Julen 2017
Ukebrevet Tirsdag morgen tar noen ukers kunstpause. Takk for at du følger bloggen og abonnerer på ukebrevet. Min lille gave til deg er et utvalg ukebrev jeg er litt ekstra godt fornøyd med. Håper du blir det også. Under er de beste ukebrevene fra 2017. Også tilgjengelig som PDF.
God jul, og gode nye tirsdager i 2018!
IT-jus nr. 12/23
Dette nyhetsbrevet er skrevet med assistanse av advokat Jenny Nondal i Schjødt.
Riktig god desember! Det tar aldri slutt på personvernnyheter og nå har jeg måttet sortere hardt i hva jeg velger ut. Under er et knippe nyheter jeg synes det er verdt å bruke tid på.
Mange har kanskje lagt merke til at en del mediehus nå endrer sin cookie-praksis – de blir mer detaljerte. Men cookiereglene i Norge har jo ikke endret seg, så hvorfor skjer dette? Det har sin bakgrunn i at mange Consent Management Platforms (CMP’er) for bruk av cookies er internasjonale, og vil ha det samme oppsettet i mange land. Mange av disse er også med i en bransjeforening for annonsører som heter IAB. IAB har en egen code of conduct som heter TCF (Transparency and Consent Framework) og denne er nylig oppdatert til TCF 2.2.
Årsaken til endringen er en lang historie som vi ikke tar her, men et datatilsyn mente at samtykkene de brukte tidligere ikke var gode nok, så nå har TCF 2.2 blitt veldig tydelig på hva som er OK og ikke. TCF 2.2 trådte i kraft 20 november i år og det har gitt ganske store ringvirkninger, særlig ved at det nå legges ganske klare samtykker til grunn for bruk av cookies. TCF 2.2 har dessuten detaljerte beskrivelser av hva man kan bruke samtykker til og hva man kan bruke berettiget interesse til. Dette er klargjørende, fordi de har spesifisert svært mange ulike behandlinger. Superviktig for alle som driver med annonsering.
Ønsker dere en fredfull jul og håper dere får noen rolige dager – uten avvik.
Hilsen Eva,
i samarbeid med Jenny Nondal
COOKIES
EDPB med nye retningslinjer for cookies o.l.
15. november lanserte EDPB nye retningslinjer knyttet til Artikkel 5(3) i EUs ePrivacy Directive. Bestemmelsen handler om lagring på brukerens utstyr eller tilgang til informasjon på utstyret. Cookies, altså. Men det gjelder også pixler, beacons og annen teknologi som henter og sender informasjon fra brukerens enhet. Som dere vet kreves samtykke for å gjøre dette. Noen har tidligere sagt at pixler er noe annet enn cookies og at ePrivacy-direktivet ikke gjelder, men det blir ikke så lett å hevde fremover.
Poenget for EDPB er å se om nye sporingsteknologier også rammes av direktivet. Spoiler alarm: ja, det gjør de. Ofte.
Retningslinjene gir en grundig analyse av de fire mest sentrale elementene i anvendelsen av artikkel 5(3), (i) ‘information’, (ii) ‘terminal equipment of a subscriber or user’, (iii) ‘electronic communications network’, og (iv) ‘gaining of access’ og ‘stored information’ / ‘storage’, samt eksempler på når EDPB mener artikkel 5(3) kommer til anvendelse.
Under har vi oppsummert hovedpunktene. Flere av eksemplene er etablerte tolkninger av artikkel 5(3). Derimot er anvendelsen av artikkel 5(3) på innsamling av identifikatorer fra sporede URL-er, som distribuert over et offentlig kommunikasjonsnettverk, en bredere tolkning av artikkel 5(3) enn det som tidligere har vært godt etablert.
URL- og pikselsporing
- Innsamling av identifikatorer fra sporing av piksler og sporede URL-er anses som «gaining of access» slik at artikkel 5(3) kommer til anvendelse.
Lokal behandling
- Teknologier som innebærer lokal behandling instruert av programvare distribuert på brukernes terminal, slik at behandlet informasjon blir tilgjengelig for utvalgte aktører gjennom klientens API og senders tilbake over nettverket, utgjør «gaining of access» slik at artikkel 5(3) kommer til anvendelse.
- Det faktum at informasjonen produseres lokalt er uten betydning for anvendelse av artikkel 5(3).
Sporing utelukkende basert på IP
- Artikkel 5(3) gjelder også for reklameløsninger som kun samler inn IP-adressen for brukersporing over domener, selv om instruksjonen er gitt av en annen enhet enn den som mottar den, så lenge informasjonen stammer fra brukerens terminalutstyr.
Kortvarig («intermittent») lagring og IoT-rapportering
- Artikkel 5(3) gjelder for IoT-enheter tilknyttet et offentlig kommunikasjonsnettverk hvis enheten er instruert til å sende dynamisk lagrede data til en fjernserver, da en slik instruksjon utgjør «gaining of access», selv om informasjonen streames eller lagres bare for kortvarig rapportering.
- Hvis en IoT-enhet er tilkoblet via en reléenhet, kan overføring til reléenheten falle utenfor artikkel 5(3) ePD, men artikkel 5(3) gjelder hvis informasjonen som mottas av reléenheten er instruert til å sende til en fjernserver.
Unik identifikator
- Artikkel 5(3) gjelder for innsamling av unike identifikatorer på nettsteder eller applikasjoner som er avledet fra vedvarende personopplysninger og hashet på brukerens enhet, da det innebærer å instruere nettleseren til å sende informasjon og utgjør «gaining of access».
Du finner guidelinen her:
KUNSTIG INTELLIGENS
AI Act nærmer seg – kanskje
Det pågår betydelig aktivitet knyttet til den kommende AI Act i EU. Forslaget er som kjent i siste fase av lovgivningsprosessen, men forhandlingene står akkurat nå i stampe grunnet uenigheter rundt reguleringen av såkalte «foundation models» innen kunstig intelligens. ChatGPT er en typisk foundation model som bygger på en stor mengde data.
Flere EU-land, inkludert Frankrike, Tyskland og Italia, motsetter seg regulering av disse modellene i AI Act og foreslår heller retningslinjer for adferd uten sanksjonsordninger. Dette skaper spenninger, da andre ønsker mer bindende regulering for å sikre tryggere bruk av avansert AI.
Uenigheten knytter seg spesielt til den såkalte trappetrinnsmodellen, hvor de kraftigste AI-modellene skulle underlegges strenge regler. Motstanderne av trappetrinnsmodellen ønsker heller selvregulering. Dette har skapt en viss stagnasjon i forhandlingene.
Merk også at Frankrike, Tyskland og Italia visstnok har inngått en avtale om regulering av foundation models der selvregulering står sentralt.
Det er ikke uvanlig at slike uenigheter kommer frem mellom medlemslandene og jeg tror at AI Act kommer til å bli vedtatt, men kanskje med noen endringer. Kanskje legger de mer av regelverket ut i vedlegg der det er lettere å gjøre endringer hvis det blir behov for det fremover enn i en forordningstekst.
Les mer om dette i disse lenkene.
Italia har fokus på trening av AI på åpne data
Italienske myndigheter har satt i gang en undersøkelse for å se om nettsider tar nok grep for å hindre at AI-plattformer samler inn store mengder personopplysninger gjennom dataskraping. Det italienske tilsynet har et spesielt fokus på AI. Avhengig av hva de finner, sier tilsynet at det kan komme til å fatte haste-tiltak. Hastetiltak begynner å bli vanlig i personvern-verdenen. Men det blir spennende å se om de finner forhold de mener er kritikkverdige.
Saken er omtalt her:
GRUPPESØKSMÅL
Google og Amazon i hardt vær i Nederland
To forbrukerorganisasjoner i Nederland, Consumentenbond og Privacy Protection Foundation, har gått til gruppesøksmål mot Google for brudd på personvernet. De hevder at Google utfører konstant overvåkning og deling av personlige data gjennom nettannonsering. 82 000 forbrukere har sluttet seg til søksmålet.
En annen gruppe, Stichting Data Bescherming Nederland (SDBN), har saksøkt Amazon for sporing av nettsidebesøkendes aktivitet uten deres tillatelse. Søksmålet representerer rundt fem millioner Amazon-kontoer i Nederland.
Disse søksmålene er del av en økende trend der forbrukergrupper søker erstatning for påståtte brudd på personvern fra store selskaper som Amazon og Twitter. Tidligere har Facebook blitt funnet skyldig i ulovlig bruk av personopplysninger i Nederland.
Den europeiske lovgivningen og rettsavgjørelser i Nederland har bidratt til å skape et press på selskapene for å endre praksis og respektere personvernreglene. Gruppesøksmålene har som mål å oppnå erstatning for berørte forbrukere og tvinge selskapene til å endre sine praksiser slik at personvernreglene faktisk overholdes.
Her kan nevnes at selskap som driver med såkalt «søksmålsfinansiering» aktivt vurderer om krav etter GDPR er noe man skal satse på. Det innebærer at de følger med på store selskaper hvor det blir konstatert brudd som rammer mange brukere – og deretter vurderer å finansiere et søksmål mot en andel av eventuell gevinst. Jeg har alltid syntes at dette er en uvanlig forretningsmodell, men hører at en del mener at dette faktisk er god investeringsstrategi.
Ovennevnte gruppesøksmål er omtalt her:
https://iapp.org/news/a/netherlands-consumer-advocates-file-privacy-class-action-against-google/
https://www.techradar.com/news/facebook-misused-dutch-data-court-finds
DATA ACT
Ny EU-lovgivning for datadeling
EU har nettopp vedtatt Data Act, en lov som gjør det enklere å kreve å få tilgang til data som genereres av oppkoblede produkter. Denne loven åpner for at flere kan få tilgang til og dele slik informasjon og det forventes økt verdiskaping. Produkter og tjenester skal designes slik at andre kan få enkel tilgang til informasjonen.
Loven vil endre måten bedrifter og forbrukere bruker og deler data på, og forventes å gi mulighet for mer nyskapning og forbedre tilgangen til nyttig informasjon. Data Act setter standarder for hvordan data deles og brukes. Dette er ikke nødvendigvis personopplysninger, men for eksempel informasjon om hvordan vaskemaskinen din «snakker med» leverandørens skytjeneste. Hvis man har tilgang til den informasjonen, blir det antakelig lettere å finne alternative reparatører dersom maskinen går i stykker.
Dersom du jobber i et selskap som har oppkoblede tjenester eller produkter ut mot kundene, er dette er regelverk du må sette deg inn i.
Loven sørger blant annet for:
- i) Rettferdig deling av data: Regler som sikrer at data deles på en måte som er rettferdig for alle parter. Ingen får en urettferdig fordel av informasjonsdelingen
- ii) Støtte til små og mellomstore bedrifter: Den hjelper mindre bedrifter ved å gi dem enklere tilgang til viktig data.
- iii) Forbud mot hindringer for skyleverandørbytte: Loven sier at bedrifter ikke kan sette opp unødvendige hindringer som gjør det vanskelig for andre bedrifter å bytte til en annen skyleverandør. Dette betyr at bedrifter enkelt kan endre hvem de bruker for skytjenester, om det er nødvendig
Det står mer om Data Act her:
https://iapp.org/news/a/a-view-from-brussels-eu-formally-adopts-data-act/
DIGITAL MARKETS ACT
Flere selskaper kjemper for å unngå «gatekeeper»-status
Under den nye loven Digital Markets Act (DMA), som trår i kraft våren 2024, har EU klassifisert teknologigiganter som Google, Amazon, Apple, TikTok (ByteDance), Meta og Microsoft som såkalte «gatekeepere» fordi de har så stor innflytelse over markedet. Målet med DMA er å jevne ut konkurransen for mindre bedrifter mot disse bransjegigantene. Ikke overraskende er disse selskapene ikke særlig begeistret for dette. Meta, Apple og TikTok har alle tatt rettslige skritt ved å anke sin «gatekeeper»-status til den europeiske domstolen.
Apple utfordrer sin status som «gatekeeper» for App Store, iOS-operativsystemet og Safari-nettleseren. Meta aksepterer «gatekeeper»-statusen for Facebook, Instagram og WhatsApp, men bestrider statusen til Messenger og Marketplace ved å argumentere for at disse er en del av Facebook og ikke separate tjenester. TikTok mener de ikke bør klassifiseres som «gatekeeper» fordi de er nye på markedet og sliter med å konkurrere mot etablerte selskaper som Meta og Google. De påpeker også at de ikke oppfyller lovens krav om årlig omsetning på 75 milliarder euro.
DATAMINIMERING OG LAGRING
Irsk DPC presiserer hva som er nødvendig for å sikre visshet om et individs identitet
AirBnb ble irettesatt av DPC for brudd på prinsippene om dataminimering og lagringsbegrensing. AirBnb ba en kunde om ID-dokumenter og et nytt bilde for å bekrefte identiteten ved booking. Kunden mente dette var å kreve for mye og klagde til datatilsynet i Berlin, som videresendte saken til DPC.
DPC la til grunn at det ikke var lovhjemmel for å kreve ID på denne måten ettersom det fantes andre, mindre inngripende metoder å bekrefte identiteten til brukeren på. DPC påpekte dessuten at AirBnb beholdt ID-kopiene for lenge, selv etter at identiteten var bekreftet.
DPC har ilagt AirBnb reprimander hele fem ganger det siste året for brudd på personvernbestemmelser. Til tross for at DPC anser bruddene som alvorlige, har de valgt å gi reprimande i stedet for bøter. Dette kan skyldes DPCs ønske om å prioritere oppfølging, korrigering og veiledning fremfor strengere sanksjoner, spesielt hvis AirBnb viser vilje til å forbedre seg og etterkomme kravene etter tidligere reaksjoner. AirBnb skal kanskje være glade for at det norske datatilsynet ikke har fokusert på dem.
Se mer om dette her:
SVERIGE
IMY bøtelegger selskap som sendte personopplysninger feil
Svenske IMY har gitt en bot på 500 000 kroner til et selskap som ved en feil sendte en e-post til en stor gruppe kunder. Denne e-posten inneholdt en fil med tusenvis av andre kunders økonomiske data.
IMY gransket saken og fant ut at selskapet ved et uhell la ved en Excel-fil med personopplysninger istedenfor en PDF-rapport om fondenes utvikling. Den feilsendte filen inkluderte kundenes navn, personnummer, bankinformasjon, e-postadresser, individuelle fondvalg og de siste verdiene av kundenes fondinvesteringer. Heldigvis inneholdt ikke filen informasjon som kontonumre eller påloggingsdetaljer. Den omfattet personopplysninger om over 52 000 kunder.
IMY konkluderte med at selskapet hadde behandlet personopplysninger i strid med personvernforordningen ved å ikke sikre tilstrekkelig beskyttelse av dataene. Derfor har IMY ilagt selskapet en bot på 500 000 kroner for bruddet på
personvernlovgivningen. IMY peker på at slike overtredelser ofte skyldes menneskelige feil og understreker viktigheten av å ha på plass tekniske og organisatoriske sikkerhetstiltak for å redusere risikoen for slike hendelser. Dette er jo ikke nytt, men det er nok et eksempel på at man bør oppfordre til aktsomhet.
Saken er omtalt her:
https://www.imy.se/nyheter/sanktionsavgift-mot-bolag-som-skickat-kunduppgifter-fel/
DANMARK
Datatilsynet har vært aktive – to viktige nye saker
Digitaliseringsstyrelsen behandler for mange personopplysninger i sin administrasjon av det digitale kjørekortet.
Digitaliseringsstyrelsen har fått kritikk fra Datatilsynet for å behandle for mange personopplysninger i administrasjonen av det digitale kjørekortet. De lagrer informasjon om alle borgere med gyldig dansk førerkort, totalt nær 4 millioner personer, selv om kun ca. 1,7 millioner har den digitale førerkortappen.
Datatilsynet fant (ikke overraskende) at behandlingen av personopplysninger om over 2 millioner borgere som ikke har sluttet seg til den digitale førerkortordningen, var i strid med prinsippet om dataminimering, som krever at man bare behandler nødvendige opplysninger. Datatilsynet understreker viktigheten av å unngå unødvendig opphopning av personopplysninger og fastslår at Digitaliseringsstyrelsen fremover kun kan behandle opplysninger om de som faktisk har valgt den digitale løsningen.
Selv om Digitaliseringsstyrelsen har argumentert for begrensninger i det eksisterende systemet som årsak til lagringen av alle opplysningene, mener Datatilsynet at dette ikke kan forsvare behandlingen av unødvendige opplysninger om over 2 millioner borgere.
———
Kommunens hjemmel til AI-løsning til identifikasjon av borgere med behov for vedlikeholdene trening og rehabiliterende innsats.
Datatilsynet har evaluert Københavns Kommunes hjemmel til å utvikle og drifte en AI-løsning for å identifisere borgere med behov for vedlikeholdstrening og rehabiliterende tiltak. Kommunen ønsker å bruke AI til å støtte saksbehandlere ved å identifisere borgere med slike behov basert på historiske data.
Datatilsynet mener at generell utvikling, drift og trening av en slik AI-løsning er i tråd med personvernforordningen, men understreker behovet for et supplerende nasjonalt rettslig grunnlag. Kravene til dette grunnlaget vil variere avhengig av om det knytter seg til utvikling, trening eller drift av AI-løsningen.
Behandling av personopplysninger til utvikling og trening av en AI-løsning, vil enklere være i tråd med lovens rammer sammenlignet med driften av en slik løsning, skriver de. I driftsfasen stilles det krav til tydeligere lovhjemmel på grunn av den store mengden sensitive opplysninger som AI-løsninger behandler.
Jeg har tatt med denne saken fordi det er viktig å se at utvikling, trening og drift av et system er ulike behandlinger – og at de ikke alltid kan hjemles i samme bestemmelse.
Sakene er omtalt her:
YOU TUBE
Er det lovlig å blocke ad-blockere?
YouTube har jobbet hardt med å utvikle teknologi som oppdager annonseblokkere. Nå kan de finne ut om annonseblokkere er skrudd på, og hvis det er tilfellet, spilles ikke videoene av. I stedet får man beskjed om å enten godta annonsene eller abonnere på YouTube Premium.
