2 Merknader fra Kommunal- og moderniseringsdepartementet til Datatilsynets årsrapport
Det nye personvernregelverket trådte i kraft i Norge 20. juli 2018, og Datatilsynet har i meldingsåret brukt mye tid på å forberede både egen organisasjon og andre på gjennomføringen av EUs personvernforordning i norsk rett. Tilsynet har i denne forbindelse drevet utstrakt informasjons- og veiledningsarbeid, samt vært en aktiv bidragsyter i samfunnsdebatten. På denne måten har tilsynet medvirket til økt bevissthet og kunnskap rundt personvern, og særlig det nye regelverket. Departementet er opptatt av at både innbyggere og virksomheter som behandler personopplysninger skal kjenne til og forstå hva de nye personvernreglene betyr for dem, og mener Datatilsynets bidrag har vært en viktig faktor for spredningen av slik kunnskap.
I meldingsåret har tilsynet også hatt utstrakt dialog og møter med flere aktører, holdt foredrag og kurs om personvernrelaterte tema i ulike forum, og utarbeidet høringsuttalelser i en rekke saker.
Gjennomføringen av personvernforordningen i EU- og EØS-land har gitt nytt giv til det europeiske samarbeidet, og Personvernrådet (European Data Protection Board) er blitt opprettet. Datatilsynet har inntatt en aktiv rolle i rådets arbeid, og blant annet bidratt i arbeidet med etablering av felleseuropeiske retningslinjer om ulike personvernrettslige tema. I tillegg har tilsynet fortsatt å være en aktiv deltaker på en rekke nordiske og internasjonale samarbeidsarenaer.
Oppsummert har Datatilsynet i 2018 særlig arbeidet med personvern innenfor følgende områder:
Innføring av nytt personvernregelverk
Internasjonalt samarbeid
Helse og velferd
Skole, barn og unge
Personvernombudsordningen
2.1 Innføring av nytt personvernregelverk
Arbeidet med det nye personvernregelverket har vært den høyeste prioriterte oppgaven til Datatilsynet i meldingsåret. Internt i tilsynet er arbeidet kalt «forordningsprosjektet», og det har bestått av følgende fem delprosjekt: bygge kompetanse internt, kommunikasjon eksternt, personvernombudsordningen, avvikling av gamle saker, samt digitalisering og IKT-utvikling.
En vesentlig del av «forordningsprosjekt» var å bygge opp kompetansen internt. Selv om flere av de grunnleggende personvernprinsippene er videreført, oppstiller det nye personvernregelverket en rekke materielle endringer sammenliknet med det gamle lovverket. I tillegg er systematikken og detaljeringsgraden i regelverket vesentlig endret. Den interne kompetansehevingen besto blant annet i å utarbeide juridiske og tekniske utredninger av alle spørsmål til personvernforordningen, og mye av dette ble igjen omsatt til informasjonsmateriale. Datatilsynet har også hatt plenumssamlinger og mindre arbeidsgrupper, samt gjennomført øvelser på aktuelle saker for å «teste» det nye regelverket. Departementet er tilfreds med at tilsynet har forberedt de ansatte på innføringen av det nye regelverket ved å heve deres fagkompetanse.
For å forberede eksterne virksomheter på innføringen av det nye regelverket, har Datatilsynet hatt stor utadrettet virksomhet i meldingsåret. Slik ekstern kommunikasjon besto av foredragsvirksomhet, deltakelse på ulike arrangement og møter, i tillegg til at Datatilsynet selv organiserte diverse arrangement. Tilsynet har også utarbeidet store mengder informasjonsmateriell, i form av veiledere og annet verktøy, som er publisert på dets nettsider. Departementet er fornøyd med at tilsynet fortsetter å ta veiledningsoppgaven på alvor, og mener det er svært verdifullt at tilsynet når ut til virksomheter gjennom foredrag og deltakelse på ulike arrangementer. Dette har særlig vært viktig i 2018 på grunn av innføringen av nytt regelverk. Departementet har merket seg Datatilsynets gode veiledere som er publisert på dets nettsider, og mener dette er en hensiktsmessig og ressurseffektiv måte å spre informasjon om regelverket på.
