Dette innlegget er skrevet av Line Coll, direktør i Datatilsynet, og Kari Laumann, seksjonssjef for utredning, analyse og politikk i Datatilsynet. Innlegget ble først publisert i Altinget 28.01.2026.

Her hjemme har vi akkurat sparket i gang 2026, som av myndighetene er utpekt som Totalforsvarsåret. På bortebane ser vi at gamle allianser knaker og at den gamle regelbaserte verdensordenen utfordres. Teknologi har blitt et sentralt maktmiddel i geopolitikk, og personvern spiller en stadig viktigere rolle i sikkerhetspolitikken.

Tekoligarker og avhengighet

Store deler av Norges digitale infrastruktur er levert av en håndfull amerikanske selskaper. Disse selskapene er ikke bare teknologileverandører, men også globale maktaktører, og leverer alt fra fiber, datasentre, skytjenester og operativsystemer, både i privat og offentlig sektor i Norge.

Tekoligark var årets nyord i 2025. Begrepet viser til en ny maktkonsentrasjon der økonomisk, teknologisk og politisk innflytelse smelter sammen. Mange av teknologiselskapene har tette bånd til Trump-administrasjonen og liker ikke reguleringer som står i veien for kommersiell handlefrihet.

Det kommer stadig nye eksempler på hvilke konsekvenser dette har i praksis. Da Microsoft stengte e-postkontoen til sjefsanklageren i Den internasjonale straffedomstolen (ICC), ble mange europeiske land minnet om hvor sårbare vi er. Utestengelsen skjedde etter amerikanske sanksjoner mot domstolen, som følge av arrestordre mot statsminister Netanyahu og andre israelske tjenestemenn for påståtte krigsforbrytelser i Gaza.

I Kina, den andre teknologiske stormakten i verden, kan myndighetene pålegge kinesiske selskaper å dele personopplysninger med dem. Diskusjonen om de hundrevis av kinesiskproduserte bussene som kjører rundt i Norge er også illustrerende. Busser utgjør kritisk infrastruktur i for eksempel evakueringssituasjon – og spørsmålet som er reist er om disse kan fjernstyres eller settes ut av drift av produsenten.

Europeiske verdier under press

Personopplysningene våre befinner seg midt oppi det hele. De er tett vevd inn i tjenestene og den digitale infrastrukturen som kan utnyttes, enten til angrep, overvåking, påvirkning eller manipulering av informasjon.

Som et lite og sårbart land har Norge en lang tradisjon for å støtte opp under en regelbasert verdensorden. For å møte en fremtid som utfordrer denne tradisjonen ser vi et tydelig behov for å vurdere graden av kontroll vi har over teknologisk infrastruktur og dataene som flyter i den.

Personvernregelverket i Europa er ikke bare er et vern for den enkelte, men også et uttrykk for europeiske verdier og strategiske interesser. Kravene til dataminimering, rutiner og informasjonssikkerhet styrker den digitale beredskapen i norske virksomheter så vel som samfunnet som helhet. Godt personvern i norske virksomheter styrker samfunnets evne til å stå imot press, påvirkning og digitale angrep.

Personvern som kollektivt vern

I dagens sikkerhetspolitiske situasjon må personvern forstås som en integrert del av Norges totalberedskap. Skal Norge lykkes i Totalforsvarsåret 2026, må personvern, regulering og digital infrastruktur ses i sammenheng – som en del av vårt kollektive vern.  Vi mener det er på tide å få på plass en helhetlig nasjonal plan for digital suverenitet som forener og balanserer innovasjon, sikkerhet og personvern.

Innlegget er skrevet av juridisk direktør Erlend A. Methi og juridisk spesialrådgiver Miriam Karlsen. Det stod først på trykk i DN 24.11.2025

I fjor forsøkte svindlere å tappe norske banker for over 4,2 milliarder kroner. Faktiske tap ble mer enn 1,2 milliarder, en økning på 32 prosent fra året før. DN har i det siste satt søkelys på problemet, og løsningen virker enkel: Mer deling av informasjon mellom banker, politi og andre aktører, slik også et nytt lovforslag legger opp til.

Datatilsynet støtter forslaget i stort. Vi har i høringsuttalelsen vår bygget på erfaringer fra vår regulatoriske sandkasse med Finanstilsynet og flere finansforetak, der vi diskuterer rammer for hvordan svindel kan forebygges i praksis. En erfaring er tydelig: Informasjonsdeling er viktig, men likevel bare ett virkemiddel.

Andre midler handler gjerne om strengere kontroll av eID, mindre vekt på lettvinte digitale løsninger og tettere samarbeid på tvers av sektorer.

En annen erfaring er at det ikke er personvernforordningen (GDPR) som har hemmet deling, men nasjonale regler om taushetsplikt i finansforetaksloven. Det er disse som nå foreslås endret.

For oss som arbeider i feltet er det ikke ukjent at GDPR brukes som syndebukk, mens bildet i realiteten er mer nyansert og kan handle om manglende tekniske løsninger, kommersielle prioriteringer, overforsiktige fortolkninger, ønske om brukervennlighet og digitaliseringstempo – eller rett og slett andre hensyn og krav.

Forordningen åpner for deling av personopplysninger når det tjener viktige allmenne interesser, som svindelbekjempelse. Ved å gjøre GDPR til festbrems, risikerer vi at diskusjonen ikke kommer dit den bør: Til de virkelige utfordringene og løsningene. Hvordan sikrer vi målrettet og trygg informasjonsdeling – og rammer, kontrollmekanismer og tiltak som faktisk monner?

Formål og rammer for deling er viktige; ikke fordi personvernet til kriminelle veier tyngre enn kampen mot svindel, men fordi finansforetak forvalter store mengder data om oss alle. Satt sammen kan dette gi et detaljert bilde av folks liv. Det er data med stor verdi, mye skjer bak lukkede dører, og formålsutglidning og feil kan få store konsekvenser.

GDPR er ikke hinderet, men snarere et verktøy for å gjøre datadeling og videre bruk trygg, målrettet og tillitvekkende. Slik kan vi bekjempe svindel effektivt, uten å skylle ut noe annet viktig med badevannet.

Vi får jevnlig mange henvendelser fra personer som er usikre på reglene for egen bruk av kamera eller som opplever å bli urettmessig overvåket. Det er blitt svært enkelt å skaffe kamera i butikker og på nettet, men det er noen regler du bør huske på hvis du skal sette opp kamera utenfor eget hus eller hytte. Vi gir deg derfor her noen gode råd på veien.

