tilt | på jobb | Tirsdag morgens julekavalkade 2017

Tirsdag morgens julekavalkade 2017

tirsdag 5. desember 2017 @ 05:45

Dette utvalget artikler fra 2017 er Tirsdag morgens julegave til den som vil ha. Vil du ha en egen lekker, nedlastbar PDF-versjon er det også mulig.
Av Paal Leveraas

Julen 2017

Ukebrevet Tirsdag morgen tar noen ukers kunstpause. Takk for at du følger bloggen og abonnerer på ukebrevet. Min lille gave til deg er et utvalg ukebrev jeg er litt ekstra godt fornøyd med. Håper du blir det også. Under er de beste ukebrevene fra 2017. Også tilgjengelig som PDF.

God jul, og gode nye tirsdager i 2018!

Kan du skape tillit? Da er du en selger!

Kan du skape tillit? Da er du en selger!

Motsatt: Vil du ikke kalle deg selger? Vel, da sier du minst tre ting om deg selv og virksomheten din:

  1. Jeg evner ikke å skape tillit
  2. Jeg har ikke tro på produktet mitt (også når produktet er deg selv)
  3. Prisen min er for høy – det jeg tilbyr er ikke verd pengene

Atle Øis hovedbudskap er at vi skal si til oss selv «Jeg er en selger» med stolthet. Altfor mange knytter selger-rollen til skam, til en slesk fyr som prakker på deg ting du ikke trenger til en altfor høy pris. Men hadde det vært slik, så hadde vi ikke hatt noe å leve av noen av oss.

read more…
De ubevisste holdningene til eldre arbeidstakere

De ubevisste holdningene til eldre arbeidstakere

Er du bevisst dine holdninger til eldre arbeidstakere?

I Norge er vi fornøyde med vår norske arbeidslivsmodell. Den bringer med seg mye positivt, men har også betydelige svakheter som ikke blir omtalt i den grad de fortjener.

Spørsmål:
Hva er årsaken til at høy alder er synonymt med (bevisst- eller ubevisst) lav «verdi» i arbeidslivet, og samfunnet generelt?

I en tidligere artikkel skrev jeg om holdninger (bevisste/ubevisste), og i hvilken grad de påvirker vår hverdag. Svaret på spørsmålet mitt over handler ubestridelig om holdninger ovenfor eldre. Men hva er holdninger, og hvor kommer de fra? Hva skaper holdninger?

Adferdslæring: Tanker skaper følelser - følelser skaper adferd - adferd skaper tanker

For å svare på spørsmålet må vi innom adferdspsykologien. I figuren over ser vi en enkel atferdslærende sirkel. Hvor er det naturlig å plassere holdninger her?

Nå er ikke jeg psykolog, men for meg er det naturlig å se på «pilene» i sirkelen som der holdninger skapes i atferds-læringsprosessen. Noen av disse holdningene er bevisste, andre er ubevisste. En rasjonell forståelse av holdninger blir da at de er «lærte». Holdninger er ikke noe vi er født med.

Bevisste holdninger er holdninger vi er klar over at vi har. Disse kan være et produkt av både egne tanker og refleksjoner, og av ekstern påvirkning. De ubevisste er vi i utgangspunktet ikke klar over. Det er da logisk at ubevisste holdninger skaper ubevisste handlinger.

Fra adferdspsykologien vet vi at følelser skaper adferd. Den adferden vi er oss bevisst, kan vi endre. Men for å endre den ubevisste atferden, må vi først bli bevisst den.

Eldre gjør en glimrende jobb, men …

Jeg velger å tro at det ikke finnes noen med bevisste, reflekterte holdninger som tilsier at eldre arbeidstakere har mindre verdi enn yngre. Men underliggende ubevisste holdninger kan påvirke bevisste holdninger.

«Jeg har ingenting imot eldre arbeidstakere, de gjør en glimrende jobb. Men …»

«Men»-et her hintet om at ubevisste holdninger ligger der som en etisk/moralsk utfordring. Våre bevisste holdninger er både sosialt akseptert, og er det ansiktet vi presenterer utad i samfunnet. Her bringer vi konseptet «verdi» inn blant holdningsbegrepene, og da bør vi vite hva «verdi i arbeidslivet» egentlig handler om. Verdi i arbeidslivet handler ikke kun om monetære verdier. Verdier handler også om, og definitivt i denne artikkelen, menneskeverd og våre personlige verdier.

I 1948 vedtok FN Menneskerettighetserklæringen. Erklæringen utgjør et solid rammeverk for å definere et menneskets verdi, uttrykt gjennom våre universelle rettigheter. Våre bevisste holdninger er preget av denne allmenne rasjonelle forståelsen av menneskeverd. Holdninger som «bevisst» rasisme og lignende «ismer» er ikke rasjonelle, og opererer derfor på et annet plan.

Derimot er våre personlige ubevisste holdninger et resultat av «ikke-bevisste påvirkninger», som i atferdspsykologien kan tilskrives bl.a.:

  1. Ubehagelige opplevelser.
    • Vi har alle opplevelser som ubevisst påvirker oss i hverdagen. Et eksempel er irrasjonell frykt for det å få en sprøyte, eller å gå til tannlegen. En gang opplevde vi noe i slike sammenhenger som gav oss et sterkt ubehag/smerter. Det å grue seg til dette er da et resultat av noe som er ubevisst, for vi vet jo, på et rasjonelt nivå, at dette egentlig ikke er noe å frykte.
  2. Preget tenkning fra miljøet en vokser opp i.
    • Hvis vi vokser opp i et miljø der det stadig blir brukt degraderende begreper om f.eks. politikere, politiet, eldre, funksjonshemmede, de med annen hudfarge, legninger m.m., så vil dette prege våre ubevisste holdninger. Det er her vi sannsynligvis oftest finner årsaken til det tidligere omtalte «Men…!!»
  3. Ikke-reflekterte «sannheter» (usannheter).
    • Vi har et selvstendig ansvar for å reflektere over såkalte miljørelaterte «sannheter». Det er en forklaring at en har vokst opp med slike «sannheter» i miljøet, men det er absolutt ingen unnskyldning for at en fortsetter å ha de hvis en har evnen til kritisk tenkning.
  4. Manglende evne til kritisk tenkning.
    • Er evnen til kritisk tenkning svak har dette en negativ påvirkning både i den private sfære, og definitivt også i en mer offentlig setting, f.eks. i jobbsammenheng.

Det finnes et nærmest ubegrenset antall personlige faktorer som kan tilskrives årsaken til ubevisste holdninger, men jeg vil påstå at disse er i denne sammenhengen de mest sentrale.

Det å i det hele tatt vurdere, bevisst eller ubevisst, et menneskes verdi er en atferd, og vår atferd blir preget av våre holdninger. Både de bevisste, og faktisk i større grad – de ubevisste.

«De unge talentene»

I den norske arbeidslivsmodellen finnes det en uskreven idealstandard. Det foreligger en «allmenn sannhet» om de unge «talentene»: De er fremoverlente, innovative og proaktive arbeidstakere. Det er hos de unge arbeidstakerne at de nye ideene finnes, det er her den nødvendige kompetansen som må til for å møte vår digitaliserte hverdag ligger. Dette blir vi fortalt gjennom artikler, retorikk og ikke minst stillingsannonser.

Idealstandarden er en person i midten av 20-årene (+5->10 år) med store digitale ferdigheter. Dette er en «sannhet»:
• vi har jo alle opplevd en som er over 50 år som sliter med bruk av digitale redskaper
• eldre er jo ikke spesielt innovative, fremoverlent, eller proaktive!
• en over 50 år kan jo ikke være et «talent»?
• det er jo slik i alle bedrifter/organisasjoner …
• de som lykkes, har flest unge talenter!

I stillingsutlysningene blir arbeidslivets holdninger uttrykt. Virksomhetene vil være «unge og proaktive», men med et «inkluderende miljø»! Så kan vi jo alltids spørre: Inkluderende? Virkelig? Her er uten tvil HR-sektoren, ledere, og ikke minst rekrutteringsbransjen de store synderne med sine bevisste/ubevisste- og delvis selvpålagte «filter».

Våre handlinger preges av våre holdninger, som igjen preges av vår tenkning – som deretter preger våre holdninger- og slik går det. Vi har herved effektivt definert «eldre arbeidstakere» som mindre verdifulle for arbeidslivet, men stemmer dette? Tvert imot så viser all forskning at NEI!, dette er beviselig galt. Det finnes mengder med forskning på dette, og all forskning viser at 50+ er like energisk, like innovative, like proaktive, like talentfulle og faktisk yter like mye, om ikke mer, enn yngre arbeidstakere.

Det er all grunn til å hevde at bevisste/ubevisste holdninger er årsaken til den «blinde» aksepten av degraderingen av eldre arbeidstakere. De grunnene som blir lagt til grunn for denne devalueringen, er jo beviselig feil. Kritisk tenkning er et grunnleggende viktig redskap når en skal ta fatt i sine ubevisste holdninger og fordommer, og vi må akseptere et ubehagelig fakta om oss selv i denne prosessen:

«De velger å gi uttrykk for mer positive eller såkalt politisk korrekte holdninger for å slippe å bli fordømt som for eksempel rasist. Folk kan også selv ha et ideal om ikke å være fordomsfull, noe som kan få dem til å undertrykke sine holdninger i den grad at de ikke er seg bevisst sine fordommer. De kan ærlig og oppriktig tro seg fordomsfrie, selv om de ikke er det.» (Kilde)

Mitt spørsmål, helt til slutt, er som følger: Etter å ha lest denne artikkelen, tror du fremdeles at «eldre» (50+) arbeidstakere har «mindre verdi» enn yngre? I så fall, hvorfor?

IT-jus nr. 4/24

IT-jus nr. 4/24

EDPB har kommet med sin “Opinion” om “Consent or pay”. Den er trigget av at Meta innførte en betalingsløsning for å unngå rettet reklame. Jeg har skrevet to artikler om dette som du finner her

https://iapp.org/news/a/thoughts-on-behavioral-advertising-meta-and-privacy

https://schjodt.com/news/thoughts-on-behavioural-advertising-meta-and-privacy

og hvor jeg er noe kritisk til den rolle EDPB nå får i Europeisk rettsutvikling.

Beslutningene fra EDPB fungerer i realiteten på samme måte som lovgivning, men tilblivelsesprosessen er ganske annerledes og mindre gjennomsiktig. Dette er en konsekvens av GDPR som er vanskelig å gjøre noe med. Noen har begynt å kalle datatilsynene i EU “den fjerde statsmakt” og det er ikke helt feil.

Hva gjelder “Consent og pay” sier EDPB nå at en del aktører plikter å tilby sine tjenester vederlagsfritt. Virksomheter må tjene penger. Om en forbruker får 3 valg: 1) betal for tjenesten, 2) betal for tjenesten ved å motta rettet reklame eller 3) få en tilsvarende tjeneste gratis – så vil nok flertallet velge det siste. Det fremmer neppe nye tjenester, ingen kan levere tjenester gratis. Et av de sentrale spørsmålene er hvem som pålegges å tilby vederlagsfrie tjenester – er det bare Meta? Nei. Men hvem som rammes er ganske uklart formulert fra EDPB og det er rom for å gi retningslinjene anvendelse på tjenester som er sentrale på sitt område selv om tjenesten ikke er veldig stor. Mange er dypt uenige i dette. Vi vil få se fremover hvordan dette spiller ut.

I øvrig er det full fart på personvernområdet. NOYB har klaget på OpenAI om at den gir resultater som ikke er riktige når den “hallusinerer” – og kritisert at det ikke er i tråd med GDPR at det ikke finnes måter å avhjelpe dette på. Her ser vi en kollisjon mellom reglene i GDPR og hvordan KI fungerer. For meg er det uklart hvordan man skal få denne teknologien til å følge alle reglene i GDPR, men jeg tror heller ikke at reglene kommer til å endres. EDPB arbeider med dette også i en dedikert task force – det blir spennende å se hva de kommer til etter hvert.

Denne gangen går jeg ikke inn på behandlingsgrunnlag for rettet reklame og IAB-sakene som vi har snakket om flere ganger i nettverket, men for spesielt interesserte er det kommet en ny avgjørelse fra ECJ den 5. mars i år (C-604/22). Avgjørelsen bekrefter at informasjonen i samtykke-strengene er personopplysninger og at IAB er felles behandlingsansvarlige med de som bruker systemet til IAB (kanskje mest overraskende).

For oss i Norge er det nok viktigere at det er kommet et nytt forslag til Ekomlov, som stiller klare krav til at bruk av cookies baserer seg på samtykke og ikke berettiget interesse. Det er interessant å se at det foreslås at NKOM skal ta stilling til hva som er nødvendige cookies, mens Datatilsynet skal ta stilling til hva som er et godt nok samtykke. Her kan det bli mye action fremover. Det er pt uklart når loven går gjennom Stortinget, det kan skje allerede før sommeren, men mest sannsynlig til høsten.

Under er noen av de andre viktige sakene den siste måneden og jeg er redd det ble et langt nyhetsbrev, men jeg vet at mange av dere likevel setter pris på det.

God lesning og husk å nyte vårsolen også!

Hilsen Eva,

denne gang med assistanse av Sigurd Fjærtoft-Andersen fra Schjødt


KUNSTIG INTELLIGENS

Dominos i trøbbel for bruk av AI-system for telefonbestillinger

Den stadig økende bruken av AI-systemer byr på sedvanlig vis på nye utfordringer for store, verdensomspennende selskaper som benytter seg av den teknologiske utviklingen. I et foreslått gruppesøksmål i den amerikanske delstaten Illinois har tre kunder anklaget pizzakjeden Dominos og utvikleren av selskapets stemmegjenkjenningssystem for å samle inn og lagre kunders stemmeavtrykk, navn, adresse, telefonnummer og kredittkortnummer, uten å informere kundene. Et stemmeavtrykk er å regne som et individuelt og særegent mønster av egenskapene til en persons stemme som er spektrografisk produsert, og utgjør vanligvis biometriske data som er særskilt vernet som særlige kategorier av personopplysninger.

Stemmegjenkjenningssystemet ble utviklet av ConverseNow Technologies, og brukes angivelig på 57 ulike Dominos-lokasjoner i Illinois for å forbedre kundeservicen og å forbedre salget. Ifølge det foreslåtte søksmålet har stemmegjenkjenningssystemet blitt brukt siden 2020, uten at kundene har blitt informert om slik bruk og lagring. Det er et betydelig misbrukspotensiale for slik stemmeinformasjon.

Gruppesøksmålet reiser spørsmål om Dominos tilnærming til kundenes personvern, og bygger på at innsamlingen av stemmeavtrykk er i strid med Illinois Biometric Information Privacy Act (BIPA). Søksmålet kan som vanlig resultere i økonomiske sanksjoner og tapt omdømme, og illustrerer på sedvanlig vis viktigheten ved etterlevelsen av personvernregelverket i situasjoner der selskaper tar i bruk ny teknologi i takt med den teknologiske utviklingen. Til deg som implementerer nye AI-baserte verktøy i bedriften – følg med på personvernregelverkets krav til informasjon og samtykke!


Statsminister i falsk pornovideo

Italias Statsminister Giorgia Meloni krever 100 000 euro i erstatning for opplastning av videoer med falskt pornografisk innhold.

Den teknologiske utviklingen byr også på utfordringer som går utenfor de mer typiske regulatoriske problemstillingene innen personvern og AI. Ifølge den italienske statsministeren ble det i 2022 produsert og lastet opp flere falske pornografiske videoer på internett der den italienske statsministerens ansikt ble lagt over en annens kropp – såkalt deepfake. Videoene har blant annet skapt utbredt bekymring for bruken av slike deepfakes i italiensk politikk og andre steder, knyttet til produksjon av propaganda og desinformasjon. Bruk av videoene viser også hvor enkelt det er å lage og dele deepfakes på en måte som krenker enkeltpersoners privatliv, skader omdømme og forårsaker følelsesmessig skade.

Politiet har uttalt at de gjennom sporing av mobilenhetene som ble brukt til å legge ut videoene har identifisert en 40 år gammel mann og hans 73 år gamle far som gjerningsmenn, og Meloni skal vitne mot disse for en domstol på Sardinia 2. juli 2024. Dersom Melonis krav om erstatning på 100 000 Euro vinner frem, vil hun donere pengene til et fond som støtter kvinner som har vært utsatt for vold fra menn. Det er lov å mene at deepfakes er ganske skummelt og at det er fint at AI Act regulerer dette hardt.


Det danske datatilsynet tillater – overraskende nok – ansiktsgjenkjenning

For fire og et halvt år siden fikk den danske fotballklubben Brøndby IF, som den første private aktøren i Danmark, tillatelse fra det danske datatilsynet til å bruke automatisk ansiktsgjenkjenning for identifikasjon av utestengte tilskuere. De fire siste sesongene har tilskuere blitt filmet og sammenlignet ved hjelp av Brøndby Stadions ansiktsgjenkjenningsteknologi – alt for å identifisere og fange opp fans som har fått karantene og som ikke skal slippes inn på stadion. Et system for ansiktsgjenkjenning vurderes nå på nasjonalt nivå av den danske divisjonsforeningen, som er i ferd med å utarbeide regler og rammeverk for bruk av teknologien på nasjonalt nivå.

Til tross for at bruk av teknologien har gitt gode resultater for Brøndby IF, ble lanseringen av systemet i 2019 – som i stadig økende grad også ellers i personvernverden – møtt med skepsis i Danmark. Lederen i IT-politisk forening, Jesper Lund, uttalte tilbake i tid at ansiktsgjenkjenning er “den mest inngripende overvåkningsteknologien som finnes”, og at han håpet at “det blir protester og at fotballfans som går på Brøndbys kamper, sender klager til Datatilsynet på denne behandlingen av personopplysninger”. Til tross for slik skepsis, informerer det danske datatilsynet at de ikke har mottatt noen klager på Brøndby Ifs bruk av ansiktsgjenkjenning. Det er på mange måter overraskende at det danske tilsynet har tillatt ansiktsgjenkjenning, men det illustrerer en interessant holdning: De potensielle fordelene ved å bruke slik teknologi kan være så store at også inngripende tiltak etter en totalvurdering kan være akseptabelt. https://www.digi.no/artikler/fotballklubb-bruker-ansiktsgjenkjenning-for-a-stoppe-utestengte-fans/545113


Studie viser (overraskende) skadelige fabrikasjoner i OpenAI’s tale-til-tekst algoritme

Tendensen til at chatboter drevet av kunstig intelligens av og til finner på ting, eller hallusinerer, er etter hvert godt dokumentert. Nå har en ny studie fra Cornell University funnet at også AI-modeller for transkribering kan hallusinere. Det er kanskje ikke overraskende, men konsekvensene kan bli store.  

OpenAI’s Whisper, en AI-modell som er trent til å transkribere lyd til tekst, fant ifølge en ny studie opp 1.4% av den lyddataen som ble testet. I tillegg inneholdt en stor del (rundt 40%) av de konstruerte setningene støtende eller potensielt skadelig innhold, bl.a. knyttet til vold, seksuelle forhold og demografiske stereotyper. Dette er spesielt uheldig der transkripsjonsverktøy brukes av f. eks. leger eller annet helsepersonell til å skrive pasientnotater eller journaler. Utfordringene ved bruk av AI-basert transkripsjonsverktøy blir enda større der brukeren av disse tar det for gitt at verktøyet transkriberer det som rent faktisk blir sagt.

Det faktum at transkripsjonsverktøy kan hallusinere, gir et sterkt insentiv til å behandle slike verktøy med forsiktighet, særlig i tilfeller der riktigheten av den teksten som genereres er av stor betydning for individet som teksten angår.

https://www.science.org/content/article/ai-transcription-tools-hallucinate-too


Man må ha lovlig treningsdata for utvikling av AI-modeller

I kjølvannet av et nytt søksmål mot Amazon i California, oppstår igjen problemstillinger knyttet til bruk av opphavsrettslig beskyttet materiale ved trening av AI-modeller. I søksmålet påstår en tidligere ansatt i Amazon at selskapet, i forbindelse med OpenAI’s lansering av GPT-4, var så desperate etter å holde tritt med konkurransen innen generativ kunstig intelligens at selskapet var villig til å bryte opphavsrettslige regler ved utvikling og trening av sine AI-modeller.

Påstanden fremsettes i en sak der en tidligere ansatt AI-forsker ble degradert og deretter avskjediget, etter at Amazon oppdaget av vedkommende var gravid. I tillegg til påstander knyttet til urettmessig og diskriminerende oppsigelse, påstår kvinnen at hun ble sagt opp fordi hun klaget da Amazon angivelig brøt sine egne regler for bruk av opphavsrettslig beskyttet materiale i forbindelse med AI-utvikling. I søksmålet påstås at representanter fra øverste juridiske hold i Amazon ba kvinnen om å ignorere Amazons brudd på egne, internt utarbeidede regler for opphavsrett, og at instruksen ble begrunnet i at alle andre store aktører gjorde det samme.

Søksmålet illustrerer at opphavsrettslige spørsmål knyttet til utvikling og trening av språkmodeller stadig er et høyst relevant tema.

https://www.theregister.com/2024/04/22/ghaderi_v_amazon


PERSONVERN

Nye klageskjema for overføringer til USA

Da EU-Kommisjonen i fjor besluttet at man kan trygt overføre personopplysninger til selskaper i USA som er registrert under DPF, var en forutsetning at privatpersoner skal kunne klage hvis man mener at vilkårene ikke er oppfylt. Det er mange steder en slik klage kan rettes, men nå har EDPB laget et skjema for klage til lokalt datatilsyn på at mottaker i USA ikke overholder de mange kravene i DPF. Det er et eget skjema man kan bruke hvis man mener at amerikansk etterretningstjeneste ikke behandler opplysninger korrekt. Det danske Datatilsynet har gjort skjemaene tilgjengelig her

https://www.datatilsynet.dk/internationalt/internationalt-nyt/2024/apr/nye-klageformularer-vedroerende-overfoersler-til-usa


CJEU med ny avgjørelse knyttet til bruk av fingeravtrykk på europeiske identitetskort

EU-domstolen avsa nylig en avgjørelse som aktualiserer skjæringspunktet mellom EU-forordningen om identitetskort og grunnleggende rettigheter til respekt for privatliv. Bakgrunnen for saken var at en tysk statsborger hadde klaget kommunens avslag om å utstede et identitetskort uten fingeravtrykk inn for EU-domstolen, under henvisning til at kommunens avslag var i strid med grunnleggende rettigheter til respekt for privatliv. EU-domstolen erkjente at EU-forordningen om identitetskort, som krever lagring av fingeravtrykk på kortet, bl.a. begrenser retten til beskyttelse av personopplysninger. EU-domstolen fant imidlertid at formålene som ligger til grunn for lagring av fingeravtrykk er forsvarlige og legitime, og at disse formålene måtte gis forrang i den konkrete saken.