I veiledningsvirksomheten har Datatilsynet spesielt hatt fokus på å forberede kommunene på det nye regelverket. Etter tilsynets erfaring har kommunesektoren hatt særlige utfordringer knyttet til risikovurderinger, internkontroll og oversikt over hvilke personopplysninger de har om sine innbyggere. Datatilsynet har derfor holdt flere foredrag for sektoren, blant annet i samarbeid med foreningen Kommunal Informasjonssikkerhet (KINS) og KS, samt deltatt på regionsamlinger og rådmannsmøter. Tilsynet har også sendt henvendelser til hver kommune og gitt råd om hvordan de bør jobbe for å tilpasse seg det nye regelverket. Departementet har over de siste årene merket seg utfordringene Datatilsynet peker på, og vil fortsette å støtte tilsynets innsats for et bedre personvern i norske kommuner. Departementet er tilfreds med at Datatilsynet proaktivt har arbeidet for å forberede kommunesektoren på gjennomføringen av det nye regelverket, og poengterer samtidig at kommunene selv må være bevisst sitt ansvar og etablere gode system og rutiner for behandling av personopplysninger.
Etter gjennomføringen av det nye regelverket er personvernombudsordningen blitt vesentlig utvidet, og Datatilsynet har gjennomført flere tiltak for å gjøre ordningen kjent. Dette omtales nærmere i punkt 2.5
En annen prioritert oppgave for tilsynet i meldingsåret, var å avvikle saker etter det gamle regelverket før personopplysningsloven 2018 trådte i kraft. Datatilsynet melder om at innsatsen var vellykket og at tilsynet mot slutten av 2018 hadde lavere restanse enn på mange år.
I meldingsåret har det videre vært viktig for Datatilsynet å modernisere IKT-infrastrukturen. Altinn er tatt i bruk som kanal for to av tilsynets tjenester; melding om avvik (brudd på informasjonssikkerheten) og innrapportering av personvernombud. Samtidig har Datatilsynet fått på plass digitale løsninger slik som PDF-signering, e-innsyn, ny sikkerhetsløsning og nytt kjernenett. Tilsynet har også staket ut veien videre for bedre håndtering av veiledningsepost, optimalisering av hjemmesiden og ulike former for automatisering. Tilsynet skriver i årsrapporten at etaten har relativt lav digitaliseringsgrad sammenliknet med mange andre offentlige virksomheter, men at tiltakene som er gjort i 2018 er steg mot å nå målsetningen om å være på samme nivå som øvrig offentlig sektor i det å tilby elektronisk kommunikasjon. Departementet er tilfreds med at Datatilsynet har fokus på å gjøre virksomheten mer digitalisert, noe som vil kunne forbedre publikumskontakten samt forenkle og effektivisere saksbehandlingen. Departementet har tiltro til at tilsynet vil ta i bruk personvernvennlige løsninger i digitaliseringsarbeidet.
2.2 Internasjonalt arbeid
Det europeiske personvernrådet (European Data Protection Board – EDPB) ble opprettet ved ikrafttredelse av personvernforordningen. Personvernrådet er den øverste rådgivende forsamlingen for EU-kommisjonen i spørsmål om personvern og informasjonssikkerhet, og har flere oppgaver og utvidet kompetanse enn forløperen, Artikkel 29-gruppen. Ledere for datatilsynsmyndigheter i EU og EØS møtes i Personvernrådet omtrent én gang i måneden. Som EØS-stat er Norge fullverdig medlem, men har ikke stemmerett. Datatilsynet har i meldingsåret også deltatt aktivt i syv ulike ekspertgrupper som arbeider med å forberede saker for Personvernrådet.
Datatilsynet har fått særskilt ansvar for arbeidet med felles europeiske retningslinjer om innebygd personvern og personvern som standardinnstillinger. Arbeidet bygger på en veileder som tilsynet utarbeidet i 2017, og som fikk stor internasjonal oppmerksomhet. Retningslinjene skal godkjennes av Personvernrådet, og vil trolig være ferdigstilt i 2019. I meldingsåret har Datatilsynet også påtatt seg å lede arbeidet med å etablere europeiske retningslinjer om forordningens art. 6 nr. 1 bokstav b, som blant annet omhandler hvilken adgang en virksomhet har til å behandle personopplysninger uten den enkeltes samtykke. Også dette arbeidet vil sannsynligvis sluttføres i 2019.
