1 Datatilsynets årsrapport for 2018

Tall og tendenser fra Datatilsynets virksomhet

1.1 Leders beretning

1.1.1 Personvern handler om mennesker, politikk og makt

Året 2018 har stått i personvernets tegn. Det skyldes selvsagt at den nye personvernforordningen (General Data Protection Regulation, også kalt GDPR) trådte i kraft i EU-landene 25. mai. Faktisk viser statistikken over Google-søk fra denne dagen at «GDPR» var mer brukt som søkeord enn Kim Kardashian og Beyoncé (men nå skal det i sannhet sies at de nevnte kvinner var tilbake på topp etter noen dager igjen)!

Vårt arbeid med forordningen, og den betydningen den har hatt for mange virksomheter, får bred omtale i denne rapporten. Det jeg vil ta opp i denne innledningen, er imidlertid noe som for mange kanskje er selvsagt, men som blir en stadig viktigere del av samfunnsdebatten, nemlig at personvern ikke handler om data, men om mennesker, politikk og makt. Tidligere var personvern noe man – litt upresist sagt – drev med på datarommene. I dag er personvern i høyeste grad til stede i nær sagt enhver samfunnsdebatt.

I Storbritannia gransker det britiske datatilsynet hvordan data ble brukt, eller misbrukt, i Brexit-kampen. Og i USA tyder mye på at bruk av data bidro til at Donald Trump vant valget. Dette viser med all mulig tydelighet at personvern også handler om den viktigste bærebjelken i samfunnet vårt, nemlig demokratiet.

Personvern handler også om makt. Listen over verdens ti største selskaper er interessant. For ti år siden var de mest verdifulle selskapene i verden stort sett energiselskaper. I 2018 var topp syv utelukkende teknologiselskaper, med Apple, Amazon og Alphabet (Google) på de tre øverste plassene, mens to kinesiske selskaper også var representert. Det disse selskapene har til felles, er at de har enorme datamengder som samles på plattformer, enormt med penger så de kan kjøpe opp sine konkurrenter og de tiltrekker seg de beste hodene. De betaler heller ikke særlig mye skatt. At data er makt i 2018 er ingen overdrivelse. Eksemplene over viser at man kan påvirke valg ved hjelp av dataanalyse. Det er også svært betenkelig at noen selskaper har fått bygd seg så rike og så mektige. Derfor er det ikke overraskende at både konkurranse-, personvern- og forbrukermyndigheter har anlagt en rekke saker mot teknologigigantene.

I forlengelsen av dette oppstår ytterligere et spørsmål: Selv om mye av det selskapene gjør sannsynligvis er lovlig, er det slik vi vil ha det? Personvern og etikk har derfor blitt et tema som har seilt opp på den politiske dagsorden. Dette er særlig trigget av utviklingen innen kunstig intelligens. Vi har sett det i flere år, og utviklingen vil skyte fart. Mennesker fases ut av beslutninger, og algoritmer og kunstig intelligens treffer avgjørelser den menneskelige hjerne ikke kan forutse, eller etterprøve. Det kan dreie seg om alt fra innvilgelse av lån, lengden på en fengselsstraff, om man er kredittverdig eller ikke, eller om man får forsikring eller ikke. På den internasjonale personvernkonferansen i Brussel høsten 2018, ble det derfor vedtatt en deklarasjon om etisk og brukervennlig kunstig intelligens. Den er inspirert av den såkalte Nürnberg-kodeksen som vokste fram i kjølvannet av 2. verdenskrig, og som skulle forhindre at mennesker igjen skulle bli utsatt for forferdelige eksperimenter. Her er hovedpunktene i deklarasjonen:

Prinsippet om rettferdighet

Kunstig intelligens må utvikles og brukes på en måte som har respekt for enkeltindividets interesser. Det vil si at den må utvikles og brukes på en måte som ikke bryter med folks forventninger til hvordan data som er samles inn om dem, blir brukt.

Prinsippet om åpenhet og gjennomsiktighet

Løsninger basert på kunstig intelligens må være åpne og gjennomsiktige. En bekymring knyttet til kunstig intelligens er at man ikke alltid vet hvordan beslutningene blir produsert. Ofte vil systemene produsere et svar uten noen forklaring. Dette gjør det vanskelig for enkeltindivider å imøtegå, og eventuelt klage på, beslutningene som systemene tar.

Prinsippet om ivaretakelse av individets rettigheter

Kunstig intelligens må utvikles og brukes på en måte som bygger opp om individets rettigheter. Folk skal blant annet ha rett til innsyn i hvilke data som samles inn om dem og til informasjon om hvordan opplysningene brukes. Folk skal ha rett til en forklaring på beslutningene maskinene tar og rett til å klage på dem.

Prinsippet om ansvarlighet

Virksomheter som utvikler og bruker kunstig intelligens må evaluere effekten systemene har. De må sikre at systemene ikke produserer beslutninger som fører til usaklig forskjellsbehandling av enkeltpersoner.

Prinsippet om «innebygd etikk»

Systemer for kunstig intelligens må bygges etter prinsippene for innebygd personvern. Det vil si at systemene teknisk og organisatorisk må være bygd opp på en måte som ivaretar individets interesser.

Prinsippet om ikke-diskriminering

Kunstig intelligens må utvikles og brukes på en måte som hindrer at algoritmene trenes opp til å ta diskriminerende og fordomsfulle beslutninger. Dette kan blant annet gjøres ved å være oppmerksom på viktigheten av å ha oppdaterte, korrekte og representative data.

Vi ønsker denne debatten velkommen også i Norge, og minner til slutt om at personvern ikke handler om data, men om mennesker.

Bjørn Erik Thon

Direktør

1.2 Introduksjon og hovedtall

1.2.1 Overordnet om Datatilsynets mål, prioriteringer og virkemidler

Datatilsynet ble opprettet i 1980, og er et uavhengig forvaltningsorgan under Kommunal- og moderniseringsdepartementet (KMD). Vår hovedoppgave er å bidra til at personvernlovgivningen etterleves, og at alle skal ha beskyttelse i tråd med gjeldende personopplysningsregelverk.

Vi skal fremme personvern som en sentral verdi i samfunnet og være ombud i personvernspørsmål. Vi skal delta i personverndebatten og sette dagsorden, vi skal undersøke og dele fakta om personvernets kår både nasjonalt og internasjonalt, og vi skal jobbe for at personvernet ivaretas også på områder som faller utenfor vårt tilsynsområde.

Personvern handler enkelt sagt om retten til et privatliv og retten til å bestemme over egne personopplysninger. Personvern er en menneskerettighet som skal sikre hensynet til den enkeltes personlige integritet, men det er også en ideell interesse og svært viktig for å sikre felles goder i et demokratisk samfunn. Datatilsynet må derfor jobbe aktivt for å oppnå en god ivaretagelse av personvernet i avveiingen mot andre samfunnsinteresser.

1.2.1.1 Mål og hovedaktiviteter

Datatilsynets hovedmål er definert som «Et godt personvern for alle». For å nå hovedmålet vårt, lanserte vi høsten 2017 en strategi som skal være førende for arbeidet vårt fram til 2020. Der har vi definert seks delmål som skal ligge til grunn for arbeidet vårt.

Datatilsynet skal:

• arbeide for en mer rettferdig maktbalanse mellom individet på den ene siden, og kommersielle aktører og det offentlige på den andre

• arbeide for å fremme personvernvennlig digitalisering, innovasjon og utvikling

• arbeide for at virksomheter blir kompetente, forstår viktigheten av godt personvern og etterlever regelverket

• bidra til at individet i større grad kan ivareta sitt eget personvern

• påvirke og ta lederrollen i noen utvalgte internasjonale prosesser for å fremme bedre personvern

• være et kompetent og fremtidsrettet tilsyn

Vår virksomhetsplan og våre prioriteringer vil være knyttet opp mot disse strategiske satsingene.

Vi vil her redegjøre på overordnet nivå hvorfor vi har prioritert som vi har gjort, samt hva som er prioritert ned. Dette har også blitt etterlyst av departementet tidligere.

Prioriteringer

Den absolutt overordnede prioriteringen har i meldingsåret vært arbeidet knyttet til innføringen av ny personopplysningslov med personvernforordning. Det nye regelverket innfører flere nye systemplikter, gir borgerne nye rettigheter og åpner for strengere sanksjoner.

Å være godt forberedt internt, og ikke minst bidra til at norske virksomheter kjenner til og følger det nye regelverket, har vært helt avgjørende for oss. Utarbeidelse av veiledere har derfor vært høyt prioritert. Vi har også lagt mye arbeid i behandlingen av de første enkeltsakene, ettersom de vil bli brukt som mal i kommende saker.

Vi har dessuten nå fullt medlemskap i Det europeiske personvernrådet (European Data Protection Board, EDPB) – i motsetning til i forgjengeren der vi bare var observatører. Her har også aktiv deltagelse vært viktig for oss, og vi har blant annet påtatt oss ansvaret med å være rapportør for to viktige arbeider. Dette er arbeidskrevende, men vi ser på det som en fin måte å komme inn i arbeidet på, og markere oss i dette nye rådet.

Virksomhetsplan og aktiviteter

Arbeidet i 2018 har vært todelt; en periode fram til det nye regelverket trådte i kraft i Norge 20. juli, og en for resten av året. Virksomhetsplanen for andre halvår ble av kapasitetshensyn forlenget til å gjelde ut februar 2019.

I perioden fram til ikrafttredelsen var hovedaktivitetene knyttet til:

• avvikling av saker for å unngå at vi dro med oss saker fra gammelt regelverk etter at det nye trådte i kraft

• bygging av kompetanse i organisasjonen. Det ble arrangert ukentlige interne kompetansetiltak fram til et par måneder før ikrafttredelsen

• innholdsrevisjon av nettsiden slik at den var faglig oppdatert etter nytt lovverk

• digitalisering av Datatilsynets tjenester. Det ble nedsatt en prosjektgruppe som skulle se nærmere på og vurdere ulike tiltak for å gjøre det lettere for publikum å finne svar på spørsmål om personvern og personvernregelverket (for eksempel interaksjonsdesign og struktur på nettsidene, wizards, flytskjemaer og lignende)

• utvikling og etablering av register for personvernombud

• behandling av viktige enkeltsaker (hvor vi blant annet kan trekke fra saken mot helseforetakene i Helse Sør-Øst og smartklokker for barn)

• delta aktivt i personverndebatten, og bruke media som informasjonskanal til virksomheter og borgere

Deler av dette arbeidet har fortsatt også etter 20. juli, men vi har i tillegg satt igang andre aktiviteter som vil omtales i de neste kapitlene. Vi kan imidlertid trekke fram endel overordnede satsinger som særlig viktige i andre halvår. Vi har prioritert:

• analyse av avviksmeldingene som kommer inn

• å lage en policy for godkjennelse av bransjenormer

• å skrive høringssvar, blant annet til åpenhetsutvalget og om digitalt grenseforsvar (som ikke var ferdig når denne årsmeldingen ble skrevet)

• avvikling av standardkonsesjoner som en følge av at konsesjonsordningen ble opphevet med nytt regelverk

• løpende oppdatering og utvikling av veiledere på hjemmesiden vår

• å behandle de første enkeltsakene etter nytt regelverk

• dialog med en rekke aktører i privat og offentlig sektor

• videre utvikling av samarbeidsprosjektet Du Bestemmer

• utstrakt foredragsvirksomhet, men nedskalert sammenlignet med toppåret 2017

• aktiv deltagelse på Arendalsuka

• innføring av nytt telefonsystem

• aktiv deltagelse i det europeiske personvernsamarbeidet

• gjennomføre de første tilsynene etter det nye regelverket. (Vi valgte å kontrollere hvorvidt offentlige virksomheter hadde opprettet personvernombud.)

• starte arbeidet med å utvikle en ny tilsynsmetodikk

• effektivisere saksbehandlingen og utvikle nye verktøy for forenkling

En så sterk satsing på arbeid relatert til nytt regelverk, har nødvendigvis ført til at vi har nedprioritert det sektorvise arbeidet. Vi har også prioritert ned tilsynsvirksomheten, og med unntak av brevkontroll med om offentlige etater har etablert personvernombud, har vi kun gjennomført et fåtall tilsyn i 2018.

Vi har også forenklet rådgivningen vi gir til enkeltpersoner og virksomheter, og gir i mindre grad konkrete råd, men viser til veiledningsmateriell og informasjon på nettsiden vår. Dette er i tråd med strategien om at den enkelte i større grad må ivareta sitt eget personvern. Vi har også prioritert vekk en lang rekke foredrag, og vi har generelt vært tilbakeholdne med å ta opp store enkeltsaker jo nærmere vi kom ikrafttredelsen av det nye regelverket. Vi har hatt få proaktive aktiviteter som ikke er relatert til forordningen.

Les mer om forordningsarbeidet og arbeidet på andre områder i kapittelet om årets viktigste aktiviteter.

1.2.1.2 Virkemidler

For å nå hovedmålet vårt har vi i hovedsak fem ulike virkemidler til disposisjon. Vi prøver til enhver tid å kombinere disse virkemidlene der det er mulig for å oppnå en best mulig effekt. Her er en generell oversikt over de ulike virkemidlene. Vi vil så i de neste kapitlene gå dypere inn i materien og se nærmere på tall og måloppnåelse.

Saksbehandling som virkemiddel

Gjennom saksbehandling tilegner vi oss erfaring og kunnskap om hvordan personvernhensyn ivaretas i praksis, og vi skal særlig ha oppmerksomheten rettet mot å identifisere systemfeil i virksomheter og bransjer.

Saksbehandling som virkemiddel har særlig vært brukt på områder der vi mottar mange henvendelser og klager. Som offentlig etat, er vi naturlig nok bundet av forvaltningsrettslige regler og normer. Det gjøres derfor mye saksbehandling også innenfor områder som ikke er hovedprioritet.

Tilsynsvirksomhet som virkemiddel

Gjennomføringen av tilsyn gir signal om at regelverket skal etterleves og at etterlevelsen blir kontrollert. Tilsynsvirksomheten gir oss et faktabasert grunnlag for kommunikasjon til ulike bransjer og relevante aktører. Tilsyn skal dessuten benyttes aktivt for å undersøke og avklare praksis, og til å følge opp konkrete problemstillinger i enkeltsaker. Tilsynsvirksomheten inkluderer også bruk av kontrollhjemler i saksbehandlingen, slik som for eksempel når vi følger opp enkeltklager gjennom krav om redegjørelse.

Ved å gjennomføre tilsyn når nye løsninger tas i bruk, men før en praksis har satt seg, kan tilsyn også medvirke til å forme et område videre.

Noen ganger benyttes kontrollene dessuten for å få bedre oversikt over et område eller en sektor, og for å skaffe et bedre grunnlag for å ta i bruk de andre virkemidlene. Andre ganger benyttes de for å holde oppe et trykk på en bestemt sektor – gjerne innenfor et bestemt tema.

Kommunikasjon som virkemiddel

Datatilsynet skal veilede og informere om personvernlovgivning og forvaltningspraksis. Kommunikasjon som virkemiddel benyttes ofte integrert med de øvrige virkemidlene. En del av kommunikasjonen og dialogen vår skjer derfor gjennom veiledningstjenesten, veiledningsmøter og annen dialog med rammesettere og beslutningstakere.

Gjennom kommunikasjon ønsker vi dessuten å spre informasjon om personvernets tilstand, samt skape debatt og gi uttrykk for synspunkter vi måtte ha som forvaltnings- og tilsynsorgan og i rollen som ombud. Ombudsrollen brukes blant annet ved utspill og kommentarer overfor mediene, i foredragsvirksomheten og i blogginnlegg.

Forsknings-, utviklings- og utredningsarbeid

Gjennom nær kontakt med miljøer i inn- og utland som driver med forsknings- og utviklingsarbeid, setter vi oss selv bedre i stand til å sette personvernhensyn inn i en samfunnsmessig kontekst, og til å fange opp trender og utviklingstrekk på et tidlig stadium. Vår kontakt med forskningsmiljøer kan stimulere til forskning på personvern, samtidig som personvernhensyn også blir ivaretatt i annen forskning.

Vårt eget utrednings- og kartleggingsarbeid utgjør også en viktig kilde til kunnskap. Det gir dybde til ulike temaer vi jobber med og er med på å skape oppmerksomhet om personvernspørsmål. Resultater fra vårt forskning-, utviklings- og utredningsarbeid legges også til grunn ved bruk av de øvrige virkemidlene.

Andre virkemidler

Deltagelse i ulike råd og utvalg er et godt virkemiddel for å best mulig kunne påvirke aktører til å etablere god praksis. Det samme gjelder deltagelse i arbeid knyttet til innebygd personvern og regelverksutvikling. En slik måte å arbeide på egner seg særlig på områder der det pågår større reformer og utviklingsarbeid, særlig dersom de er teknologidrevne.

Personvernombudsordningen er et utpreget organisatorisk virkemiddel. Antall personvernombud i landet vokser, og er viktige ambassadører for personvern både i offentlige og private virksomheter.

Når det gjelder overtredelsesgebyr og tvangsmulkt, er dette økonomiske virkemidler som er blitt tatt stadig mer i bruk. Med innføringen av nytt personvernregelverk, er det åpnet for høyere ovetredelsesgebyr enn tidligere, og virkemidlet er slik forsterket.

1.2.2 Nærmere om tall og ressursbruk

1.2.2.1 Overordnet vurdering

Som det fremgår over, har Datatilsynet gjort noen klare prioriteringer i meldingsåret. I dette kapittelet går vi nærmere inn på hvordan vi har fordelt ressursene, og hvilke virkemidler vi har brukt. Det er svært vanskelig å anslå ressurser i årsverk, i og med at de ulike virkemidlene griper inn i hverandre. Særlig krevende har dette vært i 2018, siden en stor del av arbeidet har vært knyttet til kommunikasjon og veiledning om det nye regelverket. Dette har trukket ressurser fra nær sagt alle faggrupper i tilsynet. Vi har derfor gjort en kvalitativ sammenligning med ressursbruken i et normalår.

Vi har i 2018 benyttet en større andel ressurser på saksbehandling sammenlignet med et normalår. Det har som nevnt vært en prioritert oppgave å avvikle flest mulig saker før nytt regelverk trådte i kraft. Vi har vært noe tilbakeholdene med proaktivt å ta opp saker, for eksempel når sikkerhetsbrudd har vært omtalt i media, men vi har opplevd en betydelig økning i antall avvikssaker. Som det fremgår i kapittelet om saksbehandlingen, har tallet på avviksmeldinger (melding om brudd på personopplysningssikkerheten) økt fra 349 i 2017 til 1 275 i meldingsåret. I tillegg har vi fått en ny sakstype, nemlig grenseoverskridende saker. Samlet utgjør dette en betydelig utfordring ressursmessig.

Vi har benyttet betydelig færre ressurser på tilsyn i meldingsåret. Antallet er høyt, i og med at vi kontrollerte hvorvidt offentlige etater hadde oppnevnt personvernombud, men antallet gjenspeiler ikke ressursinnsatsen. Grunnen til dette er at andre viktigere oppgaver ble prioritert, og at det ville vært uheldig å gjennomføre tilsyn mot norske virksomheter i samme fase som de jobbet med å tilpasse seg til det nye regelverket.

Vi har som nevnt brukt mer ressurser på kommunikasjon og veiledning enn tidligere. Forklaringen er ganske enkelt at borgere og virksomheter måtte få informasjon om det nye regelverket. Dette har tatt betydelige ressurser både for de som jobber med kommunikasjon i det daglige, men også for jurister, samfunnsvitere og teknologer. Tallenes tale er klar: Det har vært større pågang om veiledning enn noensinne i Datatilsynets historie.

Vi har også brukt færre ressurser på forsknings-, utviklings- og utredningsarbeid. Det har blant annet gitt seg utslag i at vi kun publiserte én rapport med personverntema i meldingsåret. Den ble skrevet til Personverndagen 2018. men hoveddelen av arbeidet ble gjort i 2017. Vi gjennomførte ikke noen undersøkelse i forbindelse med Personverndagen i januar 2019, men la heller vekt på å vise hvilke tendenser vi så i alle avviksmeldingene som kom inn i 2018.

Når det gjelder ressurser og virkemidler kan året oppsummeres slik: Det har vært et svært arbeidskrevende år, og veldig mange medarbeidere har strukket seg langt og gjort en fantastisk innsats for at vi skal forberede alle Datatilsynets ansatte og norske virksomheter på det nye personvernregelverket. Samtidig har vi hatt god saksproduksjon og holdt tritt med økningen i innkomne saker.

1.2.2.2 Saksbehandling og veiledningstjenesten

Saksbehandling er en av Datatilsynets viktigste oppgaver. Saksbehandlingen initieres som oftest ved klager eller andre henvendelser fra enkeltpersoner, organisasjoner og bedrifter. Datatilsynet kan imidlertid også sette igang saksbehandling på eget initiativ.

I 2018 har særlig innkommende varsler om brudd på personopplysningssikkerheten (avviksmeldinger) ført til en økning i antallet saker sammenlignet med fjoråret. Etter at personvernforordningen trådte i kraft, har Datatilsynet dessuten opplevd en massiv økning i antallet innkommende internasjonale saker. Disse sakene formidles i IMI-systemet (Internal Market Information System).

En stor del av sakene som vi tar til behandling, blir behandlet i sin fulle bredde, og resulterer i enkeltvedtak overfor den juridiske eller fysiske personen som er behandlingsansvarlig eller databehandler. Datatilsynets saksforberedelse og saksbehandling foregår stort sett skriftlig. I noen tilfeller er det hensiktsmessig å sørge for at sakens faktiske sider opplyses ved hjelp av muntlig kommunikasjon. Samtidig blir en stor del henvendelser fra virksomheter og publikum tatt hånd om i veiledningssporet. Les mer om dette lenger ned i kapittelet.

I første halvdel av 2018 har Datatilsynet arbeidet med å avslutte saker som kom inn eller var påbegynt mens den gamle personopplysningsloven fremdeles var gjeldende. Målet var å avslutte så mange saker som mulig før overgangen til et nytt rettslig regime. For å nå dette målet, har det vært nødvendig å nedprioritere andre aktiviteter slik som veiledningsmøter, foredrag, utredningsprosjekter og så videre.

Antall saker, saksdokumenter og klager

I løpet av 2018 har vi registrert et rekordhøyt antall saker. Vi registrerte 2 654 nye saker, og til sammen 4 572 dokumenter, mot 1 807 innkomne saker og 3 860 dokumenter i 2017. Det dreier seg med andre ord om en betydelig økning hvis vi sammenligner med året før.

Dette skyldes etter alt å dømme økt interesse for og oppmerksomhet om personvern. Vi har sett at stadig flere advokater og andre aktører i næringslivet refererer til det nye regelverket (GDPR). Vi antar at all omtalen om de nye og strengere pliktene har gjort at mange virksomheter nå har blitt mer bevisste og fått opp øynene for viktigheten av å ivareta personvernet til kundene sine. Dette tror vi genererer flere henvendelser om hvordan regelverket skal forstås.

Datatilsynet fattet 246 enkeltvedtak i 2018. Dette innebærer en signifikant nedgang sammenlignet med tidligere år. En av grunnene til dette er en vesentlig nedgang i antallet konsesjonssaker, noe som er en direkte konsekvens av at det nye regelverket avviklet konsesjonsordningen. I tillegg er det ikke lenger nødvendig å behandle søknader om å opprette personvernombud, ettersom ombudsordningen nå er obligatorisk på en rekke områder og uttømmende regulert i lovgivningen. I løpet av 2017 fattet vi for eksempel 234 enkeltvedtak om opprettelse av personvernombud, mens tallet for 2018 var null. Flere saker enn tidligere løses dessuten i veiledningssporet i stedet for gjennom mer ressurskrevende saksbehandling.

Videre ble et 30-talls saker om avindeksering av personopplysninger i Googles søkeindeks satt på vent da det per nå er uklart hvilken europeisk datatilsynsmyndighet som er det kompetente til å behandle slike saker. Disse sakene vil følges opp i 2019.

Samtidig ser vi som nevnt at antall avviksmeldinger har økt kraftig, se eget avsnitt om dette nedenfor.

Klager på Datatilsynets enkeltvedtak

I løpet av meldingsåret ble 28 av Datatilsynets enkeltvedtak påklaget.

I 17 tilfeller resulterte det i at vi sendte sakene til Personvernnemnda for klagebehandling. Syv av disse ble returnert. Grunnen var at nemnda ba om vår vurdering av lovvalg, nærmere bestemt om den enkelte saken skulle behandles etter gammel eller ny personopplysningslov. De syv sakene var blitt oversendt til nemnda før det nye regelverket trådte i kraft, mens sakene ble tatt til behandling hos nemnda etter at det hadde trådt i kraft. Nemnda anmodet oss om å gi vårt syn på hvilke konsekvenser det vil få for behandlingen av de enkelte sakene dersom vi mener at det er riktig å anvende det nye regelverket. Fristen for å svare på dette spørsmålet går ut i januar 2019.

I tillegg ble en av klagene senere trukket tilbake. Fem klager førte til at vi omgjorde våre opprinnelige vedtak. De resterende fem sakene var ikke oversendt til Personvernnemnda ved utgangen av 2018, men blir fulgt opp i 2019.

Se fullstendig oversikt over alle sakene vi sendte til Personvernnemnda for klagebehandling i 2018 under vedlegg.

Avviksmeldinger/meldinger om brudd på personopplysningssikkerheten

Datatilsynet mottok 1 275 meldinger om avvik i løpet av året. Dette er en voldsom økning sammenlignet med tidligere år, også i forhold til 2017 som til da var det året vi har mottatt flest avviksmeldinger.

Rapporterte avvik er en indikator på hvor godt virksomhetene fanger opp avvik, at de faktisk har rutiner for å fange opp avvik og hvor godt de kjenner til rapporteringsplikten. For 2018 gjelder både den forskriftshjemlede plikten etter den tidligere personopplysningsloven med forskrift og etter ny lov med tilhørende forordning.

821 av de innrapporterte avviksmeldingene i meldingsåret, kom inn etter at det nye regelverket trådte i kraft i juli. Vi vurderer det slik at den voldsomme økningen skyldes økt bevissthet om avvik blant de behandlingsansvarlige, og at en god del virksomheter har etablert rutiner for avvikshåndtering som følge av de nye kravene. Dette er meget positivt, men omfanget avviksmeldingene er sannsynligvis en tydelig indikasjon på hva vi må forvente av avviksmeldinger i årene som kommer. Vi har også indikasjoner på et en del av de avviksmeldingene vi mottar er sendt «for å være på den sikre siden» fordi man frykter sanksjoner ved å ikke melde fra om eventuelle avvik.

