Datatilsynet ønsker at sandkassen skal representere et bredt spekter av aktører, fra små oppstartsbedrifter til større offentlige virksomheter. Alle typer virksomheter og organisasjoner har derfor mulighet til å søke om å delta.

Antall prosjekter som blir tatt opp vil avhenge av kapasiteten vår. 

Overordnet målsetting

Den overordnede målsetingen med den regulatoriske sandkassen i Datatilsynet er å stimulere til personvernvennlig innovasjon og digitalisering.

Målet er at sandkassen skal ha positive gevinster for virksomheter, Datatilsynet, enkeltpersoner og samfunnet som helhet:

• For virksomheter skal den regulatoriske sandkassen bidra til å øke deres forståelse for de regulatoriske kravene, og hvordan ny teknologi kan ivareta kravene i personvernregelverket i praksis. Eksempler og erfaringer fra sandkassen skal kommuniseres for å komme andre virksomheter enn de som deltar til gode.
• For Datatilsynet skal den regulatoriske sandkassen bidra til å øke vår forståelse for og kunnskap om ny teknologi. Denne kompetansen skal brukes til å styrke tilsynets veiledning, saksbehandling, tilsynsmetodikk og innspill til regelverk- og politikkutvikling innen personvernvennlig innovasjon og digitalisering.
• Enkeltpersoner og samfunnet som helhet vil tjene på at utvikling og bruk av ny teknologi foregår innenfor en ramme som sikrer ansvarlighet og etterrettelighet og som ivaretar hensynet til enkeltmenneskets grunnleggende rettigheter. Dette legger grunnlaget for utvikling av tjenester som ivaretar kunders og innbyggeres tillit.

Kunstig intelligens med mer

Sandkassen ble etablert i kjølvannet av Nasjonal strategi for kunstig intelligens (regjeringen.no). De første årene var det et kriterie at prosjektene involverte nettopp kunstig intelligens.

Nå har sandkassen fått utvidet mandatet. Det er ikke lenger et kriterie at prosjektet involverer kunstig intelligens, så lenge det er snakk om innovasjon og digitalisering. 

Andre personvernregelverk som Datatilsynet fører tilsyn med, og kan gi råd om i den regulatoriske sandkassen, er blant annet politiregisterloven, helseregisterloven, helseforskningsloven, pasientjournalloven og forskrifter til arbeidsmiljøloven, som gjelder kameraovervåking og innsyn i e-post.
Les mer på siden vår om lover og regler

Ved behov kan Datatilsynet samarbeide med andre myndigheter for å gi råd om tilgrensende regelverk. Offentlige virksomheter må for eksempel forholde seg til krav fra arkivlovgivningen, forvaltningsloven og offentlighetsloven – for å nevne noen.

Sandkassen kan ikke gi dispensasjon fra regelverket. I den perioden organisasjonene deltar i sandkassen, har Datatilsynet ikke intensjon om å iverksette korrigerende tiltak. Fokus er på å hjelpe deltakerne med å etterleve regelverket.

Varigheten på oppholdet i sandkassen kan variere fra virksomhet til virksomhet, og Datatilsynet er fleksible når det kommer til lengden på deltakelsen, og hvor omfattende problemstillingene skal være.

Likevel må deltagelse i sandkassen møte disse kriteriene:

• Det må legge til rette for utvikling av personvernvennlig innovasjon og digitalisering.
• Det skal være dialogbasert veiledning mellom Datatilsynet og en eller flere eksterne aktører.
• Det skal lede til veiledning som kommer flere til gode.

Basert på disse kriteriene tilbyr sandkassen en rekke aktiviteter:

• Sandkasserapporter: Veiledningen i sandkassen har ofte resultert i en rapport som oppsummerer Datatilsynets juridiske vurderinger av problemstillingene deltakerne har reist.
• Webinarer: Datatilsynet kan arrangere digitale seminarer hvor erfaringer og kunnskap deles på tvers av aktører.
• Digitale foredrag: Datatilsynet kan holde presentasjon av spesifikke emner relatert til sandkassen.
• Q&A-sesjoner: Datatilsynet kan arrangere spørsmål og svar-sesjoner om vanlige problemstillinger eller spørsmål som er sandkasse-relevante.
• Veiledningsmøter: Datatilsynet kan ha direkte møter med virksomheter, der Datatilsynet gir juridiske vurderinger basert på faktagrunnlag som virksomheten har sendt inn i forkant.
• Podkaster: Datatilsynets podcast om sandkassen («SandKasten») dekker sandkasse-relevante tema.
• Samarbeid og dialog med andre offentlige etater for å utforme veiledning: Datatilsynet kan ta initiativ til samarbeid med andre offentlige etater hvis deltakerens problemstilling går på tvers av myndighetsområder.

