1 Kommunal- og moderniseringsdepartementets innledning

1.1 Innføringen av nytt personvernregelverk

2018 var et år med store endringer i både nasjonalt og internasjonalt personvernregelverk. Etter mange års arbeid og forberedelser, trådte EUs personvernforordning (GDPR, forordning 2016/679) i kraft i alle EUs medlemsstater 25. mai. Forordningen ble innlemmet i EØS-avtalen ved EØS-komiteens vedtak 6. juli 2018. Stortinget vedtok ny personopplysningslov som gjennomfører personvernforordningen i norsk rett ved sitt vedtak 22. mai 2018. Loven trådte i kraft 20. juli samme år.

Et bærende hensyn bak det nye felles europeiske personvernregelverket er regelverksharmonisering. Med grunnlag i forordningens regler skal de næringsdrivende i hele EØS-området kunne forholde seg til like vilkår for behandling av personopplysninger uansett hvilken medlemsstat de opererer i. Samtidig er de nye personvernreglene blitt omtalt som et rammeverk for tillit. De registrerte skal oppleve det samme sterke personvernet uansett i hvilken medlemsstat opplysningene deres blir behandlet. Dette skal legge grunnlag for helt nødvendig tillit mellom de behandlingsansvarlige og de registrerte, og bidra til utvikling av det digitale markedet.

For ytterligere å styrke regelharmoniseringen, er det internasjonale personvernsamarbeidet styrket. Det europeiske personvernrådet (EDPB) har fått flere oppgaver og utvidet kompetanse sammenliknet med forløperen, omtalt som Artikkel 29-gruppen. For regjeringen har det vært viktig å bidra til at Datatilsynet skal få delta i samarbeidet for de europeiske personvernmyndighetene. Med unntak av stemmerett, deltar EFTA-landenes personvernmyndigheter nå i det europeiske samarbeidet på lik linje med EU-landenes tilsynsmyndigheter. Dette gir mulighet til å påvirke regelverksforståelsen og regeletterlevelsen, blant annet gjennom å være aktiv i arbeidet med tolkningsuttalelser.

De grunnleggende personvernprinsippene, slik vi kjenner dem fra både EUs personverndirektiv, dir. 95/46/EF, og personopplysningsloven 2000 er videreført i personvernforordningen og personopplysningsloven. Prinsippene om lovlighet, åpenhet, formålsbestemthet, dataminimalitet, riktighet, konfidensialitet og integritet er alle tydelig fremhevet i forordningen. Sammen setter disse prinsippene gode rammer for trygg behandling av personopplysninger hos de behandlingsansvarlige. De behandlingsansvarlige har dessuten fått et tydeligere ansvar for å kjenne til og etterleve reglene, samtidig som gjennomførte personvernvurderinger og iverksatte personverntiltak skal kunne dokumenteres. Brudd på regelverket kan sanksjoneres med overtredelsesgebyr som er betydelig høyere enn våre nasjonale regler tidligere åpnet for. Departementet vil med interesse følge med på hvilken betydning de strenge sanksjonene får for regeletterlevelsen.

De registrertes rettigheter er også noe styrket i den nye personopplysningsloven, blant annet gjennom tydeliggjøring av retten til informasjon og innsyn, retten til sletting (også omtalt som retten til å bli glemt), en ny rett til dataportabilitet og en rett til å motsette seg enkelte typer behandling av personopplysninger. Ikke minst retten til informasjon og innsyn i egne opplysninger er grunnleggende for at den enkelte i størst mulig grad skal kunne ivareta eget personvern, noe som er sentralt i den nye personvernreguleringen, og også et mål i regjeringens personvernarbeid.

Personvernombudene har fått en sentral rolle i etterlevelse av personvernforordningen og personopplysningsloven. Mens ordningen tidligere var basert på frivillighet, er den nå tydelig forankret i personvernforordningen, og obligatorisk for en rekke behandlingsansvarlige, herunder offentlige virksomheter som behandler personopplysninger. Personvernombudene skal hjelpe den behandlingsansvarlige i å etterleve personvernregelverket, være et kontaktpunkt for de registrerte som ønsker å ivareta eget personvern, og ikke minst være bindeledd mellom den behandlingsansvarlige og Datatilsynet. Forhåpentligvis vil personvernombudene bidra til bedre personvern hos norske behandlingsansvarlige.

