024, og i 23 av dem ble Datatilsynets vedtak opprettholdt. Det er altså en relativt lav andel av vedtakene våre som blir omgjort.

Påpeking av plikt

Mange klagesaker løses ved å sende et brev med «påpeking av plikt», hvor vi informerer om relevante krav i personvernregelverket, til den innklagede parten. Klageren blir samtidig opplyst om muligheten til å kontakte oss igjen hvis saken ikke løser seg, eller dersom de ønsker en vurdering av om behandlingen bryter regelverket. Vi erfarer at dette er en effektiv og god måte å løse noen av klagesakene våre på.

Saker hvor vi benytter denne reaksjonen, er typisk klager på uoppfylte rettigheter (slik som innsyn, retting eller sletting av personopplysninger) og klager om kameraovervåking mellom naboer der den innklagede er en privatperson. Mange saker løser seg etter en slik tilbakemelding. Dersom saken ikke løser seg, vurderer vi videre saksbehandlingsskritt.

Påpeking av plikt brukes også ved mindre alvorlige regelbrudd for å veilede virksomhetene og forebygge gjentakelser. I fjor sendte vi ut 238 slike brev med påpeking av plikt.

Korrigerende tiltak og sanksjoner

I 2024 fattet vi 44 vedtak om korrigerende tiltak og sanksjoner. Av disse var 43 vedtak etter artikkel 58 nr. 2 i personvernforordningen (noe som omfatter irettesettelser, ulike pålegg og overtredelsesgebyr). I tillegg fattet vi ett vedtak om tvangsmulkt. Det ble gitt som følge av manglende dokumentasjon om at pålegg som ble gitt etter et tilsyn er gjennomført.

I fem av vedtakene ila vi overtredelses­gebyr. Alle gebyrene ble gitt til offentlige virksomheter. Vedtaket om overtredelses­gebyr etter tilsynet mot NAV, ble imidlertid opphevet av Personvern­nemnda i desember 2024.

Vedtak om irettesettelse kan ilegges for mindre alvorlige brudd på personvernregelverket, og ble i 2024 gitt i 14 saker. Det ble gitt til både private og offentlige virksomheter.

Vår myndighet til å reagere med korrigerende tiltak, omfatter også konkrete vedtak om pålegg knyttet til plikter etter personvernregelverket. Slike pålegg ble gitt i 24 saker i rapporteringsåret. Det ble gitt 11 vedtak som følge av at det ble avdekket avvik gjennom tilsyn, og påleggene gjaldt lukking av disse. Ti av sakene gjaldt offentlige aktører, blant annet kommuner som ble kontrollert under det store kommunetilsynet i 2023.

Oversikt over sanksjonene som ble gitt:

Offentlighetsloven og innsynsbegjæringer – eInnsyn

Vi mottar et høyt antall innsynsbegjæringer, og i rapporteringsåret har vi behandlet 7 547 slike begjæringer. Håndteringen av disse er utfordrende og tidkrevende, ikke minst alle vurderingene av meroffentlighet som må gjøres.

Andelen begjæringer som blir avslått, har gått noe ned i forhold til antallet innkomne begjæringer. Samtidig sendte vi ut 2 398 sladdede dokumenter i løpet av året, noe som innebærer en økning sammenlignet med tidligere år.

Høringer

Vi mottok 220 høringssaker i rapporterings­året. Vi skrev 60 høringssvar, åtte flere enn i 2023. 54 av høringene gjaldt forslag som berører behandling av personopplysninger i offentlig sektor. Vi har prioritert å svare på høringer som er av stor betydning for personvernet.

Datatilsynet har i tillegg hatt dialog med Justisdepartementet i forbindelse med deres pågående etterkontroll av personopplysnings­loven. Vi ga innspillene våre med forslag til endringer som vi har identifisert etter å ha praktisert loven gjennom seks år. I tillegg har vi bistått Justisdepartementet i forbindelse med en delutredning av mulighetene for alternative løsninger for behandling av klagesaker.

Meldinger om brudd på personopplysningssikkerheten – avviksmeldinger

Personvernforordningen stiller krav om at brudd på personopplysningssikkerheten, også kalt avvik, skal meldes til Datatilsynet. Disse meldingene gir verdifull innsikt i risikoer, sårbarheter og trusler for behandling av personopplysninger, samtidig som de danner et viktig grunnlag for risikobaserte tilsyn og prioritering innen veiledning og kommunikasjon.

I 2024 mottok vi totalt 3 191 slike meldinger, noe som utgjør et snitt på 266 meldinger per måned. Dette representerer en økning på 13 prosent fra året før.

Av de innmeldte bruddene, ble 80 prosent avsluttet uten videre oppfølgning etter en vurdering av personvernrisikoen, mens 20 prosent gikk til videre saksbehandling.

For meldingene som ikke gikk til videre oppfølgning, sendte vi et standardbrev som minnet den behandlingsansvarlige om plikten til å håndtere bruddet i tråd med artikkel 33 nr. 5.

Hvilke typer brudd er meldt inn?

De rapporterte bruddene varierer i omfang og alvorlighetsgrad.

Den vanligste typen brudd i 2024 var «personopplysninger sendt til feil mottaker». Dette utgjorde omlag 37 prosent av meldingene. Denne stabilt høye andelen indikerer et vedvarende behov for bedre rutiner og styrket opplæring hos de behandlingsansvarlige for å redusere menneskelige feil.

«Tilsiktede angrep» inkluderer hacking og phishing, og har hatt en betydelig økning på omtrent 39 prosent. Denne utviklingen reflekterer et stadig mer komplekst trusselbilde og understreker viktigheten av forebyggende tiltak.

«Manglende/feil i tilgangsstyring» har en økning på 14 prosent, noe som kan tyde på utfordringer rundt implementering og etterlevelse av rutiner for tilgangsstyring.

I tillegg har det vært en markant økning på 164 prosent i «system- eller programmeringsfeil». Denne økningen kan skyldes en kombinasjon av implementeringsfeil og en økt bevissthet om å rapportere systemrelaterte brudd. Det understreker behovet for styrkede rutiner for testing og kvalitetskontroll i tekniske løsninger.

Hvilke sektorer rapporterer avvikene?

Avvikene fordeler seg over flere sektorer, med offentlig administrasjon som den hyppigst rapporterende sektoren med 42 prosent av meldingene. Det høye antallet kan forklares med at sektoren håndterer store mengder persondata, og at de har etablert gode rutiner for å identifisere og rapportere alle typer avvik.

Avviksmeldinger fra helse, omsorg og sosialsektoren utgjør 13 prosent av meldingene. Avvikene her gjelder ofte feil i behandling av helseopplysninger.

Finans- og forsikringssektoren utgjør 13 prosent av meldingene som ble sendt inn. Erfaringsmessig kan dette tilskrives høy kompetanse og gode rutiner for etterlevelse av regelverket.

Tilsynsvirksomheten

Vi gjennomførte 18 planlagte og hendelsesbaserte tilsyn, fordelt på både privat og offentlig sektor. Av disse var seks skriftlige tilsyn (brevkontroller) og seks ble gjennomført som stedlige kontroller. I tillegg ble seks av kontrollene gjennomført som digitale tilsyn som vil si teknisk undersøkelse av nettsteder.

I 2024 så vi nærmere på følgende tema i tilsynene:

• oppfyllelse av personvernprinsippene og behandlingsansvar
• kontroll av virksomhetenes styringssystem for personvern og informasjonssikkerhet
• personopplysningssikkerhet
• rettslig grunnlag for behandling av personopplysninger
• utlevering av kredittopplysninger
• historiske arkiv over kredittopplysninger
• sporing på nettsider

Noen av tilsynene ble initiert på bakgrunn av risikovurderinger som ble gjort ut fra analyse av avviksmeldinger og klagesaker vi har mottatt. Andre tilsyn ble gjennomført etter at vi hadde fått kjennskap til risikoområder gjennom tips eller media. Tilsynet som ble gjennomført hos UDI ved ambassaden i London, skjedde i tråd med forpliktelsene Norge har etter Schengen-regelverket.