Når det gjelder innhold, kan avviksmeldingene for eksempel gjelde feilforsendelser av e-post eller brev, datainnbrudd som for eksempel phishing og kryptovirus, passord på avveier, tekniske feil som manglende tilgangsstyring, feilaktig publisering av personopplysninger på nettet og lignende. 2018 har også gitt oss avviksmeldinger som har omhandlet alvorlige brudd på personopplysnings sikkerheten, noen av disse har også vært omtalt i media.

På grunn av den enorme økningen i antall avviksmeldinger, har vi opprettet en intern arbeidsgruppe med fem personer for å håndtere store deler av behandlingen av disse. Siden vi nå går opp ny praksis med det nye regelverket, har noen av de større sakene tatt lenger tid å behandle. Likevel har vi avsluttet omlag 73 prosent av sakene med et brev til virksomhetene som har rapportert avviket.

Sanksjoner

I løpet av meldingsåret har vi fattet 13 vedtak om overtredelsesgebyr og ett om tvangsmulkt. Vedtaket om tvangsmulkt førte til umiddelbar stansing av den ulovlige behandlingen av personopplysninger, og det ble dermed ikke nødvendig å effektuere vedtaket.

9 av de 13 overtredelsesgebyrene ble gitt til ulike helseforetak i Helse Sør-Øst. Alle var på 800 000 kroner, altså nært opptil maksimumssatsen etter den gamle personopplysningsloven. Helseforetakene fikk gebyrene for å ikke ha oppfylt sine plikter til å ivareta informasjonssikkerheten ved behandling av personopplysninger, å ikke gjennomføre nødvendige risikovurderinger og for å ikke sørge for nødvendig tilgangsstyring i forbindelse med tjenesteutsetting av IKT-drift.

Den nye personopplysningsloven med personvernforordningen innfører nye og høyere satser for administrative sanksjoner i form av overtredelsesgebyr. De mest alvorlige lovovertredelsene vil nå kunne resultere i bøter på inntil 20 millioner euro, eller på 4 prosent av global omsetning, dersom lovovertrederen er et foretak.

Ett vedtak om overtredelsesgebyr etter det nye regelverket ble varslet mot slutten av meldingsåret. Datatilsynet sendte da skriftlig varsel til Bergen kommune om et overtredelsesgebyr på 1,6 millioner kroner. Saken gjaldt en hendelse hvor filer med brukernavn og passord til over 35 000 brukere i Bergen kommune har ligget tilgjengelig for elever og ansatte i grunnskolen. Det har vært mulig å logge seg inn på skolens ulike informasjonssystemer som en elev, ansatt eller administrator på skolen, og dermed få tilgang til personopplysninger om andre elever og ansatte. Dette medførte blant annet at følsomme personopplysninger om svært mange barn i grunnskolen i Bergen har vært eksponert. Etter Datatilsynets foreløpige vurdering, innebar dette at personopplysningssikkerheten i de kommunale skolenes datasystemer måtte anses som mangelfull, og i strid med flere av bestemmelsene i personvernforordningen. Bergen kommune har fått frist til å svare på det varslede vedtaket innen utgangen av januar 2019.

Se fullstendig oversikt over alle sanksjonene som ble vedtatt i 2018 under vedlegg.

Høringer

I løpet av meldingsåret har Datatilsynet kommet med 36 høringsuttalelser med til dels omfattende merknader i forbindelse med ulike lov- eller forskriftsendringsforslag. Dette er en nedgang sammenlignet med året før, og ligger også under gjennomsnittet for de siste fire årene. Antallet innkommende høringssaker var også noe mindre enn det var i 2017.

Vi har blant annet gitt omfattende innspill til Justis- og beredskapsdepartementet om mandat til ny personvernkommisjon. Vi ga vår støtte til departementets forslag om å se nærmere på personvern i justissektoren og på barns personvern. Datatilsynet trakk også frem personvern ved bruk av internett og sosiale medier, offentlige organers sammenstilling av personopplysninger for å løse myndighetsoppgaver og personvern i helsesektoren som sentrale og aktuelle temaer for en personvernkommisjon.

I andre høringssaker har vi blant annet uttalt oss om:

• forslag om å øke enkelte strafferammer i straffeloven for å åpne opp for utvidet innsamling og analyse av unge lovbryteres DNA

• forslag til ny lov om kredittopplysningsvirksomhet

• forslag om endringer i reglene om bruk av overskuddsinformasjon fra kommunikasjonskontroll

• mulige konsekvenser av Brexit for adgangen til å overføre personopplysninger til Storbritannia

• forslag til ny pasientjournalforskrift

• forslag om ny bestemmelse i personopplysningsloven om utveksling av personopplysninger for å bekjempe arbeidslivskriminalitet

• varslingsutvalgets utredning om varsling i arbeidslivet

I flere av uttalelsene har vi påpekt at det bør gjennomføres vurderinger av personvernkonsekvenser i forbindelse med lovgivningsprosessen.

I 2018 mottok vi også et høringsnotat fra Forsvarsdepartementet med forslag til ny lov om etterretningstjenesten. Forslaget omfatter blant annet «tilrettelagt innhenting av grenseoverskridende elektronisk kommunikasjon», tidligere omtalt som digitalt grenseforsvar. Fristen for å komme med høringssvar er i februar 2019. Denne høringssaken er nærmere omtalt i kapittelet om årets viktigste aktiviteter.

Konsesjoner og forhåndsdrøftelser

Datatilsynet har registrert 132 nye konsesjonssøknader i løpet av meldingsåret, samtidig som vi har fattet 94 konsesjonsvedtak. Dette innebærer en signifikant nedgang sammenlignet med tidligere år.

Forklaringen på dette er i hovedsak at ordningen med forhåndsgodkjenning av behandling av personopplysninger gjennom konsesjoner falt bort med den nye personopplysningsloven og personvernforordningen. Etter det nye regelverket er det ikke lenger nødvendig å søke om tillatelse før en behandling av personopplysninger skal iverksettes, og tidligere gitte konsesjoner opphører som hovedregel å gjelde.

Hensikten med denne lovendringen er å flytte ansvaret for behandling av personopplysninger fra tilsynsmyndighetene til de behandlingsansvarlige virksomhetene, og å fjerne byråkratiske prosesser når personopplysninger behandles. Fremover skal datatilsynsmyndighetene i større grad kontrollere etterlevelse av regelverket gjennom tilsyn fremfor å drive med forhåndsgodkjenning.

Konsesjonsordningen er imidlertid videreført på noen områder. Disse er definert i forskriften om overgangsregler om behandling av personopplysninger. De mest sentrale er kredittopplysningskonsesjonene, konsesjoner til helseregistre og behandling av helseopplysninger, samt konsesjoner gitt til treningssentre i forbindelse med dopingkontroll. Disse konsesjonene fortsetter å gjelde inntil videre.

For behandling av personopplysninger i kredittopplysningsvirksomhet er det nødvendig å søke om konsesjon også etter at det nye regelverket er kommet på plass. Treningssentre som ønsker å bli et Rent Senter i samarbeid med Antidoping Norge, kan dessuten søke Datatilsynet om tillatelse for å behandle særlige kategorier personopplysninger eller opplysninger om straffbare forhold.

Det er viktig å nevne at den nye personopplysningsloven innfører en ny ordning med forhåndsdrøftelser, samtidig som konsesjonsplikten avvikles. Plikten til å be Datatilsynet om en forhåndsdrøftelse inntreffer dersom en behandlingsansvarlig planlegger å behandle personopplysninger med høy risiko for de registrertes rettigheter og friheter, og den behandlingsansvarlige ikke klarer å redusere risikoen ved hjelp av kompenserende tiltak. Dette er noe vi vil begynne å rapportere om i årsmeldingen når vi begynner å få på plass tall.

Internasjonal saksbehandling / IMI

Svært mange relevante prosesser foregår internasjonalt, ikke minst innen rammene av EØS-samarbeidet. Beslutninger som påvirker norske innbyggere tas i stigende grad på internasjonalt nivå, og personvernforordningen krever at tilsynsmyndighetene samarbeider om saker på tvers av landegrensene.

I 2017 ble det opprettet et internasjonalt sekretariat i Datatilsynet, men det er først i 2018 at sekretariatet i praksis har måttet forvalte saksflyten i Internal Market Information System (IMI). IMI er det systemet som benyttes i EU/EØS-området for formidling og utveksling av ulike grensekryssende saker som skal følges opp etter forordningen. Som norsk tilsynsmyndighet fikk vi først tilgang til dette systemet etter at det nye personvernregelverket trådte i kraft i Norge i juli. På det tidspunktet lå det allerede et stort antall saker inne i systemet. Alle sekretariatets oppgaver løses med ressurser fra den øvrige linjeorganisasjonen.

Det internasjonale sekretariatet har blant annet som oppgave å være kontaktpunkt i saker som følger konsistensmekanismen. Arbeidet med IMI innebærer både innmelding av saker som har internasjonal tilknytning på vegne av Datatilsynet og oppfølging av saker som kommer inn. IMI er ikke kompatibelt med Datatilsynets saksbehandlingssystem, så det kommer en del manuelt arbeid i tillegg med å registrere innkommende saker i saksbehandlingssystemet.

Siden IMI-systemet ble tatt i bruk sommeren 2018, har vi mottatt 655 grenseoverskridende saker der ledende og berørte tilsynsmyndigheter skal identifiseres. I tillegg har vi identifisert 30 grenseoverskridende saker med opphav i Norge. Idet sakene legges inn i IMI, må relevante saksdokumenter oversettes til engelsk, noe som trekker på våre juridiske ressurser.

Sekretariatet har opprettet en egen e-postboks for internasjonale henvendelser som går utenom IMI, slik som fra Det europeiske personvernrådet og de andre tilsynsmyndighetene i Europa, og har ansvar for å følge opp disse henvendelsene. Siden juli 2018, har vi mottatt 236 internasjonale henvendelser til denne postkassen.

Noe sammenligningsgrunnlag for disse tallene finnes naturlig nok ikke, ettersom disse oppgavene er nye. Imidlertid er det svært utfordrende å håndtere dette sakstilfanget på en måte som tilfredsstiller regelverkets krav, med de ressursene som Datatilsynet har til rådighet i dag.

Særlig om overføring til utlandet og BCR

I tillegg til de regulære konsesjonssakene, skal Datatilsynet behandle og forhåndsgodkjenne overføringer av personopplysninger til utlandet. Vi har registrert rundt 50 slike saker i løpet av meldingsåret. Disse sakene kan deles inn i to kategorier. På den ene siden mottar vi søknader om å godkjenne enkeltvise dataoverføringer fra en behandlingsansvarlig til en annen behandlingsansvarlig eller databehandler utenfor EØS-området. På den andre siden kommer det et stigende antall søknader om å godkjenne konserninterne retningslinjer for overføring av personopplysninger, også omtalt som bindende virksomhetsregler eller binding corporate rules (BCR). Disse er blant de mest krevende sakene vi har til behandling.

Ordningen med forhåndsgodkjenning av bindende virksomhetsregler er nedfelt i personvernforordningen artikkel 47. I tillegg til nasjonal godkjenning skal disse sakene godkjennes av Det europeiske personvernrådet i samsvar med konsistensmekanismen i personvernforordningen artikkel 63 og 64 som skal sørge for at reglene praktiseres likt i alle EØS-land.

Virksomheter som vil overføre personopplysninger til tredjestater (land utenfor EØS-området), må forholde seg til kravene i kapittel V i personvernforordningen for å sikre at beskyttelsesnivået som gjelder i EU/EØS-området ikke undergraves.

Ved utgangen av 2018 hadde Datatilsynet mottatt 10 søknader om BCR – saker hvor Datatilsynet er ledende tilsynsmyndighet. Det kommer også fortløpende inn BCR-søknader hvor andre lands tilsynsmyndigheter er ledende for søknadsprosessen, og hvor vi blir bedt om å være en av to såkalte «co-reviewers».

Søknader om BCR er krevende å behandle. De er omfattende og består av store mengder dokumentasjon, og saksbehandlingen krever utstrakt korrespondanse og samarbeid mellom søkeren, tilsynsmyndigheter i andre berørte land og Det europeiske personvernrådet. Vi forventer fortsatt det samme eller økende antall søknader om BCR i årene som kommer.

Offentlighetsloven og innsynskrav – eInnsyn

Via eInnsyn mottok vi 3 014 innsynskrav i løpet av meldingsåret. Tallet på innsynskrav øker jevnt, men med kraftig øking i antall saker, er dette en naturlig stigning. Av disse innsynskravene avslo vi kun 179, noe som tilsvarer 6 prosent. Det ble samtidig levert ut 434 sladdede dokumenter (meroffentlighet).

Vi bestreber oss på etterleve offentlighetslovens mål om åpenhet, og vi legger ned store ressurser i utførelsen av de oppgavene som offentlighetsloven pålegger oss.

Arkivpersonalet, en dedikert juridisk fagdirektør og de enkelte saksbehandlerne er alle med på vurdere innsynskravene. Dette gjenspeiles i det relativt høye antallet utleverte sladdede dokumenter. Tallene fra 2018 viser at vi i stor grad lykkes i å nå målsettingen. En stor del av informasjonen som unntas, er av informasjonssikkerhetsmessig karakter og er beskyttet av bestemmelsen om taushetsplikt i personopplysningsloven § 45. Det er også mange følsomme personopplysninger i dokumenter som vi mottar i forbindelse med klager om ulike personvernkrenkelser fra enkeltpersoner.

Våre interne rutiner sørger for at både arkivet og saksbehandlerne vurderer hvilke dokumenter som kan unntas fra offentlighet. Når et dokument er vurdert én gang, gjenbrukes denne beslutningen dersom opplysningene bes utlevert på nytt. Vi er uansett tilbakeholdne med å publisere enkeltvedtak som angår enkeltpersoner på internett.

Veiledningstjenesten

Datatilsynets veiledningstjeneste er et tilbud for virksomheter og publikum som har spørsmål som ikke krever ordinær saksbehandling om behandling av personopplysninger. Et viktig mål med tjenesten er å gjøre enkeltpersoner i stand til å ivareta egne interesser i saker som gjelder personvern og bistå virksomheter i å følge pliktene i personvernlovgivningen. Veiledningen skjer i hovedsak gjennom telefon eller e-post, og det er et stort spenn i spørsmålene som er av både juridisk og teknisk karakter.

Vi fører statiststikk over henvendelsene som går direkte til veiledningstjenesten. Vi registrerer hva henvendelsene handler om, og hvem henvendelsene kommer fra. I tillegg registrerer vi om henvendelsene dreier seg om arbeidsliv. Dette gjør vi for å få bedre oversikt over hva publikum lurer på, slik at vi kan tilpasse veiledningen på nettsiden vår.

I løpet av 2018 har veiledningstjenesten mottatt 11 971 henvendelser. Henvendelsene består av 7 552 e-poster og 4 419 telefoner. Vi ser at antallet e-poster har økt betraktelig. Sammenlignet med 2017 har antallet økt med 1 354 e-poster. Denne økningen har vi nå sett over flere år.

Vi ser også at telefonhenvendelsene har gått noe ned. Dette kan forklares med at vi i løpet av 2017 valgte å redusere åpningstiden på telefon. Det er sannsynligvis også en del underrapportering på antall telefoner. Dette skyldes at statistikkføringen skjer manuelt for hver samtale, noe som lett kan glippe i en hektisk hverdag. I fjor kontrollerte vi de statistikkførte tallene opp mot tallene registrert hos telefonleverandøren vår. Dette viste at antallet innkomne telefoner var høyere enn det som var blitt statistikkført. I år har vi ikke hatt muligheten til dette.

Den nye personopplysningsloven og innføringen av personvernforordningen i norsk rett er en viktig grunn til at vi det siste året har opplevd et stort behov for veiledning. Vi har fått mange henvendelser, og flere av dem har vært omfattende og kompliserte. Dette har medført lenger svartid sammenlignet med tidligere år.

Til tross for at veiledningstjenesten til enhver tid er bemannet med tre til fire personer, opplever vi at behovet for ressurser er stort. Utfordringen er at ressursene vi har til rådighet også skal benyttes på Datatilsynets øvrige oppgaver slik som klagesaksbehandling, deltagelse i internasjonalt arbeid og utarbeiding av veiledningsmateriell til nettsiden. For å bøte på dette, besluttet vi i 2018 å øke antall studentmedarbeidere i veiledningstjenesten fra to til fire. Disse jobber en til to dager i uken hver, og ordningen fungerer godt selv om vi fortsatt har lenger svartid enn vi ønsker.

Veiledningstjenesten har vært viktig for å nå flere av Datatilsynets mål for 2018. Tjenesten er et lavterskeltilbud som brukes av et stor antall virksomheter og privatpersoner, og bidrar dermed til at virksomheter blir mer kompetente, forstår viktigheten av godt personvern og i større grad evner å etterleve regelverket. I tillegg bidrar tjenesten til at individet i større grad kan ivareta sitt eget personvern.

Hvem kontakter oss?

Statistikken viser at 60 prosent av de som tar kontakt med veiledningstjenesten er representanter for virksomheter, mens 40 prosent er privatpersoner. I forbindelse med overgangen til det nye regelverket, har mange virksomheter arbeidet med å forberede seg og det har vært stort behov for veiledning. Det er derfor naturlig at et flertall av henvendelsene i 2018 har vært fra virksomheter. Vi ser for øvrig at fordelingen mellom virksomhet og privatperson jevner seg noe ut etter at det nye regelverket trådte i kraft. Etter 20. juli 2018 er fordelingen på henvendelsene 55 prosent fra virksomheter og 45 prosent fra privatpersoner.

I 2017 var fordelingen på henvendelsene 53 prosent fra virksomheter og 47 prosent fra privatpersoner, mens i tidligere år har fordelingen vært relativt stabilt jevn på rundt 50 prosent i hver kategori.

Hva handler henvendelsene om?

Her følger en kort oppsummering av de mest sentrale kategoriene for hva veiledningstjenesten får spørsmål om. Merk at tallene ikke vil være fullstendig dekkende, ettersom flere av henvendelsene vil kunne plasseres i ulike kategorier.

Etter at vi fikk nye personvernregler, ble statistikkføringskjemaet endret slik at det ble tilpasset det nye reglverket. I 2018 opererte vi derfor med to ulike statistikkføringer, en før og en etter 20. juli.

Vi har her valgt å henvise til tallene over henvendelser etter at regelverket trådte i kraft:

Register

24 prosent av henvendelsene til veiledningstjenesten var ulike spørsmål knyttet til en eller annen form for register. Dette representerer en liten økning fra 20 prosent i 2017. Spørsmålene dreier seg blant annet om hva som kan registreres, når og hvordan man kan kreve å få slettet informasjon og rettigheter knyttet til innsyn i egne personopplysninger. Videre får tjenesten en del spørsmål om i hvilken grad det kan utleveres informasjon fra et register til en tredjepart.

43 prosent av henvendelsene gjelder kunde- og medlemsregistre. Vi har særlig fått mange spørsmål om innhenting av nye samtykker fra kunder og om utsendelse av nyhetsbrev til kunder. 15 prosent av spørsmålene dreier seg om personalregistre, mens 14 prosent om andre offentlige registre slik som innenfor skole, skatt, politi og lignende. Vi får også en del spørsmål om journalopplysninger (helse, NAV, barnevern og lignende), samt registrering i forbindelse med kredittopplysningsvirksomhet.

Internkontroll og informasjonssikkerhet

Spørsmål knyttet til informasjonssikkerhet og internkontroll utgjorde 23 prosent av henvendelsene til veiledningstjenesten. Dette har blitt en ny hovedkategori i statistikkføringen. Tidligere ble flere av disse spørsmålene statistikkført under kategorien «annet». Det er dermed vanskelig å sammenligne med tidligere år, men veiledningstjenestens medarbeidere rapporterer om en økning av henvendelser med dette som tema.

29 prosent av disse henvendelsene er rene informasjonssikkerhetsmessige spørsmål om risikovurderinger, kryptering og autentisering. Vi opplever at mange virksomheter har hatt behov for veiledning om implementering av sikkerhetstiltak både generelt og konkret i tilknytning til ulike systemer.

En annen stor kategori er spørsmål om databehandleravtaler. Dette utgjorde 25 prosent av henvendelsene innenfor denne kategorien. Disse spørsmålene avtok betraktelig etter at vi fikk oppdatert veiledning om databehandleravtaler på nettsiden vår.

16 prosent av disse henvendelsene handlet om internkontroll. Det dreide seg om implementering av rutiner, protokoll og annen dokumentasjon, samt utforming og innhold i personvernerklæringer. Spørsmål om avvikshåndtering utgjorde 14 prosent av henvendelsene i denne kategorien.

Kameraovervåking

Kameraovervåking utgjorde 11 prosent prosent av henvendelsene. Denne kategorien har sunket noe sammenlignet med 2017 da den lå på 14 prosent.

58 prosent av disse henvendelsene gjelder spørsmål om ulike virksomheter (slik som butikker, kjøpesentre, arbeidsplasser, skole og helseinstitusjoner) har anledning til å iverksette kameraovervåking. Det er også mange arbeidstakere som tar kontakt fordi de føler seg urettmessig overvåket. Vi mottar dessuten en del spørsmål om kameraovervåking i borettslag/sameier, ved hytter og i private boliger. Andre vanlige spørsmål innenfor denne kategorien er bruk av webkamera, samt spørsmål om lovligheten av kameraer i for eksempel naturen, i båthavner eller på andre offentlige områder.

Internett

Ulike henvendelser om internett sto for syv prosent av henvendelsene. I 2017 lå denne kategorien på åtte prosent, så den har holdt seg jevn. Hele 45 prosent av disse henvendelsene er spørsmål som gjelder publisering og sletting av personopplysninger (slik som bilder eller kameraopptak) på nett.

Veiledningstjenesten får også en del spørsmål om behandling av personopplysninger i nettbutikker og på ulike former for ratingsider. Også spørsmål knyttet til kontroll, sporing og sikkerhet på internett går igjen. Ellers får vi en god del spørsmål om avindeksering av søketreff i Google.

Sporing og kontroll

Denne kategorien utgjorde ni prosent av henvendelsene og består hovedsakelig av spørsmål knyttet til kontroll og sporing i arbeidslivet. Av disse gjelder 31 prosent arbeidsgivers innsyn i og tilgang til arbeidstakers epostkasse, hjemmeområde og telefon. Et annet stort tema er problemstillinger som gjelder GPS og annen sensorteknologi. Tilgangskontroll og lydopptak går også igjen. Denne kategorien er ganske stabil, og temaene for henvendelsene er omtrent identiske med året før.

Overføring til utlandet

Kun to prosent av spørsmålene gjaldt overføring av personopplysninger til utlandet. De fleste spørsmålene her kommer fra virksomheter som ønsker råd om hvordan de skal gjennomføre en lovlig og sikker overføring.

Definisjoner og tolkninger av regelverket

12 prosent av spørsmålene handler om konkrete definisjoner og tolkninger av regelverket som ikke faller inn under noen av de andre kategoriene.

Utenfor vår kompetanse

Fem prosent av henvendelsene knytter seg til spørsmål som faller utenfor Datatilsynets kompetanse. Dette er spørsmål som er regulert av andre lover, slik som offentlighetsloven eller brudd på taushetsplikt etter forvaltningsloven.

Om Datatilsynet

Én prosent av henvendelsene er spørsmål om Datatilsynets kompetanse og samarbeidsmekanismer etter det nye personvernregleverket.

Annet

Seks prosent av henvendelsen lar seg ikke kategorisere og er lagt i samlekategorien annet.

Spesielt om spørsmål knyttet til arbeidsliv

Spørsmål knyttet til personvern i arbeidslivet har tradisjonelt sett utgjort en stor andel av henvendelsene til veiledningstjenesten. Det sjekkes derfor alltid om henvendelsen gjelder personvern i arbeidslivet i tillegg til kategori, da spørsmål innen arbeidslivet kan gjelde flere av kategoriene over. Statistikken viser at hele 15 prosent av den totale andelen henvendelser dreide seg om arbeidsliv i meldingsåret. Mange av spørsmålene handler om kontroll og overvåking av ansatte. Det er spørsmål om kameraovervåking på arbeidsplassen, innsyn og sletting av ansattes e-post, samt adgangskontroll og logging av arbeidsinnsats. Vi får også spørsmål om bruk av GPS-sporing og annen sporing av ansatte.

Ressursbruk

Det har vært knyttet betydelige ressurser til våre ulike saksbehandlings- og veiledningsoppgaver i løpet av meldingsåret. Alle Datatilsynets 20 ansatte med juridisk utdannelse (utenom ledelsen) arbeider med saksbehandling og veiledning i samarbeid med en håndfull teknologer. Antallet innkommende dokumenter er samlet sett høyere enn noen gang, ikke minst er dette synlig når det gjelder innkomne avviksmeldinger. Det samme gjelder spørsmålene vi mottar til veiledningstjenesten – også her har tallet vært høyere enn før.

På grunn av det nye regelverket har også saksbehandlingen og veiledningen vært mer utfordrende sammenlignet med tidligere år. Selv om saksbehandlerne var forberedt overgangen gjennom teoretisk opplæring og øving på enkelte sakstyper, har det praktiske arbeidet avdekket utfordringer som var vanskelige å forutse. Omfanget av det nye regelverket er i seg selv omfattende, og problemstillingene som kan utledes av det er vanskelig å kvantifisere. Dette har medført at arbeidet har vært mer krevende enn normalt.

Vi har også vært nøye med å prioritere enkeltsaker. Samtidig har vi effektivisert veiledningsarbeidet vårt. I forbindelse med det siste, har det vært viktig å utarbeide gode veiledere på nettsidene våre. I økende grad har virksomheter og enkeltpersoner blitt henvist til eksisterende veiledningsmateriell, og det har blitt mindre en-til-en-veiledning. I forbindelse med veiledningsarbeidet, har vi også aktivt tatt i bruk oversikten over hvilke offentlige og private virksomheter som har personvernombud. Vi har så henvist publikum videre til personvernombudene der det har vært mulig og hensiktsmessig.

Vurdering av måloppnåelse

I strategien vår er det uttrykt at vi skal arbeide for at virksomheter blir kompetente, forstår viktigheten av godt personvern og etterlever regelverket. I strategien er det også satt som mål at vi skal arbeide for en mer rettferdig maktbalanse mellom individet på den ene siden, og kommersielle aktører og det offentlige på den andre. Gjennom vårt kontinuerlige arbeid med saksbehandling og veiledning, har vi arbeidet gjennom året for å nå disse målene.

