Sikre et godt og ivaretatt personvern for alle
Dato: 26.09.2024 | Digitaliserings- og forvaltningsdepartementet
Mål
Regjeringen vil frem mot 2030 sikre personvernet i all digitalisering. Alle relevante IT-løsninger i offentlig sektor skal ha innebygd personvern, og vi skal sørge for innbyggernes personvern i møte med de store tek-gigantene.
Status
Personvern er en menneskerett, beskyttet av Grunnloven og den europeiske menneskerettighetskonvensjonen (EMK). Godt personvern sikrer menneskets integritet og privatliv og er også en forutsetning for andre sentrale demokratiske verdier som informasjonsfrihet og ytringsfrihet. Men personvernet er under press. I dag vurderes ikke personvern helhetlig nok på tvers av sektorer. Det er en gjennomgående tendens til at digitaliseringen av samfunnet skjer på bekostning av personvernet.[i] Skal vi lykkes med digitaliseringen, må folk være villige til å ta i bruk digitale tjenester. Innbyggerne må være sikre på at vi håndterer opplysninger om dem på en god måte. Godt personvern er derfor en forutsetning for å lykkes med digitalisering.
Retning frem mot 2030
Manglende personvern kan gi uønskede virkninger, som nedkjølingseffekt[ii] og ekkokamre[iii], og kan også utnyttes til såkalt dulting.[iv] For å unngå dette må vi synliggjøre personvernet som en grunnleggende samfunnsverdi. Vi må ta de vanskelige avveiningene og vurdere prinsipielle spørsmål og etiske dilemmaer. Personvern må vektes mot andre interesser. Personvernet må ses i et helhetlig perspektiv, og ikke bare fra sak til sak, slik at vi får en helhetlig personvernpolitikk.
For å sørge for et helhetlig overblikk mener regjeringen det er behov for et frittstående rådgivende organ, à la Dataetisk råd i Danmark,[v] som kan vurdere prinsipielle spørsmål som oppstår når personverninteresser møter andre tungtveiende samfunnsinteresser. Dette sikrer at personvern inngår som en naturlig del av samfunnsdebatten. Et dataetisk råd kan vurdere generelle etiske spørsmål som oppstår ved digitalisering. Regjeringen vil derfor utrede opprettelsen av et rådgivende organ som kan bistå med etiske vurderinger og se personvern og digitalisering på tvers av sektorer, fagfelt og forvaltningsnivåer.
[i] NOU 2022:11. Ditt personvern – vårt felles ansvar. Regjeringen.no
[ii] Nedkjølingseffekt er når folk lar være å ytre seg av frykt for konsekvensene.
[iii] Et ekkokammer er en møteplass der folk med samme/liknende meninger møtes, slik at ytringene repeteres og ofte forsterkes/polariseres.
[iv] Dulting er små tiltak som har som mål å påvirke personers handlinger eller adferd i en bestemt retning.
[v] Dataetisk råd. dataetiskraad.dk.
Status
I mange tilfeller kan det ujevne styrkeforholdet mellom bruker og tilbyder av digitale tjenester begrense brukerens mulighet til å ivareta personvernet sitt selv.
I møte med det offentlige har innbyggerne begrenset innflytelse på hvordan personopplysningene deres behandles. Opplysningene deles både innad i og på tvers av organer. De kan også bli delt til forskning og andre formål som ikke henger direkte sammen med tjenesteytingen. Delingen er viktig for at det offentlige skal kunne yte gode tjenester. Samtidig kan det være vanskelig for den enkelte å ha oversikt over hvordan personopplysningene deres behandles, og dermed ivareta sitt eget personvern.
