2 Årsrapporten til Datatilsynet for 2017

2.1 Leders beretning

2.1.1 2017 – Året før året

Et av de mest populære programmene på NRK heter «Dagen før dagen», og sendes på lille juleaften. Det er en oppkjøring til selveste julekvelden – med steking av juleribbe, julesanger og stemning så intens hyggelig at det kanskje kan tippe litt over noen ganger.

For Datatilsynet har 2017 vært «året før året». Årsaken er selvsagt at 2018 er året da den nye personvernforordningen trer i kraft, og 2017 har vært året da vi har gått og gledet oss, men samtidig hatt den samme følelsen som i desember: Det er mye å gjøre, vi er ganske så stressa, det er masse rydding og klargjøring, og litt angst, men vi vet vi kommer i mål og vi gleder oss til å åpne pakkene.

2017 har vært året da vi som jobber med personvern opplever at det er vi som må holde igjen fordi venner og bekjente gjerne vil snakke om personvern. Det var året da alle piler pekte oppover; vi mottok flere klager, flere avviksmeldinger og flere henvendelser om veiledning enn året før. Vi holdt mer enn dobbelt så mange foredrag som i 2016, og vi kunne med letthet ha holdt mange til dersom vi hadde hatt kapasitet.

Det var også året da vi for første gang så hva det betyr å ta lett på datasikkerheten i helsesektoren. Vi varslet overtredelsesgebyr på til sammen 7,2 millioner kroner mot ni helseforetak i Helse Sør-Øst fordi det var gjennomført mangelfulle utredninger av personvernkonsekvenser. Resultatet var det aller beste: Det ble gjennomført en snuoperasjon av hele prosessen, og i skrivende stund pågår nye vurderinger av en helt annen kvalitet enn tidligere. Vi påla også stans i behandlingen av data i tre smartklokker som ble solgt som trygghetsprodukter for barn. Resultat var at to av importørene gjorde så store endringer at pålegget kunne oppheves, den tredje kastet kortene fordi våre krav ikke kunne oppfylles.

Det har også vært et år med stor produksjon av veiledningsmateriale. En viktig del av vår nye strategi er å gjøre de næringsdrivende i stand til å følge det nye regelverket. For et lite tilsyn med 45 ansatte er det selvsagt en umulig oppgave å gi detaljerte råd til landets mange tusen private og offentlige virksomheter. Vi tar derfor det generelle informasjonsarbeidet på stort alvor. Vi har for eksempel utarbeidet god informasjon om personvernombud og om innebygd personvern. Da en veileder om sistnevnte ble lansert, kom det 750 personer – i tillegg fulgt minst 1500 strømmingen. Veilederen ble utarbeidet i samarbeid med næringsdrivende, har fått stort gjennomslag i Norge og blitt lagt merke til internasjonalt. Ut over dette har besøk på hjemmesiden vår økt med hele 245 prosent, og antall personvernombud har økt med 40 prosent.

Den nye personopplysningsloven blir vårt viktigste arbeidsverktøy i mange år framover. Det har derfor vært viktig for oss å gi innspill i lovprosessen. Vi skrev en meget omfattende høringsuttalelse på 105 sider, med en juridisk kvalitet jeg er svært stolt av.

Vi noterer med glede at det nye lovverket blant annet inneholder forslag om å oppheve konsesjonsplikten, noe som særlig vil få betydning i helsesektoren. Vi har lenge ment at konsesjonenes tid er forbi, og at den enkelte sektor selv må ta ansvar for å opptre i overensstemmelse med loven. Dette er i tråd med det nye regelverkets intensjon.

For et land som ikke er med i EU, er det alltid en fare for å bli stående på gangen. Det etableres nå et nytt organ i EU, det såkalte European Data Protection Board, som får en svært viktig funksjon i å fortolke og koordinere praktiseringen av det nye regelverket. Vi har jobbet hardt for å få innflytelse i forgjengeren til dette organet, Artikkel 29-gruppen (Article 29 Working Party) som er den øverste rådgivende forsamlingen for EU-kommisjonen i spørsmål om personvern og informasjonssikkerhet, og mener vi har lykkes godt med det. Vi deltar i flere viktige undergrupper, har vært medrapportør på flere viktige dokumenter og holdt presentasjoner på plenumsmøtet. Vi er derfor godt posisjonert for innflytelse også i det nye organet, og håper vi får en god tilpasningsavtale slik at vi fortsatt kan bidra inn i dette viktige arbeidet.

Vi forlater 2017 i spent forventning til hva det nye året vil bringe. Vi er godt rigget til hva som måtte komme, og vi gleder oss til å forhåpentligvis begynne å bruke julegavene den 26. mai 2018.

2.1.2 De viktigste prioriteringene i 2017

Datatilsynets hovedmål er et godt personvern for alle. Den klart viktigste prioriteringen i 2017 har vært å forberede både egen organisasjon og andre virksomheter på de nye personvernreglene som trer i kraft i mai 2018, og vi har valgt å særlig prioritere personvern i helse- og velferdssektoren, samt morgendagens teknologi. Dette siste er en bred satsning hvor vi ser på hvordan personvernet kan ivaretas på en god måte i et samfunn preget av teknologi. Vi har blant annet sett nærmere på kunstig intelligens, personvernfremmende teknologier, innebygd personvern og droner.

Innen helsesektoren pågår det store endringer, både gjennom ny teknologi og lovgivning. Dette, sammen med at det i sektoren behandles svært beskyttelsesverdige opplysninger om de fleste innbyggerne, gjør at dette området hadde prioritet også i 2017.

Prioriteringene betyr at vi har begrenset aktiviteten vår på andre viktige områder, slik som arbeidsliv og telekommunikasjon. Vi gjennomfører likevel aktiviteter som faller utenfor de prioriterte områdene, vi har bare tonet dem noe ned.

2.1.2.1 Ny overordnet strategi

En annen viktig oppgave var vedta en ny strategi for 2018–20. Den ble lansert i november 2017, og her ser vi på de utviklingstrekkene som særlig utfordrer personvernet, slik som kunstig intelligens, tingenes internett og bruk av stordata. Vi trekker også fram at data er makt, og at overvåking og intensiv bruk av personopplysninger blant annet kan medføre en nedkjølingseffekt i samfunnet vårt.

De strategiske målene peker ut den retning vi vil gå i de neste årene. Vi vil blant annet jobbe for en mer rettferdig maktbalanse mellom individet på den ene siden, og kommersielle aktører og det offentlige på den andre siden. Vi vil særlig konsentrere oss om aktører med en forretningsmodell som utfordrer personvernet.

I tillegg vil vi jobbe for å fremme personvernvennlig digitalisering, innovasjon og utvikling, og vi vil jobbe for at norske virksomheter forstår viktigheten av et godt personvern.

2.1.3 Overordnet vurdering av årets resultater

Som det fremgår flere steder i denne rapporten, har 2017 vært sterkt preget av det nye personvernregelverket. Vi har opplevd en sterkt øktende interesse for personvern og for Datatilsynets arbeid, og vårt inntrykk er at personvernregelverket blir stadig bedre kjent blant norske virksomheter.

Vi har samtidig utarbeidet den mest omfattende og etterspurte veilederen vi noen gang har utarbeider, veilederen om innebygd personvern. Vi har også behandlet det mest omfattende sakskomplekset i vår historie, nemlig sakene mot helseforetakene i Helse Sør-Øst. Vi har heller aldri vært så aktive på den internasjonale arena som nå.

Vår overordnede vurdering er derfor at vi har lagt bak oss et godt år, og vi er fornøyde med de resultatene vi har oppnådd.

For en grundigere vurdering av resultatoppnåelsen, viser vi til delen om analyse og vurdering av resultatet under hver hovedprioritet i kapittel 3.

Bjørn Erik Thon

Direktør

2.2 Introduksjon til virksomheten og hovedtall

2.2.1 Omtale av virksomheten og samfunnsoppdraget

Datatilsynet ble opprettet i 1980, og er et uavhengig forvaltningsorgan under Kommunal- og moderniseringsdepartementet (KMD). Vårt hovedmål er å bidra til at personvernlovgivningen etterleves, og at alle skal ha beskyttelse i tråd med gjeldende personopplysningsregelverk.

Vi skal også fremme personvern som en sentral verdi i samfunnet og være ombud i personvernspørsmål. Vi skal både delta i personverndebatten og sette dagsorden, vi skal undersøke og dele fakta om personvernets kår både nasjonalt og internasjonalt, og vi skal jobbe for at personvernet ivaretas også på områder som faller utenfor vårt tilsynsområde.

Personvern handler enkelt sagt om retten til et privatliv og retten til å bestemme over egne personopplysninger. Personvern er en menneskerettighet som skal sikre hensynet til den enkeltes personlige integritet, men det er også en ideell interesse og svært viktig for å sikre felles goder i et demokratisk samfunn. Datatilsynet må derfor jobbe aktivt for å oppnå en god ivaretagelse av personvernet i avveiingen mot andre samfunnsinteresser.

2.2.1.1 Organisasjonen

Datatilsynet ledes av direktør Bjørn Erik Thon. Ledergruppen har i 2017 bestått av tre menn og én kvinne.

Datatilsynet har hatt 47 årsverk til disposisjon (56 prosent kvinner og 44 prosent menn). Av disse årsverkene er 40 faste stillinger. Fem årsverk er engasjementer opprettet for å forberede gjennomføring av nytt personvernregelverk. To årsverk har vært knyttet til andre oppgaver innen arkiv og drift- og brukerstøtte innen IKT. I 2017 har vi i tillegg hatt to studenter og én lærling tilsatt deler av året.

2.2.1.2 Budsjett

Datatilsynets budsjett dekker kostnader til drift og løpende oppgaver. I 2017 ble vi tildelt til sammen 50 639 000 kroner. Dette var en økning på 5 052 000 kroner fra 2016. Økningen skyldes den nye ordningen med at pensjonspremie til Statens Pensjonskasse fra 2017 skal betales av Datatilsynet. Beløpet var beregnet til 4 377 000 kroner.

Når overføringene fra 2016 var gjort og tilleggsbevilgning lagt til, hadde vi totalt 52 805 000 kroner til disposisjon i 2017. Fordelt på lønn og drift utgjorde lønnsutgiftene 37 808 000 kroner (71,5 prosent). Driftsutgiftene utgjorde 15 017 000 kroner (28,5 prosent). Lønn per årsverk var i gjennomsnitt 804 425 kroner, inklusive pensjonspremie.

2.2.2 Presentasjon av hovedtall siste fire år

2.2.2.1 Tilsynsvirksomheten

Gjennomføring av tilsyn/kontroll er en viktig aktivitet for å nå målene våre. Vi skal gjennomføre tilsyn på prioriterte områder basert på risikoanalyse. Vi skal videre systematisere og kommunisere funnene, samt følge opp etterlevelsen av pålegg. Hvilke virksomheter vi faktisk velger å kontrollere, faller normalt i to kategorier; virksomheter hvor vi antar at det er en særskilt risiko, og representative virksomheter hvor vi ønsker å avdekke status innenfor en sektor eller et tematisk område.

På grunn av forberedelsen til ny personvernforordning, ble tilsynsaktiviteten prioritert vesentlig ned i 2017. Vi gjennomførte totalt 24 tilsyn, de fleste initiert våren 2017. I tillegg kom etterarbeid på et stort antall tilsyn gjennomført i 2016, særlig på helseområdet. Vi deltok også som observatør på tilsyn som Norges vassdrags- og energidirektorat (NVE) gjennomførte med automatiske målersystemer (AMS) i kraftbransjen.

I mange tilfeller gjennomføres planlagte kontroller som en skriftlig prosess, uten at vi er på fysisk besøk hos virksomheten. Dette er i tilfeller der det vi ønsker å undersøke er mulig å få avklart uten et stedlig oppmøte. I 2017 gjennomførte vi dessuten en rekke tilsyn med kommuner ved å gjennomgå deres publisering på nett av saksdokumenter.

Totalt ble det i 2017 gjennomført fire stedlige og syv brevlige tilsyn, samt 13 kontroller av nettsteder.

De brevlige tilsynene skiller seg fra bruk av de samme kontrollhjemlene i øvrig saksbehandling ved at de er en planlagt undersøkelse av konkrete forhold i virksomhetene.

Se fullstendig oversikt over våre gjennomførte kontroller under «Vedlegg».

2.2.2.2 Saksbehandlingen

Saksbehandling er en av Datatilsynets viktigste oppgaver. De fleste av sakene som vi mottar blir behandlet i sin fulle bredde. Samtidig blir en del henvendelser tatt hånd om i veiledningssporet.

I 2017 startet arbeidet med å få ned antallet saker som behandles etter personopplysningsloven, før det nye regelverket trer i kraft. Vi har i derfor senket aktiviteten noe i forbindelse med andre oppgaver, slik som veiledningsmøter og eksterne foredrag. Dette gjaldt særlig i andre halvdel av året. I kortere perioder har vi satt av alle ledige ressurser til saksbehandling, noe som gjorde at vi gikk inn i 2018 med svært lave restanser.

Antall saker, saksdokumenter og klager

I løpet av 2017 har vi mottatt et rekordhøyt antall saker og saksdokumenter. Vi mottok 1 807 nye saker, og til sammen 3 860 dokumenter, mot 1 745 innkomne saker og 3 435 dokumenter i fjor. Gjennomsnittlig antall innkommende saker de foregående fem årene er 1 440. Det dreier seg med andre ord om en betydelig økning innkomne saker i 2017 – omlag 25 prosent – hvis vi sammenligner med de siste årene.

Dette skyldes etter alt å dømme økt interesse for og oppmerksomhet om personvern. Som vist flere steder i denne meldingen peker alle piler oppover hva angår personvern. Det er ikke overraskende at dette også gjelder enkeltsaker. Vi mistenker også at mange virksomheter nå har fått opp øynene for viktigheten av å ivareta personvernet til kundene sine, og at dette for eksempel genererer flere henvendelser om forståelse av regelverket.

Dokumenter

Antallet enkeltvedtak er også det høyeste på mange år. Vi har fattet hele 683 enkeltvedtak i løpet av 2017, mot henholdsvis 564, 595 og 525 de foregående årene. Også her har det altså vært en betydelig økning. En del av denne økningen kan forklares med at vi fattet hele 234 vedtak om personvernombud i løpet av året.

Klagesaker

Vi mottok bare 39 klager på våre vedtak i løpet av 2017, noe som prosentvis ligger på gjennomsnittet for de siste årene. I løpet av 2017 ble 20 klagesaker oversendt til Personvernnemnda for endelig klagebehandling der. I seks saker ble vedtakene omgjort etter at vi så på dem på nytt og det i flere av dem kom inn nye opplysninger i sakene. Per 31. desember 2017 var ikke alle klagesakene ferdigbehandlet. Av klagesakene som ble behandlet av nemnda i løpet av året, fikk klager fullt eller delvis medhold i åtte saker.

Klageomfanget er med andre ord svært lavt sett i forhold til antall avgjørelser vi fatter i form av vedtak, og vi opplever stort sett at vedtakene våre blir akseptert.

Se fullstendig oversikt over alle sakene Datatilsynet sendte til Personvernnemnda for klagebehandling i 2017 under «Vedlegg».

Sanksjoner

Datatilsynet fattet vedtak om overtredelsesgebyr/tvangsmulkt i 16 saker i løpet av 2017. Ett overtredelsesgebyr ble omgjort i Personvernnemnda og derfor trukket, mens ett pålegg om tvangsmulkt ble trukket da virksomheten oppfylte alle kravene innen fristen. Tre av sakene er fremdeles til behandling hos nemnda.

Gebyrene var i størrelsesordenen 37 500 til 400 000 kroner. Det høyeste gebyret ble ilagt etter at Datatilsynet under stedlig kontroll avdekket at Oslo universitetssykehus ulovlig hadde samlet inn og behandlet helseopplysninger og biologisk materiale. Det er også fattet vedtak om tvangsmulkt i saker om ulovlig kameraovervåking og overtredelse av pasientjournalloven.

Se fullstendig oversikt over alle sanksjonene som ble vedtatt i 2017 under «Vedlegg».

Konsesjoner

Antallet konsesjoner gitt i 2017 er 183. Dette innebærer en liten nedgang sammenlignet med de to foregående årene. Dette har sannsynligvis ingen annen forklaring enn at antallet varierer fra ett år til et annet. Vi mottok 238 konsesjonssøknader i løpet av året. Om lag 150 av søknadene gjaldt forskning på sensitive personopplysninger. 40 av søknadene dreide seg om dopingkontroll i treningssentre. 183 av konsesjonssøknadene resulterte i enkeltvedtak. I 15 av sakene ble det gitt fullt avslag, mens 105 av sakene var endringsvedtak. Et lite antall søknader fra 2017 vil bli behandlet ferdig i 2018.

