1 Datatilsynets årsrapport for 2022

Tall og tendenser fra Datatilsynets virksomhet

1.1 Leders beretning

Året 2022 har vært fullt av små og store hendelser, både internt og eksternt. Jeg er imponert over de ansattes evne til både innsats, produksjon og samarbeid, i en tid med endring og uro. Begynnelsen av året var preget av uforutsigbarhet og nedstengning. Da samfunnet igjen åpnet etter pandemien, brøt det ut krig i Ukraina. Dette kom uforutsett på oss alle, og vi ble berørt av det på flere områder. Datatilsynet prioriterte situasjonen med krig i Europa høyt, og vurderte hvilke personvernkonsekvenser krigen eventuelt ville kunne gi i Norge. Faren for målrettede cyberoperasjoner økte, og norske selskaper som hadde databehandleravtaler med Russland og Ukraina, ble anbefalt å gå gjennom denne typen kontrakter på nytt. Det viste seg at dette var en riktig prioritering, og flere selskaper brøt samarbeidet med Russland. Sårbarheten rundt personopplysninger i krig og krise kom for alvor nærmere vårt eget land.

I februar avsluttet tidligere direktør Bjørn Erik Thon sitt andre åremål, og Janne Stang Dahl ble konstituert direktør frem til min oppstart i august 2022. Disse endringene har selvsagt også hatt innvirkning på de ansatte.

Løpende saksbehandling, kontroll og veiledning har vært høyt prioritert. Vi har hatt flere store saker knyttet til cyberangrep og urettmessig deling av data. NAV fikk overtredelsesgebyr etter at personopplysninger om arbeidssøkende ulovlig hadde ligget åpent på en arbeidsgiverportal, Stortinget vedtok det ilagte gebyret, og vi åpnet sak om overføring av kundedata fra matvarebransjen til Statistisk sentralbyrå (SSB). Vi ser også et visst etterslep etter pandemien hos ulike virksomheter, og har hatt mange saker knyttet til blant annet overvåking av ansatte på hjemmekontor og digitalisering i skolen.

I november kom Personvernkommisjonens rapport (NOU 2022: 11 «Ditt personvern – vårt felles ansvar»), og vi støtter helhjertet opp om de fleste tiltakene som foreslås der. Kommisjonen har levert en grundig, god og viktig utredning, og vi håper anbefalingene som gis blir fulgt opp med konkrete tiltak som kan styrke personvernet, både for enkeltindividet og for samfunnet. Vi har i tiden etter offentliggjøringen jobbet for at rapporten skal følges opp og være på agendaen hos både beslutningstakere og politikere.

I Personvernkommisjonens rapport trekkes det frem at det er en gjennomgående tendens at digitaliseringen skjer på bekostning av personvernet. Kommisjonen understreker at dette utviklingstrekket underbygger viktigheten av et styrket Datatilsyn i Norge.

Barn og unge har vært et prioritert område for oss også i 2022, og vi har vært meget tydelige på at personvernet i skole og barnehage er under press. Personvernkommisjonens rapport fremhever også dette, og løfter frem flere av våre tidligere forslag.

I 2022 mottok vi flere klager enn året før. Feil i behandling av personopplysninger i registre, er det vi mottar flest klager på og får flest henvendelser om til veiledningstjenesten vår. Antall meldinger om brudd på personopplysningssikkerheten (avvik) fra virksomheter har også økt. Avviksmeldingene kommer fra både offentlige og private virksomheter over hele landet. Den mest vanlige årsaken til avvikene, er feilsendinger og feilpubliseringer av personopplysninger. Manglende rutiner for tilgangsstyring er også et problem.

Antall innsynsbegjæringer har økt med hele 21 prosent på ett år, fra 5 715 til 6 916 dokumenter. Omfanget og presset på innsyn i saker og dokumenter, er svært utfordrende for oss, og vi bruker mye tid og store ressurser på å håndtere disse riktig.

Datatilsynet jobber mer og mer internasjonalt, og vi er aktivt med i Det europeiske personvernrådet (EDPB) – det øverste personvernorganet i EU. Det internasjonale arbeidet er tidkrevende, men nødvendig ettersom mye av rettsdannelsen skjer i EU. Flere saker av internasjonal karakter har fått stor oppmerksomhet, og debatten om og sakene mot teknologigantene har skutt fart. Schrems II-dommen og overføring av data til tredje land får fremdeles stor oppmerksomhet, og vi opplever at veiledningsbehovet på området er stort.

Datatilsynets hovedmål er et godt personvern for alle. Vi mener vi har oppnådd hovedmålet på en god måte. Gjennom klagesaksbehandlingen har vi fulgt opp viktige sentrale prinsipper i personvernretten, og vi har gitt overtredelsesgebyr i de alvorligste sakene. Dette gir en viktig signaleffekt. Behandling av saker og ileggelse av reaksjoner bidrar til etterlevelse, noe som nettopp er kjernen i hovedmålet.

Den regulatoriske sandkassen har vært en suksess. Nyheten om at dette ble et fast tilskudd på statsbudsjettet, ble derfor mottatt med glede. Vi har satt i gang en ekstern evaluering av sandkassen som vil ferdigstilles i 2023. Vi har hatt god dialog med virksomhetene som har deltatt i de ulike sandkasseprosjektene, og det er et viktig mål for oss at sluttrapportene vi produserer i sandkassen skal ha betydning og effekt også for andre virksomheter og bransjer. Det er lagt vekt på at prosjektene som tas opp skal være innovative og samfunnsnyttige. Arbeidet i sandkassen bidrar dermed til å oppfylle målet vårt om et godt personvern for alle. Sandkassen har hatt omlag fem årsverk til disposisjon, noe som er et betydelig antall i et tilsyn med rundt 60 årsverk, men vi mener dette har vært en god og riktig bruk av ressurser.

En av kjerneoppgavene våre er å kontrollere regelverk gjennom tilsyn og saksbehandling, og samtidig gi veiledning. Den desidert største ressursinnsatsen i meldingsåret har vært knyttet til slikt arbeid, og de fleste tallene går oppover. Det krever tydelige prioriteringer. Dette er noe vi kommer nærmere inn på i flere deler av denne rapporten, og i «Vurderinger av fremtidsutsikter» beskriver vi hvordan dette vil påvirke arbeidet vårt fremover.

Vi har holdt en stabilt høy produksjon etter pandemien. Vi merker likevel at vi er berørt også i etterkant av koronaen, ikke minst når det gjelder de ansattes trivsel. Det å komme inn i «den nye normalen» tar tid. Mange sliter fortsatt med ettervirkninger av ulik art, men motivasjonen for igjen å kunne delta i fysiske møter, bygge nettverk og treffes ansikt til ansikt igjen er stor. Vi synes vi har håndtert dette på en god måte, og vi har klart å holde både motet og arbeidsinnsatsen oppe, selv om mange er slitne.

Ut fra en samlet vurdering av de oppnådde resultatene, ressursbruk og måloppnåelse mener vi å ha oppnådd hovedmålet.

Oslo, 15. mars 2023

Line Coll

Direktør

1.2 Introduksjon til virksomheten og hovedtall

1.2.1 Kort om Datatilsynet og samfunnsoppdraget

Datatilsynet ble opprettet i 1980, og er et uavhengig forvaltningsorgan under Kommunal- og distriktsdepartementet (KDD). Vår hovedoppgave er å bidra til at personvernlovgivningen etterleves, og at alle skal ha beskyttelse i tråd med personopplysningsregelverket.

Vi skal fremme personvern som en sentral verdi i samfunnet, og være ombud i personvernspørsmål. Vi skal delta i personverndebatten og sette dagsorden, vi skal undersøke og dele fakta om personvernets kår både nasjonalt og internasjonalt, og vi skal jobbe for at personvernet ivaretas også på områder som faller utenfor tilsynsområdet vårt.

Personvern handler enkelt sagt om retten til et privatliv og retten til å bestemme over egne personopplysninger. Personvern er en menneskerettighet som skal sikre hensynet til den enkeltes personlige integritet, men det er også en ideell interesse. Personvern står helt sentralt når felles goder i et demokratisk samfunn skal sikres. Datatilsynet må derfor alltid jobbe aktivt for å oppnå en god ivaretagelse av personvernet i avveiingen mot andre samfunnsinteresser.

1.2.1.1 Hovedaktiviteter

Datatilsynets hovedmål er definert som «et godt personvern for alle». I dette ligger at både innbyggere, virksomheter, organisasjoner og offentlig forvaltning skal kjenne og etterleve personvernregelverket. Borgerne skal settes i stand til å ivareta eget personvern. Regjeringen vil sikre at den enkelte har størst mulig råderett over egne personopplysninger. Gjennom kompetansen, myndigheten og de oppgavene som følger av lov om behandling av personopplysninger 15. juni 2018 nr. 38 (personopplysningsloven) §§ 20 og 21, og personvernforordningen 2016/679 artikkel 55 til 59, har vi som fagmyndighet og tilsynsorgan et særlig ansvar for å bidra til at dette målet nås.

For å oppnå best mulig personvern, er vi nødt til å prioritere oppgavene og jobbe strategisk. Vi har derfor en strategi med seks overordnede, mål som er styrende for arbeidet vårt i tre år, fram til og med 2023.  

Datatilsynet skal:

• arbeide for en mer rettferdig maktbalanse mellom individet på den ene siden, og kommersielle aktører og det offentlige på den andre

• arbeide for å fremme personvernvennlig digitalisering, innovasjon og utvikling

• arbeide for at virksomheter har nødvendig kompetanse, forstår viktigheten av godt personvern og etterlever regelverket

• bidra til at individet i større grad kan ivareta sitt eget personvern

• påvirke, ta lederrollen og fremme kunnskapsutveksling i noen utvalgte internasjonale prosesser for å fremme bedre personvern

• være et kompetent, fleksibelt og fremtidsrettet tilsyn

1.2.1.2 Virkemidler

For å nå hovedmålet vårt har vi en rekke virkemidler til disposisjon. Vi prøver til enhver tid å kombinere disse virkemidlene der det er mulig for å oppnå en best mulig effekt. Her gir vi en generell oversikt over virkemidlene. Lenger bak i rapporten går vi dypere inn i aktivitetene våre og ser nærmere på tall og måloppnåelse.

Saksbehandling som virkemiddel

Saksbehandling er et sentralt virkemiddel for å sikre regelverksetterlevelse hos offentlige og private virksomheter. Samtidig bidrar saksbehandlingen til at vi tilegner oss erfaring og kunnskap om hvordan personvernhensyn ivaretas i praksis.

Saksbehandling som virkemiddel blir særlig brukt på områder der vi mottar mange henvendelser, avviksmeldinger og klager. Behandling av klager fra enkeltindivider er en prioritert oppgave for Datatilsynet, ettersom forordningen særlig trekker frem slike saker

Tilsynsvirksomheten som virkemiddel

Gjennomføringen av tilsyn (kontroller) gir signal om at regelverket skal etterleves og at etterlevelsen blir kontrollert. Tilsynsvirksomheten gir oss et faktabasert grunnlag for kommunikasjon til ulike bransjer og relevante aktører. Tilsyn skal dessuten benyttes aktivt for å undersøke og avklare praksis, og til å følge opp konkrete problemstillinger i enkeltsaker. Tilsynsvirksomheten inkluderer også bruk av kontrollhjemler i saksbehandlingen, slik som for eksempel når vi følger opp enkeltklager gjennom krav om redegjørelse.

Ved å gjennomføre tilsyn når nye løsninger tas i bruk, men før en praksis har satt seg, kan tilsyn også medvirke til å forme et område videre.

Noen ganger benyttes kontrollene dessuten for å få bedre oversikt over et område eller en sektor, og for å skaffe et bedre grunnlag for å ta i bruk de andre virkemidlene. Andre ganger benyttes de for å holde oppe et trykk på en bestemt sektor – gjerne innenfor et bestemt tema.

Sanksjoner som virkemiddel

Irettesettelser og overtredelsesgebyr er administrative sanksjoner som er blitt tatt mer i bruk de siste årene. Personvernforordningen åpnet for langt høyere overtredelsesgebyr enn før. Tidligere var maksimumsgebyret på 10G, nå er det 20 millioner euro, eller 4 prosent av global omsetning hvis lovovertredelsen er begått av et foretak. Overtredelsesgebyrene vil derfor virke både individualpreventivt og allmennpreventivt i større grad enn tidligere.

Kommunikasjon som virkemiddel

Datatilsynet skal veilede og informere om personvernlovgivning og forvaltningspraksis. Kommunikasjon benyttes ofte sammen med de øvrige virkemidlene. En del av kommunikasjonen og dialogen vår skjer derfor gjennom veiledningstjenesten, veiledningsmøter og annen dialog med rammesettere, beslutningstakere, virksomheter og enkeltpersoner.

Gjennom kommunikasjon ønsker vi dessuten å spre informasjon om personvernets tilstand, samt skape debatt og gi uttrykk for synspunkter vi måtte ha som forvaltnings- og tilsynsorgan og i rollen som ombud. Ombudsrollen brukes blant annet ved utspill og kommentarer overfor mediene, i foredragsvirksomheten og i innlegg på blogg og i podkast

Forsknings-, utviklings- og utredningsarbeid

Gjennom nær kontakt med miljøer i inn- og utland som driver med forsknings- og utviklingsarbeid, setter vi oss selv bedre i stand til å sette personvernhensyn inn i en samfunnsmessig kontekst, og til å fange opp trender og utviklingstrekk på et tidlig stadium. Kontakten med forskningsmiljøer, kan stimulere til forskning på personvern, samtidig som personvernhensyn også blir ivaretatt i annen forskning.

Vårt eget utrednings- og kartleggingsarbeid utgjør også en viktig kilde til kunnskap. Det gir dybde til ulike temaer vi jobber med og er med på å skape oppmerksomhet om personvernspørsmål. Resultater fra dette arbeidet legges også til grunn ved bruk av de øvrige virkemidlene.

Regulatorisk sandkasse

I den regulatoriske sandkassen for kunstig intelligens, tilbyr vi kvalifisert veiledning til utvalgte virksomheter. Målet med sandkassen er å stimulere til utvikling av innovative og samfunnsnyttige tjenester med godt, innebygd personvern. Sandkassen vil hjelpe virksomhetene til å følge regelverket, og samtidig bidra til kompetansebygging både hos den enkelte virksomhet og innad i Datatilsynet.

Personvernombudsordningen

Personvernombudsordningen er et utpreget organisatorisk virkemiddel. Antall personvernombud i landet vokser stadig, og ombudene er viktige ambassadører for personvern både i offentlige og private virksomheter. Vi har utarbeidet en egen strategi for arbeidet vårt med personvernombud over hele landet.

Råd, utvalg og dialog

Deltagelse i ulike råd og utvalg er et godt virkemiddel for å best mulig kunne påvirke aktører til å etablere god praksis. Det samme gjelder deltagelse i arbeid knyttet til innebygd personvern og regelverksutvikling. En slik måte å arbeide på egner seg særlig på områder der det pågår større reformer og utviklingsarbeid, særlig dersom de er teknologidrevne.

1.2.2 Organisasjon og budsjett

Datatilsynet er administrativt underlagt Kommunal- og distriktsdepartementet (KDD). Bjørn Erik Thon gikk av som direktør i Datatilsynet etter to åremål på til sammen 12 år, og trådte inn i ny stilling som likestillings- og diskrimineringsombud i februar 2022. Avdelingsdirektør Janne Stang ble konstituert som direktør fra og med 4. februar og frem til vår nye direktør Line Coll tiltrådte 1. august 2022. Datatilsynet har dermed hatt tre direktører i rapporteringsperioden.

I tillegg består ledergruppen av fire avdelingsdirektører – en mann og tre kvinner. Ved årsskiftet hadde vi dessuten seks seksjonsledere – tre menn og tre kvinner. Til sammen utgjør dette Datatilsynets utvidede ledergruppe.

1.2.2.1 Organisering/ansatte

Datatilsynet hadde 68 ansatte per 31. desember 2022. Av disse var 55 stillinger faste og 13 midlertidige. De midlertidige stillingene er prosjektstillinger knyttet til sandkassen (6 stykker) og studenter som betjener veiledningstjenesten. Studentene har en stillingsbrøk på 25 prosent og er samlet beregnet til 2,1 årsverk.

Seks fast tilsatte og tre studenter sluttet i løpet av 2022. Syv av disse er erstattet ved årsskiftet, og rekrutteringsprosesser pågår. I hovedsak er turnover i løpet av året, reduserte stillingsbrøker og lengre perioder med vakanse årsaken til at samlet antall utførte årsverk er beregnet til 60,68 (DFØ modellen) og 64 etter SSB-statistikk.

Kjønnsfordeling

De faste stillingene har en kjønnsfordeling på 58,8 prosent kvinner og 41,2 prosent menn. Kjønnsfordelingen i ledergruppen er 80 prosent kvinner og 20 prosent menn. Kjønnsfordelingen blant seksjonssjefene er 50 prosent menn og 50 prosent kvinner.

Avdelingene

Avdelingen for regelverksetterlevelse, internasjonal samhandling og sanksjoner (RIS) består av tre seksjoner som hver ledes av en seksjonssjef:

• seksjon for offentlige tjenester

• seksjon for private tjenester

• internasjonal seksjon

Avdelingen for teknologi, analyse og sikkerhet (TAS) består av tre seksjoner som hver ledes av en seksjonssjef. I tillegg er intern sikkerhetsleder (CISO) organisert direkte inn under avdelingsdirektøren TAS. Sikkerhetslederen rapporterer likevel direkte til direktør:

• seksjon for analyse, utredning og politikk (UAP)

• seksjon for intern IKT, sikkerhet og etterlevelse (ISE)

• seksjon for teknologi, sikkerhet og tilsyn (TST).

Avdelingen for kommunikasjon og samfunnskontakt gir kommunikasjonsfaglige råd internt til seksjoner og ledelse, og har hovedansvar informasjonsspredning eksternt gjennom mediekontakt og egne kanaler. Avdelingen har også ansvar for ressursenheten for veiledning og enkel saksbehandling som består av studenter i deltidsstillinger.

Administrasjonsavdelingen har ansvar for arkivtjenesten, budsjett/regnskap, administrativ styring, sentralbordtjeneste og øvrige fellesfunksjoner. Avdelingen har også det overordnede personalansvaret (HR).

Forstørr bilete

Fordelingen på de ulike avdelingene/seksjonene (i tillegg til direktøren) er:

• Avdeling for håndheving av regelverk, internasjonal samhandling og sanksjoner (RIS) – 31 medarbeidere

• Avdeling for teknologi, analyse og sikkerhet (TAS) – 19 medarbeidere. Personvernombudet er organiser i TST, mens CISO er organisert under avdelingsdirektøren i TAS. Begge rapporterer til direktøren.

• Avdeling for kommunikasjon og samfunnskontakt (KOM) – 5 medarbeidere, pluss 6 studenter

• Administrasjonsavdelingen – 6 medarbeidere

1.2.2.2 Budsjett

Datatilsynet ble i 2022 tildelt 70 986 000 kroner. Dette er en videreføring av budsjettet for 2021, samt kompensasjon for lønns- og prisjusteringer. Budsjettet dekker Datatilsynets lønns- og driftskostnader, kostnader til utvikling og drift av IKT-systemer, etablering av nye digitale kommunikasjonsløsninger, informasjons- og kommunikasjonstiltak, kompetanseutvikling og kostnader knyttet til økt deltagelse i internasjonalt personvernarbeid.

1.2.3 Hovedtall

Forstørr bilete

Forstørr bilete

Forstørr bilete

Forstørr bilete

1.3 Årets aktiviteter og resultater

1.3.1 Overordnet om prioriteringer og utfordringer

De overordnede utviklingstrekkene og utfordringene omtales i kapittelet «Vurdering av framtidsutsikter». Her vil vi gå grundig gjennom de viktigste prioriteringene våre for 2022 og si noe helt kort om dem: hvorfor de er valg foran andre viktige områder, og hvilke områder som har blitt bevisst prioritert ned.

Våre prioriterte hovedområder for 2022 er:

• Kontroll og saksbehandling

• Internasjonalt samarbeid

• Regulatorisk sandkasse

• Skole, barn og unge

I tillegg har vi prioritert arbeidet knyttet til den pågående situasjonen med krigen i Ukraina.

I 2022 plukket vi ut tre satsinger fra hovedstrategien vår. De danner rammene for prioriteringene våre. Vi skal arbeide for:

• en mer rettferdig maktbalanse mellom individet på den ene siden, og kommersielle aktører og det offentlige på den andre.

• å fremme personvernvennlig digitalisering, innovasjon og utvikling.

• være et kompetent, fleksibelt og fremtidsrettet tilsyn.

Personvern er en viktig del av alle samfunnsområder. Gitt ressursene vi har til rådighet, prioriterer vi noen områder og jobber grundig med disse, fremfor å spre arbeidet bredt utover. Dette gir større mulighet for å påvirke, og det gir grunnlag for å jobbe med de samme prioriterte områdene over flere år. Et eksempel på dette er barn og unge, særlig innenfor kommunal sektor, og spørsmål knyttet til digital kompetanse. Den regulatoriske sandkassen danner en god praksis for dette arbeidet.

Saksbehandling og kontroll av regelverket er kjerneoppgavene våre, og prioriteringen trenger ingen nærmere forklaring. Samtidig er det viktig å påpeke at den øvrige tilsynsvirksomheten vår kan og må prioriteres. Vi beslutter selv hvor mange stedlige kontroller vi skal gjennomføre. Vi kan ikke velge å ikke behandle klagesaker, men vi kan velge å behandle enkelte saker etter en forenklet prosess, for eksempel i saker av bagatellmessig karakter. Slike prioriteringer gjør vi løpende gjennom året. Vi har dessuten utarbeidet et nytt regime for rapportering av framdrift og tilsynsmetodikk.

Når det gjelder det internasjonale området, er oppfatningen vår at det å delta aktivt i den fasen vi er i nå, er av vesentlig betydning. Vi mener det er viktig med bred deltakelse i Det europeiske personvernrådet og dets undergrupper, selv om det betyr mye arbeid. Gjennom denne aktiviteten utøver vi innflytelse på rettsutviklingen, og vi tar med oss kunnskap tilbake til organisasjonen, noe som er essensielt for en enhetlig praktisering av reglene. Vi jobber dessuten med stadig flere saker av internasjonal karakter.

I 2022 har den regulatoriske sandkassen blitt godt innarbeidet, både internt og eksternt, og fra 2023 er den blitt permanent. Prioriteringen av sandkasseaktiviteter har gått på bekostning av andre aktiviteter, særlig når det gjelder bruk av intern kapasitet. Vi ser imidlertid at det bærer frukter å tenke nytt rundt virkemidler som dette, særlig når Hurdalsplattformen også nevner regulatorisk sandkasse som ett av virkemidlene i utviklingen av samspillet mellom teknologi og personvern.

Disse prioriteringene har fått konsekvenser. Vi har gjennomført noe færre stedlige tilsyn enn opprinnelig tenkt, og vi har ikke gjennomført større utredningsarbeider. Vi har likevel fått rigget oss godt for tilsynsvirksomhet kommende år, og vi har implementert ny tilsynsmetodikk i hele organisasjonen. Vi mener dessuten at prioriteringen av å kunne være fleksible å følge opp prekære og akutte behov når det gjelder veiledning rundt krigen i Ukraina, pandemispørsmål og utviklingen av den regulatoriske sandkassen i samarbeid med andre aktører, har båret frukter for personvernet.

1.3.1.1 Spesielt om krigen i Ukraina

Den pågående krigen i Ukraina er dypt tragisk. Norske innbyggeres personvern havner selvsagt i skyggen av de menneskelige lidelsene, men situasjonen gjorde at vi oppfordret alle selskaper som eksporterer personopplysninger om å gjøre en ny risikovurdering. Oppfordringen gjaldt særlig virksomheter i Norge som enten overfører eller har overført personopplysninger til mottakere i Ukraina og Russland.

Vi la også vekt på å formidle at det var forventet en økning av nettverksangrep, noe som gjør det ekstra viktig å ta forholdsregler og å sørge for at informasjonssikkerheten er god. I arbeidet henviste vi til NSMs støtteverktøy.

Vi ga dessuten et høringssvar om midlertidige endringer i ulike lovverk på grunn av krigen i Ukraina. Endringene ble foreslått som følge av at det kom et høyt antall personer som var fordrevet av krigen i Ukraina inn til Norge, noe som berørte – og berører – offentlige myndigheter og andre aktører innenfor flere sektorer. Det ble ikke foreslått endringer i personvernregelverket. De alminnelige personvernreglene vil derfor gjelde ved behandling av personopplysninger knyttet til de midlertidige lov- og forskriftsendringene. Vi understreket likevel at det som følge av nye eller endrede oppgaver, vil kunne være behov for å vurdere om det foreligger rettslig grunnlag for aktuelle behandlinger av personopplysninger.

1.3.1.2 Post pandemi

Under pandemien så vi at det ble satt i gang en rekke tiltak som ikke ville vært akseptable i en normal situasjon. Dette gjaldt på flere områder, både når det gjaldt lovgivning, økt og endret bruk av digitale verktøy og kontrolltiltak i arbeidslivet. Det er derfor av vesentlig betydning at vi kommer tilbake til en «før korona-tilstand». Tiltak som ikke er risikovurdert, må enten risikovurderes eller avsluttes. Kontrolltiltak i arbeidslivet må reduseres. Samfunnet har vært gjennom en svært rask digitalisering de siste tre årene, noe som isolert sett er bra, men bevisstheten om personvern når ny teknologi benyttes, må være høy.

En del av sakene vi har behandlet dreier seg om plassering av behandlingsansvar. Dette spørsmålet oppsto blant annet i sakene om befolkningsvarsling via SMS, der enten avsender (direktorat), leverandør (som selger tjenesten) eller operatør (som opererer telenettet), potensielt har ansvar. Vi ser gjennom dette arbeidet at det er viktig å få klarhet i ansvarsforholdet på flere områder.

En nærmere spesifisering av ressursbruk og måloppnåelse gjøres rede for senere i rapporten.

1.3.1.3 Vesentlige forhold som har betydning for departementets styring og oppfølging

Alle Datatilsynets aktiviteter og resultater er basert på oppgaver som følger av personvernforordningen artikkel 57 nr. 1.

Med den store økningen av antall innkomne saker, innsynsforespørsler og oppgaveportefølje, må vi gjøre stadig hardere prioriteringer og nedprioriteringer. Vi jobber kontinuerlig med effektivisering av saksbehandlings- og veiledningsprosessen. Oppgavene som knytter seg til vern av personopplysninger, teller 20 innholdsrike punkter. Det siste punktet, «å utføre enhver annen oppgave knyttet til vern av personopplysninger», strekker seg meget langt. Når vi ser på den gjennomgående digitaliseringen av samfunnet, og hvilke utfordringer dette gir for personvernet spesielt, må vi erkjenne at oppgavene strekker seg lenger enn det Datatilsynet har kapasitet til å håndtere innenfor rammene våre. Se listen med alle oppgavene i artikkel 57 under vedlegg.

Vi har valgt å omtale hvilke bærekraftmål Datatilsynets arbeid har bidratt til under kapittelet «Styring og kontroll i virksomheten».

1.3.2 Kontroll og saksbehandling

Personopplysningsloven, inkludert personvernforordningen, angir som omtalt over de langt fleste av Datatilsynets oppgaver og myndighet. I tillegg gir også kredittopplysningsloven, politiregisterloven, helseregisterloven og SIS-loven, i tillegg til en håndfull forskrifter oss oppgaver.

Mange av oppgavene innebærer skriftlig saksbehandling. En høy andel av henvendelsene som kommer inn til Datatilsynet, er klager på mulige brudd på personvernregelverket fra enkeltindivider. Ettersom regelverkets formål blant annet er å styrke enkeltindividets grunnleggende rettigheter, er plikten vår til å behandle disse klagene direkte formulert i forordningen.

I tillegg behandler vi søknader om godkjenning av bindende virksomhetsregler (BCR), ad hoc-kontrakter for overføring av opplysninger til tredjeland, atferdsnormer og så videre.