I den forbindelse har det vært nødvendig å legge ned et betydelig arbeid for å bygge vår egen kompetanse, blant annet gjennom økt oppmerksomhet på rettsutviklingen i andre europeiske land. Dermed har vi, gjennom dette arbeidet, også arbeidet for å realisere en annen uttalt målsetning, nemlig at Datatilsynet skal være et kompetent og fremtidsrettet tilsyn. Denne kompetansen har vi også vært opptatt av å videreformidle i digitale kanaler, slik som på nettstedet vårt og i nyhetsbrevet. Slik bidrar vi til bedre etterlevelse av regelverket.

Vi mener derfor vi har nådd de nevnte målene.

Fremtidige utfordringer

2018 har vært starten på en ny æra i Datatilsynets historie, med et nytt og omfattende personvernregelverk endelig på plass. I tiden fremover vil vi ikke bare måtte forholde oss til nye materielle regler, men også til en rekke nye prosedyreregler og frister. Det tar tid å få etablert ny regelverksforståelse. Å få avklaringer på hvordan nye oppgaver skal løses, er også utfordrende og ressurskrevende. Prosedyrene som gjelder saker av grenseoverskridende art for eksempel, er kompliserte og krevende siden de gjerne involverer to til tre ulike digitale systemer som ikke er kompatible med hverandre. De nødvendiggjør løpende kontakt med andre tilsynsmyndigheter, oversettelse av saksdokumenter fra norsk til engelsk og så videre.

Situasjonen krever også en helt annen orientering mot våre europeiske søstertilsyn enn før, ettersom personvernforordningen setter som mål at alle europeiske datatilsynsmyndigheter skal praktisere regelverket likt. Dette gjelder også utmålingen av overtredelsesgebyr. Etter det nye regelverket kan disse gebyrene komme opp i 20 millioner euro i de mest alvorlige tilfellene, eller 4 prosent av global omsetning, hvis lovovertrederen er et foretak.

Overtredelsesgebyrene vil bli flere og høyere enn før, og vi vurderer det som sannsynlig at dette kan medføre enda større rettsliggjøring av personopplysningsvernet enn det vi har vært vant til. Advokatfirmaene blir stadig mer kompetente på personopplysningsjussen, og de er aktive med å reklamere for sine tjenester. Dette kan føre til flere klager på våre enkeltvedtak, noe som i sin tur vil gjøre vårt juridiske arbeid mer ressurskrevende og utfordrende.

Det økende antallet meldinger om brudd på datatsikkerheten er trolig et symptom på økt oppmerksomhet om regelverket, samt strengere regler om varsling av avvik med stramme frister og sanksjoner i form av høye overteredelsesgebyrer. Det er nærliggende å anta at saksvolumet vil kunne fortsette å stige, etterhvert som virksomhetene får bedre internkontrollsystemer på plass, og samtidig som borgerne blir mer bevisste på hvilke rettigheter de har etter de nye reglene.

Retten til å få sin sak behandlet av en tilsynsmyndighet er dessuten sterkere forankret i det nye regelverket enn det forrige. Sammen med andre obligatoriske oppgaver, gir det oss et enda mer begrenset handlingsrom enn hva tilfellet var under det forrige rettslige regimet, noe som kan gå ut over «myke» oppgaver slik som veiledning, foredrag, informasjonskampanjer, utredninger og så videre.

Datatilsynet deltar som fullt medlem i Det europeiske personvernrådet. Rådet spiller en sentral rolle arbeidet med å sikre harmonisert praktisering av personvernforordningen i EØS-området, og det gir jevnlig tolkningsuttalelser om ulike problemstillinger og temaer som springer ut av personvernforordningen. I tillegg tar rådet formelle beslutninger i saker som berører flere land, og det fungerer også som tvisteløsningsmekanisme dersom det oppstår uenighet om regelverksforståelsen landene i mellom. Personvernrådet møtes fast en gang i måneden, og hvert møte går over to dager. I tillegg kommer ekstraordinære møter. Dette arbeidet er ressurskrevende og utfordrende, både fordi det foregår på et annet språk, og fordi de problemstillingene som må løses ofte er kompliserte og krever grundige forberedelser.

1.2.2.3 Tilsynsvirksomheten

Gjennomføring av tilsyn/kontroll er en viktig aktivitet for å nå målene våre og gjennomføre samfunnsoppdraget vårt. Vi skal gjennomføre tilsyn og kontrollere prioriterte områder basert på risiko. Vi skal systematisere og kommunisere funnene, samt følge opp etterlevelsen av pålegg. Hvilke virksomheter vi velger å kontrollere, faller normalt i to kategorier; virksomheter hvor vi antar at det er en særskilt risiko, og representative virksomheter hvor vi ønsker å avdekke status innenfor en sektor eller et tematisk område.

På grunn av forberedelsene til og innføringen av ny personopplysningslov med personvernforordning, ble tilsynsaktiviteten knyttet til stedlige tilsyn (tilsyn der vi fysisk oppsøker virksomheten) ytterligere nedprioritert i 2018. Vi gjennomførte totalt 196 tilsyn i meldingsåret, men samtlige var brevlige tilsyn, altså kun en skriftlig prosess. De brevlige tilsynene skiller seg fra bruk av de samme kontrollhjemlene i øvrig saksbehandling ved at de er en planlagt undersøkelse av konkrete forhold i virksomhetene.

I løpet av høsten 2018 ble det gjennomført tilsyn med i alt 177 offentlige virksomheter. Det var en identisk kontroll av alle virksomhetene, der vi sjekket om de hadde oppfylt den nye lovens krav om å oppnevne personvernombud. Selv om dette involverte mange kontrollsubjekter, hadde det en enklere forberedelse og et mindre etterarbeid enn ordinære stedlige kontroller.

Det ble også gjennomført 19 tilsyn innenfor helseområdet i løpet av året. I tillegg kom etterarbeid på et antall tilsyn gjennomført i 2017.

Se fullstendig oversikt over våre gjennomførte kontroller under vedlegg.

Ressursbruk

Med unntak av kontrollene med om offentlige virksomheter hadde oppnevnt personvernombud, har vi kun gjennomført en fåtall tilsyn. Samtlige tilsyn som ble gjennomført i meldingsåret var brevlige tilsyn, noe som i de fleste tilfeller er mye mindre ressurskrevende enn stedlig tilsyn. Dette være seg både i forberedelse og etterarbeid. For eksempel var brevene til alle de 177 offentlige virksomhetene likelydende.

Vi mener det har vært fullt forsvarlig å ikke prioritere tilsyn like høyt som normalt, da det viktige for oss har vært innføringen av nytt regelverk og tilpasning til dette. Det å gi virksomhetene litt tid å praktisere det nye regelverk før de blir kontrollert av Datatilsynet, mener vi ytterligere forsvarer vår prioritering på området.

Vurdering av måloppnåelse

I Datatilsynets strategi heter det blant annet at vi skal arbeide for å fremme personvernvennlig digitalisering, innovasjon og utvikling, samt arbeide for at virksomheter blir kompetente, forstår viktigheten av godt personvern og etterlever regelverket.

Vi mener den, om enn begrensede, kontrollvirksomheten vi har hatt i 2018 har bidratt til å rette fokus mot viktigheten av personvernombudenes rolle i virksomhetene. Dette mener vi er en direkte aktivitet for å bidra til at virksomheter blir kompetente, forstår viktigheten av godt personvern og etterlever regelverket. Gode, oppdaterte og aktive personvernombud er viktige for å sikre at virksomhetene gjennomfører personvernvennlig digitalisering, innovasjon og utvikling. Det faktum at vi synliggjør viktigheten av å oppnevne personvernombud, mener vi bidrar til å oppfylle disse målene.

Framtidige utfordringer

Selv om loven trådte i kraft omtrent halvveis i meldingsåret, har 2018 i stor grad vært et forberedelsesår. Vi gjennomførte de første tilsynene etter det nye regelverket, men det er først i 2019 vi vil komme skikkelig i gang med mer normal tilsynsvirksomhet.

Vi startet høsten 2018 opp et forprosjekt for ny, oppdatert og forbedret tilsynsmetodikk. Dette er et større prosjekt som skal analysere hva som er viktig når vi gjennomfører tilsyn, hvordan være effektive, hvordan sikre god dokumentasjon og lignende. Forprosjektet skal levere sin anbefaling våren 2019. Dersom antakelsene om at det er fornuftig å gå videre for å utforme ny metodikk, vil leveransen for dette prosjektet være i løpet av høsten 2019.

I virksomhetsplanen for 2019 vil det parallelt med dette arbeidet bli planlagt tilsyn på flere av våre fagområder og det vil bli gjennomført både stedlige og brevlige tilsyn. Det er rimelig å anta at heller ikke 2019 blir et helt normalt år for tilsynsvirksomheten, gitt at vi prioriterer å jobbe med metodikken og at vi fremdeles må bruke tid på å tilpasse hele vår virksomhet til nye rutiner og andre måter å jobbe på i forhold til det nye regelverket.

1.2.2.4 Kommunikasjonsvirksomheten

Personvernlovgivningen legger i stor grad ansvaret på den enkelte når det gjelder å ivareta eget personvern. Samtidig har virksomheter som behandler personopplysninger plikt til å etterleve lovgivningen på området. Dette gjelder både offentlige etater, private organisasjoner og næringsdrivende. Fordi privatpersoner, offentlige aktører og private virksomheter har så forskjellige behov, stiller det store krav til hvordan vi jobber med kommunikasjon i Datatilsynet.

Datatilsynet har som strategisk satsing at vi skal bidra til økt kunnskap om og interesse for personvern. Vi skal også jobbe for at andre aktører tar personvernhensyn. Vi skal sette borgeren i stand til å ta vare på sitt eget personvern, og vi skal ha stor synlighet i personverndebatten. I 2018 har vi satt søkelyset på de nye personvernreglene spesielt. Her har kommunikasjon som virkemiddel selvsagt vært svært viktig.

Kommunikasjonsarbeidet er basert på statens kommunikasjonspolitikk og gjeldende regelverk, slik som offentlighetsloven og forvaltningsloven. Videre heter det i instruksen fra Kommunal- og moderniseringsdepartementet at vi skal ha en aktiv holdning til kommunikasjon, både internt og eksternt. Det er viktig at vi fanger opp signaler som angår Datatilsynet, og at vi bruker dette aktivt i kommunikasjonsarbeidet. Kommunikasjon skjer i første rekke gjennom nettstedet vårt, direkte veiledning overfor publikum, aktiv mediekontakt og gjennom en utstrakt foredragsvirksomhet.

Nettstedet www.datatilsynet.no

Hjemmesiden er vårt viktigste verktøy for kommunikasjon med våre målgrupper, og vi legger stor vekt på at innholdet skal være relevant og enkelt tilgjengelig for våre brukere. Vi jobber derfor kontinuerlig med forbedringer, og etablerte i 2018 en arbeidsgruppe som skulle se nærmere på optimalisering av nettsidene. Arbeidet har bestått i å skaffe ytterligere innsikt om målgruppene våre, definere hvilke oppgaver de ønsker løst og deretter utarbeide et innholdskonsept og navigasjon som støtter opp under dette. I forlengelsen av dette arbeidet vil vi i 2019 jobbe videre både med innhold og løsninger som har som mål å gjøre brukerne mer selvhjulpne. Et selvstendig mål er å redusere antall henvendelser til vår veiledningstjeneste.

For økt innsikt og målrettet arbeid er vi avhengige av et godt statistikkverktøy. I desember anskaffet vi derfor statistikkverktøyet SiteImpove Analytics som vil sikre oss et mer stabilt og grundig datamateriale til vårt fremtidige arbeid.

I forbindelse med overgangen til nytt personvernregelverk, ble alt innhold på hjemmesiden gjennomgått i løpet av våren 2018. Det var en omfattende jobb. Alt tidligere innhold måtte kvalitetssikres og svært mye av det måtte omstruktureres og skrives på nytt. Innholdet ble fortløpende lagt inn på et «skyggenettsted» som så ble publisert som erstatning for det gamle samme dag som regelverket trådte i kraft.

Produksjon av veiledere

Det ble også fortløpende produsert og publisert veiledere til sentrale deler av det nye regelverket for å kunne hjelpe virksomhetene med å tilpasse seg regelverket i tide. Gode veiledere er avgjørende for virksomheter som skal følge opp plikter de har etter personopplysningsloven og personvernforordningen. I løpet av meldingsåret ble det utviklet nye veiledere om blant annet: personvernprinsippene, behandlingsgrunnlag, databehandleravtale, behandlingsansvarlig og databehandler, atferdsnormer, dataportabilitet, informasjonplikten og kunstig intelligens, i tillegg til oppdateringer av eksisterende veiledere.

Det ble også laget en norsk veileder om artikkel 35 – vurdering av personvernkonsekvenser (DPIA). Som støtteverktøy til veilederen lagde vi en sjekkliste for å hjelpe virksomhetene i arbeidet, og en plakat som synliggjør stegene i en DPIA. Arbeidet ble presentert på den nordiske datatilsynskonferansen i København våren 2018, og ble oversatt til engelsk. Denne veiledningen har vært svært populær.

Utvikling i bruk og besøk

Antall besøk på hjemmesiden har fortsatt å øke kraftig også i meldingsåret, med en prosentvis økning fra 2017 til 2018 på 53,5 prosent. Antall sidevisninger har hatt en økning i samme periode på 52,2 prosent, samtidig som vi har hatt en kraftig nedgang i antall sider på nettstedet. Økningen er altså formidabel, og viser hvor enormt stort behovet har vært for informasjon i denne perioden.

Med nytt statistikkverktøy for både datatilsynet.no og personvernbloggen.no, vil vi i fremtiden kunne analysere relevante data i større grad og også etablere måltall for ulike områder.

Personvernblogg, sosiale medier og debattinnlegg

Personvernbloggen.no fungerer etter intensjonen. Den er et rom hvor vi kan reise andre problemstillinger enn vi kan på den ordinære nettsiden, og der vi i større grad kan benytte ombudsrollen vår.

Vi følger med på omtale av Datatilsynet og personvern på Twitter, og vi besvarer de fleste spørsmål og kommentarer som kommer via denne kanalen.

På grunn av vår rolle som håndhever av og veileder til det nye regelverket, har vi dessuten fått en rekke henvendelser om å skrive ulike innlegg i eksterne magasiner, blogger og annet. I 2018 leverte vi derfor innlegg om nye personvernregler til flere nisjepublikasjoner.

Nyhetsbrev

Med nytt personvernregelverk måtte vi innhente nye samtykker fra alle mottakerne av nyhetsbrevet vårt. Dette vil som regel medføre en større nedgang i antall abonnenter, noe vi også erfarte da vi innhentet samtykker i 2016 på grunn av en ny løsning for nyhetsbrev. Ved innhentingen av nye samtykker i 2018 opplevde vi imidlertid en svært liten nedgang: Ved utgangen av 2017 var det 3 180 som abonnerte på vårt nyhetsbrev og ved utgangen av 2018 var det 2 943. Vi opplever også en jevn økning i antall abonnenter.

Vi sender som regel ut to nyhetsbrev i måneden, avhengig av om vi har saker å formidle. Av personvernhensyn har vi ikke noen spesifikk statistikk på antall klikk, men kan generelt si at vi har en høy åpningsrate i våre nyhetsbrev.

Mediekontakt

Vi vurderer mediene som en svært viktig kanal for å få frem budskapene våre, og det er jevn pågang og interesse fra disse. Vi legger stor vekt på å ha et profesjonelt forhold til pressen. Dette innebærer at vi skal ha god tilgjengelighet og et høyt servicenivå overfor journalistene. Dette mener vi å ha lykkes godt med også i 2018.

Vi noterer ned hver gang vi kontaktes av journalister i en ny sak, og i løpet av året har vi registrert 698 besvarte mediehenvendelser til kommunikasjonsavdelingen, se tabell 2.4.

Det er imidlertid mange henvendelser som generer flere oppslag i ulike medier, og i mange mediesaker er vi omtalt uten å være kontaktet. Medieovervåkingstjenesten M-Brain har registrert til sammen 4 239 oppslag i medier der «Datatilsynet» er omtalt i løpet av året, se tabell 2.5.

Det er en ganske jevn fordeling av saker der Datatilsynet er omtalt i riksmedia, lokalmedia og annet (som her vil si nettsteder som ikke er definert som ordinær dagspresse, for eksempel fagtidsskrifter, nettmagasin, organisasjoner, nyhetsbyrå eller andre virksomheter).

Det er også et relativt jevnt trykk i mediene hele året. I mars/april var det imidlertid en tydelig topp. Det kom av den massive mediedekningen av Facebook og den såkalte «Cambridge Analytica-saken» – der det kom frem at analyseselskapet Cambridge Analytica hadde samlet inn privat informasjon fra mer enn 50 millioner Facebook-brukere.

Dette var noen av de temaene som fikk mest omtale i 2018:

• Sosiale medier og personlig informasjon

• Nye personvernregler – GDPR – personvernforordningen

• Avviksmeldinger og overtredelsesgebyr

• Digital dømmekraft – barn og unge

• Deling av bilder på nett

• Digitalt grenseforsvar – tilrettelagt masseovervåking

• Pasientsikkerhet og personvern

• Overvåking på arbeidsplassen

• Kameraovervåking

• Strømmålere og smarthøytalere

Foredragsvirksomheten

Foredrag er en viktig del av vår utadrettede kommunikasjonsvirksomhet. Det gir oss muligheten til å øke kjennskapen til rettigheter og plikter, og å skape økt forståelse for betydningen av å ivareta personvernhensyn. Samtidig viser vi synlighet og tilgjengelighet for virksomheter, interesseorganisasjoner og publikum. Forespørslene vurderes ut fra noen faste kriterier slik som antall deltagere, om temaet er relevant for våre satsningsområder, og selvfølgelig kapasitet.

Det har vært stor etterspørsel etter foredragsholdere fra Datatilsynet også i 2018. Tema for de aller fleste har, naturlig nok, vært hva den nye lovgivningen faktisk innebærer for virksomheter innen ulike bransjer og sektorer. Vi takket nei til mer enn 150 forespørsler, men endte likevel opp med å holde 257 foredrag. Også dette er et høyere aktivitetsnivå enn hva som er normalt. Vi regner med at etterspørselen etter foredrag om personvernlovgivningen vil holde seg relativt stabil i årene som kommer.

Vi har også i dette meldingsåret konsentrert innsatsen mot større konferanser og seminarer som gjerne er arrangert i regi av bransjeorganisasjoner. Vi har vært særlig godt representert på større konferanser innen helsesektoren og offentlig forvaltning, men også innen finans og forsikring.

Overfor kommunesektoren har vi kjørt regionale kurs om den nye personvernlovgivningen. Dette gjorde vi i samarbeid med Foreningen Kommunal informasjonssikkerhet (KINS), Direktoratet for e-helse, Difi og Kommunenes interesseorganisasjon (KS). Her deltok godt over tusen medarbeidere fra kommuner over hele landet.

Arrangement

Direkte dialog med ulike målgrupper har vært avgjørende i arbeidet med implementering av personvernforordningen, særlig blant små og store virksomheter. Stand på konferanser i privat og offentlig sektor har vært prioritert, blant annet Expo Stavanger, Trondheim og Oslo, i tillegg til større konferanser om teknologi og samfunn.

Personverndagen 2018

For sjette året på rad markerte Datatilsynet den internasjonale personverndagen den 30. januar med et personvernseminar og utgivelse av en rapport i samarbeid med Teknologirådet. Tema for året var forbrukerelektronikk, teknologiske forretningsmodeller, tjenesteutsetting og tillit. Arrangementet fant sted på Litteraturhuset i Oslo, og ble raskt fullbooket med over 200 deltakere i tillegg til at det ble strømmet

Det ble i forbindelse med rapporten gjennomført en befolkningsundersøkelse om nordmenns tillit til produkter, tjenester og til hvordan offentlige og private virksomheter håndterer våre personopplysninger. Rapporten beskriver også hvordan emosjonell overvåking medfører at ny teknologi, for eksempel for ansiktsgjenkjenning, brukes for å komme nærmere følelsene våre. Arrangementet ble avsluttet med en paneldebatt.

Stand 24.mai – «Personvernakutten»

For å øke oppmerksomheten om og interessen rundt overgangen til nytt personvernregelverk, arrangerte vi en stor, åpen stand på Egertorget dagen før regelverket trådte i kraft i EU. Vi stilte oss der til rådighet for både virksomheter og enkeltpersoner som hadde spørsmål om rettigheter og plikter, og hadde lagd informative brosjyrer for ulike målgrupper.

Det var stor oppmerksomhet rundt personvernspørsmål fra både forbipasserende og oppsøkende publikum, blant annet om samtykke og godkjenning om bruk av persondata. Vi fikk også bred dekning i media.

Arendalsuka 2018

Arendalsuka skal være en årlig nasjonal arena hvor aktører innenfor politikk, samfunns- og næringsliv møter hverandre og andre, for debatt og utforming av politikk for nåtid og framtid. Personvern berører så å si alle sektorer og områder i samfunnet vårt. Politikeres holdning til, forståelse for og i hvilken grad de tar hensyn til personvern, er svært viktig. Dette gjenspeiles blant annet i lovforslag, vurdering av kontrolltiltak i samfunnet og i om politikerne er i stand til å finne riktig balanse mellom sikkerhet, brukervennlighet, innovasjon og personvern. Arendalsuka et viktig sted for Datatilsynet å være synlig for å best mulig kunne bidra til at personvern står høyt på agendaen når politikk utformes.

Under Arendalsuka 2018 deltok vi i hovedprogrammet sammen med KS med arrangementet «Den digitale kommune – best for deg?». Det handlet om hvordan vi utnytter kunstig intelligens, helseteknologi, sosiale roboter og andre digitale muligheter – samtidig som vi ivaretar innbyggernes tillit og trygghet. Arrangementet var fullstappet.

Vi deltok også med flere egne arrangement:

• «Can I trust you? Om sikkerhet, personvern og elleville vilkår i smarte produkter» (sammen med Forbrukerrådet og Forbrukertilsynet)

• «Tilkoblede barn – hvordan kan vi sørge for at barn er trygge digitale forbrukere?» (sammen med Forbrukertilsynet og Medietilsynet)

• «Ansvarlig bruk av kunstig intelligens (KI) – hemsko eller konkurransefortrinn?» (sammen med Telenor)

• «Helsedata – mirakelkur med bivirkning?»

Vi var jevnt over fornøyde med oppmøtet og fikk gode tilbakemeldinger.

I tillegg deltok direktør Bjørn Erik Thon i hele ni arrangement i løpet av tre dager. Temaene varierte fra kunstig intelligens til dukker som snakket med barn, men den store gjengangeren var selvsagt overgangen til nytt regelverk.

Konkurranse om innebygd personvern i praksis

Innebygd personvern er en plikt for alle virksomheter som behandler personopplysninger. Det er et politisk ønske at dette prinsippet brukes både i statlig og offentlig forvaltning. Det vil styrke den enkeltes personvern og rettigheter, samt sikre personopplysningene bedre.

For å løfte frem eksempler på hvordan dette kan og bør jobbes med rent praktisk, utlyste vi en konkurranse høsten 2017. Alle med en løsning, et system, en applikasjon eller programvare som er utviklet i tråd med prinsippene om innebygd personvern, ble oppfordret til å sende inn sitt bidrag. Vinneren ble kåret av en jury. Tre finalister fikk så presentere sine bidrag på et arrangement i mars der rundt 200 personer var tilstede. Det ble holdt flere presentasjoner relatert til innebygd personvern, og KMDs statssekretær Paul Chaffey delte ut prisen.

Vinner av prisen var Direktoratet for e-helse med Kjernejournal. Løsningen gjør det enklere for registrerte personer å bruke flere av de rettigheter de har etter lov og forskrift, noe som gir dem stor grad av kontroll over egne opplysninger. Juryen mente dessuten at Kjernejournalsystemet gjør det enklere for helsepersonell å etterleve personvernregelverket, og at løsningen bidrar til å styrke informasjonssikkerheten for helseopplysningene i journalen.

De to andre finalistene var:

• UiO med en løsning for datainnsamling via web. Verktøyet bidrar til å gjøre det enklere for behandlingsansvarlig til å etterleve personvernregelverket, samtidig som det styrker informasjonssikkerheten rundt personopplysninger.

• Bouvet med Sesam – en datahub for å samle, koble og dele data på tvers av IT-systemer, uten å måtte endre systemene. Verktøyet er godt for behandlingsansvarlige som ønsker å rydde i gamle systemer, og understøtter etterlevelse av flere krav i personvernforordningen, blant annet at enkeltpersoner kan ivareta rettighetene sine.

Ressursbruk

Innføringen av nytt personvernregelverk har vært den viktigste satsingen i 2018, og dette gjenspeiler også hva som har vært prioritert i kommunikasjonsvirksomheten. Kommunikasjonsavdelingen har vært sterkt til stede i arbeidet, blant annet med innholdsrevidering av nettsidene våre i henhold til det nye regelverket. Produksjon og publisering av nye veiledere har vært prioritert, sammen med den brukerorienterte satsingen på optimalisering av nettsidene der det jobbes videre med at målgrupper finner informasjonen de er ute etter.

Det har også vært et stort medietrykk fra hele landet, med både riksmedier, lokalpresse og nisjemagasiner rettet mot ulike sektorer, både private og offentlige. Dette er kanaler vi aktivt har brukt for å kommunisere endringene, og er en aktivitet som vi prioriterer høyt.

Kommunikasjonsavdelingen har ikke vært fullt bemannet gjennom året, noe som har gått på bekostning av andre kommunikasjonsoppgaver slik som intern kommunikasjon og rask nok flyt i digitaliseringsprosjektet.

Det har vært riktig å prioritere de nye personvernreglene så høyt som vi har gjort. Interessen og behovet for informasjon både blant enkeltpersoner, virksomheter og medier har som beskrevet i kapitlene over økt kraftig. Vi anslår at omlag 70 prosent av kommunikasjonsavdelingens ressurser har vært brukt i arbeid relatert til overgangen til nytt regelverk.

Vurdering av måloppnåelse

Kommunikasjonsarbeidet bygger opp under Datatilsynets hovedstrategi for 2018–2020. I vårt arbeid med kommunikasjon og måloppnåelse har vi lagt vekt på hovedmålet om å arbeide for at virksomheter blir kompetente, forstår viktigheten av godt personvern og etterlever regelverket. Vi har også jobbet med hovedmålet om å bidra til at individet i større grad kan ivareta sitt eget personvern.

