Meld. St. 16 (2017–2018)

Datatilsynets og Personvernnemndas årsmeldinger for 2017

Til innholdsfortegnelse

2 Merknader fra Kommunal- og moderniseringsdepartementet til Datatilsynets årsmelding

Datatilsynet har i 2017 vært en aktiv bidragsyter i samfunnsdebatten, og tilsynet har medvirket til god kunnskap om personvern generelt, og særlig om EUs personvernforordning. Tilsynet har utarbeidet høringsuttalelser i en rekke viktige saker, hatt dialog og møter med ulike aktører, og holdt mange foredrag om personvernrelevante tema i ulike forum. Datatilsynet har i tillegg fortsatt arbeidet sitt i sentrale EU-organ, og vært en aktiv deltaker på en rekke nordiske og internasjonale samarbeidsarenaer.

Datatilsynet har i 2017 særlig arbeidet med personvern innenfor følgende områder:

  • Nytt personvernregelverk

  • Innebygd personvern og teknologi som kan være personvernfremmende

  • Helse og velferd

  • Kunstig intelligens, roboter og personvern i algoritmenes tid

I tillegg har Datatilsynet brukt mye tid på å forberede både egen organisasjon og andre på gjennomføringen av EUs personvernforordning i norsk rett. Departementet er opptatt av at både innbyggere og virksomheter som behandler personopplysninger skal kjenne til og forstå hva de nye personvernreglene betyr for dem, og mener det er viktig at tilsynet har medvirket til å spre slik kunnskap.

2.1 Nytt personvernregelverk

Den store regelverksendringen som EUs personvernforordning og ny norsk personopplysningslov fører med seg, har vært en betydelig og prioritert oppgave for Datatilsynet i 2017, og vil også være det i årene som kommer. Den nye personopplysningsloven blir Datatilsynets viktigste arbeidsverktøy i mange år framover.

For å være best mulig forberedt når det nye personvernregelverket trer i kraft, har Datatilsynet påtatt seg oppgaver i regi av EU. Samarbeidet med de nordiske datatilsynsmyndighetene har også vært intensivert i forbindelse med innføring av nytt regelverk. I meldingsåret har Datatilsynet tilegnet seg mer kunnskap om de nye reglene og hvilke endringer dette regelverket vil medføre for virksomheter som behandler personopplysninger, de registrertes rettigheter og Datatilsynet som forvaltningsorgan. Departementet er tilfreds med at tilsynet er godt forberedt på å ivareta samfunnsoppgaven og sitt mandat når det nye regelverket trer i kraft.

Datatilsynet har i meldingsåret deltatt i en tverrdepartemental arbeidsgruppe ledet av Justis- og beredskapsdepartementet som har arbeidet med implementering av forordningen i norsk rett. I tillegg samarbeider tilsynet med departementet om den formelle innlemmingen av forordningen i EØS-avtalen. I høringen av ny personopplysningslov leverte Datatilsynet en omfattende og grundig høringsuttalelse, og ga viktige innspill til lovarbeidet.

Datatilsynet skriver i årsmeldingen at gjennomføringen av arbeidet med personvernforordningen frem til høsten 2017 har vært organisert i fem interne delprosjekter: Nytt regelverk (juridisk), IKT og prosess-støtte, Kommunikasjonsprosjektet, Personvernombud og Web. Prosjektet Nytt regelverk hadde ansvar for å vurdere hva det nye regelverket betyr for Datatilsynet, og hadde kontakt med Justisdepartementet om arbeidet med å innføre forordningen i norsk rett. IKT og prosess-støtte- prosjektet sørget for at Datatilsynet har de nødvendige og hensiktsmessige fagsystemene for å håndtere oppgavene etter nytt regelverk. I Kommunikasjonsprosjektet ble det lagt til rette for at både offentlige og private virksomheter får den informasjon de trenger for å kunne etterleve det nye regelverket, og for at innbyggerne får informasjon om sine rettigheter. Delprosjektet Personvernombud håndterte tilpasningene av personvernombudsordningen til det nye regelverket. I tillegg har delprosjektet utredet hvordan opplæringen av personvernombud skal foregå. Web-prosjektet hadde ansvar for å vurdere og sette i gang nødvendige endringer av plattform, struktur og innhold på Datatilsynets nettsider, en kommunikasjonsplattform som er svært sentral i tilsynets informasjonsarbeid.