Personvernforkjempere reagerer på YouTubes identifiseringsverktøy av
annonseblokkene, og mener disse er i strid med reglene i ePrivacy-direktivet, spesielt Artikkel 5.3. Bestemmelsen krever som kjent at nettsteder ber om samtykke før de lagrer eller får tilgang til informasjon på en brukers enhet. YouTube på sin side argumenterer med at annonseblokkere bryter med plattformens vilkår og hindrer skapere i å tjene inntekter fra annonsene. Av den grunn mener selskapet at det er nødvendig med et verktøy som kan identifisere og stoppe annonseblokkere.
Saken håndteres nå som en klagesak ved det irske datatilsynet, DPC, og er omtalt her:
https://www.theverge.com/2023/11/7/23950513/youtube-ad-blocker-crackdown-privacy-advocates-eu
NONE OF YOUR BUSINESS
NOYB klager inn EU-kommisjonen
NOYB har klaget inn EU-kommisjonen til EDPS for å bruke ulovlige metoder på Twitter for å fremme en omstridt lov om chat-kontroll (chat control regulation). De mener at å målrette informasjon mot brukere på twitter brøt med personvernreglene etter GDPR og de etablerte demokratiske prosedyrene mellom EU-institusjonene.
Den foreslåtte chat-kontrollloven i EU har fått stor kritikk fra mange hold, inkludert industri, samfunn og medlemsland, som frykter at den vil åpne døren for omfattende overvåkning av online kommunikasjon.
NOYB reagerte spesielt på Kommisjonens bruk av målrettet annonsering basert på politiske og religiøse synspunkter, noe som åpenbart brøt med personvernreglene. Det var også bemerkelsesverdig at Kommisjonen tidligere hadde advart mot nettopp denne typen annonsering, og omtalt det som en alvorlig trussel mot en rettferdig og demokratisk valgprosess. NOYB har også bedt om at EDPS ilegger bøter i saken.
Dette er en ganske uvanlig sak og skal bli spennende å følge. Hvis EDPS ilegger bøter, tror jeg det er første gangen det skjer.
Saken er omtalt her:
https://noyb.eu/en/noyb-files-complaint-against-eu-commission-over-targeted-chat-control-ads
CANADA
Personvern i USA er annerledes enn i Europa, men det er ganske annerledes i Canada også
I Canada vurderer politiet å ta i bruk teknologi som gir dem tilgang til hjemmeovervåkingskameraer, en praksis som allerede er i bruk i flere amerikanske byer. Systemet, kjent som Fusus, tillater politiet å overvåke direktesendte videoer fra privat eide kameraer hos folk og bedrifter ved mulige nødsituasjoner og potensielle kriminelle handlinger. De mener at Fusus bidrar til å løse forbrytelser raskere og gir politiet informasjon på forhånd om potensielle nødsituasjoner.
Fusus gir politiet direkte tilgang til private overvåkingskameraer, noe som bekymrer personvernforskere på grunn av mulig overvåkning uten rettslig godkjennelse. Tilgangen skal være basert på avtale med de som har de private kameraene.
At Canada i det hele tatt vurderer å implementere denne typen teknologi viser at personvernet der skiller seg en del fra det vi ser i Europa, og var faktisk litt overraskende å lese. Stort sett har jo Canada en personvernlovgivning og et personvernsyn som ligger ganske nære det europeiske.
Saken finner du her:
https://www.cbc.ca/news/canada/hamilton/police-private-security-cameras-fusus-canada-1.7001675
RETNINGSLINJER
GDPR skal evalueres
EU-landene ønsker å evaluere GDPR fem år etter implementeringen. De ser på utfordringer knyttet til implementeringen, spesielt for små bedrifter og offentlige organer. Loven har styrket tillit og rettslig sikkerhet rundt personvern, men medlemslandene etterlyser likevel ytterligere veiledning og retningslinjer. I evalueringen skal det bl.a. tas stilling til bruken av persondata i forskning og behovet for klarere retningslinjer for databehandling av mindreårige. Rådet ber også om forbedringer i håndhevingen av loven og ønsker større klarhet i internasjonale dataoverføringer. Samlet sett anses GDPR som en suksess, og det er lite som tyder på at det vi har noen drastiske endringer i vente.
Mer om dette her:
NORSKE DATATILSYNET
Personvernnemnda fastslår at Datatilsynet må vurdere personvernspørsmål
Saken gjaldt en klage fra en person, A, angående Datatilsynets avgjørelse om å avslutte en sak uten å vurdere om personopplysningsloven ble brutt. A mente at personvernet hans ble krenket av bostyreren i selskapet X AS, etter at det ble åpnet konkurs i selskapet. Bostyrer hadde sendt ut rapporter til flere mottakere, der det ble fremmet påstander om at A var involvert i ulovlige aktiviteter. Dette resulterte i skade på As omdømme og rykte, noe som ifølge A var et klart brudd på hans rett til personvern og utilbørlig behandling av hans personopplysninger. Datatilsynet avsluttet saken uten å gå inn i detaljer eller konkludere om eventuelle brudd på personopplysningsloven.
Datatilsynet begrunnet avgjørelsen med at konkursboet var slettet, og at det var dermed ikke behov for å fortsette undersøkelsene. Personvernnemnda vurderte saken og fant at Datatilsynet ikke kunne avslutte saken uten å vurdere om personopplysningene ble ulovlig behandlet. Nemnda mente at tilsynet måtte gjøre en grundigere vurdering av om behandlingen av As personopplysninger var lovlig eller ikke etter personvernforordningen. Derfor ble Datatilsynets avgjørelse opphevet, og saken ble sendt tilbake for en ny vurdering.
Saken er praktisk sett viktig fordi Datatilsynet har en stor strøm av saker og trenger å prioritere – samtidig er det grunnleggende at den sier at Datatilsynet ikke kan la være å vurdere personvernspørsmål.
Saken finner du her:
https://personvernnemnda.no/pvn-2023-14
BINDING DECISION
Til slutt: Noen prøver å slå hull i GDPR
TikTok har utfordret deler av GDPR gjennom en sak for EU-domstolen. I saken er det uenighet mellom irske og tyske datatilsyn angående TikToks brudd på GDPR-reglene og tolkningen av reglene. Uenigheten har vært forelagt EDPB som har fattet en såkalt «Binding decision» som binder det irske datatilsynet. TikTok har tatt et uvanlig grep, og argumenterer for at hele prosessen med å pålegge «Binding Decisions» bryter med EU-lovgivningen. Det er jo litt artig – å hevde at GDPR bryter med EU-regler.
Tidligere har lignende saker blitt avvist av EU-domstolen. For eksempel prøvde WhatsApp seg på en tilsvarende argumentasjon som TikTok, men de ble avvist med begrunnelsen om at «Binding Decisions» ble pålagt Irland, og ikke selve selskapet. TikTok tar argumentene ett skritt videre ved å utfordre selve GDPR-loven. De påpeker at prosessen med disse bindende beslutningene kan stride imot EU-loven, spesielt rettighetene knyttet til rettferdig rettergang og retten til å anke. (Selskapet har ikke klagerett på vedtakene fra EDPB.)
Dersom TikTok vinner saken, kan det ha store implikasjoner for hvordan EU-lovgivningen for personvern blir håndhevet, spesielt for selskaper som opererer fra Irland og ønsker å unngå strenge straffer fra andre europeiske land. På den annen side er det neppe sannsynlig at de vinner frem.
Dersom TikTok vinner saken, får «One Stop Shop» et stort skudd for baugen. Men det er ikke sikkert at dette gavner selskapene for det vil bety at tilsynsmyndighetene i alle medlemsstatene kan starte sine egne etterforskninger og håndheve regelbrudd på egenhånd. Dette vil gjøre håndhevingen av regelverket svært kostbar og komplisert. Alt i alt må det være å foretrekke at regelbrudd kun behandles av én tilsynsmyndighet.
KOMMENDE MØTER
| 7. des14.00 – 17.00 Nettverksmøte, Oslo |
| 25. jan14.00 – 17.00 Nettverksmøte i Oslo |
| 22. feb12.00 – 13.00 Drop In |
Se hele oversikten over kommende aktiviteter i nettverket her.
SISTE ORD
Du får dette nyhetsbrevet som medlem av tilt.works PrivacyTech-nettverk eller fordi du har tegnet et eget abonnement. Du kan oppdatere din profil her.
Tre tips til deg som vil motivere deg selv til endring
Motivere til endring – for noen er utsagnet en selvmotsigelse, de er absolutt ikke motivert for endring.
«Endring hører livet til. Ingen går gjennom livet uten også å møte det uventede og ubehagelige» skriver Per Anders Nordengen i en nydelig bok «Når forandring ikke fryder».
Endring innebærer gjerne at vi må gi slipp på noe kjent og kjært, og leve videre med noe ukjent og utrygt.
read more…
Opptak av møtet 22. november 2023
Dette er et opptak av møtet i Partners in Tilt 22. november. Vi snakker om Videocation, erfaringene fra workshopen om workshop og samarbeidsformer videre.
Den essensielle bærekraftsevnen
Lederens rolle i å skape et trygt arbeidsmiljø blir stadig mer avgjørende. Dessverre ser vi gang på gang at mange blir psykisk utmattet på grunn av dårlig ledelse. Et nøkkelbegrep som har kommet i forgrunnen i diskusjoner om god ledelse er «psykologisk trygghet». En leders evne til å bygge psykologisk trygghet er en av de mest verdifulle ferdighetene en leder kan ha i dagens arbeidsmiljø.
Hva er psykologisk trygghet?
Psykososial trygghet refererer til en persons oppfatning av at det er trygt å ta interpersonell risiko på arbeidsplassen. I et psykologisk trygt miljø føler ansatte seg komfortable med å dele bekymringer, gi tilbakemeldinger, stille spørsmål eller innrømme feil uten frykt for represalier eller negativ bedømmelse.
Hvorfor er psykologisk trygghet viktig?
Økt innovasjon: Når medarbeidere føler seg trygge, er de mer sannsynlig å dele kreative ideer, noe som kan føre til innovasjon.
Bedre beslutningstaking: Med åpenhet og ærlig kommunikasjon, kan team ta bedre informerte beslutninger.
Større engasjement: Ansatte som føler seg trygge på arbeidsplassen, er mer engasjerte i sitt arbeid.
Redusert turnover: Et miljø hvor folk føler seg verdsatt og trygge kan bidra til lavere turnover, noe som kan spare organisasjonen for betydelige kostnader.
Dårlig ledelse og dens konsekvenser
Dårlig ledelse kan føre til mangel på psykologisk trygghet. Ledere som ikke er oppmerksomme på deres ansattes behov, eller som opptrer på en autoritær eller avvisende måte, kan skape et miljø hvor ansatte er redde for å uttrykke seg.
Konsekvensene av dette kan være alvorlige:
- Økt antall sykemeldinger på grunn av stress.
- Lavere produktivitet og engasjement.
- Høy turnover.
- Tapt innovasjon.
Kulturell refleksjon: HBO Max serien «Succession»
En interessant popkulturell refleksjon over dette temaet kan ses i HBO Max serien «Succession». Denne serien illustrerer den giftige kulturen i en familieeid medieimperium, hvor maktspill, mistillit og manipulering er dagens orden.
Selv om «Succession» er fiksjon, gir det et innblikk i hvordan et psykologisk utrygt arbeidsmiljø kan se ut. Beklageligvis er slike scenarier ikke begrenset til TV-skjermen; mange virksomheter i dagens samfunn har lignende arbeidsmiljøer som kan føre til alvorlige psykologiske skader på deres ansatte.
På bunnlinjen
For å bygge bærekraftige organisasjoner i fremtiden, må ledere prioritere psykologisk trygghet. Ved å skape et miljø hvor alle føler seg trygge til å uttrykke seg, kan organisasjoner blomstre og oppnå suksess på lang sikt. Det er derfor ikke bare en etisk forpliktelse for ledere å sikre psykologisk trygghet, men også en forretningsnødvendighet.
Les også:
Et godt skolesystem krever at vi spiller på lag med hjernen
Det er viktig at alle som er engasjert i skoleverket, forstår at vi må spille på lag med hjernen for å få et bedre skolesystem. Dette omfatter elever, lærere, foreldre, politikere, politi og næringslivet. Å legge til rette for at elevene kan utvikle en god selvfølelse er et viktig skritt i riktig retning.
Å kjenne på følelsene
God selvfølelse betyr ikke at alt er perfekt. Men; det betyr at vi er i stand til å gi våre følelser riktig oppmerksomhet. Følelsene er vår hjernes ordløse språk som forteller deg og meg hvilket behov vi har. I dagens samfunn er de fleste av oss ikke vant til å uttrykke egne følelser. Allerede som barn lærte vi å holde igjen følelser. Mange har f.eks. hørt uttrykk som: «Du som er gutt, bør ikke gråte». I dag synes vi derfor at det er litt skummelt å vise følelser fordi det gjør oss sårbare. Når vi åpner opp, blir vi redde for å ikke bli møtt og tatt imot.
Følelsene er vår hjernes ordløse språk som forteller deg og meg hvilket behov vi har.
I dagens samfunn er vi med andre ord ikke trent til å gå innover i oss selv og kjenne etter hva vi egentlig føler. I starten vil derfor dette føles ubehagelig, men heldigvis vet vi at vi må ut av komfortsonen for å utvikle oss. Og, når vi – takket være god selvfølelse – velger å tilfredsstille det hjernen forteller oss, unngår vi smertefulle følelser som tapper oss for energi, reduserer
effektivitet, blokkerer kommunikasjon og skaper oppgitthet og apati – i stedet for engasjement og optimisme.
Følelser har ingen kalender
Elevundersøkelser viser derimot at mange sliter med psykiske problemer. Elevene bekymrer seg, sover dårlig og føler at de ikke strekker til på mange områder- i f.eks. matematikk.
Derfor er det gledelig å vite at skolen arbeider med å fjerne analfabetismen om følelser og selvfølelse. Forbausende mange tror fortsatt at det er den eller de andre som gjør oss sinte. Men du vet nå at følelsen sinne er hjernens ordløse språk som forteller at du må beskytte ditt eget verd som menneske. Og; dette behovet dekker du sikkert klokere enn ved å bruke metoden å kjefte eller slå til den andre. Du vet jo at hat kun fører til nytt hat!
Det er også vanlig å tro at ordtaket «Tiden leger alle sår» er riktig, selv om vi nå vet at tiden ikke kan gjøre noe med ubearbeidete følelser. Konferer krigsseilerne våre som slet med vonde følelser i mange år etter krigen. I dag vet vi at følelsene har ingen kalender.
Det som betyr noe
Alle våre følelser springer ut fra det som virkelig betyr noe for oss. Våre følelser skyldes altså at hjernen – med sitt ordløse språk – ber om at du må dekke ett eller flere sentrale behov hos oss selv.
Dersom vi f.eks. føler tørste, så er det ingen som ringer en psykolog og spør hva man skal gjøre med denne følelsen. Vi tar metoden «et glass vann» i bruk som en selvfølge, – uten å skylde på noen andre. Vårt mål bør være å bli like god til å tilfredsstille de andre følelsene våre også. Da blir også alle kjent med at sinne beskriver vår følelse, mens aggresjon beskriver hva vi gjør med følelsen.
Aggresjon = Sinne + Gjøring
Et kjerneråd
Vi kan bruke David Kvebæk og Marshall Rosenberg teorier til å utarbeide et sentralt råd i arbeidet med selvfølelsen:
«Snakk ut fra deg selv, ut fra dine følelser som kommer fra det som virkelig betyr noe for deg»
Når vi vet det, kan vi også trygt gå ut fra at:
🗸 Bak et menneske som angriper, går i forsvar eller avviser oss, finnes det et menneske med utilfredsstilte behov
🗸 En og samme handling kan utløse ulike følelser avhengig av det som betyr noe for mennesket
🗸 Å ha behov er ikke det samme som å kreve noe av andre
🗸 Å lytte til det som betyr noe for et annet menneske, krever ikke at vi skal oppgi våre egne behov.
Ved å bruke kjernerådet, skapes kontakt og empati – dvs. gode relasjoner. Dermed blir det lettere for oss både å forstå og dele følelser med en annen person. Og vi forstår godt at følelser skal ikke fikses – de skal løses. Det gir oss mange interessante og nyttige kunnskaper.
| Følelsen er vår viktigste informasjonskilde. Den forteller: | Sinne kan også vendes innover, som: |
| • Hvordan vi egentlig har det | • Selvforakt og selvskading |
| • Hvilke behov er dekket/udekket | • Depresjon |
Skolesystemet: Veien videre
Vi startet denne artikkelen med å skrive at alle som er engasjert i skoleverket, må spille på lag med hjernen for å få et bedre skolesystem. Dette omfatter elever, lærere, foreldre, politikere, politi og næringslivet. Dersom alle i et tverrfaglig team spiller på lag med hjernen, blir kommunikasjonen og relasjonen mellom de involverte meget god. Vi unngår dermed:
- Polariserte samtaler.
Klaging og sjikanering • Irritasjon som ofte skjuler andre følelser
Med et godt, helhetlig og tverrfaglig samarbeid, finner vi små justeringer som raskt kan skape store endringer. Det gjelder å ha søkelys på de to faktorene som er hovedårsaken til at skolesystemet har mange problemer i dag. - Selvfølelsen strekker ikke til.
Eksempler: Dårlig klassemiljø. Vi må tilpasse læringen til elevens behov, fremheve samarbeid og kreativitet. - Feil valg av arbeidsmetoder.
Mer praktisk arbeid, fjerne tradisjonell/teoretisk undervisning samt testing og karaktergivning slik det praktiseres i dag.
Ett eksempel på endring er at vi kan redusere antallet ADHD-diagnoser ved å ta hensyn til faktoren selvfølelse – gjerne kombinert med å velge undervisningsmetoder som skaper mestringsfølelse. Dersom vi i tillegg reduserer skjermbruken og setter mer fokus på det som virkelig betyr noe for den enkelte elev – har vi allerede kommet et godt stykke på vei.
Dette er den andre artikkelen om undervisningssystemet og selvfølelse. Den første artikkelen leser du her.
En leders ønskeliste: 31 temaer
Tirsdag 21.11 er jeg vert for kloke hoder som ønsker å utforske coachende ledelse. Det er med utgangspunkt i et kurs tilt.work planlegger satt opp til våren, hvor nettopp coachende ledelse er temaet.
Meld deg på Litt klokere om coachende ledelse her.
«Pensum»
Det er nesten ingen grenser for hva «pensum» i et slikt kurs kan være. Med litt hjelp fra en kunstig intelligens, har jeg sett på hva som kan være en bruttoliste for et slikt pensum.