Vi kan også starte saker av eget tiltak, for eksempel på bakgrunn av tips fra publikum eller pressen. Vi mottar også et høyt antall meldinger om brudd på personopplysningssikkerheten (avviksmeldinger). Flere av disse meldingene fører til grundige undersøkelser.

Ifølge personvernforordningen er det de som er behandlingsansvarlige eller databehandlere som skal sørge for at regelverket etterleves. Lovbrudd kan få alvorlige konsekvenser. Regelverket inneholder bestemmelser om administrative sanksjoner og overtredelsesgebyr, som i de mest alvorlige tilfellene kan resultere i gebyrer på opptil 4 prosent av samlet global omsetning eller opptil 20 millioner euro.

Gjennomføring av tilsyn er et av virkemidlene Datatilsynet kan benytte seg for å gjennomføre samfunnsoppdraget. Vi skal gjennomføre tilsyn og kontrollere prioriterte områder basert på risiko. Vi skal systematisere og kommunisere funnene, samt følge opp etterlevelsen av pålegg. Tilsynsvirksomheten skal avdekke sårbarheter og manglende robusthet som kan medføre kompromittering, endringer på eller tap av innbyggernes personopplysninger. Videre skal vi sikre at de kontrollerte objektene har eller får på plass tiltak, rutiner og/eller retningslinjer som bidrar til robuste systemer for behandling av personopplysningene.

Vi opplever at stedlig tilsyn har en stor effekt, ikke bare for den virksomheten vi gjennomfører tilsynet hos, men også gjennom ringvirkningene funnene kan ha på andre virksomheter i ulike sektorer. Allerede fra vi varsler om et tilsyn, begynner den behandlingsansvarlige å klargjøre og kanskje rydde opp i områder som vi varsler at vi skal se på. Vi ser også at leverandørene vi var på tilsyn hos, strakk seg langt for å bidra til at deres behandlingsansvarlige skulle opptre i samsvar med regelverket og være bevisste på plikter i personvernregelverket.

Likevel har vi de siste årene valgt bort stedlig tilsyn. Rett etter innføringen av personvernforordningen måtte vi la virksomhetene få på plass rutiner for å etterleve det nye regelverket, og selv har vi hatt fokus på å få på plass tilsynsmetodikk etter innføringen av det nye regelverket.

I strategien vår for 2022 besluttet vi imidlertid å få gjennomført noen stedlige og egeninitierte tilsyn. Det er etterspørsel og forventninger om tilsynsvirksomhet fra virksomhetene selv, ikke minst fordi resultatene fra våre tilsyn kan gi mer klarhet i hvordan de skal forstå regelverket.

Datatilsynet skiller mellom egeninitierte tilsyn og hendelsesbaserte tilsyn. Hendelsesbaserte tilsyn gjør vi fortløpende gjennom hele året. Egeninitierte tilsyn planlegges og velges bevisst ut for det kommende året. Alle våre tilsyn skal være risikobaserte, utvelgelsen baseres derfor på innkommende klager, meldinger om brudd på personopplysningssikkerheten, tips og henvendelser til veiledningstjenesten.

1.3.2.1 Gjennomførte aktiviteter

Antall saker, saksdokumenter og innkomne klager

I 2022 har vi registrert et høyere antall nye saker enn noe tidligere år. I løpet av året registrerte arkivet 3 519 nye saker, og til sammen 6 072 nye innkommende dokumenter. Vi ser altså at antallet enkeltsaker går opp, mens antallet innkommende dokumenter totalt sett har gått noe ned. Trenden er uansett at antallet saker totalt har økt jevnt siden innføringen av det nye regelverket i 2018, og ikke minst sammenlignet med årene før. For å vise økningen har vi også tatt med antall nye saker i 2013 i figuren, og vi ser da at antallet er mer enn doblet i løpet av ti år.

Forstørr bilete

Forstørr bilete

Dokumentproduksjonen i tilsynet har også hatt en signifikant økning. I 2022 sendte vi ut totalt 5 664 dokumenter, mot 5 222 i 2021. Dette innebærer en økning på om lag 8 prosent. Vi ser også en tilsvarende økning i antallet overtredelsesgebyr og klager på enkeltvedtak som er sendt til behandling i Personvernnemnda (se nedenfor).

Samlet sett ser vi altså at utviklingen siden innføringen av personvernforordningen i 2018 fortsetter, med både et høyere sakstall enn tidligere og et stigende antall utsendte dokumenter. Dette viser med tydelighet at arbeidsmengden innenfor saksbehandlingen i Datatilsynet stadig øker.

Hele 598 av de registrerte sakene gjelder klager på mulige regelverksbrudd fra enkeltpersoner. Et høyt antall av disse klagesakene, rundt 25 prosent, gjelder personvern i forbindelse med kunde- og medlemsforhold, og nivået er det samme som i fjor. Over hundre av sakene handler om personvern på arbeidsplassen. Det kan dreie seg om overvåking av arbeidstakernes bruk av e-post eller internett, kameraovervåking på arbeidsplassen eller lignende. Omtrent 12 prosent av klagene gjelder helseopplysninger.

Vi mottar også en betydelig andel klager på ulovlig behandling av personopplysninger som skjer ved hjelp av ulike digitale systemer eller tjenester, slik som internett, sosiale medier og applikasjoner for mobiltelefoner. Andre sakskategorier som er høyt representert her er kredittopplysninger og barns personvern.

Klager på Datatilsynets enkeltvedtak

I løpet av året fattet vi 301 enkeltvedtak. Bare 38 av enkeltvedtakene våre ble påklaget. Tallene er omtrent like som året før. I 22 tilfeller ble sakene sendt videre til Personvernnemnda for klagebehandling.

Hele 29 av klagene gjaldt avvisningsvedtak eller beslutninger om å avslutte saken. Vi mottok fem klager på overtredelsesgebyr vi hadde gitt, tre klager gjaldt irettesettelser og én gjaldt en sak hvor vi hadde gitt pålegg. I fem av tilfellene førte klagene til at vi helt eller delvis omgjorde vedtakene våre. Det ble sendt over én klage til KDD på avslag om å gi innsyn etter offentlighetsloven.

Totalt fattet Personvernnemnda 19 vedtak i løpet av 2022. I to av sakene ble vedtakene våre omgjort, mens et overtredelsesgebyr ble satt ned i en tredje sak.

Se fullstendig oversikt over sakene som ble oversendt til nemnda i 2022 under vedlegg.

Forstørr bilete

Forstørr bilete

Sanksjoner

I løpet av 2022 har Datatilsynet ilagt 17 overtredelsesgebyr. Det ble ikke gitt noen tvangsmulkter. Dette er en nedgang i antall sanksjoner sammenlignet med 2021, men tallet er fremdeles høyere sammenlignet med tidligere år.

Disse sakene gjaldt blant annet brudd på personopplysningssikkerhet, ulovlig overvåking på arbeidsplassen, innhenting av kredittopplysninger og ulovlig utlevering av personopplysninger via mobilapplikasjoner.

I tillegg utstedte vi 37 irettesettelser i løpet av året.

Forstørr bilete

Les om noen av de mest sentrale overtredelsesgebyrene under «Annen vesentlig aktivitet». Se forøvrig fullstendig oversikt over alle sanksjonene som ble vedtatt i 2022 under vedlegg.

Offentlighetsloven og innsynskrav – eInnsyn

Vi mottok hele 6 916 innsynsbegjæringer i løpet av 2022. De fleste innsynskravene mottas via eInnsyn. Dette innebærer en markant økning sammenlignet tidligere år. I fjor mottok vi 5 715 slike begjæringer, og i 2020 var tallet 3 671. Dette tilsvarer en økning på 21 prosent i forhold til i fjor, og sammenligner vi med 2020, ser vi at antallet nesten har doblet seg. Økningen har medført økt innsats til å håndtere alle begjæringene, og ikke minst har arbeidet med å vurdere meroffentlighet vært mer ressurskrevende enn noensinne. Vi sendte ut mer enn 2 000 sladdede dokumenter i løpet av året.

Forstørr bilete

Økningen i innsynsbegjæringer kan trolig delvis forklares med økt dokumentproduksjon som beskrevet over, og delvis med en stadig økende interesse for Datatilsynets virksomhet. Vi har iverksatt ulike tiltak for å imøtekomme den voksende etterspørselen, men alle tiltakene krever manuell innsats.

Som det fremgår av figuren, innvilger vi langt de fleste begjæringene. Det ble likevel gitt avslag på 493 forespørsler om innsyn, ettersom dokumentene inneholdt taushetsbelagt informasjon. I 2 019 tilfeller ga vi delvis innsyn som følge av meroffentlighetsvurderinger.

Vi legger flere ressurser i utøvelsen av offentlighet enn noen gang. Innsynsbegjæringene treffer særlig Datatilsynets juridiske avdeling. Avdelingen får som en følge av dette, mindre tid til å arbeide med de oppgavene som personvernforordningen foreskriver, og det samme gjelder oppgavene som følger av det øvrige regelverket vi har ansvaret for, slik som politiregisterloven og helseregisterloven. Vi stiller spørsmål ved om de digitale fellesløsningene for innsyn i offentlige saksdokumenter bør oppgraderes eller oppdateres for å imøtekomme denne trenden.

Vi mener den økte interessen for saksbehandlingen vår er positiv, og presseomtale av sakene våre kan bidra til økt oppmerksomhet om personopplysningsvern, både hos rettighetshavere og plikthavere. Åpenhet om forvaltningens virksomhet er selvsagt helt grunnleggende i et demokratisk samfunn, men vi er urolige for at den økende arbeidsmengden samtidig vil kunne føre til forsinkelser i saksbehandlingstiden og at det blir vanskeligere å utføre andre av tilsynets oppgaver på en optimal måte.

Høringer

I løpet av 2022 mottok vi 150 høringssaker, en nedgang sammenlignet med året før. I virksomhetsplanen vår har vi fastslått at høringsuttalelser i saker som ikke har stor betydning for personvernet, skal nedprioriteres. Likevel ga vi 46 uttalelser med merknader i løpet av året. De høringssakene som ikke blir besvart med merknader, blir likevel underlagt behandling. Hvis vi beslutter at en uttalelse ikke skal gis, tar vi høringssaken til etterretning.

Forstørr bilete

Gjennom året har vi blant annet gitt høringsuttalelser til forslag til utvidelse av gjeldsinformasjonsordningen og forslag om å styrke forbrukernes rett til å betale med kontanter. Vi har også kommet med høringssvar om PSTs etterretningsvirksomhet, og om behandling av åpent tilgjengelig, digital informasjon. Andre sentrale høringsuttalelser gjelder forslag til endringer i etterretningstjenestelovens bestemmelser om tilretteleggingsplikten, og forslag til endringer i ekomforskriften som skal utfylle bestemmelsene om IP-lagring.

I flere av uttalelsene som gjelder saker med stor betydning for personvernet, har vi pekt på at Datatilsynet burde ha blitt involvert på et tidligere stadium, slik personvernforordningen krever (artikkel 36 nr. 4). Personvernkommisjonen har skrevet det samme i sin rapport.

Les nærmere omtale om noen av de mest sentrale høringsuttalelsene våre under de prioriterte områdene. Se forøvrig fullstendig oversikt over høringsuttalelsene våre i 2022 under vedlegg.

Spesielt om meldinger om brudd på personopplysningssikkerheten (avviksmeldinger)

Personvernforordningen stiller krav til at brudd på personopplysningssikkerheten, ofte kalt avvik, skal meldes inn til Datatilsynet. I 2022 mottok vi 2 250 slike meldinger, noe som vil si et gjennomsnitt på i underkant av 190 meldinger per måned.

I 2017, året før forordningen trådte i kraft, mottok vi 349 avviksmeldinger. Siden da har det altså vært en voldsom økning i antall meldinger om brudd. Antallet har imidlertid stabilisert seg de siste par årene, og vi ser at antall innmeldte brudd i 2022 ligger omtrent på samme nivå som året før.

Forstørr bilete

Av de 2 250 meldingene, valgte vi å lukke 1 864 av dem uten grundigere saksbehandling på grunn av ressurskapasitet. Standardbrevet vi sendte til de vi ikke gikk videre med, minner likevel den behandlingsansvarlige om plikten til å håndtere bruddet etter artikkel 33 og 34, og til å lukke sårbarheten.

Når det gjelder rapporteringen om brudd til Datatilsynet, antar vi at det er langt flere som faktisk har meldepliktige brudd, enn de som melder fra til oss. Det er blant annet få meldinger om brudd på personopplysningssikkerheten fra flere større virksomheter, direktorat, kommuner og lignende der vi antar at det skjer meldepliktige brudd. Det er menneskelig å feile, og umulig å få til så robuste løsninger at de dekker alle aktuelle og fremtidige sårbarheter. Fra store virksomheter med mange ansatte, ligger det derfor en naturlig forventing om flere meldinger om brudd på personopplysningssikkerheten.

Antagelsen vår samsvarer med mørketallsundersøkelsen for 2022. Den viser at 12 prosent av bedriftene som har hatt sikkerhetshendelser, rapporterte til politiet. Bare 8 prosent oppga at de meldte fra til Datatilsynet. Vi er klar over at langt fra alle sikkerhetshendelser er brudd på personopplysningssikkerheten, men vi synes dette er bekymringsverdig. Mørketallsundersøkelsen viste videre at fire av ti bedrifter sier at hendelser oppdages tilfeldig, og at noen hendelser oppdages gjennom medieoppslag. Det kan tyde på at sikkerhetsarbeidet er hendelsesstyrt og i så fall er det alvorlig.

En årsak til den manglende innmeldingen, kan være at en del virksomheter ikke er kjent med plikten til å melde ifra om slike brudd. Det kan også være at noen virksomheter mangler føringer internt for hendelseshåndtering, inkludert det å avdekke, og melde inn brudd på personopplysningssikkerheten

Det høye antallet avviksmeldinger fører uansett til mer ressursbruk til saksbehandling enn vi har kapasitet til, og vi må derfor prioritere å behandle de meldingene vi anser og antar som er mest personverninngripende. Avviksmeldingene er likevel en viktig kilde for oss om risiko, sårbarheter og trusler ved behandlingen av personopplysninger i ulike virksomheter. Sammen med annen statistikk, for eksempel fra tips og klager som kommer inn til oss, er dette del av grunnlaget vi bruker når vi skal planlegge risikobaserte tilsyn.

Hvilke typer brudd er meldt inn?

Avviksmeldingene vi får inn, varierer fra menneskelige feil som rammer én eller få personer, til målrettede hackerangrep med mange hundre tusen rammede og stor medieeksponering. Det vanligste bruddet på personopplysningssikkerheten, er at personopplysninger sendes til feil mottaker(e). Denne andelen har gått noe opp fra i fjor. Disse sakene utløser som oftest ingen reaksjon fra vår side, og de berørte personene er som regel informert om avviket når meldingen kommer inn til oss.

Forstørr bilete

Andre brudd kan utløse store overtredelsesgebyrer og få politiske konsekvenser. I 2022, som i 2021, har det vært en rekke store dataangrep mot så vel offentlige som private virksomheter. Andelen innmeldte brudd som skyldes eksterne tilsiktede angrep (hacking, malware og phishing), har likevel totalt sett sunket fra 13 prosent i 2021 til 5 prosent i 2022.

Med unntak av en svak nedgang i innmeldte dataangrep, er fordelingen relativt lik som året før. Kategorien «Annet» omfatter alt fra konsekvenser av manglende testing og opplæring, lagring på feil sted, manglende reservekopiering, manglende innebygd personvern i løsninger og programmer, og andre faktorer.

Hvem melder brudd på personopplysningssikkerheten til Datatilsynet?

En tredjedel av alle avviksmeldingene som sendes inn, kommer fra kommunesektoren. Det er omtrent samme andel som i 2021. Bergen og Oslo kommuner melder inn klart flest brudd. Det inkluderer hendelser på skoler, barnehager, ulike helsetjenester, innen eldreomsorg og barnevern. Kommunene er ansvarlige for mange av tjenestene som er nærmest enkeltindividet, og følgelig behandles mange personopplysninger her, ofte også særlige kategorier av personopplysninger. Å løfte kommunenes kompetanse om personvern og informasjonssikkerhet er derfor en viktig prioritering for Datatilsynet.

Finanssektoren inkluderer blant annet bank, forsikring, inkasso og kredittvurdering. Denne sektoren står for 19 prosent av de innmeldte avvikene, en svak nedgang fra 2021. De færreste av disse gjelder særlige kategorier personopplysninger.

Fordelingen mellom de øvrige sektorene er om lag lik som i 2021. Sekkekategorien «annen privat» inkluderer alle private selskaper som ikke faller naturlig inn under noen av de andre kategoriene.

Selv om en sektor melder mange avvik, er den ikke nødvendigvis en «personvernversting» av den grunn. Et høyt antall avvik kan også skyldes at sektoren behandler store mengder persondata, slik som for eksempel i finanssektoren, og at de har gode rutiner for å avdekke og melde inn alle typer avvik. På samme måte kan mangel eller fravær av innmeldte avvik skyldes at virksomhetene ikke har etablert en god hendelseshåndtering, og trenger ikke nødvendigvis bety at det ikke skjer brudd på personopplysningssikkerheten der.

Forstørr bilete

Tilsynsvirksomheten

Basert på strategien vår, valgte vi i 2022 å se nærmere på følgende tema gjennom tilsynsvirksomheten:

• oppfyllelse av personvernprinsippene og innebygd personvern

• behandlingsansvar

• ivaretakelse av registrertes rettigheter

• om det er opprettet personvernombud og dennes plass i organisasjonen

• kontrollere virksomhetenes styringssystem for personvern og informasjonssikkerhet

Gjennom året gjennomførte vi 28 egeninitierte tilsyn, fordelt på både privat og offentlig sektor. To av disse var Schengen-relaterte, de øvrige var hos Elkjøp, Telenor, tre ulike databehandlere i form av leverandører av trygghetsalarmer, 16 var relatert til forvaltning av kode 6 og 7 (trusselutsatte personer), fire i kriminalomsorgen, ett i Skatteetaten og ett hos Politiets IKT-tjeneste.

Oppsummeringen fra de tilsynene vi rakk å behandle ferdig i 2022, er at enkelte virksomheter har liten oversikt over roller og ansvar, og dermed også ofte mangler i styringssystem og ledelsens føringer for personvern og informasjonssikkerhet. Hos andre ser vi mangel på tilgangsstyring, logging og sletterutiner. Vi ser også mangler i de behandlingsansvarliges databehandleravtaler med deres leverandører.

Vi er mer bevisste på å plukke ut tilsynsobjekter basert på erfaringene våre relatert til tips, klager og meldinger om brudd på personopplysningssikkerheten. Vi benytter dessuten tilsynshjemmelen i øvrig saksbehandling og hendelsesbaserte tilsyn. Der tar vi utgangspunkt i risikoen for de registrerte gjennom det vi mottar av klager, avviksmeldinger, tips, media og telefoner inn til veiledningstjenesten.

Tilsynsmetodikk

I 2021 godkjente ledelsen en ny metodikk for gjennomføring av tilsyn. Metodikken er basert på «ISO 19011 – Veiledning for revisjon av ledelsessystemer» og «ISO 9001 – Sertifisering av kvalitetssystem», men tilpasset personvernforordningens tilsynskriterier og tilsynsarbeidet vårt.

I 2022 ble denne tilsynsmetodikken benyttet i forbindelse med alle de stedlige tilsynene. Prosjektet som utviklet metodikken har fungert som mottaksapparat for tilbakemeldinger fra tilsynsteamene, og har sammen med tilsynslederne hatt fokus på kontinuerlig forbedring av metodikken. Arbeidet med en ny og forbedret versjon av metodikken har startet, og den nye versjonen er utvidet til å også omfatte første versjon av metodikk for gjennomføring av algoritmetilsyn.

Forstørr bilete

Tilsynskoordinatoren er ansvarlig for et årshjul for egeninitierte tilsyn, bistår tilsynsteamene med planleggingen og gjennomføringen av tilsyn, samt rapporterer om status til ledelsen. Koordinatoren har en samlet oversikt over den interne tilsynsaktiviteten og er en ressursperson for tilsynslederne og for oppfølgingen. I tillegg har koordinatoren det overordnede ansvaret for kontinuerlig evaluering og oppdatering av tilsynsmetodikken, samt gjennomføring av intern opplæring.

Datatilsynet har plikt til å underrette Statsforvalteren om kommende tilsyn i kommunesektoren. Tilsynskoordinatoren har deltatt i flere tilsynsfora hos Statsforvalterne for å bidra til en nasjonal samordning av tilsynsaktiviteten. Koordinatoren har også ansvar for å registrere planlagte og hendelsesbaserte tilsyn med kommuner og fylkeskommuner i den nasjonale tilsynskalenderen. Dette bidrar til at den samlede tilsynsbelastningen for den enkelte kommune og fylkeskommune ikke blir for stor.

1.3.2.2 Ressursbruk

Det juridiske arbeidet utføres av 29 jurister, noe som tilsvarer omlag 40 prosent av den totale arbeidsstokken. De obligatoriske saksbehandlingsoppgavene i forordningen legger beslag på mye tid, men juristene har brukt mer tid enn noen gang på innsynsbegjæringer. Dette skyldes delvis en stigning i antall innsynskrav, men også at mange av dokumentene i utgangspunktet er unntatt etter offentlighetsloven § 13 og personopplysningsloven § 24. Dermed går det med mye arbeid på å vurdere meroffentlighet. Innføringen av den nye innsynsmodulen har medført en desentralisering av arbeidet med innsynsbegjæringer. Dette har særlig gått på bekostning av de juridiske ressursene våre. For øvrig savner vi gode statlige digitaliserte fellesløsninger for håndtering av slike innsynsbegjæringer.

Den regulatoriske sandkassen har også i 2022 lagt beslag på de juridiske ressursene i tilsynet. Hovedtyngden i rapportene som har blitt publisert i løpet av året, er av juridisk art. Dette går naturlig nok på bekostning av de øvrige juridiske oppgavene vi har. Samtidig har vi fått rekruttert en håndfull midlertidige ansatte som har skullet kompensere for dette ressursuttaket.

Videre har vi arbeidet med å oppdatere standardtekster, standardbrev, dokumentmaler og saksbehandlingsrutiner. Effektiviseringsplanen som ble lagt frem i slutten av 2021, ble fulgt opp i 2022.

Flere jurister har valgt å forlate Datatilsynet i 2022. De som har sluttet, har meldt overgang til det private næringslivet.

Tilsynsvirksomheten krever også ressurser. I 2022 var det for hvert av de 28 egeninitierte tilsynene, satt av en tilsynsleder og et tilsynsteam på to personer. I tillegg har seksjonslederne og tilsynskoordinatoren satt av tid. Vi har beregnet at hvert tilsyn tar omlag 11 uker.

Spesielt behandlingen av innsynsbegjæringer

Vi mottok 6 916 innsynsbegjæringer i løpet av meldingsåret, noe som innebærer en økning på 21 prosent sammenlignet med 2021, og en dobling sammenlignet med 2020.

Naturlig nok har denne økningen også medført økt innsats til å håndtere innsynsbegjæringene, og arbeidet med å vurdere meroffentlighet har vært mer ressurskrevende enn noensinne – vi sendte ut mer enn 2 000 sladdede dokumenter i løpet av året.

Vi har iverksatt ulike tiltak for å imøtekomme den voksende etterspørselen, men alle tiltakene krever manuell innsats. Vi legger flere ressurser i utøvelsen av offentlighet enn noen gang. Innsynsbegjæringene treffer særlig Datatilsynets juridiske avdeling. Avdelingen får som en følge av dette, mindre tid til å arbeide med de oppgavene som blant annet personvernforordningen og hovedinstruksen viser til.

1.3.2.3 Måloppnåelse

På grunn av det høye antallet obligatoriske oppgaver som binder opp Datatilsynets ressurser, er vi redd for at viktigere og mer prinsipielle saker som vi kan starte av eget tiltak, må nedprioriteres. Dette går igjen utover realiseringen av målsetningene i hovedinstruksen og tildelingsbrevet, om å bidra til at personvernlovgivningen etterleves, og å bidra til å sikre et bedre personvern for alle.

Det gjeldende personvernregelverket er komplisert og oppleves av mange som vanskelig tilgjengelig. Det er fortsatt begrensede rettskilder på feltet, og det er en klar forventning fra både offentlige og private virksomheter om at Datatilsynet skal gi informasjon, utvikle veiledningsmateriell og selvhjelpsverktøy slik at regelverket best kan etterleves ute i offentlig og privat virksomhet. Med økte ressurser vil vi kunne gi enda bedre veiledning om dette komplekse regelverket, til enda flere som trenger det.

Grunnet ressursmangel klarte ikke Datatilsynet å gjennomføre alle de egeninitierte tilsynene som var planlagt for 2022. Vi er likevel tilfredse, sett opp mot økte krav om innsyn, henvendelser på veiledningstelefonen, antall klager og meldinger om brudd på personopplysningssikkerheten.

1.3.3 Internasjonalt arbeid og samarbeid

Internasjonalt samarbeid er svært viktig for Datatilsynet siden personvernforordningen skal tolkes likt i hele EØS. Hva som skjer i andre EØS-stater og i Det europeiske personvernrådet (European Data Protection Board – EDPB) kan påvirke handlingsrommet vårt.

Det er nedfelt i strategien vår at vi skal påvirke og ta lederrollen i noen utvalgte internasjonale prosesser for å fremme bedre personvern. Datatilsynet har fortsatt å engasjere seg i temaer og saker som kan ha mye å si for personvernet i Norge. I 2022 ble det enda tydeligere enn før at Datatilsynets internasjonale arbeid i Personvernrådet har resultert i gode påvirkningsmuligheter i EU. Datatilsynet har påvirket utfallet i flere store og betydningsfulle saker på EU-nivå, og vi har gjort oss bemerket i den politiske diskusjonen om håndhevingen av personvernforordningen.

1.3.3.1 Gjennomførte aktiviteter

Deltakelse i Personvernrådet med ekspertgrupper

Personvernrådet er et uavhengig EU-organ opprettet i henhold til personvernforordningen. De viktigste oppgavene til rådet er å komme med retningslinjer og uttalelser om hvordan personvernforordningen skal forstås og sikre at den tolkes på en ensartet måte i EØS. Dessuten er rådet den øverste rådgivende forsamlingen for EU-kommisjonen i spørsmål om personvern.

Personvernrådet består av datatilsynsmyndighetene i EU og EØS. Datatilsynet er fullverdig medlem, men siden Norge er en EØS-stat, har vi ikke rett til å stemme eller stille til valg som rådets leder eller nestleder. Datatilsynet deltar i Personvernrådets plenumsmøter, som vanligvis holdes omtrent én gang i måneden. I tillegg deltar vi i samtlige av rådets ekspertgrupper:

• Border, Travel and Law Enforcement Expert Subgroup

• Compliance, e-Government and Health Expert Subgroup

• Cooperation Expert Subgroup

• Enforcement Expert Subgroup

• Financial Matters Expert Subgroup

• International Transfers Expert Subgroup

• IT Users Expert Subgroup

• Key Provisions Expert Subgroup

• Social Media Expert Subgroup

• Strategic Advisory Expert Subgroup

• Taskforce on Fining

• Technology Expert Subgroup

De fleste ekspertgruppene møtes også som regel én gang i måneden. Gruppene diskuterer og forbereder saker og dokumenter for plenumsmøtene i Personvernrådet, hvor de endelige avgjørelsene om retningslinjer, uttalelser og så videre blir fattet. Til sammen ni jurister og én teknolog fra Datatilsynet deltok fast i Personvernrådets plenums- og ekspertgruppemøter i 2022.

Hver ekspertgruppe ledes av én eller flere koordinatorer. Datatilsynet bidrar med én av to koordinatorer for Social Media Expert Subgroup.

I tillegg til ekspertgruppene finnes det flere ad hoc-arbeidsgrupper, typisk for koordinering i ulike sakskomplekser. Vi deltar også i dette arbeidet.

Under Personvernrådet er det opprettet en egen komité, Coordinated Supervision Committee, for koordinering av tilsyn med store EU-plattformer. I 2022 deltok én jurist fra Datatilsynet i komiteens møter.

