Basert på funnene fra kartleggingen presenter vi i dette kapittelet våre vurderinger og anbefalinger. Disse er særlig knyttet til de faktorene som Datatilsynet – eller andre aktører – har muligheter for å påvirke.
6.1 Er Datatilsynet rustet til å møte utfordringene?
Som vist i de foregående kapitlene kan Datatilsynet vise til gode – og til dels imponerende – resultater på flere områder. De oppnår mye med begrensede ressurser. De er synlige i det offentlige rom og setter personvern på dagsorden. De er aktive internasjonalt og har mye positiv tilbakemelding på arbeidet med de regulatoriske sandkassene. De oppfattes som en kompetent tilsynsvirksomhet og det er stor etterspørsel etter veiledning fra Datatilsynet.
Samtidig viser vår undersøkelse at Datatilsynet også har forbedringsbehov. Den raske digitaliseringen på alle samfunnsområder gir nye utfordringer for personvernet og stiller nye krav til Datatilsynet. Dette er dels knyttet til rolleforståelse og rolleutøvelse, men det er også et klart behov for effektivisering gjennom endringer i ledelse, styring og arbeidsprosesser i virksomheten.
I lys av funnene fra vår undersøkelse og de utviklingstrekkene og utfordringene som vil få betydning for personvern fremover (jf. kap. 5.5), vil vi i det følgende trekke frem de forbedringsområdene vi mener er viktige for at Datatilsynet skal kunne ivareta rollene sine, møte utfordringene og oppnå ønskede resultater i tiden fremover. Dette berører:
- Datatilsynets rolleutøvelse
- Ressurser til Datatilsynet
- Ledelse, styring og arbeidsprosesser i Datatilsynet
- Forholdet mellom departementene og Datatilsynet
6.2 Datatilsynets rolle - vaktbikkje eller førerhund?
Den teknologiske utviklingen gir nye utfordringer for personvernet, og utviklingen går raskt. Det aktualiserer spørsmålet om hvilken rolle Datatilsynet skal ta. Hvor går balansen mellom det å passe på, kontrollere og reagere på at regelverket brytes og det å hjelpe og veilede virksomhetene i å etterleve regelverket? Og ikke minst, hvor langt kan Datatilsynet gå i å veie hensyn mot hverandre og hjelpe virksomhetene i å finne praktiske løsninger?
6.2.1 Lengre ut på kvisten?
Mer konkret og løsningsorientert veiledning
Datatilsynet har som ambisjon å bevege seg lengre ut på kvisten – å bevege seg bort fra den trygge stammen og ta litt større risiko. Dette gjelder både i rollen som veileder og i saksbehandlingen.
Vi mener dette er en riktig vei å gå. Det er et relativt unisont ønske fra brukerne om mer konkret og løsningsorient veiledning. Virksomheter som har hatt prosjekter i sandkassa opplever at de har hatt stor nytte av veiledningen her, men det er ressurskrevende for Datatilsynet, og med få prosjekter i sandkassa er det relativt få som får glede av den. Dersom denne tilnærmingsmåten også kan brukes på andre spørsmål, om enn i en noe enklere form, vil det oppleves som veldig positivt. Det er åpenbart et stort behov for mer konkret veiledning både blant offentlige og private aktører. Et komplekst regelverk med stort innslag av vage skjønnsmessige formuleringer skaper et stort behov for mer konkret og situasjonstilpasset veiledning.
Hvis man skal ta bildet «å bevege seg lengre ute på kvisten» på alvor, betyr det også at risikoen for at kvisten kan knekke øker. I mange tilfeller er det krevende vurderinger som skal gjøres i å veie hensynet til personvern opp mot andre hensyn. Går du lengre ut på kvisten, går du lengre i å utforske dette handlingsrommet.
Mer pragmatiske?
Å bevege seg lengre ut på kvisten handler også om å utvise en viss grad av pragmatisme og signalisere at de opptatt av å finne løsninger som balanserer ulike hensyn. Datatilsynet er regelverksforvalter, og hovedansvaret er å sikre personvern og beskytte personopplysninger. Regelverket er omfattende og detaljert, men legger samtidig også opp til krevende skjønnsmessige vurderinger i mange saker. Datatilsynet bør ta på alvor kritikken om at de på en del områder oppfattes som for restriktive og i for liten grad er en hjelp for virksomhetene når de står oppe i krevende vurderinger i hvordan ulike hensyn skal balanseres.
Personvernombud forteller at de selv kan bli uforholdsmessig restriktive fordi de frykter at virksomhetens praksis kan bli slått ned på av Datatilsynet. Når Datatilsynet har ord på seg for å være kompromissløse i personvernspørsmål kan det også gjøre virksomhetenes personvernombud mindre kreative i å finne løsninger som på en god måte balanserer personvern mot andre hensyn.
Det manglende samarbeidet mellom Datatilsynet og Digdir etter Schrems II dommen trekkes fram av mange som et uheldig eksempel (jf. kap. 5.4). Her ga Datatilsynet og Digdir motstridende råd om bruk av skytjenester, og forvaltningen opplevde dette som veldig krevende. Saken er en god illustrasjon på at i saker der det er ulike legitime hensyn som står mot hverandre, er det viktig å gå i dialog.
I en digital verden vil hensynet til personvern være truet og må beskyttes. Spørsmålet Datatilsynet må stille seg er hvordan de best beskytter personvernet. Vi mener det er behov for at Datatilsynet i større grad enn i dag tar en aktiv premissgiverrolle i hvordan utvikle praktiske løsninger i samarbeid med andre. I mange tilfeller er det behov for at noen setter foten ned og sier stopp. Men det er samtidig behov for at virksomhetene tilbys hjelp til hvordan komme videre. Det er behov for både en vaktbikkje og en førerhund.
6.2.2 En mer dialogbasert arbeidsform
Vi har merket oss at Datatilsynet har et uttalt ønske om å jobbe mer dialogbasert. I ny strategi slås det fast at «Vi jobber utadrettet, tverrfaglig og dialogbasert». Direktøren for Datatilsynet uttaler i den forbindelse at metodikken som brukes i sandkasseprosjektene, med dialogbasert veiledning og økt kontakt med både private og offentlige aktører, er i tråd med hvordan Datatilsynet ønsker å jobbe framover (Datatilsynet.no).