(Denne teksten tar blant annet utgangspunkt i Aftenpostens sak «Økt bruk av overvåkingskameraer skaper nabokonflikter. Dette må du vite.» Saken er bak betalingsmur. )

Vi starter med det viktigste du må huske på hvis du vurderer å montere overvåkningskamera på din egen eiendom:

1. Pass på å ikke fange inn annet enn egen eiendom
2. Ikke del opptak på internett uten samtykke
3. Vis hensyn selv om du har rett til å bruke kamera

Hvis du passer på å følge disse punktene, har du allerede kommet langt i de aller viktigste vurderingene som du må gjøre når du setter opp kameraet.

Vi anbefaler også at du ser gjennom kameraveiledningen vår som setter deg nøye inn i regelverket. Den gir deg også eksempler på hva som er greit og ikke greit. Selv om veiledningen først og fremst er rettet mot virksomheter, finner du også råd for deg som er privatperson.

Hva med filming, skilting og private opptak?

Det er mye usikkerhet rundt regelverket på dette området. I fjor mottok veiledningstjenesten vår 326 henvendelser om kameraovervåking av private boliger og hytter, og vi ser at vi nærmer oss samme antall i år. Til nå i år har vi dessuten fått inn 28 klager om temaet, og vi har registrert rundt 180 tips fra enkeltpersoner om kameraovervåking på privat eiendom. Her er noen av spørsmålene som går igjen i henvendelsene til oss:

Hva kan jeg filme lovlig?
Du kan sette opp kamera på egen eiendom slik som ved hus, hage og hytte. Det er da viktig å være oppmerksom på at du ikke kan filme mer enn egen eiendom slik som naboens tomt, offentlig vei, inngangen til leietagere eller andre steder på eiendommen der andre har bruksrett.

Må jeg skilte og informere når jeg har privat kamera, og hvem skal varsles?
Som privatperson har du ikke plikt til å sette opp skilt hvis du bare overvåker utenfor eget hus eller hytte. Her bør du imidlertid tenke deg godt om. Det kan være lurt å informere godt for å unngå misforståelser, og for å vise hensyn overfor gjester og andre besøkende. Alle har rett på privatliv, og personvern er en menneskerett som gjelder både for barn og voksne. 

Skjult overvåking inne i privat hjem kan imidlertid rammes av bestemmelser i straffeloven og vil vanligvis ikke være tillatt, så her er informasjon viktig.

Er det noen forskjell på hvilke regler som gjelder hvis jeg setter opp et privat kamera selv, enn hvis jeg har kamera gjennom et alarmselskap?  
Du har ansvar for å holde deg innenfor reglene, altså kun å overvåke egen tomt, selv om du bruker et alarmselskap. I tillegg må alarmeselskapet følge egne regler for lagring og tilgang til opptak.

Hvor lenge kan jeg lagre opptak?
Hvis du overvåker eget hus eller hytte, gjelder som hovedregel ikke personvernregelverket. Det betyr blant annet at du ikke har plikt til å slette opptakene.

Er det lov å dele film i sosiale medier eller nabolagsgrupper?
Det er som hovedregel ikke lov å dele kameraopptak av andre. Dersom du skal dele bilder, film eller lydopptak av en annen person, må du be om samtykke fra de som er på opptakene før de publiseres. Du kan lese mer om deling av bilder og samtykke på nettsidene våre.

Hva skjer hvis du bryter personvernreglene – hvilke reaksjoner risikerer du?
Datatilsynet har ulike muligheter for sanksjoner, for eksempel vedtak om brudd på loven, og pålegg om stans. Dersom overvåkingen er skjult eller på andre måter krenker privatlivets fred, kan den også anmeldes til politiet som har egne sanksjonsmuligheter.

Hva gjør du hvis du opplever å bli ulovlig overvåket av naboen eller på fellesarealer?
Vi i Datatilsynet er opptatt av at du skal si klart ifra hvis du opplever å bli urettmessig overvåket. Snakk med den som har satt opp kameraet først. Det er viktig å si ifra til de som eventuelt filmer og publiserer slik at det fort kan ryddes opp i.  Alle kan dessuten sende inn tips eller klage til Datatilsynet. Saker kan også tas til Konfliktrådet eller Politiet.

Du finner informasjon om hva du kan gjøre hvis du opplever ulovlig kameraovervåking på nettsidene våre. Alle som trenger råd er, også velkommen til å ta kontakt med veiledningstjenesten vår som holder åpent alle hverdager.  

Og til slutt litt om droner…

Nå i disse dronetider får vi også mange spørsmål fra både presse og andre. Når du flyr drone som privatperson og på hobbybasis, må du huske på at din aktivitet potensielt kan virke invaderende for andre mennesker og at du har plikt til å ivareta personvernet deres. Det er altså ikke forbudt å fly drone som lek eller hobby, men det er viktig at du alltid tar hensyn til personvern når du flyr.

Du bør aldri ta bilder, video eller lydopptak av andre mennesker i deres hjem eller i deres hage uten tillatelse fra de som blir avbildet. Du som flyr dronen må altså ta hensyn til at andre kan føle seg overvåket, og du bør være åpen og gi informasjon til de som spør. Les mer i veiledningen vår: Droner – hva er lov?

VG har lansert chatboten heiVG og det har allerede blitt oppdaget at den gir uriktige opplysninger om levende personer. Hvem har ansvaret når chatboten gjør feil?

Feilinformasjon er utvilsomt et samfunnsproblem. Ikke bare gir det folk feil fakta, men det kan også bidra til å svekke tilliten til redaktørstyrte medier hvis de formidler den type informasjon.

Redaktørstyrte medier er én av vår siste, og kanskje viktigste, skanser mot flommen av oppspinn. Hvordan blir det da når VG lanserer en upålitelig chatbot?

Under lanseringen uttalte VG at «Når vi ser tilbake på denne lanseringen om ett eller to år, tror jeg vi potensielt kan omtale den som startskuddet på noe helt nytt for måten journalistikk konsumeres og formidles på.»

En ny måte journalistikk konsumeres og formidles på? Da må det vel være underlagt redaktøransvaret og medieansvarsloven?

Ikke ifølge VG. På nettsiden opplyser de at «heiVG er en ikke-redaksjonell tjeneste og feil kan forekomme.»

Feil kan forekomme? Eksempelet som kom frem i media var uriktig omtale av om en person som hadde begått et lovbrudd. Datatilsynet behandler allerede i dag en klagesak på en annen tjeneste, der en person feilaktig ble beskyldt for å ha drept sine egne barn.

Har det noe å si? Ja. For hvis tjenesten er ikke-redaksjonell så er den underlagt personvernlovgivning hvor et av hovedprinsippene er at personopplysninger skal være korrekte. For selv uriktig informasjon om en person kan være personopplysninger.

En setning på nettsiden om at feil kan forekomme kan ikke unnta en hel tjeneste fra et lovverk som skal sikre den enkeltes beskyttelse. Faren er at vi slutter å bry oss om sannheten hvis vi stadig utsettes for løgn.

