Årsrapporten for 2025 teiknar eit bilete av eit år med høg aktivitet og ein digital kvardag i rask endring. Vi ser at teknologien grip djupare inn i liva våre enn før, noko som stiller nye krav til oss som tilsynsstyresmakt og til verksemdene der ute. For å gje eit bilete av situasjonen, vil eg løfte fram tre trendar som særleg har markert seg, og som vi veit vil krevje mykje av oss også i tida som kjem.

Kraftig auke i talet på klager – ved hjelp av kunstig intelligens (KI)

Talet på klagesaker auka med heile 105 prosent frå 2024. Dette er klager frå enkeltpersonar som meiner at rettane deira er brotne. Auken i klager har skjedd over tid og er ikkje overraskande. Men ein ny, tydeleg trend vi ser, er at mange av klagene som vert sendt inn til oss, er utforma ved hjelp av KI-verktøy. Dette gjev oss fleire og meir komplekse klager. Vi ser at mange av KI-klagene er generelle og i liten grad faktabaserte, noko som gjer saksbehandlinga vår meir tidkrevjande.

Vi arbeider konstruktivt med å møte denne utviklinga, med rettleiing eksternt og forsvarleg bruk av KI og andre verktøy i den interne drifta vår. Vi bruker KI mellom anna som eit støtteverktøy i saksbehandlinga, og håper på sikt at dette vil hjelpe oss å handtere klagene både effektivt og med høg kvalitet.

Personvernet til barn og unge under press

Personvernet til barn og unge har vore eit av våre prioriterte område i 2025. Vi gjennomførte tilsyn med skular i 50 kommunar over heile landet. Målet var å undersøkje korleis personvernet til elevane blir ivareteke i digitale læringsplattformer som blir brukte i undervisninga. Funna var alarmerande. Hundrevis av digitale verktøy blir ikkje vurderte godt nok før dei blir tekne i bruk. Fleire kommunar uttrykkjer også eit stort behov for betre og meir omfattande koordinering når det gjeld vurdering av personvernet i dei digitale læringsverktøya.

Personvernet til barn og unge var også tema då regjeringa la fram forslag til ei ny lov om aldersgrenser i sosiale medium. Her bidro Datatilsynet med å synleggjere personvernkonsekvensane i den offentlege debatten og i høringssvaret vårt.

Vi har også laga eit nytt støtteverktøy for foreldre i samarbeid med Utdanningsdirektoratet. Verktøyet er gratis tilgjengeleg på nettstaden Dubestemmer.no og skal hjelpe foreldre med å snakke med kvarandre og med barna sine om personvern og digital dømmekraft.

Kunstig intelligens og ei uroleg verd

Det siste året var dessutan prega av auka bekymring rundt korleis dei internasjonale teknologigigantane tek vare på personvernet, særleg når det gjeld trening av KI-modellar. Dette har vi følgt opp i det internasjonale arbeidet vårt inn mot Det europeiske personvernrådet (EDPB). Vi publiserte mellom anna rettleiing for å hjelpe enkeltpersonar med å reservere seg mot at opplysningane deira blir brukte til KI-trening på ulike plattformer då dette vart lansert.

Personvern er ein menneskerett. Datatilsynet har ei nøkkelrolle i å bidra til å sikre at personvern er ein del av det solide fundamentet som må liggje til grunn for å kunne nytte moglegheitene i kunstig intelligens, setje fart på den nødvendige omstillinga i samfunnet og for å fremje innovasjon. I den geopolitiske situasjonen vi har i dag, må vi likevel tenkje både innovasjon og tryggleik samstundes. Skal vi lage robuste og trygge løysingar for framtida, er vi heilt avhengige av at konfidensialitet, integritet og tilgjengelegheit ligg som ein grunnmur i all utvikling som blir gjort.

Årsrapporten for 2025

Dette er berre ein liten smakebit av det som stod på agendaen vår i fjor – og som framleis vil vere noko vi følgjer nøye med på framover. For det fulle biletet vil eg tilrå eit djupdykk i årsrapporten for 2025.