Avviksmeldinger

Datatilsynet mottok 349 avviksmeldinger i løpet av året. Dette innebærer en betydelig økning sammenlignet med året før, da vi mottok 206 slike meldinger. Rapporterte avvik er en indikator på hvor godt virksomhetene fanger opp avvik, og hvor godt de kjenner til den forskriftsfestede rapporteringsplikten.

Når det nye regelverket trer i kraft, må det flere typer avvik meldes, det innføres krav til innhold i avviksmeldingen og en tidsfrist på 72 timer på å melde fra. Vi vurderer det slik at den betydelige økningen i 2017 skyldes økt bevissthet om avvik blant de behandlingsansvarlige, og at en del virksomheter allerede har etablert rutiner for avvikshåndteringen som følger av de nye kravene. Dette er meget positivt, men sannsynligvis bare et forsiktig frempek på hva vi må forvente av avviksmeldinger i årene som kommer.

Når det gjelder innhold, kan avviksmeldingene for eksempel gjelde datainnbrudd, uautorisert utlevering av konfidensielle personopplysninger, passord på avveier, feilaktig publisering av personopplysninger på nettet og lignende.

Høringer

Datatilsynet mottok 175 høringssaker, og har avgitt 53 høringsuttalelser med merknader i løpet av 2017. Den mest omfattende uttalelsen, som var på over 100 sider, ble gitt til Justis- og beredskapsdepartementets forslag til ny personopplysningslov. En annen omfattende høringsuttalelse ble gitt til Lysne II-utvalgets rapport om digitalt grenseforsvar. Datatilsynet har videre hatt merknader til forslag til ny finansavtalelov, ny straffeprosesslov, ny barnevernlov, hvitvaskingslovutvalgets utredning, forslag om nytt fødselsnummer, en rekke endringsforslag i politiregisterloven, utlendingslovgivningen og forskrift om førerløse luftfartøy.

Se fullstendig oversikt over våre høringsuttalelser under «Vedlegg».

Offentlighetsloven og innsynskrav

Via offentlig elektronisk postjournal (OEP) mottok vi nesten 3 000 innsynsbegjæringer i løpet av 2017. Dette er det høyeste tallet på mange år. Samtidig har antall avslåtte begjæringer gått ned, og prosentvis er antall sladdede dokumenter sendt ut det laveste på flere år sett i forhold til begjæringene vi fikk inn.

Vi bestreber oss på etterleve offentlighetslovens mål om åpenhet, og vi legger ned store ressurser i utførelsen av de oppgavene som offentlighetsloven pålegger oss. Tallene fra fjoråret reflekterer at vi er på rett vei. En stor del av informasjonen som unntas, er av informasjonssikkerhetsmessig karakter, og er beskyttet av bestemmelsen om taushetsplikt i personopplysningsloven § 45.

Våre interne rutiner sørger for at både arkivet og saksbehandlerne vurderer hvilke dokumenter som kan unntas fra offentlighet. Når et dokument er vurdert én gang, gjenbrukes denne beslutningen dersom opplysningene bes utlevert på nytt.

2.2.2.3 Veiledningstjenesten

Datatilsynets veiledningstjeneste er et lavterskeltilbud for publikum som har spørsmål om behandling av personopplysninger. Et viktig mål med tjenesten er å gjøre enkeltpersoner i stand til å ivareta egne interesser i saker som gjelder personvern, og bistå virksomheter i å følge pliktene i personvernlovgivningen.

Det er stort spenn i spørsmålene, og de er av både juridisk, teknisk og sikkerhetsmessig art. Svarene vi gir er av veiledende karakter og er ikke bestemmende for rettigheter eller plikter, i motsetning til vedtak som fattes i den mer tradisjonelle saksbehandling.

I løpet av 2017 har veiledningstjenesten besvart 10 424 henvendelser. Dette består av 5 128 henvendelser på e-post og 5 296 per telefon. Sammenlignet med 2016 er dette en oppgang på 1 141 henvendelser.

Vi ser at antall e-poster har økt betraktelig, mens antall telefonhenvendelser har sunket noe. Dette kan forklares med at vi har halvert åpningstiden vår på telefon. Nedgangen har likevel vært mye mindre enn forventet. Realiteten er derfor at veiledningstjenesten svarer på omtrent like mange telefonhenvendelser som i 2016, men i et kortere tidsrom. Tallene viser at personvern opptar mange, og at det er et stort behov for veiledning.

Vi fører statiststikk over henvendelsene som besvares av veiledningstjenesten. Vi registrerer hva som er tema for henvendelsen og hvilken sektor henvendelsen hører under. I tillegg registrerer vi om henvendelsen dreier seg om den nye personvernforordningen, om det gjelder en sak som er til behandling hos oss, om henvendelsen dreier seg om arbeidsliv og om det er et spørsmål om personvernet til noen under 18 år. Dette gjør vi for å få en bedre oversikt over henvendelsene vi mottar. Denne kunnskapen kan blant annet benyttes til å tilpasse veiledningen på nettsidene våre.

Hvem tar kontakt med oss?

Statistikken viser at omtrent 53 prosent av de som tar kontakt med veiledningstjenesten er representanter for virksomheter, mens 47 prosent er privatpersoner. I 2016 var fordelingene 51 prosent virksomheter og 49 prosent privatpersoner. Det er derfor en liten økning i spørsmål fra virksomheter.

Når det gjelder spørsmål som dreier seg om den nye personvernforordningen, kommer de aller fleste spørsmålene fra virksomheter. Dette er naturlig da det er virksomhetene som primært forbereder seg til det nye regelverket.

Hva handler henvendelsene om?

Her følger en kort oppsummering av de mest sentrale kategoriene. Merk at tallene ikke vil være fullstendig dekkende, da flere av temaene vi får spørsmål om vil kunne plasseres i ulike kategorier.

Nedenfor er en oversikt over henvendelsene fordelt på hovedtema. Hvert hovedtema har igjen seks undertemaer. På den måten kan vi få et nokså greit bilde av hva som treffer oss av spørsmål.

Register

20 prosent av henvendelsene til veiledningstjenesten var ulike spørsmål knyttet til en eller annen form for register. Dette representerer en liten økning fra 17 prosent i 2016. Spørsmålene dreier seg om hva som kan registreres i ulike registre, når og hvordan man kan kreve å få slettet informasjon og hvem som har tilgang til opplysningene i registrene. Videre får tjenesten en del spørsmål om i hvilken grad det kan utleveres informasjon fra et register til en tredjepart.

30 prosent av henvendelsene gjelder kunde- og medlemsregistre, og 24 prosent er spørsmål knyttet til personalregistre. Vi får også en del spørsmål om journalopplysninger (helse, NAV, barnevern og lignende), samt registrering i forbindelse med kredittopplysningsvirksomhet.

Kameraovervåking

Kameraovervåking er en annen stor kategori som utgjorde 14 prosent av henvendelsene. Denne kategorien er nokså stabil sammenlignet med 2016, da den utgjorde 15 prosent.

60 prosent av disse henvendelsene gjelder spørsmål om virksomheter har anledning til å iverksette kameraovervåking. Eksempler på slike virksomheter er butikker, kjøpesentre, arbeidsplasser, skole og helseinstitusjoner. Det er mange arbeidstakere som tar kontakt fordi de føler seg urettmessig overvåket. Vi mottar også en del spørsmål om kameraovervåking i borettslag/sameier, ved hytter og i private boliger. Andre vanlige spørsmål er bruk av webkamera, samt spørsmål om lovligheten av kameraer i for eksempel naturen, i båthavner eller på andre offentlige områder.

Internett

Ulike henvendelser om internett sto for åtte prosent av henvendelsene. Dette er samme andel som i 2016. Hele 43 prosent av disse henvendelsene er spørsmål som gjelder publisering og sletting av personopplysninger (slik som bilder eller kameraopptak) på nett.

Veiledningstjenesten får også en del spørsmål om behandling av personopplysninger i nettbutikker og på ulike former for ratingsider. Også spørsmål knyttet til kontroll, sporing og sikkerhet på internett går igjen. Ellers får vi en god del spørsmål om avindeksering av søketreff i Google.

Sporing og kontroll

Denne kategorien utgjør 11 prosent av henvendelsene og består hovedsakelig av spørsmål knyttet til kontroll og sporing i arbeidslivet. Av disse gjelder 30 prosent arbeidsgivers innsyn og tilgang til arbeidstakers epostkasse, hjemmeområde og telefon. Et annet stort tema er problemstillinger som gjelder GPS og annen sensorteknologi. Tilgangskontroll og lydopptak går også igjen. Denne kategorien er stabil, og temaene for henvendelsene er omtrent identiske med 2016.

Melding og konsesjon

Syv prosent av henvendelsene gjaldt spørsmål om melding og konsesjon. 66 prosent er spørsmål om hvorvidt en behandling er melde- eller konsesjonspliktig. I likhet med i fjor utgjør dette den største andelen av henvendelsene. Det er også endel spørsmål om endring og oppfølging av melding og konsesjon, og hvordan meldinger og konsesjoner skal leveres.

Internkontroll og informasjonssikkerhet

Spørsmål knyttet til informasjonssikkerhet og internkontroll utgjorde åtte prosent av henvendelsene. Dette er omtrent på samme nivå som i fjor. Det er stor variasjon i disse spørsmålene. Bruk av skytjenester er et gjentagende tema, i tillegg til spørsmål om sikker lagring, tilgangsstyring og overføring av personopplysninger.

Fødselsnummer og biometri

Dette er en liten kategori som kun utgjør av to prosent av henvendelsene. Sammenlignet med fjoråret er det en nedgang fra fire prosent. Det handler i stor grad om privatpersoner som reagerer på at de i ulike sammenhenger må oppgi fødselsnummer, eller at de melder om at deres fødselsnummer er kommet på avveier. Det er også noen spørsmål fra virksomheter om hvorvidt de har lov til å benytte seg av fødselsnummer. Et fåtall av henvendelsen dreier seg om lovligheten av å bruke fingeravtrykk.

Overføring til utlandet

Kun to prosent av spørsmålene gjelder overføring av personopplysninger til utlandet som representerer en liten nedgang fra fire prosent i 2016. De fleste spørsmålene kommer fra virksomheter som ønsker råd for hvordan de skal gjennomføre en lovlig og sikker overføring av personopplysninger.

Personvernombud

Spørsmål knyttet til personvernombudsordningen utgjorde tre prosent av henvendelsene til veiledningstjenesten. Flere av spørsmålene har sammenheng med at personvernombudsordningen blir obligatorisk for mange virksomheter i 2018. Flere virksomheter lurer derfor på om de må ha ombud. Ellers er det en del spørsmål om hvordan man registrerer seg som ombud.

Annet om behandlinger av personopplysninger

Denne kategorien sto for av syv prosent av henvendelsene, og består av små temaer som spørsmål om id-tyveri, avvikssaker og spørsmål knyttet til bruk av personopplysninger til journalistiske, kunstneriske eller litterære formål. Også spørsmål av mer generell karakter om personopplysningsloven og Datatilsynet havner her. Personvernombud er i år skilt ut fra denne kategorien, så sammenligningsgrunnlaget med 2016 blir ikke helt presist.

Utenfor vår kompetanse

Seks prosent av henvendelsene knytter seg til spørsmål som faller utenfor Datatilsynets kompetanse. Dette er spørsmål som er regulert av andre lover, slik som spørsmål knyttet til offentlighetsloven eller om brudd på taushetsplikt etter forvaltningsloven.

En del av henvendelsene som kommer til veiledningstjenesten har tema går på tvers av sektorer og kategorier:

Spørsmål knyttet til arbeidsliv

Spørsmål knyttet til personvern i arbeidslivet har tradisjonelt sett utgjort en stor andel av henvendelsene til veiledningstjenesten. Det sjekkes derfor alltid om henvendelsen gjelder personvern i arbeidslivet. I 2017 har 19 prosent av henvendelsene dreid seg om arbeidsliv. Dette er en liten nedgang sammenlignet med 2016. Kategorien er imidlertid nokså stabil da det har ligget på rundt 20 prosent i flere år. Mange av spørsmålene handler om kontroll og overvåking av ansatte. Det er spørsmål om kameraovervåking på arbeidsplassen, innsyn og sletting av ansattes e-post, samt adgangskontroll og logging av arbeidsinnsats. Vi får også spørsmål om bruk av GPS-sporing og annen sporing av ansatte.

Spørsmål om personvernet til en under 18 år

For å danne oss et bilde av hvor mange henvendelsene som dreier seg om personvernet til barn og unge, fører vi dette som en egen kategori. Vi ser at fire prosent av henvendelsene dreier seg om dette. Også her kan det være noe underrapportert i statistikken, siden dette også er en «ekstrakategori» det er lett å glemme å føre opp. Av disse henvendelsen dreier 20 prosent seg om publisering og sletting av personopplysninger på nett (blant annet sosiale medier), 23 prosent dreier seg om registre og 12 prosent handler om kameraovervåking.

2.3 Årets aktiviteter og resultater

2.3.1 Innledning

I dette kapittelet vil vi gi en redegjørelse for, samt analysere og vurdere, resultatene vi har oppnådd slik de er fastsatt i økonomiinstruksen og tildelingsbrevet. Vi redegjør for hver enkelt hovedprioritering med følgende struktur:

• Kort innledning

• Prioritering og valg av aktiviteter innenfor hver hovedprioritering

• Analyse og vurdering av resultater

• Ressursbruk knyttet til hovedprioriteringen

• Samlet vurdering av ressursbruken

Vi gir så til sist en samlet vurdering av hvordan Datatilsynets valg av aktiviteter og bruk av ressurser har bidratt til å nå hovedmålet.

2.3.1.1 Overordnede prioriteringer og valg av aktiviteter

Etter en bred intern diskusjon, besluttet Datatilsynet følgende prioriteringer for 2017:

• Innføring av ny personvernforordning

• Innebygd personvern og teknologi som kan være personvernfremmende

• Helse og velferd

• Kunstig intelligens, roboter og personvern i algoritmenes tid

Begrunnelsen for disse prioriteringene framgår av innledningen under hvert punkt nedenfor.

2.3.2 Innføring av ny personvernforordning

2.3.2.1 Innledning

Den store regelverksendringen som EUs nye personvernforordning fører med seg, har som nevnt vært en betydelig oppgave for Datatilsynet i 2017, og vil også være det i årene som kommer.

Arbeidet ble begynt i Datatilsynet i 2015 og intensivert i 2016 og 2017. Vi har fulgt regelverksutviklingen i EU meget tett, og har prioritert internasjonal tilstedeværelse. I tillegg har vi påtatt oss oppgaver i regi av EU for å være best mulig forberedt når forordningen trer i kraft. Samarbeidet med de nordiske datatilsynsmyndighetene er også intensivert i forbindelse med dette arbeidet.

I løpet av 2017 har vi tilegnet oss mer kunnskap om de nye reglene og hvilke endringer det regelverket vil medføre for virksomheter som behandler personopplysninger, de registrertes rettigheter og Datatilsynet som forvaltningsorgan. Vi har i løpet av året gjennomført de interne prosessene som ble satt i gang i 2016 for å forberede organisasjonen på å ivareta vår samfunnsoppgave og vårt mandat etter mai 2018.

Datatilsynet har deltatt i en tverrdepartemental arbeidsgruppe som ledes av Justis- og beredskapsdepartementet, og som er knyttet til implementeringen i norsk rett. Vi samarbeider også med departementet om den formelle innføringen av forordningen i EØS-avtalen, og vi har bistått departementene med innspill i forbindelse med regelverksarbeidet.

Gjennomføringen av arbeidet med personvernforordningen var i 2016 og frem til høsten 2017 organisert i fem delprosjekt:

• Nytt regelverk (juridisk). Dette delprosjektet hadde ansvar for å vurdere hva det nye regelverket betyr for Datatilsynet. Prosjektet holdt også i våre internasjonale forpliktelser, og vi hadde kontakt med Justisdepartementet om arbeidet med å innføre forordningen i norsk rett.

• IKT og prosess-støtte. Dette delprosjektet sørget for at vi har nødvendige og hensiktsmessige fagsystemer for å håndtere oppgavene våre etter nytt regelverk. Dette inkluderte gode løsninger for samhandling med eksterne parter og støtte i vår interne saksbehandling.

• Kommunikasjonsprosjektet. Delprosjektet håndterte de rene kommunikasjonsoppgavene knyttet til de nye reglene. Først og fremst skulle prosjektet legge til rette for at både offentlige og private virksomheter får den informasjon de trenger for å kunne etterleve det nye regelverket og for at innbyggerne får informasjon om sine rettigheter.