I tillegg til det formaliserte personvernsamarbeidet i EU og EØS, deltar Datatilsynet i flere andre internasjonale samarbeidsfora. Det er blant annet et godt samarbeid mellom personvernmyndighetene i de nordiske landene. «Københavndeklarasjonen» ble vedtatt på det årlige nordiske datatilsynsmøtet i 2018, og inneholder felles målsetninger og konkrete tiltak om tilsynssamarbeid. For øvrig har det vært jevnlig kontakt mellom de nordiske datatilsynsmyndighetene gjennom hele året. Departementet mener det er viktig å ivareta det gode nordiske samarbeidet, ettersom de nordiske landene møter mange ensartede problemstillinger.
Videre har Datatilsynet vært aktiv deltaker i Berlingruppen. Organet er et globalt fellesskap, i hovedsak bestående av personvernmyndigheter, som arbeider med personvern og elektronisk kommunikasjon. Datatilsynet har i 2018 bidratt til å få vedtatt en resolusjon om kunstig intelligens, samt bistått ved utarbeidelsen av en veileder om e-læringsverktøy og læringsanalyse.
Datatilsynet var også aktiv på Den internasjonale personvernkonferansen (ICDPPC), og deltok i en arbeidsgruppe som utarbeidet en deklarasjon om etisk og personvernvennlig kunstig intelligens. Tilsynet deltok også i arbeidet med å utforme en resolusjon om viktigheten av samarbeid mellom personvern- og forbrukermyndigheter i den digitale økonomien.
Departementet mener det er svært positivt at Datatilsynet er aktiv på mange internasjonale arenaer. I flere år har departementet og tilsynet hatt god dialog om verdien av å delta i internasjonalt arbeid, og særlig det europeiske personvernsamarbeidet. Et sentralt hensyn bak EUs personvernforordning er regelverksharmonisering. Fortolkningen av det nye regelverket vil blant annet skje gjennom det europeiske samarbeidet, og særlig arbeidet som gjøres i Personvernrådet. Aktiv deltakelse gir mulighet til å påvirke regelverksforståelsen, og Datatilsynets internasjonale arbeid er derfor blitt enda viktigere og mer omfattende enn tidligere. Departementet er trygg på at Datatilsynet vil være en tydelig deltaker i det europeiske personvernsamarbeidet også i fremtiden, herunder tilkjennegi sitt syn i diskusjoner og behandling av aktuelle saker.
Videre medfører stadig økt handel og internasjonal samhandling flyt av personopplysninger også utenfor EU- og EØS-området. Sentrale personvernutfordringer må derfor håndteres gjennom internasjonalt samarbeid og felles løsninger. Departementet er generelt tilfreds med den synlige rollen Datatilsynet har tatt i det internasjonale personvernarbeidet i meldingsåret, og særlig i det europeiske samarbeidet.
2.3 Helse og velferd
Helse- og velferdsområdet omfatter primær og sekundær bruk av personopplysninger innen helse- og omsorgstjenestene, Arbeids- og velferdsforvaltningen, helseforskning og samfunnsforskning. I sektoren behandles opplysninger om befolkningen i alle livsfaser, og opplysningene er blant de mest sensitive som finnes. Dette gjør at området har vært en prioritet for Datatilsynet også i 2018.
Datatilsynet peker på at det innen helsesektoren er et betydelig press på teknologisk utvikling og å ta i bruk nye løsninger. Utviklingen skjer raskt, og det er utfordrende å ivareta personvernhensyn i samme tempo. Digitalisering, eksempelvis av journalopplysninger, stiller også nye krav til systemenes evne til å ivareta informasjonens konfidensialitet, tilgjengelighet og integritet.
Som følge av nytt personvernregelverk, har Datatilsynet måttet arbeide annerledes inn mot helsesektoren i 2018. Tidligere har det vært en omfattende oppgave for tilsynet å behandle søknader om konsesjon til sekundærbruk av data, særlig til forskningsformål. Konsesjonsordningen ble avviklet ved ikrafttredelsen av personvernforordningen, og kontroll med sekundærbruk av data i helsesektoren er nå overlatt virksomhetene. Samtidig er det nye regelverket mer sammensatt og krevende, blant annet hva gjelder rettslig grunnlag ved sekundærbruk av data. Endringene har ført til et stort veilednings- og informasjonsbehov i sektoren, herunder innen register- og forskningsmiljøene. Datatilsynet har derfor deltatt på flere møter, seminarer og konferanser for å formidle hvilke endringer regelverket har medført for sektoren. Departementet er tilfreds med at Datatilsynet har drevet utstrakt veiledningsvirksomhet inn mot sektoren og mener at dette har vært viktig.