Her er 31 mulige temaer. Disse ferdighetene dekker et bredt spekter, inkludert kommunikasjon, emosjonell intelligens, strategisk tenkning, og systemisk ledelse.
31 temaer
- Aktiv lytting: Hvordan lytte godt, både til det som sies og det som ikke sies.
- Rapport: Som uttales på fransk, rappåår. «Connection» på godt norsk. Opprette forbindelse basert på tillit og forståelse.
- Målsetting: Hjelpe medarbeidere med å sette og nå personlige og profesjonelle mål.
- Empati: Forstå og anerkjenne andres følelser
- Selvinnsikt: Forstå egne styrker, svakheter, og hvordan en påvirker andre.
- Åpne spørsmål: Bruke åpne og utforskende spørsmål for å fremme refleksjon.
- Visjonær tenkning: Kommunisere et bilde av en attraktiv, mulighetsrik fremtid.
- Fleksibel kommunikasjon: Tilpass din kommunikasjonsstil til ulike mennesker.
- Endringsledelse: Styre og støtte team gjennom endringer og overganger.
- Konflikthåndtering: Håndtere og løse uenigheter på en konstruktiv måte.
- Motiverende intervju: Samtaleteknikker som fremmer indre motivasjon.
- Perspektivskifte: Endre perspektiv på en situasjon for å se nye muligheter.
- Metaforer: Metaforer er kraftfulle verktøy for å forenkle komplekse ideer.
- Feedback: Gi og motta konstruktiv tilbakemelding.
- Tidsstyring: Prioritere og håndtere tid effektivt.
- Systemisk ledelse: Se og jobbe med dynamikken I et relasjonssystem.
- Pressede situasjoner: Hvordan opprettholde effektivitet under stressende forhold?
- Selvregulering: Håndtere egne følelser og reaksjoner under press.
- Emosjonell intelligens: Gjenkjenne, forstå og håndtere egne og andres følelser.
- Relasjonell intelligens: Evnen til å utvikle og vedlikeholde gode relasjoner parret med evnen til å jobbe med relasjonssystemets indre intelligens.
- Styrkebasert ledelse: Fokusere på og utvikle medarbeidernes styrker.
- Kreativ problemløsning: Fremme innovasjon og kreative løsninger.
- Delegering: Effektivt fordele oppgaver og ansvar.
- Inspirerende kommunikasjon: Motivere og inspirere andre gjennom tale og handlinger.
- Kulturell kompetanse: Forstå og respektere mangfold i arbeidsmiljøet.
- Mindfulness og tilstedeværelse: Være fullstendig til stede og oppmerksom i øyeblikket.
- Stamina: Opprettholde energi og engasjement over tid.
- Kritisk tenkning: Analysere informasjon og situasjoner effektivt.
- Strategisk planlegging: Utvikle og implementere langsiktige planer.
- Overtalelse: Overtale og påvirke andre positivt.
- Resiliens: Evnen til raskt å ta seg inn etter tilbakeslag.
Prioritér
Alt dette er vanskelig å klemme inn i et kurs, være det seg på 1, 2 eller 3 dager. Så da spør jeg deg: Hvis du skulle prioritere, hvilke 5 av disse temaene ville du helst hatt med i et slikt kurs?
Eller er det et eller flere temaer som ikke er i listen du gjerne skulle sett?
Svar med en mail til [email protected].
Forward the action
- Meld deg på litt klokere
- Sett deg på lista over interessenter som oppdateres om kurset
God tirsdag.
Det er på tide å gjøre endringer i skolesystemet
Skolesystemet skal gi kompetanse for et godt liv. Læringen starter barnehagen og videreføres i grunnskolen og den videregående skolen. Dagens norske skolesystem er bygget på verdier og en læringstradisjon gjennom mange år. Spørsmålet er om det er på tide med nytenkning, både når det gjelder innhold og arbeidsform.
read more…
Digital transformasjon: Mer enn teknologi
Digital transformasjon er ikke bare en teknologisk oppdatering, men også en dyptgående endring av bedriftskulturen, arbeidsprosesser og, viktigst av alt, hvordan en organisasjon tenker rundt innovasjon og fremtidig vekst. I denne refleksjonen ønsker jeg å utforske både fallgruvene og de avgjørende faktorene som skiller suksess fra fiasko i digitale transformasjonsprosjekter.
read more…
Blue Zone: 10 prinsipper for å skape en bedre arbeidsplass
Interessen for ansattes velvære har fått betydelig innpass på arbeidsplasser verden over, mye takket være dets påvirkning på faktorer som produktivitet, engasjement og generell ytelse. Dette bekrefter kilder som Forbes, Gallup og Harvard Business Review.
Likevel har temaet lenge blitt oversett av mange toppledere. Gjennom å måle velværets innvirkning på faktorer som sykefravær, turnover, engasjement og lojalitet, har bevisstheten rundt ansattes velvære økt.
read more…
IT-jus nr. 11/23
De siste dagene har det vært mye oppmerksomhet rettet mot nye rettssaker om personvernvedtak i vårt lille land. Både Meta og Grindr har gått til sak mot staten for å få opphevet vedtak som dels handler om behandlingsgrunnlag, om kravene for samtykke og om størrelsen på bøter.
Datatilsynet har, naturlig nok, bemerket at disse aktørene besitter tilstrekkelige ressurser til å innhente juridisk bistand for å forsvare sine forretningsmodeller. Disse modellene er, ifølge direktøren, gjenstand for kritikk fra flere myndigheter.
Sakene er etter min oppfatning svært forskjellige, men det handler om usikkerhet i tolkningen av GDPR, noe som i seg selv ikke er overraskende. Hvor stor usikkerheten er, varierer også.
Jeg heier generelt sett på personvernmyndighetene som gjør en viktig jobb, men jeg tror også det er bra at vi får rettslige avklaringer på dette feltet. Det vil være til nytte både for myndigheter og andre som skal praktisere lovverket. Dessuten: Datatilsynet kan knapt regne med at selskaper, uansett hvor store de er, får titalls millioner i bot uten at de vil ha prøvet lovtolkninger som ikke er gjort før. Jeg tror vi kommer til å flere rettssaker fremover – og en del personvernadvokater bør nok børste støv av den svarte kappen.
Men det har skjedd mye annet også, under er et knippe nyheter. Jeg bruker anledningen til å skryte litt av programmet for neste fysiske nettverksmøte i desember. Vi får besøk av Anders Holt som er personvernombud i NAV. Han skal fortelle om erfaringer fra stedlige tilsyn fra Datatilsynet tidligere i høst. Her er det mye praktisk informasjon å hente dersom man skulle få besøk av tilsynet. Dessuten kommer Microsoft og forklarer om personvern i Copilot, og jeg tror vi får noen gode diskusjoner om bruk av AI.
Jeg tror dette blir ordentlig spennende og gleder meg!
Hilsen Eva
SØKSMÅL MOT DPF
Foreløpig ikke medhold for Latombe
EU-domstolen har behandlet en sak om midlertidige tiltak for å stanse implementering av EU-U.S. Data Privacy Framework. Domstolens avgjørelse kom som et motsvar til en klage som utfordret gyldigheten av overføringsavtalen for personopplysninger mellom EU/EØS og USA, som trådte i kraft 10. juli i år.
Klagens innsender var Philippe Latombe, som er fransk representant i Europaparlamentet. EU-domstolen konkluderte med at Latombe ikke kan bevise den individuelle og kollektive skaden som han mener at det nye
overføringsregelverket medfører.
Selv om Latombes påstand om midlertidig stopp av implementeringen av regelverket ble avvist, er det grunn til å anta at han senere vil kunne få prøvet sin hovedpåstand om hvorvidt Data Privacy Framework i sin helhet er lovlig. EU-domstolens avgjørelse viser at spørsmål om lovligheten av Data Privacy Framework stadig er et dagsaktuelt tema, og det kan forventes at debatten om adekvatbeslutningens gyldighet vil vedvare i tiden som kommer.
ANSVAR FOR DATABEHANDLERAVTALE
Tilbakevirkende kraft er ingen unnskyldning
Hvem er ansvarlig for at databehandleravtale foreligger? En belgisk avgjørelse klargjør dette.
Det belgiske datatilsynet har avsagt en avgjørelse som berører spørsmålet om hvem som har ansvaret for at det foreligger en databehandleravtale mellom behandlingsansvarlig og databehandler.
Den 4. september 2020 klaget et belgisk datasubjekt både behandlingsansvarlig og databehandler inn for det belgiske datatilsynet for brudd på GDPR artikkel 28 (3), som pålegger behandlingsansvarlig å inngå databehandleravtale med eventuelle databehandlere. Klagen var foranlediget av at vedkommende den 20. mai 2020 hadde mottatt en parkeringsbot fra kommunen. I forbindelse med kommunens dokumentasjon av parkeringsovertredelsen, anmodet vedkommende bl.a. fremleggelse av databehandleravtalen mellom kommunen som behandlingsansvarlig og den tredjeparts databehandleren som ble brukt ved utdeling og innkreving av parkeringsboten.
I Datatilsynets behandling av den aktuelle klagen ble det avdekket at kommunen hadde etablert en databehandleravtale med en ekstern tredjepart først den 27. juli 2020. Denne databehandleravtalen inneholdt en klausul om tilbakevirkende kraft. De sentrale spørsmålene for datatilsynet var dermed for det første om klausulen om tilbakevirkende kraft er lovlig etter GDPR art. 28 (3). For det andre, hvem som bærer ansvaret – behandlingsansvarlig eller databehandleren – for at det ikke eksisterte en databehandleravtale på det tidspunktet opplysningene faktisk ble behandlet.
Det belgiske datatilsynet konkluderte med at den aktuelle databehandlingen var et brudd på GDPR artikkel 28, 14 og 12. I sin vurdering, tok tilsynet et standpunkt om at tilstedeværelsen av en tilbakevirkningsklausul ikke rettferdiggjør mangelen på en databehandleravtale ved behandlingens start. Datatilsynet begrunnet sitt synspunkt med at slike klausuler potensielt kunne tillate omgåelser av personvernbestemmelsene, i strid med intensjonene i GDPR artikkel 28 (3). Videre anså tilsynet at både kommunen og tredjepartsbehandleren var ansvarlig for brudd på personvernlovgivningen. Følgelig rettet Datatilsynet en irettesettelse både mot den behandlingsansvarlige og databehandleren.
Jeg tror dette er en situasjon som være en vekker for ganske mange og være en motivasjon for å få på plass databehandleravtaler, selv om det ikke ble bot i dette tilfellet.
Les mer om avgjørelsen her:
https://gdprhub.eu/index.php?title=APD/GBA_(Belgium)_-_137/2023&mtc=today
OPPTAK AV KUNDESAMTALER – BERETTIGET INTERESSE
I kundetjenestens navn…
Dette er også et tema som er relevant for mange. AustrianFederal Administrastive Court («BVwG») har avsagt avgjørelse i en sak om berettiget interesse som grunnlag for opptak av kundesamtaler. Et datasubjekt fremmet en klage mot en bank inn for det østerrikske datatilsynet, basert på at banken gjorde opptak av kundesamtaler uten at kundene hadde muligheten til å motsi seg slike opptak og den påfølgende behandlingen av deres personopplysninger. Det østerrikske datatilsynet opprettholdt datasubjektets klage, og banken anket derfor saken inn for domstolene.
Banken fremholdt at det hadde en berettiget interesse i å behandle personopplysninger gjennom opptak av kundesamtaler. I tillegg tok banken til ordet for at det var umulig å unngå opptak av alle innkommende samtaler, gitt at nasjonale lover pålegger bankinstitusjoner en plikt til å ta opp samtaler som gjelder investeringstjenester.
Bankens påstand ble avvist av østerrikske domstoler. I relasjon til spørsmålet om berettiget interesse, uttalte domstolen at bankens interesse i å «sikre kvalitet» på sine tjenester ikke var tilstrekkelig spesifisert til å kunne utgjøre et gyldig rettslig grunnlag for behandlingen. Som svar på bankens argument om at nasjonale lover gjør det umulig å ikke gjøre opptak av alle innkommende samtaler, presiserte domstolen at det er den behandlingsansvarliges ansvar å etablere interne prosedyrer som sikrer at etterlevelse av nasjonale lovregler gjøres på en måte som ikke strider mot personvernreglene. Domstolen påpekte videre at banken kunne ha etablert prosedyrer for å fastslå temaet ved oppringingens begynnelse. Dette ville ha muliggjort en vurdering av om en telefonsamtale faktisk falt under forpliktelsen til å ta opp samtaler om investeringstjenester, og slik kunne banken ha unngått å registrere samtaler hvor opptak ikke var lovpålagt.
BVwG kom etter dette til at bankens opptak av kundesamtaler var i strid med personvernreglene, som følge av at behandlingen av personopplysninger verken hadde grunnlag i lov eller i bankens berettigede interesse etter GDPR artikkel 6(1)(f).
Selv må jeg innrømme at jeg blir bittelitt irritert hver gang jeg ringer et sted og jeg blir fortalt at samtalen «tas opp for å forbedre våre kundetjenester», og jeg ikke kan avslå. Sist skjedde dette da jeg skulle etterlyse en pakke på vei til meg. Det kan da ikke være nødvendig å ta opp slike samtaler? Og hvor lagres de hen? Og ble samtalen noensinne lyttet på av noen for å forbedre pakketjenesten? Lurer nesten på om jeg skal be om et aldri så lite innsyn selv…
Les saken i sin helhet her:
https://gdprhub.eu/index.php?title=BVwG_-_W274_2251055-1/5E
TRE AVGJØRELSER OM MARKEDSFØRING
Groupe Canal+ i Frankrike har fått bøter for markedsføringsaktiviteter
Den 19. oktober 2023 ble selskapet Groupe CANAL+ ilagt en bot på 600 000 euro av det franske datatilsynet CNIL for brudd på flere av personvernforordningens artikler i tidsrommet november 2019 til januar 2021.
CNIL hadde mottatt 31 klager relatert til såkalte «Cold Calls» fra Groupe CANAL+ til potensielle kunder som ikke tidligere har vært i kontakt med selskapet. I tillegg mottok datatilsynet andre klager relatert på manglende personvernrettigheter for registrerte, sikkerhetsspørsmål knyttet til passord for selskapets ansatte, og selskapets unnlatelse av å varsle CNIL om et personopplysningsbrudd i 2020.
CNIL bemerket at Groupe CANAL+ benyttet elektroniske salgskampanjer, som ble utført av tredjepartsleverandører, for å identifisere potensielle kunder for sine tjenester. Personopplysninger som ble samlet inn av tredjepartsleverandørene, ble senere brukt av selskapet for å gjennomføre Cold Calls mot disse potensielle kundene.
Selskapet kunne ikke bevise at de potensielle kundene hadde avgitt gyldig samtykke til å motta henvendelser, som følge av at kundene ikke ble informert om identiteten til tredjepartsleverandøren som gjennomførte de elektroniske salgskampanjene. Selv om de potensielle kundene elektronisk hadde samtykket til å motta elektroniske dørsalg, kom CNIL til at samtykkene ikke var gyldige fordi kundene ikke ble informert om hvem samtykket ble innhentet på vegne av. Dette er et sentralt element for mange og er i tråd med tidligere avgjørelser. Når selskapet ikke kunne dokumentere samtykke, konkluderte CNIL med at selskapet hadde brutt GDPR artikkel 7(1) og artikkel4(11). Det er viktig å kunne dokumentere samtykker!
CNIL oppdaget også at selskapet hadde forsømt å informere datasubjekter om at deres telefonnumre ble innhentet fra en tredjepart. Som følge av dette var datasubjektene ikke blitt gjort kjent med formålet bak, og deres rettigheter relatert til, selskapets behandling av deres personopplysninger. Dermed kom datatilsynet til at Groupe Canal+ også hadde brutt GDPR artikkel 14. Datatilsynet fant ytterligere at Groupe Canal+ hadde brutt sine forpliktelser etter GDPR artikkel 12, artikkel 28(3) 32 og 33.
Hva gjelder avviket som ikke ble meldt, gjaldt det navn og adresse til ca. 10.000 kunder som i en periode på 5 timer og 36 minutter hadde vært tilgjengelig for andre kunder. Det er tankevekkende i seg selv – er dette et type avvik du ville meldt selv?
Botens størrelse ble fastlagt på bakgrunn av at Groupe Canal+ har brutt GDPR i et betydelig omfang, og at enkelte av bruddene er av mer alvorlig karakter. CNIL la imidlertid også vekt på enkelte formildende omstendigheter, herunder at selskapet har iverksatt omfattende tiltak og på denne måten brakt seg i samsvar med flere av de punktene i GDPR.
Les oppsummering av saken her:
https://gdprhub.eu/index.php?title=CNIL_(France)_-_SAN-2023-015&mtc=today
Meta og adferdsbasert markedsføring
Det skjer mye rundt Meta. Datatilsynet skriver at det ikke er et generelt forbud mot å publisere annonser på Facebook. Bakgrunnen for denne kunngjøringen er at datatilsynet har mottatt flere henvendelser fra bedrifter som lurer på om de er rammet av Datatilsynets midlertidige forbud mot adferdsbasert markedsføring på Facebook og Instagram.
Selv om bedrifter ikke er direkte berørt av forbudet, oppfordrer Datatilsynet alle bedrifter til å være bevisste på problemstillingene knyttet til Datatilsynets forbud mot annonsering på Metas plattformer. Dette innebærer at selskapet er ansvarlig for å gjennomføre nødvendige vurderinger og må være klar over at Meta i dag driver med ulovlig adferdsreklame. Jeg tror at mange synes det er vanskelig og tungvint å lage slike vurderinger.
På den annen side er ovennevnte problemstilling snart ikke lenger relevant, da Datatilsynet helt nylig fikk medhold hos EDPB i at forbudet mot atferdsbasert reklame utvides til hele EU. Og dette skjer samtidig som at Meta går over til å bruke samtykke som hjemmel for den omstridte markedsføringen.
Så hva er sluttsituasjonen nå? Meta har endret sin praksis for å etterkomme kravene fra europeiske tilsynsorganer. Hoveddiskusjonen fremover vil bli om Metas nye samtykke til personalisert reklame anses som god nok. Er Metas «pay or Okay» i tråd med GDPR? Det har relevans for mange. Vi må komme tilbake til dette fremover.
Les mer her:
Kan virksomheter annonsere på Facebook?
