2 Kommunal- og moderniseringsdepartementets merknader til Datatilsynets årsmelding for 2014
Datatilsynet har i 2014 arbeidet målrettet for å bedre personvernet i samfunnet. Tilsynet har bidratt til god kunnskap på personvernområdet, blant annet ved å holde foredrag, avgi høringsuttalelser, ha dialog og møter med ulike aktører, samt yte råd og veiledning. Videre har tilsynet ved konsesjonsbehandling, tilsyn, kontroll samt vedtak i saker bidratt til en positiv utvikling for personvernet.
Tilsynet har i 2014 særlig arbeidet med personvern på følgende områder:
helsesektoren
skole- og utdanningssektoren
justissektoren
digitalisering av offentlig sektor.
Datatilsynet har i 2014 fortsatt sin fokusering på barn- og unge, og skrev våren 2014 en rapport om hovedutfordringene knyttet til personvern i opplærings- og barnehagesektorene, basert på tilsyn og kontroller i skoler og barnehager. Tilsynet har også revidert sin «Strategi for godt personvern i digitaliseringen av offentlig sektor».
På det internasjonale området har Datatilsynet fortsatt sitt aktive arbeid med Big Data og vært i front i arbeidet med å fremme, og fått vedtatt, en resolusjon om temaet på den internasjonale personvernkonferansen.
2.1 Helse og velferd
I årsrapporten viser Datatilsynet til at en av hovedutfordringene for helsesektoren er at denne sektoren er gjenstand for store forandringer og at disse skjer i et raskt tempo. Videre er det utfordrende at sektoren er preget av mange aktører og flere ulikt organiserte virksomheter med forvaltningsansvar og beslutningsmyndighet. Datatilsynet viser til ny lovgivning som trådte i kraft 1. januar 2015 og som åpner for økt informasjonsutveksling mellom virksomheter. Den nye lovgivningen innebærer at det generelle forbudet om tilgang til journaler på tvers av virksomheter, som gikk frem av tidligere helseregisterlov § 13, ikke er videreført.
Datatilsynet gjennomførte i 2014 tilsyn med tre sykehus og hvordan de styrer tilgangen til pasientopplysninger i elektroniske pasientjournaler. Inntrykket var at sektoren er blitt bedre på dette, sett i sammenheng med tidligere tilsyn. Tilsynet avdekket likevel alvorlige brudd på bestemmelsene om tilgangsstyring. Funnene viste at sykehusene er for dårlige på å gjennomføre vurderinger av hvilke opplysninger som skal være tilgjengelige for hvem. Virksomhetene har heller ikke tilstrekkelig kontroll med hvordan helsepersonellets tilganger benyttes. På denne bakgrunn stiller Datatilsynet seg spørrende til om sektoren er klar for å ivareta de kravene som er nødvendige for å åpne for slike tilganger. Departementet merker seg de utfordringene Datatilsynet peker på og vil arbeide kontinuerlig for å fremme gode personvernløsninger.
Velferdsteknologi har også vært et sentralt tema for Datatilsynet de siste årene, og Datatilsynet ser at det fortsatt er store personvernutfordringer på området. Utfordringene knytter seg blant annet til krav til sikkerhet, dokumentasjon og praktiske utfordringer ved bruk.
2.2 Barn, skole og utdanning
Barnehager og skoler behandler store mengder personopplysninger. Dette er også nødvendig for at de skal kunne oppfylle sine lovpålagte forpliktelser og sikre et tilrettelagt tilbud. Den teknologiske utviklingen har ført til en utvikling mot større bruk av digitale læringsplattformer. Datatilsynet påpeker blant annet at det er mange aktører som tilbyr digitale løsninger, og at det er varierende kunnskap om personvern hos de ansatte i skoler og barnehager. Dette har ført til et utfordrende bilde.
Datatilsynet prioriterte derfor å se nærmere på personvern i barnehager og skoler i 2013 og 2014. Tilsynet skaffet seg gjennom møter med aktørene, tilsyn og kontroller, en viss oversikt over hvilke opplysninger som registreres om barna og hvordan disse opplysningene behandles.
Funnene ble oppsummerte i en rapport i 20141. Kartleggingen viste at det er et gjennomgående problem at skolene og barnehagene ikke har tilfredsstillende rutiner for å oppfylle pliktene i personopplysingsloven med forskrifter. Det viste seg at det særlig var uklarheter omkring hva personopplysninger er, hvem som er ansvarlig for behandlingen og hvilket ansvar som følger med. Fylkeskommunen/kommunen kunne ha overordnede rutiner, men disse var enten lite kjent eller dårlig tilpasset virksomhetene. I den grad virksomheten hadde skrevne rutiner om behandlingen av personopplysninger handlet de gjerne om informasjonssikkerhet. Datatilsynets inntrykk var at mange hadde en oppfatning av at informasjonssikkerhet var det samme som konfidensialitet, slik at tilgjengelighet og integritet ikke ble like mye vektlagt.
Datatilsynet har sett at utfordringene og behovet for veiledning er felles for alle skole- og barnehageeiere. Tilsynet mener derfor at det er svært viktig at det tas et samlet og koordinert tak i hele opplæringssektoren. Det er satt i gang et arbeid med sentrale aktører i sektoren for å skape en ensartet praksis som vil oppfylle kravene etter lovverket.
Departementet er også opptatt av at barn og unge sikres et godt personvern og støtter Datatilsynets arbeid for en bevisstgjøring på dette feltet. For å sikre en løsning med god oppslutning blant aktørene, er det viktig at aktørene tas med i prosessen, slik Datatilsynet legger opp til.
Datatilsynets arbeid har også fått oppmerksomhet i internasjonale fora som Norge deltar i. På bakgrunn av dette har Berlin-gruppen2 vedtatt at det skal skrives en uttalelse (working paper) om personvern i skolen.
2.3 Digitalisering av offentlig sektor
Datatilsynet følger digitaliseringen av offentlig sektor tett. Selv om det har skjedd en stor utvikling på digitaliseringsområdet, peker tilsynet på at mye arbeid gjenstår og det er viktig å fortsatt følge arbeidet nøye.
Ved deling og gjenbruk av personopplysninger utfordres prinsippet om formålsbestemthet i personvernlovgivningen. Det er viktig med klare ansvarsforhold. Innbyggerne må få god informasjon blant annet om hvilke instanser som behandler og utveksler opplysninger om dem, samt til hvilket formål dette skjer, slik at de settes i stand til ivareta eget personvern. Datatilsynet fremhever også at det er viktig å skape forståelse, også innenfor offentlig sektor, for nytten av godt personvern og å bidra til regeletterlevelse. Datatilsynet reviderte i 2014 sin «Strategi for personvern i digitalisering av offentlig sektor».
Datatilsynet gjennomførte i meldingsåret 18 kontroller rettet mot forskjellige offentlige virksomheter. Selv om det var store variasjoner, fant tilsynet at det var et gjennomgående trekk at mange offentlige virksomheter ikke har tilfredsstillende rutiner for å oppfylle pliktene i personopplysningsloven. De kunne ikke fastslå signifikante forskjeller mellom stat og kommune, regionale forskjeller eller forskjeller knyttet til størrelse. Imidlertid mener tilsynet å kunne se at virksomheter som har personvernombud gjennomgående hadde en bedre ivaretakelse av personvernet og oppfyllelse av pliktene i loven. Datatilsynet mener dette viser at ordningen med personvernombud har en positiv effekt for personvernet. Departementet synes dette er en spennende iakttagelse. Ordningen med personvernombud er foreslått videreført i forslaget til ny personvernforordning i EU.