2 Årsrapporten til Datatilsynet for 2015
2.1 Leders beretning
Personvern er av de de virkelig viktige spørsmålene i vår tid. Fra en verden der det meste var lagret på papir og i enkle journalsystemer og arkiv, blir nær sagt alt vi foretar oss registrert og gjerne også gjort til gjenstand for analyse. Dette utfordrer viktige personvernprinsipper som formålsbegrensning og dataminimalisering. Samtidig åpner prinsippet om innebygd personvern for nye muligheter. Vi opplever også svært stor pågang fra virksomheter, offentlige etater og borgere som ønsker råd og veiledning fra oss. Selv om vi manøvrerer i et krevende landskap og den teknologiske utviklingen går meget raskt, er det grunn til optimisme med tanke på framtidas personvern. Dette skyldes ikke minst at EU på slutten av meldingsåret kom til enighet om en ny personvernforordning som styrker borgerne rettigheter, skjerper virksomhetens plikter og gir Datatilsynet nye virkemidler.
Som sedvanlig gjennomførte Datatilsynet en bred intern prosess for å beslutte hvilke sektorer som skulle prioriteres i 2015. Vanligvis prioriterer vi samme sektor minst to år, mens flere av sektorene har vært prioritert i en årrekke. Arbeidsliv var for eksempel prioritert i flere år, men der er innsatsen nå spisset mot råd- og veiledning, samt noe tilsynsvirksomhet. Helsesektoren har på den annen side vært prioritert i en årrekke.
I det følgende vil vi gjøre presentere og begrunne de viktigste prioriteringene for 2015, før vi introduserer hovedtallene for meldingsåret. For er mer utfyllende redegjørelse for Datatilsynets aktiviteter i de prioriterte sektorene viser vil til årsmeldingen for 2015.
2.1.1 Prioriterte sektorer for 2015
Justissektoren
Individets rett til å bestemme over egne personopplysninger gjelder ikke uinnskrenket. I justissektoren finnes det flere tungtveiende hensyn som taler for at staten kan gripe inn i den enkeltes rettssfære. I mange tilfeller behandler offentlige myndigheter personopplysninger uten at den enkelte kan kontrollere eller påvirke det. Retten til informasjon er dessuten begrenset. Som et resultat av dette har hver enkelt færre muligheter til å ivareta sine interesser enn ellers. Det er derfor særlig viktig at tilsynsmyndighetene ser etter at individets rettigheter ivaretas på disse områdene.
Datatilsynet spiller en helt sentral rolle når det gjelder etterlevelse av politiregisterloven som trådte i kraft i 2014. Vi skal føre tilsyn med at loven med forskrifter blir fulgt, at feil eller mangler blir rettet, kontrollere at opplysningene om de registrerte blir behandlet i samsvar med loven, og se til at reglene om innsyn er fulgt dersom den registrerte ber om det. Datatilsynet har både en påleggs- og en anmerkningskompetanse.
Skole- og barnehagesektoren
Datatilsynet har over en treårsperiode prioritert skole- og barnehagesektoren. Gjennom møter med aktører i sektoren og kontroller ved en rekke barnehager, grunnskoler og videregående skoler, har vi skaffet oss en viss oversikt over hvilke opplysninger som registreres om barna i barnehager og skoler.
Samlet utgjør registreringene om et barn gjennom et helt utdannelsesløp et sett med opplysninger som gir et omfattende og detaljert bilde av dette barnets utvikling, samt faglige og sosiale atferd. Det at flere opplysninger om barna lagres digitalt betyr også at spredningspotensialet blir større. Uten tekniske sperrer og gode rutiner er det lettere at opplysningene brukes til andre formål enn det de var ment til, og opplysningene kan med få tastetrykk spres til mange.
Vi har i løpet av denne perioden avdekket at rutinene for å sikre barns personvern i skoler og barnehager er mangelfulle. Samtidig vet vi at bruken av elektroniske og nettbaserte tjenester i skoler og barnehager bare vil øke ytterligere i årene som kommer.
Helse- og omsorgssektoren
Opplysningene som behandles innen dette området er blant de mest sensitive, og befolkningen selv anser opplysningene for særlig beskyttelsesverdige. Det behandles det opplysninger om befolkningen i alle livsfaser, og ønsket om bruk og gjenbruk av våre opplysninger til stadig flere formål øker.
Hovedutfordringen for personvernet innen helsetjenesten er at sektoren er gjenstand for store forandringer og at endringene skjer i et raskt tempo. Som eksempel nevnes ny lovgivning, ny forordning, den generelle teknologiutviklingen og utviklingen innen e-helse.
Videre er det en utfordring at helse- og omsorgstjenesten er preget av mange aktører og flere ulikt organiserte virksomheter med forvaltningsansvar og beslutningsmyndighet. Leverandører og databehandlere har ofte sentrale roller. I spesialisthelsetjenesten har kontroller vist at viktige deler av databehandlingsansvaret, så som tilgangsstyring i helseforetakene, synes å være overført til enheter eller underselskaper som er opprettet av de regionale helseforetakene, for eksempel Helse-Vest IKT eller Sykehuspartner. Slike endringer i ansvarsforholdene skaper uklarheter og begrenser de reelt ansvarlige helseforetakenes muligheter til å overholde sine plikter.
Digitalisering i offentlig sektor
På flere og flere områder er digitaliseringene kommet langt i offentlig sektor, og stadig nye tjenester tilbys i digital form. Likevel er det ennå mange av de viktige digitaliseringsprosessene som er i startgropa. Det er derfor viktig at vi er på banen for å forme og påvirke de riktige aktørene. Vi må sørge for å fremme personvern i alle disse prosessene.
Samtidig er det slik at teknologi gir muligheter for å utvikle og effektivisere offentlig sektor. For å sikre et godt personvern ved utveksling og deling av personopplysninger mellom ulike offentlige instanser, og mellom offentlige og private aktører, må ansvarsforholdene være tydelig avklart. For at innbyggerne skal kunne ivareta eget personvern må de få informasjon om hvilke instanser som lagrer, behandler og utveksler opplysninger om dem, til hvilke formål og hvordan de kan ivareta sin rett til innsyn, retting og sletting. Her spiller Datatilsynet en viktig rolle.
Prosjekt: Ny forordning
EU har jobbet med en ny personvernforordning siden 2011. Datatilsynet besluttet allerede i 2014 at vi skulle være tidlig ute med å starte implementeringsarbeidet, og har brukt en del ressurser i 2015 blant annet på intern kompetanseoppbygning og utadrettet virksomhet, særlig foredrag. Vi har også satt som mål å være et foregangsland i det nordiske samarbeidet, og erfaringen har vist at vi har lyktes med det. Da det ble enighet om forordningen i desember 2015 var vi derfor godt forberedt og rigget til å gå i gang med det omfattende arbeidet som skal gjøres i årene som kommer.
Prosjekt: Kommersiell utnyttelse av personopplysninger
I 2015 publiserte Datatilsynet rapporten «Det store datakappløpet – hvordan kommersiell utnyttelse av personopplysninger utfordrer personvernet». Rapporten ble skrevet fordi vi er vitne til en utvikling der personopplysninger får stadig større kommersiell verdi i medie- og annonsemarkedet. Den harde globale konkurransen om annonsekronene fører til et datakappløp der den aktøren som sitter på mest data om den enkelte, er vinneren. Jo mer data aktørene har om den enkelte, jo bedre kan de tilpasse reklamen. Det er i dag nærmest umulig å bevege seg på nett uten å bli sporet. Vår rapport viste for eksempel at det i gjennomsnitt er 43 ulike tredjeparter inne på en norsk nettavis og samler inn data om brukeren. Rapporten trakk frem følgende hovedutfordringer ved dagens digitale annonsemarked:
Markedet er lukket, komplekst og vanskelig å få innsyn i for utenforstående.
Internettbrukere utsettes for massiv sporing av tredjepartsaktører på nett.
Det gis liten eller ingen informasjon fra nettstedseierne om hvilke aktører som er tilstede på sidene, hvilke data de samler inn og hvordan de brukes.
Jo mer data som samles inn om den enkelte, jo høyere priser kan enkeltbrukere omsettes for på de globale annonsebørsene. Dette stimulerer til en omfattende kartlegging av den enkelte.
Aktørene i verdikjeden hevder de kun benytter anonyme data. Datatilsynet mener at det håndteres unike brukere på børsene og at det håndteres personopplysninger i verdikjeden.
Rapporten kommer med en rekke forslag til anbefalinger og tiltak. I 2016 vil vi jobbe videre med disse tiltakene.
2.1.2 Overordnet vurdering av årets resultater, herunder ressursbruk og måloppnåelse
Vi redegjør i punktene 3.1 til 3.6 nedenfor for virkemidler, ressursbruk og resultater under de ulike hovedaktivitetene. Under hver hovedaktivitet vurderer vi også hvorvidt den har bidratt til å oppfylle hovedmålet. Nedenfor gir vi en overordnet vurdering av hvordan vi samlet har oppnådd hovedmålet om personvernbeskyttelse for alle i tråd med gjeldende regelverk.
Å oppnå hovedmålet krever langsiktig arbeid, og i selverkjennelsens navn må vi innrømme at vi muligens aldri helt vil nå dette målet. Men hvert år tar vi viktige skritt for å sikre regeletterlevelsen, gi råd til virksomheter, offentlige etater og borgere, delta i samfunnsdebatten og jobbe i internasjonale fora. Vi vil her trekke fram noen høydepunkter fra 2015, som særlig har bidratt i retning oppfyllelse av hovedmålet, med beskrivelse av effekt.
Vi har gjennomført en rekke tilsyn som har bidratt til bedre regeletterlevelse, både hos den enkelte behandlingsansvarlige og i bransjen for øvrig. Et eksempel: Vårt tilsyn med reiseselskaper og påfølgende dialog med bransjen har betydning for opp mot 1,2 millioner mennesker, som er det antall som reiser på chartertur hvert år.
Vår veiledningstjeneste har gitt råd til 8 727 borgere og virksomheter om behandling av personopplysninger. Dette har hjulpet den enkelte til å ivareta sine rettigheter, og hjulpet virksomheter til å følge loven.
Vi har hatt råd- og veiledningsmøter med en lang rekke virksomheter for å bidra til at de bruker prinsippene om innebygd personvern.
Vi har brukt alle tilgjengelige flater for å få ut informasjon, og kan notere 40 innlegg på personvernbloggen, 148 000 besøk på nettstedet, 650 mediehenvendelser, over 14 000 følgere på Twitter og 177 twittermeldinger, 159 foredrag, ni kronikker og deltagelse i en rekke sendinger på Dagsnytt 18, Aktuelt, Dagsrevyen, Dagsnytt, Norgesglasset, Ekko og mange andre.
Vi har deltatt aktivt i samfunnsdebatten om en rekke spørsmål, bl.a Safe Harbor, forskning og personopplysninger, kommersiell bruk av personopplysninger, apper, kryptering, lagring av trafikkdata, barn og unges personvern og ny personvernforordning.
Vi har lansert en, litt ubeskjedent sagt, banebrytende rapport om kommersiell bruk av personopplysninger.
Vi har jobbet aktivt for at norske virksomheter skal følge regelverket i lys av Safe harbor – dommen.
Vi har behandlet 192 konsesjoner, som setter klare rammer for bruk av personopplysninger i forskning.
Vi har jobbet aktivt med tidstyver, som på sikt vil gi som resultat at lang færre må melde sine behandlinger til oss. Vi vil også få færre konsesjonssaker til behandling, uten at det går ut over personvernet.
Vi har skrevet en rekke høringsuttalelser som har ført til at personvernet har blitt bedre ivaretatt.
Vi har laget nye filmer og utarbeidet nye brosjyrer i DuBestemmer. Dette har bidratt til at barn og unge bedre kan ivareta eget personvern, og respektere andres.
Det er opprettet 38 nye personvernombud, som vil bidra til bedre regelverksetterlevelse i virksomhetene.
Vi har vært aktivt med i en rekke internasjonale fora.
Etter vår vurdering har vi oppnådd hovedmålet for 2015.
Bjørn Erik Thon
Direktør
2.2 Introduksjon til virksomheten og hovedtall
2.2.1 Kort omtale av virksomheten og samfunnsoppdraget
Datatilsynet ble opprettet i 1980 og er et uavhengig forvaltningsorgan under Kommunal- og moderniseringsdepartementet (KMD). Vårt hovedmål er å bidra til at personvernlovgivningen etterleves, og at alle skal ha beskyttelse i tråd med gjeldende personopplysningsregelverk. Vi skal også fremme personvern som en sentral verdi i samfunnet. I dette arbeidet bruker vi ombudsrollen vår ved å ta i bruk ulike formidlingskanaler og ved å delta i offentlig ordskifte om personvern.
Personvern handler enkelt sagt om retten til et privatliv og retten til å bestemme over egne personopplysninger. Personvern er en menneskerettighet som skal sikre hensynet til den enkeltes personlige integritet, men det er også en ideell interesse og er svært viktig for å sikre felles goder i et demokratisk samfunn.
Det vil for eksempel være uheldig dersom enkeltpersoner begrenser sin deltagelse i den åpne meningsutvekslingen og politiske aktiviteten fordi de frykter at opplysninger om personlige forhold vil bli trukket frem og gjort til allmenn oppmerksomhet. Eller dersom de setter begrensninger på seg selv fordi de er redde for at myndighetene registrerer og lagrer opplysninger om deres kommunikasjon med andre, om ferdselsmønster, interesser eller uttrykk for holdninger. Datatilsynet må derfor jobbe aktivt for å oppnå en god ivaretagelse av personvernet i avveiingen mot andre samfunnsinteresser.
År | Bevilgning |
---|---|
2012 | 35 015 000,- |
2013 | 37 753 000,- |
2014 | 38 264 000,- |
2015 | 37 262 000,- |
RNB 2015 | 2 830 000,- |
Totalt 2015 | 40 092 000,- |
2.2.2 Presentasjon av utvalgte hovedtall de siste årene
Budsjett
Når overføringene fra 2014 og tilleggsbevilgninger var lagt til, hadde vi totalt 40 959 000 kroner til disposisjon i 2015. Av dette fikk vi i revidert nasjonalbudsjett (RNB) 2 830 000 kroner til IKT og momsrefusjon. Fordelt på lønn og drift, utgjorde lønnsutgiftene 30 300 000 kroner (74 prosent). Driftsutgiftene utgjorde 10 659 000 kroner (26 prosent).
Oversikt over bevilgninger de siste årene:
I kapittel seks går vi nærmere inn på årsregnskapet for 2015.
2.2.3 Personal
Datatilsynet ledes av direktør Bjørn Erik Thon. Ledergruppen består av fire menn og en kvinne. Vi har også fire gruppeleder, som har fagansvar for fem til syv personer. Av disse er to menn og to kvinner.
I 2015 har Datatilsynet hatt 43 faste stillinger. Av disse var 56 prosent kvinner og 44 prosent menn. I løpet av året har fem medarbeidere sluttet (mot to året før). Av disse har en benyttet seg av AFP ordningen og en har gått av med pensjon etter fylt 70 år.
2.2.4 Saker, vedtak mv
I det følgende går vi gjennom hvilke sakstyper som treffer Datatilsynet i løpet av et år, jf økonomiinstruksens pkt II, kulepunkt 3 flg. Vi har delt dette inn i disse underkategoriene:
Antall saker og saksdokumenter
Konsesjoner
Vedtak og klageomfang
Saker oversendt til nemnda
I løpet av 2015 ble det registrert 1 374 nye saker hos Datatilsynet, noe som er en liten nedgang sammenliknet med året før. Volummessig synes 2015 som et ganske normalt år i denne sammenheng. Nedgangen i antall saker og antall innregistrerte dokumenter er omtrent like stor (om lag 6,5 prosent).