En viktig del av Datatilsynets nye strategi for perioden 2018–2020 er å gjøre norske virksomheter i stand til å følge det nye regelverket. I meldingsåret har Datatilsynet derfor prioritert veiledning rettet mot virksomhetene. Tilsynet har arrangert eller bidratt på felles seminarer med flere ulike virksomheter, blant annet blant annet Finans Norge, IKT Norge, KINS, KS og Dataforeningen. Gjennom hele meldingsåret har Datatilsynet holdt foredrag og produsert veiledningsmateriale. I tillegg har tilsynet bistått eksterne aktører i etablering av kurs for personvernombud, og deltatt med ressurser i gjennomføringen av slike opplæringskurs.

Departementet merker seg at Datatilsynet har brukt nettsidene sine aktivt for å spre informasjon om hvilke plikter virksomhetene har etter de nye reglene. Nettsidene inneholder oppdatert informasjon om veiledninger skrevet av EUs samarbeidsorgan på personvernområdet (Artikkel 29-gruppen), samt Datatilsynets egenproduserte veiledninger, ofte utarbeidet med utgangspunkt i avklaringer som er foretatt internasjonalt. Departementet er tilfreds med at tilsynet tar veiledningsoppgaven på stort alvor, og mener det er svært verdifullt at tilsynet når ut til virksomheter gjennom foredrag og deltakelse på seminarer. Departementet vil også trekke frem de gode veiledningene om personvernombud og innebygd personvern som Datatilsynet har utarbeidet. Denne delen av tilsynets arbeid legger et godt grunnlag for en vellykket innføring av nye regler.

Datatilsynets kontroller de siste årene har vist at mange kommuner har en lang vei å gå for å sikre at de etterlever personvernregelverket. Som Datatilsynet peker på, er det viktig at kommunene setter personvern på agendaen. Datatilsynet sendte informasjonsbrev til alle rådmenn og fylkesrådmenn i mars 2017, hvor de ga råd om hvordan kommunene bør starte arbeidet med tilpasning til ny personopplysningslov. Datatilsynet har også holdt en rekke foredrag, vært tilstede på konferanser og andre arrangement for kommunesektoren, deltatt i rådmannsutvalg, informert i fagpresse og samarbeidet med sektorens interesseorganisasjoner. Departementet merker seg utfordringene Datatilsynet peker på, og vil fortsette å støtte Datatilsynets innsats for et bedre personvern i norske kommuner.

Internt har Datatilsynet gjennomført opplæring om sentrale bestemmelser i forordningen for de ansatte. I tillegg har tilsynet laget en plan for videre kompetansebygging, og arrangert flere interne seminarer med forordningen som tema.

Datatilsynet viser til at de gjør en betydelig innsats for å forberede alle berørte på det kommende regelverket. Det er imidlertid virksomhetene, både private og offentlige, som skal etterleve det nye regelverket. Som Datatilsynet fremhever, må sektorer og bransjer selv ta sitt ansvar for å møte de nye regelverkskravene. Kravene om innebygd personvern og vurderinger av personvernkonsekvenser, forutsetter kunnskap og handling hos de ansvarlige, leverandører og organisasjoner. En vellykket innføring av personvernforordningen krever altså vesentlig større aktivitet enn det som skjer i regi av Datatilsynet. Departementet mener det er viktig å ansvarliggjøre virksomhetene.

Datatilsynet peker på at endringer i regelverket, nye rutiner for håndtering av ulike typer saker, og ikke minst økt samarbeid med andre lands datatilsynsmyndigheter, vil stille høye krav til organisasjon og gjennomføring. Slik Datatilsynet ser det, vil håndteringen av overgangsordninger, økt grad av internasjonalisering og økte krav til robuste vurderinger av personvernkonsekvenser, peke seg ut som utfordringer i perioden som kommer.

