Årsrapport for 2024

Annen vesentlig aktivitet

I tillegg til de prioriterte områdene, jobber vi med en rekke andre saker. Vi har her samlet noen av de mest sentrale sakene og områdene.

Akkreditering og sertifiseringsordninger

Datatilsynet jobber med å legge til rette for etableringen av atferdsnormer og sertifiseringsordninger (jf. personvernforordningen artikkel 57 nr. 1 bokstav m, n, p og q og artikkel 40-43). I 2024 publiserte vi krav for akkreditering av kontrollorganer for atferds­normer og tilleggskrav for akkreditering av sertifiseringsorganer. Vi oppdaterte også veiledningen om disse ordningene på nettsiden vår.

Vi har også styrket samarbeidet med Norsk akkreditering ved å bli med i deres forum for regulerende myndigheter. Vi bidro i Personvernrådets undergruppearbeid ved å gjennomgå nasjonale og europeiske sertifiseringsordninger. Rådet vedtok fem uttalelser om sertifiseringsordninger og godkjente kriterier i to europeiske sertifiseringsordninger som også skal kunne anvendes av virksomheter i Norge.

Arbeidsliv

Også i 2024 har Datatilsynet satset på dialogbasert veiledning for at arbeidsgivere kan ta i bruk innovativ teknologi på en personvernvennlig måte, blant annet i den regulatoriske sandkassen vår.

Bestemmelsen om overvåking av ansattes bruk av elektronisk utstyr i e-postforskriften, setter ramme for arbeidsgiveres bruk av ny teknologi. Vi har oppdatert veiledningen om temaet med flere praktiske eksempler, etter innspill fra partene i arbeidslivet. Den nye veiledningen har skapt stort engasjement, også når det gjelder utfordringer ved måten forskriften er utformet på. Både partene i arbeidslivet og Datatilsynet har uttrykt behov for å klargjøre eller oppheve forskriftsbestemmelsen, i forbindelse med Justisdepartementets etterkontrollarbeid.

Mange arbeidstakere bruker også utstyr fra arbeidsgivere til å lagre private bilder og dokumenter. Etter mange spørsmål til veiledningstjenesten vår, har vi laget veiledning på nettsiden om hvordan arbeidsgivere skal behandle personopplysninger ved en arbeidstakers død.

Tidligere eller nåværende arbeidstakere sendte 116 klager til Datatilsynet i 2024, noe som er det høyeste antallet noensinne, og en økning fra 91 tilsvarende klager i 2023.

Atferdsbasert markedsføring på digitale plattformer

Samtykk eller betal-modeller (Pay or ok)

Stadig flere tjenester i Europa krever at brukere av sosiale media og ulike digitale plattformer (inkludert aviser) som ikke samtykker til atferdsbasert markedsføring, må betale en avgift. Denne forretningsmodellen reiser en rekke juridiske spørsmål, blant annet om et slikt samtykket er gyldig. Fenomenet har begynt å spre seg til store internettplattformer, og dermed berører praksisen også norske brukere. Datatilsynet valgte derfor sammen med datatilsynsmyndighetene i Nederland og Hamburg, å be Personvernrådet komme med en uttalelse om slike samtykk eller betal-modeller på store internettplattformer.

Rådet kom med en uttalelse i 2024 der det ble slått fast at det ofte vil være vanskelig å innhente gyldig samtykke i slike sammenhenger, og vil etter planen følge opp med ytterligere veiledning om denne tematikken i 2025.

Grindr

I 2022 ila Datatilsynet det amerikanske selskapet Grindr Inc. et overtredelsesgebyr på 65 millioner kroner for å utlevere personopplysninger til tredjepartsaktører for atferdsbasert markedsføring uten gyldig samtykke. Avgjørelsen ble klaget inn til Personvernnemnda, som valgte å opprettholde vedtaket. Grindr tok deretter ut søksmål mot Staten ved Personvernnemnda med påstand om at vedtaket til Personvernnemnda kjennes ugyldig, eventuelt at overtredelsesgebyret settes ned. Hovedforhandlingene ble avholdt i Oslo tingrett i mars 2024. Tingretten opprettholdt Nemndas vedtak, men Grindr har anket dommen som vil bli behandlet av Borgarting lagmannsrett i 2025.

