Meld. St. 16 (2017–2018)

Datatilsynets og Personvernnemndas årsmeldinger for 2017

Til innholdsfortegnelse

1 Årsmeldingen til Datatilsynet for 2017

Leders beretning

2017 – Året før året

Et av de mest populære programmene på NRK heter «Dagen før dagen», og sendes på lille juleaften. Det er en oppkjøring til selveste julekvelden – med steking av juleribbe, julesanger og stemning så intens hyggelig at det kanskje kan tippe litt over noen ganger.

For Datatilsynet har 2017 vært «året før året». Årsaken er selvsagt at 2018 er året da den nye personvernforordningen trer i kraft, og 2017 har vært året da vi har gått og gledet oss, men samtidig hatt den samme følelsen som i desember: Det er mye å gjøre, vi er ganske så stressa, det er masse rydding og klargjøring, og litt angst, men vi vet vi kommer i mål og vi gleder oss til å åpne pakkene.

2017 har vært året da vi som jobber med personvern opplever at det er vi som må holde igjen fordi venner og bekjente gjerne vil snakke om personvern. Det var året da alle piler pekte oppover; vi mottok flere klager, flere avviksmeldinger og flere henvendelser om veiledning enn året før. Vi holdt mer enn dobbelt så mange foredrag som i 2016, og vi kunne med letthet ha holdt mange til dersom vi hadde hatt kapasitet. Det var også året da vi for første gang så hva det betyr å ta lett på datasikkerheten i helsesektoren. Vi varslet overtredelsesgebyr på til sammen 7,2 millioner kroner mot ni helseforetak i Helse Sør-Øst fordi det var gjennomført mangelfulle utredninger av personvernkonsekvenser. Resultatet var det aller beste: Det ble gjennomført en snuoperasjon av hele prosessen, og i skrivende stund pågår nye vurderinger av en helt annen kvalitet enn tidligere. Vi påla også stans i behandlingen av data i tre smartklokker som ble solgt som trygghetsprodukter for barn. Resultat var at to av importørene gjorde så store endringer at pålegget kunne oppheves, den tredje kastet kortene fordi våre krav ikke kunne oppfylles.

Det har også vært et år med stor produksjon av veiledningsmateriale. En viktig del av vår nye strategi er å gjøre de næringsdrivende i stand til å følge det nye regelverket. For et lite tilsyn med 45 ansatte er det selvsagt en umulig oppgave å gi detaljerte råd til landets mange tusen private og offentlige virksomheter. Vi tar derfor det generelle informasjonsarbeidet på stort alvor. Vi har for eksempel utarbeidet god informasjon om personvernombud og om innebygd personvern. Da en veileder om sistnevnte ble lansert, kom det 750 personer – i tillegg fulgt minst 1500 strømmingen. Veilederen ble utarbeidet i samarbeid med næringsdrivende, har fått stort gjennomslag i Norge og blitt lagt merke til internasjonalt. Ut over dette har besøk på hjemmesiden vår økt med hele 245 prosent, og antall personvernombud har økt med 40 prosent.

Den nye personopplysningsloven blir vårt viktigste arbeidsverktøy i mange år framover. Det har derfor vært viktig for oss å gi innspill i lovprosessen. Vi skrev en meget omfattende høringsuttalelse på 105 sider, med en juridisk kvalitet jeg er svært stolt av. Vi noterer med glede at det nye lovverket blant annet inneholder forslag om å oppheve konsesjonsplikten, noe som særlig vil få betydning i helsesektoren. Vi har lenge ment at konsesjonenes tid er forbi, og at den enkelte sektor selv må ta ansvar for å opptre i overensstemmelse med loven. Dette er i tråd med det nye regelverkets intensjon.

For et land som ikke er med i EU, er det alltid en fare for å bli stående på gangen. Det etableres nå et nytt organ i EU, det såkalte European Data Protection Board, som får en svært viktig funksjon i å fortolke og koordinere praktiseringen av det nye regelverket. Vi har jobbet hardt for å få innflytelse i forgjengeren til dette organet, Artikkel 29-gruppen (Article 29 Working Party) som er den øverste rådgivende forsamlingen for EU-kommisjonen i spørsmål om personvern og informasjonssikkerhet, og mener vi har lykkes godt med det. Vi deltar i flere viktige undergrupper, har vært medrapportør på flere viktige dokumenter og holdt presentasjoner på plenumsmøtet. Vi er derfor godt posisjonert for innflytelse også i det nye organet, og håper vi får en god tilpasningsavtale slik at vi fortsatt kan bidra inn i dette viktige arbeidet.

Vi forlater 2017 i spent forventning til hva det nye året vil bringe. Vi er godt rigget til hva som måtte komme, og vi gleder oss til å forhåpentligvis begynne å bruke julegavene den 26. mai 2018.

Bjørn Erik Thon

Direktør

1.1 Introduksjon og hovedtall

Datatilsynet ble opprettet i 1980, og er et uavhengig forvaltningsorgan under Kommunal- og moderniseringsdepartementet (KMD). Vårt hovedmål er å bidra til at personvernlovgivningen etterleves, og at alle skal ha beskyttelse i tråd med gjeldende personopplysningsregelverk.

Vi skal også fremme personvern som en sentral verdi i samfunnet og være ombud i personvernspørsmål. Vi skal både delta i personverndebatten og sette dagsorden, vi skal undersøke og dele fakta om personvernets kår både nasjonalt og internasjonalt, og vi skal jobbe for at personvernet ivaretas også på områder som faller utenfor vårt tilsynsområde.

Personvern handler enkelt sagt om retten til et privatliv og retten til å bestemme over egne personopplysninger. Personvern er en menneskerettighet som skal sikre hensynet til den enkeltes personlige integritet, men det er også en ideell interesse og svært viktig for å sikre felles goder i et demokratisk samfunn. Datatilsynet må derfor jobbe aktivt for å oppnå en god ivaretagelse av personvernet i avveiingen mot andre samfunnsinteresser.

Hovedaktiviteter

  • For å realisere hovedmålet om et godt personvern for alle, har Datatilsynet hatt følgende mål i 2017:

  • Virksomheter, innbyggere, organisasjoner og den offentlige forvaltningen kjenner og etterlever personvernregelverket.

  • Borgerne skal settes i stand til å ivareta sitt eget personvern.

  • Virksomheter benytter innebygd personvern, og bruker teknologi på en personvernfremmende måte.

I tillegg til det omfattende arbeidet med å forberede både egen organisasjon og andre virksomheter på de nye personvernreglene som trer i kraft i mai 2018, har vi i meldingsåret valgt å særlig prioritere personvern i helse- og velferdssektoren, samt morgendagens teknologi. Dette siste er en bred satsning hvor vi ser på hvordan personvernet kan ivaretas på en god måte i et samfunn preget av teknologi. Vi har blant annet sett nærmere på kunstig intelligens, personvernfremmende teknologier, innebygd personvern og droner. Innen helsesektoren pågår det store endringer, både gjennom ny teknologi og lovgivning. Dette, sammen med at det i sektoren behandles svært beskyttelsesverdige opplysninger om de fleste innbyggerne, gjør at dette området hadde prioritet også i 2017. I kapittelet «Årets viktigste aktiviteter» står det mer om hva vi har gjort innenfor de prioriterte områdene.

Arbeidet med å se på kommersialisering av personopplysninger, er en videreutvikling av et arbeid som startet i 2015. Da lanserte vi rapporten «Det store datakappløpet», og åpnet de første dørene for å skape åpenhet og debatt om hvordan personopplysninger samles inn gjennom stadig økt identifisering på nett og i handel.

Prioriteringene betyr at vi har begrenset aktiviteten vår på andre viktige områder, slik som arbeidsliv og telekommunikasjon. Vi gjennomfører likevel aktiviteter som faller utenfor de prioriterte områdene, vi har bare tonet dem noe ned. Disse aktivitetene kan det leses mer om i kapittelet «Annen vesentlig aktivitet».

Ny overordnet strategi for Datatilsynet

I november vedtok vi vår nye strategi for 2018–2020. Her ser vi på de utviklingstrekkene som særlig utfordrer personvernet, slik som kunstig intelligens, tingenes internett og bruk av stordata. Vi trekker også fram at data er makt, og at overvåking og intensiv bruk av personopplysninger blant annet kan medføre en nedkjølingseffekt i samfunnet vårt.

De strategiske målene peker ut den retning vi vil gå i de neste årene. Vi vil blant annet jobbe for en mer rettferdig maktbalanse mellom individet på den ene siden, og kommersielle aktører og det offentlige på den andre siden. Vi vil særlig konsentrere oss om aktører med en forretningsmodell som utfordrer personvernet.

I tillegg vil vi jobbe for å fremme personvernvennlig digitalisering, innovasjon og utvikling, og vi vil jobbe for at norske virksomheter forstår viktigheten av et godt personvern.

Våre konkrete mål for de neste tre årene er:

  1. Datatilsynet skal arbeide for en mer rettferdig maktbalanse mellom individet på den ene siden, og kommersielle aktører og det offentlige på den andre.

  2. Datatilsynet skal arbeide for å fremme personvernvennlig digitalisering, innovasjon og utvikling.

  3. Datatilsynet skal arbeide for at virksomheter blir kompetente, forstår viktigheten av godt personvern og etterlever regelverket.

  4. Datatilsynet skal bidra til at individet i større grad kan ivareta sitt eget personvern.

  5. Datatilsynet skal påvirke og ta lederrollen i noen utvalgte internasjonale prosesser for å fremme bedre personvern.

  6. Datatilsynet skal være et kompetent og fremtidsrettet tilsyn.

1.1.1 Virkemidler

For å nå hovedmålet vårt har vi i hovedsak fem ulike virkemidler til disposisjon. Vi prøver til enhver tid å kombinere disse virkemidlene der det er mulig for å oppnå en best mulig effekt.

Saksbehandling som virkemiddel

Gjennom saksbehandling tilegner vi oss erfaring og kunnskap om hvordan personvernhensyn ivaretas i praksis, og vi skal særlig ha oppmerksomheten rettet mot å identifisere systemfeil i virksomheter og bransjer.

Saksbehandling som virkemiddel har særlig vært brukt på områder der vi mottar mange henvendelser og klager. Som offentlig etat er vi naturlig nok bundet av forvaltningsrettslige regler og normer. Det gjøres derfor mye saksbehandling også innenfor områder som ikke er hovedprioritet.

Tilsynsvirksomhet som virkemiddel

Gjennomføringen av tilsyn gir oss et faktabasert grunnlag for kommunikasjon til ulike bransjer og relevante aktører. Tilsyn skal benyttes aktivt for å undersøke og avklare praksis, og til å følge opp konkrete problemstillinger i enkeltsaker. En aktiv tilstedeværelse gir signal om at regelverket skal etterleves og at etterlevelsen blir kontrollert. Tilsynsvirksomheten inkluderer også bruk av kontrollhjemler i saksbehandlingen, som for eksempel når vi følger opp enkeltklager gjennom krav om redegjørelse.

Ved å gjennomføre tilsyn når nye løsninger tas i bruk, men før en praksis har satt seg, kan tilsyn også medvirke til å forme et område videre.

Noen ganger benyttes kontrollene dessuten for å få bedre oversikt over et område eller en sektor, og for å skaffe et bedre grunnlag for å ta i bruk de andre virkemidlene. Andre ganger benyttes de for å holde oppe et trykk på en bestemt sektor – gjerne innenfor et bestemt tema.

Kommunikasjon som virkemiddel

Datatilsynet skal veilede og informere om personvernlovgivning og forvaltningspraksis. Kommunikasjon som virkemiddel benyttes derfor i stor grad for å spre informasjon om personvernets tilstand, samt til å skape debatt og gi uttrykk for synspunkter vi måtte ha som forvaltnings- og tilsynsorgan og i rollen som ombud. Ombudsrollen brukes blant annet ved utspill og kommentarer overfor mediene, foredragsvirksomhet og blogginnlegg.

Kommunikasjon som virkemiddel benyttes stadig mer integrert med de øvrige virkemidlene. En del av kommunikasjonen og dialogen vår skjer derfor gjennom veiledningstjenesten, veiledningsmøter og annen dialog med rammesettere og beslutningstakere.

Organisatoriske, tekniske og økonomiske virkemidler

Deltagelse i ulike råd og utvalg er et godt virkemiddel for å best mulig kunne påvirke aktører til å etablere god praksis. Det samme gjelder deltagelse i arbeid knyttet til innebygd personvern og regelverksutvikling. Disse virkemidlene egner seg særlig på områder der det pågår større reformer og utviklingsarbeid, særlig dersom de er teknologidrevne. Meld. St. 11 (2012–2013) Personvern – utsikter og utfordringer, fastsetter for eksempel et prinsipielt mål om innebygd personvern i alle sektorer. Det har derfor vært viktig å minne beslutningstagere om dette prinsippet i viktige prosesser.

Personvernombudsordningen er også et utpreget organisatorisk virkemiddel.

Når det gjelder overtredelsesgebyr og tvangsmulkt, er dette økonomiske virkemidler som er blitt tatt stadig mer i bruk.

Forsknings-, utviklings- og utredningsarbeid

Gjennom nær kontakt med miljøer i inn og utland som driver med forsknings- og utviklingsarbeid, setter vi oss selv bedre i stand til å sette personvernhensyn inn i en samfunnsmessig kontekst, og til å fange opp trender og utviklingstrekk på et tidlig stadium. Vår kontakt med forskningsmiljøer kan stimulere til forskning på personvern, samtidig som personvernhensyn også blir ivaretatt i annen forskning.

Vårt eget utredningsarbeid og kartlegginger utgjør også en viktig kilde til kunnskap. De gir dybde til ulike temaer vi jobber med og er med på å skape oppmerksomhet om personvernspørsmål. Resultater fra vårt forskning-, utviklings- og utredningsarbeid legges også til grunn ved bruk av de øvrige virkemidlene.

1.1.2 Organisasjon og budsjett

Datatilsynet ledes av direktør Bjørn Erik Thon. Ledergruppen har i 2017 bestått av tre menn og én kvinne.

Datatilsynet har hatt 47 årsverk til disposisjon (56 prosent kvinner og 44 prosent menn). Av disse årsverkene er 40 faste stillinger. Fem årsverk er engasjementer opprettet for å forberede gjennomføring av nytt personvernregelverk. To årsverk har vært knyttet til andre oppgaver innen arkiv og drift- og brukerstøtte innen IKT. I 2017 har vi i tillegg hatt to studenter og én lærling tilsatt deler av året.

Figur 1.1 Organisasjonskart per desember 2017

Figur 1.1 Organisasjonskart per desember 2017

Budsjett

Datatilsynets budsjett dekker kostnader til drift og løpende oppgaver. I 2017 ble vi tildelt til sammen 50 639 000 kroner. Dette var en økning på 5 052 000 kroner fra 2016. Økningen skyldes den nye ordningen med at pensjonspremie til Statens Pensjonskasse fra 2017 skal betales av Datatilsynet. Beløpet var beregnet til 4 377 000 kroner. Når overøringene fra 2016 var gjort og tilleggsbevilgning lagt til, hadde vi totalt 52 805 000 kroner til disposisjon i 2017. Fordelt på lønn og drift utgjorde lønnsutgiftene 37 808 000 kroner (71,5 prosent). Driftsutgiftene utgjorde 15 017 000 kroner (28,5 prosent). Lønn per årsverk var i gjennomsnitt 804 425 kroner, inklusive pensjonspremie.

1.1.3 Tilsynsvirksomheten

Gjennomføring av tilsyn/kontroll er en viktig aktivitet for å nå målene våre. Vi skal gjennomføre tilsyn på prioriterte områder basert på risikoanalyse. Vi skal videre systematisere og kommunisere funnene, samt følge opp etterlevelsen av pålegg. Hvilke virksomheter vi faktisk velger å kontrollere, faller normalt i to kategorier; virksomheter hvor vi antar at det er en særskilt risiko, og representative virksomheter hvor vi ønsker å avdekke status innenfor en sektor eller et tematisk område.

Tabell 1.1 Oversikt over bevilgningene de siste årene.

År

Bevilgning

2014

38 264 000,-

2015

40 092 000,-

2016

45 587 000,-

2017

50 639 000,-

Figur 1.2 Antall gjennomførte tilsyn de siste årene

Figur 1.2 Antall gjennomførte tilsyn de siste årene

På grunn av forberedelsen til ny personvernforordning, ble tilsynsaktiviteten prioritert vesentlig ned i 2017. Vi gjennomførte totalt 24 tilsyn, de fleste initiert våren 2017. I tillegg kom etterarbeid på et stort antall tilsyn gjennomført i 2016, særlig på helseområdet. Vi deltok også som observatør på tilsyn som Norges vassdrags- og energidirektorat (NVE) gjennomførte med automatiske målersystemer (AMS) i kraftbransjen.

I mange tilfeller gjennomføres planlagte kontroller som en skriftlig prosess, uten at vi er på fysisk besøk hos virksomheten. Dette er i tilfeller der det vi ønsker å undersøke er mulig å få avklart uten et stedlig oppmøte. I 2017 gjennomførte vi dessuten en rekke tilsyn med kommuner ved å gjennomgå deres publisering på nett av saksdokumenter.

Totalt ble det i meldingsåret gjennomført fire stedlige og syv brevlige tilsyn, samt 13 kontroller av nettsteder.

De brevlige tilsynene skiller seg fra bruk av de samme kontrollhjemlene i øvrig saksbehandling ved at de er en planlagt undersøkelse av konkrete forhold i virksomhetene.

Se fullstendig oversikt over våre gjennomførte kontroller under «Vedlegg».

1.1.4 Saksbehandlingen

Saksbehandling er en av Datatilsynets viktigste oppgaver. De fleste av sakene som vi mottar blir behandlet i sin fulle bredde. Samtidig blir en del henvendelser tatt hånd om i veiledningssporet.

I 2017 startet arbeidet med å få ned antallet saker som behandles etter personopplysningsloven, før det nye regelverket trer i kraft. Vi har i derfor senket aktiviteten noe i forbindelse med andre oppgaver, slik som veiledningsmøter og eksterne foredrag. Dette gjaldt særlig i andre halvdel av meldingsåret. I kortere perioder har vi satt av alle ledige ressurser til saksbehandling, noe som gjorde at vi gikk inn i 2018 med svært lave restanser.

Antall saker, saksdokumenter og klager

I løpet av 2017 har vi mottatt et rekordhøyt antall saker og saksdokumenter. Vi mottok 1 807 nye saker, og til sammen 3 860 dokumenter, mot 1 745 innkomne saker og 3 435 dokumenter i fjor. Gjennomsnittlig antall innkommende saker de foregående fem årene er 1 440. Det dreier seg med andre ord om en betydelig økning innkomne saker i 2017 – omlag 25 prosent – hvis vi sammenligner med de siste årene.

Tabell 1.2 Oversikt over kontrollene vi gjennomførte i 2017, fordelt på stedlige, nettbaserte og brevlige tilsyn:

Bransje/sektor/område

Stedlig

Nett

Brevlig

Totalt

Helsesektoren

2

0

0

2

Justissektoren

1

0

0

1

Kommuners publisering på nett

0

13

0

13

Kredittsjekk ved utleie av bolig

0

0

6

6

Sporing i det offentlige rom

1

0

0

1

Kommersiell utnyttelse

0

0

1

1

Sum

4

13

7

24

Figur 1.3 Antall nye journalførte saker de siste årene

Figur 1.3 Antall nye journalførte saker de siste årene

Dette skyldes etter alt å dømme økt interesse for og oppmerksomhet om personvern. Som vist flere steder i denne meldingen peker alle piler oppover hva angår personvern. Det er ikke overraskende at dette også gjelder enkeltsaker. Vi mistenker også at mange virksomheter nå har fått opp øynene for viktigheten av å ivareta personvernet til kundene sine, og at dette for eksempel genererer flere henvendelser om forståelse av regelverket.

Figur 1.4 Antall journalførte dokumenter (ikke interne) de siste årene

Figur 1.4 Antall journalførte dokumenter (ikke interne) de siste årene

Dokumenter

Antallet enkeltvedtak er også det høyeste på mange år. Vi har fattet hele 683 enkeltvedtak i løpet av meldingsåret, mot henholdsvis 564, 595 og 525 de foregående årene. Også her har det altså vært en betydelig økning. En del av denne økningen kan forklares med at vi fattet hele 234 vedtak om personvernombud i løpet av året.

Figur 1.5 Antall vedtak fattet av Datatilsynet og antall klager mottatt de siste årene

Figur 1.5 Antall vedtak fattet av Datatilsynet og antall klager mottatt de siste årene

Klagesaker

Vi mottok bare 39 klager på våre vedtak i løpet av 2017, noe som prosentvis ligger på gjennomsnittet for de siste årene. I løpet av 2017 ble 20 klagesaker oversendt til Personvernnemnda for endelig klagebehandling der. I seks saker ble vedtakene omgjort etter at vi så på dem på nytt og det i flere av dem kom inn nye opplysninger i sakene. Per 31. desember 2017 var ikke alle klagesakene ferdigbehandlet. Av klagesakene som ble behandlet av nemnda i meldingsåret, fikk klager fullt eller delvis medhold i åtte saker.