De digitale tilsynene handlet om sporing på nettsider, og ble initiert som følge av at det mot slutten av 2023 kom en rekke medieoppslag om nettsider som delte personopplysninger med tredjeparter ved bruk av sporingsverktøy. I flere av tilfellene som ble omtalt, kunne opplysningene være av sensitiv art eller særlige kategorier av personopplysninger. Vi valgte derfor å gjennomføre tilsyn med seks ulike nettsteders bruk av sporingsverktøy. Tilsynsobjektene var offentlige organer, selskaper innen helsesektoren, foreninger med sensitivt tilsnitt og tjenester som retter seg mot barn. Tilsynene var pågående ved årsslutt og fortsetter inn i 2025.

Flere av tilsynsrapportene er på rapporteringstidspunktet fortsatt under arbeid.

Vi har over flere år jobbet målrettet internasjonalt med temaer og saker som har mye å si for personvernet i Norge. Over de siste årene har vi etablert en solid posisjon i relevante internasjonale fora. Det har gitt gode påvirkningsmuligheter, og vi er med på å sette agendaen for personvern internasjonalt.

Deltakelse i Personvernrådet med ekspertgrupper

Det europeiske personvernrådet (European Data Protection Board – EDPB, Personvernrådet) er et uavhengig EU-organ. Rådets viktigste oppgaver er å utarbeide retningslinjer og uttalelser om hvordan personvernforordningen skal forstås, vedta bindende beslutninger i enkelte grense­overskridende saker, og gi råd til lovgiverne i EU. Personvernrådet bidrar slik til en ensartet anvendelse av regelverket. I noen tilfeller kan rådet overprøve de enkelte datatilsynsmyndighetenes vurderinger i enkeltsaker. Det er derfor viktig for Datatilsynet å delta aktivt i Personvernrådet for å ivareta norske interesser, og vi følger stort sett alle rådets ekspertundergrupper og arbeidsgrupper.

Datatilsynet deltar også aktivt i utarbeidelsen av Personvernrådets retningslinjer og uttalelser. I 2024 var vi med på å skrive uttalelsen om såkalte «samtykk eller betal-modeller» (Pay or ok).

Internasjonal saksbehandling

Personvernforordningen kapittel VII og VIII inneholder regler om saksbehandlingen ved grense­overskridende behandling av person­opplysninger. I denne typen saker må alle berørte datatilsyns­myndigheter identifiseres, og det utpekes en ledende tilsynsmyndighet ut fra hvor virksomheten har sin hovedetablering. Den ledende tilsynsmyndigheten undersøker så saken og legger frem et utkast til avgjørelse som de berørte datatilsyns­myndighetene eventuelt kan komme med innsigelser mot.

I rapporteringsåret ble vi identifisert som berørt datatilsynsmyndighet i 373 nye saker, og ledende tilsynsmyndighet i 17 nye saker. Dette kommer i tillegg til flere saker fra tidligere år som fortsatt er pågående. Det er imidlertid en del usikkerhet om disse tallene siden ikke alle tilsyns­myndighetene bruker samme fremgangsmåte for å melde inn saker, og de reelle tallene er sannsynligvis noe høyere.

Internasjonal saksbehandling krever at vi kontinuerlig følger med på andre lands saker, og gir tilbakemelding der det er nødvendig. Tilsvarende må også vi involvere andre lands datatilsynsmyndigheter på en god måte i sakene vi behandler som er grenseoverskridende.

Overføring av personopplysninger til land utenfor EØS

I utgangspunktet er det ikke tillatt å overføre personopplysninger ut av EØS. Det finnes imidlertid en rekke unntak fra denne regelen. Unntakene er kompliserte, og i noen tilfeller kreves det en godkjenning fra Datatilsynet.

Datatilsynet kan godkjenne bindende virksomhetsregler (BCR) som grunnlag for overføring av personopplysninger ut av EØS. Dette krever imidlertid samarbeid med andre datatilsyns­myndigheter, samt at BCR-søknaden må legges frem for Personvernrådet for en uttalelse.

Ved utgangen av 2024, hadde vi som ledende tilsynsmyndighet ni åpne søknader om godkjenning av BCR som overføringsgrunnlag. I tillegg har vi gjennomgått fire BCR-søknader hvor en tilsyns­myndighet i et annet EØS-land er den ledende tilsynsmyndigheten (såkalt co-review). Dette er en del av prosessen før en BCR kan legges frem for Personvernrådet.

Øvrig internasjonalt samarbeid

Datatilsynet deltar også i en rekke andre internasjonale fora. De mest sentrale er:

• Global Privacy Assembly – den største globale sammenslutningen av datatilsynsmyndigheter
• Nordisk samarbeid – årlige møter og løpende samarbeid med datatilsynsmyndighetene i Danmark, Finland, Færøyene, Island, Sverige og Åland
• International Working Group on Data Protection in Technology – et forum for personvernspørsmål i fremvoksende teknologier
• Global Privacy Enforcement Network – deling av informasjon om og koordinering av tilsynsaktiviteter.

Den økende bruken av digitale hjelpemidler og verktøy, har ført til at personopplysninger samles inn og behandles i stadig større grad. Barnas hverdag er blitt gjennomdigitalisert, også i kontakten med venner og gjennom fritidsaktiviteter og underholdning.

Barn og unge er en sårbar gruppe som har et særlig krav på vern etter personvernregelverket. Denne gruppen er mindre bevisste på hva behandling av personopplysninger innebærer, hvilken risiko det kan medføre og hvilke rettigheter de har. Trygg bruk av digitale verktøy i skole og barnehage forutsetter kompetanse i alle ledd, både hos de som utvikler og tilbyr systemer og tjenester, i kommuner som skal sørge for anskaffelser, og blant lærere, elever og pårørende som skal bruke løsningene. Dette gjør seg særlig gjeldende når kunstig intelligens innføres som et verktøy i skolen.

Vi er bekymret for de unges personvern på nett, og mener det er stort behov for bedre ivaretagelse av barns og unges rettigheter og friheter på digitale flater. Spill og i sosiale nettverk skaper særlige utfordringer når det gjelder samtykke og aldersverifisering, sporing og atferdsbasert markedsføring.

Særlig viktige høringer å trekke frem

• Høringssvar til lov- og forskriftsendringer for opprettelse av individregistre over barn i barnehager og barn i grunnskoleopplæring

  Kunnskapsdepartementet har foreslått å opprette to nasjonale individdataregistre om barn i skole og barnehage. Individ­registrene er tenkt å inneholde en stor mengde personopplysninger om alle norske barn og deres familier. Sammenstillingen vil føre til at både tilgjengeligheten av person­opplysningene og koblingsmulighetene med andre registeropplysninger, blir betydelig større enn i dag. Vi uttrykte i høringssvaret vårt at registrene vil innebære et alvorlig og uforholdsmessig inngrep i det enkelte barns personvern, og for personvernet på et samfunnsnivå.

• Høringssvar om nasjonalt barnevernregister og forslag til endringer i barnevernloven

  Høringssvar om nasjonalt barnevernregister og forslag til endringer i barnevernloven Barne- og familiedepartementet har foreslått å opprette et nasjonalt og personidentifiserbart barnevernregister. I vårt høringssvar ga vi tilbakemelding om at de registrertes rettigheter må ivaretas på en bedre måte enn det som fremgikk av forslaget for at inngrepet skal anses å være forholdsmessig. Vi ønsket videre en tydeligere regulering av innsyn i digital kommunikasjon, og oppfordret til klarere aldersgrenser for når barn selv skal kunne ivareta sine rettigheter etter personvernregelverket.

• Høringssvar om behandling av sensitive personopplysninger i idretten 

  Kultur- og likestillingsdepartementet sendte på høring et forslag til lov om behandling av personopplysninger i forbindelse med seksuelle overgrep, trakassering og vold i idretten. Lovforslaget inneholder bestemmelser som gir organisasjoner tilknyttet Norges idrettsforbund hjemmel til å behandle særlige kategorier personopplysninger og opplysninger om straffedommer og lovovertredelser. 
  Vi er positive til at det er lagt frem et lovforslag for å sikre tilstrekkelig hjemmel for å behandle personopplysningene. Vi mener imidlertid at det må foretas grundigere vurderinger av personvernkonsekvensene ved behandling av svært sensitive personopplysninger som innebærer høy risiko for de registrertes rettigheter og friheter.