Med ikrafttredelse av personvernforordningen, etableres et nytt organ i EU, European Data Protection Board. Dette organet får en sentral rolle i å fortolke og koordinere praktiseringen av det nye regelverket. Datatilsynet har arbeidet aktivt for å få innflytelse i forgjengeren til dette organet, Artikkel 29-gruppen. Denne gruppen er den øverste rådgivende forsamlingen for EU-kommisjonen i spørsmål om personvern og informasjonssikkerhet etter direktiv 95/46/EU om beskyttelse av personopplysninger. Datatilsynet har deltatt i flere viktige undergrupper, har vært medrapportør på flere sentrale dokumenter, og har også holdt presentasjoner på plenumsmøtet. Datatilsynet skriver i årsmeldingen at de mener de er godt posisjonert for innflytelse også i European Data Protection Board, og håper å kunne fortsette å bidra inn i det viktige europeiske personvernsamarbeidet. Som Datatilsynet peker på, vil tilsynets mulighet til å påvirke i internasjonale samarbeidsfora bli endret med innføringen av forordningen. For regjeringen har det vært sentralt å sikre det norske Datatilsynet så god deltakelse som mulig i EUs personvernarbeid når forordningen innlemmes i EØS-avtalen og inkorporeres i norsk rett. Departementet er derfor trygg på at Datatilsynet vil delta aktivt i europeisk personvernsamarbeid også fremover, og følge godt med på praksisen som utvikles mellom de europeiske tilsynsmyndighetene, og tilkjennegi sitt syn i diskusjon og behandling av aktuelle saker.

Datatilsynet viser til at forordningen stiller tydelige krav til vurdering av personvernkonsekvenser med sikte på å identifisere risikotilpassede tiltak for å ivareta personvernet til de registrerte. Det nye regelverket krever at alle som er involvert i behandling av personopplysninger må kunne gjennomføre gode vurderinger av personvernkonsekvenser. Departementet er enige med Datatilsynet i at det er viktig å sikre at lovhjemler for behandling av personopplysninger tar høyde for kravene som følger av forordningen, og at de er tilstrekkelig detaljerte til å oppfylle sitt formål. Datatilsynet er en viktig aktør i arbeidet med å gi god veiledning til alle som er involvert i vurdering av personvernkonsekvenser.

2.2 Innebygd personvern og personvernfremmende teknologi

Digitaliseringen stiller krav til tjenester som ivaretar brukernes personvern. Brukere av nettbaserte tjenester må ha tillit at løsningene både er sikre og ivaretar personopplysningene på en god måte. Innebygd personvern er et viktig tiltak for å sikre slik tillit. Temaet har tidligere vært omtalt i Meld. St. 11 (2012–2013) Personvern – utsikter og utfordringar hvor regjeringen fremhevet arbeidet med innebygd personvern. Dette er fulgt opp i Meld. St. 27 (2015–2016) Digital agenda for Norge. IKT for en enklere hverdag og økt produktivitet, som regjeringen la fram i april 2016. I denne meldingen går det frem at regjeringen vil arbeide for at IKT-systemer i offentlig forvaltning skal ivareta prinsipper for innebygd personvern, herunder personvernvennlige standardinnstillinger.

Datatilsynet har anbefalt innebygd personvern siden 2012. Et av kravene i den nye personvernforordningen er at alle virksomheter skal jobbe etter prinsippene for innebygd personvern. Dette følger også av Kommunal- og moderniseringsdepartementets digitaliseringsrundskriv fra 2017.

Med personvernforordningen kommer også personvern som standardinnstilling for fullt. Departementet er positive til at dette nedfelles så klart i regelverket, og mener det kan hjelpe brukerne til å ta de gode personvernvalgene. Kravet om innebygd personvern innebærer at virksomheter skal gjennomføre organisatoriske og tekniske tiltak som ivaretar personvernprinsippene og de registrertes rettigheter ved etablering av løsninger, systemer, apper og lignende.