Videre har Datatilsynet i 2018 gjennomført enkelte brevlige tilsyn og arbeidet med høringssaker. Tilsynet har avgitt flere høringsuttalelser om forslag som innebærer behandling av personopplysninger innenfor helse- og velferdsområdet. Blant høringsforslagene som berørte helseområdet var opprettelse av nasjonalt drapsregister, nytt bivirkningsregister, endringer i meldeplikten for smittsomme sykdommer og endringer i sprøyteromsordningen. I høringsuttalelsene pekte tilsynet blant annet på manglende utredning av personvernkonsekvenser.
I 2017 varslet Datatilsynet ni helseforetak i Helse Sør-Øst RHF om ileggelse av overtredelsesgebyr på til sammen kr 7 200 000. I 2018 fattet Datatilsynet vedtak i samsvar med dette, og sendte ut endelige kontrollrapporter etter tilsyn med helseforetakenes rutiner for tilgangsstyring. Gebyrene ble gitt som følge av avvik knyttet til sikkerhetsledelse og manglende risikovurderinger i forbindelse med beslutning om tjenesteutsetting av IKT-drift til utlandet. I meldingsåret fulgte Datatilsynet opp saken videre ved å ha kontaktmøter med de relevante aktørene, og å arrangere miniseminar om utkontraktering. Departementet mener det er positivt at Datatilsynet aktivt bidrar til økt bevissthet om personvernutfordringer ved utkontraktering av IKT-tjenester, herunder bidrar til bevisstgjøring rundt ansvarsforhold og risikovurderinger.
Datatilsynets arbeid i meldingsåret har også vært preget av de store nasjonale prosessene innen helsesektoren; Helsedataprogrammet, Helseplattformen, Helsenorge.no og prosjektet «En innbygger, en journal». Tilsynet har blant annet hatt møter med de sentrale aktørene, både på saksbehandler- og ledernivå. Hva gjelder Helsedataprogrammet, har Datatilsynet valgt en aktiv deltakelse, blant annet ved å ha en representant i arbeidsgruppen for personvern og informasjonssikkerhet.
Både Datatilsynet og departementet har de siste årene sett et økende påtrykk for gjenbruk av helseopplysninger, såkalt sekundærbruk av data, til nye formål innen forskning og kvalitetssikring. Det opprettes stadig nye helseregistre, og mange av disse er omfangsrike og har som formål å være permanente. Samtidig pågår utredningsarbeid for å finne nye måter å gjøre data tilgjengelig på en mer effektiv måte enn tidligere, eksempelvis i Helsedataprogrammet under ledelse av Direktoratet for e-helse. I slike prosesser er det essensielt at personvernhensyn ivaretas på en god måte. Formålet med Helsedataprogrammet er å bidra til bedre tilgjengelighet og økt bruk av data, bedre datakvalitet og mer effektiv registerforvaltning, samtidig som personvern og informasjonssikkerhet ivaretas. Utvikling av fellestjenester for helseregistrene skal gjøre dialogen med innbyggerne enklere, for eksempel når det gjelder innsyn, fullmaktshåndtering og medbestemmelse ved bruk av data. Utvikling av en helseanalyseplattform skal baseres på innebygd personvern og gi innbyggerne mer kontroll over hvordan egne data brukes og større trygghet for at data ikke misbrukes.
I årsrapporten trekker Datatilsynet frem en positiv personverntrend innen helsetjenesten; at borgere i størst mulig grad gis selvbestemmelse over egne personopplysninger. Departementet mener at dette er en styrking av den enkeltes rett til personvern, samtidig som det innebærer utfordringer. Bruken av personopplysninger i helsesektoren er ofte svært kompleks, og reell selvbestemmelse forutsetter stor grad av bevissthet og kunnskap hos den enkelte. Det er en utfordring å gi god og tilpasset informasjon slik at brukerne kan ta opplyste valg. Datatilsynet peker i årsrapporten på en tendens til å gå bort fra de registrertes samtykke som grunnlag for sekundærbruk av helseopplysninger. I stedet hjemles behandlingen i lov eller forskrift, noen ganger også i kombinasjon med en adgang for den registrere til å reservere seg mot sekundærbruken. Opplysninger om den registrerte som er samlet inn for ett formål, kan dermed i fremtiden bli brukt til andre formål dersom den registrerte ikke aktivt reserverer seg mot slik bruk. Det er en betydelig pedagogisk utfordring å forklare de registrerte hvordan deres personopplysninger kan bli brukt og delt, på en slik måte at de forstår hva de egentlig samtykker til.