Bank og finans

Økningen i svindel av enkeltpersoner, har påvirket arbeidet vårt på finansfeltet i 2024. Banker og andre finansaktører har en viktig rolle i å avdekke og stanse svindelforsøk av egne kunder. Finansaktørene har derfor behov for å dele mer data med hverandre for å kunne drive et effektivt antisvindelarbeid, men de har blant annet pekt på personvernreglene som hinder slik datadeling. Datatilsynet har stilt opp på to store finanskonferanser for å veilede og snakke med bransjen om utfordringene de opplever. Vi har også hatt dialog med Finanstilsynet om hvordan vi sammen kan hjelpe bransjen med de rettslige avklaringene de trenger. Dette har resultert i et samarbeid der Datatilsynet og Finanstilsynet i felleskap har invitert finansbransjen til å søke om å delta i våre regulatoriske sandkasser med prosjekter som utforsker muligheter for datadeling.

Vi har også deltatt i referansegruppen for utvalget som skal se på trygge og enkle betalinger for alle (Betalingsutvalget). Datatilsynets innspill har i all hovedsak blitt tatt hensyn til i den endelige rapporten til Betalingsutvalget («NOU 2024: 21 Trygge og enkle betalinger for alle»).

EKOM

Nkom fører tilsyn med ekomregelverket. Dette regelverket har spesialregler om behandling av personopplysninger, noe som gjør det nødvendig med et godt samarbeid mellom tilsynsmyndighetene. Som en del av samarbeidet i har vi i 2024 hatt to møter på saksbehandlernivå, i tillegg til mer uformelle møter. Målet med møtene er blant annet å holde hverandre orientert om relevant utvikling på telekomfeltet, samt sikre gjensidig erfaringsutveksling.

Kontakten i 2024 har særlig omfattet ny ekomlov som ble lagt frem for Stortinget og vedtatt i 2024, med ikrafttredelse 1. januar 2025. Datatilsynet og Nkom har i denne forbindelse samarbeidet om veiledning om endringene i cookie-regelverket og forberedelser til dette. I tillegg har kontakten blant annet omfattet nummeropplysningsvirksomhet, saker om kommunikasjonsvern og saker hvor politiet får tilgang til taushetsbelagt informasjon fra teletilbyderne («fritakssaker»).

Helse- og velferd

Høringer

Gjennom høringer om nye lov- og forskriftsforslag, ser vi at økt datadeling i og digitalisering av forvaltningen er et uttalt siktemål for samfunnet. I 2024 har vi blant annet gitt høringsinnspill til forslag om opprettelse av et nasjonalt barnevernregister og endringer i taushetspliktbestemmelsene i helsesektoren.

Helseplattformen

Datatilsynet har gjennomført tre tilsyn med Helseplattformen som er en felles journalløsning for primær- og spesialisthelsetjenesten i Midt-Norge. Alle helseforetakene og mange kommuner har tatt løsningen i bruk. Journalløsningen driftes av Helseplattformen AS som eies i fellesskap av helseforetakene og kommunene som bruker plattformen. Gjennom tilsynene har vi særlig sett på fordelingen av dataansvaret for løsningen og styringssystemene for tilgangsstyring og avvikshåndtering.

Tilsynet med Helseplattformen AS ble gjennomført i mai 2024. Som oppfølging, var vi i oktober 2024 på kontroll hos St. Olavs hospital HF og Melhus kommune. De foreløpige tilsynsrapportene er under arbeid, og vil ferdigstilles i 2025.

Endringer i helseforvaltningen

Store endringer i helseforvaltningen trådte i kraft 1. januar 2024. Direktoratet for e-helse ble innlemmet i Helsedirektoratet, og Folkehelseinstituttet (FHI) overtok forvaltningsansvaret for de nasjonale helseregistrene. Dataansvaret for to viktige nasjonale e-helseløsninger, Reseptformidleren og Kjernejournal, ble overført fra Norsk helsenett SF til Helsedirektoratet.

Datatilsynet har blant annet i høringssvar til endringer i helselovgivningen, uttrykt skepsis til at FHI, som er en forskningsinstitusjon og stor databruker, også skal forvalte tilgangen til data blant annet til forskning. Vi foreslår at helsedataservice bør legges til en nøytral part som verken er leverandør eller forbruker av dataene eller tjenestene som Helsedataservice skal yte.