Dette innlegget er skrevet av Line Coll, direktør i Datatilsynet, og Kari Laumann, seksjonssjef for utredning, analyse og politikk i Datatilsynet. Innlegget ble først publisert i Altinget 28.01.2026.

Her hjemme har vi akkurat sparket i gang 2026, som av myndighetene er utpekt som Totalforsvarsåret. På bortebane ser vi at gamle allianser knaker og at den gamle regelbaserte verdensordenen utfordres. Teknologi har blitt et sentralt maktmiddel i geopolitikk, og personvern spiller en stadig viktigere rolle i sikkerhetspolitikken.

Tekoligarker og avhengighet

Store deler av Norges digitale infrastruktur er levert av en håndfull amerikanske selskaper. Disse selskapene er ikke bare teknologileverandører, men også globale maktaktører, og leverer alt fra fiber, datasentre, skytjenester og operativsystemer, både i privat og offentlig sektor i Norge.

Tekoligark var årets nyord i 2025. Begrepet viser til en ny maktkonsentrasjon der økonomisk, teknologisk og politisk innflytelse smelter sammen. Mange av teknologiselskapene har tette bånd til Trump-administrasjonen og liker ikke reguleringer som står i veien for kommersiell handlefrihet.

Det kommer stadig nye eksempler på hvilke konsekvenser dette har i praksis. Da Microsoft stengte e-postkontoen til sjefsanklageren i Den internasjonale straffedomstolen (ICC), ble mange europeiske land minnet om hvor sårbare vi er. Utestengelsen skjedde etter amerikanske sanksjoner mot domstolen, som følge av arrestordre mot statsminister Netanyahu og andre israelske tjenestemenn for påståtte krigsforbrytelser i Gaza.

I Kina, den andre teknologiske stormakten i verden, kan myndighetene pålegge kinesiske selskaper å dele personopplysninger med dem. Diskusjonen om de hundrevis av kinesiskproduserte bussene som kjører rundt i Norge er også illustrerende. Busser utgjør kritisk infrastruktur i for eksempel evakueringssituasjon – og spørsmålet som er reist er om disse kan fjernstyres eller settes ut av drift av produsenten.

Europeiske verdier under press

Personopplysningene våre befinner seg midt oppi det hele. De er tett vevd inn i tjenestene og den digitale infrastrukturen som kan utnyttes, enten til angrep, overvåking, påvirkning eller manipulering av informasjon.

Som et lite og sårbart land har Norge en lang tradisjon for å støtte opp under en regelbasert verdensorden. For å møte en fremtid som utfordrer denne tradisjonen ser vi et tydelig behov for å vurdere graden av kontroll vi har over teknologisk infrastruktur og dataene som flyter i den.

Personvernregelverket i Europa er ikke bare er et vern for den enkelte, men også et uttrykk for europeiske verdier og strategiske interesser. Kravene til dataminimering, rutiner og informasjonssikkerhet styrker den digitale beredskapen i norske virksomheter så vel som samfunnet som helhet. Godt personvern i norske virksomheter styrker samfunnets evne til å stå imot press, påvirkning og digitale angrep.

Personvern som kollektivt vern

I dagens sikkerhetspolitiske situasjon må personvern forstås som en integrert del av Norges totalberedskap. Skal Norge lykkes i Totalforsvarsåret 2026, må personvern, regulering og digital infrastruktur ses i sammenheng – som en del av vårt kollektive vern.  Vi mener det er på tide å få på plass en helhetlig nasjonal plan for digital suverenitet som forener og balanserer innovasjon, sikkerhet og personvern.

Yngve Milde og Elias Meling belyser en rekke utfordringer knyttet til datadeling i Norge i sitt innlegg i Digi.no. De peker blant annet på at en streng tolkning av personvernregler kan hindre effektiv datadeling, noe som igjen kan forsinke digitaliseringen av offentlige tjenester. De mener at Datatilsynet oppleves som «et organ som setter terskelen for akseptabel risiko så høyt at det for mange oppleves som nullrisiko».

Det er viktig å finne en balanse mellom personvern og behovet for datadeling. Datatilsynet har som oppgave å sikre at personvernlovgivningen etterleves, og dette er et regelverk med et klart handlingsrom og som absolutt ikke krever nullrisiko. Formålet med regelverket er å nettopp legge til rette for bruk og deling av data – innenfor trygge rammer.

