2 Merknader fra Kommunal- og moderniseringsdepartementet til Datatilsynets årsrapport
2019 innebar utvikling som førte til store endringer i Datatilsynets oppgaver, arbeidsform og organisering. Det er departementets erfaring at Datatilsynet, på en god måte, har evnet å tilpasse seg nytt regelverk og nye utfordringer.
I meldingsåret har Datatilsynet valgt å prioritere arbeid med personvernspørsmål innenfor områdene barn, unge og utdanning, helse og velferd, og internasjonalt personvernsamarbeid. I arbeidet har de særlig valgt å se på bruken av virkemidlene kommunikasjon og veiledning, samt personvernombudsordningen.
2.1 Barn, unge og utdanning
Personvern for barn og unge er et tema som har vært omtalt i Datatilsynets årsrapporter de siste årene, og har også i dette rapporteringsåret vært et prioritert tema. Stadig flere barnehager og skoler tar i bruk digitale verktøy både i læringssituasjonen og i kommunikasjon mellom skole og hjem. Datatilsynet påpeker at atferdsanalyser, læringsplattformer og -ressurser, PCer og andre nettilkoblede enheter innhenter, lagrer og behandler betydelige mengder opplysninger om barna, og til dels også om deres foresatte. Opplysninger samles inn av ulike involverte aktører med forskjellige hensikter.
Først og fremst behandles opplysninger om selve arbeidet elevene gjør, og oppgavene som er løst. I tillegg behandles informasjon om når og hvor eleven gjorde arbeidet. Dette medfører en omfattende samling av informasjon om barnet/eleven. Det kan også gi betydelig informasjon om hjemmet, og organisering av hverdagen og gjennomføring av skolearbeidet. Skolen har en viktig oppgave i å bevisstgjøre elevene på ulike sider ved bruk av digitale verktøy både i skolearbeidet og ellers. Den må forklare hvilken informasjon om eleven som registreres når elevene bruker de digitale læringsmidlene. Også de foresatte må få god informasjon om dette. Alle berørte må dessuten få god informasjon om hvem som kan få tilgang til opplysningene i den tiden de lagres. Datatilsynet er opptatt av at barns personvern vektlegges i barnehager og på skoler, og at skole- og barnehageeiere har et bevisst forhold til anskaffelse og bruk av digitale løsninger.
En særskilt problemstilling Datatilsynet peker på, er bruken av gratis applikasjoner. Flere store utviklere tilbyr gratis applikasjoner og programvare til bruk i skolen. Datatilsynet peker på at disse tjenestene likevel sjelden er helt gratis. Appene forutsetter at brukerne gir noe tilbake. For appene som tilbys i skolen, er barnas personopplysninger motytelsen. Barna har i de fleste sammenhenger ikke noe valg, men må ta i bruk de appene skolen eller læreren velger ut. På denne måten tvinges de til å gi fra seg personopplysninger som de ikke har noen kontroll over. Dette fører til at barna og de foresatte mister kontroll over personopplysninger om seg selv uten at dette er noe skolen har et bevisst forhold til.
I årsrapporten for 2019 peker Datatilsynet på at 11% av alle avviksmeldingene tilsynet mottok i løpet av året, gjaldt behandling av personopplysninger om barn og unge. Tilsynets personvernundersøkelse for 2019/2020 avdekket at befolkningens tillit til skolesektorens behandling av personopplysninger er lavere enn for offentlig sektor for øvrig. Tilsynets erfaring er at mange kommuner er mer opptatt av å digitalisere enn å digitalisere riktig. Mange kommuner mangler kompetanse til å gjøre gode anskaffelser og bruke anskaffede systemer på en god måte.
