2 Merknader frå Kommunal- og moderniseringsdepartementet til Datatilsynet si årsmelding
Datatilsynet har i 2016 vore ein aktiv bidragsytar i samfunnsdebatten, og tilsynet har medverka til god kunnskap om personvern generelt, og særleg om EU si personvernforordning. Tilsynet har utarbeidd sentrale høyringsfråsegner, hatt dialog og møte med ulike aktørar, halde foredrag om personvernrelevante tema i ulike forum, og følgt opp anbefalingane og tiltaka i rapporten «Det store datakappløpet. Rapport om hvordan kommersiell utnyttelse av personopplysninger utfordrer personvernet», som tilsynet publiserte i november 2015. Datatilsynet har òg halde fram arbeidet sitt i sentrale EU-organ, og vore ein aktiv deltakar på ei rekke andre nordiske og internasjonale samarbeidsarenaer.
Datatilsynet har i 2016 særleg arbeidd med personvern innanfor følgjande område:
Justissektoren
Digitalisering i offentleg sektor
Helse og velferd
Barn, skule og utdanning
I tillegg har Datatilsynet brukt mykje tid på å førebu både seg og andre på gjennomføringa av EU si personvernforordning i norsk rett. Departementet er opptatt av at både innbyggarane og verksemder som behandlar personopplysningar skal kjenne til og forstå kva det nye regelverket tyder for dei, og er glad for at tilsynet har medverka til å spreie slik kjennskap.
2.1 Justissektoren
Datatilsynet har i årsmeldinga si omtalt fleire av dei tiltaka dei har arbeidd med på justisområdet i 2016. Arbeid med høyringssaker og endringar i regelverk er høgt prioritert. I tillegg har dei gjennomført kontrollar ved to av registra til politiet, Schengen informasjonssystem (SIS) og Politiets utlendingsregister. Ingen av desse kontrollsakene var avslutta ved utgangen av meldingsåret.
Justissektoren er eit felt der det blir behandla mange og sensitive personopplysningar. Den enkelte har stor interesse av at opplysningane blir verna og behandla på ein god måte. Fleire store saker om endringar i regelverk i justissektoren var på høyring i løpet av 2016. Datatilsynet har rolla som «vaktbikkje» når saker som rører ved personvernet til innbyggarane kjem på høyring. Dei peiker i slike saker på utfordringar, og korleis dei kan handterast best mogleg i dei ulike sakene. I meldingsåret peikte tilsynet mellom anna på utfordringar med informasjonstryggleiken i advokatbransjen, gjenbruk av personopplysningar i politiet og etterretningstenesta, tilgang for politiet til registra hos utlendingsmyndigheita, og utgreiinga i NOU 2015: 13 Digital sårbarhet – sikkert samfunn.
Politiet og etterretninga sin tilgang til personopplysningar er eit tilbakevendande tema som reiser ei rekke utfordringar for personvernet. I mange samanhengar er det snakk om gjenbruk av opplysningar samla inn for eitt formål til eit anna. Dette var mellom anna tilfellet i saka om utlevering av opplysningar frå PST til E-tenesta. I slike saker må det gjerast ei grundig vurdering av samfunnet si nytte av at organa deler opplysingar opp mot den enkelte sitt krav på vern av opplysningane. I den aktuelle saka meinte Datatilsynet at det i for stor grad blei opna for gjenbruk av opplysningar, og at formåla med gjenbruken var for dårleg angitt i reglane.
Det har stor verdi for samfunnet at vi kan verne oss mot alvorleg kriminalitet og terror. Samstundes er personvern ein grunnleggande verdi i eit demokratisk samfunn. Det er krevjande å finne ein god balanse mellom det som er nødvendig for å ta vare på tryggleiken i samfunnet og det som er nødvendig av omsyn til personvernet til den enkelte. Nokre gongar må derfor ønska frå den enkelte vike for trongen fellesskapet har for å verne seg mot åtak. For demokratiet er det likevel viktig at vi har opne og gode diskusjonar om kvar grensene skal gå og kva vi tillèt at politiet får tilgang til. Som Datatilsynet peiker på i årsmeldinga si, vil vi i tida framover få fleire slike diskusjonar, mellom anna om digitalt grenseforsvar.
Departementet meiner Datatilsynet er ein svært viktig bidragsytar i slike diskusjonar. Det er heilt nødvendig at tilsynet engasjerer seg og bidrar med motargument i debattar som elles lett kan bli prega av argument for kontroll og overvaking. Gjennom dette sikrar vi at alle viktige argument kjem fram. Datatilsynet si rolle som rådgjevar i regelverksarbeid følger òg av den nye personvernforordninga, og rolla blir derfor ikkje mindre viktig i framtida.