Klageomfanget er med andre ord svært lavt sett i forhold til antall avgjørelser vi fatter i form av vedtak, og vi opplever stort sett at vedtakene våre blir akseptert.

Se fullstendig oversikt over alle sakene Datatilsynet sendte til Personvernnemnda for klagebehandling i 2017 under «Vedlegg».

Figur 1.6 Antall saker oversendt til Personvernnemnda de siste årene

Figur 1.6 Antall saker oversendt til Personvernnemnda de siste årene

Sanksjoner

Datatilsynet fattet vedtak om overtredelsesgebyr/tvangsmulkt i 16 saker i løpet av 2017. Ett overtredelsesgebyr ble omgjort i Personvernnemnda og derfor trukket, mens ett pålegg om tvangsmulkt ble trukket da virksomheten oppfylte alle kravene innen fristen. Tre av sakene er fremdeles til behandling hos nemnda.

Gebyrene var i størrelsesordenen 37 500 til 400 000 kroner. Det høyeste gebyret ble ilagt etter at Datatilsynet under stedlig kontroll avdekket at Oslo universitetssykehus ulovlig hadde samlet inn og behandlet helseopplysninger og biologisk materiale. Det er også fattet vedtak om tvangsmulkt i saker om ulovlig kameraovervåking og overtredelse av pasientjournalloven.

Se fullstendig oversikt over alle sanksjonene som ble vedtatt i 2017 under «Vedlegg».

Konsesjoner

Antallet konsesjoner gitt i meldingsåret er 183. Dette innebærer en liten nedgang sammenlignet med de to foregående årene. Dette har sannsynligvis ingen annen forklaring enn at antallet varierer fra ett år til et annet. Vi mottok 238 konsesjonssøknader i løpet av meldingsåret. Om lag 150 av søknadene gjaldt forskning på sensitive personopplysninger. 40 av søknadene dreide seg om dopingkontroll i treningssentre. 183 av konsesjonssøknadene resulterte i enkeltvedtak. I 15 av sakene ble det gitt fullt avslag, mens 105 av sakene var endringsvedtak. Et lite antall søknader fra 2017 vil bli behandlet ferdig i 2018.

Figur 1.7 Antall konsesjonssøknader og innvilgede konsesjoner de siste årene

Figur 1.7 Antall konsesjonssøknader og innvilgede konsesjoner de siste årene

Avviksmeldinger

Datatilsynet mottok 349 avviksmeldinger i løpet av året. Dette innebærer en betydelig økning sammenlignet med året før, da vi mottok 206 slike meldinger. Rapporterte avvik er en indikator på hvor godt virksomhetene fanger opp avvik, og hvor godt de kjenner til den forskriftsfestede rapporteringsplikten.

Når det nye regelverket trer i kraft, må det flere typer avvik meldes, det innføres krav til innhold i avviksmeldingen og en tidsfrist på 72 timer på å melde fra. Vi vurderer det slik at den betydelige økningen i 2017 skyldes økt bevissthet om avvik blant de behandlingsansvarlige, og at en del virksomheter allerede har etablert rutiner for avvikshåndteringen som følger av de nye kravene. Dette er meget positivt, men sannsynligvis bare et forsiktig frempek på hva vi må forvente av avviksmeldinger i årene som kommer.

Når det gjelder innhold, kan avviksmeldingene for eksempel gjelde datainnbrudd, uautorisert utlevering av konfidensielle personopplysninger, passord på avveier, feilaktig publisering av personopplysninger på nettet og lignende.

Figur 1.8 Antall registrerte avviksmeldinger de siste årene

Figur 1.8 Antall registrerte avviksmeldinger de siste årene

Høringer

Datatilsynet mottok 175 høringssaker, og har avgitt 53 høringsuttalelser med merknader i løpet av meldingsåret. Den mest omfattende uttalelsen, som var på over 100 sider, ble gitt til Justis- og beredskapsdepartementets forslag til ny personopplysningslov. En annen omfattende høringsuttalelse ble gitt til Lysne II-utvalgets rapport om digitalt grenseforsvar. Datatilsynet har videre hatt merknader til forslag til ny finansavtalelov, ny straffeprosesslov, ny barnevernlov, hvitvaskingslovutvalgets utredning, forslag om nytt fødselsnummer, en rekke endringsforslag i politiregisterloven, utlendingslovgivningen og forskrift om førerløse luftfartøy.

Se fullstendig oversikt over våre høringsuttalelser under «Vedlegg».

Offentlighetsloven og innsynskrav

Via offentlig elektronisk postjournal (OEP) mottok vi nesten 3 000 innsynsbegjæringer i løpet av 2017. Dette er det høyeste tallet på mange år. Samtidig har antall avslåtte begjæringer gått ned, og prosentvis er antall sladdede dokumenter sendt ut det laveste på flere år sett i forhold til begjæringene vi fikk inn.

Figur 1.9 Oversikt over hvordan høringene er behandlet de siste årene

Figur 1.9 Oversikt over hvordan høringene er behandlet de siste årene

Vi bestreber oss på etterleve offentlighetslovens mål om åpenhet, og vi legger ned store ressurser i utførelsen av de oppgavene som offentlighetsloven pålegger oss. Tallene fra fjoråret reflekterer at vi er på rett vei. En stor del av informasjonen som unntas, er av informasjonssikkerhetsmessig karakter, og er beskyttet av bestemmelsen om taushetsplikt i personopplysningsloven § 45.

Våre interne rutiner sørger for at både arkivet og saksbehandlerne vurderer hvilke dokumenter som kan unntas fra offentlighet. Når et dokument er vurdert én gang, gjenbrukes denne beslutningen dersom opplysningene bes utlevert på nytt.

Figur 1.10 Tall fra elektronisk postjournal (OEP)

Figur 1.10 Tall fra elektronisk postjournal (OEP)

Figur 1.11 Henvendelser til veiledningstjenesten de siste årene, fordelt på telefon og e-post

Figur 1.11 Henvendelser til veiledningstjenesten de siste årene, fordelt på telefon og e-post

1.1.5 Veiledningstjenesten

Datatilsynets veiledningstjeneste er et lavterskeltilbud for publikum som har spørsmål om behandling av personopplysninger. Et viktig mål med tjenesten er å gjøre enkeltpersoner i stand til å ivareta egne interesser i saker som gjelder personvern, og bistå virksomheter i å følge pliktene i personvernlovgivningen.

Det er stort spenn i spørsmålene, og de er av både juridisk, teknisk og sikkerhetsmessig art. Svarene vi gir er av veiledende karakter og er ikke bestemmende for rettigheter eller plikter, i motsetning til vedtak som fattes i den mer tradisjonelle saksbehandling.

I løpet av 2017 har veiledningstjenesten besvart 10 424 henvendelser. Dette består av 5 128 henvendelser på e-post og 5 296 per telefon. Sammenlignet med 2016 er dette en oppgang på 1 141 henvendelser.

Figur 1.12 Telefon og e-post over tid

Figur 1.12 Telefon og e-post over tid

Vi ser at antall e-poster har økt betraktelig, mens antall telefonhenvendelser har sunket noe. Dette kan forklares med at vi har halvert åpningstiden vår på telefon. Nedgangen har likevel vært mye mindre enn forventet. Realiteten er derfor at veiledningstjenesten svarer på omtrent like mange telefonhenvendelser som i 2016, men i et kortere tidsrom. Tallene viser at personvern opptar mange, og at det er et stort behov for veiledning.

Vi fører statiststikk over henvendelsene som besvares av veiledningstjenesten. Vi registrerer hva som er tema for henvendelsen og hvilken sektor henvendelsen hører under. I tillegg registrerer vi om henvendelsen dreier seg om den nye personvernforordningen, om det gjelder en sak som er til behandling hos oss, om henvendelsen dreier seg om arbeidsliv og om det er et spørsmål om personvernet til noen under 18 år. Dette gjør vi for å få en bedre oversikt over henvendelsene vi mottar. Denne kunnskapen kan blant annet benyttes til å tilpasse veiledningen på nettsidene våre.

Hvem tar kontakt med oss?

Statistikken viser at omtrent 53 prosent av de som tar kontakt med veiledningstjenesten er representanter for virksomheter, mens 47 prosent er privatpersoner. I 2016 var fordelingene 51 prosent virksomheter og 49 prosent privatpersoner. Det er derfor en liten økning i spørsmål fra virksomheter.

Figur 1.13 Alle henvendelsene fordelt på virksomheter og privatpersoner

Figur 1.13 Alle henvendelsene fordelt på virksomheter og privatpersoner

Når det gjelder spørsmål som dreier seg om den nye personvernforordningen, kommer de aller fleste spørsmålene fra virksomheter. Dette er naturlig da det er virksomhetene som primært forbereder seg til det nye regelverket.

Figur 1.14 Henvendelser om fordningen fordelt på virksomhet og privatpersoner

Figur 1.14 Henvendelser om fordningen fordelt på virksomhet og privatpersoner

Hva handler henvendelsene om?

Her følger en kort oppsummering av de mest sentrale kategoriene. Merk at tallene ikke vil være fullstendig dekkende, da flere av temaene vi får spørsmål om vil kunne plasseres i ulike kategorier.

Nedenfor er en oversikt over henvendelsene fordelt på hovedtema. Hvert hovedtema har igjen seks undertemaer. På den måten kan vi få et nokså greit bilde av hva som treffer oss av spørsmål.

Register

20 prosent av henvendelsene til veiledningstjenesten var ulike spørsmål knyttet til en eller annen form for register. Dette representerer en liten økning fra 17 prosent i 2016. Spørsmålene dreier seg om hva som kan registreres i ulike registre, når og hvordan man kan kreve å få slettet informasjon og hvem som har tilgang til opplysningene i registrene. Videre får tjenesten en del spørsmål om i hvilken grad det kan utleveres informasjon fra et register til en tredjepart.

Figur 1.15 Tema for henvendelsene

Figur 1.15 Tema for henvendelsene

30 prosent av henvendelsene gjelder kunde- og medlemsregistre, og 24 prosent er spørsmål knyttet til personalregistre. Vi får også en del spørsmål om journalopplysninger (helse, NAV, barnevern og lignende), samt registrering i forbindelse med kredittopplysningsvirksomhet.

Kameraovervåking

Kameraovervåking er en annen stor kategori som utgjorde 14 prosent av henvendelsene. Denne kategorien er nokså stabil sammenlignet med 2016, da den utgjorde 15 prosent.

60 prosent av disse henvendelsene gjelder spørsmål om virksomheter har anledning til å iverksette kameraovervåking. Eksempler på slike virksomheter er butikker, kjøpesentre, arbeidsplasser, skole og helseinstitusjoner. Det er mange arbeidstakere som tar kontakt fordi de føler seg urettmessig overvåket. Vi mottar også en del spørsmål om kameraovervåking i borettslag/sameier, ved hytter og i private boliger. Andre vanlige spørsmål er bruk av webkamera, samt spørsmål om lovligheten av kameraer i for eksempel naturen, i båthavner eller på andre offentlige områder.

Internett

Ulike henvendelser om internett sto for åtte prosent av henvendelsene. Dette er samme andel som i 2016. Hele 43 prosent av disse henvendelsene er spørsmål som gjelder publisering og sletting av personopplysninger (slik som bilder eller kameraopptak) på nett.

Veiledningstjenesten får også en del spørsmål om behandling av personopplysninger i nettbutikker og på ulike former for ratingsider. Også spørsmål knyttet til kontroll, sporing og sikkerhet på internett går igjen. Ellers får vi en god del spørsmål om avindeksering av søketreff i Google.

Sporing og kontroll

Denne kategorien utgjør 11 prosent av henvendelsene og består hovedsakelig av spørsmål knyttet til kontroll og sporing i arbeidslivet. Av disse gjelder 30 prosent arbeidsgivers innsyn og tilgang til arbeidstakers epostkasse, hjemmeområde og telefon. Et annet stort tema er problemstillinger som gjelder GPS og annen sensorteknologi. Tilgangskontroll og lydopptak går også igjen. Denne kategorien er stabil, og temaene for henvendelsene er omtrent identiske med 2016.

Melding og konsesjon

Syv prosent av henvendelsene gjaldt spørsmål om melding og konsesjon. 66 prosent er spørsmål om hvorvidt en behandling er melde- eller konsesjonspliktig. I likhet med i fjor utgjør dette den største andelen av henvendelsene. Det er også endel spørsmål om endring og oppfølging av melding og konsesjon, og hvordan meldinger og konsesjoner skal leveres.

Internkontroll og informasjonssikkerhet

Spørsmål knyttet til informasjonssikkerhet og internkontroll utgjorde åtte prosent av henvendelsene. Dette er omtrent på samme nivå som i fjor. Det er stor variasjon i disse spørsmålene. Bruk av skytjenester er et gjentagende tema, i tillegg til spørsmål om sikker lagring, tilgangsstyring og overføring av personopplysninger.

Fødselsnummer og biometri

Dette er en liten kategori som kun utgjør av to prosent av henvendelsene. Sammenlignet med fjoråret er det en nedgang fra fire prosent. Det handler i stor grad om privatpersoner som reagerer på at de i ulike sammenhenger må oppgi fødselsnummer, eller at de melder om at deres fødselsnummer er kommet på avveier. Det er også noen spørsmål fra virksomheter om hvorvidt de har lov til å benytte seg av fødselsnummer. Et fåtall av henvendelsen dreier seg om lovligheten av å bruke fingeravtrykk.

Overføring til utlandet

Kun to prosent av spørsmålene gjelder overføring av personopplysninger til utlandet som representerer en liten nedgang fra fire prosent i 2016. De fleste spørsmålene kommer fra virksomheter som ønsker råd for hvordan de skal gjennomføre en lovlig og sikker overføring av personopplysninger.

Personvernombud

Spørsmål knyttet til personvernombudsordningen utgjorde tre prosent av henvendelsene til veiledningstjenesten. Flere av spørsmålene har sammenheng med at personvernombudsordningen blir obligatorisk for mange virksomheter i 2018. Flere virksomheter lurer derfor på om de må ha ombud. Ellers er det en del spørsmål om hvordan man registrerer seg som ombud.

Annet om behandlinger av personopplysninger

Denne kategorien sto for av syv prosent av henvendelsene, og består av små temaer som spørsmål om id-tyveri, avvikssaker og spørsmål knyttet til bruk av personopplysninger til journalistiske, kunstneriske eller litterære formål. Også spørsmål av mer generell karakter om personopplysningsloven og Datatilsynet havner her. Personvernombud er i år skilt ut fra denne kategorien, så sammenligningsgrunnlaget med 2016 blir ikke helt presist.

Utenfor vår kompetanse

Seks prosent av henvendelsene knytter seg til spørsmål som faller utenfor Datatilsynets kompetanse. Dette er spørsmål som er regulert av andre lover, slik som spørsmål knyttet til offentlighetsloven eller om brudd på taushetsplikt etter forvaltningsloven.

En del av henvendelsene som kommer til veiledningstjenesten har tema går på tvers av sektorer og kategorier:

Spørsmål knyttet til arbeidsliv

Spørsmål knyttet til personvern i arbeidslivet har tradisjonelt sett utgjort en stor andel av henvendelsene til veiledningstjenesten. Det sjekkes derfor alltid om henvendelsen gjelder personvern i arbeidslivet. I 2017 har 19 prosent av henvendelsene dreid seg om arbeidsliv. Dette er en liten nedgang sammenlignet med 2016. Kategorien er imidlertid nokså stabil da det har ligget på rundt 20 prosent i flere år. Mange av spørsmålene handler om kontroll og overvåking av ansatte. Det er spørsmål om kameraovervåking på arbeidsplassen, innsyn og sletting av ansattes e-post, samt adgangskontroll og logging av arbeidsinnsats. Vi får også spørsmål om bruk av GPS-sporing og annen sporing av ansatte.

Spørsmål om personvernforordningen

EUs nye personvernforordningen trer som kjent i kraft i 2018. Vi har derfor valgt å registrere hvor mange av henvendelsene vi får som gjelder spørsmål knyttet til den kommende forordningen. I 2016 dreide kun én prosent av spørsmålene seg om dette, mens vi ser en økning til ti prosent i år. Vi mistenker imidlertid at dette er noe underrapportert i statistikken, siden dette er en «ekstrakategori» det er lett å glemme å føre opp. Statistikken viser likevel at det er en økning, noe som tyder på at forberedelsen til nytt regelverk er i gang for mange virksomheter. En stor andel av disse spørsmålene er generelle og lar seg ikke så lett kategorisere. Spørsmål knyttet til den nye personvernombudsordningen og spørsmål knyttet til informasjonssikkerhet går imidlertid igjen.

Spørsmål om personvernet til en under 18 år

For å danne oss et bilde av hvor mange henvendelsene som dreier seg om personvernet til barn og unge, fører vi dette som en egen kategori. Vi ser at fire prosent av henvendelsene dreier seg om dette. Også her kan det være noe underrapportert i statistikken, siden dette også er en «ekstrakategori» det er lett å glemme å føre opp. Av disse henvendelsen dreier 20 prosent seg om publisering og sletting av personopplysninger på nett (blant annet sosiale medier), 23 prosent dreier seg om registre og 12 prosent handler om kameraovervåking.

1.1.6 Kommunikasjonsvirksomheten

Personvernlovgivningen legger i stor grad ansvaret på den enkelte når det gjelder å ivareta eget personvern. Samtidig har virksomheter som behandler personopplysninger plikt til å etterleve lovgivningen på området. Dette gjelder både offentlige etater, private organisasjoner og næringsdrivende. Fordi privatpersoner, offentlige aktører og private virksomheter har så forskjellige behov, stiller dette store krav til hvordan vi jobber med kommunikasjon i Datatilsynet.

Datatilsynet har som strategisk satsing at vi skal bidra til økt kunnskap om og interesse for personvern. Vi skal også jobbe for at andre aktører tar personvernhensyn. Vi skal sette borgeren i stand til å ta vare på sitt eget personvern, og vi skal ha stor synlighet i personverndebatten. Her er kommunikasjon som virkemiddel selvsagt svært viktig.

Kommunikasjonsarbeidet er basert på statens kommunikasjonspolitikk og gjeldende regelverk, slik som offentlighetsloven og forvaltningsloven. Videre heter det i instruksen fra Kommunal- og moderniseringsdepartementet at vi skal ha en aktiv holdning til kommunikasjon, både internt og eksternt. Det er viktig at vi fanger opp signaler som angår Datatilsynet, og at vi bruker dette aktivt i kommunikasjonsarbeidet. Kommunikasjon skjer i første rekke gjennom nettstedet vårt, direkte veiledning overfor publikum, aktiv mediekontakt og gjennom en utstrakt foredragsvirksomhet.

Nettstedet www.datatilsynet.no

Nettstedet er det viktigste verktøyet vårt, og vi legger betydelig vekt på at innholdet skal være relevant, korrekt og godt tilpasset brukerne. Vi arbeider derfor kontinuerlig med å vedlikeholde og strukturere innholdet, samtidig som vi også må videreutvikle nettstedet på en god måte.

I 2017 lanserte vi et nytt nettsted som i større grad er tilpasset personvernforordningen og dagens bruk av nettstedet. I løpet av denne prosessen har vi blant annet endret design og innholdsstruktur, oppgradert til siste versjon av Episerver, redusert antall sider med 30 prosent og publisert flere nye veiledere om den nye personvernforordningen.

Nettstedet ble lansert som en forberedelse til at mye av innholdet på sidene må endres før forordningen trer i kraft.

Utvikling i bruk og besøk

Besøkene på nettstedet har gått kraftig opp i 2017. Antall besøk har økt med 244 prosent fra 2016 til 2017, mens antall sidevisninger har økt med 294 prosent i samme periode. Vi opplever stor interesse rundt den nye forordningen, og det nye regelverket er hovedårsaken til den enorme veksten.

Tabell 1.3 Oversikt over noen nøkkeltall fra nettstatistikken på datatilsynet.no:1

2016

2017

Antall sider på nettstedet

2 320

1 617

Antall besøk til nettstedet

202 000

695 222

Antall sidevisninger

598 000

2 355 033

Antall sidevisninger per besøk

3,5

4

Gjennomsnittlig besøksvarighet

3 min 52 sek

4 min 8 sek

Antall søk i søkemotoren på datatilsynet.no

43 000

75 789

Andel besøk fra mobile enheter

24 prosent

21 prosent

1 På grunn av et problem med statistikkverktøyet i 2016, har vi ikke statistikk for de første fire månedene av 2016. Tallene over er for perioden mai-desember 2016.