I meldingsåret har Datatilsynet behandlet flere store avvikssaker i skolesektoren. De to største gjaldt avvik ved bruk av systemer for kommunikasjon mellom hjem og skole. Både i 2019 og 2020 inviterte Datatilsynet relevante aktører til rundebordsmøte om personvern og informasjonssikkerhet i skolen. Bakgrunnen er at Datatilsynet gjennom tilsyn og avviksmeldinger har en generell bekymring knyttet til barns personvern. Møtet i 2019 avdekket særlig at det er behov for å forbedre kommunenes bestillerkompetanse slik at de kan anskaffe de riktige løsningene. Også utfordringer knyttet til personvern og informasjonssikkerhet i gratistjenester, kompetanse til å foreta gode og opplyste valg av tjenester og, ikke minst, kultur for informasjonssikkerhet i skolen generelt, sto høyt på dagsorden. Datatilsynet erfarer at kommunene har et stort behov for informasjon og støtte i sitt arbeid med personvern og informasjonssikkerhet. Tilsynet påpeker viktigheten av at sentrale myndigheter bidrar i dette arbeidet.
Departementet er enig med Datatilsynet i at det er viktig å bidra til at kommunene kan gjøre gode anskaffelser, og velge systemer og løsninger som på en god måte ivaretar barnas personvern. Både Datatilsynet og Digitaliseringsdirektoratet kan bidra med råd og veiledning for å realisere dette målet. Også kommunenes organisasjoner kan spille en viktig rolle. Samtidig er departementet opptatt av at det er den enkelte kommune som har ansvaret for å etterleve personvernregelverket. Det er den enkelte kommune som må sørge for å anskaffe personvernvennlige løsninger og implementere nødvendige tiltak for å ivareta informasjonssikkerhet. Det er kommunene som kjenner de lokale forholdene og egne behov, og som må vurdere hvilke løsninger som best ivaretar disse behovene. Og det er derfor de som må ta ansvaret for at løsningene som velges er formålstjenlige, sikre og personvernvennlige.
2.2 Helse og velferd
Datatilsynet viser i sin årsrapport til at det pågår flere store prosesser med nasjonale løsninger for behandling av helsedata. De nevner blant annet helsenorge.no, Akson (felles journalsystem i kommunene), Helseplattformen og Helseanalyseplattformen. Hensikten med løsningene er enklere datatilgang. Datatilsynet peker på at kjennetegn ved sektoren er stor endringstakt, politisk oppmerksomhet og storstilt digitalisering. Endringer i måten man gir helsehjelp på, stiller nye krav til systemenes evne til å ivareta informasjonssikkerheten knyttet til konfidensialitet, tilgjengelighet og integritet. Det er samtidig en klart uttalt forventning om effektivisering. Dette kan medføre utkontrakteringer og sentralisering av kompetanse og beslutningsmyndighet. I årsrapporten har Datatilsynet trukket frem flere store høringssaker de har kommentert i løpet av 2019. De viser blant annet til endringer i Nasjonalt vaksinasjonsregister (SYSVAK) og Meldingssystemet for smittsomme sykdommer (MSIS), til endringer i helseregisterloven for å muliggjøre etablering av Helseanalyseplattformen, til endringer i hjemler for helsepersonells tilgang til data for egne læringsformål, og til omgjøring av det pseudonymiserte reseptregisteret til et personidentifiserbart legemiddelregister. Felles for disse sakene er at Datatilsynet, i sine høringssvar, har pekt på at de mener sikkerhetsrisiko og personvernkonsekvenser ved forslagene ikke er tilfredsstillende utredet i høringsforslagene.
Datatilsynet har i rapporteringsåret deltatt i offentlig debatt om personvernrettens rolle og gjennomslagskraft i helsesektoren. Debatten startet med en kronikk med tittelen «Dødelig personvern» i dagspressen. Kronikkforfatterne, som var helsepersonell, hevdet at personvernregelverket ble tolket så strengt at det var til hinder for effektiv pasientbehandling. Datatilsynet deltok i debatten med kronikker, faglige innlegg og i paneldiskusjoner. I debatten la Datatilsynet stor vekt på at godt personvern i helsesektoren er viktig for den generelle tilliten til sektoren. I lys av debatten, utarbeidet Helse- og omsorgsdepartementet et rundskriv om informasjonshåndtering i spesialisthelsetjenesten. Datatilsynet bidro dessuten i et arbeid med en veileder om personvern og forskning sammen med forskningsmiljøet ved Oslo Universitetssykehus. Departementet mener det er bra at de ulike fagmiljøene arbeider sammen for å finne løsninger på denne type utfordringer i en polarisert debatt.