Slik vi ser det er personvern ikke en hindring, men en ressurs for å sikre forsvarlig digitalisering. Datatilsynet jobber hver dag for at regelverket praktiseres på en måte som legger til rette for innovasjon og utvikling, innenfor de rammene loven gir.​ Vi har både prosjekter i den regulatoriske sandkassen og løpende veiledning som går helt i kjernen av dette. Hvert år har vi over 5000 veiledningssamtaler der vi gir råd i håndtering av regelverket. Vi kjenner oss derfor ikke igjen i Mildes og Melings påstander om at vi utelukkende hindrer datadeling og er ute etter nullrisiko-løsninger.

Vår visjon er at vi skal jobbe sammen for menneskeverd og tillit i det digitale Norge. I dette ligger det at også Datatilsynet skal være med på den utviklingen Norge og samfunnet må ha, for å løse tidens og fremtidens utfordringer. Vi er imidlertid ikke så opptatt av at Norge skal bli verdens mest digitaliserte land innen 2030 – vi vil heller at Norge skal bli verdens best digitaliserte land.

Vi ønsker derfor debatten om datadeling velkommen. Den er viktig for å komme videre, og skape en bedre gjensidig forståelse av utfordringene og hvordan vi skal nå målet. Verken forsiktighetskultur og nullrisiko eller for stor risikoappetitt er positivt. Flere faktorer spiller inn i mulighetsbildet: Både intern kultur, kompetanse, datakvalitet, tekniske løsninger og jussen kan legge begrensninger for datadeling. Det må også konkretiseres hvilke datakilder man ønsker å dele fra og mellom, for å gjøre gode vurderinger av behov, hindringer og løsninger. For å avklare faktiske hindringer trenger vi flere konkrete eksempler og en mer nyansert debatt om balansegangen mellom personvern og datadeling.

I samarbeid med Finanstilsynet utforsker vi nå fem sandkasseprosjekter innen finanssektoren, der målet er å bekjempe økonomisk kriminalitet gjennom trygg og lovlig datadeling. Vår erfaring viser at veiledning fungerer best når vi jobber med faktiske problemstillinger, hvor personvern er med fra start. Vi ønsker derfor at flere bransjer kommer sammen, identifiserer spesifikke utfordringer og tar dem opp med oss i Datatilsynet.

Ansvarlig datadeling er et av Datatilsynets hovedfokusområder. Vårt arbeid må alltid skje innenfor rammene av personvernforordningen (GDPR), som er et felles europeisk regelverk som Norge er forpliktet til å etterleve. Samtidig er det alltid et tolkningsrom i regelverk, og dette rommet er vi i Datatilsynet opptatt av å utforske. Rettsutvikling er imidlertid en prosess som tar tid – saker må behandles, eventuelt overprøves, og i noen tilfeller kan det være behov for nye lover eller forskrifter, noe som er lovgivers ansvar. Nødvendig og etterspurt rettsutvikling er også avhengig av saker som rommer problemstillinger hvor det er behov for endring.

For å sikre best mulig digitalisering i Norge må vi finne løsninger sammen. Vi inviterer derfor næringslivet, offentlig sektor og bransjeaktører til å delta i vår regulatoriske sandkasse og dialogbaserte veiledning. Vi ønsker saker om datadeling, slik at vi sammen kan finne måter å realisere digitaliseringsgevinster uten at personvernet svekkes. La oss ta debatten fra teori til praksis.

Dette innlegget ble holdt på KiNS-konferansen (Foreningen Kommunal Informasjonssikkerhet ) i april 2022, og er en forkortet versjon.

KiNS-konferansen er en viktig tradisjon og møteplass for alle som er opptatt av personvern og informasjonssikkerhet. Foreningen har en tydelig plass i kommunal og fylkeskommunal sektor. KiNS har gjort et viktig arbeid for informasjonssikkerhet i kommunene og skolesektoren, og er en sentral arena for deling av kunnskap og nettverking.