Et av de legitime formålene som ble fremholdt av EU-domstolen, var bl.a. at bruk av et pålitelig identifikasjonssystem fremmer borgernes rett til fri bevegelse og opphold i EU og at bruk av fingeravtrykk bidrar til å bekjempe produksjonen av falske identitetskort.  Saken illustrerer at personvernhensynet stadig veies opp mot andre legitime hensyn, og at dataminimering (gjennom andre, mindre personverninngripende tiltak) ikke alltid er tilstrekkelig for å ivareta andre, legitime formål som griper inn i enkeltindividers personvern.

https://www.lexology.com/library/detail.aspx?g=92561619-bf99-45ed-89e0-8c29bd879572

(Krever innlogging)


Ny avgjørelse fra det portugisiske datatilsynet knyttet til Worldcoins lagring av biometriske data

Det portugisiske datatilsynet (CNDP) har nylig pålagt selskapet Worldcoin, som oppfordrer kunder til ansiktsskanning i bytte mot digital ID og gratis kryptovaluta, om å slutte med all lagring av biometriske data i 90 dager. CNDP er gjort kjent med at mer enn 300.000 personer i Portugal har gitt Worldcoin biometriske data bl.a. i form av iris-skanning og de har fått flere klager om uautorisert samling av personopplysninger fra mindreårige, mangelfull informasjon og mangel på individenes mulighet til å slette data og trekke samtykke. Worldcoin har på sin side uttalt at de sikter på å bygge en identitet og et finansielt nettverk, og at behandlingen av biometriske data er nødvendig for at folk skal kunne bevise at de er mennesker i en verden dominert av kunstig intelligens.

Worldcoin er foreløpig under etterforskning i flere land, og har mottatt kritikk fra personvernkjennere knyttet til samling og lagring av personopplysninger. Det spanske datatilsynet har gitt Worldcoin en tre-måneders suspensjon etter å ha mottatt tilsvarende klager. Saken illustrerer flere kjente personvernrettslige problemstillinger, og det blir spennende å se hvordan personvernmyndighetene behandler saken – særlig knyttet Worldcoins angivelig mangelfulle informasjon om behandlingen av biometriske data. Avgjørelsen kan potensielt gi store konsekvenser både for datasubjektet og Worldcoin.

https://www.reuters.com/markets/currencies/sam-altmans-worldcoin-ordered-stop-data-collection-portugal-2024-03-26


Det finske datatilsynet  ny avgjørelse knyttet til bruk av personnummer i SMS’er til pasienter

Det finske datatilsynet avsa nylig avgjørelse mot en behandlingsansvarlig for å ha sendt testresultater til sine pasienter på SMS, med pasientens personnummer inkludert i meldingen. I sin respons på datatilsynets forespørsel om forklaring på formålet med å inkludere personnummer i tekstmeldinger til pasienter, uttalte den behandlingsansvarlige at bruken av personnummer sikret at pasientens informasjon ikke ved uhell ble delt til andre personer med samme navn. Den behandlingsansvarlige fremholdte videre at i en tjeneste der pasientens personnummer ble sendt som tekstmelding til pasientens egen mobiltelefon, må risikoen knyttet til behandling av personnummer anses som lav.

Til tross for at datatilsynet var enige i at artikkel 87 i personvernforordningen sier at medlemslandene kan fastsette spesifikke vilkår for behandling av personnummer, la datatilsynet vekt på at personnummeret er en unik og permanent identifikasjonsfaktor, og at tredjepartstilgang til slike opplysninger kan påføre datasubjektet omfattende skade i form av bl.a. identitetstyveri.

På denne bakgrunn kom det finske datatilsynet til at nummeret ikke skulle brukes i SMS’er til pasienter. Med norske øyne må en slik behandling av personnummer anses som oppsiktsvekkende. Jeg tror ikke mange ville gjøre det samme her.

https://gdprhub.eu/index.php?title=Tietosuojavaltuutetun_toimisto_(Finland)_-_TSV/29/2020&mtc=today


Rett til innsyn i alle dokumenter som inneholder personopplysninger

Den administrative domstolen i Berlin har behandlet en sak om den registrertes rett til å kreve tilgang til og kopi av alle personopplysninger som den behandlingsansvarlige behandler om den registrerte. Den registrerte krevet en kopi av alle dokumenter som inneholder personopplysninger. Den behandlingsansvarlige ga den registrerte tilgang til generell informasjon om hvilke typer personopplysninger selskapet hadde i sitt IT-system – såkalte “master data”. Behandlingsansvarlig hevdet at forespørselen ville innebære en uproporsjonal innsats og dermed var urimelig – som følge av at dette medførte en gjennomgang av over 5000 sider – og at forespørselen om kopi av alle dokumenter innebar misbruk av den registrertes rettigheter.

Domstolen fremholdt at formålet bak innsynsretten etter GDPR artikkel 15 bl.a. er at den registrerte skal kunne ettergå lovligheten ved behandlingen av personopplysninger. Basert på viktigheten av dette formålet, kom retten til at den behandlingsansvarlige bare kan motsette seg plikten til å gi slikt innsyn på grunnlag av uproporsjonalt stor innsats i strengt begrensede tilfeller. Som følge av at den registrertes krav om innsyn var begrunnet i ønsket om å forstå hvordan og med hvilke tredjeparter behandlingsansvarlige delte personopplysninger, kom retten til at behandlingsansvarlige måtte gi den registrerte kopi av alle personopplysninger, og at den registrertes forespørsel ikke innebar misbruk av rettigheter etter personvernforordningen.

Saken er en ytterligere påminnelse om hvor sterkt innsynsretten står og at denne bare helt unntaksvis kan begrenses.

https://gdprhub.eu/index.php?title=VG_Berlin_-_1_K_187/21&mtc=today


Rett til innsyn i møtereferat der en forening (behandlingsansvarlig) diskuterte den registrerte.

En forening (behandlingsansvarlig) på Island hadde holdt et møte der det bl.a. ble diskutert en klage fra den registrerte knyttet til mobbing og vold på arbeidsplassen. Den registrerte ba om innsyn i møtereferatet. Som følge av foreningens avslag om innsyn, klagde den registrerte foreningen inn til det islandske datatilsynet. Datatilsynet kom til at GDPR artikkel 15 oppstiller en rett for den registrerte til å få tilgang til informasjon fra møter der den registrerte blir diskutert, i tillegg informasjon om til navnene på de som deltok på møtet. Datatilsynet understrekte imidlertid at andre datasubjekters interesser også må beskyttes, og at den registrerte derfor ikke kunne få tilgang til møtereferatet i sin helhet.

Et interessant spørsmål her er hvorvidt resultatet av klagen ville blitt annerledes i Norge, som følge av unntaksbestemmelsen for interne dokumenter i personopplysningsloven § 16 bokstav e – og det er uansett interessant at det ser ut å være ulik praksis på dette innenfor EØS.

https://gdprhub.eu/index.php?title=Pers%C3%B3nuvernd_(Island)_-_2021122345&mtc=today


Omstendigheter teller ved vurderingen av hva som er akseptabel bruk av personopplysninger

Det spanske datatilsynet (AEPD) har tatt stilling til om et medisinsk senters (behandlingsansvarlig) bruk av et apparat for temperaturmåling av pasienter i resepsjons- og venteområde utgjorde akseptabel bruk av personopplysninger. Som følge av at bruk av apparatet for temperaturmåling i disse områdene innebar at temperaturdata kunne bli sett av tredjeparter som oppholdte seg i venterommene, kom det spanske datatilsynet til at behandlingsansvarlig manglet tilstrekkelige tiltak for å beskytte personopplysningene mot observasjon fra tredjeparter.

Behandlingsansvarlig ble idømt en bot på 30,000 euro som følge av brudd på prinsippene om sikkerhet og konfidensialitet i GDPR artikkel 5 og 32.

Det er nok noen mottaksrom og venterom innenfor helsesektoren som har en utfordring her. Selv om man ikke tar temperaturen på folk i offentlighet er det mange steder pasienter må forklare årsak til hvorfor de er møtt opp.

https://gdprhub.eu/index.php?title=AEPD_(Spain)_-_EXP202202309&mtc=today


EU-parlamentet stemmer for å styrke håndhevelsen av GDPR

Medlemmene av Europaparlamentet stemte onsdag 10. april om endringer for å styrke håndhevelsen av GDPR – og andre oppfordret til ytterligere forbedringer av personvernforordningen. Endringene i reglene om håndhevelse tar sikte på å styrke klagers rettigheter og å adressere prosedyremessige utfordringer i reglene. Endringene innebærer bl.a. en endring av tilsynsmyndighetenes rolle, og fjerner enkelte forpliktelser knyttet til deling av foreløpige funn (preliminary findings).

En vesentlig endring åpner for at nasjonale tilsynsmyndigheter kan be om hastebindende avgjørelser fra EDPB i prosessuelle tvister, og dersom en ledende tilsynsmyndighet ikke kan overholde en frist på grunn av komplekse undersøkelser, kan det bes om en forlengelse på inntil ni måneder.

I tillegg kan tilsynsmyndighetene nå be om ex officio-undersøkelser når de mistenker et potensielt GDPR-brudd som påvirker registrerte. Slike ex officio-undersøkelser gjør det mulig for tilsynsmyndighetene å selvstendig sette i gang undersøkelser av mistenkt ulovlig behandling av personopplysninger, uavhengig av klager fra datasubjekter.

Endringene introduseres imidlertid ikke uten motbør, og relevante innsigelser kan leses i linken nedenfor. Uansett virker det klart at endringene vil medføre større fokus og tettere oppfølging av personvernregelverket.

https://www.euractiv.com/section/data-privacy/news/eu-parliament-votes-to-strengthen-gdpr-enforcement/


USA kan endelig få en føderal personvernlov som konkurrerer med Europas GDPR

Det er iverksatt arbeid med en ny, omfattende personvernlov i USA som skal gi langt videre beskyttelse en reglene for medisinske data og barnedata som gjelder i dag. Lovforslaget, som formelt sett skal introduseres i slutten av april, kalles American Privacy Rights Act eller APRA. Det foreløpige regelverket ser angivelig likt ut som det europeiske regelverket i GDPR, og vil bl.a. gi amerikanske datasubjekter mulighet til å velge bort målrettet annonsering og å minimere de personopplysningene selskaper behandler om dem.

I tillegg legger forslaget opp til at datasubjektene skal kunne be behandlingsansvarlig om tilgang til de personopplysningene som behandles, kreve at personopplysninger korrigeres eller slettes, og kreve en nedlastbar versjon av data som selskapene besitter. Forslaget legger også opp til at selskaper ikke skal kunne dele sensitive personopplysninger uten datasubjektets uttrykkelige samtykke.

Selv om mange av disse rettighetene allerede er tilgjengelige for mange amerikanere i enkelte delstater, vil det nye regelverket kunne bidra til en styrking og harmonisering av personvernregelverket over hele USA. Det blir imidlertid meget interessant å se hvordan regelverket vil se ut når det først blir implementert, etter det som sannsynligvis vil bli en omfattende politisk prosess. https://fortune.com/2024/04/08/apra-us-federal-privacy-law-rodgers-cantwell-gdpr-ai/


Prinsipielt viktig sak om datatilsynenes aktivitetsplikt

Datatilsynet i Hessen, Tyskland (HBDI) har avgjort en sak knyttet til datatilsynets aktivitetsplikt. Saken var foranlediget av at en behandlingsansvarlig gjorde HBDI oppmerksom på et databrudd: En av behandlingsansvarliges ansatte hadde ulovlig fått tilgang til personopplysninger om behandlingsansvarliges kunder.

Etter at HBDI hadde informert den registrerte om at ingen tiltak ble iverksatt mot behandlingsansvarlig, klagde den registrerte avgjørelsen inn for den administrative domstolen i Wiesbaden og ba om at HBDI skulle iverksette tiltak mot behandlingsansvarlig. Deretter refererte domstolen spørsmål til EU-domstolen om hvorvidt en tilsynsmyndighet som finner ut at personopplysninger har blitt behandlet i strid med den registrertes rettigheter, alltid må foreta handlinger i tråd med GDPR artikkel 58(2).

På prinsipielt grunnlag besvarte EU-domstolen spørsmålet bekreftende. Det ble konkludert med at når en tilsynsmyndighet blir oppmerksom på en behandling av personopplysninger som har krenket den registrertes rettigheter – må tilsynsmyndigheten iverksette tiltak under GDPR artikkel 58 (2) i den utstrekning dette er nødvendig for å sikre full etterlevelse av GDPR. Avgjørelsen er prinsipiell og høyst interessant, særlig sett i lys av at en så omfattende aktivitetsplikt for datatilsynene kan være vanskelig å etterleve i en stadig økende oppdragsmengde.

https://gdprhub.eu/index.php?title=CJEU_-_C-768/21_-_TR_v_Land_Hessen&mtc=today#English_Summary


Praktisk viktig sak om lagring av personopplysninger i rekrutteringssaker

Det finske datatilsynet har tatt stilling til et datasubjekts forespørsel om sletting av personopplysninger i forbindelse med en rekrutteringsprosess. Datatilsynet hadde blitt gjort oppmerksom på at et selskap (behandlingsansvarlig) hadde nektet å slette datasubjektets personopplysninger. Ved spørsmål fra datatilsynet om hvorfor behandlingsansvarlig nektet å slette personopplysningene, svarte selskapet at lagring av opplysningene var nødvendig for at selskapet skulle kunne forsvare seg selv mot potensielle klager om diskriminering i ansettelsesprosessen. Selskapets forklaring ble akseptert av datatilsynet.

Dermed kom det finske datatilsynet til at selskapet ikke behøvde å etterleve datasubjektets forespørsel om sletting, som følge av at lagring var nødvendig for at selskapet skulle kunne forsvare seg mot slike potensielle klager om diskriminering – som ifølge den finske straffeloven må fremsettes innen to år etter ansettelsesprosessen.

Det er ikke opplagt for meg at dette skulle bli resultatet, da det f eks tidligere har vært uttalt at et selskap ikke kan lagre kundeopplysninger for å håndtere senere reklamasjoner – men her tror jeg det er ulik praksis i ulike land.

https://gdprhub.eu/index.php?title=Tietosuojavaltuutetun_toimisto_(Finland)_-_6652/154/19&mtc=today


Beslutning fra det irske datatilsynet i sak mot Airbnb

Vi har tidligere omtalt en sak mellom det irske datatilsynet og Airbnb. Saken handlet om behandlingsgrunnlag for Airbnbs krav om datasubjektets ID ved datasubjektets krav om sletting av personopplysninger.

Det irske datatilsynet har nå konkludert og kom til at Airbnb manglet behandlingsgrunnlag – og brøt plikten til dataminimering – da de fremsatte krav om datasubjektets ID i forbindelse med forespørselen om sletting. På denne bakgrunn ga det irske datatilsynet en irettesettelse mot Airbnb, uten at Airbnb ble ilagt bot.

https://gdprhub.eu/index.php?title=DPC_(Ireland)_-_Inquiry_into_Airbnb_Ireland_UC_-_January_2024&mtc=today


KOMMENDE MØTER

23. mai 14.00 – 17.00 Nettverksmøte i Oslo
22. august 14.00 – 17.00 Nettverksmøte i Oslo

Se hele oversikten over kommende aktiviteter i nettverket her.


SISTE ORD

Du får dette nyhetsbrevet som medlem av tilt.works PrivacyTech-nettverk eller fordi du har tegnet et eget abonnement. Du kan oppdatere din profil her.

Soloprenørene: Hvordan skaffe nye kunder?

Soloprenørene: Hvordan skaffe nye kunder?

I tilt.work vet vi mye om soloprenørskap, og derfor har vi startet Soloprenørnettverket PiT, en møteplass for kunnskapsdeling, erfaringsutveksling, inspirasjon og læring. 

I nettverket tematiserer vi fem hovedutfordringer som vi vet alle soloprenører har felles: Salg, Markedsføring, Selvledelse, Forretningsutvikling og Lov/Rett.

I vårens første møte om Salg diskuterte vi “Hvordan skaffe kunder?” Det var en bredt sammensatt gjeng av soloprenører som delte sine erfaringer om vellykkede og ikke fullt så vellykkede innsalgs-strategier. 

Erfaringene har vi oppsummert i diagrammet under. Hver lapp representerer et mulig tiltak. Disse er satt inn i en matrise med to akser: Verdi og Innsats. Desto høyere opp i matrisen, desto høyere verdi har tiltaket. Desto lenger til høyre i matrisen lappen plasseres, desto høyere verdi har det.

De enkelte tiltakene er plassert inn i matrisen i henhold til hva det var enighet om blant deltakerne. 

Det er en del overraskelser i denne oppstillingen: Blogging er plassert nederst til venstre i matrisen og anses dermed som relativt verdiløst i forhold til å skaffe nye kunder. Det samme gjelder deltakelse i andres Podcast: Da bidrar du mer til den andres podcast enn til å markedsføre deg selv.

At deltakelse i nettverk og nettverksbygging anses som et tiltak av høy verdi for å skaffe kunder er kanskje ingen overraskelse, men det er en tidkrevende aktivitet og kanskje noe man ikke bør satse på ene og alene.

Jungeltelegrafeffekten og nyhetsbrev med faglig innhold har høy verdi og anses ikke som altfor mye av en tidstyv. Kanskje fordi det virker mer meningsfullt og relevant i forhold til sin inntektsgivende virksomhet?

Ren annonsering synes ikke å ha mye for seg. Da er det heller bedre å selv ta initiativ til frokostmøter e.l., evt. sikre seg presseomtale. Sistnevnte kan man oppnå ved å få gjennomført en mindre spørreundersøkelse om et tema man jobber med, for deretter å sende ut en pressemelding om funnene. Pressen elsker spørreundersøkelser!

Og om pressen ikke i utgangspunktet napper, kan man alltid publisere det på LinkedIn eller annet medium. Da bringer du en nyhet til offentligheten.

Som du skjønner, var det en interessant og lærerik time i Soloprenørnettverket. Neste gang vi møtes, den 3. mai kl. 15.00, er tema “Effektive salgs- og forhandlingsteknikker – bli en bedre selger”. Da får vi besøk av Atle Øi, med-tilter og forfatter av bøkene “Du er en selger” og “Salgssjefen”.

Møtet er gratis for medlemmer i nettverket, og koster kr. 199,- for ikke-medlemmer. Påmelding under.


Hvordan 84% av norske virksomheter skaffer nye kunder

Hvordan 84% av norske virksomheter skaffer nye kunder

I Norge er det i 2024 ca 660.000 virksomheter (SSB). 550.000 av disse – 84 prosent – har færre enn 5 ansatte. Av disse er en overveldende majoritet uten registrerte ansatte. De er det vi kan kalle “soloprenører”.

En soloprenør er en person som driver sin virksomhet alene, uten andre ansatte. Begrepet er satt sammen av “solo” og “entreprenør”, og peker på rollen som både eier og eneste operative i virksomheten.

En soloprenørs største daglige glede er friheten: ingen sjefer, fleksibilitet, store muligheter til å utforme sin egen arbeidsdag, et jevnt og stødig tilfang av nye, villige kunder. 

En soloprenørs største daglige frustrasjon er det samme: ingen sjefer – led deg selv! Så stor fleksibilitet at livet går ut av ledd. Skiturer i marka midt i arbeidsdagen – mens du grubler på hvordan du skal overleve neste måned. Kanskje noen nye kunder – bare du ikke så inderlig HATET å selge deg selv!

Soloprenøren er både vaktmester, visjonær og alt i mellom, inkludert salgs- og markedssjef.

Å selge seg selv

Og akkurat den rollen – som selger av seg selv – er det mange soloprenører som sliter med. 

Fra april til juni er salg og markedsføring for soloprenører eller småbedriftseiere et gjennomgående tema i våre digitale nettverksmøter i Soloprenørnettverket PiT. Nettverket tilbyr soloprenører en møteplass for kunnskapsdeling, erfaringsutveksling, inspirasjon og læring. 

Det første møtet har tema “Hvordan skaffe nye kunder?” 

Møtet er åpent for alle (fordi vi gjerne vil ha flere medlemmer), mens de øvrige er kun for medlemmer av nettverket.

Hvordan skaffe nye kunder da?

Men hvordan skaffer man seg nye kunder da? Etter mer enn 40 år i små virksomheter, de fleste av dem som soloprenør, har jeg fremdeles ikke ett entydig svar på det. Suksess som soloprenør handler om mye av det samme som suksess i større virksomheter handler om: produkter eller tjenester noen er ute etter, synlighet, spesialisering, kvalitet, leveringsdyktighet, 

Tidlig i min soloprenørkarriere brukte jeg ukebrevet du nå leser som et verktøy for å komme på radaren. (Les Å selge seg selv uten å selge). Det fungerte veldig, veldig bra – for fjorten år siden, men har ikke den samme effekten i dag. Det er vanskelig å få oppmerksomhet i det gedigne digitale universet der ute. 

Derfor må man ta i bruk hardere skyts. Mange – meg med – opplever det som krevende å hele tiden poste på Linkedin, Facebook, Insta, Tiktok, arrangere frokostmøter, delta på frokostmøter, søkemotoroptimalisere, mingle og dingle med alle slags folk. Men det er slik spillet fungerer i dag. Spillereglene er gitt, selv om de stadig endres, og vil du være med på leken må du følge spillereglene. 

I ukens nettmøte har jeg lyst til at vi skal gå gjennom noen av de mest effektive metodene i dag med fokus på hvordan det kan gjøres raskt, enkelt og effektivt – uten å sluke for mye mental kapasitet du gjerne vil ha til overs for kundene dine.

Det er som sagt åpent for alle denne gangen. Meld deg på, men kom i så fall med hele deg. Våre nettmøter handler om å dele kunnskap og erfaring, ikke bare sitte passivt og ta i mot. 