Selv om de grunnleggende personvernprinsippene er uendret, innebærer personvernforordningen og personopplysningsloven store endringer i Datatilsynets arbeidsmåter og oppgaver. Konsesjonsplikten, som tidligere har medført mye arbeid hos tilsynsmyndigheten, er opphevet. Samtidig har Datatilsynets plikt til å behandle saker i den europeiske samarbeidsmekanismen for personvernsaker gitt opphav til nye og krevende oppgaver. Fremover kan også forhåndsdrøftelser med de behandlingsansvarlige og gjennomgang og godkjenning av atferdsnormer bli arbeidskrevende oppgaver.

Personvernforordningen er detaljrik og omfattende. Rent lovgivningsmessig skiller det nye regelverket seg vesentlig fra det vi er vant til. Forordningen er språklig sett utfordrende, og inneholder en betydelig mengde henvisninger som kan gjøre at den oppfattes som uoversiktlig. Behovet for veiledning både fra Datatilsynet og andre personvernkyndige har derfor vært stort både i tiden før og, ikke minst, i tiden etter at det nye regelverket trådte i kraft. Samtidig er regelverkets internasjonale dimensjon med på å gjøre tolknings- og veiledningsarbeidet utfordrende. Det er ikke bare opp til norske myndigheter og domstoler å tolke de europeiske reglene. Også vedtak fra europeiske tilsynsmyndigheter, beslutninger i europeiske domstoler og EU-domstolen og uttalelser fra EDPB vil være sentrale rettskilder når personvernforordningen skal fortolkes og anvendes i årene fremover. Med grunnlag i dette, er det ekstra viktig at Datatilsynet prioriterer deltakelse i det internasjonale personvernarbeidet.

1.2 Gjenbruk av personopplysninger

Personopplysninger kan bare samles inn og behandles til spesifikke og berettigede formål, og de skal være nødvendige for dette formålet. Dette grunnleggende personvernprinsippet er nedfelt i personvernforordningens bestemmelse om prinsipper for behandling av personopplysninger. Det følger av den samme bestemmelsen at opplysninger ikke kan viderebehandles på en måte som er uforenlig med innsamlingsformålet. Samtidig åpner regelverket for at det i nasjonal rett kan bestemmes at opplysningene skal kunne viderebehandles for andre formål enn innsamlingsformålet forutsatt at slik viderebehandling er nødvendig og forholdsmessig i et demokratisk samfunn.

I mange sammenhenger er viderebehandling av allerede innsamlede personopplysninger praktisk både for den behandlingsansvarlige og for de registrerte. «Kun én gang» er et prinsipp som skal legges til grunn når offentlig forvaltning innhenter og behandler personopplysninger. I dette ligger at forvaltningen skal gjenbruke opplysninger i stedet for å spørre brukerne på nytt om informasjon de allerede har gitt fra seg. «Kun én gang» er omtalt i regjeringens Meld. St. 27 (2015–2016) Digital agenda for Norge. I meldingen punkt 7.3 fremgår blant annet at

«Utveksling av taushetsbelagt informasjon mellom offentlige virksomheter kan bare skje dersom det følger av forvaltningsloven eller annet regelverk at det er plikt eller rett til utveksling av informasjon uten hinder av taushetsplikt.»

De senere årene har forvaltningens ønske om å dele og gjenbruke personopplysninger til nye formål økt. Lovverket får stadig nye hjemler som åpner for utveksling og gjenbruk av taushetsbelagte opplysninger. Ofte er formålet knyttet til forvaltningens kontroll med bruk av ulike offentlige tilbud eller tjenester. For eksempel gir folketrygdloven Arbeids- og velferdsetaten omfattende tilgang til informasjon uten hinder av taushetsplikt fra både offentlige og private registre i deres kontrollarbeid. Etaten kan gjennomføre stedlige kontroller for å innhente informasjon, og har også hjemmel til å masseinnhente opplysninger i kontrolløyemed. Også tolletaten har vide hjemler til å innhente og behandle opplysninger, herunder helseopplysninger, for kontrollformål. Det samme gjelder skatteetaten. Samlet sett legger regelverket til rette for en ganske omfattende deling av taushetsbelagte personopplysninger i forvaltningen i kontrolløyemed.