Her er Datatilsynet i takt med tiden. Utover på hele 2000-tallet har det vært et klart utviklingstrekk at forvaltningen legger opp til samarbeid, involvering og dialog i både tjenesteutvikling og myndighetsutøvelse (Difi 2019). Det holder ikke å være en morsk, autoritær vaktbikkje. Erfaringen viser at man oppnår bedre resultater ved å være lyttende og ha en mer aktiv veiledningsrolle.
Typisk vil en veiledningsrolle som ikke bare handler om å gi grunnleggende informasjon om regelverket, kreve en mer dialogbasert tilnærming. Når virksomhetene etterlyser mer konkret veiledning (jf. kap. 3.4), vil det kreve at Datatilsynet i større grad enn i dag går i en dialog med den enkelte virksomhet om hva som er problemet og mulige løsninger. Hvor mye dialog og involvering det er snakk om vil variere fra sak til sak. På noen områder jobber Datatilsynet slik allerede, men det er ikke tvil om at en utvikling i denne retningen vil stille nye krav til ledere og medarbeidere i Datatilsynet både hva angår kompetanse, trygghet og rollebevissthet. Medarbeiderne må være trygge nok til å gi råd, og samtidig formulere dem slik at det ikke binder dem opp ved senere tilsyn.
I tilsynsrollen er en mer dialogbasert arbeidsform gjerne kjennetegnet ved at det legges til rette for en tettere dialog med virksomhetene i alle faser av tilsynet enn det som tradisjonelt sett har vært vanlig. Ofte er det også elementer av veiledning i forbindelse med tilsynet. Hensikten er å sikre at man har en omforent forståelse av hva tilsynet skal handle om, at det blir gjort tilstrekkelige avklaringer underveis og at tilsynet bidrar til en læring som vil sikre bedre regeletterlevelse på sikt. Også på dette området kan Datatilsynet vise til positive erfaringer. Det store kommunetilsynet blir av både Datatilsynet og kommunesektoren trukket fram som et vellykket eksempel på et slik dialogbasert tilsyn. Her ble det lagt spesielt stor vekt på tiltak som kunne bidra til at tilsynet ble en læringsarena både for de kommunene som fikk tilsyn og for resten av Kommune-Norge.
Datatilsynets utøvelse av tilsynsrollen har imidlertid også blitt møtt med kritikk. Kritikken har primært gått ut på at det har vært mangelfull dialog underveis i tilsynet og at enkelte virksomheter har vært uforberedt på utspill fra Datatilsynet i media. En dialogbasert arbeidsform er preget av man er opptatt av å bygge gode relasjoner og tillit mellom partene. I myndighetsrollen må Datatilsynet opptre med autoritet og tydelighet, samtidig er det viktig å opptre på en måte som bygger tillit og skaper gode samarbeidsrelasjoner på sikt. Fra andre deler av norsk forvaltning vet vi at måten offentlige virksomheter opptrer på i myndighetsrollen har endret seg over tid. En autoritær og belærende stil har gradvis blitt erstattet med en mer åpen, lyttende og imøtekommende stil. Vårt inntrykk er at også Datatilsynet har utviklet seg i en slik retning, men at det fremdeles bør ha en oppmerksomhet mot dette.
6.2.3 I større grad være konstruktiv (og kritisk) medspiller for å løse store samfunnsutfordringer?
Det er i samfunnet en økende erkjennelse av at flere av vår tids store utfordringer, som for eksempel kriminalitetsbekjempelse, klimaendringer og en aldrende befolkning, ikke lar seg løse uten en samlet innsats på tvers av sektorområder og myndighetsnivåer.
Dette er ikke lett å få til i en utpreget sektorbasert forvaltning. Både systemer og kultur trekker i retning av å tenke hva som tjener egen sektor og eget samfunnsoppdrag. For Datatilsynet kommer den sterke tilknytningen til EU inn som en tilleggsdimensjon som antagelig er med på å forsterke orienteringen mot eget samfunnsoppdrag. GDPR legger sterke føringer på Datatilsynet både i form av oppgaver og rammer. Her er det blant annet lovfestet at medlemsstatene skal sørge for at de nasjonale datatilsynene har de nødvendige ressursene til å ivareta oppgavene som følger av forordningen. Med slike rammebetingelser kan det bli ekstra krevende å ivareta oppgaver som ikke oppfattes som kjerneoppgaver i henhold til personvernforordningen.
Desto viktigere blir det å ta diskusjonen om hva som skal til for at Datatilsynet i større grad enn i dag kan være en konstruktiv medspiller inn i løsningen av store samfunnsutfordringer der personvern må veies opp mot andre samfunnshensyn. Slik vi viste til i kapittel 3, er sentrale aktører bekymret for at viktige samfunnsproblemer ikke blir løst uten at Datatilsynet er med på laget. Det er derfor vår oppfatning at Datatilsynet må settes opp slik at de har ressurser til å inngå et slikt samarbeid med andre når det er nødvendig. Så betyr ikke det at det dermed blir lett å finne en løsning. Dette vil være problemer der ulike gode hensyn står mot hverandre, men et nødvendig skritt vil være å sette av tilstrekkelige ressurser til å faktisk gå inn i hvordan viktige samfunnsutfordringer kan løses samtidig som personvernhensyn blir ivaretatt.
Vi vil også ta til orde for et mer utstrakt, strategisk samarbeid med direktorater på tilgrensende fagområder. Det er allerede samarbeid spesielt med forbrukermyndighetene, men det synes å være rom for å videreutvikle samarbeidet med for eksempel Helsedirektoratet, Helsetilsynet og Arbeidstilsynet. Det kan gi nyttig innsikt i personvernregelverket for de andre direktoratene, noe som igjen kan bidra til økt oppmerksomhet om personvern i deres eget utviklingsarbeid og i tilsynsvirksomheten for de som ivaretar den funksjonen. Det kan også være viktig for å bygge opp sektorkompetansen hos medarbeidere i Datatilsynet.