Helsesektoren er en sektor med mange og krevende personvernspørsmål. God ivaretakelse av pasientenes personvern er grunnleggende for en god helsetjeneste. Ofte sidestilles godt personvern med god informasjonssikkerhet. Departementet påpeker at god informasjonssikkerhet er en forutsetning, men ikke tilstrekkelig til å ivareta pasientenes personvern. Personvern handler også om f.eks. ivaretakelse av taushetsplikt og vern om pasientenes integritet, som i mange sammenhenger er grunnleggende for at pasientene skal bidra med nødvendig informasjon for å sikre god helsehjelp. Samtidig er det viktig å legge til rette for at helseopplysninger, på en trygg og god måte, kan brukes til sekundærformål som forskning og utvikling. Bruk til slike formål må innrettes slik at den samsvarer med regjeringens målsetning om at de registrerte skal ha størst mulig råderett over egne personopplysninger.
Departementet mener det er positivt at Datatilsynet deltar i den offentlige debatten om personvern og informasjonssikkerhet i helsesektoren. Det følger av personopplysningsregelverket at det skal foretas utredning og vurdering av personvernkonsekvenser i alle saker der dette er relevant. Det er derfor viktig at vanskelige dilemmaer og avveininger mellom personvern og helsehjelp løftes frem og synliggjøres. Dette legger et godt grunnlag for beslutninger der alternativer er vurdert, ulike hensyn er veid mot hverandre, og der man velger de minst personverninngripende tiltakene som kan realisere målet.
2.3 Personvernombudsordningen
Ordningen med personvernombud har eksistert i Norge siden personopplysningsloven 2000 trådte i kraft. Etter loven var ordningen imidlertid frivillig. I 2016 hadde Datatilsynet registrert 554 virksomheter med personvernombud. Da personopplysningsloven 2018 trådte i kraft, og gjennomførte personvernforordningen i norsk rett, ble ordningen obligatorisk for alle offentlige myndigheter og offentlige organer som behandler personopplysninger. Også en rekke private behandlingsansvarlige som behandler personopplysninger på en måte som kan være spesielt inngripende for de registrerte, f.eks. i form av regelmessig eller systematisk monitorering av de registrerte, skal ha personvernombud. Ved utgangen av rapporteringsåret hadde Datatilsynet registrert 1852 virksomheter med personvernombud. Noen virksomheter deler personvernombud.
Etter personvernregelverket har personvernombudet en viktig funksjon som rådgiver og veileder både internt i den virksomheten vedkommende representerer, og utad overfor kunder, brukere eller andre som virksomheten er i kontakt med. Ombudet kan på mange måter avlaste Datatilsynet gjennom å være en ressursperson i egen virksomhet. Dette er nyttig tatt i betraktning den store mengden henvendelser Datatilsynet mottar.
Datatilsynet har tidligere drevet utstrakt veiledning rettet mot personvernombudene. Med den store økningen i antall ombud som er kommet de siste årene, er det ikke mulig for tilsynet å gi alle nødvendig opplæring og oppfølging. Flere høyskoler har imidlertid etablert utdanningstilbud rettet mot personvernombud. Datatilsynet bidrar med undervisning i enkeltemner innenfor disse studietilbudene. I tillegg viser Datatilsynet til at det er etablert flere nettverk for personvernombud, der ombudene i ulike sektorer møtes og utveksler kunnskap og erfaringer.
Departementet ser på personvernombudene som en stor ressurs som bidrar til godt personvernarbeid i både offentlig og privat sektor. Departementet støtter likevel Datatilsynets nedprioritering av opplæring av ombudene til fordel for andre oppgaver. Dette har samtidig gitt grobunn for private utdanningstilbud på området, noe departementet ser på som positivt. Det er også positivt at tilsynet har ressurser til å bidra med kompetanse i disse utdanningsoppleggene.