Så VG, hva blir det til? Redaktøransvar eller underlagt et regelverk som skal sikre korrekt informasjon?

Utdannings- og forskningskomiteen har nå avgitt sin innstilling om opprettelsen av individregistre over alle barn i barnehager og grunnopplæring. Mandag 26. mai går den til behandling i Stortinget. Til tross for at majoriteten av Stortingets opposisjonspartier går tydelig imot de foreslåtte registrene, ser det ut til at det likevel kan bli flertall for å vedta lovforslaget. Innstillingen viser imidlertid at de fleste er enige om at regjeringen ikke har utredet personvernkonsekvensene godt nok.

Ved å vedta forslaget, aksepteres dermed en stor risiko for at barn og unges personvern nå vil svekkes på uopprettelig vis. I tillegg vil Stortinget gjennom sin aksept muliggjøre ytterligere inngrep ved å gi Kunnskapsdepartementet forskriftshjemler til å utvide individregistrene i omfang og formål. 

Det som overrasker oss mest, er at Høyre og Venstre, som er de eneste partiene som støtter Arbeiderpartiregjeringens lovforslag, i innstillingen snur alle personvernprinsipper og -prosedyrer på hodet. De vil gjennomføre lovarbeidet først, og heller forholde seg til personvernkonsekvensene etterpå. Dette er foruroligende.

Personvernet er under stadig press

To ulike regjeringsoppnevnte personvernkommisjoner har, både i 2009 og 2022, poengtert at barn og unges personvern er under stadig press. Likevel synes ikke myndighetene å kunne stagge sin iver etter å registrere og koble personopplysninger om alle landets innbyggere, innenfor stadig nye områder. I iveren glemmer de å gjøre nødvendige vurderinger av konsekvensene dette medfører for personvernet.

Dette har blitt svært tydelig gjennom de politiske prosessene som danner grunnlag for lovforslaget Stortinget nå skal behandle. 

Stortingets grunnlag for å beslutte opprettelsen av registrene er for svakt

Datatilsynet og Utdanningsforbundet har gjennom lang tid synliggjort hvor mangelfullt Kunnskapsdepartementets lovarbeid har vært. Departementet har blant annet valgt å se bort fra sin egen utredningsinstruks, der det fremheves at tiltak som berører prinsipielle spørsmål må drøftes på en balansert og systematisk måte – en skal «unngå å systematisk overvurdere nyttevirkninger og undervurdere kostnadsvirkninger». 

Som vi gjentatte ganger har påpekt, er ikke dette unngått. Antakelser om individregistrenes potensielle samfunnsnytte overdrives, mens de rent faktiske svekkelsene av personvernet underkommuniseres. Selv om Kunnskapsdepartementet har gjort endringer fra det opprinnelige høringsnotatet til den endelige lovproposisjonen, har det aldri blitt gjort en reell vurdering av de konkrete personvernkonsekvensene opprettelsen av de foreslåtte registrene vil innebære.

Med andre ord preges regjeringens lovforslag av ikke å tilfredsstille forventningene som følger av Norges forpliktelser overfor Den europeiske menneskerettighetskonvensjonen og personvernforordningen. Dermed har heller ikke Stortinget et godt nok grunnlag for å kunne vedta lovendringene som vil gi hjemmel for å opprette individregistrene.

Bedre etter snar enn føre var, Høyre og Venstre?

Personvernkommisjonen anbefalte i 2022 at det skal iverksettes systematiske personvernvurderinger i alle lovarbeider. Dette ble begrunnet med at «dersom personvernkonsekvenser ikke utredes i tilstrekkelig grad som en del av regelverksarbeidet, risikerer vi at det legges til rette for uforholdsmessig store inngrep i personvernet». 

Det ser ut som om Utdannings- og forskningskomiteens medlemmer fra Høyre og Venstre også ser dette, til tross for at de støtter Arbeiderparti-regjeringens individregisterforslag. Medlemmene fra disse partiene, som historisk har vært å anse som personvernpartier som hegner om enkeltmenneskets ukrenkelighet og krav på respekt og vern mot statlig inngripen, forutsetter nemlig at regjeringen ved en eventuell etablering av registrene må gjøre en nøye vurdering av personvernkonsekvensene for barn. Men dette vil i så fall først skje etter at loven er vedtatt, og dermed snur de som sagt alle personvernprinsipper og -prosedyrer på hodet.

Når personvern, som personvernkommisjonen uttrykker det, dypest sett «handler om hvilket samfunn vi ønsker å leve i, i dag og i dagene som kommer», kan man ikke som Høyre og Venstre tilnærme seg personvernspørsmål med innstillingen om at det er bedre etter snar enn føre var. 

I prosessen med å bli verdens mest digitaliserte land risikerer vi å få verdens mest overvåkede innbyggere.

I den norske debatten om personvern vises det gjerne til USA eller Kina når det er behov for eksempler på ukontrollert og inngripende overvåking. Nå holder det å se til våre naboland  for å finne disse eksemplene.

Hva skjer når du digitaliserer en velferdsstat og åpner døren på gløtt for de statlige etterretningstjenestene?

Svensken og dansken

Mye av grunnen til at velferdsstater som Norge, Sverige og Danmark fungerer godt, er at de har tilgang til store mengder digitaliserte data. Norge har mange statlige registre blant annet knyttet til helse, utdanning, arbeid, inntekt, velferdsytelser, straff, skatt og eiendom. Dette gjør det lettere å levere gode tjenester til innbyggerne. Men det har også en risiko. I en gjennomdigitalisert stat ligger potensialet for masseovervåking.

I Danmark pågår det nå en omfattende diskusjon om et nytt lovforslag. Forslaget gir etterretningstjenesten PET lov til å lage en analyseplattform der de kan samle data fra offentlige registre. Det kan for eksempel være informasjon om sykehusbesøk, kontakt med psykiatrien og sosialtjenester. De skal også kunne hente inn data fra sosiale medier – som hva folk skriver, liker og deler – og følge med på hvordan folk beveger seg på internett og i virkeligheten.

Ved hjelp av kunstig intelligens skal PET finne mønstre og peke på mistenkelig atferd. Mange er bekymret for at dette gjør at alle blir behandlet som potensielle mistenkte. Det kan føre til frykt for å ytre seg, og påvirke folks forhold og tilgang til velferdstjenester. Koplingen mellom registre, kunstig intelligens og overvåking er noe Danmark også tidligere har blitt kritisert for, blant annet i en rapport fra Amnesty.

