Årsrapport for 2024

Kontroll og saksbehandling

Datatilsynets myndighet og oppgaver er gitt gjennom personopplysningsloven og personvernforordningen. Vi har i tillegg tilsynsoppgaver etter blant annet kreditt­opplysningsloven, politiregisterloven, helseregisterloven, pasientjournalloven og Schengen-regelverket, i tillegg til en rekke forskrifter.

Vår myndighet omfatter adgang til å iverksette undersøkelser, gi pålegg og til å ilegge administrative sanksjoner.

Kontrollsaker kan utløses av at vi mottar klager fra enkeltpersoner om mulige brudd på personvern-regelverket. Klagesakene utgjør en høy andel av henvendelsene vi mottar. Loven fastslår at slike saker skal behandles, og vi har begrensede muligheter til å avslutte saker uten å fatte vedtak. Vi håndterer et variert utvalg av klagesaker. Noen er av mindre alvorlig karakter, mens andre involverer kompliserte problemstillinger som krever omfattende undersøkelser og høy faglig ekspertise for å kunne behandles.

Kvalifiserte brudd på personopplysningssikkerheten (avvik) er meldepliktig, og antallet innkommende avviksmeldinger har økt over mange år. En del av disse sakene fører til omfattende undersøkelser, og flere av sakene som tas opp til behandling, ender med vedtak om pålegg eller sanksjoner.

Vi gjennomfører også kontroller av eget tiltak i ulike former. Disse sakene starter basert på blant annet vurdering av personvernrisiko, satsingsområder eller etter mottatte tips.

Saker, klager og vedtak

Saksbehandling - saker og klager.jpgI tråd med tendensene de siste årene, økte antall nye saker også i 2024 sammenlignet med foregående år. I løpet av året registrerte vi 4 736 nye saker.

I 2024 fikk vi inn 902 klager fra enkeltpersoner på mulige regelverksbrudd, mot 591 klager året før. Antall klager har altså økt med hele 53 prosent fra 2023. Den store økningen kan skyldes flere forhold, ikke minst at vi publiserte et digitalt klageskjema i april 2024, og antall klager økte umiddelbart. Den digitale løsningen har sannsynligvis gitt en lavere terskel for å sende inn klager. Vi ser forøvrig at det er et stort trykk med økning av innsendte klager i hele Europa. I Sverige har antall klager økt med 33 prosent over to år.

Klagesakene handlet i hovedsak om spørsmål rundt kundedata, publiseringer på nettet og sporing og kameraovervåking. 16 prosent av alle klagene dreide seg om personvern på arbeids­plassen.

I løpet av året fattet vi 384 vedtak. Dette inkluderer flere typer beslutninger, også de som tas underveis i saksbehandlingsprosessen.

Saksbehandling - vedtak og klager.jpgDatatilsynet har hjemmel til å fatte vedtak om sanksjoner eller andre korrigerende tiltak. I 2024 fattet vi 44 slike vedtak (les mer lenger ned). I tillegg har vi fattet flere vedtak der vi har konkludert med brudd på personvernregelverket uten å ilegge sanksjoner eller korrigerende tiltak. Vi kan også fatte vedtak der vi konkluderer med at det ikke foreligger brudd på regelverket. I enkelte saker er det aktuelt å fatte avvisnings­vedtak, slik som når klageren ikke oppfyller vilkårene i personvernforordningen eller når klagens tema faller utenfor Datatilsynets myndighet.

Pålegg om å utlevere informasjon til oss som del av et tilsyn, skjer også i vedtaksform. Samlet utgjør dette 145 vedtak. Antallet avvisnings­vedtak og vedtak om at saken ikke var brudd på regelverket, utgjorde om lag 150 saker.

Saksbehandling - vedtak PVN.jpgI løpet av året mottok vi 73 klager på vedtakene våre. Det har altså vært en økning i antall saker som ble påklaget, noe som innebærer at behandlings­­tiden for klager på vedtak har økt det siste året. I fem saker omgjorde vi vedtakene, mens vi sendte 48 saker over til Personvern­nemnda for klagebehandling.

Personvernnemnda fattet vedtak i 28 saker i 2024, og i 23 av dem ble Datatilsynets vedtak opprettholdt. Det er altså en relativt lav andel av vedtakene våre som blir omgjort.

Påpeking av plikt

Mange klagesaker løses ved å sende et brev med «påpeking av plikt», hvor vi informerer om relevante krav i personvernregelverket, til den innklagede parten. Klageren blir samtidig opplyst om muligheten til å kontakte oss igjen hvis saken ikke løser seg, eller dersom de ønsker en vurdering av om behandlingen bryter regelverket. Vi erfarer at dette er en effektiv og god måte å løse noen av klagesakene våre på.

Saker hvor vi benytter denne reaksjonen, er typisk klager på uoppfylte rettigheter (slik som innsyn, retting eller sletting av personopplysninger) og klager om kameraovervåking mellom naboer der den innklagede er en privatperson. Mange saker løser seg etter en slik tilbakemelding. Dersom saken ikke løser seg, vurderer vi videre saksbehandlingsskritt.

