1.1 Bakgrunn
I 2011 gjennomførte daværende Difi en evaluering av Datatilsynet (Rapport 2011:8). Siden da har personvernfeltet gjennomgått en betydelig utvikling. I 2018 ble personvernforordningen gjennomført i norsk rett. Regelverket har hatt stor betydning for hvilken rolle personvern har i samfunnet og hvordan private og offentlige virksomheter jobber med etterlevelse av regelverket.
Nye krav og oppgaver har medført endring og tilpasning hos alle europeiske datatilsynsmyndigheter, også det norske. Datatilsynet har fra 2015 til 2022 vokst fra 43 til 64 årsverk. Budsjettet har i samme periode økt fra 37,6 mill. kroner til 70,9 mill. kroner. Samtidig har oppgavene blitt betydelig flere og mer kompliserte. Ivaretakelse av disse oppgavene på en god måte stiller store krav til tilsynets organisering, interne arbeidsprosesser, rutiner og prioriteringer.
I september 2022 leverte Personvernkommisjonen sin rapport i NOU 2022: 11 Ditt personvern - vårt felles ansvar. Kommisjonen konkluderte blant annet med at det er et klart behov for å styrke Datatilsynet, men uten nærmere konkretisering av behovet.
Digitaliserings- og forvaltningsdepartementet (DFD) - da Kommunal- og distriktsdepartementet – trengte et godt faglig grunnlag for å kunne vurdere omfanget og arten av det samlede ressursbehovet. På denne bakgrunnen ba departementet DFØ om å foreta en evaluering av Datatilsynet.
1.2 Mål og problemstillinger
Formålet med evalueringen har vært todelt. For det første ønsket DFD å få et godt grunnlag for å videreutvikle og drive god etatsstyring, herunder vurdere om Datatilsynet har nødvendige forutsetninger (ressurser og organisering) for å utføre oppgavene sine i henhold til regelverket, ev. med konkrete anbefalinger om justeringer. Det har også vært et mål at resultatene fra evalueringen skal kunne brukes som grunnlag i det løpende budsjettarbeidet i DFD.
Videre var det ønskelig at evalueringen skulle gi Datatilsynet et kunnskapsgrunnlag og konkrete anbefalinger for å drive organisasjonsutvikling, herunder å vurdere organisering og ev. behov for endringer i kompetansesammensetning, slik at virksomheten er best mulig rustet til å møte både faglige og administrative utfordringer fremover.
Utdyping av problemstillinger
Evalueringen skal besvare to hovedproblemstillinger:
- Hvordan ivaretar Datatilsynet sine roller og oppgaver?
- Hvilke forbedringer er det behov for, sett i lys av fremtidige utfordringer på personvernområdet?
Evalueringen skulle belyse hvordan Datatilsynet ivaretar sine ulike roller og hvordan de balanserer oppgaver og roller som kan komme i konflikt med hverandre. Dette gjelder spesielt forholdet mellom rådgivnings/veiledningsrollen, tilsynsrollen og ombudsrollen. På denne bakgrunn har det vært ønskelig å undersøke nærmere om den interne organiseringen av oppgavene i Datatilsynet er hensiktsmessig og bidrar til en mest mulig formåls- og kostnadseffektiv oppgaveløsning.
Evalueringen skulle også vurdere ressurssituasjonen i Datatilsynet. Ett viktig tema har vært hvilke type oppgaver Datatilsynet nedprioriterer som følge av ressursmangel, herunder oppgavenes omfang og mulige konsekvenser av prioriteringene. Et annet spørsmål har vært hvorvidt Datatilsynet har de riktige ressursene (f.eks. sammensetning av kompetanse og riktige støttesystemer) til å løse oppgavene sine. Et tredje spørsmål har vært om Datatilsynet har effektive arbeidsformer, dvs. om de benytter medarbeidernes kapasitet og kompetanse best mulig, om de har effektive rutiner for saksbehandling mm.
Evalueringen skulle videre inneholde en vurdering av om, og ev. hvordan, det todelte departementsansvaret, det vil si lovansvar i JD og administrativt ansvar og forskriftsansvar i DFD, påvirker Datatilsynets evne til å utføre sine oppgaver.