2.2 Digitalisering i offentleg sektor
Digitalisering er eit felles omgrep for overgangen frå analoge, mekaniske og papirbaserte løysingar, prosessar og system, til elektroniske og digitale løysingar. Digitalisering handlar om å bruke teknologi til å fornye, forenkle og forbetre. Det handlar om å tilby nye og betre tenester, som er enkle å bruke, effektive og pålitelege. Digitalisering legg til rette for auka verdiskaping og innovasjon, og kan bidra til å auke produktiviteten i både privat og offentleg sektor. Som Datatilsynet peiker på, er det ikkje lenger eit spørsmål om forvaltninga blir digitalisert, men kor fort forvaltninga blir digitalisert og kva som blir digitalisert når.
For at digitaliseringa skal bli vellykka, må innbyggarane ha tillit til dei digitale tenestene som det offentlege tilbyr. Innbyggarane må stole på at informasjon dei gir frå seg blir behandla i samsvar med lover og reglar som bygger på anerkjende personvernprinsipp. Dei må oppleve tryggleik for at opplysningar ikkje blir brukte til andre formål enn innsamlingsformålet utan særskilt heimel, og dei må vere trygge på at det ikkje blir samla inn og behandla fleire opplysningar enn det faktisk er bruk for i den offentlege myndigheitsutøvinga. Utan tillit vil innbyggarane kunne vegre seg mot elektronisk samhandling med forvaltninga.
Innebygd personvern er eit viktig tiltak for å sikre slik tillit. Temaet er omtalt i Meld. St. 27 Digital agenda for Norge. IKT for en enklere hverdag og økt produktivtet, som regjeringa la fram i april 2016. Meldinga gjer det tydeleg at teknologi og personvern ikkje treng å vere motsetningar. Dersom vi bygger personvernvenlege løysingar inn i teknologien frå starten av, kan dei to spele på lag. Jo tidlegare i ein prosess personvern blir sett på agendaen, jo lettare er det å ta vare på viktige personvernomsyn. Departementet meiner innebygd personvern skal vere eit mål i alle sektorar, og førande i det pågåande arbeidet med å fornye, forenkle og forbetre offentleg sektor.
Arbeidet med å digitalisere offentlege tenester i Noreg har vore vellykka på mange område. Statlege verksemder og kommunar tilbyr stadig fleire digitale tenester, og bruken av tenestene aukar betydeleg. Samstundes peiker Datatilsynet på at enkelte offentlege verksemder framleis har ein veg å gå før ein kan seie at dei har utarbeidd gode nok system og rutinar for behandling av personopplysningar.
I meldingsåret gjennomførte Datatilsynet kontrollar med 15 kommunar. Sjølv om det var store variasjonar mellom kommunane, fann tilsynet, som i føregåande år, at det var eit gjennomgåande problem at mange norske kommunar ikkje har tilfredsstillande rutinar for å oppfylle pliktene i personopplysningslova. Mellom anna har dei ikkje oversikt over korleis dei behandlar opplysningane dei har. Dei har heller ikkje system for å gi innbyggarane informasjon om og innsyn i behandling av personopplysningar. Mange kommunar har dessutan store manglar i informasjonstryggleiken og internkontrollsystema. Departementet merkar seg utfordringane Datatilsynet peiker på og vil halde fram med å støtte innsatsen til Datatilsynet for eit betre personvern i norske kommunar. Kommunane må også sjølve ta ansvar og gjere den viktige jobben med å etablere betre system og rutinar for behandling av personopplysningar.
Datatilsynet meiner å kunne sjå at kommunar som har personvernombod gjennomgåande både tek betre vare på personvernet og overheld pliktene i personopplysningslova betre enn andre. Datatilsynet hevdar at dette viser at personvernombodsordninga og opplæringa av omboda har ein positiv personverneffekt. Departementet synest dette er svært positivt, særleg i lys av at ordninga med personvernombod blir ført vidare, og jamvel blir utvida, i EU si nye personvernforordning. Ordninga blir mellom anna obligatorisk for offentlege verksemder og for verksemder som behandlar sensitive personopplysningar i stor skala. Departementet er positiv til den komande utvidinga av personvernombodsordninga og vil arbeide for å fremme gode personvernløysingar og -rutinar i offentleg sektor.