Videre peker Datatilsynet på flere fremtidige utfordringer innen helsesektoren, som økt bruk av stordata, kunstig intelligens og velferdsteknologi.
I dag besitter Helse- og omsorgstjenesten og Arbeids- og velverdsetaten store mengder data om befolkningen, som er interessant for gjennomføring av stordataanalyser. Slike analyser (som typisk gjennomføres ved bruk av kunstig intelligens) utfordrer den tradisjonelle praksisen knyttet til sekundærbruk av data og reiser derfor nye personvernproblemstillinger. Departementet er enig med Datatilsynet i at slike problemstillinger kan være utfordrende, både for den enkelte og for de som skal vurdere hvorvidt databruken skal tillates.
Det utvikles stadig nye typer velferds- og helseteknologi, som utstyr til bruk for måling og rapportering av helse (eksempelvis blodsukker- eller blodtrykksmåler), gjerne med tilhørende apper. Slike verktøy benyttes i økende grad til hjemmebruk, og kan blant annet forbedre brukernes livskvalitet og forlenge deres evne til å klare seg selv i egen bolig. I tillegg brukes teknologien som ledd i offentlig helse- og velferdstjenester, hvor den kan bidra til mer effektiv ressursbruk. Samtidig medfører velferds- og helseteknologi flere personvernutfordringer, blant annet til hva slags opplysninger som skal lagres og hvor lenge. Datatilsynet påpeker at teknologiutviklingen i stor grad styres av leverandørene, og at det er krevende for bestillere å ha reell kontroll over behandlingen av opplysningene. I følge tilsynet er det foreløpig lite fokus på å sikre at løsningene har innebygd personvern. Departementet er enig med Datatilsynet i at det fremdeles er sentrale problemstillinger som bør avklares, slik som krav til databehandleravtaler og tilstrekkelig risikovurderinger og informasjonssikkerhet.
Departementet merker seg de utfordringene tilsynet trekker frem i årsrapporten, og mener det er viktig at Datatilsynet fortsetter å være engasjert i personvernspørsmål knyttet til helse- og velferdssektoren. Departementet vil fortsette å støtte Datatilsynets arbeid med å fremme gode personvernløsninger som sikrer den enkelte størst mulig råderett over egne personopplysninger, herunder setter den enkelte i stand til å forstå både risikoer, muligheter og konsekvenser ved sekundærbruk av opplysninger.
2.4 Skole, barn og unge
I årsrapporten påpeker Datatilsynet at livet til dagens barn og unge i stor grad er gjennomregistrert. Betydelige mengder personopplysninger registreres og lagres i barnehagen, på skolen og på helsestasjonen. Opplysningene samles inn av ulike aktører ved bruk av lærings- og atferdsanalyser, digitale læringsplattformer og -ressurser, pc og nettbrett. De store mengdene opplysninger gir i sin helhet omfattende og detaljerte bilder av barns utvikling, samt faglige og sosiale adferd. Datatilsynet peker på at dette blant annet utfordrer barn og unges mulighet til å skape og opprettholde forskjellige roller i ulike sammenhenger og til å starte med blanke ark den dagen de får samtykkekompetanse. Tilsynet trekker også frem en økende fare for lagring av overskuddsinformasjon.
Departementet er opptatt av at barn og unge sikres et godt personvern, og viser til at følgende er fremhevet i fortalen til personvernforordningen: «Barns personopplysninger fortjener et særlig vern, ettersom barn kan være mindre bevisste på aktuelle risikoer, konsekvenser og garantier, samt på de rettigheter de har når det gjelder behandling av personopplysninger». Departementet er derfor tilfreds med at Datatilsynet også i 2018 har hatt særskilt fokus på ivaretakelse av personvernet til barn og unge.