I næringslivet skaper datadrevne forretningsmodeller nye muligheter for mange bedrifter, og slike modeller har derfor blitt svært vanlige. De bygger på at brukerne tilbys tjenester og produkter og «betaler» for dem ved å gi fra seg personopplysninger (adferdsbasert markedsføring). Det er svært vanskelig for brukeren å forstå hvor mye opplysninger som samles inn, hvordan opplysningene blir brukt, og hvem de blir delt med. Selskaper med slike forretningsmodeller kan være så dominerende i markedet at brukerne opplever at de ikke har noen alternativer til tjenestene deres. Slik kan store, ofte internasjonale, selskaper sette premisser for personvernet.
Sosiale medier kan være utfordrende å håndtere for barn. Sosiale medier er sjelden alderstilpasset. Barn er mer påvirkelige og utsatte ved bruk av sosiale medier enn voksne, og flere barn har hatt negative opplevelser ved bruk av sosiale medier. Samtidig spriker forskningen på om, og hvordan, sosiale medier påvirker barn.
Et ujevnt styrkeforhold finner vi også i arbeidslivet – mellom arbeidsgiver og arbeidstaker. Bruk av digitale verktøy i arbeidshverdagen genererer en rekke elektronisk spor. Disse kan arbeidsgiveren bruke til å overvåke og kontrollere arbeidstakerne.
Retning frem mot 2030
Den omfattende datadelingen i offentlig sektor innebærer at myndighetene må ta et særlig ansvar for at personvernet til den enkelte sikres – gjennom tydelig regelverk, god veiledning og effektiv håndheving av regelverket. Når det offentlige behandler personopplysninger, skjer dette vanligvis som ledd i å utøve myndighet med hjemmel i lov eller forskrift. Regelverket må ivareta innbyggernes rettigheter og skape og bevare tillit hos innbyggerne. Personvernkommisjonen, som har utredet den samlede situasjonen for personvernet i Norge[i], peker på flere utfordringer og mangler ved dagens lov- og forskriftsregulering av personopplysninger. Vi trenger et godt og forståelig regelverk som bygger på gode personvernvurderinger og sikrer personvernet til alle innbyggerne. Regjeringen vil derfor arbeide for en mer enhetlig tilnærming til lov- og forskriftsreguleringen av behandling av personopplysninger, med tydelige og forståelige personvernvurderinger.
Datadrevne forretningsmodeller som utfordrer sentrale personvernrettigheter, er problematiske. Regjeringen mener at innbyggerne ikke skal måtte velge mellom digitale tjenester og godt personvern. Personvernet skal være ivaretatt i alle tjenester. Innbyggerne må få forståelig informasjon, slik at de kan gjøre informerte og bevisste personvernvalg. Men ansvaret for et godt personvern må ligge hos den ansvarlige virksomheten, ikke hos den enkelte innbygger. Regjeringen vil derfor utrede handlingsrommet Norge har til å regulere digitale tjenester, med tanke på å vurdere konsekvensene av et nasjonalt forbud mot adferdsbasert markedsføring. Digitale tjenester leveres imidlertid i stor grad av tjenesteytere utenfor Norge. Godt personvern er derfor avhengig av internasjonalt samarbeid, og vi skal sikre godt samarbeid med EU i personvernpolitikken.
Digitale tjenester er en stor del av hverdagen til barn og unge, og en stor del av det sosiale og kreative livet. Barn og unge har andre forutsetninger enn voksne for å forstå risikoer og konsekvenser av handlingene sine, eller kjenne rettighetene sine. Barn har derfor et særskilt krav på vern. Dette må ivaretas både av foreldre, det offentlige, frivillig sektor og næringsdrivende. Skolen må ivareta barn og unges personvern i skoletiden, særlig når barn og unge blir pålagt å bruke digitale løsninger av det offentlige. I arbeidet med gjennomføringen av DSA i Norge vil regjeringen forby adferdsbasert markedsføring mot barn på grunnlag av personopplysninger. I arbeidet med stortingsmeldingen om trygg digital oppvekst, som legges frem høsten 2024, blir temaet barn og unges digitale hverdag behandlet nærmere.