Konsesjoner
Det er en av Datatilsynets lovpålagte oppgaver å ta stilling til konsesjonssøknader. I 2015 mottok vi totalt 249 søknader om konsesjon, og innvilget til sammen 192. Dette er en liten oppgang i forhold til søknader og gitte konsesjoner i 2014.
De fleste konsesjonssøknadene gjelder forskning eller registre innen helsesektoren. Arbeidet med konsesjoner er, ved siden av kontrollsakene, de mest arbeidskrevende oppgavene vi har. Det er viktig å huske at behandling av konsesjonssøknader i realiteten en forhåndskontroll av om de som søker har tilstrekkelig rettslig grunnlag for det de ønsker å gjøre.
Forhåndskontrollen kan også omfatte andre deler av personopplysningslovens krav, for eksempel om virksomhetene har på plass tilstrekkelige rutiner for internkontroll. Vi kan gjennom konsesjonsarbeidet også kompensere for personvernulemper som behandlingen eventuelt fører med seg. Det gjør vi ved å stille vilkår for den aktuelle behandlingen.
Vedtak og klageomfang
Vi har fattet 595 vedtak i 2015. Det er en økning sammenliknet med året før.
De fleste av beslutningene knytter seg til behandling av konsesjonssaker, som utgjør om lag 35 prosent.
Tallene i år fremkommer av en kategorisering av dokumenter i vårt saksbehandlingssystem hvor saksbehandler angir med stikkord hva dokumentet inneholder. Dette er nytt for 2015. Tidligere har vi kommet frem til tallene etter manuelle tellinger. Det vil si at det er en viss usikkerhet i tallene, men vi mener trenden likevel er tydelig; vi ser konkret på stadig flere saker.
Klageomfanget er fortsatt svært lavt sammenlignet med antallet avgjørelser vi fatter i form av vedtak. Vi opplever stort sett at vedtakene våre blir akseptert. Vi har fortsatt utfordringer knyttet til beslutninger om ikke å ta opp saker til behandling. Personvernnemnda tok i 2014 konkret stilling til en del saker om våre prioriteringer. Nemnda har imidlertid ikke avgjort spørsmålet om denne typen beslutninger faktisk kan påklages. Datatilsynet vil prøve å få en endelig avklaring på dette spørsmålet via Justisdepartementet i 2016.
Det er ønskelig med en slik avklaring da klagebehandling er ressurskrevende, og vi ønsker forutsigbarhet på hvilke beslutninger vi kan gjøre med endelig virkning.
Saker oversendt Personvernnemnda
I 2015 sendte Datatilsynet 15 saker til Personvernnemnda. Det er færre enn året før, men sammenlignet med tidligere år er det ikke et unormalt lavt antall. Av de sakene som er sendt over i 2015 er det så få som er avgjort av nemnda at det ikke er utarbeidet noen statistikk over i hvilken grad klagene er gitt medhold eller ikke. Kun to av sakene fra 2015 er behandlet av nemnda ved årets slutt.
Erfaringen generelt er som tidligere at vi opplever at vi i tilstrekkelig grad får medhold i sakene vi sender til Personvernnemnda. Saker som blir omgjort av nemnda er typisk saker som er komplekse eller inneholder problemstillinger knyttet til samfunnsutvikling og ny teknologi.
2.3 Årets aktiviteter og resultater
Under denne delen av årsrapporten vil vi gå gjennom hvilke virkemidler vi har brukt under de ulike hovedaktivitetene, kort redegjøre for oppnådde resultater og anslå ressursbruk. Vi vurderer også hvorvidt virkemiddel- og ressursbruken har bidratt til å oppnå hovedmålet om et godt personvern for alle i tråd med gjeldende regelverk.
Før vi starter gjennomgang vil vi gi en kort oversikt over de viktigste virkemidlene våre. Vi understreker at det ikke er vanntette skott mellom de ulike, og at det iblant er vanskelig å kategorisere alt vi gjør. Der det er særlig krevende har vi gjort oppmerksom på det i teksten.
Vi har følgende virkemidler til rådighet:
Kontroll og regelverksetterlevelse: Tilsyn, saksbehandling med vurdering, klagesaker, avvik
Høringer og regelverksutvikling: Høringsarbeid, forordning, forslag til endringer i regelverk
Veiledning til publikum og virksomheter: Veiledningstjenesten, foredrag, råd og veiledningsmøter, utarbeidelse av veiledningsmateriell
Kommunikasjon: Mediekontakt og øvrig del av kommunikasjonsavdelingens arbeid
Internasjonal deltakelse: art.29, Berlinggruppe, undergrupper, koordinering mv
FOU og utredning: Kommersialiseringsrapport, personverndag mv.
Påvirkning gjennom samarbeid: Hovedsakelig deltagelse i arbeidsgrupper, utvalg, styrer, råd og prosjekter
2.3.1 Hovedaktivitet 1: Skape oppmerksomhet om behovet for personvern og gjøre personvernspørsmål mer relevant i folks hverdag
Vi opplever stor interesse for personvernspørsmål, og Datatilsynet mottar, slik det vil gå fram av denne rapporten, en rekke henvendelser fra publikum, virksomheter og offentlige etater som ber om råd og veiledning.
I tillegg opplever vi at personvern fremstår som vanskelig tilgjengelig for mange. Dette skyldes flere forhold, bl.a. at det er ulik oppfatning om hva personvern er, og hvor viktig det er. Vi hører for eksempel fortsatt uttrykk som at «jeg har ikke noe å frykter fordi jeg ikke har gjort noe galt». Det er derfor viktig å være synlige i det offentlige rom, bidra til en opplyst og saklig debatt om personvern og gi informasjon til alle om hva personvern er og hvorfor det er viktig. Målgruppe for denne aktiviteten er både private virksomheter, offentlige etater og borgerne.
2.3.1.1 Valg og omfang av de ulike virkemidlene og tiltakene innen denne hovedaktiviteten, samt resultater innenfor denne hovedaktiviteten
For å skape oppmerksomhet om behovet for personvern og gjøre personvern mer relevant i folks hverdag har Datatilsynet brukt en rekke virkemidler, og vi vil i det følgende gå gjennom disse:
Kommunikasjon
Veiledning til publikum og virksomheter
Utredning
Etter vår oppfatning er denne hovedaktiviteten dels overlappende med neste hovedaktivitet om å øke kjennskapet til rettigheter og plikter.
Kommunikasjon som virkemiddel
Dette er høyest prioriterte virkemiddelet under denne hovedaktiviteten. Med kommunikasjon menes her både mediekontakt, deltagelse i samfunnsdebatten og utarbeidelse og spredning av informasjonsmateriell. Vi har også jobbet med klarspråk for å skape større forståelse av hva vi faktiske mener med personvern, og for at rettssubjektene i større grad skal bli i stand til å forstå vår kommunikasjon.
Nedenfor går vi kort gjennom nøkkeltallene fra kommunikasjonsvirksomheten i 2015:
Mediekontakt
I løpet av året har Datatilsynet registrert 650 besvarte mediehenvendelser. Det er noe lavere enn året før.
Tabell 2.1 Mediehenvendelser
2012 | 2013 | 2014 | 2015 | |
---|---|---|---|---|
Mediehenvendelser | 876 | 850 | 800 | 650 |
Registreringssystemet vårt er etablert til bruk av kommunikasjonsavdelingens medarbeidere for å sikre en best mulig oversikt og koordinering i vår kontakt med mediene. I tallene inngår derfor ikke mediehenvendelser som går direkte til direktøren, øvrig ledelse eller fagdirektører. Det reelle antallet er derfor noe høyere enn de registrerte henvendelsene. Medieovervåkingstjenesten Opoint har registrert til sammen 1 843 oppslag i norske nettbaserte medier hvor Datatilsynet er nevnt.
Foredrag
I tillegg til synlighet i mediene legger vi også vekt på å være tilstede på arenaer der vi møter representanter fra virksomheter, interesseorganisasjoner og andre aktører. Å stille med foredragsholdere, innledere, holde innlegg eller delta i paneldebatter på ulike arrangementer, er en viktig del av dette arbeidet.
I 2015 har vi holdt 159 foredrag på eksterne arrangementer, mot 170 året før.
Tabell 2.2 Antall foredrag på eksterne arrangementer
2012 | 2013 | 2014 | 2015 | |
---|---|---|---|---|
Antall | 118 | 149 | 170 | 159 |
Vi får en rekke forespørsler om å holde foredrag gjennom hele året. Disse forespørslene vurderer vi ut fra satsingsområdene i virksomhetsplanen vår, antall deltakere, tema og kapasitet på aktuelt tidspunkt. Vi har et mål om å holde mellom 120 og 150 eksterne foredrag i løpet av året.
Foruten generelle foredrag om personvern, overvåking og Datatilsynets oppgaver, har vi holdt flest foredrag om:
informasjonssikkerhet og internkontroll
skytjenester
helse, særlig om velferdsteknologi og tilgangsstyring
Big Data og kommersiell utnyttelse av personopplysninger
Vi så også en økning i forespørsel om foredrag om EUs nye personvernforordning og Safe Harbor. Dette er tema som nok vil bli enda mer aktuelle i 2016.
Nettstedet
Størrelsen på nettstedet er et viktig styringsparameter. Nettstedet skal ikke vokse ukontrollert, og nettsider skal redigeres og slettes når de blir gamle og overflødige. Antallet sider på datatilsynet.no har ikke steget med mer enn 60 i løpet av 2015, ifølge Google Site Search. Det kan leses som en indikasjon på at nettstedet røktes på en god måte.
Antallet besøk på nettstedet går imidlertid ned. Dette er i tråd med en mer generell utvikling. Samtidig ser vi at hver besøkende på datatilsynet.no oppsøker noen flere sider, altså at de blir lenger når de først har kommet inn.
Tabell 2.3 Oversikt over nøkkeltall fra nettstatistikken på datatilsynet.no
2014 | 2015 | |
---|---|---|
Antall sider på nettstedet (Google site search) | 2 300 | 2 360 |
Antall besøk til nettstedet | 185 000 | 148 000 |
Antall sidevisninger | 460 000 | 413 000 |
Antall sidevisninger pr besøk | 2,4 | 2,7 |
Gjennomsnittlig besøksvarighet | 3 min og 29 sek | 3 min 47 sek |
Antall søk i søkemotoren på datatilsynet.no | 30 000 | 36 300 |
Andel besøk fra mobile enheter | 16 % | 16 % |
Antall publiserte nyhetssaker | 63 | 58 |
Personvernblogg, sosiale medier og debattinnlegg
Personvernbloggen.no er nå godt etablert etter nær tre års drift. Den fungerer etter intensjonen og er et rom hvor vi kan reise andre problemstillinger, og ta opp andre temaer, enn vi kan på den ordinære nettsiden. Sjangermessig og i temavalgene har bloggen funnet sin form, og i løpet av 2015 har vi fått nye skribenter blant de ansatte.
Vi følger systematisk med på omtale av Datatilsynet og temaet personvern på Twitter, og besvarer raskt de fleste spørsmål og kommentarer som kommer via denne kanalen. Vi har i 2015 hatt ni kronikker og debattinnlegg i ulike papirbaserte medier. Vi har også produsert flere fagartikler som er blitt tatt inn i fagblader knyttet til skole, barn og unge.
Tabell 2.4 Oversikt over noen sentrale tall
2012 | 2013 | 2014 | 2015 | |
---|---|---|---|---|
Innlegg på Personvernbloggen | - | 41 | 50 | 40 |
Besøk på Personvernbloggen | - | 8 000 | 20 000 | -1 |
Twittermeldinger | 391 | 220 | 193 | 177 |
Twitterfølgere | 7 500 | 10 065 | 12 392 | 14 100 |
Kronikker og debattinnlegg i andre medier | 10 | 8 | 9 | 9 |
1 Vi har ikke besøkstall for Personvernbloggen for 2015 på grunn av en feil i statistikkverktøyet.
Du bestemmer
Du Bestemmer er en læringsressurs som ble startet opp i 2007, og som vi driver i samarbeid med Senter for IKT i utdanningen. Målet med opplegget er å øke barn og unges kunnskap om personvern, og heve deres bevissthet om valg de gjør ved bruk av digitale medier. De unge skal lære seg å ta kontroll over egne personopplysninger, men samtidig respektere andres opplysninger.
I 2015 har følgende aktiviteter vært prioritert:
Det ble opprettet to nye temasider for ungdommene der det tas opp utfordringer ved ulike former for uønskede hendelser på nett.
Det ble utarbeidet innhold for lærere og andre voksne som jobber med barn og unge, samt en egen nettside for skoleeier/skoleleder.
Videre ble det laget eget innhold for de foresatte der det gis råd og veiledning om hvordan man snakker med sine barn om problematikken, og veiledning til håndtering av uønskede hendelser.
Det ble laget to nye kortfilmer om uønskede hendelser på nett basert på statistikk og informasjon fra tjenesten Slettmeg.no.
Veiledning til publikum som virkemiddel
Veiledning til publikum og virksomheter er et mer indirekte virkemiddel når det gjelder målet om å skape mer oppmerksomhet om personvern og gjøre temaet relevant i folks hverdag. Et råd til en enkeltperson kan vanskelig sies å bidra til å oppfylle hovedaktiviteten, men ettersom vi hvert år gir mange tusen, forhåpentligvis gode, råd, mener vi allikevel dette samlet sett kan sies å bidra til å gjøre personvern relevant. Statistikken fra vår veiledningstjeneste viser eksempelvis at vi mottok nesten to tusen henvendelser fra arbeidstakere. Dette gjør at disse spørsmålene blir mer relevant for folk flest.
Veiledningstjenesten i Datatilsynet er et lavterskeltilbud for publikum som har spørsmål om behandling av personopplysninger. Et viktig mål med tjenesten er å gjøre enkeltpersoner og virksomheter i stand til å ivareta egne interesser i saker som gjelder personvern.
Det er stort spenn i spørsmålene som kommer inn, og de er av både juridisk, teknisk og sikkerhetsmessig art. Svarene vi gir er av veiledende karakter og er ikke bestemmende for rettigheter eller plikter, i motsetning til vedtak som fattes i mer tradisjonell saksbehandling.
I løpet av 2015 har veiledningstjenesten besvart 8 727 henvendelser. Dette består av 3 081 henvendelser på e-post og 5 646 per telefon. Antallet er ganske likt året før, men vi ser en liten nedgang med 306 færre henvendelser totalt. Nedgangen er primært en reduksjon i antallet e-posthenvendelser.
Det har de siste ti årene vært en nedgang i antall telefonhenvendelser. Hva forklaringen på det er, er vanskelig å si, men kanskje er stadig mer oversiktlige og utfyllende nettsider noe av forklaringen.
Forskning og utredning (FoU) som virkemiddel
Også FoU og utredning har vært et prioritert virkemiddel for å oppfylle hovedaktiviteten. Gjennom vårt utredningsarbeid bidrar vi til å spre kunnskap om markeder som kan være vanskelig å orientere seg i. Et godt eksempel er rapporten «Det store datakappløpet – om kommersiell utnyttelse av personopplysninger». En utredning er i seg selv ikke noe til å oppfylle hovedaktiviteten, men må kombineres med kommunikasjonsarbeid. Det var derfor gledelig å se at lansering av rapporten var en av de aktivitetene som ga mest oppmerksomhet i 2015.