Avviksmeldinger i skole- og barnehagesektoren

Av meldingene om brudd på personopplysningssikkerheten (avvik) som gikk til saksbehandling i 2024, gjaldt 252 skole- eller barnehagesektoren. Flere meldinger viser at bruddene skyldes manglende kunnskap om bruk av digitale verktøy. I tillegg er det mange avvik som handler om personopplysninger sendt til feil mottaker. Vi har også eksempler på avvik som gjelder kommunens publisering av elevopplysninger på offentlig postjournal, og uautorisert tilgang til sensitive opplysninger gjennom skolens digitale løsninger.

Tilsyn

I rapporteringsåret initierte vi et tilsyn med nettsiders bruk av sporingsverktøy, der to av de seks utvalgte nettsidene er rettet mot barn. Vi ønsket å undersøke hvorvidt disse nettsidene behandler barns personopplysninger i tråd med personvernregelverket. I tillegg startet vi forberedelse av tilsyn med skolesektoren, der vi skal kontrollere femti kommuners ivaretakelse av personopplysnings­sikkerhet og personvern i digitale læringsplattformer som brukes i undervisningen. Tilsynsarbeidet fortsetter utover våren 2025.

Internasjonalt arbeid

Datatilsynet har bidratt i en rekke internasjonale samarbeid som handler spesifikt om barns personvern. Vi har blant annet deltatt i:

• Global Privacy Assembly sin Digital Education Working Group
• En nordisk arbeidsgruppe som ser på barns personvern i kontekst av gaming
• Det europeiske personvernrådets ekspertgruppe Key Provisions. Gruppen jobber med retningslinjer om behandling av barns personopplysninger
• Det europeiske personvernrådets ekspertgruppe Social Media. Gruppen jobber med retningslinjer om samspillet mellom personvernforordningen og forordningen om digitale tjenester

Andre aktiviteter

I april inviterte vi Kunnskapsdepartementet, Utdanningsdirektoratet, KS, KINS og flere personvernombud til et innspillsmøte med tema «personvern i den digitale skolen». Målet var å få inn ulike syn på hovedutfordringer, se på forslag til samarbeid for å løse disse utfordringene, og avklare hva vi bør prioritere basert på de virkemidlene vi har. Møtet resulterte blant annet i flere oppfølgingspunkter som vi tar med videre i tilsyn om digitale verktøy i skolen og i virksomhetsplanen for 2025.

Vi har hatt flere veiledningsmøter med Skolesec-prosjektet til KS i forbindelse med deres arbeid med en nasjonal DPIA for Google sine tjenester, samt nasjonal DPIA for KI i digitale læringsverktøy.

Det har det siste året pågått en politisk debatt om aldersgrenser og aldersverifisering for sosiale medier. Datatilsynet har bidratt med juridiske avklaringer i møter med blant annet Kunnskapsdepartementet, Barne- og familiedepartementet, Justis- og beredskapsdepartementet og Digitaliserings- og forvaltningsdepartementet. Mange har også vært engasjert i atferdsbasert markedsføring rettet mot barn og unge, og vi har deltatt i flere offentlige samtaler både nasjonalt og internasjonalt om dette.

I 2024 publiserte vi veiledning om barns personvern i online spill. Veiledningen ble utarbeidet av de nordiske datatilsynsmyndighetene i fellesskap. Arbeidsgruppen ble dannet med bakgrunn i en rapport fra DataEthics og The Danish Society of Engineers (IDA) om den utbredte bruken av online spill blant barn, og på grunn av behovet for å styrke beskyttelsen av spillernes rett til personvern. Veiledningen skal gjøre spillutviklere oppmerksomme på noen av de vurderingene de må gjøre etter personvernregelverket når de behandler barns personopplysninger. 

Vi deltar også i en direktoratgruppe kalt Samarbeidsorganet, i regi av Medietilsynet. Gruppen har jobbet med en handlingsplan for trygg digital oppvekst. Planen skal følge opp målene i strategien «Rett på nett» som regjeringen la frem høsten 2021. Medietilsynet har koordinert arbeidet i gruppen der også Helsedirektoratet, Barne-, ungdoms- og familiedirektoratet, Politidirektoratet, Utdanningsdirektoratet og Forbrukertilsynet er med. Handlingsplanen for trygg digital oppvekst ble lansert i oktober 2024.

Dubestemmer.no er en nettressurs der vi sammen med Utdanningsdirektoratet formidler informasjon om personvern og rettigheter til barn og unge på skolen. I rapporteringsåret har det vært flere møter om videreutvikling, forvaltning, statistikk og markedsføring. Medlemmene i arbeidsgruppen har deltatt i nasjonale nettverk for kritisk medieforståelse, Medietilsynets arbeid med handlingsplan, samt samarbeidet med Bufdir om foreldres bevissthet i møte med barns digitale hverdag. DuBestemmer ble fremhevet som en sentral ressurs i Handlingsplanen for trygg digital oppvekst som ble overrakt statsråden i november. Nettressursen er også nevnt under råd for skjermbruk til ungdom mellom 13 og 19 år i Skjermbrukutvalget sin rapport «NOU 2024:20 – Det digitale (i) livet» (nov-24) og i «Meld. St. 34 (2023-2024), En mer praktisk skole - Bedre læring, motivasjon og trivsel på 5.- 10.trinn».

Vi har også jobbet internt med å få på plass en ny og forbedret organisering av sandkassen i forbindelse med at den gikk fra å ha prosjektbevilgning til å bli permanent i 2023.

Sandkassen tilbyr enkeltaktører dialogbasert veiledning i innovasjons- og digitaliseringsprosjekter. For å øke nytten og spre kunnskap fra sandkassen, drar vi frem læring fra prosjektene i sluttrapporter og annen generisk veiledning.

Sandkasseprosjekter

Sandkassen publiserte følgende sluttrapporter i 2024:

• NTNU: I dette sandkasseprosjektet utforsket vi hvilke personvernvurderinger det er relevant å gjøre før NTNU skulle ta i bruk Microsofts KI-assistent, M365 Copilot. Prosjektet munnet ut i konkret veiledning som kan være nyttig for mange virksomheter.
• Juridisk ABC: Selskapet Juridisk ABC har utviklet LawAi, en juridisk generativ KI-løsning som svarer på spørsmål innen norsk arbeidsrett og tilhørende fagområder. Løsningen skal hjelpe arbeidsgivere og være en støtte i HR-arbeidet. Sandkasseprosjektet utforsket det rettslige grunnlaget i personvernforordningen for behandling av personopplysninger både i utvikling og bruk av en juridisk KI-løsning.
• Politihøgskolen: Politihøgskolen ønsket å bruke chatlogger fra straffesaker, der rettsvesenet har konkludert med at «grooming» har skjedd, til å trene et KI-verktøyet PrevBOT. Formålet med verktøyet var å identifisere grooming-samtaler på nett. I sandkassen ble det utforsket om det var mulig, i forskingsøyemed, å utvikle PrevBOT innenfor gjeldende lover og etiske retningslinjer.

I tillegg til de tre ferdigstilte prosjektene, hadde vi ved utløpet av 2024 også tre pågående prosjekter.

Sandkasse i ny form

I 2024 la vi grunnlaget for å fornye sandkassen, slik at vi bedre kan utnytte interne ressurser og møte de eksterne behovene. Arbeidet tok utgangspunkt i evalueringen av sandkassen som ble gjennomført av Agenda Kaupang i 2023. Evalueringen konkludert med at måten Datatilsynet har organisert sandkassearbeidet på, inkludert gjennomføring av opptak og prosjekter og kommunikasjon, var tilfredsstillende, men at det samtidig var flere forbedringsområder.

Arbeidet med å bestemme rammene for en ny intern organisering av sandkassen, ble fullført før årsskiftet – med sikte på implementering fra januar 2025. Endringene innebærer å legge til rette for større variasjon, både i hvordan vi gjennomfører sandkasseaktiviteter og hvordan vi formilder læringen fra aktivitetene. Vi ønsker å ha flere aktiviteter og jobbe med å få ut læring og budskap fra sandkassen som treffer flere. Den nye interne organiseringen integrerer sandkassen i større grad i linjen i Datatilsynet.