Vi ser også at bruksmønsteret endrer seg i tråd med den generelle trenden når det gjelder nettstedstrafikk. Stadig flere bruker søk når de skal finne relevant innhold. Søkefeltet fikk også en fremtredende plass på det nye nettstedet vårt. Antall søk har økt med hele 76 prosent fra 2016.

Personvernblogg, sosiale medier og debattinnlegg

Personvernbloggen.no fungerer etter intensjonen. Den er et rom hvor vi kan reise andre problemstillinger enn vi kan på den ordinære nettsiden, samt i større grad benytte ombudsrollen vår.

Vi følger med på omtale av Datatilsynet og personvern på Twitter, og vi besvarer raskt de fleste spørsmål og kommentarer som kommer via denne kanalen.

På grunn av vår rolle som håndhever av og veileder i det nye regelverket, har vi dessuten fått en rekke henvendelser om å skrive ulike innlegg i eksterne magasiner, blogger og annet. I 2017 leverte vi innlegg om nye personvernregler til blant annet Moderne handel, Nito, Fagbladet, Nextbridges biblogg, KS sine nettsider og elektronikkbransjen.no.

Tabell 1.4 Oversikt over noen sentrale tall

2014

2015

2016

2017

Innlegg på Personvernbloggen

50

40

30

17

Besøk på Personvernbloggen1

20 000

-

-

24 127

Twitterfølgere

12 392

14 100

15 000

15 900

1 Vi har ikke besøkstall for Personvernbloggen for 2015 og 2016 på grunn av en feil i statistikkverktøyet.

Nyhetsbrev

Datatilsynet fikk på plass ny løsning for nyhetsbrev i desember 2016. Det betydde at vi måtte innhente nye samtykker fra alle mottakerne av nyhetsbrevet. Det gir som regel en nedgang i antall abonnenter. Første brev i 2017 hadde derfor 1 209 mottagere. Vi har markedsført nyhetsbrevet på nettsidene og i e-postsignaturene våre, og i løpet av de 20 nyhetsbrevene vi sendte ut i 2017 steg antall abonnenter til 3 180. Vi sender som regel ut ett til to nyhetsbrev i måneden, avhengig av om vi har noe nytt å formidle leserne. Av personvernhensyn har vi ikke noe spesifikk statistikk på klikk, men kan generelt si at vi har en høy klikkrate i våre nyhetsbrev.

Mediekontakt

Vi vurderer mediene som en svært viktig kanal for å få frem budskapene våre, og det er jevn pågang og interesse fra disse. Vi legger stor vekt på å ha et profesjonelt forhold til mediene. Dette innebærer at vi skal ha god tilgjengelighet og et høyt servicenivå overfor journalistene. Dette mener vi å ha lykkes godt med også i 2017.

Vi noterer ned hver gang vi kontaktes av journalister og i løpet av året har vi registrert 648 besvarte mediehenvendelser. Se tabell under.

2014

2015

2016

2017

Mediehenvendelser

800

650

618

648

Medieovervåkingstjenesten M-Brain har registrert til sammen 2 378 oppslag i internettbaserte medier hvor Datatilsynet er omtalt i løpet av året. Se tabell under.

2015

2016

2017

Medieoppslag1

1 843

2 111

2 378

1 Det varierer noe fra år til år hvordan M-Brain (tidligere Opoint) rapporter, så tallene vil ikke vise et fullstendig bilde.

Dette viser en jevn oppgang de siste tre årene. Tallene er ikke helt nøyaktige, da mange av henvendelsene som kommer til oss gjerne resulterer i flere oppslag både i regionale og nasjonale medier, eller vi omtales uten å være kontaktet. Det har også vært mange oppslag der vi har vært omtalt eller intervjuet i internasjonale medier det siste året, noe vi heller ikke har tall på.

Dette var noen av de temaene som fikk mest medieomtale i 2017:

  • Nye personvernregler – forordningen

  • Pasientdata på avveier – Helse Sørøst

  • Digitalt grenseforsvar

  • Smartklokker for barn

  • Nettvett blant barn og unge

  • Foreldres deling av bilder av barn på nett

  • Legelisten

  • Sosiale medier og personlig informasjon

Figur 1.16 Antall nettbaserte medieoppslag med omtale av Datatatilsynet – registrert i M-Brain

Figur 1.16 Antall nettbaserte medieoppslag med omtale av Datatatilsynet – registrert i M-Brain

Vi ser av oversikten at oktober peker seg ut. Det henger nok sammen med at oktober er Nasjonal Sikkerhetsmåned med mange arrangement som handler om sikring av persondata. Vi lanserte blant annet en veileder om innebygd personvern, noe som fikk stor oppmerksomhet.

Foredragsvirksomheten

Foredrag er en viktig del av vår utadrettede kommunikasjonsvirksomhet. Det gir oss muligheten til å øke kjennskapen til rettigheter og plikter, og å skape økt forståelse for betydningen av å ivareta personvernhensyn. Samtidig gir det oss synlighet og tilgjengelighet for virksomheter, interesseorganisasjoner, publikum og ulike sektorer. Forespørslene vurderes ut fra kriterier slik som antall deltagere, om temaet er relevant for våre satsningsområder, samt vår kapasitet.

Figur 1.17 Antall holdte foredrag de siste årene

Figur 1.17 Antall holdte foredrag de siste årene

I 2017 holdt vi 417 foredrag. Dette er mer enn dobbelt så mange som i 2016. Samtidig har vi også takket nei til rekordmange henvendelser. Denne sterke økningen i antall foredragshenvendelser skyldes stor etterspørsel etter informasjon om de nye personvernreglene.

En del av økningen skyldes også at vi i større grad enn tidligere har brukt foredrag strategisk. Vi har henvendt oss til arrangører av konferanser og seminarer, eller inngått samarbeid med ulike aktører om et eller flere konkrete foredrag med generelle innlegg om personvern. Det har bidratt til at vi har nådd frem med vårt budskap til viktige målgrupper over hele landet. Vi har erfart at vi gjennom disse foredragssamarbeidene også har rekruttert flere ambassadører for budskapet om personvern blant interesseorganisasjoner, konsulentselskap og andre arrangører. I forbindelse med noen av arrangementene har vi også stått på stand. Dette har gjort oss synlige, tilgjengelige for å svare på spørsmål og gitt oss mulighet til lytte til innspill fra våre målgrupper.

Temaene for foredragene varierer, men i 2017 har de fleste foredragene handlet om de nye personvernreglene. Dette er de mest populære temaene:

  • Nye personvernregler

  • Personvern i helsesektoren

  • Stordata

  • Kommersiell bruk av personopplysninger – det store datakappløpet

  • Informasjonssikkerhet, innebygd personvern og ny teknologi

1.2 Årets viktigste aktiviteter

1.2.1 Nytt personvernregelverk

Den store regelverksendringen som EUs nye personvernforordning fører med seg, har som nevnt vært en betydelig oppgave for Datatilsynet i 2017, og vil også være det i årene som kommer. Det nye regelverket ble vedtatt i april 2016, og skal etter planen implementeres i norsk rett 25. mai 2018.

Forberedelsesarbeidet ble påbegynt i Datatilsynet i 2015, og intensivert i 2016 og 2017. Vi har fulgt regelverksutviklingen i EU meget tett, og har prioritert internasjonal tilstedeværelse. I tillegg har vi påtatt oss oppgaver i regi av EU for å være best mulig forberedt når forordningen trer i kraft. Samarbeidet med de nordiske datatilsynsmyndighetene er også intensivert i forbindelse med dette arbeidet.

I løpet av 2017 har vi tilegnet oss mer kunnskap om de nye reglene og hvilke endringer det regelverket vil medføre for virksomheter som behandler personopplysninger, de registrertes rettigheter og Datatilsynet som forvaltningsorgan. Vi har i løpet av året gjennomført de interne prosessene som ble satt i gang i 2016 for å forberede organisasjonen på å ivareta vår samfunnsoppgave og vårt mandat etter mai 2018.

Datatilsynet har deltatt i en tverrdepartemental arbeidsgruppe som ledes av Justis- og beredskapsdepartementet, og som er knyttet til implementeringen i norsk rett. Vi samarbeider også med departementet om den formelle innføringen av forordningen i EØS-avtalen, og vi har bistått departementene med innspill i forbindelse med regelverksarbeidet.

Gjennomføringen av arbeidet med personvernforordningen var i 2016 og frem til høsten 2017 organisert i fem delprosjekt:

  • Nytt regelverk (juridisk). Dette delprosjektet hadde ansvar for å vurdere hva det nye regelverket betyr for Datatilsynet. Prosjektet holdt også i våre internasjonale forpliktelser, og vi hadde kontakt med Justisdepartementet om arbeidet med å innføre forordningen i norsk rett.

  • IKT og prosess-støtte. Dette delprosjektet sørget for at vi har nødvendige og hensiktsmessige fagsystemer for å håndtere oppgavene våre etter nytt regelverk. Dette inkluderte gode løsninger for samhandling med eksterne parter og støtte i vår interne saksbehandling.

  • Kommunikasjonsprosjektet. Delprosjektet håndterte de rene kommunikasjonsoppgavene knyttet til de nye reglene. Først og fremst skulle prosjektet legge til rette for at både offentlige og private virksomheter får den informasjon de trenger for å kunne etterleve det nye regelverket og for at innbyggerne får informasjon om sine rettigheter.

  • Personvernombud. I dette delprosjektet ble tilpasningene av personvernombudsordningen til det nye regelverket håndtert. Ordningen går fra å være frivillig til å være obligatorisk for alle offentlige virksomheter og den vil også pålegge langt flere private virksomheter å opprette personvernombud. Delprosjektet har i tillegg til dette utredet hvordan den fremtidige opplæringen av personvernombud skal foregå.

  • Web. I dette delprosjektet ble nødvendige endringer av plattform, struktur og innhold på vårt nettsted vurdert og satt i gang.

1.2.1.1 Gjennomførte aktiviteter

Høringsinnspill til forslag til ny personopplysningslov

Selv om forordningen viderefører mange rettigheter og plikter fra dagens regelverk, er det også mye som er nytt. Konsekvensene av endringene vil langt på vei måtte avklares i praksis i tiden som kommer. Samtidig er gjennomføringen i nasjonal rett, slik som avklaring av nasjonalt handlingsrom og valg av nasjonale reguleringer, svært viktig for å sikre god etterlevelse av forordningen. Videre er forordningsteksten svært omfattende og vanskelig tilgjengelig, og det er begrenset med rettskilder som direkte belyser hvordan reglene i forordningen er å forstå. Den kommende lovproposisjonen om ny personopplysningslov blir derfor etter vårt syn en viktig rettskilde, særlig når det gjelder kravene til nasjonalt regelverk. Vårt høringsinnspill til lovforslaget var derfor svært omfattende, og vi omtalte de fleste problemstillingene som ble tatt opp i høringen.

Som vi skrev i høringsuttalelsen, er vi i hovedsak enige i departementets beskrivelse av nasjonalt handlingsrom, og i departementets valg av områder som er gjenstand for nasjonale tilpasninger. Samtidig mener vi at det er forholdsvis mange problemstillinger departementet med fordel kunne ha gått nærmere inn i. Vi påpekte at vi gjerne skulle sett at høringsnotatet beskrev kravene som forordningen stiller til nasjonal lovgivning mer inngående.

Andre merknader i uttalelsen var at vi er kritiske til at begrepet «personvernombud» er foreslått erstattet med «personvernrådgiver». Vi er også kritiske til den foreslåtte bestemmelsen om behandling av sensitive personopplysninger for arkiv, forskning og statistiske formål, fordi vi mener at den ikke oppfyller kravene til klarhet i hjemmelsgrunnlaget. Vi mener videre det bør innføres en foreldelsesfrist for adgangen til å gi overtredelsesgebyr, og at det må vurderes å gi en straffebestemmelse for brudd på loven. Det bør gis overgangsregler for gjeldende konsesjoner. Når det gjelder barns samtykke ved informasjonstjenester støtter vi departementets forslag om en bestemmelse som setter en aldersgrense på 13 år.

Veiledning og ekstern opplæring om forordningen

Vi har i 2017 prioritert veiledning rettet mot virksomheter. Vi har arrangert felles seminarer med, eller bidratt på seminarer i regi av, blant annet ISACA, Finans Norge, Regnskap Norge, IKT Norge, KINS og KS, Atea, DN, Dataforeningen og Kreditorforeningen. Dette for å nå flest mulig virksomheter som er berørt av lovendringene. På slike arrangementer formidler vi som oftest generell informasjon om forordningens bestemmelser.

I tillegg har vi holdt temabaserte foredrag om blant annet profilering, automatiserte beslutninger, informasjonsplikt, informasjonssikkerhet, avviksmeldinger, personvernombud og internasjonal samarbeid. Datatilsynet har også bistått eksterne aktører i etablering av kurs for personvernombud og deltatt med ressurser i gjennomføringen av slike opplæringskurs.

Vi bruker nettsidene våre aktivt for å spre informasjon om hvilke plikter virksomhetene har etter de nye reglene. Nettsidene inneholder oppdatert informasjon om veiledninger som er skrevet av EUs samarbeidsorgan på personvernområdet (Artikkel 29-gruppen), samt veiledninger som vi selv har utarbeidet – ofte med utgangspunkt i avklaringer som er foretatt internasjonalt.

Dette gjelder blant annet personvernombud, innebygd personvern og personvern som standardinnstilling, håndtering av avvik og vurdering av personvernkonsekvenser.

Informasjon til kommunesektoren om nye personvernregler

Våre kontroller med kommunesektoren de siste årene har vist at mange kommuner har en lang vei å gå for å sikre at de etterlever personvernregleverket. I og med at det kommer nye og strengere krav til kommunenes håndtering av personopplysninger fra 2018, er det viktig at de setter personvern på agendaen. Vi sendte derfor et informasjonsbrev til alle rådmenn og fylkesrådmenn i mars 2017. I brevet beskrev vi vår erfaring med sektoren, ga råd om hvordan kommunene bør starte arbeidet med ny lov og informerte om vårt arbeid med sektoren.

I tillegg til å informere kommunesektoren om de nye reglene, har vi også holdt en rekke foredrag, vært tilstede på konferanser og andre arrangement for sektoren, deltatt i rådmannsutvalg, informert i fagpresse og samarbeidet med sektorens interesseorganisasjoner.

Intern kompetansebygging og internorganisering

Datatilsynet har gjennomført opplæring for ansatte i samtlige sentrale bestemmelser i forordningen. Vi har også laget en plan for videre kompetansebygging, både knyttet til generelle temaer og spesifikt knyttet til aktuelle samfunnsområder og bransjer. I tillegg har det vært arrangert flere interne seminarer med forordningen som tema.

Vi har dessuten kartlagt og lagt planer for hvilke nye rutiner for praktisering av ulike bestemmelser i forordningen som må på plass før den trer i kraft. Eksempler på dette er rutiner for gjennomføring av forhåndsdrøftelser og saksbehandling etter samarbeids- og konsistensmekanismen.

1.2.1.2 Fremtidige utfordringer

Det å sikre en god og effektiv innføring av, og overgang til, nytt regelverk er selvsagt krevende både faglig og ressursmessig. Det er også viktig at vi, samtidig som vi gjennomfører intern opplæring og endrer vår måte å jobbe på, holder den daglige driften etter gjeldende lovverk på normalt nivå. Dette krever stram og god ledelse med svært god oversikt og tydelige prioriteringer.

Vi gjør det beste vi kan, med de ressurser og virkemidler vi har, for å forberede alle berørte på det nye regelverket som kommer. Det er imidlertid virksomhetene, både private og offentlige, som skal etterleve det nye regelverket. Selv om vi gjør det som er mulig innenfor våre rammer, vil det være elementer som skal sikre etterlevelse som står utenfor vår kontroll. Dette vil være aktiviteter som aktører innen sektorene selv, samt regjeringen, må sørge for at skjer.

Sektorer og bransjer må selv ta sitt ansvar for å møte de nye regelverkskravene. For eksempel er bransjenormer sett på som et viktig instrument for etterlevelse, og det krever handling fra særlig bransjeorganisasjonene. Kravene om innebygget personvern og vurderinger av personvernkonsekvenser, forutsetter kunnskap og handling hos de ansvarlige, leverandører og organisasjoner. En vellykket innføring av personvernforordningen krever altså vesentlig større aktivitet enn det som skjer i regi av Datatilsynet.

2018 vil bli et overgangsår for Datatilsynet, ved at vi går fra et godt kjent og innarbeidet regelverk til et nytt regulatorisk rammeverk. Både materielle endringer i regelverket, nye rutiner for håndtering av ulike typer saker og ikke minst økt samarbeid med andre lands datatilsynsmyndigheter, vil stille høye krav til organisasjon og gjennomføring. Slik vi ser det vil håndteringen av overgangsordninger, økt grad av internasjonalisering og økte krav til robuste vurderinger av personvernkonsekvenser, peke seg ut som utfordringer i perioden som kommer.

Overgangen fra gammel til nytt regelverk innebærer også avvikling av «gamle saker», saker som er lagt frem etter regler som ikke videreføres i forordningen. Det er per i dag ikke klart om det blir overgangsordninger for allerede gitte konsesjoner og tillatelser fra Datatilsynet i det nye regelverket. Det er imidlertid klart at det å håndterere problemstillinger når det gjelder overgangen til nytt regelverk, vil bli krevende. Det vil bli viktig å sikre at eventuelle overgangsregler både legger til rette for at personverninteressene til de registrerte ivaretas tilfredsstillende, men også at de ikke får en konkurransevridende effekt på markedet.

Med forordningen innføres komplekse regler for samarbeid mellom datatilsynene i Europa, både i enkeltsaker og mer generelt knyttet til tolkning og praktisering av forordningens bestemmelser. Formålet med dette er å sikre harmonisering av praksis. Mange saker vil fremdeles behandles nasjonalt som i dag, men praksisavklaringer og avgjørelser med presedensvirkning vil i stor utstrekning trolig måtte besluttes internasjonalt. I andre tilfeller vil selve saksbehandlingen følge det internasjonale sporet når det gjelder prosess, men det materielle innholdet i våre vurderinger vil fremdeles ha nasjonal preg. Dette vil bli en ny måte å arbeide på for alle tilsynsmyndighetene og det vil kunne medføre noen utfordringer før samarbeidet går seg til.

Datatilsynets mulighet til å påvirke i internasjonale samarbeidsfora vil bli endret med innføringen av forordningen. Siden Norge ikke er medlem av EU, har vi bare status som observatør, og vi har ikke stemmerett i aktuelle samarbeidsfora. Dette er også tilfelle i det eksisterende personverndirektivet, men dette har i realiteten ikke hatt så stor betydning siden samarbeidet ikke har vært like omfattende og formelt som det vil bli fremover.

Vi vil altså bare kunne påvirke prosesser og fremme norske synspunkter gjennom aktiv deltakelse, og ikke gjennom bruk av stemmerett. Dette krever at vi følger godt med på praksisen som tilsynsmyndighetene utvikler i samarbeid. Beslutninger som tas internasjonalt må tilflyte Datatilsynets medarbeidere raskt og innarbeides i vår praksis.

I tillegg kreves det at vi klarer å formidle våre posisjoner tydelig, samt kan identifisere og belyse eventuell spesielle norske forhold i beslutningsprosesser i EU.

Forordningen stiller tydelige krav til vurdering av personvernkonsekvenser med sikte på å identifisere risikotilpassede tiltak for å ivareta personvernet til de registrerte. Det nye regelverket krever at alle som er involvert i behandling av personopplysninger må kunne gjennomføre gode vurderinger av personvernkonsekvensene. Dette krever god kompetanse om personvern. Det gjelder også lovgiver. Vi ser ofte at lov- og forskriftsforslag er mangelfulle når det gjelder utredning av personvernkonsekvenser. Det er viktig å sikre at lovhjemler for behandling av personopplysninger tar høyde for kravene etter forordningen, og at de er tilstrekkelig detaljerte for å oppfylle sitt formål.

God og tydelig veiledning til alle som er involvert i vurdering av personvernkonsekvenser, også i forbindelse med lovarbeid, blir derfor nødvendig.

1.2.2 Innebygd personvern og teknologi som kan være personvernfremmende

I «Meld. St. 11 (2012–2013) Personvern – utsikter og utfordringar» løftet regjeringen frem arbeidet med innebygd personvern, og uttalte blant annet at «det bør fastsetjast eit prinsipielt mål om innebygd personvern i alle sektorar». Dette er fulgt opp i senere uttalelser fra regjering og departement, sist i «Stortingsmelding nr. 27 (2015–2016) Digital agenda for Norge», hvor det blant går frem at regjeringen vil arbeide for at IKT-systemer i offentlig forvaltning skal ivareta prinsipper for innebygd personvern, herunder personvernvennlige standardinnstillinger.