Av øvrige tiltak som har bidrar til å oppfylle hovedaktiviteten kan vi også nevne rapporten «Personvern – tilstander og trender 2015», som ble utarbeidet sammen med Teknologirådet som en del av personverndagen 2015. Her satt vi blant annet søkelys på tiden etter Snowden og på holdninger til overvåking av barn. I tillegg til god mediedekning arrangerte vi et seminar med over 200 deltagere.
For tredje året på rad deltok Datatilsynet i Internet Sweep Day, i regi av det internasjonale samarbeidsnettverket GPEN (Global Privacy Enforcement Network). Temaet for 2015 var personvernet i apper rettet mot barn opp til 13 år. Datatilsynet undersøkte (sveipet) 60 apper – både norskproduserte og internasjonale apper som er populære blant norske barn. Vi fikk også god medieoppmerksomhet for denne aktiviteten.
2.3.1.2 Ressursbruk knyttet til denne hovedaktiviteten
Ettersom de ulike hovedaktivitetene glir over i hverandre er det vanskelig å angi nøyaktig ressursbruk, men vi vil fordele ressursbruken slik:
Kommunikasjonsvirksomheten | 2 årsverk |
---|---|
Råd og veiledning | 1 årsverk |
Forskning og utredning | 1,5 årsverk |
Totalt for denne hovedaktiviteten | 4,5 årsverk |
2.3.1.3 Samlet vurdering av resultatene innen denne hovedaktiviteten, herunder om den har vært effektiv for å nå hovedmålet
Det har vært stor aktivitet knyttet til denne hovedaktiviteten. Antall medieoppslag, og den pågangen vi opplever fra media, viser at det er stor interesse for personvernspørsmål. Også henvendelsene til veiledningstjenesten trekker i samme retning. Utredningen «Det store datakappløpet» viser at det er store huller i folks kunnskapsnivå, og vi mener vårt arbeid har bidratt til at folk nå er bedre kjent med både utfordringer og muligheter til selv å ta grep. Vi føler selv vi blir lyttet til i de fora vi ferdes, og særlig innen offentlig sektor opplever vi at vi får godt gjennomslag for våre synspunkter.
Vi registrerer en liten nedgang både i antall foredrag, mediekontakter og innlegg på personvernbloggen. Vi mener imidlertid ikke at dette skyldes lavere aktivitetsnivå. Antall foredrag og innlegg på personvernbloggen var veldig høyt i 2014, og den nedgangen vi nå kan se ligger innenfor en normal variasjon fra år til år. Nedgang i medieoppslag har gått over flere år. Dette skyldes flere forhold. Mens Datatilsynet for noen år siden var en ganske enslig svale på personvernhimmelen, er det nå flere aktører som uttaler seg om personvernspørsmål. Dette ser vi på som udelt positivt. I tillegg har 2015 vært et år uten de store personverndebattene, slik vi for eksempel så i 2011 (datalagringsdirektivet) og 2013 (Edvard Snowdens avsløringer). Vi jobber også mer relasjonsorientert og kunnskapsbasert enn tidligere, noe som nok kan gi noen færre medieoppslag. Etter vår oppfatning bidrar denne måten å jobbe på imidlertid i større grad til å oppfylle hovedmålet enn tabloide utspill. Vi er av den oppfatning at vi fortsatt er synlige og tydelige i media, og tar aktive initiativ.
Vi bruker relativt store ressurser på denne hovedaktiviteten. Å skape oppmerksomhet om personvernspørsmål og å gjøre slike spørsmål relevante, er etter vår vurdering en av de aller viktigste oppgavene vi har. Derfor er vi av den oppfatning at ressursbruken har vært riktig, og at vi har lyktes godt med dette arbeidet.
Etter vår oppfatning underbygger både ressursbruk, virkemidler og tiltak hovedmålet: Et godt personvern for alle. Denne hovedaktiviteten har i sin kjerne nettopp å nå ut til alle, og det mener vi at vi har lykkes godt med.
2.3.2 Hovedaktivitet 2: Øke kjennskapen til lovfestede rettigheter og plikter både i befolkningen og i virksomheter
Kjennskap til rettigheter og plikter er en vesentlig forutsetning for at virksomhetene skal følge lovens bestemmelser, og for at befolkningen skal ivareta de rettighetene de har etter loven. Vårt inntrykk er at personopplysningsloven er relativt dårlig kjent både blant virksomheter og i befolkningen. Våre undersøkelser viser også at interessen for personvern er stor, og stadig stigende.
Samtidig opplever vi at personvernregelverket er lite pedagogisk. Personvernets vokabular, med begreper som behandlingsansvarlig, samtykke og informasjonssikkerhet, kan være forvirrende og er vanskelig å forstå. Det er derfor en prioritert oppgave å bidra til at både virksomheter, politikere og borgere blir oppmerksom på personvernspørsmål.
Målgruppen for våre aktiviteter er mange. Det er dels den enkelte borger og virksomheter. I tillegg er forvaltningen en viktig målgruppe, særlig de som driver regelverksutvikling.
2.3.2.1 Valg og omfang av de ulike virkemidlene og tiltakene innen denne hovedaktiviteten, samt resultater innenfor denne hovedaktiviteten
De prioriterte virkemidlene innen denne hovedaktiviteten har i 2015 vært:
Veiledning til publikum og virksomheter
Deltagelse i råd, utvalg mv.
Personvernombudsordningen
Høringsarbeid og regelverksutvikling
Kontroll og regelverksetterlevelse
Forskning og utredning
Veiledning til publikum og virksomheter
Veiledning er et helt sentral virkemiddel, og vi vil i det følgende gå gjennom de viktigste arbeidsmetodene våre under dette virkemiddelet.
Veiledningstjenesten
Vårt viktigste, og høyest prioriterte virkemiddel innen denne hovedaktiviteten er å gi råd og veiledning til publikum og virksomheter. En viktig del av dette arbeidet er beskrevet i kapittel 3.1.1, og vi viser til beskrivelsen der.
Veiledningsmateriell
I tillegg til veiledningstjenesten er utarbeidelse av veiledningsmateriell og informasjonstiltak et viktig virkemiddel. Godt veiledningsmateriell gjør den enklere for virksomheter å følge regelverket og for publikum til å forstå sine rettigheter. I tillegg til egne veiledere, har vi også jobbet aktivt for å formidle videre andre etaters veiledere.
I 2015 har vi bl.a.
Gitt omfattende informasjon av hvordan norske virksomheter må innrette seg etter Safe Harbor–dommen fra EU-domstolen
Utarbeidet en veileder om hvordan virksomhetene kan anonymisere data
Utarbeidet veiledningsmateriale om ny praksis opptak av kundesamtaler
Gitt informasjon om to nye veiledere fra KMD om innsynslogging og informasjonsplikt og innsynsrett
Holdt nettstedet løpende oppdatert
Deltagelse i råd og utvalg
Også deltagelse i råd og utvalg er et prioritert virkemiddel. Det gir mulighet til å snakke direkte med de som treffer beslutninger og bidra til at personvern tas tidlig inn i vurderingen. Vårt inntrykk er at manglende etterlevelse oftere skyldes manglende kjennskap til regelverket enn manglende vilje til å etterleve det. Videre gir deltagelse i råd og utvalg oss muligheten til å komme tidlig inn i beslutningsprosesser.
Vi har i 2015 særlig prioritert følgende råd, utvalg, prosjekter mv:
ITS- rådet for intelligente transportsystemer
ID-nettverket for en helhetlig ID-forvaltning
Samarbeidsprosjektet Du Bestemmer
Prosjekt Nytt Folkeregister
Bransjenorm for sikkerhetsbransjen
Norm for informasjonssikkerhet i helse- og omsorgssektoren
Personvernombudsordningen
Personvernombudsordningen er et viktig virkemiddel for å øke virksomhetenes kjennskap til rettigheter og plikter. Personvernombudsordningen er frivillig og gir virksomheter som velger å ha ombud fritak fra meldeplikten til Datatilsynet. Ombudet skal fungere som en ressursperson med spesialkompetanse på personvern i virksomheten, og skal ha oversikt over hvilke personopplysninger som blir behandlet til ulike formål. Personvernombudet vil derfor kunne hjelpe virksomheten til å håndtere personvernutfordringer som måtte oppstå.
Ved utgangen av 2015 hadde Datatilsynet registrert 271 personvernombud. Noen av disse er ombud for flere virksomheter, og til sammen representerer de 470 virksomheter.
Personvernombudene gir oss tilbakemelding om at de kursene og seminarene vi tilrettelegger for dem er viktige for deres mulighet til å gjøre en god jobb og relevant for arbeidet deres med personvern i virksomhetene.
Høringsarbeid og regelverksutvikling
Høringsarbeid
Høringsarbeid er viktig for å påvirke lovgivningen. Det er derfor en høyt prioritert oppgave, og vi ser at vi gjennom vårt høringsarbeid både får gjennomslag i lovprosesser, og at det åpnes for videre dialog med departementer. Ikke sjelden har høringsuttalelsene betydning ut over den enkelte lovprosess. Vi publiserer alle høringsuttalelser der vi inngir merknader av betydning, og ikke sjelden blir høringsuttalelsene fanget opp av media lenge etter at saken er avgjort.
I 2015 har vi gitt merknader til høringer vi har mottatt i et normalt omfang, selv om det er mottatt flere invitasjoner enn tidligere. På samme måte som i 2014, er det Justisdepartementet vi avgir flest høringsuttalelser med merknader til.
Tabell 2.5 Oversikt over antall høringer vi har behandlet de siste årene
2012 | 2013 | 2014 | 2015 | |
---|---|---|---|---|
Totalt antall høringer | 163 | 134 | 140 | 166 |
Regelverksutvikling
Datatilsynet deltar ofte i regelverksutvikling. Særlig viktig har arbeid med å forberede implementeringen av EUs personverndirektiv vært. Arbeidet med denne reformen har pågått siden januar 2012, og planen var at den skulle være klar tidlig i 2015. Vi opprettet derfor et internt prosjekt som skal håndtere vår rolle under det nye regelverket.
Videre satte vi av noen dedikerte ressurser til å følge med på utviklingen i forhandlingene i EU. Vi var også i jevnlig dialog med de som representerte Norge i forhandlingene. Det gjorde vi i form av møter og diskusjoner med representanter for Justisdepartementet og Kommunal- og Moderniseringsdepartementet.
Vi har holdt mange eksterne foredrag og vært med i mange fora der vi har redegjort for hva som blir endringene med ny forordning. Vi har vært godt orientert om status i forhandlingene slik at vi har kunnet svare på spørsmål fra publikum. Vi har også deltatt i WP29, og undergruppen som jobber særlig med forordningen, og viser til omtalen under hovedaktivitet fem.
Nå som forhandlingene er avsluttet og forordningsteksten er klar, starter arbeidet med implementeringer for fullt i 2016.
I tillegg lånte vi i meldingsåret ut en person som sekretær til Det digitale sårbarhetsutvalget. Vi har også hatt dialog med andre departementet om regelverksutvikling, som for eksempel Helse- og omsorgsdepartementet og Kunnskapsdepartementet. Tidstyvarbeidet kan også kategoriseres som regelverksutvikling, ettersom vårt arbeid har vært knyttet til revidering av forskrifter.
Kontroll og regelverketterlevelse
Et vesentlig virkemiddel for Datatilsynet er å føre tilsyn med regelverket. Det er viktig at tilsynene har virkning ut over den enkelte sak. Dette kommer vi tilbake til under Hovedaktivitet 4, Tilsyn.
I tillegg gir vi uttalelser og fortolkninger av personvernregelverket i en lang rekke saker hvert år. Dette er det redegjort for i kapittel 3.2.1.
Forskning og utredning som virkemiddel
Dette virkemiddelet har ikke vært av de høyest prioriterte innen denne hovedaktiviteten.
Den viktigste begivenheten var inngåelsen av en partnerskapsavtale mellom CCIS (Center for Cyber and Information Security) og Datatilsynet. CCIS ved Høgskolen på Gjøvik (som inngikk i NTNU fra 1. januar 2016) innehar Norges største akademiske fagmiljø innen informasjonssikkerhet. Vi vil gjennom partnerskapet med CCIS bidra til at hensynet til personvern blir vektlagt i forskningsprosjekter om cyber- og informasjonssikkerhet, og ved utvikling av nye sikkerhetsløsninger. Samarbeidet innebærer også en betydelig satsing på prosjekter med personvern som fagfelt.
Vi er representert i referansegruppen til forskningsprosjektet Social Responsible Crowdsourcing for Environmental Research and Decision (iResponse). Flere forskningsinstitutter og andre aktører samarbeider her om å utvikle såkalte crowdsourcing-verktøy. Prosjektet finansieres av Forskningsrådets program SAMANSVAR, som legger særlig vekt på ansvarlig innovasjon og Corporate Social Responsibility (CSR). Personvern står selvsagt sentralt i en slik sammenheng.
2.3.2.2 Ressursbruk knyttet til denne hovedaktiviteten, og hvorvidt den har vært effektiv for å nå hovedmålet
Det er krevende å beregne ressursbruken på denne hovedaktiviteten. Dette skyldes særlig at den til dels er overlappende med hovedaktivitet én, og fordi tilsynsvirksomheten er ressursberegnet i hovedaktivitet fire.
Vi vil anslå ressursbruken slik:
Veiledning til publikum og virksomheter | 5 årsverk |
Høringsarbeid og regelverksutvikling | 3,5 årsverk |
Kontroll og regelverksetterlevelse | 1,5 årsverk |
FOU og utredningsarbeid | 0,5 årsverk |
Deltakelse i råd og utvalg mv. | 0,5 årsverk |
Totalt for denne hovedaktiviteten: | 11 årsverk |
2.3.2.3 Samlet vurdering av resultatene innen denne hovedaktiviteten, herunder om den har vært effektiv for å nå hovedmålet
Denne hovedaktiviteten har vært høyt prioritert. Som vi kommer tilbake til under hovedaktivitet fire finner vi nær sagt alltid avvik når vi gjennomfører tilsyn. Det er derfor etter vår vurdering viktig å bidra til bedre kjennskap til regelverket, da dette selvsagt er helt vesentlig for å sikre regelverketterlevelse.
Vårt mål om å jobbe kunnskapsbasert krever også mye ressurser. Vi mener imidlertid dette er en viktig prioritering som bidrar til at Datatilsynet fremstår som troverdig og etterrettelig. Utredningen om «Det store datakappløpet» og den årlige rapporten som lanseres på Personverndagen har dessuten en levetid som strekker seg lang utover det enkelte meldingsår. I 2013 skrev vi eksempelvis rapporten «Big data – personvernprinsipper under press», og den har fortsatt stor aktualitet og ga oss plass i to panel på CPDP – konferansen i Brussel i januar 2016.
Det har vært en bevisst prioritering å starte arbeidet med implementeringen av EUs forordning så tidlig som mulig, og det har ført til at vi i skrivende stund ligger i front i Norden i dette arbeidet. Det har også gitt oss innpass i viktige arbeidsgrupper i EU, se nærmere under hovedaktivitet fem.
Ved å satse på deltagelse i råd og utvalg kan vi være med på beslutninger som har stor betydning for personvernet i lang tid framover. En viktig satsing i 2015 var deltagelse i bransjenormen for sikkerhetsbransjen. Gjennom tilsynsarbeidet har vi avdekket en bransje med til dels store utfordringer. Det er derfor positivt at bransjen nå vil sette seg ned med Datatilsynet for å lage en bransjenorm for bedre å kunne etterleve regelverket. Lykkes vi med dette, vil det også ha stor betydning for borgernes personvern.