• Personvernombud. I dette delprosjektet ble tilpasningene av personvernombudsordningen til det nye regelverket håndtert. Ordningen går fra å være frivillig til å være obligatorisk for alle offentlige virksomheter og den vil også pålegge langt flere private virksomheter å opprette personvernombud. Delprosjektet har i tillegg til dette utredet hvordan den fremtidige opplæringen av personvernombud skal foregå.

• Web. I dette delprosjektet ble nødvendige endringer av plattform, struktur og innhold på vårt nettsted vurdert og satt i gang.

2.3.2.2 Prioritering og valg av aktiviteter

Høringsinnspill til forslag til ny personopplysningslov

Selv om forordningen viderefører mange rettigheter og plikter fra dagens regelverk, er det også mye som er nytt. Konsekvensene av endringene vil langt på vei måtte avklares i praksis i tiden som kommer. Samtidig er gjennomføringen i nasjonal rett, slik som avklaring av nasjonalt handlingsrom og valg av nasjonale reguleringer, svært viktig for å sikre god etterlevelse av forordningen. Videre er forordningsteksten svært omfattende og vanskelig tilgjengelig, og det er begrenset med rettskilder som direkte belyser hvordan reglene i forordningen er å forstå. Den kommende lovproposisjonen om ny personopplysningslov blir derfor etter vårt syn en viktig rettskilde, særlig når det gjelder kravene til nasjonalt regelverk. Vårt høringsinnspill til lovforslaget var derfor svært omfattende, og vi omtalte de fleste problemstillingene som ble tatt opp i høringen.

Som vi skrev i høringsuttalelsen, er vi i hovedsak enige i departementets beskrivelse av nasjonalt handlingsrom, og i departementets valg av områder som er gjenstand for nasjonale tilpasninger. Samtidig mener vi at det er forholdsvis mange problemstillinger departementet med fordel kunne ha gått nærmere inn i. Vi påpekte at vi gjerne skulle sett at høringsnotatet beskrev kravene som forordningen stiller til nasjonal lovgivning mer inngående.

Andre merknader i uttalelsen var at vi er kritiske til at begrepet «personvernombud» er foreslått erstattet med «personvernrådgiver». Vi er også kritiske til den foreslåtte bestemmelsen om behandling av sensitive personopplysninger for arkiv, forskning og statistiske formål, fordi vi mener at den ikke oppfyller kravene til klarhet i hjemmelsgrunnlaget. Vi mener videre det bør innføres en foreldelsesfrist for adgangen til å gi overtredelsesgebyr, og at det må vurderes å gi en straffebestemmelse for brudd på loven. Det bør gis overgangsregler for gjeldende konsesjoner. Når det gjelder barns samtykke ved informasjonstjenester støtter vi departementets forslag om en bestemmelse som setter en aldersgrense på 13 år.

Intern kompetansebygging og internorganisering

Datatilsynet har gjennomført opplæring for ansatte i samtlige sentrale bestemmelser i forordningen. Vi har også laget en plan for videre kompetansebygging, både knyttet til generelle temaer og spesifikt knyttet til aktuelle samfunnsområder og bransjer. I tillegg har det vært arrangert flere interne seminarer med forordningen som tema.

Vi har dessuten kartlagt og lagt planer for hvilke nye rutiner for praktisering av ulike bestemmelser i forordningen som må på plass før den trer i kraft. Eksempler på dette er rutiner for gjennomføring av forhåndsdrøftelser og saksbehandling etter samarbeids- og konsistensmekanismen.

Veiledning og ekstern opplæring om forordningen

Foredrag og arrangementet

Vi har i 2017 prioritert veiledning rettet mot virksomheter, og i 2017 holdt vi 417 foredrag. Dette er mer enn dobbelt så mange som i 2016. Samtidig har vi også takket nei til rekordmange henvendelser. Denne sterke økningen i antall foredragshenvendelser skyldes stor etterspørsel etter informasjon om de nye personvernreglene.

En del av økningen skyldes også at vi i større grad enn tidligere har brukt foredrag strategisk. Vi har henvendt oss til arrangører av konferanser og seminarer, eller inngått samarbeid med ulike aktører om et eller flere konkrete foredrag med generelle innlegg om personvern. Det har bidratt til at vi har nådd frem med vårt budskap til viktige målgrupper over hele landet. Vi har erfart at vi gjennom disse foredragssamarbeidene også har rekruttert flere ambassadører for budskapet om personvern blant interesseorganisasjoner, konsulentselskap og andre arrangører. I forbindelse med noen av arrangementene har vi også stått på stand. Dette har gjort oss synlige, tilgjengelige for å svare på spørsmål og gitt oss mulighet til lytte til innspill fra våre målgrupper.

Vi hadde også et eget arrangement på Arendalsuka, der vi hadde en innledning om personvernregelverket, og det var mulig å få en halvtimes deit med Datatilsynet.

Vi har ellers arrangert felles seminarer med, eller bidratt på seminarer i regi av, blant annet ISACA, Finans Norge, Regnskap Norge, IKT Norge, KINS og KS, Atea, DN, Dataforeningen og Kreditorforeningen. Dette for å nå flest mulig virksomheter som er berørt av lovendringene. På slike arrangementer formidler vi som oftest generell informasjon om forordningens bestemmelser.

I tillegg har vi holdt temabaserte foredrag om blant annet profilering, automatiserte beslutninger, informasjonsplikt, informasjonssikkerhet, avviksmeldinger, personvernombud og internasjonal samarbeid. Datatilsynet har også bistått eksterne aktører i etablering av kurs for personvernombud og deltatt med ressurser i gjennomføringen av slike opplæringskurs.

Veiledningstjenesten

EUs nye personvernforordningen trer som kjent i kraft i 2018. Vi valgte derfor å registrere hvor mange av henvendelsene vi får til veiledningstjenesten vår som gjelder spørsmål knyttet til den kommende forordningen. I 2016 dreide kun én prosent av spørsmålene seg om dette, mens vi ser en økning til ti prosent i år. Vi mistenker imidlertid at dette er noe underrapportert i statistikken, siden dette er en «ekstrakategori» det er lett å glemme å føre opp.

Statistikken viser likevel at det er en økning, noe som tyder på at forberedelsen til nytt regelverk er i gang for mange virksomheter. En stor andel av disse spørsmålene er generelle og lar seg ikke så lett kategorisere. Spørsmål knyttet til den nye personvernombudsordningen og spørsmål knyttet til informasjonssikkerhet går imidlertid igjen.

Nettsiden – veiledning og besøk

Vi bruker nettsidene våre aktivt for å spre informasjon om hvilke plikter virksomhetene har etter de nye reglene. Nettsidene inneholder oppdatert informasjon om veiledninger som er skrevet av EUs samarbeidsorgan på personvernområdet (Artikkel 29-gruppen), samt veiledninger som vi selv har utarbeidet – ofte med utgangspunkt i avklaringer som er foretatt internasjonalt. Dette gjelder blant annet personvernombud, innebygd personvern (omtalt i punkt 3.3 nedenfor) og personvern som standardinnstilling, håndtering av avvik og vurdering av personvernkonsekvenser.

Besøkene på nettstedet har gått kraftig opp i 2017. Antall besøk har økt med 244 prosent fra 2016 til 2017, mens antall sidevisninger har økt med 294 prosent i samme periode. Vi opplever stor interesse rundt den nye forordningen, og det nye regelverket er hovedårsaken til den enorme veksten.

Vi ser også at bruksmønsteret endrer seg i tråd med den generelle trenden når det gjelder nettstedstrafikk. Stadig flere bruker søk når de skal finne relevant innhold. Søkefeltet fikk også en fremtredende plass på det nye nettstedet vårt. Antall søk har økt med hele 76 prosent fra 2016.

Særlig om informasjon til kommunesektoren om nye personvernregler

Våre kontroller med kommunesektoren de siste årene har vist at mange kommuner har en lang vei å gå for å sikre at de etterlever personvernregleverket. I og med at det kommer nye og strengere krav til kommunenes håndtering av personopplysninger fra 2018, er det viktig at de setter personvern på agendaen. Vi sendte derfor et informasjonsbrev til alle rådmenn og fylkesrådmenn i mars 2017. I brevet beskrev vi vår erfaring med sektoren, ga råd om hvordan kommunene bør starte arbeidet med ny lov og informerte om vårt arbeid med sektoren.

I tillegg til å informere kommunesektoren om de nye reglene, har vi også holdt en rekke foredrag for sektoren, vært tilstede på konferanser og andre arrangement, deltatt i rådmannsutvalg, informert i fagpresse og samarbeidet med sektorens interesseorganisasjoner.

Mediehenvendelser

Vi har opplevd økning i antall mediehenvendelser og antall medieoppslag i 2017. Dette skyldes etter alt å dømme stor oppmerksomhet om det nye personvernregelverket.

Utarbeidelse av skjema, register for personvernombud, arkivrutiner, tekniske tilpasninger ol

Det vil bli en mangedobling av antall personvernombud når den nye loven trer i kraft. Vi har derfor jobbet med å etablere et register over personvernombud, og arbeidet ble på det nærmeste sluttført i 2017. Det er også utviklet et eget skjema i Altinn for melding av avvik. Begge disse oppgavene har krevd tekniske tilpasninger i eksisterende infrastruktur. I tillegg har vi jobbet med nye arkivrutiner og forenklet saksbehandlingsprosessen.

Deltagelse i internasjonalt arbeid

Internasjonalt samarbeid blir bare viktigere, ikke minst i lys av det nye regelverket som trer i kraft i 2018. Det er derfor viktig for oss å ha et godt internasjonalt nettverk.

Artikkel 29-gruppen er opprettet i henhold til personverndirektivet, og er den øverste rådgivende forsamlingen for EU-kommisjonen i spørsmål om personvern og informasjonssikkerhet. Her møter alle lederne for datatilsynsmyndighetene i EU og EØS. Norge har observatørstatus. Vi kan delta og bidra med vår faglige kompetanse i plenumsmøtene og undergruppene, men vi har ikke stemmerett.

I 2017 har Datatilsynet deltatt med to representanter på plenumsmøtene til gruppen. Det er holdt fem plenumsmøter i 2017, og Datatilsynet har vært representert på alle. I september presenterte vi veilederen vår om innebygd personvern på et av plenumsmøtene.

I tillegg er vi representert i ulike undergrupper. Datatilsynet er med i Cooperation Subgroup, Technology Subgroup, Key Provisions Subgroup og International Transfers Subgroup. Vi deltar også i undergruppen Future of privacy ved leilighet. Alle disse undergruppene forbereder saker for plenumsmøtene der de endelige avgjørelsene om rekommandasjoner, retningslinjer, FAQ-er og så videre blir fattet.

Vår deltakelse i Technology Subgroup gir oss mulighet til å fremme norske synspunkter i spørsmål om teknologi og juss. Undergruppen diskuterer også konsekvensene av nye teknologier som påvirker personvernet. Gruppen er en svært viktig informasjonskilde for oss. Vi fremmer også forslag til gruppen, og deltar som co-rapportør i forbindelse med utarbeidelsen av diverse dokumenter.

I Future of Privacy Subgroup foregår mange av diskusjonene om den nye forordningen. Vi er representert med en jurist, og har vært med i møtene som er avholdt i 2017.

Key Provisions Subgroup arbeider med de mest sentrale bestemmelsene i forordningen, og vi har deltatt i arbeidet med arbeidsgruppens retningslinjer om profilering, automatiserte avgjørelser og samtykke.

2.3.2.3 Analyse og vurdering av resultater

Selv om det er den enkelte virksomhet som har ansvaret for å etterleve regelverket, er Datatilsynets informasjonsvirksomhet og veiledning sentral for at norske virksomheter skal bli i stand til å følge regelverket.

Det er krevende å måle effekten av hvor godt vi har lykkes med dette når tusenvis av virksomheter og millioner av borgere er målgruppe. Vi er, tross dette, av den oppfatning at vår arbeid har en god effekt.

Vi opplever generelt stor pågang fra media, og forordningen er blant de mest etterspurte temaene. Vi er etterspurt som foredragsholdere og det er stadig flere som vil ha råd før en behandling starter. Dette er klare indikasjoner på at regelverket begynner å bli kjent, og at de behandlingsansvarlige ønsker å vite mer om hvilke forpliktelser de har etter forordningen. Dette underbygges at arrangementer med personvern som tema, noe det er mange av for tiden, alltid opplever svært høye besøkstall.

Problemstillingene som reises blir stadig mer spisset og det tyder på virksomhetene tar de kommende regelendringene på alvor. Det er også stor etterspørsel etter informasjonsmateriell. Personvernforordningen er det mest besøkte temaet på hjemmesiden vår, og antall besøkende er sterkt økende. Det er et stort ønske om å samarbeide med Datatilsynet. Store organisasjoner, bedrifter og organisasjoner inviterer oss med, og vi har inngått et mer forpliktende samarbeid med flere sentrale aktører.

Vi fører ikke statistikk over veiledningsmøter, og selvfølgelig heller ikke uformell kontakt og diskusjoner i etterkant av foredrag og konferanser, men vi er av den bestemte oppfatning at budskapet vi fronter oppfattes som viktig. Vi opplever generelt en positiv innstilling til det nye regelverket. Slik vi vurderer det er den økte interessen ikke bare begrunnet i frykt for nye strengere sanksjoner fra Datatilsynet. Vi opplever en økende generell interesse for personvern og at mange virksomheter ser på godt personvern som en konkurransefordel.

Vår internasjonale innsats har vært betydelig. Vi deltar aktivt i flere sentrale prosjekter i WP29 med undergrupper. Dette er ressurskrevende, men har allikevel vært en viktig prioritering all den tid fortolkningen av regelverket vil ha stor betydning for oss framover.

Vi er derfor av den oppfatning at vi er bra rute med å oppfylle vårt mål om at virksomheter, innbyggere, organisasjoner og offentlig forvaltning skal kjenne personvernregelverket, slik at den enkeltes rett til personvern kan ivaretas.

2.3.2.4 Ressurser knyttet til denne prioriteringen

Selv om vi fremdeles arbeider etter gjeldende regelverk, er det riktig å si at alle i Datatilsynet jobber med forordningen på ulike måter. Selv om bare én person har hatt dette som sin heltidsbeskjeftigelse det siste året, har mange medarbeidere brukt stadig mer av sin arbeidstid på oppgaver som relaterer seg til forordningen. Det er for eksempel stadig mer naturlig å gi veiledning om nytt regelverk fremfor det gjeldende, jo nærmere vi kommer ikrafttredelse.

Av gjennomgangen over fremgår det at bredden i vårt forordningsprosjekt er betydelig. Brekker vi de ulike aktivitetene ned på ressursbruk, får vi følgende oppstilling:

Innspill til utkastet til proposisjon, høringsuttalelse til lovforslaget og innspill til departementsforeleggelsen

Dette var et meget omfattende arbeid. Høringsuttalelsen var alene på drøyt 100 sider. Flere medarbeidere var dypt involvert i prosessen, noe vi antar har tatt i underkant av ett årsverk.

Ekstern kommunikasjon, informasjon på og utvikling av hjemmesidene, foredrag, mediehåndtering

En økning på omlag 200 foredrag sammenlignet med et normalår, utgjør alene opp mot et halvt årsverk. En kommunikasjonsmedarbeider har jobbet mer enn et halvt årsverk med forordningsrelatert arbeid, og vi antar at øvrige kommunikasjonsaktiviteter utgjør omtrent det samme.

Utarbeidelse av informasjonsmateriell har også trukket store fagressurser. Dette anslås til fire årsverk.

Veiledningsarbeid og veiledningsmøter

Som nevnt tidligere har vi registrert at rundt ti prosent av henvendelsene til veiledningstjenesten består av spørsmål knyttet til nytt personvernregelverk. Vi antar imidlertid at dette er en betydelig underrapportering da dette er en slags «ekstratelling» som er lett å glemme, og vi kan nok gå ut i fra at opp mot 20 prosent av henvendelsene til tjenesten gjelder de nye reglene.

I tillegg kommer en betydelig økning i veiledningsmøter. Dette arbeidet anslås til totalt å utgjøre to årsverk.

Teknisk tilpasning til Altinn, utarbeidelse av skjemaer, arkivrutiner, sikkerhetsarkitektur

Utarbeidelse av skjemaer, etablering av register for personvernombud og lignende anslås til et halvt årsverk.

Internasjonal deltagelse

Flere personer har vært engasjert i vårt internasjonale arbeidet, med til dels hyppig møtevirksomhet. Dette anslås til et halvt årsverk.

Opplæring og kompetanseoppbygning

Alle medarbeidere har deltatt på felles opplæring, drevet egenstudier og deltatt på kurs og seminarer. Dette anslås til to årsverk.

Annet forordningsrelatert arbeid

Det er en del oppgaver som ikke direkte kan kategoriseres under noen av underpunktene i denne oppstillingen. Dette anslås til ett årsverk.