Innebygd personvern har vært en anbefaling fra Datatilsynet siden 2012. Etter EUs personvernforordning blir det en plikt for virksomheter å ha innebygd personvern som standardinnstilling. Kravet om innebygd personvern innebærer at virksomheter skal gjennomføre organisatoriske og tekniske tiltak som ivaretar personvernprinsippene og de registrertes rettigheter ved etablering av løsninger, system, apper og lignende.

Tilbakemeldinger fra flere virksomheter har vært at denne plikten er vanskelig å forstå omfanget av, enten de er plikthavere etter regelverket, eller leverandører av programvare, og at det har vært et behov for å tydeliggjøre begrepet. Vi anså det derfor som nødvendig å lage veiledning hvor vi så nærmere på hvordan personvernprinsippene, de registrertes rettigheter og sikkerhetskrav etter personvernregelverket kan knyttes til hver aktivitet i utviklingsløpet.

1.2.2.1 Gjennomførte aktiviteter

Veilederen «Programvareutvikling med innebygd personvern»

Første halvår i 2017 startet vi arbeidet med å lage en veileder om innebygd personvern. Vi satte sammen en arbeidsgruppe med representanter fra Datatilsynet, samt eksterne representanter fra privat og offentlig sektor som alle hadde kompetanse på sikkerhet og programvareutvikling. Veilederen ble skrevet av oss, og så sendt på høring blant deltakerne i arbeidsgruppen, i tillegg til noen flere eksterne virksomheter.

Veilederen er bygget opp slik at kravene lett kan kompletteres i anerkjente rammeverk for programvareutvikling, slik som Software Development Lifecycle (SDL) og Microsoft Security Development Lifecycle. I tillegg benyttet vi oss av retningslinjer fra European Union Agency for Network and Information Security (ENISA), «Privacy and Data Protection by Design». Rammeverkene innenfor utvikling benyttes av flere arkitekter og utviklere, og kan brukes ved utvikling innenfor velferdsteknologi, tingenes internett, apper, systemer og løsninger. Veilederen er blitt tatt meget godt imot i utviklingsmiljøet.

Veilederen har blitt oversatt til engelsk, og er blitt presentert for internasjonale personvernmyndigheter i Artikkel 29-gruppen, EU-kommisjonen, Technology subgroup (undergruppe i Artikkel 29-gruppen) og Berlingruppen. I tillegg har vi hatt en orientering for personvernmyndigheten (OPC) i Canada. Vi har også blitt kontaktet av en stor internasjonal programvareleverandør som har fortalt om stor interesse internasjonalt om vår veileder, og at det er initiativ i deres virksomhet om blant annet å oversette veilederen til polsk for å kunne spre budskapet blant teknologivirksomheter i Polen.

Vi utarbeidet dessuten en plakat med hovedpunkter fra veilederen. Den finnes både digitalt og i papir. Plakaten er populær og etterspurt, og vi har til nå trykket opp 2700 eksemplarer.

Konkurranse «Innebygd personvern i praksis»

For å sette fokus på utvikling av personvernfremmende teknologi, lanserte vi høsten 2017 en konkurranse for de som utvikler løsninger, applikasjoner eller system etter prinsippene for innebygd personvern. Vinneren kåres i starten av 2018.

Vi lanserte både veilederen og konkurransen på et frokostseminar i regi av Den Norske Dataforening. Statssekretær Paul Chaffey var innleder sammen med direktør Bjørn Erik Thon. Publikum bestod av 700 personer tilstede i salen og rundt 1500 oppkoblinger på strømming – noe som er det høyeste antallet personer som har fulgt med på et av våre seminarer.

Høringer

I vår høringsuttalelse til «NOU 2016: 19 Samhandling for sikkerhet – beskyttelse av grunnleggende samfunnsfunksjoner», har vi påpekt at ved digitalisert overføring av registeropplysninger (Personellsikkerhet) bør registereierne følge prinsippene om innebygd personvern.

Øvrige aktiviteter

Både i forkant og i etterkant av lanseringen av veilederen, har vi holdt rundt 30 foredrag og arbeidsmøter for ulike målgrupper der temaet i hovedsak har vært innebygd personvern. Vi mener at vi har nådd ut til mange som jobber med programvareutvikling, særlig ved at vi har presentert veilederen på noen av de største norske konferansene der utviklere er til stede.

Vi har dessuten engasjert en masterstudent for 2018. Studenten skal bygge en app, og samtidig demonstrere hvordan prinsippene i veilederen kan ivaretas for hvert utviklingssteg. Dette vil også bidra til å tydeliggjøre hvordan dagens og fremtidens teknologi kan ivareta borgernes personvern.

1.2.2.2 Fremtidige utfordringer

Gamle system som ikke har innebygd personvern vil være en utfordring i tiden fremover. I noen miljøer virker det som det er liten vilje å bytte ut systemer som har stått og gått i mange år. Mange av disse gamle systemene er heller ikke i samsvar med dagens regelverk. Vi mener det er viktig at de behandlingsansvarlige planlegger utfasing av systemer som ikke ivaretar tilstrekkelig personvern og sikkerheten. Dette for å opprettholde tillitten til norske borgere. Vi ser at dette er spesielt viktig for norske myndigheter som til nå har hatt en stor tillitt i befolkningen. Det at enkelte statlige virksomheter effektiviserer og gevinstrealiserer på bekostning av personvernet, har gjort den enkelte borger mer bevisst på om man kan stole på de systemene som myndighetene benytter i digitaliseringen.

1.2.3 Helse og velferd

Helse- og velferdsområdet omfatter primær og sekundær bruk av opplysninger innen helse- og omsorgstjenestene, NAV, helseforskning og samfunnsforskning. Opplysningene som behandles i denne sektoren er blant de mest sensitive som finnes, og befolkningen selv anser opplysningene som særlig beskyttelsesverdige. Innen dette ansvarsområdet behandles det opplysninger om befolkningen i alle livsfaser, og bruk og gjenbruk av våre opplysninger til stadig flere formål øker.

Hovedutfordringen innen helsesektoren er at det er stort press på teknologisk utvikling og nye løsninger, og dette skjer i et raskt tempo. Pasientoppfølging forventes å bli mer og mer digitalisert, for eksempel gjennom innbyggertjenesten www.helsenorge.no. I Midt-Norge arbeides det med å utvikle Helseplattformen. Den vil gi innbyggerne i regionen en felles journal uavhengig av hvilket tjenestenivå de mottar hjelp fra.

Helse- og omsorgstjenesten er preget av mange aktører og flere ulikt organiserte virksomheter med forvaltningsansvar og beslutningsmyndighet. Leverandører og databehandlere har ofte sentrale roller, og ansvarsforholdene kan ofte være uklare.

Det er en forventning om effektivisering, og dette medfører utkontrakteringer og sentralisering av kompetanse og beslutningsmyndighet.

Endringer i form av digitalisering av journalopplysninger stiller nye krav til systemenes evne til å ivareta sikkerhet knyttet til konfidensialitet, tilgjengelighet og integritet. Risikobildet i sektoren må sies å endres radikalt når man beveger seg fra papirdokumentasjon over til elektronisk behandling av opplysninger.

Det er også et økende ønske om og påtrykk for gjenbruk av helseopplysninger, såkalt sekundærbruk av data. Det opprettes stadig nye kvalitetsregistre, og mange av disse er store i omfang og har som formål å være permanente. Det pågår utredningsarbeid for å finne nye løsninger for å gjøre data tilgjengelige på en mer effektiv måte enn tidligere, blant annet i Helsedataprogrammet i Direktoratet for e-helse.

NAV har også mange av de tilsvarende utfordringene. Dilemmaet mellom å ha tilgjengelige opplysninger og å sikre tilfredsstillende konfidensialitet, kan gi utfordringer for hensynet til borgernes personvern. En nyere problemstilling er ønsket om å bruke NAVs datamateriell i stordataanalyser.

1.2.3.1 Gjennomførte aktiviteter

Tilsyn

Vi gjennomførte i 2016 kontroll med Oslo Universitetssykehus HF og Janusbanken. Dette helseregisteret har rettslig grunnlag gjennom konsesjon fra Datatilsynet, og vi ønsket å kontrollere om våre konsesjonsvilkår ble etterlevd. I 2017 ble den endelige kontrollrapporten sendt, og i desember 2017 fattet vi vedtak om overtredelsesgebyr som følge av avvikene kontrollen viste.

Vi har gjennomgått besvarelsene etter brevkontroller med de forskriftsregulerte, sentrale helseregistrene vi har, og vi har sendt ut foreløpige kontrollrapporter og mottatt svar fra registrene. Foreløpige funn er at det er avvik knyttet til informasjonsplikten overfor borgerne og mangler knyttet til loggføring og avvikshåndtering hos enkelte av registrene. Endelige kontrollrapporter er ikke ferdige.

Det er også sendt ut foreløpige rapporter etter brevkontroller med helseforetakenes behandling av data til såkalt intern kvalitetssikring. Vi synes å ha oppnådd formålet med disse kontrollene, ved å ha fått et bedre kunnskapsgrunnlag om omfanget av og hvordan opplysninger behandles for kvalitetssikring.

Etter en klage, fant vi grunn til å gjennomføre stedlig kontroll med Sykehuset i Telemark HF og deres tilgangsstyring til opplysninger i elektronisk pasientjournal. Kontrollen avdekket at tilgangsstyringsløsningen var felles for hele Helse Sør-Øst RHF, og vi sendte derfor krav om redegjørelse til alle sykehusene i det regionale helseforetaket. Vi har mottatt svar, men har foreløpig ikke saksbehandlet dem.

Kontrollsak mot Helse Sør-øst

Etter en langvarig korrespondanse med forskjellige aktører i Helse Sør-Øst RHF, sendte Datatilsynet i oktober varsel til ni helseforetak om overtredelsesgebyr på 800 000 kroner. Gebyrene ble gitt som følge av avvik knyttet til sikkerhetsledelse og manglende risikovurderinger i forbindelse med beslutningen om tjenesteutsetting av IKT-drift til utlandet. Saken fikk mye oppmerksomhet i media, og den har ført til en stor endring i helsesektoren når det gjelder bevissthet rundt ansvarsforhold og risikovurderinger.

I kjølvannet av saksbehandlingen vår, har vi samarbeidet med andre tilsynsmyndigheter som NSM, Finanstilsynet og Helsetilsynet, og det har også vært møter med Difi og Direktoratet for e-helse. Formålet med dette samarbeidet har vært å etablere en felles strategi rundt temaet tjenesteutsetting av IKT-tjenester, både i helsesektoren og andre deler av offentlig sektor.

Datatilsynet har hatt god dialog med Helse Sør-Øst i etterkant, og virksomheten jobber med å rette opp i dette. Saken var ikke ferdigbehandlet ved årsskiftet, og det planlegges aktiviteter for oppfølging av saken i 2018.

Sentrale høringsuttalelser

Forskrift for regulering av kommunalt pasient- og brukerregister (KPR-forskriften)

Datatilsynet ga en høringsuttalelse til forslaget om forskrift for regulering av kommunalt pasient- og brukerregister. Vi var blant annet kritiske til registerets omfang når det gjaldt innhold og formål, manglende utredning av personvernkonsekvenser for de registrerte og utilstrekkelig risikovurdering av forslaget. Vi stilte også spørsmål ved om måten dette registeret ble til er i tråd med de grunnleggende prinsippene om demokratisk kontroll av inngripende behandling av personopplysninger.

Pasientens legemiddelliste

Helse- og omsorgsdepartementet kom også med forslag til et register kalt pasientens legemiddelliste. Forslaget innebærer at man skal lagre flere opplysninger om legemiddelbruk, over lengre tid og med flere som har tilgang enn tidligere. Datatilsynet stilte spørsmål ved om registeret kunne opprettes basert på samtykke fra pasientene fremfor en reservasjonsløsning. Vi savnet også en samlet vurdering av konsekvensene av forslaget, og vi var ikke enige i lagringstiden som ble foreslått.

Endring i biobankloven (forslag om varig lagring av blodprøver samlet inn gjennom nyfødtscreening)

I september ga vi vårt høringssvar til forslag til endring av behandlingsbiobankloven knyttet til varig lagring av blodprøver innsamlet gjennom nyfødtscreeningen. Vi var kritiske til at det i forslaget ble åpnet for permanent lagring av blodprøver, særlig siden dette ikke er i tråd med det fagmiljøet ved screeningprogrammet selv har uttalt at de har behov for. Det synes som om det er forskningsformål som har vært styrende for forslaget om permanent lagring, noe som medfører at konsekvensvurderingene som er gjort, ikke blir riktige. Vi presiserte at forslaget ikke synliggjør hvilke etiske og personvernrelaterte spørsmål som må diskuteres før man tar stilling til om vi i Norge skal tillate etablering av en nasjonal biobank med blodprøver fra hele befolkningen. Saken vil få videre oppfølging i 2018.

Forskrift om befolkningsbaserte helseundersøkelser

I høringssvaret vårt til forskrift om befolkningsbaserte helseundersøkelser, var vi spørrende til hvilken verdi forslaget vil ha når den nye personvernforordningen trer i kraft samtidig med forskriften. Vi mente at det var tatt for liten høyde for de endringene forordningen medfører. Vi mente også at forslaget ikke tok for seg mange av de aktuelle spørsmålene disse befolkningsundersøkelsene reiser, slik som for eksempel samtykkets rekkevidde, tilbakeføring av analyseresultater, innsyn, inkludering av barn og lignende. Vi var kritiske til at forskriftens innhold vil medføre store endringer i forhold til de premissene som ligger til grunn for Datatilsynets konsesjoner til disse undersøkelsene, samt i forhold til gjeldende samtykker fra de registrerte.

Saksbehandling

Vi har mottatt og behandlet søknader om konsesjon knyttet til behandling av helseopplysninger i forsknings- og kvalitetssikringsprosjekter og i helseregistre. Store deler av våre ressurser på dette feltet har gått til behandling og oppfølging av enkeltsaker. I mange tilfeller medfører søknader om konsesjon behov for omfattende kontakt i form av veiledning og informasjon forut for og underveis i saksbehandlingen.

Vi har gjennomgått praksisen vår og har mot slutten av året lagt om saksbehandlingen noe i påvente av personvernforordningen ved å gi enklere begrunnelser.

Øvrige aktiviteter

1. januar 2016 ble Direktoratet for e-helse opprettet, og de tidligere oppgavene til Helsedirektoratet delt mellom de to etatene. Vi har hatt flere møter med det nye direktoratet og etablert god kontakt med relevante personer og avdelinger. Denne kontakten er helt sentral for å kunne følge de pågående prosessene innen helsesektoren med blant annet Helsedataprogrammet, velferdsteknologi, Nasjonal kjernejournal, «Én innbygger – én journal», og e-Resept.

I Helse Midt-Norge utvikles Helseplattformen som er en felles journal uavhengig av hvilket tjenestenivå helsehjelpen gis på. Dette er et prosjekt som er viktig å følge med på for Datatilsynet, og vi har hatt flere møter i løpet av året.

Vi har dessuten hatt løpende kontakt med sentrale aktører som Folkehelseinstituttet, de Regionale komiteer for medisin og helsefaglig forskningsetikk (REK), Den nasjonale forskningsetiske komité for medisin og helsefag (NEM), Norsk samfunnsvitenskapelig Datatjeneste (NSD), helseforetakene, Senter for klinisk dokumentasjon og evaluering (SKDE), Norsk Helsenett, Helse- og omsorgsdepartementet og Helsetilsynet.

Vi har også deltatt i arbeidet med Norm for informasjonssikkerhet i helsesektoren (Normen), både i arbeidsgrupper og i styringsgruppa. Etter ny lovgivning har det vært behov for oppdateringer av allerede eksisterende materiell. Hovedarbeidet med Normen i 2017 har dreiet seg rundt endringer som følge av personvernforordningen, og det har vært hyppige møter mellom Datatilsynet og Normsekretariatet gjennom hele året.

Vi har videre deltatt i referansegruppen til Statistikklovutvalget. Vi har også deltatt i Helsedatautvalget med en representant, utvalget kom med flere forslag som representanten i stor grad tok dissens fra.

Helsedataprogrammet i Direktoratet for e-helse er omfattende, og vi deltar i referansegruppen. Vi deltar også i en arbeidsgruppe for personvern og informasjonssikkerhet i programmet.

Velferdsteknologi og annen helseteknologi

Velferdsteknologi har vært et sentralt tema for Datatilsynet også i 2017. Vi har hatt mye aktivitet på området, både i form av veiledning, møter og foredragsvirksomhet. Vi har også hatt kontakt med Helsedirektoratet vedrørende veilederen til Normen. Datatilsynet mener det fremdeles er sentrale problemstillinger som bør avklares, slik som for eksempel plassering av behandlingsansvar, krav til databehandleravtaler og dokumentering av bruk av velferdsteknologi.

Vi har hatt en rekke møter med forskjellige aktører som ønsker veiledning.

NAV

En ny utfordring innen NAV-systemet er at det er økende interesse for å ta i bruk stordatanalyser på NAVs registre. Disse registrene inneholder store mengder personopplysninger om så å si alle landets borgere. Vi ser med bekymring på at disse dataene som er samlet inn med spesifikke formål skal kunne benyttes til nye formål som er utenfor den «tradisjonelle sekundærbruken». Vi har hatt flere møter med prosjektet «Big Insight» som er finansiert av Norges forskningsråd, og som har til formål å lage analyseverktøy for å avsløre trygdesvindlere. Dette prosjektet har søkt om konsesjon, og saken er ved årsskiftet til behandling hos oss.

Gendata

Vi møter i økende grad problemstillinger knyttet til bruk av genetiske opplysninger. Det er stadig billigere å gjøre analyser på våre gener, og det er et økende ønske om å gjennomføre slike analyser. Vi ser utfordringer ved at dette er et tema som er komplisert, og det er vanskelig å få god forståelse for konsekvensene av å behandle opplysninger om oss på denne måten. Den tradisjonelle tanken om at samtykkebasert behandling av opplysninger er lite inngripende, blir satt på prøve når det kommer til bruk av genetiske data. Vi mener det er riktig å stille spørsmål ved om slike samtykker er tilstrekkelig informerte, og om rekkevidden av konsekvenser ved bruk av genetiske data går lenger enn til kun den som faktisk har samtykket, for eksempel til slektninger.

Vi har uttrykt at vi ønsker en større utredning knyttet til bruk av genetiske data, og at en slik utredning bør gjennomføres av en bredt nedsatt gruppe som også tar grundig for seg personvernkonsekvensene som en slik behandling kan medføre.

Vi har i 2017 hatt flere møter med Bioteknologirådet, og vi har blant annet gjennomført et møte med Helsedirektoratet, REK, Bioteknologirådet og NTNU hvor gendata og haplotyperegister var særskilte temaer. Vi deltok også på Helsedirektoratets rundebordskonferanse om persontilpasset medisin.

1.2.3.2 Fremtidige utfordringer

Helsesektorens måter å behandle personopplysninger på er utsatt for store forandringer og utviklingen går raskt. Opplysninger behandles nesten utelukkende elektronisk, og det er stadig mer utstyr som selv genererer data. Tjenester og behandling av data sentraliseres og utkontrakteres til aktører i inn- og utland for å effektivisere og redusere kostnader.

Arbeidet med å utvikle «Én innbygger – én journal» er i gang, og Helseplattformen er i prosess for å anskaffe leverandør av et felles journalsystem for Helse Midt-Norge.

Velferdsteknologi tas mer og mer i bruk av befolkningen for private formål, samtidig som teknologien også brukes i regi av det offentlige som et ledd i helse- og velferdstjenester. Denne nye formen for å generere data, gir nye utfordringer med tanke på hvor mye av dette som skal lagres og hvor lenge. Vi ser utfordringer knyttet til hvor sterkt dette feltet styres av leverandører, og hvordan bestillere har krevende oppgaver med å ha reell kontroll over behandlingen av opplysninger – behandlinger som skjer på deres vegne av leverandører og databehandlere. Dette er aktuelt i forbindelse med at det stadig utvikles og tilbys nye løsninger innen helseteknologi, både i form av utstyr som brukes til måling og rapportering av helse, og tilhørende apper og elektronisk behandling av data. Det er foreløpig lite fokus på å sikre at løsningene har innebygd personvern.

Persontilpasset medisin har lenge vært diskutert, og dette arbeidet pågår på forskjellige nivåer. Datatilsynet har forsøkt å påvirke at det settes ned et bredt utvalg for å vurdere denne formen for medisin, også knyttet til personvernkonsekvenser. Det så langt ikke er gjort brede og tverrfaglige utredninger innen dette feltet.

Det vil i tiden fremover bli tatt i bruk stordata og kunstig intelligens innen denne sektoren også. Det er allerede forskningsprosjekter som utreder mulighetene for dette – både for sekundære formål og primære formål slik som beslutningsstøtte for de som yter helsehjelp.

Det er et stort press på å bruke data man har til nye formål innen forskning og kvalitetssikring, og det er flere offentlige prosesser som parallelt utreder hvordan data kan deles mer effektivt og i større grad enn det gjøres i dag. Det snakkes om at våre helsedata utgjør enorme verdier, og at vi må bruke dem på måter som gir avkastning. Det legges til grunn at disse formålene har stor tillit i befolkningen.