Arbeidsmiljøloven med forskrifter regulerer i dag deler av problemstillingene rundt overvåking og kontroll av arbeidstakere.[ii] Mange arbeidsgivere har mulighet til å samle inn store mengder opplysninger om arbeidstakernes digitale aktiviteter gjennom digitale arbeidsverktøy.[iii] Hjemmekontor og en digital arbeidshverdag har blitt vanligere etter koronapandemien. Dette skaper nye utfordringer for personvernet. Det ujevne styrkeforholdet kan gjøre det vanskelig for arbeidstakerne å ivareta egne rettigheter, og datainnsamlingen kan skape mistillit og usikkerhet. Regjeringen vil derfor gjennomgå reglene om personvern i arbeidslivet for å vurdere om det er behov for særskilt regulering.
[i] NOU 2022: 11 Ditt personvern – vårt felles ansvar. NOU 2022: 11 - regjeringen.no
[ii] Arbeidsmiljølovens kapittel 9 har bestemmelser om kontroll og overvåking. Det er videre egne forskrifter om arbeid i eget hjem, innsyn i arbeidstakers e-postkasse og annet elektronisk lagret materiale og kameraovervåking i arbeidslivet.
[iii] Datatilsynet. (2022). Sjefen ser deg? Overvåking og kontroll av arbeidstakeres digitale aktiviteter. Datatilsynet.no.
Status
For innbyggerne kan det være vanskelig å ha oversikt over hvilke personopplysninger som behandles om dem, hvilke rettigheter de har, og hvordan disse kan utøves.
Både offentlig, frivillig og privat sektor peker på et behov for mer kunnskap og veiledning for å etterleve personvernregelverk. Datatilsynets regulatoriske sandkasse for personvernvennlig innovasjon og digitalisering er ett veiledningstiltak, der virksomhetene får hjelp til å utvikle og ta i bruk personvernvennlige og innovative løsninger. Et annet viktig tiltak er samarbeid med bransjeorganisasjoner, interesseorganisasjoner og andre om utforming og distribusjon av tilpasset veiledningsmateriell.
Retning frem mot 2030
Det er et mål for regjeringen at innbyggerne skal kjenne sine rettigheter, og at virksomheter skal kjenne og oppfylle sine plikter etter personvernregelverket. Veiledning og informasjon fra Datatilsynet og andre relevante myndigheter spiller en viktig rolle for både innbyggerne og virksomhetene. Veiledning og kommunikasjon om etterlevelse av personvernregelverket må skje i tett dialog og forståelse med Datatilsynet. Slik sikres det sammenheng mellom veiledningen om regelverket og de kriteriene og standardene Datatilsynet legger til grunn når de fører tilsyn med etterlevelsen av personvernreglene.
Kunnskap om personvern forventes å inngå i høyere utdanning der det er relevant, blant annet innenfor teknologi, rettsvitenskap, lærerutdanning og informatikk. God personvernkompetanse innenfor disse yrkesgruppene vil komme befolkningen til gode når det utvikles nye digitale tjenester og produkter.
God veiledning og håndheving av regelverket forutsetter et velfungerende tilsynsapparat. Regjeringen har som ambisjon at Datatilsynet skal være rustet til å ivareta lovpålagte oppgaver og møte både aktuelle og fremtidige utfordringer.
God etterlevelse av et komplisert regelverk forutsetter både juridisk og teknologisk kompetanse. Personvernombudene kan utgjøre en viktig ressurs i arbeidet med å øke personvernkompetansen i virksomhetene. Datatilsynet opplever stor etterspørsel etter råd og veiledning, og erfarer at det er viktig at veiledningen er så praktisk som mulig, i form av tilpassede råd, maler og sjekklister. Veiledningsarbeidet skal styrkes ved at det utarbeides maler for personvernerklæringer i offentlig sektor. For å støtte gode utredninger av personvernkonsekvenser i regelverksarbeid skal det utarbeides en egen veileder som supplement til den generelle veilederen til utredningsinstruksen.