Et siste viktig tema i evalueringen har vært å belyse hvilke fremtidige behov og utfordringer Datatilsynet står overfor, og hva som eventuelt bør endres for å bidra til at Datatilsynet kan møte dem.
Analysemodell
Vi har benyttet den samme analysemodell som ble brukt i evalueringen av Datatilsynet i 2011. Modellen er utviklet av Statskontoret i Sverige og benyttes i deres analyser av statlige virksomheter.
Modellen består av fire analysemomenter:
1. Hva er Datatilsynets oppgaver, ressurser og mål?
Dette dreier seg bl.a. om hvordan de ulike rollene blir ivaretatt og hvilke oppgaver som prioriteres.
Sentrale spørsmål er:
- Hvordan ivaretar Datatilsynet sine ulike roller (tilsyn, veiledning, ombud)?
- Hvordan har utviklingen vært over tid – vektlegging av rollene?
- Hvordan har utviklingen i antall ansatte og tilgjengelig budsjett vært?
- Hvordan er ressursfordelingen (tidsbruk) på ulike oppgavetyper?
2. Hvilke resultater oppnår Datatilsynet?
Dette dreier seg om hva som kommer ut av de ressursene Datatilsynet tildeles og innsatsen til de ansatte; bl.a. i form av vedtak, høringer, veiledning og informasjonstiltak. Det omfatter også antall henvendelser, antall klager, antall saker sendt til Personvernnemnda og antall oppslag på Datatilsynets hjemmesider.
3. Hvordan påvirker interne og eksterne faktorer resultatene?
a) Interne faktorer: bla. organisering, arbeidsformer, ledelse, kompetanse, styring, utviklingsarbeid, personalpolitikk, kommunikasjon.
Sentrale spørsmål er:
- Hvordan fungerer dagens organisering av Datatilsynet?
- Har Datatilsynet den riktige kompetansen til å fylle de ulike rollene?
- Er arbeidsformene i Datatilsynet effektive?
- Hvilke støttesystemer har Datatilsynet, og hvordan fungerer de?
b) Eksterne faktorer: bla. teknologiutvikling, forholdet til Personvernnemnda, forholdet til DFD og Justis- og beredskapsdepartementet (JD), forholdet til Stortinget, forholdet til målgruppene, kompetanse og bevissthet om personvernspørsmål i befolkningen og i målgruppene.
Sentrale spørsmål er:
- Hvordan påvirker styringen fra DFD Datatilsynets muligheter til å nå ønskede resultater?
- Hvordan påvirker det todelte departementsansvaret, det vil si lovansvar i JD og administrativt ansvar og forskriftsansvar i DFD, Datatilsynets evne til å utføre sine oppgaver?
- Hvordan påvirker teknologiutviklingen Datatilsynets oppgaver og resultater?
- Hvordan påvirker utviklingen i ulike bransjer/sektorer Datatilsynets oppgaver og resultater?
- Hvordan er samhandlingen med samarbeidspartnere?
4. Hvilke utfordringer og utviklingsbehov vil være spesielt viktige for Datatilsynets virksomhet i tiden fremover?
I denne delen av analysen gjøres en sammenfattende vurdering ut fra de funn og vurderinger som er gjort under de foregående tre momentene i analysemodellen. Det handler om å få frem hvilke områder som kommer til å være viktige for at Datatilsynet skal kunne ivareta rollene sine og oppnå ønskede resultater i tiden fremover.
I tillegg ser vi på om det er utviklingstrekk i samfunnet som vil påvirke Datatilsynets roller og oppgaver i tiden fremover (f.eks. teknologisk utvikling, kriminalitetsutvikling, regelverksendringer, endringer i folks oppfatninger). Utviklingstrekkene vil også kunne få betydning for hvordan Datatilsynet bør organiseres, hva slags kompetanse virksomheten bør ha, hvilke arbeidsformer som bør benyttes og hvordan styringen fra DFD bør være.
1.3 Avgrensninger
Personvernkommisjonen tar i sin utredning til orde for at andre myndigheter enn Datatilsynet bør veilede om og føre tilsyn med alle personvernspørsmål som direkte er knyttet til deres myndighetsområde, uavhengig av om det handler om sektorspesifikk personvernregulering eller om den generelle personvernlovgivningen. Kommisjonen understreker at slik veiledning vil komme på toppen av Datatilsynets veiledning og at Datatilsynet alltid vil ha tilsynskompetanse. Evalueringen er avgrenset mot spørsmålet om delt veilednings- og tilsynskompetanse etter det generelle personvernregelverket. Evalueringen har derfor ikke sett på hvorvidt det kan være hensiktsmessig å gi andre myndighetsorganer kompetanse til å utføre oppgaver etter personvernforordningen.