Flere virksomheter har gitt uttrykk for at kravet om innebygd personvern er vanskelig å forstå omfanget av, enten de er plikthavere etter regelverket eller leverandører av programvare, og at det har vært et behov for å tydeliggjøre begrepet. Datatilsynet utarbeidet derfor en veileder om innebygd personvern. Denne redegjør for hvordan personvernprinsippene, de registrertes rettigheter og sikkerhetskrav etter personvernregelverket kan knyttes til hver aktivitet i utviklingsløpet. Veilederen har blitt oversatt til engelsk, og er blitt presentert for internasjonale personvernmyndigheter i Artikkel 29-gruppen, EU-kommisjonen, Technology subgroup (undergruppe til Artikkel 29-gruppen) og Berlingruppen (Den internasjonale arbeidsgruppen for personvern innen telekommunikasjon). Datatilsynet har i meldingsåret holdt rundt 30 foredrag og arbeidsmøter for ulike målgrupper der temaet i hovedsak har vært innebygd personvern. Departementet mener Datatilsynet har laget en god og viktig veileder, og at det er viktig at tilsynet bidrar til å tydeliggjøre hvordan teknologi kan være med på å skape godt personvern.

En utfordring Datatilsynet trekker frem, er gamle systemer som ikke bygger på prinsippene om innebygd personvern. Som Datatilsynet peker på i årsmeldingen, er det viktig at de behandlingsansvarlige planlegger utfasing av systemer som ikke i tilstrekkelig grad ivaretar personvern og informasjonssikkerhet. Departementet merker seg utfordringene Datatilsynet peker på, og vil fortsette å støtte innsatsen til Datatilsynet for å bevisstgjøre myndigheter og virksomheter om kravene til innebygd personvern.

2.3 Helse og velferd

Det er en utfordring i helsesektoren at det er betydelig press på teknologisk utvikling og nye løsninger, og at utviklingen skjer i et raskt tempo. Pasientoppfølging forventes å bli mer og mer digitalisert. Endringer i form av digitalisering av journalopplysninger stiller nye krav til systemenes evne til å ivareta informasjonens konfidensialitet, tilgjengelighet og integritet. I årsmeldingen peker Datatilsynet på at risikobildet i sektoren må sies å endres radikalt når man beveger seg fra papirdokumentasjon over til elektronisk behandling av opplysninger. Denne digitaliseringen kan medføre både fordeler og utfordringer for personvernet.

Helse- og omsorgssektoren var tidlig ute med å ta i bruk elektroniske journalsystemer for behandling av helseopplysninger1, og arbeidet med personvern og informasjonssikkerhet er høyt prioritert. Det er et stort teknisk etterslep i store deler av sektoren, og sektorens hovedutfordringer fremover vil være å løfte dagens IKT-systemer for bedre å utnytte mulighetsrommet som digitalisering gir for bedre ressursutnyttelse, samhandling og effektivitet.

Helse- og velferdsområdet omfatter primær og sekundær bruk av opplysninger innen helse- og omsorgstjenestene, NAV, helseforskning og samfunnsforskning. Opplysningene som behandles i sektoren er blant de mest sensitive som finnes, og befolkningen selv anser opplysningene som svært beskyttelsesverdige. Dette gjør at området har vært en prioritet for Datatilsynet også i 2017, og tilsynet har i meldingsåret vært svært engasjert i spørsmål om personvern, helse og velferd.

Både Datatilsynet og departementet ser at det er et økende ønske om og påtrykk for gjenbruk av helseopplysninger til nye formål innen forskning og kvalitetssikring, såkalt sekundærbruk av data. Det opprettes stadig nye kvalitetsregistre, og mange av disse er store i omfang og har som formål å være permanente. Det pågår utredningsarbeid for å finne nye løsninger for å gjøre data tilgjengelige på en mer effektiv måte enn tidligere, blant annet i Helsedataprogrammet i Direktoratet for e-helse. Helsedataprogrammet skal bidra til bedre tilgjengelighet og økt bruk av data, bedre datakvalitet og mer effektiv registerforvaltning, samtidig som personvern og informasjonssikkerhet ivaretas. Utvikling av fellestjenester for helseregistrene skal gjøre dialogen med innbyggerne enklere, for eksempel når det gjelder innsyn, fullmaktshåndtering og medbestemmelse ved bruk av data. Utvikling av en helseanalyseplattform skal baseres på innebygd personvern og gi innbyggerne mer kontroll over hvordan egne data brukes og større trygghet for at data ikke misbrukes.

Datatilsynet peker på at personvernforordningen vil medføre store endringer for sekundærbruk av data. Blant annet vil avskaffelse av konsesjonsplikten føre til at aktørene selv må ta større ansvar for vurderingene som ligger til grunn for behandling av data til forskning og kvalitetssikring. Dette er en omlegging av en langvarig praksis, og vil kunne medføre et stort behov for veiledning fra Datatilsynet.