Med utgangspunkt i de positive erfaringene Datatilsynet hadde i forbindelse med prosjekt Kvist, kan det også være grunn til å vurdere mer jevnlig kontakt med ulike aktører for å utveksle erfaringer og få innspill. Her kan det være mulig å hente erfaringer fra Danmark. Det danske Datatilsynet har fire kontaktutvalg: offentlig sektor, privat sektor, internasjonalt arbeid og forskning og statistikk. I kontaktutvalget for offentlig sektor møter blant annet KS og representanter for små og store kommuner og i kontaktutvalget for privat sektor møter de store interesse- og bransjeorganisasjonene.
I lys av den raske teknologiske utviklingen og strømmen av reguleringer fra EU på digitaliseringsområdet, er det etter vår vurdering spesielt viktig at samarbeidet mellom Datatilsynet og Digitaliseringsdirektoratet fortsetter, og gjerne styrkes. Det vil gi nyttig kompetanseoverføring begge veier.
6.3 Behov for å sikre ressurser til viktige oppgaver
I mandatet for denne evalueringen er vi bedt om å vurdere om Datatilsynet har nødvendige forutsetninger (ressurser og organisering) for å utføre oppgavene sine i henhold til regelverket.
6.3.1 Saksbehandlingstiden må ned!
Som beskrevet i kapittel 3 har Datatilsynet fått en stadig økende oppgavemengde. Det er særlig knyttet til det store omfanget av klagesaker, men også innsynsbegjæringer, arbeidet med sandkassene og det internasjonale arbeidet er ressurskrevende. Det er også en stor etterspørsel etter veiledning fra både private og offentlige virksomheter og behov for å styrke tilsynsvirksomheten.
Saksbehandlingstiden på klagesaker på rundt ett år er etter vår vurdering uakseptabelt lang. Det kan representere et demokratisk problem når innbyggerne må vente så lenge på et vedtak. Den store saksmengden og kravet om at Datatilsynet må fatte vedtak i alle klagesaker fører også til at tilsynet ikke får frigjort ressurser til mer strategiske oppgaver, til tilsyn og til å jobbe mer løsningsorientert i sin veiledning. Den lange saksbehandlingstiden er heller ikke tilfredsstillende for Datatilsynets medarbeidere som opplever at arbeidsbelastningen er stor (jf. kap. 4.3). Etter vår vurdering er det derfor helt nødvendig at Datatilsynet gjør grep som får saksbehandlingstiden betydelig ned.
6.3.2 Datatilsynet bør ta en tydelige rolle
Direktorater har både en gjennomføringsrolle og en faglig rolle. Den faglige rollen handler både om å komme med faglige innspill til departementene som grunnlag for politikkutvikling, og å være et kompetanseorgan ut mot sektoren, allmenheten og media (DFØ 2024c). Som direktorat er Datatilsynet svært aktive i den faglige rollen ut mot virksomheter og innbyggere. Som vist i kapittel 4 driver Datatilsynet utstrakt veiledning og er svært dyktige til å sette personvern på dagsorden.
Etter vår vurdering er Datatilsynet i dag ikke gode nok på å ivareta den andre delen av den faglige rollen, dvs. å komme med faglige innspill til politikkutvikling og gjennom å «løfte» overordnete problemstillinger. Selv om Datatilsynets hovedoppgave er å bidra til å sikre at personopplysningsloven overholdes, så kan de i større grad vise hvilke utfordringer offentlig og private virksomheter står overfor når de skal ivareta personvern og samtidig nå en rekke andre mål. Det innebærer blant annet bruke den samlede kunnskapen de har tilsyn, avviksmeldinger, klagesaker og veiledning til å belyse hvilke forutsetninger som må være til stede for at ulike typer virksomheter skal kunne ivareta personvern på en god måte.
Datatilsynet kan for eksempel på bakgrunn av det store kommunetilsynet bevisstgjøre både egne departementer og allmenheten om hvilke grunnleggende utfordringer kommunene står overfor når de skal ivareta personvern, men samtidig ofte mangler nødvendig kapasitet og kompetanse. Likeledes kan Datatilsynet vise hvilke utfordringer de ser knyttet til IT-systemene i statlige sektor, når de ser samlet på erfaringene fra tilsyn og annen kontakt med statlige virksomheter. Dels handler det om å påpeke hvor personvernet svikter, men det handler også om å synliggjøre det som kan være gjennomgående utfordringer knyttet til forutsetningene for å kunne ivareta personvern i tråd med regelverket. Som vi kommer nærmere tilbake til i kapittel 6.6.3 så bør Datatilsynet etter vår vurdering i større grad ta en slik faglig rolle med å gi innspill til både DFD, JD og de øvrige departementene. Dette krever kapasitet, kompetanse og forståelse for politiske prosesser.
For å markere at Datatilsynet bør ta en tydeligere faglig rolle, anbefaler vi at Datatilsynets ombudsrolle tas ut av instruksen. I vår forrige evaluering av Datatilsynet anbefalte vi at denne ombudsrollen burde avgrenses og tydeliggjøres slik at den faglige rollen kom tydeligere fram (Difi 2011). Datatilsynet har de senere årene selv tonet ned ombudsrollen, men vårt inntrykk er at sentrale aktører i omgivelsene fremdeles oppfatter Datatilsynet som en interessepolitisk aktør. Vi mener derfor at bruken av ombudsrollen bør fjernes, og at det i instruksen heller legges vekt på den faglige rollen som Datatilsynet har som premissgiver overfor departementene og faglig rådgiver til forvaltingen og allmennheten. Datatilsynets rolle som et sterkt og troverdig fagorgan er viktigere enn aldri før. For å håndtere de store utfordringene som kommer med digitalisering må de være aktive faglige medspillere både opp mot departementene og på de ulike sektorområdene som blir berørt.
6.3.3 Datatilsynet bør styrkes ressursmessig
Datatilsynet har færre ansatte enn sine svenske og danske søsterorganisasjoner (jf. kapittel 4.1). Datatilsynet har betydelig færre ansatte enn IMY, og noe færre ansatte enn det danske Datatilsynet. Alle de tre tilsynene skal ivareta det samme regelverket, selv om de i tillegg har noen ulike oppgaver.