Status
Offentlig sektor i Norge behandler og deler store mengder personopplysninger om innbyggerne. Både stat og kommune behandler opplysninger om oss alle fra vugge til grav, også sensitive opplysninger. Opplysningene hentes inn og deles på tvers av etater, sektorer og nivåer, og mellom stat og kommune, og de brukes også til forskning. Størstedelen av personopplysningene vi som innbyggere deler med det offentlige, er vi pålagt å opplyse om, eller opplysningene er nødvendige for at vi skal kunne motta tjenester eller ytelser. Vi må for eksempel gi fra oss inntektsopplysninger for å betale skatt og helseopplysninger for å motta helsehjelp.
Retning frem mot 2030
Den store mengden personopplysninger som det offentlige behandler, innebærer et stort ansvar for innbyggernes personvern. God digitalisering med godt personvern forutsetter kompetanse om både tekniske, organisatoriske og regulatoriske forhold. Det er krevende å sikre denne kompetansen.
Særlig kommunesektoren peker på utfordringene med å ivareta personvernet, og at det trengs bedre veiledning og samordning for at kommunene skal klare å oppfylle personvernkrav i digitaliseringsarbeidet. De trekker blant annet frem at de trenger støtte for å kunne ivareta barn og unges personvern i barnehage og grunnopplæring.
Flere av tiltakene offentlig sektor iverksetter for å sikre personvernet, har et stort gjenbrukspotensial. Dette gjelder for eksempel vurderinger av personvernkonsekvenser av digitale løsninger. Regjeringen vil derfor i samarbeid med KS vurdere egnede tiltak for å styrke kompetanse- og erfaringsdelingen i kommunal sektor.
Når personopplysninger først er samlet inn, kan det være relevant å benytte dem også til andre formål enn det opprinnelige, slik som forskning og kvalitetsheving, trening av algoritmer for KI eller kontrollformål. Slik gjenbruk eller viderebruk kan utfordre personvernet. Personvernkommisjonen ytret bekymring for at det offentlige mangler en helhetlig tilnærming til personvernet fordi det ikke er noen som har ansvar for å vurdere den samlede bruken av personopplysninger. Selv om personvernbelastningen ved et enkelt tiltak anses som liten, kan summen av tiltak innebære et stort inngrep i privatlivet. Regjeringen vil derfor sørge for helhetlige vurderinger av personvernkonsekvenser.
Personopplysninger må deles og gjenbrukes på den mest personvernvennlige måten. Det innebærer blant annet at innbyggerne må få god informasjon om hvordan opplysningene deles, og mulighet til å reservere seg mot at opplysningene deres behandles, så langt det er mulig uten at det går ut over formålet med behandlingen. Det bør legges til rette for gode innsynsløsninger, slik at innbyggerne lett kan få oversikt over hvilke opplysninger som behandles.
Det offentlige er en stor innkjøper av ulike digitale løsninger. I innkjøpsrollen kan offentlig sektor sette krav – og derigjennom skape etterspørsel etter og utvikling av personvernvennlige tjenester. På denne måten kan det offentlig bidra til bedre personvern også på andre områder i samfunnet. Det er behov for digitale løsninger og produkter til bruk i flere deler av offentlig sektor, for eksempel læremidler i skolen og digitale løsninger til bruk i helse- og omsorgstjenestene. Innebygd personvern skal derfor være et krav i anskaffelsesprosesser.
På enkelte områder dominerer noen få, store teknologiselskaper. Ettersom det finnes få alternative tjenestetilbydere, er både det offentlige og næringslivet avhengige av å benytte tjenester fra disse store teknologiselskapene. Flere av selskapene har imidlertid forretningsmodeller og vilkår som kan skape utfordringer for personvernet. Fordi de er så dominerende, dikterer de i stor grad vilkårene selv. For å få gjennomslag for krav til personvern er det dermed en fordel å være stor som innkjøper. Her kan offentlig sektor, gjennom sin rolle som storkunde, være en viktig aktør ved å forhandle frem gode personvernvilkår, for eksempel ved innkjøp i skolesektoren.