Vi mener bestemt at også personvernombudsordningen bidrar til bedre kjennskap til regelverket. Vi har sett mange eksempler på at personvernarbeidet – og etterlevelsen har fått en ny giv når det er opprettet et personvernombud. Kursing av ombudene er ressurskrevende, men er etter vår vurdering viktig under denne hovedaktiviteten.
Datatilsynet mener derfor både virkemiddelbruken og ressursene vi har brukt på denne hovedaktiviteten har vært effektiv for å nå hovedmålet om personvernbeskyttelse for alle i tråd med gjeldende regelverk.
2.3.3 Hovedaktivitet 3: Fremme bruk av innebygd personvern og stimulere til at personvernhensyn blir ivaretatt tidlig ved utviklingen av nye løsninger og nytt regelverk
Innebygd personvern innebærer at de behandlingsansvarlige skal bygge inn personvern i tekniske løsning og regelverk allerede fra det tidspunkt planleggingen av et nytt prosjekt starter. Å fremme bruk av innebygd personvern har vært viktig for Datatilsynet siden 2010, og det er en viktig målsetting å nå bredt ut. Samtidig har vi vært særlig opptatt av å nå utviklermiljøer og beslutningstakere, om enn på ulik måte. Utviklerne er viktige for at de skal omsette prinsippene til teknologi, mens beslutningstakerne er viktig for å sikre god forankring.
2.3.3.1 Valg o g omfang av de ulike virkemidlene og tiltakene innen denne hovedaktiviteten, samt resultater innenfor denne hovedaktiviteten
Når det gjelder valg og omfang av virkemidler er bildet fragmentert. Enkelte svært sentrale virkemidler slik som tilsyn og enkeltsaksbehandling, er utelukket ettersom det per i dag ikke er noen rettslig forpliktelse til å jobbe etter prinsippene om innebygd personvern. Stortingsmeldingen «Personvern – utsikter og utfordringer», Meld. St. 11 (2012–2013), fastsetter imidlertid et prinsipielt mål om innebygd personvern i alle sektorer. Vi lar ikke en anledning gå fra oss til å minne beslutningstakere om dette prinsippet.
Veiledning til publikum og virksomheter som virkemiddel
Veiledning er et helt sentralt virkemiddel under denne hovedaktiviteten. Vi opplever stor interesse blant de behandlingsansvarlige. Samtidig erfarer vi at det eksisterer stor usikkerhet om hva innebygd personvern egentlig er og hvordan man i praksis skal gå fram for å ivareta dette prinsippet.
Vi har gjennomført en rekke møter med beslutningstakere i offentlig sektor og leverandører av IKT-løsninger for å se på hvordan de best kan bygge og vedlikeholde gode internkontrollsystemer og god informasjonssikkerhet for å ivareta personvernet. Vi forsøker å gjøre aktører i sektoren til å bli gode bestillere av løsninger med innebygd personvern, og vi har gitt råd til leverandører om å ta hensyn til innebygd personvern i deres leveranser til offentlig sektor. Som eksempel kan vi nevne Barne-, ungdoms- og familiedirektoratet som ønsket råd om tilganger til system for barnevernet (Birk).
I tillegg snakker vi om innebygd personvern stort sett hver gang vi møter leverandører og utviklere. Som eksempel kan nevnes Visma, som utvikler programvare for barnevernet. De hadde utviklet programvare for håndholdte «dingser», hvor de kun fikk tilgang til relevant info (istedenfor å kjøre rundt med hele mapper), og hvor det var lagt opp til innsyn fra borgerne. Løsningen tilrettelegger også for at saksbehandlerne skal kunne skrive referat sammen med de de hadde vært på hjemmebesøk hos. Dette bidrar til kontradiksjon.
Vi kan også nevne selskapet Noisolation som utvikler en avatarrobot som kan stå i klasserommet på vegne at langtidssyke barn (http://www.noisolation.com/no/). Utviklerne hadde ikke personopplysningsloven tett under huden, men det er bevisst tenkt veldig gode tanker når de har utviklet denne roboten. To andre eksempler er Gyldendal, som utviklet programvare for smart læring, og Affecto, som ville ha råd om anonymisering og Big Data.
I tillegg har vi hatt flere møter mede selskaper som ønsker å utvikle gode internkontrollsystemer for småbedrifter og gjøre det enklere for norske næringsdrivende å følge personopplysningslovens krav.
Påvirkning gjennom samarbeid
Vi har gjennomført en rekke møter med beslutningstakere i offentlig sektor og leverandører av IKT-løsninger for å se på hvordan de best kan bygge og vedlikeholde gode internkontrollsystemer og god informasjonssikkerhet for å ivareta personvernet. Vi forsøker å gjøre aktører i sektoren til gode bestillere av løsninger med innebygd personvern, og vi har gitt råd til leverandører om å ta hensyn til innebygd personvern i deres leveranser til offentlig sektor.
Folkeregisterprosjektet er et eksempel på dette. Her har vi benyttet anledningen til å snakke om innebygd personvern i alle de sammenhenger der innhold og løsning har vært tema. Som eksempel kan vi nevne et møte der alle etatsledere var invitert til Skattedirektoratet, som hadde fått midler til å videreføre arbeidet med nytt folkeregister. Der trakk vi frem viktigheten av å tenke innebygd personvern og de mulighetene som finnes for å lykkes med dette dersom man starter allerede i konsept- og kravspesifikasjonsfasen. Dette ble også understreket av Kartverket og av UDI. Det er svært positivt at etater, som for kun få år siden sannsynligvis ikke visste hva innebygd personvern var, nå aktivt oppfordrer alle til å jobbe etter disse prinsippene!
Til slutt kan vi nevne Altinn, som nå utvikle en ny strategi, og som har vist stor interesse for prinsippene om innebygd personvern. Dette var også oppe som tema på kontaktmøtet vi hadde med Brønnøysundregistrene. Dette var svært nyttig ettersom Brønnøysundregistrene, som den selvdeklarerte digitaliseringsetaten, besitter mye data. De er også innovative og er i ferd med å utvikle nye, spennende tjenester for borgere og virksomheter.
Kommunikasjon som virkemiddel
Kommunikasjon er naturlig nok et sentralt virkemiddel i denne sammenheng, særlig foredrag. Vi nevner innebygd personvern i nær sagt samtlige foredrag vi holder. I tillegg er det jevn pågang fra virksomheter som ønsker foredrag spesielt om dette temaet. Det anses særlig viktig å snakke for folk som sitter på utviklersiden. Som eksempel kan nevnes at vi i 2015 holdt foredrag for apputviklere, på Sikkerhetssymposiet, utviklerkonferansen Trondheim Developer Conference og for ansatte i selskapet Buypass.
2.3.3.2 Ressursbruk knyttet til denne hovedaktiviteten, og hvorvidt den har vært effektiv for å nå hovedmålet
Det er vanskelig å anslå nøyaktig hvor mye ressurser vi bruker på innebygd personvern, ettersom dette ofte er et arbeid som er integrert i andre aktiviteter, som foredrag, tilsyn og råd- og veiledningsarbeid. Vi vil anslå ressursbruken til ett årsverk.
Datatilsynet har hatt som mål å fremme bruken av innebygd personvern som en strategisk satsing siden 2011. Den gang var dette konseptet helt ukjent for de fleste, men vi ser nå at det er kjent for svært mange virksomheter vi har i kontakt med. At det i Stortingsmelding 11 også ble flagget at det offentlige skulle bygge sine systemer etter disse prinsippene var meget viktig.
Vi mener vårt arbeid på dette området har vært avgjørende for å fremme dette viktige prinsippet.
2.3.3.3 Samlet vurdering av resultatene innen denne hovedaktiviteten, herunder om den har vært effektiv for å nå hovedmålet
Å få norske virksomheter og offentlige etater til å jobbe etter prinsippene for innebygd personvern, er et langsiktig arbeid. Det er omlag 550 000 virksomheter i Norge. Det er selvsagt ikke slik at alle disse behandler personopplysninger av særlig omfang, men antallet viser tydelig at det ikke er gjort i en håndvending å få alle virksomheter til å følge prinsippene. Det er derfor viktig å velge de riktige virkemidlene. Etter vår vurdering er det å forsøke å nå ut til flest mulig, bl.a. gjennom å holde mange foredrag og å drive annen kommunikasjonsvirksomhet, viktig. Vi kan ikke tallfeste hvor mange som i løpet av et år har hørt Datatilsynets ansatte snakke om innebygd personvern, men det er snakk om flere tusen. At arbeidet bærer frukter ser vi tydelig når virksomheter i etterkant ber om råd og veiledning om hvordan de best kan implementere gode løsninger. Dette vitner om at virksomhetene vil, men at de mangler kjennskap til og kompetanse om hva de skal gjøre.
Særlig viktig er det at sentrale offentlige etater som Altinn og Difi har fattet interesse for konseptet, men som vi nevner i kapittelet om framtidige utfordringer burde Difi stilt som krav i digitaliseringsrundskrivet om at prinsippene om innebygd personvern skal følges.
Effekten av at prinsippene følges kan ikke overvurderes. De to løsningene knyttet til barnevernet som vi trakk fram over, vil gi bedre tilgangsstyring, og dermed også et bedre personvern for alle som har personopplysninger om seg registrert i barnevernets fagsystemet. Dersom Folkeregisteret ivaretar personvernet på en god måte vil det i realiteten bety bedre personvern for samtlige norske borgere. Vi mener oppsummert at det arbeidet vi har lagt ned til å arbeide for prinsippet om innebygd personvern har vært viktig og effektivt for å oppnå hovedmålet.
2.3.4 Hovedaktivitet 4: Gjennomføre tilsyn i prioriterte sektorer basert på risikoanalyse, systematisere og kommunisere funn fra tilsynene til aktuelle målgrupper, følge opp etterlevelse og pålegg både i den enkelte kontrollsak og gjennom påfølgende etterkontroller
Gjennomføring av tilsyn er en viktig aktivitet for å nå målene våre. Vi skal gjennomføre tilsyn på prioriterte områder basert på risikoanalyse, systematisere og kommunisere funnene, samt følge opp etterlevelsen av pålegg. Hvilke virksomheter vi faktisk velger å kontrollere, faller normalt i to kategorier; virksomheter hvor det antas å være en særskilt risiko, og representative virksomheter for å avdekke status i en sektor eller et tematisk område.
2.3.4.1 Valg og omfang av de ulike virkemidlene og tiltakene innen hovedaktiviteten, samt resultater innenfor denne hovedaktiviteten
Generelt om tilsyn
Vi har i all hovedsak benyttet tilsyn som virkemiddel under denne hovedaktiviteten. Det er imidlertid viktig å bemerke at tilsynsvirksomheten kun er ett av flere virkemidler vi har til disposisjon for å kontrollere om lover og regler blir etterlevd. I tillegg bidrar også vårt veiledningsarbeid, både i veiledningstjenesten og ved generelle råd- og veiledningsmøter, til å sikre etterlevelse av loven.
I 2015 gjennomførte vi totalt 54 tilsyn. I tillegg kommer 161 saker der vi brukte av kontrollhjemlene våre i annen saksbehandling enn tilsynsvirksomheten (ikke inkludert deler av desember pga. arkivoppgradering). Dette blir til sammen 215 saker.
I løpet av året gjennomførte vi flere tilsyn med internkontroll og informasjonssikkerhet i offentlig sektor for å påvirke til bedre etterlevelse av regelverket. Vi gjennomførte også kontroller med virksomheter som driver med samfunnsforskning. Kontrollene skal danne grunnlag for videre oppfølging av disse virksomhetene Det første tilsynet etter politiregisterloven ble også gjennomført i 2015, ved at vi kontrollerte DNA-registeret hos KRIPOS. Videre førte vi tilsyn med reiseselskap, hvor vi valgte oss ut reiseselskaper med middels risiko hos de individuelle objektene, men hvor vi mener det er muligheter for å påvirke mange aktører gjennom oppfølging etter tilsynene. For øvrig har vi gjennomført tilsyn med et sentralt register i finanssektoren, felles pasientdatabaser i helsesektoren, bruk av nettsky og kryptering av kommunikasjonen hos store datasentre.
I noen tilfeller gjennomføres planlagte kontroller som en skriftlig prosess, uten at vi er på fysisk besøk hos virksomheten. Dette er i tilfeller hvor de forholdene vi ønsker å undersøke er egnet å få avklart uten et stedlig oppmøte. I 2015 ble 39 av tilsynene gjennomført hos virksomhetene (stedlig tilsyn), mens 15 ble gjennomført via brev (brevlig tilsyn).
De brevlige tilsynene skiller seg fra bruk av de samme kontrollhjemlene i øvrig saksbehandling ved at de er en planlagt undersøkelse av konkrete forhold i virksomhetene. I 2015 ble brevlige tilsyn særlig vurdert som hensiktsmessig for den oppfølgingen vi hadde av samfunnsforskning og kryptering i datasentre.
Avvik avdekket gjennom tilsynsvirksomheten
Funn som blir gjort under tilsyn kategoriseres som avvik. Det vi si at vi har vurdert praksisen hos den kontrollerte virksomheten til å være et avvik fra krav i regelverket.
Hvilke avvik som avdekkes vil avhenge av hva som er tema for den aktuelle kontrollen. Vi undersøker ikke samtidig andre plikter etter regelverket.
Saker med særlig interesse er som nevnt omtalt i årsmeldingens fagkapitler. Det er likevel grunn til å fremheve at vi fremdeles ser systematiske avvik i offentlig sektor knyttet til internkontroll, informasjonssikkerhet og etablering av databehandleravtaler.
Enkelte av tilsynene som ble gjennomført i 2015 er ikke kommet tilstrekkelig langt i saksbehandlingen til at avvikene lar seg klassifisere. Derfor er ikke antallet tilsyn i tabellen nedenfor likt det totale antallet tilsyn gjennomført i 2015.
Tabell 2.6 Oversikt over hvilke typer avvik vi har avdekket under kontrollene i 2015
Område | Totalt ant. tilsyn | Antall tilsyn hvor det ble avdekket avvik av en gitt kategori | |||||||
---|---|---|---|---|---|---|---|---|---|
Ingen avvik | Fravær av internkontroll1 | Utilstrekkelige enkeltrutiner i internkontroll1 | Utilstrekkelige sikkerhetstiltak2 | Manglende rettslig grunnlag3 | Utilstrekkelige avtaler4 | Brudd på meldeplikt | Annet avvik | ||
Arbeidsliv | 3 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 3 |
Finanssektoren | 1 | 1 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
Helsesektoren | 1 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
Reiseselskap | 5 | 0 | 0 | 5 | 5 | 0 | 1 | 0 | 0 |
Justissektoren | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
Kameraovervåking | 7 | 0 | 5 | 1 | 3 | 6 | 2 | 3 | 3 |
Offentlige etaters Internkontroll | 15 | 0 | 0 | 15 | 7 | 0 | 7 | 0 | 1 |
Forskning | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
Kryptering | 3 | 0 | 0 | 0 | 3 | 0 | 0 | 0 | 0 |
Andre | 4 | 1 | 0 | 2 | 2 | 0 | 1 | 0 | 0 |
Sum | 39 | 2 | 5 | 23 | 20 | 6 | 11 | 3 | 7 |
1 Internkontroll her er både knyttet til informasjonssikkerhet (pol § 13 og tilsvarende) og ivaretakelse av lovens øvrige krav (pol § 14 og tilsv.). «Fravær av internkontroll» benyttes dersom virksomheten har store mangler i det systematiske arbeidet. For øvrig benyttes «Utilstrekkelige enkeltrutiner»
2 Herunder manglende risikovurderinger
3 Herunder brudd på konsesjonsplikten
4 Databehandleravtaler (pol § 15 og tilsv.), avtale med sikkerhetsparter (pof § 2-15 og tilsv.), samt andre forhold som skal reguleres i avtale
Kommunikasjon av funn
I etterkant av halvårsrapporten 2015 ble Datatilsynet bedt av KMD om å rapportere særskilt på kommunikasjon av funn fra tilsyn.