2.4 Avvikssaker
Gjennomføring av EUs personvernforordning i norsk rett har ført til stor oppmerksomhet om etterlevelse av personvernregelverket. Et element i dette er også oppmerksomhet om plikten til å rapportere avvik til Datatilsynet. Plikten til å rapportere avvik, dvs. orientere Datatilsynet dersom personopplysninger behandles i strid med personvernregelverket, fulgte også av personopplysningsloven 2000. I og med at sanksjonene for brudd på personopplysningsloven og personvernforordningen nå er svært strenge, opplever Datatilsynet at plikten til å rapportere avvik etterleves i en helt annen grad enn tidligere.
I 2015 mottok Datatilsynet 84 avviksmeldinger. I 2018, da det nye personvernregelverket trådte i kraft i juli, økte antallet avviksmeldinger til 1275. I 2019 mottok Datatilsynet 1916 avviksmeldinger. Tilsynet peker i årsrapporten på at det er ressurskrevende å håndtere alle meldingene. De har derfor utviklet et system der de fleste avviksmeldingene underlegges en forenklet behandling, mens bare de aller mest alvorlige sakene (16%) følges opp gjennom ordinær forvaltningsbehandling. Samtidig påpeker tilsynet at avviksmeldingene er en kilde til nyttig informasjon om hvor de store personvernutfordringene er, og hva de handler om. På denne måten gir avviksmeldingene viktig kunnskap som virksomheten kan benytte til å styre ressursbruken i tilsyns-, veilednings- og kommunikasjonsarbeid.
Det fremgår av årsrapporten at avviksrapporteringen omfatter alt fra store, målrettede hackerangrep der mange tusen registrerte kan være berørt, ned til små saker som har konsekvenser bare for et fåtall registrerte. Den vanligste årsaken til en avviksmelding er at personopplysninger sendes til feil mottaker. Datatilsynet deler avvikene inn i fire hovedkategorier, der noen er interne hendelser, mens andre skyldes forhold utenfor virksomheten. Hele 83% av avvikene gjelder det Datatilsynet kaller interne utilsiktede hendelser. Dette kan være hendelser som følge av manglende rutiner eller opplæring, uhell eller teknisk svikt. Svært mange av avvikene kunne, ifølge Datatilsynet, vært unngått med bedre interne rutiner eller opplæring.
Fordelt på sektorer, viser Datatilsynets rapportering at hele 30% av avvikene rapporteres fra finanssektoren. Sektoren inkluderer blant annet bank, forsikring, inkasso og kredittvurdering. 23% av avvikene rapporteres fra kommunal sektor, som blant annet inkluderer avvik i skole, barnehage, helsetjenester og eldreomsorg. Avviksmeldingene kommer både fra store, ressurssterke kommuner, og fra mindre kommuner. Ca. 11% av avviksmeldingene omfatter behandling av personopplysninger om barn. Omlag halvparten av disse avvikene har skjedd i skolesektoren.
Departementet bemerker at det svært høye antallet rapporterte avvik sammenliknet med situasjonen for noen år siden, ikke nødvendigvis er et uttrykk for dårligere personopplysningssikkerhet. Rapporteringen kan vel så mye være et uttrykk for økt kjennskap til personvernregelverket generelt, og plikten til avviksrapportering spesielt. Jo bedre de behandlingsansvarlige kjenner og forsøker å etterleve regelverket, jo større blir også bevisstheten om at man gjør feil. Tilsvarende er det høye antallet avviksmeldinger fra finanssektoren neppe et uttrykk for at personopplysningssikkerheten i den sektoren er dårligere enn i andre sektorer. I følge Datatilsynet er trolig noe av forklaringen på at sektoren er overrepresentert i rapporteringsstatistikken, at den både har høy bevissthet om etterlevelse av personvernreglene og god kompetanse på området. Mange av avvikene i finanssektoren kategoriseres som mindre alvorlige, blant annet ved at de handler om feilsending av ikke sensitive personopplysninger.