Videre påpeker departementet at alle barn og unge skal kunne ha tillit til at deres personlige informasjon ikke kommer på avveie. Det er derfor essensielt at behandlingsansvarlige, som eksempelvis skoleeiere, har kontinuerlig fokus på ivaretakelse av informasjonssikkerhet. Datatilsynets saksbehandling viser at dette er en aktuell tematikk, ettersom tilsynet i 2018 mottok en rekke avviksmeldinger knyttet til skolesektoren. Typiske avviksmeldinger omhandlet mangelfull tilgangsstyring til informasjonssystem, menneskelig svikt, manglende rutiner og manglende tofaktorautentisering (at det må oppgis en engangskode i tillegg til brukernavn og passord) i innloggingsløsninger.
Én av sakene Datatilsynet viser til, var en hendelse i Bergen kommune hvor brukernavn og passord til over 35 000 brukere lå tilgjengelig for elever og ansatte. Det var derfor mulig å logge seg inn på skolenes informasjonssystem og få tilgang til opplysninger om andre elever og ansatte. På bakgrunn av kommunens manglende ivaretakelse av informasjonssikkerheten, sendte Datatilsynet i desember 2018 varsel om overtredelsesgebyr på kr 1 600 000. I vurderingen ble det blant annet vektlagt at det ikke var etablert tofaktorautentisering for innlogging, selv om kommunen hadde kunnskap om at dette burde vært tatt i bruk. I mars 2019 fattet Datatilsynet vedtak i saken, og Bergen kommune ble ilagt overtredelsesgebyr i samsvar med det forhåndsvarslede beløpet. I tillegg ble kommunen pålagt å endre alle ansattes påloggingsmetode til informasjonssystemer med personopplysninger om elever, ved å etablere tofaktorautentisering for pålogging over eksterne nett og på elevnett. Datatilsynet hadde også forhåndsvarslet kommunen om at det måtte iverksettes organisatoriske og tekniske tiltak for å beskytte passordene til kommunens elever og ansatte. På vedtakstidspunktet fant Datatilsynet at dette avviket var blitt lukket, etter tiltak som kommunen hadde gjennomført i mellomtiden.
Datatilsynet skriver i årsrapporten at de har gjennomført mye veiledning i 2018 knyttet til temaet skole, barn og unge. Tilsynet har gitt skriftlig og muntlig veiledning, samt drevet møte- og foredragsvirksomhet. Det er særlig personvernombud, kommuner og virksomheter som tilbyr tjenester og programvare til kommuner som har kontaktet Datatilsynet for veiledning. Departementet er tilfreds med at tilsynet har gitt utstrakt veiledning til virksomheter som behandler personopplysninger om mindreårige.
I meldingsåret har Datatilsynet fortsatt samarbeidet med Utdanningsdirektoratet om nettressursen dubestemmer.no, som nå har eksistert i over ti år. Nettsiden er en betydningsfull kanal for å nå frem til barn og unge med informasjon om personvern, nettvett og digital dømmekraft. Datatilsynet har bidratt løpende med innspill knyttet til nettsidene, foredragsvirksomhet og mediearbeid. I 2018 ble det også utarbeidet to nye informasjonsvideoer, og igangsatt et større kartleggingsarbeid for å lage et godt kunnskapsgrunnlag for videreutvikling av nettjenesten.
Datatilsynet opplyser også at de i 2018 var involvert i de innledende fasene av to lovarbeider. Tilsynet har, i samarbeid med Barneombudet og Medietilsynet, gitt innspill til arbeidet med nye læreplaner for grunnskolen. I tillegg har Datatilsynet gitt innspill til Opplæringsutvalget (som skal se på regelverket for grunnskolen og videregående opplæring) om hvilke personvernrettslige problemstillinger som er aktuelle innen skolesektoren. Datatilsynet spilte blant annet inn at bruk av læringsanalyse må lovreguleres. Målet med læringsanalyse er å tilrettelegge for bedre læring for elevene. Selv om hensikten er god, skriver Datatilsynet i årsrapporten at slike verktøy utfordrer barns personvern fordi det forutsetter innhenting, lagring og analyse av store mengder detaljerte opplysninger om elevenes adferd. Departementet synes det er positivt at Datatilsynet aktivt engasjerer seg i å fremme gode personvernløsninger innen skolesektoren. I denne sammenheng presiserer også departementet viktigheten av at skoleeiere, som behandlingsansvarlige, har fokus på hensynet til elevenes personvern når det tas i bruk læringsanalyser og andre digitale verktøy til bruk i undervisningen.