God tirsdag – og vel møtt på onsdag.

PS. Jeg har sjefreflektert mye over dette temaet tidligere. Foruten “Å selge seg selv uten å selge” anbefaler jeg ubeskjedent den for oss soloprenører selvtillitsbyggende “Plant et frø og la naturen gå sin gang“.

IT-jus nr. 3/24

IT-jus nr. 3/24

Siden sist har jeg vært i retten med en svært prinsipiell sak – Grindr-saken. Saken handler dels om hvordan man innhenter samtykker, men også om det er en særlig kategori personopplysning at noen har en bruker på Grindr-appen. Det siste er nok det mest interessante.

Grindr-appen har ca 20 ulike kategorier av seksuelle orienteringer og dersom en bruker velger en av dem, deles ikke dette med andre. Det er svært uklart begrunnet i vedtaket fra Personvernnemnda om hvorfor og hvordan det at man har en bruker på Grindr, er sensitivt slik det er definert i GDPR. Jeg skal ikke ta argumentene her, men dersom dommen fastholder at dette er en særlig kategori opplysning, vil det ha stor betydning. Ikke bare for Grindr, men for mange andre virksomheter som retter seg mot minoriteter. Det vil bli vanskeligere å drive virksomhet rettet mot minoriteter – både for at all aktivitet må baseres på samtykke og for at kravene til sikkerhet gjør alt dyrere.

Saken viser noe som blir stadig tydeligere – nemlig at personvern påvirker forretningsmodeller og det griper inn i hvordan virksomheter kan konkurrere. Jeg tror vi får flere rettssaker fremover. Sakene er blitt for viktige til at man kan la et forvaltningsvedtak stå uprøvd. Noe av det som vil bli prøvd fremover, er hvor mye vekt man kan legge på retningslinjer fra EDPB når tilblivelsen av disse ikke har samme omfattende forberedelse som vanlige lover.

I øvrig er det selvsagt mye som skjer. Fokuset på etterlevelse (compliance) hos de store dataleverandørene er økende, se eksempelvis saken om Microsoft nedenfor. Cookies og markedsføring må vi ha stadig mer oppmerksomhet på. Felles behandlingsansvar er i vinden – og merk dere at det også gjelder for avvik.

Hilsen Eva


COMPLIANCE

En prinsipielt viktig sak – er Microsoft compliant?

Flere vil huske at det nederlandske datatilsynet har gjort undersøkelser har undersøkt hvorvidt Microsofts tjenester er i overensstemmelse med GDPR. Flere vil også huske at EDPS har gjort tilsvarende undersøkelser for de MS-tjenester som brukes i kommisjonen. Større deler av disse undersøkelsene er gjort offentlig tilgjengelige. Noen av hovedfunnene er at europeiske myndigheter mener Microsoft tar på seg en for stor rolle i behandlingen av en del av de brukeropplysningene som genereres under bruk, ofte referert til som metadata.

EDPS skriver følgende i sin nye pressemelding:

The EDPS has found that the Commission has infringed several provisions of Regulation (EU) 2018/1725, the EU’s data protection law for EU institutions, bodies, offices and agencies (EUIs), including those on transfers of personal data outside the EU/European Economic Area (EEA). In particular, the Commission has failed to provide appropriate safeguards to ensure that personal data transferred outside the EU/EEA are afforded an essentially equivalent level of protection as guaranteed in the EU/EEA. Furthermore, in its contract with Microsoft, the Commission did not sufficiently specify what types of personal data are to be collected and for which explicit and specified purposes when using Microsoft 365. The Commission’s infringements as data controller also relate to data processing, including transfers of personal data, carried out on its behalf.

Dette er store ord. Men vi har jo hørt lignende fra myndigheter i mange år uten at det egentlig har skjedd store endringer. Det kan se ut som om dette endres nå. EDPS pålegger kommisjonen å rette disse forholdene innen 9. desember 2024, hvis ikke må kommisjonen “suspend all data flows resulting from its use of Microsoft 365 to Microsoft [..]”.

Det er vel grunn til å tro at Microsoft ønsker å beholde kommisjonen som kunde – og det er mulig å tro at dersom kommisjonen får til endringer, så kanskje de vil gjelde for flere. Det er i alle fall all grunn til å følge med på dette fremover.

Pressemeldingen fra EDPS kom en stund før påske og er tilgjengelig her:

https://www.edps.europa.eu/system/files/2024-03/EDPS-2024-05-European-Commission_s-use-of-M365-infringes-data-protection-rules-for-EU-institutions-and-bodies_EN.pdf

Her må man også se til hva det danske Datatilsynet gjør. I kjølvannet av den såkalte Chromebook-saken (overføring av personopplysninger til USA via Google), har de fått spørsmål fra Region Syddanmark om deres planlagte migrering til Microsoft 365. Det er neppe overraskende at tilsynet ser store fellestrekk mellom sakene. På et overordnet nivå må det være lov å si at det ofte brukes store ord fra tilsynsmyndighetene i disse sakene, men at det så langt er relativt sjelden at de strenge lovtolkningene håndheves.

Se uttalelse fra det danske tilsynet her

https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2024/feb/chromebook-sagens-relevans-for-andre-organisationer-og-cloudservices


BØTER

Pass på hvilke data kundene dine kan se

CaixaBank fikk 5 millioner euro i bot som følge av et brudd på personvernregler i forbindelse med at en bankkunde kunne se overføringer gjort av en annen kunde. Boten er bestridt og CaixaBank har signalisert at de vil utfordre sanksjonen. Banken mener boten er uproporsjonal fordi det var en eksepsjonell omstendighet.

Etter hva jeg har funnet, omhandlet bruddet kun ett enkelt tilfelle der en kunde kunne se en annen kundes data knyttet til en overføring av penger. Vedkommende kunne se avsender og mottaker samt noe mer data knyttet til overføringen. Da er det mulig å forstå at banken mener sanksjonen er stor.

Saken er pt ikke offentliggjort på engelsk, men er omtalt her:

https://www.dataguidance.com/news/spain-aepd-fines-caixabank-5m-inadequate-security

Meld avvik i tide – og samarbeid med tilsynet

Den 24. april 2023 meldte et selskap avvik til det østerrikske datatilsynet. Den 6. mars var de utsatt for et ransomware-angrep og data ble kryptert. Det var uklart om data var stjålet, men lønnsinformasjon om 55 ansatte ble berørt. Det ble iverksatt tiltak for å avhjelpe datainnbruddet, inkludert å koble hele nettverket fra internett, reinstallere og sikre systemer, samt sikkert slette krypterte harddisker.

Tilsynet startet undersøkelser, men fikk mangelfull respons fra virksomheten. Dels svarte de ikke, dels gjentok de bare den første avviksmeldingen. Dette endte med at de fikk 5 900 euro i bot. Jeg tror egentlig ikke at mange norske virksomheter ville oppført seg slik, men det er et økt fokus på å melde avvik i tide og på å samarbeide med tilsynet.

Les om saken her:

https://gdprhub.eu/index.php?title=DSB_(Austria)_-_2023-0.603.142&mtc=today

Nettbutikker og kundedata

Det finske datatilsynet har kommet med sin hittil største bot. Verkkokaupa, som er en stor nettbutikk, fikk 856 000 euro i bot i mars, tett på ti millioner kroner. Årsaken var blant annet at de ikke hadde fastsatt lagringstid for kundedataene. De mente at det var nødvendig å beholde dataene lenge fordi en del av varene hadde lang bruksverdi og at det var nyttig å beholde opplysningene dersom kunden ville klage. Delvis argumenterte de med at det var parallellitet mellom kundeforholdets varighet og lagringstiden. Dels hevdet de at de slettet data knyttet til kunder som var inaktive – og definerte dette som kunder som ikke hadde vært innlogget på 6 år.

Ingen av disse argumentene ble hørt. Tilsynet er klare på at det må fastsettes oppbevaringstider. Dessuten hadde selskapet gjort det obligatorisk å opprette en kundekonto for å handle hos dem. Tilsynet mente, ikke overraskende, at det ikke er nødvendig å opprette en konto for å gjennomføre et kjøp.

I likhet med de fleste store personvernsaker, er den påklaget og er ikke endelig. Det er uansett grunn til å merke seg hva tilsynet har ment og justere egen praksis dersom den ikke er i tråd med dette. Jeg tror nok det er sannsynlig at tilsynets oppfatning her blir stående.

Saken er omtalt her:

https://tietosuoja.fi/en/-/administrative-fine-imposed-on-verkkokauppa.com-for-failing-to-define-storage-period-of-customer-data-requiring-customers-to-register-was-also-illegal

Italias største bot så langt

Det italienske datatilsynet (Garante) har ilagt energiselskapet Enel Energia SpA en bot på 79 000 000 euro for ulovlig reklame.

Enel samlet inn lister med potensielle kunder fra fire andre selskaper og dette gjaldt adresser, telefonnumre, kundens bostedskommune, og kundens energileverandør.

Garante understreket blant annet at Enel Energia brøt GDPR ved å unnlate å utføre en tilstrekkelig risikovurdering av sitt kundesystem (CRM). I tillegg sikret de ikke at andre selskaper, som skaffet dem nye kontrakter, overholdt regelverket. Dette omfattet også at de nødvendige databehandleravtaler ikke hadde tilstrekkelig innhold.

På samme måte som Federal Trade Commission i USA (FTC) ofte pålegger selskaper å informere (se sak lenger nede i nyhetsbrevet), er Enel Energia pålagt å informere berørte individer om utfallet av saken og en rekke andre tiltak som skal bedre personvernet.

Hørte jeg noen si at de jobber med leverandørrevisjon?

Saken er omtalt mange steder, blant annet her:

https://www.dataguidance.com/news/italy-garante-fines-enel-energia-7910m-gdpr-violations


COOKIES

Cookies og samtykke

Saken er ikke helt ny, men fra slutten av fjoråret. Det franske datatilsynet bøtela Yahoo med ikke mindre enn 10 000 000 euro for ikke å ha samtykker til cookies på plass. CNIL vektla også at dersom en bruker ville trekke tilbake samtykket til cookies, ville vedkommende miste tilgangen til eposten. Det er igjen interessant å merke seg at one-stop-shop-mekanismen i GDPR her ikke får anvendelse fordi tilsynsmyndighetene viser til nasjonale ekom-regler.

Enn så lenge har disse tingene ikke vært i fokus i Norge, men vi får antakelig nye cookieregler om kort tid og da er det all grunn til å være varsom med hvordan cookies og trackere brukes.

Se saken omtalt på disse stedene:

https://www.cnil.fr/fr/cookies-la-cnil-sanctionne-yahoo-dune-amende-de-10-millions-deuros

https://gdprhub.eu/index.php?title=CNIL_(France)_-_SAN-2023-024&mtc=today

Mer om cookies fra det danske datatilsynet

I 2023 behandlet det danske Datatilsynet to saker om GulogGratis og JFM’s bruk av cookies for utarbeidelse av statistikk. Datatilsynet mente at utarbeidelse av statistikk ikke var en nødvendig del av tjenestetilbudet til virksomhetene. Virksomhetene har senere bedt om gjenopptakelse av sakene, og slik jeg forstår det er det argumentert med at de trenger statistikk for å kunne fortelle annonsører om det er relevant å kjøpe bannerannonser på hjemmesidene. Datatilsynet synes å mene at dette er et markedsføringsformål, som er noe annet enn ren statistikk. Hva som er statistikk og for hvilke formål, er ikke alltid enkelt. Likevel er det å forvente mer fokus på dette fra mange tilsyn fremover.

Sakene er omtalt her

https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2024/mar/cookie-walls-statistik-var-ikke-en-noedvendig-del-af-alternativet-til-adgang-mod-betaling


TILSYN

Svar når (hvis) tilsynet spør!

I 2023 gjennomførte EDPB som kjent en koordinert undersøkelse av personvernombudenes stilling. Hellas deltok også og sendte ut spørreskjema til 31 ombud i offentlig sektor. Ett ombud svarte ikke. Det greske tilsynet sendte deretter spørreskjemaet på nytt, men ombudet svarte fremdeles ikke. Etter utløp av fristen forsøkte vedkommende å svare på undersøkelsen, men da var lenken deaktivert av tilsynet. Etter at ombudet kontaktet tilsynet, ble lenken reaktivert, men ombudet svarte igjen ikke i tide. Ombudet hevdet at årsaken til den forsinkede responsen var tekniske problemer med nettstedet der spørreskjemaet var plassert, som hindret innlevering selv etter flere forsøk. Tilsynet var ikke enig i dette og ila selskapet en bot på 5 000 euro.

Nytt koordinert tilsyn fra EU

Etter at EDPB i 2022-2023 har gjennomført tilsyn med personvernombudenes rolle, er det nå i 2024 fokus på hvordan virksomheter ivaretar de registrertes rett til innsyn.

Personlig tror jeg dette varierer ganske mye. Samtidig er det helt grunnleggende personvern at dette ivaretas på en god måte. Kan vi ikke  spørre og få svar på hvordan våre personopplysninger faktisk brukes, er det vanskelig å håndheve noen rettigheter overhodet. Arbeider du i en virksomhet som får spørsmål om dette – sørg for å svare i tide.

Du kan lese mer om dette her:

https://www.edpb.europa.eu/news/news/2024/cef-2024-launch-coordinated-enforcement-right-access_en


GDPR OG ANSATTE

BYOD og 2-faktor 

Fra Spania er det kommet en litt spesiell sak der en arbeidsgiver ikke kunne be om de ansattes private  mobiltelefonnummer for å sikre bruk av 2-faktor autentisering ved bruk av hjemmekontor.  Det synes som om saken har bakgrunn i at arbeidsgiver ikke har stillet mobiltelefon til rådighet for arbeidstakere, men basert seg på bruk av privat mobiltelefon.

I Norge vil de fleste arbeidsgivere stille mobiltelefon til rådighet og problemstillingen blir neppe aktuell. Men det er interessant at det settes så strenge grenser rundt hva en arbeidsgiver kan be om.

Saken er omtalt her:

https://gdprhub.eu/index.php?title=AN_-_SAN_487/2024&mtc=today


FELLES BEHANDLINGSANSVAR

Mer om reklame, TCF og felles behandlingsansvar

Mange av dere har hørt meg (og andre) snakke om IABs Transparency Consent Framework de siste to årene. Det er et rammeverk som er meget relevant for digital markedsføring. Spesielt er det viktig for de som er publisister (aviser, mediehus) – og for de som bruker deres forbrukerflater som annonseplattform.  

Forrige måned kom ECJ med en ny avgjørelse om IAB og TCF. Avgjørelsen er sammensatt og komplisert, men den slår blant annet fast at informasjonsstrengen som viser at en forbruker har samtykket til et bestemt formål, er personopplysninger. Det er kanskje ikke så overraskende. Men dommen sier også at organisasjonen IAB Europe er felles behandlingsansvarlig med virksomheten som bruker rammeverket. Det betyr at det må inngås spesielle avtaler som angir hvilken aktør som har ansvar for hva.

Avgjørelsen finner du her:

https://curia.europa.eu/jcms/upload/docs/application/pdf/2024-03/cp240044en.pdf

Den er også omtalt mange steder, blant annet her (omfattende artikkel):

og her (kortere artikkel):

https://www.lexology.com/library/detail.aspx?g=d2c61d5c-daa2-446d-ba68-5626733af097

Enda mer felles behandlingsansvar – denne gangen for brudd

I en alvorlig sak fra Slovakia om drap på en journalist og hans forlovede, ble det gjort omfattende undersøkelser. Blant annet ble flere mobiltelefoner, som tilhørte en mistenkt, undersøkt. Undersøkelsene ble dels gjort av Europol, dels av slovakisk kriminaletterforskning. Meldingene på telefonene var sendt via krypterte tjenester, men Europol hadde klart å dekryptere (deler av) materialet. De sendte materialet til kriminaletterforskningen i Slovakia.

Senere publiserte media innhold fra mistenktes meldinger, blant annet intim kommunikasjon mellom vedkommende og hans kjæreste. Den mistenkte klaget til Europol på at informasjonen ble offentlig og krevde 100 000 euro som kompensasjon. Halvparten av beløpet krevde han fordi han mente at han urettmessig var blitt hevdet å ha tilhørt en “mafialiste”, den andre halvparten fordi intim samtale med kjæresten var blitt offentlig.  Europol bestred at de hadde noe ansvar og mente at de ikke var felles behandlingsansvarlig med Slovakia.

EU-domstolen fastslo at det ikke er nødvendig å bestemme hvilken av disse to enhetene – Europol eller medlemsstaten – som var årsak til avviket. For at solidaransvar skal kunne oppstå, må den enkelte som er berørt kun vise at det i forbindelse med samarbeidet mellom Europol og den aktuelle medlemsstaten, er blitt utført ulovlig databehandling som har forårsaket skade for vedkommende. Denne uttalelsen er, etter min oppfatning, viktig. Det betyr at flere parter risikerer ansvar for skade som skjer hos en annen.

Angående lekkasjen av den såkalte ‘mafialisten’, fant EU-domstolen at den registrerte ikke hadde klart å vise at ‘mafialistene’ der hans navn angivelig var inkludert, var blitt utarbeidet og oppbevart av Europol. Erstatningen for å ha blitt angitt å stå på ‘mafialisten’ ble derfor ikke vurdert nærmere.

Europol ble ikke hørt med at de hadde implementert passende tekniske og organisatoriske tiltak for å beskytte personopplysninger. Domstolen bemerket at data av en slik intim karakter viser behovet for at beskyttelsen må sikres strengt. Siden det fant sted en uautorisert tilgang, utgjorde dette et tilstrekkelig alvorlig brudd. Uten at jeg har lest originalteksten på dette, fremstår dette som en ganske streng tolkning.

Dertil fastslo domstolen at Den europeiske union kan pådra seg ansvar, som følge av offentliggjøringen av den registrertes intime samtaler.

Resultatet var at Europol og den slovakiske republikken er solidarisk ansvarlige for den ulovlige databehandlingen som forårsaket at den registrerte led ikke-materiell skade.

Hva gjelder utmålingen, la domstolen vekt på at det kun var offentliggjort transkripsjoner av samtalen og ingen fotografier. For dette fikk vedkommende 2 000 euro i erstatning. Beløpet er ikke høyt.

Saken er omtalt her:

https://gdprhub.eu/index.php?title=CJEU_-_C%E2%80%91755/21_P_-_Ko%C4%8Dner_v_Europol&mtc=today


BEHANDLING AV PERSONOPPLYSNINGER

Er muntlig informasjon behandling av personopplysninger?

ECJ avsa i mars dom i saken Endemol Shine (Sak C-740/22), som handlet om en muntlig utlevering av informasjon kunne anses som behandling av personopplysninger. Saken oppsto etter en muntlig forespørsel fra Endemol Shine til en finsk domstol om muntlig informasjon om strafferettslige prosesser mot en person involvert i en konkurranse Endemol Shine hadde. Domstolen nektet å utlevere informasjonen, og mente den ikke hadde grunnlag for å gjennomføre et søk etter den informasjonen i sine systemer. Endemol Shine klaget på saken. Ankedomstolen spurte ECJ om (1) om en muntlige overføring av personopplysninger skal betraktes som databehandling; og (2) om data relatert til strafferettslig domfellelse av en fysisk person kan utleveres muntlig til hvilken som helst person med formål om å sikre offentlig tilgang til offisielle dokumenter.ECJ mente at begrepet “behandling” under GDPR skal tolkes bredt og inkluderer muntlig utlevering. De skrev at “muligheten for å omgå anvendelsen av [GDPR] ved å utlevere personopplysninger muntlig i stedet for skriftlig være åpenbart uforenlig med [dens mål].”Samtidig sier de at en muntlig utleveringen av personopplysninger fortsatt kan falle utenfor GDPR’s omfang når behandlingen er manuell og dataene som behandles ikke utgjør en del av et arkivsystem. Imidlertid mener CJEU at dette ikke gjelder for Endemol Shine-saken, ettersom personopplysningene som ble etterspurt av selskapet  står i et domstolsregister som er et arkivsystem.Hva gjelder forholdet mellom GDPR og retten til offentlig tilgang til offisielle dokumenter om strafferettslige domfellelser, anså CJEU at det ikke er forenlig med GDPR å utlevere dette til hvem som helst som ber om det, uten å kreve at vedkommende etablerer en spesifikk interesse.Saken er omtalt her: https://gdprhub.eu/index.php?title=CJEU_-_C-740/22_-_Endemol_Shine_Finland_Oy

USA fatter vedtak med betydning for Europa

FTC, the Federal Trade Commission, fatter hovedsaklig vedtak mot amerikanske selskaper. Men nå har de inngått forlik med et selskap med forbindelser til Tsjekkia.

Den 22. februar 2024 kunngjorde FTC at Avast Limited betaler 16,5 millioner dollar og FTC forbyr Avast å selge eller lisensiere personopplysninger til reklameformål. Dette er et resultat av anklager om at Avast og dets datterselskaper solgte slik informasjon til tredjeparter etter å ha lovet at produktene deres skulle beskytte forbrukerne mot sporingsaktiviteter på nettet.

Gjennom sitt tsjekkiske datterselskap, samlet de inn forbrukernes browserhistorikk, lagret dette på ubestemt tid og solgte det uten tilstrekkelig varsel og uten samtykke. FTC hevdet også at selskapet villedet brukere ved å hevde at programvaren ville beskytte forbrukernes personvern ved å blokkere tredjeparts sporing, og at all deling ville være i “anonym og aggregert form”. FTC hevdet at selskapet solgte dataene til over 100 tredjeparter.

Fremover skal Avast basere eventuelt salg av slike opplysninger på samtykke, de skal informere forbrukere hvis informasjon har blitt solgt og innføre et omfattende personvernprogram.

Saken er omtalt her:

https://www.huntonprivacyblog.com/2024/02/29/ftc-announces-16-5-million-settlement-against-uk-service-provider-and-ban-from-selling-browsing-data-for-advertising-purposes


KUNSTIG INTELLIGENS

Kunstig intelligens og stemmegjenkjenning

Bruk av lydopptak og KI kan generere mange ubehagelige situasjoner. Det er allerede kommet reportasjer om “fake calls” der man feilaktig blir lurt til å tro at et familiemedlem eller en sjef ber om en pengeoverføring. Det kommer til å gjøre noe med hvordan vi behandler lydopptak fremover. Et lite fransk selskap har som forretningside at stemmeopptak kan anonymiseres, eventuelt vannmerkes.

