Introduksjon: Staten forstår sikkerhet — men ikke personvern

Riksrevisjonen har levert en knusende kritikk av styringen av Politiets sikkerhetstjeneste, PST. Budskapet er enkelt: Når trusselbildet vokser, oppgavene øker, teknologien løper og departementet styrer svakt, svikter samfunnsoppdraget.

Spørsmålet er hvorfor samme analyse ikke brukes på Datatilsynet.

For mens PST skal beskytte staten mot terror, sabotasje og fremmed etterretning, skal Datatilsynet beskytte borgeren mot digital makt, overvåking, ulovlig databruk og teknologisk overgrep. Den ene vokter rikets sikkerhet. Den andre vokter individets frihet.

Og hva gjør staten? Den tar PSTs kapasitetskrise alvorlig når Riksrevisjonen banker i bordet. Men når Datatilsynet selv forteller at sanksjoner og korrigerende tiltak er forsøkt unngått fordi de er ressurskrevende, behandles det som en administrativ fotnote. Det tidligere blogginnlegget «Personvernets tannløse papirtiger» peker nettopp på dette: Datatilsynet opplyste at det i 2025 fattet 36 vedtak om korrigerende tiltak og sanksjoner, samtidig som 132 vedtak konstaterte brudd uten sanksjoner eller korrigerende tiltak.  

Det er ikke bare et ressursproblem. Det er et rettsstatsproblem.

Riksrevisjonens PST-kritikk: Oppskriften på hva som er galt

Riksrevisjonens hovedkritikk mot PST og Justis- og beredskapsdepartementet er ikke bare at PST har for lite penger. Kritikken er bredere, skarpere og farligere: Ressursene står ikke i forhold til oppgavene, IT-verktøyene hemmer effektivitet, regelverksutviklingen går for sakte, kapasiteten er for svak, og departementets styring er «svak og utydelig».

Riksrevisjonen mener det er sterkt kritikkverdig at departementet ikke har bidratt tilstrekkelig til at PST har nødvendige virkemidler til å fylle rollen som sikkerhets- og etterretningstjeneste.

La oss oversette dette til personvernfeltet:

Dersom staten vet at Datatilsynet får flere saker, mer komplekse saker, flere KI-relaterte klager, større internasjonale forpliktelser og stadig mer aggressive teknologiselskaper — men likevel ikke sikrer kapasitet, IT, styring og virkemidler — hva er forskjellen?

Forskjellen er ikke prinsipiell. Den er politisk.

Datatilsynet står i samme strukturelle klemme

Datatilsynets årsrapport viser et tilsyn under press. I 2025 mottok tilsynet 5 532 nye saker og 1 848 klager fra privatpersoner. Klager fra privatpersoner økte med 105 prosent fra 2024, og tilsynet peker på KI-genererte klager som mer omfattende og ressurskrevende.

Samtidig skriver Datatilsynet at effektivisering alene ikke er tilstrekkelig for å ivareta oppdraget fullt forsvarlig. Økende sakstilfang, økt kompleksitet og nye oppgaver har betydning for departementets styring og oppfølging.

Dette er Datatilsynets PST-øyeblikk.

Ikke fordi Datatilsynet og PST har samme mandat. Det har de ikke. Men fordi begge viser det samme statlige mønsteret: Samfunnsoppdraget vokser. Trusselbildet endres. Teknologien akselererer. Virkemidlene henger etter. Departementet nikker, skriver tildelingsbrev og håper Excel-arket holder ett år til.

Faktaboks: PST-kritikken brukt på Datatilsynet

Det farlige ordet: effektivisering

Effektivisering er statens favorittord når den egentlig mener underfinansiering.

Datatilsynet har effektivisert. Det har brukt standardtekster, maler, nivådeling av klagesaker og raskere saksflyt. Det er bra. Men når effektivisering ender i at 132 lovbrudd konstateres uten sanksjon eller korrigerende tiltak, har effektiviteten fått en bismak av kapitulasjon.

For hva er mest effektivt?

Å avslutte saken raskt?

Eller å sørge for at ulovlig behandling faktisk stanser?