Datatilsynet har i årsmeldingen omtalt flere av tiltakene de har arbeidet med på helse- og velferdsområdet i 2017. De har gjennomført flere tilsyn, hatt dialog og møter med ulike aktører og gitt utstrakt råd og veiledning. I tillegg har tilsynet avgitt flere høringsuttalelser til forslag fra det offentlige som innebærer behandling av personopplysninger innenfor helse- og velferdsområdet. Blant forslagene var utkast til forskrift for regulering av kommunalt pasient- og brukerregister (KPR- forskriften), forslag til endringer i biobankloven og utkast til forskrift om befolkningsbaserte helseundersøkelser. I høringsuttalelsene pekte tilsynet blant annet på manglende utredning av personvernkonsekvenser, utilstrekkelig risikovurdering og rekkevidde av samtykke.

Datatilsynet sendte i oktober 2017 varsel til ni helseforetak i Helse Sør-Øst RHF om ileggelse av overtredelsesgebyr på til sammen 7,2 millioner kroner. Gebyrene ble gitt som følge av avvik knyttet til sikkerhetsledelse og manglende risikovurderinger i forbindelse med beslutningen om tjenesteutsetting av IKT-drift til utlandet. Saken fikk mye oppmerksomhet i media, og har ført til en stor endring i helsesektoren når det gjelder bevissthet rundt ansvarsforhold og risikovurderinger. Datatilsynet har hatt god dialog med Helse Sør-Øst i etterkant, og virksomheten arbeider med å rette opp manglene som Datatilsynet påpekte. Det er planlagt aktiviteter for oppfølging av saken i 2018.

I ettertid har Datatilsynet samarbeidet med andre tilsynsmyndigheter som NSM, Finanstilsynet og Helsetilsynet, og det har også vært møter med Difi og Direktoratet for e-helse. Formålet med dette samarbeidet har vært å etablere en felles strategi rundt temaet utsetting av IKT-tjenester, både i helsesektoren og andre deler av offentlig sektor. Departementet mener Datatilsynet er en svært viktig bidragsyter i slike diskusjoner, og at det er viktig og bra at tilsynet engasjerer seg.

Datatilsynet har deltatt i arbeidet med Norm for informasjonssikkerhet i helsesektoren (Normen). I lys av nytt personvernregelverk, har det vært behov for oppdateringer av allerede eksisterende materiell. Hovedarbeidet med Normen i 2017 har fokusert på endringer som følge av personvernforordningen, og det har vært hyppige møter mellom Datatilsynet og Normsekretariatet gjennom hele året. Departementet mener dette er et svært viktig arbeid, og er positive til at Datatilsynet deltar i dette.

Datatilsynet har i 2017 arbeidet med problemstillinger knyttet til velferdsteknologi. Velferdsteknologi som for eksempel blodsukkermåler eller blodtrykksmåler for hjemmebruk, benyttes i økende grad av befolkningen på eget initiativ. Samtidig brukes teknologien også i regi av det offentlige som et ledd i helse- og velferdstjenester. Disse nye tjenestene genererer data, og gir utfordringer med tanke på hva som skal lagres og hvor lenge. Datatilsynet peker på at utviklingen på dette området i stor grad styres av leverandører, og at det er krevende for bestillere å ha reell kontroll over behandlingen av opplysninger – behandlinger som utføres av leverandører og databehandlere på bestillerens vegne. Departementet er enig med Datatilsynet i at det fremdeles er sentrale problemstillinger som bør avklares, slik som for eksempel plassering av behandlingsansvar, krav til databehandleravtaler og sikkerhet for at løsningene bygger på prinsippene for innebygd personvern.