Vi kommer til å se mye ny teknologi fremover.

Les mere om KI og stemmebruk her:

https://techcrunch.com/2024/03/11/nijta-voice-privacy-ai/?guccounter=2&guce_referrer=aHR0cHM6Ly82ZTJ3eC5yLnNwMS1icmV2by5uZXQv&guce_referrer_sig=AQAAAECzoc0dNXQ0yhvhdBYrDkPJO9zY2u7JHYxZUfCJuPjljYqNgA-NdCatZk88oxQWLcWEZF9Spw6aLhO4z2lL59CSy32v8xRwu6UtnmM9WUdyzyfay3uqjX3ocT44m-TeeFMlYJqQKk-JRROe-_-wJ5V0rY0Pe2MxZ9kUqECeSK4q


PRIVATLIVETS FRED 😉

Til slutt – vil du at huset og nummerskiltet på bilen utenfor huset ditt skal være lett gjenkjennelig på Google maps?

Det er alltid morsomt å ta et streif for å skrive disse nyhetsbrevene. Jeg finner ofte mye spennende juss, men innimellom dukker det opp noe litt annet også.

Google maps er praktisk, men det er jo ikke sikkert at du vil at alle skal kunne se akkurat det som var utenfor ditt hus når google kjørte forbi. Eller hvem som sto i inngangspartiet. Her var det en artig liten artikkel om hvordan man kan få Google til å “blurre” bildet som er åpent for alle. Kanskje greit å sjekke hva Google maps har lagt ut av omgivelsene rundt ditt hus?

Les om hvordan du går frem her

https://www.cnet.com/tech/services-and-software/why-you-want-to-blur-your-home-on-google-maps-and-how-to-do-it


KOMMENDE MØTER

25. april12.00 – 13.00 Digital Drop in
23. mai14.00 – 17.00 Nettverksmøte i Oslo
22. august14.00 – 17.00 Nettverksmøte i Oslo

Se hele oversikten over kommende aktiviteter i nettverket her.


SISTE ORD

Du får dette nyhetsbrevet som medlem av tilt.works PrivacyTech-nettverk eller fordi du har tegnet et eget abonnement. Du kan oppdatere din profil her.

Diagnose: Kan brukes til alt

Diagnose: Kan brukes til alt

I en TED-talk fra noen år tilbake snakker Emilie Wapnick om multitalenter – eller multipotentials. Multitalentene er – og dette er min versjon, ikke Wapnicks – de blant oss som er bedre enn de fleste på det meste, men ikke så gode som de fremste ekspertene på noe.

Jeg kjenner selv noen sånne: Kompisen som veksler mellom å skrive skarpe kronikker, mekke motorsykkel, holde foredrag, lage gourmet-mat til hjemløse, guide toppleder-grupper mot smarte strategier, programmere komplekse systemer, diskutere vin som en sommelier, gå alene over Grønland, ta fantastiske naturbilder, og innimellom slagene rive ned og bygge opp det gamle huset fra bunnen av.

Tapt mulighet

I Wapnicks TED-foredrag er noe av poenget at dagens arbeidsliv ikke forstår verdien av multitalenter. Rekrutterere spør etter ekspertkompetanse, ikke bredde. De vil ha den beste kontrolleren, ikke en som er litt bedre enn gjennomsnittet, men også god på inbound marketing og treskjæring.

På den måten blir multitalentisme mer av en diagnose enn en styrke. Og det er synd, for i en verden hvor kunstige intelligenser inntar stadig flere ekspertområder, er et av de områdene som gjenstår evnen til å se hvordan ting henger sammen og gjennom det oppdage nye kombinasjoner.

Arbeidsgivere som ikke ser dette taper også muligheter.

I spagaten

For multitalentet innebærer det brede spennet av ferdigheter, som antagelig alle er knyttet til dyp interesse og lidenskap for de ulike områdene, at de blir stående i spagat. Vi vil gjerne ha folk vi kan putte i en bås, ikke folk som smetter fra den ene båsen til den andre; du vet aldri helt hvor de er eller hva du kan bruke dem til.

For konsulenter er kanskje dette en enda større utfordring. Måten du synliggjør din kompetanse for kunder er viktig. Selv driver jeg med coaching- og lederutvikling, men er også kjent blant mange som en habil PR- og kommunikasjonsperson, samt en som er ganske god på markedsføring, forretningsutvikling og HR. Jeg kan dessuten lage fine og avanserte nettsider, og har større praktisk innsikt i teknologi enn mange IT-folk.

I all beskjedenhet.

Det blir liksom ikke helt troverdig med en á là carte-meny på landingssiden som lar deg velge mellom tilsynelatende vidt forskjellige ferdigheter, som et universalverktøy fra en dubiøs nettbutikk.

Det er nok dette som gjør at jeg identifiserer meg så sterkt med coaching-kundene som kommer til meg og lurer på hva de skal bli når de blir store, til tross for at mange av dem er store nok allerede.

Talentgalleri

Det er kanskje det som er drivkraften som har gjort selskapet jeg med-gründet for fire år siden – tilt.work – til et fargerikt galleri av talenter som fra kundens ståsted åpenbart kan løse alle problemer, men i altfor liten grad får oppdrag.

Kunden har nemlig ikke alle problemer. Bare ett akkurat nå. Så leter de videre etter noen som fokuserer på dette ene.

Det er nok det som gjorde at jeg meldte meg frivillig til å ta med tilt.work til “dr. Nordskar”s idécafé. For deg som ikke har fått med deg den briljante reklame- og kommunikasjonsguruen Nils Petter Nordskar sitt siste sprell, så er det en løsningsorientert gratis rådgivningssamtale med små, ofte lett forvirrede, oppstartselskap.

Som oss i tilt.work.

Jeg skal i ilden i dag, tirsdag 9. april kl 12.00 for en 45 minutter lang samtale live, med mer enn 80 påmeldte og formodentlig aktive idé-innspillere.

Du er også invitert. Meld deg på her.

God tirsdag.

Emilie Wapnicks foredrag

Skal vi gni det inn, eller ikke?

Skal vi gni det inn, eller ikke?

Noen ganger opplever vi at mennesker vi er glade i, setter pris på eller av andre grunner er avhengig av å fungere sammen med, velger ord eller tar avgjørelser som bærer galt av sted.

Selv kan vi være en del av et utløsende samspill, eller vi har fått rollen som observatør. Uansett er det lov å kjenne på tanker som: «Var dette det lureste du kom på?» eller «Det ordvalget kunne du ha spart oss alle for.» Spørsmålet er om vi skal dele disse tankene, og i så fall hvordan?

read more…
Født som leder?

Født som leder?

Setting: Venner og venners venners lag. Ved siden av meg en jeg ikke hadde møtt før. Vi snakket om løst og fast til tiden var moden for det obligatoriske «Hva jobber du med?».

Hun fortalte om et usedvanlig eventyrlig yrkesliv, og avdekket det jeg oppfattet som en imponerende, allsidig og reflektert personlighet. 

Jeg fortalte at jeg utvikler ledere, og følte meg litt betydningsløs og grå i forhold. 

Teknikk og håndverk

Derfor ble jeg overrasket da hun sa: «Ledelse kan ikke læres. Alle gode ledere jeg har hatt er folk som er født som ledere. De har det bare i seg, det er medfødt.»

Det var en påstand jeg ikke har hørt på ganske lenge, og jeg trodde kanskje vi var forbi dette stadiet. Jeg erklærte min uenighet:

«Ledelse er grunnleggende sett teknikk og håndverk. Teknikkene kan praktisk talt alle lære om de vil. Noen har helt sikkert et større talent for det enn andre, men uten trening blir du aldri en god leder, like lite som en Maradona blir fotballstjerne uten trening. Hvis det var slik at man enten er født med det eller ikke, kan jo en Maradona — født som fotballspiller — bare møte opp på banen?»

Hun var ikke overbevist.

«Det er ikke det samme», sa hun. «Ledelse er noe annet enn fotball.»

Jeg smilte stumt.

Mysteriet ledelse

Ledelse opphøyes ofte til noe mystisk, grensende til religiøst. Og store ledere kan virke som om de driver stor ledelse enkelt og naturlig og med den største selvfølgelighet. Men like lite som Maradona er guddommelig, er sjefen din det. 

«Tro meg, ingenting kommer av seg selv. De lederne du har hatt som bare er ledere, inkludert de du hevder aldri har gått på lederkurs, har uten unntak brukt tusenvis av timer til å prøve, feile, reflektere, prøve igjen», forsøkte jeg meg videre.

Jeg tror kanskje hun var på gli.

Fra håndverk til kunsthåndverk

Ledelse er først og fremst et håndverk. Det kan læres. Talent, men først og fremst øvelse, kan gjøre en forskjell. Millioner av mennesker snekrer, bare et fåtall bygger hus. Millioner av mennesker kan skrive, bare et fåtall skriver bestselgende bøker. Millioner av mennesker kan male, bare noen få kan male taket i det sixtinske kapell eller en Mona Lisa. 

Dedikasjon og talent kan opphøye nesten ethvert håndverk til et kunsthåndverk.

Ledelse inkludert.

De beste trener mer 

Men det betyr ikke at millionene som maler, snekrer eller skriver ikke skaper verdi gjennom det de gjør.

Heller ikke at millionene som forsiktig prøver å forbedre sine lederferdigheter bare kan glemme det, for enten er de født med det eller så har de det ikke i seg. 

Enten man snakker om ledertrening eller annen kompetanseheving er det gjerne de som allerede er i utvikling som forstår at de trenger mer. De andre befinner seg på nederste trinn på læringstrappen:

Læringstrappen

Praktisk hverdagsledelse

Og selv om jeg som ledertrener gjerne skulle nådd fram til mennesker med de samme enten-eller-holdninger til ledelse som mitt nye bekjentskap, innser jeg at de som skal lære selv må innse at de trenger det. De må ha kommet forbi første trinn i læringstrappen.

I dette tilfellet handler læringen om praktisk hverdagsledelse. To kurs jeg holder er siktet inn mot dette området:

  • Frivillig ledelse – rettet mot dyktige, dedikerte frivillige i de tusenvis av ideelle, frivillige eller nonprofit-organisasjoner Norge er så avhengig av – frivillige som kan mer enn de fleste om fagområdet de er ledere innenfor, men innser at ledelse er et eget fag som også krever trening. Les mer om Praktisk hverdagsledelse i ildsjeldrevne organisasjoner
  • Prosjektledelse – rettet mot prosjektledere. De som deltar der kommer til å være meg uendelig overlegen på alt som har med administrasjon og styring av prosjekter. Likevel kan jeg sannsynligvis bidra mye hva gjelder teknikker og innsikt knyttet til å forstå og påvirke dynamikken i teamene de skal lede. Les mer om Coachende prosjektledelse og meld deg gjerne på vårt gratis digitale frokostmøte hvor dette kurset presenteres.

Det var dagens reklame.

Beklager, jeg er bare født sånn.

God tirsdag. 

Les også: Liv og lære – et drama i fire akter

Olivias verden

Olivias verden

Vi ignorerte klimakrisen i mange tiår. Vi ignorerer fortsatt i all hovedsak den eksistensielle trusselen kunstig intelligens representerer. På tide å våkne?

Olivias verden

Jeg ble bestefar i sommer. Vesle Olivia nærmer seg åtte måneder.

I løpet av denne tiden har det vesle menneskebarnets hjerne og kropp utviklet seg i et vanvittig tempo.

Hvis man kunne se inni hodet hennes, ville de siste åtte månedene vært et sprakende fyrverkeri av nevroner som bygger et intrikat nettverk Internett fortsatt kan se med misunnelse på.

De første 25 år

Olivia kommer til å si sine første ord om noen måneder. I løpet av noen år vil hun lære å gå, løpe, sykle og gradvis utvikle sin evne til å fokusere, huske, koble, assosiere, tenke logisk, være empatisk, lære boklig kunnskap, forstå moralske, etiske og sosiale spørsmål.

Hun vil også utvikle sin egen selvbevissthet, opplevelsen av et «jeg».

Om 25 år eller så er hun kanskje ferdig med studiene.

Det pleide å være en grei utviklingsplan for et menneske.

​«Hvis Olivia var en kunstig intelligens ville hun kunnet svare korrekt på all verdens spørsmål, flytende, på hvilket som helst språk, og bestå enhver kunnskapstest vi er i stand til å tenke ut. Før hun feiret sin første jul.»

Men det er er alt for sakte til å konkurrere med en annen relativt nyfødt skapning: Kunstig intelligens.

Olivias konkurrent

Hvis Olivia var en kunstig intelligens ville hun lest og sortert alt som er på internett, kunnet svare på all verdens spørsmål – flytende, og på hvilket som helst språk, og bestå enhver kunnskapstest vi er i stand til å tenke ut.

Før hun feiret sin første jul.

Dette får selv en teknologioptimist som meg til å grøsse.

Flater ikke ut

For ulikt Olivia og andre menneskebarns intellektuelle nivå, flater ikke den kunstige intelligensens rivende utvikling ut, i hvert fall ikke i noen fremtid vi kan overskue i dag.

Vi har det siste halvannet år, siden ChatGPT ble lansert, sett at kunstig intelligens har gått fra å være smarte papegøyer til å overgå mer enn 90 prosent av oss mennesker i kunnskapstester på de fleste utdanningsfelt.

Og teknologien skal utvikle seg i samme rivende fart i mer enn 24 år til før Olivia skal ut i arbeidsmarkedet.

Hva i alle dager skal Olivia gjøre som ikke allerede gjøres en million ganger bedre av KI?

Og – den unge jentas utfordringer i arbeidsmarkedet er antagelig en av de minste utfordringene vi vil møte.

Atomkrig, pandemi og KI

Debatten om kunstig intelligens har så langt vært preget av begeistring. Litt som når vi trener opp bikkjene våre og begeistret roper «se hva den kan!»

I bakgrunnen har vi hørt noen kritiske røster rope om at teknologien en dag vil bli superintelligent og overta jorden.

Vi har ikke greid å ta dem på alvor, like lite som vi har tatt klimakrisen på alvor.

Vi mennesker er skrudd sammen sånn: kriser er ferskvare. Globale katastrofer er stoff for science fiction-romaner og sære blogger.

Spørsmålet er nå om skiftet kunstig intelligens vil skape er kommet så nær i tid at det er på tide å få panikk.

Et voksende antall røster mer enn antyder det.

​«Å redusere risikoen for utryddelse fra kunstig intelligens bør være en global prioritet sammenlignet med andre samfunnsmessige risikoer som pandemier og atomkrig.»

«Global prioritet»

I mai ifjor publiserte Center for AI Safety følgende uttalelse:

«Å redusere risikoen for utryddelse fra kunstig intelligens bør være en global prioritet sammenlignet med andre samfunnsmessige risikoer som pandemier og atomkrig.»

Uttalelsen ble signert av hundrevis av eksperter innen kunstig intelligens og andre fremtredende personer, inkludert: Sam Altman, administrerende direktør i OpenAI; Geoffrey Hinton, en av grunnleggerne av dyp læring; Stephen Hawking; Elon Musk; Nick Bostrom, forfatter av boken «Superintelligence»; og Bill Gates.

Tre eksistensielle trusler

Den svensk-amerikanske MIT-forskeren Max Tegmark er en av AI-dystopistene, og hans argumenter er ganske overbevisende.

En av de eksistensielle truslene han løfter frem er faren for at mennesker med onde hensikter bruker teknologien til å utvikle våpen, for eksempel i form av kjemiske eller biologiske stoffer som frembringer sykdom og død.

En annen er at KI utkonkurrerer oss i arbeidsmarkedet til de grader at det knapt er mennesker igjen.

En tredje, og den kanskje mest spektakulære (men troverdige) er at superintelligens vil være så mye smartere enn oss at den ser på mennesker som vi ser på amøber.

(Hint: Vi ser ikke på amøbene som våre herrer som skal adlydes, til tross for at vi skylder dem en viss takknemlighet som en tidlig versjon av oss i den evolusjonære linjen.)

Unngå irrelevans

KI er en fantastisk oppfinnelse. Som sci-fi-entusiast siden barndommen er mye av det som skjer i dag en drøm som er blitt virkelighet. Personlig bruker jeg KI-verktøy daglig. Jeg sparer masse tid på det, og opplever også at kvaliteten i verktøyene blir stadig bedre.

Det er jeg ikke den eneste som har oppdaget. Mange av jobbene våre er allerede i ferd med å bli helt eller delvis borte fordi bedriftseiere oppdager at det de betaler folk for å fylle tiden sin med kan gjøres på en brøkdel av tiden, med høyere kvalitet, og garantert uten sykemeldingsavbrudd.

For oss som ser nytten av dette i det daglige, blir det Max Tegmark og andre eksperter roper varsku om lett å avfeie som dystopiske dommedragsprofetier.

Hvis vi ønsker oss en meningsfull fremtid for våre barn og barnebarn, hvor det å være menneske fortsatt er relevant, tror jeg det er smart av oss å lytte til dem.

God tirsdag.


Foredrag

Denne artikkelen springer ut av refleksjoner knyttet til ulike foredrag jeg holder om kunstig intelligens. Skal jeg holde et slikt foredrag hos dere, eller skal vi bare ta en prat om KI? Ring, tekst eller send epost, så snakker vi om det.


Fordypning og kilder

Darwin, dating og dommedag

Darwin, dating og dommedag

Da jeg gikk ut av det forrige langvarige forholdet med en kvinne for noen år siden, etablerte jeg raskt en tilstedeværelse på et fenomen jeg hadde skulet litt misunnelig på i årene i et fast forhold: datingappene. 

De utskjelte datingappene.

Jeg elsket dem.

For en fantastisk oppfinnelse! 

Tusenvis av potensielle partnere, de fleste edru, samtlige per definisjon åpne for et forhold. 

«Gamlemåten» – ut på byen på et tilfeldig utested – blekner hva gjelder både kvantitet og kvalitet. 

Som et verktøy for å oppnå et definert mål er appene uovertrufne.

Velles perspektiv

Ikke alle er like begeistret. 

Simen Velle tok til orde for å løfte menns tilgang til kvinner opp på den politiske dagsorden, med utgangspunkt i en påstand om at nettopp datingappene favoriserer et fåtall menn og etterlater resten i dyp frustrasjon og ensomhet.

Velle ble tolket som at han klandrer kvinnefrigjøringen for dette, noe han – sikkert klokelig – benektet fra en svært flat posisjon i dagene som fulgte. 

Evolusjonens røst

Så kommer andre røster og sier at kanskje han ikke skulle lagt seg fullt så flat. Det er faktisk noe i dette, mener de. 

For evolusjonen har favorisert kvinner som finner menn med høy posisjon, status og inntekt.

Kvinnekampen har gitt kvinner høyere posisjon, status og inntekt. 

Men evolusjonen har ikke hengt med i svingene. 

Derfor ser kvinner fremdeles etter menn med høyere status. Når kvinnens utsiktspunkt er blitt hevet, mens menn står ganske stille, blir det langt færre igjen. 

Så det er ikke kvinnekampen som har skylda. 

Ikke datingappene heller.

Darwin har skylda.

Eller naturens iboende treghet.

Stress og instinkt

Evolusjonen har latt oss overleve som art gjennom tusenvis av år ved å favorisere egenskaper som gir størst sjanse for overlevelse. Egenskaper som ikke nødvendigvis er hensiktsmessige i vår tid. 

Stress for eksempel. Stress, frykt og de medfølgende biokjemiske prosesser er designet for å redde deg fra løver. Stress er ment å forbrukes i små porsjoner.

  1. Løve angriper,
  2. du flykter (eller blir spist),
  3. stress opphører.

I dag er løvene byttet ut med dårlige sjefer, ubrukelige kolleger, gretne kunder. Og de lusker ikke bort med halen mellom beina etter at angrepet er avverget. De er der hele tiden. Stresset blir en konstant faktor som spiser deg opp fra innsiden. 

Frykten for utstøtelse

En annen egenskap som kanskje har utspilt sin rolle levde Simen Velle selv ut da han stod frem på TikTok med sitt kontroversielle budskap: vår trang til å bli sett, hørt og høre til. 

Mennesket er isolert sett et relativt svakt lite dyr. Det sliter med å greie seg alene, men er fantastisk i flokk. 

Å bli utstøtt fra stammen på savannen i Afrika var derfor gjerne ensbetydende med en dødsdom. 

Å bli utstøtt fra venneflokken, avvist av en potensiell partner eller få bare to likerklikk på din sosiale post er ingen dødsdom. 

Men naturens iboende treghet gjør at vi fremdeles reagerer som om det var det. 

Nullstille instinkter?

Vi har i det hele tatt store utfordringer knyttet til naturens iboende treghet, og jeg synes vi må ta oss sammen og gjøre noe med det. 

Skulle noe løftes opp på den politiske dagsorden, må det være hvordan vi skal nullstille gamle instinkter som ikke lenger passer til hvordan vi lever våre liv, og erstatte dem med nye, mer hensiktsmessige instinkter. 

Spøkefullt? Ja, men med et snev av sannhet i.

De samme gamle instinktene som gjør at marginaliserte grupper angriper de som oppleves som bedre stilt er bakenforliggende i dagens urolige verden.

  • En ung mann opplever seg selv som så utenfor alt at han bestemmer seg for å dø og ta med seg så mange av sine medelever på skolen som mulig.
  • En politisk organisasjon er så forbitret at de vil drepe så mange som mulig av “de andre”, og er villige til å ofre sin egen befolkning i forsøket.
  • En atommakt truer verden med total utslettelse heller enn å gi opp sin kamp mot vestlige verdier.

Oppgradert forstand

I alle disse historiene ser vi sporene av gamle instinkter fra savannen.

Forskjellen er våpnene og verktøyene de marginaliserte og deres motparter har tilgang på.

Evolusjonen har gitt oss teknologi, fremskritt, en slags “sivilisasjon”.

Men den har ikke oppgradert vår forstand.

Det er ikke bærekraftig.

God tirsdag. 

PS. Etterskuddsvis gratulasjon med kvinnedagen!

IT-jus nr. 2/24

IT-jus nr. 2/24

Ønsker dere alle en flott måned i mars – våren er endelig her!