I Sverige er det også snakk om mer overvåkning. Der ønsker myndighetene å gi sikkerhetstjenestene økt mulighet til å overvåke internettrafikk og pålegge meldingsapper å opprette en bakdør for å oppheve kryptering. «Nasjonal sikkerhetslagring» innebærer omfattende innsamling av borgernes datatrafikk ved behov. Målet er å bekjempe digital kriminalitet, men innsamlingen vil omfatte vanlige, lovlydige borgere.

Det er fristende å bruke informasjon som allerede er samlet inn til nye formål. Vi ser denne tendensen også i Norge.

Nye holdninger til bruk og deling av data setter personvernet under press i Norge

Fra fødsels- til dødsmelding, registreres norske borgere i utallige registre og vårt livsløp dokumenteres fra fosterstadiet på helsestasjonen, videre i barnehagen, skolen, helsetjenesten, arbeidslivet og NAV. Vi gir fra oss informasjon til staten som nødvendig ledd i å motta diverse tjenester og velferdsgoder. Opprinnelig har informasjonen vært organisert som små «øyer» i offentlig sektor, og kun vært brukt til det formålet som den ble samlet inn for. Men endringer har skjedd. I vår digitaliseringsiver har vi tilpasset oss en ny måte å forholde oss til data på: den har ofte stor verdi utenfor det opprinnelige formålet. Alle offentlige data anses mer og mer som et statlig felleseie.

Lisa Reutter, som er ekspert på datadrevet offentlig sektor, satte ord på det optimistiske forholdet vårt til offentlige data i en episode av Datatilsynets podkast: «Vi holder data atskilt slik at opplysninger samlet inn i én kontekst ikke skal ha noe å si i en annen. Men ideen om data som en muliggjørende teknologi, bidrar til å flytte grensene for hva vi aksepterer og synes er greit».

Sammenstilling av data skaper uklarheter

På Altinget har det i den siste tiden pågått en debatt om de såkalte individdataregistrene. De forslåtte registrene skal samle mye informasjon om barn i skole og barnehage – som fravær, prøveresultater, spesialundervisning, språkopplæring, foreldrenes bakgrunn og økonomisk situasjon. Disse opplysningene skal igjen kobles med data om foreldre og barnets videre liv, som utdanning, jobb, inntekt og helse, samt foreldrenes livsløp. Forskningen på registrene skal benyttes som kunnskapsgrunnlag for å skape en bedre skole. Datatilsynet har advart mot at store og sammenkoblede registre innebærer en endret maktbalanse mellom myndighetene og enkeltindividet, noe som kan påvirke tilliten til statlige myndigheter negativt.

Forbudet vårt mot Statistisk sentralbyrå (SSB) sin planlagte innsamling av data fra den norske befolkningens dagligvarekjøp i 2023 var et eksempel på det samme. Ideen om å koble bongdata opp mot sosioøkonomiske data slik som husholdningstype, inntekt og utdanningsnivå, var noe vi mente var et uforholdsmessig inngrep i norske borgeres privatliv.

Dette kommer i tillegg til utvidelsene av justismyndighetenes overvåking av borgerne de siste årene, med blant annet lagring av IP-adresser, passasjeropplysninger, Etterretningstjenestens overvåking av internettrafikk og senest PSTs hjemler til å overvåke åpne kilder. Når store deler av kommunikasjonen og kunnskapsinnhentingen vår skjer på digitale plattformer, vil summen av data som samles inn av offentlige og private aktører medføre et stort overvåkingspotensial. Ekstra bekymringsfullt er det når etterretningstjenester kjøper metadata fra apper på det uregulerte markedet, og når Kripos vil bruke private slektsdatabaser i etterforskning.

Alt dette bidrar til å skape uklarhet som forsterker de negative effektene av overvåking og kan svekke personvernet ved at legges press på å utforme tjenester med svakere beskyttelse. Alt dette ble på dramatisk vis satt på spissen i debatten og snuoperasjonen knyttet til sivilbeskyttelsesloven. En situasjon hvor personvernlovgivningen settes til side kan få alvorlige konsekvenser for samfunnet. Det å innføre økte kontrolltiltak på for eksempel internett eller ansiktsgjenkjenning i det offentlige rom vil innebære en svekkelse av sivilsamfunnet. Kontrollmekanismer blir også satt under press i krisesituasjoner. Det er ingen tvil om at Datatilsynet opplevde det svært krevende å si nei til Smittestopp-appen under Covid.

Overvåkingspotensialet i en gjennomdigitalisert stat

At hvert enkelt tiltak kan aksepteres som et nødvendig inngrep i personvernet, kan isolert sett fremstå tilforlatelig. Advokatforeningen har i en kronikk påpekt dilemmaet under overskriften «Jeg vil svekke rettsstaten – gi meg en hjemmel!». Det at nye tiltak hjemles, begrenser ikke nødvendigvis skadevirkningene av selve inngrepet. Mulighetene og hjemlene for sammenkobling av ulike offentlige registre eller private datasett gjør uforutsigbarheten for den enkelte desto større.

Det er godt dokumentert at økt overvåkingstrykk påvirker vår ytre frihet, hvordan vi lever, kommuniserer og bruker tjenester. Enda mer bekymringsfullt er at den også truer vår indre frihet – mange begynner å føle seg overvåket hele tiden. Det er ikke uten grunn at den nye KI-forordningen forbyr bruk av kunstig intelligens som manipulerer folk til å gjøre ting de ellers ikke ville gjort.

Datatilsynet vil advare mot et samfunn hvor all offentlig informasjon og private data samles og gjøres tilgjengelig for nye formål og bruksområder. Et demokrati kjennetegnes ved at det er borgerne som kontrollerer staten, ikke motsatt. Norge, Sverige og Danmark ligger fortsatt på topp på internasjonale demokratiindekser, men vi kan ikke ta slike målinger for gitt. Det fremstår som et paradoks at suksessen til de skandinaviske velferdsstatene – å bruke store mengder data til å levere gode velferdstjenester – kan gjøre oss ekstra sårbare.

Det kan være fristende å se til våre naboland når vi utformer politikk som skal løse fremtidens utfordringer. Men uansett om målet er velferd, forskning eller sikkerhet, er det viktig at politikerne er bevisst det enorme overvåkingspotensialet som ligger i en heldigital og gjennomregistrert stat.

Registerdataforskerne Fartein Ask Torvik, Camilla Stoltenberg, Martin Flatø og Karin Monstad skriver i sitt innlegg på Altinget 30. april 2025, at Datatilsynet og Utdanningsforbundet tegner et skremmebilde av de foreslåtte individregistrene over barn i barnehager og grunnopplæring. De antyder også at vi ikke ser nytten av kunnskap, for å utvikle tilbudet til landets barnehagebarn og elever.

Selv tegner de et vrengebilde av det vi faktisk har skrevet, og bidrar dermed til en avsporing av debatten om hvordan regjeringens lovforslag utfordrer barn og unges menneskerettslige, grunnlovfestede rett til personvern.