GDPR artikkel 58 gir tilsynsmyndighetene korrigerende virkemidler, blant annet advarsler, irettesettelser, pålegg, begrensning eller forbud mot behandling og administrative gebyrer. GDPR artikkel 52 nr. 4 krever at staten sikrer tilsynsmyndigheten menneskelige, tekniske og finansielle ressurser som er nødvendige for effektiv utførelse av oppgavene.

Det betyr at Norge ikke kan gjemme seg bak Datatilsynets uavhengighet. Uavhengighet betyr at departementet ikke skal instruere i enkeltsaker. Det betyr ikke at departementet kan la tilsynet mangle kapasitet til å håndheve loven.

Personvern er også nasjonal sikkerhet

Her ligger den store politiske blindsonen.

PST arbeider med terror, spionasje og sabotasje. Datatilsynet arbeider med data, overvåking, kunstig intelligens, digitale læringsverktøy, helsedata, arbeidsliv, finans, barn og offentlige registre.

Men i 2026 er dette ikke to adskilte verdener. Data er infrastruktur. Personopplysninger er makt. KI-systemer er beslutningsmaskiner. Barns skoledata, pasientdata, biometriske data og arbeidslivsdata er ikke administrative detaljer. Det er demokratiets råstoff.

Når Datatilsynet ikke har kraft nok til å håndheve, blir personvernbrudd en kalkulert forretningsrisiko. Når PST ikke har kraft nok til å håndtere trusler, blir nasjonal sikkerhet svekket. Begge deler handler om statens evne til å beskytte borgeren.

Så hvorfor behandles den ene krisen som beredskap — og den andre som saksbehandling?

Rydd opp slik Riksrevisjonen ville gjort

Hvis vi bruker Riksrevisjonens PST-logikk på Datatilsynet, blir opprydningen ganske tydelig.

1. DFD må få et tydeligere styringsansvar

Digitaliserings- og forvaltningsdepartementet må ikke styre Datatilsynets enkeltsaker. Men departementet må styre rammene: kapasitet, kompetanse, budsjett, IT, rekruttering og måloppnåelse.

Uavhengighet er ikke et frikort for passivitet.

2. Det må innføres reelle styringsparametere

Ikke bare antall saker. Ikke bare antall vedtak. Ikke bare saksbehandlingstid.

Datatilsynet må måles på håndhevingens effekt:

• Hvor mange brudd får faktisk konsekvens?

• Hvor ofte gis pålegg?

• Hvor ofte kontrolleres etterlevelse?

• Hvor mange saker gjelder store aktører med mange registrerte?

• Hvor mye tilsynstrykk rettes mot offentlig sektor, Big Tech, skole, helse, arbeidsliv og KI?

For hvis staten bare teller lukkede saker, får den lukkede saker. Ikke nødvendigvis bedre personvern.

3. Datatilsynet må få teknologisk slagkraft

Et digitalt tilsyn uten digital kapasitet er en vaktpost uten kikkert.

Datatilsynet trenger teknologer, analyseverktøy, saksstøtte, KI-kompetanse og evne til å kontrollere komplekse systemer. Hvis tilsynet skal møte globale teknologiselskaper med standardbrev og underbemanning, er kampen tapt før den begynner.

4. Håndheving må skilles fra høflig veiledning

Veiledning er viktig. Dialog er nyttig. Sandkasser kan være konstruktive.

Men lovbrudd må ikke forvandles til pedagogiske muligheter for overtrederen. Når brudd konstateres, må reaksjonen være konkret, begrunnet og egnet til å hindre gjentakelse.

Ellers blir Datatilsynet en rådgiver for dem som bryter loven — ikke en beskytter for dem loven skal verne.

5. Stortinget bør be om at Riksrevisjonen foretar en gjennomgang av Datatilsynet

Riksrevisjonen bør undersøke om Datatilsynet har ressurser, verktøy, organisering og departemental oppfølging som står i forhold til samfunnsoppdraget under GDPR, KI-forordningen og den digitale omstillingen.