Personvernrådet har dessuten et eget kommunikasjonsnettverk som diskuterer kommunikasjonsstrategi og -tiltak, samt deler nasjonale nyhetssaker. Én kommunikasjonsmedarbeider deltok fast i nettverket i 2022.

Rapportøroppdrag

I 2022 har Datatilsynet vært hovedrapportør for Personvernrådets retningslinjer om teknologi som kan avsløre og rapportere barneovergrepsmateriale på nett. Dette arbeidet fortsetter inn i 2023.

Datatilsynet har dessuten vært en del av rapportørteamet for Personvernrådet og European Data Protection Supervisors felles uttalelse om EUs nye lovforslag om forebygging og bekjempelse av barneovergrepsmateriale. Vi har også vært en del av rapportørteamet for én av Personvernrådets bindende beslutninger i tvisteløsningsmekanismen etter personvernforordningen.

Internasjonal saksbehandling / IMI

Personvernforordningen kapittel VII og VIII inneholder nærmere regler om saksbehandlingen ved såkalt grenseoverskridende behandling av personopplysninger. I denne typen saker må alle berørte datatilsynsmyndigheter identifiseres, og deretter vil en ledende datatilsynsmyndighet bli utpekt etter nærmere regler. Den ledende datatilsynsmyndigheten undersøker så saken, og legger deretter frem et utkast til avgjørelse som de berørte datatilsynsmyndighetene kan komme med innsigelser mot. Til denne prosessen brukes det et saksbehandlingssystem som heter Internal Market Information System (IMI).

Internasjonal saksbehandling krever at vi fortløpende følger med på hva som skjer i IMI, siler saker og gir tilbakemelding der det er nødvendig. I de aller fleste sakene kommer tilsynsmyndighetene til enighet om hva avgjørelsene skal gå ut på, men særlig i saker om de største internasjonale teknologiselskapene, kan det være krevende å komme til enighet med den ledende tilsynsmyndigheten.

Forstørr bilete

I 2022 har vi som berørt tilsynsmyndighet kommet med innsigelser i to saker som gjelder store, internasjonale teknologiselskaper. Når vi kommer med innsigelser, må ledende tilsynsmyndighet enten ta innsigelsen til følge, eller saken må behandles i Personvernrådet gjennom personvernforordningens tvisteløsningsmekanisme. I 2022 ble flere av våre innsigelser fra 2021 og 2022 behandlet av Personvernrådet, og Datatilsynet er meget fornøyd med utfallet av denne behandlingen.

I 2022 ble vi identifisert som berørt datatilsynsmyndighet i 178 nye saker. I samme periode ble vi identifisert som ledende tilsynsmyndighet i 16 saker. En stor andel av de grenseoverskridende sakene fra tidligere år er fremdeles åpne ved årsskiftet, siden saksbehandlingstiden i denne typen saker er lengre enn for andre saker.

Godkjenning av overføringsgrunnlag

Datatilsynet kan godkjenne bindende konsernregler (BCR) som grunnlag for overføring av personopplysninger ut av EØS. Dette krever imidlertid samarbeid med andre datatilsynsmyndigheter i EØS, samt at BCR-søknaden må legges frem for Personvernrådet for en uttalelse.

Ved utgangen av 2022 hadde vi, som ledende tilsynsmyndighet, elleve åpne søknader om godkjenning av BCR som overføringsgrunnlag.

I tillegg har Datatilsynet i 2022 gjennomgått tre BCR-søknader hvor en tilsynsmyndighet i et annet EØS-land er den ledende tilsynsmyndigheten (såkalt co-review). Dette er en del av prosessen før en BCR kan legges frem for Personvernrådet.

Norske konsern som har fått en godkjent BCR, skal årlig sende oss en oppdatering som må gjennomgås. Ved utgangen av 2022 gjaldt dette ti konsern.

Schengen-samarbeid

Datatilsynet er tilsynsorgan for den nasjonale behandlingen av personopplysninger i de felleseuropeiske systemene som er etablert gjennom Schengen-samarbeidet, Schengen informasjonssystem (SIS) og visuminformasjonssystemet VIS. I 2022 fikk vi også nye oppgaver etter Eurodac II-forordningen.

Oppgavene våre består av tilsyn, behandling av klager fra registrerte, informasjon og veiledning, deltagelse i samarbeidsfora på europeisk nivå og besvarelse av høringer om regelverksendringer. Vi deltar også ved evaluering av andre medlemsstaters etterlevelse av Schengen-regelverket på personvernområdet. Schengen-systemene skal utvides i årene fremover, og med det blir Datatilsynet tillagt flere tilsyns- og rapporteringsoppgaver.

Som ledd i det pågående arbeidet vårt med å overholde forpliktelsene som følger av Schengen-regelverket, har vi opprettet en tverrfaglig intern gruppe som har ansvaret for koordinering og gjennomføring av Schengen-oppgaver. I 2022 utarbeidet denne gruppen en egen strategi for Datatilsynets arbeid med Schengen-forpliktelsene.

Schengen-evaluering av Norge

Som medlem i Schengen-samarbeidet er Norge regelmessig gjenstand for inspeksjon og evaluering gjennom den såkalte Schengen-evalueringsmekanismen. Formålet med slike evalueringer er å sikre at Schengen-regelverket anvendes effektivt og enhetlig av medlemsstatene, samtidig som det opprettholdes et høyt nivå av gjensidig tillit mellom medlemslandene.

I juni 2022 ble det gjennomført en evaluering av Norges etterlevelse av Schengen-regelverket på personvernområdet. Evalueringen ble gjennomført av en delegasjon bestående av representanter fra forskjellige EU-/EØS-land og fra EU-kommisjonen. Delegasjonen besøkte Datatilsynet 27. juni 2022. Her fikk de blant annet presentert våre tilsyns- og kontrolloppgaver knyttet til SIS og VIS. I løpet av inspeksjonsperioden ble det også gjennomført besøk hos Utlendingsdirektoratet og Politiet.

I etterkant av evalueringen avgir delegasjonen en rapport til EU-kommisjonen. Evalueringsrapporten om Norges etterlevelse på personvernområdet var ikke klar på rapporteringstidspunktet.

Koordineringsgrupper for tilsyn med SIS, VIS og Eurodac

Som nevnt deltar Datatilsynet i samarbeidsfora på europeisk nivå. Det er etablert tre koordineringsgrupper med formål å koordinere og utveksle informasjon om datatilsynsmyndighetenes tilsyn med nasjonal behandling av personopplysninger i henholdsvis SIS, VIS og Eurodac. Vi er fullverdig medlem av disse gruppene, og i 2022 deltok én jurist i disse møtene.

Global Privacy Assembly (GPA)

GPA er et den største internasjonale sammenslutningen av datatilsynsmyndigheter, og består av datatilsyn fra hele verden. I 2022 deltok én jurist og én samfunnsviter på GPAs årsmøte. Dessuten deltar Datatilsynet i tre av GPAs arbeidsgrupper, med én jurist i hver: International Enforcement Working Group, Digital Citizen and Consumer Working Group og Digital Education Working Group.

Datatilsynet er én av fire såkalte co-chairs for International Enforcement Working Group.

Nordisk møte

Datatilsynsmyndighetene i Norge, Island, Finland, Danmark, Sverige, Færøyene og Åland har årlige møter for å diskutere i personvernspørsmål i kontekst av våre nordiske verdier. I 2022 fant det nordiske møte sted i Helsinki. Under møtet ble vi enige om å fortsette det tette, nordiske samarbeidet, blant annet når det gjelder barns personvern i kontekst av gaming. De nordiske datatilsynsmyndighetene vil dessuten fokusere på de nye lovforslagene fra EU på det digitale feltet, noe vi frykter kan føre til fragmentert håndhevelse og ressursutfordringer.

Internasjonalt samarbeid mellom datatilsyns-, forbruker- og konkurransetilsynsmyndigheter

Personvernrådet og det tilsvarende forumet for forbrukertilsynsmyndigheter, Consumer Protection Cooperation Network (CPC), har satt i gang et arbeid for å se hvordan data- og forbrukertilsynsmyndighetene kan samarbeide tettere. Dette arbeidet er inspirert av gode eksempler i ulike EØS-land, der det norske Datatilsynets nære samarbeid med Forbrukertilsynet har blitt fremhevet. Vi har en sentral rolle i dette arbeidet. Arbeidet har fortsatt i 2022, og én jurist har deltatt.

Én av GPAs arbeidsgrupper, Digital Citizen and Consumer Working Group, ser særlig på krysningspunktet mellom personvern, forbrukervern og konkurranserett, og vi er som nevnt over medlem av denne arbeidsgruppen.

Andre samarbeid

Datatilsynet er også med i andre internasjonale fora, slik som den såkalte Berlingruppen (International Working Group on Data Protection in Technology – IWGDPT) og Global Privacy Enforcement Network (GPEN).

1.3.3.2 Ressursbruk

Arbeidet i Personvernrådet og dets ekspertgrupper krever betydelige ressurser. For å delta i møtene er det viktig med tilstrekkelige forberedelser siden prinsipielle spørsmål om forståelsen av personvernreglene står på agendaen. I 2022 har det vært mellom 100 og 150 møter i Personvernrådet med ekspertundergrupper og arbeidsgrupper, og Datatilsynet har deltatt på de aller fleste av disse møtene.

Saksbehandling av grenseoverskridende saker og BCR-søknader er et særlig tidkrevende og møysommelig arbeid som også legger bånd på store ressurser. I disse sakene må vi følge særskilte prosessregler, og vi er avhengig av samarbeid med andre datatilsynsmyndigheter i EØS i saksbehandlingen.

Schengen-arbeidet har også krevd store ressurser, særlig siden det var Schengen-evaluering av Norge i 2022. Schengen-rettsaktene stiller krav til et minimum av tilsynsaktiviteter med visse intervaller, og det er viktig at tilsynet har tilstrekkelig med ressurser til å møte disse lovkravene.

1.3.3.3 Måloppnåelse

Ved å delta i ulike internasjonale fora holder Datatilsynet seg oppdatert på den rettslige og tekniske utviklingen på personvernfeltet. Dette er sentralt for å opprettholde et kompetent og fremtidsrettet tilsyn.

Personvernrådet forblir vårt viktigste internasjonale samarbeidsforum. Her bidrar vi aktivt og tar «vår del» av arbeidet, i tråd med målet vårt om å påvirke og ta lederrollen i noen utvalgte internasjonale prosesser for å fremme bedre personvern. Vi opplever som konsekvens at Datatilsynet har oppnådd økt påvirkningskraft, både i diskusjoner om lovtolkningsspørsmål og i behandling av store, betydningsfulle saker. Begge deler er essensielt opp mot Datatilsynets strategiske mål om å bidra til en mer rettferdig maktbalanse mellom individer og kommersielle aktører. Personvernet i Norge er avhengig av hvordan internasjonale aktører etterlever og forvalter regelverket.

1.3.4 Spesielt om regulatorisk sandkasse for ansvarlig kunstig intelligens

2022 var det andre året med operativ drift for Datatilsynets regulatoriske sandkasse. Sandkassen ble opprettet høsten 2020 og de første prosjektene startet på nyåret i 2021.

Målet med sandkassen er å stimulere til innovasjon av etisk og ansvarlig KI fra et personvernperspektiv. Sandkassen hjelper enkeltaktører med å følge regelverket og utvikle personvernvennlig kunstig intelligens. For å skalere effekten av sandkassen deler vi de konkrete vurderingene og løsningene vi kommer frem til slik at andre virksomheter som tar i bruk kunstig intelligens kan hente inspirasjon og læring fra sandkasseprosjektene.

Sandkassen var i 2022 finansiert av et tverr-departementalt samarbeid. Det inkluderer Kommunal- og distriktsdepartementet, Arbeids- og sosialdepartementet, Helse- og omsorgsdepartementet, Kunnskapsdepartementet, Nærings- og fiskeridepartementet og Samferdselsdepartementet.

1.3.4.1 Gjennomførte aktiviteter

I 2022 har hovedaktivitetene i sandkassen vært gjennomføring og avslutning av prosjekter, samt opptak av tre nye prosjekter. Utadrettet kommunikasjon for å få søkere og for å spre læringen fra prosjektene, har også vært en prioritet.

Datatilsynet har evaluert alle sandkasseprosjektene som er gjennomført. Evalueringene av prosjektene inkluderte både de eksterne deltakerne og de som var involvert fra Datatilsynet. Tilsynet har også fullført en anskaffelsesprosess av en ekstern aktør, som skal evaluere effekten av sandkassen. Aktøren ble valgt i desember 2022 og arbeidet med evalueringen starter opp i januar 2023.

Sandkasseprosjekter

Sandkassen publiserte sluttrapporter for følgende prosjekter i 2022:

• NAV vil bruke KI til å predikere sykefraværslengden til sykmeldte personer. Formålet er å få en mer brukervennlig og effektiv oppfølging av sykmeldte. Sandkasseprosjektet utforsket hvilken informasjon saksbehandler trenger om hvordan algoritmen kommer frem til en anbefaling, for at vedkommende kan ta en god beslutning. Prosjektet avdekket også at det er uklart hjemmelsgrunnlag for utvikling av kunstig intelligens i særlovgivningen. Funnet er relevant for andre sektorer innen det offentlige, der utydelig regelverk (når det gjelder bruk av personopplysninger til å utvikle kunstig intelligens) kan være en barriere for innovasjon.

• Secure Practice ønsker å utvikle en tjeneste som profilerer ansatte, for å kunne tilby tilpasset sikkerhetsopplæring. I sandkassen synliggjorde vi hvordan rollen til Secure Practice som databehandler/behandlingsansvarlig kan brukes til å begrense arbeidsgiverens tilgang til de ansattes data for å ivareta personvernet på en god måte. Vi gjennomførte også fokusgrupper, som bidro til å belyse hvilke behov den ansatte har for informasjon om hvordan opplysningene deres brukes.

• Kommunenes interesseorganisasjon (KS) ønsker å analysere elevers data fra ulike digitale læringsverktøy for å støtte lærerne i vurderingsarbeidet og for å tilpasse undervisningen bedre til elevenes individuelle nivå. KS samarbeider med Slate ved Universitetet i Bergen og Utdanningsetaten i Oslo i prosjektet, og temaet var behandlingsgrunnlag og åpenhet. Dette er et foregangsprosjekt som viser hvordan utdanningssektoren kan implementere kunstig intelligens i læringsverktøy på en personvernvennlig og ansvarlig måte.

• Finterai er en oppstartsbedrift som vil gå løs på et samfunnsproblem innen finanssektoren: hvitvasking og terrorfinansiering. De vil benytte seg av føderert læring, en desentralisert metode, som blir ansett som mer personvernvennlig. Slik skal bankene lære av hverandres data uten å faktisk dele dem. Prosjektet hadde spesielt fokus på behandlingsansvar, dataminimering og sikkerhet.

• Helse Bergen HF ønsker å bruke kunstig intelligens til å peke ut hvilke pasienter som står i fare for å komme kjapt i retur til sykehuset. Ved å bruke et slikt verktøy kan helsevesenet gi bedre oppfølging på tvers av helsetjenestene, i håp om å spare pasientene og samfunnet for unødige innleggelser. Dette prosjektet gikk i dybden på spørsmål knyttet til lovlighet, åpenhet og rettferdighet.

• Simplifai ønsker å ta i bruk maskinlæring for å identifisere og foreslå hvilke eposter og tilhørende dokumenter som regnes som arkivverdige. Målet er å hjelpe offentlig sektor med å møte arkiveringskravene i regelverket og effektivisere arkiveringsprosessen. Sandkasseprosjektet har sett på lovligheten i løsningen og innebygd personvern ved kjøp av intelligente løsninger.

Opptak av nye prosjekter

I 2022 hadde vi en opptaksrunde i mars. Det kom inn 11 søknader hvorav 8 var fra privat sektor og tre fra offentlig sektor. Det var en nedgang i antallet søknader fra tidligere runder. Vi tror nedgangen kan komme av at vi gikk mindre bredt ut med informasjon denne gangen, og at vi var spissere i presiseringen av hvilke prosjekter vi ønsker å ha med i sandkassen. Alle 11 prosjektene var imidlertid relevante, og opptakskomiteen hadde mange gode prosjekter å velge imellom.

Forstørr bilete

Opptakskomiteen bestod av en intern, tverrfaglig gruppe som gjennomførte samtaler med samtlige søkere. Tilsynet fikk hjelp av en ekstern referansegruppe til å vurdere samfunnsnytten (som er ett av opptakskriteriene) til prosjektet. Denne gruppen består av representanter fra Innovasjon Norge, Norsk Regnesentral, Likestillings- og diskrimineringsombudet og Tekna. Den endelige utvelgelsen av prosjektene ble gjort av styringsgruppen som består av ledelsen i tilsynet.

Følgende prosjekter ble valgt ut og hadde oppstart sommeren 2022:

• Ruter ønsker å bruke kunstig intelligens i forsøket på å forstå kundenes behov og bevegelsesmønstre, for å kunne tilby persontilpassede tjenester innen kollektivtransport.

• Ahus vil utvikle en algoritme som skal kunne forutsi faren for hjertesvikt. Verktøyet bygger blant annet på EKG-målinger og er tenkt brukt som beslutningsstøtte i klinikken.

• Doorkeeper er et oppstartsfirma ønsker å tilby personvernvennlig intelligent videoanalyse.

Utadrettet aktivitet

Åpenhet rundt prosess og konklusjoner i sandkassen er en viktig del av sandkassemetoden for å skalere effektene av prosjektene. Derfor er det vesentlig å publisere prosjektplaner og sluttrapporter fra alle prosjektene på nettsidene våre.

Rapporter

I løpet av 2022 har vi publisert seks sluttrapporter. Vi sendte ut pressemeldinger ved lansering av rapportene, noe som ofte genererte eksterne oppslag. Det ble også skrevet blogger og artikler eller arrangert webinarer for hver rapportpublisering, der essensen av læringen i prosjektet ble dratt fram.

På tampen av 2022 publiserte vi en erfaringsrapport om åpenhet i kunstig intelligens, der et tema som gikk igjen i tre av de første prosjektene ble løftet fram. Det er den første rapporten fra sandkassen som ikke er en sluttrapport, og er et startskudd for at læringen fra sandkassen i fortsettelsen skal pakkes om og tematiseres på forskjellige måter.

Podkast og formidling gjennom kommunikasjonskanalene våre

Vi slapp fem podkast-episoder i serien SandKasten: Én for hvert av prosjektene i andre sandkasserunde, i tillegg til to episoder som er opptak av arrangementer vi holdt på CPDP-konferansen og Arendalsuka.

Sandkassen sto ellers bak ett innlegg i Personvernbloggen og sendte ut 12 nyhetsbrev. Vi har dessuten hatt to annonser med redaksjonelt innhold, én i Aftenposten/BT og én på dn.no. Den første fokuserte på sandkassemetoden, mens den andre viste fram hvor mye vi har fått til i sandkassen.

Det har også blitt laget en kommunikasjonsplan for 2023, som tar for seg et økt fokus på å få generert kunnskap fra sandkassen helt fram – i forskjellige formater om ulike tema – til de som trenger hjelpen.

Arrangementer

I løpet av året sto vi for seks arrangementer. To av dem var i anledning rapportlanseringer: Ett sammen med KS, Utdanningsetaten i Oslo og Slate/UiB i anledning AVT-rapporten. Det andre var i samarbeid med Finansforbundet i anledning lansering av Finterai-rapporten.

I mai sto sandkassen som arrangør for et panel under CPDP-konferansen i Brüssel, med tittelen «A Sand Storm or Just a Breeze? What’s the Fuss About Sandboxes?». Under Arendalsuka arrangerte vi et panel sammen med Likestillings- og diskrimineringsombudet, med tittelen «Når algoritmer saksbehandler». I april arrangerte vi et erfaringsseminar om sandkasser i samarbeid med de andre sandkassene i landet «hjemme hos» Arkivverket. Og i november holdt vi det årlige Sandkasseseminaret (digitalt), der vi trakk fram læring fra et utvalg av prosjektene.

I tillegg har vi blitt invitert, og har deltatt, på rundt 25 arrangement i både inn- og utland der vi samlet sett har nådd et publikum på rundt 3450. I de fleste tilfellene er det sandkasse som metode og konkrete læringer fra sandkassen som er temaet. For eksempel presentere vi funn fra Helse Bergen- og Ahus-prosjektet på helsekonferansene EHiN2022 og Normkonferansen 2022.

Koordineringsmøter

Vi har fortsatt å arrangere koordineringsmøter med de andre norske sandkassene. I tillegg til Arkivverket og Finanstilsynet, har Digitaliseringsdirektoratet og Helsedirektoratet kommet til i løpet av 2022. Også det europeisk nettverket for sandkasser, som vi holder i, har vokst fra ICO i Storbritannia og CNIL i Frankrike, til å inkludere Island og Sverige. Vi har også hatt møter med politiske rådgivere i EU, som vil ta med seg den norske sandkassens erfaringer inn i prosessen med AI Act, der det ligger an til å anbefale alle medlemsland å etablere egne sandkasser for kunstig intelligens.

Annet

Vi opplever fortsatt en stor interesse for sandkassen, både nasjonalt og internasjonalt, og har opplevd at både sandkassen som tiltak i seg selv og sandkassens programleder har blitt nominert til forskjellige priser. Datatilsynet har blitt intervjuet av fire ulike doktorgradsstipendiater om sandkassen, samt av to mastergradsstudenter og ett forskningsprosjekt i 2022.

1.3.4.2 Erfaringer

Sandkassen gir Datatilsynet og deltakende virksomheter muligheten til å gå i dybden på problemstillinger det ikke finnes enkle fasitsvar og rettslige avgjørelser på. I løpet av 2022 har vi spesielt utforsket spørsmål knyttet til krav til åpenhet, lovlighet, rettferdighet, innebygd personvern og dataminimering i kunstig intelligens-løsninger. Gjennom prosjektene får vi også innsikt i tekniske og organisatoriske spørsmål som kan bidra til å senke terskelen for å få til personvernvennlig innovasjon. Eksempler på dette er innsikt i hvordan føderert læring kan bidra til personvernvennlig deling uten å faktisk dele data, og en bedre forståelse av hvordan tydelige krav til personvern i anskaffelse av kunstig intelligens kan bidra til bedre løsninger.

Evalueringene fra de gjennomførte prosjektene viser at nytteverdien for både deltakerne og Datatilsynet er stor. Deltakerne melder tilbake at de har får viktige avklaringer i prosjektene. Datatilsynet opplever at sandkassen bidrar til å bygge verdifull intern kompetanse som er viktig for at tilsynet skal kunne gi veiledning, gjøre saksbehandling og tilsynsvirksomhet på dette området på en god og kompetent måte. Opptaksrunden i 2022 var tredje runde med prosjekter, og erfaringene fra tidligere runder gjorde at prosjektgjennomføringen ble mer effektiv og rapportskrivingen enklere fordi grunnleggende tematikk allerede var behandlet i tidligere sluttrapporter.

Datatilsynet opplever stor interesse for sandkassemetoden og tematikken både nasjonalt og internasjonalt, og har bygget betydelig kompetanse som gjør at vi ligger blant de fremste tilsynene på dette området internasjonalt. Metoden er en måte å jobbe på som fostrer læring og dialog om ny teknologi og rettslige krav som det finnes lite presedens på. Vi ser på sandkassen som et viktig verktøy som bidrar til praktisk kunnskap om hvordan regelverket skal anvendes i et økende digitalisert samfunn. Satsingen er nå under evaluering.

1.3.4.3 Ressursbruk

I 2022 ble sandkassen finansiert med 9,2 millioner. Hoveddelen av midlene gikk til lønnsutgifter knyttet til sandkasseaktiviteter. Det er ansatt én prosjektleder og én kommunikasjonsrådgiver for å drifte sandkassen. I tillegg har vi fem midlertidige ansatte som avlaster ressursene som blir brukt fra organisasjonen til opptak, gjennomføring av prosjektene, utarbeidelse av veiledningsmateriell og utadrettet virksomhet.

Avdelingsdirektøren for teknologi, analyse og sikkerhet er intern prosjekteier og bruker tid på oppfølging og kvalitetssikring av drift og innhold, mens ledelsen i tilsynet fungerer som styringsgruppe, og har det overordnede ansvaret for sandkassen.

Hvert enkelt prosjekt har en intern prosjektleder som bruker rundt 50 prosent av tiden sin på sandkassen i prosjektperioden. Prosjektlederne har gjennomført prosjektlederkurs i henhold til prosjektveiviseren i løpet av året. I tillegg bruker vi to til tre tilknyttede interne ressurser som bruker en mindre prosentdel av stillingene sine til å bidra inn i prosjektene. Vi involverer fagressurser, seksjonsledere og avdelingsdirektører for forankring av konklusjonene i prosjektene.

I tillegg til lønnsutgifter og faste utgifter til ansatte, har vi brukt midler til kommunikasjonstiltak (annonsering, arrangement, illustrasjoner), leie av møterom og reisevirksomhet.

1.3.4.4 Måloppnåelse

Sandkassen har tre overordnede mål:

1. For virksomheter skal sandkassen bidra til å øke forståelsen for de regulatoriske kravene som stilles, og for hvordan personvernregelverket får anvendelse på utvikling og bruk av kunstig intelligens. I løpet av 2022 har sandkassen oppnådd dette målet ved å hjelpe sandkassedeltakere med de konkrete personvernutfordringene disse har. I tillegg har vi nådd ut til et bredere publikum med erfaringen og kunnskapen fra prosjektene gjennom synlighet på konferanser, i media, på podkast, blogg og gjennom nettsidene våre.

2. For Datatilsynet skal den regulatoriske sandkassen bidra til å øke forståelsen og kunnskapen om kunstig intelligens. Gjennom prosjektene har de ansatte i tilsynet opparbeidet seg verdifull kunnskap om hvordan personvernregelverket kommer til anvendelse ved bruk av kunstig intelligens og det har resultert til at tilsynet kan gi praktisk veiledning om implementering av regelverket. Kompetansebygging på kunstig intelligens er et viktig bidrag til arbeidet vårt på dette området, inkludert utvidelse av tilsynsmetodikken vår til å inkludere tilsyn med algoritmer.

3. For enkeltpersoner og samfunnet som helhet skal sandkassen bidra til å bygge tillit til at utvikling av nye og innovative løsninger foregår innenfor en ramme som sikrer ansvarlighet, og som ivaretar hensynet til grunnleggende rettigheter og friheter. Dette er et langsiktig mål, men erfaringene fra sandkasseprosjektene viser hvor viktig tillit er for at folk skal være villig til å ta i bruk løsninger og dele dataene sine. Virksomhetene som har deltatt i sandkassen har gitt tilbakemelding om at deltakelsen bidrar til at brukere av tjenestene dere opplever en trygghet i at personvernet er godt ivaretatt i de konkrete løsningene.

1.3.5 Spesielt om barn og unge

Datatilsynet har i flere år prioritert å jobbe med personvernutfordringer som gjelder barn og unge i omsorgs- og utdanningsløp.

Barn blir i stor grad registrert og vurdert i digitale løsninger. Denne kartleggingen begynner på helsestasjonen, og fortsetter i barnehagen og på skolen. Mange ønsker å bruke og dele opplysningene for ulike formål. Økt digitalisering og registrering innebærer også en fare for at det blir behandlet overskuddsinformasjon om barn.

Barn er gitt en rett til særskilt beskyttelse gjennom personvernregelverket. Det er blant annet begrunnet med at behandling av deres opplysninger oftest besluttes av andre enn dem selv. I tillegg er det ofte vanskelig for barn å vurdere konsekvensene av hva behandlingen av deres personopplysninger medfører i de tilfellene der de selv kan bestemme.

Særskilte utfordringer oppstår når all aktivitet, alle vurderinger og alt som kommuniseres skal skje gjennom digitale løsninger. Trygg bruk av slike verktøy forutsetter kunnskap på mange nivåer, fra de som utvikler og tilbyr systemer og tjenester, kommuner som skal kjøpe inn systemer og tjenester og sitter med det overordnede ansvaret, til skoler, lærere, elever og foreldre som skal bruke disse løsningene.

Datatilsynet mottar fortsatt mange meldinger om brudd på personopplysningssikkerheten som følge av manglende kunnskap og manglende risikoforståelse knyttet til digitale verktøy.