Et stort og aktuelt tema på personvernscenen nå er EDPBs mening om Metas nye “pay or OK”-modell. Etter en avgjørelse fra ECJ i fjor, endret Meta hjemmelsgrunnlaget sitt for målrettet annonsering. Brukeren må nå samtykke til slik annonsering eller betale for å slippe.

Spørsmålet som da oppstår er: Kan Meta gjøre dette? Kan de kreve betaling? Alternativet ser ut å være at Meta tvinges til å tilby tjenester gratis og uten å kunne tjene penger på målrettet annonsering.

Eller kan man si at beløpet Meta krever er for høyt? Skal eventuelt store selskaper pålegges andre krav til gratis tjenester enn SMB-bedrifter? Eller skal man regulere hvilken pris de kan ta? Og – hva er i tilfelle et “stort selskap”? Det er en lang rekke spørsmål som oppstår her og de gjelder ikke bare Meta, men også for mange andre selskaper. 

Jeg tror disse spørsmålene er svært viktige og min primære bekymring er at EDPB bare har åtte uker, med en mulig forlengelse på seks uker, til å skrive sin mening. Denne tidslinjen er fastsatt av bestemte artikler i GDPR, men disse gir en skremmende kort tidsfrist for å håndtere grunnleggende spørsmål om hvordan bedrifter kan sikre at de finansierer sine tjenester.

Se saken kommentert her 

https://www.reuters.com/technology/eu-privacy-watchdogs-urged-oppose-metas-paid-ad-free-service-2024-02-16/

og her

https://www.datatilsynet.no/aktuelt/aktuelle-nyheter-2024/datatilsynet-ber-edpb-om-formell-uttalelse-om-pay-or-okay/

På andre områder sirkulerer mye av fokuset i personvern- og teknologiområdet fortsatt rundt AI. Siste status for AI Act er beskrevet nedenfor. Det er også en interessant sak fra Danmark knyttet til mangel på tilsyn av databehandlere – sannsynligvis viktig for mange. Et annet interessant tilfelle er fortsettelsen av Google ChromeBook i Danmark – men med en ny vri. Det er ikke lenger den internasjonale overføringen og dokumentasjon som er i fokus, men kontrollering av data.

Som alltid – god lesning!

Hilsen Eva


KUNSTIG INTELLIGENS

Status for AI-ACT

Endelig har EUs medlemsland oppnådd enstemmig enighet om en lov om kunstig intelligens, og med det overvunnet siste øyeblikks frykt for at regelboken ville kvele europeisk innovasjon.

Etter å ha blitt enige om grunnleggende prinsipper før jul, men uten å ha en presis lovtekst å vise til, har vi nå endelig fått en samordnet lovtekst for den kommende AI Act. Teksten er fortsatt et utkast som stadig gjennomgår språklige tilpasninger. Lovteksten vil mest sannsynlig passere Rådet og Parlamentet i ukene eller månedene som kommer, og forventes å bli publisert i Official Journal i mai / juni. Etter å ha blitt publisert der vil noen av artiklene tre i kraft etter kun seks måneder – dette gjelder for forbudt AI. For generativ AI trer artiklene i kraft etter 12 måneder. For høyrisiko AI som definert i vedlegg III, trer artiklene i kraft etter 24 måneder. For høyrisiko AI som definert i vedlegg II, trer de i kraft etter 36 måneder. 

Noe som fanget min interesse, er at flere av artiklene i det nye utkastet er vesentlig forskjellig fra utkastene før jul. Blant de mer interessante endringene er at bøtene senkes. Ikke vesentlig, men betydelig. Jeg vil komme tilbake med en mer grundig analyse av den nye ordlyden. Fra det jeg hører, er det ikke forventet ytterligere endringer fremover, det er en språklig opprydding de gjør nå. Det nye utkastet er tilgjengelig på nett.

Se andres kommentarer på utkastet her 

https://iapp.org/news/a/a-view-from-brussels-all-eyes-on-eu-ai-act/

og her

https://www.politico.eu/article/eu-countries-strike-deal-ai-law-act-technology/

Italiensk datatilsyn sier at ChatGPT bryter personvernreglene

Det i talienske datatilsynet har gitt OpenAI beskjed om at chatbot-applikasjonen ChatGPT bryter personvernreglene. Tjenesten ble reaktivert etter at OpenAI adresserte og rettet opp tidligere bekymringer fra det italienske datatilsynet, blant annet knyttet til brukerens rett til å nekte samtykke til bruk av personopplysninger for trening av algoritmer. Uten å gi ytterligere detaljer, har det italienske datatilsynet nå konkludert med at visse elementer ved tjenesten indikerer ett eller flere mulige personvernbrudd. Vi vet per nå ikke hva disse elementene er.

Open AI har på sin side uttalt at de mener at praksisen er i tråd med EUs personvernregelverk, og har 30 dager på seg til å fremsette sine motargumenter. 

Italia var det første vesteuropeiske landet som bremset ChatGPT, hvis raske utvikling har tiltrukket seg oppmerksomhet fra lovgivere og regulatorer. Det er synd at ikke mer informasjon om denne saken er kjent, da lovligheten av AI-systemer er et spesielt hett tema. Men jeg er sikker på at vi vil vite mer om dette tilfellet om ikke så lenge.

Les mer her

https://www.reuters.com/technology/cybersecurity/italy-regulator-notifies-openai-privacy-breaches-chatgpt-2024-01-29/

Bruk av AI – er våre “søk” lagret?

Ikke skriv noe inn i Gemini, Googles familie av GenAI-apper, som er inkriminerende – eller som du ikke vil at noen andre skal se. I et støttedokument skisserer Google hvordan de samler inn data fra brukere av sine Gemini chatbot-apper for internett, Android og iOS. Google bemerker at brukere rutinemessig behandler samtaler med Gemini for å forbedre tjenesten. Disse samtalene lagres i opptil tre år sammen med “relaterte data”, som språkene og enhetene brukeren brukte og deres plassering. Brukeren kan imidlertid slå av Gemini Apps-aktivitet i Googles My Activity-dashbord, dette forhindrer fremtidige samtaler med Gemini fra å bli lagret i en Google-konto for gjennomgang. 

Men selv når Gemini Apps-aktivitet er slått av, vil Gemini-samtaler bli lagret på en Google-konto i opptil 72 timer for å “opprettholde sikkerheten til Gemini-apper og forbedre Gemini-apper.”

Googles GenAI-retningslinjer for datainnsamling og oppbevaring skiller seg ikke så mye fra konkurrentenes. OpenAI lagrer for eksempel alle chatter med ChatGPT i 30 dager uavhengig av om ChatGPTs samtalehistorikkfunksjon er slått av, bortsett fra i tilfeller der brukeren abonnerer på en “enterprise-level plan” med en tilpasset dataoppbevaringspolicy. Etter hvert som GenAI-verktøy sprer seg, blir virksomhetene stadig mer oppmerksomme på personvernrisikoen.

OpenAI, Microsoft, Amazon, Google og andre tilbyr GenAI-produkter rettet mot bedrifter som eksplisitt ikke beholder data i lengre tid, verken for modellopplæring eller andre formål. Men forbrukerne får – slik som ofte er tilfelle – den dårligste dealen. 

Les mer her


DATABEHANDLERE

Straff for manglende gjennomføring av leverandørtilsyn

Det danske datatilsynet har anmeldt en part for ikke å ha ført tilsyn med sine databehandlere.

Datatilsynets etterforskning av parten viste at de ikke hadde overvåket sine databehandlere. Det første tilsynet ble utført da Datatilsynet begynte sine undersøkelser. Datatilsynet fant at parten ikke opptrådte i samsvar med kravene til ansvarlighet. De understreket at det ikke hadde blitt ført tilsyn med databehandlerne over flere år og at behandlingen innebar et stort antall registrerte personer. I tillegg ble sensitive personopplysninger behandlet.

Tilsyn knyttet bruken av databehandlere har blitt stadig vanligere de siste årene. Slik var det ikke i 2018, men det er en naturlig utvikling.

I tillegg til politianmeldelse, ble det anbefalt en bot på ikke mindre enn DKK 1 500 000. Så vidt jeg vet, er dette den første avgjørelsen hvor en part blir bøtelagt for ikke å ha gjennomført tilsyn med sine databehandlere.

Har du i det hele tatt sendt noen spørsmål til prosessorene dine? Hvis ikke er det på tide å begynne med det. Det finnes maler for hvilke spørsmål man bør stille.

Les mer her:

https://www.datatilsynet.dk/afgoerelser/afgoerelser/2024/feb/privathospitalet-capio-as-indstilles-til-boede


GOOGLE OG DE DANSKE SKOLENE

Historien om Chromebooks i danske skoler var ikke over

Den 30. januar kom det danske datatilsynet opp med en oppsiktsvekkende beslutning om bruk av Google Chromebooks og Workspace for utdanning i skoler. Beslutningen konkluderer med at behandlingen av personopplysninger i visse deler av tjenestene er ulovlig, da det ikke finnes noe rettslig grunnlag i personvernforordningen og nasjonal lovgivning for delingen av informasjon med Google. Her kan det være grunn til å minne om at hvert enkelt ledd i en behandlingsaktivitet, og deling av opplysninger, må ha en hjemmel. Både utlevering av informasjon – og mottak av informasjon.

Derfor utstedte Datatilsynet et pålegg til 53 danske kommuner om å bringe behandlingen i tråd med reglene og sikre at alle personopplysninger som behandles i Googles tjenester har et tilstrekkelig rettslig grunnlag.

Kommunene oppgir i det innsendte materialet at det er en overføring av personopplysninger til Google som Google bruker til egne formål. Ikke for skolenes formål. Formålet for Google sies å være forbedring av deres tjenester og utvikling av nye tjenester. Poenget til datatilsynet er imidlertid at skolene må ha et rettslig grunnlag for å gi studentenes personopplysninger til Google for slike formål – og at de ikke kan se at slikt rettslig grunnlag foreligger. 

Dette er en situasjon som er svært vanlig, ikke bare for skoler. Man kan forestille seg nøyaktig den samme problemstillingen i ansettelsessituasjoner. Hva er det juridiske grunnlaget for at våre arbeidsgivere skal gi våre personopplysninger til leverandører av IT-tjenester?

Jeg tror vi vil se den samme diskusjonen på dette området om ikke lenge. Det snakkes om det nedover i Europa. Dette er også ganske parallelt med tidligere undersøkelser fra EDPS om hvordan Microsoft behandler informasjon om brukerne av deres produkter, noe jeg har adressert i dette nyhetsbrevet tidligere.

Det danske datatilsynet har beordret kommunene til å bringe behandlingen i tråd med reglene ved å sikre at det foreligger autorisasjon for all behandling som finner sted. Kommunene må overholde pålegget fra 1. august 2024, men må angi hvordan de skal innrette seg allerede 1. mars.

https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2024/jan/datatilsynet-giver-paabud-i-chromebook-sag

Se også hvordan det norske Datatilsynet kommenterer saken, i lenken under. Det ser ut til at de tror den samme situasjonen kan gjelde i Norge, men at de ikke har gjennomført en nærmere vurdering av dette. Noe å tenke på for flere, her. https://www.personvernbloggen.no/2024/02/15/hva-betyr-den-danske-chromebook-saken-for-norge/


FORBRUKERE, INNSYN OG RETT TIL ENDRING

Straff for ulovlig å be om for mye informasjon

Vi har snakket om det mange ganger – du må være sikker på at du gir informasjon til riktig person, men du kan ikke be om mer identifiserende informasjon enn nødvendig.

Dette vises av en sak som behandles av datatilsynet i Hellas. De irettesatte en behandlingsansvarlig for ulovlig å spørre om en registrerts ID når de svarte på en tilgangsforespørsel, og for å ikke i tilstrekkelig grad informere brukerne om et databrudd. 

I denne saken ba en registrert om en kopi av sine personopplysninger i henhold til artikkel 15(3) GDPR etter å ha blitt informert av media om at den behandlingsansvarlige hadde hatt et databrudd. Den behandlingsansvarlige drev et nettsted. Den registrerte nektet for noensinne å ha opprette en konto på nettstedet og hevdet at noen andre måtte ha gjort dette ved hjelp av vedkommendes e-postadresse. 

Den behandlingsansvarlige svarte at de eneste dataene de behandlet var den registrertes IP-adresse og brukernavn som ble innhentet ved registrering, og at den registrerte måtte oppgi en ID for at den behandlingsansvarlige skulle kunne identifisere ham og gjennomføre tilgangsforespørselen. Den registrerte svarte at ID-en ikke var nødvendig fordi han brukte e-postadressen sin – og klaget til tilsynet. Nettstedet uttalte at de krevde en ID i forbindelse med tilgangsforespørsler for å kunne beskytte brukere mot uautoriserte utleveringer, og at dette er i tråd med punkt fortalepunkt 64 i GDPR.

Datatilsynet mente derimot at den behandlingsansvarlige handlet i strid med artikkel 5(1)(c) GDPR ved å samle inn ID-er utelukkende for å overholde de registrertes tilgangsforespørsler, fordi dette var overdrevent.

Det er ikke alltid lett å vurdere hvilket nivå av sikkerhet som kreves for utlevering av informasjon, men som en generell regel bør det være tilstrekkelig å bruke e-posten som den behandlingsansvarlige har tilgjengelig.

https://gdprhub.eu/index.php?title=Commissioner_(Cyprus)_-_11.17.001.010.007&mtc=today

Tekniske rammeverk ignoreres – Klarna AB

Det svenske datatilsynet (IMY) startet tilsyn med Klarna Bank AB («Klarna») på grunn av en klage fra en tysk statsborger. Klageren har et Klarna-kort og har bedt om korrigering av e-postadressen knyttet til kortet. Klarna sier at det ikke er teknisk mulig å endre e-postadressen knyttet til klagerens kort og at klager derfor må bestille et nytt kort for å få endret e-postadressen sin. Et nytt Klarna-kort vil imidlertid påvirke klagerens kredittverdighet og vedkommende ønsker ikke det. 

IMY skriver at saken viser at Klarna har behandlet personopplysninger i strid med artikkel 12.2 i GDPR ved ikke å ha lagt til rette for klagerens rett til retting – ved å ikke gjøre det mulig for klageren å endre sin e-postadresse. Å ikke korrigere e-postadresse, anses som et brudd på artikkel 16.

Her ser vi at IMY motsetter seg hvordan Klarna har satt opp sin interne logistikk. Jeg tror dette er en trend – at det å håndheve GDPR faktisk også innebærer innvendinger om hvordan bedrifter (og noen ganger forretningsmodeller) er satt opp. Ikke alle er positive til at myndighetene blander seg inn i slikt, men det er i noen tilfeller en naturlig konsekvens av hvordan GDPR fungerer.

https://www.imy.se/globalassets/dokument/beslut/2024/beslut-klarna-bank-imy-2023-8336.pdf

Personvern i biler 

En forbrukergruppe har funnet ut at «Tilkoblede tjenester»-funksjonen som er innebygd i nye Toyota-biler kan sende personopplysninger og kjøretøydata til tredjeparter. Hvis sjåførene fjerner komponenter som sender dataene, risikerer de at bilens garanti blir annullert.

Toyota har insistert på at det tar kundenes personvern «ekstremt alvorlig», men har erkjent at «Tilkoblede tjenester»-funksjonen bare kan deaktiveres, men ikke fjernes, fra bilene. Ellers kan sjåfører ugyldiggjøre garantien og gjøre Bluetooth og høyttalere ikke-funksjonelle. 

Det har blitt avdekket at Toyotas “Tilkoblede tjenester”-funksjon samler inn informasjon som kjøretøyets plassering, kjøredata, drivstoffnivåer og til og med telefonnumre og e-postadresser. Hvis du ikke melder deg av tjenesten, vil den samle inn og bruke person- og kjøretøydata for forskning, produktutvikling og dataanalyseformål. Tjenestene kan også under noen omstendigheter dele dataene med tredjeparter, for eksempel forsikringsselskaper.

Jeg tror at personvern i biler ennå ikke har fanget lovgivernes oppmerksomhet på ordentlig. Men med tanke på at lokasjonsdata får stor oppmersomhet i andre personvernspørsmål, tror jeg at dette vil komme ganske snart. 

https://www.theguardian.com/australia-news/2024/feb/08/toyota-cars-collecting-and-potentially-sharing-location-data-and-personal-information-choice-says

Fortsatt hardt vær for Facebook

Den nederlandske regjeringen vurderer å trekke seg helt fra Facebook på grunn av alvorlige bekymringer om hvordan den sosiale medieplattformen håndterer datasikkerhet. Regjeringen har i flere år vært bekymret for hvordan Facebook håndterer personvernsensitive data, og den nederlandske regjeringen har ved gjennomføringen av en DPIA avslørt det de mener er alvorlige mangler. De har visstnok diskutert dette med Meta, men Meta har ikke gjennomført tilfredsstillende forpliktelser eller forbedringer. Meta er tilsynelatende ikke enig i funnene i DPIA. 

I november spurte den nederlandske regjeringen det nederlandske datatilsynet om det er trygt å fortsette å bruke Facebook. Tilbakemeldingen fra datatilsynet er forventet å være klar snart. Imidlertid synes den foreløpige indikasjonen å være at regjeringen forventer å slutte å bruke Facebook og at de allerede gjør forberedelser for dette. 

https://nltimes.nl/2024/02/05/dutch-government-considering-ditching-facebook


GDPR OG ANSATTE

Overvåkning av ansatte 

Den 27. desember 2023 bøtela det franske datatilsynet (CNIL) Amazon France Logistique 32 millioner euro for å ha satt opp et overdrevent påtrengende system for overvåking av ansattes aktivitet. Selskapet ble også bøtelagt for videoovervåkning uten informasjon eller tilstrekkelig sikkerhet.

Selskapet administrerer Amazon-konsernets lager i Frankrike, hvorfra de sender pakker til kunder. Hver lageransatt får en skanner for å dokumentere hvordan arbeidet utføres i sanntid. Hver skanning registreres og brukes til å beregne informasjon om kvaliteten, produktiviteten og perioder med inaktivitet for hver ansatt.

CNIL vurderte at systemet for overvåking av ansatte var overdrevent. CNIL fastslo bl.a. at det var ulovlig å sette opp et system som måler arbeidsavbrudd med slik nøyaktighet, noe som potensielt krever at ansatte må rettferdiggjøre hver pause eller avbrudd. Videre kom CNIL til at systemet for måling av hastigheten pakker ble skannet med var overdrevent. CNIL anså det også som overdrevent å beholde alle dataene som samles inn via systemet, samt de resulterende statistiske indikatorene, for alle ansatte og midlertidige arbeidere, i en periode på 31 dager.

Ved fastsettelsen av botens størrelse ble det spesielt tatt hensyn til det faktum at analysen/overvåkingen var forskjellig fra tradisjonelle aktivitetsovervåkingsmetoder – særlig hva gjelder innhold og varighet, og at overføringen førte til svært tett og detaljert overvåking av ansattes arbeid.

Nå tror jeg ikke at mange norske virksomheter vil innføre denne type overvåking av ansatte, men det er klart at i et globalt marked er det en viss “smitteeffekt” fra land der slike systemer tillates.

Saken er omtalt her:

https://www.cnil.fr/en/employee-monitoring-cnil-fined-amazon-france-logistique-eu32-million

Uber beskytter ikke sjåførenes personvern – får en stor bot i Nederland

Det nederlandske datatilsynet har bøtelagt Uber 10 millioner euro for brudd på personvernregelverket i relasjon til sjåførenes personopplysninger.

Tilsynet kom til at Uber ikke hadde spesifisert hvor lenge de beholdt sjåførenes personopplysninger, eller hvordan de sikret personopplysninger når disse ble sendt til enheter i land, som de ikke hadde navngitt, utenfor EØS.

Uber hindret også sjåførenes mulighet til å utøve sin rett til personvern ved å gjøre forespørsler om tilgang til personopplysninger unødvendig komplisert. 

Boten ble ilagt etter at over 170 franske sjåfører klaget Uber inn til en fransk menneskerettighetsorganisasjon, som sendte inn en klage til det franske datatilsynet. Siden Uber har sitt europeiske hovedkvarter i Nederland, ble klagen videresendt til det nederlandske datatilsynet.

https://www.reuters.com/technology/dutch-watchdog-fines-uber-10-mln-euros-over-privacy-regulations-infringement-2024-01-31/


HOVEDETABLEING + NOYB

EDPB klargjør begrepet om hovedetablering (“Main establishment”)

EDPB har gitt en uttalelse om begrepet hovedetablering og kriteriene for anvendelsen av One-Stop-Shop-mekanismen (OSS). De skriver følgende hovedpunkter: 

  • For at OSS skal gjelde, må etablering av den behandlingsansvarlige innenfor EU ta beslutninger om formålene og metodene for behandling. 
  • Hvis beslutninger om formålene og metodene – og makten til å få dem implementert – utøves utenfor EU, vil OSS ikke gjelde.
  • Bevisbyrden faller på den behandlingsansvarlige – ting som plassering av regionale hovedkontorer og hvor retningslinjer for personvern fastsettes er «relevante elementer», men ikke avgjørende, og datatilsynet kan realiteten i dette.
  •  Uttalelsen advarer spesielt om at GDPR ikke tillater «forumshopping» i identifiseringen av hovedetablering. 

Denne uttalelsen er den siste i en rekke konkrete tiltak tatt av EDPB etter Wien-erklæringen om grenseoverskridende håndhevelse, med sikte på å effektivisere håndhevelse og samarbeid mellom datatilsynene. 

https://edpb.europa.eu/news/news/2024/edpb-clarifies-notion-main-establishment-and-calls-eu-legislators-make-sure-csam_en

NOYB har undersøkt personverntilstanden i Europa

I november 2023 gjennomførte NOYB en nettbasert undersøkelse for å få innsikt i den praktiske implementeringen av GDPR. Noen vil kanskje si at funn fra NOYB sannsynligvis vil vippes til å være for personvernfokusert, men rapporten er faktisk en ganske god analyse av hva som er oppnådd med GDPR og hva som er nåværende status for etterlevelse av reglene.

Undersøkelsen inkluderte blant annet spørsmål om selskapers etterlevelse av GDPR, om vanskeligheten med å overbevise andre avdelinger eller ansatte i et selskap om etterlevelse av GDPR og spørsmål om de mest relevante faktorene som påvirker etterlevelsen av GDPR. Undersøkelsen fokuserte på personvernombud og andre som jobber med etterlevelse. 