Datatilsynet er spesielt opptatt av aktivitetene i sandkassen skal dekke tematikk som kan være relevant for flere. Det er spesielt interessant å belyse problematikk hvor det er reell usikkerhet på hvordan regelverket skal tolkes og praktiseres.

Hva bidrar Datatilsynet med?

Sandkassedeltakere vil få veiledning fra og sparring med Datatilsynets jurister, teknologer, samfunnsvitere og kommunikasjonsmedarbeidere – avhengig av behovene til hver enkelt deltaker.

Deltakerne i sandkassa er selv ansvarlig for hvordan de behandler personopplysninger, og står fritt til å velge om de vil følge rådene de får i sandkassa. Sandkassa er ikke en godkjenningsordning, men heller et dialogbasert veiledningstilbud.

Tilsynet har ikke anledning til å tilby en testplattform eller teknisk infrastruktur, ei heller gi økonomisk støtte til deltakerne.

Prosjekter som deltar i sandkassen må:

1. handle om personvernvennlig digitalisering og innovasjon.
   Sandkassens hovedmål er å fremme løsninger som stimulerer til personvernvennlig innovasjon og digitalisering. Alle søknader må omhandle denne tematikken. Med innovasjon mener vi teknologisk innovasjon eller innovasjon av type tjeneste eller produkt. Det kan også være innovative løsninger for å ivareta personvernet (se mer om innovasjonsbegrepet nederst på denne siden).
2. ha nytte for enkeltindividet eller samfunnet.
   Det kan for eksempel være produkter eller tjenester som gir en helsegevinst, som kan effektivisere bruk av offentlige ressurser eller at prosjektet er innovativt med mulig samfunnsgevinst. 
3. kunne ha godt utbytte av deltakelse i sandkassen. 
   Det vil si at prosjektet bør ha en klar personvernrelevant problemstilling som kan ha nytte av den type veiledning Datatilsynet kan tilby. Deltakere må ha et prosjekt som er klar for å delta i sandkassen og ha tilstrekkelige interne ressurser som deltar i sandkassearbeidet.
4. være underlagt det norske Datatilsynet som kompetent tilsynsmyndighet.
   Det betyr at virksomheten må være etablert i Norge og at det er her man bestemmer hvordan personopplysningene skal behandles. Hvis virksomheten er i tvil om dette, så ta kontakt med , så vil vi veilede.

I utvelgelse av prosjekter vil Datatilsynet også legge vekt på om prosjektet belyser relevante problemstillinger, eller benytter teknologi og personopplysninger som kan være til nytte for andre aktører. Vi ønsker dessuten å inkludere et bredt utvalg deltakere fra både privat og offentlig sektor, og både store og små virksomheter.

Tilsynet er også spesielt interessert i å ta tak i spørsmål der det er usikkerhet rundt hvordan regelverket skal tolkes og gjennomføres i praksis.

Alle ansatte i Datatilsynet er underlagt forvaltningsloven § 13 om taushetsplikt. Dette kan også gjelde tekniske innretninger og fremgangsmåter, samt drifts- eller forretningsforhold, som det vil være av konkurransemessig betydning å hemmeligholde av hensyn til den som opplysningen angår – dette kalles taushetspliktig informasjon.

Taushetspliktig informasjon som er delt med sandkassen vil derfor også være unntatt offentlighet jf. offentlighetsloven § 13.

Deltakelse i sandkassa endrer ikke på immaterielle rettigheter. Dere beholder med andre ord de rettighetene dere hadde med dere inn i sandkassesamarbeidet.