Utfordringsbildet i sakene vi har mottatt i 2022, tilsvarer tidligere år. Det er fremdeles varierende kompetanse blant ansatte i stat, kommune og fylkeskommune om hvordan opplysninger skal behandles i tråd med personvernregelverket.

Gjennom 2022 har vi imidlertid også sett flere positive initiativer fra sentrale aktører som arbeider med å bedre personvern for barn og unge.

1.3.5.1 Gjennomførte aktiviteter

Deltakelse på arrangementer og i råd og utvalg

Datatilsynet ser positivt på at det er iverksatt flere initiativ fra sentrale aktører med formål å bedre personvern for barn og unge, og vi har i 2022 prioritert å delta på de arbeidene og arrangementene vi har blitt invitert til.

Vi har hatt jevnlig kontakt med KINS og KS sitt prosjekt SkoleSec. Datatilsynet har bidratt til gjennomføring av konferanser og arrangement gjennom planlegging og foredrag. I tillegg har vi levert innspill til Utdanningsdirektoratet i arbeidet med å gi veiledning gjennom en kompetansepakke for personvern rettet mot lærere og skoleeiere.

Datatilsynet har også takket ja til å levere innspill til Kunnskapsdepartementets ekspertgruppe for digital læringsanalyse, og vi har vi blitt invitert til å gi innspill til departementets arbeid med analyse av data om barn og unge.

Vi deltar dessuten i en direktoratsgruppe i regi av Medietilsynet. Den jobber blant annet med en handlingsplan for trygg digital oppvekst.

Strømming av idrett for barn

Siden 2020 har Datatilsynet fått et økende antall henvendelser til veiledningstjenesten om strømming av idrett for barn. Denne trenden har fortsatt i 2022, og de som kontakter oss er både foresatte, frivillige i idrettsklubber og kommuner som arenaeiere.

I februar 2022 deltok Datatilsynet i et veiledningsmøte med Norges Fotballforbund, og vi ga da generell veiledning om regelverket i forbindelse med at særforbundet skulle lage retningslinjer for strømming for fotballklubbene.

I mars deltok vi et møte som barne- og familieministeren inviterte til for å diskutere hvordan det kan jobbes for at barn ikke blir ekskludert på grunn av at flere fritidsaktiviteter strømmes. Bekymringen er at barn som lever under strenge beskyttelsestiltak ikke kan delta på idrettsaktiviteter fordi de strømmes. Norges Idrettsforbund (NIF), Stine Sofie Stiftelsen og Medietilsynet deltok også på møte.

Datatilsynet deltok også på et møte om strømming mellom NIF og Redaktørforeningen i oktober, hvor vi redegjorde generelt for personvernregelverket.

I desember 2022 ble det stor medieoppmerksomhet knyttet til strømmetjenesten MyGame som strømmer kamper innen breddeidrett for barn ned til 15-årsklassen. De siste to ukene av 2022 mottok vi også flere tips om denne tjenesten. Vi vil følge nøye med på aktører og problemstillinger knyttet til strømming av idrett for barn i 2023.

I 2022 begynte vi også på arbeidet med en veiledning om strømming av idrett for barn. Den vil ferdigstilles i 2023.

Bruk av Googles skoleverktøy

I 2022 kom det danske Datatilsynet med en avgjørelse om bruk av Googles skoleverktøy. Den saken har vi fulgt med interesse. Det danske tilsynet fattet vedtak om at Helsingør kommune hadde tatt i bruk verktøyet uten at personvernregelverket var ivaretatt i tilstrekkelig grad. Manglene knyttet seg blant annet til manglende risikovurderinger, og risiko for gjenbruk av barns personopplysninger til kommersielle formål. Vi vil følge den videre utviklingen i saken, og vurdere om den også kan ha betydning for norske skoler.

Personvernkommisjonen

Et av kapitlene i Personvernkommisjonens NOU-rapport, handler om personvern i skole og barnehage. Da utredningen kom, uttalte vi at vi støttet kommisjonens konkrete forslag til tiltak i forbindelse med digitaliseringen i skole og barnehage. Vi understreket også at det haster å få iverksatt relevante tiltak. Blant annet trakk vi frem at det er viktig å få på plass et forbud mot atferdsbasert markedsføring rettet mot barn, slik kommisjonen har foreslått.

Rapporten inneholder flere anbefalinger for å bedre personvernet i skole og barnehage. Vi ser at mange av anbefalingene er i tråd med allerede pågående initiativer og prosesser, og vi legger til grunn at mange av anbefalingene vil bli fulgt opp i 2023.

1.3.5.2 Ressursbruk

Datatilsynets arbeid med barn og unge, og spesielt skolesektoren, er prioritert og tar mye tid. I 2022 har vi i hovedsak brukt ressursene våre på dette området til å bidra i aktiviteter som er iverksatt av andre aktører, blant annet gjennom foredrag og gjennom innspill til de forskjellige nasjonale arbeidene vi har nevnt over.

I tillegg har vi brukt en del tid på deltakelse i samarbeidsprosjektet DuBestemmer. En person i kommunikasjonsavdelingen deltar aktivt i prosjektet og har faste møter med Utdanningsdirektoratet om ressursen annenhver uke..

1.3.5.3 Måloppnåelse

Vi har i likhet med forrige år brukt mye tid på veiledning til behandlingsansvarlige på dette området. Vi har også bidratt i andres initiativer og arbeid for å bedre personvern for barn og unge. Dette er en riktig prioritering, og den er forankret i vårt strategiske mål om å arbeide for at virksomheter blir kompetente, forstår viktigheten av godt personvern og etterlever regelverket.

Vi har et klart inntrykk av at sektoren er på riktig vei. Mange initiativer har blitt satt i gang, og nye etater har satt personvern i skolen på dagsordenen. Vi mener våre aktiviteter har bidratt til at sektoren jobber bedre med personvern i skolen enn tidligere, og at vi også i 2022 har hatt god måloppnåelse på dette punktet i strategien, tatt i betraktning de tilgjengelige ressursene.

1.3.6 Annen vesentlig aktivitet

1.3.6.1 Akkreditering og sertifiseringsordninger

Datatilsynet har en prosjektgruppe med mandat til å legge til rette for etableringen av atferdsnormer og sertifiseringsordninger (jf. personvernforordningen artikkel 57 nr. 1 bokstav m, n, p og q og art 40-43).

Dette prosjektet er delt i tre faser:

• Fase 1: Utarbeidelse og formell godkjenning av kriterier for akkreditering av kontrollorganer for atferdsnormer.

• Fase 2: Utarbeidelse og formell godkjenning av tilleggskriterier for akkreditering av sertifiseringsorganer, samt etablere en mekanisme for akkreditering.

• Fase 3: Utrede spørsmål knyttet til etableringen av en prosess for å evaluere og godkjenne kriterier for sertifiseringsordninger.

Fase 1 og første del av Fase 2 er ferdigstilt. Vi har i 2022 hatt jevnlige møter med Norsk akkreditering for å utrede etablering av en mekanisme for akkreditering av sertifiseringsorganer. Vi har også kartlagt andre europeiske lands erfaringer med dette arbeidet. Parallelt med dette arbeidet har vi måttet utrede spørsmål knyttet til hvordan vi skal evaluere og godkjenne kriterier for sertifiseringsordninger (Fase 3).

Siste del av Fase 2 og Fase 3 er planlagt ferdigstilt i løpet av 2023, og planlagt overført til linjen.

Vi deltar ellers aktivt på møter i Personvernrådets undergrupper, hvor spørsmål knyttet til etablering av kriterier for sertifiseringsordninger er tema, og da særlig hvordan prosessen for godkjennelse av sertifiseringsordninger blir mest mulig konsistent gjennom hele EØS-området. Vi kommer til å fortsette denne deltakelsen i 2023. Prosjektet gjennomfører også jevnlig intern opplæring, og har ansvaret for overføring av oppgaver videre ut i organisasjonen.

1.3.6.2 Arbeidsliv

Som tidligere år, får vi mange henvendelser om personvern i arbeidslivet. I 2022 handlet hele 27 prosent av henvendelsene til veiledningstjenesten vår om arbeidsliv (les mer om henvendelsene til veiledningstjenesten under «Kommunikasjon og veiledning»). Ulike utfordringer i arbeidslivet er dessuten et gjentakende tema i pressehenvendelsene, og mange kontakter oss og ønsker foredrag eller veiledningsmøter om dette feltet. Det er blant annet økt interesse for grensene for overvåking av digitale arbeidsverktøy.

Forstørr bilete

Vi antar at noen av årsakene til dette er at hjemmekontor har blitt vanligere etter pandemien, og at virksomheter opplever økt behov for sikkerhetstiltak for å sikre intern informasjon og systemer.

I løpet av året fikk vi dessuten inn 104 klager på behandling av personopplysninger på arbeidsplassen. Dette er en større økning fra tidligere år. Klagesakene er ofte preget av høyt konfliktnivå og stor kompleksitet. Typiske temaer i klagene er innsyn i arbeidstakeres e-post og annet elektronisk utstyr, automatisk videresending av e-poster, personopplysninger i personalmappe, manglende sletting av personopplysninger, kameraovervåking på arbeidsplassen, og andre typer kontrolltiltak som GPS-sporing, effektivitetsmåling og logging.

I tillegg mottar vi mange anonyme tips om personvern og arbeidsliv.

Korrigerende tiltak

Vi ser alvorlig på lovbrudd i denne typen saker, blant annet på grunn av det ujevne styrkeforholdet mellom arbeidsgiver og arbeidstaker.

I 2022 har vi fattet vedtak om overtredelsesgebyr i tre saker innenfor personvern i arbeidslivet. En av disse ble påklaget til Personvernnemnda som opprettholdt vedtaket vårt.

I tillegg sendte vi ut 19 vedtak hvor vi ga andre korrigerende tiltak. Eksempler på dette er irettesettelse og pålegg om å utbedre rutiner eller informasjon til arbeidstakerne. Vi fattet også seks vedtak hvor vi konstaterte brudd uten å ilegge noen korrigerende tiltak.

Veiledningsarbeid og myndighetskontakt

Personvern i arbeidslivet og reglene i arbeidsmiljøloven (som håndheves av Arbeidstilsynet), henger tett sammen. Vi har fortsatt jevnlig kontakt med Arbeidstilsynet og andre relevante aktører i arbeidslivet for å utveksle erfaringer og fagkunnskap. Vi har fått flere tips fra Arbeidstilsynet på potensielt ulovlig kameraovervåking som de finner på sine stedlige tilsyn.

Vi har også hatt dialog med Arbeids- og inkluderingsdepartementet om e-postforskriften. E-postforskriften regulerer arbeidsgivers adgang til å gjøre innsyn i arbeidstakers e-post og annet elektronisk utstyr som arbeidsgiveren har stilt til arbeidstakerens disposisjon. Vi ser behov for en oppdatering av lovverket, blant annet for å sikre harmoni med de generelle reglene i personvernforordningen og for å tydeliggjøre rekkevidden til enkelte av bestemmelsene i forskriften.

På hjemmesidene våre har vi oppdatert veiledningene om innsyn i arbeidstakers e-postkasse, arbeidsgivers innhenting av politiattest og kredittvurdering, og vi har lansert en veiledning om behandling av personopplysninger i forbindelse med varsling i arbeidslivet.

Vi har også begynt å jobbe med en veiledning om e-postforskriftens forbud mot overvåking av arbeidstakers bruk av elektronisk utstyr. Slik overvåking kan bare unntaksvis skje hvis formålet er å administrere virksomhetens datanettverk eller avdekke eller oppklare sikkerhetsbrudd i nettverket. Vi merker at vi får flere henvendelser om dette, og at det er behov for praktiske avklaringer. Veilederen skal etter planen publiseres i 2023.

I tillegg til veiledning på nettsidene, har vi også gjennomført veiledningsmøter med enkeltaktører. Vi var i møte med LO Stat om behandling av personopplysninger i forbindelse med lønnsforhandlinger, og med Tietoevry om logging av oppslag i kunderegister. Vi har også hatt veiledningsmøte med Arbeidstilsynet om ordningen med HMS-kort i bygge- og anleggsbransjen.

1.3.6.3 Bank, finans og kredittvurdering

Bank- og finansbransjen behandler store mengder personopplysninger av privat karakter om svært mange. En sammenstilling av disse opplysningene kan gi et detaljert bilde av en persons liv. Personvernbrudd i denne bransjen har derfor høy risiko, og kan få store konsekvenser for de registrerte.

I overkant av 19 prosent av meldingene vi mottok om brudd på personopplysningssikkerheten i 2022, kom fra finanssektoren. Også dette året var det den sektoren som sendte nest flest meldinger til Datatilsynet i løpet av året. De fleste avviksmeldingene vi mottar fra finanssektoren gjelder personopplysninger sendt til feil mottaker (41 prosent). Andre gjennomgangstema for meldingene fra denne bransjen er manglende eller feil i tilgangsstyring og utilsiktet publisering.

På bakgrunn av en pressemelding fra DNB og uttalelser i media, der banken ga inntrykk av at de ville bruke maskinlæringsteknologi fra Amazon Web Services (AWS) for å «lese kundenes følelser», innledet vi i 2022 tilsyn med DNBs bruk av maskinlæringsteknologi fra AWS. Tilsynet var fortsatt pågående ved utgangen av året.

Vi har også hatt et prosjekt i vår sandkasse for ansvarlig kunstig intelligens, hvor temaet var maskinlæring uten datadeling i bankenes kamp mot hvitvasking og terrorfinansiering. Les mer om dette i kapittelet om den regulatoriske sandkassen.

I løpet av året har vi gjennomført flere veiledningsmøter med aktører fra finansbransjen. Vi har også hatt flere kontaktmøter med Finanstilsynet gjennom året, der vi deler kunnskap og erfaring om tema som er relevante for begge tilsynene. Videre har vi også hatt kontaktmøte med Fintech Norway. Det er en næringspolitisk bransjeforening som blant annet representerer flere PSD2-aktører.

Vi har gitt høringsuttalelser om forslag til utvidelse av gjeldsinformasjonsordningen, og forslag om å styrke forbrukernes rett til å betale med kontanter. I tillegg har vi deltatt i et rundebordsmøte hos Barne- og familiedepartementet der temaet var personvernkonsekvenser ved en eventuell utvidelse av gjeldsinformasjonsordningen.

Datatilsynet deltar i undergruppen Financial Matters i Det europeiske personvernrådet.

Kredittvurdering

Den nye kredittopplysningsloven med forskrift trådte i kraft 1. juli 2022. Samtidig ble § 4 i overgangsbestemmelsene om behandling av personopplysninger opphevet. Kredittopplysningsloven erstatter den tidligere konsesjonsordningen. For Datatilsynet innebærer endringen at vi nå skal kontrollere etterlevelse av regelverket gjennom tilsyn, i stedet for å forhåndsgodkjenne behandlinger gjennom konsesjonssøknader.

I forbindelse med at det nye regelverket trådte i kraft, publiserte vi flere veiledningstekster på nettsidene våre. Informasjonen retter seg både mot kredittopplysningsforetakene og deres kunder, og mot enkeltpersoner som blir kredittvurdert.

Datatilsynet mottar fortsatt mange klager og veiledningshenvendelser fra enkeltpersoner som opplever å ha blitt kredittvurdert uten rettslig grunnlag. Av de finansrelaterte henvendelsene til vår veiledningstjeneste, var kredittvurdering og inkasso de vanligste temaene for henvendelser fra privatpersoner. I 2022 registrerte vi også 18 klager fra enkeltpersoner eller enkeltpersonforetak på kredittvurderinger. Det er noe færre enn de to foregående årene.

I 2022 fattet vi syv vedtak om overtredelsesgebyr for kredittvurdering uten rettslig grunnlag. Vi har i tillegg sendt ett varsel om vedtak om pålegg og overtredelsesgebyr, og vi har blant annet fattet to vedtak om irettesettelse. Gebyrene har variert fra 50 000 kroner til 200 000 kroner. To av vedtakene ble påklaget. I den ene saken besluttet Datatilsynet å sette ned gebyret noe, mens den andre saken er fortsatt under behandling. I tillegg ble en klage på et av vedtakene våre fra 2021 behandlet i Personvernnemnda, men nemnda ga oss medhold og opprettholdt vedtaket.

1.3.6.4 Helse- og velferd

Helseplattformen

Helseplattformen, en felles journalløsning for primær- og spesialisthelsetjenesten i region Midt-Norge, ble iverksatt 1. mai 2022. Datatilsynet hadde flere dialogmøter med Helseplattformen i forkant av lanseringen.

Siden innføringen av den nye journalløsningen har Datatilsynet mottatt flere meldinger om brudd på personopplysningssikkerheten (avviksmeldinger). Mange av avvikene knytter seg til tilgangsstyring, ved at mange ansatte har hatt tilgang til pasientopplysninger de ikke hadde tjenstlig behov for. Vi har hatt møter med Helseplattformen i etterkant for å få nærmere redegjørelse for avvikene og oppfølgingen av sikkerhetsbruddene. Enkelte avvik vil ikke bli fulgt opp videre av oss, men de gir likevel viktig bakgrunnsinformasjon for vårt videre arbeid opp mot Helseplattformen.

Kjernejournal

Gjennom 2022 har Helse- og omsorgsdepartementet fortsatt lovarbeidet for å tilrettelegge for en nasjonal infrastruktur for deling av journalopplysninger. Et pilotprosjekt for å bruke kjernejournal til deling av journaldokumenter har pågått i Helse Sør-Øst RHF og Helse Nord RHF. Datatilsynet har fulgt, og vil fortsette å følge med på, dette arbeidet. Vi har hatt dialog med både prosjektgruppen og ulike helseforetak i sakens anledning.

Departementet ønsker også å inkludere pasientens legemiddelliste i kjernejournalen. Det krever lovendring. Høringen for endring av pasientjournalloven for å tilrettelegge for dette, har frist i januar 2023.

Overtredelsesgebyr til NAV - Arbeidsplassen.no

I juni 2022 fattet vi vedtak om overtredelsesgebyr på 5 millioner kroner til NAV for brudd på personvernforordningen artikkel 5 og 6. Bakgrunnen for gebyret var at NAV over flere år hadde publisert CV-er for personer under oppfølging på arbeidsformidlingsportalen arbeidsplassen.no uten å ha rettslig grunnlag. Publisering av CV hadde blitt satt som vilkår for å motta ytelser fra NAV.

NAV meldte selv til oss at publiseringen manglet rettslig grunnlag. I utmålingen av gebyret ble det lagt vekt på at bruddet gjaldt grunnleggende prinsipper i personvernforordningen, varigheten av den ulovlige behandlingen av personopplysninger, det store antallet registrerte og ubalansen i forholdet mellom NAV og de registrerte.

Tilsyn med leverandører av velferdsteknologi

I mars 2022 utførte Datatilsynet tre tilsyn med leverandører av trygghetsalarmtjenester til norske kommuner. Trygghetsalarmer er en form for velferdsteknologi som norske kommuner bruker i utførelsen av omsorgsoppgavene sine. Trygghetsalarmen er enten installert stasjonært i hjemmet eller på selve brukeren. Dette illustrerer en type problemstilling som ligger i kjernen av retten til personvern.

Et tilsyn ble satt i gang som følge av en melding om brudd på personopplysningssikkerheten fra en kommune, i tillegg til en klage fra en trygghetsalarmbruker. Etter kartlegging av hvilke tjenesteleverandører norske kommuner har inngått avtaler med, opprettet vi tilsyn med tre av de største leverandørene av disse tjenestene.

Målet for tilsynet var å bistå kommunene i valg av leverandør, samt gjøre databehandlere bevisste på deres rolle i å ivareta informasjonssikkerheten i tjenestene de leverer. Kommunene vil som regel være avhengige av forhold på tjenesteleverandørenes side for å sikre at velferdsteknologitjenestene driftes i overensstemmelse med personvernregelverket.

I tilsynet så vi på hvorvidt tjenesteleverandørene behandler personopplysninger i tråd med databehandlerens forpliktelser. I tillegg ønsket vi å kartlegge ansvarsforholdet mellom leverandør og kommune, hvordan leverandørene bistår kommunene med å sikre et tilstrekkelig sikkerhetsnivå ved behandlingen av personopplysninger, og informasjonsflyten i tjenesten.

1.3.6.5 Informasjonssamfunnstjenester og annonseindustrien («ad tech»)

I 2022 behandlet vi flere saker som gjelder «informasjonssamfunnstjenester», slik som for eksempel applikasjoner («apper») på mobiltelefoner og nettbrett. Slike tjenester samler ofte inn og behandler store mengder personopplysninger om brukerne.

Vi har særlig sett på saker som har rettet seg mot annonseindustrien («ad tech»). Annonseindustrien handler blant annet om at tilbyderne utleverer personopplysninger om brukerne sine til tredjepartsaktører (annonsører) for å tilby persontilpasset reklame. Vi ser at brukerne ofte ikke er godt nok informert om at personopplysningene deres er gjenstand for bud og salg på et digitalt marked. Tredjepartsaktørene kan potensielt selge personopplysningene videre. Når dette mer eller mindre skjer i det skjulte, reduserer det brukernes mulighet til å ha reell kontroll over opplysningene sine. Industrien opererer også i stor skala. Det dreier seg gjerne om et stort antall tredjepartsaktører som mottar dataene, og mange berørte.

Datatilsynet har også jobbet for å rette oppmerksomhet mot personvernproblematikken som annonseindustrien medfører, siden vi mener at ytterligere regulering av dette økosystemet er nødvendig. Vi har blant annet løftet problemstillingen i det offentlige ordskiftet og hatt kontaktmøter med politikere i regjeringen og på Stortinget. Vi har også vært med på relevante arrangementer, slik som et rundebord med Facebook-varsler Frances Haugen, der representanter for blant annet offentlige organer og sivilsamfunn deltok. I dette arbeidet har vi samarbeidet og utvekslet erfaringer med andre relevante aktører, særlig Amnesty International Norge, Forbrukerrådet og Teknologirådet.

I løpet av 2022 har vi også hatt to møter med Mediebedriftenes Landsforening (MBL). Mediebedriftene er blant de største aktørene i innen adtech i Norge, og i disse møtene mottar vi orientering og innspill fra MBL knyttet til utviklingen i bransjen og deres syn på pågående lovprosesser. Datatilsynet saksbehandler ikke på slike møter, og gir ingen form for godkjenning av mediebedriftenes praksiser.

Grindr

I februar 2022 mottok Datatilsynet en klage fra Grindr LLC på vedtaket vårt fra desember 2021. I vedtaket ila vi det amerikanske selskapet et rekordstort overtredelsesgebyr på 65 millioner kroner. Grindr er en dating-app som retter seg mot homofile og bifile menn, transpersoner og skeive. Saken ble åpnet i 2020 etter at Forbrukerrådet klagde selskapet inn til oss fordi appen utleverte GPS-lokasjon, enkelte opplysninger fra brukerprofilene og det faktum at vedkommende er Grindr-bruker, til flere tredjepartsaktører.

Vi vurderte klagen fra Grindr og opprettholdt våre konklusjoner i vedtaket. Vi oversendte derfor saken til klagebehandling hos Personvernnemnda i desember 2022. Konklusjonen vår i vedtaket er at Grindr i perioden fra juli 2018 til april 2020 delte personopplysninger til tredjepartsaktører for persontilpasset markedsføring, uten gyldig rettslig grunnlag, ettersom de såkalte samtykkene selskapet samlet inn ikke oppfylte kravene i personvernforordningen. Vi konkluderte også med at selskapet ulovlig delte opplysninger om brukernes seksuelle orientering, fordi opplysninger om at noen er Grindr-bruker sterkt indikerer at de tilhører en seksuell minoritet. Saken har vært svært omfattende, og har fått stor oppmerksomhet. Klagesaken vil bli behandlet og avgjort av Personvernnemnda i 2023.

Disqus

I 2022 jobbet vi videre med en endelig konklusjon i Disqus-saken, hvor det i 2021 ble varslet et overtredelsesgebyr på 25 millioner kroner for brudd på ansvarlighetsprinsippet, kravet til rettslig grunnlag og manglende informasjon til de registrerte. Konklusjonen vil foreligge i 2023.

1.3.6.6 Justis

Tilsyn mot Kriminalomsorgen

Datatilsynet har i perioden 2021-2022 gjennomført et omfattende tilsyn med kriminalomsorgen. Et stedlig tilsyn med Kriminalomsorgsdirektoratet (KDI) fant sted i november 2021. I tillegg ble det i april 2022 gjennomført stedlige tilsyn ved tre underliggende enheter. Gjennom kontrollene ble det funnet avvik fra regelverket knyttet til ansvarsplassering og internkontroll.

Plasseringen av behandlingsansvaret i Kriminalomsorgen har vært uklar. I løpet av tilsynsperioden har KDI gitt instruks om behandlingsansvaret, men denne var ennå ikke implementert fullt ut i etaten. Kriminalomsorgens internkontroll ble videre ansett som mangelfull.

Datatilsynet har pålagt KDI å sørge for at det etableres klare ansvars- og myndighetsforhold. KDI er videre pålagt å foreta en gjennomgang av internkontrollsystemet for informasjonssikkerhet, og oppdatere denne for å sikre at personopplysningsloven blir etterlevd i alle ledd i etaten. Fristen for å oppfylle pålegget er satt til seks måneder.

Datatilsynet mener det er grunn til å anta at et komplekst og fragmentert regelverk har gjort det vanskelig å forstå hvilke regler som gjelder, og at dette har hatt betydning for etatens etterlevelse av personvernreglene. På bakgrunn av tilsynet har vi rettet en henvendelse til Justis- og beredskapsdepartementet der vi påpeker behovet for å få på plass et nytt regelverk for behandling av personopplysninger i forbindelse med gjennomføring av straffereaksjoner.

Tilsyn med Politiets IT-enhet

Vi gjennomførte i 2022 stedlig tilsyn med Politiets IT-enhet (PIT). Formålet med dette tilsynet var å kontrollere behandlingen av personopplysninger i saksbehandlingssystemet Remedy Smart IT, som brukes til behandling av IKT-relaterte henvendelser fra hele politietaten. Tilsynet avdekket avvik i fra kravene til sporbarhet og sletterutiner. Politidirektoratet har meldt at avvikene er utbedret. Endelig kontrollrapport ferdigstilles i 2023.

Masseinnsamling av personopplysninger

Masseinnsamling av personopplysninger fra internett og teledata er verktøy som politi og etterretningstjenesten i økende grad har tatt i bruk og vil ta i bruk.

Formålet med innhentingen vil være å kunne søke et relevante personer eller mønster til bruk i etterretning, forebygging, avverging og etterforskning av kriminalitet, terror og andre sikkerhets- og nasjonale interesser.

Datatilsynet bidrar med personvernfaglige råd i den offentlige debatten, hovedsakelig gjennom høringsuttalelser, men også deltakelse i debatter og gjennom media. I 2022 har vi gitt høringsuttalelser knyttet til PSTs etterretningsoppdrag og behandling av åpent tilgjengelig informasjon og forslag til endringer i etterretningstjenesteloven - § 7-3 om tilretteleggingsplikten.

Avvik knyttet til politiets utlevering av personopplysninger til kriminalomsorgen

Datatilsynet mottok i mai 2021 en avviksmelding fra Trøndelag politidistrikt. Politidistriktet hadde avdekket en intern praksis der det, etter anmodninger fra Trondheim fengsel, rutinemessig var utlevert personopplysninger fra politiets registre til fengselet. Opplysningene skulle blant annet brukes i forbindelse med ansettelser, søknader om overføring til fengsel med lavere sikkerhetsnivå og besøk til innsatte. Utleveringene hadde pågått uformelt per e-post og telefon, uten hjemmelshenvisning, vurdering eller journalføring.

Datatilsynet kom til at politidistriktets praksis var i strid med sentrale krav til behandling av personopplysninger etter politiregisterloven og politiregisterforskriften. Manglende vurderinger av rettslig grunnlag, nødvendighet og forholdsmessighet innebærer at det kan ha blitt utlevert personopplysninger i større utstrekning enn det politiregisterloven åpner for. Saken ble ansett som alvorlig og kritikkverdig, siden utleveringene hadde pågått over mange år og praksisen antas å gjelde et betydelig antall personer. Vi mente samtidig at avviket var blitt fulgt opp på en tilfredsstillende måte av politiet, ved at det raskt ble iverksatt tiltak for å lukke avviket og sikre at fremtidige utleveringer var i samsvar med regelverket.