Innen sekundærbruk av data vil innføringen av personvernforordningen medføre store endringer, og ved avskaffelsen av konsesjonsplikten vil aktørene selv måtte ta større ansvar for vurderingene som ligger til grunn for behandling av data til forskning og kvalitetssikring. Dette er en omlegging av en langvarig praksis, og vil kunne medføre et stort behov for veiledning fra tilsynsmyndighetene.

I tillegg ser vi tendenser til at det er ønskelig å gå bort fra den klare hovedregelen om samtykke fra registrerte innen sekundærbruk av helseopplysninger. Nye forskrifter vil aktualisere disse problemstillingene, og vi ser det som en utfordring å sikre at det også i fremtiden er samtykke som er det sentrale rettslige grunnlaget ved slik bruk av personopplysninger.

Det er en positiv personverntrend innen helsetjenesten at borgerne skal gis størst mulig grad av selvbestemmelse over egne opplysninger gjennom nye innbyggertjenester. Dette ser vi som en styrking av den enkeltes rett til personvern. Samtidig er det enkelte utfordringer knyttet til at dette krever stadig større bevissthet og kunnskap hos den enkelte.

Helse- og omsorgstjenesten og NAV besitter enorme mengder data om oss. Dataene er meget interessante for gjennomføring av stordataanalyser. Slike analyser utfordrer den tradisjonelle praksisen knyttet til sekundærbruk av data, og den reiser nye problemstillinger for personvernet. Disse problemstillingene kan være utfordrende for både den enkelte og for de som skal vurdere om denne bruken av data skal tillates eller ikke.

Med endringene kommer det nye muligheter, men også nye trusler og konsekvenser for hver enkelt registrert. Det er en grunnleggende forutsetning for å ta i bruk nye muligheter at man først har forstått risikoen og hvilke konsekvenser mulighetene medfører. Bare slik kan man sørge for at behandlingen av opplysninger skjer på en lovlig og trygg måte.

1.2.4 Kunstig intelligens, roboter og personvern i algoritmenes tid

Utviklingen av kunstig intelligens og automatiserte systemer har hatt store fremskritt de siste årene. Mulighetene er lovende: en bedre og mer effektiv offentlig sektor, nye metoder for klima- og miljøvern, bedre og billigere helsetjenester. De intelligente og automatiserte tjenestene er ofte dataintensive.

Vi ser også at det i forbindelse med smarte byer og smarte hjem vil bli samlet inn en omfattende mengde personopplysninger siden flere og flere sensorer blir koblet til nettet. Nettoppkoblede sensorer blir billigere og billigere, og de opptrer i svært mange sammenhenger både i forhold smarte hjem, smarte byer og andre deler av det som er i ferd med å bli smarte samfunn.

I 2017 vedtok Stortinget en lov om utprøving av selvkjørende kjøretøy. Hensikten med loven er å fremme utvikling og utbredelse av ny teknologi i transportsektoren. Selvkjørende biler vil samle inn store mengder personopplysninger om både sjåføren, passasjerer og omgivelsene. Dette kan selvsagt være et gode i trafikken, både med hensyn til trafikksikkerhet, miljø og økonomi.

Det norske dronemarkedet har utviklet seg voldsomt, og er spådd en eksplosiv vekst de neste årene – særlig knyttet opp mot nærings- og nyttevirksomhet. Med avansert kamera- og sensorteknologi og med stadig bedre flyrekkevidde, blir terskelen for overvåking fra luften senket dramatisk. Flyvende fartøy skaper nye utfordringer for å oppfylle informasjonsplikten, og vi ser en stadig økende interesse for å ta i bruk droner hos offentlige myndigheter, inkludert i politiet.

Dette stiller nye krav både til de virksomheter som skal ta teknologien i bruk, og til oss som myndighet som skal gi råd og føre kontroll med at dette skjer innenfor de riktige rammene – også for personvernet.

Vi vil i tiden framover måtte ta stilling til ulike juridiske og etiske dilemmaer hvor vi blir nødt til å veie potensialet for betydelig samfunnsgevinst opp mot grunnleggende personvernhensyn.

1.2.4.1 Gjennomførte aktiviteter

Rapport om kunstig intelligens

I 2017 skrev vi en rapport om kunstig intelligens og personvern. I rapporten så vi nærmere på de tekniske systemene rundt datahåndteringen i intelligente systemer. Rapporten trekker frem de viktigste bestemmelsene i forordningen knyttet til bruk og utvikling av kunstig intelligens. Datatilsynets rolle som tilsyn ovenfor en kompleks teknologi ble også drøftet. Vi kom dessuten med en rekke eksempler på verktøy og metoder for å bygge godt personvern inn i intelligente systemer, samt anbefalinger til ulike målgrupper som benytter seg av kunstig intelligens. Rapporten ble også oversatt til engelsk.

I arbeidet med rapporten var vi i kontakt med en rekke aktører som utvikler eller bruker kunstig intelligens, både i privat og offentlig sektor, i inn- og utland. Vi drøftet relevante problemstillinger med datatilsynsmyndighetene i Storbritannia og Canada. Rapporten ble lansert i januar 2018 i samarbeid med Den norske dataforeningen, og arrangementet var fullbooket med over 300 deltakere. Arrangementet ble dessuten strømmet, og det var tre parallelle samlinger i Bergen, Trondheim og Bodø der fagpersoner svarte på spørsmål i etterkant. Lanseringen inkluderte to paneler der det ble en god debatt om personvernutfordringer, men også muligheter ved bruk av kunstig intelligens.

Vi har videre holdt foredrag om kunstig intelligens og personvern på The Privacy Forum i Stockholm, og på Goethe Instituttet sin personvernkonferanse i Rotterdam. Vi har også skrevet et «Issues Paper» til Berlingruppen som har vedtatt at kunstig intelligens skal være et tema for en rapport som skal lanseres i 2018 – Norge vil ha en sentral rolle i dette arbeidet.

Smarte hjem – smarte byer

Med innføring av billige, nettoppkoblede sensorer og andre enheter som innhenter informasjon (tingenes internett), er ikke lenger de tidligere begrensende faktorene med pris og overføring av data, et problem. Dette utstyret kan nå sende informasjon via internett, gjerne tilkoblet via mobilnett, for nesten ubetydelige pengesummer og uten at man trenger å begrense datamengden ut fra kapasitetsproblemer. Dette betyr at enorme mengder personopplysninger kan innhentes om hver enkelte av oss i et helt annet omfang enn tidligere.

Nettopp dette har vi sett det ved utrullingen av automatiske strømmålere, spesielt i løpet av 2017. Her har imidlertid lovverket begrenset bruken av informasjonen som kan innhentes, både med tanke på mengde og med tanke på sikkerhet. Men samtidig er det nye løsninger på trappene, slik som kontinuerlig avlest vannforbruk. De automatiske strømmålerne kan benyttes som en hub (en enhet som kobler sammen flere enheter for å få dem til å kommunisere med hverandre) for sensorer i hjemmet og i omgivelsene. Noen kommuner startet en slik omfattende datainnhenting fra innbyggerne i meldingsåret.

Vi har i 2017 også arbeidet både på internasjonalt nivå og på europeisk nivå for å gi råd om hvordan man skal unngå ulovlig innhenting av stordata i forbindelse med smarte byer, hjem og biler. Selv om det gis råd og vi har et regelverk, vil likevel mange gjøre mye for å få tak i slike verdifulle data. I 2017 brukte Datatilsynet tid på gjøre aktører oppmerksomme på hvor personvernmessig invaderende slik informasjon kan være for den enkelte. En klar regulering av innføringen av automatiske strømmålere ga mulighet for å begrense unødvendig innhenting av personopplysninger noe. Det samme arbeidet ble også satt i gang på en rekke andre felt innen smarte byer og hjem, samt for biler.

Utprøving av selvkjørende biler

I 2017 vedtok Stortinget en lov om utprøving av selvkjørende kjøretøy. Loven gir hjemmel til å gjøre unntak for lover som i utgangspunktet hindrer utprøving av selvkjørende kjøretøy (vegtrafikkloven, yrkestransportregelverket og personopplysningsregelverket). Hensikten med loven er å fremme utvikling og utbredelse av ny teknologi i transportsektoren, og sørge for tilrettelegging for utprøving av selvkjørende kjøretøy i Norge.

Selvkjørende biler vil samle inn store mengder personopplysninger om både sjåføren, passasjerer og omgivelsene. Datatilsynet er enig i at selvkjørende kjøretøyer kan være et gode i trafikken, både med hensyn til trafikksikkerhet, miljø og økonomi. Vi støtter også at utprøvingen blir rettslig regulert ved en forsøkslov, men også denne burde drøfte personvernmessige utfordringer og samfunnsetiske problemstillinger ved bruk av kunstig intelligens i trafikken.

Selvkjørende biler vil samle inn store mengder personopplysninger om både sjåføren, passasjerer og omgivelsene. Datatilsynet er enig i at selvkjørende kjøretøyer kan være et gode i trafikken, både med hensyn til trafikksikkerhet, miljø og økonomi. Vi støtter også at utprøvingen blir rettslig regulert ved en forsøkslov, men også denne burde drøfte personvernmessige utfordringer og samfunnsetiske problemstillinger ved bruk av kunstig intelligens i trafikken. Selve loven om utprøving av selvkjørende biler setter personopplysningsloven til side slik at den ikke skal hindre utprøvingen.

Datatilsynet lanserte for øvrig en egen strategi for godt personvern i samferdselssektoren høsten 2017, denne er omtalt under «Annen vesentlig aktivitet – Samferdsel».

Arbeid med droner

Sett i lys av den kraftige veksten norsk dronenæring er spådd de neste årene, har det vært viktig for Datatilsynet å bidra til at bransjen selv tar grep for å etterleve personopplysningsregelverket, samt fremmer personvernvennlig droneteknologi.

Vi har i 2017 hatt følgende mål for dronearbeidet vårt. Vi skal:

  • være aktive i veiledningsarbeidet overfor aktørene i bransjen for å sikre at de har tilstrekkelig kompetanse og kunnskap om personopplysningsregelverket og personvernvennlig teknologi

  • følge med på Justisdepartementets og andre myndigheters bruk av droner og utredning om bruk av droner, samt aktivt tilby vår veiledning

Veiledningsarbeidet er viktig for å sikre tilstrekkelig kompetanse og kunnskap om regelverket og personvernvennlig teknologi når droner tas i bruk. Vi har blant annet oppdatert veiledningsmateriell om droner på nettsiden vår for private og kommersielle aktører, samt myndighetsaktører.

Vi har hatt god dialog med Luftfartstilsynet og næringen, og har blant annet levert bidrag om droner og personvern til Luftfartstilsynets nettsider, i tillegg til et e-læringskurs for droneoperatører. Vi har også bidratt med materiell til Luftfartstilsynet om vårt dronearbeid, blant annet Luftfartstilsynets nyhetsbrev til droneoperatører og til en holdningskampanje til politidistriktene. Vi har dessuten bidratt med skriftlige innspill til Kommunal- og moderniseringsdepartementets dronestrategi.

Vi har hatt kontaktmøte med UAS Norway – den største medlemsorganisasjonen for dronepiloter i Norge, og vi har hatt veiledningsmøte med Kystvakten om deres bruk av droner. I tillegg har vi holdt flere foredrag om temaet, blant annet for regjeringens dronestrategigruppe, Luftfartstilsynets konferanse om sikker integrering av droner og droneingeniørutdanningen ved Universitetet i Tromsø (UiT).

Vi har skrevet et kapittel om personvern og droner til Cappelen Damms bokprosjekt om droner i sivilsamfunnet. Boka blir antakelig utgitt ila våren 2018.

Datatilsynet har dessuten takket ja til å være med i et Advisory Board i et prosjekt som skal utarbeide felleseuropeisk veiledningsmateriell for droner og personvern. Prosjektet finansieres av EU, og skal være en videreføring av nettstedet www.dronerules.eu.

1.2.4.2 Fremtidige utfordringer

Vi forventer en økning i antall henvendelser og saker som involverer kunstig intelligens i tiden fremover. Gitt stort potensial for samfunnsgevinst, kan vi forvente at sentrale personvernprinsipper kommer under økt press, og dette vil kreve et tydelig budskap og nøye vurderinger fra vår side. Å ha teknisk kunnskap slik at tilsynet kan avdekke potensielle personvernutfordringer ved utvikling og bruk av kunstig intelligens, vil være en utfordring da teknologien er kompleks og utviklingen går raskt.

Nå som tingenes internett (IoT) blir mer og mer vanlig – med sensorer i vanlige ting i hjemmet slik som kjøleskap og TV, samt til styring av varme, lys, låser og så videre – må vi forvente at utfordringene knyttet til personopplysningene i større og større grad blir noe vi som myndighet vil være nødt til å møte. Vi ser allerede i dag at de automatiske strømmålere kan benyttes som en hub for sensorer i hjemmet og i omgivelsene, med de nærmest uante mulighetene som ligger i dette.

Selvkjørende biler vil samle inn store mengder personopplysninger om både sjåføren, passasjerer og omgivelsene. Dette gjør det etter vårt syn nødvendig å drøfte personvernmessige utfordringer og samfunnsetiske problemstillinger ved bruk av kunstig intelligens i trafikken. Denne problematikken vil være tiltagende etter hvert som teknologien forbedres, og etter hvert som biler og andre kjøretøy blir mer og mer autonome eller helt selvkjørende. Dette vil ikke bare påvirke hvert enkelt kjøretøy og de som sitter i dem, men også alle andre trafikanter som er i kjøretøyets omgivelser. Muligheter og utfordringer knyttet til dette vil være nye og sentrale områder for oss i årene som kommer.

Vi forventer en stadig økt bruk av droner både i nærings- og nyttevirksomhet, i offentlig sektor og blant privatpersoner. Det er derfor viktig at Datatilsynet fortsetter å være synlige og tilgjengelige for å sikre at aktørene som benytter seg av droner har kunnskap om personvernregelverket, og at de benytter seg av personvernvennlig teknologi.

1.2.5 Annen vesentlig aktivitet

1.2.5.1 Arbeidsliv

Arbeids- og oppdragsgivere behandler store mengder personopplysninger om ansatte, innleide, kunder og tredjepersoner. Personvern i arbeidslivet utfordres i særlig grad av at den teknologiske utviklingen har muliggjort flere metoder for kontroll, som igjen gjør det mulig å registrere arbeidsdagen til de ansatte i detalj. Målt i antall henvendelser Datatilsynet mottar til veiledningstjenesten, er problemstillinger knyttet til arbeidsliv det største området med hele 19 prosent av henvendelsene (se oversikt over henvendelser til veiledningstjenesten vår under «Introduksjon og hovedtall»).

Typiske problemstillinger er innsyn i e-post og sletting av e-postkasse, sletting av dokument i personalmappe, GPS-sporing av yrkessjåfører, tilgangskontroll og så videre. Dette området har ikke hatt hovedprioritet hos Datatilsynet i 2017, men det er likevel behandlet et relativt høyt antall saker med dette temaet.

I meldingsåret endte fire arbeidslivsrelaterte saker med overtredelsesgebyr i størrelsesorden 50 000–100 000 kroner. Tre av sakene har blitt påklaget til Personvernnemnda, men ingen av klagene ble tatt til følge. Sakene gjaldt ulovlig innsyn i e-post og manglende sletting av e-postkasse, samt sammenstilling av GPS-data og timelister. I tillegg har nemda behandlet en sak om sletting av dokument i personalmappe, der tilsynets vedtak om å ikke gripe inn ble opprettholdt. Nemda opprettholdt også vårt avvisningsvedtak i en sak om sletting av opplysninger fordi loven ikke gjelder for det aktuelle tilfellet, men omfattes av ytringsfriheten.

Datatilsynet har i samarbeid med Arbeidstilsynet, Petroleumstilsynet og partene i arbeidslivet arbeidet med en ny veileder om kontroll og overvåking i arbeidslivet. Prosjektet ble startet i 2015 og veilederen ble publisert i februar 2017.

1.2.5.2 Arrangement

Arendalsuka – august 2017

Arendalsuka skal være en årlig nasjonal arena hvor aktører innenfor politikk, samfunns- og næringsliv møter hverandre og andre, for debatt og utforming av politikk for nåtid og framtid. Personvern berører så å si alle sektorer og områder i samfunnet vårt. Politikeres holdning til, forståelse for og i hvilken grad de tar hensyn til personvern, er svært viktig. Dette gjenspeiles blant annet i lovforslag, vurdering av kontrolltiltak i samfunnet og i om politikerne er i stand til å finne riktig balanse mellom sikkerhet, brukervennlighet, innovasjon og personvern. Arendalsuka et viktig sted for Datatilsynet å være synlig for å best mulig kunne bidra til at personvern står høyt på agendaen når politikk for nåtid og fremtid utformes.

Under Arendalsuka 2017 deltok vi med egne arrangement for første gang. Vi arrangerte debatt om forslaget til digitalt grenseforsvar, og inviterte til deit. Begge arrangementene var godt besøkte og fikk gode tilbakemeldinger. I tillegg deltok vår direktør i debatter med der temaene var persontilpasset medisin, forvaltning av kritisk digital infrastruktur og personvern og forbrukerrettigheter. I etterkant har vi hatt en rekke oppfølgingsmøter og invitasjoner til samarbeid.

I høst sendte vi en søknad om å komme med i hovedprogrammet i Arendalsuka 2018. Vi fikk positivt svar og ble invitert til å lage en felles programpost med KS. Under Arendalsuka 2018 planlegger vi derfor tre arrangement, et fellesarrangement med KS og to egne arrangement.

Personverndagen – januar 2017

For femte året på rad markerte Datatilsynet den internasjonale personverndagen den 30. januar med et personvernseminar og utgivelse av en rapport i samarbeid med Teknologirådet. Årets temaer var persontilpassing og kunstig intelligens, og arrangementet fant sted på Litteraturhuset i Oslo. Arrangementet ble raskt fullbooket med over 200 deltakere.

Det ble i forbindelse med rapporten gjennomført en befolkningsundersøkelse om folks holdninger til persontilpasset forsikring og banktjenester, samt offentlig sektors bruk av personopplysninger for å avdekke skattesvindel og for å forebygge sykdom. Rapporten beskriver også hvordan teknologi tas i bruk for å tilby mer målrettede tjenester, samt personvernutfordringene knyttet til dette. Arrangementet ble avsluttet med en paneldebatt.

1.2.5.3 Bank, forsikring og finans

Bank-, finans- og forsikringsbransjen behandler personopplysninger om de fleste. I sum er det store mengder med opplysninger, til dels av sensitiv og privat karakter. Bransjen leverer tjenester som er viktige for den enkelte og for samfunnet som helhet. Som følge av digitalisering er bransjen i endring. Digitaliseringen gir muligheter for å samle inn mer informasjon om kunden, noe som gir grunnlag for andre risikoberegninger, mer prisdifferensiering og nye forretningsmuligheter.

Finansiell teknologi, populært kalt fintech, er i ferd med å bli stort. Det medfører at nye forretningsmodeller og nye aktører inntar sektoren. Innen bransjen er det et betydelig press på å utnytte flere og nye typer opplysninger om kundene til kommersielle formål. Innen forsikring ser vi for eksempel at det er lansert bilforsikringsprodukter som baserer seg på overvåking av kundens kjøreatferd. Kunden kan få en mulighet til billigere forsikring mot å gi avkall på deler av sitt privatliv. Selv om det er et individuelt valg for den enkelte, kan det spørres om vi som samfunn er tjent med en slik utvikling.

EU vil i 2018 innføre det reviderte betalingstjenestedirektivet, PSD2. Dette vil medføre store endringer i banksektoren. Direktivet gjør at bankene mister sitt monopol på å håndtere kundenes bankopplysninger. Bankene må gi tredjeparter, etter samtykke fra kunden, tilgang til kundens bankopplysninger. Dette betyr at såkalte fintech-selskap, eller IT-selskaper slik som Google og Facebook, kan utvikle nye tjenester basert på bankens opplysninger. Endringene i finans- og forsikringsbransjen vil påvirke forbrukernes personvern.

Rapport om fintech

I 2017 skrev vi rapporten «Personlige finanser. Hvordan utviklingstrekk i finanssektoren påvirker personvernet» for å møte utfordringene på dette området. Rapporten ble lansert i januar 2018. Formålet med rapporten har vært å gi Datatilsynet det nødvendige overblikket til å kunne gi råd og veiledning, og eventuelt kunne gripe inn ved behov.

Andre aktiviteter

I løpet av meldingsåret registrerte vi nesten 250 saker fra sektoren. Sakene omfattet blant annet konsesjonssøknader, avviksmeldinger og klager. Disse har fortløpende blitt fulgt opp i henhold til vanlige rutiner.