2.3.2.5 Samlet vurdering av ressursbruken

Totalt har vi, litt løst anslått, benyttet tolv årsverk på forordningsrelatert arbeid, noe som utgjør omlag 25 prosent av den samlede kapasiteten vår.

Etter vår oppfatning er dette en riktig og forsvarlig ressursbruk. Det nye personvernregelverket blir vårt arbeidsverktøy i mange år framover. Det krever at vi kan vise meget god kompetanse eksternt, noe vi har tilegnet oss ved intern opplæring. I tillegg var mange medarbeidere involvert i høringsarbeidet, noe som også var viktig i kompetanseøyemed. Dessuten var det viktig for Datatilsynet å gå grundig inn i personvernprinsipper, bakgrunnsretten og de enkelte artiklene for å klargjøre vårt syn på den foreslåtte proposisjonen.

2.3.3 Innebygd personvern og teknologi som kan være personvernfremmende

2.3.3.1 Innledning

I «Stortingsmelding nr. 11 (2012–2013) Personvern – utsikter og utfordringar» løftet regjeringen frem arbeidet med innebygd personvern, og uttalte blant annet at «det bør fastsetjast eit prinsipielt mål om innebygd personvern i alle sektorar». Dette er fulgt opp i senere uttalelser fra regjering og departement, sist i «Stortingsmelding nr. 27 (2015–2016) Digital agenda for Norge», hvor det blant går frem at regjeringen vil arbeide for at IKT-systemer i offentlig forvaltning skal ivareta prinsipper for innebygd personvern, herunder personvernvennlige standardinnstillinger.

Innebygd personvern har vært en anbefaling fra Datatilsynet siden 2012. Etter EUs personvernforordning blir det en plikt for virksomheter å ha innebygd personvern som standardinnstilling. Kravet om innebygd personvern innebærer at virksomheter skal gjennomføre organisatoriske og tekniske tiltak som ivaretar personvernprinsippene og de registrertes rettigheter ved etablering av løsninger, system, apper og lignende.

Tilbakemeldinger fra flere virksomheter har vært at denne plikten er vanskelig å forstå omfanget av, enten de er plikthavere etter regelverket, eller leverandører av programvare, og at det har vært et behov for å tydeliggjøre begrepet. Vi anså det derfor som nødvendig å lage veiledning hvor vi så nærmere på hvordan personvernprinsippene, de registrertes rettigheter og sikkerhetskrav etter personvernregelverket kan knyttes til hver aktivitet i utviklingsløpet.

Artikkel 35 i EUs personvernforordning handler om å vurdere personvernkonsekvenser. Denne plikten gjelder når en virksomhet gjør endringer eller planlegger en behandling av personopplysninger som sannsynligvis vil utgjøre høy risiko for de registrertes rettigheter og friheter. I en slik vurdering skal det tas hensyn til arten, omfanget, sammenhengen og formålet med behandlingen, samt om ny teknologi benyttes. Vi tilgjengeliggjør nå både veiledere og verktøy for å kunne etterleve kravene i artikkel 35.

2.3.3.2 Prioritering og valg av aktiviteter

Veileder om innebygd personvern i programvareutviklingen

Første halvår i 2017 startet vi arbeidet med å lage en veileder om innebygd personvern. Vi satte sammen en arbeidsgruppe med representanter fra Datatilsynet, samt eksterne representanter fra privat og offentlig sektor som alle hadde kompetanse på sikkerhet og programvareutvikling. Veilederen ble skrevet av oss, og så sendt på høring blant deltakerne i arbeidsgruppen, i tillegg til noen flere eksterne virksomheter.

Veilederen er bygget opp slik at kravene lett kan kompletteres i anerkjente rammeverk for programvareutvikling, slik som Software Development Lifecycle (SDL) og Microsoft Security Development Lifecycle. I tillegg benyttet vi oss av retningslinjer fra European Union Agency for Network and Information Security (ENISA), «Privacy and Data Protection by Design». Rammeverkene innenfor utvikling benyttes av flere arkitekter og utviklere, og kan brukes ved utvikling innenfor velferdsteknologi, tingenes internett, apper, systemer og løsninger. Veilederen er blitt tatt meget godt imot i utviklingsmiljøet.

For å sette fokus på utvikling av personvernfremmende teknologi, lanserte vi høsten 2017 en konkurranse for de som utvikler løsninger, applikasjoner eller system etter prinsippene for innebygd personvern. Vinneren kåres i starten av 2018. Vi lanserte veilederen og konkurransen «Innebygd personvern i praksis» på et frokostseminar i regi av Den Norske Dataforening høsten 2017. Statssekretær Paul Chaffey var innleder sammen med direktør Bjørn Erik Thon. Publikum bestod av 700 personer tilstede i salen og rundt 1500 oppkoblinger på strømming – noe som er det høyeste antallet personer som har fulgt med på et av våre seminarer.

Øvrige aktiviteter

Veilederen om innebygd personvern har blitt oversatt til engelsk, og er blitt presentert for internasjonale personvernmyndigheter i Artikkel 29-gruppen, EU-kommisjonen, Technology subgroup (undergruppe i Artikkel 29-gruppen) og Berlingruppen. I tillegg har vi hatt en orientering for personvernmyndigheten (OPC) i Canada. Vi har også blitt kontaktet av en stor internasjonal programvareleverandør som har fortalt om stor interesse internasjonalt om vår veileder, og at det er initiativ i deres virksomhet om blant annet å oversette veilederen til polsk for å kunne spre budskapet blant teknologivirksomheter i Polen.

Vi utarbeidet dessuten en plakat med hovedpunkter fra veilederen. Den finnes både digitalt og i papir. Plakaten er populær og etterspurt, og vi har til nå trykket opp 2700 eksemplarer.

Både i forkant og i etterkant av lanseringen av veilederen, har vi holdt rundt 30 foredrag og arbeidsmøter for ulike målgrupper der temaet i hovedsak har vært innebygd personvern. Vi mener at vi har nådd ut til mange som jobber med programvareutvikling, særlig ved at vi har presentert veilederen på noen av de største norske konferansene der utviklere er til stede.

Vi har dessuten engasjert en masterstudent for 2018. Studenten skal bygge en app, og samtidig demonstrere hvordan prinsippene i veilederen kan ivaretas for hvert utviklingssteg. Dette vil også bidra til å tydeliggjøre hvordan dagens og fremtidens teknologi kan ivareta borgernes personvern.

I vår høringsuttalelse til «NOU 2016: 19 Samhandling for sikkerhet – beskyttelse av grunnleggende samfunnsfunksjoner», har vi påpekt at ved digitalisert overføring av registeropplysninger (Personellsikkerhet) bør registereierne følge prinsippene om innebygd personvern.

De som arbeider med norm for informasjonssikkerhet i helsesektoren jobber nå for å bli en atferdsnorm i samsvar nytt personvernregelverk. For velferdsteknologi ønsker sektoren å henvise til vår veileder for innebygd personvern.

2.3.3.3 Analyse og vurdering av resultater

Veilederen om innebygd personvern er ment for alt fra øverste ledelse, prosjektledere, bestillere, de som har ansvar for opplæring, kravstillere, kodere, designere, arkitekter, testere, personvernombud og sikkerhetsansvarlige.

Veilederen treffer også behandlingsansvarlige og databehandlere, som er rettspliktige etter regelverket. Samtidig er den uvurderlig for de som utvikler og selger programvare til behandlingsansvarlige og databehandlere, siden disse har plikt til å ha systemer som har innebygd personvern og personvern som standardinnstilling.

Vi mener at vi med denne veilederen når den målgruppen som faktisk er de som kan muliggjøre personvern i dagens og morgendagens digitaliserte samfunn, der kunstig intelligens, deep learning, automatiserte algoritmer og bruk av stordata er realiteter. Det er ikke mulig å «putte» personvern og sikkerhet på i etterkant av et ferdig utviklet produkt, og som mye annet må dette gjøres gjennom hele utviklingsløpet. Det at veilederen er klar og detaljert, også teknisk, samtidig med at vi har forankret den i bransjen, tror vi er en av grunnene til at den er blitt så overveldende positivt mottatt i samfunnet.

Programvare med innebygd personvern og personvern som standardinnstilling, er avgjørende for at norske borgere er i stand til ivareta sitt eget personvern. Datatilsynets veileder er tydelig på hvordan dette gjøres.

Gjennom artikler, veilederen, konkurranse og foredrag bidrar vi i stor grad til kunnskap og informasjon om hvordan man kan utvikle personvernfremmende teknologi. Dette igjen bidrar til måloppnåelsen om et godt personvern for alle.

Samlet sett vurderer vi vårt arbeid med innebygd personvern som svært vellykket.

2.3.3.4 Ressursbruk knyttet til denne prioriteringen

Arbeidet med veilederen har tatt mye tid fra fire av våre ansatte. I perioden fra mai til september anslår vi at to–tre av dem nærmest jobbet fulltid med dette. Den voldsomme interessen etter lanseringen og etterspørselen etter både kronikker, veiledningsmøter og foredrag har beslaglagt uventet mye tid av de samme ansatte.

Siden Datatilsynets egne ansatte har utarbeidet denne veilederen har kostnadene vesentlig vært ressursbruk av de ansatte. Direkte kostnader har vært ubetydelige, knapt 100 000 kroner. Det gikk med til å dekke fasilitering av lanseringen og konkurransen, grovoversettelse av veilederen til engelsk, plakat over utviklingsaktiviteter, premie for konkurransen og jurydeltagelse.

2.3.3.5 Samlet vurdering av ressursbruken

Veilederen for innebygd personvern har krevd mer ressurser enn vi normalt legger i veiledninger. Vi mener imidlertid dette har vært en riktig ressursbruk. Mange virksomheter ser på innebygd personvern som et krysningspunkt der aktiv bruk av data møter lovens krav.

Veilederen har også hevet Datatilsynets status i mange utviklermiljøer, og skapt en oppmerksomhet om innebygd personvern som knapt kan overvurderes. Den har blitt lagt merke til internasjonalt, og har åpnet dører. Den har også bygd viktig kompetanse internt, noe som vil komme til stor nytte når vi etter 25. mai 2018 skal praktisere reglene knyttet til innebygd personvern, et tema som også antas å få stor betydning i forhåndsdrøftelser.

2.3.4 Helse og velferd

2.3.4.1 Innledning

Helse- og velferdsområdet omfatter primær og sekundær bruk av opplysninger innen helse- og omsorgstjenestene, NAV, helseforskning og samfunnsforskning. Opplysningene som behandles i denne sektoren er blant de mest sensitive som finnes, og befolkningen selv anser opplysningene som særlig beskyttelsesverdige. Innen dette ansvarsområdet behandles det opplysninger om befolkningen i alle livsfaser, og bruk og gjenbruk av våre opplysninger til stadig flere formål øker.

Hovedutfordringen innen helsesektoren er at det er stort press på teknologisk utvikling og nye løsninger, og dette skjer i et raskt tempo. Pasientoppfølging forventes å bli mer og mer digitalisert, for eksempel gjennom innbyggertjenesten www.helsenorge.no. I Midt-Norge arbeides det med å utvikle Helseplattformen. Den vil gi innbyggerne i regionen en felles journal uavhengig av hvilket tjenestenivå de mottar hjelp fra.

Helse- og omsorgstjenesten er preget av mange aktører og flere ulikt organiserte virksomheter med forvaltningsansvar og beslutningsmyndighet. Leverandører og databehandlere har ofte sentrale roller, og ansvarsforholdene kan ofte være uklare.

Det er en forventning om effektivisering, og dette medfører utkontrakteringer og sentralisering av kompetanse og beslutningsmyndighet.

Endringer i form av digitalisering av journalopplysninger stiller nye krav til systemenes evne til å ivareta sikkerhet knyttet til konfidensialitet, tilgjengelighet og integritet. Risikobildet i sektoren må sies å endres radikalt når man beveger seg fra papirdokumentasjon over til elektronisk behandling av opplysninger.

Det er også et økende ønske om og påtrykk for gjenbruk av helseopplysninger, såkalt sekundærbruk av data. Det opprettes stadig nye kvalitetsregistre, og mange av disse er store i omfang og har som formål å være permanente. Det pågår utredningsarbeid for å finne nye løsninger for å gjøre data tilgjengelige på en mer effektiv måte enn tidligere, blant annet i Helsedataprogrammet i Direktoratet for e-helse.

NAV har også mange av de tilsvarende utfordringene. Dilemmaet mellom å ha tilgjengelige opplysninger og å sikre tilfredsstillende konfidensialitet, kan gi utfordringer for hensynet til borgernes personvern. En nyere problemstilling er ønsket om å bruke NAVs datamateriell i stordataanalyser.

2.3.4.2 Prioritering og valg av aktiviteter

Tilsyn

Vi gjennomførte i 2016 kontroll med Oslo Universitetssykehus HF og Janusbanken. Dette helseregisteret har rettslig grunnlag gjennom konsesjon fra Datatilsynet, og vi ønsket å kontrollere om våre konsesjonsvilkår ble etterlevd. I 2017 ble den endelige kontrollrapporten sendt, og i desember 2017 fattet vi vedtak om overtredelsesgebyr som følge av avvikene kontrollen viste.

Vi har gjennomgått besvarelsene etter brevkontroller med de forskriftsregulerte, sentrale helseregistrene vi har, og vi har sendt ut foreløpige kontrollrapporter og mottatt svar fra registrene. Foreløpige funn er at det er avvik knyttet til informasjonsplikten overfor borgerne og mangler knyttet til loggføring og avvikshåndtering hos enkelte av registrene. Endelige kontrollrapporter er ikke ferdige.

Det er også sendt ut foreløpige rapporter etter brevkontroller med helseforetakenes behandling av data til såkalt intern kvalitetssikring. Vi synes å ha oppnådd formålet med disse kontrollene, ved å ha fått et bedre kunnskapsgrunnlag om omfanget av og hvordan opplysninger behandles for kvalitetssikring.

Etter en klage, fant vi grunn til å gjennomføre stedlig kontroll med Sykehuset i Telemark HF og deres tilgangsstyring til opplysninger i elektronisk pasientjournal. Kontrollen avdekket at tilgangsstyringsløsningen var felles for hele Helse Sør-Øst RHF, og vi sendte derfor krav om redegjørelse til alle sykehusene i det regionale helseforetaket. Vi har mottatt svar, men har foreløpig ikke saksbehandlet dem.

Etter en langvarig korrespondanse med forskjellige aktører i Helse Sør-Øst RHF, sendte Datatilsynet i oktober varsel til ni helseforetak om overtredelsesgebyr på 800 000 kroner. Gebyrene ble gitt som følge av avvik knyttet til sikkerhetsledelse og manglende risikovurderinger i forbindelse med beslutningen om tjenesteutsetting av IKT-drift til utlandet. Saken fikk mye oppmerksomhet i media, og den har ført til en stor endring i helsesektoren når det gjelder bevissthet rundt ansvarsforhold og risikovurderinger.

I kjølvannet av saksbehandlingen vår, har vi samarbeidet med andre tilsynsmyndigheter som NSM, Finanstilsynet og Helsetilsynet, og det har også vært møter med Difi og Direktoratet for e-helse. Formålet med dette samarbeidet har vært å etablere en felles strategi rundt temaet tjenesteutsetting av IKT-tjenester, både i helsesektoren og andre deler av offentlig sektor.

Datatilsynet har hatt god dialog med Helse Sør-Øst i etterkant, og virksomheten jobber med å rette opp i dette. Saken var ikke ferdigbehandlet ved årsskiftet, og det planlegges aktiviteter for oppfølging av saken i 2018.

Sentrale høringsuttalelser

Datatilsynet ga en høringsuttalelse til forslaget om forskrift for regulering av kommunalt pasient- og brukerregister (KPR-registeret). Vi var blant annet kritiske til registerets omfang når det gjaldt innhold og formål, manglende utredning av personvernkonsekvenser for de registrerte og utilstrekkelig risikovurdering av forslaget. Vi stilte også spørsmål ved om måten dette registeret ble til er i tråd med de grunnleggende prinsippene om demokratisk kontroll av inngripende behandling av personopplysninger.

Helse- og omsorgsdepartementet kom også med forslag til et register kalt pasientens legemiddelliste. Forslaget innebærer at man skal lagre flere opplysninger om legemiddelbruk, over lengre tid og med flere som har tilgang enn tidligere. Datatilsynet stilte spørsmål ved om registeret kunne opprettes basert på samtykke fra pasientene fremfor en reservasjonsløsning. Vi savnet også en samlet vurdering av konsekvensene av forslaget, og vi var ikke enige i lagringstiden som ble foreslått.