Når det gjelder kommunenes rapportering av avvik, vurderer Datatilsynet disse fra en litt annen innfallsvinkel. En god del av disse avvikene gjelder barn. Barns personopplysninger nyter et særlig vern i personvernregelverket. Avvik som berører barn er derfor særlig alvorlige. Flere av avvikene i kommunal sektor i rapporteringsåret har utløst betydelige overtredelsesgebyrer fra Datatilsynet. Departementet er enig med Datatilsynet i at det er viktig å løfte kommunenes kompetanse på personvern generelt, og informasjonssikkerhet spesielt. Det er viktig at kommunene kjenner krav og plikter i regelverket når de skal anskaffe eller endre ikt-løsninger, og at de løpende foretar risikovurderinger av de løsningene som brukes. Datatilsynet har gjort et viktig veilednings- og informasjonsarbeid på dette området over flere år. Departementet mener dette er viktig arbeid for at befolkningen skal kunne føle seg trygg på at lokalforvaltningen behandler opplysninger om dem på en sikker og god måte.
2.5 Internasjonalt arbeid
Internasjonalt arbeid er viktig, og prioriteres høyt av Datatilsynet. Hoveddelen av vårt nasjonale personvernregelverket er EU-regelverk som er gjennomført i norsk rett. Dette regelverket skal tolkes likt i alle EØS-landene. Det er derfor viktig for norske personvernmyndigheter å ha tett og god dialog med personvernmyndigheter i andre europeiske land for å følge med på regelverkstolkningen der. Også samarbeidet i Det europeiske personvernrådet (Personvernrådet) er viktig for Datatilsynets regelverksanvendelse. Samarbeidet gir dessuten mulighet til å påvirke tolkning og anvendelse av regelverket.
Personvernrådet er rådgivende organ for EU-kommisjonen i personvernspørsmål. Rådets viktigste oppgave er å gi retningslinjer om hvordan personvernforordningen skal tolkes og anvendes. Som EØS-stat er Norge, ved Datatilsynet, fullverdig medlem av Personvernrådet, men uten stemmerett. Tilsynet er aktiv bidragsyter i arbeidet, og har påtatt seg en lederrolle i flere større arbeider rådet har gjennomført i rapporteringsåret.
Saker som berører registrerte, behandlingsansvarlige og/eller tilsynsmyndigheter i flere land skal behandles etter samarbeidsmekanismene i personvernforordningen. Dette er krevende saker med mye koordinering. EUs saksbehandlingssystem, Internal Market Information System, brukes ved behandling av disse sakene. Systemet er imidlertid ikke særskilt tilpasset og tilrettelagt for datatilsynsmyndighetenes bruk, og oppleves derfor som utfordrende. For det norske tilsynet er det dessuten ekstra ressurskrevende at alle dokumenter i de grensekryssende sakene må oversettes til engelsk.
For å håndtere den økte mengden internasjonale saker, har Datatilsynet etablert en egen internasjonal enhet som utelukkende arbeider med denne type saker.
Departementet ser positivt på at Datatilsynet deltar aktivt på mange internasjonale arenaer. Departementet og tilsynet har de siste årene hatt god dialog om nytten av å delta i internasjonalt arbeid, og særlig det europeiske personvernsamarbeidet. Departementet har styrket Datatilsynets budsjett de siste årene, blant annet for å sette dem bedre i stand til å håndtere det internasjonale arbeidet på en god måte.
Et sentralt hensyn bak EUs personvernforordning er regelverksharmonisering. Fortolkningen av regelverket skjer blant annet gjennom det europeiske samarbeidet, og særlig arbeidet som gjøres i Personvernrådet. Aktiv deltakelse gir mulighet til å påvirke regelverksforståelsen. Datatilsynets internasjonale arbeid er derfor blitt enda viktigere og mer omfattende enn tidligere. Departementet er trygg på at Datatilsynet også fremover vil være en tydelig bidragsyter i det europeiske personvernsamarbeidet, og at de vil tilkjennegi sitt syn i diskusjoner og behandling av aktuelle saker. Videre medfører stadig økt handel og internasjonal samhandling flyt av personopplysninger også til land utenfor EU- og EØS-området. Sentrale personvernutfordringer må derfor håndteres gjennom internasjonalt samarbeid og felles løsninger. Departementet er tilfreds med den synlige rollen Datatilsynet har tatt i det internasjonale personvernarbeidet, og i særdeleshet i det europeiske samarbeidet.