Bot til H&M for deres markedsføringspraksis
Den 17. oktober 2023 utstedte det svenske datatilsynet, Integritetsskyddsmyndigheten (IMY), en administrativ bot på 350.000 SEK mot H&M for selskapets markedsføringspraksis. Seks personer bosatt i ulike europeiske land, inkludert Polen og Italia, sendte inn klager i forbindelse med mottak av direkte markedsføring fra H&M. Ettersom H&M har hovedkontor i Sverige, behandlet IMY klagene.
IMY sin undersøkelse konkluderte med at H&M brøt personvernloven, idet H&M ikke stanset behandling av klagerens personopplysninger for markedsføringsformål uten unødig opphold, til tross for mottatte klager knyttet til slik behandling. Videre hadde ikke H&M, ifølge IMY, tilstrekkelige systemer og rutiner på plass for å gjøre det lettere for personene å benytte sin rett til å motsette seg direkte markedsføring. Det er egentlig litt overraskende at H&M satte seg i en slik posisjon.
Det skal være enkelt å slippe å motta annonser og tilbud man ikke er interessert i, uttalte Albin Brunskog, enhetsleder i IMY. Og med tanke på den siste tids strenge praksis rundt markedsføring, er det ikke en overraskende uttalelse.
Les mer her:
https://www.imy.se/nyheter/hm-har-gjort-det-onodigt-svart-att-slippa-reklam/
KRAV OM RETTING AV OPPLYSNINGER
Personvernnemnda om retting av opplysninger
Den 15. september 2023 avsa Personvernnemnda avgjørelse i sak PVN-2023-04 om Retting av personopplysninger hos NAV. En privatperson påklaget Datatilsynets vedtak datert 20. desember 2021. Dette skjedde etter at personen hadde inngitt en klage til Datatilsynet mot NAV, med et krav om retting av opplysninger i et NAV-vedtak angående rett til dagpenger.
Saken var foranlediget av at privatpersonen høsten 2015 mottok dagpenger under arbeidsløshet fra NAV. Etter å ha søkt om støtte til etablering av egen virksomhet, fattet NAV 2. oktober 2015 vedtak om stans i dagpengene som følge av NAVs forståelse om at vilkårene for rett til dagpenger ikke var oppfylt. Etter ytterligere korrespondanse vurderte NAV saken på nytt, og innvilget privatpersonen dagpenger i et nytt vedtak 1. desember 2015.
17.mars 2016 fattet NAV enda et nytt vedtak som innebar omgjøring av vedtaket fra 2. oktober 2015 om stans i dagpengene. Her konkluderte NAV med at dagpengene aldri skulle ha vært stanset, og innvilget privatpersonen dagpenger for hele den perioden der utbetalingen hadde vært stoppet.
Privatpersonen krevde at vedtaket om stans i dagpenger fra 2. oktober ble rettet opp av NAV i medhold av personvernforordningen artikkel16. NAV gjorde på sin side gjeldende at vedtaket var rettet opp som følge av de etterfølgende vedtakene 1. desember 2015 og 17. mars 2016, og at det ble lagt til en merknad om «Se endringsvedtak 17. mars 2016» i vedtaket av 2. oktober 2015.
I klagesaken for Datatilsynet konkluderte tilsynet med at vilkårene for retting etter personvernforordningen artikkel 16 første punktum ikke var oppfylt, fordi opplysningene som ble krevd rettet ikke er «uriktige» gjengivelser av NAVs vurderinger på vedtakstidspunktet. Personvernnemnda opprettholdt Datatilsynets vedtak. Nemnda la vekt på at opplysningene kan endres ved at vedtaket påklages, omgjøres eller endres gjennom nye vedtak. I tillegg påpekte Personvernnemnda at NAVs vedtak av 2. oktober 2015 gir korrekt uttrykk for det faktum som NAV la til grunn da vedtaket ble fattet, og at de tre vedtakene i sammenheng gir uttrykk for at privatpersonen på søknadstidspunktet hadde krav på dagpenger og at stansingen av dagpenger derfor var urettmessig. På denne bakgrunn ble det konkludert med at sammenhengen mellom vedtakene medfører at NAV ikke har registret uriktige opplysninger om privatpersonen, og at vilkåret for retting etter personvernforordningen artikkel 16 derfor ikke er oppfylt.
Personvernnemndas avgjørelse finnes her:
For omtale av saken på engelsk:
https://gdprhub.eu/index.php?title=PVN_-_PVN-2023-04&mtc=today
COOKIES
Det danske datatilsynet på hugget om cookies
Det danske datatilsynet anmeldte Texas Andreas Petersen A/S til politiet 6. oktober 2023 etter det de mente var innsamling og behandling av personopplysninger uten rettslig grunnlag etter nettstedsbesøk på www.texas.dk. Ved gjennomgang av nettsiden oppdaget det danske datatilsynet at en rekke informasjonskapsler ble brukt for å samle inn og avsløre informasjon om besøkende til Google og Meta.
Ettersom Texas Andreas Petersen A/S behandlet personopplysninger uten rettslig grunnlag, hvor slik behandling potensielt involverte et stort antall besøkende på nettstedet, utstedte det danske datatilsynet en bot på til sammen DKK 200.000. Botens størrelse begrunnes med at det danske datatilsynet har gitt veiledning om hvordan personopplysninger som gjelder besøk på nettstedet skal behandles siden februar 2020. Boten er ikke særlig høy i europeisk sammenheng, men den er høy i en dansk sammenheng da de sjelden utsteder bøter.
Som de fleste lesere vil vite, har Norge foreløpig en annen tilnærming til problemstillingen. Foreløpig kan samtykke til informasjonskapsler gis gjennom nettleserens innstillinger, og enkelte unntak fra samtykkekravet og informasjonsplikten gjelder etter norsk lov. Dette forventes imidlertid å endre seg når den nye e-komloven trer i kraft. Det er klokt å allerede nå forberede seg på at denne endringen vil inntreffe, ettersom jeg antar at eventuelle nye regler i Norge vil bli håndhevet like effektivt og strengt som de nåværende EU-reglene.
Les mer her:
DATABEHANDLERE
Er tilbyder av samlokasjon i datahaller databehandlere?
Det danske datatilsynet har, etter henvendelse fra Region Midtjylland, tatt stilling til hvorvidt leverandører av samlokasjon av servere (Co-location) som benyttes til behandling av personopplysninger, skal anses som databehandlere.
I sin henvendelse opplyste Region Midtjylland at samlokasjon er en oppbevaringstjeneste som leveres av it-virksomheter. Regionen plasserer egne servere i et serverskap hos en virksomhet som leverer denne tjenesten.
Datatilsynet konkluderte overordnet sett med at en virksomhet, myndighet eller en annen organisasjon som leverer samlokasjon av servere ikke skal anses som databehandlere for de organisasjonene eller virksomhetene samlokasjonsytelsen leveres til. Som forutsetning for sin konklusjon, fremhevet datatilsynet at virksomheten som leverer samlokasjon ikke har adgang til personopplysninger på serverne. Som eksempel nevner tilsynet situasjoner der kunden har plassert egne servere med strøm- og internettilknytning i et låst serverskap, som bare kunden har tilgang til.
For å begrunne sitt synspunkt, understrekte Datatilsynet videre at levering av samlokasjon for servere først og fremst dreier seg om levering av fysiske fasiliteter, internett og strømforsyning, ikke behandling av personopplysninger. Datatilsynets understreker imidlertid at uttalelsen bare konstituerer et utgangspunkt, og at andre omstendigheter kan føre til at leverandøren av samlokasjon likevel må anses som en databehandler.
Som eksempler på omstendigheter som kan føre til at leverandøren likevel må anses som en databehandler nevnes situasjoner der leverandøren har adgang til serverskapet, slik at man kan få tilgang til personopplysningene. Som andre eksempler fremheves også situasjoner der leverandøren kan skifte ut eller på annen måte behandle de harddiskene som lagres, eller der serverne kan flyttes, skrus av og på eller på annen måte håndteres. I tillegg fremheves situasjoner der leverandøren tilbyr ytterligere ytelser enn kun fysiske fasiliteter, strøm og internett. Dette kan dreie seg om ytelser som brannmurer, back-up eller andre sikkerhetstiltak som omfatter behandling av personopplysninger.
Virksomheten som driver samlokasjon kan også bli dataansvarlige som følge av de fysiske sikkerhetstiltakene som leverandøren har etablert. Det kan handle om registrering av besøkende, loggføring av nøkkelbrikker og/eller kameraovervåkning. Det er virksomhetene som benytter seg av samlokasjon som er forpliktet til å etablere og føre kontroll med tilfredsstillende behandlingssikkerhet i tråd med personvernforordningens artikkel 32. Dette innebærer at kunden må ha kjennskap til leverandørens sikkerhetstiltak, og vurdere om disse er tilstrekkelige i relasjon til de behandlingsaktivitetene som gjennomføres på serverne.
Overordnet sett er det likevel grunn til å fremheve at datatilsynets uttalelser antyder at leverandører av samlokasjon for servere i utgangspunktet ikke skal anses som databehandlere. Unntakene er konkrete serviceavtaler som tilsier at leverandøren har befatning med personopplysningene som behandles på serverne.
Avgjørelsen kan leses i sin helhet her:
KONTROLL PÅ ARBEIDSPLASSEN
Kameraovervåking av ansatte og GPS-sporing
Datatilsynet har igjen rettet blikket mot hvordan virksomheter overvåker sine ansatte, med søkelys på bruk av kamera på arbeidsplasser med unge arbeidstakere. Som annonsert tidligere vil Datatilsynet gjennomføre flere kamerainspeksjoner i fremtiden. Tilsynet vil skje uanmeldt, og uten forvarsel. Dette er høyst uvanlig, og understreker hvor seriøst Datatilsynet tar denne problemstillingen.
Datatilsynet har hatt et uanmeldt tilsyn hos Fast Candy AS, en godteributikk i Oslo. Datatilsynet oppdaget at store deler av godteributikken var kameraovervåket, inkludert området bak kassen og lager/kontorområdet. Kameraløsningen hadde også kontinuerlig fjerntilgang og lydopptak. På bakgrunn av disse funnene fattet Datatilsynet vedtak om flere pålegg. Datatilsynet mener at ansatte ikke skal overvåkes bak kassen, med mindre særskilte grunner taler for at det er nødvendig. Fast Candy må stoppe kameraovervåkingen bak kassen i butikken. Butikken må videre justere eller fjerne kameraovervåking av lager og kontorareal, samt stoppe all bruk og mulighet for fjerntilgang og lydopptak gjennom kameraovervåkingen. Utover dette må Fast Candy gi sine ansatte ytterligere informasjon om kameraovervåking og etablere internkontroll for slik overvåking.
Jeg tror Fast Candy var ganske heldige som ikke fikk en bot for dette. Det kan være verd å minne om at man ikke kan ha lydopptak samtidig med kameraopptak. Dette sitter i «ryggmargen» på mange av oss som har jobbet med personvern en stund, men i den siste tiden hører jeg oftere om at virksomheter tror de kan gjøre begge deler. Kameraene har ofte den muligheten – men det er altså i all hovedsak ikke lov.
Datatilsynet erkjenner at det er lett å ta i bruk rimelige kameraløsninger. Mange av systemene kan være forhåndsinnstilte på en måte som ikke er i tråd med regelverket. Selskaper er ansvarlige for å bruke kameraet på en lovlig måte, og påse at innstillingene er lovlige.
Overvåking av ansatte er også på dagsorden i utlandet. Information Commissioner’s Office (‘ICO’) har nylig gitt ut ny veiledning om overvåking av ansatte. De har en bred beskrivelse av hva overvåkning kan være: Sporing av telefonsamtaler, meldinger og tastetrykk, opptak fra webkamera, lydopptak, skjermbilder eller bruk av overvåkingsprogramvare for å spore ansattes aktivitet og annet.
Dersom organisasjoner ønsker å over våkeansatte, må de iverksette visse grep, herunder gi ansatte informasjon om art, omfang og årsaker til overvåking. Videre må bedriften sørge for at overvåking har et klart definert formål, samt påse at minst mulig inngripende tiltak benyttes. Det må tilbys alternativer for ansatte som ikke ønsker å bruke biometriske tilgangskontroller til arbeidsområdet, for eksempel sveipekort eller PIN-numre. Selv om vi ofte opplever at Storbritannia tillater mer overvåking av ansatte enn de skandinaviske landene, er veiledningen her ganske lik med det skandinaviske regelverket.
Den østerrikske datatilsynsmyndigheten avgjorde nylig at en behandlingsansvarlig som hadde installert GPS-sporingsenheter på firmakjøretøy brukt av sine ansatte, verken kunne bruke en juridisk forpliktelse eller legitime interesser som det lovlige grunnlaget for behandlingen. Myndigheten anerkjente visse legitime interesser til behandlingsansvarlig, inkludert bruk av GPS-data for å beregne arbeidstimer, utgifter som påløper for å kompensere ansatte tilstrekkelig og lokalisering av ansatte slik at de kunne sendes til klienter. Men de kom frem til at den at behandlingsansvarlig kunne få tilgang til slik informasjon, og utføre disse oppgavene, uten GPS-sporingsenheten. Dette betyr at de nødvendige betingelsene for å bruke legitim interesse som rettslig grunnlag ikke var oppfylt.
Den behandlingsansvarlige kunne heller ikke bruke påberope seg en juridisk forpliktelse som rettslig behandlingsgrunnlag, siden den allerede oppfylte kravene i den østerrikske arbeidstidsloven før bruken av GPS-sporingsenheten og gjorde det med mindre inngripende midler. Som en konsekvens, ble det pålagt å stoppe all behandling av personopplysninger gjennom GPS-sporingssystemet.
For mer informasjon, se:
- Kameratilsyn hos virksomheter med unge arbeidstakere
- Flere pålegg etter tilsynssak mot Fast Candy AS
- Employment practices and data protection − Monitoring workers
- DSB (Austria) – 2022-0.021.739
KUNSTIG INTELLIGENS
Praktisk veileder for utvikling av AI i Frankrike
Det franske datatilsynet, CNIL, har delt en praktisk veiledning for utvikling av kunstig intelligens (AI)-systemer. Fire ting er spesielt verdt å nevne:
For det første skal det defineres et formål. I denne forbindelse uttaler CNIL at behandlingsoperasjonene som utføres i distribusjonsfasen og utviklingsfasen, i prinsippet har et enkelt overordnet formål når den operative bruken under distribusjonsfasen er nøyaktig identifisert fra utviklingsfasen. Saken er mindre klar for generelle AI-systemer. I dette tilfellet kan den operative bruken ikke være eksplisitt identifisert fra utviklingsfasen, hvilket betyr at formålet med behandlingen i denne fasen må inkludere forståelig informasjon om type system, samt dets funksjoner og muligheter.
For det andre: Samtykke, legitime interesser, allmenne interesser og oppfyllelse av en kontrakt kan brukes som et rettslig grunnlag, avhengig av konteksten. Den behandlingsansvarlige må finne et passende juridisk grunnlag for deres AI-system. Dette er både praktisk og nyttig – og viser at det er flere alternativer hjemler som kan fungere når man skal utvikle en AI – men det gjelder å velge riktig.
For det tredje: en vurdering av personvernkonsekvenser (DataProtection Impact Assessment – DPIA) for utvikling av AI-systemer må ta for seg spesifikke AI-risikoer. For eksempel risikoen for å dele falskt innhold om ektemennesker. Dette kommer ikke som noen overraskelse, siden utvikling av AI-systemer krever betydelige data, inkludert personopplysninger.
For det fjerde må behandlingsansvarlig kontinuerlig overvåke og oppdatere dataminimering og databeskyttelsestiltak for å sikre at de som er vedtatt i datainnsamlingsfasen ikke blir utdatert.
Prinsippene er i tråd med hva som antas å bli vedtatt i AI Act.
Veiledningen er tilgjengelig her:
https://cnil.fr/en/ai-how-sheets
OFFENTLIGHETSLOV KONTRA PERSONVERN
Politisk reklame til foreldre under valgkampen
Under valgkampen tidligere i høst, sendte flertallspartiene i Stavanger, inkludert Arbeiderpartiet og Senterpartiet, en e-post med politisk reklame til flere foreldre med barn i barnehager og skoler. Foreldrenes kontaktinformasjon var ikke offentlig kjent. Partiene hadde fått tilgang til informasjonen fra Stavanger kommune via offentlighetsloven. Selv om personopplysninger kan kreves utlevert med hjemmel i offentlighetsloven, må all videre behandling være i samsvar med personvernloven. Mange reagerte negativt.
Uvitende om at deres personopplysninger ble behandlet på denne måten, sendte flere foreldre inn klager til Datatilsynet. Foreldrene stiller spørsmål ved lovligheten av de politiske partienes, og Stavanger kommunes, behandling av personopplysninger.
På bakgrunn av disse klagene ba Datatilsynet om en redegjørelse fra Stavanger Arbeiderparti på vegne av flertallspartiene. Datatilsynet ba om ytterligere informasjon om hvem som var behandlingsansvarlig, hvilke personopplysninger som ble behandlet, formålet med behandlingen, dets rettslige grunnlag, hvilken informasjon registrerte mottok, samt lagringsperioder.
Datatilsynet har mottatt redegjørelsen og denne vurderes nå. Mer informasjon om denne saken vil komme utover høsten, og vi venter spent på datatilsynets vurderinger. Offentlighetsloven står meget sterkt og det er ikke alltid at den trekker i samme retning som personvernet. Saken er interessant, da den vil ha betydning for hvordan andre politiske partier kan dele politisk reklame.
Les mer her:
https://www.datatilsynet.no/aktuelt/aktuelle-nyheter-2023/ber-om-redegjorelse/
BRUDD PÅ PERSONVERN
Dyrt med avvik i USA
Etter påstander knyttet til et datainnbrudd som avslørte sensitive data fra 13.000 non profit organisasjoner i 2020, gikk Blackbaud, et programvareselskap for pengeinnsamling, med på å betale 49,5 millioner dollar i en forliksavtale. Brudd på personvernet kan med andre ord koste dyrt i USA.