I september ga vi vårt høringssvar til forslag til endring av behandlingsbiobankloven knyttet til varig lagring av blodprøver innsamlet gjennom nyfødtscreeningen. Vi var kritiske til at det i forslaget ble åpnet for permanent lagring av blodprøver, særlig siden dette ikke er i tråd med det fagmiljøet ved screeningprogrammet selv har uttalt at de har behov for. Det synes som om det er forskningsformål som har vært styrende for forslaget om permanent lagring, noe som medfører at konsekvensvurderingene som er gjort, ikke blir riktige. Vi presiserte at forslaget ikke synliggjør hvilke etiske og personvernrelaterte spørsmål som må diskuteres før man tar stilling til om vi i Norge skal tillate etablering av en nasjonal biobank med blodprøver fra hele befolkningen. Saken vil få videre oppfølging i 2018.

I høringssvaret vårt til forskrift om befolkningsbaserte helseundersøkelser, var vi spørrende til hvilken verdi forslaget vil ha når den nye personvernforordningen trer i kraft samtidig med forskriften. Vi mente at det var tatt for liten høyde for de endringene forordningen medfører. Vi mente også at forslaget ikke tok for seg mange av de aktuelle spørsmålene disse befolkningsundersøkelsene reiser, slik som for eksempel samtykkets rekkevidde, tilbakeføring av analyseresultater, innsyn, inkludering av barn og lignende. Vi var kritiske til at forskriftens innhold vil medføre store endringer i forhold til de premissene som ligger til grunn for Datatilsynets konsesjoner til disse undersøkelsene, samt i forhold til gjeldende samtykker fra de registrerte.

Saksbehandling

Vi har mottatt og behandlet søknader om konsesjon knyttet til behandling av helseopplysninger i forsknings- og kvalitetssikringsprosjekter og i helseregistre. Store deler av våre ressurser på dette feltet har gått til behandling og oppfølging av enkeltsaker. I mange tilfeller medfører søknader om konsesjon behov for omfattende kontakt i form av veiledning og informasjon forut for og underveis i saksbehandlingen.

Vi har gjennomgått praksisen vår og har mot slutten av året lagt om saksbehandlingen noe i påvente av personvernforordningen ved å gi enklere begrunnelser.

Kontaktmøter, dialog og påvirkning

1. januar 2016 ble Direktoratet for e-helse opprettet, og de tidligere oppgavene til Helsedirektoratet delt mellom de to etatene. Vi har hatt flere møter med det nye direktoratet og etablert god kontakt med relevante personer og avdelinger. Denne kontakten er helt sentral for å kunne følge de pågående prosessene innen helsesektoren med blant annet Helsedataprogrammet, velferdsteknologi, Nasjonal kjernejournal, «Én innbygger – én journal», og e-Resept.

I Helse Midt-Norge utvikles Helseplattformen som er en felles journal uavhengig av hvilket tjenestenivå helsehjelpen gis på. Dette er et prosjekt som er viktig å følge med på for Datatilsynet, og vi har hatt flere møter i løpet av året.

Vi har dessuten hatt løpende kontakt med sentrale aktører som Folkehelseinstituttet, de Regionale komiteer for medisin og helsefaglig forskningsetikk (REK), Den nasjonale forskningsetiske komité for medisin og helsefag (NEM), Norsk samfunnsvitenskapelig Datatjeneste (NSD), helseforetakene, Senter for klinisk dokumentasjon og evaluering (SKDE), Norsk Helsenett, Helse- og omsorgsdepartementet og Helsetilsynet.

Vi har også deltatt i arbeidet med Norm for informasjonssikkerhet i helsesektoren (Normen), både i arbeidsgrupper og i styringsgruppa. Etter ny lovgivning har det vært behov for oppdateringer av allerede eksisterende materiell. Hovedarbeidet med Normen i 2017 har dreiet seg rundt endringer som følge av personvernforordningen, og det har vært hyppige møter mellom Datatilsynet og Normsekretariatet gjennom hele året.

Vi har videre deltatt i referansegruppen til Statistikklovutvalget. Vi har også deltatt i Helsedatautvalget med en representant, utvalget kom med flere forslag som representanten i stor grad tok dissens fra.

Helsedataprogrammet i Direktoratet for e-helse er omfattende, og vi deltar i referansegruppen. Vi deltar også i en arbeidsgruppe for personvern og informasjonssikkerhet i programmet.

Velferdsteknologi og annen helseteknologi

Velferdsteknologi har vært et sentralt tema for Datatilsynet også i 2017. Vi har hatt mye aktivitet på området, både i form av veiledning, møter og foredragsvirksomhet. Vi har også hatt kontakt med Helsedirektoratet vedrørende veilederen til Normen. Datatilsynet mener det fremdeles er sentrale problemstillinger som bør avklares, slik som for eksempel plassering av behandlingsansvar, krav til databehandleravtaler og dokumentering av bruk av velferdsteknologi.

Vi har hatt en rekke møter med forskjellige aktører som ønsker veiledning.

NAV

En ny utfordring innen NAV-systemet er at det er økende interesse for å ta i bruk stordatanalyser på NAVs registre. Disse registrene inneholder store mengder personopplysninger om så å si alle landets borgere. Vi ser med bekymring på at disse dataene som er samlet inn med spesifikke formål skal kunne benyttes til nye formål som er utenfor den «tradisjonelle sekundærbruken». Vi har hatt flere møter med prosjektet «Big Insight» som er finansiert av Norges forskningsråd, og som har til formål å lage analyseverktøy for å avsløre trygdesvindlere. Dette prosjektet har søkt om konsesjon, og saken er ved årsskiftet til behandling hos oss.

Gendata

Vi møter i økende grad problemstillinger knyttet til bruk av genetiske opplysninger. Det er stadig billigere å gjøre analyser på våre gener, og det er et økende ønske om å gjennomføre slike analyser. Vi ser utfordringer ved at dette er et tema som er komplisert, og det er vanskelig å få god forståelse for konsekvensene av å behandle opplysninger om oss på denne måten. Den tradisjonelle tanken om at samtykkebasert behandling av opplysninger er lite inngripende, blir satt på prøve når det kommer til bruk av genetiske data. Vi mener det er riktig å stille spørsmål ved om slike samtykker er tilstrekkelig informerte, og om rekkevidden av konsekvenser ved bruk av genetiske data går lenger enn til kun den som faktisk har samtykket, for eksempel til slektninger.

Vi har uttrykt at vi ønsker en større utredning knyttet til bruk av genetiske data, og at en slik utredning bør gjennomføres av en bredt nedsatt gruppe som også tar grundig for seg personvernkonsekvensene som en slik behandling kan medføre.

Vi har i 2017 hatt flere møter med Bioteknologirådet, og vi har blant annet gjennomført et møte med Helsedirektoratet, REK, Bioteknologirådet og NTNU hvor gendata og haplotyperegister var særskilte temaer. Vi deltok også på Helsedirektoratets rundebordskonferanse om persontilpasset medisin.

2.3.4.3 Analyse og vurdering av resultater

Datatilsynet er synlige og tydelige i kommunikasjon om helsesektorens behandling av personopplysninger. Vi har kommet med viktige høringsuttalelser som har satt personvern på agendaen når det utvikles nye løsninger eller forslag til nye registre.

Et eksempel på dette er Kommunalt pasient- og brukerregister som har endt opp med mer personvernvennlige løsninger og større valgmuligheter for de registrerte enn det som først ble foreslått. Et annet eksempel er forslaget om endring av nyfødtscreeningsprogrammet, hvor vi i januar 2018 har presentert våre synspunkter for stortingskomiteen.

Vi har gjennom saksbehandlingen satt krav til informasjonssikkerhet på agendaen, og plikten til å gjøre risikovurderinger er nå godt kjent i helsesektoren.

Vår konsesjonsbehandling tilsvarer i mange tilfeller den fremtidige plikten databehandlingsansvarlige har til å gjennomføre personvernkonsekvensvurderinger, og gjennom gode begrunnelser i våre vedtak har sektoren derfor enkelte holdepunkter når de selv skal gjøre disse vurderingene.

Datatilsynet er velinformert om aktuelle prosesser innen helsetjenesten. Dette skyldes at vi har arbeidet målrettet for å nettopp ha slik oversikt.

Vi blir også invitert som deltagere i relevante arbeidsgrupper og utredninger, slik som for eksempel Helseplattformen og Helsedatautvalget. Vår deltagelse her utgjør en forskjell – vi får fremmet våre synspunkter, påvirket resultatet og i en del tilfelle markert uenighet i form av dissenser.

Vi vil trekke fram Helse Sør-Øst-saken spesielt. Dette er en av de største sakene Datatilsynet noen gang har behandlet, og selv om den i skrivende stund ikke er avsluttet, har den først til store endringer i sektoren, og i samfunnet for øvrig. I tett dialog med Datatilsynet har Helse Sør-Øst rigget om hele IT-prosjektet, og startet arbeidet med nye, og grundigere vurderinger. Vi har tatt initiativ til tettere samarbeid mellom tilsynsmyndigheter som jobbet med tjenesteutsetting, og deltatt aktivt i debatten som har fulgt i kjølvannet av saken. Vi anser dette arbeidet som meget vellykket, og den viser med all mulighet tydelighet hva vi kan oppnå dersom vi setter av tilstrekkelig ressurser.

2.3.4.4 Ressursbruk knyttet til denne prioriteringen

Helseområdet er komplisert og omfattende. Endringsviljen i sektoren er stor. Ressurspersonene som arbeider med helse og velferd har i stor grad vært benyttet til løpende oppgaver slik som saksbehandling og veiledning. Det har også vært stor etterspørsel etter foredragsholdere på dette området.

Helse Sør-Øst-saken er et eksempel på en enkeltsak som har krevd mye arbeid, og det har gått med store ressurser til behandlingen av saken og til oppfølgingen i ettertid.

Personer i gruppa har også vært benyttet til andre prosjekter og arbeider, for eksempel ekstern deltakelse i Helsedatautvalget og Helsedataprogrammet, samt interne prosjekter slik som veilederen for innebygd personvern, rapport om kunstig intelligens og arbeidet med nytt personvernregelverk.

Åtte personer har vært tilknyttet helse- og omsorgsfeltet. Som det fremgår over, har flere vært helt eller delvis knyttet til ulike prosjekter. Vi anslår ressursbruken knyttet til denne prioritering å være seks årsverk.

2.3.4.5 Samlet vurdering av ressursbruken

En vesentlig del av arbeidet vårt på denne sektoren er saksbehandling, særlig knyttet til konsesjoner, og dette tar mye ressurser. Vi har i tillegg valgt å gå tungt inn i noen viktige enkeltsaker, slik som Helse Sør-Øst-saken. Den var meget omfattende, hvert vedtak var på over 30 sider, og den har generert betydelig medieoppmerksomhet og etterarbeid. Vi anslå ressursbruken til denne saken alene å være omlag 1/3 årsverk. Vi mener likevel dette har vært viktig ressursbruk. Det gjaldt et meget stort IT-prosjekt, åpenbare personverninteresser sto på spill og vår strategi var å bruke saken til å påpeke viktigheten av grundige utredninger og sikkerhetsledelse.

Også deltagelse i ulike utredninger har tatt ressurser, men det er viktig å delta i slikt arbeid. Det er imidlertid krevende å avveie ressursbruken på denne sektoren. Som nevnt over har vi en rekke «må-saker», samtidig forventes det deltagelse i en rekke ulike sammenhenger. Resultatet har vært at saksbehandlingstiden for konsesjonssøknader har vært lang, men vi mener likevel at vi har prioritert riktig når det gjelder deltagelse i utredningsarbeid, forordningsrelatert arbeid og Helse Sør-Øst-saken «på bekostning» av enkeltsaker.

2.3.5 Kunstig intelligens, roboter og personvern i algoritmenes tid

2.3.5.1 Innledning

Utviklingen av kunstig intelligens (KI) og automatiserte systemer har hatt store fremskritt de siste årene. Mulighetene er lovende: en bedre og mer effektiv offentlig sektor, nye metoder for klima- og miljøvern, bedre og billigere helsetjenester. De intelligente og automatiserte tjenestene er ofte dataintensive.

Vi ser også at det i forbindelse med smarte byer og smarte hjem vil bli samlet inn en omfattende mengde personopplysninger siden flere og flere sensorer blir koblet til nettet. Nettoppkoblede sensorer blir billigere og billigere, og de opptrer i svært mange sammenhenger både i forhold smarte hjem, smarte byer og andre deler av det som er i ferd med å bli smarte samfunn.

I 2017 vedtok Stortinget en lov om utprøving av selvkjørende kjøretøy. Hensikten med loven er å fremme utvikling og utbredelse av ny teknologi i transportsektoren. Selvkjørende biler vil samle inn store mengder personopplysninger om både sjåføren, passasjerer og omgivelsene. Dette kan selvsagt være et gode i trafikken, både med hensyn til trafikksikkerhet, miljø og økonomi.

Det norske dronemarkedet har utviklet seg voldsomt, og er spådd en eksplosiv vekst de neste årene – særlig knyttet opp mot nærings- og nyttevirksomhet. Med avansert kamera- og sensorteknologi og med stadig bedre flyrekkevidde, blir terskelen for overvåking fra luften senket dramatisk. Flyvende fartøy skaper nye utfordringer for å oppfylle informasjonsplikten, og vi ser en stadig økende interesse for å ta i bruk droner hos offentlige myndigheter, inkludert i politiet.

Dette stiller nye krav både til de virksomheter som skal ta teknologien i bruk, og til oss som myndighet som skal gi råd og føre kontroll med at dette skjer innenfor de riktige rammene – også for personvernet.

Vi vil i tiden framover måtte ta stilling til ulike juridiske og etiske dilemmaer hvor vi blir nødt til å veie potensialet for betydelig samfunnsgevinst opp mot grunnleggende personvernhensyn.

2.3.5.2 Prioritering og valg av aktiviteter

Rapport om kunstig intelligens

I 2017 skrev vi en rapport om kunstig intelligens og personvern. I rapporten så vi nærmere på de tekniske systemene rundt datahåndteringen i intelligente systemer. Rapporten trekker frem de viktigste bestemmelsene i forordningen knyttet til bruk og utvikling av kunstig intelligens. Datatilsynets rolle som tilsyn ovenfor en kompleks teknologi ble også drøftet. Vi kom dessuten med en rekke eksempler på verktøy og metoder for å bygge godt personvern inn i intelligente systemer, samt anbefalinger til ulike målgrupper som benytter seg av kunstig intelligens. Rapporten ble også oversatt til engelsk.

I arbeidet med rapporten var vi i kontakt med en rekke aktører som utvikler eller bruker kunstig intelligens, både i privat og offentlig sektor, i inn- og utland. Vi drøftet relevante problemstillinger med datatilsynsmyndighetene i Storbritannia og Canada. Rapporten ble lansert i januar 2018 i samarbeid med Den norske dataforeningen, og arrangementet var fullbooket med over 300 deltakere. Arrangementet ble dessuten strømmet, og det var tre parallelle samlinger i Bergen, Trondheim og Bodø der fagpersoner svarte på spørsmål i etterkant. Lanseringen inkluderte to paneler der det ble en god debatt om personvernutfordringer, men også muligheter ved bruk av kunstig intelligens.

Vi har videre holdt foredrag om kunstig intelligens og personvern på The Privacy Forum i Stockholm, og på Goethe Instituttet sin personvernkonferanse i Rotterdam. Vi har også skrevet et «Issues Paper» til Berlingruppen som har vedtatt at kunstig intelligens skal være et tema for en rapport som skal lanseres i 2018 – Norge vil ha en sentral rolle i dette arbeidet.

Smarte hjem – smarte byer

Med innføring av billige, nettoppkoblede sensorer og andre enheter som innhenter informasjon (tingenes internett), er ikke lenger de tidligere begrensende faktorene med pris og overføring av data, et problem. Dette utstyret kan nå sende informasjon via internett, gjerne tilkoblet via mobilnett, for nesten ubetydelige pengesummer og uten at man trenger å begrense datamengden ut fra kapasitetsproblemer. Dette betyr at enorme mengder personopplysninger kan innhentes om hver enkelte av oss i et helt annet omfang enn tidligere.

Nettopp dette har vi sett det ved utrullingen av automatiske strømmålere, spesielt i løpet av 2017. Her har imidlertid lovverket begrenset bruken av informasjonen som kan innhentes, både med tanke på mengde og med tanke på sikkerhet. Men samtidig er det nye løsninger på trappene, slik som kontinuerlig avlest vannforbruk. De automatiske strømmålerne kan benyttes som en hub (en enhet som kobler sammen flere enheter for å få dem til å kommunisere med hverandre) for sensorer i hjemmet og i omgivelsene. Noen kommuner startet en slik omfattende datainnhenting fra innbyggerne i 2017.