Utadrettet aktivitet

Åpenhet rundt prosjektene og konklusjonene vi trekker i konkrete problemstillinger som diskuteres i sandkassen, er en viktig del av metoden for å få best mulig effekt og gevinst fra sandkassearbeidet. I løpet av 2024 publiserte vi tre sluttrapporter som ble promotert via kanalene våre. Det ble også skrevet blogger og artikler, og det ble arrangert webinarer i forbindelse med publiseringene. I tillegg løftet vi frem generativ kunstig intelligens som tema for Personverndagen 2024, hvor det var innlegg fra sandkassedeltakere. Vi lagde også episoder om sandkassetematikk i podkastserien SandKasten, samt sendte ut nyhetsbrev med nyheter fra sandkassearbeidet.

Vi har holdt foredrag og innlegg på rundt 20 arrangementer i både inn- og utland hvor temaet har vært sandkassemetoden eller konkrete læringer fra sandkassen. Publikummet for disse innleggene og foredragene har i hovedsak vært representanter fra næringslivet, offentlig sektor og forskningsområdet.

Andre sentrale arrangement er:

• NOKIOS 2024. Vi arrangerte der en sesjon i hovedprogrammet sammen med NTNU og Helsedirektoratet. Sesjonen handlet om språkmodeller i sandkassen.
• Sikkerhetsfestivalen på Lillehammer. Vi arrangerte et spor der vi samarbeid med NTNU, og tematiserte hvordan store offentlige virksomheter kan ta i bruk kommersielle språkmodeller for de ansatte, og da spesifikt Microsoft Copilot.

Koordinering og samarbeid

I rapporteringsåret startet Finanstilsynet og Datatilsynet et samarbeid mellom de respektive sandkassene våre. Som en del av samarbeidet inviterte vi særlig banker i prosjekter som utforsker hvordan forebyggingen av økonomisk kriminalitet kan bli mer effektiv gjennom deling av data, til å delta i sandkassearbeidet.

I 2024 ble en representant fra Datatilsynet utnevnt som styringsgruppemedlem for OECD sin ekspertgruppe for KI, data og personvern. Vi bidro inn i arbeidet med en rapport om internasjonalt samarbeid for å oppnå godt personvern i KI-løsninger. Vi deltar også i EU-kommisjonens undergruppe for KI-sandkasser for å dele erfaringer om sandkasser etter KI-forordningen.

Vi har regelmessige møter med andre sandkasser og relevante aktører både nasjonalt og internasjonalt. Vi samarbeider blant annet med andre datatilsynsmyndigheter i Europa som har igangsatt egne sandkasser eller sandkasselignende initiativer, og vi har presentert erfaringer til aktører innen forskning og akademia. Vi har erfart at interessen har vært særlig stor i 2024, ettersom den nye KI-forordningen stiller krav om regulatoriske sandkasser for kunstig intelligens.

Akkreditering og sertifiseringsordninger

Datatilsynet jobber med å legge til rette for etableringen av atferdsnormer og sertifiseringsordninger (jf. personvernforordningen artikkel 57 nr. 1 bokstav m, n, p og q og artikkel 40-43). I 2024 publiserte vi krav for akkreditering av kontrollorganer for atferds­normer og tilleggskrav for akkreditering av sertifiseringsorganer. Vi oppdaterte også veiledningen om disse ordningene på nettsiden vår.

Vi har også styrket samarbeidet med Norsk akkreditering ved å bli med i deres forum for regulerende myndigheter. Vi bidro i Personvernrådets undergruppearbeid ved å gjennomgå nasjonale og europeiske sertifiseringsordninger. Rådet vedtok fem uttalelser om sertifiseringsordninger og godkjente kriterier i to europeiske sertifiseringsordninger som også skal kunne anvendes av virksomheter i Norge.

Arbeidsliv

Også i 2024 har Datatilsynet satset på dialogbasert veiledning for at arbeidsgivere kan ta i bruk innovativ teknologi på en personvernvennlig måte, blant annet i den regulatoriske sandkassen vår.

Bestemmelsen om overvåking av ansattes bruk av elektronisk utstyr i e-postforskriften, setter ramme for arbeidsgiveres bruk av ny teknologi. Vi har oppdatert veiledningen om temaet med flere praktiske eksempler, etter innspill fra partene i arbeidslivet. Den nye veiledningen har skapt stort engasjement, også når det gjelder utfordringer ved måten forskriften er utformet på. Både partene i arbeidslivet og Datatilsynet har uttrykt behov for å klargjøre eller oppheve forskriftsbestemmelsen, i forbindelse med Justisdepartementets etterkontrollarbeid.

Mange arbeidstakere bruker også utstyr fra arbeidsgivere til å lagre private bilder og dokumenter. Etter mange spørsmål til veiledningstjenesten vår, har vi laget veiledning på nettsiden om hvordan arbeidsgivere skal behandle personopplysninger ved en arbeidstakers død.

Tidligere eller nåværende arbeidstakere sendte 116 klager til Datatilsynet i 2024, noe som er det høyeste antallet noensinne, og en økning fra 91 tilsvarende klager i 2023.

Atferdsbasert markedsføring på digitale plattformer

Samtykk eller betal-modeller (Pay or ok)

Stadig flere tjenester i Europa krever at brukere av sosiale media og ulike digitale plattformer (inkludert aviser) som ikke samtykker til atferdsbasert markedsføring, må betale en avgift. Denne forretningsmodellen reiser en rekke juridiske spørsmål, blant annet om et slikt samtykket er gyldig. Fenomenet har begynt å spre seg til store internettplattformer, og dermed berører praksisen også norske brukere. Datatilsynet valgte derfor sammen med datatilsynsmyndighetene i Nederland og Hamburg, å be Personvernrådet komme med en uttalelse om slike samtykk eller betal-modeller på store internettplattformer.

Rådet kom med en uttalelse i 2024 der det ble slått fast at det ofte vil være vanskelig å innhente gyldig samtykke i slike sammenhenger, og vil etter planen følge opp med ytterligere veiledning om denne tematikken i 2025.

Grindr

I 2022 ila Datatilsynet det amerikanske selskapet Grindr Inc. et overtredelsesgebyr på 65 millioner kroner for å utlevere personopplysninger til tredjepartsaktører for atferdsbasert markedsføring uten gyldig samtykke. Avgjørelsen ble klaget inn til Personvernnemnda, som valgte å opprettholde vedtaket. Grindr tok deretter ut søksmål mot Staten ved Personvernnemnda med påstand om at vedtaket til Personvernnemnda kjennes ugyldig, eventuelt at overtredelsesgebyret settes ned. Hovedforhandlingene ble avholdt i Oslo tingrett i mars 2024. Tingretten opprettholdt Nemndas vedtak, men Grindr har anket dommen som vil bli behandlet av Borgarting lagmannsrett i 2025.

Bank og finans

Økningen i svindel av enkeltpersoner, har påvirket arbeidet vårt på finansfeltet i 2024. Banker og andre finansaktører har en viktig rolle i å avdekke og stanse svindelforsøk av egne kunder. Finansaktørene har derfor behov for å dele mer data med hverandre for å kunne drive et effektivt antisvindelarbeid, men de har blant annet pekt på personvernreglene som hinder slik datadeling. Datatilsynet har stilt opp på to store finanskonferanser for å veilede og snakke med bransjen om utfordringene de opplever. Vi har også hatt dialog med Finanstilsynet om hvordan vi sammen kan hjelpe bransjen med de rettslige avklaringene de trenger. Dette har resultert i et samarbeid der Datatilsynet og Finanstilsynet i felleskap har invitert finansbransjen til å søke om å delta i våre regulatoriske sandkasser med prosjekter som utforsker muligheter for datadeling.

Vi har også deltatt i referansegruppen for utvalget som skal se på trygge og enkle betalinger for alle (Betalingsutvalget). Datatilsynets innspill har i all hovedsak blitt tatt hensyn til i den endelige rapporten til Betalingsutvalget («NOU 2024: 21 Trygge og enkle betalinger for alle»).