For å møte behovet for å ivareta en faglig rolle i sterkere grad, styrke tilsynsvirksomheten og bidra med konstruktiv og kritisk veiledning på mange ulike samfunnssektorer er det etter vår vurdering behov for å styrke Datatilsynet ressursmessig. Da tar vi ikke høyde for eventuelle nye oppgaver som kommer som følge av innføringen av KI-forordningen eller andre kommende EU-reguleringer. Dette er også i tråd med Personvernkommisjonens anbefaling om å styrke Datatilsynet.
Som vist i kapittel 4 har Datatilsynet i dag en administrasjon som ikke er tilpasset behovene de har etter at virksomheten har økt i antall medarbeidere. Sett i lys av eventuelle nye oppgaver til Datatilsynet og en styrking av Datatilsynets ressurser, vil kan det også være behov for en ytterligere styrking av Administrasjonsavdelingen, spesielt på HR-området.
Datatilsynet registrerer ikke tidsbruk på ulike oppgaver i dag, selv om vi er kjent med at registreres tid som brukes på blant annet innsynsbegjæringer. Det er derfor vanskelig for oss å anslå konkret hvordan ressursfordelingen på ulike oppgaver er i dag og hvor stort behovet er for økte ressurser. Vi mener Datatilsynet må komme med et konkret innspill til DFD i forbindelse med budsjettprosessen. Da blir det viktig å synliggjøre hva de bruker tiden på i dag, hvor stor den økte oppgavemengden er og hva ressursbehovet er fremover. I den forbindelse er det nødvendig å være konkret mht. hvilke typer oppgaver ressursene skal brukes til og hvilke oppgaver som kan nedprioriteres. Det kan også være relevant å sammenligne omfanget av oppgaver og tilgjengelige ressurser med Datatilsynet i Danmark, som har et innbyggertall som ikke er altfor ulikt det norske.
6.4 Behov for effektivisering
6.4.1 Flere ressurser løser ikke alle utfordringer
Selv om det er behov for å styrke Datatilsynet ressursmessig, mener vi samtidig at det er viktig å stille tydelige krav til Datatilsynet om å effektivisere arbeidet. Uten endringer i arbeidsformer, arbeidsprosesser og en tydelig prioritering og styring av oppgavene, vil økte ressurser ikke gi tilstrekkelig effekt på blant annet saksbehandlingstiden på klagesaker.
Da vi evaluerte Datatilsynet i 2011 var de en liten organisasjon uten et like tydelig behov for intern styring, lederprioritering og gode støttesystemer. Med et langt større antall medarbeidere, et økende antall saker og en rask teknologisk utvikling, er behovet nå et helt annet.
6.4.2 Behov for tydeligere styring og ledelse
Etter vår vurdering er det viktigste forbedringspunktet knyttet til styring og ledelse. Når Datatilsynet har vokst i antall medarbeidere og saksmengden øker kraftig, er det behov for endringer. Skal du gå lengre ut på kvisten må du ha ledere og medarbeidere som tør å ta beslutninger uten at alle steiner er snudd. Vårt inntrykk er at Datatilsynet, i likhet med mange andre regelverksforvaltere, er preget av en forsiktighetskultur med dyp respekt for rettsregler, grundighet og likebehandling. Dette er selvsagt viktig. Datatilsynet har mulighet til å gjøre kraftfulle vedtak som kan store konsekvenser for virksomhetene, for eksempel i form av relativt betydelige overtredelsesgebyr.
Vi mener både ledere og medarbeidere i Datatilsynet kan utfordres på hva det vil kreve å ta raskere avgjørelser og gi tydeligere råd. De må tørre å ta stilling, og det må være takhøyde for at de av og til bommer. Det danske Datatilsynet greide i løpet av noen år å snu kulturen. Vi ser ingen grunn til at ikke dette også er mulig i det norske Datatilsynet. Det krever imidlertid at ledelsen har kontinuerlig oppmerksomhet på det og går foran med et godt eksempel, slik direktør Line Coll også signaliserer at hun har ambisjoner om å gjøre.
Samtidig vil vi ta til orde for at det er behov for sterkere styring og tydeligere forventninger overfor medarbeidere fra ledernes side, både om å våge å ta stilling, men også til å treffe avgjørelser raskere. Antallet klager og henvendelser har gått kraftig opp siden GDPR ble innført, og det er behov en mer effektiv saksbehandling. Det bør blant annet – i hvert fall i en periode – stilles klarere krav til forventet tidsbruk på ulike saker. Dette etter modell fra det danske Datatilsynet. Det kan oppleves detaljstyrende for den enkelte medarbeider, men det kan også gi tydeligere rammer for det arbeidet den enkelte skal gjøre.
Sterkere styring og tettere oppfølging av medarbeidere kan selvsagt påvirke arbeidsmiljøet i Datatilsynet. Tydeligere prioriteringer, klarere forventninger og bedre støttesystemer kan gi større forutsigbarhet og mindre arbeidsbelastning for den enkelte. På den annen side kan tettere oppfølging fra ledere og mer strømlinjeforming av arbeidet føre til at enkelte opplever mindre frihet enn de er vant til. Dersom dette kombineres med en ambisjon om å gå litt lengre ut på kvisten og utnytte handlingsrommet, kan det etter vår vurdering bidra til en mer effektiv oppgaveløsning og en god utvikling av fagmiljøet.
6.4.3 Ta i bruk styrings- og støttesystemer
Nytt styringssystem og gode maler er en viktig forutsetning for at Datatilsynet skal kunne jobbe mer effektivt. Det har tatt lang tid for Datatilsynet å anskaffe et styringssystem. Vi oppfatter at dette dels skyldes at Datatilsynet har en liten administrasjonsavdeling som ikke har vært rigget for å kunne gjennomføre en krevende anskaffelse, men også en viss risikoaversjon som har ført til at beslutninger om valg av digitale løsninger tar uforholdsmessig lang tid.
Selv om Datatilsynet «sitter i glasshus» og må være særlig oppmerksomme på personvern og informasjonssikkerhet når IT-systemer skal anskaffes, så har virksomheten etter vår vurdering vært i overkant risikoavers. Å gjøre en risikovurdering kan også bety å akseptere en viss risiko, så lenge konsekvensene ikke er alvorlige. Denne typen avveininger må alle virksomheter gjøre, og for en privat virksomhet som opererer i et marked vil det neppe være mulig å oppnå nullrisiko ved anskaffelse av et IT-system. Det bør også være en tankevekker for Datatilsynet, både når det gjelder egne IT-løsninger og i tilsynsvirksomheten overfor andre virksomheter.