Datatilsynets virkemidler er regulert i politiregisterloven § 60. Saken ble avsluttet med kritikk av politidistriktet.

Vi fant også grunn til følge opp saken overfor Kriminalomsorgen og innhentet redegjørelser fra Trondheim fengsel og Kriminalomsorgsdirektoratet. Vi kom til at fengselets praksis var i strid med sentrale krav til behandling av personopplysninger. Innhenting av vandelsopplysninger i forbindelse med ansettelse og utførelse av oppgaver for kriminalomsorgen må foretas i samsvar med aktuelle bestemmelser i straffegjennomføringsloven og politiregisterlovens bestemmelser om vandelskontroll og attester.

1.3.6.7 Kundedata og infosikkerhet

Datatilsynet mottar mange henvendelser om kunde- og medlemsopplysninger. I 2022 mottok vi 149 klager som gjaldt personopplysninger om kunder og medlemmer. Disse sakene gjelder ofte sletting og innsyn, og berører både offentlige, private og internasjonale virksomheter. På Datatilsynets veiledningstjeneste mottok vi totalt 531 henvendelser tilknyttet behandling av personopplysninger i kundelister og medlemsregistre.

I meldingsåret fattet vi vedtak om overtredelsesgebyr på fem millioner kroner til Trumf. Trumf er et fordelsprogram som tilbyr privatpersoner å spare bonus på kjøp i NorgesGruppens dagligvarebutikker og flere eksterne Trumf-partnere. Bakgrunnen for overtredelsesgebyret var at Trumf-medlemmer kunne få tilgang til andres handlehistorikk gjennom å registrere noen andres kontonummer på profilen.

Overtredelsesgebyr til Trumf

Bakgrunnen for saken var at Trumf-medlemmer kunne registrere andres kontonumre på medlemsprofilen, og dermed skaffe seg tilgang til handlehistorikken deres. Vi gjennomførte et tilsyn i 2016 som viste at Trumf hadde ikke implementert en løsning for å verifisere at Trumf-medlemmet som registrerer bankkontoen også var innehaver av kontoen. Vi gjorde nye undersøkelser i 2020 og 2021, og de viste at Trumf ikke hadde innført en slik verifikasjonsløsning.

Trumf fikk varsel om overtredelsesgebyr i 2021, og endelig vedtak om brudd på personopplysningssikkerheten med et overtredelsesgebyr på fem millioner, ble fattet i meldingsåret. Trumf hadde i forkant av vedtaket sikret at kontonummer verifiseres før man får tilgang til handlehistorikken og ved nye registreringer av kontonummer.

SSB-saken

Datatilsynet sendte i november 2022 et varsel om forbud mot behandling av personopplysninger til Statistisk sentralbyrå (SSB). Bakgrunnen for varselet var SSBs vedtak om opplysningsplikt for dagligvareaktørene Coop Norge ASA, NorgesGruppen ASA, Rema 1000 AS og Bunnpris-kjeden. I vedtakene om opplysningsplikt ble dagligvareaktørene pålagt å sende SSB alle bongdata, det vil si opplysninger om alle transaksjoner fra dagligvarehandelen. Opplysningene, koblet opp mot banktransaksjonsdata og sosioøkonomiske opplysninger, skulle brukes til å utarbeide kostholds- og forbruksstatistikk.

Vår foreløpige vurdering er at behandlingen av bongdata, som er hjemlet i vedtakene om opplysningsplikt fra SSB, ikke har tilstrekkelig rettslig grunnlag. Det gjør behandlingen ulovlig. Vi har derfor varslet forbud mot behandling av bongdataene.

SSB fikk frist til januar 2023 med å kommentere varselbrevet, og saken er fremdeles under behandling.

1.3.6.8 Personvernombudsordningen

Personvernombudene er sentrale i virksomhetenes etterlevelse av personvernlovgivningen. Ombudets rolle er å gi råd om hvordan personverninteressene kan ivaretas best mulig, men også å kontrollere etterlevelsen av regelverket. I tillegg skal de være kontaktpunkt for de registrerte og overfor Datatilsynet. Personvernombudene skal ha en uavhengig rolle, og de skal ikke instrueres fra ledelsens side om sine prioriteringer eller utførelsen av oppgavene.

Forstørr bilete

Ved utgangen av 2022 var det registrert 1 432 personvernombud som representerte til sammen 1 988 virksomheter. Differansen skyldes at noen er personvernombud for flere behandlingsansvarlige.

Implementering av tiltak fra strategien for personvernombudsordningen

Det å være personvernombud kan oppleves som en tidvis krevende rolle i virksomheten. For å beholde engasjementet og oppleve seg trygge i rolleutøvelsen, har ombudene derfor behov for å få motivasjon og støtte gjennom nettverksbygging med andre ombud – i tillegg til å sparre med Datatilsynet. Aller viktigst er dog at virksomhetens øverste ledelse viser forståelse og anerkjennelse for personvernombudets arbeid. I meldingsåret har vi derfor fortsatt implementeringen av strategien for personvernombudsordningen, som vi utarbeidet året før. Sentralt i denne strategien er å gjennomføre tiltak rettet både mot ombudene, ledelsen i virksomhetene og de registrerte. Dette skal bidra til at personvernombudene opprettholder og bygger motivasjon for arbeidet, og at ledelsen i virksomhetene i større grad blir bevisst sitt ansvar for å gi ombudene de rammebetingelsene de skal ha etter lovgivningen.

Velkommenmelding til nye personvernombud med tilbud om introkurs

Ett av de viktigste tiltakene fra strategiplanen gjennomført i meldingsåret, har vært å sende ut velkommen-eposter til alle de omlag 170 personene nyinnmeldte ombudene, uten tidligere erfaring med rollen. Her har vi gitt råd og veiledning om PVO-rollen, og ikke minst tips til nettsteder og aktører vi mener at de som er nye i personvernombudsrollen vil ha god nytte av å kjenne til. Alle har også blitt tilbudt å delta på digitale introkurs om personvernombudsrollen, om Datatilsynet og hva vi kan bistå med. Vi har fått veldig positive tilbakemeldinger fra de personvernombudene som mottatt slik veiledning fra oss.

Foreningen personvernombudene, nettverk og annen kompetansebygging

Foreningen Personvernombudene er en av de aktørene vi har opplyst nye personvernombud om, og hvor vi har prioritert å stille opp med foredragsholder på foreningens månedlige medlemsmøter når vi er blitt invitert til det. Vi stod også som vertskap og ansvarlig for det faglige innholdet på foreningens medlemsmøte og sommeravslutning i juni 2022. I desember hadde vi vårt første kontaktmøte med representanter for foreningens styre, og har avtalt å gjennomføre slike møter hvert halvår.

Vi har også i 2022 prioritert å stille opp i samlinger som har vært i regi av ulike regionale eller sektorvise nettverk av personvernombud. Samarbeidet med utdanningsinstitusjonene Høgskolen i Innlandet, BI og Oslo Met om deres respektive deltidsstudier i personvern har fortsatt i 2022.

1.3.6.9 Publisering på internett

Saker som gjelder publisering av personopplysninger på internett, havner ofte i spenn mellom de registrertes rett til beskyttelse av personopplysningene sine og allmennhetens ytring- og informasjonsfrihet.

Fra 1. januar 2022 gir personopplysningsloven § 3 tydeligere veiledning til virksomheter, privatpersoner og datatilsynet om hvordan disse interessene skal veies mot hverandre. Formålet med endringen er å åpne for mer nyanserte avveininger av personvernet og ytrings- og informasjonsfriheten, blant annet å sikre at bestemmelsen i enkelttilfeller ikke gjør unntak fra personopplysningsloven og personvernforordningen i uforholdsmessig stor grad. Når det gjelder behovet for å sikre at bestemmelsen ikke gjør unntak i uforholdsmessig stor grad, tar endringen i første rekke sikte på de ulike formene for behandling som omfattes av forordningens begrep om «journalistisk» formål, men som skjer i uredigerte medier. Når medier som er omfattet av medieansvarsloven publiserer utelukkende for journalistiske formål, er publiseringen unntatt fra de fleste bestemmelsene i personopplysningsloven. Vi har i 2022 avsluttet flere klagesaker med grunnlag i dette unntaket.

Shinigami Eyes

Datatilsynet forbød behandling av personopplysninger i nettlesertillegget Shinigami Eyes. Dette tillegget markerer det som skal være «trans-vennlige» brukernavn på ulike nettsteder med én farge, mens det som skal være «trans-fiendtlige» brukernavn med en annen farge.

Behandlingen manglet rettslig grunnlag, og de registrerte fikk ikke informasjon om at de ble kartlagt. Saken har skapt mye medieoppmerksomhet både nasjonalt og internasjonalt.

Sletting av søketreff i saksbehandlingen

Vi mottok 12 saker om sletting av søketreff i løpet av året. Fire av sakene ble avsluttet i løpet av året, og ingen av disse ble klaget videre til Personvernnemnda. Personvernnemnda avgjorde to saker om sletting av søketreff i 2022. Vedtaket fra Datatilsynet ble opprettholdt i den ene saken og omgjort i den andre.

1.3.6.10 Samferdsel

I forbindelse med at det skal utarbeides en nasjonal strategi og retningslinjer for personvern og digitalt privatliv, som er et av tiltakene i Hurdalsplattformen, ba Kommunal- og distriktsdepartementet (KDD) om et bidrag fra oss til å få bedre kunnskap om personvern i transportsektoren.

Datatilsynet leverte en redegjørelse til KDD i desember. Der fremhevet vi noen sentrale utfordringer i sektoren. Vi uttrykte at det bør innføres et unntak i bokføringsregleverket for fakturainformasjon som er utstedt i forbindelse med passeringer i AutoPASS. Måten passeringer registreres på i dag er et inngrep i menneskers rett til å ferdes fritt som ikke er godt nok begrunnet. Videre påpekte vi manglende åpenhet og kontroll, i tillegg til uklare ansvarsforhold, som viktige utfordringer.

I tillegg ga vi anbefalinger om utvikling av systemer for veiprising, tilkoblede kjøretøy og ansiktsgjenkjenning. Vi understreket at myndighetene må innta en helhetlig og prinsipiell holdning til de personvernrettslige utfordringene som kommer innen transportsektoren.

1.3.6.11 Schrems II – overføring til tredjeland

Den 16. juli 2020 ble den såkalte Schrems II-dommen avsagt i EU-domstolen. Denne dommen ugyldiggjorde EU-kommisjonens adekvansbeslutning som tillot overføring av personopplysninger til en rekke amerikanske virksomheter i henhold til Privacy Shield-rammeverket. Dessuten stilte EU-domstolen opp strenge vilkår for lovlig overføring av personopplysninger ut av EØS. Disse vilkårene innebærer at hver enkelt virksomhet må foreta kompliserte vurderinger, og mange overføringer vil være ulovlige fordi de ikke kan oppfylle vilkårene.

Også i 2022 har dommen skapt store utfordringer for norske virksomheter, som i stor grad er avhengig av særlig amerikanske tjenester. Spesielt for små og mellomstore virksomheter kan det være krevende å sikre tilstrekkelige økonomiske og faglige ressurser til å sikre etterlevelse med Schrems II-dommen.

I løpet av året har vi gjennomført flere veiledningsmøter der vi har hjulpet virksomheter finne praktiske måter å innrette seg på i tråd med reglene. Tilbakemeldingene fra disse møtene har vært gode. Samtidig har veiledningsmøtene gitt Datatilsynet eksempler på hvordan handlingsrommet i regelverket kan utnyttes i praksis. Dette ønsker vi å bruke til å oppdatere veiledningen vår fremover, siden det kan komme flere virksomheter til gode.

I 2022 har vi opplevd at flere aktører har tatt til orde for å ikke følge Datatilsynet og Personvernrådets veiledning på feltet. Datatilsynet er bekymret for denne utviklingen. Selv i tilfeller der overføringer eller bruk av tredjelandstjenester skulle vise seg å være uproblematisk i praksis, vil virksomheter som ikke har gjennomført korrekte og tilstrekkelige vurderinger i forkant, bryte ansvarlighetsprinsippet. Det er viktig at det ikke tas i bruk løsninger som kan medføre høy regulatorisk risiko.

I 2022 la EU-kommisjonen frem utkast til adekvansbeslutning for USA. En adekvansbeslutning er en «godkjenning» som sier at det er trygt å sende personopplysninger til et tredjeland, og som vil gjøre det mye enklere å sende data til USA og bruke amerikanske tjenester. Det er ventet at beslutningen vil vedtas og tre i kraft i 2023. I praksis betyr dette at mange av utfordringene for norske virksomheter vil bli løst.

1.3.6.12 Telekom

Datatilsynet fortsatte samarbeidet med Nasjonal kommunikasjonsmyndighet (Nkom) gjennom 2022. Nkom og Datatilsynet forvalter ulike regelverk som kan utfylle og som til tider delvis overlapper hverandre. Som en del av samarbeidet mellom Nkom og Datatilsynet har vi hatt to overordnede saksbehandlermøter. Formålet med saksbehandlermøtene er blant annet å holde hverandre orientert om relevant utvikling i telekomfeltet, samt sikre gjensidig erfaringsutveksling. I tillegg til de to saksbehandlermøtene, har vi hatt kortere møter og dialog knyttet til spesifikke fagområder eller problemstillinger.

Som tidligere år har nummeropplysningstjenester vært et tema i samarbeidet mellom Nkom og Datatilsynet. Ekomregelverket og personvernregelverket utfyller hverandre ved behandlingen av personopplysninger til nummeropplysningsvirksomhet. Datatilsynet har saker til behandling som retter seg mot bruken av personopplysninger utlevert til nummeropplysningstjenester. Kjernen i flere av klagene vi har mottatt er hvordan personopplysninger som er utlevert under ekomregelverket senere benyttes til andre formål enn til nummeropplysningstjenester. Den etterfølgende behandlingen av personopplysninger som er mottatt for nummeropplysningsformål er innenfor Datatilsynets tilsynskompetanse. Vi har også deltatt på et møte i Nummeropplysningsforum etter invitasjon fra Nkom, hvor teletilbyderne og representanter for nummeropplysningsvirksomhetene samles for å diskutere problemstillinger knyttet til utlevering av nummeropplysninger.

Ekomloven ble endret i 2022 og det ble innført en plikt for tilbydere av elektroniske kommunikasjonstjenester (ekomtilbydere) til å lagre IP-adresser mv. under gitte vilkår. Datatilsynet har deltatt i et møte med Nkom om deres oppfølging av oppdrag fra Kommunal- og distriktsdepartementet knyttet til implementeringen av plikten til IP-lagring, hvor vi utfylte innspillene fra vårt høringssvar om temaet fra 2021. I 2022 svarte vi også på en høring til endringer i ekomforskriften, som skal utfylle bestemmelsene om IP-lagring.

Lokasjonsbasert SMS-varsling har eksistert i mange år, og kan brukes av myndigheter til å telle hvor mange som befinner seg i et gitt geografisk område på et aggregert nivå, og til å sende ut SMS-varslinger til de som befinner seg der. Det var økende bruk av teknologien under pandemien, og teknologien ble benyttet i nye sammenhenger. Datatilsynet har i 2022 arbeidet videre med dette temaet, og ferdigstilte på høsten en veiledning om bruk av lokasjonsbasert SMS-varsling.

I 2022 har vi utredet personvernkonsekvensene av bruk av 5G-nettet. Arbeidet skal resultere i en kort rapport som lanseres i 2023. Rapporten vil inneholde en teknisk beskrivelse, samt en analyse av hvilke konsekvenser bruken av 5G kan ha for informasjonssikkerhet og personvern.

1.3.6.13 Sentrale enkeltsaker

Overtredelsesgebyr til Stortinget

Høsten 2020 ble Stortinget utsatt for datainnbrudd. Bruddet omfattet blant annet uautorisert pålogging til e-postkontoene til flere stortingsrepresentanter og ansatte i administrasjonen. Datatilsynet vurderte sikkerhetstiltakene som utilstrekkelige og ila Stortinget et gebyr på 2 millioner. Vi la særlig vekt på at Stortinget ikke hadde etablert tofaktorautentisering eller tilsvarende effektive sikkerhetstiltak for å oppnå tilstrekkelig beskyttelse.

Etterfølgende undersøkelser avdekket at angripere hadde lastet ned ulike mengder data og at disse dataene kunne inneholde personopplysninger som stammet fra de berørte ansattes epostkontoer. Det ble i avviksmeldingen og etterfølgende tilleggsmelding opplyst om at det blant annet dreide seg om bank- og kontoinformasjon, inkludert personopplysninger om tredjeparter, fødselsnummer og helseopplysninger. Mulige konsekvenser for de berørte av angrepet kunne være misbruk av identitet, misbruk av betalingskort og bruk av informasjon til utpressing.

Overtredelsesgebyr Østre Toten

Østre Toten kommune ble ilagt et overtredelsesgebyr på 4 millioner kroner for brudd på personopplysningssikkerheten i forbindelse med et dataangrep. Lovbruddene gjaldt mangler ved logging og logganalyse, sikring av backup og tofaktorautentisering eller tilsvarende sikkerhetstiltak. Disse manglene hadde gjort kommunens datasystemer sårbare for datainnbrudd. Datatilsynet så alvorlig på saken, ettersom dataangrepet rammet en stor mengde persondata og opplysningene ble tilgjengeliggjort på det mørke nettet. Det ble også lagt vekt på en rekke formildende omstendigheter i saken, som for eksempel kommunens samarbeid med Datatilsynet etter bruddet, og kommunens informasjonsvirksomhet overfor egne innbyggere. Datatilsynets vedtak i saken ble for øvrig bekreftet av Personvernnemnda i januar 2023.

Folkeregisteret (retting av feilaktige opplysninger)

Datatilsynet startet brevkontroll med Skatteetaten i desember 2021. Bakgrunnen for kontrollen var en avviksmelding fra et helseforetak og en klage fra en pasient som feilaktig var meldt død i Folkeregisteret. Den feilaktige dødsmeldingen skapte store ulemper for pasienten. Skatteetaten er behandlingsansvarlig for Folkeregisteret.

I desember varslet vi Skatteetaten om vedtak om pålegg. Det handlet om at Skatteetaten har plikt til å ta kontakt med alle mottakere av feilaktige opplysninger om dødsfall og informere om at en feilregistrering har skjedd. Saken er fortsatt under behandling.

1.3.7 Kommunikasjon og veiledning

Personvernlovgivningen legger i stor grad ansvaret på den enkelte når det gjelder å ivareta eget personvern. Samtidig har virksomheter som behandler personopplysninger plikt til å etterleve lovgivningen på området. Dette gjelder både offentlige etater, private organisasjoner og næringsdrivende. Fordi disse gruppene har så forskjellige behov, stiller det store krav til hvordan vi jobber med kommunikasjon i Datatilsynet.

Vi skal bidra til økt kunnskap om og interesse for personvern. God veiledning og informative nettsider om personvernreglene til borgere og virksomheter er avgjørende for å oppnå målene våre. Her er kommunikasjon som virkemiddel svært viktig.

Kommunikasjonsarbeidet er basert på statens kommunikasjonspolitikk og gjeldende regelverk, slik som offentlighetsloven og forvaltningsloven. Videre heter det i virksomhetsinstruksen at vi skal ha en aktiv holdning til kommunikasjon, både internt og eksternt. Det er viktig at vi fanger opp signaler som angår Datatilsynet, og at vi bruker dette aktivt i kommunikasjonsarbeidet.

Kommunikasjonen skjer i første rekke gjennom nettstedet vårt, direkte veiledning overfor publikum, aktiv mediekontakt og gjennom foredragsvirksomhet. Vi har også en egen podkast, Personvernpodden, samt formidling via video.

Veiledningstjenesten er en del av kommunikasjonsavdelingen. Dette gjør oss godt rustet til å fange opp behovet fra publikum, og koble ulike tiltak tett opp mot kommunikasjon i ulike kanaler.

1.3.7.1 Formidling gjennom egne kanaler

Nettstedet www.datatilsynet.no

Nettstedet er den viktigste kanalen vårt for kommunikasjon med målgruppene våre, og vi har høye besøkstall. I 2022 hadde vi 6 823 888 unike sidevisninger. Vi legger stor vekt på at innholdet skal være godt, relevant og enkelt tilgjengelig, og det overordnede målet er å gjøre brukerne mer selvhjulpne. Et av ønskene våre er å redusere antall henvendelser til veiledningstjenesten, noe vi ser en tendens til med en liten nedgang av telefonhenvendelser i år.

Det å sørge for god tilgjengelighet og gode brukeropplevelser på nettsidene våre har vært et viktig mål i arbeidet vårt. Vi har lagt særlig vekt på universell utforming (UU), slik at så mange som mulig kan få informasjon uavhengig av funksjonsevne. Dette arbeidet vil vi fortsette å prioritere høyt også i 2023, og egenerklæring om UU vil legges ut på nettsidene. Vi ligger godt an i dette arbeidet, og har høy score på UU-kravene.

Arbeidet med et elektronisk klageskjema har vært høyt prioritet. I dette arbeidet har vi kartlagt hvordan et slikt skjema raskt og trygt kan bli en ny kanal for publikum slik at de kan klage til oss via nettsiden. Utvikling og design er ferdigstilt, og første trinn rulles ut våren 2023 når risikovurderingen er gjennomført.

Satsninger med på en chat-funksjon som er tenkt brukt av veiledningstjenesten vår er dessuten under planlegging. Målet er å tilby effektiv veiledning via web, og blir et supplement til telefonveiledningen.

Besøket på datatilsynet.no holder seg relativt jevnt høyt gjennom hele året, og går noe ned når det er sommerferie og juleferie. Det er derfor ingen tvil om at sidene brukes aktivt som en kilde til informasjon om personvern og personvernregelverket.

Forstørr bilete

I mai ser vi imidlertid at det var en voldsom trafikk på nettstedet sammenlignet med resten av året. Den voldsomme økningen i antall besøk gjaldt stort sett bare én artikkel på datatilsynet.no – nemlig siden om kredittvurdering og hvordan man kan sperre seg. Bare i løpet av 11. mai 2022, var det hele 40 970 besøk på artikkelen. Årsaken til den voldsomme trafikken, var at det ble avdekket et innbrudd i søketjenesten til kartselskapet Norkart, der personopplysninger til 3,3 millioner nordmenn ble lastet ned før lekkasjen ble tettet. NorSIS oppfordret folk til å sperre seg for kredittsjekk, noe som førte til en voldsom bølge av søk etter informasjon om dette på nettsiden vår, i tillegg til henvendelser til veiledningstjenesten og pressetelefonen.

Personvernblogg, sosiale medier og podkast

Personvernbloggen.no er et rom hvor vi kan reise andre problemstillinger enn vi gjør på den ordinære nettsiden, et sted for faglig profilering og en plass vi i større grad kan benytte ombudsrollen vår. Der publiserer vi også kronikker som vi har hatt på trykk i aviser og tidsskrifter. I 2022 publiserte vi 18 innlegg på Personvernbloggen.

Vi benytter Twitter daglig og kommuniserer nyheter, arrangementer og annen informasjon. Vi følger også med på omtale av Datatilsynet og debatt om personvern på Twitter, og besvarer de fleste spørsmål og kommentarer som kommer via denne kanalen. I 2022 startet vi en fornyet risikovurdering og vurdering av personvernkonsekvenser av Twitter. Vurderingene skal sikre etterlevelse av pliktene i personvernforordningen. Arbeidet vil ferdigstilles våren 2023. Datatilsynet har 25 783 følgere i kanalen.

«Personvernpodden» er Datatilsynets egen podkast. Satsingen skal engasjere nye og eksisterende målgrupper, sette personvernet i en samfunnsmessig kontekst og bidra til å øke bevisstheten og refleksjoner rundt personvern i befolkningen. I 2022 publiserte vi 12 episoder som til sammen ble lastet ned 12 148 ganger. Datatilsynet tilbyr også podkasten som nedlastbar .mp3-fil.

Ved utgangen av 2022 var det 5 056 abonnenter på nyhetsbrevet vårt, og vi opplever en jevn tilvekst i abonnenter. I løpet av 2022 sendte vi ut 30 nyhetsbrev. Vi sender dermed i snitt ut over to nyhetsbrev i måneden, avhengig av hvor mange saker vi har å formidle.

Intranett

Det første trinnet i et nytt intranett ble lansert i november. Her deles sentral informasjon, og sidene fungerer også som en intern digital møteplass for alle ansatte i Datatilsynet. Gjennom 2023 vil intranettet gradvis utvides slik at det kan by på flere muligheter for samhandling og økt funksjonalitet.

Dubestemmer.no

Dubestemmer.no er et samarbeidprosjekt mellom Utdanningsdirektoratet og Datatilsynet. Vi lanserte nytt nettsted i 2021, og i 2022 jobbet vi med å fortsette utviklingen av ressursen.

Som en del av samarbeidet, benytter nå dubestemmer.no samme statistikkløsning – en så å si coockiefri løsning – ordlistefunksjon og tofaktorautentisering som på datatilsynet.no. Nettstedet bruker også Datatilsynets personvernvennlige videoløsning DreamBroker for å vise filmer. Dette gjenbruket er ressursbesparende, og er en fornuftig måte å tenke samarbeid og flerbruk på.

1.3.7.2 Mediekontakt

Vi vurderer mediene som en svært viktig kanal for å få frem budskapene våre, og legger stor vekt på å ha et profesjonelt forhold til pressen. Dette innebærer at vi skal ha god tilgjengelighet og et høyt servicenivå overfor journalistene. Dette mener vi å ha lykkes godt med også i 2022.

Forstørr bilete

Vi noterer ned hver gang vi kontaktes av journalister i en ny sak, og i løpet av året har vi registrert 725 besvarte mediehenvendelsertil kommunikasjonsavdelingen. Det er imidlertid mange henvendelser som generer flere oppslag i ulike medier, og i mange mediesaker er vi omtalt uten å være kontaktet. Vi benytter Retriever til medieovervåking, og i løpet av året er det registrert til sammen 4 281 oppslag i medier der «Datatilsynet» er omtalt, inkludert i internasjonale medier. Oppslag der Datatilsynet er omtalt holder seg altså svært jevnt.

2021 utpeker seg som et «toppår», men det er fordi saken om dating-appen Grindr vakte svært stor internasjonal interesse. Dersom vi fjerner internasjonale medier fra søket, er derimot tallene helt jevne de siste årene.

Av figuren, ser vi også at det er et relativt jevnt trykk når det gjelder omtale av Datatilsynet i mediene gjennom hele året. Av de sakene som har preget nyhetsbildet i 2022, kan vi trekke frem overtredelsesgebyret til Stortinget etter at de ble rammet av et dataangrep på grunn av manglende sikkerhet, SSB-saken der vi varslet forbud mot å samle inn data fra kundenes dagligvarekjøp, forslaget om at PST skal få utvidede hjemler til innsamling av data, Norkart-lekkasjen som førte til voldsom interesse fra publikum, MyGame og strømming av barneidrett, barn og unges bruk av kinesiskeide TikTok og overtredelsesgebyr til Nav for ulovlig deling av CV-er. I tillegg er det et jevnt høyt trykk om avvikssaker fra offentlige virksomheter.

Oversikten viser fordelingen av medieoppslag gjennom 2022:

Forstørr bilete

Forstørr bilete

Forstørr bilete

Når vi ser på noen av de mest delte mediesakene (på Facebook og Twitter) der Datatilsynet var omtalt i 2022, ser vi at det er et bredt spekter av saker folk interesserer seg for, men der den røde tråden er personopplysninger på avveger og rettigheter knyttet til personvern:

1.3.7.3 Foredragsvirksomheten

Foredrag er en viktig del av vår utadrettede kommunikasjonsvirksomhet. De gir oss muligheten til å informere om rettigheter og plikter, og til å skape økt forståelse for betydningen av personvern. Samtidig viser vi synlighet og tilgjengelighet for virksomheter, interesseorganisasjoner og publikum.