2.6 Kommunikasjon som virkemiddel, særlig om videreutvikling av veiledningstjenesten
I perioden med innføring av nytt personvernregelverk, har kommunikasjon vært et svært viktig virkemiddel i Datatilsynets arbeid. Personvernlovgivningen legger et stort ansvar både på de registrerte til å ivareta eget personvern, og på de behandlingsansvarlige for å etterleve regelverket. Ulike grupper registrerte og ulike kategorier behandlingsansvarlige har ulike behov for informasjon og veiledning. Datatilsynet oppgir i årsrapporten at kommunikasjon i første rekke skjer gjennom nettstedet datatilsynet.no, direkte veiledning overfor publikum, mediekontakt og gjennom foredragsvirksomhet.
I 2019 ble den juridiske veiledningstjenesten innlemmet som en egen ressursenhet i kommunikasjonsavdelingen. Dette gir mulighet for god samordning mellom veiledningstjenestens erfaringsmateriale og andre kommunikasjonstiltak. Veiledningstjenesten har i flere år besvart både telefonhenvendelser og henvendelser på e-post. Terskelen for å henvende seg på e-post er ofte lav. Tilsynets erfaring har også vist at mange av e-posthenvendelsene utvikler seg til ordinær forvaltningsbehandling på bekostning av saker innsendt i andre kanaler. Veiledning per e-post har derfor over tid blitt uforholdsmessig ressurskrevende, og det har i perioder tatt lang tid å besvare henvendelsene. I 2012 mottok Datatilsynet 4675 telefonhenvendelser og 2175 e-posthenvendelser til veiledningstjenesten. I 2018 hadde antallet telefonhenvendelser gått noe ned til 4419, mens antallet e-posthenvendelser hadde økt drastisk, til 7552. I rapporteringsåret ble derfor e-postbehandling på veiledningstjenesten faset ut midt i året, samtidig som det ble satset mer på telefonveiledning. Antall telefonhenvendelser til veiledningstjenesten økte i løpet av 2019 til 5218, mens tallet på e-posthenvendelser sank til 1968 (som er antall e-posthenvendelser frem til juni 2019, da e-postveiledning ble faset ut). Tall fra Datatilsynet viser at disse henvendelsene fordeler seg jevnt på privatpersoner og virksomheter. Noen relativt få henvendelser kommer fra personvernombud. Som erstatning for e-postveiledningen, legger tilsynet nå betydelige ressurser i å bygge ut veiledningsmaterialet på sine nettsider, slik at disse skal fungere som den primære kilden for informasjon om rettigheter og plikter.
Datatilsynet fører oversikt over tema for henvendelser til veiledningstjenesten. Denne oversikten gir en god indikasjon på hvilke problemstillinger både de registrerte og de behandlingsansvarlige strever med. I meldingsåret var ca. 25% av henvendelsene registerrelaterte spørsmål. Litt over 20% av henvendelsene gjaldt internkontroll og informasjonssikkerhet, 14% gjaldt kameraovervåking, mens kategoriene «sporing og kontroll» og «definisjoner og tolkning av regelverket» sto for 10% hver. Basert på disse henvendelsene, kan Datatilsynet tilpasse informasjonen de legger på nettsidene sine, slik at den er best mulig egnet til å besvare de vanligste spørsmålene.
I tillegg til veiledningstjenesten, benytter Datatilsynet både sin egen personvernblogg, sosiale medier og debattinnlegg til å formidle personverninformasjon og delta i den offentlige debatten om personvern. I disse kanalene opptrer tilsynet i større grad i sin ombudsrolle.
Departementet mener det er positivt at Datatilsynet har en aktiv holdning til kommunikasjonsarbeid, og benytter ulike kanaler for å nå ut med ulike budskap til forskjellige mottakergrupper. Det er et mål for regjeringen at den enkelte i størst mulig grad skal råde over egne personopplysninger og ivareta eget personvern. God informasjon i kanaler som treffer mottakerne er avgjørende for å nå dette målet, og Datatilsynet er en svært viktig informasjonsformidler. Etter departementets vurdering har Datatilsynet gjort gode vurderinger og prioriteringer i sitt kommunikasjonsarbeid for å støtte opp under regjeringens mål på personvernområdet.