2.5 Personvernombudsordningen
Personvernombudsordningen er blitt styrket som følge av gjennomføringen av det nye regelverket. Nå er det obligatorisk å ha personvernombud for statlige og kommunale virksomheter, samt for en rekke private virksomheter og organisasjoner. Det nye regelverket stiller tydeligere krav til personvernombudenes kvalifikasjoner, uavhengighet og rammebetingelser. Ombudene skal ha en rådgivende og kontrollerende funksjon, samt være et kontaktpunkt for Datatilsynet. Tilsynet har merket effekten av endringene i ordningen og melder at antallet virksomheter med personvernombud nærmest er doblet sammenliknet med i 2017. Da var det 755 virksomheter som hadde personvernombud, mens det ved utgangen av 2018 var registrert 1 017 ombud som representerte 1 484 virksomheter. Det er tilsynets generelle erfaring at virksomheter med personvernombud i større grad etterlever regelverket.
I meldingsåret har Datatilsynet opprettet en ny registreringsløsning for personvernombud via Altinn, ettersom behandlingsansvarlige/databehandlere nå har plikt til å informere tilsynet om hvem som er virksomhetens personvernombud. I tillegg har Datatilsynet en oversikt over ombud på sin nettside, som jevnlig blir oppdatert. Departementet er tilfreds med at tilsynet har etablert en god digital løsning for innrapportering av personvernombud, samt at det er etablert en lett tilgjengelig oversikt over personvernombud på tilsynets nettsider. Oversikten er både nyttig for personer som ønsker å komme i kontakt med en bestemt virksomhets personvernombud og for ombud som ønsker å komme i kontakt med andre personvernombud innen sin sektor.
Datatilsynet har også gjennomført flere tiltak for å spre informasjon om den nye ombudsordningen. Det er blant annet utarbeidet en omfattende veileder og temaside om ordningen på tilsynets hjemmesider, samt laget en enkel test hvor virksomheter kan finne ut om de plikter å ha personvernombud. Videre har Datatilsynet en intern kontaktperson, som personvernombud og virksomheter kan få råd og veiledning av. Datatilsynet skriver også i årsmeldingen at det er etablert flere nettverksforum for personvernombud rundt om i landet, og at tilsynet har prioritert å dra på samlinger i regi av slike nettverksgrupper. Departementet anser det positivt at personvernombud finner sammen i nettverk for å bidra til hverandres kompetansebygging. Som tilsynet påpeker, er det samtidig viktig å forhindre at det oppstår feil eller ulike fortolkninger av det nye personvernregelverket, noe det er en risiko for ettersom det nye og omfattende regelverket skal tolkes av ombudene i førstehånd. Departementet mener derfor at Datatilsynet også i fremtiden bør legge til rette for god kontakt med ombudene, blant annet ved å fortsette å delta på samlinger i regi av ombudsnettverk.
I første halvdel av 2018 arrangerte Datatilsynet diverse kurs for personvernombud. Til tross for stor interesse, har Datatilsynet valgt å ikke lenger tilby disse kursene. Bakgrunnen er at det ikke ligger i tilsynets rolle å ta ansvar for slik grunnopplæring, samt at det er viktig at de behandlingsansvarlige selv tar ansvar for at deres personvernombud tilegner seg nødvendig fagkunnskap. Datatilsynet har imidlertid samarbeidet med ulike private utdanningsaktører for å sikre at personvernombudene har gode opplæringstilbud, og planlegger å fortsette med dette i fremtiden. Tilsynet vil blant annet bidra ved å holde foredrag under ulike kurs- og studieløp. Departementet er enig med Datatilsynet i at grunnopplæring av personvernombud faller utenfor dets hovedoppgaver, og nedprioriteringen må ses i sammenheng med at det finnes mye god informasjon om ombudsordningen på tilsynets nettsider, samt at tilsynet kan kontaktes for veiledning. Samtidig mener departementet at det er svært viktig at Datatilsynet fortsetter samarbeidet med private utdanningsaktører for å sikre at innholdet i kurstilbudene holder et godt faglig nivå også i fremtiden.