6.5 Organisering og kompetanse må tilpasses fremtidige behov
6.5.1 Rollebevissthet er viktigere enn organisatorisk skille mellom ulike oppgaver
Personvernkommisjonen tar opp spørsmålet om Datatilsynets organisering i sin rapport (NOU 2022:11). De skriver:
«Slik kommisjonen ser det, kan det være hensiktsmessig at Datatilsynet organiserer seg slik at en behandlingsansvarlig ikke risikerer å få tilsyn basert på informasjon som stammer fra dialog knyttet til Datatilsynets veiledning av virksomheten.»
Bakgrunnen for kommisjonens anbefaling er basert på henvendelser kommisjonen har fått om at det kan være uheldig at samme organ både skal gi veiledning, fatte avgjørelser, utføre tilsyn og kontrollvirksomhet. I kommisjonens rapport vises det til at disse utfordringene oppleves å være større for private enn for offentlige virksomheter.
Som vist i kapittel 4 oppleves ikke de ulike rollene som noe problem blant ansatte i Datatilsynet. I vår kartlegging har det heller ikke kommet frem sterke kritiske røster til at Datatilsynet har ulike roller. Snarere tvert imot så er det flere som ønsker seg mer veiledning, samtidig som de ser behovet for tilsyn. I det store kommunetilsynet var det nettopp innslaget av veiledning i tilknytning til tilsynet som KS berømmet.
Etter vår vurdering løses ikke eventuelle rollekonflikter ved å endre organiseringen i Datatilsynet. Strenge organisatoriske skiller mellom medarbeidere som driver veiledning og medarbeidere som driver tilsyn vil bety lite effektiv bruk av den samlede kapasiteten og kompetansen i Datatilsynet. Det vil kunne hindre at viktige erfaringer fra tilsynsvirksomheten blir brukt i veiledningen, og det vil kunne føre til at de som skal føre tilsyn mangler kunnskap og forståelse for den virkeligheten og de utfordringene tilsynsobjektene står overfor. Av den grunn er det heller ikke uvanlig i norsk forvaltning at samme organ driver både tilsyn og veiledning.
Datatilsynet har fagteam på ulike områder. For å styrke og videreutvikle tilsynsarbeidet kan en mulighet være å opprette et tilsynsteam med ansvar for å videreutvikle praksis og bidra til at erfaringer fra ulike typer tilsyn deles i hele organisasjonen. Tilsyn – i vid betydning – er en stor del av Datatilsynets virksomhet. Både klagebehandling og behandling av avviksmeldinger defineres av flere i seg selv som tilsyn, og klager og avviksmeldinger kan være starten på et mer omfattende tilsyn. Det gjør det krevende – og ikke nødvendigvis hensiktsmessig – å skille ut all tilsynsvirksomheten organisatorisk, men det betyr også at tilsynsmetodikk og erfaringer fra tilsyn er et tema som bør være til jevnlig diskusjon i Datatilsynet. Det vil antagelig kreve en tydeligere organisatorisk forankring av tilsyn som fag enn i dag, for eksempel i form av et tverrgående team. Dersom erfaringene viser at det likevel er behov for ytterligere tydeliggjøring av tilsynsvirksomheten, så kan den formaliseres gjennom opprettelse av en egen seksjon eller avdeling. Vi vil imidlertid peke på betydningen av god rolleforståelse i en virksomhet som Datatilsynet. Det er nødvendig at alle ansatte har høy bevissthet om de ulike rollene virksomheten og de selv har. Det betyr å være tydelige på rammene for den veiledningen de gir og å være bevisste på at de i tilsynet og klagebehandlingen utøver myndighet i kraft av et regelverk. Det er også viktig at Datatilsynet kommuniserer dette tydelig til sine ulike brukergrupper.
6.5.2 Organiseringen må legge til rette for at kompetanse og ressurser brukes best mulig
Det flere som mener at organiseringen av Datatilsynet ikke fungerer så godt som ønskelig. Det er direktøren som har ansvar for å organisere virksomheten slik at målene nås på en kostnadseffektiv måte. Det er også direktøren som må finne en organisering som passer virksomhetens behov, og som nevnt tidligere er det i gang en prosess i Datatilsynet med å vurdere organisasjonsendringer. Vi skal derfor ikke komme med sterke anbefalinger knyttet til organisering, men på bakgrunn av funnene som er presentert i kapittel 4 har vi enkelte kommentarer til valg av organisering.
Det finnes ikke én organisasjonsmodell som vil være helt perfekt. Enhver organisering vil ha fordeler og ulemper, og den samme organiseringen vil sjelden være den beste over mange år. Det er derfor viktig å prioritere de hensynene det er viktigst at en organisasjonsstruktur skal ivareta.
Etter vår vurdering er det viktig at organiseringen av Datatilsynet bidrar til å sikre at:
- Målene nås og oppgavene løses på en mest mulig effektiv måte
- Kompetansen utnyttes godt og på en fleksibel måte
- Viktige fagområder er representert i ledergruppen
Det betyr at beslutningslinjene bør være kortest mulig og at organiseringen bidrar til god fordeling av oppgaver på de ulike enhetene. Det er videre viktig at organiseringen legger til rette for fleksibel, men samtidig effektiv bruk av kompetanse og kapasitet. Vårt inntrykk er at arbeidsbelastningen mellom seksjonene varierer, og det er derfor grunn til å legge til rette for mer fleksibel bruk av medarbeidere på tvers av seksjoner og avdelinger. Uansett bør ikke antallet medarbeidere i avdelinger eller seksjoner sementeres, men vurderes løpende ut fra behov og prioriteringer.
I dag får vi inntrykk av at samarbeidet mellom enhetene i noen grad er personavhengig og noe tilfeldig, selv om det er etablert flere tverrgående team på ulike områder. Det kan derfor være hensiktsmessig å vurdere mer struktur på samhandlingen mellom enheter, enten i form av faste team eller tidsavgrensede prosjekter.