Påpeking av plikt brukes også ved mindre alvorlige regelbrudd for å veilede virksomhetene og forebygge gjentakelser. I fjor sendte vi ut 238 slike brev med påpeking av plikt.

Korrigerende tiltak og sanksjoner

Saksbehandling - sanksjoner.jpgI 2024 fattet vi 44 vedtak om korrigerende tiltak og sanksjoner. Av disse var 43 vedtak etter artikkel 58 nr. 2 i personvernforordningen (noe som omfatter irettesettelser, ulike pålegg og overtredelsesgebyr). I tillegg fattet vi ett vedtak om tvangsmulkt. Det ble gitt som følge av manglende dokumentasjon om at pålegg som ble gitt etter et tilsyn er gjennomført.

I fem av vedtakene ila vi overtredelses­gebyr. Alle gebyrene ble gitt til offentlige virksomheter. Vedtaket om overtredelses­gebyr etter tilsynet mot NAV, ble imidlertid opphevet av Personvern­nemnda i desember 2024.

Vedtak om irettesettelse kan ilegges for mindre alvorlige brudd på personvernregelverket, og ble i 2024 gitt i 14 saker. Det ble gitt til både private og offentlige virksomheter.

Vår myndighet til å reagere med korrigerende tiltak, omfatter også konkrete vedtak om pålegg knyttet til plikter etter personvernregelverket. Slike pålegg ble gitt i 24 saker i rapporteringsåret. Det ble gitt 11 vedtak som følge av at det ble avdekket avvik gjennom tilsyn, og påleggene gjaldt lukking av disse. Ti av sakene gjaldt offentlige aktører, blant annet kommuner som ble kontrollert under det store kommunetilsynet i 2023.

Oversikt over sanksjonene som ble gitt:

 

Saksnr.

Mottaker

Stikkord

Sum   

1.        

23/00708

Arbeids- og velferdsetaten (NAV)

Overtredelsesgebyr

20 000 000
(opphevet av PVN)

2.        

21/01507

Eidskog kommune

Overtredelsesgebyr

85 000
(påklaget til PVN)

3.        

20/04805

Eidskog kommune

Overtredelsesgebyr

250 000
(påklaget til PVN)

4.        

24/00793

Universitetet i Agder

Overtredelsesgebyr

150 000

5.        

24/00754

Grue kommune

Overtredelsesgebyr

250 000

6.        

23/03951

Ringo Askim AS

Tvangsmulkt

Ikke endelig avsluttet/pågår

Offentlighetsloven og innsynsbegjæringer – eInnsyn

Vi mottar et høyt antall innsynsbegjæringer, og i rapporteringsåret har vi behandlet 7 547 slike begjæringer. Håndteringen av disse er utfordrende og tidkrevende, ikke minst alle vurderingene av meroffentlighet som må gjøres.

Andelen begjæringer som blir avslått, har gått noe ned i forhold til antallet innkomne begjæringer. Samtidig sendte vi ut 2 398 sladdede dokumenter i løpet av året, noe som innebærer en økning sammenlignet med tidligere år.

Saksbehandling - einnsyn.jpg

Høringer

Saksbehandling - høringer.jpgVi mottok 220 høringssaker i rapporterings­året. Vi skrev 60 høringssvar, åtte flere enn i 2023. 54 av høringene gjaldt forslag som berører behandling av personopplysninger i offentlig sektor. Vi har prioritert å svare på høringer som er av stor betydning for personvernet.

Datatilsynet har i tillegg hatt dialog med Justisdepartementet i forbindelse med deres pågående etterkontroll av personopplysnings­loven. Vi ga innspillene våre med forslag til endringer som vi har identifisert etter å ha praktisert loven gjennom seks år. I tillegg har vi bistått Justisdepartementet i forbindelse med en delutredning av mulighetene for alternative løsninger for behandling av klagesaker.

Meldinger om brudd på personopplysningssikkerheten – avviksmeldinger

Saksbehandling - avvik.jpgPersonvernforordningen stiller krav om at brudd på personopplysningssikkerheten, også kalt avvik, skal meldes til Datatilsynet. Disse meldingene gir verdifull innsikt i risikoer, sårbarheter og trusler for behandling av personopplysninger, samtidig som de danner et viktig grunnlag for risikobaserte tilsyn og prioritering innen veiledning og kommunikasjon.

I 2024 mottok vi totalt 3 191 slike meldinger, noe som utgjør et snitt på 266 meldinger per måned. Dette representerer en økning på 13 prosent fra året før.

Av de innmeldte bruddene, ble 80 prosent avsluttet uten videre oppfølgning etter en vurdering av personvernrisikoen, mens 20 prosent gikk til videre saksbehandling.

For meldingene som ikke gikk til videre oppfølgning, sendte vi et standardbrev som minnet den behandlingsansvarlige om plikten til å håndtere bruddet i tråd med artikkel 33 nr. 5.

Hvilke typer brudd er meldt inn?

De rapporterte bruddene varierer i omfang og alvorlighetsgrad.