De nye personvernreglene vil medføre endringer for denne bransjen siden bruk av (standard)konsesjon skal avvikles til fordel for andre mekanismer – slik som økt bruk av bransjenormer. Vi har i løpet av året hatt jevnlig kontakt med bransjen som en del av deres og våre forberedelser til nytt regelverk.

Det har også vært en rekke høringer som gjelder denne sektoren, og vi ga blant annet høringsuttalelser i forbindelse med forslag til ny finansavtalelov, ny gjeldsinformasjonslov og regler tilvarende EUs reviderte PSD2.

1.2.5.4 Barn og unge

Opplæring av barn og unge i personvern – «Du Bestemmer»

Du Bestemmer er en læringsressurs som ble startet opp i 2007, og som vi driver i samarbeid med Senter for IKT i utdanningen (fra januar 2018 ble de fusjonert med Utdanningsdirektoratet). Målet med opplegget er å øke barn og unges kunnskap om personvern og digital dømmekraft, og heve deres bevissthet om valg de gjør ved bruk av digitale medier. De unge skal lære seg å ta kontroll over egne personopplysninger, men samtidig respektere andres opplysninger.

Det kommer jevnlig inn bestillinger på hefter fra hele landet, og nettstedet er svært godt besøkt. Opplegget benyttes ikke bare i skoler, men også av politi, helsepersonell, frivillige organisasjoner, bibliotek, foreldrerepresentanter, til konfirmasjonsundervisning og lignende. Dette arbeidet genererer også mange henvendelser om å holde foredrag, samt pressehenvendelser om tematikken. For å møte etterspørselen etter foredrag og opplæring ble det i 2017 som et prøveprosjekt ansatt tre digital dømmekraft-ambassadører av Senter for IKT i utdanningen. Ambassadørene holder foredrag på skoler og foreldremøter om nettvett og personvern – med utgangspunkt i læringsressursen Du Bestemmer.

Prosjekt om bilder av barn på nett

På Safer Internet Day 2017 satte vi fokus på hvordan bilder av barn bør håndteres, og ikke minst at barn må få si sin mening når bilder tas. Det ble lansert en ny veileder, «I beste mening», for foresatte og de som jobber med barn. I veilederen kan man kan lese om reglene for bildedeling, men også om hva som er lurt og ikke. Det ble samtidig lansert en informasjonsfilm til bruk på foreldremøter og lignende, og to musikkvideoer for barn i både barnehagen og på skolen. Videre ble det sendt informasjon om det tilgjengelige materiellet til alle barnehagene i landet. Lanseringen ble åpnet av kunnskapsministeren, og arrangementet fikk svært god mediedekning.

Målet med selve prosjektet var å skape oppmerksomhet og debatt om et aktuelt tema som mange er opptatt, samtidig som vi ønsket å gi barn under 15 år en sterkere stemme. Etter barnekonvensjonen har alle barn rett på privatliv, og i mange sammenhenger kan det diskuteres om dette overholdes. Det var derfor viktig å få denne rettigheten frem i lyset, og informere også barn og unge om at de har denne rettigheten.

Vant internasjonal pris

I september vant Datatilsynet en internasjonal pris for dette prosjektet. «Global Privacy and Data Protection Award 2017» ble delt ut på den internasjonale personvernkonferansen (ICDPPC) i Hong Kong til personvernmyndigheter som hadde utmerket seg innen ulike kategorier. Datatilsynet vant i kategorien «Education and Advocacy» i konkurranse med 45 andre prosjekt fra rundt om i verden.

I begrunnelsen la juryen vekt på at alt innhold kan deles og gjenbrukes av andre land gjennom Creative Commons. Det ble også fremhevet at det var laget gode verktøy for flere målgrupper slik at mange kunne ta tak i utfordringene rundt det å dele bilder av barn på nett.

1.2.5.5 Biometri og ID

I løpet av meldingsåret har vi sett at det fremdeles er en stor interesse for bruk av biometri. Biometri blir ofte sett på som en løsning for å bli kvitt passord som er vanskelige å huske, samt å sikre at det er rett person som for eksempel gis en tilgang. I 2017 har det vært ytterligere økning av bruken av biometri i forbindelse med enkel tilgang til mobiler og pc-er. Utstyret har ofte fingeravtrykk som preferert teknologi, men bruk av iris og ansiktsbiometri er stadig mer vanlig. Når det gjelder bruk av biometri til identifisering, er dette enda ikke i vanlig bruk.

Datatilsynet er etterspurt som deltaker og diskusjonspartner av mange av de som jobber med og har ansvar for dette området. Det betyr at vi er på de arenaene der slik spørsmål diskuteres.

1.2.5.6 Forskning og utvikling

Formålet med Datatilsynets satsing på forsknings- og utviklingsarbeid, er å gjøre oss selv bedre i stand til å sette personvernhensyn inn i en samfunnsmessig kontekst, samt til å fange opp trender og utviklingstrekk på et tidlig stadium. I tillegg ønsker vi å stimulere og støtte personvernrelevant forskning som kan gi positive samfunnsmessige ringvirkninger.

Partner i NTNU CCIS

Datatilsynet har siden 2015 vært partner i Center for Cyber and Information Security (CCIS) ved Norges teknisk-naturvitenskapelige universitet (NTNU). Forskningsgruppen innehar Norges største akademiske fagmiljø innen informasjonssikkerhet. Vi ønsker gjennom partnerskapet med CCIS å bidra til at hensynet til personvern blir vektlagt i forskningsprosjekter om cyber- og informasjonssikkerhet, og ved utvikling av nye sikkerhetsløsninger. Datatilsynet sitter i styret til CCIS Education Advisory Board (EAB), som gir oss mulighet til å påvirke innholdet i studieplaner og undervisningsopplegg.

Våren 2017 startet professor Staal Vinterbo i et professorat dedikert til personvernspørsmål. Han disponerer kontorplass hos Datatilsynet, og vi har gjennom hans nærvær blitt kjent med hans forskningsprosjekter og hatt faglige diskusjoner som har beriket begge parter. Han vil starte undervisning og veiledning av mastergradsstudenter i 2018, og vi vil da forsterke samarbeidet ytterligere.

Bistand til mastergradsstudenter

Vi har stilt vår kompetanse til rådighet for flere mastergradsstudenter som ønsket å skrive om personvern, og vi har kommet med forslag til mastergradsoppgaver. Vi har blant annet arrangert et møte med studenter fra Senter for rettsinformatikk (SERI) for å gjensidig informere hverandre om interessante problemstillinger og tema vi er engasjert i. Vi stiller også som veileder for studenter ved Institutt for Informatikk ved UiO, og som skal skrive masteroppgave om innebygd personvern.

Innebygd personvern på pensum

Veilederen vår om innebygd personvern er satt på pensumlisten ved Institutt for informatikk ved Universitetet i Oslo og ved NTNU. Vi stiller også her som gjesteforelesere.

1.2.5.7 Internett og Telekom

Arbeidet med å minimere lagringen av personopplysninger innen tele- og internettsektoren har fortsatt i 2017. I løpet av året har vi sett en stadig økende interesse innen sektoren for å samle data som kan danne grunnlag for stordataanalyse. Aktører som får tilgang til store mengder data for faktureringsformål og/eller driftsformål ser i stadig større grad muligheter for å også benytte disse dataene for andre formål.

EU-kommisjonen vedtok i begynnelsen av året et utkast til en forordning for personvern og elektronisk kommunikasjon (ePrivacy Regulation). Forslaget er en oppdatering av dagens kommunikasjonsverndirektiv, og skal møte kravene i de nye personvernreglene. Datatilsynsmyndighetene i Europa har i løpet av året diskutert håndteringen av den fremtidige kommunikasjonsvernforordningen, samt forholdet mellom den og personvernforordningen. Den nye ePrivacy Regulation er ved årsskiftet ikke endelig vedtatt.

Datatilsynet har kommentert forslaget til den nye forordningen for personvern og elektronisk kommunikasjon, og har spesielt sett på flytting av tilsynsmyndighet, utvidede myndighetsoppgaver, utvidet virkeområde, strengere vilkår for å tillate sporing av mobile enheter, samt hvor sensitive metadata og lokasjonsdata kan være.

Publisering av personopplysninger på internett

Vi har i meldingsåret prioritert å behandle saker der grensen mellom personvern og ytringsfrihet testes. Sakene har handlet om diskusjonsfora, enkeltpersoners ytringer om offentlig ansatte og ratingsider. Den mest omfattende og omtalte saken om handler Legelisten.no. Datatilsynet vurderte informasjonsverdien av enkeltpersoners innlegg om helsepersonell opp mot helsepersonells personvern, og kom frem til at inngrepet i personvernet var uforholdsmessig stort. Vi påla derfor Legelisten.no å innføre en reservasjonsrett for leger som ikke ønsker å bli vurdert. Vedtaket er påklaget til Personvernnemnda.

1.2.5.8 Justissektoren

I justissektoren møter vi tungtveiende hensyn som taler for at staten skal kunne gjøre inngrep i enkeltpersoners rettssfære. Ofte skjer dette uten den enkeltes medvirkning og med begrenset rett til informasjon. Enkeltpersoner kan dermed ha begrensede muligheter til å ivareta sine interesser. På disse områdene er det derfor særlig viktig at tilsynsmyndighetene ser til at folks rettigheter ivaretas.

Politiregisterloven og -forskriften regulerer politiets og påtalemyndighetens behandling av personopplysninger. Regelverket gir Datatilsynet en sentral rolle som kontrollør av at regelverket etterleves. Vi fører tilsyn med at politiregisterloven og forskriften blir fulgt, og at feil eller mangler blir rettet.

I løpet av 2017 mottok vi omlag 50 saker som gjelder justissektoren. Mange av disse er høringer, og vi har avgitt høringsuttalelser til en rekke lovendringer på dette området, blant annet om foreslåtte endringer i politiregisterforskriften og utlendingsloven. Vi mottar også klager fra enkeltpersoner som blant annet gjelder innsyn og sletting i SIS-registret eller politiregistrene.

Digitalt grenseforsvar

I januar leverte vi vår høringsuttalelse til Lysne II-utvalgets rapport om såkalt digitalt grenseforsvar (DGF). Om E-tjenesten skal gis tilgang til å samle inn enorme mengder opplysninger om alminnelige borgeres bruk av telefon og internett, var ett av de virkelig store personvernspørsmålene i 2017, og vekker klare assosiasjoner til Datalagringsdirektivet. Forslaget innebærer en masseovervåking slik Datatilsynet ser det.

I vår høringsuttalelse tok vi sterkt til orde for at utvalgets forslag ikke bør gjennomføres. Sentrale grunner har vært forholdet til Den europeiske menneskerettighetskonvensjonen (EMK) og Grunnloven, hvor inngripende og omfattende tiltaket er, formålsutglidning og såkalt nedkjølingseffekt.

Vi deltok i en rekke debatter om temaet i løpet av året. Vi har også selv hatt arrangementer om digitalt grenseforsvar, både under Arendalsuka og på Litteraturhuset i Oslo (dette siste i samarbeid med Norges nasjonale institusjon for menneskerettigheter) – begge steder for fulle hus. Vi har også sendt brev til Forsvarsdepartementet om forhold vi mener må utredes i deres videre arbeid med høringen.

Regjeringen har varslet at den i løpet av 2018 vil komme med et høringsnotat med lovforslag. Debatten om digitalt grenseforsvar vil dermed sannsynligvis fortsette i 2018.

Schengen-evaluering av Norge

Schengen-samarbeidet bygger på Schengen-konvensjonen av 1985 som Norge sluttet seg til i 1996. Konvensjonen skal styrke det europeiske samarbeidet om kontroll av de ytre Schengen-grensene. Den innfører felles visumregler, samt et styrket politimessig og rettslig samarbeid. I Schengen-området gjelder det også felles regler om visum, og dessuten deltar Norge i det europeiske fingeravtrykksamarbeidet Eurodac. Datatilsynet er tilsynsorgan for den nasjonale behandlingen av personopplysninger i SIS (Schengen informasjonssystem) og VIS (Visa informasjonssystem).

Norges etterlevelse av Schengen-regelverket ble evaluert i 2017. Politidirektoratet hadde det overordnede koordineringsansvaret for evalueringen, mens vi hadde fagansvar for den delen av evalueringen som gjelder personvern. Evalueringen innebar en inspeksjon av vår etterlevelse av våre tilsynsoppgaver etter VIS og SIS. I tillegg ble KRIPOS og UDI, som behandlingsansvarlige for henholdsvis SIS og VIS, kontrollert.

Evalueringen gjennomføres av en felleseuropeisk komité, og landet som blir kontrollert har plikt til å bidra til evalueringen ved å skaffe dokumentasjon, redegjøre for sitt tilsynsarbeid og lignende. Dette fant sted i november 2017. Rapporten fra evalueringsteamet ventes i januar 2018.

I meldingsåret ferdigstilte vi også den foreløpige kontrollrapporten fra vår egen kontroll av SIS fra november 2016, med Kripos som behandlingsansvarlig for den nasjonale behandlingen av opplysninger i SIS. Den endelige kontrollrapporten og eventuelt endelig vedtak i kontrollsaken var ikke endelig ferdig ved årsskiftet.

1.2.5.9 Kredittvurdering

Datatilsynet har prioritert å saksbehandle prinsipielle saker om kredittvurdering. I tillegg har vi varslet eller ilagt flere overtredelsesgebyr for usaklig kredittvurdering som ser ut til å være et utbredt problem. Videre har vi analysert dagens regler og jobbet med innspill til nye regler for kredittopplysningsvirksomhet.

1.2.5.10 Personvern er forbrukervern – samarbeid med forbrukermyndigheter

Godt personvern er også godt forbrukervern. De siste par årene har vi både i Norge og internasjonalt sett betydningen av å samarbeide med forbrukermyndighetene for å styrke forbrukernes rettigheter i den digitale økonomien. I Norge har vi utviklet et godt og tett samarbeid med Forbrukerrådet og Forbrukerombudet, også i behandling av enkeltsaker.

Stortingsmelding om forbrukerpolitikk

Regjeringen arrangerte i 2017 et rundebord i forbindelse med arbeidet med en ny stortingsmelding om forbrukerpolitikk. Barne- og likestillingsminister Solveig Horne uttalte i den forbindelse at hun vil ta tak i hvordan regjeringen kan sikre det digitale personvernet og sikkerheten til forbrukerne. Datatilsynet vil gjerne bidra i dette arbeidet og har gitt innspill til hvordan det nye personvernregelverket kan bidra til et skifte i maktbalansen som regulerer tilgang og eierskap til data – i favør forbrukeren.

Sikkerhet i smarte produkter

Forbrukerrådet har det siste året sett på vilkår og praksis i såkalte «smarte produkter» slik som treningsarmbånd, leker, helseverktøy og klokker. Deres undersøkelser viser at det er store utfordringer knyttet til datasikkerhet i tingenes internett. Som følge av Forbrukerrådets undersøkelse av smartklokker for barn, fattet Datatilsynet i 2017 vedtak ovenfor tre tilbydere av smartklokker om å stanse all behandling av personopplysninger om sine kunder. Vedtakene var basert på at tilbyderne ikke hadde sørget for god nok informasjonssikkerhet i smartklokkene, samt at de ikke hadde nødvendig internkontroll på plass for å sikre kundenes personvern.

Det er stor kompleksitet i de tjenestene som må til for å få en slik smartklokke til å fungere, og selskapene har ansvar for å ha kontroll på alle disse tjenestene. Det gjelder for eksempel hardwareprodusenter, apputviklere, teleoperatører (abonnement), SMS-tjenester, karttjenester, servertjenester, helpdesk og lignende. Datatilsynet mener at det må stilles svært høye krav til sikkerhet i slike produkter, og selskapene som selger disse klokkene må ha full kontroll på datastrømmen og hele økosystemet opplysningene beveger seg i.

Datatilsynet har med dette begynt på et langsiktig arbeid for at smarte produkter skal ivareta personvernet på en bedre måte enn i dag. For å få til dette vil vi samarbeide med andre datatilsynsmyndigheter og med forbrukermyndighetene. Det må bli lettere for både innkjøpere og forbrukere å velge gode og personvernvennlige produkter. Datatilsynets mål er bedre etterlevelse av regelverket hos leverandørene av denne type produkter, og styrket bestillerkompetanse hos forhandlere når det gjelder personvern. Det er også et mål at forbrukerne skal bli mer bevisste på verdien av sine personopplysninger, og at de etterlyser personvern i løsninger de tar i bruk.

Tilsyn med lojalitetsprogrammer i dagligvarebransjen

Datatilsynet har i 2017 gjennomført kontroller med lojalitetsprogrammene til NorgesGruppen og Rema 1000. Sakene gjaldt særlig profilering av medlemmer for markedsføringsformål og lagringstid. I kontrollene har Datatilsynet vært opptatt av å fremme kundens mulighet og rett til å få være med på å bestemme hva deres opplysningene skal brukes til hvis de blir medlem i lojalitetsprogrammet.

Kontrollene førte til at Trumf AS (fordelsprogrammet til NorgesGruppen) nå ber om samtykke til profilering, slik at medlemmene selv fritt kan velge om de ønsker at handlehistorikken deres analyseres og brukes til å gi tilpassede tilbud.

Vi gjennomførte også kontroll med appen Æ, som er Rema 1000s lojalitetsprogram. På lik linje som for Trumf, ba vi om at Rema fritt lar kunden velge (samtykke til) om deres handlehistorikk skal analyseres og brukes til for eksempel målrettet markedsføring. Saken er i skrivende stund fremdeles pågående.

1.2.5.11 Personvernombudsordningen

Ved utgangen av 2017 var det registrert 755 virksomheter med personvernombud opprettet av Datatilsynet. 534 personvernombud representerer disse virksomhetene. Det er en økning på nesten 40 prosent siden årsskiftet, da vi hadde registrert 554 virksomheter med ombud.

Vi opplever en sterk økning i interessen for ombudsordningen i forbindelse med at det blir obligatorisk for en del virksomheter å ha ombud når de nye personvernreglene kommer. Dette merker vi både på antall henvendelser vi får om selve ombudsordningen, og på antall påmeldte til kursene våre. Vi forventer en fortsatt økning i nye ombud i tiden framover.

I 2017 arrangerte vi både på våren og høsten grunnkurs for nye ombud, samt kurs om forberedelse til det nye regelverket. I tillegg hadde vi et to-dagers seminar for personvernombudene innen helse og forskning. Vi har aldri hatt så mange deltakere på våre kurs før. Vi har gjort brukerevalueringer av samtlige arrangementer og tilbakemeldingene har vært gode.

I meldingsåret har mye av Datatilsynets arbeid med personvernombud dreiet seg om forberedelse til nytt regelverk. Arbeidet har inkludert å gi høringsinnspill til Justisdepartementet, koordinering med andre europeiske tilsyn, utarbeidelse av veileder om personvernombud etter nytt regelverk, veiledning og foredragsvirksomhet, samt et prosjekt med å lage en ny registreringsløsning for personvernombudene via Altinn.

Vi har også samarbeidet med ulike utdanningsaktører for å sikre at personvernombudene har et godt utdanningstilbud både før og etter at de nye reglene trer i kraft.

Figur 1.18 Antall virksomheter med personvernombud de siste årene

Figur 1.18 Antall virksomheter med personvernombud de siste årene

1.2.5.12 Politiets kameraovervåking

Datatilsynet gjennomførte i 2015 en kontroll av politiets kameraovervåking i Brumunddal sentrum. Etter kontrollen fattet vi vedtak om å avslutte overvåkingen da vi mente den ikke oppfylte vilkårene i personopplysningsloven. Vedtaket ble påklaget, og Personvernnemda ga politiet i Brumunddal medhold i klagen. Det blir interessant for Datatilsynet å følge med på om denne avgjørelsen fører til mer overvåking i politiets regi. Saken vakte stor interesse, og har generert flere medieoppslag.

Etter Datatilsynets vurdering gir ikke den nye personvernforordningen hjemmel for politiet til å drive forebyggende kameraovervåking. I vår høringsuttalelse, understreker vi denne problemstillingen.

1.2.5.13 Samferdsel

Innen samferdselssektoren har vi særlig arbeidet med å få på plass en strategi for godt personvern i sektoren. Smarte byer og intelligente transportsystemer gir utfordringer for personvernet, samtidig som ny teknologi gir nye muligheter for å ivareta personvernet på en god måte. Vi har selvsagt også fortsatt vårt samarbeid med andre etater og myndigheter, samt gjennomført en god del foredragsvirksomhet og veiledning.

Selv om det er viktig for Datatilsynet å være oppmerksom på og være tilstede på alle områder innen samferdselssektoren, har vi i strategien likevel valgt å trekke frem tre områder som vi mener blir særlig viktige i nærmeste framtid:

  • Veiprising

  • Tilkoblede kjøretøy, inklusivt autonome kjøretøy

  • Kollektivtransport

Alle disse områder er, eller vil bli, en del av det som kan omtales som «smarte samfunn». Det er derfor viktig for oss at vi sammen med aktørene klarer å se de disse områdene i nettopp det perspektivet.