Direktøren må vurdere hvilke fagområder det er viktig å ha i egen ledergruppe, samtidig som ledergruppen ikke må være for stor. Da står den i fare for å bli lite strategisk og lite effektiv. I en kompetanseorganisasjon som Datatilsynet, er det likevel viktig å sikre at viktige fagområder er representert i ledergruppen. Dette kan også variere over tid ut fra endringer i strategiske satsingsområder i Datatilsynet.
6.5.3 Behov for å opprettholde fagkompetansen og sikre forvaltningskompetansen
Som nevnt i kapittel 4 er det mange som fremhever den gode kompetansen i Datatilsynet. I tiden fremover blir det viktig for Datatilsynet å opprettholde den gode kompetansen. Gitt den teknologiske utviklingen – inkludert innføringen av KI-forordningen – blir det sentralt for Datatilsynet å beholde, utvikle og rekruttere teknologikompetanse. Dette er en kompetanse som er svært etterspurt, og der det også er en konkurranse mellom statlige virksomheter om å tiltrekke seg de beste hodene.
Datatilsynet er en attraktiv arbeidsplass for jurister med interesse for personvern, og rekrutterer flinke jurister. Som nevnt tidligere (kap. 3.6 og 4.2) har vi fra eksterne informanter fått høre om eksempler på manglende kommunikasjon og dialog i tilsynsrollen. Vi har ikke grunnlag for å vurdere hvorvidt dette er utbredt en utbredt oppfatning blant de som har vært gjenstand for tilsyn. Vi vil derimot påpeke at det er viktig at Datatilsynet legger stor vekt på at medarbeidere har god forvaltnings- og forvaltningsrettslig kompetanse, og ikke minst at de til enhver tid opptrer i tråd med det som blir oppfattet som god forvaltningsskikk.
Datatilsynet har en stor og mangslungen målgruppe, og det er ikke å forvente at Datatilsynet har kompetanse om alle mulige sektorer og bransjer. For satsingsområder som for eksempel barn og unge eller helse, er det derimot viktig at Datatilsynet har en viss sektorkompetanse. Vårt inntrykk er også at det er tilfellet. I tiden fremover er det nødvendig for Datatilsynet å beholde sektorkompetanse på tilsynets prioriterte områder, og gjerne rekruttere medarbeidere med erfaring fra andre deler av forvaltningen eller fra privat sektor.
6.6 Hvor er den "store" personverndiskusjonen?
6.6.1 Personvern er ikke bare et spørsmål om juss, men også om politikk
Vi har tidligere beskrevet at Datatilsynet lykkes med å sette personvern på dagsorden. Det er jevnlig oppslag i media om personvern, og mange av dem gjelder konkrete tilsyn som de mot Meta, Grindr og Nav. Datatilsynet er også på banen i forbindelse med den pågående diskusjonen om bruk av KI.
Samtidig ser vi at de offentlige diskusjonene som oftest blir en diskusjon om regelverk og ikke en diskusjon av de mer prinsipielle og overordnete spørsmålene om personvern sett i relasjon til andre rettigheter, verdier og hensyn. Det kom riktignok på dagorden i forbindelse med lanseringen av smitteapp’en under covid-pandemien, men også den gang ble det først og fremst en diskusjon om regelverk. Den siste tiden har det imidlertid vært en diskusjon om KI og personvern der digitaliserings- og forvaltningsministeren har vært en aktiv deltaker.
Regelverket er utvilsomt sentralt når det er snakk om personvern, men personvern kan ikke alltid ses som et spørsmål om juss. Personvern er også et spørsmål om hva slags verdier vi til enhver tid legger vekt på i samfunnet, og slik sett er det også et politisk spørsmål. Personvernkommisjonen etterlyste en «nasjonal personvernpolitikk som legger føringer for digitaliseringen av samfunnet i tillegg til hva som følger av lovgivningen.» (NOU 2022:11, s. 11)
Kommisjonen skriver videre at:
«Det krever formulering av overgripende prinsipper for hvordan samfunnet kan ivareta personvernet som en naturlig del av digitaliseringen. Utviklingen av politikken må skje i åpne samfunnsdebatter om prinsipielle spørsmål knyttet til hvor store inngrep i personvernet innbyggerne skal måtte tåle, for eksempel for å imøtekomme ønsket om effektiv forvaltning og kriminalitetsbekjempelse.» (ibid s. 11)
Vi er enige i kommisjonens anbefaling om at det er behov for å løfte spørsmålet om personvern til en offentlig og politisk diskusjon, men vi er først og fremst opptatt av dette for å sikre en balansert og opplyst debatt om hvordan personvern som verdi må balanseres og avveies mot andre viktige hensyn og verdier. Hvor store inngrep i personvernet innbyggerne må tåle, vil kunne endre seg i tråd med samfunnsutviklingen og kriser og krig.
Vi vil derfor ta til orde for at selv om prinsipper for personvern er viktig, så er det kanskje vel så viktig med rutiner og prosesser som sikrer at den offentlige debatten reises når endringer skjer som utløser et behov for økt deling av personopplysninger og dermed utfordrer personvernet. Dette er et ansvar som departementene i større grad bør ta.
6.6.2 Departementene må komme enda mer på banen
I mandatet for evalueringen er vi bedt om å vurdere hvordan det todelte departementsansvaret, det vil si lovansvar i JD og administrativt ansvar og forskriftsansvar i DFD, påvirker Datatilsynets evne til å utføre sine oppgaver. Vi presiserer at vi ikke har undersøkt hvordan de to departementene forvalter det generelle personvernarbeidet eller hvordan de arbeider inn mot internasjonale prosesser på personvernområdet. På bakgrunn av funnene som er presentert i de tidligere kapitlene, reiser vi her noen spørsmål om departementenes rolle i oppfølgingen av Datatilsynet og også deres rolle i den offentlige personverndiskusjonen (jf. kap. 6.6.1).