En uautorisert tredjepart fikk tilgang til Blackbauds data, noe Blackbaud offentlig erkjente 16. juli 2020. Det Blackbaud angivelig ikke informerte om, var bruddets omfang og sensitiviteten i dataene som var blitt stjålet. Over én million filer var omfattet av datainnbruddet. Statsadvokater i 49 stater og Washington D.C. opprettet sak med personvernkrav mot selskapet. Selv om Blackbaud ikke innrømmer skyld i henhold til forliksavtalen, må de både betale dyrt og styrke sin datasikkerhet og varsling av kunder ved databrudd. En tredjepart skal inn og vurdere Blackbauds overholdelse av forliksavtalen i syv år fremover.
Les mer her:
https://apnews.com/article/blackbaud-data-breach-settlement-dba8fac12af30f74691c7af4fec69a14\
CSAM-FORSLAGET
Omdiskutert forslag i kampen mot nettovergrep
Nylig stemte EU om det såkalte CSAM-forslaget, som er en del av EUs tiltak for å bekjempe overgrepsmateriale av barn på internett. Forslaget kan i praksis forby krypterte, sikre meldingstjenester som vi i dag kjenner som f.eks. WhatsApp, iMessage og Signal.
Forslaget har blitt heftig debattert, blant annet fordi at dette vil åpne for en masseovervåkning av meldingstjenester som kan på virkekildevern, overføring av helsedata og generelt personvern. Kritikerne mot forslaget hevder at regelverket vil være enkelt å omgå for de kriminelle det er ment å stanse, og at forslaget derfor kan få større konsekvenser for vanlige mennesker enn for de kriminelle. Blant kritikerne blir det også tatt til orde for at tjenestene kan bli nødt til å overvåke alt innhold som sendes, for å være sikre på at de forholder seg til EUs reguleringer.
EU har blant annet foreslått å gjøre skanning etter overgrepsmateriale av barn obligatorisk, gjennom at tjenestetilbyderne pålegges å bruke teknologi for å oppspore, rapportere og fjerne overgrepsmateriale fra sine tjenester. Datatilsynet har på sin side uttalt at EUs foreslåtte reguleringer vil være enkle å omgå for kriminelle, blant annet gjennom at overgrepsmateriale krypteres før det sendes eller lastes opp. Datatilsynet har også uttalt at de støtter innsatser for å sikre effektive tiltak mot seksuelle overgrep mot barn på nett, men at den foreslåtte CSAM-forordninger reiser alvorlige utfordringer for personvernet.
Datatilsynet har mange gode poenger her og det å slå “hull i” krypteringsløsninger har en rekke store personvernkonsekvenser.
Dersom EU beslutter å vedta CSAM-forordningen, vil denne tidligst bli vedtatt i 2024.
Les mer om saken her:
KOMMENDE MØTER
| 16. nov 12.00 – 13.00 Digital drop-in |
| 7. des 14.00 – 17.00 Nettverksmøte, Oslo |
| 25. jan 14.00 – 17.00 Nettverksmøte i Oslo |
Se hele oversikten over kommende aktiviteter i nettverket her.
SISTE ORD
Du får dette nyhetsbrevet som medlem av tilt.works PrivacyTech-nettverk eller fordi du har tegnet et eget abonnement. Du kan oppdatere din profil her.
Systematisk nedvurdering av kompetanse og livserfaring
Det kan synes som om samfunnet gradvis har skiftet fokus fra verdsettelsen av kompetanse og livserfaring til å omfavne overfladiske kvaliteter. Vi ser det i populariteten til de såkalte influenserne på sosiale medier, samt i diskrimineringen av eldre arbeidstakere i profesjonelle sammenhenger. I denne artikkelen vil jeg reflektere over hvordan og hvorfor denne nedvurderingen har skjedd, samt de potensielle konsekvensene av en slik endring i samfunnets verdier.
Influenserkulturen
Influenserkulturen illustrerer en tydelig devaluering av kompetanse og livserfaring. Mange innflytelsesrike personer på plattformer som Instagram og TikTok oppnår en form for kjendisstatus, og deres meninger og anbefalinger blir høyt verdsatt, til tross for manglende formell utdanning eller ekspertise innen feltene de uttaler seg om. Dette kan delvis tilskrives den umiddelbare tilfredsstillelsen og underholdningsverdien som disse plattformene tilbyr, men også en endring i hva samfunnet verdsetter og anser som autoritativ kunnskap.
Aldersdiskriminering i arbeidslivet:
Parallelt ser vi en tendens i arbeidslivet der eldre arbeidstakere ofte blir oversett eller undervurdert til fordel for yngre individer. Dette til tross for at de eldre arbeidstakerne besitter betydelig kompetanse og livserfaring. Yngre individer blir ofte forfremmet til seniorposisjoner, selv med begrenset erfaring. Dette kan reflektere en samfunnsmessig preferanse for «nyhet» og en misforstått oppfatning av innovasjon og teknologisk innsikt som noe som er unikt for yngre generasjoner.
Historisk kontekst:
I antikken og middelalderen ble kunnskap og erfaring høyt verdsatt, som sett gjennom mester-/lærlingforholdene. Individer brukte år på å perfeksjonere sine håndverk og akkumulere verdifull erfaring før de oppnådde status som mestere. Dette kontrasterer skarpt med dagens praksis hvor akademiske grader ofte blir sett på som tilstrekkelige bevis på kompetanse, til tross for manglende praktisk erfaring.
Konklusjon
Det er essensielt for samfunnet å revurdere og omdefinere hva som betraktes som verdifull kompetanse og kunnskap. Ved å gjeninnføre en respekt og verdsettelse for livserfaring og praktisk kunnskap, kan samfunnet nyte godt av et rikere mangfold av innsikt og ekspertise. Det kan i sin tur bidra til mer bærekraftig og omtenksom fremgang. Det krever en kollektiv innsats for å motvirke de nåværende trendene og fremme en kultur som verdsetter reell kompetanse og erfaringsbasert kunnskap.
Les også
Magefølelsen som foretrukket beslutningsform
HR Norge og EY har turnert Norge rundt denne høsten og presentert funn fra HR-undersøkelsen 2023. Jeg hadde gleden av å delta på en slik presentasjon, og fikk med meg flere aha-opplevelser på veien ut.
Det jeg har tenkt mest på i etterkant, er det HR Norge beskriver i artikkelen HR har fortsatt en vei å gå for å bli innsiktsdrevet, og som også kunne vært omskrevet til «Magefølelsen er fortsatt den foretrukne beslutningsformen, også innen HR.»
Innsikt gir en mer positiv framtidstro
Interessant nok viser funn i undersøkelsen at de organisasjonene som evner å omsette tilgjengelig informasjon til innsikt og agere deretter, har en mer positiv framtidstro, enn de som ikke i like stor grad evner å systematisere tilgjengelig og relevant informasjon på en måte som gir retning.
Med andre ord: For å kunne ta kloke beslutninger må vi både ha tilgang på relevant informasjon, vi må ha tid, kapasitet og kompetanse til å forstå hva den betyr, og handlingsrom til å fatte beslutninger og gjennomføre tiltak basert på denne innsikten.
Her er det mye som kan gå galt.
Hvor henter vi informasjonen fra?
De fleste bransjer, og både privat og offentlig sektor, har i prinsippet tilgang på en stor mengde informasjon av både historisk art, prognoser og trender.
Denne type informasjon samles og analyseres i forskningsmiljøer, i offentlig regi som for eksempel SSB og Innovasjon Norge, i bransjeforeninger, medlemsorganisasjoner og konsulentmiljøer.
I tillegg har alle virksomheter muligheten til å ta tempen på egen organisasjon gjennom ulike typer kartlegginger av alt fra lønnsomhet til arbeidsmiljø, og også invitere kunder til erfaringsdeling.
Informasjonshåndteringen
I denne fasen møter mange det første store hinderet, og det handler om kapasitet og prioriteringer, eller evne og vilje til å sette av tid.
Det vil alltid være noe som brenner, og hvis ingen er dedikert til ansvaret for å etterspørre og sette sammen informasjon med tanke på framtida, står den samme framtida på døra med alle sine nye realiteter før vi har rukket å trekke pusten.
Disse realitetene kan handle om alt fra endringer i regelverk og sentrale føringer, til rekrutteringsutfordringer eller endret brukeratferd som gjør at vi ikke lenger dekker behovet kundene våre har.
Delingskultur i virksomheten
Som lederoach i en kommune kom jeg i prat med en avdelingsleder etter at hun hadde deltatt på et seminar om digitalisering i eldreomsorgen, og spurte hva hun hadde fått ut av seminaret.
Hun svarte kontant: «Tverrfaglighet, tverrfaglighet og tverrfaglighet.»
Svaret hennes peker på noe vesentlig.
Utfordringene vi står overfor, og kommer til å stå overfor, er stadig mer komplekse. For å skaffe oss tilstrekkelig innsikt slik at vi kan ta kloke valg, er det helt avgjørende å sette sammen ulik kompetanse som sammen kan utvikle løsninger som ingen rendyrkede fagmiljøer kan klare alene.
Dette innebærer at det er et lederansvar å stimulere til en delingskultur i virksomheten og mellom virksomheter, med felles og bedre problemløsning som ønsket resultat .
Organisering, ansvar og myndighet
Er det samsvar mellom innsikt, ansvar og myndighet i din virksomhet?
Har dere satt av tid og rom til analysearbeid og kartlegginger internt? Har den som sitter på innsikten, også et handlingsrom til å bringe den videre og sette den i et system?
Har dere nødvendig kompetanse i organisasjonen for å kunne møte framtida, og bruker dere denne kompetansen riktig i dag?
Og anerkjenner dere varslerne, de som allerede har sett at båten dere ror nå, ikke vil holde vann på sikt?
Agerer dere på innsikten alt dette gir virksomheten, legger en strategi og iverksetter tiltak?
Da er dere på god vei :-).
Les også:
Seks ferdigheter for deg som vil være en coachende leder
I helgen var jeg assistent for et kurs jeg selv tok i 2004. Co-active coaching fundamentals var mitt første skritt inn i en ny måte å jobbe, tenke og være på. Det forandret – svulstig sagt, men sant – mitt liv.
Nesten 20 år etter tror jeg nok en «coachende væremåte» har blitt en del av mitt DNA. Det er blitt en ubevisst kompetanse, like integrert i meg som å kjøre bil, sykle og pusse tennene.
Kurset i helgen ble en slags «reverse engineering», en oppdagelsesferd i brikkene i et puslespill.
På en måte puslespillet meg.
Coachende ledelse
Min coaching-reise har ledet meg i retning ledelse; både i å støtte ledere i deres lederskap, men også pekt meg i retning eget lederskap, formelt og uformelt, versus andre, og versus meg selv.
I Co-Active coaching snakker man om en rekke ferdigheter som kan brukes i coaching. Mange av de er like mye lederferdigheter og livsferdigheter som coaching-ferdigheter. Jeg har lyst til å dele noen av de med deg og utfordre deg til å undersøke om de er anvendelige i ditt liv, og kanskje lederskap.
Ansvarliggjøring
I coaching-språket tar ansvarliggjøring (accountability) utgangspunkt i at kunden (coachee) er ansvarlig for å følge opp forpliktelser man blir enige om. Ansvarliggjøring er en konkretisering av dette. «Du sier du skal … Hvordan vil du at jeg skal holde deg ansvarlig for at det blir gjort?»
Svaret vi ser etter er tidfestet og etterprøvbart.
Det som er viktig her er at den som forplikter seg skal eie sin egen forpliktelse. Det må komme fra et sted inni den andre, ikke som en instruks fra coachen. Eller lederen, hvis du skal bruke dette i din ledelse.
Anerkjennelse
Anerkjennelse (acknowledgement) er sterkere enn ros. Ros er et klapp på skulderen og et «bra jobba». Anerkjennelse anerkjenner hva det krevde. Det er «Du var flink som leste denne artikkelen» versus «jeg ser hvor lidenskapelig opptatt du er av å lære når du bruker verdifull tid en morgenstund for å lese denne artikkelen».
Les: A for anerkjennelse
Sette ord på det som skjer
På det overfladiske nivået vi som regel er innstilt til å lytte til hverandre (nivå 1) registrerer vi i beste fall det som blir sagt, ikke det som blir følt, ment eller ikke sagt. Noen lytter automatisk dypere og bedre, og effekten for den som blir lyttet til er formidabel.
Den gode lytter ikke bare oppleves som lyttende, men tar sats og setter ord på det hen hører eller ser eller føler. «Når du snakker om dette aner jeg en usikkerhet i stemmen din. Hva er den usikkerheten?»
Les: Kunsten å lytte
Bunnlinjering
Bunnlinjering. Et rart ord jeg fant på akkurat nå, men originalen er «bottom-lining». Når den andre tar av og ordflommen truer med å drukne all mening fram til lunsj, stopp ham eller henne høflig med et «hva er essensen i dette?»
Championering
Enda et rart ord, hvor originalen er «championing».
Coachende ledelse er drivhusledelse. Du skal være en gartner. Du skal stelle med folka rundt deg som du ville stelt planter i et drivhus.
I dette ligger også en viktig erkjennelse: Som leder skal du tilrettelegge for vekst, men voksinga må de ta seg av selv. Du kan ikke beordre en plante til å blomstre, like lite som du kan instruere en medarbeider til personlig utvikling.
Men du kan hjelpe dem ved å vise dem bilder av seg selv de ikke greier å se selv, det være seg fordi de ikke tror nok på seg selv, eller fordi de mister perspektivet slik vi ofte gjør når detaljer tar fra oss fugleperspektivet på oppgaver og eget liv.
Dette er championering.
Når den andre strekker seg mot nye mål, men ikke helt tør å ta sats, kan et «jeg kan virkelig se for meg deg som leder for den avdelingen» være det som skal til.
Les: Drivhusledelse
Omramming
Den siste ferdigheten jeg har lyst til å ta med i denne omgang er omramming (reframing). Det handler om å hjelpe den andre til å se ulike perspektiver; å innta ståsted fra hvor som helst i alle fire dimensjoner, tid inkludert.
«Hvordan ser dette ut for deg om fem år?»
«Hva ville ditt råd til deg selv vært om du allerede hadde oppnådd dette målet?»
Utsjekk
Denne fordypningen i coaching-ferdigheter som vil være nyttig for ledere er første skritt i det jeg ble utfordret til av medstudent Sara i helgen: Å endelig lansere et kurs i coachende ledelse, slik jeg har mumlet og snakket og utsatt i mange år.
Sara spurte meg – helt i tråd med første ferdighet nevnt over – om når jeg ville gjøre det og hvordan jeg ville holdes ansvarlig for at det ble gjort.
Jeg svarte at jeg lanserer kurset i mai, og at jeg i oppkjøringen til det jevnlig skal preppe meg selv og deg som leser Tirsdag morgen (som nå inkluderer Sara, – og Sara, nå har jeg gjort det) på dette spennende og viktige temaet i ukene og månedene som kommer.
Så nå står jeg ansvarlig overfor deg også.
God tirsdag.
Tanker for morgendagens ledertalent
Det var spennende å få dele tanker og erfaringer med 50 unge ledertalenter under Rotary Young Leaderhips Awards 2023. For en ting er sikkert: Ender de opp som ledere vil de møte en så å si «umulig» vegg av forventninger, utfordringer og krav. Samtidig skal de sjonglere og balansere det med et privatliv tettpakket med interesser, hobbyer, oppgaver og forpliktelser.
Her er de viktigste punktene jeg formidlet til morgendagens ledere.
Tenk på deg selv!
«Manage your energy – not your time». Vi må alltid huske å ta vare på oss selv. Har vi overskudd og rett fokus klarer vi flere oppgaver og vi klarer dem bedre. Samtidig reduserer vi faren for å gå på en smell.
Faller oksygenmaskene ned i et fly, er instruksen å ta masken på seg selv først. Først da kan vi hjelpe andre. Fungerer du ikke, er du ikke til hjelp for deg selv, ikke for familie og venner, ikke for kollegaer, ikke for kunder, ikke for noen.
Om ikke du har fysisk og mentalt overskudd, hjelper det (nesten) ikke hva du har lært av fin teori. Du vil slite med å gjøre det du innerst inne vet er riktig. Derfor er bevisste valg rundt mat, mosjon, mental helse og søvn helt grunnleggende for om – og hvordan – vi fungerer, eller ikke. Og det hjelper dessverre ikke å være (kjempe)god på en eller to av dem, slik som de som trener mye og derfor tror de er usårlige… Du må ha en viss balanse mellom alt.
En viktig del av bedriftens kulturbygging
Som leder må du også bygge en kultur der dine medarbeidere får kunnskap og inspirasjon til å ta bedre vare på seg selv. Jobben er læringssted nr 1, der er du i 8 timer, 1/3 av døgnet. Jobben er med andre ord en helt unik arena for inspirasjon og kunnskap.
Folkehelsen går dessverre feil vei, ikke minst takket være to år med pandemi. Vi sover mindre, vi beveger oss mindre, vi spiser mer og feil, og det er en sterk og urovekkende økning i mentale lidelser. Selv om du som leder kanskje kan si at «Neida, det gjelder ikke meg!», så må du huske at det høyst sannsynlig gjelder mange av de som jobber for deg.
SykeFRAværet er en ting. Det kompliserer arbeidsdagen og er svært kostbart. Men jeg er minst like opptatt av sykeNÆRværet – med andre ord det du yter under det du normalt burde kunne yte. Har du hatt en dårlig natts søvn, har du vært på fylla med vennene dine, sliter du med et problem eller har du vondt i rygg, nakke, skulder eller annet – ja, da yter du litt mindre. Sykenærværet er ofte en større kostnad, og størrre sikkerhetsrisiko (9 av 10 feil og ulykker i arbeidslivet er menneskeskapte), enn sykefraværet.
Den manglede strategien
Alle bedrifters favorittsetning er: «Våre medarbeidere er vår viktigste ressurs!». Søker du opp frasen på nett får du nesten 8 millioner treff på under 0,5 sekunder! Setningen er sann den, uansett hvor automatisert eller digitalisert jobben din er. Til syvende og sist er det alltid menneskene det kommer an på. Men er setningen en floskel, eller er det en aktiv del av bedriftens strategi og kulturbygging?
Bedrifter har strategier for «alt», men hvor mange har en helsestrategi?
Det er dessverre ikke nok å «sette frem en fruktkurv, tilby trening og arrangere en årsfest», selv om det ser flott ut i årsrapporten.
Du blir påvirket av megatrender. Du blir påvirket av reklame. Familie og venner påvirker deg. Og altså, ikke minst, av bedriftskulturen. At dine medarbeidere har mentalt og fysisk overskudd til å gjøre alt som kreves av dem både på jobb og fritid, kan du påvirke.