I årsmeldingen trekker Datatilsynet frem en positiv personverntrend innen helsetjenesten; at innbyggerne, i størst mulig grad skal kunne bestemme over egne personopplysninger. Departementet mener dette er en styrking av den enkeltes rett til personvern, men er samtidig enig med Datatilsynet i at det er enkelte utfordringer knyttet til kravet om bevissthet og kunnskap hos den enkelte. Datatilsynet peker på en tendens til å gå bort fra samtykke fra de registrerte som grunnlag for sekundærbruk av helseopplysninger. Bruk av personopplysninger i helsesektoren er svært komplekst, og det er en betydelig pedagogisk utfordring å forklare de registrerte hvordan opplysninger brukes og deles, slik at de selv kan vurdere hva de ønsker å samtykke til.

Datatilsynet peker videre på flere fremtidige utfordringer, som bruk av stordata og kunstig intelligens, persontilpasset medisin og sekundærbruk av data.

Stordataanalyser utfordrer den tradisjonelle praksisen knyttet til sekundærbruk av data, og reiser nye problemstillinger for personvernet. Departementet er enig med Datatilsynet i at disse problemstillingene kan være utfordrende for både den enkelte og for de som skal vurdere om denne bruken av data skal tillates eller ikke.

Departementet merker seg de utfordringene tilsynet trekker frem, og vil fortsette å fremme gode personvernløsninger som sikrer den enkelte størst mulig råderett over egne personopplysninger og setter den enkelte i stand til å forstå både risikoer, muligheter og konsekvenser ved sekundærbruk av opplysninger.

2.4 Kunstig intelligens, roboter og personvern i algoritmenes tid

Datatilsynet viser til at utviklingen av kunstig intelligens og automatiserte systemer har hatt store fremskritt de siste årene. Slik Datatilsynet ser det, er mulighetene lovende: en bedre og mer effektiv offentlig sektor, nye metoder for klima- og miljøvern, bedre og billigere helsetjenester. Det er likevel slik at de intelligente og automatiserte tjenestene ofte inneholder store mengder data, inkludert personopplysninger.

Datatilsynet peker på at med smarte byer og smarte hjem vil det bli samlet inn en omfattende mengde personopplysninger, siden flere og flere sensorer blir koblet til nettet. Nettoppkoblede sensorer blir stadig billigere, og de opptrer i svært mange sammenhenger både i smarte hjem, smarte byer og andre deler av det som er i ferd med å bli smarte samfunn.

I 2017 har Datatilsynet arbeidet både nasjonalt og internasjonalt for å gi råd om hvordan man skal unngå ulovlig innhenting av stordata i forbindelse med smarte byer, hjem og biler. Selv om det gis råd og det finnes et regelverk, presiserer Datatilsynet at mange likevel vil gjøre mye for å få tak i slike verdifulle data. I 2017 brukte Datatilsynet tid på å gjøre aktører oppmerksomme på hvor invaderende innsamling og bruk av slik informasjon kan være for den enkeltes personvern. Datatilsynet peker på at en klar regulering ved innføringen av automatiske strømmålere ga mulighet for å begrense unødvendig innhenting av personopplysninger. Departementet er enig med Datatilsynet i at klar regulering er sentralt for å sikre at det ikke samles inn flere personopplysninger enn nødvendig.

Stortinget vedtok en lov om utprøving av selvkjørende kjøretøy i 2017, hvor hensikten er å fremme utvikling og utbredelse av ny teknologi i transportsektoren. Selvkjørende biler vil samle inn store mengder personopplysninger om både sjåføren, passasjerer og omgivelsene. Departementet er enig med Datatilsynet i at dette kan være et gode i trafikken, både med hensyn til trafikksikkerhet, miljø og økonomi. Det er likevel nødvendig å drøfte personvernmessige utfordringer og samfunnsetiske problemstillinger ved bruk av kunstig intelligens både i trafikken og ellers i samfunnet. Datatilsynet publiserte en rapport om kunstig intelligens og personvern i januar 2018. Rapporten inneholder en rekke eksempler på verktøy og metoder for å bygge godt personvern inn i intelligente systemer, samt anbefalinger til ulike målgrupper som benytter seg av kunstig intelligens. Rapporten ble oversatt til engelsk. Departementet mener rapporten gir et godt grunnlag for videre diskusjon om utfordringer på dette området.