Vi har i løpet av året også arbeidet både på internasjonalt nivå og på europeisk nivå for å gi råd om hvordan man skal unngå ulovlig innhenting av stordata i forbindelse med smarte byer, hjem og biler. Selv om det gis råd og vi har et regelverk, vil likevel mange gjøre mye for å få tak i slike verdifulle data. I 2017 brukte Datatilsynet tid på gjøre aktører oppmerksomme på hvor personvernmessig invaderende slik informasjon kan være for den enkelte. En klar regulering av innføringen av automatiske strømmålere ga mulighet for å begrense unødvendig innhenting av personopplysninger noe. Det samme arbeidet ble også satt i gang på en rekke andre felt innen smarte byer og hjem, samt for biler.

Utprøving av selvkjørende biler

I 2017 vedtok Stortinget en lov om utprøving av selvkjørende kjøretøy. Loven gir hjemmel til å gjøre unntak for lover som i utgangspunktet hindrer utprøving av selvkjørende kjøretøy (vegtrafikkloven, yrkestransportregelverket og personopplysningsregelverket). Hensikten med loven er å fremme utvikling og utbredelse av ny teknologi i transportsektoren, og sørge for tilrettelegging for utprøving av selvkjørende kjøretøy i Norge.

Selvkjørende biler vil samle inn store mengder personopplysninger om både sjåføren, passasjerer og omgivelsene. Datatilsynet er enig i at selvkjørende kjøretøyer kan være et gode i trafikken, både med hensyn til trafikksikkerhet, miljø og økonomi. Vi støtter også at utprøvingen blir rettslig regulert ved en forsøkslov, men også denne burde drøfte personvernmessige utfordringer og samfunnsetiske problemstillinger ved bruk av kunstig intelligens i trafikken. Selve loven om utprøving av selvkjørende biler setter personopplysningsloven til side slik at den ikke skal hindre utprøvingen.

Datatilsynet lanserte for øvrig en egen strategi for godt personvern i samferdselssektoren høsten 2017. Her er selvsagt også muligheter og utfordringer knyttet til selvkjørende biler et viktig tema.

Arbeid med droner

Sett i lys av den kraftige veksten norsk dronenæring er spådd de neste årene, har det vært viktig for Datatilsynet å bidra til at bransjen selv tar grep for å etterleve personopplysningsregelverket, samt fremmer personvernvennlig droneteknologi.

Vi har i 2017 hatt følgende mål for dronearbeidet vårt. Vi skal:

• være aktive i veiledningsarbeidet overfor aktørene i bransjen for å sikre at de har tilstrekkelig kompetanse og kunnskap om personopplysningsregelverket og personvernvennlig teknologi

• følge med på Justisdepartementets og andre myndigheters bruk av droner og utredning om bruk av droner, samt aktivt tilby vår veiledning

Veiledningsarbeidet er viktig for å sikre tilstrekkelig kompetanse og kunnskap om regelverket og personvernvennlig teknologi når droner tas i bruk. Vi har blant annet oppdatert veiledningsmateriell om droner på nettsiden vår for private og kommersielle aktører, samt myndighetsaktører.

Vi har hatt god dialog med Luftfartstilsynet og næringen, og har blant annet levert bidrag om droner og personvern til Luftfartstilsynets nettsider, i tillegg til et e-læringskurs for droneoperatører. Vi har også bidratt med materiell til Luftfartstilsynet om vårt dronearbeid, blant annet Luftfartstilsynets nyhetsbrev til droneoperatører og til en holdningskampanje til politidistriktene. Vi har dessuten bidratt med skriftlige innspill til Kommunal- og moderniseringsdepartementets dronestrategi.

Vi har hatt kontaktmøte med UAS Norway – den største medlemsorganisasjonen for dronepiloter i Norge, og vi har hatt veiledningsmøte med Kystvakten om deres bruk av droner. I tillegg har vi holdt flere foredrag om temaet, blant annet for regjeringens dronestrategigruppe, Luftfartstilsynets konferanse om sikker integrering av droner og droneingeniørutdanningen ved Universitetet i Tromsø (UiT).

Vi har skrevet et kapittel om personvern og droner til Cappelen Damms bokprosjekt om droner i sivilsamfunnet. Boka blir antakelig utgitt ila våren 2018.

Datatilsynet har dessuten takket ja til å være med i et Advisory Board i et prosjekt som skal utarbeide felleseuropeisk veiledningsmateriell for droner og personvern. Prosjektet finansieres av EU, og skal være en videreføring av nettstedet www.dronerules.eu.

2.3.5.3 Analyse og vurdering av resultater

Hovedmålet med kunstig intelligens-prosjektet var å være tidlig ute med å forstå teknologien bak KI og personvernkonsekvensen av denne. Vi ønsket å utvikle tydelige budskap, og å være synlige i den offentlige debatten og blant relevante aktører for å fremme godt personvern ved bruk av KI. Vi satte også som mål å føre effektiv kontroll med denne komplekse teknologien og må derfor utvikle en metode for å gjennomføre dette.

Vi har oppnådd målet med å oppdatere vår egen kunnskap om kunstig intelligens og personvernkonsekvensene av dette. Vi har også kommet godt i gang med å spre budskapet utad, og vil arbeide videre med det i 2018. Vi vil videre drive aktivt kommunikasjonsarbeid i 2018 både i media, på konferanser og i andre egnede fora for å sette fokus på personvernkonsekvensene av kunstig intelligens, samt for å spre budskapet i anbefalingene rapporten vår kommer med. Vi har kommet godt på vei med å definere vår egen rolle som tilsynsmyndighet ovenfor denne typen teknologi, og dette er noe vi vil måtte jobbe videre med i samarbeid med de øvrige europeiske datatilsynsmyndighetene etter at det nye regelverket trer i kraft.

Utviklingen av smarte byer og selvkjørende biler vil trolig gå meget raskt. Det er derfor viktig å holde oss oppdatert, og helst ligge i forkant av utviklingen. Det har vi klart så langt. I tillegg er det viktig å komme i dialog med aktører som treffer beslutninger som får betydning først om noen år. Vi er fornøyde med å ha fått plass i samferdselsministerens Mobilitets- og teknologiråd, og har etablert kontakt med byrådet i Oslo for å diskutere smarte byer.

Det har også vært viktig å ha et godt strategisk grunnlag for videre arbeid i samferdselssektoren, noe har vi lyktes godt med.

Vi deltok som observatør på tre kontroller utført av Norges vassdrags- og energidirektorat (NVE) knyttet til overgangen til automatiske strømmålere. Dette var meget lærerikt og nyttig, og ga oss fornyet innsikt i hvilke muligheter, men også utfordringer, denne overgangen fører med seg. Selvsagt sett med vårt perspektiv – opp mot behandling av personopplysninger og i personvernsammenheng.

Det overordnede målet med Datatilsynets dronearbeid har vært å være synlige og tilgjengelige for den norske dronebransjen slik at næringen selv har de beste forutsetninger for å kjenne til og følge personopplysningsregelverket ved bruk og utvikling av droneteknologi. Vi har knyttet kontakter og hatt en godt samarbeid med en rekke viktige aktører, oppdatert informasjonsmateriell og holdt foredrag. Målsettingene for 2017 anses som oppnådd, og vi har lagt grunnen for videre arbeid med droner og personvern i årene som kommer.

2.3.5.4 Ressursbruk knyttet til denne prioriteringen

Prosjektet med kunstig intelligens er tverrfaglig og har inkludert en samfunnsviter, en jurist, en teknolog og en medarbeider med kommunikasjonsfaglig bakgrunn. Prosjektet har vært en bi-aktivitet for samtlige prosjektdeltakere.

Arbeidet med smarte byer, droner og selvkjørende byer og samferdsel er løpende arbeid som består av møter, foredrag, arbeidsgrupper, veiledning og uformelle samtaler. Det er vanskelig å anslå ressursbruk, men vi mener den ligger på rundt to årsverk. I hovedsak er det én jurist som har holdt i arbeidet med dronenæringen.

2.3.5.5 Samlet vurdering av ressursbruken

Dette har vært den minst ressurskrevende prioriteringen vår, selv om det ikke er noen egentlig grense for hva vi kan engasjerer oss i på dette området. Vi har imidlertid oppnådd våre to viktigste mål på innenfor prioriteringen, nemlig ny strategi på samferdselssektoren, og rapporten om kunstig intelligens. Ut over det, har vi måttet holde noe igjen på ressursbruken, noe vi mener har vært en riktig prioritering. Vi mener derfor vi har brukt ressursene riktig.

2.3.6 En samlet vurdering av hvordan Datatilsynets valg av aktiviteter og bruk av ressurser, har bidratt til å nå hovedmålet

Her følger en samlet vurdering av om våre prioriteringer og aktiviteter, og vår ressursbruk, har bidratt til å oppnå målet om et godt personvern for alle. Vi har også merket oss departements merknad til forrige årsrapport om at «det i fremtidige rapporteringer gis en kort omtale og vurdering av de prioriterte sektorenes betydning for måloppnåelsen». Det skal vi forsøke å etterkomme.

Vi mener at vi samlet sett har oppnådd gode resultater og bidratt til at hovedmålet er nådd. Vårt arbeid på helsesektoren har for eksempel ført til økt oppmerksomhet om risikovurderinger og sikkerhetsledelse, som i sin tur fører til bedre personvern for alle borgere.

Vårt arbeid med ny forordning har hatt stor betydning for mange norske virksomheter, da vi har bidratt til at norske virksomheter og borgere er blitt seg det nye lovverket bevisst. Dette gir også bedre personvern for alle.

Veilederen om innebygd personvern har økt kunnskapen og bevisstheten om personvern hos særlig utviklere, trolig også ledere, slik at personvernet kan ivaretas allerede fra starten av utviklingsprosessen.

Vi mener også vårt utredningsarbeid innen bruk av stordata, kommersiell bruk av personopplysninger, sporing og kunstig intelligens, har gitt økt kunnskap om hvordan personvernet vårt påvirkes av teknologi. Dette har kommet norske borgere og virksomheter til gode. Det har også vært strategisk viktig for Datatilsynet, og arbeidet har åpnet dører både nasjonalt og internasjonalt.

Oppsummert, på departements oppfordring, mener vi at våre sektorvalg har hatt betydning for måloppnåelsen.

Ut over dette har 2017 vært et annerledes år for Datatilsynet. Vi har knapt gjennomført kontroller, men dette har vært en bevisst prioritering. Etter vår vurdering har det vært riktig å prioritere alle aktiviteter og valg av sektorer, opp mot arbeidet med ny forordning.

Her mener vi å ha lyktes godt. Interessen for personvern og det nye regelverket har overgått alle våre forventninger. Personvern er på alles lepper, og har preget debatten i mange bransjer. Dette skyldes selvsagt ikke Datatilsynet alene, men vi er ubeskjedne nok til å mene at vår innsats har gjort en forskjell. Den brede satsingen på foredrag, hele 407 i tallet, har gjort at vi har nådd ut til et stort antall personer. Det er vanskelig å beregne, men vi vil anslå gjennomsnittlig antall deltagere der vi har deltatt til 150 personer (litt forsiktig beregnet). Det betyr at vi grovt regnet har nådd fram til mer enn 60 000 personer med våre foredrag. Tallene fra veiledningstjenesten, veiledningsmøter og treff på hjemmesiden understreker poenget.

Overført til ungdommens teknologi gir vi oss selv en «tommel opp», og vi tror mange vil trykke «liker».

2.4 Fellesføringer fra regjeringen

2.4.1 Lærlinger

Datatilsynet har som ambisjon å følge opp regjeringens mål for inntak av lærlinger i offentlige virksomheter, og er godkjent som lærlingebedrift. Vi har i 2017 hatt én lærlingeplass.

2.4.2 Digitalt førstevalg – iverksatte og planlagte effektiviseringstiltak

På grunn av implementeringen av ny personvernforordning, har Datatilsynet også i 2017 brukt store ressurser på å forberede organisasjonen på det nye regelverket, deriblant også arbeidet med å utvikle og tilrettelegge for bruk av digitale tjenester. Vi har startet et stort prosjekt med å kartlegge arbeidsprosesser, se på muligheter for å forenkle og digitalisere søknadsprosesser, gjøre bruk av forløpsmaler og revidere rutiner, samt bruk av autosvar og digital signatur i saksbehandlingen. Vi effektiviserer våre saksbehandlingsprosesser og videreutvikler og delvis digitaliserer vår veiledningstjeneste. Ny hjemmeside utvikles blant annet med flere selvhjelpsløsninger. Det er også benyttet ressurser på kompetansebygging og kompetanseoverføring.

Arbeidet med effektivisering og forenkling er også relatert til modernisering og videreutvikling av Datatilsynets IKT-plattform. En plattform som stadig blir mer kompleks å drifte, og som har stadig større utfordringer knyttet til sikkerhet. Driftskostnadene øker vesentlig, og det vurderes om det er hensiktsmessig at disse utføres av oss selv eller om det skal overlates i større grad til eksterne aktører.

I og med at vi er midt i en fase med å legge til rette for nytt regelverk, samt ta i bruk nye tjenester – og ikke vet omfanget av hvilke oppgaver som treffer oss – er det vanskelig å rapportere om effektiviseringsgevinster i 2017. Det vi erfarer er at det tar en god del ressurser å endre oppgaveløsning og digitalisere tjenester, og det vil ta noe tid før man kan måle effekten av tiltakene.

Skjemaer for melding via Altinn

For å kunne møte ny oppgaveløsning og opprettholde god produktivitet, har vi lansert vårt første skjema for melding via Altinn. Skjemaet er for melding av avvik. Dette er integrert med vårt saks- og arkivsystem P360. Dette skjemaet med sin integrasjon mot fagsystem, samt sin funksjonalitet, baner vei for å kunne ta i bruk også andre skjema via samme kanal fremover.

Datatilsynet får nye oppgaver med den nye personvernforordningen, og en av disse er å gjennomføre forhåndsdrøftelser. Dette er en oppgave som kan effektiviseres ved bruk av skjema via Altinn. En slik løsning vil gjøre saksbehandlingen mer effektiv og det blir enklere for brukere av våre tjenester.

Registerløsninger for personvernombud

Arbeidet med å få på plass et nytt register for innmelding av personvernombud i henhold til ny forordning startet høsten 2017, og registeret vil være klart til ny lov trer i kraft i mai. Det ble dessuten utviklet en midlertidig registreringsløsning for personvernombudene via nettsidene. Den gjør det enklere for virksomheter å registrere nye eller endre ombud, og lettet arbeidsmengden til Datatilsynet betydelig. I påvente av ferdigstillingen av den endelige løsningen som er knyttet opp mot Altinn, så tilsynet seg nødt til å finne en mellomløsning på grunn av et stort antall nyregistreringer og endringer av eksisterende ombud. Tidligere har Datatilsynet saksbehandlet hver eneste ombudssøknad og endringsmelding som har kommet. Dette vil ikke være nødvendig etter det nye regelverket, og Datatilsynet innførte derfor en forenklet elektronisk registrering med et automatisert svar inntil den endelige registreringsløsningen er på plass.

OEP – Offentlig elektronisk postjournal

Kommunal- og moderniseringsdepartementet ga Difi i oppdrag å etablere en Offentlig Elektronisk Postjournal (OEP). En ny innsynsløsning skal gi med mer åpenhet, mer tilgjengelighet og styrket offentlighet. Det skal være enkelt for brukere å søke om innsyn og få tilgang til dokumenter, og målet er at ny OEP skal kunne frigjøre ressurser til andre oppgaver.

Datatilsynet har i 2017 fullført nødvendige tiltak for å ta i bruk e-innsyn.

2.4.3 Evalueringer

I 2017 lanserte vi et nytt nettsted som i større grad er tilpasset personvernforordningen og dagens bruk av nettstedet. I løpet av denne prosessen ble det blant annet gjennomført en evaluering og brukertest av det nye nettstedet. Som følge av dette har vi blant annet endret design og innholdsstruktur, oppgradert til siste versjon av Episerver, redusert antall sider med 30 prosent og publisert flere nye veiledere om den nye personvernforordningen.

Antallet besøk på nettstedet har økt med hele 244 prosent på ett år. I 2017 registrerte vi 695 222 besøkende, det vil si i gjennomsnitt nesten 2 000 daglig besøkende. Det nye regelverket er en av hovedårsakene til den enorme veksten vi har hatt. Arbeidet med utvikling av digitale veiledningsressurser er en av våre satsinger. For å lette publikums møte med det nye regelverket, er det avgjørende å utvikle gode digitale løsninger som legger til rette for mest mulig effektiv selvhjelp.

Vi har også etablert et system for internkontroll for å sikre at krav til virksomheten følges opp og mål nås.