Funn fra våre tilsyn blir først samlet og systematisert i kontrollrapporter. Foreløpige rapporter blir så sendt til tilsynsobjektet, tilbakemeldinger blir vurdert og det utformes til slutt en endelig rapport.
De fleste rapportene publiseres på Datatilsynets nettsted slik at andre aktører i tilsvarende bransje kan lese om våre funn og hva vi er opptatt av. Videre stadfester rapportene vår forvaltningspraksis innen de aktuelle feltene.
Rapportene gjøres også tilgjengelig via Offentlig elektronisk postjournal (OEP) og blir derfor ofte også gjort til gjenstand for medieomtale, både i lokale, regionale og nasjonale medier.
Ut over dette brukes funnene i dialog med bransjeforeninger, sektormyndigheter og andre sentrale aktører som tar utfordringene videre. Funn fra tilsyn presenteres også på relevante foredrag.
Noen gjennomførte og planlagte aktiviteter for å følge opp tilsyn gjennomført i 2015:
I tilsynsprosjektet med reiseselskaper, gjennomførte vi først et fåtall tilsyn, før vi hadde dialog med bransjeforeninger (NHO og Virke) for å påvirke disse til å starte utarbeidelse av veiledningsmateriell for bransjen. Det arbeides nå med veiledning, og vi vil ha dialog med foreningene i forbindelse med ferdigstilling av materialet. Bred etterlevelse av regelverket får vi først når sektorer selv arbeider for etterlevelse. Formålet med prosjektet er derfor å initiere slike prosesser med en begrenset ressursbruk fra Datatilsynets side.
Kontroller med kommuner over flere år, og særlig bruk av overtredelsesgebyr etter tilsyn gjennomført i 2014, har ført til en konstruktiv dialog med Kommunenes arbeidsgiver-, interesse- og medlemsorganisasjon (KS) om hvordan det kan legges bedre til rette for kommuners regelverksetterlevelse.
Etter tilsyn med kameraovervåking i regi av lokalt politi er det tatt kontakt med Politidirektoratet for å koordinere rammene og omfanget av slik overvåking.
I forbindelse med tilsyn om kryptering av datasentertrafikk er vår veiledning på området oppdatert i samråd med Nasjonal sikkerhetsmyndighet (NSM), og våre beslutninger vil gjøres kjent for sektoren i den grad det ikke eksponerer sårbarheter hos de kontrollerte virksomhetene.
Funn og avgjørelser etter tilsynene med virksomheter som driver med samfunnsforskning vil bli kommunisert tilbake til sektoren. For øvrig er disse tilsynene ikke analysert i tilstrekkelig grad til at andre tiltak er identifisert.
Etterkontroller
I 2015 gjennomførte Datatilsynet etterkontroll med to kommuner hvor tema var internkontroll og informasjonssikkerhet. Videre gjennomførte vi etterkontroll med én kommunes bruk av skytjenester og en kontroll hos Husbanken. I tillegg legger vi fremdeles negative svar om etterlevelse av internkontrollplikten fra kommuneundersøkelsen vår i 2010 og 2011 til grunn ved utvelgelsen av tilsynsobjekter i kommunesektoren.
2.3.4.2 Ressursbruk knyttet til denne hovedaktiviteten, og hvorvidt den har vært effektiv for å nå hovedmålet
Det ble gjennomført færre tilsyn i 2015 enn i de foregående årene, og færre enn vi hadde planlagt for året. Dette gjelder særlig på helse og justissektoren. Årsakene til dette er utsettelser, omprioriteringer og noe sykefravær. Vi fristilte blant annet en medarbeider i store deler av året for å bidra i sekretariatet til det digitale sårbarhetsutvalget og vi har prioriterte opp arbeidet med personvernforordningen. Vi valgte dessuten å utsette tilsynene med politiregistrene fra våren til høsten, og valgte å gjennomføre et bredt og grundig tilsyn med DNA-registeret hos Kripos, framfor flere mindre. Dette gir seg utslag i antall gjennomførte tilsyn, men ett grundig tilsyn mot ett sentralt register vil gi justissektoren bedre læring enn flere mindre omfattende tilsyn. Vi gjennomfører også kontroll med om regelverket følges i enkeltsaksbehandlingen ut over det som fremgår som enkelttilsyn. Reduksjonen i kontrollaktiviteten vår er derfor ikke så stor som tallet på tilsyn skulle tilsi.
Vi anslår at vi i 2015 brukte åtte årsverk til tilsyn og kontroll med etterlevelse av regelverk. Dette er noe mindre enn i 2014.
Gjennom våre tilsyn viser vi tilstedeværelse i de ulike sektorer. Vi ser også at tilsyn bidrar til at sektorene selv tar tak i problemene. Her kan vi nevne skolesektoren og kommunesektoren som eksempler. Etter at vi avdekket omfattende avvik, har Senter for IKT i utdanningen og Utdanningsdirektoratet fått i oppdrag å utarbeide en norm for personvern i skolesektoren, mens KS har tatt opp ballen og vil jobbe for bedre personvern i kommunene generelt. Vår tilsynsvirksomhet setter med andre ord i gang viktige prosesser i ulike sektorer.
2.3.4.3 Samlet vurdering av resultatene innen denne hovedaktiviteten, herunder om den har vært effektiv for å nå hovedmålet
Tilsyn åpner for dialog med bransjer. I en årrekke har vi avdekket feil og mangler hos sikkerhetsbransjen. Våren 2015 tok de initiativ til å utarbeide en bransjenorm for sikkerhetsbransjen, som særlig vil rette seg mot kameraovervåking. Endelig kan vi nevne Ruter. Etter flere tilsyn i 2008 og 2009 tok selskapet kontakt og ønsket et samarbeid. Det resulterte i Bransjenorm for e-billettering, som har fått positiv oppmerksomhet ut over landets grenser. Det var starten på et godt samarbeid som fortsatt varer. Høsten 2015 tok Ruter kontakt for å drøfte hvordan vi kunne jobbe sammen for å utvikle nye, innovative løsninger basert på prinsippene for innebygd personvern. Dette har et langsiktig perspektiv, men er et godt eksempel på hvordan det som startet med skarpe tilsyn faktisk kan utvikle seg til et godt samarbeid.
Vi er derfor av den oppfatning av vi gjennom hovedaktivitet fire har bidratt til å oppnå hovedmålet.
2.3.5 Hovedaktivitet 5: Delta aktivt i internasjonalt arbeid
Internasjonalt arbeid er viktig for Datatilsynet. Siden Norge ikke er medlem i EU, kan det være utfordrende å få påvirkningsmuligheter på EUs beslutningsprosesser. Målet for 2015 var å oppnå større synlighet på den internasjonale arenaen, og finne fora hvor vi kan være med og hvor vi kan komme til orde. Vi har benyttet alle de fora vi er representert i til å søke oppmerksomhet, og noen nye fora har også kommet til.
Ettersom internasjonalt samarbeid blir stadig viktigere fremover med et harmonisert regelverk på personvernområdet, er det viktig for Datatilsynet å ha et godt internasjonalt nettverk.
2.3.5.1 Valg og omfang av de ulike virkemidlene og tiltakene innen denne hovedaktiviteten, samt resultater innenfor denne hovedaktiviteten
Internasjonal deltagelse som virkemiddel
Internasjonal deltagelse er det klart viktigste virkemiddelet under denne hovedkategorien. Nedenfor følger en kort gjennomgang av de viktigste arenaene Datatilsynet deltar i.
Artikkel 29-gruppen (Art. 29 Data Protection Working Party – WP 29)
Artikkel 29-gruppen er opprettet i henhold til personverndirektivet, og er den øverste rådgivende forsamlingen for EU-kommisjonen i spørsmål om personvern og informasjonssikkerhet. Her møter alle lederne for EU-landenes datatilsynsmyndigheter. Norge har observatørstatus som EØS-land, og møter med en representant for ledelsen i Datatilsynet.
Det er avholdt fem møter i Artikkel 29-gruppen i 2015 og Datatilsynet har vært representert på alle.
Blant annet har Artikkel 29-gruppen kommet med kommentarer til C-SIG Code of Conduct on Cloud Computing. Dette er et veldig aktuelt tema ettersom mange benytter skytjenester og vi får mange spørsmål om dette. Vi har over tid etterspurt en internasjonal standard.
Naturligvis har året dessuten vært preget av arbeidet med ny forordning og direktiv på justisområdet og Artikkel 29-gruppen har jevnlig avgitt uttalelser til EU-kommisjonen om forskjellige spørsmål i den anledning.
Safe Harbor-avgjørelsen har naturlig nok også preget mye av arbeidet i Artikkel 29-gruppen etter at avgjørelsen kom i oktober.
Vi i det norske Datatilsynet var raskt ute med å informere om den endrede rettstilstanden. Vi sendte blant annet ut skriftlige orienteringer til samtlige 110 virksomheter som har meldt inn til oss at de overfører persondata til aktører i USA i medhold av Safe Harbor-ordningen, og hadde fyldig informasjon tilgjengelig på våre nettsider.
Technology Subgroup
Technology Subgroup er en arbeidsgruppe som gjør saksforberedelser for Artikkel 29-gruppen. Disse forberedelsene danner grunnlag for mange av Artikkel 29-gruppens uttalelser. Vår deltakelse i arbeidsgruppen gir god mulighet til å fremme norske synspunkter i spørsmål som gjelder bruk av teknologi og koblingen til juss og regelverk. Undergruppen diskuterer også konsekvensen av nye teknologier som påvirker personvernet, noe som er svært nyttig som informasjonskilde for oss. Vi benytter også anledningen til å fremme våre forslag inn i gruppen. Datatilsynet har vært representert med en erfaren teknolog på samtlige møter avholdt i 2015.
Future of Privacy Subgroup (FOP)
2015 har vært det første året vi har vært medlem av denne undergruppen til Artikkel 29-gruppen. Ved siden av å øke Datatilsynets synlighet, vurderer vi det som viktig å være med i denne undergruppen da mye av diskusjonene om den nye forordningen skjer her. Dette har vist seg svært verdifullt for oss. Vi har blant annet evnet å være en god samtalepart for både Justisdepartementet og Kommunal- og Moderniseringsdepartementet om temaet ny forordning. Vi er representert med én jurist i denne undergruppen, og vi har vært med på alle møter som har vært holdt siden vi ble medlem.
Berlingruppen
Berlingruppen er et fellesskap som arbeider med personvern innen elektronisk kommunikasjon i utvidet forstand. I det vesentlige er det personvernmyndigheter som deltar. Gruppen avgir uttalelser (Working Papers) om aktuelle personvernspørsmål.
Datatilsynet har over flere år vært en aktiv deltaker i Berlingruppen. Som et tiltak for å bli mer synlig på den internasjonale arena har vi jobbet for å få Berlingruppens vårmøte i 2016 til Oslo. Vi lykkes med dette, og i 2015 startet vi opp planleggingen av møtet.
Den internasjonale personvernkonferansen
Datatilsynet er medlem av den internasjonale personvernkonferansen og i 2015 støttet vi en resolusjon som ble vedtatt på konferansen. Vårt engasjement på konferansen var en videreføring av jobben med Big Data resolusjonen som vi fremmet året før.
Temaet for årets konferanse var «Building Bridges» – hvordan jobbe for bedring av personvernet i grensedragningen mellom Europa og USA. Temaet er svært aktuelt slik dommen fra EU-domstolen viste senere på året. Vi deltok med et innlegg i en sesjon om barn og unges personvern, der vi fortalte om vårt arbeid i Du Bestemmer-prosjektet. I forkant av konferansen ble det også utarbeidet et «paper» der Du Bestemmer ble grundig beskrevet på engelsk.
Global Privacy Enforcement Network – GPEN
I tillegg til å delta i GPEN Privacy Sweep Day i mai har Datatilsynet bidratt økonomisk til å etablere tjenesten GPEN Alert. GPEN Alert er et multilateralt varslings- og kommunikasjonssystem som gjør det mulig for datatilsynsmyndigheter å dele informasjon på tvers av landegrenser. Vi har også vært med å teste dette systemet, som er utviklet og drivers av Federal Trade Commission (FTC) i USA.
Vi deltar jevnlig på de månedlige «GPEN conference calls» der tilsynsmyndigheter fra hele verden deler erfaringer fra arbeidet sitt.
Schengen Coordination Group (SCG)
Vi er fullverdig medlem av Schengen-koordinasjonsgruppen som møtes i EU-parlamentet i Brüssel. Vi har deltatt på to møter i 2015.
I tillegg deltok en ekspert fra Datatilsynet i tilsynsteamet som inspiserte Schengen informasjonssystem i Tyskland sommeren 2015. Vi planlegger også fremover å være med på kontroller av andre Schengen-land.
Eurodac og Visumsamarbeidet i Europa
Vi er fullverdig medlem av begge disse kontrollgruppene. De har som regel møter sammen, i og med at temaene for fingeravtrykk og visum i stor grad retter seg mot samme gruppe personer. Vi deltok på begge møtene som ble avholdt i 2015.
Samarbeid med de nordiske datatilsynsmyndighetene
Det nordiske datatilsynsmøtet ble arrangert i Helsinki i mai 2015. Hovedtemaet var ny forordning og hvordan de nordiske landene planlegger å implementere de nye reglene. Møtet ble fulgt opp av et nytt møte senere på høsten hvor vi utvekslet planer for arbeidet.
Det er i tillegg jevnlig kontakt med de nordiske datatilsynsmyndighetene i form av uformelle samtaler og på andre internasjonalen møter. Ny personvernforordning har vært et tema som vi stadig har utvekslet erfaringer om.
Internasjonal presentasjon av kommersialiseringsrapporten
Rapporten om kommersialisering av personopplysninger har blitt presentert for forskjellige internasjonale virksomheter. Vi har fått gode tilbakemeldinger på både denne rapporten og på den tidligere rapporten om Big Data. Vi mener vi har lykkes godt med de initiativ vi har tatt internasjonalt. Vi har blant annet fått muligheten til å presentere rapporten og temaet kommersialisering av personopplysninger på konferanser og internt i Artikkel 29-gruppen. Dette arbeidet vil fortsette i 2016.
Bistand til personvernmyndigheten i Makedonia
Det norske utenriksdepartementet ga i desember 2014 fortsatt finansiell støtte til Republikken Makedonia til utvikling av landets personvernmyndighet. Datatilsynets makedonske søsterorganisasjon arbeider nå med å ferdigstille sitt opprinnelige prosjekt, som hovedsakelig dreier seg om personvern i sosiale nettsamfunn og om utfordringer knyttet til bruk av skytjenester. I tillegg er prosjektmandatet blitt utvidet til også å utvikle et nærmere samarbeid mellom flere lands personvernmyndigheter på Vest-Balkan. Målet er å dra nytte av de positive erfaringene som er gjort i vårt samarbeidsprosjekt så langt. Ikke minst gjelder dette etableringen av en veiledningstjeneste for de som opplever seg krenket på internett, etter inspirasjon fra vår norske tjeneste slettmeg.no. Denne tjenesten vil lanseres i Makedonia i 2016.