EKOM

Nkom fører tilsyn med ekomregelverket. Dette regelverket har spesialregler om behandling av personopplysninger, noe som gjør det nødvendig med et godt samarbeid mellom tilsynsmyndighetene. Som en del av samarbeidet i har vi i 2024 hatt to møter på saksbehandlernivå, i tillegg til mer uformelle møter. Målet med møtene er blant annet å holde hverandre orientert om relevant utvikling på telekomfeltet, samt sikre gjensidig erfaringsutveksling.

Kontakten i 2024 har særlig omfattet ny ekomlov som ble lagt frem for Stortinget og vedtatt i 2024, med ikrafttredelse 1. januar 2025. Datatilsynet og Nkom har i denne forbindelse samarbeidet om veiledning om endringene i cookie-regelverket og forberedelser til dette. I tillegg har kontakten blant annet omfattet nummeropplysningsvirksomhet, saker om kommunikasjonsvern og saker hvor politiet får tilgang til taushetsbelagt informasjon fra teletilbyderne («fritakssaker»).

Helse- og velferd

Høringer

Gjennom høringer om nye lov- og forskriftsforslag, ser vi at økt datadeling i og digitalisering av forvaltningen er et uttalt siktemål for samfunnet. I 2024 har vi blant annet gitt høringsinnspill til forslag om opprettelse av et nasjonalt barnevernregister og endringer i taushetspliktbestemmelsene i helsesektoren.

Helseplattformen

Datatilsynet har gjennomført tre tilsyn med Helseplattformen som er en felles journalløsning for primær- og spesialisthelsetjenesten i Midt-Norge. Alle helseforetakene og mange kommuner har tatt løsningen i bruk. Journalløsningen driftes av Helseplattformen AS som eies i fellesskap av helseforetakene og kommunene som bruker plattformen. Gjennom tilsynene har vi særlig sett på fordelingen av dataansvaret for løsningen og styringssystemene for tilgangsstyring og avvikshåndtering.

Tilsynet med Helseplattformen AS ble gjennomført i mai 2024. Som oppfølging, var vi i oktober 2024 på kontroll hos St. Olavs hospital HF og Melhus kommune. De foreløpige tilsynsrapportene er under arbeid, og vil ferdigstilles i 2025.

Endringer i helseforvaltningen

Store endringer i helseforvaltningen trådte i kraft 1. januar 2024. Direktoratet for e-helse ble innlemmet i Helsedirektoratet, og Folkehelseinstituttet (FHI) overtok forvaltningsansvaret for de nasjonale helseregistrene. Dataansvaret for to viktige nasjonale e-helseløsninger, Reseptformidleren og Kjernejournal, ble overført fra Norsk helsenett SF til Helsedirektoratet.

Datatilsynet har blant annet i høringssvar til endringer i helselovgivningen, uttrykt skepsis til at FHI, som er en forskningsinstitusjon og stor databruker, også skal forvalte tilgangen til data blant annet til forskning. Vi foreslår at helsedataservice bør legges til en nøytral part som verken er leverandør eller forbruker av dataene eller tjenestene som Helsedataservice skal yte.

NAV

Datatilsynet gjennomførte høsten 2023 et tilsyn mot NAV. Vi avdekket der mangler ved NAVs konfidensialitetssikring gjennom tilgangsstyring, loggkontroll og deres styringssystem. Som følge av funnene i tilsynet fattet vi et vedtak med pålegg om utbedringer, og vi ila NAV et overtredelsesgebyr. Vedtaket ble påklaget av NAV, og det ble opphevet av Personvernnemnda i desember 2024.

Datatilsynet har besluttet å behandle saken på nytt, og følger opp saken videre i 2025.

Justis

Politiets behandling av personopplysninger

Datatilsynet er tilsyns- og kontrollmyndighet for politiets og påtalemyndighetens behandling av personopplysninger etter politiregisterloven. I tillegg til å behandle avviksmeldinger og klager fra enkeltpersoner etter politiregisterloven, har vi også tatt opp saker av eget initiativ.

I 2024 gjennomførte vi en kontroll av Øst politidistrikts behandling av personopplysninger om personer som tilhører den nasjonale minoriteten romer. Kontrollen ble gjennomført av eget tiltak, basert på informasjon fra media, samt direkte henvendelser. Som ledd i kontrollen ble det innhentet to skriftlige redegjørelser fra Øst politidistrikt. Vi gjennomførte også et stedlig tilsyn. Datatilsynet kom til at politiets behandling av personopplysninger ikke var i strid med politiregisterloven. Ved vurderingen ble det særlig lagt vekt på at utgangspunktet for kartleggingen har vært lovbrudd og konkrete etterforskningskomplekser, og ikke de registrertes etnisitet.

Vi har i 2024 gitt flere høringssvar om regelendringer som gjelder politiets behandling av personopplysninger, blant annet om Justis- og beredskapsdepartementets forslag til endringer i straffeprosessloven § 202 a om skjult kameraovervåking.

Kriminalomsorgen

Vi gjennomførte i november 2024 tilsyn med Kriminalomsorgsdirektoratet. Formålet var å undersøke kriminalomsorgens behandling av personopplysninger i Infoflyt-systemet. Dette er et system for informasjonsutveksling mellom kriminalomsorgen og politiet i saker hvor det foreligger en særlig risiko for rømning, andre alvorlige trusler mot sikkerheten eller risiko for alvorlig kriminalitet. Tilsynssaken var ikke avsluttet på rapporteringstidspunktet.

KI og trening på brukerdata

I 2024 kunngjorde flere internasjonale teknologiselskaper at de ønsket å benytte brukergenerert innhold til å trene de generative KI-modellene sine. Det vakte særlig oppsikt da det ble kjent at Meta planla å behandle brukernes innlegg og bilder på Facebook og Instagram for denne typen formål. Praksisen reiser en rekke personvernspørsmål, og mange tok kontakt med oss og uttrykte bekymring.

Vi laget en veiledning om hvordan brukerne av Meta kan protestere eller justere innstillingene på ulike tjenester hvis de ikke ønsker at personopplysningene deres skal brukes til trening av generativ KI. Artikkelen var den mest leste på datatilsynet.no i 2024, med nesten 250 000 visninger.

Vi har også engasjert oss i problemstillingen internasjonalt, og Meta valgte etter bredt internasjonalt press å utsette planene sine om å benytte brukernes bilder og innlegg til å utvikle generativ KI.

Kommuner og fylkeskommuner – oppfølging av tilsyn

Høsten 2023 gjennomførte Datatilsynet et omfattende tilsyn der over hundre kommuner og fylkeskommuner ble undersøkt. Det ble sett særlig på etterlevelse av krav til informasjonssikkerhet og internkontroll. Resultatene fra denne kontrollen ble samlet i en felles rapport som ble publisert på nettsidene våre, samt supplert med nærmere veiledning om de identifiserte temaene.

I rapporteringsåret har vi fulgt opp med kommunikasjon og veiledning om funn fra dette tilsynet. Det har inkludert en foredragsturné i regi av Kommunal Informasjonssikkerhet Norge (KiNS) der vi besøkte en rekke kommuner i Midt-Norge. I tillegg har vi holdt en rekke foredrag på ulike arrangementer for å spre informasjon om funnene fra tilsynet og våre anbefalinger.

Initiativene har bidratt til økt bevissthet om informasjonssikkerhet og internkontroll i kommunal sektor, samt styrket dialogen mellom Datatilsynet og kommunene.

Personvernundersøkelsen 2024

Seks år etter at personvernregelverket trådde i kraft, gjennomførte vi en landsrepresentativ undersøkelse om befolkningens kjennskap og holdninger til personvern. Undersøkelsen viser at den norske befolkningen kan mer om personvern enn da vi spurte dem forrige gang, i 2019. Den viser også at de aller fleste har større tillit til offentlige enn private virksomheter. Denne trenden er i tråd med tidligere personvernundersøkelser.

Vi ser imidlertid at mange opplever at det er vanskelig å ha kontroll over egne personopplysninger på nettet. De opplever at det er vanskelig å få oversikt over hvordan sporing på nettet foregår, og det er en utbredt opplevelse av å kjenne ubehag ved tanken på at det ligger mange opplysninger om dem der ute.