Det er ditt ansvar som leder, og ikke noe du kan skyve over på HR-avdelingen. Den har av erfaring tusen andre oppgaver og mangler både personer, ressurser og tid til å jobbe forebyggende og helsefremmende. HR-avdelinger er på mange måter som norsk helsevesen, som bruker 97 av hundre kroner til reparasjon og kun 3 til forebygging. De er bygget opp for å bistå best mulig når ulykken først er ute.
Hvordan tenker og bryr du og bedriften seg om «sin viktigste ressurs»? Fra stillingsutlysning, via jobbintervju, medarbeidersamtaler, gjennom hele arbeidsdagen og helt frem til avsluttet arbeidsforhold? Jobber du og dere aktivt og bevisst med hvordan dere positivt kan påvirke sykenærvær, sykefravær, trivsel, kommunikasjon, kreativitet og innovasjon, teamarbeid, feil og ulykker, og så videre? Det er i så fall en vinn for deg som leder, vinn for bedriften og – ikke minst – vinn for den enkelte medarbeider. Går dine medarbeidere hjem med litt mer overskudd og glede til seg selv, kjæreste, familie, venner og har en god og meningsfylt fritid – vil de også ha det bedre på jobb.
Mitt håp
Klarte jeg å inspirere noen av de 50 ledertalentene til å ta bedre vare på seg selv slik at de unngår å gå på en smell i fremtiden, var det et vellykket foredrag. Fikk jeg også noen av dem til å ville utarbeide en helsestrategi og tenke forebyggende og helsefremmende, ja da kan ikke jeg be om mer!
Les også
«Don’t pick a job. Pick a boss»
Ordtaket “pick a boss instead of a company” resonnerer sterkt i lys av både egne personlige erfaringer og akademisk forskning. I min egen 28-årige karriere har jeg bare opplevd et fåtall ledere som har hatt evnen til å la meg blomstre og virkelig løfte meg opp.
read more…
Døm aldri en fisk ut fra evnen den har til å klatre i trær
«Serriøst, mormor??!!»
Jeg har nettopp prestert en lite grasiøs forsering av et hinder i klatreparken vi befinner oss i, og niåringen er IKKE imponert. Hun kikker litt nærmere på meg, og jeg ser at det glimter skøyeraktig til i øyekroken før hun setter inn nådestøtet: «Å ja, du er i sekstiåra du nå…»
Jeg holder blikket hennes og stirrer trassig tilbake mens jeg tenker: «Ja da, og der skal jeg være i mange år til, men du må ikke bedømme en fisk ut fra evnen den har til å klatre i trær!»
Født uten spenst
Evnen til grasiøst å forsere fysiske hindre har aldri vært en av mine styrker. Selv om jeg var lita og lett i oppveksten, ble jeg også født uten spenst. Min største fiende på skolen var springbrettet og kassa vi skulle hoppe over. Brettet var ondsinnet og kassa høy som et fjell og bred som ei låvedør. Disse to gjorde garantert sitt til at gymkarakteren ble som den ble.
Heldigvis hadde jeg et klart hode, god hukommelse, og tidlig både lese- og skriveglede, og fikk min mulighet til å blomstre gjennom det. Denne gleden har jeg fortsatt.
Go’fotteorien
Da Nils Arne Eggen introduserte go’fot teorien, var det nettopp for å minne oss på at vi må forvalte de ressursene vi har godt, fokusere på egne og andres styrker og gjøre det beste ut av dem. Gjennom denne tilnærmingen henter vi også mot og kraft til å bevege oss ut av komfortsonen iblant og gjøre ting vi ikke er fullt så gode til (som for eksempel å klatre).
Ulempen er at vi tidvis møter mennesker som ser oss ut fra sin modell av verden, en verden vi ikke strekker til i.
Niåringens kommentar er helt ufarlig, både fordi vi har en relasjon bygget på kjærlighet og tillit, og fordi hun er i en alder der voksne mennesker hun kjenner, er svært disponert for å skape pinlige øyeblikk.
Jeg leverte på dette punktet, og fikk som fortjent.
En ordentlig sjanse til å lykkes
Når vi i arbeidslivet møter andres oppgitte blikk over noe vi ikke mestrer eller ikke forstår, har det en helt annen effekt på oss. Opplevelsen kan fort skape en usikkerhet på om vi kanskje ikke holder mål eller er verdt å satse på i det hele tatt.
Da er det lov å spørre om vi kanskje akkurat nå blir målt på et felt det ikke er rimelig å forvente at vi skal mestre, i hvert fall ikke enda? Kanskje har vi akkurat gjort noe for første gang? Eller vi mangler verktøy, ferdigheter eller handlingsrom?
Min gode samarbeidspartner og arbeidsrettsadvokat Kari Bergeius Andersen har et fast uttrykk om dette på kursene vi holder sammen:
«Arbeidstakere skal ha en ordentlig sjanse til å lykkes i jobben sin. »
Ta om mulig en avsjekk på om skalaen du blir målt etter, er en skala du både kan og vil leve opp til hvis du strekker deg litt til. Eller opplever du som meg i blant, at du er en fisk som blir målt etter evnen til å klatre i trær? Da er du nemlig bra nok, men måleskalaen er feil. Det kan bli inngangen til en god samtale.
Mangfold og inkludering: Nøkkelen til en bærekraftig fremtid
«Verdi er kvaliteten ved noe, det som er godt ved noe. En tings verdi sies gjerne å bestemme dens viktighet med hensyn til hvordan vi bør gjøre våre vurderinger og beslutninger». (Store norske leksikon)
Her er et spørsmål til alle ledere/arbeidsgivere, og strengt tatt alle der ute i samfunnet:
Har mangfold og inkludering en verdi i seg selv?
Hvis ja, hvorfor?
Hvis nei, hvorfor ikke?
Vår motstand mot å løfte andre frem
I møter med ulike individer på livsreisen, konfronteres man ofte med den buldrende stemmen som roper om rettferdighet og likestilling, et kall som uanstrengt gjenkjenner skjæringspunktet mellom moralsk rett og sosialt ansvar.
read more…
Co-fasilitering: 1+1=3
I denne artikkelen vil jeg belyse noen generelle prinsipper for læringspotensial ved bruk av 2 workshop-ledere. Dette vil handle om form, og ikke innhold.
Gleden ved å være 2 ledere av workshopen
Vi er mange som leder workshoper og seminarer der vi samarbeider med en annen. Ofte gjør vi dette fordi vi har to ulike kompetanser som utfyller hverandre. Et vellykket partnerskap vil som regel over tid utvikle en kultur preget av gjensidig respekt og støtte. Slike gode relasjoner gir partnerne en anledning til å lære hverandre om ubevisste verdier og praksis på en måte som inviterer til en dypere personlig utvikling. Mange som har opplevd dette, beskriver det ofte som noe av de arbeidserfaringene som har betydd mest for dem i deres profesjonelle personlige utvikling.
Sett fra deltakernes perspektiv
Hva om vi tar et perspektiv fra den som er deltaker? Hvilke unike læringsmuligheter ligger det i det å ha to personer som leder workshopen?
- Se ulike perspektiver:
For det første handler det om å kunne se to ulike personer med to ulike perspektiver og angrepsvinkler. For den enkelte deltaker vil det som regel være lettere å identifisere seg med én av workshop-lederne. Dette gir et godt grunnlag for å utvikle sine egne tanker. Det står ofte i kontrast til en situasjon med én innleder hvor motsetningen mellom innleder og deltaker lettere trigges. - Se og lære om relasjoner og dilemmaer i praksis
For det andre, i enhver relasjon utvikler det seg noen faste mønstre rundt noen dilemmaer. I kursledelse kan det blant annet handle om struktur vs. fleksibilitet, optimisme vs. pessimisme, dominans vs. ettergivenhet, leve i åpne reflekterende samtaler vs lande en konklusjon, og være en formidler av ekspert kompetanse vs. være en fasilitator av læring. De fleste deltagere vil sannsynligvis finne gjenklang i noen av de forskjellene og dilemmaene som dukker opp. Det gir anledning til å reflektere over seg selv og sin egen praksis i forhold til disse dilemmaene. - Se i praksis et forhold preget av gjensidig anerkjennelse og respekt.
For det tredje, når innlederne gir uttrykk for forskjellige oppfatninger, kan det brukes av workshop-lederne til forbilledlig å vise en undersøkende og spørrende praksis i møte det man ikke forstår. Innlederne kan invitere hverandre til å utdype og forklare på en annen måte. I praksis viser man at det er ok å uttrykke uenighet og et mangfold av perspektiver, og at det danner grunnlaget for en god og fruktbar samtale. Det er en praksis som fremmer større psykologisk trygghet for å uttrykke uenighet. - Opplevelse av helhet når dilemmaet oppløses
For det fjerde, når man som innledere framviser dilemmaer, vil mange ønske en form for løsning, en forløsning av dilemmaet, en dialektisk løsning der dilemmaet ikke lenger er problematisk. Om det ikke lykkes kan man ofte finne en praktisk løsning med arbeidsdeling eller fordeling av tid. Men, i seg selv vil det være en spenningsutløsning og læring når 2 workshop-ledere åpent kan reflektere seg imellom om de ulike posisjonene og relasjonen mellom dem. Når man i tillegg lar deltakerne levere sine observasjoner av samspillet, vil en ny type innsikt framkomme – en type innsikt som det ikke er mulig å se for de to workshop-lederne som lever helt og fullt i samspillet. En observatør (deltaker) av en relasjon ser noe unikt som ikke er mulig å se for aktørene (innlederne).
Jeg har gitt denne observatør-kommunikasjonen om dialogen mellom to, et eget navn; trialogen. Potensialet for ny innsikt for alle involverte i trialoger er noe som for meg ble veldig tydelig da jeg var med på å utvikle en familieterapeutisk praksis kalt «Reflekterende Team». Når man fant løsninger der dilemmaet ikke lenger var et problem, så ble dilemmaenes negative konfliktpotensial borte. Det vi ofte så i den settingen var en større aksept for å kunne leve med ulike posisjoner. Det er slike læringsprosesser som ofte fører til at man tenker annerledes om seg selv, en form for transformasjon av personlig selvforståelse. Og, på den måten sørger vi for læring både for workshop-lederne og for deltakerne på deres premisser.
Gode råd
Gitt det som er skrevet over, blir selvrefleksjon en viktig del av læringsprosessen. I workshopen kan dette gjøres ved deltakernes forberedelser til workshop, gjennom tydeliggjøring av egne målsettinger i seminaret, gjennom dialoger med andre deltakere – og ikke minst gjennom trialogiske samtaler om relasjonen mellom den enkelte deltaker og samspillet mellom workshop lederne.
Prøv dette – og du vil se at det gir mange nye og relevante læringspunkter.
Du kan også lese mer om dette i kapittel 3 og 4 min bok: Ekelund, B.Z. 2019. Unleashing the Power of Diversity. How to Open Minds for Good. Axon (UK)/New York (US): Routledge, Francis & Taylor.
Kunsten å fasilitere en vellykket workshop
Sammen med Hedvig Rognerud og Paal Leveraas har Bjørn Z. Ekelund utviklet kurset Kunsten å fasilitere en vellykket workshop. Her vil deltakerne får et større innblikk i blant annet co-fasilitering. Kurset settes opp 14. november 2023. Les mer om det her.
Enda et idiot-kurs ledelsen har dratt i gang
Har du kjent på den følelsen? Når tjue motvillige kursdeltakere kommer trampende inn i et lokale, til en dag de ikke har bestilt, og et kurs de er pålagt å delta på?
Selv er du innleid kursholder og merker hvordan velkomstsmilet stivner i munnvikene, og stemmen er i ferd med å svikte. Du er nemlig den materialiserte årsaken til at alle disse menneskene akkurat nå opplever at de er på feil sted til feil tid, og snart må lytte til noe de absolutt ikke har bruk for.
Er dette et «lost case»? En kamp du er dømt til å tape? Ikke nødvendigvis.
Kast agendaen!
Jeg har vært i situasjonen flere ganger. Det er ikke det beste utgangspunktet jeg vet om, men sett fra et annet perspektiv: Herfra kan det bare gå oppover, og det beste rådet jeg kan gi, er å kaste agendaen, sette seg ned, og lytte med oppriktig interesse.
Hvem er disse menneskene? Hvor kommer motviljen fra? Og ikke minst, hva er de opptatt av? Får du tak i de behovene som utløser atferden, kan dagen bli riktig så spennende.
Sliter de med dårlig kommunikasjon på avdelingen? Er bestillingen en del av en omstilling de ikke er klare for? Kanskje er de redde for ikke å mestre nye systemer/nye krav som denne oppæringen er en del av? Er det egentlig et interessant tema, men det brenner av ugjorte oppgaver på kontoret?
«Har du noen gang vært arbeidsledig?»
Som ung rådgiver ble jeg kastet inn som vikar på et jobbsøkekurs for folk som hadde vært i tiltak noen år, og nå skulle ut i ordinært arbeidsliv.
Motstanden jeg møtte var i overkant skremmende for en fersk kursholder, men hun som hadde drevet med dette ei stund, tok meg til side og sa: «Nå går vi ut, kommer inn igjen og begynner på nytt.»
Tilbake i kurslokalet stilte vi oss opp foran en skog av korslagte armer, før hun ga følgende beskjed:
«Dere lurer sikkert på hvem vi er, så nå kan dere spørre oss om hva som helst. Blir det for privat, kan vi velge å ikke svare, men ellers er det fritt fram!» Det første spørsmålet vi fikk, var om vi noen gang hadde vært arbeidsledige.
Da vi kunne svare et bekreftende «JA» på dette begge to, forsvant spenningen i rommet. At vi forsto det de sto i, var den bekreftelsen de trengte for å slippe oss innenfor.
Jeg vet ikke om det var de eller jeg som lærte mest i de to ukene som fulgte. Stemningen var det ihvertfall ingenting å si på.
Hva skal til for å kaste agendaen?
Å planlegge for det uplanlagte fordrer en annen type grundighet enn detaljplanlegging. Det handler mer om at vi er forberedt på ulike scenarioer, og pakker verktøykassa med dette i bakhodet.
Å lese rommet og ta grep ut ifra det vi ser, forutsetter tre ferdigheter:
- Evnen til å lytte, og å møte folk med oppriktig interesse. Hvem har vi foran oss nå? Hva trenger de fra oss?
- Trygghet på at vi har det handlingsrommet som trengs, og, hvis vi er to kursholdere som står for snuoperasjonen sammen: Gjensidig tillit til hverandres vurderingsevne og kreativitet.
- Erfaring og ei rikholdig verktøykasse som gjør at vi evner å snu opp ned på den opprinnelige planen. Da vil det alltid finnes et verktøy som virker.
Med disse tre ferdighetene i sekken kan vi når som helst kaste agendaen, by kursdeltakerne opp til dans og skape magi sammen. Som da vi våren 2022 dukket opp på et hotell for å kjøre kick off før sommersesong, og ble ønsket velkommen av direktøren som kunne fortelle: «Styret signerte en avtale i går om at vi blir karantenehotell det nærmeste halve året».
Det ble en konstruktiv og god workshop, nettopp fordi vi rev agendaen i stykker og begynte på nytt. Behovene hadde endret seg over natta.
Kunsten å fasilitere en vellykket workshop
I en nyutviklet workshop vil de erfarne fasilitatorene Hedvig Rognerud, Bjørn Z. Ekelund og Paal Leveraas dele sine erfaringer og beste verktøy for å skape en workshop som gir varig læringsutbytte. Du kan lese mer om workshopen her.
Har konseptet «Verdi» noen verdi i samfunnet?
«Verdi er kvaliteten ved noe, det som er godt ved noe. En tings verdi sies gjerne å bestemme dens viktighet med hensyn til hvordan vi bør gjøre våre vurderinger og beslutninger».
Kilde: Store Norske Leksikon
read more…
IT-jus nr. 10/23
Høsten er godt i gang og datatilsynene i Europa kommer med en strøm av nye avgjørelser. Det er kommet nok en stor bot fra Irland, denne gangen mot TikTok. Det er så mange avgjørelser nå at det utgjør en utfordring for mange å følge med på hva som er viktig. Under har jeg valgt ut en rekke nye avgjørelser som jeg synes har verdi å vite om. Grensen mellom avtale og samtykke er stadig i fokus. I øvrig er det viktig at det har kommet et søksmål mot DPF, overføringsgrunnlaget til USA. Det har også skjedd en del på mer overordnet personvern-plan: Selskaper som rammes av DMA er identifisert, det er kommet ny kritikk mot personvern i bilbransjen og mye mer. Avgjørelsen fra Personvernnemnda om Grindr og hva som er sensitive personopplysninger, kommer vi tilbake til i neste møte.
Happy reading!
Hilsen Eva
KLAGE MOT DPF
Det finnes flere aktivister enn Schrems
Den nye EU-US Data Privacy Framework, DPF, strider mot både GDPR og EUs pakt om grunnleggende rettigheter, mener
, medlem av Frankrikes lovgivende forsamling. Tidlig i juli vedtok EU-kommisjonen et nytt juridisk rammeverk for trygg overføring av personopplysninger mellom EU og USA. Latombe mener at den nye dataoverføringsavtalen ikke gir tilstrekkelige garantier for respekten for privatlivet, og han ber EU-domstolen om å sette den på hold. Mange trodde det ville bli Schrems som skulle angripe DPF, men slik ble det altså ikke.
Et interessant poeng er at han også er ansatt i det franske datatilsynet – CNIL. Klagen har han likevel levert inn som enkeltperson – noe annet ville jo vært helt oppsiktsvekkende når tilsynene faktisk er bundet av EUs beslutning om å godta DPF. Han skal ha valgt en juridisk fremgangsmåte som vil gå raskere enn hva Schrems har gjort, samtidig som det visstnok skal være noe større risiko for at saken blir avvist.
Klagen er pt ikke offentliggjort, så jeg har så langt ikke funnet noen kommentarer på hvor sannsynlig det er at han vil nå frem. Vi kommer helt sikkert til å få vite så snart mer blir kjent, for denne saken er jo viktig for mange.
Les mer her:
https://www.politico.eu/article/french-lawmaker-challenges-transatlantic-data-deal-before-eu-court/
PERSONVERN – TAKE IT OR LEAVE IT
chrems og NOYB er aktive også
Max Schrems og NOYB (None of Your Business) har pekt ut sitt neste mål i personvernkampen: treningsklokka Fitbit. NOYB har klaget inn produsenten av Fitbit for brudd på personvernregler i Østerrike, Nederland og Italia.