Det offentlig vil, gjennom sin kommunikasjonspolitikk, kunne gi signaler og sette standarder for personvern. Offentlige virksomheter som tar i bruk nettbaserte analyseverktøy, skal gjennomføre grundige risikoanalyser i tråd med rådene fra Datatilsynet.[i] Regjeringen vil stille krav om dette i digitaliseringsrundskrivet.
[i] Datatilsynet. (2023). Råd for analyse og sporing på nettsted. Datatilsynet.no
Status
Det gjøres mye godt personvernarbeid i norske virksomheter, og virksomhetene ønsker å ivareta personvernet på en god måte.[i] Mange virksomheter etterspør mer veiledning, felles verktøy og flere maler som gjør det enklere å forstå kravene og hvordan de kan oppfylle dem i praksis. Erfaring tyder også på at det for mange er vanskelig å vite hva som er godt nok, og hvilke personverntiltak de skal prioritere. De ønsker at Datatilsynet skal være tydelige gjennom vedtak og tilsyn.
Retning frem mot 2030
Næringslivet og frivillig sektor har et stort ansvar for å få til godt personvern i digitaliseringen, både ved å ivareta personvernet til egne kunder eller medlemmer og som leverandører av digitale tjenester til det offentlige. Ansvarlighet er også et av grunnprinsippene i personvernforordningen. Det er virksomheten eller organisasjonen som behandler personopplysninger, som er ansvarlig for at den oppfyller kravene og ivaretar rettighetene til dem opplysningene gjelder (de registrerte).
Det er nødvendig å gjøre det lettere for virksomhetene og organisasjonene å sikre et godt personvern i praksis. Skal vi få til dette, må offentlige, private og frivillige aktører jobbe sammen. Verktøy og beste praksis bør deles, også mellom private virksomheter og frivillige organisasjoner der det er hensiktsmessig.
Regjeringen ønsker å styrke ordninger som hjelper norske virksomheter til å lykkes med godt personvern i praksis. Sertifisering og bransjenormer er eksempler på konkrete og praktiske verktøy som er lite i bruk i dag, men som kan bidra til å operasjonalisere regelverkskrav på en god måte. Innebygd personvern er et lovkrav, men også en mulighet. Hvis personvernet bygges inn i en løsning fra starten av, kan det forbedre brukeropplevelsen og bygge tillit, og innebære en konkurransefordel i en verden der personopplysninger har stor verdi.
[i] Våren 2023 arrangerte Datatilsynet innspillsmøter der de fikk innspill fra over 160 virksomheter om hvordan det er å jobbe med personvern.
Regjeringen vil
- utrede opprettelsen og organiseringen av et dataetisk råd som kan vurdere prinsipielle spørsmål i avveiningen mellom personvern og tungtveiende samfunnsinteresser
- sikre en mer enhetlig lov- og forskriftsregulering av personvern
- styrke veiledning om og håndheving av personvernregelverket
- identifisere tiltak for å styrke kompetanse- og erfaringsdelingen i kommunal sektor, i samarbeid med KS
- stimulere til utvikling og bruk av personvernvennlig teknologi gjennom å kreve personvernvennlige løsninger i offentlige anskaffelser
- få inn krav i digitaliseringsrundskrivet om at offentlige virksomheter som tar i bruk nettbaserte analyseverktøy, skal gjøre grundige risikovurderinger av personvernet
- gjennomgå og evaluere hvordan personvernet ivaretas for arbeidstakere
- stimulere til mer bruk av bransjenormer, felles verktøy, erfaringsdeling og sertifisering for personvern