Datatilsynets bidrag har i 2015 hovedsakelig bestått i å organisere et studiebesøk til Norge. I september tok vi mot en delegasjon på ti personer som, foruten Makedonia, representerte personvernmyndighetene i Bosnia Herzegovina, Albania, Serbia, Montenegro og Kosovo. Våre gjester besøkte da Norsk senter for informasjonssikring (NorSIS) på Gjøvik, som presenterte slettmeg.no. I tillegg orienterte vi fra vår side om våre erfaringer med nordisk samarbeide, undervisningsopplegget Du bestemmer og flere andre temaer.
Tilsyn som virkemiddel
Vi har også brukt tilsyn som virkemiddel internasjonalt ved å gjennomføre et nordisk tilsyn mot flyselskaper. Hensikten var først og fremst å kontrollere om personopplysningsloven blir fulgt, men en annen viktig grunn var å vinne erfaring om hvordan vi i samarbeid mellom flere land kan gjennomføre tilsyn. Det vil bli utarbeidet en mal for tilsyn der flere land deltar.
Kommunikasjon som virkemiddel
Datatilsynet har i tillegg til å delta i de fora som er nevnt over, også vært foredragsholder på flere internasjonale konferanse og møter. Dette har vært knyttet til rapporten Det store datakappløpet, og i 2015 har vi holdt foredrag om denne rapporten på en telekom-konferanse i Stockholm, en personvernkonferanse i Berlin og på det nordiske direktørmøtet i Helsinki. Den er også blitt presentert for EDPS og for den norske delegasjonen i Brussel.
Det har også vært kommunikasjonsarbeid knyttet til bl.a. publisering av uttalelser fra WP29, særlig knyttet til Safe Harbor-avgjørelsen.
2.3.5.2 Ressursbruk knyttet til denne hovedaktiviteten, og hvorvidt den har vært effektiv for å nå hovedmålet
Datatilsynet har brukt ca to årsverk på internasjonalt arbeid i 2015, inkludert arbeidet med å forberede implementeringen av EUs personvernforordning.
Datatilsynet har brukt mer ressurser på det internasjonale arbeidet i 2015 sammenlignet med tidligere år. Dette skyldes særlig at vi ønsker å vise større synlighet internasjonalt, for på den måten å få større gjennomslag i bl.a. WP29. Fortsettelsen av denne gruppen vil bli European Data Protection Board, og vil få en viktig funksjon i fortolkningen av det nye regelverket. Vi vil også trekke fram at vi har engasjert oss i nye undergrupper under WP29, har påtatt oss å arrangere møte i Berlin-gruppen og har blitt invitert til å holde foredrag på flere viktige konferanser. Dette kommer som en følge av at vi i flere år har jobbet målrettet med å utrede sentrale personvernspørsmål, som for eksempel Big Data – rapporten i 2013 og Det store datakappløpet i 2015. Dette har vært en vellykket strategi.
Vi har også hatt som mål å være en pådriver i det nordiske arbeidet. Det mener vi at vi har oppnådd, og har i meldingsåret tatt initiativ til bl.a. samarbeid om implementering av EU – forordningen, saker som gjelder «retten til å bli glemt» og felles nordisk tilsyn.
2.3.5.3 Samlet vurdering av resultatene innen denne hovedaktiviteten, herunder om den har vært effektiv for å nå hovedmålet
Vi mener vi gjennom vår innsats i 2015 har bidratt til å oppfylle hovedmålet om personvernbeskyttelse for alle i tråd med gjeldende regelverk.
2.3.6 En samlet vurdering av ressursbruk knyttet til de ulike hovedaktivitetene
Vi har forstått det slik at departementet er særlig interessert i våre vurderinger knyttet til ressursbruk og virkemidler knyttet til de ulike hovedaktivitetene. Vi har redegjort for dette under hver aktivitet, men vil her kort oppsummere endringer fra 2014 til 2015 hva angår ressursbruk og virkemiddelbruk, og hvordan vi ser på dette framover.
Den viktigste endringen er at vi har brukt mer ressurser på internasjonalt arbeid enn tidligere. Dette skyldes først og fremst den nye personvernforordningen, men også at vi ønsker mer synlighet internasjonalt. Slik kan vi få innflytelse i en personvernverden der vi påvirkes av beslutninger som ikke treffes i Norge. Vi vil fortsette denne satsingen og ytterligere øke ressursbruken på internasjonalt arbeid i 2016.
Den moderate nedgangen i ressursbruken på tilsyn skyldes dels en bevisst prioritering som det er redegjort for overfor, samt forhold utenfor vår kontroll, blant annet sykefravær. Vi har planer om å gjennomføre vesentlig flere tilsyn i 2016.
Virkemiddelbruken er vektet relativt likt i 2015 sammenlignet med 2014. Vi har merket oss en nedgang i antall mediehenvendelser, og har gitt vår vurdering av dette tidligere i rapporten. Vi har et mål om å øke antallet noe, men er mer opptatt av å komme ut med de riktige sakene i de riktig mediene, fremfor et stort antall oppslag. Samtidig vil vi bruke mye ressurser på kommunikasjonsaktiviteter i forbindelse med forordningsarbeidet, og her er det å søke oppmerksomhet gjennom mediene bare ett av flere virkemidler.
Avslutningsvis gjør vi oppmerksom på dette: Under hver hovedaktivitet har vi anslått ressursbruk. Legger vi sammen antall årsverk får vi et lang lavere tall enn samlet antall årsverk i Datatilsynet. Dette skyldes at mange aktiviteter ikke fanges opp av denne rapporteringen. Deler av saksbehandlingen (for eksempel konsesjoner, binding corporate rules og tillatelse til overføring til utlandet) faller ikke naturlig inn under noen av hovedaktivitetene. Dette samme gjelder blant annet administrative tjenester, kompetanseoppbygging, strategisk ledelse og fellesarrangementer.
2.4 Styring og kontroll i virksomheten
I arbeidet for et best mulig personvern i samfunnet, er våre ansatte og studenter Datatilsynets desidert viktigste ressurs. Med sin kompetanse, motivasjon og innsats arbeides det hver dag målrettet for best mulig personvern for alle borgere. Vi er derfor opptatt av at alle medarbeidere skal oppleve at de har interessante og meningsfulle arbeidsoppgaver, og at de får mulighet til faglig utvikling og kompetanseheving. Vi legger også til rette for et arbeidsmiljø som baserer seg på samarbeid og gjensidig tillit, og vi er opptatt av å utvikle en god tilbakemeldingskultur. Måten vi organiserer arbeidet på i det daglige, vår formelle styringsstruktur, har selvsagt også stor betydning for hvilke resultater vi oppnår.
Også i 2015 har vi hatt særlig oppmerksomhet på arbeidet med organisering og effektivisering, samt oppgradering av arbeidsverktøy. Slikt arbeid inngår i kontinuerlige prosesser og må nødvendigvis strekke seg over tid. En del IKT-arbeider og arbeid knyttet til effektivisering og oppgradering av arbeidsverktøy som ble startet i 2014 ble videreført i 2015, og mye avsluttes våren 2016.
Utgangspunktet for Datatilsynets virksomhetsplanlegging og prioritering er, i tillegg til tildelingsbrevet fra departementet, vår egen overordnede strategi, som i dagens versjon gjelder fram til og med 2016. I tillegg har vi utarbeidet strategier for delsektorer.
Med bakgrunn i disse styringsdokumentene, og risikovurderinger knyttet til ulike sektorer, utarbeider vi årlige virksomhetsplaner. I denne prosessen baserer vi oss også på analyser av henvendelser til veiledningstjenesten, og erfaringer fra tilsynsvirksomheten og saksbehandlingen. Vi tar selvsagt også med oss signaler fanget opp fra samarbeidspartnere og andre aktører innen de aktuelle områdene.
Vi vurderer dessuten om dette er riktig periode å prioritere de ulike sektorene for å få best utbytte av arbeidet vårt. For eksempel er det viktig å være tilstede når det er endringer på gang i en sektor. Slik vil vi noen år prioritere opp sektorer vi ikke har hatt interaksjon med de siste årene, samtidig som aktiviteten reduseres i andre sektorer.
Planleggingen påvirkes naturlig nok av interne og administrative forhold, slik som hvilke budsjett- og bemanningsmessige ressurser vi forventer å disponere innen den aktuelle planleggingshorisonten. Vi vurderer også behovet for effektivisering av arbeidsprosesser, medarbeiderutvikling, oppgradering av IKT-støttesystemer og intern teknisk sikkerhetsarkitektur.
I den grad tiltak innen virksomhetsplanen har direkte budsjettmessige konsekvenser, blir dette tatt med i de samlede prioriteringene. Arbeidet med virksomhetsplanen knyttes slik tett opp til vårt budsjettarbeid.
2.4.1 Datatilsynets risikostyring
Datatilsynet benytter risikovurderinger på flere områder, blant annet for å sikre helhetlig måloppnåelse, innen økonomi og informasjonssikkerhet. For 2015 ble strukturen i vår risikovurdering for måloppnåelse bedret ved at disse vurderingene ble samlet i ett dokument. Høsten 2015 ble det startet en ny revisjon på grunn av nye styringsparametere fra departementet.
Sektorvalg innen tilsynsvirksomheten er basert på en vurdering av risiko for personvernet per sektor.
For informasjonssikkerhet har vi i 2015 bedret en metodikken for gjennomføring av risikovurderinger for nye systemer, og lagt til rette for at systemeiere tar ansvar for gjennomføringen, fremfor sikkerhetsansvarlig.
Risikodokumentene oversendes sammen med årsrapporten.
2.4.2 Status internkontroll, herunder iverksatte tiltak
Datatilsynet arbeider med internkontroll for å sikre at krav til virksomheten følges opp. Som tidligere år er Datatilsynet i en prosess med store endringer i IKT-systemene. I forbindelse med omorganiseringsprosessen høsten 2014 definerte vi oppgaver og ansvar i organisasjonen på en god måte. I 2015 har vi arbeidet med å utbedre øvrige rutiner, både generelle revisjoner og tilpasninger til ny organisering.
Datatilsynet lanserte i første kvartal 2015 en ny versjon av vår internkontroll for etterlevelse av personopplysningsloven. Videre har vi videreutviklet IKT-driftsdokumentasjonen. Vi har også utviklet et nytt styringssystem for bedre oppfølging av økonomirutiner, IKT og sikkerhet, planprosesser, personal og andre rutiner.
Høsten 2015 gjennomførte vi en intern sikkerhets- og beredskapsdag. Dette ga oss bedre bevissthet i organisasjonen for sikkerhetsarbeid i en bred kontekst (HMS, Datatilsynets evne til å løse sine oppgaver og informasjonssikkerhet), og grunnlag for å videreutvikle våre rutiner. Dette er planlagt gjentatt i 2016.
2.4.3 Bemannings-, kapasitets- og kompetansesituasjonen i virksomheten, herunder forhold, likestilling, HMS/arbeidsmiljø, diskriminering, ytre miljø og lignende.
2.4.3.1 Inkluderende arbeidsliv og HMS/arbeidsmiljø
Datatilsynet er omfattet av avtalen om inkluderende arbeidsliv, og har spesiell oppmerksomhet på forebygging og oppfølging av sykefravær. Sykefraværet i 2015 var totalt 8,04 prosent mot 2,66 prosent i 2014. Dette er en vesentlig økning fra tidligere år, men fraværet er i hovedsak relatert til enkelte langtidssykmeldinger og sykdom knyttet til svangerskap. Sykefraværet forventes å gå tilbake til et for oss normalt nivå i 2016. Sykefravær følges tett opp og det er lagt betydelig vekt på tilrettelegging, slik at det er mulig å komme raskt tilbake til arbeid etter sykdom. I 2015 har Datatilsynet i samarbeid med bedriftshelsetjenesten gjennomført arbeidshelsekontroller for å forebygge sykefraværet. Det tilbys dessuten trening i treningssenter. Det ble også arrangert et kurs i bruk av hjertestarter i 2015.
Som arbeidsgiver har Datatilsynet plikt til å innkalle minst en kvalifisert funksjons- eller yrkeshemmet søker til ansettelsesintervju. I løpet av 2015 har ikke Datatilsynet hatt søkere som har oppgitt nedsatt funksjonsevne til noen stillinger.
Lære- og praksisplasser
Med utgangspunkt i samfunnskontrakten for 2013–2015, skal statsforvaltningen øke antallet lærlinger. Datatilsynet vurderer fortløpende henvendelser om å ta inn lærlinger eller opprette praksisplasser, og vi vurderer da også om vi har kapasitet til å følge opp vedkommende tilstrekkelig.
I 2015 har vi hatt en praksisplass knyttet til IKT. Vi arbeider med å få etablert en lærlingeplass som en videreføring av dette arbeidet. En medarbeider som hadde praksisplass innen IKT i 2014 ble tilbudt et vikariat i 2015.
Vi har også inngått en arbeidsavtale med Fontenehuset om overgangsarbeid for en medarbeider i seks måneder.
Datatilsynet har også hatt to studentarbeidsplasser i 2015. Arbeidsoppgavene til studentene har vært knyttet til veiledningstjenesten, der de særlig har jobbet med å besvare e-post og å produsere utkast til veiledende svar i enklere saker. Vi mener at studentene har fått en god praktisk erfaring i personvernjuridisk arbeid, noe som er vanskelig å få andre steder enn i Datatilsynet.
2.4.3.2 Fremme likestilling og hindre diskriminering
I Datatilsynet har vi som målsetting å fremme likestilling og hindre diskriminering. Det gjør vi ved å ha god kunnskap om lovverket som sikrer et vern mot diskriminering i arbeidslivet og etterlevelse av lovverket i praksis. Særlig gjelder dette bestemmelser i likestillingsloven, diskrimineringsloven, diskriminerings- og tilgjengelighetsloven og arbeidsmiljøloven.
Likestillingsrapport
Datatilsynet har i 2015 hatt 43 tilsatte. Av disse er 23 kvinner og 20 menn. Tre menn og to kvinner har sluttet i løpet av året. To menn og en kvinne er blitt tilsatt. Ledergruppen, som har vært uendret i flere år, består av fire menn og en kvinne. Våre fire faggrupper ledes av to menn og to kvinner.
Likestillingsrapport er vedlagt som egen tabell.
Rekruttering
Datatilsynet har som mål å ha et mangfoldig og endringsdyktig arbeidsmiljø. Vi ansetter de best kvalifiserte søkere uavhengig av kjønn, etnisitet, religion, funksjonsevne, seksuell orientering eller alder. Dette fremgår også av våre stillingsannonser.
Underrepresenterte grupper (mindre enn 40 prosent) oppfordres til å søke og kvalifiserte søkere fra underrepresenterte grupper kalles inn til intervju.
I Datatilsynet registreres ikke andel ansatte med etnisk minoritetsbakgrunn eller nedsatt funksjonsevne for å måle resultat av satsing på mangfoldsrekruttering.
Tilrettelegging for ansatte med nedsatt funksjonsevne
Datatilsynet vurderer
fleksibel arbeidstid ved behov – graviditet, foreldrefravær og andre omsorgsoppgaver
tilpassede arbeidsoppgaver ved behov – sykdom, rehabilitering
hjelpemidler ved behov.