Som nevnt i kapittel 5, så er det begrenset kontakt mellom Datatilsynet og de to ansvarlige departementene. Den begrensede kontakten skyldes dels den uavhengigheten Datatilsynet skal ha, og dels at fagområdet er sterkt styrt fra EU. DFD har betydelig mer kontakt med Datatilsynet enn det JD har, men er likevel forsiktige og tilbakeholdne for ikke å utfordre tilsynets uavhengighet. DFD (daværende KMD) hadde i 2015/2016 dialog med ESA om Datatilsynets uavhengighet. ESA stilte spørsmål om direktørens kontrakt og lønnsfastsettelse, budsjettering og fastsettelse av delmål i tildelingsbrevene og i lys av dette gjorde departementet noen justeringer.
Datatilsynet er også selv raskt ute med å vise til sin uavhengige rolle når spørsmålet om kontakten med de to departementene kommer opp. Tilsynet legger ikke selv opp til mye faglig dialog med departementene. Selv om mange i Datatilsynet etterlyser en mer offentlig og politisk debatt om personvern, så stiller vi spørsmål ved om det at tilsynet kan oppfattes som «eier» av alle spørsmål om personvern kan «skremme» andre fra å delta i en offentlig diskurs.
Det er viktig at departementsnivået er aktive overfor EU når personvernregelverket skal videreutvikles og annet EU-regelverk som berører personvern skal utvikles. Her kan Norge som er langt fremme mht. digitale tjenester bidra aktivt med å dele erfaringer innenfor de rammer EØS-medlemskapet gir.
Som beskrevet i kapittel 3, så opplever Datatilsynet – og deres danske og svenske søsterorganisasjoner – at de bruker uforholdsmessig mye tid på å måtte behandle og fatte vedtak i alle klagesaker, uavhengig av hvilken betydning de har for personvernet. Dette er tid som Datatilsynet gjerne skulle brukt til å gi mer veiledning, gjennomføre mer tilsyn og til å bidra med faglige innspill til DFD, JD og øvrige departementer. Vi har ikke grunnlag for å vurdere hvordan departementene arbeider overfor EU og andre internasjonale organisasjoner, men vil understreke betydningen av at de to departementene jobber aktivt for å utvikle regelverket i en retning som gir Datatilsynet (og andre lands personvernmyndigheter) et tilstrekkelig handlingsrom og mulighet til selv i større grad å prioritere innsatsen mellom ulike oppgaver.
Etter vår vurdering kan det være grunn til å se nærmere på erfaringene med det todelte departementsansvaret og hvilke fordeler og ulemper denne organiseringen har. I norsk forvaltning er det vanlig at styringsansvar og lovansvar er samlet, selv om enkelte etater styres fra flere departement. I både Danmark og Sverige er det administrative ansvaret for datatilsynene og lovansvaret samlet i ett departement.
Fra et styrings- og organisasjonsperspektiv ser vi noen ulemper ved at lovansvaret og etatsstyringsansvaret for Datatilsynet er delt mellom to departementer. Datatilsynet er et uavhengig forvaltningsorgan. Det innebærer at statsrådens instruksjonsrett er avskåret, og statsråden er henvist til å styre ved hjelp av lov og forskrift (Difi 2017). Uten et ansvar for å utvikle regelverket, har ikke departementet med etatsstyringsansvar kontroll over det viktigste virkemiddelet i styringen av Datatilsynet. Og uten ansvar for den ordinære etatsstyringsdialogen er det vanskeligere for departementet som har ansvar for regelverksutviklingen å få tilstrekkelig informasjon og forståelse for Datatilsynets virksomhet og utfordringer. Å samle ansvaret i ett departementet vil derfor kunne bidra til en mer helhetlig og effektiv styring og oppfølging av Datatilsynet.
Både personvernkommisjonen og Datatilsynet etterlyser en offentlig og politisk diskusjon om personvern. I en bredere vurdering av erfaringene med det delte ansvaret, bør ett tema være hvordan forutsetningene ligger til rette for at departementene kan ta en aktiv og synlig rolle.
En bred vurdering av det todelte departementsansvaret er ikke innenfor vårt mandat. Det bør være gjenstand for en egen evaluering, der erfaringer med dagens organisering blir grundig belyst. En vurdering av dagens organisering må ses i lys av de ulike hensynene som organiseringen skal ivareta. Det vil blant annet være både faglige, organisatoriske og politiske hensyn. Hensynet til effektivitet bør også inngå.
6.6.3 Behov for mer faglig dialog mellom departementene og Datatilsynet
En forutsetning for at embetsverket i departementene skal kunne bidra til å løfte personvernspørsmål til politisk nivå, er at de får gode, faglige innspill fra Datatilsynet. Dette gjøres i dag, men som oftest dreier det seg om å besvare konkrete henvendelser fra departementene (primært DFD). Datatilsynet kommer i mindre grad med mer overordnete innspill. Etter vår vurdering er dette en viktig del av alle direktoraters rolle. Som direktorat skal Datatilsynet ivareta sin faglige rolle ikke bare utad mot innbyggere, næringsliv og media, men også opp mot departementene (DFØ 2024c). Datatilsynet har en viktig oppgave med å komme med faglige innspill til politikkutvikling på personvernområdet. Dette inkluderer den type innspill til endring eller presisering av regelverk som Datatilsynet kommer med også i dag, men i tillegg er det rom for mer overordnete og helhetlige faglige innspill. Enten på bestilling fra departementene eller på initiativ fra Datatilsynet selv. Det krever at Datatilsynet ikke bare har faglig kompetanse, men også en viss forståelse for politiske prosesser.
Som nevnt tidligere så brukes Datatilsynets uavhengighet som begrunnelse for den begrensede kontakten med departementene. Det er utvilsomt viktig at både departementene og Datatilsynet hegner om tilsynets uavhengighet, men etter vår vurdering er ikke uavhengigheten til hinder for mer faglig kontakt. Som vi påpekte også i evalueringen av Datatilsynet i 2011, så kan faglig erfaringsutveksling og drøfting av faglige problemstillinger mellom departementene og Datatilsynet være nyttige for begge parter.
Rent faglige møter mellom Datatilsynet og departementene kan bidra til at det blir en bredere diskusjon om utviklingstrekk og utfordringer på personvernområdet. Det igjen kan være et grunnlag for å løfte diskusjonen om personvern sett opp mot andre verdier og rettigheter.
For DFD mener vi det kan være hensiktsmessig å tilrettelegge for felles fagdialog med Datatilsynet, Digitaliseringsdirektoratet og Nasjonal kommunikasjonsmyndighet som alle har tilgrensende ansvarsområder. Det kan bidra til å få løftet viktige faglige problemstillinger for departementet og bidra til godt samarbeid mellom virksomhetene.
6.6.4 Behov for å vurdere Personvernnemnda?
Det ligger ikke i vårt mandat å vurdere Personvernnemnda, og nemnda har kun vært tema i vår evaluering når det har vært spørsmål om Datatilsynets forhold til de andre personvernmyndighetene. Gitt det brede saksområdet Datatilsynet har, veksten i antallet saker og den økte kompleksiteten i sakene, stiller vi likevel spørsmål om det kan være grunn til å se nærmere på Personvernnemndas innretning. Personvernkommisjonen mente også at det bør gjøres jevnlige evalueringer av Personvernnemda for å se om nemnda utfører sin funksjon på tilstrekkelig vis, og at den er velfungerende (NOU 2022:11).
Vi vil spesielt peke på behovet for å vurdere sekretariatet, som er sårbart med kun en ansatt når saksmengden er stor og sakene mer komplekse. Difi og DFØ har i tidligere rapporter kartlagt klagenemdenes rolle i norsk forvaltning der vi blant annet har pekt på at en svært fragmentert nemndsstruktur fører til små og svake fagmiljøer (Difi 2014, Difi 2017 og DFØ 2024b). For å få større fagmiljøer og en mer kostnadseffektiv drift er det i løpet av det siste 10-året etablert to fellessekretariater som en rekke nemnder har knyttet til, Helseklage og Klagenemndsekretariatet. Så langt er erfaringene med disse sekretariatene gode, og DFØ har i rapport 2024:1 «Nemnd eller ikke nemnd» gitt som en generell anbefaling at det bør vurderes å legge flere nemnder til Klagenemndssekretariatet. Vi mener derfor det bør vurderes om det er mulig og hensiktsmessig å legge sekretariatet for Personvernnemnda til Klagenemndssekretariatet. I en slik vurdering bør nemndas kapasitet og kompetanse også vurderes i lys av omfanget og sakstypene som man ser for seg kommer i tiden fremover.
6.7 Hovedkonklusjon og oppsummerte anbefalninger
Vår hovedkonklusjon er at Datatilsynet oppnår mye med knappe ressurser. Datatilsynet er tydelig og synlig i media og setter personvern på dagsorden i ulike kanaler. De er svært aktive internasjonalt og har trappet opp tilsynsvirksomheten de siste årene. Også «Regulatorisk sandkasse for kunstig intelligens» og et bredt anlagt kommunetilsyn i 2023 er eksempler på det vi mener er gode resultater for Datatilsynet.
Samtidig har det siden innføringen av GDPR vært en sterk økning i antall klagesaker, avviksmeldinger og innsynsbegjæringer. Dette har ført til at Datatilsynet er svært styrt av innboksen og i for liten grad får utnyttet mulighetene til å drive mer konkret veiledning, mer tilsyn og samarbeide mer med andre statlige myndigheter. Etter vår vurdering er det også behov for at de jobber mer løsningsorientert overfor målgruppene og i større grad løfter fram overordnede problemstillinger overfor departementene.
Det har vært reist spørsmål om at det kan være uheldig at samme organ både skal gi veiledning, fatte avgjørelser, utføre tilsyn og kontrollvirksomhet. Etter vår vurdering løses ikke eventuelle rollekonflikter ved å endre organiseringen i Datatilsynet. Vi vil imidlertid peke på betydningen av god rolleforståelse. Det er viktig at Datatilsynets medarbeidere er tydelige på rammene for den veiledningen de gir og at de er bevisste på at de i tilsynet og klagebehandlingen utøver myndighet i kraft av et regelverk.
Datatilsynet har vokst i antall medarbeidere og i omfang av oppgaver, men ledelse, arbeidsformer og støttesystemer er ikke helt tilpasset denne endringen. Datatilsynet mangler et godt styringssystem og det er lite tradisjon for at ledere stiller krav til medarbeiderne om prioritering og saksbehandlingstid.
Datatilsynet skal være faglig uavhengig i sin myndighetsutøvelse, men vi vil understreke betydningen av at departementsnivået er aktive overfor EU når personvernregelverket skal videreutvikles og annet EU-regelverk som berører personvern skal utvikles. Fra et styringsperspektiv er det etter vår oppfatning grunn til å se nærmere på erfaringene med det todelte departementsansvaret og hvilke fordeler og ulemper denne organiseringen har, blant annet for en helhetlig og effektiv styring av Datatilsynet.
Våre anbefalinger kan oppsummeres slik:
- For å håndtere de store utfordringene og mulighetene digitaliseringen gir, bør Datatilsynet forsterke rollen som en konstruktiv, løsningsorientert og kritisk veileder overfor målgruppene.
- Datatilsynet bør styrke sin faglige rolle både opp mot departementene og på de ulike sektorområdene som blir berørt.
- Datatilsynet bør styrke samarbeidet med andre offentlige myndigheter – både med tanke på strategisk samarbeid og overføring av kompetanse, men også for å være en aktiv medspiller for å løse store samfunnsutfordringer.
- Ombudsrollen bør fjernes fra instruksen for Datatilsynet og det bør heller legges vekt på den faglige rollen som premissgiver overfor departementene og faglig rådgiver til forvaltingen og allmennheten.
- Datatilsynet bør styrkes ressursmessig for å videreutvikle den faglige rollen, for å ivareta behovet for mer konkret og løsningsorientert veiledning og for å forsterke arbeidet med dialogbasert tilsyn.
- Datatilsynet må effektivisere arbeidet gjennom tydeligere styring og ledelse og bruk av støttesystemer.
- De ansvarlige departementene bør ta en enda mer aktiv og synlig rolle i å løfte spørsmål om personvern til en offentlig og politisk diskusjon. I den sammenheng mener DFØ at det kan være behov for en egen vurdering av det todelte departementsansvaret, der erfaringer med dagens organisering blir grundig belyst.