Deling og gjenbruk av informasjon er i mange sammenhenger praktisk, og i enkelte sammenhenger den eneste måten forvaltningen kan gjennomføre effektiv og reell kontroll. Samtidig fører slik deling av opplysninger til at borgerne mister oversikt over hvem som behandler hvilke opplysninger om dem til hvilke formål. Opplysningene benyttes til en type kontroll de færreste hadde sett for seg da opplysningene ble samlet inn. Et viktig formål med bestemmelser om taushetsplikt og andre regler som skal gi personvernbeskyttelse, er at de skal legge grunnlag for tillit mellom borgerne og forvaltningen. Norske borgere har tradisjonelt hatt stor tillit til forvaltningen, noe som blant annet medfører at de er villige til å gi fra seg nødvendig informasjon. For å videreføre grunnlaget for denne tilliten, er regjeringen opptatt av at det gjennomføres og dokumenteres gode vurderinger av personvernkonsekvenser når det utarbeides forslag som skal legge til rette for deling av personopplysninger, særlig i kontrolløyemed. Det må også legges til rette for at de registrerte i størst mulig grad skal kunne skaffe seg informasjon om flyten av egne opplysninger. Dette er avgjørende for at de registrerte skal kunne ivareta eget personvern slik personvernregelverket i stor grad legger opp til.

1.3 Personvern for barn og unge

Barn og unge lever store deler av livene sine digitalt. Dette gir enorme muligheter for deltakelse og samhandling. Det gir også utfordringer i form av mobbing, trusler og kontroll. Barn har samme krav på privatliv og personvern som voksne. I tillegg har barn og unge rett til å bli beskyttet mot uønsket atferd, mobbing og trakassering. Det er viktig å lære barna nettvett. Det er et voksenansvar å legge til rette for at barn og unge lærer hvordan digitale løsninger kan brukes på en trygg og god måte, enten bruken skjer i skolen og barnehagen eller på fritiden.

Stadig flere barnehager og skoler tar i bruk digitale verktøy i læringen. Disse verktøyene innhenter, lagrer og behandler betydelige mengder opplysninger om barna. Ikke bare informasjon om selve arbeidet som er gjort, eller oppgaven som er løst, blir lagret i de digitale løsningene. Også informasjon om når og hvor eleven gjorde arbeidet blir lagret. Dette innebærer til sammen en omfattende samling av informasjon om barnet/eleven. Skolen har en viktig oppgave i å bevisstgjøre elevene på ulike sider ved bruk av digitale verktøy både i skolearbeidet og ellers. De må forklare hvilken informasjon om eleven som registreres når elevene bruker de digitale læringsmidlene. Også foresatte må få god informasjon om dette. Departementet er opptatt av at barns personvern vektlegges i barnehager og på skoler. Alle barn og unge skal ha tillit til at personlig informasjon behandles på en trygg måte.

Samtidig må skoleiere, administratorer og lærere være bevisste når de anskaffer og bruker digitale læringsverktøy. Det må stilles krav når systemer anskaffes, slik at de er egnet til å ivareta brukernes personvern. Skoleledere og lærere må ha kunnskap og bevissthet om riktig bruk av digitale verktøy og de personopplysningene som lagres, og om ivaretakelse av god informasjonssikkerhet. Fra tid til annen hører vi om elever som skaffer seg tilgang til lærernes innloggingsinformasjon og på den måten får adgang til egne eller andres personopplysninger i skolen. Dette utgjør en betydelig risiko som skolen må håndtere. Informasjon skal ikke deles i større grad enn det er tjenstlig behov for. Digitalisering gir muligheter for bedre kontroll med opplysninger enn de tidligere papirbaserte løsningene. Men dette krever gode innloggingsrutiner og god tilgangsstyring. Det krever også opplæring og en høy grad av bevissthet blant alle brukere.

Datatilsynet har i mange år deltatt i utviklingen av nettressursen «Du bestemmer». «Du bestemmer» er et opplæringsprogram som skal gi barn og unge mellom 9 og 18 år kunnskap om personvern, digital dømmekraft og nettvett. Dette er viktig kunnskap for å kunne bruke nettet på en trygg måte. Nettressursen utvikles av Datatilsynet i samarbeid med Utdanningsdirektoratet. Mange skoler bruker opplegget i undervisningen sin, noe departementet mener er positivt.

Barn og unge kan være særlig utsatt ved bruk av informasjonssamfunnstjenester, for eksempel nettbaserte spill eller sosiale medier. Gode tjenester med mulighet for samhandling og læring er både morsomt og utviklende for barna. Samtidig forutsetter mange av tjenestene behandling av opplysninger om brukerne. De unge har ofte ikke nødvendig kunnskap og erfaringsgrunnlag for å forstå konsekvenser av et samtykke til behandling av personopplysninger. Personvernforordningen setter derfor en aldersgrense for at samtykke skal kunne utgjøre behandlingsgrunnlag når informasjonssamfunnstjenester tilbys direkte til et barn. I Norge er denne grensen satt til 13 år. Dette er et godt tiltak for å ivareta personvernet til de yngste brukerne, og kan også bidra til nødvendig dialog mellom barn og foresatte om bruk av ulike nettjenester.