Nettsidene har vært et viktig virkemiddel i arbeidet med måloppnåelsen. Nettet er vår primære kommunikasjonskanal, og vi jobber kontinuerlig med at våre viktigste målgrupper enkelt finner den informasjonen de til enhver tid trenger. Antallet besøkende på våre nettsider, samt analysen av mediebildet i 2018, viser at vi har lykkes i å nå ut både bredere og til flere enn tidligere år. Vi mener vi har lykkes godt ut i fra de ressursene vi har hatt til rådighet.

Framtidige utfordringer

Utfordringen videre er å treffe med god, riktig og enkel informasjon til forskjellige formål og til ulike målgrupper. I kommende år legger vi derfor særlig vekt på å sette inn ressurser for å kontinuerlig jobbe med innholdsrevidering i tråd med erfaringer og behov med det nye regelverket, utvikle digitale selvhjelpsverktøy, og jobbe med å kommunisere regelverket på et klart språk som kan forstås av flest mulig.

I 2019 vil det gjennomføres flere kontroller og tilsyn etter det nye regelverket. Dette, sammen med alt vårt kunnskapsgrunnlag som ligger i innkomne avviksmeldinger, klagesaker og henvendelser, blir sentralt å bruke som materiale i videre kommunikasjon.

1.2.2.5 Organisasjon og budsjett

Datatilsynet ledes av direktør Bjørn Erik Thon. Ledergruppen har i meldingsåret bestått av tre menn og to kvinner.

I 2018 har det vært 47 ansatte i Datatilsynet, 42 faste og 5 midlertidige (61 prosent kvinner og 39 prosent menn). Turnover i løpet av året og lengre perioder med ledighet er årsaken til at samlet antall årsverk er beregnet til 42,5. I disse inngår også tre studenter tilknyttet den juridiske veiledningstjenesten vår, samt en lærling i IKT-faget. Samlet har studentene utgjort 1 årsverk, mens lærlingen som har vært tilsatt deler av året har tilsvart 0,5 årsverk.

Budsjett

Datatilsynets budsjett dekker kostnader til drift og løpende oppgaver. I 2018 ble vi tildelt til sammen 54 441 000 kroner. Dette var en økning på 3 772 000 kroner fra året før. Fordelt på lønn og drift utgjorde lønnsutgiftene 37 563 000 kroner (67,8 prosent). Driftsutgiftene utgjorde 17 772 000 kroner (32,2 prosent).

Oversikt over bevilgningene de siste årene.

1.3 Årets viktigste aktiviteter

1.3.1 Innføring av nytt personvernregelverk

Det nye personvernregelverket trådte i kraft i Norge 20. juli 2018, og innføringen av dette har vært den høyest prioriterte oppgaven til Datatilsynet i 2018. Det har vært et betydelig løft for en relativt liten virksomhet å bygge kompetanse internt, drive kommunikasjonsvirksomhet eksternt, gi veiledning overfor virksomheter og enkeltpersoner, og samtidig holde hjulene i gang med saksbehandling og daglig drift.

Datatilsynet måtte også justere kursen i forhold til den opprinnelig planen. Dette skyldes særlig at pågangen fra virksomheter om foredrag overgikk alle våre estimater, og at samtlige piler, hva angår saker, søk på hjemmesiden vår og lignende, entydig har pekt oppover. Dette er selvsagt svært positivt, men samtidig har vi underveis måtte foreta en ressursallokering som vi kommer nærmere tilbake til.

Vi vil i dette kapittelet beskrive delprosjektene i det vi kalte forordningsprosjektet; bygge kompetanse om det nye regelverket internt, kommunikasjon eksternt, rigge en ny personvernombudsordning, digitaliseringstiltak og utvikling av nettsiden, samt avvikling av gamle saker.

1.3.1.1 Gjennomførte aktiviteter

Bygge kompetanse internt

En del av prinsippene etter gammel lov videreføres i det nye personvernregelverket. Det er likevel en lang rekke endringer i de materielle reglene. Ikke minst innføres det en rekke nye plikter for virksomhetene, slik som for eksempel en forsterket plikt til å gjennomføre utredning av personvernkonsekvenser og til å jobbe etter prinsippene for innebygd personvern. Systematikken i det nye regelverket er helt ny, detaljeringsgraden i regelverket er vesentlig endret (forordningen består av 99 artikler) og det innføres også nye prinsipper – der særlig prinsippet om ansvarlighet (accountability) er sentralt.

Å bygge kompetanse internt har derfor vært en vesentlig del av dette forordningsprosjektet. Vi har gjennomført grundige juridiske og tekniske utredninger av alle spørsmål til forordningen, og mye av dette har blitt omsatt til informasjonsmateriale. Vi har hatt både plenumssamlinger og jobbet i mindre grupper, og vi har gjennomført øvelser på aktuelle saker for å «teste» det nye regelverket.

Forhåndsdrøftelser – artikkel 36

Som et eksempel på hvordan vi har jobbet med ulik tematikk kan arbeidet med forhåndsdrøftelser nevnes. Vi utarbeidet veiledning om hva forhåndsdrøftelser er og hvordan dette gjennomføres, både for eksterne og internt i Datatilsynet. Vi har lagt til rette for at de som sender inn anmodning om forhåndsdrøftelse kan sende dette kryptert til oss.

Vi har utarbeidet intern saksbehandlermal for forhåndsdrøftelser, standardtekster i saksbehandlingssystemet, og vi har utviklet Datatilsynets saksbehandlingssystem til å kunne motta forhåndsdrøftelser i henhold til de kravene som er satt.

Ekstern kommunikasjon – klargjøre virksomhetene til det nye regelverket

Det nye regelverket er universelt og gjelder for alle sektorer, men det er selvsagt slik at hver enkelt sektor treffes på ulik måte. Det er også en del særregler som gjelder enkeltsektorer, slik som for eksempel innen helse og forskning. Konsesjonsplikten har i all hovedsak blitt avskaffet, og flere av de nye systempliktene vil trolig i særlig grad være aktuell innen denne sektoren.

Finanssektoren har i tillegg nok et regelverk å forholde seg til, nemlig Payment Service Directive 2 (PSD2) som gir forbrukerne mulighet til å samtykke til at bankene deler data med andre virksomheter. Vårt inntrykk er at denne sektoren i stor grad har forberedt seg til begge regelverkene parallelt, noe som er naturlig i og med at det også er overlapp mellom noen av reglene.

Kommunesektoren har etter vår erfaring hatt særlige utfordringer knyttet til risikovurderinger, internkontroll og oversikt over personopplysninger de har om sine innbyggere. Det spesielle med denne sektoren er dessuten at vi alle bor i en kommune, og at kommunen er en vesentlig tjenesteyter og en bærebjelke i velferdssamfunnet. Vi har holdt en lang rekke foredrag for denne sektoren, blant annet i samarbeid med foreningen Kommunal Informasjonssikkerhet (KINS) og KS. Vi har deltatt på regionsamlinger og rådmannsmøter, og truffet enkeltkommuner. Vi har også henvendt oss direkte til hver enkelt kommune for å gi råd om hvordan de bør jobbe for å tilpasse seg nytt regelverk.

Vårt arbeid for å klargjøre virksomhetene har i stor grad vært gjennom ekstern kommunikasjon slik som foredragsvirksomhet, møter og utvikling av veiledere og annet verktøy publisert på nettsidene våre. Vi har også arrangert og deltatt på ulike arrangement. Parallellt med informasjon til virksomhetene som har fått nye plikter, jobbet vi også aktivt med kommunikasjonstiltak der vi opplyste enkeltpersoner om deres styrkede rettigheter etter det nye reglverket.

Vår eksterne kommunikasjon står det mer om i kapittelet om kommunikasjonsvirksomheten.

Personvernombudsordningen

Personvernombudsordningen har blitt vesentlig utvidet som følge av det nye regelverket, og er blant annet gjort obligatorisk for offentlige etater. Vi har gjennomført en rekke tiltak for å gjøre den nye ordningen kjent og for å hjelpe virksomheter med å finne ut om de har plikt til å opprette ombud eller ikke.

En av hovedoppgavene har vært å etablere et register over opprettede personvernombud, til hjelp for enkeltpersoner eller andre som ønsker å komme i kontakt med ombudet.

For en nærmere omtale om personvernombudsordningen og arbeidet vårt i forbindelse med den, se eget kapittel lenger bak.

IKT-utvikling og digitalisering

Det har vært viktig å modernisere IKT-infrastrukturen for å etablere mer effektive arbeidsmetoder. En hovedleveranse har vært å utvikle et eget skjema i Altinn det virksomheter kan melde inn avvik. Dette samhandler med vårt journalsystem. Vi har fått på plass PDF-signering, e-innsyn, ny sikkerhets-løsning og nytt kjernenett. På arkivsiden har vi fått på plass ny arkivnøkkel og etablert et arkivskille mellom ny og gammel lov.

Vi jobbet også med et digitaliseringsprosjekt, der vi skulle peke ut veien videre for en bedre håndtering av veiledningsepost, optimalisering av hjemmesiden vår og der det har blitt sett nærmere på ulike former for automatisering.

Avvikle saker etter gammelt regelverk

Helt frem til ikrafttredelsen av det nye regelverket i Norge i juli, var det knyttet usikkerhet til når det faktisk ville tre i kraft. Tross dette, forberedte vi oss på ikrafttredelse samtidig som i EU-landene, den 25. mai. Det var en prioritert oppgave å avslutte flest mulig saker etter gammelt regelverk før det nye trådte i kraft, og vi hadde blant annet flere interne «aksjoner» der vi i en uke av gangen utelukkende behandlet enkeltsaker.

Vi hadde på slutten av 2018 færre ubesvarte saker (restanser) enn på mange år, noe som viste at innsatsen var vellykket. Vi lyktes imidlertid ikke med å avslutte alle sakene, ettersom mange faktorer utenfor vår kontroll spiller inn, og fordi vi også måtte la noen saker bli liggende noe lenger på grunn av ressurshensyn.

1.3.1.2 Ressursbruk

Forordningsprosjektet har vært den viktigste satsingen vår i 2018, og trolig den største satsingen Datatilsynet noen gang har hatt. Det har naturlig nok gått med betydelige ressurser til dette, og alle ansatte i Datatilsynet har i ulikt grad vært involvert i arbeidet.

Den store ressursinnsatsen knyttet til dette omfattende prosjektet har gått ut over andre viktige arbeidsoppgaver. Med unntak av brevlig kontroll med om offentlige etater har oppnevnt personvernombud, har vi kun gjennomført en fåtall tilsyn. Vi har vært strengere i prioriteringen av enkeltsaker og effektivisert veiledningsarbeidet. Vi har i 2018 redusert foredragsvirksomheten betydelig for å få mer tid til interne forberedelser, og til å utvikle generelt veiledningsmateriell.

Som det fremgår av de øvrige kapitlene, har vi imidlertid utført svært mye godt arbeid, og vi har holdt virksomheten gående, selv om forordningsprosjektet har vært det viktigste.

Vi mener det har vært fullt forsvarlig å prioritere dette så høyt som vi har gjort, og at vi har prioritert alle andre aktiviteter opp mot forordningsprosjektet. I og med at alle ansatte har vært involvert, er det vanskelig å anslå ressursbruk, men vi vil anslå at omlag 40 prosent av Datatilsynets ressurser har vært brukt i forordningsprosjektet.

1.3.1.3 Vurdering av måloppnåelse

I Datatilsynets strategi heter det at vi skal arbeide for at virksomheter blir kompetente, forstår viktigheten av godt personvern og etterlever regelverket. Det heter videre at vi skal være et kompetent og fremtidsrettet tilsyn. Det er disse to målene vi har vurdert måloppnåelsen etter.

Vi har nedlagt et betydelig arbeid for å bygge kompetanse og bidra til etterlevelse av regelverket. Som det fremgår i dette kapitlet, og for så vidt gjennomgående i denne årsmeldingen, har vi hatt stor utadrettet virksomhet, både med en lang rekke foredrag, samarbeid med bransjeforeninger, interesseorganisasjon, enkeltbedrifter og virksomheter. Vi har utarbeidet store mengder informasjonsmateriell, både i form av veiledere og andre verktøy. I vår kommunikasjon har vi forsøkt å være praktisk orientert ved å vise eksempler og gi konkrete råd. Vi har også drevet verdibasert kommunikasjon, og trukket frem hvorfor personvernet viktig som verdi, som tillitsbygger og som konkurransefortrinn. Også her har vi vist til praktiske eksempler. Alt dette for å underbygge målet om at virksomhetene skal forstå verdien av godt personvern.

Som beskrevet over har vi lagt stor vekt både på kompetansebygging internt og utvikling av ny arbeidsmetodikk. Vi er ikke, og kommer heller aldri i mål med «riktig» arbeidsmetodikk, da dette er et kontinuerlig arbeid, men vi mener å ha kommet godt på vei. Datatilsynet er slik vi ser det, mer enn kompetent til å håndheve og bygge ny praksis etter det nye regelverket.

Vi mener derfor vi har oppnådd målene.

1.3.1.4 Framtidige utfordringer

Selv om den nye personopplysningsloven trådte i kraft omtrent halvveis i meldingsåret, har 2018 i stor grad vært et forberedelsesår. Vi startet behandling av en del saker, men avsluttet kun noen få, og vi gjennomførte de første tilsynene etter nytt regelverk. Det er imidlertid først i 2019 vi vil komme skikkelig i gang med saksbehandlingen.

Som beskrevet i kapittelet om saksbehandlingen, har vi mottatt svært mange avviksmeldinger i 2018, og antallet har eksplodert etter at loven trådte i kraft. Det er dessuten en stor utfordring for en virksomhet med færre enn 50 ansatte å håndtere over 2 000 nye saker på et år, og det betyr at vi må finne en effektiv måte å håndtere sakene på og prioritere hardt. Vi ser også at mange saker er av internasjonal karakter, enten ved at Datatilsynet er ansvarlig for å behandle saken (dersom en norsk virksomhet er klaget inn) eller ved at norske borgere er berørt (i tilfeller der virksomheten opererer fra et annet land).

Personvernforordningen gjelder samtlige EU og EØS-land, 31 i tallet. Hensikten er å skape et harmonisert regelverk som praktiseres likt i alle EU-land, og nettopp derfor er Det europeiske personvernrådet etablert. Det skal ikke stikkes under en stol at det er både ressurskrevende, og til dels vanskelig, å få alle land til å enes om hvordan regelverket skal forstås. Vi ser imidlertid at det stadig blir gjort framskritt, og at gode arbeidsmetoder kommer på plass.

Deltagelse i det europeiske arbeidet er også ressurskrevende i seg selv. Datatilsynet er rapportør (en slags saksordfører) for to sentrale rettledninger, se nærmere om dette i kapittelet om internasjonalt arbeid. Vi har imidlertid valgt å prioritere dette, både for å få innflytelse på utfallet, og fordi vi har kompetanse som ligger helt i front i EU/EØS på disse områdene.

Datatilsynet vil i det kommende året etablere ny rettspraksis på mange områder. Ikke minst gjelder dette for overtredelsesgebyr som i tillegg til å bli vesentlig større enn hva tilfellet er i dag, også vil bli flere i antall. Vi er trygge på at vi skal klare oppgaven på en utmerket måte, men samtidig er det enkelte utfordringer knyttet til dette. Særlig gjelder det at nivået på gebyrene skal harmoniseres med de de øvrige landene i samarbeidsområdet, og det er delte oppfatninger både om strategien med å bruke overtredelsesgebyr, og størrelsen på dem.

1.3.2 Internasjonalt arbeid

Internasjonalt samarbeid er viktigere enn noensinne, ikke minst nå etter at personvernforordningen trådte i kraft i alle EU- og EØS-land. Dette har gitt en ny giv til europeisk samarbeid. Datatilsynet har dessuten nedfelt i strategien vår at vi skal være aktive i internasjonale prosesser for å fremme personvern på en best mulig måte. Det er derfor en viktig prioitet for oss å ha et godt internasjonalt nettverk.

Det europeiske personvernrådet (European Data Protection Board – EDPB) er opprettet i henhold til personvernforordningen, og er den øverste rådgivende forsamlingen for EU-kommisjonen i spørsmål om personvern og informasjonssikkerhet. Her møter alle lederne for datatilsynsmyndighetene i EU og EØS. Norge er fullverdig medlem som EØS-stat, men har ikke rett til å stemme eller stille til valg som rådets øverste leder.

I 2018 har Datatilsynet deltatt med opp til tre representanter på plenumsmøtene til gruppen, men vanligvis møter en representant fra ledelsen. Det avholdes omlag ett plenumsøte i måneden.

I tillegg er vi representert i ulike ekspertgrupper som arbeider med å forberede saker for Personvernrådet. Datatilsynet var i 2018 representert i følgende ekspertgrupper:

• Strategic Advisory Expert Sugroup

• Key Provisions Expert Subgroup

• Enforcement Expert Subgroup

• Technology Expert Subgroup

• International transfers Expert Subgroup

• Cooperation Expert Subgroup

• Working Group on Social Media

Alle disse gruppene forbereder saker for plenumsmøtene i Personvernrådet, hvor de endelige avgjørelsene om rekommandasjoner, retningslinjer og så videre blir fattet. Ekspertgruppene møtes som regel i forkant av hvert plenumsmøte. Til sammen fire jurister og en teknolog fra Datatilsynetdeltok fast i disse møtene i 2018.

1.3.2.1 Gjennomførte aktiviteter

Vi vil her gå gjennom det vi har jobbet med som handler om internasjonalt samarbeid og ulike samarbeidsfora. Alt som er knyttet til vår internasjonale saksbehandling (grensekryssende saker) kan det leses mer om i kapittelet om saksbehandlingen.

Utarbeidelse av felles europeiske retningslinjer om innebygd personvern

I 2018 har vi blant annet startet arbeidet med felles europeiske retningslinjer om innebygd personvern og personvern som standardinnstillinger, et arbeid det norske Datatilsynet har fått et særskilt internasjonalt ansvar for. Tre av våre ansatte (to jurister og en teknolog) skal jobbe med å utforme retningslinjer om hvordan personvernforordningens bestemmelser skal forstås på disse to områdene. Arbeidet er basert på en veileder vi utarbeidet i 2017, og som vakte internasjonal interesse. Gruppen har utarbeidet utkast til felleseuropeiske retningslinjer, og koordinerer samarbeidet med andre involverte tilsynsmyndigheter i Europa, inkludert European Data Protection Supervisor, EUs eget datatilsyn (som blant annet fører tilsyn med EU-institusjonene).

Når arbeidet er ferdig, skal retningslinjene godkjennes i Det europeiske personvernrådet før det skal på offentlig høring. Når det er ferdig, vil det bli en sentral rettskilde for rettsanvendere og andre brukere over hele Europa. En endelig godkjenning og offentliggjøring av dette arbeidet kan ventes i 2019.

Utarbeidelse av felles europeiske retningslinjer om avtale som behandlingsgrunnlag

I 2018 påtok vi oss også ansvaret for å lede arbeidet med å utarbeide europeiske retningslinjer om forordningens art. 6 nr. 1 bokstav b. Denne bestemmelsen inneholder en regel som er svært sentral i forbindelse med behandling av personopplysninger, og handler blant annet om hvilken adgang en virksomhet har til å behandle personopplysninger uten den enkeltes samtykke.

Bestemmelsens nærmere innhold skal fastlegges i disse retningslinjene, og resultatet av arbeidet vil ha stor betydning for alle europeere som benytter seg av digitale medier – det vil altså si de langt fleste av oss. Arbeidet består i å utarbeide en større juridisk utredning om emnet, og å koordinere samarbeidet med bidragsyterne fra andre tilsynsmyndigheter gjennom møtevirksomhet i ekspertgruppen om «Key Provisions», telefonkonferanser, skrivearbeid og utveksling av synspunkter på tekstutkast via e-post. Arbeidet vil trolig bli fullført i 2019.

Berlingruppen – International Working Group on Data Protection in Telecommunications (IWGDPT)

Berlingruppen er et globalt fellesskap som arbeider med personvern og elektronisk kommunikasjon. Det er hovedsakelig personvernmyndigheter som deltar. Gruppen kommer med uttalelser (Working Papers) om aktuelle personvernspørsmål. Datatilsynet har vært aktivt deltagende i Berlingruppen i 2018, og har blant annet bidratt i arbeidet med å få vedtatt en resolusjon om kunstig intelligens.

I 2018 ble en veiledning om e-læringsverktøy og læringsanalyse sluttført. Dette er en veiledning som inneholder mange eksempler på mulige konsekvenser, avvik som har skjedd og forslag til tiltak for å unngå avvik. Dette er et dokument som kan brukes ovenfor skoleeiere og utviklere av verktøy som tilbys til skoler. Veiledningen kan også ha overføringsverdi til andre informasjonssystem.

Datatilsynet i Norge har bidratt til veiledningen, og har blant annet fått inn anbefalingen om tofaktorautentisering ved pålogging til læringsplattformer. Dette er et krav vi i vedtaksform har stilt til flere skoleeiere. Dette er også aktualisert med saken om Bergen kommune som er omtalt i kapittelet «Skole, barn og unge».

Den internasjonale personvernkonferansen (ICDPPC)

Den internasjonale personvernkonferansen ble i år arrangert i Brussel. Hovedtema på årets konferanse var etikk og etisk bruk av data. Konferansen vedtok flere deklarasjoner, blant annet en om etisk og personvernvennlig kunstig intelligens. Datatilsynet var med som co-sponsor og deltok i arbeidsgruppen som utarbeidet deklarasjonen.

Konferansen vedtok også en resolusjon om viktigheten av samarbeid mellom personvern- og forbrukervernmyndigheter i den digitale økonomien. Datatilsynet var også her med som co-sponsor og deltok i arbeidsgruppen som utarbeidet dokumentet. Vi deltok også i en paneldebatt der det ble diskutert hvordan tilsynsmyndigheter kan gå frem for å føre tilsyn med systemer basert på kunstig intelligens.

Eurodac og Visumsamarbeidet i Europa

Vi er fullverdig medlem av de to koordineringsgruppene Eurodac og Visumsamarbeidet i Europa. Møtene finner som regel sted samtidig, ettersom de to temaene er beslektet. Vi deltok på begge møtene i 2018.

Schengen Coordination Group (SCG)

Vi er fullverdig medlem av Schengen-koordinasjonsgruppen som møtes i EU-parlamentet i Brussel. Vi har deltatt på begge møtene i 2018.

Samarbeid med de nordiske datatilsynsmyndighetene

Det årlige nordiske datatilsynsmøtet ble i 2018 arrangert i København, og et oppfølgningsmøte ble avholdt i Brussel. Hovedtemaet var den nye personvernforordningen, felles nordiske utfordringer og ønske om økt samarbeid. De nordiske landene vedtok i år «Københavndeklarasjonen». Den inneholder felles målsetninger og konkrete tilsynssamarbeid. De nordiske datatilsynsmyndighetene har dessuten jevnlig kontakt gjennom året, både i form av uformelle samtaler og på andre internasjonale arenaer.

Internasjonalt samarbeid mellom datatilsyn, forbrukermyndigheter og konkurransetilsyn

Datatilsynet deltar på møter i Digital Clearing House, en møtearena opprettet og organisert av European Data Protection Supervisor (EDPS). Møtene samler representanter fra europeiske datatilsynsmyndigheter, forbrukerombud og konkurransetilsynsmyndigheter. Formålet med møtene er å dele informasjon om saker vi arbeider med, og å undersøke hvordan vi sammen kan håndtere utfordringer i det digitale økosystemet på en mest mulig effektiv måte.

Det ble arrangert to møter i Digital Clearing House i 2018. Møtene samlet rundt 30 tilsynsmyndigheter fra hele verden. Fra Norge har Forbrukertilsynet og Konkurransetilsynet deltatt i tillegg til Datatilsynet. Tema som er tatt opp på møtene i 2018 er blant annet velgermanipulasjon, hvordan konkurransemyndigheter kan vektlegge virksomheters tilgang til og behandling av personopplysninger i saker som omhandler oppkjøp og fusjoner, persontilpasset prissetting og urimelige avtalevilkår i den digitale økonomien.

1.3.2.2 Ressursbruk

Arbeidet i Personvernrådets ekspertgrupper, og arbeidet med retningslinjene om innebygd personvern, har vært særlig ressurskrevende. Møtene i undergruppene krever grundige forberedelser. Det er som oftest spørsmål om hvordan reglene i personvernforordningen skal tolkes og anvendes som står på agendaen, og avklaringene skal danne utgangspunkt for retningslinjer, rekommandasjoner og «best practice»-dokumenter. Dessuten møtes ekspertgruppene relativt hyppig, mellom 6 og 12 ganger i året, avhengig av hvilken ekspertgruppe det er snakk om. Til sammen er det fem ansatte som deltar fast i disse ekspertgruppene.

I tillegg har vi nedsatt en gruppe på tre som arbeider med retningslinjene om innebygd personvern. En teknolog og to jurister har hatt ansvaret for å utrede de tekniske og juridiske sidene ved innebygd personvern, slik dette er regulert og omtalt i personvernforordningen. Arbeidet er krevende, og det holder et høyt nivå. På veien mot det endelige resultatet er det regelmessige meningsutvekslinger mellom Datatilsynet og co-rapportørene i andre EU-/EØS-land via e-post, og dessuten jevnlige møter i Brussel. All dokumentasjon og korrespondanse er på engelsk.

1.3.2.3 Vurdering av måloppnåelse

Vår deltakelse på den internasjonale arenaen gjør at vi stadig øker vår faglige kompetanse, noe som bidrar til å nå målsetningen om å være et kompetent og fremtidsrettet tilsyn. Arbeidet i Europa vil dessuten føre til harmonisert regelanvendelse, noe som i sin tur bidrar til en mer rettferdig maktbalanse mellom individet på den ene siden, og kommersielle aktører og det offentlige på den andre. Dessuten har Datatilsynet hatt som et uttalt mål å påvirke og ta lederrollen i noen utvalgte internasjonale prosesser for å fremme bedre personvern. Dette målet er realisert gjennom arbeidet med de europeiske retningslinjene om innebygd personvern.