Det er viktig for Datatilsynet at aktørene i sektoren aktivt benytter teknologien til å ivareta personvernet fremfor å utfordre det, samt at innebygd personvern og personvern som standardinnstilling kommer på plass i sektoren. Andre kjerneverdier i personvernet som dataminimalisering, åpenhet, informasjon, god informasjonssikkerhet og forhindring av unødvendig registrering, er selvsagt også viktige elementer i strategien. Det er derfor viktig for oss å være en tydelig stemme i den offentlige debatten knyttet til personvernspørsmål i på dette feltet.

Personvern ved kjøp av ny bil

Moderne biler lagrer og behandler store mengder opplysninger. Bilprodusentene ønsker å bruke opplysningene for å kunne lage enda bedre og sikrere biler, mens verkstedene ønsker å bruke dem for å kunne reparere bilen på en sikker og effektiv måte. Noen av disse opplysningene er personopplysninger.

Det er svært viktig at bilkjøpere er kjent med, og godtar en slik innsamling. For å hjelpe bilkjøperne til å få bedre informasjon om og oversikt over hvilke opplysninger deres nye bil vil samle inn, utformet Norges Bilbransjeforbund og Datatilsynet et standardskjema som både forhandleren og bilkjøperen går gjennom og underskriver på. Skjemaet fungerer som en bransjenorm.

1.2.6 Internasjonalt arbeid

Internasjonalt samarbeid blir bare viktigere, ikke minst i lys av det nye regelverket som trer i kraft i 2018. Det er derfor viktig for oss å ha et godt internasjonalt nettverk.

Artikkel 29-gruppen (Article 29 Working Party – Art. 29 WP)

Artikkel 29-gruppen er opprettet i henhold til personverndirektivet, og er den øverste rådgivende forsamlingen for EU-kommisjonen i spørsmål om personvern og informasjonssikkerhet. Her møter alle lederne for datatilsynsmyndighetene i EU og EØS. Norge har observatørstatus. Vi kan delta og bidra med vår faglige kompetanse i plenumsmøtene og undergruppene, men vi har ikke stemmerett.

I 2017 har Datatilsynet deltatt med to representanter på plenumsmøtene til gruppen. Det er holdt fem plenumsmøter i 2017, og Datatilsynet har vært representert på alle. I september presenterte vi veilederen vår om innebygd personvern på et av plenumsmøtene.

I tillegg er vi representert i ulike undergrupper. Datatilsynet er med i Cooperation Subgroup, Technology Subgroup, Key Provisions Subgroup og International Transfers Subgroup. Vi deltar også i undergruppen Future of privacy ved leilighet. Alle disse undergruppene forbereder saker for plenumsmøtene der de endelige avgjørelsene om rekommandasjoner, retningslinjer, FAQ-er og så videre blir fattet.

Vår deltakelse i Technology Subgroup gir oss mulighet til å fremme norske synspunkter i spørsmål om teknologi og juss. Undergruppen diskuterer også konsekvensene av nye teknologier som påvirker personvernet. Gruppen er en svært viktig informasjonskilde for oss. Vi fremmer også forslag til gruppen, og deltar som co-rapportør i forbindelse med utarbeidelsen av diverse dokumenter.

I Future of Privacy Subgroup foregår mange av diskusjonene om den nye forordningen. Vi er representert med en jurist, og har vært med i møtene som er avholdt i 2017.

Key Provisions Subgroup arbeider med de mest sentrale bestemmelsene i forordningen, og vi har deltatt i arbeidet med arbeidsgruppens retningslinjer om profilering, automatiserte avgjørelser og samtykke.

Berlingruppen – International Working Group on Data Protection in Telecommunications (IWGDPT)

Berlingruppen er et internasjonalt fellesskap som arbeider med personvern og elektronisk kommunikasjon. Det er hovedsakelig personvernmyndigheter som deltar. Gruppen kommer med uttalelser (Working Papers) om aktuelle personvernspørsmål.

Datatilsynet har vært en aktiv deltaker i Berlingruppen i 2017. Vi har vært til stede i begge møtene, og vi har tatt initiativ til en resolusjon om kunstig intelligens.

Den internasjonale personvernkonferansen (ICDPPC)

ICDPPC ble i år avholdt i Hong Kong, og Datatilsynet var til stede med en representant fra ledelsen. Vi hadde gleden av å motta ICDPPCs pris for beste internasjonale prosjekt i kategorien «Education and advocacy» (nærmere omtalt under «Annen vesentlig aktivitet – Barn og unge»).

Vi var dessuten co-sponsor for «Resolution on Collaboration between Data Protection Authorities and Consumer Protection Authorities for Better Protection of Citizens and Consumers in the Digital Economy”. Sammen med syv andre land arbeidet vi for å få resolusjonen vedtatt. Et av tiltakene i resolusjonen er å etablere en internasjonal arbeidsgruppe som skal se på hvordan datatilsyns- og forbrukermyndigheter kan samarbeide mer effektivt om saker. Arbeidsgruppen skal bygge på arbeidet som allerede foregår i blant annet Digital Clearinghouse, der Datatilsynet er en av deltakerne. Datatilsynet skal delta i den internasjonale arbeidsgruppen.

Eurodac og Visumsamarbeidet i Europa

Vi er fullverdig medlem av begge disse koordineringsgruppene. Møtene finner som regel sted samtidig, ettersom de to temaene er beslektet. Vi deltok på begge møtene i 2017.

Schengen Coordination Group (SCG)

Vi er fullverdig medlem av Schengen-koordinasjonsgruppen som møtes i EU-parlamentet i Brüssel. Vi har deltatt på begge møtene i 2017.

SCHEVAL – Schengen-inspeksjon av Norge

I 2017 ble Norges overholdelse av «Schengen aqcuis» evaluert av et team sammensatt av personverneksperter fra hele Europa. Datatilsynet var en av myndighetene som ble besøkt. I tillegg hadde vi ansvaret for å koordinere inspeksjonens personverndel. Evalueringen er nærmere beskrevet under «Annen vesentlig aktivitet – Justissektoren».

Samarbeid med de nordiske datatilsynsmyndighetene

Det nordiske datatilsynsmøtet ble i år avholdt i Tromsø. Hovedtemaet var den nye forordningen. De nordiske datatilsynsmyndighetene har dessuten jevnlig kontakt, både i form av uformelle samtaler og på andre internasjonale arenaer.

Internasjonalt samarbeid mellom datatilsyn, forbrukermyndigheter og konkurransetilsyn

Datatilsynet deltar på møter i Digital Clearing House, en møtearena opprettet og organisert av European Data Protection Supervisor (EDPS). Møtene samler representanter fra europeiske datatilsynsmyndigheter, forbrukerombud og konkurransetilsynsmyndigheter. Formålet med møtene er å dele informasjon om saker vi arbeider med, og å undersøke hvordan vi sammen kan håndtere utfordringer i det digitale økosystemet på en mest mulig effektiv måte. Datatilsynet har, sammen med Forbrukerombudet, vært en viktig pådriver og bidragsyter i disse møtene. Sammen med Forbrukerombudet har vi presentert et rammverk, «The Consumer Journey», for å vise hvordan vi kan håndtere saker i fellesskap etter våre respektive lovverk.

Som følge av vårt engasjement i Digital Clearing House og erfaring fra nasjonalt samarbeid med forbrukermyndigheter, er vi invitert med i en arbeidsgruppe nedsatt av den internasjonale konferansen for personvernmyndigheter (ICDPPC). Arbeidsgruppen skal utrede hvordan datatilsynsmyndigheter, forbrukerombud og konkurransetilsynsmyndigheter kan samarbeide mer effektivt på internasjonalt nivå for å forbedre forbrukernes rettigheter. Arbeidsgruppen skal legge frem en rapport på neste ICDPPC-møtet i Brussel i 2018.

1.2.7 Nasjonale samarbeidsrelasjoner

Datatilsynet har utstrakt kontakt med andre aktører. Nedenfor følger en oversikt over vår mest sentrale deltakelse i nasjonale fora.

I tillegg til disse kommer det et stort antall kontaktmøter med sentrale aktører og samarbeid av mer kortvarig art. Vi har også avtaler om faglig samarbeid med flere sentrale statlige virksomheter.

Aktørforum e-signatur

Nasjonal kommunikasjonsmyndighet (Nkom) samler aktørene innen e-signaturområdet til aktørforum, hovedtema er EU-kommisjonens forslag til forordning om blant annet e-ID og e-signatur. Aktørforumet skal systematisere kontakten mellom aktørene, og Datatilsynet har fulgt opp arbeidet i forumet.

ID-nettverket for en helhetlig ID-forvaltning

Datatilsynet deltar sammen med flere andre sentrale organisasjoner i dette nettverket. Hovedmålet til nettverket er å arbeide for en helhetlig ID-forvaltning i Norge, og for å forebygge kriminalitet for dermed redusere trusselen mot velferdsstaten. Datatilsynets deltakelse er viktig både for å ivareta personvernet i ID-forvaltningen, og for å bidra til at sikre løsninger etableres.

Folkeregisterprosjektet

Det er viktig for Datatilsynet å følge med på utviklingen av hvordan folkeregisteret kommer til å se ut i fremtiden. Vi har per i dag med to representanter i referansegruppen, samt at vi har deltatt i enkelte møter i prosjektet. Vi har i 2017 jobbet særlig med ny personidentifikator i folkeregisteret. Problemstillinger knyttet til hvilke opplysninger som skal inn i folkeregisteret, er noe vi jevnlig må forholde oss til. Vi er tilfredse med at det er slått fast i ny folkeregisterlov at biometri ikke skal inn i folkeregisteret.

Forumet «Stopp nettsvindelen»

Forumet drives av Norsk senter for informasjonssikring, NORSIS. Datatilsynet deltar sammen med flere andre sentrale offentlige og private organisasjoner. I forumet legges det vekt på presentasjon av trender, metoder og fremgangsmåter som svindlere benytter, slik som identitetstyveri og svindel. Det fokuseres på erfaringsutveksling, tiltak og virkemidler.

Kommunal informasjonssikkerhet (KINS)

Datatilsynet har deltatt som samarbeidspartner i Kommunal informasjonssikkerhet (KINS). Dette innebærer å delta på styremøter som observatør og bidragsyter, og å delta i planleggingen av KINS sine arrangementer. Vi bidrar også med foredrag eller som paneldeltakere på disse arrangementene.

Mobilitets- og teknologirådet

Samferdselsministeren leder rådet der Datatilsynet er representert ved direktøren. Rådet består av sentrale aktører i privat og offentlig sektor, og skal bidra til en felles forståelse av de mulighetene og utfordringene som ny teknologi i samferdselssektoren gir. Datatilsynet lanserte sin strategi for samferdselssektoren på et møte i rådet høsten 2017.

Nasjonalt råd for Facilitation – NAFAL

Datatilsynet har én representant i Nasjonalt råd for Facilitation (NAFAL), sivil luftfart. Rådets mandat er å fremme forslag til fastsettelse av standarder for effektiv gjennomstrømming av personer, bagasje og varer på lufthavner. Luftfartstilsynet koordinerer gruppen som har medlemmer fra tolv ulike myndigheter og virksomheter i sivil luftfart.

Norsk Biometri Forum

Datatilsynet deltar i Norsk Biometri Forum som er et uformelt forum for presentasjon og diskusjon innenfor biometri. Det er lagt stor vekt på å få inn nye ideer, samtidig som møtene benyttes til orientering om pågående prosjekter innenfor offentlig og privat sektor.

I prinsippet er forumet åpent for alle interesserte innen offentlig sektor, næringsliv og forskning. Forumet møtes omtrent to ganger i året, og har deltakere fra departementer, direktorater og en del private bedrifter, samt NTNU i Gjøvik. Forumet arrangeres i tett samarbeid med Forum for Research and Innovation in Security and Communications (FRISC) og European Association for Biometrics (EAB).

Norsk senter for informasjonssikring (NorSIS)

Datatilsynet er representert i styret til NorSIS ved direktøren. Vi har mange overlappende ansvarsområder med NorSIS, og samarbeider derfor med dem om ulike tema, blant annet nasjonal sikkerhetsmåned.

Referansegruppe – fulltekstpublisering av dokumenter i OEP

Datatilsynet er representert i referansegruppen for fulltekstpublisering av dokumenter i offentlig elektronisk postjournal (OEP). Det er viktig for oss å delta i dette arbeidet for å fremme de personvernmessige prinsippene som gjør seg gjeldende ved innføring av fulltekstpublisering i OEP. Vi har erfart at det både er mangelfulle rutiner og risikovurderinger knyttet til de avvikene vi har mottatt på dette området, og at det er viktig at man ved innføring av fulltekstpublisering gjør en vurdering av risikoen ved at personopplysninger gjøres tilgjengelig på nett.

Standardisering – komitédeltagelse

Vi deltar i komiteer for standardisering der arbeidet har direkte relevans for vårt arbeidsområde. Standarder er førende for virksomhetenes praksis, også når det gjelder behandling av personopplysninger. Formålet med deltakelsen i komiteene er å sikre kunnskap om pågående prosesser internasjonalt, påvirke fremtidige rammebetingelser, samt bidra til å påvirke relevante standarder med hensyn til personvern og informasjonssikkerhet. Det er også viktig å få innblikk i hvilken praksis som anses som god, samt å holde kontakten med fagmiljøet.

Datatilsynet deltar i tre komiteer:

  • SN/K 171 arbeider i hovedsak relatert til ISO/IEC JTC 1/SC 27 IT Security techniques

  • SN/K 175 Intelligente Transportsystemer (ITS)

  • SN/K 188 Person-ID, kortsystemer, biometri, sikre signaturer, borgerkort

  • SN/K 186 Læringsteknologi

Norsk konferanse for IKT i offentlig sektor (NOKIOS)

Datatilsynet har deltatt som samarbeidspartner og deltatt i programkomiteen for NOKIOS. Dette innebærer å delta i planleggingen av konferansen, samt å være bidragsyter både når det gjelder innhold og gjennomføring av konferansen. NOKIOS har etter hvert blitt en viktig arena der vi kan sette fokus på personvern i digitaliseringen av offentlig sektor. Vi bidro også med kurs, foredrag og som paneldeltakere på konferansen.

Direktoratet for forvaltning og IKT (Difi)

Datatilsynet har et godt samarbeid med Difis kompetansemiljø innenfor informasjonssikkerhet. Vi har en del overlappende ansvarsområder, og samarbeider med dem om ulike tema slik som blant annet veiledere for internkontroll og informasjonssikkerhet, og nasjonal sikkerhetsmåned.

Samarbeidsprosjektet Du Bestemmer

Du Bestemmer er et prosjekt som drives i samarbeid mellom Senter for IKT i utdanningen og Datatilsynet, og som ble lansert i januar 2007. Målet med prosjektet er å øke ungdoms kunnskap om personvern generelt, samt heve deres bevissthet om valg de gjør ved bruk av digitale medier slik som internett og mobiltelefon. Prosjektet driver blant annet en nettressurs som skal bidra til at barn og unge skal lære seg å ta kontroll over egne personopplysninger, men samtidig respektere andres opplysninger. Hele eller deler av dette opplegget er til nå tatt i bruk i over 20 andre land.

Direktoratet for e-helse

Det har vært jevnlige møter mellom Datatilsynet og direktoratet i 2017, både på direktørnivå og på saksbehandlernivå. Nye løsninger presenteres og drøftes løpende med Datatilsynet.

Helsedataprogrammet ligger også under ansvarsområdet til Direktoratet for e-helse. Vi har deltatt i referansegruppen og i en av arbeidsgruppene i programmet.

Direktoratet har sekretariatet for Normen.no, og det er også i den forbindelse mye kontakt. Vi har deltatt som observatør i styringsgruppa til Normen. Vi har også hatt jevnlige møter med sekretariatet gjennom året og diskutert Normen opp mot de nye personvernreglene.

Helsedirektoratet

Det er jevnlig kontakt mellom Datatilsynet og Helsedirektoratet, både på direktørnivå og saksbehandlernivå. Datatilsynet deltok blant annet på direktoratets seminar for persontilpasset medisin.

1.3 Vurdering av framtidsutsikter

For ti år siden holdt jeg et foredrag i Brussel om «the Internet of Things» og «the Symantic Web». Min oppgave var å se inn i krystallkula og forsøke å forutse framtidige bruksområder, utfordringer og muligheter. Dessverre har jeg ikke klart å finne tilbake til det foredraget – og det er kanskje like greit, for ting har sannsynligvis ikke blitt slik jeg trodde den gangen. Men vi var alle overbeviste om at data ville bli brukt til personrettede tjenester og tilbud, og at det vil bli mer data i tida framover.

Personifisering

Dette var kanskje ikke noen oppsiktsvekkende analyse, men mer overraskende er det at det har tatt såpass lang tid å komme dit. Utviklingen fra 2008 til i dag har vært overveldende og formidabel, men det er først de siste årene vi virkelig har opplevd at alt personifiseres i vår hverdag. Åpner vi en nettside, får vi annonser for ting vi nettopp søkte på og vi tilbys rabatter på forsikring dersom kjøreadferden vår kartlegges. Kombinasjonen algoritmer og kunstig intelligens gjør at flere og flere beslutninger treffes uten at mennesker er involvert. Skatteetaten får hjelp av algoritmer til å flagge selvangivelser som bør sjekkes nærmere. Lånekassen gjør det samme med de som mistenkes for juks med borteboerstipend. Denne utviklingen vil bare fortsette, i både privat og offentlig sektor.

Emosjonell overvåking

Det siste innskuddet i overvåkingsindustrien er emosjonell overvåking. Vi ble først klar over dette da en ung ingeniørstudent plutselig oppdaget noe rart da han passerte et interaktivt reklameskilt for en pizzakjede. På grunn av en feil kunne han se kodingen, og der sto det «ung mann, briller, smiler». Forklaringen var ganske enkelt at reklameskiltet leste ansiktet til de forbipasserende, og så ga dem tilbud basert på utseende og kjønn. Menn fikk reklame for pizza med kjøtt, kvinner for frisk salat.

Det pågår mye forskning på dette området. Blant annet forsøker noen å utvikle en app som kan forutsi når en person med bipolar eller manisk-depressiv lidelse er i ferd med å komme inn i en fase der han trenger behandling. Ved å lese av følelser slik som nysgjerrighet, frustrasjon eller engasjement, kan lærerne sette inn tiltak for å motivere og støtte elever. Dette krever selvsagt tilgang til data som går inn i det aller dypeste av oss mennesker: våre følelser – kanskje til og med våre tanker. Det krever ingen nærmere forklaring at dette utfordrer personvernet kraftig.

Nye personvernregler

Hvordan skal Datatilsynet og andre som jobber med personvern møte denne utviklingen? Gir det overhode noen mening å snakke om personvern i 2018? Svaret er ja, og et mer optimistisk ja enn for et par år siden. Det skyldes at vi i 2018 får et nytt personvernregelverk. Ser vi veldig overordnet på utviklingen, har vi klart oss relativt bra med dagens foreldede regelverk. Men nå kommer et nytt regelverk som legger nye plikter på virksomhetene, og gir nye rettigheter til borgerne og forbrukerne.

I det nye regelverket fastslås flere viktige prinsipper for behandling av data, blant annet at data skal samles inn til et bestemt formål, og at man ikke skal samle inn mer data enn nødvendig (dataminimalisering). Når man tar i bruk kunstig intelligens eller emosjonell overvåking, er det ofte fristende å ta i bruk data til nye formål. Algoritmene finner sammenhenger og mønstre den menneskelige hjerne ikke kan finne. Og det er ofte ønske om at mengden maksimaliseres, slik at vi får mest mulig data å øse fra.

Den nye loven stiller også strengere krav til å ha kontroll på data virksomheten bruker. Dette betyr at en virksomhet som for eksempel treffer beslutninger om tildeling av en stønad, må ha full oversikt over de datakildene som brukes for å treffe beslutningen. Offentlig sektor er også underlagt forvaltningsloven som blant annet krever at enkeltvedtak skal begrunnes så godt at hver enkelt av oss forstår hvorfor avgjørelsen ble som den ble. Borgeren har også rett på informasjon om hvilke regler og faktiske forhold vedtaket bygger på, samt hvilke hovedhensyn som har vært avgjørende.

Den som er gjenstand for en automatisk beslutning, har dessuten rett til å få en forklaring på logikken bak beslutningen. Ta forsikring som eksempel: Selv i dag er det å beregne pris på en bilforsikring krevende, og mange opplysninger inngår i beslutningen. Det kan være alder, bosted, barn under 25 år som kjører bilen, kjørelengde, om man har garasje eller parkerer på gata. Dersom vi har en svart boks i bilen, vil når vi bremser, hvor fort vi kjører, bruk av blinklys og lignende også inngå i prisvurderingen.