NOYB hevder at klokken blir så å si ubrukelig hvis brukeren ikke gir sitt samtykke til deling av personopplysninger. Det kritiseres blant annet at Fitbit ikke gir brukeren informasjon om hvordan personopplysninger brukes, og at den eneste måten å trekke tilbake sitt samtykke er ved sletting av brukerkonto. Maartje de Graaf, advokat i NOYB skriver: «Først kjøper du en Fitbit-klokke for minst 100 euro. Deretter registrerer du deg for et betalt abonnement, bare for å oppdage at du er tvunget til å «fritt» godta deling av dataene dine med mottakere over hele verden. Fem år inn i GDPR prøver Fitbit fortsatt å håndheve en «take it or leave it»-tilnærming«. NOYB mener at et slikt samtykke er verken frivillig, informert eller spesifikt – noe som betyr at samtykket ikke oppfyller GDPRs krav.
Kritikken er på linje med mye annet som skjer nå, der hva som er nødvendig for å levere en tjeneste er i fokus og det blir økt oppmerksomhet på forskjellen mellom avtale og samtykke.
Les mer her:
https://noyb.eu/en/your-fitbit-useless-unless-you-consent-unlawful-data-sharing
NY MILLIONBOT
TikTok i hardt vær
en irske databeskyttelsesmyndigheten (DPC) har bøtelagt TikTok med 345 millioner euro for brudd på behandling av barns personopplysninger.
Ifølge DPC skal TikTok-bruddene blant annet ha dreid seg om følgende:
- Profilinnstillingene for barnekontoer var som standard satt til offentlig, som betød at alle kunne se innholdet, selv uten en TikTok-konto.
- Family Pairing-innstillingen gjorde det mulig for kontoer å pare kontoen sin med en barnekonto uten å bekrefte at de var forelder eller foresatt, og på den måten aktivere direktemeldinger for brukere mellom 16 og 17 år.
- For lite transparens i informasjonen til barnebrukere
- TikTok brukte såkalte «dark patterns», på norsk gjerne kalt manipulativ design, for å få brukerne til å velge alternativer med mindre personvern i registreringsprosessen, i tillegg til når de postet videoer.
Av takeaways fra denne saken, tror jeg nesten at det som er mest praktisk for mange, er at det blir satt fokus på manipulativ design. Det er ikke så mange avgjørelser som handler om dette enda, selv om det snakkes en god del om det. Det kan altså være grunn til å legge noe mer vekt på å ha en «fair» design fremover når tjenester og grensesnitt utvikles.
Du finner DPCs avgjørelse her:
PRIVATLIVETS FRED
NYPD vil bruke droner for å overvåke bakgårdsfester
New York-politiet (NYPD) planlegger å ta i bruk droner for overvåkning av ulike arrangementer, inkludert bakgårdsfester. Planen har vakt protester fra flere aktivister som mener at slik droneovervåking er en krenkelse av privatlivets fred.
Rundt 1400 politistasjoner i USA bruker droner i en eller annen form, ifølge en fersk rapport fra American Civil Liberty Union. Hittil har bruk av droner imidlertid bare vært begrenset til operatørens synsfelt eller i forbindelse med nødssituasjoner. Ifølge rapporten er bruken av droner «klar til å eksplodere» blant politiet i USA.
Les hele artikkelen her:
https://apnews.com/article/drones-labor-day-eric-adams-nypd-jouvert-c2787e87bcad8fa87aa8d34b454ee6cf
STORBRITANNIA
Personvern i UK er ikke helt som i Europa
Storbritannias Innenriksdepartementet (Home Office) er anklaget for å drive hemmelig lobbyvirksomhet til fordel for Facewatch, et selskap som tilbyr teknologi for ansiktsgjenkjennelse drevet av kunstig intelligens. Kritikere av teknologien hevder at den bryter menneskerettighetene og er unøyaktig og partisk, spesielt mot mennesker med mørk hud. Til tross for utbredt bekymring over teknologien, har den allerede blitt introdusert i hundrevis av butikker i Storbritannia for å identifisere butikktyver.
Information Commissioner’s Office (ICO, datatilsynet i Storbritannia) konkluderte 31. mars at det ikke var påkrevd med tiltak mot Facewatch, da «selskapet har et legitimt formål med å bruke personopplysninger for å oppdage og forebygge kriminalitet». Nylig ble det imidlertid avslørt at Storbritannias innenriksdepartement skrev til ICO, og gjorde det klart at ansiktsgjenkjenning for å bekjempe detaljhandelskriminalitet var en viktig politisk agenda for Chris Philp, Storbritannias politiminister. Innenriksdepartementet skrev også at Chris Philp ville ta kontakt med ICO dersom ICOs konklusjon ikke var positiv. Den tilsynelatende trusselen kom to dager etter et lukket møte 8. mars mellom Philp, seniorembetsmenn i innenriksdepartementet og Facewatch.
Flere aktivister har nå krevd en uavhengig gransking av innenriksdepartementets innflytelse på ICO. Både ICO, innenriksdepartementet og Philp avviser å ha påvirket ICO.
Les mer:
Litt mer fra Storbritannia
Den britiske regjering har gjort endringer i sitt kontroversielle lovforslag om nettsikkerhet (Online Safety Bill), og viser tegn til å mykne sin stilling til ende-til-ende-kryptering (E2EE). Lovforslaget, som tar sikte på å bekjempe skadelig innhold på internett, vakte opprinnelig bekymring for å kompromittere sikkerheten til private meldinger på kommunikasjonsplattformer.
E2EE er en krypteringsmetode som sikrer at kommunikasjonen forblir trygg ved å holde dekrypteringsnøklene skjult, selv for plattformtilbydere. Det foreslåtte lovforslaget truet med å svekke denne sikkerheten ved å gi Ofcom (Storbritannias regulerings- og konkurransemyndighet for kommunikasjonsindustrien) makten til å kreve bruk av «akkreditert teknologi» for moderering av innhold, noe som ville kreve identifisering og fjerning av ulovlig innhold.
Store teknologiselskaper som WhatsApp, Apple og Signal kom med innvendinger og advarte om at de heller ville forlate Storbritannia enn å la dette gå på bekostning av brukernes personvern.
Nå kan det imidlertid virke som at den britiske regjeringen har tatt til seg kritikken, og den har kommet ut med beskjed om at teknologiselskaper ikke vil bli pålagt automatisk skanning av digital kommunikasjon. I realiteten er det imidlertid lite som tyder på at regjeringens syn har endret seg. Den kontroversielle delen av lovforslaget vil ikke bli fjernet, noe som betyr at det fortsatt vil innføres en bakdør som undergraver ende-til-ende kryptering. Den eneste endringen er at den britiske regjeringen nå har sagt at den ikke vil tvinge teknologiselskaper til å faktisk håndheve dem.
Det gjenstår å se om Storbritannias lovforslag om nettsikkerhet vil bli implementert eller om den vil bli droppet helt. I mellomtiden kan regjeringens beslutning ha stor innvirkning på lignende lovgivning som forhandles i EU.
PERSONOPPLYSNINGER
Personvern i biler kommer til å bli et tema
En undersøkelse gjennomført av Mozilla viser at ingen av de store bilmerker klarer å oppfylle de mest grunnleggende personvern- og sikkerhetsstandardene i sine nye internett-tilkoblede modeller. Jeg er ikke spesielt overrasket og tror nok at dette er et felt som vil få mer oppmerksomhet fremover. Ingen av de 25 bilmerker som ble undersøkt bestod Mozillas test. Noen bilprodusenter, som Nissan og KIA, har også blitt kritisert for å samle inn og behandle svært sensitive personopplysninger, inkludert genetisk informasjon og helseopplysninger, for markedsføringsformål. Noen biler samler inn informasjon «race, facial expressions, weight, health information, and where you drive». Det er en ganske kraftig opplysningsmiks.
«Alle nye biler i dag er personvernmareritt på hjul som samler enorme mengder personlig informasjon», uttalte Jen Caltrider, programdirektør for Privacy Not Included-prosjektet, i en pressemelding.
Mozilla oppdaget også at mange bilmerker praktiserer “privacy washing”, det vil si at de gir forbrukere informasjon som tyder på at de ikke trenger å bekymre seg for personvernspørsmål når virkeligheten er en helt annen. Rapporten kritiserer også hva selskapene regner som samtykke. Subaru sier for eksempel at ved å være passasjer i bilen regnes du som en «bruker» som har gitt selskapet samtykke til å innhente informasjon om deg. Det er jo en interessant vinkling på hva samtykke skal være. Mozilla viser videre til at en rekke bilmerker sier at det er sjåførenes ansvar å informere passasjerene om bilens personvernregler. Jeg tror ikke så mange sjåfører er klar over hvordan opplysningene brukes overhodet. Det er nok helt fint at det blir mere søkelys på dette.
Les mer her:
https://gizmodo.com/mozilla-new-cars-data-privacy-report-1850805416
INNSYNSBEGJÆRINGER
Spiller motivet bak en innsynsbegjæring en rolle? Ikke denne gangen
En tysk domstol kom til at et krav om innsyn ikke er «overdreven», selv om den forfølger andre formål enn personvern. I denne saken økte forsikringsselskapet en forsikringspremie, noe forsikrede mente var ulovlig. Forsikrede fremsatte dermed krav om innsyn i opplysninger knyttet til premieøkninger, men selskapet nektet innsyn.
Forsikrede utfordret lovligheten av premieøkningen i retten og ba dommeren om å pålegge selskapet å gi tilgang til opplysninger om premieøkninger. Den tyske domstolen kom til at forsikrede hadde rett til innsyn, og viste til at slik informasjon er å regne som personopplysninger i henhold til artikkel 4(1) GDPR. Videre mente den tyske domstolen at det var uten betydning hva som var motivasjonen bak innsynskravet. Domstolen kunne derfor ikke se at kravet var «overdreven» i henhold til artikkel 15 GDPR, og klager fikk medhold.
Les avgjørelsen her:
https://gdprhub.eu/index.php?title=OLG_Koblenz_-_10_U_1633/22&mtc=today
2 x SAMTYKKE
Tilsynene er opptatt av samtykker
Den 18. juli 2023 bøtela det italienske datatilsynet et italiensk selskap Compara Facile med 40 000 euro for å ha gjennomført markedsføringssamtaler pr. telefon, uten å ha innhentet informert samtykke fra de registrerte.
Det italienske datatilsynet avdekket at Compara Facile, etter å ha kjøpt personopplysningene fra et selskap i Moldova, kontaktet personer for å spørre om de var interessert i å motta kommersielle tilbud, og deretter sendte dem en tekstmelding med en lenke til en nettside der de kunne gi sitt samtykke. Det italienske datatilsynet fant at den første telefonkontakten fant sted uten samtykke fra den enkelte, og uten at den enkelte fikk tilstrekkelig informasjon om behandling av personopplysninger. Det italienske datatilsynet konstaterte dermed flere brudd på GDPR.
Les hele avgjørelsen her:
I en lignende sak, som også gjaldt samtykke til digital markedsføring, konstaterte det italienske datatilsynet igjen brudd på GDPR. I denne saken fant det italienske datatilsynet at Tiscali Italia ga utilstrekkelig informasjon til sine brukere, da Tiscali Italia ikke opplyste om noen tidsbegrensning for lagring av personopplysninger for markedsføringsformål. Det italienske datatilsynet bemerket også at Tiscali Italia hadde utført såkalte «soft spam» aktiviteter, ved å sende tekstmeldinger til over 160 000 kunder som ikke hadde gitt samtykke til å motta reklame. Boten ble satt til 100 000 euro.
Les avgjørelsen her:
BOT TIL FORSIKRINGSSELSKAP
Informasjonssikkerhet er viktig
Den svenske databeskyttelsesmyndigheten (IMY) ga Trygg-Hansa en bot på 35 millioner svenske kroner.
Om lag 650.000 kunder hos det svenske forsikringsselskapet Trygg-Hansa har hatt sine personopplysninger åpent tilgjengelig på nett. Ved å endre noen sifre i URL-en, kunne kunder få tillgang til andre kunders dokumenter. Problemet var så grunnleggende at Trygg-Hansa burde ha oppdaget det allerede før systemet ble innført, mente IMY. Sikkerhetseksperter jeg har snakket med, bekrefter at dette var en helt elementær feil.
Problemet varte fra oktober 2018 til februar 2021, og eksponerte personnumre, økonomisk informasjon, kontaktinformasjon og helseopplysninger.
Saken finner du her:
https://www.imy.se/nyheter/sanktionsavgift-pa-35-miljoner-mot-trygg-hansa/
EUs DIGITALE MARKEDSLOV
EU har pekt ut hvem som skal være DMA-portvoktere
EU har nå identifisert 22 digitale plattformer, som skal som skal fungere som portvoktere i henhold til EUs digitale markedslov (DMA). Disse teknologigigantene vil være underlagt spesifikk og strengere forpliktelser under DSA-regelverket fra mars 2024. Regelverket er ikke direkte relevant for den gjennomsnittlige virksomheten i Norge, da det primært retter seg mot de største plattformene. Så for den gjengse bruker, er dette mest relevant fra vårt ståsted som brukere av plattformene. DMA skal som kjent sikre rettferdig konkurranse og sluttbrukerens rettigheter. EU forventer at de nye reglene vil skape nye muligheter, innovasjon og begrense urettferdig praksis fra portvoktere. Av de vedtatte tiltakene kan det blant annet nevnes at portvoktere vil bli pålagt å gi tredjeparter mulighet til å interagere med portvokters egne tjenester i nærmere angitte situasjoner. Det vil også være forbudt for portvoktere å gi egne varer og tjenester bedre rangering enn tilsvarende varer og tjenester som tilbys av tredjeparter på portvokters plattform.
For å bli utpekt som portvokter må selskapet ha over 45 millioner aktive lokale brukere, en omsetning på over 7,5 milliarder euro de tre siste årene, eller en markedsverdi som overstiger 75 milliarder euro. På listen finner man derfor en rekke teknologiganter, blant annet Amazon, Apple, TikTok, Facebook, Instagram Google, Microsoft, mfl.
Hvis selskapene bryter det nye lovverket, kan de få en straff på opptil 10 prosent av den globale årlige omsetningen, eller opptil 20 prosent for alvorlige lovbrudd.
CYBERSIKKERHET
En liten personverngladnyhet på tampen
Det trønderske teknologiselskapet Secure Practice har fått et EU-oppdrag verdt 29 millioner kroner for å forsterke cybersikkerheten i hele Europa. Det skjer mindre enn to år etter at selskapet fikk testet ideene sine i Datatilsynets regulatoriske sandkasse. Secure practise anslår at 85% av sikkerhetsbrudd skyldes menneskelig feil og tilstreber å redusere risikoen for dette gjennom personalisert trening gjennom en AI-basert skyløsning. Som den første norske virksomheten som mottar støtte gjennom Digital Europe, står Secure Practice i en sjelden posisjon for å bidra til vår digitale fremtid. Med EU som oppdragsgiver, kan selskapet bygge betydelige nettverk og samarbeid på tvers av hele Europa.
Les mer her:
https://www.datatilsynet.no/aktuelt/aktuelle-nyheter-2023/eu-satser-pa-norsk-sandkassegaselle/
KOMMENDE MØTER
| 19. okt 14.00 – 16.00 Digitalt nettverksmøte |
| 16. nov 12.00 – 13.00 Digital drop-in |
| 7. des 14.00 – 17.00 Nettverksmøte, Oslo |
Se hele oversikten over kommende aktiviteter i nettverket her.
SISTE ORD
Du får dette nyhetsbrevet som medlem av tilt.works PrivacyTech-nettverk eller fordi du har tegnet et eget abonnement. Du kan oppdatere din profil her.
Hva OLA lærte meg om læring
Har du noensinne gått på et kurs hvor du i ettertid lurer på hva du egentlig lærte? Enda viktigere: har du lagd og holdt et slikt kurs?
Jeg – og kanskje du – er opptatt av livslang læring. Vi har alle møtt mennesker som har bestemt seg for at «nei, jeg trenger ikke å lære mer. Jeg har lært nok». På mitt kanskje melodramatiske vis responderer jeg i blant at «den dagen du slutter å lære, er den dagen du begynner å dø».
Kunnskapsbeholdere
Gjennom de siste 20 årene har jeg også blitt mer og mer opptatt av å lære om læring. I min tid på skolen var den viktigste læringsmetoden å se på elevenes hoder som kunnskapsbeholdere man bare trengte å fylle opp, litt som å stikke en bensinpumpe inn i bilen.
Det fungerer ikke så bra. Vi lærer nemlig ikke bare med hodene våre og vår fornuftsbaserte intelligens, vi lærer gjennom følelser, opplevelser, lukt, lys, lyd og berøring.
Vi lærer best når vi lærer med alle sanser.
Lærende workshop
Noe av det mest verdifulle jeg har vært med på er et kurs fra CRR Global som vi også har levert gjennom tilt.work tidligere kalt Alchemy. Kursets hovedfokus er ko-fasilitering, men like verdifullt er den delen av kurset som handler om hvordan du designer en lærende workshop.
Læringen om workshop-design jeg og mine partnere Hedvig Rognerud og Bjørn Z. Ekelund har hentet fra det kurset, har vi nå hentet ut essensen av og lagd en 3-timers workshop som vi skal holde i Oslo den 14. november.
Tanken er at dette skal være en pilot på et større og mer omfattende kurs vi vil lansere våren 2024.
Tre fokusområder
De tre viktigste tingene du vil ta med deg fra kurset er:
- Læringsmål: Hvordan bruke en bevisst intensjon om hva du ønsker deltagerne skal ta med seg fra de ulike delene av kurset eller workshopen din på en måte som optimaliserer læringsutbyttet?
- OLA: Hvordan bygge en læringsstruktur som veksler mellom å skape (O) opplevelser som gir (L) læring som kan (A) anvendes i det «virkelige liv»?
- Fleksibilitet: «Hvis du vil få Gud til å le, vis hen forretningsplanen din», blir det sagt i startup-miljøer. Det kan overføres til planen du har lagt for kurset eller workshop’en din også. Hvordan lese rommet og frikoble deg fra agendaen når det er det rette å gjøre?