1.3.2.4 Utfordringer

Det vil bli utfordrende å holde det høye aktivitetsnivået og det internasjonale engasjementet oppe. Arbeidet med retningslinjene om innebygd personvern har høyeste prioritet, men det gjør at vi blir presset på ressurser andre steder, og vi kan se at dette arbeidet gir utslag på saksbehandlingen, i form av lenger saksbehandlingstid. Vi må derfor trolig være varsomme med å påta oss lignende oppgaver i fremtiden dersom ressurssituasjonen ikke bedres.

På dette området vil vi trolig fortsette å være utsatt for «hjerneflukt», ettersom erfaringer fra Personvernrådets undergrupper gir unik personopplysningsrettslig kompetanse, noe som for tiden er svært ettertraktet i arbeidsmarkedet, samtidig som internasjonal arbeidserfaring i seg selv trolig også vil være etterspurt i lang tid fremover.

1.3.3 Helse og velferd

Helse- og velferdsområdet omfatter primær og sekundær bruk av opplysninger innen helse- og omsorgstjenestene, NAV, helseforskning og samfunnsforskning. Innen dette ansvarsområdet behandles det opplysninger om befolkningen i alle livsfaser, og bruk og gjenbruk av våre opplysninger til stadig flere formål øker.

En utfordring innen helsesektoren er at det er stort press på teknologisk utvikling og nye løsninger, og dette skjer i et raskt tempo. Samfunnet har liten aksept for at tilgjengelig teknologi og utstyr ikke tas i bruk. Det er heller ikke alltid forståelse for at det tar tid å undersøke og teste om løsningene oppfyller nødvendige krav for å ivareta både pasientsikkerhet og personopplysningssikkerhet. Dette medfører en risiko for at utstyr og teknologi tas i bruk før det er tilstrekkelig testet.

Det pågår flere store prosesser som antas å medføre store endringer for alle berørte parter i helsesektoren:

• Helsenorge.no er befolkningens innbyggerportal, hvor det stadig legges inn ny funksjonalitet og nye muligheter. Vår digitale pasienthverdag er tenkt administrert gjennom denne portalen.

• Prosjektet «En innbygger, en journal» er i gang med å realiseres for kommunesektoren.

• Helsedataprogrammet utvikler «Helseanalyseplattformen» og andre elementer for å bedre sekundærbruk av data.

• Helseplattformen anskaffer felles pasientjournalsystem for alle innbyggere i Helse Midt-Norge, uavhengig av hvilket tjenestenivå de mottar hjelp fra.

Helse- og omsorgstjenesten er preget av mange aktører og flere ulikt organiserte virksomheter med forvaltningsansvar og beslutningsmyndighet. Leverandører og databehandlere har ofte sentrale roller, og ansvarsforholdene kan ofte være uklare.

Endringer i måten man gir helsehjelp på stiller nye krav til systemenes evne til å ivareta sikkerhet knyttet til konfidensialitet, tilgjengelighet og integritet. Risikobildet i sektoren må sies å endres radikalt når man beveger seg fra papirdokumentasjon over til elektronisk behandling av opplysninger.

Det er samtidig en klart uttalt forventning om effektivisering, og dette medfører utkontrakteringer og sentralisering av kompetanse og beslutningsmyndighet.

Det er også et økende ønske om og påtrykk for gjenbruk av helseopplysninger, såkalt sekundærbruk av data. Det opprettes stadig nye kvalitetsregistre, og mange av disse er svært omfattende og har som formål å være permanente. Helse- og omsorgsdepartementet har et forslag på høring hvor de vil ha en forskrift for regulering av kvalitetsregistrene. Forslaget åpner for at det i større grad enn tidligere åpnes opp for meldeplikt til registrene og at det ikke lenger skal være den klare hovedregelen at registrene skal baseres på samtykke fra de registrerte.

NAV har mange av de tilsvarende utfordringene, men også egne. Etaten er enorm, og den behandler store mengder data om alle innbyggerne i landet. De står i et dilemma mellom å ha tilgjengelige opplysninger og å sikre tilfredsstillende konfidensialitet, noe som kan gi utfordringer for borgernes personvern.

1.3.3.1 Gjennomførte aktiviteter

2018 har vært preget av stor omstilling i arbeidsoppgaver, blant annet med bortfall av konsesjonsplikten. Året har også vært preget av at det er store nasjonale prosesser i sektoren, i tillegg til at utviklingen av ny teknologi og nye løsninger preger personvernarbeidet.

Vi har i meldingsåret arbeidet videre med noen store og viktige saker. Programmet for screening av nyfødte i Norge har blitt endret, og Datatilsynet har hatt noen innvendinger som vi blant annet har presentert for Stortingets Helse- og omsorgskomite. Innvendingene handler blant annet om varig lagring uten tilstrekkelige risikovurderinger. Saken har også vært debattert i blogger og i media.

Møtevirksomhet og arrangementer

I den såkalte Helse Sør-Øst-saken som gjaldt manglende risikovurdering ved utkontraktering, ble det sendt ut endelige kontrollrapporter og vedtak om overtredelsesgebyr. Saken har blitt fulgt opp gjennom fortsatte kontaktmøter med relevante parter, og i mars arrangerte vi et miniseminar om utkontraktering.

Det har vært naturlig for Datatilsynet å følge med på de nasjonale prosessene som løper gjennom å blant annet møte de sentrale aktørene, både på saksbehandlernivå og på ledernivå. Vi har hatt møter med Helseplattformen og med Direktoratet for eHelse om de forskjellige løpene deres.

I Helsedataprogrammet har vi valgt en aktiv deltakelse, gjennom å ha en representant i referansegruppen og en representant i arbeidsgruppen for personvern og informasjonssikkerhet. Utviklingen av Helseanalyseplattformen er også tema i andre møtefora enn deltakelsen i programmet. Vi har også startet et samarbeid hvor Datatilsynet skal bidra i Direktoratet for eHelses gjennomføring av en innbyggerundersøkelse. Denne skal se på befolkningens kunnskap om og holdninger til helseregistre og forskning på helsedata.

Innføringen av nytt regelverk har medført noe særskilte problemstillinger for dette saksområdet i Datatilsynet. Tidligere har det vært en omfattende oppgave å behandle søknader om konsesjoner til sekundærbruk av data. Personvernforordningen avvikler konsesjonsordningen, og kontroll med sekundærbruk av data har blitt overlatt til den behandlingsansvarlige og deres personvernombud gjennom ansvarlighetsprinsippet.

Samtidig er det nye regelverket sammensatt og krevende når det gjelder blant annet rettslig grunnlag ved sekundærbruk av data. Dette har medført et stort informasjons- og veiledningsbehov fra register- og forskningsmiljøene. Vi arrangerte i april et møte hvor alle de sentrale helseregistrene ble invitert til diskusjon. Vi har også stilt opp på to av deres samlinger for å diskutere juridiske og praktiske utfordringer. Datatilsynet arrangerte også i september et seminar for personvernombudene som arbeider med sekundærbruk av data.

Vi har også prioritert å delta på konferanser og seminarer vi mener er egnede for å kunne formidle endringene regelverket har medført for den aktuelle bransjen, både med foredrag og informasjonsstander på blant annet Helseregisterkonferansen, KINS-konferansen, eHiN, Normkonferansen, Stormøtet med de regionale etiske komiteene, arrangementer i regi av UiO og NSD. På flere av disse konferansene har vi i tillegg vært med å utarbeide det faglige programmet.

Vi har vært i kontakt med flere aktører som utvikler og tilbyr nye løsninger for helsetjenesten. Apotekbransjen utarbeider et nytt felles system for alle apotek i landet, og disse har vi hatt gjentatte møter med for å diskutere forskjellige problemstillinger. Videre har vi hatt møte med leverandører av private helsetjenester, for eksempel en aktør som tilbyr helsehjelp via videokommunikasjon.

Spesielt om NAV

NAV har gjort et omfattende arbeid for etterlevelse av personvernregelverket. De har opprettet et personvernombud, og de har etablert prosjekter for å sikre korrekt innføring og etterlevelse av det nye personvernregelverket.

Vi har hatt flere kontaktpunkter med NAV i det foregående året, blant annet gjennom direktørmøte, saksbehandlermøte og ellers jevnlig kontakt med personvernombudet.

Datatilsynet mottar forskjellige typer henvendelser som gjelder NAVs behandling av personopplysninger. Det er et betydelig antall enkeltsaker som gjelder rett til innsyn, både i opplysninger om seg selv og innsyn i logg over hvem som har hatt tilgang til deres data.

Vi har to pågående saker mot NAV, hvorav den ene gjelder etatens egne ansatte og deres rett til personvern som brukere i NAV. Den andre gjelder NAVs ordning med tilgangsstyring og autorisasjon for en avgrenset gruppe av brukere. I begge sakene har Datatilsynet pålagt NAV å gi informasjon om og dokumentere sakene, og disse vil bli fulgt opp videre.

Tilsyn

Vi sendte i februar 2018 krav om redegjørelse til universitetssykehusene og de ansvarlige for de største befolkningsundersøkelsene og etterspurte omfanget av analyser av genetisk materiale som utføres av andre på bakgrunn av avtale med de dataansvarlige. Rapportene er ikke ferdigstilte.

De endelige kontrollrapportene for de sentrale helseregistrene ble sendt ut i løpet av 2018, og vi har utarbeidet en samlerapport for alle disse tilsynene. Den vil bli formidlet i egnet form i 2019.

For kontrollene med rutiner for tilgangsstyring i Helse Sør-øst, ble det sendt ut endelige kontrollrapporter i 2018, og sakene er under behandling for avslutning hos oss.

Sentrale høringsuttalelser

Plikt til obduksjon av trafikkdrepte

Det ble fremmet et forslag om å innføre lovfestet plikt til å gjennomføre rettsmedisinsk obduksjon av alle trafikkdrepte. Formålet er å øke trafikksikkerheten og drive forebyggende arbeid. Datatilsynet uttrykte bekymring over at undersøkelseshjemmelen fremstår som for vid og generell, og at det er fare for betydelig overskuddsinformasjon som ikke er nødvendig for å oppnå formålet. Vi påpekte også at det manglet vurderinger av personvernkonsekvenser i forslaget.

Drapsregisteret

Justis- og beredskapsdepartementet foreslo å opprette et nytt nasjonalt register over drap og vold med dødelig utgang, det såkalte Drapsregisteret. Formålene med registeret er mange, og Datatilsynet påpekte at det var vanskelig å forstå det faktiske formålet. Vi var i vår uttalelse blant annet kritiske til manglende utredning av personvernkonsekvenser for gjerningspersoner, avdøde og pårørende, registerets angitte nytteverdi og om forslaget oppfyller personvernforordningens krav til lovhjemmel.

Endringer i MSIS-forskriften

Helse- og omsorgsdepartementet kom med forslag om endringer i meldeplikten for smittsomme sykdommer i Meldingssystemet for smittsomme sykdommer (MSIS). Forslaget innebar registering av nye sykdommer, og endringer i adgangen til å kunne registrere fødselsnummer på enkelte sykdommer. Datatilsynet påpekte at endringene fører til vesentlige personvernkonsekvenser som ikke ble vurdert i forslaget.

Bivirkningsregisteret

I vår uttalelse til forslaget til det nye Bivirkningsregisteret ble også den manglende personvernkonsekvensutredningen påpekt. Opprettelsen av registeret medfører en betydelig økning i rapportering av legemiddelbruk, og med direkte identifiserbare opplysninger i form av fødselsnummer. Dette gir muligheter for å anvende registeret til langt flere formål enn bivirkningsrapportering kan benyttes til i dag, for eksempel forskning. Vi var kritiske til at de ulike formålene med registeret ikke ble vurdert hver for seg.

Vi hadde også blant annet innvendinger mot høringens vurderinger av egnede sikkerhetstiltak, den foreslåtte reservasjonsadgangen som vi anså som snever og at det var unyanserte vurderinger knyttet til behovet for lagring av opplysninger.

Sprøyteromsordningen

I forslag til endring av Sprøyteromsordningen foreslås det blant annet å utvide hvilke narkotiske stoffer som kan inntas i sprøyterom. I høringen drøftes behandling av personopplysninger i tilknytning til bruk av sprøyterom, og Datatilsynets høringssvar gjelder det såkalte brukerromregisteret. Vi var ikke enige i at samtykke er et egnet rettslig grunnlag for registeret. Vi påpekte også at reguleringen av registeret bør inneholde bestemmelser om oppfølging av personvernrettigheter slik som informasjon og sletting. Også i denne høringen påpekte vi manglende personvernkonsekvensvurderinger.

Ny pasientjournalforskrift

I vår uttalelse om ny pasientjournalforskrift hadde vi to hovedinnspill. Det ene var relatert til apotektjenesters journalføringsplikt, hvor vi mente at det manglet begrunnelse for behovet for og konsekvensene av tilsvarende «journalregime» for apotektjenester slik som øvrig helsetjeneste.

Det andre innspillet gjaldt endringer av premissene for det som omtales som tilgang på tvers av virksomhetsgrenser. Datatilsynet støttet ikke departementets betegnelse av endringene som en «harmonisering», og vi vi påpekte at det å gi tilgang til andre utenfor egen virksomhet medfører en endring av risiko, noe som kan medføre grunn til å ha andre sikkerhetsløsninger og krav enn for intern tilgang.

Egenandelsforskriften

Det ble også foreslått endringer egenandelsforskriften slik at Helsedirektoratet får hjemmel til å utlevere fødselsnumre, ID-numre eller andre hjelpenumre når det er nødvendig å sammenstille opplysninger i egenandelsregisteret med opplysninger i andre offentlige registre. Sammenstillingen skal kun resultere i anonym statistikk, med formålet å vurdere effekter av endringer i frikortordningene. Datatilsynet påpekte at formålet var vidt formulert, slik at det åpnet for en utglidning i forhold til de formålene som ble presentert i høringen. Vi mente også at det burde vært gjennomført en personvernkonsekvensvurdering av endringene.

1.3.3.2 Ressursbruk

Helseområdet er komplisert og omfattende. Endringsviljen og -hastigheten i sektoren er stor. Ressurspersonene som arbeider med helse og velferd har i stor grad vært benyttet til løpende oppgaver slik som saksbehandling og veiledning. Det har også vært stor etterspørsel etter foredragsholdere på dette området.

Også i 2018 har «Helse Sør-Øst-saken» vært et eksempel på en enkeltsak som har krevd mye arbeid, og det har gått med store ressurser til behandlingen av saken og til oppfølgingen i ettertid.

Datatilsynets ansatte som er knyttet til helsegruppa har også vært benyttet til andre prosjekter og arbeider, for eksempel ekstern deltakelse i Helsedataprogrammet, samt interne prosjekter slik som veilederen for innebygd personvern, rapporten om kunstig intelligens og arbeidet med nytt personvernregelverk.

Seks personer har vært tilknyttet helse- og omsorgsfeltet, men som det fremgår over, har flere vært helt eller delvis knyttet til ulike prosjekter. Vi anslår den toale ressursbruken knyttet til denne prioritering å være fire årsverk.

1.3.3.3 Vurdering av måloppnåelse

Gjennom vårt arbeid og våre prioriteringer innenfor sektoren, mener vi at vi bidrar til en mer rettferdig maktbalanse mellom pasienter og brukere på den ene siden, og aktørene i sektoren på den andre siden. Vi synliggjør utfordringer for personvernet i blant annet viktige høringsuttalelser, i møter med sentrale aktører og gjennom forelesninger på sentrale konferanser og seminarer.

Vi mener også at vårt arbeid på dette området bidrar til økt forståelse hos enkeltindivider for personvern, og at vi slik setter dem i bedre stand til å kunne ivareta sitt eget personvern i møte med aktørene i sektoren. Dette gjør vi blant annet gjennom informasjon på nettsidene, gjennom behandling av enkeltsaker og gjennom å opplyse de som behandler opplysninger om hvordan de skal sikre at de registrerte er tilstrekkelig informert om rettighetene sine. For eksempel har vi hatt flere kontaktpunkter med Direktoratet for eHelse om deres innbyggertjeneste helsenorge.no.

Vi deltar aktivt inn i arbeidet med digitalisering i sektoren og setter krav til at nye løsninger skal være personvernvennlige, at virksomhetene blir «personvernkompetente» og forstår og etterlever personvernregelverket. Deltakelsen i Helsedataprogrammet er et viktig tiltak for å oppnå dette.

Vi har jobbet mye med å lære, forstå og praktisere den nye personopplysningsloven, slik at vi også på Helse- og velferdsområdet er et kompetent og fremtidsrettet tilsyn. Vi har synliggjort utfordringer knyttet til nytt regelverk og forståelsen av reguleringen knyttet til forskning og annen sekundærbruk av data. Vi har møtt sentrale aktører slik som de Regionale Etiske Komiteene, personvernombud i sektoren, helseregistrene og Helsedirektoratet for å lære, forstå og formidle den nye rettstilstanden å dette feltet.

Vi mener at vi på Helse- og velferdsområdet har god måloppnåelse i forhold til vår strategi og målsettingene i denne, gjennom de prioriteringer, valg og aktiviteter vi har hatt på området.

1.3.3.4 Fremtidige utfordringer

Helsesektorens måter å behandle personopplysninger på er utsatt for store forandringer og utviklingen går raskt. Opplysninger behandles nesten utelukkende elektronisk, og det er stadig mer utstyr som selv genererer data. Tjenester og behandling av data sentraliseres og utkontrakteres til aktører i inn- og utland for å effektivisere og redusere kostnader.

Arbeidet med å utvikle «Én innbygger – én journal» er i gang, og Helseplattformen er i prosess for å anskaffe leverandør av et felles journalsystem for Helse Midt-Norge.

Velferdsteknologi og annen helseteknologi tas mer og mer i bruk av befolkningen for private formål, samtidig som teknologien også brukes i regi av det offentlige som et ledd i helse- og velferdstjenester.

Denne nye måten å generere data på, gir nye utfordringer med tanke på hvor mye av dette som skal lagres og hvor lenge. Vi ser utfordringer knyttet til hvor sterkt dette feltet styres av leverandører, og hvordan bestillere har krevende oppgaver med å ha reell kontroll over behandlingen av opplysninger – behandlinger som skjer på deres vegne av leverandører og databehandlere. Dette er aktuelt i forbindelse med at det stadig utvikles og tilbys nye løsninger innen helseteknologi, både i form av utstyr som brukes til måling og rapportering av helse, og tilhørende apper og elektronisk behandling av data. Det er foreløpig lite fokus på å sikre at løsningene har innebygd personvern.

Det vil i tiden fremover bli tatt i bruk stordata og kunstig intelligens innen denne sektoren. Det er allerede forskningsprosjekter som utreder mulighetene for dette – både for sekundære og primære formål slik som beslutningsstøtte for de som yter helsehjelp.

Det er et stort press på å bruke data man har til nye formål innen forskning og kvalitetssikring, og det er flere offentlige prosesser som parallelt utreder hvordan data kan deles mer effektivt og i større grad enn det gjøres i dag. Det snakkes om at våre helsedata utgjør enorme verdier, og at vi må bruke dem på måter som gir avkastning. Det legges til grunn at disse formålene har stor tillit i befolkningen.

Innen sekundærbruk av data har innføringen av nytt personvernregelverk medført store endringer. Med avskaffelsen av konsesjonsplikten har aktørene selv måtte ta større ansvar for vurderingene som ligger til grunn for behandling av data til forskning og kvalitetssikring. Ansvarlighetsprinsippet viser seg sterkt ved forskning og annen sekundærbruk av data, og eventuelle feiltolkninger av regelverket bør korrigeres raskt. Dette er en omlegging av en langvarig praksis, og vil kunne medføre et stort behov for veiledning fra tilsynsmyndighetene.

I tillegg ser vi tendenser til at det er ønskelig å gå bort fra den klare hovedregelen om samtykke fra registrerte innen sekundærbruk av helseopplysninger. Nye forskrifter vil aktualisere disse problemstillingene, og vi ser det som en utfordring å sikre at det også i fremtiden er samtykke som er det sentrale rettslige grunnlaget ved slik bruk av personopplysninger.

Det er en positiv personverntrend innen helsetjenesten at borgerne skal gis størst mulig grad av selvbestemmelse over egne opplysninger gjennom nye innbyggertjenester. Dette ser vi som en styrking av den enkeltes rett til personvern. Samtidig er det enkelte utfordringer knyttet til at dette krever stadig større bevissthet og kunnskap hos den enkelte.

Helse- og omsorgstjenesten og NAV besitter enorme mengder data om oss. Dataene er meget interessante for gjennomføring av stordataanalyser. Slike analyser utfordrer den tradisjonelle praksisen knyttet til sekundærbruk av data, og den reiser nye problemstillinger for personvernet. Disse problemstillingene kan være utfordrende for både den enkelte og for de som skal vurdere om denne bruken av data skal tillates eller ikke.

Med endringene kommer det nye muligheter, men også nye trusler og konsekvenser for hver enkelt registrert. Det er en grunnleggende forutsetning for å ta i bruk nye muligheter at man først har forstått risikoen og hvilke konsekvenser mulighetene medfører. Bare slik kan man sørge for at behandlingen av opplysninger skjer på en lovlig og trygg måte.

Datatilsynet anser det også som en betydelig utfordring at helsesektoren og befolkningen ikke nødvendigvis har riktig forståelse av hva retten til personvern og personopplysningsvern innebærer. Det er stadig et fokus på konfidensialitet, taushetsplikt og argumentasjon om «data på avveier». Manglende forståelse av andre sikkerhetsaspekter som integritet og tilgjengelighet skaper «konflikter» mellom effektiv helsehjelp og plikt til personopplysningsvern. Datatilsynet bør derfor arbeide med å etablere en korrekt forståelse av behovet for og viktigheten av personvernbeskyttelse – både i befolkningen, i helsesektoren og hos beslutningstakere.

1.3.4 Skole, barn og unge

I 2018 er barn og unges liv og hverdag for en stor del gjennomregistrert. Personopplysninger registreres og lagres på helsestasjonen, barnehagen og skolen. Gjennom atferdsanalyser, læringsplattformer og -ressurser, pc-er og andre nettilkoblede enheter samles personopplysninger inn av ulike aktører med forskjellige hensikter.

Fra et personvernperspektiv reiser dette problemstillinger knyttet særlig til hvilke muligheter barn og unge har for å skape og opprettholde ulike roller i ulike sammenhenger, muligheten de egentlig har til å starte med blanke ark den dagen de får samtykkekompetanse, og faren for at det i stadig større grad lagres unødvendig overskuddsinformasjon som skulle vært slettet.

Personvern handler på mange måter om vår rett til å skape og opprettholde ulike roller, og bestemme hvilken informasjon om oss som skal tilflyte de personene vi har en relasjon til når vi utøver de respektive rollene. For å danne vårt «selv» er det essensielt å ha muligheten til å opprettholde og skille mellom de ulike rollene man har. For barn og ungdom dreier dette seg om roller som for eksempel datter/sønn, søster/bror, elev, venn, konkurrent på fotballbanen, deltaker på fritidsarrangement, bekjent på sosialt medium og så videre.

Dersom opplysninger om barn bare akkumuleres, aldri slettes og er tilgjengelig uavhengig av relasjon, får barna aldri noen mulighet til å sjonglere sine ulike roller. Noen ganger er det også nødvendig å kunne starte på nytt og uten ballast i form av en bestemt karakteristikk. Dette er vanskelig dersom informasjonen forfølger oss gjennom livet uten at vi har mulighet til å slette eller endre den. Andre ganger er det slik at registrerte opplysninger faktisk gir et feil bilde av en person eller en situasjon. Da må det være rom for å kunne rette opp i dette bildet.

Nettbrett er nyttige verktøy for skolearbeid, men de lagrer også geolokasjon og annen metadata om bruk som gjør at læreren vet både hvor og når leksene ble gjort. Dette er overskuddsinformasjon som skolen får fordi de digitale læremidlene samler dem inn som standard – ikke fordi den er blitt etterspurt som nødvendig. Overskuddsinformasjon får lærerne for eksempel også når elevene som en del av leksen filmer og gjør lydopptak hjemme, og slik åpner opp privatsfæren i hjemmet for både lærere og medelever.

Som del av kommunens tjenester skal det som foregår i skolen dokumenteres og evalueres. Dette betyr at mye av det elevene foretar seg blir gjenstand for arkivering og lagring i for eksempel elevmapper. Vi vet ikke nok om hva som lagres i elevmappene til norske elever, men gjennom klager og avviksmeldinger er det et overordnet inntrykk at kommunene ikke har gode nok rutiner for opprydding og sletting av informasjon som ikke lenger er relevant og nødvendig. Slik opprydding er særlig viktig ved overgangen mellom skoler eller mellom barnehage og skole.

Kommuner, og andre forvaltningsorganer som behandler personopplysninger om barn og unge, må finne en måte å organisere den digitale verden på slik at det er mulig å skille mellom ulike roller, at det er mulig å starte med blanke ark når det er nødvendig og at man kan korrigere opplysninger som gir et feilaktig inntrykk.

I 2018 ble det satt ned et utvalg som skal utrede en ny arkivlov (Arkivlovutvalget). Her har vi kommet med innspill og vi vil følge opp blant annet behovet for bestemmelser knyttet til lagringsbegrensning og dataminimering. Dette er relevant for skolesektoren fordi Datatilsynet årlig mottar henvendelser fra privatpersoner som ønsker å få slettet opplysninger i elev- eller personalmapper i skolen, men som ikke får medhold fordi kommunen mener opplysningene må lagres i henhold til arkivloven. Sakene dreier seg ofte om opplysninger som oppleves som svært private. I tillegg har opplysningene begrenset eller ingen verdi som dokumentasjon. Datatilsynet vil jobbe for at det fortsatt skal være mulig å få slettet opplysninger når dette er forsvarlig og balansert mot arkivhensyn.

Kommunen har også plikt til å ha en plan for å forebygge mobbing, og noen ender opp med ferdiglagede undersøkelser som ikke nødvendigvis tilfredsstiller kravene i personvernregelverket. Noen undersøkelser gir inntrykk av at elevene kan svare anonymt, mens de i realiteten lett kan gjenkjennes på svaret eller ved bakgrunnsinformasjonen som gis. Andre undersøkelser går langt i å oppfordre elevene til å navngi medelever som de mener har en uakseptabel oppførsel. Når informasjonssikkerheten ved gjennomføringen av undersøkelsene i tillegg er utilfredsstillende, og det gis liten eller ingen informasjon til de foresatte, så er dette i sum undersøkelser som i liten grad ivaretar barnas personvern.