Personvern og menneskerettigheter er ikke en avsporing

Den europeiske menneskerettighetskonvensjonen (EMK) artikkel 8 slår fast at offentlige myndigheter kun kan gjøre inngrep i privatlivet, herunder i retten til personvern, dersom inngrepet har lovhjemmel og er nødvendig for å ivareta andre demokratiske samfunnsverdier. Tilsvarende følger også av grunnleggende personvernprinsipper, blant annet regulert i personvernforordningen.

Nødvendighetskriteriet i EMK forutsetter at det gjøres en avveining mellom de ulike hensynene, i dette tilfellet hvilke personverninngrep lovforslaget innebærer opp mot nytteverdien av det. Våre henvisninger til menneskerettighetene retter seg nettopp mot hvordan lovforslaget legger grunnlag for disse avveiningene, og vårt gjennomgående hovedpoeng har vært at dette er mangelfullt.

Vi har påpekt at personvernkonsekvensene ikke har blitt tilstrekkelig presentert og vurdert, og at behovet for, og nytteverdien av, registrene ikke har blitt drøftet på en overbevisende måte. Regjeringens lovforslag har med andre ord klare mangler sett opp mot forventningene som følger av EMK artikkel 8, og vi er derfor grunnleggende uenige i de fire forskernes påstander om at koblingen til menneskerettigheter er en avsporing.

Sammenligningen med eksisterende helseregistre bommer

Ask Torvik, Stoltenberg, Flatø og Monstad sammenligner de foreslåtte individregistrene med de lovregulerte helseregistrene vi allerede har i Norge. Med dette argumenterer de for opprettelsen av nye registre, ved å anføre at det allerede registreres mer inngripende opplysninger om barn andre steder. Vi mener dette uttrykker en bagatellisering av personvernkonsekvensene som følger med opprettelsen av individregistrene.

Det er her nødvendig å påpeke at det er en vesensforskjell i reguleringsformen av helseregistrene, sett i forhold til de foreslåtte individregistrene over barn i barnehager og grunnopplæring. Helseregistrene er tematisk avgrenset, og helseregisterloven – som gir hjemmelen for opprettelse av helseregistrene – inneholder en rekke krav knyttet til behandling av personopplysninger. I tillegg reguleres hvert enkelt register nærmere i dedikerte forskrifter.

De foreslåtte individregistrene skal hjemles i barnehageloven, opplæringsloven og privatskoleloven, uten at det medfølger tilsvarende krav og plikter som helseregisterloven gir. Dette innebærer at garantiene som ligger i lovregulert behandling av personopplysninger, vil være svakere ivaretatt i individregistrene enn i helseregistrene. Når det samtidig åpnes for at det gjennom forskrift skal være mulig å endre registrene, og dermed også premissene for opprettelsen av dem, blir det heller ikke mulig å overskue de langsiktige personvernkonsekvensene av regjeringens forslag.

Ulike fagfelt har ulike kunnskapsbehov

De fire forskerne går også langt i å fremstille Datatilsynet og Utdanningsforbundet som kunnskapsfiendtlige. De hevder blant annet at vi skulle mene at barnehager og skoler ikke trenger mer kunnskap. Dette er åpenbart å legge ord i munnen på oss, og samtidig tåkelegge at spørsmålet om å opprette de foreslåtte individregistrene må besvares etter en reell avveielse av personverninngrepet opp mot nytteverdien. Dette gjøres på sviktende grunnlag når personverninngrepet underkommuniseres, og den påståtte nytten samtidig mangler en overbevisende underbygning.

For to år siden la kvalitetsutviklingsutvalget frem sin NOU 2023:1 Kvalitetsvurdering og kvalitetsutvikling i skolen. Et kunnskapsgrunnlag. Det bredt sammensatte utvalget utredet nettopp spørsmålet om hvilke behov ulike nivåer i skolesektoren har for informasjon og støtte til å drive kvalitetsutvikling. Det var ingenting i deres analyser som peker i retning av at nasjonale myndigheter trenger å registrere og sammenkoble individdata for å kunne ivareta sitt ansvar, ei heller at det eksisterer store kunnskapshull som bare kan tettes med omfattende registrering og kobling av barns personopplysninger.

Datatilsynet og Utdanningsforbundet er med andre ord ikke imot kunnskap, men lovforslaget gir ingen overbevisende begrunnelser for at kunnskapen som skal komme ut av registerdataforskningen er nødvendig eller viktig nok, til å veie opp for det omfattende personverninngrepet individregistrene medfører. Som vi har skrevet tidligere, holder det ikke å sette en reell svekkelse av personvernet opp mot antakelser og forhåpninger om at registrene skal være til barnas beste. Nytteverdien må presenteres som mer enn en generell ønsketenkning.

Stortinget må ikke la seg avlede – registrene truer barns personvern

Etter omfattende kritikk i en mengde høringsinnspill, har Kunnskapsdepartementet gjort flere endringer i lovforslaget som Stortinget nå skal behandle. Disse endringene er gjort med mål om å redusere personvernkonsekvensene i forhold til det opprinnelige høringsnotatet, men vi mener fortsatt at lovforslaget som legges til grunn for opprettelsen av individregistrene er mangelfullt.

Konsekvensen av manglene er at Stortinget ikke i tilstrekkelig grad blir satt i stand til å gjennomføre avveiningen mellom de reelle fordelene og ulempene de foreslåtte individregistrene over alle barn i barnehager og grunnopplæring medfører. Som vi tidligere har kommentert, utfordrer dette tilliten til offentlige myndigheter, og grunnleggende demokratiske verdier.

Datatilsynet og Utdanningsforbundet håper derfor Stortingets politikere ikke lar seg avlede av lettvint retorikk, og fordreining av hva dette egentlig handler om. For oss er det viktig å presisere at det ikke er snakk om små, tilforlatelige endringer av barnehageloven, opplæringsloven og privatskoleloven. Det dreier seg om opprettelsen av store, inngripende individregistre som rent faktisk utfordrer både det grunnlovfestede vernet av barns personlige integritet og personvernet som demokratisk samfunnsverdi.

Forslaget om et nasjonalt individregister for barn dreier seg ikke om små, tilforlatelige endringer av barnehageloven, opplæringsloven og privatskoleloven. Det handler om opprettelsen av store, inngripende individdataregistre som både utfordrer det grunnlovfestede vernet av barns personlige integritet og personvernet som demokratisk samfunnsverdi, skriver Camilla Nervik og Geir Røsvoll.

Regjeringen har nå lagt frem en lovproposisjon for å kunne registrere en mengde personopplysninger om alle barn og unge i Norge. Opplysningene skal kunne kobles med annen informasjon om barna og deres familier. Lovendringene gir dermed staten mulighet til å overvåke oss alle gjennom livet – fra vugge til grav.