2.5 Styring og kontroll av virksomheten

2.5.1 Mål- og styringssystemer

For å nå målsettingen om et godt personvern for alle, er det etablert ulike mål- og styringssystemer. Disse bygger på prinsippene i Finansdepartementets reglement for økonomistyring i staten (Reglementet). Det legges også stor vekt på at plan-, strategi- og budsjettarbeid er godt forankret i organisasjonen. Planleggingen påvirkes naturlig nok av interne og administrative forhold, slik som hvilke budsjett- og bemanningsmessige ressurser vi har til disposisjon gjennom året. I tillegg til plandokumentene er det utarbeidet gode støtte- og oppfølgingssystemer for å ivareta krav til god økonomi- og virksomhetsstyring og ivaretakelse av kontrollansvar. Utgangspunktet for Datatilsynets virksomhetsplanlegging, er tildelingsbrev og virksomhetsinstruks fra departementet, tilsynets overordnede strategi og områdestrategier for delsektorer, erfaringer fra saksbehandlingen, tilsyn og utredningsarbeid med mer.

Arbeidet med organisering og effektivisering inngår i kontinuerlige prosesser. I 2018 vedtas nytt personvernregelverk, og forberedelsene til dette har hatt høy prioritet. Store ressurser er benyttet til å avklare og tilrettelegge for ny oppgaveløsning.

2.5.2 Datatilsynets risikostyring

For å sikre måloppnåelse og håndtere risikoer som kan hindre denne, utarbeider Datatilsynet risikovurderinger. Disse benyttes på flere områder for å sikre helhetlig måloppnåelse innen økonomi, personalpolitikk og informasjonssikkerhet. Risikovurderinger benyttes også i tilsynsvirksomheten, da basert på en vurdering av risiko for personvernet innenfor ulike sektorer. Risikovurderingene er dokumentert og oversendt departementet.

Datatilsynet følger opp risikoen for å ikke nå fastsatte mål gjennom en egen risikovurdering. Her identifiseres, vurderes, håndteres og følges risiko opp slik at den kommer innenfor akseptert nivå. Der hvor det vurderes å være høy risiko, iverksettes risikoreduserende tiltak. Det har i 2017 ikke vært behov for å iverksette noen slike tiltak.

For overordnet informasjonssikkerhet er ledelsen aktivt involvert i oppfølgingen av det som er identifisert som våre største IKT-risikoer.

2.5.3 Status internkontroll

Datatilsynet arbeider med internkontroll for å sikre at kravene til virksomheten følges opp. Arbeidet med IKT-driftsdokumentasjon og IKT-styringssystem er videreført, og en rekke tiltak er fulgt opp.

Datatilsynets årsplan er utvidet til også å omfatte plan for oppfølging av internkontrollaktiviteter og rapporteringspunkter i henhold til denne. Årsplanen gir en oversikt over oppgaver, samt frister knyttet til ulike plan- og kontrolloppgaver. Ledere og øvrige som er gitt ansvar for oppgavene oppdaterer planen, og rapporterer om gjennomførte tiltak og eventuelle avvik som må følges opp.

Årsplanen og behov for oppfølging av avvik drøftes regelmessig i tilsynets ledermøter. Datatilsynet har i 2017 ikke hatt vesentlige avvik som har krevd ytterligere oppfølging.

2.5.4 Bemanning- kapasitets- og kompetansesituasjonen i Datatilsynet

Personvernkompetanse er svært etterspurt, og det har vært en prioritert oppgave å forhindre at våre dyktige medarbeidere slutter. Dette har vi lyktes godt med. Vi har lagt vekt på at alle medarbeidere skal ha varierte og interessante arbeidsoppgaver, og at flest mulig skal involveres i arbeidet med nytt personvernregelverk. Vi har jobbet for å motivere medarbeidere, blant annet gjennom restanseaksjoner der alle ansatte har blitt «premiert» med diplomer, god lunsj, hederlig omtale eller en god avslutningsfest. Vi hadde en ganske stor delegasjon som fikk oppleve Arendalsuka, og har hatt lav terskel for å si ja til kurs og konferanser. Vi har hatt jevnlige faglige påfyll for å heve kompetansen internt – alt fra «Bitcoin for dummies» til Helga Hjorts foredrag om sin bok.

Vi har selvsagt hatt noe avgang, og opplever til dels meget god søkning til vakante stillinger, både fra erfarne og nyutdannede. Vi opplever Datatilsynet som en svært populær arbeidsplass.

Vi har meget god kompetanse i alle ledd av virksomheten vår.

2.5.5 Inkluderende arbeidsliv og HMS/arbeidsmiljø

Datatilsynet er omfattet av avtale om inkluderende arbeidsliv, og har spesiell oppmerksomhet på forebygging og oppfølging av sykefravær. Sykefraværet for 2017 var totalt 3,68 prosent mot 3,89 i 2016.

Sykefraværet følges tett opp, og det er lagt betydelig vekt på tilrettelegging og oppfølging, slik at det er mulig å komme raskt tilbake til arbeid etter sykdom.

I 2017 har Datatilsynet i samarbeid med bedriftshelsetjenesten, og har blant annet fått bistand for oppfølging av sykmeldte. Bedriftshelsetjenesten har i tillegg bistått ved gjennomføring av en vernerunde. Tilsynet har også opprettholdt ordningen med å gi tilskudd til trening.

2.5.6 Arbeidet med samfunnssikkerhet

Vi har i 2017 gjennomført en intern sikkerhets- og beredskapsdag for alle ansatte. Målet var å heve bevisstheten vedrørende betydningen av sikkerhetsarbeid i en bred kontekst (HMS, beredskap, vår evne til å løse krevende situasjoner og informasjonssikkerhet). Vi hadde blant annet invitert eksterne foredragsholdere som bidro med sine erfaringer og kunnskap. Vi hadde gruppearbeid der de ansatte øvde på konkrete scenarier på hva som kunne treffe oss av hendelser, alt fra at en PC ble forlagt på bussen til alvorlige trusler mot datatilsynet, og våre ansatte. Vi gjennomførte også en evakueringsøvelse.

Det har også blitt gjennomført en beredskapsdag for Datatilsynets krisestab.

2.6 Vurdering av framtidsutsikter

Vi gir i dette kapittelet først en overordnet vurdering av framtidsutsiktene, deretter en gjennomgang av utfordringene i hver av de prioriterte sektorene. Departementet utfordret oss etter forrige årsrapport til å gi en vurderingen av hvordan utfordringene kan komme til å påvirke tilsynets arbeid, og måloppnåelse over tid kan med fordel bli mer konkret. Denne vurderingen foretas helt avslutningsvis.

2.6.1 Overordnet vurdering

For ti år siden ble det arrangert en konferanse i Brussel om «the Internet of Things» og «the Symantic Web». Målet var å se inn i krystallkula og forsøke å forutse framtidige bruksområder, utfordringer og muligheter. Spådommene varierte, og flere av dem har ikke slått til, men én ting var alle deltagerne enige om: Data ville bli brukt til personrettede tjenester og tilbud, og det vil bli mer data i tida framover.

Dette var kanskje ikke noen oppsiktsvekkende analyse, men mer overraskende er det at det har tatt såpass lang tid å komme dit. Utviklingen fra 2008 til i dag har vært overveldende og formidabel, men det er først de siste årene vi virkelig har opplevd at alt personifiseres i vår hverdag. Åpner vi en nettside, får vi annonser for ting vi nettopp søkte på og vi tilbys rabatter på forsikring dersom kjøreadferden vår kartlegges. Kombinasjonen algoritmer og kunstig intelligens gjør at flere og flere beslutninger treffes uten at mennesker er involvert. Skatteetaten får hjelp av algoritmer til å flagge selvangivelser som bør sjekkes nærmere. Lånekassen gjør det samme med de som mistenkes for juks med borteboerstipend. Denne utviklingen vil bare fortsette, i både privat og offentlig sektor.

Det siste innskuddet i overvåkingsindustrien er emosjonell overvåking. Vi ble først klar over dette da en ung ingeniørstudent plutselig oppdaget noe rart da han passerte et interaktivt reklameskilt for en pizzakjede. På grunn av en feil kunne han se kodingen, og der sto det «ung mann, briller, smiler». Forklaringen var ganske enkelt at reklameskiltet leste ansiktet til de forbipasserende, og så ga dem tilbud basert på utseende og kjønn. Menn fikk reklame for pizza med kjøtt, kvinner for frisk salat.

Det pågår mye forskning på dette området. Blant annet forsøker noen å utvikle en app som kan forutsi når en person med bipolar eller manisk-depressiv lidelse er i ferd med å komme inn i en fase der han trenger behandling. Ved å lese av følelser slik som nysgjerrighet, frustrasjon eller engasjement, kan lærerne sette inn tiltak for å motivere og støtte elever. Dette krever selvsagt tilgang til data som går inn i det aller dypeste av oss mennesker: våre følelser – kanskje til og med våre tanker. Det krever ingen nærmere forklaring at dette utfordrer personvernet kraftig.

2.6.2 Nytt personvernregelverk

Det å sikre en god og effektiv innføring av, og overgang til, nytt regelverk er selvsagt krevende både faglig og ressursmessig. Det er også viktig at vi, samtidig som vi gjennomfører intern opplæring og endrer vår måte å jobbe på, holder den daglige driften etter gjeldende lovverk på normalt nivå. Dette krever stram og god ledelse med svært god oversikt og tydelige prioriteringer.

Vi gjør det beste vi kan, med de ressurser og virkemidler vi har, for å forberede alle berørte på det nye regelverket som kommer. Det er imidlertid virksomhetene, både private og offentlige, som skal etterleve det nye regelverket. Selv om vi gjør det som er mulig innenfor våre rammer, vil det være elementer som skal sikre etterlevelse som står utenfor vår kontroll. Dette vil være aktiviteter som aktører innen sektorene selv, samt regjeringen, må sørge for at skjer.

Sektorer og bransjer må selv ta sitt ansvar for å møte de nye regelverkskravene. For eksempel er bransjenormer sett på som et viktig instrument for etterlevelse, og det krever handling fra særlig bransjeorganisasjonene. Kravene om innebygget personvern og vurderinger av personvernkonsekvenser, forutsetter kunnskap og handling hos de ansvarlige, leverandører og organisasjoner. En vellykket innføring av personvernforordningen krever altså vesentlig større aktivitet enn det som skjer i regi av Datatilsynet.

2018 vil bli et overgangsår for Datatilsynet, ved at vi går fra et godt kjent og innarbeidet regelverk til et nytt regulatorisk rammeverk. Både materielle endringer i regelverket, nye rutiner for håndtering av ulike typer saker og ikke minst økt samarbeid med andre lands datatilsynsmyndigheter, vil stille høye krav til organisasjon og gjennomføring. Slik vi ser det vil håndteringen av overgangsordninger, økt grad av internasjonalisering og økte krav til robuste vurderinger av personvernkonsekvenser, peke seg ut som utfordringer i perioden som kommer.

Overgangen fra gammel til nytt regelverk innebærer også avvikling av «gamle saker», saker som er lagt frem etter regler som ikke videreføres i forordningen. Det er per i dag ikke klart om det blir overgangsordninger for allerede gitte konsesjoner og tillatelser fra Datatilsynet i det nye regelverket. Det er imidlertid klart at det å håndterere problemstillinger når det gjelder overgangen til nytt regelverk, vil bli krevende. Det vil bli viktig å sikre at eventuelle overgangsregler både legger til rette for at personverninteressene til de registrerte ivaretas tilfredsstillende, men også at de ikke får en konkurransevridende effekt på markedet.

Med forordningen innføres komplekse regler for samarbeid mellom datatilsynene i Europa, både i enkeltsaker og mer generelt knyttet til tolkning og praktisering av forordningens bestemmelser. Formålet med dette er å sikre harmonisering av praksis. Mange saker vil fremdeles behandles nasjonalt som i dag, men praksisavklaringer og avgjørelser med presedensvirkning vil i stor utstrekning trolig måtte besluttes internasjonalt. I andre tilfeller vil selve saksbehandlingen følge det internasjonale sporet når det gjelder prosess, men det materielle innholdet i våre vurderinger vil fremdeles ha nasjonal preg. Dette vil bli en ny måte å arbeide på for alle tilsynsmyndighetene og det vil kunne medføre noen utfordringer før samarbeidet går seg til.

Datatilsynets mulighet til å påvirke i internasjonale samarbeidsfora vil bli endret med innføringen av forordningen. Siden Norge ikke er medlem av EU, har vi bare status som observatør, og vi har ikke stemmerett i aktuelle samarbeidsfora. Dette er også tilfelle i det eksisterende personverndirektivet, men dette har i realiteten ikke hatt så stor betydning siden samarbeidet ikke har vært like omfattende og formelt som det vil bli fremover.

Vi vil altså bare kunne påvirke prosesser og fremme norske synspunkter gjennom aktiv deltakelse, og ikke gjennom bruk av stemmerett. Dette krever at vi følger godt med på praksisen som tilsynsmyndighetene utvikler i samarbeid. Beslutninger som tas internasjonalt må tilflyte Datatilsynets medarbeidere raskt og innarbeides i vår praksis.

I tillegg kreves det at vi klarer å formidle våre posisjoner tydelig, samt kan identifisere og belyse eventuell spesielle norske forhold i beslutningsprosesser i EU.

Forordningen stiller tydelige krav til vurdering av personvernkonsekvenser med sikte på å identifisere risikotilpassede tiltak for å ivareta personvernet til de registrerte. Det nye regelverket krever at alle som er involvert i behandling av personopplysninger må kunne gjennomføre gode vurderinger av personvernkonsekvensene. Dette krever god kompetanse om personvern. Det gjelder også lovgiver. Vi ser ofte at lov- og forskriftsforslag er mangelfulle når det gjelder utredning av personvernkonsekvenser. Det er viktig å sikre at lovhjemler for behandling av personopplysninger tar høyde for kravene etter forordningen, og at de er tilstrekkelig detaljerte for å oppfylle sitt formål.

God og tydelig veiledning til alle som er involvert i vurdering av personvernkonsekvenser, også i forbindelse med lovarbeid, blir derfor nødvendig.

2.6.3 Innebygd personvern

Gamle system som ikke har innebygd personvern vil være en utfordring i tiden fremover. I noen miljøer virker det som det er liten vilje å bytte ut systemer som har stått og gått i mange år. Mange av disse gamle systemene er heller ikke i samsvar med dagens regelverk. Vi mener det er viktig at de behandlingsansvarlige planlegger utfasing av systemer som ikke ivaretar tilstrekkelig personvern og sikkerheten. Dette for å opprettholde tillitten til norske borgere. Vi ser at dette er spesielt viktig for norske myndigheter som til nå har hatt en stor tillitt i befolkningen. Det at enkelte statlige virksomheter effektiviserer og gevinstrealiserer på bekostning av personvernet, har gjort den enkelte borger mer bevisst på om man kan stole på de systemene som myndighetene benytter i digitaliseringen.

2.6.4 Helse og velferd

Helsesektorens måter å behandle personopplysninger på er utsatt for store forandringer og utviklingen går raskt. Opplysninger behandles nesten utelukkende elektronisk, og det er stadig mer utstyr som selv genererer data. Tjenester og behandling av data sentraliseres og utkontrakteres til aktører i inn- og utland for å effektivisere og redusere kostnader.

Arbeidet med å utvikle «Én innbygger – én journal» er i gang, og Helseplattformen er i prosess for å anskaffe leverandør av et felles journalsystem for Helse Midt-Norge.

Velferdsteknologi tas mer og mer i bruk av befolkningen for private formål, samtidig som teknologien også brukes i regi av det offentlige som et ledd i helse- og velferdstjenester. Denne nye formen for å generere data, gir nye utfordringer med tanke på hvor mye av dette som skal lagres og hvor lenge. Vi ser utfordringer knyttet til hvor sterkt dette feltet styres av leverandører, og hvordan bestillere har krevende oppgaver med å ha reell kontroll over behandlingen av opplysninger – behandlinger som skjer på deres vegne av leverandører og databehandlere. Dette er aktuelt i forbindelse med at det stadig utvikles og tilbys nye løsninger innen helseteknologi, både i form av utstyr som brukes til måling og rapportering av helse, og tilhørende apper og elektronisk behandling av data. Det er foreløpig lite fokus på å sikre at løsningene har innebygd personvern.

Persontilpasset medisin har lenge vært diskutert, og dette arbeidet pågår på forskjellige nivåer. Datatilsynet har forsøkt å påvirke at det settes ned et bredt utvalg for å vurdere denne formen for medisin, også knyttet til personvernkonsekvenser. Det så langt ikke er gjort brede og tverrfaglige utredninger innen dette feltet.