Barn og unge har også krav på personvern. Den nye personopplysningsloven med personvernforordningen gjør dette tydelig ved at det stilles særskilte krav til samtykke fra barn, og særskilte krav til informasjon til barn og til behandling av personopplysninger i informasjonssamfunnstjenester (sosiale medier). Vilkårene for å behandle personopplysninger på en måte som innebærer profilering og automatiserte avgjørelser, er også strengere når målgruppen er barn.

Læringsanalyse er et område hvor vi som samfunn må ta noen valg hva gjelder hvor langt inn i privatsfæren til barn skoleeier og andre skal tillates å gå. For å ivareta barnas rett til personopplysningsvern, må det settes noen grenser for hvor langt det offentlige kan gå i sin analyse av barnas adferd. Morgendagens barn skal også kunne ha privat kommunikasjon og bruke digitale hjelpemidler i tillit til at de har sin rett til privatliv i behold.

1.3.4.1 Gjennomførte aktiviteter

Sentrale høringsuttalelser

Datatilsynet har ikke kommet med noen uttalelser i endelige høringer på feltet skole, barn og unge i 2018. Vi vil likevel nevne to lovarbeider hvor vi har vært involvert i tidlig fase og som vi mener blir svært viktige å følge opp i 2019.

Arbeidet med nye læreplaner for grunnskolen

Høsten 2018 inviterte Utdanningsdirektoratet til å gi innspill til utviklingen av nye læreplaner for grunnskolen. Datatilsynet samarbeidet med Barneombudet og Medietilsynet om innspillene. I tillegg til å fremheve nettressursen Dubestemmer.no, som i over ti år har fungert for å øke barn og unges kunnskap om personvern, digital dømmekraft og nettvett, var noen av våre viktigste tilbakemeldinger følgende:

• Innholdet i begrepene «digitale ferdigheter og digital dømmekraft» må defineres nærmere.

• Opplæring i menneskerettigheter slik som personvern og FNs barnekonvensjon må inn i læreplanen.

• Kompetansemål i personvern og digital dømmekraft må formuleres og tilpasses nivå.

Forarbeidet til ny opplæringslov

Opplæringslovutvalget kom i 2018 godt i gang med sin utredning og Datatilsynet ble invitert til å komme med innspill til områder hvor personvern reiser aktuelle problemstillinger i skolesektoren. Vi løftet frem følgende problemstillinger:

1. Kommunene må styrke sin kompetanse på personvern og informasjonssikkerhet. Kontroller vi har gjennomført av kommuner har tidligere vist at særlig skoleeier for grunnskolen (kommunene) ikke har den kompetansen som kreves for å etterleve personvernregelverket. Dette mener vi gjelder fortsatt, og det er behov for å innføre tiltak for å redusere kompetansegapet.

2. Bruk av læringsanalyse må lovreguleres og begrenses slik at den ikke utfordrer barns rett til privatliv og personopplysningsvern. Uregulert bruk av læringsanalyse åpner for en altomfattende registrering av opplysninger om hvem barna er, hva de gjør, hva de kan, hvem de samarbeider med (og ikke).

3. Behovet for en atferdsnorm for skolen må vurderes. Med atferdsnorm (tidligere kalt bransjenorm) mener vi et regelsett utarbeidet spesifikt for skoleeier. En slik norm vil gi konkrete regler og retningslinjer for hvordan kommunene skal innrette seg for å etterleve kravene i det nye personvernregelverket.

Saksbehandling

Vi har gjennom avviksmeldingene som har kommet inn sett at det er en rekke hendelser som berører barn og unge i skolen. Vi har blant annet sett flere tilfeller knyttet til mangelfull tilgangsstyring til informasjonssystem med opplysninger om elever, herunder læringsplattformer og skoleadministrative system, men også manglende tofaktorautentisering, menneskelig svikt og manglende rutiner går igjen:

I et av avvikene hadde elever overvåket en lærers kontorpult og pc med kamera, og dermed kunnet se vedkommendes passord. De hadde deretter gått inn og endret karakterer og vitnemål. Dette kunne ha vært unngått dersom det hadde vært på plass tofaktorautentisering, det vil si at læreren i tillegg til brukernavn og passord, hadde et engangspassord for å logge inn på skolens systemer.

I året som gikk fikk vi også inn en avviksmelding fra Oslo kommune vedrørende en app som skal brukes til kommunikasjon mellom skole og hjem. Avviket var knyttet til at man kunne se og endre andres meldinger. Denne saken er fortsatt under behandling hos oss.

Vi har også behandlet en sak om en hendelse hvor filer med brukernavn og passord til over 35 000 brukere i Bergen kommune har ligget tilgjengelig for elever og ansatte i grunnskolen. Det har vært mulig å logge seg inn på skolens ulike informasjonssystem som en elev, ansatt eller administrator på skolen, og dermed få tilgang til personopplysninger om andre elever og ansatte. Datatilsynet vurderte at den manglende ivaretakelsen av informasjonssikkerheten har ført til at personopplysninger om svært mange barn i grunnskolen i Bergen har vært eksponert. Det ble derfor sendt varsel om overtredelsesgebyr på 1 600 000 kroner til Bergen kommune rett før årsskiftet. I vurderingen er det blant annet lagt vekt på at kommunen ikke hadde etablert tofaktorautentisering for innlogging i eFeide, selv om den hadde kunnskap om at det burde tas i bruk.

Vi mottar også avviksmeldinger som skyldes manglende metodikk eller planlegging for igangsetting av digitale tjenester. I en av avviksmeldingene vi har mottatt kom det frem at ved skifte av saksbehandlingssystemet i en kommune ble tilgangsstyringen ikke videreført fra det gamle systemet til det nye. Dette medførte at alle de ansatte kunne få tilgang til personopplysninger om alle kommunens innbyggere, som blant annet også omfattet elever og barn innen barnevernet. Manglende tilgangsstyring burde ha blitt oppdaget i forkant ved blant annet testing av system, integrasjon og sikkerhet.

Mange av avviksmeldingene vi mottar skyldes menneskelig svikt eller mangelfulle rutiner ved utsendelse av e-post og brev. Det blir sendt ut referater eller rapporter med beskyttelsesverdig informasjon om barn til enten feil mottaker eller til flere mottakere enn det skulle ha vært.

Det er mye læring for den enkelte virksomhet i det å gjøre feil. Som illustrerende eksempel kan vi nevne saken om en rektor som skulle sende ut to e-poster med vedlegg; en e-post til alle foreldre på skolen med referat fra siste FAU-møte, og en e-post med referat fra et samarbeidsmøte med skolens ledelse og foresatte til en elev – til kun elevens foresatte. Rektoren hadde lastet ned referatene fra det skoleadministrative systemet til sin pc. Ved utsendingen av de to e-postene valgte han feil vedlegg. Han sendte ut referatet fra samarbeidsmøtet til mellom 800 og 1000 foresatte. Referatet inneholdt følsomme/sårbare opplysninger om eleven. Skolen og kommunen iverksatte ulike tiltak for å håndtere avviket. Det medførte særlig to endringer av rutiner:

• Referater med sensitive eller sårbare opplysninger skal ikke sendes i e-post, men i brevpost i påvente av bedre systemer for sikker sending av elektronisk kommunikasjon.

• Referater som skal ut til alle foresatte skal ikke sendes på e-post, men legges på skolens nettsider. Deretter kan skolen eventuelt sende ut SMS til alle foresatte om at ny informasjon ligger på skolens nettside.

Øvrige aktiviteter

Veiledning

Vi har gjennomført mye veiledning i 2018 der temaet har vært skole, barn og unge. Det har vært møtevirksomhet, skriftlig veiledning per brev eller e-post og muntlig veiledning per telefon. Vi har også holdt foredrag og deltatt på seminarer.

De som ber om veiledning er typisk kommuner, personvernombud eller virksomheter som skal tilby tjenester/programvare til kommuner.

Eksempler på tema som går igjen i veiledningsarbeidet er:

• utøvelse av rettighetene etter personvernregelverket, slik som innsyn i eller retting og sletting av opplysninger som er registrert i elevmapper

• spørsmål om informasjonssikkerheten i læringsplattformer og annen programvare som barnehage- og skoleeiere tar i bruk

• utlevering av klasselister

• robot i undervisningen

• barnehage- og skolefotografering

• kartlegginger og undersøkelser i barnehage og skole

Samarbeid med andre etater

Vi ser stadig verdien av å samarbeide med andre tilsynsmyndigheter og ombud på ulike felt. I 2018 har vi på feltet skole, barn og unge hatt flere ulike samarbeid med både Barneombudet, Forbrukertilsynet, Forbrukerrådet og Medietilsynet.

Du Bestemmer

Vi har i meldingsåret fortsatt vårt formelle samarbeid med Utdanningsdirektoratet om å heve barn og unges kompetanse om personvern, nettvett og digital dømmekraft. Nettressursen dubestemmer.no er her en viktig kanal for å nå frem til elevene med informasjon om personvern og rettigheter.

Prosjektet innebærer løpende arbeid med nettsidene, foredragsvirksomhet og mediearbeid. I løpet av 2018 ble tjenesten utvidet med to nye filmer – en om aldersgrenser i sosiale medier for aldersgruppen 9–13 år, og en om personvern og regelverk for aldersgruppen 14–18 år. Det ble dessuten satt i gang et større kartleggingsarbeid for å lage et godt kunnskapsgrunnlag for videre utvikling av nettjenesten. Dette innebar blant annet en brukerundersøkelse – resultatene av dette arbeidet vil være klart våren 2019.

1.3.4.2 Ressursbruk

Arbeid med skolesektoren og tilbydere av digitale verktøy til denne sektoren, tar mye tid for minst tre ansatte. Avviksmeldinger som gjelder skolesektoren har også vist seg å være tidkrevende å behandle da handlingsforløpene er uoversiktlige og tar lang tid å få beskrevet tilstrekkelig. Teknologien som er i bruk er også ofte kompleks med tanke på relasjoner mellom ulike fagsystem og tilganger gitt i de ulike systemene. Arbeidet med avvikssaken som gjaldt Bergen kommune innebar at to ansatte brukte store deler av arbeidskapasiteten sin på denne ene saken i omlag to måneder.

1.3.4.3 Vurdering av måloppnåelse

Vi har brukt mer tid enn normalt på veiledning til behandlingsansvarlige og databehandlere i denne sektoren det siste året. Dette er en riktig prioritering og er forankret i vårt strategiske mål om å arbeide for at virksomheter blir kompetente, forstår viktigheten av godt personvern og etterlever regelverket. Både skoleeiere og virksomheter trenger veiledning i det nye regelverket, og vi har inntrykk av at tilsynets fokus på å dele informasjon har blitt positivt mottatt i en periode hvor det er mye usikkerhet knyttet til tolking av det nye regelverket. Vi mener vi i 2018 har hatt god måloppnåelse på dette punktet i strategien.

At det blir brukt forholdsvis mye tid på behandling av avviksmeldinger i starten av en ny lovanvendelse, mener vi er riktig. Dette arbeidet er forankret i vårt strategiske mål om å være et kompetent og fremtidsrettet tilsyn. Det er viktig at de avgjørelsene som blir tatt er grundig vurdert og at omverdenen opplever at Datatilsynet bruker sanksjonsapparatet i personvernforordningen på en rettferdig måte. Vi mener vi har hatt god måloppnåelse på dette strategiske punktet i 2018.

Vi har også jobbet aktivt med innspill til nye læreplaner i grunnskolen. Dette arbeidet er forankret i vårt strategiske mål om å arbeide for at individet i større grad kan ivareta sitt eget personvern. Vi har opplevd å få godt gehør for våre innspill om å få personvern inn i undervisningen i grunnskolen og vil følge dette arbeidet tett også i 2019. Vi mener derfor vi har hatt god måloppnåelse på dette punktet også.

1.3.4.4 Fremtidige utfordringer

Som nevnt innledningsvis er det mange problemstillinger knyttet til personvern for barn og unge, og særlig innenfor skolesektoren. Dette er problemstillinger som vil fortsette inn i 2019.

Å ivareta barn og unges personvern i og utenfor skolen er grunnleggende for å opprettholde vårt demokratiske samfunn. Det er essensielt i oppveksten å kunne ha mulighet til å opprettholde og skille mellom de ulike rollene man har i alle mulige sammenhenger.

Synet på hvordan vi lærer er i endring. Synet på hva elever i norsk skole skal lære på skolen er også i endring. Akkurat disse endringene skjer imidlertid ikke så fort. Dette står i sterk kontrast til endringstakten i utviklingen av digitale læringsmidler. Mulighetene for skoleeiere til å ta i bruk digitale læringsmidler i form av både maskinvare og programvare er nærmest uendelige, og valgmulighetene blir bare flere.

Digitalisering av prosesser kan på mange måter bedre både informasjonssikkerhet og personvern. Eksempler på dette er tilrettelagte innsynsportaler hvor elever og foresatte kan få oversikt over hva skoleeieren har lagret av opplysninger om dem. Når det gjelder informasjonssikkerhet muliggjør digitaliseringen en mer presis tilgangsstyring, slik at bare de med saklig grunn har tilgang til personopplysninger.

Det er likevel en forskjell på digitalisering og effektivisering av prosesser som er kjente og som vi kan ha en viss kontroll over, og det å ta i bruk verktøy som vi ikke har forutsetning for å overskue konsekvensene av. Verktøy for læringsanalyse kan være et slikt eksempel hvis vi ikke setter de riktige rammene for bruk av teknologi.

Målet med læringsanalyse er å skape læring som er skreddersydd til den enkelte elev. Hensikten er god, men fra et personvernperspektiv er det en utfordring at for å få til dette er det nødvendig å innhente, lagre og analysere store mengder detaljerte opplysninger om elevens adferd på og utenfor skolen. Med «opplysninger om eleven» snakker vi ikke lenger bare om resultater på prøver. Det dreier det seg om alle mulige spor som eleven etterlater seg ved bruk av digitale hjelpemidler; ferdige og halvferdige arbeider og produksjoner, metadata om arbeid (når, hvor, hvordan, hvor lang tid og så videre), kommunikasjon med lærer og andre elever, eller filming og lydopptak på skolen og hjemme for å nevne noe.

Utviklingshastigheten på dette området er høy, og mange verktøy for å utføre læringsanalyse finnes allerede. Regelverksutviklingen på området står i sterk kontrast til dette tempoet. Opplæringsloven er fra 1998. Det var det året Google ble grunnlagt. 20 år etterpå er «google» et verb, mens ord som reflekterer den digitale hverdagen i skolen er helt fraværende i det regelverket som skal sette en ramme for hele opplæringssektoren.

Det er satt i gang et arbeid med å utrede en ny opplæringslov, og dette er et arbeid som Datatilsynet vil følge fremover. I mellomtiden skal imidlertid alle skoleeierne ta valg om innkjøp av verktøy som skal gjøre skolehverdagen mer relevant og interessant for elevene. Det er på det rene at læringsanalyse brukt til sitt fulle potensiale utfordrer barn og unges personvern. Da er det en bekymring at mange av de som tilbyr verktøyene til skolene ikke har noen egeninteresse i å sette grenser for hvor langt inn i privatsfæren til elevene de digitale verktøyene skal gå, mens skoleeierne på sin side ikke stiller krav om at verktøyene som skal tas i bruk er bygd etter prinsippet om innebygd personvern. Skoleeiere må skaffe seg kompetanse for å stille de nødvendige krav til leverandørene slik at verktøyene de tar i bruk ikke krenker barnas personvern. Skoleeieren må også ha nødvendig kompetanse for å sørge for tilstrekkelig informasjonssikkerhet slik at tallet på sikkerhetsavvik kan gå ned.

1.3.5 Personvernombudsordningen

Vi har i Norge hatt en ordning med personvernombud helt siden innføringen av den forrige personopplysningsloven, det vil si fra 2001. Det nye personvernregelverket innebærer imidlertid en betydelig endring og styrking av ordningen. Det er blitt obligatorisk å oppnevne personvernombud for de aller fleste statlige og kommunale virksomheter, men også for en rekke private virksomheter og organisasjoner.

I tillegg stiller det nye regelverket nå mye tydeligere krav til både personvernombudets kvalifikasjoner, uavhengighet og rammebetingelser for å kunne ivareta sine tydelig definerte oppgaver. Personvernombudet skal ivareta både en rådgivende og en kontrollerende funksjon, samtidig som vedkommende skal være et kontaktpunkt for Datatilsynet. Den behandlingsansvarlige skal sikre at personvernombudet involveres i alle spørsmål som gjelder vern av personopplysninger og at vedkommende har de ressurser som er nødvendig for å utføre sine oppgaver. Ombudet skal også ha en uavhengig rolle, som rapporterer direkte til det høyeste ledernivået hos den behandlingsansvarlige.

Som en følge av at personvernombudsordningen nå er blitt gjort obligatorisk for mange virksomheter har antall virksomheter med personvernombud nær doblet seg i forhold til året før. Ved utgangen av 2018 var det registrert 1 017 personvernombud som representerte 1 484 virksomheter.

1.3.5.1 Gjennomførte aktiviteter

Registrering av personvernombud

Behandlingsansvarlige og databehandlere som oppretter personvernombud har en plikt til både selv å offentliggjøre personvernombudets kontaktopplysninger og å meddele disse til Datatilsynet. Vi lanserte derfor i juli 2018 en ny registreringsløsning for personvernombud via Altinn. De aller fleste registrerer nå sine personvernombud via denne løsningen. Virksomheter som har et personvernombud som ikke er tilknyttet en virksomhet med norsk organisasjonsnummer, har vi imidlertid måtte følge opp via kommunikasjon over epost og deretter registrere manuelt hos oss. Dette utgjør rundt ti prosent av virksomhetene.

Vi vurderer den nye registreringsløsningen via Altinn som meget nyttig. Den gir en god og systematisert oversikt over alle personvernombudene til bruk i vårt eget arbeid. Vi har også en oversikt over ombudene på nettsiden vår som er til god hjelp for dem som ønsker å komme i kontakt med ombudet – for eksempel dersom de har spørsmål knyttet til den aktuelle virksomhetens behandling av deres opplysninger, eller om rettigheter de har i henhold til personvernlovgivningen. Ikke minst er oversikten også nyttig for personvernombud som ønsker å knytte kontakter med andre ombud innen sin bransje eller sitt nærområde.

Kompetansebygging

Våren 2018 arrangerte vi vårt siste grunnkurs for nye personvernombud, samt et mer videregående kurs om den nye personvernlovgivningen. Begge kursene var fulltegnet. I likhet med tidligere år arrangerte vi også et eget seminar for ombudene innen helse og forskning. Tilbakemeldingene var meget positive.

Vi vil likevel ikke lenger tilby disse kursene. Datatilsynet ser det som viktig at virksomhetene selv tar ansvar for at ombudene får tilegnet seg den faglige kunnskapen de har behov for, og det ligger ikke i Datatilsynets rolle at vi skal ta ansvar for denne typen grunnopplæring. Vi har imidlertid samarbeidet med ulike utdanningsaktører for å sikre at personvernombudene fortsatt har et godt utdanningstilbud om det nye personvernregelverket. Blant andre har BI og Høgskolen i Innlandet bygget opp egne deltidsstudier som gir studiekompetanse. Også flere andre aktører tilbyr ulike kurs og seminarer rettet mot personvernombudene.

Informasjon og nettverksbygging

Datatilsynet har gjennomført en rekke tiltak for å gjøre den nye ordningen kjent. Vi utarbeidet blant annet en omfattende veileder rettet mot virksomheter og en egen temaside på hjemmesiden vår. Vi lanserte også en enkel «personvernombudstest», der virksomhetene ved å besvare et knippe spørsmål fikk en vurdering av om de hadde plikt til å opprette ombud eller ikke.

Vi har etablert en egen intern kontaktperson for personvernombudsordningen. Vedkommende bistår både virksomheter som har spørsmål om selve ordningen, og personvernombud som søker råd når det gjelder utøvelsen av sin rolle. Vi hjelper også personvernombud til å komme i kontakt med andre ombud som de kan søke gjensidig støtte fra.

Det er blitt etablert flere ulike nettverksforum for ombudene, gjerne innen samme sektor, eller innen samme del av landet. Vi har prioritert å delta på samlinger i regi av slike nettverksgrupper.

1.3.5.2 Ressursbruk

Normalt har vi benyttet i overkant av ett årsverk i forbindelse med personvernombudsordningen. Første halvår av 2018 gikk det noe mer ressurser enn dette til å bygge den nye registerløsningen, samt til å utarbeide veiledningsmateriale og gi råd til behandlingsansvarlige om ordningen. Vi har etter dette redusert ressursbruken betydelig. Vi anslår at vi ved årskiftet brukte i underkant av et halvt årsverk på å jobbe spesifikt opp mot personvernombudsordningen, der det aller meste av ressursbruken knytter seg til registeringsløsningen.

1.3.5.3 Vurdering av måloppnåelse

Et viktig mål for Datatilsynet er at virksomheter skal bli kompetente, forstår viktigheten av gode personvern og etterlever regelverket. Vi skal også jobbe for å fremme personvernvennlig digitalisering, innovasjon og utvikling.

Personvernordningen er viktig for å nå disse målene. Da må virksomhetene sørge for å etterleve regelverket og faktisk opprette ombud, og ombudene må ha den kompetansen de trenger for å utføre rollen sin på en god måte.

Vi har sett en sterk økning i antall ombud, faktisk mer enn en fordobling sammenlignet med i 2017. Vi har opplevd svært stor interesse om vårt kurstilbud til personvernombudene, og de private kurstilbudene som er etablert kan notere seg for det samme. Det er også meget positivt at ombudene selv finner sammen i nettverk, og bidrar til hverandres kompetanseoppbygging. Vi har dessuten observert at mange virksomheter har lagt mye arbeid og ressurser i å ansette personvernombud. Vi ser også på det faktum at flere av Datatilsynets ansatte har blitt ansatt som personvernombud i sentrale virksomheter som positivt, og en måte å eksportere personvernkompetanse på.

Vi har erfaring med at virksomheter med personvernombud i større grad etterlever regelverket enn de uten, og at personvernombudene spiller en sentral rådgiverrolle for virksomhetens ledelse, selv om vi ikke har tall på dette.

Vi mener derfor vi har oppnådd målet vi satte oss i strategien på dette punktet.

1.3.5.4 Fremtidige utfordringer

Datatilsynet ser svært positivt på den store veksten i antall personvernombud. Det er imidlertid svært viktig at ombudene har den kompetansen som skal til for å utføre oppgavene sine på en god måte. Det er etablert en rekke private tilbud som tilbyr opplæring, fra korte kurs til studier med ulikt antall studiepoeng på høyskoler. Datatilsynet bidrar med foredrag på en del av disse, innen en ressursramme vi mener er forsvarlig. Det er imidlertid viktig å holde et øye med hvorvidt innholdet i kurstilbudene holder godt faglig nivå. Inntrykket så langt er at det er tilfelle.

Det er også viktig at ombudenes uavhengighet respekteres, samtidig som det understrekes at det er ledelsen i virksomheten som er ansvarlig for etterlevelse av regelverket. For oss blir det viktig å få dette budskapet fram i fall det oppstår diskusjoner om disse problemstillingene. Det er også viktig å understreke ombudenes rolle som kontaktperson for de registrerte.

Når regelverket tolkes av ombudet i førstehånd, kan det oppstå ulike fortolkninger av regelverket, selv innen samme sektor. Dette kan motvirkes med tett kontakt mellom ombudene.

1.3.6 Annen vesentlig aktivitet

1.3.6.1 Arbeidsliv

Arbeids- og oppdragsgivere behandler store mengder personopplysninger om ansatte, innleide, kunder og tredjepersoner. Personvern i arbeidslivet utfordres i særlig grad av at den teknologiske utviklingen har muliggjort flere metoder for kontroll, som igjen gjør det mulig å registrere arbeidsdagen til de ansatte i detalj. Arbeidsliv er et de fagområdene der Datatilsynet mottar flest henvendelser med behov for veiledning om.

Typiske problemstillinger er innsyn i e-post og sletting av epostkasse, sletting av dokument i personalmappe, GPS-sporing av yrkessjåfører, tilgangskontroll og så videre. Det har vært behandlet et relativt høyt antall saker og henvendelser innenfor dette temaet. En sak som fikk oppmerksomhet i media gjaldt overvåking av de ansatte hos Telenors kundesenter. Datatilsynet kom i den saken til at virksomhetens praksis med skjermopptak var ulovlig.

I meldingsåret endte tre arbeidslivsrelaterte saker med overtredelsesgebyr på 75 000 kroner. To av sakene gjaldt ulovlig innsyn i e-post og manglende sletting av epostkasse, og en sak gjaldt kartlegging av en ansatts telefonsamtaler ved gjennomgang av spesifisert faktura.

Personvernnemnda behandlet høsten 2018 en sak om sletting av dokument i personalmappe, der vårt vedtak om å ikke gripe inn, ikke ble opprettholdt.

Datatilsynet utarbeidet i 2017 en veileder om kontroll og overvåking i arbeidslivet i samarbeid med Arbeidstilsynet, Petroleumstilsynet og partene i arbeidslivet. I meldingsåret har vi arbeidet med å oppdaterer denne veilederen i henhold til nytt personvernregelverk. Den oppdaterte versjonen vil bli publisert i 2019.

1.3.6.2 Bank, forsikring og finans

Bank-, finans- og forsikringsbransjen behandler personopplysninger om de fleste. I sum er det store mengder med opplysninger, til dels av sensitiv og privat karakter. Bransjen leverer tjenester som er viktige både for den enkelte og for samfunnet som helhet. Som følge av digitalisering er bransjen i endring. Digitaliseringen gir muligheter for å samle inn mer informasjon om kunden, noe som gir grunnlag for andre risikoberegninger, mer prisdifferensiering og nye forretningsmuligheter.

Finansiell teknologi, populært kalt fintech, er i ferd med å bli stort. Det medfører at nye forretningsmodeller og nye aktører inntar sektoren. Innen bransjen er det et betydelig press på å utnytte flere og nye typer opplysninger om kundene til kommersielle formål.

EU innførte i januar 2018 det reviderte betalingstjenestedirektivet, PSD2. Dette vil medføre endringer i banksektoren. Direktivet åpner for at tredjepartsaktører kan initiere betaling og hente ut transaksjonsopplysninger direkte overfor bankene på vegne av kunden. Bankene må gi slike tredjeparter tilgang til å utføre disse tjenestene. Virkningen er blant annet at flere selskaper vil kunne være involvert i behandlingen av kundenes personopplysninger. Det forventes at direktivet tas inn i EØS-avtalen, og i løpet av 2018 ble direktivet førtidig gjennomført i norsk rett gjennom endringer i blant annet finansforetaksloven og med midlertidig forskrift om betalingstjenester. Ved utløpet av 2018 var disse reglene ikke trådt i kraft.