Registreringen av personopplysningene vil skje uten at noen skal bes om samtykke, eller få mulighet til å reservere seg. At den enkelte ikke skal gis mulighet til selv å bestemme over egne personopplysninger, begrunnes med en risiko for at registrene da ikke vil oppfylle sin hensikt. Det anføres at den enkeltes valgfrihet vil medføre skjevrepresentasjon, og at dette særlig vil gå utover de sårbare barna som ofte er underrepresentert i forskning basert på utvalgsundersøkelser. Med dette som bakteppe hevder ulike statlige aktører, som Kunnskapsdepartementet, Barne- og familiedepartementet og Barneombudet, at opprettelsen av de foreslåtte individregistrene er helt nødvendige og til «barnets beste». 

Utdanningsforbundet og Datatilsynet mener at de foreslåtte registrenes påståtte nytteverdi mangler en overbevisende underbygning. Vi undres: Hvor ble det av vurderingene av barnas personvern? Er det ikke til barnets beste at deres lovfestede rett til vern om sin personlige integritet ivaretas?

«Barnets beste» er ikke et argument i seg selv

Det er ikke mer enn tre år siden personvernkommisjonen poengterte følgende:

«Hva som vil være til beste for det enkelte barn i en konkret situasjon, beror på en individuell og konkret vurdering.»

Det samme uttrykker FNs barnekomité i sin generelle kommentar til barnekonvensjonens artikkel 3 om barnets rett til at hans eller hennes beste skal være et grunnleggende hensyn.

Kunnskapen de foreslåtte individregistrene angivelig vil gi oss, rommer ikke den faktiske konteksten det enkelte barn inngår i. Den gir ikke svar på hvilke grunner barnet har for å gjøre som det gjør, eller hvorfor deres liv – både i og utenfor barnehagen og skolen – tar den retningen det tar. Å påstå at opprettelsen av individregistrene er til barnets beste, er med andre ord direkte misvisende.

Det holder altså ikke bare å påstå at registerdata er til barnets beste, ved å hevde at individregistrene «fremmer barns beste generelt» og vil «være til barns beste på et overordnet nivå», slik Kunnskapsdepartementet har gjort i sitt høringsnotat.

«Barnets beste» er ikke et argument i seg selv. 

Kunnskapsmangel er ikke problemet

Det er vanskelig å se hvordan inngrepene den enkelte må tåle, vil gi direkte verdi tilbake til den som «betaler kostnaden» i form av svekket personvern. Det hevdes at kunnskapsgrunnlaget fra individregistrene skal bidra til utviklingen av bedre skoler og barnehager, men det er uklart hva som egentlig skal endres og forbedres i praksis.

Forskning på registerdata frembringer gjennomsnittskunnskap om grupper av mennesker som deler noen bestemte kjennetegn. Denne typen kunnskap virker sikkert verdifull for den offentlige forvaltningen, men vi mener det er for enkelt å konkludere med at kunnskapen dermed er til barnets beste.

For lærerne i landets barnehager og skoler, er slik gjennomsnittskunnskap til liten nytte i møte med helt unike mennesker. Det er ikke primært individdatabasert kunnskap barnehagene og skolene mangler for å kunne ivareta barnets beste, men at kunnskapen vi allerede har om det som står i veien for å oppfylle barnas rettigheter, omsettes til handling.

Det reelle personverntapet må trumfe usikre gevinstforhåpninger

Et grunnleggende personvernprinsipp, slik det går frem av den europeiske menneskerettskonvensjonens artikkel 8, er at ethvert inngrep i personvernet skal avveies mot nytteverdien og formålet som begrunner inngrepet. 

Det er ingen tvil om, og heller ingen som synes å være uenig i, at opprettelsen av individregistrene innebærer et rent faktisk inngrep i personvernet. Hver ny personopplysning som registreres, og hver kobling som gjøres med andre opplysninger, øker dette inngrepet. Samtidig er det heller usikkert om omfattende registrering av barns personopplysninger fra barnehage og skole, og koblingen av disse opp mot en mengde andre opplysninger, vil føre til at barnehage- og skoletilbudet blir bedre for den enkelte.

De som ønsker at individregistrene opprettes, setter med andre ord et reelt personverninngrep opp mot antakelser og forhåpninger om at registrene vil være til barns beste. Vi mener det reelle tapet av personvern må vurderes nøye, og at eventuelle positive gevinster må presenteres som mer enn en generell ønsketenkning.

Nå må Stortingets politikere være seg sitt ansvar bevisst

Snart skal Stortinget behandle regjeringens lovforslag. For oss er det viktig å understreke at dette ikke dreier seg om små, tilforlatelige endringer av barnehageloven, opplæringsloven og privatskoleloven. Det handler om opprettelsen av store, inngripende individdataregistre som både utfordrer det grunnlovfestede vernet av barns personlige integritet og personvernet som demokratisk samfunnsverdi.

Dette må i stor grad forstås som et samvittighetsspørsmål, og Datatilsynet og Utdanningsforbundet ønsker å minne landets stortingspolitikere om deres individuelle ansvar for å vurdere det reelle personverninngrepet som følger av registrene, og ber dem stille seg følgende spørsmål:

Kan lovforslagene virkelig sies å være til barnets beste, når det ikke tas hensyn til barnas grunnleggende personvernrettigheter? 

1. Kan vi bruke personopplysninger i KI-løsningen?

Et spørsmål som går igjen i Datatilsynets sandkasse er: Har vi lov til å bruke personopplysninger i løsningen vår?

Svaret er som regel: Det kommer an på.

For at behandlingen av personopplysninger skal være lovlig, må virksomheten ha et rettslig grunnlag, også ved utvikling av kunstig intelligens. Dette er i tråd med personvernforordningen artikkel seks.

Kunstig intelligens omfatter ofte flere faser: utvikling, anvendelse (bruken av selve løsningen) og etterlæring. Disse fasene kan overlappe, noe som gjør det krevende å avgjøre når én fase slutter og en annen begynner. Og selv om virksomheten har rettslig grunnlag for én fase, betyr det ikke nødvendigvis at dette grunnlaget dekker andre faser.

Vi møtte på denne problemstillingen sammen med NAV – i et av de første sandkasseprosjektene våre. Her kom vi frem til, at NAV hadde hjemmel i folketrygdloven til å behandle brukernes opplysninger for å yte tjenester. Loven er derimot ikke tydelig på om de kan bruke historiske data om sykemeldinger til trening av algoritmene.