Evalueringen er også avgrenset mot vurderinger av Datatilsynets myndighetsutøvelse. Dette betyr at de faglige vurderingene og innholdet i tilsynets vedtak og rapporter ikke har vært gjenstand for evaluering.
Prosjektet skulle vurdere Datatilsynets ressurssituasjon, særlig sett i lys av fremtidige utfordringer og behov. Vi har ikke hatt tilgang til data om dagens ressursbruk i form av tidsbruk på ulike oppgaver og det er også usikkerhet knyttet til hva fremtidige behov faktisk vil være. Våre vurderinger om Datatilsynets ressurssituasjon har derfor tatt utgangspunkt i tilgjengelig informasjon om Datatilsynets produksjon og resultater, informantenes vurderinger av ressursbruk og framtidige behov, samt sammenligning med andre lands personvernmyndigheter, i første rekke Danmark og Sverige. På denne bakgrunn har vi gitt en overordnet vurdering av ressursbehovet fremover.
1.4 Metode og datagrunnlag
Det viktigste datagrunnlaget for evalueringen har vært gjennomgang av dokumenter og intervjuer. I tillegg har vi underveis hatt flere møter/seminarer med Datatilsynet og referansegruppen for prosjektet der funn har blitt presentert og diskutert. Vi vurderte å gjennomføre spørreundersøkelser både med Datatilsynets medarbeidere og med eksterne informanter. Vi konkluderte imidlertid med at denne type breddeinformasjon kunne nås gjennom andre kilder – det vil si en bred intervjurunde i Datatilsynet, bruk av medarbeiderundersøkelsen i Datatilsynet fra 2023 og bruk av Datatilsynets kunnskap fra deres egen innspillsrunde med offentlig og private virksomheter høsten 2023 i forbindelse med prosjekt Kvist.
Dokumentgjennomgang
Styringsdokumenter, som budsjettproposisjoner, tildelingsbrev, instruks og årsrapporter, har gitt et viktig informasjonsgrunnlag. Spesielt har gjennomgang av Datatilsynets årsrapporter hatt stor verdi for å kartlegge utviklingen i budsjett, antall ansatte og produksjonen.
Personvernkommisjonens rapport (NOU 2022:11) har gitt et viktig bakteppe til evalueringen, og har vært hyppig brukt som kilde for å forstå hvilken plass personvern har i det norske samfunn i dag og hvilke utfordringer vi står overfor.
Vi har også hatt stor nytte av tidligere evalueringer, kartlegginger og prosjektrapporter. Difis evaluering fra 2011 gir et viktig referansepunkt, og vi har også brukt samme analysemodell som den gang (Difi 2011). Dette gir oss mulighet til å sammenligne utviklingen over tid. Tilsvarende har Statskontorets myndighetsanalyse av Datainspeksjonen - Datatilsynets svenske søsterorganisasjon vært nyttig for en internasjonal sammenligning av Datatilsynets rolle og oppgaver (Statskontoret 2020), i likhet med rapporter fra European Data Protection Board (EDPB) om organisering, ressursbruk og produksjon i de europeiske datatilsynene (EDPB 2021). Datatilsynet sandkasse for kunstig intelligens ble evaluert av Agenda Kaupang (Agenda Kaupang 2023) og Datatilsynet har gjort en kartlegging av brukerens behov for veiledning – Prosjekt Kvist (Datatilsynet 2024a). Begge disse rapportene har vært viktige kunnskapsgrunnlag inn i denne evalueringen.
Datatilsynet får mye oppmerksomhet i media, både gjennom egne og andres utspill og innlegg. Dette har vært et verdifullt inntak til å få økt innsikt i de, til dels kryssende, forventningene som Datatilsynet står overfor. Datatilsynet er selv aktiv i sosiale medier. De har blant annet siden 2020 hatt sin egen podkast-serie «Personvernpodden», som vi også har hatt nytte av å lytte inn på.