I løpet av meldingsåret har vi behandlet et stort antall saker innen sektoren. Flertallet av sakene er avviksmeldinger. Sakene har også omfattet noen konsesjonssøknader (før 20. juli) og klager fra enkeltpersoner. Disse har fortløpende blitt fulgt opp i henhold til vanlige rutiner.

De nye personvernreglene har ført til endringer for denne bransjen, særlig siden bruk av konsesjon har blitt avviklet til fordel for andre mekanismer – slik som økt bruk av atferdsnormer (bransjenormer). Vi har i løpet av året hatt jevnlig kontakt med bransjen som en del av deres og våre forberedelser til nytt regelverk.

Høsten 2018 mottok Datatilsynet utkast til atferdsnorm fra Finans Norge. Det er en norm for behandling av personopplysninger innenfor bank og finans. Behandlingen av dette utkastet har vært stilt i bero i påvente av varslede retningslinjer fra Det europeiske personvernrådet.

Det har også vært en rekke høringer som gjelder denne sektoren, blant annet om forskrift om betalingstjenester.

1.3.6.3 Forskning og utvikling

Formålet med Datatilsynets satsing på forsknings- og utviklingsarbeid, er å gi oss økt kompetanse til å sette personvernhensyn inn i en samfunnsmessig kontekst, samt til å fange opp trender og utviklingstrekk på et tidlig stadium. I tillegg ønsker vi å stimulere og støtte personvernrelevant forskning som kan gi positive samfunnsmessige ringvirkninger.

Samarbeid med informatikkmiljøet på NTNU Gjøvik

Datatilsynet har siden 2015 vært partner i Center for Cyber and Information Security (CCIS) ved Norges teknisk-naturvitenskapelige universitet (NTNU). Forskningsgruppen har Norges største akademiske fagmiljø innen informasjonssikkerhet.

Vi har regelmessig kontakt med professor Staal Vinterbo som sitter i et professorat dedikert til personvernspørsmål. Han disponerer kontorplass hos Datatilsynet, og vi har gjennom hans nærvær blitt kjent med forskningsprosjektene hans og hatt faglige diskusjoner som har beriket begge parter. Datatilsynet har holdt to forelesninger for bachelorstudenter på NTNU Gjøvik i 2018. I tillegg har vi bidratt med forelesninger ved OsloMet, Norges Handelshøyskole og NTNU i Trondheim.

Bistand til mastergradsstudenter

Vi har stilt kompetansen vår til rådighet for flere mastergradsstudenter som vil skrive om personvern, og vi har kommet med forslag til mastergradsoppgaver. Vi stiller også som veileder for studenter som skal skrive masteroppgave om innebygd personvern ved blant annet Institutt for Informatikk ved UiO.

Deltagelse i Norges forskningsråds arbeidsgruppe på digital sikkerhet (cybersecurity)

Datatilsynet er medlem av Forskningsrådets referansegruppe for Secure Societies som er knyttet til IKTPLUSS-programmet. Vi er også medlem av en arbeidsgruppe som er opprettet for å se spesielt på digital sikkerhet på tvers av forskningsprogrammene i Norges forskningsråd.

Deltagelse i referansegruppe i forskningsprosjekt om smart teknologi i hjemmet

Datatilsynet er medlem av referansegruppen til prosjektet RELINK i regi av Senter for velferds og arbeidslivsforskning (SIFO). SIFO fikk i 2018 utdelt 14 millioner fra Norges forskningsråd til et prosjekt som skal bidra til økt kunnskap og bevissthet om digital sikkerhet. Prosjektet skal se spesielt på teknologi vi har i hjemmene våre og som er koblet til internett. Prosjektet skal utføres i tett partnersamarbeid med blant annet Institutt for informasjonsteknologi ved OsloMet og Teknologirådet.

1.3.6.4 Informasjonsutveksling om tjenesteutsetting

Tjenesteutsetting (utkontraktering) blir stadig mer aktuelt, og er en naturlig del av vurderingen ved enhver IKT-avtale. Det er ingen tvil om at dette kan gi større fleksibilitet, bedre kvalitet og lavere pris. Samtidig er det noen utfordringer knyttet til tjenesteutsetting, særlig er grundige risikovurderinger helt sentralt.

Som en del av behandlingen av saken mot helseforetakene i Helse Sør-Øst, tok tilsynet initiativ til kontakt med andre offentlige etater som også har jobbet med spørsmål knyttet til utkontraktering og risikotenking. I fellesskap avdekket vi at vi i for stor grad satt på hver vår tue, og at informasjonsutvekslingen og kompetansedelingen kunne bli bedre. Etter dette hadde Helsetilsynet, Nasjonal Sikkerhetsmyndighet, Direktoratet for e-helse og Finanstilsynet flere møter, der hensikten kort og godt var å dele informasjon og erfaringer om hver etats arbeid. Flere av disse myndighetene sa at de ville levere innspill til sine overordnede departementet om samme tema.

Vi opplevde denne informasjonsutvekslingen som svært nyttig, og ønsket å invitere til et miniseminar om utkontraktering og risikovurderinger. Tanken var å orientere om hva hver enkel myndighet har gjort på dette området. Vi var også kjent med at andre departementer og deres underordnede organer sitter med kunnskap og erfaring som vi håpet kunne deles på et slik miniseminar.

1.3.6.5 Justis

I justissektoren møter vi tungtveiende hensyn som taler for at staten skal kunne gjøre inngrep i enkeltpersoners rettssfære. Ofte skjer dette uten den enkeltes medvirkning og med begrenset rett til informasjon. Enkeltpersoner kan dermed ha begrensede muligheter til å ivareta sine interesser. På disse områdene er det derfor særlig viktig at tilsynsmyndighetene ser til at folks rettigheter ivaretas.

Politiregisterloven og -forskriften regulerer politiets og påtalemyndighetens behandling av personopplysninger. SIS-loven og utlendingsloven har regler om informasjonssystemene som brukes i Schengen-samarbeidet. Disse regelverkene gir Datatilsynet en sentral rolle som kontrollør av at personvernregelverket på disse områdene etterleves.

I løpet av 2018 behandlet vi en rekke saker innenfor justissektoren. Mange av disse er høringer. Vi mottok også klager fra enkeltpersoner som blant annet gjaldt innsyn og sletting i SIS-registret og politiregistrene.

Vi har også fulgt med på hvilke nye virkemidler som er tatt i bruk i sektoren. Både politiet og tollvesenet har tatt i bruk analyseverktøy fra det amerikanske selskapet Palantir. Disse systemene er kraftige verktøy som kan innebære en utfordring for personvernet.

Innspill til personvernkommisjonen

I august gav vi våre innspill til mandat til den planlagte personvernkommisjonen. Der fremhevet vi justissektoren som et område som vi mener bør være sentralt, og da særlig tiltak som innebærer overvåking av befolkningen. Vi viste til at det er viktig at kommisjonen ser på det presset som det samlede omfanget av tiltak setter på personvernet, og påpekte at kommisjonen bør løfte blikket og legge grunnlaget for en debatt om hva slags samfunn vi ønsker og hvor langt det er riktig å gå når det gjelder å begrense innbyggernes frihet.

Forslag til ny lov om etterretningstjenesten – digitalt grenseforsvar

Regjeringen kom i november 2018 med et høringsnotat med forslag til ny lov om etterretningstjenesten. Forslaget omfatter det departementet kaller «tilrettelagt innhenting av grenseoverskridende elektronisk kommunikasjon», det om tidligere ble omtalt som digitalt grenseforsvar.

I realiteten handler dette om hvorvidt etterretningstjenesten skal gis tilgang til å samle inn enorme mengder opplysninger om alminnelige borgeres bruk av telefon og internett. Vi gikk umiddelbart i gang med å gjennomgå forslaget og utarbeide høringssvar, og vi vil ferdigstille vårt innspill i februar 2019.

I vårt høringssvar til Lysne II-utvalgets rapport om såkalt digitalt grenseforsvar (DGF) i 2017, tok vi sterkt til orde for at utvalgets forslag ikke burde gjennomføres. Forslaget innebar masseovervåking slik vi vurderte det. Sentrale grunner til at vi var imot forslaget var forholdet til Den europeiske menneskerettighetskonvensjonen (EMK) og Grunnloven, hvor inngripende og omfattende tiltaket var, formålsutglidning og den såkalte nedkjølingseffekten.

I innspillet vårt til den planlagte personvernkommisjonen, tok vi som nevnt over opp at justissektoren bør være et sentralt område i arbeidet, og da særlig tiltak som innebærer overvåking av befolkningen. Da høringen om etterretningstjenesten kom fra Forsvarsdepartementet, sa vi ifra om at vi mener det er uheldig at departementet har gått videre med forslaget om digitalt grenseforsvar uten å vente på at personvernkommisjonen har sluttført sitt arbeid.

Tilsynet planlegger å legge stor innsats i å bidra til debatten om digitalt grenseforsvar i 2019.

Schengen-evaluering av Norge

Schengen-samarbeidet bygger på Schengen-konvensjonen av 1985 som Norge sluttet seg til i 1996. Konvensjonen skal styrke det europeiske samarbeidet om kontroll av de ytre Schengen-grensene. Den innebærer felles visumregler, samt et styrket politimessig og rettslig samarbeid. Norge deltar også i det europeiske fingeravtrykksamarbeidet Eurodac. Datatilsynet er tilsynsorgan for den nasjonale behandlingen av personopplysninger i SIS (Schengen informasjonssystem) og VIS (Visa informasjonssystem).

Norges etterlevelse av Schengen-regelverket ble evaluert av en felleseuropeisk komité i november 2017. Evalueringen innebar en inspeksjon av vår etterlevelse av våre tilsynsoppgaver etter VIS og SIS. I tillegg ble KRIPOS og UDI, som behandlingsansvarlige for henholdsvis SIS og VIS, kontrollert.

I rapporten fra evalueringen ble det konkluderte med i alt 33 anbefalinger fra komitéen. Anbefalingene ble vedtatt høsten 2018. Datatilsynets uavhengighet, rettighetene til personer som er registrert i Schengen-databasene, og politiets tilgang til basene er blant temaene i anbefalingene til Norge.

Åtte av anbefalingene gjaldt særskilt for Datatilsynet. De gikk blant ut på å bedre informasjonen om de registrertes rettigheter på vår hjemmeside, samt at vi jevnlig må kontrollere lovligheten av behandlingen av opplysninger i VIS og SIS. Særlig må vi sørge for å oppfylle vår plikt til å gjennomføre et tilsyn med behandlingen av personopplysninger i VIS.

Datatilsynet vil i 2019 arbeide med å følge opp anbefalingene.

Fremtidige utfordringer

Den viktigste saken innen justissektoren fremover blir det som tidligere har vært omtalt som «digitalt grenseforsvar». Datatilsynet vil innta en aktiv rolle i debatten omring denne saken, og søke å få frem konsekvensene dette tiltaket vil kunne ha for samfunnet. Det arbeidet som personvernkommisjonen skal gjøre med å gjennomgå sektoren og gjøre opp status med hensyn til personvernets kår, blir også veldig viktig.

Det er ventet at det vil komme et lovforslag om behandling av personopplysninger i kriminalomsorgen. Dette vil vi gå nøye inn i. Datatilsynet mottar en del henvendelser fra innsatte i norske fengsel og ser at det er behov for å styrke personvernet til denne gruppen

1.3.6.6 Sosiale medier og valgkamp

Sommeren 2018 sendte partiet Høyre inn to avviksmeldinger til Datatilsynet. De gjaldt henholdsvis en hendelse hvor Høyres lister over medlemmer med opplysninger om medlemmenes navn, epostadresse og telefonnummer ble utlevert til Facebook, og en hendelse hvor også medlemmenes venneliste, samt opplysninger om fødselsdato og hjemby, ble lastet opp til en tredjepart som følge av at medlemmene la til en «ramme» på profilbildet. Hendelsene fant sted i 2013 og 2014.

Formålet med utleveringen var å opprette et egendefinert publikum («custom audience»). Dette er ifølge Facebook en tjeneste som gjør det mulig å målrette budskap/markedsføring til personer som ligner de følgerne virksomheten allerede har. Formålet med behandlingen av personopplysninger var å målrette budskap til andre enn de som allerede var medlemmer av Høyre. Dette understrekes av at det kom frem i den andre avviksmeldingen at medlemmenes vennelister ble utlevert sammen med flere detaljer om medlemmene selv.

Utfra redegjørelsene omkring de to første avvikene kom det frem et tredje avvik knyttet til utvikling og bruk av applikasjonen «Dugnad» benyttet i en valgkampkampanje i 2013 som Høyre kalte «100-timers kampanjen». Saksbehandling av de to første avvikene ble ganske raskt avsluttet. Den videre oppfølgingen av avvikene i forbindelse med bruk av applikasjonen «Dugnad», vil skje i 2019.

1.3.7 Nasjonale samarbeidsrelasjoner

Datatilsynet har utstrakt kontakt med andre aktører. Nedenfor følger en oversikt over vår mest sentrale deltakelse i nasjonale fora.

I tillegg til disse kommer det et stort antall kontaktmøter med ulike aktører og samarbeid av mer kortvarig art. Vi har også avtaler om faglig samarbeid med flere sentrale statlige virksomheter.

Aktørforum e-signatur

Nasjonal kommunikasjonsmyndighet (Nkom) samler aktørene innen e-signaturområdet til aktørforum. Hovedtema er EU-kommisjonens forslag til forordning om blant annet e-ID og e-signatur. Aktørforumet skal systematisere kontakten mellom aktørene, og Datatilsynet har fulgt opp arbeidet i forumet.

Direktoratet for e-helse

Det har vært jevnlige møter mellom Datatilsynet og direktoratet i 2018, både på direktørnivå og på saksbehandlernivå. Nye løsninger presenteres og drøftes løpende med Datatilsynet.

Helsedataprogrammet ligger også under ansvarsområdet til Direktoratet for e-helse. Vi har deltatt i referansegruppen og i en av arbeidsgruppene i programmet.

Direktoratet har sekretariatet for Normen.no, og det er også i den forbindelse mye kontakt. Vi har deltatt som observatør i styringsgruppa til Normen. Vi har også hatt jevnlige møter med sekretariatet gjennom året og har diskutert nødvendig endringer i Normen opp mot de nye personvernreglene.

Direktoratet for forvaltning og IKT (Difi)

Datatilsynet har et godt samarbeid med Difis kompetansemiljø innenfor informasjonssikkerhet. Vi har en del overlappende ansvarsområder, og samarbeider med dem om ulike tema slik som blant annet veiledere for internkontroll og informasjonssikkerhet. I tillegg har vi bidratt med veiledning i personvernspørsmål når det gjelder bruk av sosiale medier i offentlig forvaltning.

Nasjonal sikkerhetsmyndighet (NSM)

Datatilsynet har et godt samarbeid med NSM. Vi har en del overlappende ansvarsområder, og samarbeider med dem om blant annet veiledere og anbefalinger innenfor informasjonssikkerhet.

Folkeregisterprosjektet

Det er viktig for Datatilsynet å følge med på utviklingen av hvordan Folkeregisteret kommer til å se ut i fremtiden. Vi har per i dag med to representanter som bytter på å delta i referansegruppen, samt at vi har deltatt i enkelte møter i prosjektet. Problemstillinger knyttet til hvilke opplysninger som skal inn i registeret, er noe vi jevnlig må forholde oss til.

I 2018 har det vært særlig oppmerksomhet omkring utveksling av opplysninger om «fortrolig» og «strengt fortrolig» adresse, private aktører som distributører av Folkeregisteret, Folkeregisterets rolle som ID-forvalter, tilgangskontroll og borgertjenester i registeret.

Forumet «Stopp nettsvindelen»

Forumet drives av Norsk senter for informasjonssikring, NORSIS. Datatilsynet deltar sammen med flere andre sentrale offentlige og private organisasjoner. I forumet legges det vekt på presentasjon av trender, metoder og fremgangsmåter som svindlere benytter, slik som identitetstyveri og svindel. Det fokuseres på erfaringsutveksling, tiltak og virkemidler.

Helsedirektoratet

Det er jevnlig kontakt mellom Datatilsynet og Helsedirektoratet, både på direktørnivå og saksbehandlernivå. Datatilsynet deltok blant annet på direktoratets seminar for persontilpasset medisin i 2018.

ID-nettverket for en helhetlig ID-forvaltning

Datatilsynet deltar sammen med flere andre sentrale organisasjoner i dette nettverket. Hovedmålet til nettverket er å arbeide for en helhetlig ID-forvaltning i Norge, og for å forebygge kriminalitet for dermed redusere trusselen mot velferdsstaten. Datatilsynets deltakelse er viktig både for å ivareta personvernet i ID-forvaltningen, og for å bidra til at sikre løsninger etableres.

Kommunal Informasjonssikkerhet (KINS)

Datatilsynet har deltatt som samarbeidspartner i foreningen Kommunal Informasjonssikkerhet (KINS). Dette innebærer å delta på styremøter som observatør og bidragsyter, og å delta i planleggingen av KINS sine arrangementer. Vi bidrar også med foredrag eller som paneldeltakere på disse arrangementene. I 2018 gjennomførte vi ni todagerskurs over hele landet om den nye personvernlovgivningen for kommunene sammen med KINS, Direktoratet for e-helse, Difi og KS, med godt over tusen deltakere tilsammen.

Mobilitets- og teknologirådet

Samferdselsministeren leder rådet der Datatilsynet er representert ved direktøren. Rådet består av sentrale aktører i privat og offentlig sektor, og skal bidra til en felles forståelse av de mulighetene og utfordringene som ny teknologi i samferdselssektoren gir.

Nasjonalt råd for Facilitation – NAFAL

Datatilsynet har én representant i Nasjonalt råd for Facilitation (NAFAL), sivil luftfart. Rådets mandat er å fremme forslag til fastsettelse av standarder for effektiv gjennomstrømming av personer, bagasje og varer på lufthavner. Luftfartstilsynet koordinerer gruppen som har medlemmer fra tolv ulike myndigheter og virksomheter innen sivil luftfart.

Norsk Biometri Forum

Datatilsynet deltar i Norsk Biometri Forum som er et uformelt forum for presentasjon og diskusjon innenfor biometri. Det er lagt stor vekt på å få inn nye ideer, samtidig som møtene benyttes til orientering om pågående prosjekter innenfor offentlig og privat sektor.

I prinsippet er forumet åpent for alle interesserte innen offentlig sektor, næringsliv og forskning. Forumet møtes omtrent to ganger i året, og har deltakere fra departementer, direktorater og en del private bedrifter, samt NTNU i Gjøvik. Forumet arrangeres i tett samarbeid med Forum for Research and Innovation in Security and Communications (FRISC) og European Association for Biometrics (EAB).

Norsk konferanse for IKT i offentlig sektor (NOKIOS)

Datatilsynet har deltatt som samarbeidspartner og i programkomiteen for NOKIOS. Dette innebærer bade planleggingen av konferansen, og å være bidragsyter både når det gjelder innhold og gjennomføring. NOKIOS har etter hvert blitt en viktig arena der vi kan sette fokus på personvern i digitaliseringen av offentlig sektor. Vi bidro blant annet med kurs, foredrag og som paneldeltakere på konferansen i 2018.

Norsk senter for informasjonssikring (NorSIS)

Datatilsynet er representert i styret til NorSIS ved direktør Bjørn Erik Thon. Vi har mange overlappende ansvarsområder med NorSIS, og samarbeider derfor med dem om ulike tema, blant annet Nasjonal sikkerhetsmåned.

Samarbeidsprosjektet Du Bestemmer

Du Bestemmer er et formalisert samarbeid mellom Utdanningsdirektoratet og Datatilsynet. Sammen driver vi blant annet nettressursen dubestemmer.no som skal bidra til at barn og unge skal lære seg å ta kontroll over egne personopplysninger, og samtidig respektere andres opplysninger. Målet er å øke ungdoms kunnskap om personvern generelt, samt heve deres bevissthet om valg de gjør ved bruk av digitale medier – valg som gjøres på både egne og andres vegne. I 2018 ble det holdt to styringsgruppemøter, og det ble blant annet produsert to nye undervisningsfilmer.

Standardisering – komitédeltagelse

Vi deltar i komiteer for standardisering der arbeidet har direkte relevans for vårt arbeidsområde. Standarder er førende for virksomhetenes praksis, også når det gjelder behandling av personopplysninger. Formålet med deltakelsen i komiteene er å sikre kunnskap om pågående prosesser internasjonalt, påvirke fremtidige rammebetingelser, samt bidra til å påvirke relevante standarder med hensyn til personvern og informasjonssikkerhet. Det er også viktig å få innblikk i hvilken praksis som anses som god, samt å holde kontakten med fagmiljøet.

Datatilsynet deltar i fire komiteer:

• SN/K 171 arbeider i hovedsak relatert til ISO/IEC JTC 1/SC 27 IT Security techniques

• SN/K 175 Intelligente Transportsystemer (ITS)

• SN/K 188 Person-ID, kortsystemer, biometri, sikre signaturer, borgerkort

• SN/K 186 Læringsteknologi

1.4 Styring og kontroll i virksomheten

1.4.1 Mål- og styringssystemer

For å nå målsettingen om et godt personvern for alle, er det etablert ulike mål- og styringssystemer. Disse bygger på prinsippene i Finansdepartementets reglement for økonomistyring i staten. Plan-, strategi- og budsjettarbeid forankres i ulike prosesser der ledere, medarbeidere og tillitsvalgte deltar på ulike nivåer. Planleggingen påvirkes naturlig nok av interne og administrative forhold, slik som hvilke budsjett- og bemanningsmessige ressurser vi har til disposisjon gjennom året.

I tillegg til plandokumentene er det etablert støtte- og oppfølgingssystemer for å ivareta kravene til god økonomi- og virksomhetsstyring og ivaretakelse av kontrollansvar, og et årshjul som følges opp regelmessig i ledermøter. Utgangspunktet for Datatilsynets virksomhetsplanlegging er tildelingsbrev og virksomhetsinstruks fra departementet, tilsynets overordnede strategi og områdestrategier for delsektorer, erfaringer fra saksbehandlingen, tilsyns- og utredningsarbeid med mer.

Arbeidet med organisering og effektivisering inngår i kontinuerlige prosesser. I 2018 ble det innført nytt personvernregelverk, og forberedelsene til dette har hatt høy prioritet. Store ressurser er benyttet til å avklare og tilrettelegge for ny oppgaveløsning.

1.4.2 Datatilsynets risikostyring

For å sikre måloppnåelse og håndtere risikoer som kan hindre denne, utarbeider Datatilsynet risikovurderinger. Her er risikofaktorer og sannsynlighet for at identifiserte situasjonene oppstår listet opp. For hver risikofaktor er det satt opp tiltak for å redusere risikoen. Disse benyttes for å sikre en helhetlig måloppnåelse innen økonomi, personalpolitikk og informasjonssikkerhet.

2018 har vært et annerledes år for Datatilsynet og det ble av den grunn utarbeidet to risikovurderinger. En for perioden før EUs nye personvernforordning trådte i kraft (25.5.2018) og en etter implementeringen. I hovedsak innebar dette for første periode at alle vesentlige aktiviteter handlet om implementeringen av personvernforordningen og det å rydde plass til å møte nye regler. For den andre perioden var alle vesentlige aktiviteter knyttet til å håndtere det som kom av saker og henvendelser, samt å planlegge for et halvår med ny oppgaveløsning.

Den generelle vurderingen av risikofaktorer som var gitt «stor sannsynlighet» i 2018, og som ble vurdert med «alvorlig konsekvens», var knyttet til økt antall krevende forvaltningssaker og begrensede muligheter for å gi ansatte konkurransedyktige vilkår. Det ble iverksatt en rekke tiltak for å redusere risiko. Medarbeidere med personvernkompetanse er imidlertid meget attraktive i markedet både innen privat og offentlig sektor og det gir oss noen utfordringer som tiltak ikke evner å motvirke fullstendig.

For overordnet informasjonssikkerhet er ledelsen aktivt involvert i oppfølgingen av det som er identifisert som våre største IKT-risikoer.

1.4.3 Status internkontroll

Datatilsynets internkontroll følges opp for å sikre at kravene til virksomheten etterleves. Arbeidet med IKT-driftsdokumentasjon og IKT-styringssystem er videreført, og en rekke tiltak er fulgt opp.

Datatilsynets årshjul er utvidet til også å omfatte plan for oppfølging av internkontrollaktiviteter og rapporteringspunkter i henhold til denne. Årsplanen gir en oversikt over oppgaver og frister knyttet til ulike plan- og kontrolloppgaver. Ledere og øvrige som er gitt ansvar for oppgavene oppdaterer planen, og rapporterer om gjennomførte tiltak og eventuelle avvik som må følges opp.

Årsplanen og behov for oppfølging av avvik drøftes regelmessig i tilsynets ledermøter.

1.4.4 Fellesføringer 2018

En fellesføring i 2018 har vært at offentlige oppdragsgivere, som innkjøpere av varer og tjenester, har et særskilt ansvar for å motvirke arbeidskriminalitet og derfor må følge opp pliktene som er pålagt dem gjennom lov om offentlige anskaffelser. Vi har vurdert risikoen for arbeidskriminalitet til å være lav knyttet til våre kontrakter. Vi benytter blant annet statlige rammeavtaler, har avtaler med andre offentlige tjenestetilbydere, utlyser større anskaffelser med vilkår i Doffin. Vi har rutiner for å regelmessig kontrollere at regelverket om lønns- og arbeidsforhold knyttet til godkjent renholdsleverandør følges, og for å sikre at leverandørene etterlever regelverket.

1.4.5 Bemannings-, kapasitets- og kompetansesituasjonen

Personvernkompetanse har også i 2018 vært svært etterspurt, og det har vært en prioritert oppgave å forhindre at våre dyktige medarbeidere slutter. Vi har lagt vekt på at alle medarbeidere skal ha varierte og interessante arbeidsoppgaver, og at flest mulig skal involveres i arbeidet med nytt personvernregelverk. Vi har jobbet for å motivere medarbeidere og har hatt lav terskel for å si ja til kurs og konferanser. Vi har hatt jevnlige faglige påfyll for å heve kompetansen, vi har hatt sosiale arrangementer og vi har tilført midler til lønnsforhandlingene. Vi har også lagt til rette for økt bruk av hjemmekontor når det har vært hensiktsmessig for oppgaveløsningen.