NAV

Datatilsynet gjennomførte høsten 2023 et tilsyn mot NAV. Vi avdekket der mangler ved NAVs konfidensialitetssikring gjennom tilgangsstyring, loggkontroll og deres styringssystem. Som følge av funnene i tilsynet fattet vi et vedtak med pålegg om utbedringer, og vi ila NAV et overtredelsesgebyr. Vedtaket ble påklaget av NAV, og det ble opphevet av Personvernnemnda i desember 2024.

Datatilsynet har besluttet å behandle saken på nytt, og følger opp saken videre i 2025.

Justis

Politiets behandling av personopplysninger

Datatilsynet er tilsyns- og kontrollmyndighet for politiets og påtalemyndighetens behandling av personopplysninger etter politiregisterloven. I tillegg til å behandle avviksmeldinger og klager fra enkeltpersoner etter politiregisterloven, har vi også tatt opp saker av eget initiativ.

I 2024 gjennomførte vi en kontroll av Øst politidistrikts behandling av personopplysninger om personer som tilhører den nasjonale minoriteten romer. Kontrollen ble gjennomført av eget tiltak, basert på informasjon fra media, samt direkte henvendelser. Som ledd i kontrollen ble det innhentet to skriftlige redegjørelser fra Øst politidistrikt. Vi gjennomførte også et stedlig tilsyn. Datatilsynet kom til at politiets behandling av personopplysninger ikke var i strid med politiregisterloven. Ved vurderingen ble det særlig lagt vekt på at utgangspunktet for kartleggingen har vært lovbrudd og konkrete etterforskningskomplekser, og ikke de registrertes etnisitet.

Vi har i 2024 gitt flere høringssvar om regelendringer som gjelder politiets behandling av personopplysninger, blant annet om Justis- og beredskapsdepartementets forslag til endringer i straffeprosessloven § 202 a om skjult kameraovervåking.

Kriminalomsorgen

Vi gjennomførte i november 2024 tilsyn med Kriminalomsorgsdirektoratet. Formålet var å undersøke kriminalomsorgens behandling av personopplysninger i Infoflyt-systemet. Dette er et system for informasjonsutveksling mellom kriminalomsorgen og politiet i saker hvor det foreligger en særlig risiko for rømning, andre alvorlige trusler mot sikkerheten eller risiko for alvorlig kriminalitet. Tilsynssaken var ikke avsluttet på rapporteringstidspunktet.

KI og trening på brukerdata

I 2024 kunngjorde flere internasjonale teknologiselskaper at de ønsket å benytte brukergenerert innhold til å trene de generative KI-modellene sine. Det vakte særlig oppsikt da det ble kjent at Meta planla å behandle brukernes innlegg og bilder på Facebook og Instagram for denne typen formål. Praksisen reiser en rekke personvernspørsmål, og mange tok kontakt med oss og uttrykte bekymring.

Vi laget en veiledning om hvordan brukerne av Meta kan protestere eller justere innstillingene på ulike tjenester hvis de ikke ønsker at personopplysningene deres skal brukes til trening av generativ KI. Artikkelen var den mest leste på datatilsynet.no i 2024, med nesten 250 000 visninger.

Vi har også engasjert oss i problemstillingen internasjonalt, og Meta valgte etter bredt internasjonalt press å utsette planene sine om å benytte brukernes bilder og innlegg til å utvikle generativ KI.

Kommuner og fylkeskommuner – oppfølging av tilsyn

Høsten 2023 gjennomførte Datatilsynet et omfattende tilsyn der over hundre kommuner og fylkeskommuner ble undersøkt. Det ble sett særlig på etterlevelse av krav til informasjonssikkerhet og internkontroll. Resultatene fra denne kontrollen ble samlet i en felles rapport som ble publisert på nettsidene våre, samt supplert med nærmere veiledning om de identifiserte temaene.

I rapporteringsåret har vi fulgt opp med kommunikasjon og veiledning om funn fra dette tilsynet. Det har inkludert en foredragsturné i regi av Kommunal Informasjonssikkerhet Norge (KiNS) der vi besøkte en rekke kommuner i Midt-Norge. I tillegg har vi holdt en rekke foredrag på ulike arrangementer for å spre informasjon om funnene fra tilsynet og våre anbefalinger.

Initiativene har bidratt til økt bevissthet om informasjonssikkerhet og internkontroll i kommunal sektor, samt styrket dialogen mellom Datatilsynet og kommunene.