Det vil i tiden fremover bli tatt i bruk stordata og kunstig intelligens innen denne sektoren også. Det er allerede forskningsprosjekter som utreder mulighetene for dette – både for sekundære formål og primære formål slik som beslutningsstøtte for de som yter helsehjelp. Det er et stort press på å bruke data man har til nye formål innen forskning og kvalitetssikring, og det er flere offentlige prosesser som parallelt utreder hvordan data kan deles mer effektivt og i større grad enn det gjøres i dag. Det snakkes om at våre helsedata utgjør enorme verdier, og at vi må bruke dem på måter som gir avkastning. Det legges til grunn at disse formålene har stor tillit i befolkningen.

Innen sekundærbruk av data vil innføringen av personvernforordningen medføre store endringer, og ved avskaffelsen av konsesjonsplikten vil aktørene selv måtte ta større ansvar for vurderingene som ligger til grunn for behandling av data til forskning og kvalitetssikring. Dette er en omlegging av en langvarig praksis, og vil kunne medføre et stort behov for veiledning fra tilsynsmyndighetene. I tillegg ser vi tendenser til at det er ønskelig å gå bort fra den klare hovedregelen om samtykke fra registrerte innen sekundærbruk av helseopplysninger. Nye forskrifter vil aktualisere disse problemstillingene, og vi ser det som en utfordring å sikre at det også i fremtiden er samtykke som er det sentrale rettslige grunnlaget ved slik bruk av personopplysninger.

Det er en positiv personverntrend innen helsetjenesten at borgerne skal gis størst mulig grad av selvbestemmelse over egne opplysninger gjennom nye innbyggertjenester. Dette ser vi som en styrking av den enkeltes rett til personvern. Samtidig er det enkelte utfordringer knyttet til at dette krever stadig større bevissthet og kunnskap hos den enkelte.

Helse- og omsorgstjenesten og NAV besitter enorme mengder data om oss. Dataene er meget interessante for gjennomføring av stordataanalyser. Slike analyser utfordrer den tradisjonelle praksisen knyttet til sekundærbruk av data, og den reiser nye problemstillinger for personvernet. Disse problemstillingene kan være utfordrende for både den enkelte og for de som skal vurdere om denne bruken av data skal tillates eller ikke.

Med endringene kommer det nye muligheter, men også nye trusler og konsekvenser for hver enkelt registrert. Det er en grunnleggende forutsetning for å ta i bruk nye muligheter at man først har forstått risikoen og hvilke konsekvenser mulighetene medfører. Bare slik kan man sørge for at behandlingen av opplysninger skjer på en lovlig og trygg måte.

2.6.5 Kunstig intelligens, roboter og droner i algoritmenes tidsalder

Vi forventer en økning i antall henvendelser og saker som involverer kunstig intelligens i tiden fremover. Gitt stort potensial for samfunnsgevinst, kan vi forvente at sentrale personvernprinsipper kommer under økt press, og dette vil kreve et tydelig budskap og nøye vurderinger fra vår side. Å ha teknisk kunnskap slik at tilsynet kan avdekke potensielle personvernutfordringer ved utvikling og bruk av kunstig intelligens, vil være en utfordring da teknologien er kompleks og utviklingen går raskt.

Nå som tingenes internett (IoT) blir mer og mer vanlig – med sensorer i vanlige ting i hjemmet slik som kjøleskap og TV, samt til styring av varme, lys, låser og så videre – må vi forvente at utfordringene knyttet til personopplysningene i større og større grad blir noe vi som myndighet vil være nødt til å møte. Vi ser allerede i dag at de automatiske strømmålere kan benyttes som en hub for sensorer i hjemmet og i omgivelsene, med de nærmest uante mulighetene som ligger i dette.

Selvkjørende biler vil samle inn store mengder personopplysninger om både sjåføren, passasjerer og omgivelsene. Dette gjør det etter vårt syn nødvendig å drøfte personvernmessige utfordringer og samfunnsetiske problemstillinger ved bruk av kunstig intelligens i trafikken. Denne problematikken vil være tiltagende etter hvert som teknologien forbedres, og etter hvert som biler og andre kjøretøy blir mer og mer autonome eller helt selvkjørende. Dette vil ikke bare påvirke hvert enkelt kjøretøy og de som sitter i dem, men også alle andre trafikanter som er i kjøretøyets omgivelser. Muligheter og utfordringer knyttet til dette vil være nye og sentrale områder for oss i årene som kommer.

Vi forventer en stadig økt bruk av droner både i nærings- og nyttevirksomhet, i offentlig sektor og blant privatpersoner. Det er derfor viktig at Datatilsynet fortsetter å være synlige og tilgjengelige for å sikre at aktørene som benytter seg av droner har kunnskap om personvernregelverket, og at de benytter seg av personvernvennlig teknologi.

2.6.6 Vurdering av hvordan framtidsutsiktene kan komme til å påvirke tilsynets arbeid og måloppnåelse over tid

2.6.6.1 Nye personvernregler

Flere steder i denne årsrapporten har vi omtalt hvor viktig det nye personvernregelverket vil bli. Det er vanskelig på det nåværende tidspunkt å vite hvilke endringer som vil få størst betydning for borgere og virksomheter. Vi er imidlertid sikre på at bestemmelsen om at data skal samles inn til et bestemt formål, og at man ikke skal samle inn mer data enn nødvendig (dataminimalisering), vil bli svært viktig.

Når man tar i bruk kunstig intelligens eller emosjonell overvåking, er det ofte fristende å ta i bruk data til nye formål. Algoritmene finner sammenhenger og mønstre den menneskelige hjerne ikke kan finne. Og det er ofte ønske om at mengden maksimaliseres, slik at vi får mest mulig data å øse fra.

Den nye loven stiller også strengere krav til å ha kontroll på data virksomheten bruker. Dette betyr at en virksomhet som for eksempel treffer beslutninger om tildeling av en stønad, må ha full oversikt over de datakildene som brukes for å treffe beslutningen. Offentlig sektor er også underlagt forvaltningsloven som blant annet krever at enkeltvedtak skal begrunnes så godt at hver enkelt av oss forstår hvorfor avgjørelsen ble som den ble. Borgeren har også rett på informasjon om hvilke regler og faktiske forhold vedtaket bygger på, samt hvilke hovedhensyn som har vært avgjørende.

Den som er gjenstand for en automatisk beslutning, har dessuten rett til å få en forklaring på logikken bak beslutningen. Ta forsikring som eksempel: Selv i dag er det å beregne pris på en bilforsikring krevende, og mange opplysninger inngår i beslutningen. Det kan være alder, bosted, barn under 25 år som kjører bilen, kjørelengde, om man har garasje eller parkerer på gata. Dersom vi har en svart boks i bilen, vil når vi bremser, hvor fort vi kjører, bruk av blinklys og lignende også inngå i prisvurderingen.

Datatilsynet har ikke svaret på hvordan slik forklaring skal gis, men vi ser at dette i mange tilfeller vil være krevende. Hver enkelt av oss skal med rimelig grad av sikkerhet vite hva utfallet av en sak skal blir, basert på lignende avgjørelser. Dessuten skal vi kunne etterprøve at beslutningen er rettferdig, at det ikke er trukket inn utenforliggende hensyn eller at det er fordommer i algoritmene.

Flere av de utfordringene vi har nevnt over, vil derfor kunne møtes med de nye pliktene og rettighetene som innføres med det nye regelverket.

2.6.6.2 Politikernes rolle

Det er også all grunn til å påpeke at politikerne har en viktig rolle å spille. Det må stilles krav til lovhjemlene som skal brukes. Dersom det for eksempel lykkes å utvikle en algoritme som flagger trygdesvindlere, må det være en egen lovprosess for å få på plass en hjemmel før algoritmen kan slippes løs på reelle saker. Dersom Tolletaten skal starte søk i åpne datakilder for å fange smuglere, vil det kreve en meget grundig utredning, klare lovhjemler og ikke minst vurdering i forhold til Den europeiske menneskerettskonvensjonen.

2.6.6.3 Nye arbeidsmetoder

Vi må utvikle en metodikk for hvordan algoritmer skal forklares, og hvordan lovverket skal tilpasses en ny teknologisk hverdag. Vi kan også komme i en situasjon der et resultat ikke kan forklares: Maskinen avslår søknaden om stønad, men vi vet egentlig ikke hvorfor. Vi kan ende i en situasjon der en algoritme ikke kan brukes, fordi vi ikke kan forklare beslutningene den har truffet. Dessuten må vi jobbe mer målrettet og strategisk enn tidligere.

I vår nye strategi har vi blant annet blinket ut markeder med stor ubalanse i maktforholdet, samt virksomheter med en utfordrende forretningsmodell som særlig viktig. Vi er allerede i gang med denne strategiske endringen. I 2017 har vi behandlet den største saken noensinne, mot helseforetakene i Helse Sør-Øst (les mer under kapittel 3.4 Helse og velferd). Vi har også varslet stans av databehandlingen i smartklokker for barn. Vi ser for oss at vi vil se flere saker av denne typen framover, og det vil også være en prioritert oppgave.

2.6.6.4 Internasjonale beslutninger

Stadig flere beslutninger treffes andre steder enn i Norge. Det store teknologigigantene påvirker norske forbrukeres hverdag i stor grad, og om ikke lenge vil kinesiske selskaper få innpass på norske forbrukermarkeder. Nye personvernregler fører til at flere beslutninger treffes av Personvernrådet, der Norge ikke har stemmerett.

Vi er i dag godt posisjonert i Artikkel 29-gruppen, som vil bli erstattet av Personvernrådet. Vi vil bruke denne posisjonen til å påvirke beslutninger, og delta aktivt i rådets arbeid.

2.7 Årsregnskap

2.7.1 Ledelseskommentarer

Datatilsynet er på nettoføringsordningen. Ordningen er slik at virksomheten skal bokføre merverdiavgiften på en egen artskonto, og Datatilsynet gis fullmakt til å belaste merverdiavgiften på Finansdepartementets kapittel 1633.

2.7.1.1 Bevilgning

Datatilsynet fikk 50 639 000 kroner til disposisjon i budsjettproposisjonen 2017, beløpet inkluderer midler til pensjonspremie til Statens pensjonskasse, noe som er nytt av året. I tillegg ble 1 736 000 kroner overført fra 2016. Datatilsynet fikk også 290 000 kroner som kompensasjon som følge av budsjettmessige virkninger av lønnsoppgjøret i 2017. Bevilgningen ble i tillegg økt med 140 000 kroner for å dekke anslåtte utgifter i forbindelse med forenklet modell for premiebetaling til Statens pensjonskasse. Når overføringene fra 2016 og tilleggsbevilgninger var lagt til, hadde vi totalt 52 805 000 kroner til disposisjon i 2017.

Mellomværende med statskassen utgjorde 1 396 855 kroner per 31.12.2017. Dette er skyldig skattetrekk. Samlet har Datatilsynet på kapittel 054501 hatt et merforbruk på 26 000 kroner.

2.7.1.2 Statens konsernkontoordning

Datatilsynet omfattes av statens konsernkontoordning. Bankinnskudd og utbetalinger gjøres opp daglig mot oppgjørskontoer i Norges Bank. Datatilsynet tilfører slik ikke likvider gjennom året, men har trekkrettighet på vår konsernkonto.

2.7.1.3 Fullserviceavtale med DFØ

Datatilsynet har en fullserviceavtale for regnskapstjenester med Direktoratet for Økonomistyring (DFØ). Dette innebærer at DFØ utfører det meste av aktivitetene som er knyttet til økonomisystemet på vegne av Datatilsynet.

2.7.1.4 Avtale med Statens innkrevingssentral

Datatilsynet har en avtale med Statens innkrevingssentral om at de innkrever tvangsmulkt og overtredelsesgebyr på vegne av Datatilsynet. Gebyrer inngår ikke som driftsinntekt, men føres på kapittel 3545 i statsregnskapet. I 2017 beløper dette seg til 1 383 000 kroner.

2.7.1.5 Vurdering

Årsregnskapet er avlagt i henhold til bestemmelser om økonomistyring i staten, rundskriv R-115 fra Finansdepartementet og krav fra overordnet departement. Årsregnskapet gir etter min vurdering et dekkende bilde av Datatilsynets økonomiske situasjon, disponible bevilgninger og regnskapsførte utgifter og eiendeler. Riksrevisjonen er utnevnt til ekstern revisor for Datatilsynet. Årsregnskapet er per dags dato ikke revidert. Revisjonsberetningen for årsregnskapet offentliggjøres på Datatilsynets hjemmeside når Stortinget har mottatt Dokument 1 fra Riksrevisjonen og revisjonsberetningen ikke lenger har status utsatt offentlighet.

Bjørn Erik Thon

Direktør,

Oslo, 1.3.2018

2.7.2 Prinsippnote for årsregnskapet

Årsregnskapet for Datatilsynet er utarbeidet og lagt frem etter nærmere retningslinjer fastsatt i «Bestemmelser om økonomistyring i staten» (bestemmelsene), fastsatt 12. desember 2003 med endringer, senest 18. september 2013. Årsregnskapet er i henhold til kravene i bestemmelsene punkt 3.4.1, nærmere bestemmelser i Finansdepartementets rundskriv R-115 og eventuelle tilleggskrav fastsatt av eget departement.

Oppstillingen av bevilgningsrapporteringen omfatter en øvre del med bevilgningsrapporteringen og en nedre del som viser beholdninger virksomheten står oppført med i kapitalregnskapet.

Oppstillingen av artskontorapporteringen har en øvre del som viser hva som er rapportert til statsregnskapet etter standard kontoplan for statlige virksomheter, og en nedre del som viser grupper av kontoer som inngår i mellomværende med statskassen.

Oppstillingene er utarbeidet med utgangspunkt i bestemmelsene punkt 3.4.2 – de grunnleggende prinsippene for årsregnskapet:

1. Regnskapet følger kalenderåret

2. Regnskapet inneholder alle rapporterte utgifter og inntekter for regnskapsåret

3. Utgifter og inntekter er ført i regnskapet med brutto beløp

4. Regnskapet er utarbeidet i tråd med kontantprinsippet

Bevilgnings- og artskontorapportering er utarbeidet etter disse prinsippene, men gruppert etter ulike kontoplaner. Prinsippene korresponderer med krav i bestemmelsene punkt 3.5 til hvordan virksomhetene skal rapportere til statsregnskapet. Sumlinjen «Netto rapportert til bevilgningsregnskapet» er lik i begge oppstillingene.

Alle statlige virksomheter er tilknyttet statens konsernkontoordning i Norges Bank i henhold til krav i bestemmelsene punkt 3.8.1. Ordinære forvaltningsorgan (bruttobudsjetterte virksomheter) tilføres ikke likviditet gjennom året. Ved årets slutt nullstilles saldoen på den enkelte oppgjørskonto ved overgangen til nytt år.

Bevilgningsrapporten

Bevilgningsrapporten viser regnskapstall som Datatilsynet har rapportert til statsregnskapet. Det stilles opp etter de kapitlene og postene i bevilgningsregnskapet som Datatilsynet har fullmakt til å disponere. Oppstillingen viser alle de finansielle eiendelene og forpliktelsene Datatilsynet står oppført med i statens kapitalregnskap. Kolonnen som heter «Samlet tildeling» viser hva virksomheten har fått til disposisjon i tildelingsbrev for hver kombinasjon av kapittel/post.

Mottatte fullmakter til å belaste en annen virksomhets kombinasjon av kapittel/post (belastningsfullmakter), vises ikke i kolonnen for samlet tildeling, men er omtalt i Note B til bevilgningsoppstillingen. Utgifter knyttet til mottatte belastningsfullmakter er bokført og rapportert til statsregnskapet, og vises i kolonnen som heter «Regnskap 2017».

Artskontorapporteringen

Artskontorapporteringen viser regnskapstall virksomheten har rapportert til statsregnskapet etter standard kontoplan for statlige virksomheter. Virksomheten har en trekkrettighet for disponible tildelinger på konsernkonto i Norges Bank. Tildelingene skal ikke inntektsføres og vises derfor ikke som inntekt i oppstillingen.

Note 5 til artskontorapporteringen viser forskjell mellom avregning med statskassen og mellomværende med statskassen.

2.8 Vedlegg

A. Oppstilling av bevilgningsrapportering

Note A – Forklaring av samlet tildeling utgifter

Note B – Forklaring til brukte fullmakter og beregning av mulig overførbart beløp til neste år

Belastningsfullmakt

Datatilsynet omfattes av nettoføringsordningen i staten, og har fullmakt til å rapportere betalt merverdiavgift på Finansdepartementets kapitel/post 163301.

B. Oppstilling av artskontorapporteringen

Note 1 – Utbetalinger til lønn

Note 2 – Andre utbetalinger til drift

Note 3 – Finansinntekter og finansutgifter

Note 4 – Utbetaling til investeringer og kjøp av aksjer

Note 5 – Sammenheng mellom avregning med statskassen og mellomværende med statskassen

Del A Forskjellen mellom avregning med statskassen og mellomværende med statskassen

C. Likestillingsrapportering