Vi har måttet erkjenne at tilbud fra offentlige og private virksomheter har vært svært attraktive og flere har sett det som et riktig tidspunkt i sin karriere å gå nye veier. Det kan legges til at alle som har sluttet har valgt nytt arbeid innen personvernområdet og det er uansett positivt. Ved nyrekruttering promoterer vi arbeidsplassen vår og vektlegger verdien av å ha et godt arbeidsmiljø og et stort mangfold. Vi opplever til dels meget god søkning til vakante stillinger, både fra erfarne og nyutdannede, og Datatilsynet er fremdeles ansett å være en populær arbeidsplass å søke seg til.

1.4.6 Inkluderende arbeidsliv og HMS/arbeidsmiljø

Datatilsynet er omfattet av avtale om inkluderende arbeidsliv (IA). Denne avtalen følges opp gjennom HMS-arbeid og handlingsplan. I 2018 har vi hatt spesiell oppmerksomhet på forebygging og oppfølging av sykefravær. Det har vi lykkes bra med. Sykefraværet var 2,58 prosent i 2018 mot 3,68 i 2017. Samarbeidet med bedriftshelsetjenesten er videreført og vi har nå god erfaring med tilrettelegging og oppfølging slik at medarbeidere kan være i arbeid, og også komme raskt tilbake i arbeid etter sykdom. Tilsynet har også opprettholdt ordningen med å gi tilskudd til trening. Samarbeid mellom verneombud, tillitsvalgte og ledelsen medvirker til at IA-arbeid følges opp og at behov for å iverksette tiltak avdekkes.

Senhøsten 2018 startet tilsynet opp en organisasjonsgjennomgang som vil fortsette inn i 2019. Det ble også forberedt for gjennomføring av en medarbeiderundersøkelse ved bruk av verktøyet AVANT. Denne undersøkelsen ble gjennomført i januar 2019.

1.4.7 Ny lov om statens ansatte – revidering og modernisering av reglement og avtaler

I juli 2017 trådte Lov om statens ansatte i kraft og i 2018 har vi samarbeidet med organisasjonene om et nytt personalreglement, en ny lønns- og personalpolitikk og en ny tilpasningsavtale.

Personalpolitikken er forankret i arbeidskulturen og verdiene våre, og underbygger vår strategi og våre mål. Den inneholder tiltak for å rekruttere, utvikle og beholde kunnskapsrike og resultatorienterte medarbeidere, og skal bidra til at Datatilsynet oppfattes som en attraktiv arbeidsplass å søke seg til og utvikle seg i.

Personalreglementet er utarbeidet i henhold til Kommunal- og moderniseringsdepartets nye mal og regulerer forhold knyttet til ansettelse.

Formålet med tilpasningsavtalen er å tilpasse praktisering av medbestemmelse i Hovedavtalen for å legge til rette for et best mulig samarbeid mellom arbeidsgiver og arbeidstakere i Datatilsynet. Avtalen skal sørge for rett til reell innflytelse i samsvar med innholdet i Statens Hovedavtalen.

1.4.8 Likestilling og mangfold

Datatilsynet arbeider aktivt, målrettet og planmessig for å fremme likestilling og hindre diskriminering. Vi rekrutterer slik at vår arbeidsstyrke gjenspeiler mangfoldet i befolkningen og vi har en god balanse i forhold til kjønn, alder, etnisitet, nedsatt funksjonsevne, religiøs tilhørighet og livssyn.

Vi ser ikke at vi har ulikheter som gjør det nødvendig å iverksette særskilte tiltak overfor grupper eller personer. Vår vurdering er at alle gis like muligheter i vår organisasjon, og at det ikke har vært behov for å iverksette særskilte tiltak for å fremme likestilling eller hindre diskriminering utover det å søke å ha stort mangfold, god aldersspredning og en god kjønnsbalanse.

Vår lønns- og personalpolitikk har også i seg elementer som skal ivareta likestilling og mangfold. Vi erkjenner at ansatte er i ulike faser i livet (junior, karriere, senior), og at hver fase innebærer ulike behov. Den enkelte medarbeiders forutsetninger vil variere over tid, og vi som arbeidsgiver må derfor tilby den enkelte ulike tiltak i de ulike faser.

1.4.9 Arbeidet med samfunnssikkerhet

Vi har i meldingsåret gjennomført en intern sikkerhets- og beredskapsdag for alle ansatte. Målet var å heve bevisstheten vedrørende betydningen av sikkerhetsarbeid i en bred kontekst (HMS, beredskap, vår evne til å løse krevende situasjoner og informasjonssikkerhet). Det har også blitt gjennomført en beredskapsdag for Datatilsynets krisestab.

Datatilsynet har rutiner for å varsle om uønskede hendelser og kriser, og benytter UMS (Unified Messaging Systems) til dette arbeidet. Det gjennomføres regelmessig varslingsøvelser, og denne rutinen er en del av vårt internkontrollsystem.

1.4.10 Digitalt førstevalg

Datatilsynet har relativt lav digitaliseringsgrad i forhold til mange andre virksomheter i offentlig sektor, utnytter i beskjeden grad de offentlige felleskomponentene og er fremdeles dessverre avhengig av enkelte manuelle og analoge rutiner både i saksbehandling og veiledning/informasjon. Vi har fremdeles utfordringer med gamle løsninger og gamle og tungvinte, men helt nødvendige, sikkerhetsrutiner.

Det er viktig at Datatilsynet framstår som en pådriver og ikke en bremsekloss i digitaliseringsarbeidet i offentlig sektor. Dette bør vi selvsagt gjøre gjennom både ord og handling. Vi bruker enhver mulighet til å framsnakke gode digitaliseringstiltak, men det er et minst like viktig signal at vi også tar i bruk fellesløsninger og andre digitale løsninger selv.

Vi har tatt i bruk Altinn som kanal for to av våre tjenester; melding om avvik (brudd på personopplysningssikkerheten) og innmelding av personvernombud. Gjennom vår bruk av Altinn bruker vi selvsagt også ID-porten, Enhetsregisteret og Folkeregisteret. Dette er viktige og gode initiativ fra vår side i oppfyllelsen vår av digitalt førstevalg. Det er ingen tvil om at vi har en vei å gå før vi kan sies å være «heldigitalisert» og tilbyr gode digitale løsninger til de av våre bruker som ønsker dette.

Vi har som målsetting å løfte oss opp på et digitalt nivå der vi ikke nødvendigvis framstår som spydspiss i digitaliseringen, men at vi er på samme nivå som offentlig sektor forøvrig i det å tilby elektronisk kommunikasjon. Det er helt avgjørende at det vi i Datatilsynet tilbyr både er og oppleves som trygt og sikkert.

Det er også viktig for oss å være en del av digitaliseringsprosessene i offentlig sektor for å sikre at viktige personvernhensyn blir tatt og at løsningene blir personvernvennlige. Dette følger også av kravene i den nye personopplysningsloven, slik som krav til grundige utredninger av personvernkonsekvenser for samtlige løsninger, krav om at løsningene har innebygd personvern og at de har de mest personvernvennlige innstillingene som standard.

Ressursbruk

Til tross for at vi er en liten aktør og ikke er kommet langt nok i vår egen digitalisering, har vi brukt en del ressurser og oppnådd mange forbedringer i 2018. Vi har prioritert å gjøre forbedringer i alle våre løsninger for å forenkle publikums kontakt med oss, men også for å forbedre og forenkle vår egen saksbehandling. Vi har en egen IKT-ansvarlig som bruker omlag 60 prosent av sin tid på å planlegge, gjennomføre og følge opp digitaliseringstiltak og løsningsforbedringer. Nettansvarlig og arkivleder bruker også rundt 25 av sin tid hver til slike oppgaver. I tillegg kommer tid andre bruker i prosjekter og ledelsestid til denne type oppgaver. Vi har også brukt betydelige midler fra eget budsjett for å bli mer digitale og å nærme oss målet om digitalt førstevalg.

Vurdering av måloppnåelse

I Datatilsynets strategi heter det blant annet at vi skal være et kompetent og fremtidsrettet tilsyn. Vi har vurdert måloppnåelsen på dette området opp mot dette, selv om vi med rette kan si at gode og enkle digitale løsninger er med å underbygge oppnåelse av alle våre strategiske mål.

Vi har gjennom de tiltakene og forbedringene vi har gjort i 2018, bidratt til at vi har verktøy og hjelpemidler som støtter våre ansatte i å tilegne seg kunnskap og kompetanse for å kunne bli mer kompetente og framtidsrettede. Gode verktøy og løsninger er essensielt for å bidra til måloppnåelse på alle våre områder. Selv om vi ikke er der vi ønsker å være i digitaliseringsgrad, mener vi at vi i 2018 har bidratt til bedre måloppnåelse gjennom de forbedringene vi har gjort.

Gevinstrealisering

Å peke på direkte gevinster som enkelt er målbare knyttet til de tiltakene vi har gjennomført, er ikke helt enkelt. Men vi har forenklet prosessen med å melde avvik og med å melde inn personvernombud til oss, ved å ta i bruk løsninger i Altinn. Dette skaper gevinster hos næringsliv og offentlig sektor som skal melde til oss. Det at vi samtidig har forenklet og automatisert prosessen med å overføre disse meldingene inn i vårt saksbehandlingssystem, har også spart oss for egne ressurser ved at vi ellers ville måttet gjøre dette manuelt. Å vurdere den konkrete effekten av dette i et år der antall meldte avvik har økt med over 300 prosent, og vi har sett en nesten tilsvarende økning i antall innmeldte personvernombud, blir nærmest umulig. Det er likevel enkelt å trekke konklusjonen at de digitaliserings- og automatiseringsgrepene vi har tatt, har spart oss for minst ett årsverk – ett årsverk som vi i stedet har kunnet benytte til å opprettholde service på andre områder.

Framtidige utfordringer

Selv om vi har en vei å gå, jobber vi ufortrødent videre med å øke digitaliseringen av våre tjenester og løsninger. Vi har planer om nye skjema i Altinn, vi jobber med å få saksbehandlingssystemet vårt over på en moderne plattform og vi jobber med forbedringer på nettstedet vårt. Dette vil gi våre brukere bedre og enklere muligheter for å sende oss saker og ha dialog med oss, det vil gi mer moderne sikkerhetsrutiner og enklere saksbehandling, og ikke minst vil det gi bedre brukeropplevelser på vår viktigste kanal mot publikum – datatilsynet.no.

Noe av dette vil være på plass allerede i 2019, men det er mye som skal gjøres og vi er en liten organisasjon med begrensede ressurser. Derfor må vi ta disse løftene over tid samtidig som vi opprettholder vår gode servicegrad på alle våre områder.

1.4.11 En samlet vurdering av hvordan våre valg av aktiviteter og bruk av ressurser har bidratt til å nå hovedmålet

Datatilsynet hovedmål, slik det er nedfelt i statsbudsjett, er «et godt personvern for alle». Som nevnt i kapittelet «Introduksjon og hovedtall», har vi vedtatt en strategi som er førende for vårt arbeid, og som supplerer og utfyller hovedmålet. Vi har så under hvert kapittel beskrevet hvorvidt vi har oppnådd målene i vår overordnede strategi, og analysen nedenfor må derfor suppleres med det som framkommer der.

2018 har vært et annerledes år for Datatilsynet. Den vesentligste delen av arbeidet vårt har vært rettet inn mot å klargjøre både vår egen og andre norske virksomheter til nytt personvernregelverk, samt å starte behandlingen av de første sakene og gjennomføre de første tilsynene. Ettersom et godt personvern for alle strengt fortolket innebærer mer saksbehandling og mer tilsynsaktiviteter enn de vi har gjennomført i 2018, ligger det en bevisst prioritering bak våre valg, og vi mener denne prioriteringen har vært riktig.

Vi har valgt aktiviteter som kanskje ikke i meldingsåret, men på sikt vil innebære et godt personvern for alle. Hovedaktivitetene har vært knyttet til veiledning, informasjon, foredrag og etablering av verktøy som kommer både norske virksomheter og norske borgere til gode. Her kan nevnes register over personvernombud, en digitalisert løsning for å melde avvik og utvikling av veiledningsmateriale om innebygd personvern og dybdeutredning av personvernkonsekvenser. Vi har også brukt en god del ressurser på å etablere oss i Det europeiske personvernrådet og dets undergrupper, og dette er aktiviteter som på sikt vil sikre god informasjon og avgjørelser av god kvalitet, som i sin tur vil bidra til et godt personvern for alle.

Vi har gitt en grundig redegjørelse for ressursbruken knyttet til de ulike aktivitetene i kapittelet «Introduksjon og hovedtall – Nærmere om tall og ressursbruk» i avsnittet «Overordnet vurdering». Vi mener ressursbruken som er beskrevet der har vært forsvarlig og riktig, og gitt et godt bidrag til et godt personvern for alle.

1.5 Vurdering av framtidsutsikter

Vi har under hvert kapittel gitt en beskrivelse av de ulike utfordringene Datatilsynet møter. Her vil vi gi en overordnet omtale av forhold i og utenfor Datatilsynets virksomhet som kan påvirke vår evne til å løse samfunnsoppdraget vårt. Vi vil også se nærmere på mulige konsekvenser dette vil kunne ha for å oppnå resultater på lenger sikt.

Økning i saksmengden, delvis utenfor vår kontroll

Vi har opplevd en betydelig økning i saksmengden. Antall avviksmeldinger er mer enn tredoblet, og det er jevnt økende. Antall internasjonale saker som skal inn i den internasjonale saksbehandlingsdatabasen (IMI) er også stigende. Til illustrasjon har vi sjekket 5 000 eposter i denne databasen i andre halvår 2018, og vi har måttet gjøre en aktiv handling med omlag 600 av disse. Det er i tillegg 750 konkrete saker vi har måttet ta stilling til.

Vi har også opplevd en økning i klager på innsyn i egne data og andre forbrukerrelaterte saker. Samlet er merbelastningen sammenlignet med tidligere år meget stor, og tallene er stigende.

Det er også grunn til å nevne at vi så langt har fått svært få begjæringer om forhåndsdrøftelser. Vi har hatt dialog med de fleste sektorene i Norge, og vi tror bestemt at vi vil oppleve en økning framover.

Vi er derfor avhengige av å ha en ressurssituasjon som står i forhold til saksmengden. Hvis ikke det er tilfelle, vil vi ikke kunne utføre samfunnsoppdraget vårt på en god måte.

Våre vedtak vil i større grad bli bestridt

Datatilsynet har fattet ett vedtak om overtredelsesgebyr etter nytt regelverk, og det er allerede påklaget. I flere andre saker som er under oppseiling, ser vi at den andre parten legger betydelig mer arbeid i å ta til motmæle mot oss enn tidligere. Vi ser dessuten at personvernretten har blitt adskillig mer profesjonalisert enn tidligere, og de fleste søker i dag ekstern bistand i sakene.

Det er selvsagt helt legitimt å ta til motmæle på en profesjonell måte, og en av årsakene er trolig vår adgang til å ilegge betydelig større overtredelsesgebyr enn tidligere. Samtidig krever dette større ressursinnsats og enda høyere kompetanse hos oss.

Økte internasjonale krav

Det internasjonale saksbehandlingsarbeidet er beskrevet over. Vårt fulle medlemskap i Det europeiske personvernrådet krever også mer innsats. Dette dreier seg om deltagelse på flere møter enn tidligere, særlig nå i en startfase med nytt felles regelverk. Mye av rettsutviklingen vil dessuten foregå i Det europeiske personvernrådet, og på noe sikt også i EU-domstolen. Det er avgjørende at Datatilsynet aktivt følger med, slik at vi kan legge riktig fortolkning til grunn i vårt arbeid.

Større behov for veiledning

Vi har opplevd en meget stor pågang etter veiledning, kanskje særlig fra små og mellomstore bedrifter. Vi har også blitt kritisert for ikke å ha lagt inn tilstrekkelig innsats for å nå fram til nettopp denne gruppen. Vi tar veiledningsoppgaven vår på aller største alvor, samtidig er det viktig å ha to ting i mente: For det første at et av de bærende elementene i personvernforordningen er å legge mer ansvar på virksomhetene. Det betyr at plikten til å sette seg inn i regelverket, tolke det riktig og forstå, er større nå enn tidligere. Dernest kommer vi ikke unna at Datatilsynet er et lite tilsyn, faktisk et av de aller minste i hele statsadministrasjonen, og det er begrenset hva vi har kapasitet til, særlig sett i lys av alle de andre oppgavene vi også er pålagt.

Konsekvenser for Datatilsynets evne til å oppnå resultater på lengre sikt

Datatilsynets fokus er å gjøre en best mulig jobb for de midlene vi har til disposisjon, og vi mener selv vi lykkes godt med dette. Vi ser imidlertid som beskrevet over, at nye, svært ressurskrevende oppgaver blir pålagt oss. Det krever strenge prioriteringer. Samtidig er andelen oppgaver vi ikke kan prioritere ned, flere enn tidligere. Dette gjelder for eksempel de internasjonale sakene og avvikssakene. Dessuten må vi i årene som kommer øke tilsynsaktiviteten vår vesentlig, og vi må bruke enda mer tid på kommunikasjonsoppgaver, blant annet ved å utforske nye flater slik som podcast og film.

Ressursmessig har Datatilsynet blitt styrket de siste årene, og det er selvsagt veldig bra. Vi er imidlertid bekymret for hvordan vi skal klare å behandle den økte saksmengden innen de fristene som oppstilles i personvernforordningen og forvaltningsloven. Det er også viktig at vi klarer å utnytte den kunnskapen som ligger gjemt i de mange tusen avviksmeldingene og andre sakene som kommer inn til oss. Hele det norske samfunnet vil ha nytte av denne kunnskapen som vil kunne si oss mye om hvor skoen trykker. Vi har ikke tidligere adressert ressursspørsmålet i verken årsmeldingen eller årsrapporten, men slik vår omverden endrer seg, føler vi det riktig å sende dette signalet nå.

Samtidig vil vi understreke dette: Vi har dedikerte ansatte som bretter opp ermene når det er behov for det og som har stor entusiasme og engasjement for personvernspørsmål. Vi har en svært kompetent arbeidsstokk som er helt i spissen som på mange områder. Etterspørselen etter vår kompetanse i internasjonale fora viser også dette. Vi er blant annet rapportør for Personvernrådets arbeid med veileder om innebygd personvern, og vi deltar aktivt i flere andre viktige arbeider. Dette gir innflytelse i den viktigste personverninstitusjonen i EU, og vil bidra både til bedre kompetanse internt, mer kompetente virksomheter og mer bevisste borgere. Kort sagt skaper vårt internasjonale engasjement en vinn-vinn-situasjon!

1.6 Årsregnskap

1.6.1 Ledelseskommentarer

Datatilsynet er på nettoføringsordningen. Ordningen er slik at virksomheten skal bokføre merverdiavgiften på en egen artskonto, og Datatilsynet gis fullmakt til å belaste merverdiavgiften på Finansdepartementets kapittel 1633.

Bevilgning

Datatilsynet fikk 54 441 000 kroner til disposisjon i budsjettproposisjonen for 2018. Beløpet inkluderer midler til pensjonspremie til Statens pensjonskasse. Datatilsynet fikk også 894 000 kroner i kompensasjon som følge av budsjettmessige virkninger av lønnsoppgjøret i 2018. Når tilleggsbevilgningen var lagt til, hadde vi totalt 55 335 000 kroner til disposisjon i 2018.

Mellomværende med statskassen utgjorde 1 517 425 kroner per 31.12.2018. Dette er skyldig skattetrekk. Samlet har Datatilsynet på kapittel 054501 hatt et mindreforbruk på 2 789 000 kroner.

Statens konsernkontoordning

Datatilsynet omfattes av Statens konsernkontoordning. Bankinnskudd og utbetalinger gjøres opp daglig mot oppgjørskontoer i Norges Bank. Datatilsynet tilfører slik ikke likvider gjennom året, men har trekkrettighet på vår konsernkonto.

Fullserviceavtale med DFØ

Datatilsynet har en fullserviceavtale for regnskapstjenester med Direktoratet for Økonomistyring (DFØ). Dette innebærer at DFØ utfører det meste av aktivitetene som er knyttet til økonomisystemet på vegne av Datatilsynet.

Avtale med Statens innkrevingssentral

Datatilsynet har en avtale med Statens innkrevingssentral om at de krever inn tvangsmulkt og overtredelsesgebyr på vegne av oss. Gebyrer inngår ikke som driftsinntekt, men føres på kapittel 3545 i statsregnskapet. I 2018 beløper dette seg til 7 580 000 kroner.

Vurdering

Årsregnskapet er avlagt i henhold til bestemmelser om økonomistyring i staten, rundskriv R-115 fra Finansdepartementet og krav fra overordnet departement. Årsregnskapet gir etter min vurdering et dekkende bilde av Datatilsynets økonomiske situasjon, disponible bevilgninger og regnskapsførte utgifter og eiendeler.

Riksrevisjonen er utnevnt til ekstern revisor for Datatilsynet. Årsregnskapet er per dags dato ikke revidert. Revisjonsberetningen for årsregnskapet offentliggjøres på Datatilsynets hjemmeside når Stortinget har mottatt Dokument 1 fra Riksrevisjonen, og revisjonsberetningen ikke lenger har status utsatt offentlighet.

Oslo, 1.3.2019

Bjørn Erik Thon

Direktør

1.6.2 Prinsippnote for årsregnskapet

Årsregnskap for Datatilsynet er utarbeidet og avlagt etter nærmere retningslinjer fastsatt i «Bestemmelser om økonomistyring i staten», av 12. desember 2003 med endringer. Årsregnskapet er i henhold til krav i bestemmelsene pkt. 3.4.1, i tillegg til Finansdepartementets rundskriv R-115 av november 2016 og eventuelle tilleggskrav fastsatt av overordnet departement.

Oppstillingen av bevilgningsrapporteringen og artskontorapporteringen er utarbeidet med utgangspunkt i bestemmelsene punkt 3.4.2 – de grunnleggende prinsippene for årsregnskapet:

1. Regnskapet følger kalenderåret

2. Regnskapet inneholder alle rapporterte utgifter og inntekter for regnskapsåret

3. Utgifter og inntekter er ført i regnskapet med brutto beløp

4. Regnskapet er utarbeidet i tråd med kontantprinsippet

Oppstillingene av bevilgnings- og artskontorapportering er utarbeidet etter de samme prinsippene, men gruppert etter ulike kontoplaner. Prinsippene korresponderer med krav i bestemmelsene punkt 3.5 til hvordan virksomhetene skal rapportere til statsregnskapet. Sumlinjen «Netto rapportert til bevilgningsregnskapet» er lik i begge oppstillingene.

Virksomheten er tilknyttet statens konsernkontoordning i Norges Bank i henhold til krav i bestemmelsene pkt. 3.7.1. Bruttobudsjetterte virksomheter) tilføres ikke likviditet gjennom året, men har en trekkrettighet på sin konsernkonto. Ved årets slutt nullstilles saldoen på den enkelte oppgjørskonto ved overgang til nytt år.

Bevilgningsrapporten

Oppstillingen av bevilgningsrapporteringen omfatter en øvre del med bevilgningsrapporteringen og en nedre del som viser beholdninger virksomheten står oppført med i kapitalregnskapet. Bevilgningsrapporten viser regnskapstall som Datatilsynet har rapportert til statsregnskapet. Det stilles opp etter de kapitler og poster i bevilgningsregnskapet som Datatilsynet har fullmakt til å disponere. Kolonnen samlet tildeling viser hva virksomheten har fått stilt til disposisjon i tildelingsbrev for hver statskonto (kapittel/post). Oppstillingen viser i tillegg alle finansielle eiendeler og forpliktelser virksomheten står oppført med i statens kapitalregnskap.

Mottatte fullmakter til å belaste en annen virksomhets kapittel/post (belastningsfullmakter) vises ikke i kolonnen for samlet tildeling, men er omtalt i note B til bevilgningsoppstillingen. Utgifter knyttet til mottatte belastningsfullmakter er bokført og rapportert til statsregnskapet, og vises i kolonnen for regnskap.

Avgitte belastningsfullmakter er inkludert i kolonnen for samlet tildeling, men bokføres og rapporteres ikke til statsregnskapet fra virksomheten selv. Avgitte belastningsfullmakter bokføres og rapporteres av virksomheten som har mottatt belastningsfullmakten og vises derfor ikke i kolonnen for regnskap. De avgitte fullmakten framkommer i note B til bevilgningsoppstillingen.

Artskontorapporteringen

Oppstillingen av artskontorapporteringen har en øver del som viser hva som er rapportert til statsregnskapet etter standard kontoplan for statlige virksomheter og en nedre del som viser eiendeler og gjeld som inngår i mellomværende med statskassen.

Artskontorapporteringen viser regnskapstall virksomheten har rapportert til statsregnskapet etter standard kontoplan for statlige virksomheter. Virksomheten har en trekkrettighet på konsernkonto i Norges Bank. Tildelingene er ikke inntektsført og derfor ikke vist som inntekt i oppstillingen.

1.7 Vedlegg

A. Høringsuttalelser

Tabellen viser en oversikt over høringer Datatilsynet har hatt merknader til i 2018:

B. Saker sendt til Personvernnemnda

Tabellen viser alle sakene Datatilsynet har sendt til Personvernnemnda for klagebehandling og som er registrert hos nemnda i 2018:

C. Vedtak om sanksjoner

Tabellen viser en oversikt over alle vedtakene Datatilsynet har fattet om overtredelsesgebyr (OTG) og tvangsmulkt (TM) i 2018:

D. Gjennomførte kontroller

Tabellen viser gjennomførte tilsyn/kontroller i løpet av 2018.

E. Årsregnskap

Oppstilling av bevilgningsrapportering

Note A – Forklaring av samlet tildeling utgifter

Note B – Forklaring til brukte fullmakter og beregning av mulig overførbart beløp til neste år

Belastningsfullmakt

Datatilsynet omfattes av nettoføringsordningen i staten, og har fullmakt til å rapportere betalt merverdiavgift på Finansdepartementets kapittel/post 163301.

Oppstilling av artskontorapportering

Note 1 – Utbetalinger til lønn

Note 2 – Andre utbetalinger til drift

Note 3 – Finansinntekter og -utgifter

Note 4 – Utbetaling til investeringer og kjøp av aksjer

Note 5 – Sammenheng mellom avregning med statskassen og mellomværende med statskassen

Del A Forskjellen mellom avregning med statskassen og mellomværende med statskassen

F. Likestillingsrapportering