I undersøkelsen introduserte vi for første gang temaet kunstig intelligens og personvern. De fleste mente at kunstig intelligens vil utfordre personvernet ved at for store mengder personopplysninger samles inn og brukes på måter man ikke er enig i. Det er bred støtte for at myndighetene bør ta en aktiv rolle i reguleringen av kunstig intelligens, men betydelig færre som tror de er i stand til å gjøre det.

Til lanseringen av rapporten inviterte vi eksperter til å tolke hovedfunnene sammen med oss. Funnene er brukt i foredragsvirksomheten vår, samt som utgangspunkt for nettsaker og podcastepisoder.

Personvernombudsordningen

Personvernombudene er sentrale i virksomhetenes etterlevelse av personvern­lovgivningen. Ombudets rolle er å gi råd om hvordan personverninter­essene kan ivaretas best mulig, men også å kontrollere etterlevelsen av regelverket. I tillegg skal de være kontaktpunkt for de registrerte og for Datatilsynet. Personvernombudene skal ha en uavhengig rolle, og de skal ikke instrueres fra ledelsens side om prioriteringer eller utførelsen av oppgavene.

Ved utgangen av 2024 var det registrert 1 610 person­vernombud (PVO) som repre­sen­terte til sammen 2 207 virk­som­­heter. Differansen skyldes at 240 av de 1610 ombudene utøver rollen for mer enn én behandlingsansvarlig. De nye ombudene av året fikk veiledning om ombudsrollen og tips til aktører og ressurser vi mener de kan ha nytte av, og fikk tilbud om å delta på vårt digitale introduksjonskurs. Det ble i løpet av året holdt fem slike kurs.

Vi har prioritert å stille opp med foredragsholder på Foreningen Personvernombudenes medlemsmøter. Datatilsynets ledelse har også hatt kontaktmøte med styret i foreningen. Som i tidligere år har vi dessuten prioritert å stille opp i samlinger som har vært i regi av ulike regionale eller sektorvise nettverk av personvernombud.

Samarbeidet med utdanningsinstitusjonene Høgskolen i Innlandet, BI og Oslo Met om deres deltidsstudier i personvern har fortsatt også i 2024. Vi har deltatt med foredragsholdere på alle studiene, i tillegg til på Juristenes utdanningssenter sitt kurs for personvernombud.

Schengen

Norge deltar i Schengen-samarbeidet som inkluderer felleseuropeiske systemer og regelverk for behandling av personopplysninger. Datatilsynet fører tilsyn med norske myndigheters bruk av disse systemene. 

I mars 2024 gjennomførte Datatilsynet et tilsyn med den norske ambassaden i London. Tema for kontrollen var ambassadens behandling av personopplysninger i forbindelse med saksbehandling av visumsøknader. Som visummyndighet er utenrikstjenesten sluttbruker av de felleseuropeiske informasjonssystemene VIS (Visuminformasjonssystemet) og SIS (Schengen informasjonssystem). Gjennom tilsynet ble det ikke avdekket avvik fra lovbestemte krav til behandling av personopplysninger.

I tiden fremover skal det innføres nye informasjonssystemer i EU og Schengen-landene: inn- og utreisesystemet Entry/Exit og fremreisesystemet ETIAS (European Travel Information and Authorisation System). Et rammeverk for interoperabilitet mellom EUs informasjonssystemer er videre vedtatt og skal implementeres i EU- og Schengen-landene. Datatilsynet har i rapporteringsåret hatt jevnlige møter med politiet og utlendingsmyndighetene om implementeringen av de nye systemene.

Veiledningstjenestens telefontilbud setter oss i stand til å fange opp behovet fra publikum og å koble dette til ulike kommunikasjonstiltak på en effektiv måte.

Kommunikasjonsarbeidet er basert på statens kommunikasjonspolitikk og gjeldende regelverk, slik som offentlighetsloven og forvaltningsloven. Videre heter det i hovedinstruksen at vi skal fremme allmennhetens kjennskap til og forståelse for personvern, samt fremme personvern som en sentral verdi i samfunnet.

Formidling gjennom egne kanaler

Veiledningstjenesten

Datatilsynets veiledningstjeneste er et tilbud til alle som har spørsmål som ikke krever ordinær saks­behandling. Et viktig mål med tjenesten er å gjøre enkeltpersoner i stand til å ivareta egne personvern­rettigheter, og å veilede virksomheter i pliktene som følger av regelverket. Spørsmålene er ofte av både juridisk og teknisk karakter, og det er stor variasjon i temaene.

Vi fører statistikk over innkomne telefonsamtaler der vi registrerer hva henvendelsen handler om og om innringeren er privatperson, virksomhet eller personvernombud. I løpet av 2024 kom det inn 5 690 telefoner til tjenesten. Gjennomsnittlig ventetid i telefonkø var 2:22 minutter, og samtaletidene har et snitt på 10:24 minutter

I liket med året før, var 40 prosent av henvendelsene vi mottok fra virksomheter, mens 55 prosent kom fra privatpersoner. Personvernombudene stod for fem prosent av henvendelsene.

Hva får vi spørsmål om?

Hvilke tema vi mottar henvendelser om, har i stor grad vært uendret de siste årene. Av alle henvendelsene vi mottok i 2024, handlet 33 prosent om bruk av personopplysninger i registre. Henvendelsene gjaldt blant annet behandlingen av opplysninger i personalregister, kundelister, medlemsregistre og journalopplysninger.

Overvåking og sporing var tema for en fjerdedel av henvendelsene. De mest vanlige spørsmålene her handlet om privat kameraovervåking av bolig og hytte.

Spørsmål om internkontroll og informasjonssikkerhet utgjør også en stor del av henvendelsene, og gjelder i hovedsak avvikshåndtering, internkontroll, databehandleravtaler og behandlings­ansvar.

Personopplysninger på internett var tema for nesten én av ti henvendelser. Det store flertallet av disse gjaldt uønsket deling og publisering av bilder, film og tekst, sosiale medier og avindeksering. Vi mottok også en del spørsmål om sporing på digitale flater, og henvendelser fra privatpersoner som har mistet tilgang til konto på sosiale medier eller som er utsatt for falske kontoer.

Den mest markante utviklingen sammenlignet med tidligere år, er økningen av henvendelser som handler om arbeidsliv. Tidligere år har denne andelen vært stabil på 23 til 25 prosent, men i 2024 steg den til 33 prosent. De vanligste spørsmålene her gjelder behandlingen av personopplysninger i personalregister, slik som hvordan opplysningene lagres og hvordan arbeidsgiveren eventuelt bruker dem.

Mange av henvendelsene gjelder også forskjellige overvåkings- og kontrolltiltak på arbeidsplassen, og da særlig kameraovervåking. Vi ser at overvåkingen blir stadig mer inngripende.

Henvendelsene ellers gjelder blant annet bransjenormer og samarbeidsmekanismer, bruk av kunstig intelligens, sertifisering og akkreditering, samt DPIA og forhåndsdrøftelser.

Nettstedet www.datatilsynet.no – veiledning, nytt klageskjema og videoformidling

Datatilsynet.no er den viktigste kanalen vår for å dele informasjon med målgruppene våre. Nettsidene brukes aktivt av publikum som en kilde til informasjon og veiledning om personvern og personvernregelverket. I 2024 hadde vi 7 557 443 unike sidevisninger. Vi legger stor vekt på at innholdet skal være relevant, praktisk veiledende og enkelt tilgjengelig, og det overordnede målet er å gjøre brukerne mer selvhjulpne.

Vi har i 2024 oversatt en veiledning fra Personvernrådet om personvernforordningen for små og mellomstore bedrifter. Vi har også utarbeidet veiledning om blant annet akkreditering og sertifisering for virksomheter, håndtering av personopplysninger ved arbeidstakers død, elektronisk overvåking på arbeidsplassen, ID-kontroll, SIS- og VIS-systemene, kroppskamera, dataangrep og personopplysningssikkerhet, samt personvern i online spill (nordisk samarbeid). Vi lagde også veiledning til en sommerkampanje i samarbeid med LOs sommerpatrulje om kameraovervåking på arbeidsplassen.

Våren 2024 publiserte vi et nytt, digitalt klageskjema sammen med veiledning om rettigheter og klagebehandling. Dette har gitt brukerne enklere klagetilgang.