Norge i verden – verden i Norge

24. februar angrep vårt naboland Russland Ukraina. Vi er vitne til forferdelige krigshandlinger og ufattelige menneskelige lidelser. Millioner er på flukt, og tusenvis tas imot i kommuner over hele landet. Vi må være godt rustet og ta imot med omsorg, også med tanke på personvern. Mange skal registres inn i nye og gamle systemer og lister.  Det må gjøres med varsomhet. Flyktninger er en sårbar gruppe. Særlig kategorier personopplysninger og personopplysninger relatert til sårbare grupper krever større beskyttelsesvern enn vanlige personopplysninger. Vi vet også at risikoen for nettverksoperasjoner har økt under krigen. Andre påskedag sendte PST ut en pressemelding med vurderinger av etterretningstrusselen fra Russland i Norge. Nettverksopperasjoner som metode blir mer relevant når konfliktnivået nå gjør det vanskeligere å operere på andre måter, og de blir mer omfattende, sier PST (pst.no).

Personopplysninger er nesten alltid inngangsnøkkelen for angrepet. Alle personer og virksomheter med informasjon eller innflytelse av verdi for Russland må regne med å være mer utsatt enn før for russiske etterretningsaktiviteter (datatilsynet.no). Flere norske selskaper lagrer og behandler dessuten data i utlandet. Situasjonen gjør at vi oppfordrer alle selskaper som eksporterer personopplysninger om å gjøre en ny vurdering av hvilke persondata som sendes ut av landet til Russland og Ukraina. Det kan derfor være lurt å gå gjennom databehandleravtalene med leverandører en gang til med dette for øyet (datatilsynet.no).

Mange samtaler tar en helt annen farge nå etter at krigen brøt ut. Også når det gjelder personvern og informasjonssikkerhet. Jeg tror at krigssituasjonen i Europa kommer til å prege mye av det vi alle gjør fremover- kanskje med  et nytt alvor.

Øking av saker og henvendelser til Datatilsynet

Fjorårets aktiviteter i Datatilsynet er med å danne grunnlaget for statusen for personvernet i dag, og gjenspeiler mye av hva som skjer på personvernsiden i samfunnet. Året 2021 har vært som en berg- og dalbane for de aller fleste, med nedstengninger og åpninger om hverandre. Vi har hatt flere store saker direkte knyttet til pandemien, blant annet spørsmål om koronasertifikat. Det har vært en økning i koronarelaterte klager, slik som overvåking av ansatte på hjemmekontor. Smittesporing er også et tema som har opptatt mange.

I løpet av 2021 har Datatilsynet utestedet 26 overtredelsesgebyr etter brudd på bestemmelser i personvernforordningen. Dette innebærer en dobling sammenlignet med året før.  Alt i alt utstedte vi overtredelsesgebyrer på i underkant av 80 millioner kroner i løpet av i fjor. Sammenlignet med 2020, da vi hadde 13 saker som resulterte i overtredelses­gebyr på til sammen snaue seks millioner, er dermed økningen betydelig. Dette gjelder både antallet ilagte overtredelsesgebyr, og ikke minst, det totale beløpet. Disse sakene (datatilsynet.no) gjelder blant annet brudd på person­opplysningssikkerhet, ulovlig overvåking på arbeids­plassen, innhenting av kreditt­opplysninger og ulovlig utlevering av personopplysninger via mobilapplikasjoner.

Meldinger om brudd på personopplysningssikkerheten

 Antallet innmeldte avviksmeldinger har økt betraktelig. I fjor fikk vi inn 2 255 meldinger om brudd på personopplysningssikkerheten.  28 prosent av alle avvikene som meldes inn, kommer fra kommunesektoren. Det inkluderer skoler, barnehager, mange helsetjenester, eldreomsorg og barnevern. Kommunene er ansvarlige for mange av tjenestene som er nærmest enkeltindividet, og følgelig behandles mange sensitive opplysninger her. Å hjelpe til med å løfte kommunenes kompetanse på personvern og informasjonssikkerhet er dermed spesielt viktig.