Intervjuer
Intervjuer har vært en viktig kilde til informasjon om hvordan Datatilsynet fungerer.
Internt i Datatilsynet har vi hatt 23 intervjuer – det har vært representanter fra alle nivå i organisasjonen, fra alle faggrupper og organisasjonsenheter. Utvalget ble gjort av Datatilsynet selv, men i dialog med oss.
Mer krevende har det vært å velge ut eksterne informanter. Datatilsynet har et bredt nedslagsfelt. Målgruppen omfatter både private og offentlige virksomheter. Det er foreninger og ideelle organisasjoner, statlige og kommunale virksomheter, store internasjonale konsern og små nasjonale bedrifter. Vi satte opp en bruttoliste med ulike kategorier eksterne informanter vi mente det var viktig å få innspill fra og kom i dialog med vår oppdragsgiver, DFD, fram til et utvalg.
Vi endte med et utvalg på 15 eksterne informanter. Disse utgjør god blanding fra offentlig og privat virksomhet og ulike sektorer og næringer er representert, og vi mener at vi med dette har fått et utvalg informanter som belyser ulike sider ved Datatilsynets virksomhet. En liste over informanter ligger i vedlegg 1.
Intervjuene ble gjennomført dels som enkeltintervjuer og dels som gruppeintervjuer. Intervjuene med medarbeidere i Datatilsynet ble gjennomført fysisk i Datatilsynets lokaler, mens de fleste intervjuer med eksterne informanter ble gjennomført på Teams. Vår vurdering er at det ikke har hatt noen betydning om intervjuene har vært gjennomført fysisk eller på Teams. Intervjuene har vært semistrukturerte, bygd opp rundt en intervjuguide som ligger vedlagt (vedlegg 2 og 3).
Møter og innlegg underveis i evalueringen
Vi har underveis i evalueringen hatt flere møter med Datatilsynet der vi har presentert foreløpige funn og konklusjoner. Ett av formålene med evalueringen var at den kunne brukes av Datatilsynet i utviklingen av egen organisasjon. I tråd med dette har vi hatt møter både med utvidet ledergruppe (mars 2024) og hele personalgruppa (mai 2024). Diskusjonen i disse møtene ga oss økt innsikt i Datatilsynets oppgaver og rolleforståelse og har dermed også vært en viktig del av datainnsamlingen.
Prosjektet har også hatt en referansegruppe som har gitt viktige innspill til både datainnsamling og tolkning av data. Referansegruppa har hatt tre møter, og har bestått av:
- Line Coll, direktør i Datatilsynet
- Øyvind Molven, lovrådgiver i JD
- Åste Marie Skullerud, avdelingsdirektør i DFD
- Mari Bø Haugstad, leder Personvernnemnda
- Kari Gimmingsrud, Juristforbundet
- Frode Danielsen, direktør i Digitaliseringsdirektoratet
- Asbjørn Finstad, avdelingsdirektør strategisk IKT og digitalisering i KS
- Trond Rønningen, direktør i Forbrukertilsynet
- Nils Ola Widme, næringspolitisk direktør Abelia
- Anne Eidsaa Hamre, Datatilsynet (verneombud)
Referansegruppen har vært et forum for diskusjon, og har bistått DFØ med å kvalitetssikre faktagrunnlaget. DFØ har imidlertid et selvstendig ansvar for alle vurderinger og anbefalinger i rapporten.
Studiebesøk i Sverige og Danmark
Personvernmyndighetene i de europeiske landene skal følge opp det samme regelverket. Vi har derfor hentet informasjon om hvordan datatilsynene i de andre landene er dimensjonert. Her har vi lent oss på rapporter og kartlegginger utarbeidet av European Data Protection Board (EDPB). I tillegg har vi besøkt Datatilsynet i Danmark og Integritetsskyddsmyndigheten (IMY) i Sverige for å få mer inngående kjennskap til deres organisering, arbeidsformer og rolleutøvelse. I Danmark hadde vi også møte med Digitaliseringsstyrelsen og Digitaliserings- og likestillingsministeriet.