Personvernundersøkelsen 2024

Seks år etter at personvernregelverket trådde i kraft, gjennomførte vi en landsrepresentativ undersøkelse om befolkningens kjennskap og holdninger til personvern. Undersøkelsen viser at den norske befolkningen kan mer om personvern enn da vi spurte dem forrige gang, i 2019. Den viser også at de aller fleste har større tillit til offentlige enn private virksomheter. Denne trenden er i tråd med tidligere personvernundersøkelser.

Vi ser imidlertid at mange opplever at det er vanskelig å ha kontroll over egne personopplysninger på nettet. De opplever at det er vanskelig å få oversikt over hvordan sporing på nettet foregår, og det er en utbredt opplevelse av å kjenne ubehag ved tanken på at det ligger mange opplysninger om dem der ute.

I undersøkelsen introduserte vi for første gang temaet kunstig intelligens og personvern. De fleste mente at kunstig intelligens vil utfordre personvernet ved at for store mengder personopplysninger samles inn og brukes på måter man ikke er enig i. Det er bred støtte for at myndighetene bør ta en aktiv rolle i reguleringen av kunstig intelligens, men betydelig færre som tror de er i stand til å gjøre det.

Til lanseringen av rapporten inviterte vi eksperter til å tolke hovedfunnene sammen med oss. Funnene er brukt i foredragsvirksomheten vår, samt som utgangspunkt for nettsaker og podcastepisoder.

Personvernombudsordningen

Personvernombudene er sentrale i virksomhetenes etterlevelse av personvern­lovgivningen. Ombudets rolle er å gi råd om hvordan personverninter­essene kan ivaretas best mulig, men også å kontrollere etterlevelsen av regelverket. I tillegg skal de være kontaktpunkt for de registrerte og for Datatilsynet. Personvernombudene skal ha en uavhengig rolle, og de skal ikke instrueres fra ledelsens side om prioriteringer eller utførelsen av oppgavene.

Ved utgangen av 2024 var det registrert 1 610 person­vernombud (PVO) som repre­sen­terte til sammen 2 207 virk­som­­heter. Differansen skyldes at 240 av de 1610 ombudene utøver rollen for mer enn én behandlingsansvarlig. De nye ombudene av året fikk veiledning om ombudsrollen og tips til aktører og ressurser vi mener de kan ha nytte av, og fikk tilbud om å delta på vårt digitale introduksjonskurs. Det ble i løpet av året holdt fem slike kurs.

Vi har prioritert å stille opp med foredragsholder på Foreningen Personvernombudenes medlemsmøter. Datatilsynets ledelse har også hatt kontaktmøte med styret i foreningen. Som i tidligere år har vi dessuten prioritert å stille opp i samlinger som har vært i regi av ulike regionale eller sektorvise nettverk av personvernombud.

Samarbeidet med utdanningsinstitusjonene Høgskolen i Innlandet, BI og Oslo Met om deres deltidsstudier i personvern har fortsatt også i 2024. Vi har deltatt med foredragsholdere på alle studiene, i tillegg til på Juristenes utdanningssenter sitt kurs for personvernombud.

Schengen

Norge deltar i Schengen-samarbeidet som inkluderer felleseuropeiske systemer og regelverk for behandling av personopplysninger. Datatilsynet fører tilsyn med norske myndigheters bruk av disse systemene. 

I mars 2024 gjennomførte Datatilsynet et tilsyn med den norske ambassaden i London. Tema for kontrollen var ambassadens behandling av personopplysninger i forbindelse med saksbehandling av visumsøknader. Som visummyndighet er utenrikstjenesten sluttbruker av de felleseuropeiske informasjonssystemene VIS (Visuminformasjonssystemet) og SIS (Schengen informasjonssystem). Gjennom tilsynet ble det ikke avdekket avvik fra lovbestemte krav til behandling av personopplysninger.

I tiden fremover skal det innføres nye informasjonssystemer i EU og Schengen-landene: inn- og utreisesystemet Entry/Exit og fremreisesystemet ETIAS (European Travel Information and Authorisation System). Et rammeverk for interoperabilitet mellom EUs informasjonssystemer er videre vedtatt og skal implementeres i EU- og Schengen-landene. Datatilsynet har i rapporteringsåret hatt jevnlige møter med politiet og utlendingsmyndighetene om implementeringen av de nye systemene.