Det norske dronemarkedet har utviklet seg raskt, og er spådd en eksplosiv vekst de neste årene – særlig knyttet til nærings- og nyttevirksomhet. Tilsynet har merket en stadig økende interesse for å ta i bruk droner hos offentlige myndigheter, inkludert i politiet. Med avansert kamera- og sensorteknologi, og med stadig bedre flyrekkevidde, blir terskelen for overvåking fra luften senket betydelig. Datatilsynet peker i årsmeldingen på at flyvende fartøy utfordrer ivaretakelse av informasjonsplikten overfor de som filmes. Bruk av droner stiller nye krav både til de virksomhetene som skal ta teknologien i bruk, og til Datatilsynet som skal gi råd og føre kontroll med at dette skjer innenfor de riktige rammene – også for personvernet.

Departementet viser til regjeringens dronestrategi som ble lagt frem i mars 2018, hvor blant annet personvern og privatlivets fred er temaer. Departementet er positive til at Datatilsynet fortsetter å være synlige og tilgjengelige for å sikre at aktørene som benytter seg av droner har kunnskap om personvernregelverket, og benytter personvernvennlig teknologi.

2.5 Internasjonalt arbeid

I årsmeldingen redegjør Datatilsynet for aktiv deltakelse i internasjonalt personvernsamarbeid. Departementet og tilsynet har i flere år hatt god dialog om verdien av å delta i internasjonalt arbeid, og særlig det europeisk personvernsamarbeidet. I meldingsåret har Datatilsynet på en god måte evnet å prioritere deltakelse i det europeiske personvernsamarbeidet.

De europeiske datatilsynene møtes flere ganger i året i Artikkel 29-gruppen, der Datatilsynet har møte- og talerett. I 2017 har Datatilsynet vært representert i alle de fem plenumsmøtene gruppen har avholdt. I plenumsmøtet i september presenterte de veilederen sin om innebygd personvern.

Datatilsynet deltar aktivt i flere av undergruppene etablert av Artikkel 29-gruppen. Mye av det faglige arbeidet foregår i disse undergruppene. I undergruppene deltar Datatilsynet på like vilkår som medlemslandene i EU. Datatilsynet er en viktig bidragsyter i arbeidet, og blir lagt merke til med gode leveranser og høy aktivitet.

I tillegg til det formaliserte personvernsamarbeidet i EU, deltar Datatilsynet i flere andre internasjonale samarbeidsfora. Det er blant annet et godt samarbeid mellom personvernmyndighetene i de nordiske landene, og de har regelmessige møter både på leder- og saksbehandlernivå. De nordiske landene møter mange ensartede problemstillinger, og departementet mener derfor det er viktig å ivareta de gode nordiske relasjonene.

Datatilsynet deltar også på møter i Digital Clearing House, en møtearena opprettet og organisert av European Data Protection Supervisor (EDPS, som er EU-institusjonenes datatilsyn). Møtene samler representanter fra europeiske datatilsynsmyndigheter, forbrukerombud og konkurransetilsynsmyndigheter. Formålet med møtene er å dele informasjon om saker organene arbeider med. Sammen med Forbrukerombudet, har Datatilsynet vært en viktig pådriver og bidragsyter i disse møtene.

Som følge av engasjementet i Digital Clearing House og erfaring fra nasjonalt samarbeid med forbrukermyndigheter, er Datatilsynet invitert med i en arbeidsgruppe nedsatt av den internasjonale konferansen for personvernmyndigheter (ICDPPC). Arbeidsgruppen skal utrede hvordan datatilsynsmyndigheter, forbrukerombud og konkurransetilsynsmyndigheter kan samarbeide mer effektivt på internasjonalt nivå for å forbedre forbrukernes rettigheter. Arbeidsgruppen legger frem en rapport på ICDPPC-møtet i Brussel i 2018.

Departementet mener det er svært positivt at Datatilsynet er aktive på mange arenaer. Økt handel og internasjonalt samhandling øker flyten av personopplysninger. Sentrale personvernutfordringer må derfor håndteres gjennom internasjonalt samarbeid og internasjonale løsninger. Departementet er tilfreds med den aktive rollen Datatilsynet har tatt i det internasjonale personvernarbeidet generelt og i det europeiske samarbeidet spesielt.

Fotnoter

1.

I Forskrift om IKT-standarder i helse- og omsorgstjenesten § 3 stilles det krav om elektronisk behandling av helseopplysninger.

Til forsiden