Sammendrag:

Rask teknologisk utvikling gir nye utfordringer for personvernet. Etter at GDPR ble innlemmet i norsk lovgivning i 2018 har Datatilsynet fått mange nye oppgaver. DFØs evaluering viser at Datatilsynet oppnår mye med begrensede ressurser. Evalueringen slår fast at det er behov for å styrke Datatilsynet ressursmessig. Samtidig må det stilles tydelige krav om effektivisering av arbeidet og at Datatilsynet blir en konstruktiv medspiller for å finne løsninger som forener hensynet til personvern mot andre hensyn når det er nødvendig.

DFØ har på oppdrag fra Digitaliserings- og forvaltningsdepartementet evaluert Datatilsynet. Evalueringen skal besvare to hovedspørsmål:

• Hvordan ivaretar Datatilsynet sine roller og oppgaver?
• Hvilke forbedringer er det behov for i lys av fremtidige utfordringer på personvernområdet?

Våre hovedfunn

Datatilsynet oppnår mye med knappe ressurser
Selv om Datatilsynet har vokst betydelig de siste årene, er de fremdeles en liten virksomhet, men som setter et klart spor etter seg. De er tydelige og synlige i media og setter personvern på dagsorden i ulike kanaler. De er svært aktive internasjonalt, både inn mot arbeidet i EUorganet (EDPB) og ved å føre saker mot internasjonale teknologiselskaper som Meta og Grindr. Også «Regulatorisk sandkasse for kunstig intelligens» og et bredt anlagt kommunetilsyn i 2023, er tiltak som blir lagt merke til.

Mange små saker som tar for mye tid
Det har vært en sterk økning i antall klagesaker, avviksmeldinger og innsynsbegjæringer siden GDPR ble innført. Dette har ført til at Datatilsynet er svært styrt av innboksen og i for liten grad får utnyttet mulighetene til å drive mer konkret veiledning, mer tilsyn og samarbeide mer med andre statlige myndigheter.

Virksomhetene etterlyser mer konkret og løsningsorientert veiledning
Det er en utbredt oppfatning blant virksomhetene vi har intervjuet at Datatilsynet er for lite opptatt av å synliggjøre og utforske handlingsrommet i regelverket. Virksomhetene etterlyser klarere råd om hvordan de mer konkret kan ivareta personvernreglene i en gitt situasjon. Den regulatoriske sandkassa trekkes av mange fram som en form for løsningsorientert veiledning som bør brukes enda mer.

Ulike hensyn avveies ikke alltid godt nok?
Representanter for ulike samfunnssektorer har gitt uttrykk for at Datatilsynet i for liten grad bidrar for å finne løsninger på viktige samfunnsproblemer der hensynet til personvern hindrer deling av data. Datatilsynet selv viser til at de stadig vurderer problemstillinger der ulike hensyn vurderes mot hverandre, men at dette dels er et spørsmål om kapasitet og dels at de må bli invitert (tidlig nok) inn i prosessen. I tillegg understreker de at Datatilsynets samfunnsoppdrag er å ivareta hensynet til personvernet, og dersom dette kommer i konflikt med andre viktige hensyn må dette løftes til en politisk debatt om hva som skal tillegges største vekt.

Lite oppmerksomhet om ledelse og virksomhetsstyring
I løpet av få år har saksmengden vokst kraftig. Saksbehandlingstiden på klagesaker er på rundt ett år. Datatilsynet har vokst i antall medarbeidere og i omfang av oppgaver, men ledelse, arbeidsformer og støttesystemer er ikke helt tilpasset denne endringen. Datatilsynet mangler et godt styringssystem og det er lite tradisjon for at ledere er tydelige på prioriteringer overfor medarbeidere og stiller krav til saksbehandlingstid. Datatilsynet har imidlertid satt i gang flere utviklingstiltak for å effektivisere saksbehandlingen, og innfører et nytt, helhetlig styringssystem.

DFØs vurderinger og anbefalinger
Etter vår vurdering kan Datatilsynet vise til gode – og til dels imponerende – resultater på flere områder. Det er derfor mye det er viktig å bevare i Datatilsynets virksomhet. Ikke minst den aktive og synlige rollen de har utad og den tydelige rollen de tar ved å sette personvern på dagorden.