Eksterne foredrag

Eksterne forespørsler vurderes ut fra noen faste kriterier slik som antall deltagere, om temaet er relevant for våre satsningsområder, og selvfølgelig kapasitet.

I 2022 holdt vi 150 foredrag på kurs, konferanser og seminarer i regi av andre aktører som ønsket vår deltakelse. Flere av dem har vært digitale. Nedgangen fra 2021, kan nok i stor grad forklares med at vi hadde et skifte av direktør. Den tidligere direktøren Bjørn Erik Thon, hold svært mange foredrag, og da han sluttet ble det naturlig en nedgang i antall foredrag. Den nye direktøren var på plass i august, og selv om hun har holdt flere foredrag, har tiden naturlig også gått mye til intern aktivitet og opplæring.

Forstørr bilete

Egne arrangement

Direkte dialog med ulike målgrupper har vært avgjørende i arbeidet med implementeringen av personvernforordningen, særlig blant små og store virksomheter. Vi har deltatt som arrangør eller medarrangør på større konferanser om teknologi og samfunn slik som KiNS, Sikkerhetskonferansen, Nokios og Normkonferansen.

Konkurranse om innebygd personvern i praksis

De siste årene har vi utlyst en konkurranse for alle som har utviklet en løsning, applikasjon eller et system i tråd med kravene til innebygd personvern. Målet er å løfte frem gode eksempler på praktisk bruk av innebygd personvern. Dette var fjerde gang prisen ble delt ut, og i forbindelse med kåringen, inviterte vi til frokostseminar om innebygd personvern på Rebel i Oslo.

Vinneren av prisen var Test-Norge og Tenor testdatasøk. De hadde laget en løsning som tilgjengeliggjør syntetiske testdata for enhver virksomhet som har behov for nøyaktig testing, uten å måtte benytte reelle personopplysninger.

Juryen mente bidraget støtter opp under innebygd personvern – ikke bare ved å gi tilgang til bruk av testdata med minimale personvernkonsekvenser, men også gjør personvernvennlig testing langt mer virkelighetstro. Testfasen er en avgjørende fase i utviklingen av en løsning (der det behandles personopplysninger). Bidraget dekker et nasjonalt behov for testing av løsninger med integrasjon mot de større offentlige etatene slik som skatt, NAV, folkeregisteret og så videre. Løsningen har store muligheter til å utvikle og utvide Test-Norge, og flere virksomheter benytter allerede løsningen.

Personverndagen 2022

Også dette året markerte Datatilsynet den internasjonale personverndagen i januar med et personvernseminar i samarbeid med Teknologirådet på DOGA i Oslo. Temaet for dagen var offentlig sektors avhengighet av teknologigigantene. Bakteppet for innlegg og diskusjon var Datatilsynets valg om ikke å opprette egen Facebook-side, Tysklands oppfølging av offentlig etaters bruk av Facebook og Teknologirådets rapport om kommersiell sporing i offentlig sektor. Arrangementet for øvrig ble preget av at det var Bjørn Erik Thons siste offentlige opptreden som direktør for Datatilsynet.

Personverndagen ble gjennomført under pandemi og bar preg av det. Arrangementet ble strømmet direkte på en ad-hoc Vimeo-kanal og hadde på det meste rundt 1200 publikummere under direktesendingen. Opptak ble også lagt ut på Datatilsynets nettsider i etterkant og er sett 829 ganger.

Erfaringsseminar om bruk av egen side på Facebook

Høsten 2021 offentliggjorde Datatilsynet risikovurderingen vår av tilstedeværelse på Facebook. Dette skapte bølger i en lang rekke sektorer og bransjer. Vi inviterte derfor til et innspillsseminar i juni der vi samlet trådene og delte erfaringer. Det ble lagt frem ulike perspektiver, vurderinger og synspunkter på Facebook fra ulike offentlige og private aktører. Vi hadde også «åpen mikrofon» slik at alle som ønsket kunne kommer med innspill.

Arendalsuka 2022

Datatilsynet deltok på åtte arrangementer under Arendalsuka. Sammen med Likestillings- og diskrimineringsombudet arrangerte vi panelet «Når algoritmer saksbehandler: Hvordan hindre diskriminering ved bruk av kunstig intelligens i offentlig sektor?». I tillegg deltok vi på arrangementer som tematiserte teknologigantenes forretningsmodeller og roller, algoritmer, teknologi på arbeidsplassen, digitale helsetjenester, kunstig intelligens og sporing og offentlige registerets sammenstilling av persondata.

Omdømmeundersøkelse

Datatilsynet var for fjerde år på rad med i IPSOS omdømmeundersøkelse. Vi ligger godt innenfor kategorien «godt omdømme», og skårer spesielt høyt på samfunnsansvar og kunnskap. Av de 18 tilsynsvirksomhetene, ombudene og nemdene som vi sammenlignes med, skårer vi aller høyest innenfor kategorien «kompetanse og fagkunnskap».

Forstørr bilete

1.3.7.4 Veiledningstjenesten

Datatilsynets veiledningstjeneste er et tilbud for alle som har spørsmål som ikke krever ordinær saksbehandling. Et viktig mål med tjenesten er å gjøre enkeltpersoner i stand til å ivareta egne personvernrettigheter og å veilede virksomheter i pliktene i personvernlovgivningen. Spørsmålene er ofte av både juridisk og teknisk karakter, og det er stor variasjon i temaene for henvendelsene.

Forstørr bilete

Vi fører statiststikk over alle henvendelsene som blir besvart av veiledningstjenesten. Vi registrerer hva henvendelsene handler om og hvem de kommer fra. I tillegg registrer vi om det dreier seg om arbeidsliv eller om det er koronarelaterte problemstillinger. Dette gir oss bedre oversikt over hva publikum lurer på slik at vi kan tilpasse veiledningen på nettsiden vår og bygge kompetanse på aktuell tematikk.

I løpet av 2022 mottok veiledningstjenesten 6 803 telefoner. Av disse er totalt 5 313 henvendelser statistikkført. Gjennomsnittelig ventetid i telefonkø er 01:55 minutter, en liten nedgang fra ifjor. Hver enkelt veiledningssamtale er i gjennomsnitt 09:55 minutter.

Hvem kontakter oss?

41 prosent av de som tar kontakt med veiledningstjenesten er virksomheter, mens 52 prosent er privatpersoner.

Forstørr bilete

Personvernombudene står for syv prosent av henvendelsene. Noen personvernombud henvender seg direkte til Datatilsynets egen personvernkoordinator. Disse er ikke inkludert i denne statistikken.

Hvilke bransjer gjelder henvendelsene?

Dersom vi ser på hvilke bransjer henvendelsene gjelder, har vi mottatt flest henvendelser om offentlig sektor, det vil si kommune- og fylkesadministrasjon, og helse og omsorg. Offentlige virksomheter behandler mange, og ofte svært sensitive, personopplysninger om borgerne. Felles for henvendelsene om offentlig sektor er at innringeren oftest ønsker veiledning om behandling av journalopplysninger. Det kan for eksempel dreie seg om et ønske om innsyn eller sletting hos ulike helseinstitusjoner eller hos NAV.

Av henvendelsene som gjelder privat sektor, handler flest om forsikrings- og finansvirksomheter, samt telekom eller IT-bedrifter. De fleste henvendelsene om forsikring- og finansvirksomheter kommer fra privatpersoner. Nesten fire av ti av henvendelser om denne bransjen handler om kredittvurdering og inkasso. Om telekom og IT-bedrifter mottar vi en større variasjon av henvendelser, men oftest om databehandleransvar og databehandleravtaler, behandlingsansvar, deling og publisering av opplysninger, og behandling av personopplysninger i kundelister. Vi mottar også mange henvendelser angående borettslag og sameier. De fleste av disse – nesten seks av ti – involverer spørsmål om kameraovervåking av hjem og bolig.

Vi har registrert 1 176 henvendelser som ikke har blitt registrert på en bransje. Dette kan gjelde problemstillinger som ikke kan knyttes opp mot en spesifikk bransje. Dette kan for eksempel gjelde nabokrangler om privat overvåking, eller der hvor det av andre grunner ikke er enkelt å kategorisere bransje.

1.3.7.5 Hva får vi spørsmål om?

Hvilke tema vi mottar henvendelser om er meget likt året før. Det eneste unntaket er spørsmål om overvåking og sporing, der vi har sett en økning på tre prosent fra 2021.

Forstørr bilete

Personopplysninger i registre

36 prosent av alle henvendelser vi mottar handler om bruk av personopplysninger i registre, og de fleste henvendelsene kommer fra privatpersoner. Disse har oftest spørsmål om behandling av personopplysninger i kundelister, journaler eller personalregistre. Vi mottar også et betydelig antall henvendelser fra privatpersoner om kredittvurdering og inkasso.

Overvåking og sporing

En av fire henvendelser vi får handler om overvåking og sporing, og det vanligste temaet er kameraovervåking. I løpet av de siste årene har Datatilsynet sett en økning i antallet henvendelser som har å gjøre med kameraovervåking av hjem og bolig. Denne trenden kan muligens forklares med økt tilgjengelighet og lavere pris for overvåkingsløsninger rettet mot forbrukermarkedet.

Vi får også mange henvendelser om overvåking og sporing i arbeidssituasjoner. Dette inkluderer henvendelser om innsyn i ansattes epost og annet elektronisk lagret data, og bruk av lokasjonsdata i virksomheter (for eksempel GPS-sporing).

Internkontroll og informasjonssikkerhet

Veiledningstjenesten mottar også mange henvendelser om internkontroll og informasjonssikkerhet, og de fleste av disse kommer fra virksomheter. Henvendelsene gjelder særlig spørsmål rundt rollen som databehandler og behandlingsansvarlig, og praktisk spørsmål om hvordan utforme databehandleravtaler. Spørsmål knyttet til avviksbehandling og internkontroll (oversikter, rutiner, dokumentasjon og personvernerklæringer) er også gjentagende.

Personopplysninger på internett

De fleste henvendelsene om personopplysninger på internett handler om uønsket deling og publisering. Dette kan for eksempel gjelde bilder, film, tekst. Det er også en del som har spørsmål om avindeksering (fjerning av søketreff på et navn).

Overføring av personopplysninger til utlandet

Denne kategorien står for to prosent av henvendelsene og har sunket noe i forhold til 2021. Nedgangen kan nok skyldes at Schrems-II-dommen – som hadde konsekvenser for overføring av personopplysninger til land utenfor EØS – fortsatt var fersk i 2021. Likevel, Datatilsynet har erfart at det også i 2022 har vært mye diskusjon rundt overføring av personopplysninger ut av EØS.

Andre områder

Noen av kategoriene våre er så små at vi har valgt å samle dem under «Annet». Dette gjelder «Bransjenormer og samarbeidsmekanismer», «Bruk av kunstig intelligens (inkludert maskinlæring og avanserte algoritmer)», «Sertifisering og akkreditering» og «DPIA og forhåndsdrøftelser». Henvendelser om disse temaene omfatter én prosent av det totale antallet henvendelser.

Bruk av personopplysninger i arbeidslivet

I tillegg til å registrere tema, registrerer vi som nevnt om henvendelsen handler om arbeidslivet. Spørsmål knyttet til personvern i arbeidslivet har tradisjonelt sett utgjort en stor andel av henvendelsene til veiledningstjenesten. I 2022 gjaldt hele 27 prosent av alle henvendelsene problemstillinger i arbeidslivet.

Det mest gjentagende temaet er spørsmål om behandling av personopplysninger i personalregister. Overvåking og sporing er også gjentakende, og vi har fått mange spørsmål om innsyn i ansattes epost og annen elektronisk lagret data.

Personvern og korona

Da pandemien brøt ut, begynte veiledningstjenesten også å registrere statistikk knyttet til spørsmål vi fikk som var relatert til pandemien. I 2020 var hele syv prosent av alle henvendelsene koronarelaterte. Siden da har disse henvendelsene falt til tre prosent i 2021, og bare én prosent i 2022. Nedgangen kan selvsagt forklares med at problemstillingene knyttet til pandemien ikke er like akutte som før.

1.3.7.6 Ressursbruk

Kommunikasjon om personvernforordningen – til både enkeltpersoner og virksomheter – er vår primære oppgave. Det har vært et stort medietrykk fra hele landet, med både riksmedier, lokalpresse og nisjepublikasjoner rettet mot både privat og offentlig sektor. Dette er kanaler vi aktivt har brukt for å kommunisere våre budskap, og er en aktivitet vi har prioritert høyt. Vi har også hatt et direktørskifte, og har brukt mye kapasitet på dette. Kommunikasjonsdirektør var konstituert direktør i seks måneder, og en av våre senior kommunikasjonsrådgivere fungerte som kommunikasjonsdirektør. Dette betyr at vi var en person mindre på kommunikasjonsavdelingen, og kapasiteten var noe redusert.

Nettsider, Intranett, podkast, klageskjema og video har vært prioritert arbeid i kommunikasjonsavdelingen. I tillegg prioriterer vi god service og oppfølging av presse i hele landet.

Vi anslår at omlag 75 prosent av kommunikasjonsavdelingens ressurser har vært brukt i arbeid relatert til nettsider og kommunikasjon i nye kanaler, inkludert intranett. Mediehenvendelser tar også mye tid, og vi hatt store og tunge saker som til tider har krevd betydelige ressurser.

Veiledningsenheten er en del av kommunikasjonsavdelingen. Vi ser at dette gir gevinst gjennom muligheten til å målrette og effektuere kommunikasjonsarbeidet. Det har vært prioritert å knytte betydelige ressurser til denne tjenesten i løpet av året. Vi har i 2022 hatt til sammen ni studenter tilknyttet veiledningstjenesten. Alle Datatilsynets ansatte med juridisk, teknologisk eller samfunns-vitenskapelig utdannelse deltar dessuten gjennom faste vaktordninger.

Vi jobber med stadig effektivisering av veiledningsarbeidet, og kobler dette også opp mot tipsbasen på nettsidene. Telefonveiledningen kombinert med god veiledning på nettsidene våre, fungerer i godt tospann. I økende grad har virksomheter og enkeltpersoner blitt henvist til eksisterende veiledningsmateriell, og det har blitt mindre en-til-en-veiledning.

1.3.7.7 Vurdering av måloppnåelse

Kommunikasjonsarbeidet bygger opp under Datatilsynets hovedstrategi for 2021-2023. Vi har lagt vekt på målet om å arbeide for at virksomheter blir kompetente, forstår viktigheten av godt personvern og etterlever regelverket. Vi har også jobbet med målet om å bidra til at individet i større grad kan ivareta sitt eget personvern. Nettsidene har vært et viktig virkemiddel i dette arbeidet, og vi har lagt stor vekt på å utvikle det nye klageskjemaet på en enkel og brukervennlig måte. Datatilsynet.no er vår primære kommunikasjonskanal, og vi jobber kontinuerlig med at våre viktigste målgrupper enkelt finner den informasjonen de til enhver tid trenger.

Vi mener vi har lykkes godt ut i fra de ressursene vi har hatt til rådighet. Ventetiden på telefon har gått ned, og nettsidene er hyppig benyttet.

Veiledningstjenesten har vært viktig for å nå flere av Datatilsynets mål for 2022. Tjenesten er et lavterskeltilbud som brukes av et stort antall virksomheter og privatpersoner, og bidrar slik til at virksomheter blir mer kompetente, forstår viktigheten av godt personvern og i større grad evner å etterleve regelverket. I tillegg bidrar tjenesten til at individet i større grad kan ivareta sitt eget personvern.

I kommende periode satses det sterkere på veiledning ut til publikum. Vi skal satse enda mer på nettbasert veiledning, og vi vil teste chat som verktøy. I første omgang vil vi åpne for en-til-en chat på noen utvalgte områder.

I strategien er det også satt som mål at vi skal arbeide for en mer rettferdig maktbalanse mellom individet på den ene siden, og kommersielle aktører og det offentlige på den andre. Gjennom å gi kunnskap om og bevisstgjøring av regelverket, har vi arbeidet målrettet for å nå dette målet.

Vi har også jobbet med å realisere en annen uttalt målsetning, nemlig at Datatilsynet skal være et kompetent og fremtidsrettet tilsyn. Vi er opptatt av å utvikle og videreformidle all vår samlede kunnskap i digitale kanaler, slik som på nettstedet vårt, gjennom videoopptak, i podkast og i nyhetsbrevet. Slik bidrar vi til bedre etterlevelse av regelverket.

Vi mener derfor vi har nådd målene våre.

1.3.8 Nasjonale samarbeidsrelasjoner

Datatilsynet har utstrakt kontakt med andre aktører. Her følger en oversikt over vår mest sentrale deltakelse i nasjonale fora. I tillegg til aktørene i denne oversikten kommer det et stort antall kontaktmøter med ulike aktører og samarbeid av mer kortvarig art. Vi har også avtaler om faglig samarbeid med flere sentrale, statlige virksomheter.

Aktørforum eID og tillitstjenester

Nasjonal kommunikasjonsmyndighet (Nkom) samler aktørene innen e-signaturområdet til aktørforum. Hovedtema er EU-kommisjonens forslag til forordning om blant annet e-ID og e-signatur (eidas). Aktørforumet skal systematisere kontakten mellom aktørene, og Datatilsynet har fulgt opp arbeidet.

Arkivverket

Arkivverket og Datatilsynet har jevnlige møter på saksbehandler- og direktørnivå for gjensidig informasjons- og erfaringsutveksling. I sandkassen har vi jevnlige møter med Finanstilsynet og Arkivverket for å dele erfaringer om sandkassearbeid på tvers av organisasjonene.

Dataforeningen

Den norske dataforening er Norges største nettverk for IT- og digitaliseringsprofesjonelle. Datatilsynet sitter med representanter i to ulike faggrupper som jobber med hhv. Informasjonssikkerhet og KI. Vi bidrar til å sette personvern på agendaen, og deltar også som foredragsholdere.

Digitaliseringsdirektoratet

Datatilsynet samarbeider med Digitaliseringsdirektoratet sitt kompetansemiljø innenfor informasjonssikkerhet. Vi har en del overlappende ansvarsområder, og samarbeider om ulike tema slik som blant annet å lage veiledere for anskaffelser, utvikling, internkontroll og informasjonssikkerhet. I tillegg har vi bidratt med veiledning i personvernspørsmål om bruk av skytjenester og Schrems II-problematikken.

Direktoratet for e-helse

Det har vært jevnlige møter mellom Datatilsynet og direktoratet, både på direktør- og saksbehandlernivå. Nye løsninger presenteres og drøftes løpende med Datatilsynet.

Helsedataprogrammet ligger også under ansvarsområdet til Direktoratet for e-helse. Vi har deltatt i referansegruppen og i en av arbeidsgruppene i programmet.

Direktoratet har sekretariatet for Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren (Normen), og det er også i den forbindelse mye kontakt. Vi har hatt jevnlige møter med sekretariatet gjennom året og diskuterer nødvendig endringer i Normen opp mot de personvernreglene.

Direktoratet for forvaltning og økonomistyring (DFØ)

Datatilsynet samarbeider med DFØ blant annet på områder knyttet til vurderinger og retningslinjer for bruk og innkjøp av skytjenester i offentlig sektor.

ESA – EFTAs overvåkingsorgan

I oktober ble det holdt et møte mellom Datatilsynet og ESA for andre år på rad. ESA tok opp Norges implementering av personvernforordningen. ESA fortalte også om en sak som involverer NAV.

Vi overrakte ESA et eksemplar av NOU 2022: 11, og redegjorde for noen av de foreslåtte tiltakene i utredningen, blant annet rapportens ulike avsnitt om Datatilsynets ressurssituasjon. Andre temaer var legelisten-saken, handlingsrommet innenfor personvernforordningen artikkel 57 nr. 1 bokstav f og Datatilsynets og Digdirs divergerende veiledninger om overføring av personopplysninger til tredjeland.

Forbrukertilsynet

Vi har etablert et godt samarbeid med Forbrukertilsynet. Det blir særlig viktig i årene fremover, da mange av de samme aktørene skaper utfordringer for oss, og behandling av personopplysninger har også sider til forbrukerutfordringer.

Foreningen kommunal informasjonssikkerhet (KiNS)

Datatilsynet har vært en aktiv samarbeidspartner med KiNS helt siden opprettelsen av foreningen i 2003. Dette innebærer å delta på styremøter som observatør og bidragsyter. Vi hadde også en representant i programkomiteen for den årlige KiNS-konferansen som i 2022 ble arrangert i Ålesund. I tillegg har vi deltatt med foredragsholdere både på denne og ved andre arrangementer i regi av KiNS.

Foreningen Personvernombudene

Datatilsynet har et nært samarbeid med Foreningen Personvernombudene og har stilt med foredragsholdere på flere av de månedlige medlemsmøtene i foreningen. Vi var også vertskap for, og stod for det faglige innholdet på foreningens sommeravslutning i juni. Vi har også etablert jevnlige kontaktmøter mellom styret i foreningen og Datatilsynets ledelse. Det første slike møtet ble holdt i desember. Ved årsskiftet hadde foreningen 445 medlemmer.

Helsedirektoratet

Det er jevnlig kontakt mellom Datatilsynet og Helsedirektoratet, både på direktør- og saksbehandlernivå.

ID-nettverket for en helhetlig ID-forvaltning

Datatilsynet deltar sammen med flere andre sentrale organisasjoner. Hovedmålet til nettverket er å arbeide for en helhetlig ID-forvaltning i Norge, og for å forebygge kriminalitet og dermed redusere trusselen mot velferdsstaten. Deltakelsen vår er viktig både for å ivareta personvernet i ID-forvaltningen, og for å bidra til at sikre løsninger etableres.

IKT-Norge

Vi har et godt samarbeid med IKT-Norge. På bakgrunn av satsingen vår på barn og unge, følger vi med på arbeidet i EdTech som ledes av IKT-Norge. EdTech er medlemmer som utvikler og tilbyr løsninger til skole og utdanningsmiljø i Norge.

Konkurransetilsynet

I forbindelse med Datatilsynets etablering av oppdatering av styringssystem for egen virksomhet, har vi hatt nyttige møter og god erfaringsutveksling. Vi har etablert et godt samarbeid med tilsynet, noe som er nyttig da behandling av personopplysninger ofte har konkurranseutfordringer.

Kommunenes interesseorganisasjon (KS)

I forbindelse med Datatilsynets satsing for barn og unge, har vi intensivert arbeidet vårt sammen med KS for å sette fokus på arbeidet med informasjonssikkerhet og personvern i kommuner og skoler. Vi deltar som observatører i SkoleSec-prosjektet.

Nasjonal Kommunikasjonsmyndighet (Nkom)

Nkom fører tilsyn med ekomregelverket. Dette regelverket har spesialregler om behandling av personopplysninger. Dette kan skape utfordrende grensedragninger opp mot personvernregelverket, og krever godt samarbeid mellom tilsynsmyndighetene. Datatilsynet har derfor jevnlige dialogmøter med Nkom om problemstillinger i telekombransjen, og det har vært gjennomført flere slike møter.

Kontakten omfattet særlig kommunikasjonsverndirektivet og den kommende kommunikasjonsvernforordningen. Det har også vært et omfattende samarbeid innen befolkningsvarsling og nummeropplysning.

Nasjonal sikkerhetsmyndighet (NSM)

Datatilsynet har et godt samarbeid med NSM, på direktør- og saksbehandlernivå. Vi har en del overlappende ansvarsområder, og samarbeider med dem om blant annet veiledere og anbefalinger innenfor informasjonssikkerhet.

Nasjonalt råd for Facilitation – NAFAL

Datatilsynet har én representant i Nasjonalt råd for Facilitation (NAFAL), sivil luftfart. Rådets mandat er å fremme forslag til fastsettelse av standarder for effektiv gjennomstrømming av personer, bagasje og varer på lufthavner. Luftfartstilsynet koordinerer gruppen som har medlemmer fra tolv ulike myndigheter og virksomheter innen sivil luftfart.

NAV

Det er jevnlig kontakt mellom Datatilsynet og NAV, både på saksbehandler- og på direktørnivå.

Norges Nasjonale Institusjon for Menneskerettigheter (NIM)

Datatilsynet samarbeider med NIM, blant annet i forbindelse med høringsuttalelser. Det dreier seg om et uformelt samarbeid fra sak til sak, for eksempel i forbindelse med problemstillinger som berører personvern og menneskerettigheter mer generelt.

Norsk Biometri Forum

Datatilsynet deltar i Norsk Biometri Forum som er et uformelt forum for presentasjon og diskusjon innenfor biometri. Det er lagt stor vekt på å få inn nye ideer, samtidig som møtene benyttes til orientering om pågående prosjekter innenfor offentlig og privat sektor.

Norsk Informasjonssikkerhetsforum (ISF)

ISF er en ideell organisasjon som arbeider med informasjonssikkerhet for medlemmene. Vi deltar aktivt i dette miljøet som medlemmer, for nettverksbygging og som foredragsholdere.

Norsk konferanse for IKT i offentlig sektor (NOKIOS)

Datatilsynet har deltatt som samarbeidspartner og i programkomiteen for NOKIOS. Dette innebærer både planleggingen av konferansen, og å være bidragsyter både når det gjelder innhold og gjennomføring. NOKIOS har etter hvert blitt en viktig arena der vi kan sette fokus på personvern i digitaliseringen av offentlig sektor.

Referansegruppe for opptak av prosjekter til sandkassen

Den regulatoriske sandkassen vår for personvern og kunstig intelligens, har en referansegruppe i forbindelse med opptak av nye prosjekter. Gruppen bistår oss i å vurdere samfunnsnytten i prosjektene som søker opptak til sandkassen, og består av Likestillings- og diskrimineringsombudet (LDO), Norsk regnesentral, Innovasjon Norge og Tekna.

Riksrevisjonen

Det utveksles sporadisk erfaringer og gis oppdateringer og veiledning på arbeidet som gjøres innen teknologi og informasjonssikkerhet.

Samarbeidsprosjektet Du Bestemmer

Du Bestemmer er et formalisert samarbeid mellom Utdanningsdirektoratet og Datatilsynet. Sammen driver vi nettressursen dubestemmer.no som skal bidra til at barn og unge kan lære seg å ta kontroll over egne personopplysninger, og samtidig respektere andres opplysninger. I 2022 ble det holdt to styringsgruppemøter, og det ble blant annet jobbet med å utvikle en felles strategi for arbeidet.

Standardisering – komitédeltagelse

Vi deltar i komiteer for standardisering der arbeidet har direkte relevans for vårt arbeidsområde. Standarder er førende for virksomhetenes praksis, også når det gjelder behandling av personopplysninger. Formålet med deltakelsen i komiteene er å sikre kunnskap om pågående prosesser internasjonalt, påvirke fremtidige rammebetingelser, samt bidra til å påvirke relevante standarder med hensyn til personvern og informasjonssikkerhet.

Statens Vegvesen

Datatilsynet har et godt samarbeid med Statens vegvesen, og spesielt innen ITS (Intelligente transportsystemer).

Styring og koordinering av tjenester i e-forvaltning (Skate)

Skate er et strategisk samarbeidsråd og rådgivende organ som skal bidra til at digitaliseringen av offentlig sektor blir samordnet og gir gevinster for innbyggere, næringsliv og forvaltningen. Datatilsynet har anledning til å møte i dette rådet, og benytter denne muligheten når det er saker på agendaen som vi mener det er nyttig for oss som personvernmyndighet å delta på. Vi har holdt oss oppdatert på aktiviteter i møtene, uten aktiv deltakelse i 2022.

1.3.9 Samlet vurdering av prioriteringer, ressursbruk, resultater og måloppnåelse

Vi har gjennom rapporten redegjort for de viktigste prioriteringene og resultatene våre, samt måloppnåelse knyttet til de ulike prioriteringene og andre viktige oppgaver. I dette kapittelet sammenstiller vi dette, og ser på helheten for virksomheten.