Rapporten belyser et utbredt problem om manglende etterlevelse på tvers av ulike sektorer. Mange unnlater å beskytte enkeltpersoners personvernrettigheter og å sikre personopplysninger i samsvar med GDPR.

Videre fant de mangel på åpenhet og ansvarlighet i databehandlingspraksis, med organisasjoner som ofte ikke klarer å gi klar og tilgjengelig informasjon om deres retningslinjer for datainnsamling, lagring og bruk. De fant også at mange organisasjoner mangler robuste sikkerhetstiltak for å beskytte mot databrudd og uautorisert tilgang. Dette setter enkeltpersoners personopplysninger i fare for utnyttelse og misbruk. 

NOYB fant også at samtykkehåndteringsprosesser ofte er feil, med organisasjoner som er baserer seg på tvetydige eller uklare samtykkemekanismer som ikke oppfyller forordningens standarder for informert og fritt samtykke. Det er også en generell mangel på bevissthet blant enkeltpersoner om deres rettigheter og organisasjoner unnlater ofte å legge til rette for utøvelse av registrertes rettigheter på en betimelig og transparent måte. 

Rapporten inneholder også anbefalinger for forbedringer. For det første må tilsynsmyndighetene styrke håndhevingsarbeidet og avskrekke fremtidige brudd gjennom ileggelse av bøter og sanksjoner.  I tillegg bør organisasjoner prioritere investeringer i robuste sikkerhetstiltak, inkludert kryptering, tilgangskontroller og regelmessige sikkerhetsrevisjoner. Organisasjoner må prioritere åpenhet og klarhet i deres databehandlingspraksis, gi enkeltpersoner klar og tilgjengelig informasjon om hvordan deres personopplysninger samles inn, brukes og deles, og sikre bedre samtykkemekanismer. Rapporten understreker at det bør gjøres tiltak for å øke bevisstheten blant enkeltpersoner om deres rettigheter og gi dem mulighet til større kontroll over sine personopplysninger gjennom utøvelse av rettigheter.

Rapporten understreker et presserende behov for samordnet innsats fra både tilsynsmyndigheter, organisasjoner og enkeltpersoner for å fremme en kultur for etterlevelse og å opprettholde enkeltpersoners grunnleggende rett til personvern.

Rapporten finner du her

https://noyb.eu/sites/default/files/2024-01/GDPR_a%20culture%20of%20non-compliance_2.pdf


KOMMENDE MØTER

14. mars 14.00 – 16.00Digitalt nettverksmøte

Se hele oversikten over kommende aktiviteter i nettverket her.


SISTE ORD

Du får dette nyhetsbrevet som medlem av tilt.works PrivacyTech-nettverk eller fordi du har tegnet et eget abonnement. Du kan oppdatere din profil her.

Snyltekapitalismen

Snyltekapitalismen

Schibsted og 31 andre europeiske mediehus har saksøkt Google.

Les mer: Reuters Kampanje

Det kommer som enda et av en lang, lang rekke søksmål mot de internasjonale IT-gigantene.

Jeg syns det er høyst betimelig.

Google er en av et lite antall aktører som er blitt mektige og superrike ved å snylte på andres verdiskapning.

To inntektskilder

Media har tradisjonelt levd av innhold, og det har de skapt inntekter fra ved at den som bruker innholdet betaler for bruken, og ved at annonsører betaler for oppmerksomhet fra de samme brukerne.

Før internett og web stod papiret i en luksuriøs særstilling. Verdien av annonseflatene var svært høy. Mediene tjente svært gode penger.

Da nettavisene kom, endret det seg. Verdien av en annonse ble synliggjort, og det var ikke alltid lett å forsvare investeringen. Annonsørene ble mer bevisste hvordan de brukte pengene.

Google og andre annonsenettverk etablerte seg som et mellomledd mellom annonsører og potensielle kunder.

På den måten ble enorme verdier omfordelt. De 22 milliarder de 32 europeiske mediene mener de fortjener i erstatning er antagelig bare smuler i forhold til hvilket omsetningstap de faktisk har lidd.

Portvoktere

Når det er sagt, er det også liten tvil om at mye av tapet er fra oppblåste inntekter de selv har hatt i egenskap av å være “portvoktere” for virksomheter som ønsker seg kunder. De var selv i praksis lokale og nasjonale monopoler som beriket seg på samme måte de nå anklager Google for.

Greit nok. La tyv fange tyv.

Den verdiøkningen Google har gitt annonsører i form av målrettede salgsbudskap er reell, og antagelig positiv i det store bildet, hvis man ikke henger seg opp i medienes stadig trangere økonomi.

Like fullt er det betenkelig faktum at Google, Facebook og noen andre store aktører lever utelukkende av verdier skapt av andre.

De er barn av den nye kapitalismen: Snyltekapitalismen. De fortjener motstand, og jeg ønsker de europeiske mediehusene lykke til.

Men jeg skulle gjerne sett at de store digitale selskapene ble sterkere utfordret på andre områder også. Viktigere områder.

Våre data

Et område er den skamløse måten de forsyner seg av våre data. Mine data er min eiendom, men den har ikke mye verdi i seg selv. Det er en dråpe vann i havet.

Men data fra noen milliarder mennesker, som hver seg eies av et individ, har en verdi. Det er selve havet.

I likhet med naturressurser som hav og vassdrag, er det en del av vår kollektive eiendom. Slik vi nå snakker om “lakseskatt” i form av en grunnrente for bruk av kollektive naturressurser, må vi begynne å snakke om en grunnrente på fellesskapets data.

I mangel av regulering har IT-gigantene kunnet spørre hver enkelt eier av “vanndråpene” om de vil bytte den mot litt enkel moro, og på den måten fått tilgang på hele havet.

Velferdssamfunnet

Et annet område som i svært liten grad er adressert ennå er verdien av arbeidet vi ikke lenger utfører fordi det utføres av en algoritme i Silicon Valley.

Skattlegging av data og verdier utvunnet av data genererer enorme mengder inntekt fra data de samler inn globalt. Utfordringen med å skattlegge disse inntektene ligger i den digitale økonomiens natur.

Vårt velferdssamfunn er fundert på skatt på inntekt. Inntekt er noe en arbeidstaker får fordi vedkommende skaper en verdi for arbeidsgiveren.

Når AI og annen teknologi sørger for at jeg gjør det samme arbeidet på 20 prosent av tiden, vil det som kostet arbeidsgiveren 100 kroner i lønn i går, koste 20 kroner i dag.

Det er lønnsomt for arbeidsgiveren, men for velferdsstaten betyr det at 80 prosent av inntektsskatten blir borte. Og siden verdiskapningen ikke skjer i Norge, skattlegges den heller ikke i Norge.

Da har snyltekapitalismen gått fra å suge blod fra små og store næringer og folk flest, til å utarme hele velferdssamfunnet vårt.

Ulikheter og uro

Så når jeg har sympati med Schibsted, Axel Springer og de andre, så er det ikke fordi jeg tenker at de er ofre som bør få oppreisning. Det er fordi det er viktig at utviklingen mot at stadig større verdier sluses inn i lommene til et fåtall superrike, internasjonale aktører utfordres.

Ulikheter skaper uro, konflikt og ofte krig. Jeg tror at mye av den uroen og splittelsen vi ser i verden i dag kan tilbakeføres til de stadig voksende ulikhetene mellom fattige og (super-)rike.

Det er ikke bærekraftig.

God tirsdag.

Opptak av møtet 15. feb 2024

Opptak av møtet 15. feb 2024

På møtet i partnerskapet den 15. februar snakket vi om veien videre for tilt.work og for Partners in Tilt. Paal presenterte sine visjoner for tilt, mens Thomas presenterte tanker om hvordan modellen til PiT vil endre seg.

Farvel til alderismen. Eldre som livsbejaende, verdiskapende borgere

Farvel til alderismen. Eldre som livsbejaende, verdiskapende borgere

Den kommunale økonomi settes for tiden på prøve. Ordføreropprøret den 22. januar i år i Larvik samlet representanter for 120 skattefattige kommuner. Mange av disse kommunene får ikke nok inntekter til å kunne levere hverken lovpålagte eller forventede tjenester. Spesielt utfordrende er økende antall unge med rapportert dårligere mental helse, økende utenforskap og uføregrad samt kostbare spesialtiltak for utsatte barn.

read more…
Du skal få din lønn i vaffeljernet

Du skal få din lønn i vaffeljernet

Store deler av det norske samfunnsmaskineriet er basert på frivillighet. Tusenvis av frivillige legger igjen millioner av timer til glede for idrettslaget, politiske partier, menigheten, korpset, koret, speideren. 

Den eneste kompensasjonen de får utover gleden ved å bidra til «saken» er at de kan spise så mange vafler de vil (bare de steker dem selv).

Råtnende røtter

Dugnadsånden er dypt rotfestet i norsk kultur, men mange opplever at røttene begynner å råtne. Fra mange hold hører vi historier om foreldre som ser seg og sine barn mer som kunder i idrettslaget enn medlemmer med felles ansvar for helheten.

Samtidig forventer mange foreninger og lag mye av sine medlemmer. 

Kanskje denne ubalansen er utslagsgivende for en trend jeg mener å se nå: at foreninger, idrettslag og andre organisasjoner investerer mer i medlemmer som strekker seg lenger?

Frivillig lederutvikler

Jeg har, som en gjennomsnittlig norsk borger, engasjert meg mye i frivillighet gjennom årene, med tillitsverv i ulike organisasjoner både privat og profesjonelt. Jeg er også pro bono konsulent for Prospera, som deler ut verdifull konsulentbistand til verdige trengende organisasjoner.

Jeg er blitt glad i det frivillige Norge. 

Så da jeg fikk anledning til å kombinere min erfaring med å vikle ut ledere med min begeistring for frivillighet i fjor, nølte jeg ikke.  Jeg ble med i en pool av frivillige lederutviklere i Den norske turistforening (DNT).  

Det er et av de morsomste oppdragene jeg har hatt, selv om lønna kun var kaffe, frukt og småkaker.

Engasjementet falt sammen med et lignende program som allerede var under utvikling i tilt.work for et stort idrettslag i Oslo.

I vinter har jeg derfor hatt gleden av å lose to kohorter frivillige ledere gjennom to versjoner av det femten timer lange programmet.

Ledelse avmystifisert

Felles for programmene er at de har en praktisk tilnærming til ledelse. Ledelse er ofte blitt opphøyd til noe nesten mystisk. Men ledelse er ikke hokus pokus. Ledelse er håndverk, teknikk, øvelse og refleksjon.

Gode ledere er gode ledere fordi de har en velfylt verktøykasse og har praktisk øvelse med verktøyene sine.

Det spesielle med å lede i frivilligheten er at det finnes få om noen ytre motivasjonsfaktorer. Alt handler om indre motivasjon, og den kommer i mange ulike former.

Det gir helt spesielle lederutfordringer. Der du som leder i andre sektorer har lønn, bonus og forfremmelse i ermet for å motivere til innsats, står du igjen med kun deg selv og din atferd som verktøy for motivasjon. 

Den ultimate testen

Derfor er ledelse av frivillige den ultimate testen på ledelse.

Samtidig er indre motivasjon en sterk drivkraft også i mer formelle arbeidssituasjoner. Et eksempel er startups, hvor gründerne gjerne har «snublet» inn i ledelse fordi de forfulgte en lidenskap og en drøm om å endre bittelitt på verden. Folka de skal lede er gjerne motivert av det samme. 

Les mer om programmet

Jeg tror også det er gjenkjennbart for mange prosjektledere. De skal sikre at en gjeng med fremmede transformeres til et høytytende team. Da vil ofte «myke» lederferdigheter være et uvurderlig supplement til teknikkene de lærte på prosjektlederkurset.

Send stafettpinnen videre

Hvorfor forteller jeg deg dette en tirsdag morgen?

Du er smart, og ser at det er et element av salg i denne ukens Tirsdag morgen. Antagelig kjenner du en eller flere organisasjoner som kan være interessert i å styrke både organisasjon og medlemsmotivasjon ved å utvikle sine ledere.

Send stafettpinnen videre, eller ta kontakt med en mail. Hvis du leser dette i eposten din, kan du svare direkte.

God tirsdag. 

Oppslagsbildet er AI-generert (ChatGPT)

Kunsten å skape engasjement i møter og på kurs

Kunsten å skape engasjement i møter og på kurs

Kampen om oppmerksomhet er tøff. Vi er vant til å få servert informasjon i kvikke kutt og faller fort av om det som skjer på scene/skjermen ikke fenger.

Smak på denne: I en undersøkelse Wall Street Journal gjorde for noen år siden beskrev halvparten av topplederne presentasjonene de hører som “direkte søvndyssende” og 43 prosent som “fryktelig kjedelige”. Bare 7 prosent svarte “inspirerende”.

read more…
IT-jus nr. 1/24

IT-jus nr. 1/24

Datatilsynet har kommet med en oversikt over nylig vedtatt regelverk fra EU. Der er AI Act, selvfølgelig. Men også

  • Data Governance Act,
  • Digital Markets Act,
  • NIS 2 direktivet,
  • General Product Safety Regulation,
  • Digital Services Act,
  • Critical Entities Resilience Directive
  • Digital Operations Resilience Act (DORA).

Og ny lovgivning som ventes å komme om kort, er

  • AI Liability Act,
  • Consumer Credit Directive,
  • European Health Data Space,
  • European Media Freedom Act

og hele ni andre lover.

Fra ECJ fikk vi 32 avgjørelser om personvern i 2023. Et søk på EDPBs sider viser at de har publisert 117 dokumenter i 2023. Man kan bli svimmel av mindre! Heldigvis er ikke alt like viktig.

Uansett kan vi neppe bare forholde oss til GDPR fremover – personvernet sniker seg inn i mange andre lover også. For å finne relevant GDPR-materiale bruker jeg ofte GDPRhub som har en ganske fullstendig oversikt over europeiske avgjørelser, både fra domstoler og datatilsyn. Det er en fin og lett søkbar nettside som NOYB har tatt initiativ til.

Under er et knippe saker fra årsskiftet som har fanget min interesse. Jeg tar noen korte, enkle saker først, og så kommer noen litt mer juridiske ECJ-saker om erstatning for tort og svie til slutt.

I neste nettverksmøte skal vi ha en runde på hvordan det var å ha tilsyn for NAV samt en del om AIB TCF 2.2-rammeverket om cookies. Cookies er veldig i vinden og jeg vet at mange jobber hardt med å trimme tekst på hjemmesidene sine. Happy reading og riktig godt nytt personvernår!

Hilsen Eva


LOJALITETSPROGRAM

Slett kundeopplysninger i lojalitetsprogram

Det finske datatilsynet har kommet med en praktisk avgjørelse om lagringstid innen retail. Det dreier seg om Kesko, landets største retailkjede, og deres lojalitetsprogram.

De lagret kundeopplysninger og salgsopplysninger så lenge kundeforholdet varte. Tilsynet slo fast at koblingen til kundeforholdet kunne medføre lagring i hele kundens levetid og at dette var for lenge. Det ble også fremhevet at kjøpshistorikk kan brukes til å utlede særlige kategorier opplysninger. Kesko skulle også ha sørget for at kundene fikk velge hvor mye data om dem som ble samlet inn om dem.

Kesko slapp bot, men det er all grunn til å tro at lagringstid og sletting får oppmerksomhet fremover.

Saken er omtalt her https://gdprhub.eu/index.php?title=Tietosuojavaltuutetun_toimisto_(Finland)_-_3831/161/21&mtc=today


SAKER FRA DET DANSKE DATATILSYNET

Hva er tilstrekkelige sikkerhetstiltak?

Når man lurer på hvilke sikkerhetstiltak man må implementere, kan det være nyttig å se til en ny veileder fra det danske datatilsynet. Datatilsynet mottar ukentlig flere anmeldelser om brudd på persondatasikkerheten og mange handler om utilsiktet tilgang eller videreformidling av personopplysninger.

Tilsynet mener at bruddene kunne vært unngått med passende sikkerhetstiltak. Datatilsynet har derfor identifisert 10 typiske brudd og gir råd om relevante sikkerhetstiltak for å redusere risikoen for disse hendelsene.

Veiledningen henvender seg spesielt til ansatte med innflytelse på organisasjonens regler, prosedyrer, opplæring og tekniske konfigurasjoner for å beskytte mot brudd på persondatasikkerheten. Det vil antakelig være ganske nyttig lesning for mange. Med tanke på den oppmerksomhet NAV nylig har fått for sviktende adgangskontroll i Norge, er det interessant å se at første avvik de tar opp er nettopp “adgangsrettigheter etter behov”.

Du finner oversikten her

https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2023/nov/nyt-katalog-over-sikkerhedsforanstaltninger

Mer om hva som er god tilgangskontroll

Det danske Datatilsynet har også gitt ut en veileder for nettopp tilgangsstyring. Tilsynet skriver at styring av brukernes tilganger er en helt grunnleggende del av informasjonssikkerhet, men at mange finner dette vanskelig. Manglende tilgangsstyring øker risikoen for brudd på persondatasikkerheten – alt fra ansattes uautoriserte innsyn og misbruk utført av tidligere ansatte, til målrettede hacker- og ransomware-angrep.

Veiledningen er tilgjengelig her

https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2023/dec/ny-vejledning-om-rettighedsstyring

Vanskelig med samtykke på sykehus

I slutten av november kom det en litt uvanlig sak fra det danske Datatilsynet. Aarhus universitetssykehus publiserte enkelte pasientbilder på Instagram – basert på samtykke. Det høres antakelig helt OK ut for mange.

Men en pasient henvendte seg til datatilsynet og lurte på om dette var lov.

Tilsynet åpnet sak og konkluderte med at samtykke ikke kunne brukes som behandlingsgrunnlag fordi det ikke er likevekt mellom pasienten og sykehuset. Sykehuset er i en maktposisjon, selv om de selvfølgelig ikke vil gi pasienter som ikke samtykker dårligere behandling.

Balanse mellom partene i samtykkesituasjoner er jo viktig og er jo kjent for å være vanskelig i arbeidsforhold. Jeg er kanskje noe overrasket over avgjørelsen, men det vil naturligvis avhenge av i hvilke situasjoner sykehuset ba om tillatelse til publisering.

Du finner beslutningen her

https://www.datatilsynet.dk/afgoerelser/afgoerelser/2023/nov/hospital-kan-ikke-bruge-samtykke-til-at-offentliggoere-billeder-af-patienter-paa-instagram

Bruker utviklerne dine JavaScript?

Den 20. januar 2022 mottok det danske Datatilsynet en henvendelse fra en borger angående Digitaliseringsstyrelsens bruk av JavaScript i MitID, den danske digitale ID-en. Vedkommende hevdet at JavaScript er utdatert og ikke sikkert, og at enheter enkelt kan hackes hvis JavaScript er aktivert. Dette har vært tema i sikkerhetsbransjen lenge.

Digitaliseringsstyrelsen forklarte at det var gjennomført risikovurderinger av MitID, herunder av kodekvalitet. De hadde likevel ikke vurdert mulige risikoer for de registrerte ved bruk av JavaScript.

Datatilsynet minnet om at GDPR krever at behandlingsansvarlig må håndtere risikoen for rettighetene og frihetene til datasubjektene før man starter behandlinger. I tillegg minnet Datatilsynet om at i henhold til artikkel 5(1)(f) i GDPR må personopplysninger behandles på en måte som sikrer tilstrekkelig sikkerhet for de berørte personopplysningene. Det påpekte videre at både artikkel 5(2) i GDPR og artikkel 24(1) i GDPR fastslår at en behandlingsansvarlig må kunne påvise overholdelse av GDPR. For at et tilsynsorgan skal kunne vurdere om tilstrekkelig sikkerhetsnivå er sikret, må behandlingsansvarlige dokumentere identifiserte risikoer og de tiltakene som er iverksatt.

Ikke overraskende, konkluderte Datatilsynet med at risikoen for de registrerte skulle ha vært vurdert og at man burde ha gjennomført en separat risikovurdering av JavaScript, siden det er offentlig kjent at programmeringsspråket har svakheter. At dette gjaldt en nasjonal infrastruktur gjorde det verre.

Da Digitaliseringsstyrelsen viste til en eldre vurdering av JavaScript, gjennomført flere år tidligere for “NemID”, var det utilstrekkelig.

Hva kan vi lære av dette? At dokumentasjon selvfølgelig er viktig, selv om det er tidkrevende.


BEHANDLINGSANSVAR

Kreves avtale for felles behandlingsansvar?

I ECJ C-683/21 var spørsmålet om et helseinstitutt som hadde outsourcet utviklingen av en Covid-19-smittesporingsapp til en privat aktør, var behandlingsansvarlig. Instituttet eide ikke appen og behandlet ikke personopplysninger selv. Men ECJ slo fast at når en virksomhet faktisk medvirker til å bestemme formålene og virkemidlene for behandlingen av personopplysninger, anses den som behandlingsansvarlig. I dette aktuelle tilfellet mente domstolen at det var et felles behandlingsansvar. Det var ikke avgjørende at partene ikke hadde inngått noen avtale om slikt felles behandlingsansvar – domstolen gjorde en vurdering basert på faktum.

Antakelig er det flere enn man tror som har felles behandlingsansvar. Jeg tror nok dette gjelder i en del konsern og også i en del utviklingssituasjoner. Det skal ikke mye til – og konsekvensene er jo faktisk ganske store. Det spiller en rolle for ens ansvar om man er behandlingsansvarlig eller om man er databehandler. En meget dyktig engelsk personvernekspert, Christopher Millard, skrev en artikkel om dette allerede i 2019. Tittelen var “At this rate, everyone will be a joint controller of personal data!”

Det er en meget lesverdig artikkel og du finner den her:

https://academic.oup.com/idpl/article/9/4/217/5771498


INNSYN NÅR ALGORITMEN AVGJØR

SCHUFA-sakene – viktig for mer enn bare kredittopplysningsvirksomhet!

SCHUFA er et tysk selskap som driver kredittvirksomhet, de setter score på hvor god økonomi mennesker har. En kunde av en bank fikk avslag på sin lånesøknad som følge av at hennes score fra SCHUFA var for lav. Da hun begjærte innsyn i hvilke opplysninger SCHUFA hadde lagt til grunn om henne, fikk hun innsyn i det, men ikke i algoritmen som regnet ut en score fordi SCHUFA mente det var en forretningshemmelighet.