I en evaluering blir det likevel mest oppmerksomhet om forbedringsbehov. Vi vil i det følgende trekke frem de forbedringsområdene vi mener er viktige for at Datatilsynet skal kunne ivareta rollene sine, møte utfordringene og oppnå ønskede resultater i tiden fremover.

Datatilsynet bør være både en vaktbikkje og en førerhund
Den raske teknologiske utviklingen aktualiserer spørsmålet om hvilken rolle Datatilsynet skal ta. Hvor går balansen mellom det å passe på, kontrollere og reagere på at regelverket brytes og det å hjelpe og veilede virksomhetene i å etterleve regelverket? Og ikke minst, hvor langt kan Datatilsynet gå i å veie hensyn mot hverandre og hjelpe virksomhetene i å finne praktiske løsninger?

Etter vår vurdering er det viktig at Datatilsynet i større grad gir mer konkret og løsningsorientert veiledning. I mange tilfeller er det behov for at Datatilsynet setter foten ned og sier stopp. Men det er samtidig behov for at virksomhetene tilbys hjelp til hvordan de skal komme videre.

En mer dialogbasert arbeidsform
Datatilsynet bør etterstrebe en mer dialogbasert arbeidsform både i tilsyn og veiledning. Dersom Datatilsynet skal gå mer i dialog med den enkelte virksomhet om mulige løsninger, vil det stille nye krav til kapasitet, men også nye krav til ledere og medarbeidere hva angår kompetanse, trygghet og rollebevissthet. Medarbeiderne må være trygge nok til å gi råd, og samtidig formulere dem slik at det ikke binder dem opp ved senere tilsyn.

Økt samarbeid med andre for å løse store samfunnsutfordringer
På noen områder er det ekstra viktig at Datatilsynet engasjerer seg og går inn som en aktiv medspiller for å forsøke å finne en løsning. Dette er områder der det er helt avgjørende viktig for samfunnet å finne en løsning og som vil kreve at den enkelte virksomhet må se ut over eget samfunnsoppdrag. Det gjelder for eksempel økonomisk kriminalitet eller behov for å dele data mellom ulike etater for å ivareta behovene til sårbare barn og unge. Eierdepartementet har ansvar for at Datatilsynet settes opp slik at de har ressurser til å inngå i et slikt samarbeid når det er nødvendig, og de må bidra til at Datatilsynet inviteres inn i slike prosesser.

Datatilsynet bør ta en tydeligere faglig rolle
Datatilsynets rolle som et sterkt og troverdig fagorgan er viktigere enn noen gang. For å håndtere de store utfordringene som kommer med digitalisering må de være aktive faglige medspillere både opp mot departementene og på de ulike sektorområdene som blir berørt. Det innebærer blant annet å bruke den samlede kunnskapen de har fra tilsyn, avviksmeldinger, klagesaker og veiledning til å belyse hvilke forutsetninger som må være til stede for at ulike typer virksomheter skal kunne ivareta personvern på en god måte.

Datatilsynet bør styrkes ressursmessig
For å møte behovet for å ivareta en faglig rolle i sterkere grad, styrke tilsynsvirksomheten og bidra med konstruktiv og kritisk veiledning på mange ulike samfunnssektorer er det etter vår vurdering behov for å styrke Datatilsynet ressursmessig. Det er vanskelig for oss å anslå konkret hvor stort behovet er for økte ressurser. Vi mener Datatilsynet må komme med et konkret innspill til DFD i forbindelse med budsjettprosessen. Da blir det viktig å synliggjøre hva de bruker tiden på i dag, hvor stor den økte oppgavemengden er og hva ressursbehovet er fremover.

…men samtidig må det stilles tydelige krav til effektivisering av arbeidet
Saksbehandlingstiden på klager til Datatilsynet er etter vår vurdering uakseptabel lang. Uten endringer i arbeidsformer, arbeidsprosesser og en tydelig prioritering og styring av oppgavene, vil økte ressurser ikke gi tilstrekkelig effekt på blant annet saksbehandlingstiden på klagesaker.