Kun 9 stykker av totalt 2 255 innmeldte brudd på personopplysningssikkerheten fikk gebyr, det vil si under 0,5 %. Det betyr at når Datatilsynet faktisk ilegger gebyr så er saken av en slik karakter at den skiller seg ut, samtidig som den også gjerne har likhetstrekk med flere andre saker. Gebyrsakene kjennetegnes av at sikkerheten ikke er godt nok ivaretatt i virksomheten når hendelsen inntraff, uansett eventuell angriper eller årsak til hendelsen.   Enkelte mener at virksomheter som utsettes for angrep, ikke bør ilegges gebyr, og at de allerede har fått sin straff. Vi har stor sympati for vanskelighetene slike angrep skaper for de som blir rammet. Vi mener likevel at våre gebyrer er virkningsfulle og virker avskrekkende og ikke minst opplærende for andre som er i tilsvarende risikosituasjon.

Les blogg: Når en virksomhet har hatt et datainnbrudd, har den ikke da allerede fått sin straff? – Personvernbloggen.

I vår saksbehandling går vi grundig gjennom hva som er skjedd, hvorfor og hvilke tiltak som var satt inn før og etter. Tenk hvilke ringvirkninger diskusjonen til Østre Toten har gitt. Vi er mange som kan takke kommunen for åpenheten rundt angrepet (personvernbloggen.no).

Big Tech og offentlig sektor

Vi kan ikke snakke om status for personvernet uten å snakke og de store teknologiselskapene. Teknologirådets rapport viser at du spores på over 80 prosent av offentlige nettsteder, ved at de bruker verktøy i regi av de store techgigantene. Er dette lurt, greit, og rimelig å forvente? Spørsmålet stilte Tore Tennøe, direktør for Teknologirådet, da han holdt sitt innlegg på Personverndagen mandag 31. januar i år. Han svarte selv at det offentlige både har monopol, dekker viktige livshendelser og har et særlig ansvar, og svaret derfor er nei. Datatilsynet har, etter en egen vurderingen som behandlingsansvarlig valgt å ikke opprette en egen konto på Facebook, fordi vi ikke vet hva som faktisk skjer med brukernes data.

En ganske ny avgjørelse fra det østerrikske datatilsynet konkluderer med at det å bruke Google Analytics betyr at brukernes data sendes til USA. Det strider mot personvernlovgivningen i EU. Blir avgjørelsen stående, er det å bruke Google Analytics ulovlig – også i Norge. Men det er bevegelse, ja det er faktisk lys i tunnelen, sier Tobias Judin i Datatilsynet. Det er mulig det kommer på plass en ny avtale slik man enkelt overføre personopplysninger til USA igjen. Forrige måned kom nemlig nyheten mange har ventet på. I forbindelse med president Joe Bidens besøk i Brussel, kunngjorde han og EU-president Ursula von der Leyen at EU og USA har landet en ny avtale. I en felles uttalelse kunngjorde de at avtalen vil besvare EU-domstolens innvendinger mot den forrige avtalen, samtidig som USA skal styrke personvernreguleringene i egen telekombransje.

Vi må stille krav

Vi er nå inne i et momentum for å få til endringer som stiller langt større personvernkrav. Det er på høy tid at vi begynner å gjøre den type vurderinger fra offentlig sektor, og begynne å stille krav. Vår tidligere sjef, Bjørn Erik Thon sa før han skulle slutte– Min drøm er at vi skal kunne lage det nye, personvernvennlige Google i Norge, ut fra en helt ny måte å tenke på, som tar opp i seg både innovasjon, samfunnsnytte og personvern. Ja, tenk om! Vårt inntrykk er at regjeringen ser viktigheten av å ivareta personvern og informasjonssikkerhet, også i kommunesektoren. Slik ser det i hvert fall ut i Hurdalsplatformen (regjeringen.no).

Den treffer blink på mye. Les den, bruk den. Vi må ha store forventninger.

Vi trenger fortsatt et skikkelig trøkk for å sikre er godt personvern for alle.

Umberto Eco sa på et foredrag for internasjonale personvernmyndigheter allerede på 1980-tallet at «Den største utfordringen er ikke å sikre personvernet til  de få som ber om hjelp, men å få alle andre til å betrakte personvernet som et verdifullt gode».

Vi bærer det videre.