Her oppstår mange juridiske spørsmål, men blant annet om GDPR om artikkel 22 får anvendelse. Ville SCHUFA anses å ha fattet en beslutning med stor innvirkning på individet slik at de veldig strenge rammene i artikkel 22 må anvendes? Da kan man som kjent bare bruke samtykke, avtale eller lov som hjemmel for behandlingen/scoringen.

ECJ konkluderte i sak C-634/21 med at selv om SCHUFA ikke selv traff beslutningen om å avslå lånesøknaden, spilte scoren en avgjørende rolle i at kunden ikke fikk lån. Dette mente de var tilstrekkelig til at artikkel 22 fikk virkning for SCHUFAs egen aktivitet. I tillegg kunne SCHUFA lettere oppfylle informasjonsforpliktelsene overfor den registrerte enn banken, ettersom banken ikke hadde kunnskap om hvordan de automatiserte prosessene i SCHUFA fungerte.

I Norge har vi en særlov for kredittopplysningsselskap, så for dem har saken antakelig ikke stor betydning. Mange andre europeiske land har ikke dette, og der får denne avgjørelsen større betydning. Men den kan likevel ha virkning for mange andre selskaper i Norge.

En bred tolkning av hva som er en automatisert beslutning i artikkel 22 utvider bestemmelsen. I praksis vil nå alle selskaper som utarbeider og selger analyser som andre virksomheter baserer seg på, måtte ta hensyn til denne dommen. Antakelig vil dette påvirke sektorer som arbeidsliv, helsevesen og forsikring – områder der det ikke er uvanlig at bedrifter bruker algoritmer som beslutningsgrunnlag.

Dommen understreker også viktigheten av at virksomheter gir klar og forståelig informasjon om metodene for databehandling. Her vil også AI Act komme inn med veldig like regler om ganske kort tid.

Det kom ganske samtidig to andre saker om SCHUFA, sakene C-26/22 og C-64/22. De gjaldt lagringstid for kredittopplysninger, men jeg tror ikke disse er så relevante i Norge da vi har særlovgivning på dette.


IKKE-ØKONOMISKE TAP

Erstatning for tort og svie? Det spørs!

Da GDPR kom, var mange usikre på hva omfanget ville bli for erstatninger knyttet til ikke-økonomiske tap. Det vet vi mye mer om nå fordi vi har fått mange saker om dette.

I en ganske ny sak fra en domstol i Köln, slås det fast at det ikke var nok å vise til ubehag, angst og frykt for å kreve erstatning etter GDPR art 82. Saken gjaldt opplysninger som kom på avveie etter et avvik hos Facebook i 2019. Selv om klageren faktisk mistet kontrollen over dataene etter at de ble publisert på darkweb, var ikke dette tilstrekkelig for å utgjøre en relevant skade. Det var ikke nok at klageren viste til en “negativ konsekvens” og abstrakt tap av kontroll, det skulle vært vist til en klar skade.  

Domstolen sa samtidig at dette ikke betyr at det er en minimumsterskel for erstatning, men at skaden i det minste må være objektivt fastsatt. På samme måte fastslo retten at klageren ikke klarte å vise hvordan han led skade av spam-e-postene og SMS-ene han mottok etter avviket, eller hvordan han brukte tid og innsats på å håndtere tapet av kontroll over dataene sine.

Her er det nyttig med et tilbakeblikk på CJEU C-300/21 om det østerrikske postvesenet (Österreichische Post), fra 4. mars 2023 som blir vist til i dommen over. Österreichische Post-saken var en av de første sakene om dette. Det østerrikske postvesenet laget antakelser om befolkningens politiske tilknytning basert på sosiodemografiske kriterier. En person klaget. Han hadde ikke samtykket til dette og følte seg krenket. Saksøkeren hevdet at dette forårsaket ham stor opprørthet, tap av tillit og en følelse av eksponering ved at postvesenet lagret informasjon om hans antatte politiske meninger.

Saken endte for flere østerrikske domstoler og gjennomgående avviste de erstatningskravet. I prosessen ba en østerriksk domstol ECJ om å uttale seg om flere forhold og følgende ble slått fast:

For at retten til erstatning skal oppstå, må tre kumulative betingelser være oppfylt:

  • Det må ha skjedd et brudd på GDPR,
  • det må finnes en materiell eller immateriell skade som følge av denne krenkelsen, og
  • det må være årsakssammenheng mellom skaden og krenkelsen.

En ren krenkelse av en GDPR-bestemmelse er ikke nok for å gi rett til erstatning, med mindre klageren viser at han eller hun har lidd skade og at den aktuelle krenkelsen faktisk forårsaket den.

EU-domstolen fastslo likevel at medlemsstatene ikke kan betinge retten til erstatning for immateriell skade av at en terskel for “alvorlighet” først blir oppfylt. Domstolen fastslo at begrepet “skade” skal tolkes bredt og sa også at et annet resultat ville føre til at erstatningskrav kan få ulikt utfall i ulike land, noe som ikke ville være i tråd med GDPR.

Til slutt, påpekte EU-domstolen at GDPR ikke inneholder noen regler for å fastsette beløpet av erstatningen som skal i erstatning. Har kan altså nasjonale domstoler i EU anvende nasjonale regler når de avgjør beløpet for erstatning. Dette betyr at nivået på erstatninger vil variere.

Du finner dommen omtalt her

https://gdprhub.eu/index.php?title=CJEU_-_C-300/21_-_%C3%96sterreichische_Post_AG

Det som ble slått fast i Österreichische Post-saken er på mange måter blitt gullstandarden for hvordan vurderingene skal gjøres. Det skal altså en del til for at en virksomhet får slike erstatningskrav mot seg.

Her må jeg også nevne ECJs nye avgjørelse av 14. desember 2023 (C-340/21) som har flere andre prinsipielle avklaringer.

Etter et cyberangrep mot det bulgarske nasjonale skattevesenet der opplysninger ble lekket, klaget en bruker og krevde erstatning. Vedkommende hevdet å ha lidt ikke-materiell skade; frykt for at personopplysninger kunne bli misbrukt i fremtiden eller at de kunne bli presset, angrepet eller sågar kidnappet.

ECJ tok utgangspunkt i at selv om det var brudd på GDPR, så betød ikke det nødvendigvis at behandlingsansvarlig hadde forsømt å bruke hensiktsmessige tekniske og organisatoriske tiltak. De sa at EU-lovgiverens intensjon var å “redusere” risikoen for brudd på personvern, uten å kreve at risikoen skulle bli helt eliminert. Dette er godt nytt for mange. Tiltakene som er implementert må vurderes konkret.

CJEU fortsatte med at selv om et GDPR-brudd skyldes tredjeparter (hackere), så er ikke den behandlingsansvarlige fri for ansvar. Man må se på om de implementerte tekniske og organisatoriske tiltakene var hensiktsmessige. Og et OBS her – merk at det er den behandlingsansvarlige som må kunne dokumentere at tilstrekkelige tiltak er fattet.

Dernest viste de til ovenfornevnte C-300/21 (postvesenet), og skrev at opplevd frykt og mulig misbruk av personopplysninger hos en enkeltperson kan utgjøre relevant skade. De skrev at det er opp til den nasjonale domstolen å verifisere om frykten for den enkelte kan anses som velbegrunnet. Skal man kjøre en slik sak, bør man kanskje involvere psykologisk ekspertise som kan si noe om reell frykt.

Dommen finner du omtalt her

https://gdprhub.eu/index.php?title=CJEU_-_C%E2%80%91340/21_-_Natsionalna_agentsia_za_prihodite


KOMMENDE MØTER

25. jan 14.00 – 17.00
  Nettverksmøte, Oslo
22. feb 12.00 – 13.00
Drop in
14. mars 14.00 – 16.00
Digitalt nettverksmøte

Se hele oversikten over kommende aktiviteter i nettverket her.


SISTE ORD

Du får dette nyhetsbrevet som medlem av tilt.works PrivacyTech-nettverk eller fordi du har tegnet et eget abonnement. Du kan oppdatere din profil her.

Utsikten fra elfenbenstårnet

Utsikten fra elfenbenstårnet

Jeanette, min dyktige kollega som har vikariert for meg i Tirsdag morgen de siste ukene, har forklart mitt fravær med at jeg har steget opp i elfenbenstårnet for å tenke kloke tanker om tilt.works videre utvikling.

Jeg er tilbake, og har tenkt noen tanker. Om de er kloke får tiden vise.

Men begrepet «elfenbenstårn» vekket min nysgjerrighet i seg selv. 

Jeg har i grunnen aldri reflektert over hva det vil si å sitte i et elfenbenstårn inntil jeg ble sendt opp i ett. 

Så jeg måtte sjekke hva det innebærer: 

«Å bo eller være i et elfenbenstårn er ikke å vite om eller å ville unngå de vanlige og ubehagelige tingene som skjer i folks liv: Akademikere som sitter i elfenbenstårn har ingen forståelse for hva som er viktig for vanlige mennesker.»

Gruppediagnose

Hmm. Dette låter kjent. Dette høres ut som en gruppediagnose som kan passe på mange funksjoner i arbeidslivet og samfunnet for øvrig. 

Jeg tror det passer på mange styrer, for eksempel. Det mystiske styret som jevnlig samles i viktige styremøter for å behandle saker som vedgår svært mange mennesker uten at de som behandler dem har peiling på hvem disse menneskene er, hva de drømmer om og hva de tenker om utfordringene.

Jeg har selv sittet i eller rapportert til ulike styrer. Bakkekontakt er ikke alltid den mest fremtredende kvaliteten.

Noen typiske funksjoner i arbeidslivet kan også mistenkes for å trekke seg tilbake til sine elfenbenstårn. Noen vil for eksempel føle at HR-avdelingen befinner seg i en avsondret verden hvorfra det sendes ut dekreter og forskrifter ingen forstår hensikten med.

Andre kan ha opplevd IT-avdelinger som skjuler seg bak et sjamanistisk slør av teknologisk mystikk.  

Det er også, vil jeg mene, treffende for deler av vårt politiske system. Noen stikkord: eksamensjuks, innsidehandel, reversering av reformer.

Jeg tenker at elfenbenstårnet også kan være en god metafor for den massive «oss-og-dem»-tenkningen som preger vår verden i dag. Republikanere mot demokrater, israelere mot palestinere, Russland mot vesten.

Tankesiloer

Spør du de kunstige intelligenser der ute om hva som skal til for å motvirke elfenbenstårnenes tankesiloer, er noe av svaret større transparens. Del mer informasjon, kunnskap, resonnementer, vær transparent med hvordan beslutningsprosesser foregår, skap tverrsektorielle arenaer.

La meg derfor være transparent om noe av det jeg har tenkt om prosjektet tilt.work der oppe i elfenbenstårnet, og la meg prøve å trekke noen tråder fra min og mine partneres navler og ut i en større kontekst.

En kjærlig kilevink

tilt.works grunnleggende premiss er å tilte hoder i arbeidslivet. Mildt og kjærlig gir vi våre kunder en kilevink. Etter den første forbløffelsen og irritasjonen rister de på hodene sine, og ta-da! oppdager at det finnes andre måter å se verden på. Mer bærekraftige perspektiver. Perspektiver som tar hensyn til omverdenen, kommende generasjoner og som ser planeten som en helhet.

Så sender vi faktura.

Det er tilt.work, det.

I en ideell verden.

I forretningsplanen vår.

«If you want to make God really laugh, show him your business plan.»

Planen ble unnfanget av en gruppe idealistiske konsulenter i pandemisk isolasjon.

Også et slags elfenbenstårn?

Naiv. Ikke dum

Det var en naiv plan, men den var ikke dum. Det handler om å ansvarliggjøre næringslivet. De store virksomhetene på planeten har betydelig mer makt enn en gjennomsnitts regjering: makt til å kreve, makt til å endre, makt til å skape.

Les mer om tilt.work her.

Vi som leies inn som rådgivere og endringsagenter i disse virksomhetene har makt til å tilte våre oppdragsgiveres kurs. Små justeringer kan gi enorme ringvirkninger. Vår ambisjon er å skape bevissthet om hvordan disse kursendringene gir mest mulig positive ringvirkninger.

Det er fire år siden, og mye har forandret seg på disse årene. Vi trodde pandemien var bunnen. Men det var bare begynnelsen. Vi lever i en verden mer splittet enn noensinne. Klimakrisen eskalerer. En tredje verdenskrig oppleves for første gang på mange tiår som en reell trussel.

Vern om blåøydheten

Heldigvis er millioner av mennesker på lag med fremtiden. Usett av de konfliktfylte overskriftene i nyhetene jobber armeer av mennesker med å løse utfordringene. Aktivister, politikere, journalister, akademikere, byråkrater, ledere, forskere, ingeniører, helsepersonell, gründere, konsulenter, fasilitatorer, foredragsholdere, forfattere.

tilt.work er en blåøyd visjon som tar utgangspunkt at de fleste har gode intensjoner, men mange trenger hjelp til å sette intensjonene ut i livet.

Mer enn noen gang er det nødvendig å ta verne om blåøydheten, og aldri, aldri miste motet og troen på fremtiden.

For å få til det kan det hende flere enn meg trenger å komme ned fra elfenbenstårnet.

God tirsdag.

Paal Leveraas
Opprinnelsen til begrepet «elfenbenstårnet»

Begrepet  «elfenbenstårnet» stammer fra middelalderens forestilling om et tårn laget av elfenben, et symbol på luksus og isolasjon. I litteraturen ble elfenbenstårnet ofte brukt som en metafor for et sted der intellektuelle og kunstnere isolerte seg fra resten av verden for å fokusere på sitt arbeid.

Begrepet har blitt brukt i forskjellige kontekster gjennom historien, men det har alltid hatt en negativ konnotasjon. Det brukes ofte til å kritisere folk som er:

  • Uavhengige: De bryr seg ikke om eller er ikke klar over problemene og bekymringene til vanlige mennesker.
  • Arrogante: De mener at de er bedre enn andre og at deres ideer er viktigere.
  • Utenfor kontakt: De forstår ikke hvordan den virkelige verden fungerer.

I dag brukes begrepet  «elfenbenstårnet» ofte til å kritisere akademikere og forskere som isolerer seg i sine laboratorier og klasserom og ikke engasjerer seg i den offentlige debatten. Det brukes også til å kritisere kunstnere og intellektuelle som lager verk som er vanskelig å forstå eller som ikke er relevante for vanlige mennesker.

(Kilde: gemini.google.com)

Nøkkelen til vekst: Lærdommer fra åkeren til kontoret

Nøkkelen til vekst: Lærdommer fra åkeren til kontoret

Med røtter dypt plantet i en familie som har drevet med gårdsbruk i fire generasjoner, har jeg lært flere verdifulle leksjoner som ikke bare gjelder åkeren, men også den måten vi leder og vokser sammen med andre på. Nøkkelen til vekst er ikke så ulik for den som dyrker jorden og for den som dyrker mennesket.

read more…
Læringspunkter fra Datatilsynets tilsyn med kommuner

Læringspunkter fra Datatilsynets tilsyn med kommuner

I 2023 gjennomførte Datatilsynet et omfattende landsomfattende tilsyn med norske kommuner og fylkeskommuners etterlevelse av personvernforordningen (GDPR). Tilsynet ble gjort i to faser – først en bred brevkontroll mot 98 kommuner, og deretter stedlige tilsyn med 10 utvalgte kommuner.

read more…
Disse artiklene ble mest lest i 2023

Disse artiklene ble mest lest i 2023

At IT generelt, programmeringsspråk, skytjenester og lagring av enorme mengder data også er en del av klimautfordringene kom på alvor på agendaen i 2023. Det viser seg også hos tilt.work, hvor et intervju med Catherine Janson, IT-direktør i politiets IT-enhet, topper listen over de mest leste artiklene.

Vi har gått gjennom statistikken for 2023 og gir deg oversikten over de ti mest leste sakene. Artiklene handler om bærekraftig IT, selvledelse, gode råd til en jobbsøker, alderisme, bærekraftig ledelse, selvfølelse og skolesystem og kunsten å reise seg når ting går på tverke.

Her er topplisten:

1. Om bærekraftig IT

Skal vi nå bærekraftmålene, må teknologien spille en stor rolle. Samtidig setter teknologien like store klimaavtrykk som flybransjen. Fortsetter den voldsomme veksten i bruke av skytjenester, vil IT-bransjen utgjøre 20 prosent av verdens energiforbruk innen 2030. Dette er bakteppet for intervjuet med Catherine Janson, som setter søkelys på grønn koding og bærekraftig IT-systemer. – Vi må tenke stort og starte smått. Det er en parole for digitaliseringen. Vi skal ikke være for ambisiøse ut fra hoppkanten, for da er det vanskelig å få ting til, sier Janson.

Paal Leveraas sto for intervjuet, sammenfattingen er ført i pennen av Jeanette Høie.

2. Tre tips til selvmotivering

Endring innebærer gjerne at vi må gi slipp på noe kjent og kjært, og leve videre med noe ukjent og utrygt, skriver Catherine Lemaréchal i denne artikkelen, som ble den nest mest leste i 2023.

3. Gode råd til en jobbsøker

Mai-Britt Andersen er en erfaren rekrutterer som har lest mengder av søknader. Her er hennes råd til den som skriver søknader.

4. Easee og stordriftsulempene

I januar, noen måneder før det smalt for el-bil-ladebedriften Easee, skrev Roald Nomme denne artikkelen hvor han peker på overgangen fra gründervirksomhet til stordrift. Nomme heier på Jonas Helmiksdøls utradisjonelle lederstil, men skriver også: «Og skulle det gå galt spår jeg det kan skyldes at grådigheten kjører over kjærligheten, og at ledelsen, i likhet med de fleste, ikke forstår eller anerkjenner stordriftsulempene

5. ChatGPT om bærekraftig ledelse

Tilt.work startet sin serie om bærekraftig ledelse med et intervju med ChatGPT. Paal Leveraas brukte den kunstige intelligensen til å definere, avgrense og spå fremtiden for bærekraftig ledelse.

6. Influensere og alderisme

Hva er verdifull kompetanse og kunnskap?

«Det kan synes som om samfunnet gradvis har skiftet fokus fra verdsettelsen av kompetanse og livserfaring til å omfavne overfladiske kvaliteter», skriver Glenn Hole i denne artikkelen.

7. Kraften i positive anerkjennelser

Hans Jacob Christensen tyr til en fortryllende historie når han illustrerer hva det betyr å gi anerkjennelse til et menneske. «Mennesker som føler seg sett, verdsatt, nyttige og satt pris på får styrke, som igjen kan utrette store ting,» skriver han.

8. Virginia Satir som egenterapi

Noen ganger møter vi motgang som er nesten for stor til å bære. Vi settes i kontakt med følelser vi ikke visste vi hadde, og kanskje også følelser vi ikke er spesielt stolt over. Det siste vi trenger i denne fasen er velmente råd om at vi ikke bør føle som vi gjør, skriver Hedvig Rognerud i denne artikkelen. Hun peker videre til Virginia Satirs 5 friheter.

9. Bærekraftig HR

Heidi Nygjelten, Nordic Chief People and Culture Officer i Amesto TechHouses, innledet et Litt klokere-møte om Bærekraftig HR i mars. – Vi tror at flinke folk ønsker frihet til å ta ansvar, og at jobb er først og fremst noe du gjør, ikke et sted du er, var noe av det hun trakk frem. Oppsummeringen av Nygjeltens budskap er i ført i pennen av Jeanette Høie.

10. Selvfølelse og skolesystemet

Annar Aasheim vil intet mindre enn å revolusjonere undervisningssystemet. I denne artikkelen understreker han hvor viktig skolens rolle kan være i å la elever bygge selvfølelse, og slik bli robuste mennesker.

Lederskap bor i oss alle

Lederskap bor i oss alle

For en tid tilbake leste jeg et innlegg av teologen Helge Hognestad. Han skriver blant annet: «Vi må åpne oss for det som er i ferd med å komme.» Mye har skjedd i verden etter jeg leste dette. Vi har gjennomgått en koronaepidemi, Ukraina er under angrep, mennesker slaktes på Gazastripen. Det er mye å være fortvilet over. 

Lederskap er mer enn å være sjef

Hognestads artikkel ga meg en døråpner til å reflektere rundt lederskap i vår tid og behovet for å se dette i et fornyet og bredere perspektiv enn det vi vanligvis gjør. Lederskap er så mye mer enn å være sjef. 

Jeg ønsker at vi reflekterer mer over hva lederskap egentlig er og hvilket mangfold av lederskap vi ønsker. På lengre sikt trenger vi ledere som kan lede oss til en annen type bevissthet om lederskap og hva det innebærer.  Vi trenger i enda større grad å se på lederskap på en annen og mindre endimensjonal måte. 

Lederskap bor i oss alle. Har vi denne erkjennelsen, kan vi forløse et lederpotenisale i så mange flere. Vi bør søke større bevissthet omkring egne og andres styrker, samtidig kan vi ikke alle løpe først. Men vi har mye å tjene på å bevege oss i felles og klok retning. Verden, samfunnet, arbeidsplasser og organisasjoner trenger å «se» den flerdimensjonale siden av lederskapet. Det er dette vi trenger å ha fokus på nå. Vi må løfte i flokk. Vi må reise oss i flokk.

I den flokken er vi ulike, men likevel avhengig av hverandre. Det er ikke nødvendigvis politikere, med formell vedtaksmakt, eller fagfolk som fatter faglig funderte beslutninger, som vil sette de aller største sporene etter seg. Det vil vi oppdage når vi snur oss og ser tilbake. 

Ulike typer ledere

Vi kan ikke alle løpe først, men vi trenger også noen som gjør det. Dette er ofte de menneskene vi forbinder med tradisjonelle ledere, mennesker som tar grep og går foran.

Samtidig finnes det andre styrker som fortjener større fokus som lederskap. Det kan være den lederen som evner å samarbeide. Den som drar flere sammen med seg, den som ser hvordan det å utfylle hverandre er en styrke. Det kan være den lederen som evner å gå i takt, og som ser at egen svakhet kan være en annens styrke.