Behov for tydeligere styring og ledelse og gode støttesystemer
Etter vår vurdering er det viktigste forbedringspunktet knyttet til styring og ledelse. Det er behov for klarere prioriteringer, sterkere styring og tydeligere forventninger overfor medarbeidere fra ledernes side om hvor mye tid som bør brukes på den enkelte sak. Nytt styringssystem og gode maler er en viktig forutsetning for at Datatilsynet skal kunne jobbe mer effektivt, og dette er noe vi oppfatter at Datatilsynet nå vil få på plass.

Rollebevissthet er viktigere enn organisatorisk skille mellom ulike oppgaver
Det har vært reist spørsmål om det bør være et klarere skille mellom ulike oppgaver som f.eks. veiledning og tilsyn for å hindre rollekonflikter. Etter vår vurdering vil strenge organisatoriske skiller først og fremst bety lite effektiv bruk av den samlede kompetansen og kapasiteten i Datatilsynet. Vi vil imidlertid peke på betydningen av at Datatilsynets medarbeidere er tydelige på rammene for den veiledningen de gir, og er bevisste på at de i tilsynet og klagebehandlingen utøver myndighet i kraft av et regelverk. Det må de også kommunisere til sine brukergrupper.

Personvern er ikke bare et spørsmål om juss, men også om politikk
Det er behov for å løfte spørsmål om personvern til en offentlig og politisk diskusjon. Selv om Datatilsynet har et hovedansvar i å fremme et godt personvern, må det ikke bli slik at Datatilsynet «eier» personverndiskusjonen. Med den raske teknologiske utviklingen vil det oppstå behov for deling av data på stadig nye områder og med nye formål. Når det oppstår et behov for deling av personopplysninger på kritiske områder trenger vi en balansert og opplyst debatt om hvordan personvern som verdi skal avveies og balanseres mot det som eventuelt går tapt hvis man ikke får mulighet til å dele data.

Departementene bør komme enda mer på banen
Datatilsynet er administrativt underlagt Digitaliserings- og forvaltningsdepartementet (DFD), mens Justis- og beredskapsdepartementet (JD) er ansvarlig departement for personopplysningsloven. Datatilsynet skal være faglig uavhengig i sin myndighetsutøvelse, men vi vil understreke betydningen av at departementsnivået også er aktive overfor EU når personvernregelverket skal videreutvikles og annet EU-regelverk som berører personvern skal utvikles.

Både personvernkommisjonen og Datatilsynet etterlyser en offentlig og politisk diskusjon om personvern, noe som understeker betydningen av at de ansvarlige departementene er synlige og aktive når personvern er tema.

DFØ anbefaler
• Datatilsynet bør forsterke rollen som en konstruktiv, løsningsorientert og kritisk veileder overfor målgruppene.
• Datatilsynet bør styrke sin faglige rolle både opp mot departementene og på de ulike sektorområdene som blir berørt.
• Datatilsynet bør styrke samarbeidet med andre offentlige myndigheter – både med tanke på strategisk samarbeid og overføring av kompetanse, men også for å være en aktiv medspiller for å løse store samfunnsutfordringer.
• Ombudsrollen bør fjernes fra instruksen for Datatilsynet og det bør heller legges vekt på den faglige rollen som premissgiver overfor departementene og faglig rådgiver til forvaltningen og allmennheten.
• Datatilsynet bør styrkes ressursmessig for å videreutvikle den faglige rollen, for å ivareta behovet for mer konkret og løsningsorientert veiledning og for å forsterke arbeidet med dialogbasert tilsyn.
• Datatilsynet må effektivisere arbeidet gjennom tydeligere styring og ledelse og bruk av støttesystemer.
• De ansvarlige departementene bør ta en enda mer aktiv og synlig rolle i å løfte spørsmål om personvern til en offentlig og politisk diskusjon. I den sammenheng mener DFØ at det kan være behov for en egen vurdering av det todelte departementsansvaret, der erfaringer med dagens organisering blir grundig belyst