God tilgjengelighet og gode brukeropplevelser på nettsidene våre, har vært et viktig mål. Vi har lagt særlig vekt på universell utforming (UU), slik at så mange som mulig kan få informasjon uavhengig av funksjonsevne, og nettsidene scorer høyt på UU-kravene.

Vi tok i rapporteringsåret også i bruk en ny løsning for direktestrømming og videopresentasjon. Målet har vært å være mer tilgjengelig for alle målgrupper i hele Norge, både under direktesendinger og med mer faglige, spissede opptak til veiledningsbruk. I 2024 ble opptakene våre sett til sammen 4 205 ganger. Vi vil fortsette å utvikle bruk av interaktiv video som en mer aktiv kanal for veiledning.

Nøkkeltall fra statistikken på datatilsynet.no:

Personvernpodden, nyhetsbrev, blogg og sosiale medier

Personvernpodden er Datatilsynets egen podkast. Podcasten skal engasjere nye og eksisterende målgrupper, sette personvernet i en samfunnsmessig kontekst og bidra til økt bevissthet og refleksjon rundt personvern i befolkningen. I 2024 publiserte vi fire nye episoder som ble lastet ned 2 866 ganger.

Nyhetsbrevet vårt er en sentral kanal for å spre kunnskap om personvern. Alle aktuelle saker som publiseres på nettsidene våre, videreformidles i nyhetsbrevet. I 2024 sendte vi ut 15 nyhetsbrev. I tillegg har Datatilsynets regulatoriske sandkasse et eget nyhetsbrev, Sandkassebrevet.

Personvernbloggen.no er et sted hvor vi kan reise andre problemstillinger enn vi gjør på den ordinære nettsiden. Her formidler vi faglige refleksjoner og debatter om personvern. Vi publiserer også kronikker som vi har hatt på trykk i aviser og tidsskrifter.

Nøkkeltall:

Høsten 2024 sluttet vi å bruke X (tidligere Twitter). Beslutningen ble blant annet tatt etter en vurdering av personvernkonsekvenser som vi gjennomførte året før, samt løpende vurderinger av effekten av kommunikasjonstiltakene våre i kanalen de siste årene. Samtidig startet vi å bruke LinkedIn. Risikovurdering og vurdering av personvernkonsekvenser av denne plattformen kom på plass våren 2024.

LinkedIn er en egnet kanal til å oppnå flere av kommunikasjonsmålene våre, blant annet informasjonsformidling, veiledning og debatt. Målgruppen vår i kanalen er i hovedsak profesjonelle som arbeider med å etterleve plikter etter personvernforordningen i virksomheter, slik som jurister og personvernombud. Per 13. januar 2025 hadde vi 5 595 følgere på LinkedIn.

Mediekontakt og omdømme

Vi vurderer mediene som en viktig kanal for å få frem budskapene våre. Dette innebærer at vi skal ha god tilgjengelighet og et høyt servicenivå overfor journalistene.

I løpet av året besvarte kommunikasjons­avdelingen 548 mediehenvendelser. Det er imidlertid mange henvendelser som generer flere oppslag i ulike medier, og i mange mediesaker er vi omtalt uten å være kontaktet. Vi benytter Retriever til medieovervåking, og i løpet av året er det registrert til sammen 4 041 medie­saker der «Datatilsynet» er omtalt (henholdsvis 3 596 i nasjonale medier og 445 i internasjonale medier).

Av de temaene som særlig har preget nyhetsbildet gjennom året, kan vi trekke frem varsel og vedtak om overtredelsesgebyr til NAV, sakene om Meta og andre sosiale medier, svindel, snikfilming, overvåking på arbeidsplassen og tilsyn med Helseplattformen.

Omdømme

Datatilsynet var i 2024 for sjette år på rad med i IPSOS omdømmeundersøkelse. Vi ligger godt innenfor kategorien «godt omdømme», og skårer spesielt høyt på samfunnsansvar og kunnskap, samt «åpenhet og informasjon».

Av de tilsynsvirksomhetene, ombudene og nemdene som vi sammenlignes med, skårer vi aller høyest innenfor kategorien «Kompetanse og fagkunnskap» og «Samfunnsansvar». Vi holder oss godt innenfor parametere for totalinntrykket sammenlignet med de 97 etatene som vi er sammenstilt med.

Foredragsvirksomheten

Foredrag er en viktig del av kommunikasjons- og veilednings­virksomheten da det gir oss mulighet til å informere om rettigheter og plikter, og til å skape økt forståelse for betydningen av personvern. Dialog og erfaringsutveksling med andre aktører gir en større forståelse og gjensidig læring for ulike spørsmål og utfordringer i tillegg til regelverket. Samtidig viser vi synlighet og tilgjengelighet for virksomheter, interesseorganisa­sjoner og publikum.

Vi holdt gjennom rapporteringsåret 193 foredrag på kurs, konferanser og seminarer i regi av andre aktører som ønsket deltakelse fra oss. Dette er en liten nedgang fra året før. Om lag hvert fjerde foredrag har handlet om personvernutfordringer ved bruk av kunstig intelligens. Personvern i arbeidslivet er fortsatt et populært tema, men også erfaringer fra tilsynsvirksomhet, internkontroll og informasjonssikkerhet er også etterspurt.

Arrangør og medarrangør

Direkte dialog med ulike målgrupper, er en viktig del av arbeidet vi gjør for å levere på samfunnsoppdraget vårt. Vi har derfor deltatt som arrangør eller medarrangør på flere større konferanser om teknologi og samfunn, slik som KiNS, Norsk konferanse for IKT i offentlig sektor (NOKIOS) og Normkonferansen. Vi har også gjennomført en rekke arrangementer om sandkassen.

Under Arendalsuka deltok vi på åtte arrangementer, der vi snakket om blant annet kunstig intelligens, helse og arbeidsliv. Sikkerhetsfestivalen på Lillehammer er et annet årlig arrangement vi er med på å arrangere. I 2024 deltok vi blant annet med ansvar for sporet Privacy & Data Protection.

Tradisjonen tro markerte vi dessuten den internasjonale personverndagen i januar 2024 med et seminar i samarbeid med Teknologirådet. Temaet for dagen var kunstig intelligens og personvern. Arrangementet ble strømmet direkte med 1000 digitale følgere og fullsatt sal på rundt 200 deltakere.

Webinar og veiledningsvideoer

Alle webinarene og arrangementene våre strømmes via nettsidene og publiseres som opptak i etterkant.

I 2024 ba vi om innspill fra publikum om ønskede temaer for veiledningsvideoer på nettet. Flere ga da tilbakemelding om at de ønsket å få enda mer konkret informasjon om hvordan Datatilsynet forventer at sikkerhetshendelser skal håndteres av virksomhetene. Første veilednings­video om dette temaet ble derfor lansert høsten 2024, og handlet om hvordan virksomheter som blir utsatt for sikkerhetshendelser melder inn brudd på personopplysnings­sikkerheten til Datatilsynet. Det planlegges flere slike veiledningsfilmer i 2025.

Her er en beskrivelse noen utvalgte samarbeidsrelasjoner i 2024.

Samarbeid med offentlige aktører

Datatilsynet og Digitaliseringsdirektoratet samarbeider i prosjektet Felles Sikkerhet i Forvaltningen for å styrke informasjonssikkerheten og personvernet i offentlig sektor. Målet med samarbeidet er å etablere felles løsninger og rammeverk for sikkerhet i statlige virksomheter. I samarbeidet deltar også Helsedirektoratet, KS, NSM og DFØ.

Vi har et nært samarbeid med NSM både på overordnet og operativt nivå, særlig når det gjelder utarbeidelse av veiledningsmateriell og anbefalinger innenfor informasjonssikkerhet. Det gjennomføres jevnlig samarbeidsmøter mellom Datatilsynet, NSM og Digitaliseringsdirektoratet.

For å sikre kontinuerlig oppfølging og bevissthet rundt resultatene fra det store tilsynsarbeidet rettet mot kommuner og fylkeskommuner i 2023, har Datatilsynet hatt et nært samarbeid med KiNS. I forbindelse med satsingen på barn og unge, har vi i tillegg samarbeidet med KS om informasjons­sikkerhet og personvern i kommuner og skoler, og har hatt jevnlig kontakt med KS sitt SkoleSec-prosjekt.