Den vanligste typen brudd i 2024 var «personopplysninger sendt til feil mottaker». Dette utgjorde omlag 37 prosent av meldingene. Denne stabilt høye andelen indikerer et vedvarende behov for bedre rutiner og styrket opplæring hos de behandlingsansvarlige for å redusere menneskelige feil.

«Tilsiktede angrep» inkluderer hacking og phishing, og har hatt en betydelig økning på omtrent 39 prosent. Denne utviklingen reflekterer et stadig mer komplekst trusselbilde og understreker viktigheten av forebyggende tiltak.

«Manglende/feil i tilgangsstyring» har en økning på 14 prosent, noe som kan tyde på utfordringer rundt implementering og etterlevelse av rutiner for tilgangsstyring.

I tillegg har det vært en markant økning på 164 prosent i «system- eller programmeringsfeil». Denne økningen kan skyldes en kombinasjon av implementeringsfeil og en økt bevissthet om å rapportere systemrelaterte brudd. Det understreker behovet for styrkede rutiner for testing og kvalitetskontroll i tekniske løsninger.

Saksbehandling - type avvik.jpg

Hvilke sektorer rapporterer avvikene?

Avvikene fordeler seg over flere sektorer, med offentlig administrasjon som den hyppigst rapporterende sektoren med 42 prosent av meldingene. Det høye antallet kan forklares med at sektoren håndterer store mengder persondata, og at de har etablert gode rutiner for å identifisere og rapportere alle typer avvik.

Saksbehandling - avvik sektor.jpg

Avviksmeldinger fra helse, omsorg og sosialsektoren utgjør 13 prosent av meldingene. Avvikene her gjelder ofte feil i behandling av helseopplysninger.

Finans- og forsikringssektoren utgjør 13 prosent av meldingene som ble sendt inn. Erfaringsmessig kan dette tilskrives høy kompetanse og gode rutiner for etterlevelse av regelverket.

Tilsynsvirksomheten

Vi gjennomførte 18 planlagte og hendelsesbaserte tilsyn, fordelt på både privat og offentlig sektor. Av disse var seks skriftlige tilsyn (brevkontroller) og seks ble gjennomført som stedlige kontroller. I tillegg ble seks av kontrollene gjennomført som digitale tilsyn som vil si teknisk undersøkelse av nettsteder.

I 2024 så vi nærmere på følgende tema i tilsynene:

  • oppfyllelse av personvernprinsippene og behandlingsansvar
  • kontroll av virksomhetenes styringssystem for personvern og informasjonssikkerhet
  • personopplysningssikkerhet
  • rettslig grunnlag for behandling av personopplysninger
  • utlevering av kredittopplysninger
  • historiske arkiv over kredittopplysninger
  • sporing på nettsider

Noen av tilsynene ble initiert på bakgrunn av risikovurderinger som ble gjort ut fra analyse av avviksmeldinger og klagesaker vi har mottatt. Andre tilsyn ble gjennomført etter at vi hadde fått kjennskap til risikoområder gjennom tips eller media. Tilsynet som ble gjennomført hos UDI ved ambassaden i London, skjedde i tråd med forpliktelsene Norge har etter Schengen-regelverket.

De digitale tilsynene handlet om sporing på nettsider, og ble initiert som følge av at det mot slutten av 2023 kom en rekke medieoppslag om nettsider som delte personopplysninger med tredjeparter ved bruk av sporingsverktøy. I flere av tilfellene som ble omtalt, kunne opplysningene være av sensitiv art eller særlige kategorier av personopplysninger. Vi valgte derfor å gjennomføre tilsyn med seks ulike nettsteders bruk av sporingsverktøy. Tilsynsobjektene var offentlige organer, selskaper innen helsesektoren, foreninger med sensitivt tilsnitt og tjenester som retter seg mot barn. Tilsynene var pågående ved årsslutt og fortsetter inn i 2025.

Flere av tilsynsrapportene er på rapporteringstidspunktet fortsatt under arbeid.

Tilsynsobjekt

Metode

Kirkens bymisjon – ifengsel.no (sporingstilsyn)

Digitalt

Norsk helseinformatikk – nhi.no (sporingstilsyn)

Digitalt

Det norske bibelselskap – bibel.no (sporingstilsyn)

Digitalt

Apotek for deg - apotekfordeg.no (sporingstilsyn)

Digitalt

Kristiansand kommune - alarmtelefonen for barn og unge 116111.no (sporingstilsyn)

Digitalt

Dr.Dropin - drdopin.no (sporingstilsyn)

Digitalt

Kriminalomsorgen: Infoflyt

Stedlig

UDI/ Ambassaden i London - Etterlevelse av VIS-regelverket

Stedlig

Politiet - Kartlegging av personer i romermiljøet

Stedlig

Helseplattformen AS

Stedlig

Helseplattformen Melhus kommune

Stedlig

Helseplattformen St. Olavs hospital HF

Stedlig

Nettapotek (bruk av Foodora)

Brevlig

Dun & Bradstreet Norway AS

Brevlig

Experian

Brevlig

Creditsafe Norway

Brevlig

TietoEvry Norway

Brevlig

Dun & Bradstreet Norway AS

Brevlig