Presentasjon av datamaterialet
I presentasjonen av funn fra intervjuene vil vi i hovedsak skille mellom informanter i Datatilsynet og eksterne informanter. De eksterne informantene har ulike roller og ulik kontakt med Datatilsynet. Forholdet til DFD og JD som ansvarlige departementer for hhv. styringen av Datatilsynet og personopplysningsloven blir omtalt særskilt, og da nødvendigvis uten anonymisering. Øvrige informanter er anonymisert.
I presentasjonen av funn fra intervjuene trekker vi først og fremst fram synspunkter som er gjeldende for flere informanter. Samtidig er det i en kvalitativ undersøkelse viktig å få fram bredden i synspunkter, ikke minst fordi informantene har ulike ståsteder og posisjoner.
Vi har ønsket å sammenligne Datatilsynet med søsterorganisasjonene i Danmark og Sverige. Dette gjøres først og fremst i beskrivelsen av interne faktorer som blant annet antall ansatte, utdanningsbakgrunn og oppgaveomfang. Vi hadde en ambisjon om ytterligere sammenligning av nøkkeltall for produksjonen, men ettersom flere nøkkeltall ikke er direkte sammenlignbare har det vært vanskelig. Vi omtaler ellers erfaringer fra Danmark og Sverige der det er relevant. I vedlegg 4 gir vi også en kort beskrivelse av det danske Datatilsynet og IMY.
1.5 Leseveiledning
I kapittel 2 gir vi en kort beskrivelse av Datatilsynet, de øvrige personvernmyndighetene og personvernregelverket.
I kapittel 3 presenterer vi funn fra datainnsamlingen som belyser Datatilsynets resultater, roller og oppgaver (jf. analysemodellens pkt. 1 og 2).
I kapittel 4 og kapittel 5 gjør vi rede for funn fra datainnsamlingen knyttet til hhv. interne og eksterne faktorer som påvirker Datatilsynets resultater (jf. analysemodellens pkt. 3).
DFØs vurderinger og anbefalinger presenteres i kapittel 6.
DFØ-rapport 2024:8 Både vaktbikkje og førerhund?
Forord
Sammendrag
Våre hovedfunn
Datatilsynet oppnår mye med knappe ressurser
Mange små saker som tar for mye tid
Virksomhetene etterlyser mer konkret og løsningsorientert veiledning
Ulike hensyn avveies ikke alltid godt nok?
Lite oppmerksomhet om ledelse og virksomhetsstyring
DFØs vurderinger og anbefalinger
Datatilsynet bør være både en vaktbikkje og en førerhund
En mer dialogbasert arbeidsform
Økt samarbeid med andre for å løse store samfunnsutfordringer
Datatilsynet bør ta en tydeligere faglig rolle
Datatilsynet bør styrkes ressursmessig
…men samtidig må det stilles tydelige krav til effektivisering av arbeidet
Behov for tydeligere styring og ledelse og gode støttesystemer
Rollebevissthet er viktigere enn organisatorisk skille mellom ulike oppgaver
Personvern er ikke bare et spørsmål om juss, men også om politikk
Departementene bør komme enda mer på banen
DFØ anbefaler
1. Innledning
1.1 Bakgrunn
1.2 Mål og problemstillinger
Utdyping av problemstillinger
Analysemodell
1.3 Avgrensninger
1.4 Metode og datagrunnlag
Dokumentgjennomgang
Intervjuer
Møter og innlegg underveis i evalueringen
Studiebesøk i Sverige og Danmark
Presentasjon av datamaterialet
1.5 Leseveiledning
2. Datatilsynet og personvernregelverket
2.1 Personvernmyndighetene
2.2 Personvenregelverket
2.2.1 Et regelverk for å møte den teknologiske utviklingen
2.2.2 Personvernforordningen gjelder likt i alle EU/EØS-land
2.2.3 Et omfattende regelverk som stiller store krav til både Datatilsynet og behandlingsansvarlige
2.3 Datatilsynets virkemidler
Saksbehandling
Tilsyn
Veiledning og kommunikasjon
Utredninger
Regulatorisk sandkasse
Personvernombudsordningen
2.4 Datatilsynets organisering
Fotnoter
3. Resultater, roller og oppgaver
3.1 Et synlig tilsyn som setter personvern på dagsordnen
3.2 Sterk vekst i oppgavemengde - mange små saker tar (for) mye tid
3.3 Aktive internasjonalt
3.4 Lett tilgjengelig veileder, men for lite konkret
3.4.1 Virksomhetene etterlyser mer løsningsorientert veiledning
3.4.2 Sandkassa oppleves nyttig, men kan utnyttes enda bedre
3.5 Bred enighet om at tilsyn er nyttig og bør prioriteres
3.6 Etterlyser mer dialog også i tilsynsrollen
3.7 Datatilsynet skal balansere ulike roller
3.7.1 Omtaler ikke lenger seg selv som ombud
3.7.2 Å kombinere veiledning og tilsyn oppleves ikke som noe problem, men aktiviteter som utfyller hverandre