En annen viktig læring, er at det er viktig å identifisere hvilke data som faktisk inneholder personopplysninger. I sandkasseprosjektet med Juridisk ABC kom vi frem til at de kunne nytte lovtekster, forskrifter, forarbeider og lignende juridiske kilder i den generative KI-løsningen for arbeidsrett. Det var ikke krav om rettslig grunnlag ganske enkelt fordi kildene ikke inneholdt personopplysninger. Derimot inneholdt dommer og kjennelser ofte omfattende mengder personopplysninger – som kan være svært sensitive for de som er involvert. Derfor måtte Juridisk ABC ha et rettslig grunnlag for å inkludere disse i KI-løsningen.

2. Er anonymisering løsningen?

Flere av virksomhetene i sandkassen har ønsket å anonymisere personopplysninger. Anonymiserte data er jo ikke omfattet av personvernregelverket, så det kan forenkle mye. Men – det har i praksis vist seg krevende å få til faktisk anonymisering.

Til tross for betydelige fremskritt innen anonymiseringsteknologi, som skal hindre identifisering av enkeltpersoner i datasett, har det parallelt vært en utvikling av analyseteknologi som øker risikoen for re-identifisering. Mer offentliggjøring av offentlige data har også gjort det mulig å sammenstille flere datapunkter fra ulike kilder, hvilket øker utfordringen.

I sandkassen har vi sett flere eksempler på bruk av ny teknologi for å redusere risikoen for re-identifisering. Finansvirksomheten Finterai ville bruke føderert læring for å kunne dele innsikt fra transaksjonshistorikk mellom banker – uten å eksponere opplysninger som kunne knyttes til enkeltpersoner.

Teknologiselskapet Mobai hadde en lignende tilnærming, men benyttet homomorfisk kryptering for å gjøre re-identifisering vanskeligere. Ved hjelp av denne teknologien kunne aktører analysere krypterte personopplysninger uten at de måtte dekrypteres. Dette skjer ved at de bevarer de egenskapene ved personopplysningene som de ønsker å bruke, og fjerner resten.

Personvernfremmende teknologier, som føderert læring og homomorfisk kryptering, markerer viktige skritt i riktig retning for å få til godt personvern i praksis. De bidrar ikke bare til å redusere risikoen for re-identifisering av personer som er i et KI-datasett. De gir også virksomheter bedre muligheter til å balansere innovasjon med personvern og informasjonssikkerhet.

3. Kan kunstig intelligens bidra til dataminimering?

Prinsippet om dataminimering kan ved første øyekast virke som en motpol til kunstig intelligens. Kunstig intelligens trenger store mengder personopplysninger for å lære. Prinsippet om dataminimering slår fast at du skal samle inn minst mulig personopplysninger – kun det som er nødvendig for å oppnå formålet.

I flere sandkasseprosjekter har vi utforsket dette tilsynelatende dilemmaet. For eksempel har vi i sammen med sikkerhetsselskapet Doorkeeper sett på hvordan KI-baserte overvåkingskameraer kan minimere innsamlingen av personopplysninger. Blant annet kan de sladde mennesker i videostrømmen eller aktivere løpende opptak kun når en spesifikk hendelse utløser det. Vi har også diskutert situasjoner man ikke vet hvilke opplysninger som er nødvendige før de har analysert data over tid. Er det brudd på dataminimeringsprinsippet, om det i ettertid viser seg at personopplysninger har blitt behandlet uten å være relevante? Vi har utforsket problemstillingen i sandkassen, men som i mange andre tilfeller vil svaret avhenge av den konkrete konteksten.

4. Hvordan skaper algoritmer urettferdighet?

Helsesektoren har vært godt representert i sandkassen, blant annet gjennom prosjekter med Helse Bergen og Ahus. Disse har fokusert på KI-løsninger som skulle forutsi hjertesvikt og peke ut pasienter med fare for rask reinnleggelse på sykehus.

Kunstig intelligens i helsesektoren reiser viktige spørsmål om algoritmeskjevheter, som kan føre til at pasientene blir diskriminert. I begge prosjektene var KI-verktøyene ment som beslutningsstøtte og ikke for å gjennomføre automatiserte avgjørelser uten menneskelig innblanding. Likevel, det er en utbredt forståelse for at kunstig intelligens kan videreføre og forsterke eksisterende diskriminering i samfunnet. I tilfeller hvor algoritmene kommer til feil vurdering av folks helse, kan dette ha alvorlige konsekvenser.

I Ahus-prosjektet så de at dårlig datakvalitet og feil i datagrunnlaget potensielt kunne resultere i uriktige og diskriminerende resultater. Og de så på forskjellige metoder for å avverge dette.

For virksomheter som vil avverge algoritmeskapt diskriminering, har Likestillings- og diskrimineringsombudet en nyttig veileder om innebygd diskrimineringsvern. Den er rettet mot de som er ansvarlige for utvikling, anskaffelse og bruk av ML-systemer, og skal gjøre dem kjent med diskrimineringsregelverket, slik at de kan forebygge ved å vurdere diskrimineringsrisikoen teknologien medfører.

5. Hvem har ansvaret: utvikler eller kunde?

I flere sandkasseprosjekter har vi diskutert ansvarsforhold knyttet til behandlingen av personopplysninger i KI-løsninger: Hvem er behandlingsansvarlig? Hvem er databehandler? Og bør utviklere ta et større ansvar for å hjelpe virksomheter med å etterleve personvernregelverket?

En leverandør har ikke nødvendigvis et direkte ansvar for at kjøperne av produktet følger personvernregelverket, når løsningen blir brukt til å samle inn og behandle personopplysninger. Likevel bør de levere løsninger som legger til rette for at kunden, som ofte er å regne som behandlingsansvarlig, kan overholde regelverket i praksis.

I noen tilfeller kan det også være hensiktsmessig at utviklere eller leverandører tar på seg mer ansvar, for å sikre viktige personvernhensyn. Dette kan for eksempel være knyttet til tilgangskontroll eller informasjonssikkerhet.

Et eksempel på at utvikleren tar mer ansvar for å forbedre personvernet, ser vi i prosjektet med Secure Practice. Denne teknologivirksomheten hadde som mål å gi persontilpasset opplæring i cybersikkerhet. Sikkerhetsopplæringen var ment for ansatte i virksomheter, som ville kjøpe tjenesten fra Secure Practice. I tillegg ville ledelsen i disse virksomhetene få statistikk over ansattes kunnskaps- og interessenivå innenfor informasjonssikkerhet. For å kunne levere tjenesten uten at informasjon om ansatte kan misbrukes av ledelsen, drøftet deltakerne i prosjektet at det kunne være nødvendig å holde tilbake personopplysninger fra kunden. For at dette skulle være mulig, vurderte de en løsning med felles behandlingsansvar. Secure Practice og kunden vil da i fellesskap fastsette formålene og midlene for behandlingen av arbeidstakers personopplysninger.