Datatilsynet har ikke svaret på hvordan slik forklaring skal gis, men vi ser at dette i mange tilfeller vil være krevende. Hver enkelt av oss skal med rimelig grad av sikkerhet vite hva utfallet av en sak skal blir, basert på lignende avgjørelser. Dessuten skal vi kunne etterprøve at beslutningen er rettferdig, at det ikke er trukket inn utenforliggende hensyn eller at det er fordommer i algoritmene.

Politikernes rolle

Det er også all grunn til å påpeke at politikerne har en viktig rolle å spille. Det må stilles krav til lovhjemlene som skal brukes. Dersom det for eksempel lykkes å utvikle en algoritme som flagger trygdesvindlere, må det være en egen lovprosess for å få på plass en hjemmel før algoritmen kan slippes løs på reelle saker. Dersom Tolletaten skal starte søk i åpne datakilder for å fange smuglere, vil det kreve en meget grundig utredning, klare lovhjemler og ikke minst vurdering i forhold til Den europeiske menneskerettskonvensjonen.

Nye arbeidsmetoder

Vi må utvikle en metodikk for hvordan algoritmer skal forklares, og hvordan lovverket skal tilpasses en ny teknologisk hverdag. Vi kan også komme i en situasjon der et resultat ikke kan forklares: Maskinen avslår søknaden om stønad, men vi vet egentlig ikke hvorfor. Vi kan ende i en situasjon der en algoritme ikke kan brukes, fordi vi ikke kan forklare beslutningene den har truffet. Dessuten må vi jobbe mer målrettet og strategisk enn tidligere.

I vår nye strategi (les mer under «Introduksjon og hovedtall – Ny overordnet strategi for Datatilsynet») har vi blant annet blinket ut markeder med stor ubalanse i maktforholdet, samt virksomheter med en utfordrende forretningsmodell som særlig viktig. Vi er allerede i gang med denne strategiske endringen. I 2017 har vi behandlet den største saken noensinne, mot helseforetakene i Helse Sør-Øst (les mer under «Helse og velferd»). Vi har også varslet stans av databehandlingen i smartklokker for barn (les mer under «Annen vesentlig aktivitet – Personvern er forbrukervern»).

Med det nye regelverket i ryggen, og masse kompetente medarbeidere, er Datatilsynet godt rustet til å møte de utfordringene som kommer.

Bjørn Erik Thon

Direktør

1.4 Vedlegg

1.4.1 Gjennomførte kontroller

Saksnummer

Tilsynsobjekt

Kategori

1.

17/00243

Kontroll hos Sykehuset Telemark HF

Helse

2.

17/00309

Kontroll med Nyfødtscreeningen ved Oslo universitetssykehus HF – Genetisk masseundersøkelse av nyfødte

Helse

3.

16/02060

Olav Thon Gruppen AS – Brevkontroll – Saklig behov for kredittsjekk av potensielle leietakere

Kredittsjekk

4.

16/02061

Søylen Eiendom AS – Brevkontroll – Saklig behov for kredittsjekk av potensielle leietakere

Kredittsjekk

5.

16/02062

Selvaag Eiendom AS – Brevkontroll – Saklig behov for kredittsjekk av potensielle leietakere

Kredittsjekk

6.

16/02063

Jens Evensen Eiendom AS – Brevkontroll – Saklig behov for kredittsjekk av potensielle leietakere

Kredittsjekk

7.

16/02064

Frost Eiendom AS – Brevkontroll – Saklig behov for kredittsjekk av potensielle leietakere

Kredittsjekk

8.

16/02065

Hybelutleie Eiendom AS – Brevkontroll – Saklig behov for kredittsjekk av potensielle leietakere

Kredittsjekk

9.

17/00164

Rendalen kommune – Kontroll av fulltekstpublisering av dokumenter på internett

Offentlig publisering

10.

17/00183

Modum kommune – Kontroll av fulltekstpublisering av dokumenter på internett

Offentlig publisering

11.

17/00210

Engerdal kommune – Kontroll av fulltekstpublisering av dokumenter på internett

Offentlig publisering

12.

17/00216

Ballangen kommune – Kontroll av fulltekstpublisering av dokumenter på internett

Offentlig publisering

13.

17/00330

Salangen kommune – Kontroll av fulltekstpublisering av dokumenter på Internett

Offentlig publisering

14.

17/00331

Luster kommune – Kontroll av fulltekstpublisering av dokumenter på internett

Offentlig publisering

15.

17/00332

Sigdal kommune – Kontroll av fulltekstpublisering av dokumenter på internett

Offentlig publisering

16.

17/00337

Kvinnherad kommune – Kontroll av fulltekstpublisering av dokumenter på internett

Offentlig publisering

17.

17/00339

Hurum kommune – Kontroll av fulltekstpublisering av dokumenter på internett

Offentlig publisering

18.

17/00340

Lier kommune – Kontroll av fulltekstpublisering av dokumenter på internett

Offentlig publisering

19.

17/00441

Nesna kommune – Kontroll av fulltekstpublisering av dokumenter på internett

Offentlig publisering

20.

17/00443

Nærøy kommune – Kontroll av fulltekstpublisering av dokumenter på internett

Offentlig publisering

21.

17/00446

Tolga kommune – Kontroll av fulltekstpublisering av dokumenter på internett

Offentlig publisering

22.

17/01095

Kontroll hos Kripos og Øst politidistrikt – Politiets register for bekymringssamtaler

Politi

23.

17/00645

Stand Up Norge AS – Kontroll hos Latter – WiFi-sporing

Sporing

24.

17/00185

Kontroll med Rema 1000 – Appen Æ

KomPOL

25.*

17/00377

Revisjon av Agder Energi Nett – Tilsynssamarbeid med Norges vassdrags- og energidirektorat – NVE – AMS og sikkerhet / personvern

Annet

* Vi var deltager ved NVE sine tilsyn, så vi teller det ikke som eget tilsyn.

1.4.2 Høringssvar

Tabellen viser en oversikt over høringer Datatilsynet har hatt merknader til i 2017:

Dok. nr.

Tittel

Til/fra

1.

17/00368-2

Høringsuttalelse – Om tap av retten til å praktisere for trygdens regning og utelukkelse fra å utstede legeerklæringer

Arbeids- og sosialdepartementet

2.

16/01783-2

Høringsuttalelse – Ny barnevernslov

Barne- og likestillingsdepartementet

3.

17/00461-2

Høringsuttalelse – Endringer i barneloven og statsborgerloven

Barne- og likestillingsdepartementet

4.

17/01048-2

Høringsuttalelse – Forslag til forskrift om virksomhet etter gjeldsinformasjonsloven

Barne- og likestillingsdepartementet

5.

17/00093-2

Høringsuttalelse – Forslag til nye eller reviderte forvaltningsstandarder – 1 kvartal 2017

Difi – Direktoratet for forvaltning og IKT

6.

16/02038-2

Høringsuttalelse – Hvitvaskingslovutvalgets utredning NOU 2016: 27

Finansdepartementet

7.

17/00077-2

Høringsuttalelse – forslag om bruk av utvidet uttømmende politiattest ved tilsettinger i Tolletaten

Finansdepartementet

8.

17/00129-2

Høringsuttalelse – Beredskap for kontantdistribusjon

Finansdepartementet

9.

17/00200-2

Høringsuttalelse – NOU 2017: 1 Markeder for finansielle instrumenter – gjennomføring av MiFiD II og MiFIR

Finansdepartementet

10.

17/00414-2

Høringsuttalelse – Forslag til ny personidentifikator – Fødselsnummer

Finansdepartementet

11.

17/00571-2

Høringsuttalelse – EUs reviderte betalingstjenestedirektiv (PSD 2) – Finansdepartementet

Finansdepartementet

12.

17/00780-2

Høringsuttalelse – Gjennomføring av forordning EU 2016/1011 om referanseverdier på finansområdet

Finansdepartementet

13.

17/01081-3

Høringsuttalelse – NOU 2017: 13 Ny sentralbanklov – Organisering av Norges Bank og Statens pensjonsfond utland

Finansdepartementet

14.

16/01693-2

Høringsuttalelse – Rapport avgitt av Lysne II-utvalget om digitalt grenseforsvar

Forsvarsdepartementet

15.

16/01872-2

Høringsuttalelse – 2016:19 Samhandling for sikkerhet – beskyttelse av grunnleggende samfunnsfunksjoner

Forsvarsdepartementet

16.

17/00249-2

Høringsuttalelse – Forskrift om undersøkelser av ulykker og hendelser i forsvaret

Forsvarsdepartementet

17.

16/01936-2

Høringsuttalelse – Oppheving av kravet om henvisning for å få rett til stønad til dekning av utgifter til undersøkelse og behandling hos fysioterapeut – Forslag til endring av folketrygdloven § 5-8

Helse- og omsorgsdepartementet

18.

16/02095-2

Høringsuttalelse – forskrift om kommunalt pasient- og brukerregister – KPR

Helse- og omsorgsdepartementet

19.

17/00114-2

Høringsuttalelse – Forslag om forskriftsregulering av barns rett til selv å samtykke til deltakelse i forskning

Helse- og omsorgsdepartementet

20.

17/00745-2

Høringsuttalelse – Forslag om varig lagring av blodprøvene i nyfødtscreeningen

Helse- og omsorgsdepartementet

21.

17/00747-2

Høringsuttalelse – Pasientens legemiddelliste

Helse- og omsorgsdepartementet

22.

17/01092-2

Høringsuttalelse – Forslag til forskrift om registrering av og tilsyn med salg av tobakksvarer mv

Helse- og omsorgsdepartementet

23.

17/01323-2

Høringsuttalelse – Forskrift om befolkningsbaserte helseundersøkelser

Helse- og omsorgsdepartementet

24.

17/01430-2

Høringsuttalelse – Rapport fra Helsedatautvalget – Et nytt system for enklere og sikrere tilgang til helsedata

Helse- og omsorgsdepartementet

25.

17/00599-2

Høringsuttalelse – En vei inn – forslag til felles meldesystem – meldeordninger for uønskede hendelser i helsetjenesten

Helsedirektoratet

26.

16/01883-2

Høringsuttalelse – Endringer i passloven – tilpasning til nye systemer for pass og ID-kort mv

Justis- og beredskapsdepartementet

27.

16/01935-2

Høringsuttalelse – NOU 2016: 24 Ny straffeprosesslov

Justis- og beredskapsdepartementet

28.

16/01994-2

Høringsuttalelse – Politiets adgang til bruk av tvang ved ransaking av datasystem for å få tilgang til datasystemet ved biometrisk autentisering

Justis- og beredskapsdepartementet

29.

16/02002-2

Høringsuttalelse – endringer i politiregisterloven arkivloven og straffeprosessloven – sletting i politiets registre mv – Justis- og beredskapsdepartementet

Justis- og beredskapsdepartementet

30.

17/00039-2

Høringsuttalelse – forslag til endring i utlendingsloven og forskriften- om visitasjon mv

Justis- og beredskapsdepartementet

31.

17/00088-2

Høringsuttalelse – EU-kommisjonens forslag til system for fremreisetillatelse – European Travel Information and Authorisation System

Justis- og beredskapsdepartementet

32.

17/00296-2

Høringsuttalelse – Endringer i utlendingsloven – politiets tilgang til opplysninger om beboere i asylmottak

Justis- og beredskapsdepartementet

33.

17/00708-2

Høringsuttalelse – Endringer i politiregisterforskriften – nytt kapittel 59 om NTAES

Justis- og beredskapsdepartementet

34.

17/01054-2

Høringsuttalelse – NOU 2017: 11 Bedre bistand

Justis- og beredskapsdepartementet

35.

17/01179-3

Høringsuttalelse – Utkast til ny personopplysningslov – gjennomføring av personvernforordningen i norsk rett

Justis- og beredskapsdepartementet

36.

17/01455-2

Høringsuttalelse – Ny finansavtalelov

Justis- og beredskapsdepartementet

37.

16/01702-2

Høringsuttalelse – Forslag til hjemler i husbankloven for behandling av personopplysninger

Kommunal- og moderniseringsdepartementet

38.

17/01130-2

Høringsuttalelse – Endringer i byggesaksforskriften – Opprettelse av et seriøsitetsregister

Kommunal- og moderniseringsdepartementet

39.

16/01648-2

Høringsuttalelse – Forslag til ny forskrift om rammeplan for barnehagens innhold og oppgaver

Kunnskapsdepartementet

40.

17/00818-2

Høringsuttalelse – Forslag om å innføre plikt til å tilby intensiv opplæring og plikt til flerfaglig samarbeid

Kunnskapsdepartementet

41.

17/01587-2

Høringsuttalelse – Endringer i fagskoleloven – rapportering av individdata

Kunnskapsdepartementet

42.

17/00757-2

Høringsuttalelse – Endring i regelverket for Poker NM

Lotteri- og stiftelsestilsynet

43.

17/00152-2

Høringsuttalelse – Innspill til endring av forskrift om luftfartøy som ikke har fører om bord – Luftfartstilsynet

Luftfartstilsynet

44.

16/01854-3

Høringsuttalelse – Veileder i fastsettelse av identitet til fysiske personer

Nasjonalt ID-senter

45.

17/01059-2

Høringsuttalelse – Forslag til endringer i enhetsregisterforskriften – Plikt til å melde varslingsadresse

Nærings- og fiskeridepartementet

46.

17/00226-2

Høringsuttalelse – Forslag til endringer i riksarkivarens forskrift

Riksarkivet

47.

16/01981-2

Høringsuttalelse – Forslag til ny lov om utprøving av selvkjørende kjøretøy på veg

Samferdselsdepartementet

48.

17/00293-2

Høringsuttalelse – EU-kommisjonens forslag til kommunikasjonsvernforordning

Samferdselsdepartementet

49.

17/00025-2

Høringsuttalelse – Forslag om ny forskrift til lov om folkeregistrering

Skattedirektoratet

50.

17/00395-2

Høringsuttalelse – Forslag til Teknisk Rapport SN/TR 4183 – Datakilder og betingelser for deling av data for læringsanalyse – Standard Norge

Standard Norge

51.

16/01583-2

Høringsuttalelse – Om personlige kjennemerker på biler – Statens vegvesen

Statens vegvesen

52.

17/00305-2

Høringsuttalelse – Forslag til ny lovbestemmelse § 40 c i vegtrafikkloven og forslag til ny forskrift om alkolås og alkolåsverksteder mv

Statens vegvesen

53.

17/01031-2

Høringsuttalelse – Forslag til forskrift om utprøving av selvkjørende motorvogn

Statens vegvesen

1.4.3 Saker sendt til Personvernnemnda

Tabellen viser alle sakene Datatilsynet har sendt til Personvernnemnda for klagebehandling og som er registrert hos nemnda i 2017:

Sak

Klager

Tittel

Dato DT

Sak PVN

Vedtak i PVN

15/01346

Hereid Hus AS

Klage på vedtak om overtredelsesgebyr – innsyn i arbeidstakers e-postkasse

04.01.2017

PVN-2017-01

Klagen tas ikke til følge

16/00805

Bertram Bil AS

Klage på vedtak om overtredelsesgebyr – Kredittvurdering uten saklig behov

08.02.2017

PVN-2017-02

Klagen tas ikke til følge

16/00671

Axactor Norway AS

Klage på vedtak om overtredelsesgebyr – Kredittopplysningsvirksomhet uten konsesjon

16.02.2017

PVN-2017-03

Vedtak oppheves. Saken sendes tilbake for ny behandling

15/01311

Norsk Petroleumsinstitutt

Klage på avslag på søknad om utvidet lagringstid for kameraopptak fra bensinstasjoner – Skimming

20.02.2017

PVN-2017-04

Klagen tas ikke til følge

16/01644

Avskjermet

Klage på vedtak om å avvise krav om sletting og retting av opplysninger i forskningsrapport

17.02.2017

PVN-2017-05

Klagen tas ikke til følge

15/01325

Avskjermet

Klage på vedtak om å slette publiserte personopplysninger på nett – Kollega.info

01.03.2017

PVN-2017-06

Vedtak oppheves. Saken sendes tilbake for ny behandling

15/01628

Feiring Bruk AS

Klage på vedtak om overtredelsesgebyr for kobling av GPS-logg mot timelister

14.03.2017

PVN-2017-07

Klagen tas ikke til følge

16/01464

Utdanningsforbundet i Bergen på vegne av avskjermet

Klage på avslag på krav om sletting av dokument i personalmappe ved Rolland skole i Bergen kommune

03.05.2017

PVN-2017-08

Klagen tas ikke til følge

16/01861

Avskjermet

Klage på avvisning av sak – Behandling av personopplysninger hos Lotteri- og stiftelsestilsynet

23.05.2017

PVN-2017-09

Klagen tas ikke til følge

15/01313

Innlandet politidistrikt

Klage på vedtak om pålegg – Opphør av kameraovervåking i Brumunddal

01.06.2017

PVN-2017-10

Klagen tas til følge

17/00272

Avskjermet

Klage på Datatilsynets vurdering av forholdet mellom åndsverkloven og personopplysningsloven

23.06.2017

PVN-2017-11

Vedtak oppheves og sendes tilbake til DT

16/01850

Fredensborg Norge AS

Klage på vedtak om overtredelsesgebyr for kredittvurdering uten saklig behov

28.06.2017

PVN-2017-12

Klagen tas til følge

16/00462

Kreftregisteret

Klage på vedtak om at nye samtykker må innhentes som premiss for forlengelse av konsesjon til å behandling personopplysninger i NORCCAP-prosjektet

30.06.2017

PVN-2017-13

Datatilsynets vedtak oppheves

16/00821

Avskjermet

Klage på vedtak om avslutning av sak – Klage på behandling av personopplysninger hos Fredrikstad kommune

03.07.2017

PVN-2017-14

17/00684

Avskjermet

Klage på vedtak om avvisning av sak – Krav om innsyn i dokumenter hos barneverntjenesten i Etna og Vindafjord kommune

21.09.2017

PVN-2017-15

Klagen tas ikke til følge

17/00154

Kolbotn Bil AS

Klage på vedtak om overtredelsesgebyr for publisering av kameraovervåking på Facebook

18.10.2017

PVN-2017-16

16/01359

Avskjermet

Klage på vedtak om avslag på krav om sletting av søketreff i søkemotoren Google

20.10.2017

PVN-2017-17

15/01378

Nobina Norge AS

Klage på vedtak om overtredelsesgebyr – Sammenstilling av GPS-data og innleverte timelister uten rettslig grunnlag

16.11.2017

PVN-2017-18

17/00664

Avskjermet

Klage på vedtak om avslag på krav om sletting av søketreff i søkemotoren Google

17.11.2017

PVN-2017-19

16/01942

Yrkestrafikkforbundet

Klage på vedtak om avvisning av klage – Innhenting og bruk av opptak fra overvåkingskamera – Keolis Norge AS

21.12.2017

1.4.4 Vedtak om sanksjoner

Mottaker

Vedtaksbrev

Størrelse på gebyr

Kommentar

Stikkord

1.

Per Hagen AS

05.01.2017

100.000

Kredittvurdering uten saklig behov

2.

Miljøpartiet De Grønne – MDG

17.01.2017

50.000

Avvikssak – Datainnbrudd i medlemsregister

3.

Sosialistisk Venstreparti – SV

17.01.2017

150.000

Avvikssak – Datainnbrudd i medlemsregister

4.

Verktøy & Maskin AS i Narvik

31.01.2017

37.500

Kredittvurdering uten saklig behov

5.

Nobina Norge AS

13.02.2017

100.000

Klagesak i Nemnda

Sammenstilling av GPS-data og timelister

6.

Fredensborg Norge AS

27.03.2017

250.000

Klagesak i Nemnda – vedtak oppheves – krav ikke sendt

Kredittvurdering uten saklig behov

7.

Tjuvholmen Infrastruktur

25.04.2017

0

Ikke sendt pga. oppfølging innen frist

Kontroll – Kameraovervåking

8.

Kolbotn Bil

14.06.2017

75.000

Klagesak i Nemnda

Publisering – kameraopptak i sosiale medier

9.

Vadsø kommune

01.09.2017

50.000

Publisering av dokumenter på internett

10.

Vågsbygd Bilverksted

20.09.2017

75.000

Klagebehandling

Publisering på internett – Kameraopptak

11.

NKI Nettstudier

20.09.2017

150.000

Avviksmelding – Publisering på internett

12.

Rema 1000 Sofiemyr (Herbjørnrud Kolonial AS)

03.10.2017

75.000

Publisering av kameraopptak på Internett

13.

Magnat Center

28.11.2017

Overtredelse av pasientjournalloven § 16

14.

NFB International Relocation AS

07.12.2017

75.000

Innsyn i e-post

15.

Ascom (Norway) AS

08.12.2017

75.000

Innsyn i e-post

16.

Oslo universitetssykehus HF ved Janusbanken

11.12.2017

400.000

Kontroll

Til forsiden