Vi har også ledere som best leder gjennom andre, ledere som står bak og skyver, løfter, motiverer og inspirerer. Disse mindre synlige, men lar andre skinne. Vi har ledere som evner å se hva som er nødvendig her og nå. Ledere som har det store overblikket, som klarer å se hva som kommer, samler tråder og som kommuniserer det. Og til slutt har vi ledere, som gjennom verdistandpunkt og indre driv, leder gjennom kraft og tro, visjoner og drømmer. Som evner å se målet helt klart, uten å la seg stoppe av alle hindringene underveis. 

Lederskap er å være bevisst den styrken du har, der du er!

Lederskap er å være bevisst den styrken du har, der du er! Vi trenger den gjensidige respekten det ligger i å erkjenne og anerkjenne at lederskap bor i oss alle, men at lederskapet kan gi forskjellige uttrykk. Selv om du ikke er formell sjef, kan du være sterk på en type lederskap. Til syvende og sist er vi alle avhengig av hverandre.

Personvern og IT-sikkerhet: Slik oppfyller du GDPR-kravene

Personvern og IT-sikkerhet: Slik oppfyller du GDPR-kravene

Personopplysninger er i dag å finne i de aller fleste IT-systemer, rutiner og arbeidsprosesser i en moderne virksomhet. Dette kan være alt fra navn og kontaktinformasjon på ansatte og kunder, til IP-adresser, kjøpemønster eller helsedata.

Artikkelserie:

GDPR i praksis

I en serie artikler vil Erik Horn gi deg praktisk veiledning i GDPR.

Derfor skal oppstartsselskaper inkludere personvern helt fra start

• Personvern og IT-sikkerhet i praksis (denne artikkelen)

Slik bygger du en god personvernkultur

Læringspunkter fra Datatilsynets tilsyn

Den nye personvernforordningen (GDPR) fra EU setter en helt ny standard for hvordan all behandling av slike personopplysninger skal foregå. Regelverket stiller en rekke konkrete krav til informasjon, kartlegging, analyser, dokumentasjon, sikkerhet og oppfølging.

Selv om GDPR ved første øyekast kan virke omfattende og byråkratisk, handler mye om å bruke sunn fornuft og etablere gode rutiner. Grunntanken er å sikre enkeltindividets rett til personvern og kontroll over egne data.

Etterlevelse må skje på alle nivåer

Det overordnede ansvaret ligger alltid hos ledelsen. Men ettersom nesten alle prosesser i en virksomhet typisk involverer personopplysninger, må etterlevelse skje på alle nivåer i organisasjonen. Derfor er det viktig at alle ansatte forstår prinsippene i GDPR og følger retningslinjene.

Et naturlig første skritt for personvern i praksis er at virksomheten foretar en detaljert kartlegging av all behandling av personopplysninger. Hvilke typer data samles inn, fra hvem, til hvilket formål og hvordan lagres og brukes de? Hvordan deles data internt eller med tredjeparter? All bruk av databehandlere og underleverandører må dokumenteres gjennom databehandleravtaler.

Videre må personvernarbeidet ses i sammenheng med IT-sikkerhet og beredskapsplaner. Virksomheter som ikke sikrer personopplysninger, risikerer at disse går tapt eller misbrukes. Det vil være et klart brudd på GDPR. Derfor må dataenes flyt og lagringspunkter kartlegges sammen med tilganger, sårbarheter og generell IT-sikkerhet. Beredskapsplaner for håndtering av avvik er også en viktig del av helheten.

Nøkkelpunkter for god etterlevelse

Når virksomheten har utført kartleggingen, må man analysere risiko og sårbarheter på en strukturert måte. Ut fra dette kan virksomheten identifisere hvilke tiltak som må iverksettes for å redusere risiko til et akseptabelt nivå. Dette kan inkludere endring av rutiner, opplæring, innføring av ny teknologi eller andre sikkerhetstiltak.

Nøkkelen til suksess er å se etterlevelse som en kontinuerlig prosess. Avvik og sikkerhetshull vil uunngåelig oppstå. Disse må meldes og følges opp gjennom gode rutiner. Målet er løpende forbedring basert på erfaring. Opplæring av ansatte i personvern og IT-sikkerhet er også helt avgjørende.

Selv om GDPR tidvis kan oppleves krevende å etterleve, handler det i bunn og grunn om å sette personvernet i system. Dette skjer gjennom mange små, men viktige skritt som til sammen løfter rutinene og bevisstheten rundt et så viktig tema. Det krever utholdenhet og fokus fra ledelsen, men resultatet er økt trygghet for ansatte, kunder og virksomhetens omdømme.

Lykke til med arbeidet!

Er du medlem av tilt.work kan du laste ned dokumentet «Inspirasjon til kartlegging av arbeidsprosesser» under. Dokumentet er en verdifull veiledning som hjelper deg med å identifisere de typiske prosesser som behandler persondata, forslag til lovlig grunnlag samt sletterutiner. (Dokumentet er ikke synlig for ikke-medlemmer) Bli medlem her.

Derfor skal oppstartsselskaper inkludere personvern helt fra start

Derfor skal oppstartsselskaper inkludere personvern helt fra start

Her skal du få to argumenter som bør overbevise deg om det er rasjonelt å tenke personvern fra start:

  1. Har du prøvd å putte majonesen tilbake i tuben? Du trenger neppe å utføre eksperimentet for å vite at det er langt mer hensiktsmessig å gjøre det riktig fra start.
  2. Penger brukt på feil fokus kan ikke brukes om igjen.
read more…
Et komplett år

Et komplett år

Et år går mot slutten. Dette er en god tid for å gjøre året som er gått komplett, og begynne å skape det neste.

Å gjøre et år «komplett», betyr ikke at ting er avsluttet eller at tilværelsen er bare rosenrød. Det handler snarere om å gjøre ting hele, eller fullt ut la tingene være som de er, eller som de ikke er.

Når noe ikke er komplett, suger det energi fra deg, og lar deg ikke være i fred. Når du kompletterer noe eller med noen, tar du energien tilbake. Du aksepterer tapene, feirer seierne, eller bestemmer deg ganske enkelt for å komplettere det som ikke er komplett. Ofte vil et rituale hjelpe, som å brenne regnearket eller åpne en champagneflaske. Du må bare bruke fantasien.

Litt klokere om coachende ledelse: Den coachende lederstilen er den mest anvendelige, påstås det ​fra mange hold. Hva er ​coachende ledelse? Hvordan bli en coachende leder? ​La oss snakke om det. Bli med på vårt Litt klokere nettmøte på Zoom tirsdag 12. desember kl 15-16.

Her er noen av de tingene du kan gjøre, på egenhånd, eller med en venn eller partner, eller din coach.

Oppgave 1: List dine seire

Sett deg ned med med skrivesaker i nærheten, og reflektér litt over året som snart er over.

Kanskje tok du merket i Birken, men har ikke fått hengt opp diplomet. Kanskje fikk du den jobben du higet etter, men føler at du ikke helt har tatt seieren inn over deg enda. Tenk over hva du trenger å gjøre for å bli hel og komplett på hvert enkelt område, og bestem deg for når du senest skal ha gjort det. Det trenger ikke å være mye, det kan være at alt du trenger er et bittelite rituale for å feire og anerkjenne deg selv.

Oppgaven er derfor å lage en liste over seire, suksesser, triumfer og gjennombrudd. Markér hver enkelt av dem som enten komplett eller ukomplett. Sett så en dato for når du ønsker å gjøre hvert enkelt element i listen komplett.

Oppgave 2: List dine tap

Når du har tatt seirene inn over deg, gjør du det samme med dine tap, skuffelser, nederlag og feilskjær. Mens du skriver dem ned, gjør samtidig en innsats for å akseptere dem.

Akseptér at ting ble slik de ble. I dette ligger ikke at det er fint at det ble slik, bare en aksept av slik skjedde det, slik ble det, og slik fikk det deg til å føle.

Igjen kan det være ting på listen som du føler ikke er komplett. Markér disse tingene, og sett en dato for når det skal kompletteres. Det kan hende at du ikke nå har den minste idé om hvordan det skal gjøres helt, men ikke bry deg om det. Bare sett en dato.

Oppgave 3: Trekk lærdom

Den neste oppgaven er å se hva slags lekser du har lært i løpet av det forgangne året. Lag deg en liste over 6-8 lærdommer som du ønsker å ta med deg videre inn i det neste året. Når du vurderer hvilke lærdommer du skal inkludere, tenk gjennom at du bevisst skal bruke dem i året som kommer.

Eksempler på slike lærdommer kan være at du har lært at omstendigheter du ikke har kontroll over skal få styre livet ditt, eller at du skal lytte til din egen intuisjon, eller at du skal våge å be om hjelp og støtte når du trenger det, eller kanskje at joggingen har gjort deg godt, og du skal jogge enda mer neste år.

Oppgave 4: Sett deg nye mål

Nå er det på tide å mane fram det beste av året som er på vei. Du har sikkert hørt at idrettsutøvere ofte forestiller seg selv stående på seierspallen i OL med en gullmedalje om halsen som en del av treningen og forberedelsene sine. Visualisering av positive og gode resultater er ikke nok alene, men det er likevel et ekstremt viktig hjelpemiddel.

Derfor skal du forestille deg hvordan neste år skal bli. Tenk deg fram til desember neste år. Lat som om du allerede er der. Skriv nå en ny liste, denne gangen med en oversikt over alle seire, suksesser, triumfer og gjennombrudd du har oppnådd i dette året, et år inn i framtiden.

Vær så konkret som mulig, og skriv dem som om de allerede er skjedd, eller at det er noe som skjer hele tiden, som for eksempel «jeg er blitt toppleder i bedriften min», eller «jeg har vunnet hjertet til K., og nå er vi kjærester», eller «jeg tar merket i Birken». Se på alle områder av livet ditt, både arbeid, skole, privatliv, personlig vekst, helse, økonomi og annet, og gjør listen så lang eller kort som du føler for.

Oppgave 5: Hva skal det neste året hete?

Når listen ligger der foran deg, er det på tide å gi det nye året et navn. Ikke bry deg om hva FN har sagt er årets navn, men velg ditt eget. Det kan være «Frihetsåret», eller «Kjærlighetsåret», eller «Fedrenes år» eller «Barnas år» eller «Ego-året» eller «Reiseåret». Eller noe helt annet. Navnet skjemmer ingen, ei heller dine år, det viktigste er at du gir det et navn som har en positiv klang og et godt innhold for nettopp deg.

Dette er din prosess, og det er din jobb å gjøre den til din egen. Prøv, og se om ikke det kan være en ny, spennende og fruktbar måte å få det nye året til å bli det beste året i ditt liv.

Så langt.

Året _____ skal ha navnet: __________

Oppgave 6: Skaff deg et verktøy som holder deg på kurs

Siste oppgave er å finne måter å holde deg selv ansvarlig for dine mål på. Det skal ikke være et tvangspreget verktøy, men et forhold som er positivt og oppløftende. En enkelt ting er å lage deg en “Walk-the-talk” liste som du jevnlig følger opp gjennom året. Bruk de verktøyene som passer deg best, og som du vet vil fungere for deg gjennom året.

God tirsdag.

Og god jul. Tirsdag morgen tar pause til januar.

PS. Litt klokere og kurs i coachende ledelse

Dette temaet er relevant for deg som er opptatt av ledelse, selvledelse og coachende ledelse. Tirsdag 12. desember kl 15 snakker vi om coachende ledelse i vårt Zoom-møte «Litt klokere». Det er åpent for alle.

Til våren setter vi opp et kurs i coachende ledelse. Hvis du vil vite mer om dette etter som planene skrider fram, sett deg på listen under.



Denne artikkelen ble første gang publisert 19. desember 2006 og er blitt revidert og republisert flere ganger etter dette, sist i desember 2010.

Derfor er strategisk ledelse viktig for bærekraftsmål

Derfor er strategisk ledelse viktig for bærekraftsmål

Strategisk ledelse er avgjørende for å navigere i et stadig skiftende forretningslandskap. Denne kunsten innebærer formulering, implementering og evaluering av tverrfunksjonelle beslutninger som vil hjelpe en organisasjon i å oppnå sine langsiktige mål. En dyptgående forståelse av både det interne og eksterne forretningsmiljøet, samt evnen til å forutse og tilpasse seg endringer, er sentralt. 

Utfordringer med manglende strategisk kompetanse 

Mangelen på strategisk forståelse kan manifestere seg på flere måter: 

  1. Kortsiktig fokus: Virksomheter uten klar strategisk retning kan ofte bli fanget i en kortsiktig tankegang.
  2. Svak markedsposisjonering: En manglende evne til å tilpasse seg markedstrender kan svekke konkurranseevnen.
  3. Ineffektiv ressursbruk: Uten strategiske retningslinjer kan ressurser bli misbrukt eller underutnyttet.
  4. Motstand mot endring: En kultur motstandsdyktig mot endring er skadelig i et skiftende forretningsmiljø.

Strategisk samarbeid som katalysator for vekst 

Strategisk samarbeid kan fremme vekst og innovasjon gjennom: 

  1. Kunnskaps- og kompetansedeling: Deling av ferdigheter beriker begge parters strategiske kapasiteter.
  2. Skala- og omfangsfordeler: Samarbeid kan føre til effektivitet og kostnadsbesparelser.
  3. Utforsking av nye markeder: Partnerskap kan åpne dører til nye markeder og kundebaser.
  4. Innovasjon gjennom diverse perspektiver: Samarbeid med bedrifter fra ulike sektorer kan føre til unike innovasjoner.

Ulike komponenter i strategisk ledelse

Strategisk ledelse er en disiplin med flere komponenter. Ved å ha et helhetlig perspektiv på strategisk ledelse kan bedrifter sikre en bærekraftig vekst i fremtiden. 

Her er noen av elementene i strategisk ledelse:

Teknologi og digitalisering i strategisk ledelse: Bruk av Big Data, AI og maskinlæring kan gi verdifull innsikt i markeds- og kundetrender, samt assistere i risikostyring. Teknologi er en nøkkel til effektiv beslutningstaking og kan også spille en stor rolle i å forme bedriftens strategiske retning. 

Menneskelige ressurser som en strategisk komponent: En strategisk tilnærming til HR betyr å se ansatte som en nøkkelressurs, og investere i deres utvikling. Dette inkluderer opplæring, karriereveiledning og motivasjonsstrategier, som alle er avgjørende for å tiltrekke, beholde og utvikle talent. 

Globalisering og etisk ledelse: Forståelsen av kulturelle forskjeller, globale økonomiske forhold og internasjonale lovverk er viktig i en globalisert verden. Samtidig blir etisk ledelse og bærekraft sentrale elementer i moderne strategisk ledelse. Integrering av sosialt ansvar og miljømessig bærekraft kan styrke et selskaps merke og omdømme. 

Måling og evaluering av strategier: Etablere klare suksesskriterier og jevnlig evaluere strategiens effektivitet er viktig. Dette kan omfatte finansielle målinger og andre nøkkelindikatorer som kundetilfredshet og innovasjonsevne. 

Utfordring og mulighet

Mangelen på strategisk kompetanse i næringslivet er en utfordring, men også en mulighet for bedrifter å utvikle og styrke sin posisjon i markedet. Gjennom en helhetlig tilnærming som omfatter digital transformasjon, menneskelige ressurser, global innsikt, etiske prinsipper og kontinuerlig evaluering, kan bedrifter sikre sin bærekraft og vekst i fremtiden.

Strategisk samarbeid fungerer som en katalysator i denne prosessen, og åpner opp for nye muligheter og innovative løsninger. 

Jobb, karriére eller kall?

Jobb, karriére eller kall?

Det fortelles en historie om da president John F. Kennedy besøkte NASA. Det var mens USA sprengjobbet for å vinne kappløpet om å være den første nasjon til å sette et menneske på månen.

Kennedy ble vist de imponerende fasilitetene. I en korridor stod en kar, hvis jobb åpenbart var å vaske gulvene, stramt oppstilt, vaskekosten nesten som et gevær mellom føttene hans.

Kennedy ble nysgjerrig og stoppet. “God morgen, mister”, sa han. “Hva er det du driver med her på NASA?”

“Sir!”, nesten ropte mannen. “Sir! Jeg jobber med å sette den første mann på månen!”

Fra jobb til kall

Den søte, kanskje oppdiktede historien, illustrerer forskjellen mellom en jobb, en karriére og et kall.

En jobb er noe du utholder fordi du må. Test deg selv: Hvis du hadde penger nok til å leve et godt liv uavhengig av lønna di, ville du fortsatt i jobben? Hvis svaret er nei, har du en jobb.

En karriére trives du muligens med, men din mentale tilstand er som en som har kommet til en mellomstasjon. Du vet at for å komme videre må du prestere og kanskje utkonkurrere noen av dine kolleger.

Et kall er det du gjør fordi du elsker å gjøre det, og at noen faktisk betaler deg for å gjøre det er en bonus. Et kall er en del av din identitet, og du vil antagelig fortsette å gjøre det om ingen lenger betaler deg, eller den dagen du pensjonerer deg.

Kallet til å jobbe

Å ha en jobb som føles som et kall høres sannsynligvis mest fristende ut for de fleste av oss. Det er mange gode grunner til å tro at medarbeidere som opplever jobben som et kall også er de mest attraktive medarbeiderne, for trivsel, for lønnsomhet for kontinuitet.

Samtidig er det lett å tenke at de som har en slik jobb er høyt utdannede eller spesielt priviligerte mennesker. En nobelprisvinner føler seg sannsynligvis kallet. En kunstner likeså.

Men hva med vaskehjelpen på NASA? Hva med selgeren som ikke ser seg som en selger, men en som bidrar til å gjøre livet litt lettere for kundene sine? Hva er forskjellen på kassebetjenten som fikk deg til å gå smilende ut av Rema 1000 og han som fikk deg til å fråde av irritasjon?

Mye handler om personlighet, hvordan den enkelte går inn i sin egen hverdag, sitt eget liv. Hvis du velger å se de aktivitetene du får betalt for som meningsløse så blir de meningsløse. Og omvendt.

Men selv om du er en sånn person som ser en høyere mening i det du gjør, enten du vasker gulv eller forsker på alzheimer, er din mulighet til å leve ut ditt kall avhengig av den konteksten du befinner deg i.

Gnistrende energi kan ikke gnistre uten oksygen. Gnistrende personer kan ikke gnistre uten at miljøet de befinner seg i tillater det.

Hva skjedde?

Det handler — igjen — om ledelse.

Har du opplevd ledelse som begrenser eller muliggjør at jobben blir mer enn en jobb og en karriére, men også et kall?

Hva skjedde?

Send meg en mail og del.

God tirsdag.

Tirsdag morgen

Det aller viktigste i nettverksbygging

Uoffisiell norgesmester i nettverksbygging, Edgar Valdmanis, forteller i ukens Tirsdag morgen om hemmeligheten bak nettverk. Les mer
Fristund og takknemlighet

Fristund og takknemlighet

«Denne uken tar vi en pause fra å bli litt klokere hver tirsdag», sier far til seg selv. «Denne uken er vi kloke nok.» Les mer

Har sjelen din fått vitaminpiller i dag?

Tirsdag pleide å være en litt kjedelig dag. Hvis uka var en Gartner hypekurve, ville tirsdag morgen vært like etter at hypen begynner å stupe mot "slukten av desillusjon". Inntil nå. Ved å abonnere på Tirsdag Morgen kan du strekke Les mer

Abonnement på coaching

Abonnement på coaching

Gi dine medarbeidere tilgang på personlig og profesjonell vekst og utvikling med et fleksibelt abonnement på en eller flere av våre profesjonelle coacher.

Les mer

Våre nyhetsbrev

Her kan du melde deg på et eller flere av våre ukebrev.

"*" obligatorisk felt

Navn*

PrivacyTech

Som medlem i PrivacyTech-nettverket blir du en del av en gruppe likesinnede profesjonelle som er opptatt av GDPR, personvern, compliance og tech. Med Eva Jarbekk – en av Norges fremste eksperter på området – som fasilitator.

Partners in tilt

Vårt nettverk av “kloke hoder” (team tilt) med en bærekraftsagenda.

Del dine tanker om denne artikkelen

0 Comments

På forsiden nå

Salgsbroen, alle pilarer er like viktige.

Kan du skape tillit? Da er du en selger!

|
Du skal si til deg selv: «Jeg er en selger», og du skal si det med stolthet.
Adferdslæring: Tanker skaper følelser - følelser skaper adferd - adferd skaper tanker

De ubevisste holdningene til eldre arbeidstakere

|
Det foreligger en «allmenn sannhet» om de unge «talentene»: De er fremoverlente, innovative og proaktive arbeidstakere.
Soloprenørene: Hvordan skaffe nye kunder?

Soloprenørene: Hvordan skaffe nye kunder?

|
Overraskende kundeinnsikt fra erfarne soloprenører.
Hvordan 84% av norske virksomheter skaffer nye kunder

Hvordan 84% av norske virksomheter skaffer nye kunder

|
Ukens Tirsdag morgen er skrevet spesielt til en stor gruppe mennesker jeg beundrer: soloprenørene. Dere andre: Les på eget ansvar.
Diagnose: Kan brukes til alt

Diagnose: Kan brukes til alt

|
Å kunne mer om det meste enn de fleste høres bra ut. Men i et ekspertdrevet arbeidsliv kan "multitalent" klinge mer som en diagnose.
Skal vi gni det inn, eller ikke?

Skal vi gni det inn, eller ikke?

|
De gangene jeg som barn kom over en liten rift på en tapetvegg eller i et klesplagg, var det utrolig fristende å pirke litt, og se om jeg kunne få løs en bit til, eller lage hullet litt større. Jeg hadde ikke noe ønske om å ødelegge, jeg ville bare se hva som skjedde.  
Født som leder?

Født som leder?

|
Blir man født som leder? Eller kan det læres? Jeg trodde ikke dette var et tema lenger. Jeg tok feil.
Bare 200 meter til: Små steg gjør store fremskritt

Bare 200 meter til: Små steg gjør store fremskritt

|
Hva er likheten mellom en polfarer, deg og dine ansatte?
Olivias verden

Olivias verden

|
KI er et fantastisk verktøy, og det blir mer fantastisk for hvert minutt. Fint for oss, stort sett. Men hvordan vil Olivia (8 måneder) sitt voksne liv se ut?

Pin It on Pinterest

Share This

Del dette

Delt glede er dobbelt glede. Del dette med ditt nettverk.