Datatilsynet og Nkom har et tett samarbeid for å sikre en helhetlig regulering av elektronisk kommunikasjon der både sikkerhet og personvern ivaretas. Målet med samarbeidet har vært å holde hverandre orientert om utviklingen i telekomsektoren og sikre gjensidig erfaringsutveksling. Sentrale temaer har inkludert kommunikasjonsverndirektivet og den kommende kommunikasjonsvern­forordningen, ny ekomlov, avvikssaker i telekomsektoren og cookie-regelverket.

Datatilsynet har også et løpende samarbeid med Konkurransetilsynet, Finanstilsynet og Forbrukertilsynet i saker av felles interesse.

Samarbeid med næringsliv og ulike interesseorganisasjoner

I løpet av året har vi hatt god kontakt med ulike virksomheter innen det private og ulike interesseorganisasjoner. Her ønsker vi å trekke frem samarbeidet med Digital Norway. De har jobbet særlig med små og mellomstore bedrifter. I 2024 forberede vi kursopplegget «Hele Norge øver på personvern» som er planlagt gjennomført i 2025. I 2024 samarbeidet vi med LO om opplæring av medlemmer i forbindelse med LOs sommerpatrulje.

I løpet av året har vi hatt tett samarbeid med ulike bransjeaktører. Ett eksempel er Norges idrettsforbund der vi hadde tett dialog om utarbeidelse av veiledning om strømming av idrettsarrangementer og en høring om bekjempelse av overgrep. Vi har også god dialog med Finans Norge, og har deltatt på deres fagseminar om personvern der vi orienterte om siste nytt fra Det europeiske personvernrådet (EDPB) og Datatilsynet. På Hvitvaskingskonferansen lanserte vi dessuten felles sandkasse med Finanstilsynet.

I 2024 har Datatilsynet deltatt på en rekke arrangementer for å fremme personvernet i et stadig mer digitalisert arbeidsliv. Vi har blant annet deltatt på et seminar om algoritmisk styring og den norske modellen, i regi av Foundation for European Progressive Studies sitt program om algoritmer på arbeidsplassen. Vi har holdt en rekke foredrag om digitalisering og bruken av kunstig intelligens i arbeidslivet hvor vi har nådd ut til ulike bransjer og yrkesgrupper for å øke forståelsen av personvernregelverket.

Samarbeid med forskning og fagnettverk

Datatilsynet sitter i Forskningsrådets nasjonale referansegruppe for samfunnssikkerhet, og gir råd om Norges deltakelse i EU sitt forskningsprogram Horizon Europe. I 2024 ble personvern en del av flere forskningsområder i Horizon som et resultat av våre innspill, blant annet om å ta med personvern og menneskerettighetsperspektivet i forskningsutlysninger innen bekjempelse av kriminalitet og terrorisme.

I 2024 hadde vi et samarbeid med Universitetet i Oslo der en tverrfaglig gruppe med seks studenter ved Honoursprogrammet fikk tilgang til datasettet fra personvernundersøkelsen. De ønsket å se nærmere på ulike befolkningsgruppers forhold til personvern ved hjelp av en spørreundersøkelse og ulike maskinlæringsmodeller. Vi har også gitt innspill til flere ulike forskningsprogram og doktorgradsstudenter som forsker på sandkasser.

Vi deltar også i flere fagnettverk innen personvern. Vi er med i Nkom sitt aktørforum for eID og tillitstjenester som er en viktig møteplass for myndigheter og bransjen. Vi deltar i Norsk Biometri Forum som legger til rette for tverrfaglige diskusjoner mellom forskning, utviklere, leverandører, personvernseksperter, offentlige institusjoner og driftere av biometriske systemer. Vi er også del av ID-nettverket i regi av Nasjonalt ID-senter som har som formål å styrke kompetanse innenfor ID-arbeid i privat og offentlig sektor. Her inngår også eID. Nettverket arbeider for mer helhetlig ID-forvaltning i Norge.

Flere og mer komplekse saker

I kapittelet om saksbehandling og kontroll, beskrev vi et stadig voksende saksomfang. Vi ser også at sakene blir større og mer komplekse. Saker med høye overtredelsesgebyr har stor effekt, men krever også mer saksbehandling og oppfølging etter endelig vedtak. Slike saker legger ytterligere press på ressursene vi har – både i selve saksbehandlingen, men også i eventuelle etterfølgende klage- og rettsprosesser.

Dette gjør det fortsatt utfordrende å prioritere ut i fra omfanget av og bredden i oppgaver som vi er forpliktet til å gjøre etter personvernforordningen artikkel 57 nr. 1. Vi tror utviklingen kommer til å fortsette i samme retning fremover.

Globale reguleringsutfordringer

Vi ser en økning i antallet rettsakter fra EU på det digitale feltet. De nye regelverkene fra Europa vil prege Datatilsynets arbeid i årene som kommer.

Samtidig ser vi et politisk skifte i USA som i større grad vil utfordre europeiske reguleringer, inkludert personvernforordningen, i tiden som kommer. Det blir viktig for Datatilsynet og Norge å følge med på denne utviklingen, og om den vil ha betydning for håndheving og utvikling av lover, retningslinjer og bilaterale avtaler.

Vi vil også følge nøye med på beskyttelsesnivået for personopplysninger i USA. Et scenario kan være at EU-kommisjonen opphever beslutningen om at det kan overføres persondata til USA. Bruk av amerikanske skytjenester på europeisk jord, vil påvirkes negativt dersom adekvansbeslutningen oppheves.

Trusselbilde i endring

Andelen av verdens befolkning som lever i fullverdige demokratier, er på tilbakegang, og autoritære ledere vinner eller tar makten i stadig flere land. Det digitale trusselbildet er i endring, og person­opplysninger brukes blant annet i storskala cyberoperasjoner, i manipulering av innhold i digitale kanaler og til bruk i inngripende overvåking. Dette gjenspeiles også i avviksmeldingene som sendes inn til oss. Brudd på personopplysningssikkerheten som handler om «tilsiktede angrep» har økt med om lag 40 prosent.

Denne utviklingen reflekterer et stadig mer komplekst trusselbilde, og understreker viktigheten av forebyggende tiltak. Datatilsynet vil få en stadig viktigere rolle med å fremheve verdien av å kunne ivareta personvern for menneskets og samfunnets integritet.

Barn og unges personvern i skolen er under press

Digitaliseringen i skolene er et tema som engasjerer mange, og vi har i flere år jobbet med å fremme personvern både i diskusjon og handling. I det kommende året vil vi se spesielt på ivaretakelsen av personvern og personopplysningssikkerhet i digitale læringsverktøy for opplæringsformål. Målet er å kunne gi god veiledning og råd til utdanningssektoren og andre målgrupper i hele landet.

Vi vil i tiden fremover prioritere å bidra i arbeidet med å gi barn og unge en trygg digital oppvekst. I departementets tildelingsbrev for 2025 er dette også en egen føring. Samarbeid på tvers av sektorer, både nasjonalt og internasjonalt, er avgjørende for å lykkes her.

KI og deling av data

Deling av data og bruk av KI er viktige elementer i digitaliseringen i alle sektorer. For Datatilsynet vil det i årene fremover være viktig å være et tydelig tilsynsorgan som både skal veilede og håndheve regelverket i tråd med visjonen vår, «Sammen for tillit og menneskeverd i digitaliseringen av Norge».

God veiledning slik at det blir så enkelt som mulig å få til godt personvern, er viktig for å lykkes med digitaliseringen. Dette vil være en prioritet for oss i form av god dialog med sektorene, god veiledning på nettsiden og praktisk hjelp og veiledning i den regulatoriske sandkassen.

Vi ser at bruk og deling av data blir en stadig viktigere del av samfunnet vi lever i. Samtidig tar samfunnet i bruk ny teknologi, og det kommer nye regelverk til. Å ivareta personvernet er en viktig del av det store bildet, og her er Datatilsynet en sentral premissgiver. Vi ønsker å samhandle på tvers av sektorer og samfunnsområder, og vil være med å bidra til forståelsen av personvern som en sentral menneskerettighet i årene som kommer.