2.4.3.3 Kompetanseutvikling
Datatilsynet har som målsetting å ha motiverte medarbeidere med høy kompetanse. Vi forsøker å oppnå dette ved å være tidsriktig organisert, gi medarbeiderne interessante og varierte arbeidsoppgaver, faglig påfyll, ha et godt arbeidsmiljø og legge til rette for utvikling.
2.4.4 Prosjekter og igangsatte tiltak knyttet til Datatilsynets systemer
Vi gjennomførte i 2013 en anskaffelse av ny sikkerhetsarkitektur. Formålet var blant annet å modernisere informasjonssystemet vårt, legge til rette for mer effektive arbeidsprosesser (spesielt ved bruk av web og e-post), bedre fjernarbeidsløsning og ivareta et høyt sikkerhetsnivå. Selskapet Itera ble høsten 2013 valgt som leverandør. Løsningen er i det vesentlige levert, med unntak av en viktig del som har hindret oss i nå våre planlagte digitaliseringstiltak i 2015.
Utfordringen er ny sikkerhetsfunksjonalitet som skal forenkle kommunikasjonen mellom et arkivsystem med tilfredsstillende informasjonssikkerhet, og eksterne kommunikasjonskanaler som e-post, Web, Sikker Digital Postboks og AltInn. Å få denne delen av sikkerhetsløsningen på plass er en forutsetning for å gjennomføre videre digitaliseringstiltak, herunder knytningen mot AltInn og Sikker Digital Postboks som utkanaler fra Datatilsynet. Vi har derfor ikke hatt anledning til å gjennomføre deler av de tiltakene som vi fikk midler til gjennom RNB 2015, og vi viser til dialog om overføring av midler på grunn av disse forsinkelsene. Dette medfører også at vi vil få et avvik fra å møte kravet om å ta i bruk Sikker Digital Postboks i løpet av første kvartal 2016. Vi er på rapporteringstidspunktet i en dialog med leverandøren vår om deres leveringsevne.
I desember 2015 gjennomførte vi en større oppgradering av arkivsystemet vårt, inklusive et arkivskille. Dette var en viktig tilrettelegging for digital kommunikasjon og vi har nå et offisielt elektronisk arkiv.
2.4.5 Jakten på tidstyver
I referat fra etatstyringsmøte nummer to i 2015 ba departementet om en særlig redegjørelse for effekten av tidstyvarbeidet.
Vi jobber aktivt for å bekjempe tidstyver internt, eller sagt med andre ord; jobbe mer effektiv. I tillegg har vi fremmet forslag overfor andre instanser, som særlig vil fjerne tidstyver Datatilsynet påfører andre.
Interne tidstyver
Når det gjelder tidstyver vi selv har kontroll på har vi endret fortolkningen av regelverket, og vi stiller ikke lenger krav om konsesjon for bokartlegging, fra private virksomheter som driver helseundersøkelser og registre over bivirkninger av legemidler.
Eksterne tidstyver
Etter etatstyringsmøte nummer to i 2015 fikk vi et oppdrag av departementet om å utarbeide forslag til forskriftsendringer som opphevet meldeplikten for en lang rekke behandlinger. Forslag til høringsbrev vil bli sendt departementet tidlig i 2016. Dette vi lette byrde ved å sende inn anslagsvis fem tusen meldinger om behandling av personopplysninger hvert år.
Retting og sletting av journal
Datatilsynet skal etter gjeldende regelverk bli forelagt saker fra Fylkesmannen som gjelder retting og sletting av journal. Dette er til dels tidkrevende saker. Dessuten er vi av den oppfatning at vi i liten grad har noe å tilføre saksbehandlingen. Vi har derfor flere ganger fremmet forslag overfor Helse- og omsorgsdepartementet om at vi ikke lenger ser behov for å bli forelagt slike saker. Vi ser nå med glede at Helse- og omsorgsdepartementet har sendt forslag om å oppheve bestemmelsen. Vi (og Fylkesmannsembetene) behandlet 38 slike saker i 2015. Det er derfor ikke uvesentlig besparelse både hos oss og Fylkesmannen når lovendringen trer i kraft.
2.4.6 Evalueringer
Høsten 2015 ble også den gjennomførte omorganiseringen av Datatilsynet evaluert av ekstern organisasjonskonsulent.
Evalueringsprosessen ble utformet for å oppsummere erfaringer så langt, og med fokus på læring og utvikling. Utgangspunktet var ledelsens kommuniserte mål og forventninger om ønskede effekter av organisasjonsendringen i september 2014. I tillegg var det naturlig å fange opp en rekke synspunkter på organisasjonens generelle utfordringer og hvordan de gripes an, som ikke bare har å gjøre med hvordan virksomheten er organisert. Evalueringen ble gjennomført med en intervjudel og deretter et spørreskjema til samtlige ansatte.
Evalueringen viser at omorganiseringen var riktig. Det meste fungerer veldig bra, men vi har også områder hvor vi kan ta læring og bli bedre. På området arbeidsmiljø og trivsel fikk vi svært gode tilbakemeldinger. Omorganiseringen er fremdeles «fersk» og det er for tidlig å se alle gevinster og effekter.
2.5 Vurdering av framtidsutsikter
Internasjonalt
I desember 2015 ble det politisk enighet om et nytt personverndirektiv i EU. Etter vår vurdering er det et godt regelverk som vil pålegge virksomhetene nye plikter, gi borgerne nye rettigheter og tilsynsmyndighetene nye virkemidler. Særlig viktig er at virksomhetene nå er forpliktet til å ta hensyn til innebygd personvern, de må i en del tilfeller drøfte utviklingsprosjekter på forhånd med Datatilsynet, og flere virksomheter må opprette personvernombud.
Den nye forordningen vil naturligvis være en høyt prioritert oppgave for oss de neste to årene, og vi anslår at vi vil bruke til sammen ti årsverk fordelt på to år på dette arbeidet. Budsjettet vårt ble vesentlig styrket i 2016. Dette gjør at vi er trygge på at implementeringsarbeidet vil komme i mål og at Datatilsynet er godt forberedt når det nye regelverket trer i kraft.
Vi er mer bekymret for norske virksomheter og offentlige etater. Som nevnt tidligere er vårt hovedinntrykk at kjennskapen til regelverket er relativt dårlig. Det er grunn til å frykte at den ikke vil bli bedre med nytt regelverk. Likevel er det grunn til en viss optimisme. Vi opplever svært stor interesse for personvern generelt, og den nye lovverket spesielt. Bare det siste halvåret har vi holdt et titalls foredrag om forordningen. Advokatfirma, foreninger, organisasjoner og bedrifter arrangerer seminarer og kurs for sine kunder/medlemmer, og vil være en viktig kilde til informasjon om det nye regelverket. Datatilsynet vil prioritere å stille opp på slike seanser.
En usikkerhetsfaktor er hvor mange saker som skal inn for det såkalte European Data Protection Board (EDPB), og hvilken innflytelse Datatilsynet får her. Dette organet vil ha en viktig funksjon, blant annet ved å påse at praksis i de ulike landene er lik, utarbeide retningslinjer og lignende. Det er derfor viktig at vi får en rolle der vi faktisk har innflytelse. I tillegg er det en viss fare for at EDPB ikke bemannes i tilstrekkelig grad, slik at sakene som skal inn for organer vil forsinke saksbehandlingen vesentlig.
Nasjonalt
Men selv med en ny EU-forordning vil de fleste sakene vi behandler fortsatt være av ren nasjonal karakter. Vi opplever å ha god dialog med og gode relasjoner til både virksomheter og offentlige etater. Likevel utfordres personvernet betydelig på en rekke områder.
I justissektoren opplever vi for eksempel at grensene for økt overvåkingstrykk flyttes gradvis. Det har ikke vært noen samlet gjennomgang av personvernets kår på justissektoren, og Datatilsynet har derfor foreslått at det opprettes en personvernkommisjon på denne sektoren. I tillegg er vi opptatt av at det ved alle inngripende tiltak må foretas en grundig personvernutredning, og at forholdet til Den europeiske menneskerettskonvensjonen (EMK) også må vurderes.
Vi er opptatt av å fremme prinsippene for innebygd personvern. I offentlig sektor forutsetter dette at vi får delta i de fora der det treffes viktige beslutninger om digitalisering, og at det legges inn som en føring i sentrale dokumenter at prinsippene skal følges. Det er beklagelig at innebygd personvern ikke er nevnt overhodet i digitaliseringsrundskrivet. Vi mener også at Datatilsynet burde hatt en naturlig plass i samarbeidsorganet SKATE. Dette blir ikke mindre viktig når forordningen trer i kraft, og det blir et krav i lovverket at man skal følge disse viktige prinsippene.
Regelverksetterlevelsen i offentlig sektor gir også grunn for bekymring. De siste årene har vi gjennomført flere titalls kontroller i kommuner og ved skoler, og vi har avdekket til dels store mangler, særlig når det gjelder internkontroll og informasjonssikkerhet. Vår strategi har vært, ved hjelp av tilsyn, å synliggjøre utfordringene i sektoren, for så å få sektoren til selv å ta ansvar. På skolesektoren har dette lyktes ved at Senter for IKT i Utdanningen har fått i oppdrag å utarbeide en norm for personvern og informasjonssikkerhet. I kommunesektoren generelt håper vi å få kommunenes interesseorganisasjon (KS) til å være en pådriver for bedre etterlevelse av regelverket. Vi vil følge utviklingen tett, og bidra konstruktivt inn i de prosessene som settes i gang.
Den teknologiske utviklingen går svært raskt og utfordrer personvernet, men den gir også nye muligheter. I meldingsåret la vi fram rapporten «Det store Datakappløpet – om kommersiell bruk av personopplysninger». Vi er det første datatilsynet i verden som analyserer markedet for automatisert annonsesalg på en så grundig måte, og har store ambisjoner om å snu en utvikling som har gått i feil retning lenge. Målet er å tvinge fram mer åpenhet, bedre valgfrihet og sporingsfri løsninger. Vi er avhengige av god kompetanse, samarbeid med andre myndigheter og ikke minst stabile ressurser for å kunne gå inn i et slikt marked. Det er krevende, men har tro på at vi skal lykkes.
Oppsummert er vi av den oppfatning at Datatilsynet er godt rustet til å møte framtidens utfordringer. Vi har dyktige og dedikerte medarbeidere, en tilfredsstillende ressurssituasjon, høy troverdighet og vi oppfattes som en konstruktiv samtale- og samarbeidspartner. Vi vil lykkes med implementering av den nye forordningen, og vi er sikre på at vi med et nytt regelverk vil være enda bedre rustet til å møte utfordringene som møter oss i årene som kommer.
2.6 Årsregnskap
Selve regnskapet følger med som eget vedlegg.
2.6.1 Ledelseskommentarer
Datatilsynet har fra 2015 gått over til nettoføringsordningen.
Ordningen er slik at virksomheten skal bokføre merverdiavgiften på en egen artskonto og Datatilsynet gis fullmakt til å belaste merverdiavgiften på Finansdepartementets kapittel 1633.
Bevilgning
Datatilsynet fikk 37 262 000 kroner til disposisjon i budsjettproposisjonen 2015. I tillegg ble 684 000 kroner overført fra 2014. Datatilsynet ble også tildelt 2 830 000 kroner i revidert nasjonalbudsjett (RNB). Datatilsynet fikk også 183 000 kroner som kompensasjon for økte utgifter som fulgte av det sentrale lønnsoppgjøret i mai 2015. Når overføringene fra 2014 og tilleggsbevilgninger var lagt til, hadde vi totalt 40 959 000 kroner til disposisjon i 2015.
Overgang til nettoføringsordningen og beregning av moms for 2015 hadde som konsekvens for Datatilsynet at vi i 2015 fikk en større reduksjonen i bevilgning enn forutsatt. Det ble imidlertid gitt kompensasjon for reduksjonen i RNB. Datatilsynet fikk i RNB også midler til videreføring av arbeider knyttet til IKT-utvikling.
Mellomværende med statskassen utgjorde 1 219 633 kroner pr 31.12.2015. Dette er skyldig skattetrekk på 1 220 631 kroner og offentlige avgifter på 998 kroner.
Samlet har Datatilsynet på kapittel 054501 hatt et mindre forbruk på 1 855 000 kroner som søkes overført til 2016. Midlene skal benyttes til fullføring av IKT-sikkerhetsarkitektur, digitaliseringstiltak og vedlikeholdsarbeid.
Statens konsernkontoordning
Datatilsynet omfattes av statens konsernkontoordning. Bankinnskudd og utbetalinger gjøres opp daglig mot oppgjørskontoer i Norges Bank. Datatilsynet tilfører slik ikke likvider gjennom året, men har trekkrettighet på vår konsernkonto.
Fullserviceavtale med DFØ
Datatilsynet har en fullserviceavtale for regnskapstjenester med Direktoratet for Økonomistyring (DFØ). Dette innebærer at DFØ utfører det meste av aktivitetene som er knyttet til økonomisystemet på vegne av Datatilsynet.
Avtale med Statens innkrevingssentral
Datatilsynet har en avtale med Statens innkrevingssentral om at de innkrever tvangsmulkt og overtredelsesgebyr på vegne av Datatilsynet. Gebyrer inngår ikke som driftsinntekt men føres på kapittel 3545 i statsregnskapet. I 2015 beløper dette seg til 792 139 kroner.
Vurdering
Årsregnskapet er avlagt i henhold til bestemmelser om økonomistyring i staten, rundskriv R 115 fra Finansdepartementet og krav fra overordnet departement. Årsregnskapet gir etter min vurdering et dekkende bilde av Datatilsynets økonomiske situasjon, disponible bevilgninger og regnskapsførte utgifter og eiendeler.
Riksrevisjonen er utnevnt til ekstern revisor for Datatilsynet. Årsregnskapet er p d.d. ikke revidert. Revisjonsberetningen for årsregnskapet offentliggjøres på Datatilsynets hjemmeside når Stortinget har mottatt Dokument 1 fra Riksrevisjonen og revisjonsberetningen ikke lenger har status utsatt offentlighet.
Oslo, 25. februar 2016
Bjørn Erik Thon
Direktør
2.6.2 Prinsippnote for årsregnskapet
Årsregnskap for Datatilsynet er utarbeidet og avlagt etter nærmere retningslinjer fastsatt i bestemmelser om økonomistyring i staten («bestemmelsene»), fastsatt 12. desember 2003 med endringer, senest 18. september 2013. Årsregnskapet er i henhold til krav i bestemmelsene pkt 3.4.1, nærmere bestemmelser i Finansdepartementets rundskriv R-115 og eventuelle tilleggskrav fastsatt av eget departement.
Oppstillingen av bevilgningsrapporteringen omfatter en øvre del med bevilgningsrapporteringen og en nedre del som viser beholdninger virksomheten står oppført med i kapitalregnskapet. Oppstillingen av artskontorapporteringen har en øvre del som viser hva som er rapportert til statsregnskapet etter standard kontoplan for statlige virksomheter og en nedre del som viser grupper av kontoer som inngår i mellomværende med statskassen.