En trygg digital oppvekst har vært en viktig satsing for Datatilsynet i mange år. Vi var initiativtaker og er fortsatt aktiv deltager i prosjektet Du bestemmer, en nettressurs for personvern, digital dømmekraft og nettvett, vi har behandlet mange saker der barn og unge rammet av sikkerhetsbrudd bl.a. i kommunene og vi har deltatt aktivt i debatten, og behandlet viktige saker knyttet til for eksempel overvåking av barn og smartklokker, og endelig, foreldres snoking i barns personopplysninger.

Barn og unges personvern må få en sentral plass

Ingen har fasitsvaret på hvordan barn kan få en trygg digital oppvekst. Men et klart fokus på barn og unges personopplysninger, bevissthet og kunnskap om dette, må bli svært viktig i utformingen av strategien. Persondata samles inn, analyseres, deles, gjenbrukes, selges og kjøpes i et tempo som er umulig å ha oversikt over. Dersom barn skal vernes for skadelig markedsføring, er personopplysninger involvert. Dersom barn skal bruke sosiale nettsamfunn trygt, er personopplysninger involvert.

Skal vi hindre snoking, hindre deling av bilder, hindre grov nettkrenkelse og det verste av alt, overgrep, er personopplysninger, og i en del tilfelle sikkerhetsspørsmål, involvert. Mitt klare råd er derfor: Bruk mye tid på personvern, og sørg for å innhente kompetanse der den finnes, nemlig i Datatilsynet.

Kompetanseheving i alle ledd er sentralt

Det er også viktig å vokte seg for den moralske pekefingeren. Vi må lære barn og unge til selv å ta ansvar for egne valg, uten å rette en pekefinger mot dem. Vi må fortelle om de negative følgene av å for eksempel dele nakenbilder, men dersom de likevel velger å gjøre det, er fordømmelse og pekefinger feil medisin.

Vi har alltid vært eksponert for farer i oppveksten. Jeg vokste opp ved E18 mellom Stockholm og Oslo, og bygde demning i veikanten, men jeg forsto at biler var farlige, og jeg måtte gjøre valg: Ikke gå utenfor den gule stripa, gå langt inn til siden hvis en trailer passerte, gå inn i hagen hvis vi hørte en sykebil, ikke sloss i veikanten.

Dagens unge må ta stilling til masse digitale spørsmål og håndtere digitale dilemmaer hver eneste dag. Det må vi som foreldre hjelpe dem til, det må skolen hjelpe dem til, men det dummest vi gjør, er å moralisere når de tar feil valg. Vi må akseptere at de, som vokser opp i en annen verden enn oss, også velger annerledes enn vi ville gjort. Det kanskje aller verste er å gi feil råd. Går ei ung jente til helsesykepleier og ber om hjelp fordi hun har delt et nakenbilde, må hun få riktig råd.  Hvis hun møtes med spørsmålet: «Men hvorfor sendte du bildet», er skylden plutselig plassert og tilliten brutt. Derfor er kompetanseheving helt avgjørende i alle ledd.

Involver riktig fagkompetanse

Hva skal til for at den strategien som nå skal utarbeides blir en suksess? Både selve sluttproduktet og oppfølgingen av det? Bred involvering, bred forankring og åpenhet er noen stikkord. Det er mange som har barn og unge som sitt arbeidsfelt, flere av dem er innledere her i dag. Alle må få mulighet til å delta, til å gi sine innspill.

Datatilsynet kan mye om personvern, og det vil være usedvanlig dumt å ikke involvere oss i spørsmål som dreier seg om personvern. Barneombudet har bred kompetanse på barns rettigheter, og må være en viktig bidragsyter. Og vi må ta de unge med på råd, snakke og lytte. Det er så lett å forsøke å ta de unges perspektiv, uten å snakke med de unge. Vi må erkjenne (jeg gjør det uten blygsel) at ungdomskulturen i dag er vanskelig å forstå. Gjør vi ikke det, bærer det feil av sted.

Få oversikt over hele aktørbildet

Det er et aktørbilde som er ganske komplisert. Ofte snakker vi om de unge selv, foreldre, lærere og kanskje helsesykepleiere på skolen. Men hvem utvikler appene? Hvem står bak de store selskapene? Og hva med de offentlige instansene som behandler opplysninger om barn og unge? Har de kompetansen som trengs?