Dette viser hvor viktig det er å avklare og plassere ansvarsforhold for å utvikle løsninger med godt personvern. Klare ansvarsforhold bidrar ikke bare til bedre etterlevelse av regelverket. Det kan også bidra til økt tillit mellom leverandører og kunder.

6. Hvorfor maser vi så fælt om at personvernet må tidlig på plass?

Har du hørt om innebygd personvern? Det er et prinsipp i personvernregelverket om at tekniske systemer og løsninger blir utviklet slik at personvernet blir ivaretatt. Poenget er å sikre at personvernet i systemet er gjennomtenkt, heller enn å forsøksvis bli klattet på til slutt. I den nye digitaliseringsstrategien slår regjeringen fast at alle relevante IT-løsninger i offentlig sektor skal ha innebygd personvern. Men hva betyr det i praksis?

Mange av virksomhetene har kommet til sandkassen med KI-prosjekter i konseptfasen. Erfaringen fra disse prosjektene er at tidlige veivalg har stor betydning for hvor lett eller vanskelig det blir å etterleve kravene i personvernregelverket. 

Flere eksempler fra sandkassen illustrer dette, spesielt når det gjelder lagring av personopplysninger for KI-formål. For eksempel kan lagring av store mengder personopplysninger sentralt på en felles server, gjøre dataene sårbare og øke angrepsflatene. Da må strenge organisatoriske og tekniske tiltak til for å sikre opplysningene, ettersom lagringen innebærer en større risiko for de registrerte. På en annen side kan desentralisert lagring – for eksempel ved kantprosessering (edge computing) – i visse tilfeller redusere personvernrisikoen. Det forenkler virksomhetens arbeid med informasjonssikkerhet.

Ett eksempel på desentralisert lagring er Doorkeepers løsning, der videostrømmen fra et overvåkingskamera ble sladdet direkte i kamerahuset før opptakene ble sendt videre til et brukergrensnitt. Et annet eksempel var et prosjekt med Ruter, som ønsket lokal lagring på brukernes egne mobiltelefoner i forberedelsesfasen til å utvikle KI.

Hvor data skal lagres, er neppe det første du tenker på etter å ha fått en ide om en genial ide. Å tenke på det tidlig nok kan riktignok spare deg for mye frustrasjon, og brukerne for risiko.

Dette er særlig relevant for virksomheter med begrensede ressurser – å utvikle løsninger som fra starten ikke krever omfattende tiltak for å oppfylle personvernregelverket. Å tilpasse ferdigutviklede løsninger i etterkant kan være både tidkrevende og kostbart.

Yngve Milde og Elias Meling belyser en rekke utfordringer knyttet til datadeling i Norge i sitt innlegg i Digi.no. De peker blant annet på at en streng tolkning av personvernregler kan hindre effektiv datadeling, noe som igjen kan forsinke digitaliseringen av offentlige tjenester. De mener at Datatilsynet oppleves som «et organ som setter terskelen for akseptabel risiko så høyt at det for mange oppleves som nullrisiko».

Det er viktig å finne en balanse mellom personvern og behovet for datadeling. Datatilsynet har som oppgave å sikre at personvernlovgivningen etterleves, og dette er et regelverk med et klart handlingsrom og som absolutt ikke krever nullrisiko. Formålet med regelverket er å nettopp legge til rette for bruk og deling av data – innenfor trygge rammer.

Slik vi ser det er personvern ikke en hindring, men en ressurs for å sikre forsvarlig digitalisering. Datatilsynet jobber hver dag for at regelverket praktiseres på en måte som legger til rette for innovasjon og utvikling, innenfor de rammene loven gir.​ Vi har både prosjekter i den regulatoriske sandkassen og løpende veiledning som går helt i kjernen av dette. Hvert år har vi over 5000 veiledningssamtaler der vi gir råd i håndtering av regelverket. Vi kjenner oss derfor ikke igjen i Mildes og Melings påstander om at vi utelukkende hindrer datadeling og er ute etter nullrisiko-løsninger.

Vår visjon er at vi skal jobbe sammen for menneskeverd og tillit i det digitale Norge. I dette ligger det at også Datatilsynet skal være med på den utviklingen Norge og samfunnet må ha, for å løse tidens og fremtidens utfordringer. Vi er imidlertid ikke så opptatt av at Norge skal bli verdens mest digitaliserte land innen 2030 – vi vil heller at Norge skal bli verdens best digitaliserte land.

Vi ønsker derfor debatten om datadeling velkommen. Den er viktig for å komme videre, og skape en bedre gjensidig forståelse av utfordringene og hvordan vi skal nå målet. Verken forsiktighetskultur og nullrisiko eller for stor risikoappetitt er positivt. Flere faktorer spiller inn i mulighetsbildet: Både intern kultur, kompetanse, datakvalitet, tekniske løsninger og jussen kan legge begrensninger for datadeling. Det må også konkretiseres hvilke datakilder man ønsker å dele fra og mellom, for å gjøre gode vurderinger av behov, hindringer og løsninger. For å avklare faktiske hindringer trenger vi flere konkrete eksempler og en mer nyansert debatt om balansegangen mellom personvern og datadeling.

I samarbeid med Finanstilsynet utforsker vi nå fem sandkasseprosjekter innen finanssektoren, der målet er å bekjempe økonomisk kriminalitet gjennom trygg og lovlig datadeling. Vår erfaring viser at veiledning fungerer best når vi jobber med faktiske problemstillinger, hvor personvern er med fra start. Vi ønsker derfor at flere bransjer kommer sammen, identifiserer spesifikke utfordringer og tar dem opp med oss i Datatilsynet.

Ansvarlig datadeling er et av Datatilsynets hovedfokusområder. Vårt arbeid må alltid skje innenfor rammene av personvernforordningen (GDPR), som er et felles europeisk regelverk som Norge er forpliktet til å etterleve. Samtidig er det alltid et tolkningsrom i regelverk, og dette rommet er vi i Datatilsynet opptatt av å utforske. Rettsutvikling er imidlertid en prosess som tar tid – saker må behandles, eventuelt overprøves, og i noen tilfeller kan det være behov for nye lover eller forskrifter, noe som er lovgivers ansvar. Nødvendig og etterspurt rettsutvikling er også avhengig av saker som rommer problemstillinger hvor det er behov for endring.

For å sikre best mulig digitalisering i Norge må vi finne løsninger sammen. Vi inviterer derfor næringslivet, offentlig sektor og bransjeaktører til å delta i vår regulatoriske sandkasse og dialogbaserte veiledning. Vi ønsker saker om datadeling, slik at vi sammen kan finne måter å realisere digitaliseringsgevinster uten at personvernet svekkes. La oss ta debatten fra teori til praksis.