Prioriteringer er en krevende øvelse. Det er enkelt å prioritere opp, men vanskeligere å prioritere ned, særlig når omfanget av oppgaver øker. Som omtalt under «Kontroll og saksbehandling», har vi sett en betydelig økning i antall klager, veiledningshenvendelser og meldinger om brudd på personopplysningssikkerheten (avviksmeldinger). Klagebehandling er en kjerneoppgave, og noe vi har plikt til å gjøre. Veiledning er vi også forpliktet til. Vi har i 2022 gitt en intern føring på at klagesaksbehandling skal prioriteres foran høringsarbeid.

Antallet meldinger om brudd på personopplysningssikkerheten har jevnt over holdt seg høyt etter innføringen av personvernforordningen. På grunn av den store mengden klagesaker, har vi vært nødt til å prioritere ned en lang rekke avviksmeldinger. Vi realitetsbehandler rundt 20 prosent av avviksmeldingene vi får inn. Vi har altså sett oss nødt til å gjøre en tydelig nedprioritering av behandlingen av innkomne avvikssaker. Hovedbegrunnelsen for dette er at vi etter personvernforordningen kun er forpliktet til å motta og registrere avvikssaker, ikke nødvendigvis behandle disse ut over en generell registrering. Det er et gode for personvernet at virksomheter er flinke til å melde inn avvik. Resultatet er økt bevissthet om personvern og etterlevelse av regelverket, noe som igjen bidrar til å nå vårt hovedmål om et godt personvern for alle. Det er likevel slik at mange avvik er svært alvorlige, faktisk så alvorlige at de kvalifiserer til overtredelsesgebyr. Sakene mot NAV og Stortinget er eksempler på saker som startet med avviksmeldinger og endte med overtredelsesgebyr. Fra vårt ståsted er avviksmeldingene derfor et svært viktig verktøy, som vi med dagens ressurser ikke har kapasitet til å håndtere på det vi anser som mest formålstjenlig måte. Samfunnsmessig, og ut i fra samfunnsoppdraget vårt, er dette også uheldig.

Tilsyn har vært høyt prioritert i 2022, og den nye tilsynsmetodikken har blitt testet. Grunnet ressursmangel ble likevel ikke alle planlagte tilsyn gjennomført. Vi er likevel tilfredse med de 28 egeninitierte tilsyn som ble gjort.

Ikke bare har Datatilsynet sett en økning i antallet saker, de enkelte sakene blir også mer komplekse, både i teknisk og i juridisk forstand. Dette stiller store krav til de ansatte i Datatilsynet, som både må være oppdaterte på siste nytt innen kunstig intelligens og algoritmeutvikling, og på rettsutviklingen generelt. Den økende spesialiseringen på personopplysningsretten i advokatbransjen bidrar også til at særlig det juridiske miljøet i tilsynet utfordres som aldri før – noe som selvsagt er bra for virksomhetens rettssikkerhet, men som også får innvirkning på ressursene våre.

Schengen-arbeidet har i 2022 vært prioritert med både nye oppgaver og med den eksterne evalueringen. Dette har krevd store ressurser. Vi har videre en forpliktelse til å sørge for at vår regelverkshåndheving er i harmoni resten av Europa. Dette krever stor grad av samordning mellom datatilsynsmyndighetene i EU og EØS. Også det internasjonale arbeidet er ressurskrevende, og det har vært høyt prioritert. Vi kunne valgt å prioritere dette lavere, ved for eksempel å være mindre aktive i Det europeiske Personvernrådet, deltatt i færre undergrupper eller lagt mindre vekt på intern rapportering og kompetanseoppbygging. De som deltar på møtene skriver referater og vi har gjennomgang av referater. Grunnen til at vi har valgt å prioritere dette høyt, er fordi mye av rettsdannelsen skjer på møtene i Personvernrådet og undergruppene. For å bli lyttet til, må vi være aktiv deltager, ikke passiv observatør. Vi har gitt kommentarer i flere viktige saker som har vært til behandling i Personvernrådet. Saksbehandling med grenseoverskridende saker er særlig tidkrevende, og forutsetter et godt samarbeid med tilsyn i andre land. En konsekvens av prioriteringen vår med aktiv deltakelse, er at vi har stor påvirkningskraft i flere fora.

I prioriteringen av satsingen på barn og unge, har særlig lagt vekt på digitalisering i skolen. Vi har fulgt spesielt opp Personvernkommisjonens utspill om at det haster å få iverksatt relevante tiltak for å bedre personvern i utdanningsløpet. Vi har i hovedsak brukt våre ressurser på dette området til å bidra i aktiviteter som er iverksatt av andre aktører, blant annet gjennom foredrag og gjennom innspill til de forskjellige nasjonale arbeidene vi har omtalt i rapporten. I tillegg har vi brukt en del tid på deltakelse i arbeidet med tjenesten DuBestemmer som vi driver i samarbeid med Utdanningsdirektoratet. Vi mener at våre aktiviteter har bidratt til at sektoren jobber bedre med personvern i skolen enn tidligere, og at vi også i 2022 har hatt god måloppnåelse.

Sandkassen har også vært høyt prioritert. Å drifte en sandkasse er ikke en «må-oppgave» for Datatilsynet. Vi har fått bevilget ekstra ressurser til dette arbeidet, men det har likevel hatt administrative konsekvenser, og medført omrokeringer i arbeidsstokken og diskusjoner om ressursfordelinger. Dette kunne vi «sluppet» dersom vi ikke hadde påtatt oss denne oppgaven. Vi vil likevel sterk argumentere for at den regulatoriske sandkassen i stor grad bidrar til å oppfylle hovedmålet. Det at den regulatoriske sandkassen i 2022 ble foreslått inn som permanent i budsjettet, for så å bli besluttet som fast tiltak i 2023, er derfor en stor seier for personvernet. Hovedmålene i sandkassen – å være innovativ, samfunnsnyttig og gi godt personvern – kommer alle borgere og forbrukere til gode. Det er dessuten viktig å prøve ut nye måter å sikre regelverksetterlevelse på. Tilsyn og klagebehandling er nødvendig, men å utforske hvordan vi kan oppnå godt personvern og være samfunnsnyttige samtidig, uten saksbehandling, er også sentralt. Det er dessuten viktig å se på samfunnsoppdraget vårt i et bredere perspektiv. Vi skal håndheve regelverk, men dersom vi kan bidra til å utvikle en metodikk som reduserer faren for re-innleggelse på sykehus, eller at man kan unngå ressurskrevende oppfølgingsmøter i NAV, sparer vi samfunnet for betydelige kostnader. Effekten av arbeidet kan derfor være betydelig.

Vi har også jobbet med å prioritere etterlevelse av regelverket gjennom veiledning, informasjon, kommunikasjon og ulike nettressurser. Veiledningstjenesten er vårt ansikt utad, vi ser at samarbeidet mellom denne tjenesten og kommunikasjonsavdelingen gir god tilgang på informasjon og rådgivning gjennom nettsidene våre. Som det fremgår i avsnittet «Kommunikasjon og veiledning», er aktivitetsnivået høyt. Dette har vært en bevisst prioritering.

For å forebygge at virksomhetene gjør feil, har vi også satset mer på personvernombudsordningen. Vi har implementert en egen strategi for hvordan vi best kan jobbe for å fremme denne viktige ordningen. En effekt av det aktive arbeidet vårt de siste årene, har blant annet vært at ombudene i stadig større grad profesjonaliseres og at de finner sammen i organisasjoner eller ulike grupperinger. Vi mener dette har vært en riktig prioritering, og riktig å bruke ressurser på, og det underbygger hovedmålet.

Når vi oppsummerer, ser vi likevel at det ikke lenger er godt nok samsvar mellom oppgavene vi skal løse og de ressursene vi har. Erfaringen vår er at samfunnsoppdraget har økt i både omfang og kompleksitet, etter at Personvernforordningen ble innført i 2018. Samtidig som vår egen produksjon har økt, og vi har jobbet systematisk med ulike effektiviseringsprosjekter og -tiltak, går tallene over innkomne saker og dokumenter oppover. Vi tror at utviklingen kommer til å fortsette i samme retning. Se mer om dette under kapittelet «Vurdering av framtidsutsikter».

Basert på analysen over mener vi likevel i sum å ha oppfylt hovedmålet vårt, som er et godt personvern for alle.

1.4 Styring og kontroll i virksomheten

1.4.1 Virksomhetens overordnede vurdering av opplegget for styring og kontroll

Sammen med tildelingsbrevet, legger hovedinstruksen og digitaliseringsrundskrivet rammene for Datatilsynets virksomhet.

For å nå hovedmålet vårt, et godt personvern for alle, er det etablert ulike mål- og styringssystemer. Plan-, strategi- og budsjettarbeidet forankres i ulike prosesser der ledere, medarbeidere og tillitsvalgte deltar på ulike nivåer.

Utgangspunktet for virksomhetsplanleggingen vår er tildelingsbrevet og virksomhetsinstruksen fra departementet, den overordnede strategien vår og områdestrategier for delsektorer, erfaringer fra saksbehandlingen, tilsyn og utredningsarbeid med mer.

I tillegg til plandokumenter, er det etablert støtte- og oppfølgingssystemer for å ivareta god økonomi- og virksomhetsstyring. Et årshjul ivaretar ledelsens ansvar for å kontrollere viktige aktiviteter og oppfølgingspunkter. Det er også regelmessig rapportering og oppfølging av planer i ledermøter og utvidede ledermøter.

Datatilsynets strategi med definerte mål gjelder for perioden 2021-2023. En virksomhetsplan (VP) er utarbeidet for to år og gjaldt til og med 2022.

1.4.2 Vesentlige forhold knyttet til Datatilsynets planlegging, gjennomføring og oppfølging

1.4.2.1 Datatilsynets risikostyring

Gjennom risikostyring for måloppnåelsen av «Et godt personvern for alle», har identifiserte risikofaktorer og tiltak som skal så langt som mulig sikre at vi når våre strategiske mål. Egne separate vedlegg inneholder risikovurdering av måloppnåelse for 2023 og Datatilsynets rapport om sikkerhet for 2022.

1.4.2.2 Status internkontroll

Datatilsynet har etablert en prosjektgruppe som skal sammenstille og strukturere styringsdokumentene på virksomhetsnivå relatert til det nye intranettet vårt.

Det er utarbeidet oppdaterte retningslinjer for anskaffelse i henhold til digitaliseringsrundskrivet for å sikre etterlevelse. Videre er andre styrende dokumenter oppdaterte, blant annet om sikkerhet på reise, kryptering av forsendelse og avvikshåndtering. Vi gjennomførte også et egeninitiert, spisset tilsyn av vår interne IKT i 2022.

Vi har møter og ledelsens gjennomgang minimum to ganger i året med henholdsvis intern sikkerhetsleder og personvernombud. Avdelingslederen for teknologi, analyse og sikkerhet har intern oppfølging av intern IKT og sikkerhet fire ganger årlig, og rapporterer til de øvrige i ledergruppen.

1.4.2.3 Bemannings-, kapasitets- og kompetansesituasjonen

Det vi erfarer, etter å ha tilpasset oss lovgivningen som kom i 2018 med tilhørende nye oppgaver, er at vårt mandat og samfunnsoppdrag suksessivt har økt i omfang og kompleksitet. Statistikken over innkomne saker peker oppover på alle områder, og det ikke lenger er samsvar mellom oppgaver og ressurser. Det er ingenting som tyder på at dette vil endre seg i årene som kommer.

Mangel på ressurser som følge av tilpasning til og oppfyllelse av oppgaver gitt i det nye personvernregelverket, er også noe våre nordiske og europeiske tilsynskollegaer erfarer. Flere europeiske datatilsynsmyndigheter er derfor vesentlig styrket ressursmessig for å møte disse utfordringene. Personvernkommisjonen understreker også i sin NOU-rapport at det er et klart behov for å styrke Datatilsynet.

For høyt arbeidspress over tid, og det faktum at Datatilsynets kompetanse er svært etterspurt i markedet, øker risikoen for turnover og tap av kompetanse. Effektiviseringstiltak og prioriteringer er ikke tilstrekkelig. Det er et stort behov for å øke Datatilsynets rammer på fast basis, slik at vi settes i stand til å ivareta lovpålagte oppgaver og utøve ombudsrollen på en god måte.

1.4.2.4 Prosjekter og igangsatte tiltak knyttet til virksomhetens systemer

Ny driftsavtale for IT-tjenester

Datatilsynet inngikk i 2022 en ny driftsavtale for IT-tjenester. Leverandøren skal være ansvarlig for hele verdikjeden for driftsplattformen, med tilhørende applikasjonsdrift og tilknyttede tjenesteområder. Leveransen omfattet overføring av intern drift, og målet med anskaffelsen er at Datatilsynet skal ha:

• en stabil og forutsigbar drift (leveranse av robuste og kvalitetsmessige gode tjenester)

• IT-tjenester med høy informasjonssikkerhet slik at sårbarhet og risikoeksponering minimeres

• mulighet til å effektivisere oppgavene knyttet til drift og applikasjonsforvaltning

• egnede løsninger og miljøer. Disse skal være kostnadseffektive og skalerbare med god kapasitetsstyring og endringskontroll.

I rapporteringsåret har vi i stor grad jobbet med bedre utnyttelse av ulike funksjoner og utvikling av eksisterende system og verktøy, slik at den enkelte medarbeider opplever mer smidighet i utføringen av arbeidsoppgavene.

Bedre internstatistikk

I Datatilsynet generer vi data fra den daglige driften vår, blant annet fra veiledningstjenesten, saksbehandlingen og tilsynsvirksomheten. I 2022 gjennomførte vi et prosjekt med mål om å finne ut av hvordan vi kan forbedre bruken av de interne dataene for å gi bedre innsikt. Prosjektet resulterte i en rutine for kvartalsvis uttak av forhåndsdefinerte datapunkter og en ny sektoroversikt basert på næringskodene fra Statistisk Sentralbyrå til bruk på tvers av datakilder. Statistikk og grafer fra dataene skal brukes i foredrag, årsmelding og strategisk planarbeid i tilsynet.

I prosjektet kartla vi alle datakildene våre og den nye rutinen gjelder for de dataene som er lettest tilgjengelige i dag. Prosjektet identifiserte også data som det er mulig å hente ut av eksisterende systemer, men som krever ekstra tekniske tiltak for å kunne gjennomføre. Vi vil i 2023 vurdere om vi skal sette i gang mer ambisiøse tiltak for å hente ut, analysere og kommunisere ut mer fra tallmaterialet vårt.

Ny prosjektmetode

I 2022 utviklet tilsynet en egen prosjektmetode basert på Digitaliseringsdirektoratets prosjektveiviser. Bakgrunnen var et ønske om en mer effektiv og strukturert prosjektstyring internt, samt å møte anbefalingen i digitaliseringsrundskrivet på dette området.

Prosjektet resulterte i en metodeguide og maler som skal legge til rette for en mer enhetlig prosjektstyring. Metoden skal testes ut og tilpasses før alle ansatte får tilbud om opplæring i 2023.

Prosjekt Kvist

Ved innføringen av personvernforordningen kom personvern på agendaen i store og små virksomheter på en måte som det var vanskelig å se omfanget av i starten. Overholdelse av forordningen er nå en sentral del av de fleste virksomheters etterlevelsesarbeid. Mange virksomheter erfarer imidlertid fortsatt at regelverket er vanskelig tilgjengelig og ikke alltid lett å omsette i praksis.

Høsten 2022 satte vi i gang et internt prosjekt som har fått navnet Prosjekt Kvist. Målet er å gjøre Datatilsynet enda bedre rustet til å bistå virksomheter, både offentlige og private, i å oppnå operasjonelt og funksjonelt personvern. Vi opplever at det er behov for en omsetning av det teoretiske regelverket til mer praktisk gjennomførbar veiledning til de ulike virksomhetene.

Som tilsynsmyndighet med et tydelig veiledningsansvar, må også vi våge oss noe ut fra stammen – og litt lenger ut på grenen eller kvisten. Derav navnet. Vi ser i prosjektet på hvordan Datatilsynet kan jobbe enda bedre og mer effektivt, og har brukt høsten 2022 til å kartlegge ulike metoder for å innhente kunnskap om veiledningsbehov i virksomheter. Prosjektet blir gjennomført etter den nye prosjektmetoden. Vi følger opp i 2023 med møter og dialog med fokusgrupper.

Helhetlig styringssystem i Datatilsynet

Datatilsynet har mange ulike systemer for styring og etterlevelse. Samfunnets og arbeidslivets kompleksitet, som ble ekstra tydelig under og etter pandemien, gjorde at vi identifiserte et behov for et mer helhetlig styringssystem i Datatilsynet. Høsten 2022 etablerte vi derfor et eget prosjekt for å få på plass et tilpasset styringssystem. Styringssystemet vil på sikt omfatte alle deler av driften av tilsynet.

Målet er å få på plass nødvendige verktøy som sikrer effektiv og enhetlig drift. Prosjektet ser på både nye systemer, forbedring av eksisterende løsninger, samt aktiviteter og prosesser som er nødvendig for å oppfylle både eksterne og interne krav til driften. Styringssystemet vil også sikre etterlevelse av interne krav, lover og regler, og vil inneholde viktige funksjoner for kvalitetssikring av løpende oppgaver og saksbehandling. Vi har i løpet av høsten 2022 hatt møter med en rekke andre tilsyn og statlige organisasjoner for å høste erfaringer fra hvordan de utfører virksomhetsstyringen sin.

Ny IKT-strategi

Datatilsynet vedtok ny IKT-strategi for perioden 2022-2024. IKT-systemer som brukes av Datatilsynet, har ulike behov for tilpasninger, forbedringer og utvidelser av funksjonalitet. Den økte kompleksiteten som dette medfører, krever et større behov for styring, kontroll, forvaltning og dokumentasjon. Digital informasjon er en viktig ressurs som vil vokse seg både større og viktigere i den digitale fremtiden både internt i virksomheter, men også eksternt mellom virksomheter og organisasjoner. Informasjonen og dataene som Datatilsynet forvalter, skal gjøres tilgjengelig på en enkel og trygg måte både for dagens og fremtidens behov.

Strategien er utarbeidet på bakgrunn av samtaler med alle lederne. Den skal være målrettet, fokusert og handlingsorientert. Strategien understreker at kommunikasjonskanalene, dataverktøyene og informasjonsforvaltningen skal bygge på at IKT og teknologi i tilsynet er sikkert og robust, at personvern er innebygget i løsningene og at alt er i samsvar med personvernforordningen.

Strategi for samhandling med forskning og akademia

Datatilsynet har over flere år samhandlet med forsknings- og universitetsmiljøer i ulike sammenhenger. I 2022 lagde vi en intern strategi for hvordan vi kan jobbe opp mot disse miljøene på en best mulig måte for å oppnå de strategiske målene våre.

Strategien gjelder for to år og fremhever tre områder der vi mener det er spesielt nyttig å samarbeide (jus, utdanningsvitenskap og teknologi). Strategien inneholder også konkrete tiltak for samhandling med forskning og akademia. Eksempler på tiltak inkluderer å jobbe strategisk for at personvern er en del av utdanningsløp som har særlig effekt for personvernet, og å samarbeide med relevante forskningsmiljøer i prosjekter eller saker der det er relevant.

Sivilombudet

Datatilsynet fikk kritikk av Sivilombudet i en sak på grunn av lang saksbehandlingstid. Helt konkret gjaldt det tiden fra vi mottok en klage på et avvisningsvedtak til klagen ble oversendt til Personvernnemnda. Sivilombudet mente at Datatilsynet ikke hadde gitt noen tilfredsstillende forklaring på hvorfor oversendelsen av klagesaken tok så lang tid, og uttalte at tidsbruken i hovedsak fremsto som «ren liggetid». Sivilombudet fant at saksbehandlingen var i strid med forvaltningsloven, og ba Datatilsynet gjennomgå rutinene for å sikre at klagesaker alltid forberedes uten ugrunnet opphold, og oversendes Personvernnemnda så snart saken er tilrettelagt.

Vi skrev i redegjørelsen til Sivilombudet at da den siste saksbehandleren sluttet, ble saken ved en feil liggende ufordelt, og det ble feilaktig lagt til grunn at den var oversendt Personvernnemnda for klagebehandling. Sivilombudet understreket da at Datatilsynets rutiner må sikre at klagesaker omfordeles når saksbehandlere slutter.

Vi har satt i gang et arbeid med å implementere automatiske varslinger i saksbehandlingssystemet, for å redusere risikoen for at oversendelsessaker til Personvernnemnda blir liggende. Dette skal supplere eksisterende rutiner om behandling av klager på enkeltvedtak. Rutinene for omfordeling er også revidert og forbedret.

Retningslinjer og strategi for innkjøp

Datatilsynet skal forvalte de offentlige midlene vi mottar med integritet og ansvarlighet. Som ledd i dette, skal anskaffelser og innkjøp gjennomføres slik at de best mulig tjener gjennomføringen av samfunnsoppgavene våre.

Når vi gjør innkjøp, ligger følgende retningslinjer til grunn:

• Etiske retningslinjer for statstjenesten

• Lov om offentlige anskaffelser (LOA) og forskrift om offentlige anskaffelser (FOA)

• Økonomi- og virksomhetsinstruksen fra Kommunal- og distriktsdepartementet

I tillegg legger vi stor vekt på å etterleve og fremme personvernforordningen gjennom de kravene vi stiller i anskaffelser og innkjøp. Vi har i 2022 oppdatert retningslinjene og strategien for innkjøp.

1.4.2.5 Forvaltning av egne eiendeler

Datatilsynet fører egen oversikt over tekniske eiendeler. I 2022 startet arbeid med å få oversikten inn i et mer egnet verktøy for oppfølging.

1.4.2.6 Oppfølging av avdekkede vesentlige styringssvikt/feil/mangler/utfordringer

Det er ikke avdekket vesentlige avvik/feil/mangler i forhold til styring og kontroll i virksomheten. Det foreligger heller ikke merknader fra Riksrevisjonen.

1.4.2.7 Oppfølgning av evalueringer, rapporter fra tilsyn gjennomført hos Datatilsynet og eventuelle pålegg fra tilsynsmyndigheter

Schengen-evaluering av Norge

I juni 2022 ble det gjennomført en evaluering av Norges etterlevelse av Schengen-regelverket på personvernområdet. Evalueringen ble gjennomført hos Datatilsynet 27. juni av en delegasjon bestående av representanter fra forskjellige EU-/EØS-land og fra EU-kommisjonen. I etterkant av evalueringen gir delegasjonen en rapport til EU-kommisjonen. Evalueringsrapporten om Norges etterlevelse på personvernområdet er foreløpig ikke klar. Les mer om Schengen-evalueringen under «Internasjonalt arbeid og samarbeid».

1.4.2.8 Mål- og styringssystemer

I Datatilsynets overordnede strategi, har vi seks satsinger. Vi plukket ut tre satsinger vi skulle fokusere spesielt på i 2021 og 2022, og som alle aktivitetene våre skal forankres i. Les om strategien og målene våre under «Introduksjon til virksomheten». Under hver enkelt satsing er det mellom seks og ti delmål. Delmålene er en operasjonalisering av de strategiske satsingene.

For å oppfylle de overordnede målene og delmålene må vi gjennomføre en lang rekke aktiviteter. Det er opp til hver enkelt avdeling og seksjon å beslutte hvilke aktiviteter som skal gjennomføres. Et eksempel kan være tilsyn, samt alle aktiviteter som følger i kjølvannet av et tilsyn, slik som kommunikasjonsarbeid og å se til at andre aktører i en sektor endrer praksis i overensstemmelse med vedtakspunktene etter tilsynet.

For å vite om den enkelte aktiviteten oppfyller delmålet har vi indikatorer. Indikatorer vil være målbare og noen ganger rene tellinger, slik som antall saker og tilsyn, nettmeldinger eller henvendelser til veiledningstjenesten. Det kan være fast rapportering av interne avvik eller restanser, prosjekter eller gjennomførte prosesser. Det kan også være nedgang i restanser eller kortere saksbehandlingstid på tilsyn. Videre kan en indikator være en kvalitativ vurdering, slik som om dialogen med en sektor er blitt bedre eller at vi har blitt lyttet til av et konkret offentlig organ.

Indikatorer bestemmes i samarbeid mellom avdelingsdirektør og seksjonssjef. Indikatorene skal så langt som mulig være målbare og resultatorienterte.

1.4.2.9 Oppfølging av bærekraftmålene

Datatilsynet er kjent med bærekraftmålene med delmål, og har gjennomgått dem for å sikre oppfølgingen på de områdene som vi vurderer er relevante for virksomheten vår. Disse er:

Bærekraftmål nr. 5 - Likestilling mellom kjønnene

Datatilsynet har et bevist forhold til det å ha en god kjønnsbalanse i virksomheten. Vi har i lønns- og personalpolitikken, samt personalreglementet, lagt til rette for å ha likestilling mellom kjønn og for å ivareta ulike behov i forbindelse med ulike livsfaser.

Kjønnsbalanse og betydningen av å ha mangfold i virksomheten, vurderes særlig ved rekruttering. Når det rekrutteres medarbeidere til enhet der det er skjev kjønnsbalanse, har vi særlig oppmerksomhet på å endre dette. Kvinner gis for øvrig lik mulighet som menn til stillinger på alle nivå i virksomheten, og begge kjønn har reell deltagelse i fora der beslutninger tas.

Bærekraftmål nr. 8- Anstendig arbeid og økonomisk vekst

Datatilsynet legger til rette for å ha et trygt og sikkert arbeidsmiljø, tillegg til å sikre de ansattes fleksibilitet og lønnsutvikling i arbeidet. Dette gjøres gjennom godt samarbeid mellom ledere, ansatte, arbeidsmiljøutvalg og tillitsvalgte, og følges opp med konkrete tiltak.

Bærekraftmål nr. 13- Stoppe klimaendringene

Ved skifte av kontorlokaler var et av effektmålene å ha miljøvennlige arealer som bidrar til sirkulærøkonomi og med lavest mulig klimautslipp. Kontorlokalet som ble valgt er areal- og energieffektive, og det er stilt høye krav til avfallshåndtering og kildesortering, samt energieffektiv drift. Datatilsynet har ingen parkeringsplass for bil. Vi har prioritert sykkelparkering, garderobefasiliteter og plassering sentralt ved knutepunkter for kollektivtrafikk.

Datatilsynet har et bevisst forhold til tiltak som kan bidra til å stoppe klimaendringer. Dette er tiltak knyttet til reiseaktivitet, strømforbruk, kjøp av tjenester og utstyr (inventar og rekvisita), samt gjenbruk og kildesortering.

En jobbhverdag med mer bruk av hjemmekontor og økt bruk av digitale møter, har ført til færre klimaavtrykk med hensyn til reiser. Fysiske jobbreiser og transport til andre steder både i Norge og internasjonalt er redusert, og det vurderes særskilt om det kan være alternativer til reise.

1.4.3 Vesentlige forhold knyttet til personalsituasjonen

1.4.3.1 Likestilling og diskriminering

Datatilsynet arbeider aktivt, målrettet og planmessig for å fremme likestilling og hindre diskriminering. Vi prøver å rekruttere slik at arbeidsstyrken gjenspeiler mangfoldet i befolkningen, og slik at vi har en god balanse når det gjelder kjønn, alder, etnisitet, nedsatt funksjonsevne, hull i cv, ulik religiøs tilhørighet og livssyn. Vi opplever gode søkertall til de fleste vakante stillingene, både fra erfarne og nyutdannede, og vi vurderer det slik at Datatilsynet fortsatt er ansett å være en populær arbeidsplass å søke seg til. I rekrutteringsprosessene gjør vi en nøye vurdering av søkere som er i målgruppen for inkluderingsdugnaden for å sikre at de får tilbud om intervju dersom de er kvalifiserte. De tillitsvalgte involveres i utlysningstekstene.

Vi klarer ikke å se at vi har ulikheter som gjør det nødvendig å iverksette særskilte tiltak overfor enkelte grupper eller personer. Vurderingen vår er at alle gis like muligheter i organisasjonen, og at det i 2022 ikke har vært behov for å iverksette særskilte tiltak for å fremme likestilling eller hindre diskriminering utover det å forsøke å ha stort mangfold, god aldersspredning og en god kjønnsbalanse.