Det er et helt økosystem som bidrar med det som kan bli en app som eksponerer barn for skadelig innhold, eller en app som gir de unge mulighet til å kontrollere egne data.

Jeg ser fram til å lese en strategi som hever blikket, kartlegger aktørbildet, og som ansvarliggjør de ulike aktørene. Et viktig stikkord for denne strategien må være kompetanseheving i alle ledd. Det trengs kompetanse i hvordan vi skal forebygge uønskede hendelser og kompetanse i hvordan vi skal håndtere det når det går galt.

Jeg håper ikke vi får en strategi der skjermtid og aldergrenser i sosiale medier får plass. Da ender strategien opp som det stussligste av alle dyr, nemlig papirtigeren.

Målet med denne strategien er å peke ut en klar retning for arbeidet vårt. Vi har store ambisjoner for å sikre norske borgere et godt personvern. Samtidig er det svært viktig at virksomhetene forstår verdien av godt personvern og ønsker å følge regelverket. Her har vi en viktig rolle å spille.

Datatilsynet vil jobbe målrettet for å styrke personvernprinsippene og -rettighetene til den enkelte, blant annet ved å prioritere prinsippsaker som kan sette presedens for rettighetene til den enkelte, og ved å håndheve regelverket for å sikre bedre etterlevelse blant aktører som har en forretningsmodell som utfordrer personvernet i særlig grad.

Større ansvar til virksomhetene, mer makt til enkeltindividet

Vi har besluttet seks overordnede, strategiske mål som skal være styrende for vårt arbeid framover. Jeg vil si at det er to røde tråder i strategien.

Den første er at større ansvar for å etterleve regelverket legges på virksomhetene. Dette springer ut av ansvarlighetsprinsippet i den nye regelverket. Konsekvensen av det er at Datatilsynets oppgaver i stor grad endres fra forhåndsgodkjenning (konsesjon, melding til Datatilsynet) til etterkontroll. Virksomhetene må utrede personvernkonsekvenser av alle tiltak og jobbe etter prinsippene for innebygd personvern. Det setter store krav til at virksomheten selv har kunnskap og evne til å forstå og følge regelverket. Her har Datatilsynet en viktig rolle med å hjelpe virksomhetene med å ta dette ansvaret, for eksempel ved å være pådrivere for bransjenormer og ved å samarbeide med sentrale aktører for å nå flest mulig virksomheter.

Den andre røde tråden er mer makt til enkeltindividet for å sikre større kontroll over egne personopplysninger. Store kommersielle selskap og offentlige myndigheter sitter på store mengder data om enkeltindivider. For hvert enkelt individ er det vanskelig å ha kontroll over egne opplysninger. Datatilsynet vil jobbe målrettet for å styrke personvernprinsippene og -rettighetene til den enkelte, blant annet ved å prioritere prinsippsaker som kan sette presedens for rettighetene til den enkelte, og ved å aktivt håndheve regelverket for å sikre bedre etterlevelse blant aktører som har en forretningsmodell som utfordrer personvernet i særlig grad.

6 strategiske mål

De følgende målene skal være styrende for Datatilsynets arbeid i tre år fra og med 1. januar 2018:

1. Datatilsynet skal arbeide for en mer rettferdig maktbalanse mellom individet på den ene siden, og kommersielle aktører og det offentlige på den andre.
2. Datatilsynet skal arbeide for å fremme personvernvennlig digitalisering, innovasjon og utvikling.
3. Datatilsynet skal arbeide for at virksomheter blir kompetente, forstår viktigheten av godt personvern og etterlever regelverket.
4. Datatilsynet skal bidra til at individet i større grad kan ivareta sitt eget personvern.
5. Datatilsynet skal påvirke og ta lederrollen i noen utvalgte internasjonale prosesser for å fremme bedre personvern.
6. Datatilsynet skal være et kompetent og fremtidsrettet tilsyn.

Du kan lese hele strategien som blant annet inneholder en beskrivelse av personvernprinsippene og en omverdensanalyse her.