Kurs i Oslo
Jeg er veldig entusiastisk, i samspill med mine to partnere, over å kunne dele vår læring om hvordan man designer læring til deg, og håper du har lyst til å bli med på denne første og tidlige versjonen av et kurs jeg tror vil ha stor verdi for alle som leverer kurs eller workshop’er.
Kurset blir holdt et sted i Oslo. Du kan melde deg på under.
Ses?
God tirsdag.
Vi er likere enn vi liker å tro
En lørdag kveld gikk jeg meg en kveldstur i Drammen og observerte folk og fe. Skyggen av kveldssolen kastet sitt siste lys over byen, og jeg kunne se trekkfuglene som samlet seg, forberedt på sin lange reise sørover. Menneskene derimot, trakk i motsatt retning – mot byens livlige spisesteder og koselige hjemmefester med gode venner.
read more…
ESG i finanssektoren: Nøkkelen til fremtidig suksess
Sammendrag: Denne artikkelen vil utforske hvorfor det er viktig å ta i bruk en strategisk tilnærming til integrasjon av ESG i bank- og finanssektoren. Vi vil se på den nyeste forskningen og forandringene i sektoren, og fokusere på hvordan sektoren kan takle utfordringene ved å bruke ESG som strategiske styringsverktøy.
read more…
Generasjon Zs umulige oppgave
Det var dag 3 av en samling Rotary arrangerte for unge ledertalenter. Jeg var sistemann ut før oppsummeringen. Nå satt et femtitall gen-z’ere med talent for ledelse og så på meg. Snittalderen var rundt 22-23 år. Unge mennesker i starten av karrieren.
For førti år siden, i 1983, var jeg på samme sted i livet som de er nå: En ung, ambisiøs 22-åring, ivrig på livet.
Jeg minnet dem om den teknologiske utviklingen disse førti årene. PC-alderen, de første mobiltelefonene, Netscape, World Wide Web, fra oppringt Internett til alltid-på, smarttelefoner, kunstig intelligens, strømmetjenester, 5G.
Et tilbakeblikk som dette gir perspektiver på hvor ufattelig stor utviklingen har vært.
En lekegrind
Men det gir enda mer mat til refleksjoner om hvordan de neste 40 årene vil bli.
Det denne gjengen skal oppleve i sine karrierer vil få de første 40 år i mitt voksenliv til å se ut som en lekegrind.
I forberedelsene til foredraget, og der jeg stod foran dem, kjente jeg på både glede, bedrøvelse og dårlig samvittighet.
Glede, fordi jeg tror på dagens ungdom.
Bedrøvelse, fordi dette er den generasjonen som får de største lederutfordringene i sivilisasjonens historie. De står overfor oppgaver hvor menneskehetens fremtid står på spill.
Dårlig samvittighet fordi jeg og min generasjon overlater kaoset til dem å ordne opp i.
Kaosarven
Og for et kaos de arver.
De arver en verden med ekstremisme, økende forskjeller, økende mistro til institusjoner, politiske systemer, media og myndighetene i sin alminnelighet.
De arver en verden hvor alt de sier, skriver, gjør og tenker logges i dataskyen og brukes som råvarer for supermektige, globale virksomheter og mange steder som grunnlag for overvåkning og kontroll av befolkningen.
De arver en verden hvor kriger og konflikter raser og følelsen av å stå på randen av tredje verdenskrig rykker høyere og høyere opp i hjernebarken.
De arver en verden som balanserer på en klimatisk knivsegg hvor det kan synes bare å være et spørsmål om tid før de første dominobrikkene faller og river med seg hele sivilisasjonen.
Samtidig arver de en verden hvor teknologien fortsatt utvikles i et rasende tempo. I 1983 ville jeg ikke kunne forestille meg at vi om 40 år skulle leve i en verden så teknologisk avansert som i dag. Men utviklingen de siste 40 årene vil blekne mot utviklingen de neste 40.
Åpne spørsmål
Vil stadig mer avansert teknologi og kunstig intelligens gi oss løsninger på de store, skremmende utfordringene vi står ovenfor?
Vil fremskritt i medisin gjøre oss tilnærmet udødelige?
Vil automatisering, robotisering og selvlærende algoritmer gjøre at vi mennesker kan lene oss tilbake, la maskinene gjøre jobben, og nyte en slaraffentilværelse hvor vi dyrker oss selv, kunst, kultur og hverandre?
Hva er neste kapittel innen genteknologi? Hva med de ti kapitlene etter det? Vil vi være i stand til å tøyle denne og andre vitenskaper som får turbofart av kunstige intelligenser og kvantedatamaskiner?
Vil menneske og teknologi smelte sammen til en tilnærmet gudelignende, allmektig skapning?
Fjernt og fremmed?
Jeg vet mye av dette høres fjernt og rart og fremmed ut. Men avhengig av hvor gammel du som leser dette er: tenk tilbake, 15, 25, 35 kanskje 50 år, og se for deg en sjefreflektør eller en annet utdatert guru som maler frem hvordan det kan komme til å bli hvis vi bare trekker historiske linjer fremover i tid.
Ville du ikke sagt det samme? At dette høres fjernt, rart og fremmed ut?
Glad det ble dere
Jeg tenker tilbake på de unge ledertalentene i Rotary, og hva jeg prøvde å formidle til dem:
Dere er en bra generasjon. I en alder av 20 og noe har dere en ryggsekk tusen ganger tyngre enn jeg og mine jevnaldrende i 1983. Det er en tøff jobb som ligger foran dere, men noen må gjøre den. Jeg er glad det ble dere.
God tirsdag.
Litt klokere om de neste 40 år
I vårt Litt klokere-møte den 10. oktober tar vi opp de store samfunnsutfordringene vi står ovenfor i de neste tiårene, med fokus på generasjon Z, teknologi og megatrender.
Meld deg på her.
Spesialtilbud til deg som leser Tirsdag morgen:
Verdens
Beste
Coach?
10% på CTI Fundamentals
The Coaches Training Institute (CTI) tilbyr en av verdens beste coach-utdanninger. 27-29 oktober er det endelig satt opp et svært sjeldent grunnkurs i Oslo. Som leser av Tirsdag morgen og tilt.work får du 10 prosent rabatt ved å oppgi koden SCAN23 i kommentarfeltet.
Politisk ansvar: Refleksjoner over Høyres krisestrategi
Topplederes og topp-politikeres evne til å kaste andre foran bussen i et desperat forsøk på politisk overlevelse er bemerkelsesverdig og forteller oss noe om menneskets grunnleggende overlevelsesinstinkt. Denne refleksjonen er inspirert av den pågående krisen som omslutter Høyre og deres nåværende krisestrategi, med Sindre Finnes som sentralt offer på alteret av politisk opportunisme.
Høyres krisestrategi har vært å plassere all skyld på Sindre Finnes. Dette reflekterer en dyp kynisme og kan ved første øyekast virke som en strategisk nødvendighet. Erna Solberg, som tidligere var hyllet som «Erna er stjerna», har blitt en mulig belastning for partiet på grunn av kontroversene rundt hennes ektemann. Høyres posisjon ser ut til å være at ved å ofre Finnes, kan partiet bevare tilliten til Solberg. Men dette reiser spørsmålet: er det moralsk riktig å ofre en persons omdømme, selv om det er for et større gode?
Er det moralsk riktig å ofre en persons omdømme, selv om det er for et større gode?
Personlig er jeg av den oppfatningen at partiet, og spesielt Ernas rådgivere, har gjort en taktisk feilvurdering. Dersom Solberg hadde lagt seg flat og innrømmet feilvurderinger helgen før valget, ville kanskje offentlighetens reaksjon vært mer forsonende. Isteden har forsøkene på å skjule og vri seg unna gitt grobunn for mistenkeliggjøring og ytterligere mistillit.
Karakterdrap som krisestrategi
Det er også interessant å observere hvordan offentlighetens oppfatning påvirker beslutningstakernes handlinger. Høyres ledelse har formodentlig antatt at ved å fokusere skylden på Finnes, vil offentlighetens misnøye vike. Men i realiteten kan en slik handling skade partiet enda mer, ved å fremstå som maktbesatt og lite lojal mot egne medlemmer.
Å utføre et karakterdrap på sin egen ektefelle, spesielt uten at det er juridisk og strafferettslig fastslått at det har skjedd noe ulovlig, er dypt foruroligende. Det peker mot et desperasjonstrekk fra et parti som føler seg presset inn i ett hjørne.
Men vi må klart skille mellom hva Erna er skyldig i og hva som faktisk er hennes politiske ansvar. Selv om hennes mann skal ha ført henne bak lyset, bærer hun likevel et politisk ansvar. Dette er en viktig komponent i enhver krisestrategi for en tidligere statsminister.
Som landets tidligere statsminister, det nest øverste folkevalgte organ i Norge etter Stortingspresidenten, er hun forventet å ha kontroll, ikke bare over sitt eget arbeid, men også over sine nærmeste omgivelser. Det forventes at en tidligere statsminister tar det politiske ansvaret uavhengig av hvorvidt hun personlig var klar over ektemannens handlinger. Det å fraskrive seg dette ansvaret, som vi nå ser, kan være et alvorlig feiltrinn som risikerer tilliten til både partiet og nasjonen.
Syndebukkmentalitet og krisestrategi
Parallelt med dette ser vi lignende syndebukkmentalitet i næringslivet. Toppledere, eller prosjektansvarlige, er altfor ofte villige til å ofre enkeltpersoner for å redde sitt eget skinn og skjule sin manglende kompetanse og egne feil. Ved å finne en syndebukk, føler de at de kan gå videre, fri fra ansvar. Det er som om å peke fingeren bort fra seg selv automatisk renser egen samvittighet. Men, slike kortsiktige handlinger har en tendens til å komme tilbake og hjemsøke organisasjonen, da de skaper en kultur av mistillit, redsel og usikkerhet. En kultur hvor medarbeidere frykter å ta initiativ eller dele dårlige nyheter, fordi de frykter å bli neste syndebukk.
Det mange mennesker glemmer er at når du peker finger mot andre mennesker, så peker faktisk tre fingrer tilbake på deg selv. Denne gamle visdommen er et kraftfullt symbol på ansvar og selvinnsikt, og den bør tas i betraktning når man utarbeider en krisestrategi, enten det er i politikken eller i næringslivet.
Før vi raskt kaster skygge over andre, bør vi ta et øyeblikk for å reflektere over vår egen rolle i situasjonen og våre egne feil. Det er en oppfordring til selvransakelse, til å tenke og reflektere over i stillhet. Gjennom dette kan vi oppnå en dypere forståelse av vår plass i verden og vår rolle i de komplekse nettverkene av menneskelige relasjoner og beslutninger.
Les også:
Opptak av møtet 13. september 23
Her er opptak av møtet i Partners in Tilt 13. september. Vi diskuterer nettverk, deling av kontakter, salg, intern markedsundersøkelse og finner en persona blant følgerne våre.
Slik kan vi styrke sosiale medier som debattarena
Sosiale medier har tatt over arenaen for mange av våre daglige debatter. Her deles tanker, ideer og meninger med en frekvens og en raskhet som tidligere generasjoner neppe kunne ha forestilt seg.
read more…
Tre bærekraftige råd til unge ledere
Hvis du skulle gi tre råd til unge ledere eller kommende ledere i dag, hva ville det være?
I valgkampen, og i mange andre sammenhenger, er det ofte fokus på behovet for arbeidskraft i omsorgsyrker. Leger, sykepleiere og annet helsepersonell er en begrenset ressurs og behovet for deres tjenester er voksende.
Men det er ikke bare på dette området vi kan stå overfor en bemanningskrise. En undersøkelse fra KarriereStart.no fra 2023 viste at bare 20 % av unge nordmenn ønsker å bli ledere. Dette er en nedgang fra 30 % i 2017.
Undersøkelsen viste også at unge mennesker er mer opptatt av å jobbe med teknologi og innovasjon, og at de er mindre interessert i å jobbe i tradisjonelle bransjer.
Mindre attraktivt
Det er altså blitt mindre attraktivt å bli leder, og de som vil bli ledere trekker mot noen få bransjer.
De som likevel har tatt det dristige valget å forfølge en lederkarriere, har kanskje ikke helt skjønt hva de går til?
For å bli leder i dag og i fremtiden blir ikke det samme som å være leder i går.
Unge ledere må forholde seg til eskalerende megatrender og grunnmursrystende mikrotrender, det siste gjerne som en ringvirkning av det første.
Teknologiske Gutenberg-øyeblikk
Silvija Seres introduserte (i hvert fall var det fra henne jeg hørte det først) de moderne 12 Gutenberg-øyeblikk. Navnet er en referanse til Johannes Gutenbergs oppfinnelse av boktrykkerkunsten på 1400-tallet, som regnes som en av de viktigste oppfinnelsene i menneskets historie. Trykkekunsten demokratiserte kunnskap og løftet vår kollektive bevissthet til et høyere nivå.
I dag står vi altså overfor ikke bare ett, men minst et dusin Gutenberg-øyeblikk knyttet til den teknologiske utviklingen.
Her er noen av de viktigste:
- Kunstig intelligens (KI): KI har potensial til å revolusjonere måten vi jobber, lever og lærer på. Den kan brukes til å automatisere oppgaver, gi personlige anbefalinger og ta beslutninger på en ny måte. Unge ledere av i dag vil modnes i sitt lederskap hånd i hånd med at denne teknologien utvikles til å bli verktøy som gjennomsyrer alt vi gjør, både i arbeid og privat.
- Virtuell virkelighet (VR) og forsterket virkelighet (AR – augmented reality): VR og AR gir oss nye måter å oppleve verden på. Unge ledere vil måtte forholde seg til dette både som et arbeidsverktøy – Teamsmøtene blir aldri det samme – men også som en forventning fra eiere og interessenter hva gjelder produktutvikling og tjenestetilpasning.
- Blockchain: Blockchain er en teknologi som kan brukes til å sikre og spore data på en ny måte. Teknologien var en «hype» for noen år siden, men er nå i ferd med umerkelig å sive inn i våre underliggende forretningsstrukturer. Unge ledere må være i stand til å tenke innovativt og se hvordan blockchain kan brukes til å forbedre organisasjonens ytelse.
- 3D-printing: 3D-printing har potensial til å gjøre produksjon mer effektiv og personlig. Den kan brukes til å lage alt fra leker til medisinske implantater. 3D-printing bringer dagens «hyperpersonalisering» fra digitale løsninger over i den fysiske verden. Der Henry Ford revolusjonerte industrien med masseproduksjon av identiske produkter, vil 3D-printing revolusjonere industrien med masseproduksjon av unike, personlig tilpassede produkter.
- Algoritmisering: I forlengelsen av dette vil unge ledere kanskje ende med å lede virksomheter hvor 95 % av verdiskapningen gjøres av algoritmer. Det er i teorien fullt mulig i dag å sette opp virksomheter som opererer helt uten menneskelig inngripen. Finansinstitusjoner er gode eksempler på dette.
Effekter av teknologien
I tillegg kommer megatrender som til dels henger sammen med den teknologiske utviklingen.
- Klimaendringer: Klimaendringer er en av de største utfordringene vi står overfor i dag. Virksomheter utfordres fra myndigheter, samfunn, eiere og kunder til å ta større ansvar. Unge ledere vil måtte forholde seg til et stadig mer krevende rapporteringsregime, hvor nasjonale og internasjonale bærekraftsmål blir retningsgivende.
- Økt bevissthet om miljøet: I forlengelsen av dette vil den generelt økte bevisstheten om miljøet skape ny etterspørsel etter produkter og tjenester som minimerer eller reverserer vårt kollektive (og individuelle) klimaavtrykk.
- Demografi, automatisering og globalisering: Befolkningen, ikke bare i Norge, men i det meste av verden, blir eldre, og samtidig stadig mer etnisk og kulturelt mangfoldig. Samtidig presses mange yrker av økt automatisering. Når roboter og algoritmer helt eller delvis overtar renholdet, regnskapet, bussrutene, den juridiske rådgivningen, terapien, og mer, vil det fremdeles være behov for mennesker, men de ti medarbeiderne ble ti én som passer på at robotene gjør hva de skal.
- Økende internasjonal uro: Krigen i Ukraina, konflikten mellom USA og Kina, usikkerheten knyttet til hvordan stormakten USA vil styres etter presidentvalget, sterkere polarisering (dels tilrettelagt av sosiale medier), klimakatastrofer, større og mindre konflikter over hele verden og isolasjon. Alt dette skjer i dag, og vil påvirke hvordan vi forholder oss til hverandre, hvordan vi driver business og hvordan vi utøver og står i vårt lederskap.
- Skatteregime: I forlengelsen av algoritmisering vil vi på samfunnsnivå stå ovenfor noen utfordringer hva gjelder hvordan vi finansierer fellesskapet. En av måtene vi i dag beskatter verdiskapning er ved å ta en andel av lønna som utbegaIes til den enkelte medarbeider. Når medarbeideren erstattes av en robot og/eller en algoritme, attpåtil en algoritme som kanskje ti- eller hundredobler verdiskapningen til den enkelte, finnes det i dag ikke gode regulatoriske systemer som erstatter skatteinngangen fra medarbeiderne. Unge ledere vil om få år befinne seg i en kontekst hvor denne utfordringen vil måtte adresseres på samfunnsnivå.
Harde og myke realiteter
Andre teknologiske megatrender som vil påvirke hvordan vi leder og driver våre virksomheter i årene som kommer er kvanteteknologi, nanoteknologi, genetisk modifisering og urbanisering.
Disse megatrendene vil antagelig revolusjonere måten vi lever, jobber og kommuniserer på. De er fortsatt i sine tidlige stadier, men de har allerede begynt å påvirke samfunnet vårt sterkt.
Og det vi har snakket om så langt er bare de «harde» realitetene. Hvordan endringene som ligger foran oss vil påvirke de «mykere» sidene av hvordan vi driver ledelse er et helt annet spørsmål.
Tre bærekraftige råd
Hvis du, gjerne med utgangspunkt i disse megatrendene, skulle gi tre bærekraftige råd til unge ledere, hva ville det være?
Tenk på det, og bli med meg og andre tirsdag 12. september kl 15.00-16.00 på Zoom i tilt.works «Litt klokere om unge ledere».
Passer ikke det, men du likevel har noe du vil dele, send meg en mail på paal.leveraas@tilt.work. Eller vær skikkelig gæern og ring meg på 98216666 🙂
Hva du enn gjør:
God tirsdag!
0 Comments