2.3 Helse og velferd
Datatilsynet har i meldingsåret vore svært engasjert i spørsmål om personvern, helse og velferd. Dei har gjennomført fleire tilsyn, hatt dialog og møte med ulike aktørar og gitt utstrakt råd og rettleiing. Datatilsynet har òg gitt fleire høyringsfråsegner til forslag frå det offentlege som inneber behandling av personopplysningar innanfor helse- og velferdsområdet. Tilsynet har mellom anna vore kritisk til enkelte sider av forslaget om endringar i kjernejournal- og reseptformidlarforskrifta. Tilsynet frykter at dei foreslåtte endringane vil innebere ein auka tilgang til helseopplysningar, redusert kontroll, utvida lagringstid og større risiko for bruk som ikkje er autorisert.
I årsmeldinga si peiker Datatilsynet på at det er ein veldig positiv personverntrend innan helsetenesta at innbyggarane, med dei nye innbyggartenestene, i størst mogleg grad sjølv skal kunne bestemme over sine eigne personopplysningar. Departementet meiner at dette er ei styrking av den enkelte sin rett til personvern, men er samstundes einig med Datatilsynet i at det er visse utfordringar knytt til kravet om stadig større bevisstheit og kunnskap hos den enkelte. For at innbyggarane skal kunne sikre sitt eige personvern, er det ein føresetnad at dei mellom anna har kjennskap til kva slag helseopplysningar som blir samla inn, kven dei blir delt med og korleis den enkelte kan reservere seg mot slik behandling. I ein sektor der store forandringar skjer i høgt tempo kan dette by på utfordringar.
Ei anna aktuell utfordring som Datatilsynet trekker fram, er den manglande sikringa mot snoking i spesialisthelsetenesta. Datatilsynet viser til at det er kjent at dagens regime med stikkprøver og mistankebasert gjennomgang av logg ikkje er tilfredsstillande, og dei etterlyser framdrift i utviklinga av betre logganalyser. Datatilsynet tok seinhausten 2016 kontakt med spesialisthelsesektoren for å avklare status på ulike nasjonale tiltak. Statusen for loggarbeidet var framleis uavklart ved utgangen av meldingsåret, og Datatilsynet merkar at området krev vidare oppfølging. Departementet er einige med Datatilsynet i at det er viktig å sjå til at det blir utvikla tilfredsstillande system for logganalyse i spesialisthelsetenesta, slik at pasientane blir verna mot unødvendig og utilsikta spreiing av pasientopplysningane deira. Departementet vil halde fram arbeidet med å fremme gode personvernløysingar i helse- og velferdssektoren.
2.4 Internasjonalt arbeid
Datatilsynet gjer i årsmeldinga si greie for aktiv deltaking i det internasjonale samarbeidet på personvernområdet. Departementet og tilsynet har i fleire år hatt god dialog om verdien av å delta i internasjonalt arbeid, og særleg europeisk personvernsamarbeid. I meldingsåret har Datatilsynet på ein god måte evna å prioritere deltaking i det europeiske personvernsamarbeidet.
Dei europeiske datatilsyna møter kvarandre fleire gonger i året i WP 29, som er eit samarbeidsforum oppretta med grunnlag i det gjeldande personverndirektivet, direktiv 95/46/EC. Det norske Datatilsynet har møte- og talerett i WP 29. Dei deltek aktivt i fleire av undergruppene etablert av WP 29. I undergruppene, der mykje av det faglege arbeidet føregår, er Datatilsynet jamstilte med tilsyna frå medlemslanda i EU, og dei er ein viktig bidragsytar i arbeidet. Med gode leveransar og høg aktivitet blir dei lagt merke til og nyt respekt blant dei andre deltakarane. Fordi Noreg skal gjennomføre EU sitt personverndirektiv på same måten som EU-landa, er samarbeid om tolking og bruk av regelverket viktig. Deltaking i WP 29-arbeidet gir Datatilsynet viktig informasjon om prosessane internt i EU, slik at dei lettare kan førebu den nasjonale gjennomføringa av regelverket.
I tillegg til det formaliserte personvernsamarbeidet i EU, deltar Datatilsynet i fleire andre internasjonale samarbeidsforum. Det er mellom anna eit godt samarbeid mellom personvernmyndigheitene i dei nordiske landa, og dei har regelmessige møte både på leiar- og saksbehandlarnivå. Dei nordiske landa har mange felles problemstillingar, og departementet meiner derfor det er viktig å halde på dei gode nordiske relasjonane.
Datatilsynet publiserer jamleg rapportar på engelsk. Desse blir lagt merke til og blir diskuterte i ulike internasjonale fora. Også undervisningsopplegget «Du bestemmer», som har eksistert i mange år, er internasjonalt kjent og er tatt i bruk i fleire land.
Departementet er tilfreds med den aktive rolla Datatilsynet har tatt i det internasjonale personvernarbeidet generelt og i det europeiske samarbeidet spesielt.