Det bør ikke være nødvendig å vente til personvernet ligger på båre før noen spør om tilsynet hadde puls.

Konklusjon: Datatilsynet trenger ikke applaus. Det trenger ryggrad.

Riksrevisjonens kritikk av PST viser at staten vet hva sviktende styring ser ut som. Den vet hva manglende kapasitet betyr. Den vet hva teknologisk etterslep gjør. Den vet at uklare styringsparametere gir dårlig styring.

Da finnes det ingen unnskyldning for å late som om Datatilsynets situasjon er et smalt administrativt problem.

Personvern er ikke pynt på digitaliseringsstrategien. Det er en menneskerettighet. Og en menneskerettighet som ikke håndheves, er bare en høflig formulering i et dokument ingen frykter.

Når PST mangler kapasitet, kaller vi det sikkerhetsrisiko.

Når Datatilsynet mangler kapasitet, kaller vi det saksbehandlingspress.

Det er på tide å kalle også dette ved sitt rette navn: en demokratisk svikt.

Call to Action

Digitaliserings- og forvaltningsdepartementet, Stortinget og Riksrevisjonen bør svare på ett enkelt spørsmål:

Hvis det er sterkt kritikkverdig at staten ikke gir PST virkemidler til å beskytte landet, hvorfor er det akseptabelt at Datatilsynet ikke har virkemidler til å beskytte borgeren?

Personvern håndhever ikke seg selv. Noen må faktisk våge å bruke loven.

FAQ

Er Datatilsynet det samme som PST?

Nei. PST beskytter nasjonal sikkerhet. Datatilsynet beskytter personvernet. Men begge er avhengige av at staten gir dem reelle virkemidler, ikke bare store ord.

Hvorfor sammenligne personvern med sikkerhet?

Fordi digital makt, overvåking, KI og datamisbruk nå er en del av samfunnets sikkerhetsbilde. Personvern er ikke myk jus. Det er demokratisk infrastruktur.

Kan Datatilsynet unnlate sanksjoner?

Ja, i enkeltsaker. GDPR krever ikke gebyr i alle saker. Men når mange brudd avsluttes uten korrigerende tiltak, må staten spørre om håndhevingen fortsatt er effektiv.

Hva bør ryddes opp først?

Styringen. Uten tydelige mål, nok kapasitet, teknologisk kompetanse og krav til effekt blir Datatilsynet sittende fast i køsystemet.

Bør Riksrevisjonen undersøke Datatilsynet?

Ja. Når Datatilsynet selv varsler press på samfunnsoppdraget, bør Riksrevisjonen gjøre det den gjorde med PST: følge pengene, styringen, kapasiteten og konsekvensene.

When Norway’s Data Protection Authority gets its PST moment

Norway’s Office of the Auditor General has sharply criticised the governance of PST, the Norwegian Police Security Service. The message is brutal: when threats grow, tasks expand, technology accelerates and ministerial steering remains weak, the public mission suffers.

The same logic should now be applied to Norway’s Data Protection Authority.

PST protects national security. The Data Protection Authority protects citizens from unlawful data use, surveillance, AI-driven abuse and digital power without accountability. Different mandates, yes. But the structural problem is the same: more complex threats, growing workloads, insufficient tools and political reluctance to fund real enforcement.

The Authority’s 2025 annual report shows 5,532 new cases, 1,848 complaints from individuals and a 105 percent increase in such complaints. At the same time, it issued only 36 decisions involving sanctions or corrective measures, while 132 decisions found GDPR breaches without sanctions or corrective action. That is not merely pressure. That is enforcement erosion.

GDPR requires supervisory authorities to have the human, technical and financial resources necessary to perform their tasks effectively. Independence means no political instruction in individual cases. It does not mean the state may under-resource the regulator and then call the resulting weakness “prioritisation.”

The clean-up must be obvious: stronger funding, better technology, clearer performance indicators, more effective enforcement and a proper audit of whether Norway’s privacy regulator can actually fulfil its mandate.

Conclusion: If under-resourcing PST is a security risk, under-resourcing privacy enforcement is a democratic risk. Call it what it is.