1.4.3.2 Inkluderende arbeidsliv og HMS/arbeidsmiljø

Også i store deler av 2022 har koronasituasjonen preget arbeidet vårt. Lederne har tatt stort ansvar, og de ansatte er gitt fleksibilitet med tanke på tilstedeværelse. Det er gjort tilrettelegging for å ivareta den enkeltes behov, og vi har lagt vekt på å ha arenaer for god kommunikasjon og sosialt samvær. Medarbeidere og tillitsvalgte har støttet opp om vanskelige avveininger og beslutninger, og vi opplever å ha god kommunikasjon med ansatte, ledere og tillitsvalgte om veien videre.

Samarbeidet med bedriftshelsetjenesten er videreført også i rapporteringsåret. Arbeidsmiljøutvalget (AMU) har gjennom året hatt regelmessige møter. Særlig er det jobbet med risikovurderinger knyttet til HMS-arbeidet. Dette for å ha et godt grunnlag for å iverksette målrettede forebyggende tiltak der risiko vurderes som høy og med store konsekvenser.

Vi erfarer at det etter en lang koronaperiode er viktig å ha ekstra oppmerksomhet på forebyggende tiltak på en del områder slik som arbeidsbelastning, mestring, arbeidsmiljø, sykefravær, ledelse og så videre. Vi har høstet mange erfaringer om tilknytning til og bruk av arbeidsplassen i koronatid, og iverksatte tiltak er regelmessig evaluert.

Vi ser ved årsslutt at mye er i ferd med å normaliseres, men at tilbakevending fra en meget spesiell og krevende periode også kan være krevende for noen. Vi har hatt lav terskel for å gi tilbud om tiltak og individoppfølging ved behov, og vi har opprettholdt ordningen med å gi tilskudd til trening for ansatte.

1.4.3.3 Sykefravær

Sykefraværet i 2022 var 4,30 prosent – mot 4,10 i 2021. Av dette er 1,83 prosent egenmeldt, mot 0,96 prosent egenmeldt fravær i 2021.

Det ikke-egenmeldte fraværet skyldes i hovedsak årsaker der det ikke er mulig å iverksette forebyggende tiltak.

Forstørr bilete

1.4.4 Andre forutsetninger og krav

1.4.4.1 Fellesføringer

Redusere konsulentbruken

Datatilsynet har som ambisjon å redusere bruk av konsulenter der det er mulig. Målet er å ha tilstrekkelig intern kompetanse til å løse permanente behov, men for en liten etat er det ikke et realistisk mål å ha all kompetanse internt på varig basis. Det er behov for å benytte eksterne hjelp der vi ikke har kapasitet/kompetanse til å løse oppgavene selv, og der det er behov for å gjennomføre uavhengige evalueringer for å legitimere avgjørelser.

Det vil for eksempel være behov for å engasjere spesialkompetanse til gjennomføring av større digitaliseringsprosjekter, og det vil være behov for konsulentbistand for å kunne etablere og ta i bruk nye tjenester eller lignende. Ofte benyttes konsulenter med spisskompetanse i utrednings- og etableringsfasen der det ikke er behov for å ha kompetansen permanent. Konsulenter benyttes også ved endringer i IKT-systemer, samt ved feilretting og implementering av funksjonalitet i komplekse systemer.

Når det gjelder kommunikasjonstjenester spesielt, er det generell lavt bruk av konsulenttjenester. Det er ikke benyttet midler til PR-rådgivning, kun utvikling av verktøy og støttefunksjoner til nettsidene og til det nye intranettet vårt som kom på plass i 2022.

Lærlinger

Datatilsynet har ikke hatt lærlinger i 2022. Vi er en liten virksomhet med få aktuelle fagområder for lærlinger. Vi har vært i en koronasituasjon med liten tilstedeværelse i lange perioder, og vi er nå i en fase der flere driftsoppgaver skal ivaretas av eksterne samarbeidsparter. Det har derfor ikke vært mulig å knytte til oss lærlinger.

Vi tilrettela i 2022 for en praksisplass for en medarbeider med særlige behov.

Oppfølging av regjeringens inkluderingsdugnad – handlingsplan

1.5 Vurdering av framtidsutsikter

Vi ser en rekke interne og eksterne forhold som vil kunne skape utfordringer for virksomheten vår i tiden fremover, både på kort og lang sikt. Ikke minst vil slike forhold kunne påvirke mulighetene våre for å nå målene vi har satt oss.

Vi har omtalt ulike utfordringer flere steder i denne rapporten. Blant annet ser vi at økningen i antallet saker og den store økningen av innsynsbegjæringer, kan gå på bekostning av annet viktig arbeid, slik som stedlige tilsyn, oppfølging av tips og meldinger om brudd på personopplysningssikkerheten og sentrale høringssaker.

I kapittelet «Samlet vurdering av prioriteringer, ressursbruk og måloppnåelse» redegjør vi for at vi ikke har godt nok samsvar mellom oppgavene vi skal løse og de ressursene vi har. Dette gjør det svært utfordrende å prioritere ut i fra mangfoldet av oppgaver som vi er forpliktet til å gjøre etter personvernforordningen artikkel 57 nr. 1. Økningen av saker i både omfang og kompleksitet, gjør at vi kontinuerlig jobber med ulike effektiviseringsprosjekter og -tiltak for å bedre saksbehandlingsprosessen. Vi tror utviklingen kommer til å fortsette i samme retning fremover.

Det juridiske og teknologiske arbeidet vil fortsette å kreve mye ressurser fremover, ikke minst i forbindelse med saksbehandlingen, regulatorisk sandkasse, produksjon av nødvendig veiledningsmateriell, behandling av avviksmeldinger og gjennomføring av tilsyn. Det vil være utfordrende å følge med på rettsutviklingen i årene som kommer, ettersom den teknologiske utviklingen ser ut til å gå raskere og raskere, etter hvert som flere saker bringes inn for EU-domstolen for avklaring av prinsipielle spørsmål, og praksis på tvers av Europa utkrystalliserer seg.

Vi har tidligere i rapporten vist at det er en økende arbeidsmengde blant annet i forbindelse med å behandle innsynsbegjæringer. Vi er pliktige til å utvise meroffentlighet, og mener dette er et viktig demokratisk prinsipp i offentlig forvaltning og ut mot innbyggere. Vi ser imidlertid at det store omfanget av innsynskrav fører til forsinkelser i saksbehandlingstiden og at det blir vanskeligere å utføre andre av tilsynets oppgaver på en optimal måte. For å kunne prioritere mer fornuftig i personvernets favør fremover, håper vi at det etableres enda bedre digitale fellesløsninger for å effektivisere innsynsprosessen.

Inkludert deltidsansatte og studenter, teller Datatilsynet 68 ansatte, hvorav omlag 38 kan regnes som rene saksbehandlere. Hvis vi summerer antall journalførte saker med antall innsynsbegjæringer, var det hele 10 435 saker til behandling i 2022, en økning på 14 prosent fra året før. I snitt gir dette 274 saker til behandling per hode i rapporteringsåret. All statistikk tyder på at vi kan forvente det samme i 2023, og vi ser at nedprioriteringen vår av ulike oppgaver derfor bare vil fortsette.

Datatilsynet skal føre tilsyn med og håndheve anvendelsen av personopplysningsregelverket. Vi har ikke tilstrekkelige ressurser til å føre tilsyn i den grad vi ser behov for, ei heller i den grad virksomhetene etterspør tilsyn fra oss. I lys av undersøkelsesplikten vi har i forbindelse med klager fra individer, ser vi imidlertid at det kan bli utfordrende å øke innsatsen så mye som vi anser er nødvendig.

Vi kan også forvente å bli involvert i flere regelverksutviklingsprosesser i årene som kommer, særlig i kjølvannet av Personvernkommisjonens anbefalinger. Samtidig fortsetter regelverksutviklingen i Europa i et høyt tempo. Digital Services Act, Data Governance Act, Digital Markets Act og Artificial intelligence Act, og dessuten nye regler på ekom-feltet, er noen eksempler. Samlet sett vil dette bidra til et mer fragmentert rettsområde, som det blir enda mer krevende å navigere i. Det samme gjelder Schengen acquis, som både vokser i omfang og gir nye oppgaver for datatilsynsmyndighetene. I årene som kommer, vil Datatilsynet få lovpålagte tilsynsoppgaver knyttet til nye Schengen-systemer. Dette vil også medføre et økt ressursbehov.

Det internasjonale arbeidet krever mye ressurser, særlig på saksbehandlingsfronten. Arbeidet i Det europeiske personvernrådet øker i omfang hvert år, noe som gjør det stadig mer utfordrende å følge alle relevante prosesser. Det finnes fremdeles uutnyttede muligheter for Norge til å påvirke. Når EU etter hvert vedtar stadig flere lover med grenseflate mot personvernforordningen, vil regelverkskompleksiteten øke både nasjonalt og internasjonalt. Det er en fare for fragmentert håndhevelse av lover som påvirker personvernfeltet. Det vil være krevende for Datatilsynet å forholde seg til dette for å sørge for ensartet håndheving og effektiv regelverksetterlevelse i praksis.

I statsbudsjettet for 2023 ble sandkassen omgjort til en permanent satsing. Det er positivt at regjeringen satser på sandkassen som et tiltak for ansvarlig invasjon. Den permanente satsingen kommer med et bredere mandat; digitalisering og innovasjon. Kunstig intelligens vil være en naturlig del av dette mandatet, både fordi kunstig intelligens vil være en viktig del av samfunnsutviklingen fremover og fordi det kommer nytt regelverk fra EU som er delvis overlappende med eksisterende lovverk på området. Det utvidede mandatet gir også muligheter til å ta opp prosjekter med andre former for innovativ bruk av personopplysninger ut over kunstig intelligens.

I 2023 planlegger sandkassen å ta opp to nye prosjekter, samt jobbe med å kommunisere ut lærdommen fra sandkasseprosjektene så langt. Vi skal også bygge en god permanent struktur. Det handler både om hvordan sandkassen skal være organisert i linjeorganisasjonen i tilsynet, og hvordan prosjektene skal gjennomføres og kommuniseres ut. I prosjektperioden var budsjettet på rundt åtte til ni millioner, mens den permanente sandkassen har fått sju millioner. Nedgangen i midler vil ha påvirkning på arbeidet og leveransene fra sandkassen.

Barn og unge har vært et viktig prioriteringsområde, og vil også være det fremover, Datatilsynet ser positivt på utviklingen i bevisstheten rundt de unges personvern. Personvernkommisjonen har også bidratt til å fremheve problemstillinger knyttet til denne viktige gruppen, og vi vil særlig engasjere oss i digitaliseringen i skoler og barnehager i tiden som kommer.

Økningen av cyberoperasjoner er merkbar. Mange private og offentlige virksomheter mangler imidlertid digitaliseringskompetanse, og selv kommuner med betydelige ressurser gjør feil. Det er fortsatt et stort behov for veiledning, selvhjelpsverktøy og bistand for å gjøre arbeidet som vi ønsker å følge opp riktig. Trusselbildet i verden er utfordrende, og fiendtlige angrep må antas å øke både i omfang og kompleksitet. Kommunesektoren er dessuten spesielt fragmentert. Bedre samordning og koordinering er derfor viktige stikkord. Det er også behov for fortsatt politisk innsats og engasjement for å holde trykket oppe.

Vi ser videre at arbeidet med akkreditering og sertifiseringsordninger vil ta ressurser i tiden som kommer. Godkjenning av tilleggskriterier og mekanismer for akkreditering vil stå i fokus, sammen med utredning av spørsmål knyttet til evaluering.

Arbeidsliv er et område som peker seg ut som utfordrende. Antall klagesaker øker, og vi ser behovet for veiledning og fortsatt god myndighetskontakt. Ellers vil vi følge opp den nye kredittopplysningsloven med forskrift, noe som innebærer at vi skal kontrollere etterlevelse av regelverket fremfor å bruke konsesjoner. På helseområdet er Helseplattformen og Kjernejournal store tiltak som rulles ut, og som kommer til å få oppmerksomhet. Bruk av kundedata er også et sentralt tema, for ikke å snakke om annonseindustrien. Dette er et område der store mengder personopplysninger om digitale brukere behandles og selges videre.

Vi ser at det blir en viktig oppgave å følge med på offentlige virksomheters sammenstilling og deling av data. Denne delingen av data gir mange samfunnsgevinster både i form av effektivitet, kunnskap og tilgjengelighet, men det gir også personvernutfordringer.

I kommunikasjonsarbeidet vårt ser vi flere utfordringer som vi må prioritere oppfølgingen av nøye, både ut i fra målvurdering og ressursbruk. Digitaliseringsspørsmål, både internt i organisasjonen og eksternt blant virksomheter og befolkningen, skyter fart. Vi må selv passe på å gjøre grundige risikovurderinger før nye verktøy og plattformer tas i bruk. Dette vet vi at er tidvis ressurskrevende både for virksomheter der ute, og for oss selv.

I tillegg er det en høy forventning til rask service på veiledningstjenesten fra publikum som består av alt fra «den vanlige borger», til små og store virksomheter, og avanserte jurister. Dette stiller krav til oss om å klare å plukke ut prioriterte målgrupper. Når det gjelder media har vi merket oss at journalister jobber raskere og publiserer fortere enn tidligere. De aller fleste publiserer digitalt og i et stort tempo. Dette gjør at tidspresset er sterkere, både for kommunikasjonsavdelingen men også blant fagpersoner som følger opp med å svare ut henvendelser fra både lokalpresse og riksdekkende media.

Overholdelse av personvernforordningen er nå en sentral del av de fleste virksomheters etterlevelsesarbeid. Mange erfarer imidlertid fortsatt at regelverket er vanskelig tilgjengelig og ikke alltid lett å omsette i praksis. Med det tidligere omtalte Prosjekt Kvist, ønsker vi i Datatilsynet å gjøre oss enda bedre rustet til å bistå virksomheter, både offentlige og private, i å oppnå operasjonelt og funksjonelt personvern. Vi oppfatter at det fortsatt er et stort behov for en omsetning av personvernforordningen til mer praktisk gjennomførbar veiledning til de ulike virksomhetene. Som tilsynsmyndighet med et tydelig veiledningsansvar, må også vi våge å bevege oss noe ut fra stammen.

1.6 Årsregnskap

1.6.1 Ledelseskommentarer med direktørens signatur

Datatilsynet er på nettoføringsordningen. Ordningen er slik at virksomheten skal bokføre merverdiavgiften på en egen artskonto, og Datatilsynet gis fullmakt til å belaste merverdiavgiften på Finansdepartementets kapittel 1633.

Bevilgning

Datatilsynet fikk 69 830 000 kroner til disposisjon i budsjettproposisjonen 2022. Datatilsynet fikk også 1 156 000 kroner som kompensasjon som følge av budsjettmessige virkninger av lønnsoppgjøret i 2022. I tillegg ble det overført 965 000 kroner fra 2021. Når disse to var lagt til, hadde vi totalt 71 951 000 kroner til disposisjon i 2022.

Mellomværende med statskassen utgjorde 4 233 014 kroner per 31.12.2022. Dette er skyldig skattetrekk og avsatt pensjonspremie.

Samlet har Datatilsynet på kapittel 054501 hatt et mindreforbruk på 3 540 000 kroner.

Datatilsynet fikk i 2022 også følgende belastningsfullmakter til drift av regulatorisk sandkasse for personvern og kunstig intelligens:

• Kommunal- og moderniseringsdepartementets kapittel 0541/22 kr. 4 000 000

• Arbeids- og sosialdepartementets kapittel 0605/01 kr. 1 200 000

• Helse- og omsorgsdepartementets kapittel 0701/21 kr. 1 000 000

• Kunnskapsdepartementets kapittel 0226/21 kr. 1 000 000

• Nærings- og fiskeridepartementets kapittel 0920/50 kr. 500 000

• Nærings- og fiskeridepartementets kapittel 2421/50 kr. 500 000

• Samferdselsdepartementets kapittel 1301/21 kr. 1 000 000

Her ble det totalt sett ett mindreforbruk på 3 185 kroner.

Statens konsernkontoordning

Datatilsynet omfattes av statens konsernkontoordning. Bankinnskudd og utbetalinger gjøres opp daglig mot oppgjørskontoer i Norges Bank. Datatilsynet tilfører slik ikke likvider gjennom året, men har trekkrettighet på konsernkontoen vår.

Fullserviceavtale med DFØ

Datatilsynet har en fullserviceavtale for regnskapstjenester med Direktoratet for forvaltning og økonomistyring (DFØ). Dette innebærer at DFØ utfører det meste av aktivitetene som er knyttet til økonomisystemet på vegne av Datatilsynet.

Avtale med Statens innkrevingssentral

Datatilsynet har en samarbeidsavtale med Statens innkrevingssentral om at de innkrever tvangsmulkt og overtredelsesgebyr på vegne av Datatilsynet. Gebyrer inngår ikke som driftsinntekt, men føres på kapittel 3545 i statsregnskapet. I 2022 beløper dette seg til 20 207 000 kroner.

Vurdering

Årsregnskapet er avlagt i henhold til bestemmelser om økonomistyring i staten, rundskriv R-115 fra Finansdepartementet og krav fra overordnet departement. Årsregnskapet gir etter min vurdering et dekkende bilde av Datatilsynets økonomiske situasjon, disponible bevilgninger og regnskapsførte utgifter og eiendeler.

Riksrevisjonen er utnevnt til ekstern revisor for Datatilsynet. Årsregnskapet er per dags dato ikke revidert. Revisjonsberetningen for årsregnskapet offentliggjøres på Datatilsynets hjemmeside når Stortinget har mottatt Dokument 1 fra Riksrevisjonen og revisjonsberetningen ikke lenger har status utsatt offentlighet.

Oslo, 15. mars 2023

Line Coll

direktør

1.6.2 Prinsippnote for årsregnskapet

Årsregnskapet er utarbeidet og avlagt etter nærmere retningslinjer fastsatt i bestemmelser om økonomistyring i staten («bestemmelsene»). Årsregnskapet er i henhold til krav i bestemmelsene pkt. 3.4.1, nærmere bestemmelser i Finansdepartementets rundskriv R-115 av desember 2022, og eventuelle tilleggskrav fastsatt av overordnet departement.

Oppstillingen av bevilgningsrapporteringen og artskontorapporteringen er utarbeidet med utgangspunkt i bestemmelsene punkt 3.4.2, grunnleggende prinsipp for årsregnskapet:

1. Regnskapet følger kalenderåret

2. Regnskapet inneholder alle rapporterte utgifter og inntekter for regnskapsåret

3. Utgifter og inntekter er ført i regnskapet med brutto beløp

4. Regnskapet er utarbeidet i tråd med kontantprinsippet

Oppstillingene av bevilgnings- og artskontorapporteringen er utarbeidet etter de samme prinsippene, men gruppert etter ulike kontoplaner. Prinsippene samsvarer med krav i bestemmelsene punkt 3.5 til hvordan virksomhetene skal rapportere til statsregnskapet. Sumlinjen «Netto rapportert til bevilgningsregnskapet» er lik i begge oppstillingene.

Datatilsynet er tilknyttet statens konsernkontoordning i Norges Bank, i henhold til krav i bestemmelsene pkt. 3.7.1. Bruttobudsjetterte virksomheter tilføres ikke likviditet gjennom året, men har en trekkrettighet på sin konsernkonto. Ved årets slutt nullstilles saldoen på den enkelte oppgjørskonto ved overgang til nytt år.

Bevilgningsrapporteringen

Oppstillingen av bevilgningsrapporteringen omfatter en øvre del med bevilgningsrapporteringen, og en nedre del som viser beholdninger virksomheten står oppført med i kapitalregnskapet. Bevilgningsrapporten viser regnskapstall som Datatilsynet har rapportert til statsregnskapet. Det stilles opp etter de kapitler og poster i bevilgningsregnskapet som Datatilsynet har fullmakt til å disponere. Kolonnen samlet tildeling viser hva virksomheten har fått stilt til disposisjon i tildelingsbrev for hver statskonto (kapittel/post). Oppstillingen viser i tillegg alle finansielle eiendeler og forpliktelser virksomheten står oppført med i statens kapitalregnskap.

Mottatte fullmakter til å belaste en annen virksomhets kapittel/post (belastningsfullmakter) vises ikke i kolonnen for samlet tildeling, men er omtalt i note B til bevilgningsoppstillingen. Utgifter knyttet til mottatte belastningsfullmakter er bokført og rapportert til statsregnskapet, og vises i kolonnen for regnskap.

Avgitte belastningsfullmakter er inkludert i kolonnen for samlet tildeling, men bokføres og rapporteres ikke til statsregnskapet fra virksomheten selv. Avgitte belastningsfullmakter bokføres og rapporteres av virksomheten som har mottatt belastningsfullmakten og vises derfor ikke i kolonnen for regnskap. De avgitte fullmaktene kommer frem i note B til bevilgningsoppstillingen.

Artskontorapporteringen

Oppstillingen av artskontorapporteringen har en øvre del som viser hva som er rapportert til statsregnskapet etter standard kontoplan for statlige virksomheter, og en nedre del som viser eiendeler og gjeld som inngår i mellomværende med statskassen. Artskontorapporteringen viser regnskapstall virksomheten har rapportert til statsregnskapet etter standard kontoplan for statlige virksomheter. Datatilsynet har en trekkrettighet på konsernkonto i Norges Bank. Tildelingene er ikke inntektsført og derfor ikke vist som inntekt i oppstillingen.

1.6.3 Årsregnskap

Oppstilling av bevilgningsrapportering

Beholdninger rapportert til kapitalregnskapet (31.12)

Note A – Forklaring av samlet tildeling utgifter

Note B – Forklaring til brukte fullmakter og beregning av mulig overførbart beløp til neste år

Forklaring til bruk av budsjettfullmakter

Mottatte budsjettfullmakter (gjelder for både utgiftskapitler og inntektskapitler)

Datatilsynet omfattes av nettoføringsordningen i staten og har fullmakt til å rapportere betalt merverdiavgift på Finansdepartementets kapittel/post 163301.

Samtlige andre budsjettfullmakter er benyttet fullt ut og ingen beløp overføres.

Avgitte budsjettfullmakter (utgiftsført av andre på utgiftskapitler og inntektsført av andre på inntektskapitler)

Datatilsynet har ingen avgitte budsjettfullmakter i 2022.

Mulig overførbart beløp

Mindreutgifter på post 01 er beregnet til kr. 3 541 000. Beløpet er under grensen for overføring av 5 prosent av årets tildeling på post 01. Hele beløpet søkes overført til 2023.

Mindreforbruket skyldes i hovedsak forskyving av utgifter for pågående prosjekt om nytt styringssystem som belastes i 2023.

Oppstilling av artskontorapportering

Note 1 – Utbetalinger til lønn

For virksomheter som i 2021 benyttet en forenklet modell for premiebetaling

For regnskapsåret 2021 benyttet virksomheten en forenklet modell for premiebetaling, noe som innebar betaling av en fast premiesats for arbeidsgiverandelen på 12 prosent.  

Forklaring til endringen av arbeidsgiverandel mellom 2021 og 2022

Fra 2022 har SPK lagt om pensjonspremiemodellen for statlige virksomheter. Fra 1. januar 2022 betaler alle statlige virksomheter en virksomhetsspesifikk hendelsesbasert arbeidsgiverandel som del av pensjonspremien. At premien er virksomhetsspesifikk, betyr at den beregnes ut fra den enkelte virksomhets forhold, ikke for grupper av virksomheter samlet. At den er hendelsesbasert, betyr at den tar hensyn til de faktiske hendelser i medlemsbestanden i virksomheten, slik at premiereserven er a jour i forhold til medlemmets opptjening. Medlemsandelen på to prosent av lønnsgrunnlaget er uendret.

Note 2 – Andre utbetalinger til drift

Note 3 – Finansinntekter og -utgifter

Note 4 – Utbetaling til investeringer og kjøp av aksjer

Note 5 – Sammenheng mellom avregning med statskassen og mellomværende med statskassen

Del A Forskjellen mellom avregning med statskassen og mellomværende med statskassen

1.7 Vedlegg

A. Datatilsynets oppgaver – artikkel 57 nr. 1 (personvernforordningen)

Uten at det berører andre oppgaver fastsatt i denne forordning, skal hver tilsynsmyndighet på sitt territorium

1. føre tilsyn med og håndheve anvendelsen av denne forordning,

2. fremme allmennhetens kjennskap til og forståelse for risikoer, regler, garantier og rettigheter i forbindelse med behandling. Aktiviteter rettet spesielt mot barn skal vies særlig oppmerksomhet,

3. rådgi, i samsvar med medlemsstatenes nasjonale rett, det nasjonale parlament, regjeringen og andre institusjoner og organer om lovgivning og administrative tiltak knyttet til vern av fysiske personers rettigheter og friheter ved behandling,

4. fremme de behandlingsansvarliges og databehandlernes kjennskap til de forpliktelsene de har i henhold til denne forordning,

5. på anmodning informere registrerte om utøvelse av de rettighetene de har i henhold til denne forordning og, dersom det er relevant, samarbeide med tilsynsmyndighetene i andre medlemsstater om dette,

6. behandle klager som er inngitt av en registrert eller et organ, en organisasjon eller en sammenslutning i samsvar med artikkel 80, og undersøke, i den grad det er hensiktsmessig, klagens gjenstand og underrette klageren om forløpet og utfallet av undersøkelsen innen en rimelig frist, særlig dersom det er behov for videre undersøkelse eller samordning med en annen tilsynsmyndighet,

7. samarbeide med andre tilsynsmyndigheter, herunder ved å utveksle informasjon og yte gjensidig bistand, for å sikre ensartet anvendelse og håndheving av denne forordning,

8. gjennomføre undersøkelser om anvendelsen av denne forordning, herunder på grunnlag av informasjon mottatt fra en annen tilsynsmyndighet eller en annen offentlig myndighet,

9. følge relevant utvikling, i den grad den har innvirkning på personvern, særlig utviklingen innen informasjons- og kommunikasjonsteknologi og handelspraksis,

10. vedta standardavtalevilkår som nevnt i artikkel 28 nr. 8 og artikkel 46 nr. 2 bokstav d),

11. opprette og vedlikeholde en liste i forbindelse med kravene til vurderingen av personvernkonsekvenser i henhold til artikkel 35 nr. 4,

12. gi råd om behandlingsaktivitetene nevnt i artikkel 36 nr. 2,

13. oppmuntre til utarbeiding av atferdsnormer i henhold til artikkel 40 nr. 1 og avgi uttalelse om og godkjenne slike atferdsnormer som gir tilstrekkelige garantier, i henhold til artikkel 40 nr. 5,

14. oppmuntre til innføring av mekanismer for personvernsertifisering samt personvernsegl og -merker i henhold til artikkel 42 nr. 1, og å godkjenne kriteriene for sertifisering i henhold til artikkel 42 nr. 5,

15. dersom det er relevant, foreta en regelmessig gjennomgåelse av sertifiseringene utstedt i samsvar med artikkel 42 nr. 7,

16. utarbeide et utkast til og offentliggjøre kravene for akkreditering av et organ med ansvar for tilsyn med atferdsnormer i henhold til artikkel 41 og et sertifiseringsorgan i henhold til artikkel 43,

17. foreta akkreditering av et organ med ansvar for overvåking av atferdsnormer i henhold til artikkel 41 og et sertifiseringsorgan i henhold til artikkel 43,

18. godkjenne avtalevilkår og bestemmelser som nevnt i artikkel 46 nr. 3,

19. godkjenne bindende virksomhetsregler i henhold til artikkel 47,

20. bidra i Personvernrådets arbeid,

21. føre interne registre over overtredelser av denne forordning og over tiltak som er truffet i samsvar med artikkel 58 nr. 2, og

22. utføre enhver annen oppgave knyttet til vern av personopplysninger.

B. Høringsuttalelser

Tabellen viser en oversikt over høringer Datatilsynet har hatt merknader til i 2022. (Tabellen er sortert etter hvem som har sendt ut høringen.)

C. Saker sendt til Personvernnemnda

Tabellen viser alle sakene Datatilsynet har sendt til Personvernnemnda (PVN) for klagebehandling og som er registrert hos nemnda i 2022.

D. Sanksjoner

Tabellen viser en oversikt over alle vedtakene Datatilsynet har fattet om overtredelsesgebyr (OTG) i gjennom 2022: