Kapittel

Sammendrag

Rask teknologisk utvikling gir nye utfordringer for personvernet. Etter at GDPR ble innlemmet i norsk lovgivning i 2018 har Datatilsynet fått mange nye oppgaver. DFØs evaluering viser at Datatilsynet oppnår mye med begrensede ressurser. Evalueringen slår fast at det er behov for å styrke Datatilsynet ressursmessig. Samtidig må det stilles tydelige krav om effektivisering av arbeidet og at Datatilsynet blir en konstruktiv medspiller for å finne løsninger som forener hensynet til personvern mot andre hensyn når det er nødvendig.

DFØ har på oppdrag fra Digitaliserings- og forvaltningsdepartementet evaluert Datatilsynet. Evalueringen skal besvare to hovedspørsmål:

  • Hvordan ivaretar Datatilsynet sine roller og oppgaver?
  • Hvilke forbedringer er det behov for i lys av fremtidige utfordringer på personvernområdet?

Våre hovedfunn

Datatilsynet oppnår mye med knappe ressurser

Selv om Datatilsynet har vokst betydelig de siste årene, er de fremdeles en liten virksomhet, men som setter et klart spor etter seg.  De er tydelige og synlige i media og setter personvern på dagsorden i ulike kanaler. De er svært aktive internasjonalt, både inn mot arbeidet i EU-organet (EDPB) og ved å føre saker mot internasjonale teknologiselskaper som Meta og Grindr. Også «Regulatorisk sandkasse for kunstig intelligens» og et bredt anlagt kommunetilsyn i 2023, er tiltak som blir lagt merke til.

Mange små saker som tar for mye tid

Det har vært en sterk økning i antall klagesaker, avviksmeldinger og innsynsbegjæringer siden GDPR ble innført. Dette har ført til at Datatilsynet er svært styrt av innboksen og i for liten grad får utnyttet mulighetene til å drive mer konkret veiledning, mer tilsyn og samarbeide mer med andre statlige myndigheter.

Virksomhetene etterlyser mer konkret og løsningsorientert veiledning

Det er en utbredt oppfatning blant virksomhetene vi har intervjuet at Datatilsynet er for lite opptatt av å synliggjøre og utforske handlingsrommet i regelverket. Virksomhetene etterlyser klarere råd om hvordan de mer konkret kan ivareta personvernreglene i en gitt situasjon. Den regulatoriske sandkassa trekkes av mange fram som en form for løsningsorientert veiledning som bør brukes enda mer.

Ulike hensyn avveies ikke alltid godt nok?

Representanter for ulike samfunnssektorer har gitt uttrykk for at Datatilsynet i for liten grad bidrar for å finne løsninger på viktige samfunnsproblemer der hensynet til personvern hindrer deling av data. Datatilsynet selv viser til at de stadig vurderer problemstillinger der ulike hensyn vurderes mot hverandre, men at dette dels er et spørsmål om kapasitet og dels at de må bli invitert (tidlig nok) inn i prosessen. I tillegg understreker de at Datatilsynets samfunnsoppdrag er å ivareta hensynet til personvernet, og dersom dette kommer i konflikt med andre viktige hensyn må dette løftes til en politisk debatt om hva som skal tillegges største vekt.

Lite oppmerksomhet om ledelse og virksomhetsstyring

I løpet av få år har saksmengden vokst kraftig. Saksbehandlingstiden på klagesaker er på rundt ett år. Datatilsynet har vokst i antall medarbeidere og i omfang av oppgaver, men ledelse, arbeidsformer og støttesystemer er ikke helt tilpasset denne endringen. Datatilsynet mangler et godt styringssystem og det er lite tradisjon for at ledere er tydelige på prioriteringer overfor medarbeidere og stiller krav til saksbehandlingstid. Datatilsynet har imidlertid satt i gang flere utviklingstiltak for å effektivisere saksbehandlingen, og innfører et nytt, helhetlig styringssystem.

DFØs vurderinger og anbefalinger

Etter vår vurdering kan Datatilsynet vise til gode – og til dels imponerende – resultater på flere områder. Det er derfor mye det er viktig å bevare i Datatilsynets virksomhet. Ikke minst den aktive og synlige rollen de har utad og den tydelige rollen de tar ved å sette personvern på dagorden.

I en evaluering blir det likevel mest oppmerksomhet om forbedringsbehov. Vi vil i det følgende trekke frem de forbedringsområdene vi mener er viktige for at Datatilsynet skal kunne ivareta rollene sine, møte utfordringene og oppnå ønskede resultater i tiden fremover.

Datatilsynet bør være både en vaktbikkje og en førerhund

Den raske teknologiske utviklingen aktualiserer spørsmålet om hvilken rolle Datatilsynet skal ta. Hvor går balansen mellom det å passe på, kontrollere og reagere på at regelverket brytes og det å hjelpe og veilede virksomhetene i å etterleve regelverket? Og ikke minst, hvor langt kan Datatilsynet gå i å veie hensyn mot hverandre og hjelpe virksomhetene i å finne praktiske løsninger?

Etter vår vurdering er det viktig at Datatilsynet i større grad gir mer konkret og løsningsorientert veiledning. I mange tilfeller er det behov for at Datatilsynet setter foten ned og sier stopp. Men det er samtidig behov for at virksomhetene tilbys hjelp til hvordan de skal komme videre.

En mer dialogbasert arbeidsform

Datatilsynet bør etterstrebe en mer dialogbasert arbeidsform både i tilsyn og veiledning. Dersom Datatilsynet skal gå mer i dialog med den enkelte virksomhet om mulige løsninger, vil det stille nye krav til kapasitet, men også nye krav til ledere og medarbeidere hva angår kompetanse, trygghet og rollebevissthet. Medarbeiderne må være trygge nok til å gi råd, og samtidig formulere dem slik at det ikke binder dem opp ved senere tilsyn.

Økt samarbeid med andre for å løse store samfunnsutfordringer

På noen områder er det ekstra viktig at Datatilsynet engasjerer seg og går inn som en aktiv medspiller for å forsøke å finne en løsning. Dette er områder der det er helt avgjørende viktig for samfunnet å finne en løsning og som vil kreve at den enkelte virksomhet må se ut over eget samfunnsoppdrag. Det gjelder for eksempel økonomisk kriminalitet eller behov for å dele data mellom ulike etater for å ivareta behovene til sårbare barn og unge.  Eierdepartementet har ansvar for at Datatilsynet settes opp slik at de har ressurser til å inngå i et slikt samarbeid når det er nødvendig, og de må bidra til at Datatilsynet inviteres inn i slike prosesser.

Datatilsynet bør ta en tydeligere faglig rolle

Datatilsynets rolle som et sterkt og troverdig fagorgan er viktigere enn noen gang. For å håndtere de store utfordringene som kommer med digitalisering må de være aktive faglige medspillere både opp mot departementene og på de ulike sektorområdene som blir berørt.  Det innebærer blant annet å bruke den samlede kunnskapen de har fra tilsyn, avviksmeldinger, klagesaker og veiledning til å belyse hvilke forutsetninger som må være til stede for at ulike typer virksomheter skal kunne ivareta personvern på en god måte.

Datatilsynet bør styrkes ressursmessig

For å møte behovet for å ivareta en faglig rolle i sterkere grad, styrke tilsynsvirksomheten og bidra med konstruktiv og kritisk veiledning på mange ulike samfunnssektorer er det etter vår vurdering behov for å styrke Datatilsynet ressursmessig. Det er vanskelig for oss å anslå konkret hvor stort behovet er for økte ressurser. Vi mener Datatilsynet må komme med et konkret innspill til DFD i forbindelse med budsjettprosessen. Da blir det viktig å synliggjøre hva de bruker tiden på i dag, hvor stor den økte oppgavemengden er og hva ressursbehovet er fremover.

…men samtidig må det stilles tydelige krav til effektivisering av arbeidet

Saksbehandlingstiden på klager til Datatilsynet er etter vår vurdering uakseptabel lang.  Uten endringer i arbeidsformer, arbeidsprosesser og en tydelig prioritering og styring av oppgavene, vil økte ressurser ikke gi tilstrekkelig effekt på blant annet saksbehandlingstiden på klagesaker.

Behov for tydeligere styring og ledelse og gode støttesystemer

Etter vår vurdering er det viktigste forbedringspunktet knyttet til styring og ledelse. Det er behov for klarere prioriteringer, sterkere styring og tydeligere forventninger overfor medarbeidere fra ledernes side om hvor mye tid som bør brukes på den enkelte sak. Nytt styringssystem og gode maler er en viktig forutsetning for at Datatilsynet skal kunne jobbe mer effektivt, og dette er noe vi oppfatter at Datatilsynet nå vil få på plass.

Rollebevissthet er viktigere enn organisatorisk skille mellom ulike oppgaver

Det har vært reist spørsmål om det bør være et klarere skille mellom ulike oppgaver som f.eks. veiledning og tilsyn for å hindre rollekonflikter. Etter vår vurdering vil strenge organisatoriske skiller først og fremst bety lite effektiv bruk av den samlede kompetansen og kapasiteten i Datatilsynet. Vi vil imidlertid peke på betydningen av at Datatilsynets medarbeidere er tydelige på rammene for den veiledningen de gir, og er bevisste på at de i tilsynet og klagebehandlingen utøver myndighet i kraft av et regelverk. Det må de også kommunisere til sine brukergrupper.

Personvern er ikke bare et spørsmål om juss, men også om politikk

Det er behov for å løfte spørsmål om personvern til en offentlig og politisk diskusjon. Selv om Datatilsynet har et hovedansvar i å fremme et godt personvern, må det ikke bli slik at Datatilsynet «eier» personverndiskusjonen. Med den raske teknologiske utviklingen vil det oppstå behov for deling av data på stadig nye områder og med nye formål. Når det oppstår et behov for deling av personopplysninger på kritiske områder trenger vi en balansert og opplyst debatt om hvordan personvern som verdi skal avveies og balanseres mot det som eventuelt går tapt hvis man ikke får mulighet til å dele data.

Departementene bør komme enda mer på banen

Datatilsynet er administrativt underlagt Digitaliserings- og forvaltningsdepartementet (DFD), mens Justis- og beredskapsdepartementet (JD) er ansvarlig departement for personopplysningsloven. Datatilsynet skal være faglig uavhengig i sin myndighetsutøvelse, men vi vil understreke betydningen av at departementsnivået også er aktive overfor EU når personvernregelverket skal videreutvikles og annet EU-regelverk som berører personvern skal utvikles.

Både personvernkommisjonen og Datatilsynet etterlyser en offentlig og politisk diskusjon om personvern, noe som understeker betydningen av at de ansvarlige departementene er synlige og aktive når personvern er tema.

DFØ anbefaler

  • Datatilsynet bør forsterke rollen som en konstruktiv, løsningsorientert og kritisk veileder overfor målgruppene.
  • Datatilsynet bør styrke sin faglige rolle både opp mot departementene og på de ulike sektorområdene som blir berørt.
  • Datatilsynet bør styrke samarbeidet med andre offentlige myndigheter – både med tanke på strategisk samarbeid og overføring av kompetanse, men også for å være en aktiv medspiller for å løse store samfunnsutfordringer.
  • Ombudsrollen bør fjernes fra instruksen for Datatilsynet og det bør heller legges vekt på den faglige rollen som premissgiver overfor departementene og faglig rådgiver til forvaltningen og allmennheten.
  • Datatilsynet bør styrkes ressursmessig for å videreutvikle den faglige rollen, for å ivareta behovet for mer konkret og løsningsorientert veiledning og for å forsterke arbeidet med dialogbasert tilsyn.
  • Datatilsynet må effektivisere arbeidet gjennom tydeligere styring og ledelse og bruk av støttesystemer.
  • De ansvarlige departementene bør ta en enda mer aktiv og synlig rolle i å løfte spørsmål om personvern til en offentlig og politisk diskusjon. I den sammenheng mener DFØ at det kan være behov for en egen vurdering av det todelte departementsansvaret, der erfaringer med dagens organisering blir grundig belyst.
Oppdatert: 19. august 2024

DFØ-rapport 2024:8 Både vaktbikkje og førerhund?

Skriv ut / lag PDF

Forord

Sammendrag

Våre hovedfunn

Datatilsynet oppnår mye med knappe ressurser

Mange små saker som tar for mye tid

Virksomhetene etterlyser mer konkret og løsningsorientert veiledning

Ulike hensyn avveies ikke alltid godt nok?

Lite oppmerksomhet om ledelse og virksomhetsstyring

DFØs vurderinger og anbefalinger

Datatilsynet bør være både en vaktbikkje og en førerhund

En mer dialogbasert arbeidsform

Økt samarbeid med andre for å løse store samfunnsutfordringer

Datatilsynet bør ta en tydeligere faglig rolle

Datatilsynet bør styrkes ressursmessig

…men samtidig må det stilles tydelige krav til effektivisering av arbeidet

Behov for tydeligere styring og ledelse og gode støttesystemer

Rollebevissthet er viktigere enn organisatorisk skille mellom ulike oppgaver

Personvern er ikke bare et spørsmål om juss, men også om politikk

Departementene bør komme enda mer på banen

DFØ anbefaler

1. Innledning

1.1 Bakgrunn

1.2 Mål og problemstillinger

Utdyping av problemstillinger

Analysemodell

1.3 Avgrensninger

1.4 Metode og datagrunnlag

Dokumentgjennomgang

Intervjuer

Møter og innlegg underveis i evalueringen

Studiebesøk i Sverige og Danmark

Presentasjon av datamaterialet

1.5 Leseveiledning

2. Datatilsynet og personvernregelverket

2.1 Personvernmyndighetene

2.2 Personvenregelverket

2.2.1 Et regelverk for å møte den teknologiske utviklingen

2.2.2 Personvernforordningen gjelder likt i alle EU/EØS-land

2.2.3 Et omfattende regelverk som stiller store krav til både Datatilsynet og behandlingsansvarlige

2.3 Datatilsynets virkemidler

Saksbehandling

Tilsyn

Veiledning og kommunikasjon

Utredninger

Regulatorisk sandkasse

Personvernombudsordningen

2.4 Datatilsynets organisering

Fotnoter

3. Resultater, roller og oppgaver

3.1 Et synlig tilsyn som setter personvern på dagsordnen

3.2 Sterk vekst i oppgavemengde - mange små saker tar (for) mye tid

3.3 Aktive internasjonalt

3.4 Lett tilgjengelig veileder, men for lite konkret

3.4.1 Virksomhetene etterlyser mer løsningsorientert veiledning

3.4.2 Sandkassa oppleves nyttig, men kan utnyttes enda bedre

3.5 Bred enighet om at tilsyn er nyttig og bør prioriteres

3.6 Etterlyser mer dialog også i tilsynsrollen

3.7 Datatilsynet skal balansere ulike roller

3.7.1 Omtaler ikke lenger seg selv som ombud

3.7.2 Å kombinere veiledning og tilsyn oppleves ikke som noe problem, men aktiviteter som utfyller hverandre

3.7.3 Ulike hensyn avveies ikke alltid like godt nok?

Fotnoter

4. Interne faktorer som påvirker resultatene

4.1 Vekst i antall ansatte, men fortsatt en liten virksomhet

4.2 Høy, men sårbar kompetanse

4.3 Alle roser arbeidsmiljøet

4.4 Digitale støttesystemer utnyttes ikke godt nok

4.5 Lite oppmerksomhet om ledelse og virksomhetsstyring

Flere etterlyser bedre rutiner for prioritering av saker

Ledelse har i begrenset grad vært tema

Ønske om mer administrativ støtte

Flere forbedringstiltak på gang

4.6 Organiseringen fungerer ikke optimalt

Fotnoter

5. Eksterne faktorer som påvirker resultatene

5.1 Sterk og detaljert styrt av GDPR

5.2 Godt forhold til departementene, men begrenset kontakt med JD

5.3 Personvernnemnda gir føringer for Datatilsynets arbeid

5.4 Datatilsynet har grenseflater mot mange aktører

5.5 Utviklingstrekk og utfordringer i tiden framover

Et digitalt samfunn

Flere reguleringer fra EU

Kriser, krig og kriminalitet

Sammenhengende og effektive offentlige tjenester

Fortsatt stor saksmengde

Fotnoter

6. Vurderinger og anbefalinger

6.1 Er Datatilsynet rustet til å møte utfordringene?

6.2 Datatilsynets rolle - vaktbikkje eller førerhund?

6.2.1 Lengre ut på kvisten?

Mer konkret og løsningsorientert veiledning

Mer pragmatiske?

6.2.2 En mer dialogbasert arbeidsform

6.2.3 I større grad være konstruktiv (og kritisk) medspiller for å løse store samfunnsutfordringer?

6.3 Behov for å sikre ressurser til viktige oppgaver

6.3.1 Saksbehandlingstiden må ned!

6.3.2 Datatilsynet bør ta en tydelige rolle

6.3.3 Datatilsynet bør styrkes ressursmessig

6.4 Behov for effektivisering

6.4.1 Flere ressurser løser ikke alle utfordringer

6.4.2 Behov for tydeligere styring og ledelse

6.4.3 Ta i bruk styrings- og støttesystemer

6.5 Organisering og kompetanse må tilpasses fremtidige behov

6.5.1 Rollebevissthet er viktigere enn organisatorisk skille mellom ulike oppgaver

6.5.2 Organiseringen må legge til rette for at kompetanse og ressurser brukes best mulig

6.5.3 Behov for å opprettholde fagkompetansen og sikre forvaltningskompetansen

6.6 Hvor er den "store" personverndiskusjonen?

6.6.1 Personvern er ikke bare et spørsmål om juss, men også om politikk

6.6.2 Departementene må komme enda mer på banen

6.6.3 Behov for mer faglig dialog mellom departementene og Datatilsynet

6.6.4 Behov for å vurdere Personvernnemnda?

6.7 Hovedkonklusjon og oppsummerte anbefalninger

Referanser

Vedlegg 1

Vedlegg 2

Kontakt med Datatilsynet

Datatilsynets resultater, roller og oppgaver

Datatilsynets organisering, arbeidsformer og kompetanse

Utfordringer og utviklingsbehov framover 

Vedlegg 3

Datatilsynets oppgaver, ressurser og mål

Overordnet om Datatilsynets resultater 

 Datatilsynets roller og virkemidler

Organisering, arbeidsformer, ledelse og kompetanse (interne faktorer som påvirker resultatene)

 Eksterne faktorer som påvirker Datatilsynets resultater

 Utfordringer og utviklingsbehov framover 

Vedlegg 4

Datatilsynet i Danmark

Nøkkeltall

Særtrekk ved Datatilsynet i Danmark

Organisering

Utvikling i saksbehandling

Utviklingstrekk og erfaringer

Integritetsskyddsmyndigheten (IMY)

Nøkkeltall

Særtrekk ved IMY

Utviklingstrekk og erfaringer

Fant du det du lette etter?

Nei

Det beklager vi!

Tilbakemeldingen din er anonym og vil ikke bli besvart. Vi bruker den til å forbedre nettsidene. Hvis du vil ha svar fra oss, ta kontakt på telefon, e-post eller kundesenter på nett.