1.4 Informasjonssikkerhet og avviksmeldinger

Når stadig flere tjenester digitaliseres, samles det samtidig inn flere personopplysninger om brukerne. Dette skjer blant annet i helsesektoren, i ekomsektoren, i skolen og i transportsektoren. All behandling av personopplysninger forutsetter tilpassede informasjonssikkerhetstiltak. På mange områder behandles det sensitive og taushetsbelagte opplysninger som krever et særskilt vern. Informasjonssikkerhet er derfor et viktig, men ikke tilstrekkelig, element i godt personvern.

Det er den behandlingsansvarlige som er ansvarlig for at personopplysninger sikres på en god måte. Personvernregelverket forutsetter at sikringstiltakene er tilpasset opplysningenes art, omfang, behandlingsformål og behandlingskontekst. Det skal tas hensyn til både sannsynlighet for og konsekvens av eventuelle brudd på personopplysningssikkerheten når sikringstiltak velges. Tiltakene kan omfatte både tekniske og organisatoriske tiltak. Det betyr at det er like viktig med gode rutiner og bevissthet om personvern blant de som behandler personopplysninger, som sterke passord og andre informasjonssikkerhetstiltak i virksomheten.

Arbeid med personvern og informasjonssikkerhet er ikke noe den behandlingsansvarlige gjør seg ferdig med en gang for alle. Personvern og informasjonssikkerhet er et kontinuerlig arbeid. Alle endringer i rutiner og systemer kan få konsekvenser for virksomhetens evne til å behandle personopplysninger på en god måte. Dette arbeidet må derfor gis løpende oppmerksomhet hos alle behandlingsansvarlige. Det er heller ikke slik at arbeidet kan overlates utelukkende til it-avdelingen eller teknisk kyndig personale som kan iverksette tekniske sikringstiltak. Personvern og informasjonssikkerhet handler like mye om kultur og bevissthet. Det er et tema for virksomhetens øverste ledelse. Ledelsen må ta ansvar og vise organisasjonen at arbeidet er prioritert.

Mange virksomheter velger å benytte eksterne databehandlere med teknisk kompetanse for å behandle personopplysninger. For disse behandlingsansvarlige er det viktig å huske på at det er de som er ansvarlige for sikkerheten også hos databehandleren. Det er ikke mulig å «gjemme» seg bak en databehandler dersom det skjer avvik. Den behandlingsansvarlige har derfor et særlig ansvar for å forsikre seg om at den informasjonssikkerheten som tilbys av databehandleren er tilfredsstillende sett i forhold til de opplysningene som skal behandles og det formålet de skal behandles for. Det følger nå av personvernforordningen at den behandlingsansvarlige må sørge for at den eller de databehandlerne som velges gir tilfredsstillende garantier for at de vil gjennomføre egnede og tilpassede tekniske og organisatoriske tiltak for etterlevelse av personvernregelverket og ivaretakelse av de registrertes rettigheter.

I meldingsperioden har vi sett flere eksempler på valg av databehandlere som ikke i tilfredsstillende grad ivaretar informasjonssikkerhet og personvern når de behandler personopplysninger på vegne av en behandlingsansvarlig. Sakene med utkontraktering av ikt-tjenester i ni helseforetak i Helse Sør-Øst er ett eksempel. I denne saken ila Datatilsynet helseforetakene overtredelsesgebyr for ikke å ha oppfylt pliktene til sikkerhetsledelse, risikovurderinger og tilgangsstyring i forbindelse med tjenesteutsetting av IKT-drift til utlandet. De viser med all tydelighet viktigheten av å velge databehandlere som fullt ut forstår og ivaretar det ansvaret de påtar seg ved inngåelse av avtale om å behandle personopplysninger på vegne av andre.

Personopplysningsloven og personvernforordningen, som trådte i kraft i Norge i juli 2018, pålegger behandlingsansvarlige og databehandlere som opplever avvik i behandlingen av personopplysninger en plikt til å melde avvikene til Datatilsynet. Unnlatelse av å melde avvik kan innebære et brudd på regelverket, og medføre reaksjoner fra tilsynsmyndigheten. Datatilsynet har opplevd en enorm økning i antall avviksmeldinger etter at det nye regelverket trådte i kraft. Dette betyr ikke nødvendigvis at det skjer flere brudd nå enn tidligere. Trolig er det heller et tegn på økt kunnskap og bevissthet om personvernregelverkets krav, og alvoret forbundet med avvik i behandlingen av personopplysninger. Departementet mener denne bevisstheten er et viktig skritt i retning av bedre regeletterlevelse og bedre personvern for den enkelte.