Oppstillingen av bevilgningsrapporteringen og artskontorapporteringen er utarbeidet med utgangspunkt i bestemmelsene punkt 3.4.2 – de grunnleggende prinsippene for årsregnskapet:
a) Regnskapet følger kalenderåret
b) Regnskapet inneholder alle rapporterte utgifter og inntekter for regnskapsåret
c) Utgifter og inntekter er ført i regnskapet med brutto beløp
d) Regnskapet er utarbeidet i tråd med kontantprinsippet
Oppstillingene av bevilgnings- og artskontorapportering er utarbeidet etter de samme prinsippene, men gruppert etter ulike kontoplaner. Prinsippene korresponderer med krav i bestemmelsene punkt 3.5 til hvordan virksomhetene skal rapportere til statsregnskapet. Sumlinjen «Netto rapportert til bevilgningsregnskapet» er lik i begge oppstillingene.
Alle statlige virksomheter er tilknyttet statens konsernkontoordning i Norges Bank i henhold til krav i bestemmelsene pkt 3.8.1. Ordinære forvaltningsorgan (bruttobudsjetterte virksomheter) tilføres ikke likviditet gjennom året. Ved årets slutt nullstilles saldoen på den enkelte oppgjørskonto ved overgang til nytt år.
Bevilgningsrapporten
Bevilgningsrapporten viser regnskapstall som Datatilsynet har rapportert til statsregnskapet. Det stilles opp etter de kapitler og poster i bevilgningsregnskapet som Datatilsynet har fullmakt til å disponere. Oppstillingen viser alle finansielle eiendeler og forpliktelser Datatilsynet står oppført med i statens kapitalregnskap. Kolonnen samlet tildeling viser hva virksomheten har fått stilt til disposisjon i tildelingsbrev for hver kombinasjon av kapittel/post.
Mottatte fullmakter til å belaste en annen virksomhets kombinasjon av kapittel/post (belastningsfullmakter) vises ikke i kolonnen for samlet tildeling, men er omtalt i note B til bevilgningsoppstillingen. Utgifter knyttet til mottatte belastningsfullmakter er bokført og rapportert til statsregnskapet, og vises i kolonnen for regnskap.
Artskontorapporteringen
Artskontorapporteringen viser regnskapstall virksomheten har rapportert til statsregnskapet etter standard kontoplan for statlige virksomheter. Virksomheten har en trekkrettighet for disponible tildelinger på konsernkonto i Norges Bank. Tildelingene skal ikke inntektsføres og vises derfor ikke som inntekt i oppstillingen.
Note 5 til artskontorapporteringen viser forskjell mellom avregning med statskassen og mellomværende med statskassen.
2.7 Vedlegg
Oppstilling av bevilgningsrapportering 31.12.2015
Utgifts-kapittel | Kapittelnavn | Post | Posttekst | Note | Samlet tildeling | Regnskap 2015 | Merutgift (-) og mindreutgift |
---|---|---|---|---|---|---|---|
0545 | Datatilsynet | 01 | Driftsutgifter | A, B | 40 959 000 | 39 103 977 | 1 855 023 |
1633 | Nettoordning for mva i staten | 01 | Driftsutgifter | B | 1 332 753 | ||
Sum utgiftsført | 40 959 000 | 40 436 730 |
Inntekts-kapittel | Kapittelnavn | Post | Posttekst | Samlet tildeling | Regnskap 2015 | Merinntekt og mindreinntekt (-) |
---|---|---|---|---|---|---|
5309 | Tilfeldige inntekter | 29 | Ymse | 57 243 | ||
5700 | Arbeidsgiveravgift | 72 | Arbeidsgiveravgift | 3 503 069 | ||
Sum inntektsført | 0 | 3 560 312 |
Netto rapportert til bevilgningsregnskapet | 36 876 418 | ||
Kapitalkontoer | |||
60065401 | Norges Bank KK /innbetalinger | 2 247 962 | |
60065402 | Norges Bank KK/utbetalinger | -39 128 915 | |
715003 | Endring i mellomværende med statskassen | 4 535 | |
Sum rapportert | 0 |
Beholdninger rapportert til kapitalregnskapet (31.12) | ||||
---|---|---|---|---|
Konto | Tekst | 2015 | 2014 | Endring |
6260 | Aksjer | 0 | 0 | 0 |
715003 | Mellomværende med statskassen | -1 219 633 | -1 224 168 | 4 535 |
Note A – Forklaring av samlet tildeling utgifter
Kapittel og post | Overført fra i fjor | Årets tildelinger | RNB | Lønns- kompensasjon | Samlet tildeling |
---|---|---|---|---|---|
054501 | 684 000 | 37 262 000 | 2 830 000 | 183 000 | 40 959 000 |
Note B – Forklaring til brukte fullmakter og beregning av mulig overførbart beløp til neste år
Kapittel og post | Stikkord | Merutgift (-)/mindreutgift | Utgiftsført av andre i hht avgitte belastnings-fullmakter | Merutgift (-)/mindreutgift etter avgitte belastnings-fullmakter |
---|---|---|---|---|
054501 | «kan overføres» | 1 855 023 | 1 855 023 | |
163301 | 0 |
(Tabellen fortsetter under)
Merinntekter/ mindreinntekter iht merinntekts-fullmakt | Omdisponering fra post 01 til 45 eller til post 01/21 fra neste års bevilgning | Innsparinger | Sum grunnlag for overføring | Maks. overførbart beløp | Mulig overførbart beløp beregnet av virksomheten |
---|---|---|---|---|---|
Ikke aktuell | 1 855 023 | 2 047 950 | 1 855 023 | ||
Ikke aktuell | Ikke aktuell | Ikke aktuell |
Mulig overførbart beløp
Datatilsynets ubrukte bevilgning på kapittel/post 054501 beløper seg til kroner 1 855 023. Da dette beløpet er under grensen på 5 prosent, regnes hele beløpet som overføring til neste budsjettår. Overføring til neste år er en beregning, og Datatilsynet får tilbakemelding fra KMD om endelig beløp som overføres til neste år.
Belastningsfullmakt
Datatilsynet omfattes av nettoføringsordningen i staten, og har fullmakt til å rapportere betalt merverdiavgift på Finansdepartementets kapitel/post 163301. Rapportert beløp medfører ingen overføring eller overskridelse av rammer.
Oppstilling av artskontorapporteringen
Note | 2015 | 2014 | |||
---|---|---|---|---|---|
Driftsinntekter rapportert til bevilgningsregnskapet | |||||
Innbetalinger fra gebyrer | 0 | 0 | |||
Innbetalinger fra tilskudd og overføringer | 0 | 0 | |||
Salgs- og leieinnbetalinger | 0 | 0 | |||
Andre innbetalinger | 0 | 0 | |||
Sum innbetalinger fra drift | 0 | 0 | |||
Utgifter rapportert til bevilgningsregnskapet | |||||
Utbetalinger til lønn | 1 | 28 862 875 | 28 463 676 | ||
Andre utbetalinger til drift | 2 | 9 563 537 | 11 120 931 | ||
Sum utbetalinger til drift | 38 426 412 | 39 584 607 | |||
Netto rapporterte driftsutgifter | 38 426 412 | 39 584 607 | |||
Investerings- og finansinntekter rapportert til bevilgningsregnskapet | |||||
Innbetaling av finansinntekter | 0 | 0 | |||
Sum investerings- og finansinntekter | 0 | 0 | |||
Investering- og finansutgifter rapportert til bevilgningsregnskapet | |||||
Utbetaling til investeringer | 4 | 677 137 | 256 226 | ||
Utbetaling av finansutgifter | 3 | 428 | 1 063 | ||
Sum investerings- og finansutgifter | 677 565 | 257 289 | |||
Netto rapporterte investerings- og finansutgifter | 677 565 | 257 289 | |||
Innkrevingsvirksomhet og andre overføringer til staten | |||||
Innbetaling av skatter, avgifter, gebyrer m.m | 0 | 0 | |||
Sum innkrevingsvirksomhet og andre overføringer til staten | 0 | 0 | |||
Tilskuddsforvaltning og andre overføringer fra staten | |||||
Utbetalinger av tilskudd og stønader | 0 | 0 | |||
Sum tilskuddsforvaltning og andre overføringer fra staten | 0 | 0 | |||
Inntekter og utgifter rapportert på felleskapitler | |||||
Gruppelivsforsikring konto 1985 (ref.kap. 5309, inntekt) | 57 243 | 54 083 | |||
Arbeidsgiveravgift konto 1986 (ref. kap. 5700, inntekt) | 3 503 069 | 3 473 649 | |||
Nettoføringsordning for merverdiavgift konto 1987 (ref. kap. 1633, utgift) | -1 332 753 | 0 | |||
Sum inntekter og utgifter rapportert på felleskapitler | 2 227 559 | 3 527 731 | |||
Netto rapportert til bevilgningsregnskapet | 36 876 418 | 36 314 165 | |||
Oversikt over mellomværende med statskassen | |||||
Eiendeler og gjeld | |||||
Fordringer | 0 | 50 800 | |||
Skyldig skattetrekk | -1 220 631 | -1 270 483 | |||
Skyldig offentlige avgifter | 998 | 0 | |||
Annen gjeld | 0 | -4 485 | |||
Sum mellomværende med statskassen | 5 | -1 219 633 | -1 224 168 |
Note 1 – Utbetalinger til lønn
2015 | 2014 | |
---|---|---|
Lønn | 26 781 574 | 25 590 236 |
Arbeidsgiveravgift | 3 503 069 | 3 473 649 |
Sykepenger og andre refusjoner | -2 240 645 | -1 441 690 |
Andre ytelser | 818 877 | 841 481 |
Sum utbetalinger til lønn | 28 862 875 | 28 463 676 |
Antall årsverk: | 43 | 41 |
Note 2 – Andre utbetalinger til drift
2015 | 2014 | |
---|---|---|
Husleie | 3 594 674 | 3 321 877 |
Vedlikehold og ombygging av leide lokaler | 5 026 | 57 705 |
Andre utgifter til drift av eiendom og lokaler | 513 277 | 732 080 |
Reparasjon og vedlikehold av maskiner, utstyr mv. | 94 506 | 79 605 |
Mindre utstyrsanskaffelser | 92 191 | 399 448 |
Leie av maskiner, inventar og lignende | 1 268 344 | 1 359 393 |
Kjøp av fremmede tjenester | 2 195 234 | 2 498 454 |
Reiser og diett | 715 521 | 880 958 |
Øvrige driftsutgifter | 1 084 765 | 1 791 411 |
Sum andre utbetalinger til drift | 9 563 537 | 11 120 931 |
Note 3 – Finansinntekter og finansutgifter
31.12.2015 | 31.12.2014 | ||
---|---|---|---|
Innbetaling av finansinntekter | |||
Renteinntekter | 0 | 0 | |
Sum innbetaling av finansinntekter | 0 | 0 | |
Utbetaling av finansutgifter | |||
Renteutgifter | 428 | 1 063 | |
Sum utbetaling av finansutgifter | 428 | 1 063 |
Note 4 – Utbetaling til investeringer og kjøp av aksjer
31.12.2015 | 31.12.2014 | ||
---|---|---|---|
Utbetaling til investeringer | |||
Immaterielle eiendeler og lignende | 292 262 | 128 621 | |
Driftsløsøre, inventar, verktøy og lignende | 384 875 | 127 605 | |
Sum utbetalt til investeringer | 677 137 | 256 226 |
Note 5 – Sammenheng mellom avregning med statskassen og mellomværende med statskassen
Del A Forskjellen mellom avregning med statskassen og mellomværende med statskassen
31.12.2015 Spesifisering av bokført avregning med statskassen | 31.12.2014 Spesifisering av rapportert mellomværende med statskassen | Forskjell | ||
---|---|---|---|---|
Finansielle anleggsmidler | ||||
Investeringer i aksjer og andeler | 0 | 0 | 0 | |
Obligasjoner | 0 | 0 | 0 | |
Sum | 0 | 0 | 0 | |
Omløpsmidler | ||||
Kundefordringer | 0 | 0 | 0 | |
Andre fordringer | 0 | 0 | 0 | |
Bankinnskudd, kontanter og lignende | 0 | 0 | 0 | |
Sum | 0 | 0 | 0 | |
Langsiktig gjeld | ||||
Annen langsiktig gjeld | 0 | 0 | 0 | |
Sum | 0 | 0 | 0 | |
Kortsiktig gjeld | ||||
Leverandørgjeld | - 438 914 | 0 | - 438 914 | |
Skyldig skattetrekk | - 1 220 631 | - 1 220 631 | 0 | |
Skyldige offentlige avgifter | 998 | 998 | 0 | |
Annen kortsiktig gjeld | 0 | 0 | 0 | |
Sum | - 1 658 547 | - 1 219 633 | - 438 914 | |
Sum | - 1 658 547 | - 1 219 633 | - 438 914 |
Likestillingsrapportering
År | Kjønnsbalanse | Lønn | Deltid | Midlertidig ansettelse | Foreldre- Permisjon1 | Legemeldt sykefravær | ||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
M % | K % | Total | M kr % | K kr % | M % | K % | M % | K % | M % | K % | M % | K % | ||
Totalt i virksomheten | 2015 | 45,65 | 54,35 | 46,00 | 100,00 | 88,17 | 4,76 | 4,00 | 6,76 | 4,00 | 30,00 | 70,00 | 0,03 | 0,55 |
2014 | 46,34 | 53,66 | 41,00 | 100,00 | 81,45 | 4,76 | 5,00 | 0,00 | 0,00 | 9,23 | 90,77 | 0,03 | 0,62 | |
Topp-ledelse direktør/ avdelingsdirektør | 2015 | 80,00 | 20,00 | 5,00 | 100,00 | 93,31 | 0,00 | 0,00 | 0,00 | 0,00 | 0,00 | 0,00 | ||
2014 | 80,00 | 20,00 | 5,00 | 100,00 | 96,01 | 0,00 | 0,00 | 0,00 | 0,00 | 0,00 | 0,00 | |||
Kategori 1, ingeniører | 2015 | 83,33 | 16,67 | 6,00 | 100,00 | 112,60 | 0,00 | 0,00 | 0,00 | 0,00 | 2,17 | 0,00 | ||
2014 | 75,00 | 25,00 | 4,00 | 100,00 | 99,07 | 0,00 | 0,00 | 0,00 | 0,00 | 0,00 | 0,00 | |||
Kategori 2, seniorrådgivere | 2015 | 39,13 | 60,87 | 23,00 | 100,00 | 96,88 | 0,00 | 0,00 | 0,00 | 0,00 | 4,35 | 4,35 | ||
2014 | 37,50 | 62,50 | 16,00 | 100,00 | 84,09 | 0,00 | 0,00 | 0,00 | 0,00 | 0,00 | 2,44 | |||
Kategori 3, rådgivere | 2015 | 30,00 | 70,00 | 10,00 | 100,00 | 109,54 | 0,00 | 0,00 | 0,00 | 0,00 | 2,17 | 0,00 | ||
2014 | 46,15 | 53,85 | 13,00 | 100,00 | 82,59 | 0,00 | 0,00 | 0,00 | 0,00 | 7,32 | 2,44 | |||
Kategori 4, førstekonsu-lenter konsulenter, sekretær | 2015 | 0,00 | 100,00 | 2,00 | 100,00 | –2 | 0,00 | 0,00 | 0,00 | 0,00 | 0,00 | 0,00 | ||
2014 | 0,00 | 100,00 | 3,00 | 100,00 | –2 | 0,00 | 0,00 | 0,00 | 0,00 | 0,00 | 0,00 |
1. Foreldrepermisjon: 6 personer har hele eller deler av året vært ute i foreldrepermisjon, 2 kvinner og 4 menn. Til sammen omlag 1,67 årsverk.
2. Det er ikke mulig å rapportere på lønnsprosent for kvinner i kategori 4, da det ikke er noen menn å sammenligne med.