3.7.3 Ulike hensyn avveies ikke alltid like godt nok?
Fotnoter
4. Interne faktorer som påvirker resultatene
4.1 Vekst i antall ansatte, men fortsatt en liten virksomhet
4.2 Høy, men sårbar kompetanse
4.3 Alle roser arbeidsmiljøet
4.4 Digitale støttesystemer utnyttes ikke godt nok
4.5 Lite oppmerksomhet om ledelse og virksomhetsstyring
Flere etterlyser bedre rutiner for prioritering av saker
Ledelse har i begrenset grad vært tema
Ønske om mer administrativ støtte
Flere forbedringstiltak på gang
4.6 Organiseringen fungerer ikke optimalt
Fotnoter
5. Eksterne faktorer som påvirker resultatene
5.1 Sterk og detaljert styrt av GDPR
5.2 Godt forhold til departementene, men begrenset kontakt med JD
5.3 Personvernnemnda gir føringer for Datatilsynets arbeid
5.4 Datatilsynet har grenseflater mot mange aktører
5.5 Utviklingstrekk og utfordringer i tiden framover
Et digitalt samfunn
Flere reguleringer fra EU
Kriser, krig og kriminalitet
Sammenhengende og effektive offentlige tjenester
Fortsatt stor saksmengde
Fotnoter
6. Vurderinger og anbefalinger
6.1 Er Datatilsynet rustet til å møte utfordringene?
6.2 Datatilsynets rolle - vaktbikkje eller førerhund?
6.2.1 Lengre ut på kvisten?
Mer konkret og løsningsorientert veiledning
Mer pragmatiske?
6.2.2 En mer dialogbasert arbeidsform
6.2.3 I større grad være konstruktiv (og kritisk) medspiller for å løse store samfunnsutfordringer?
6.3 Behov for å sikre ressurser til viktige oppgaver
6.3.1 Saksbehandlingstiden må ned!
6.3.2 Datatilsynet bør ta en tydelige rolle
6.3.3 Datatilsynet bør styrkes ressursmessig
6.4 Behov for effektivisering
6.4.1 Flere ressurser løser ikke alle utfordringer
6.4.2 Behov for tydeligere styring og ledelse
6.4.3 Ta i bruk styrings- og støttesystemer
6.5 Organisering og kompetanse må tilpasses fremtidige behov
6.5.1 Rollebevissthet er viktigere enn organisatorisk skille mellom ulike oppgaver
6.5.2 Organiseringen må legge til rette for at kompetanse og ressurser brukes best mulig
6.5.3 Behov for å opprettholde fagkompetansen og sikre forvaltningskompetansen
6.6 Hvor er den "store" personverndiskusjonen?
6.6.1 Personvern er ikke bare et spørsmål om juss, men også om politikk
6.6.2 Departementene må komme enda mer på banen
6.6.3 Behov for mer faglig dialog mellom departementene og Datatilsynet
6.6.4 Behov for å vurdere Personvernnemnda?
6.7 Hovedkonklusjon og oppsummerte anbefalninger
Referanser
Vedlegg 1
Vedlegg 2
Kontakt med Datatilsynet
Datatilsynets resultater, roller og oppgaver
Datatilsynets organisering, arbeidsformer og kompetanse
Utfordringer og utviklingsbehov framover
Vedlegg 3
Datatilsynets oppgaver, ressurser og mål
Overordnet om Datatilsynets resultater
Datatilsynets roller og virkemidler
Organisering, arbeidsformer, ledelse og kompetanse (interne faktorer som påvirker resultatene)
Eksterne faktorer som påvirker Datatilsynets resultater
Utfordringer og utviklingsbehov framover
Vedlegg 4