tilt | på jobb | Tirsdag morgens julekavalkade 2017

Tirsdag morgens julekavalkade 2017

tirsdag 5. desember 2017 @ 05:45

Dette utvalget artikler fra 2017 er Tirsdag morgens julegave til den som vil ha. Vil du ha en egen lekker, nedlastbar PDF-versjon er det også mulig.
Av Paal Leveraas

Julen 2017

Ukebrevet Tirsdag morgen tar noen ukers kunstpause. Takk for at du følger bloggen og abonnerer på ukebrevet. Min lille gave til deg er et utvalg ukebrev jeg er litt ekstra godt fornøyd med. Håper du blir det også. Under er de beste ukebrevene fra 2017. Også tilgjengelig som PDF.

God jul, og gode nye tirsdager i 2018!

Olivias verden

Olivias verden

Vi ignorerte klimakrisen i mange tiår. Vi ignorerer fortsatt i all hovedsak den eksistensielle trusselen kunstig intelligens representerer. På tide å våkne?

Olivias verden

Jeg ble bestefar i sommer. Vesle Olivia nærmer seg åtte måneder.

I løpet av denne tiden har det vesle menneskebarnets hjerne og kropp utviklet seg i et vanvittig tempo.

Hvis man kunne se inni hodet hennes, ville de siste åtte månedene vært et sprakende fyrverkeri av nevroner som bygger et intrikat nettverk Internett fortsatt kan se med misunnelse på.

De første 25 år

Olivia kommer til å si sine første ord om noen måneder. I løpet av noen år vil hun lære å gå, løpe, sykle og gradvis utvikle sin evne til å fokusere, huske, koble, assosiere, tenke logisk, være empatisk, lære boklig kunnskap, forstå moralske, etiske og sosiale spørsmål.

Hun vil også utvikle sin egen selvbevissthet, opplevelsen av et «jeg».

Om 25 år eller så er hun kanskje ferdig med studiene.

Det pleide å være en grei utviklingsplan for et menneske.

​«Hvis Olivia var en kunstig intelligens ville hun kunnet svare korrekt på all verdens spørsmål, flytende, på hvilket som helst språk, og bestå enhver kunnskapstest vi er i stand til å tenke ut. Før hun feiret sin første jul.»

Men det er er alt for sakte til å konkurrere med en annen relativt nyfødt skapning: Kunstig intelligens.

Olivias konkurrent

Hvis Olivia var en kunstig intelligens ville hun lest og sortert alt som er på internett, kunnet svare på all verdens spørsmål – flytende, og på hvilket som helst språk, og bestå enhver kunnskapstest vi er i stand til å tenke ut.

Før hun feiret sin første jul.

Dette får selv en teknologioptimist som meg til å grøsse.

Flater ikke ut

For ulikt Olivia og andre menneskebarns intellektuelle nivå, flater ikke den kunstige intelligensens rivende utvikling ut, i hvert fall ikke i noen fremtid vi kan overskue i dag.

Vi har det siste halvannet år, siden ChatGPT ble lansert, sett at kunstig intelligens har gått fra å være smarte papegøyer til å overgå mer enn 90 prosent av oss mennesker i kunnskapstester på de fleste utdanningsfelt.

Og teknologien skal utvikle seg i samme rivende fart i mer enn 24 år til før Olivia skal ut i arbeidsmarkedet.

Hva i alle dager skal Olivia gjøre som ikke allerede gjøres en million ganger bedre av KI?

Og – den unge jentas utfordringer i arbeidsmarkedet er antagelig en av de minste utfordringene vi vil møte.

Atomkrig, pandemi og KI

Debatten om kunstig intelligens har så langt vært preget av begeistring. Litt som når vi trener opp bikkjene våre og begeistret roper «se hva den kan!»

I bakgrunnen har vi hørt noen kritiske røster rope om at teknologien en dag vil bli superintelligent og overta jorden.

Vi har ikke greid å ta dem på alvor, like lite som vi har tatt klimakrisen på alvor.

Vi mennesker er skrudd sammen sånn: kriser er ferskvare. Globale katastrofer er stoff for science fiction-romaner og sære blogger.

Spørsmålet er nå om skiftet kunstig intelligens vil skape er kommet så nær i tid at det er på tide å få panikk.

Et voksende antall røster mer enn antyder det.

​«Å redusere risikoen for utryddelse fra kunstig intelligens bør være en global prioritet sammenlignet med andre samfunnsmessige risikoer som pandemier og atomkrig.»

«Global prioritet»

I mai ifjor publiserte Center for AI Safety følgende uttalelse:

«Å redusere risikoen for utryddelse fra kunstig intelligens bør være en global prioritet sammenlignet med andre samfunnsmessige risikoer som pandemier og atomkrig.»

Uttalelsen ble signert av hundrevis av eksperter innen kunstig intelligens og andre fremtredende personer, inkludert: Sam Altman, administrerende direktør i OpenAI; Geoffrey Hinton, en av grunnleggerne av dyp læring; Stephen Hawking; Elon Musk; Nick Bostrom, forfatter av boken «Superintelligence»; og Bill Gates.

Tre eksistensielle trusler

Den svensk-amerikanske MIT-forskeren Max Tegmark er en av AI-dystopistene, og hans argumenter er ganske overbevisende.

En av de eksistensielle truslene han løfter frem er faren for at mennesker med onde hensikter bruker teknologien til å utvikle våpen, for eksempel i form av kjemiske eller biologiske stoffer som frembringer sykdom og død.

En annen er at KI utkonkurrerer oss i arbeidsmarkedet til de grader at det knapt er mennesker igjen.

En tredje, og den kanskje mest spektakulære (men troverdige) er at superintelligens vil være så mye smartere enn oss at den ser på mennesker som vi ser på amøber.

(Hint: Vi ser ikke på amøbene som våre herrer som skal adlydes, til tross for at vi skylder dem en viss takknemlighet som en tidlig versjon av oss i den evolusjonære linjen.)

Unngå irrelevans

KI er en fantastisk oppfinnelse. Som sci-fi-entusiast siden barndommen er mye av det som skjer i dag en drøm som er blitt virkelighet. Personlig bruker jeg KI-verktøy daglig. Jeg sparer masse tid på det, og opplever også at kvaliteten i verktøyene blir stadig bedre.

Det er jeg ikke den eneste som har oppdaget. Mange av jobbene våre er allerede i ferd med å bli helt eller delvis borte fordi bedriftseiere oppdager at det de betaler folk for å fylle tiden sin med kan gjøres på en brøkdel av tiden, med høyere kvalitet, og garantert uten sykemeldingsavbrudd.

For oss som ser nytten av dette i det daglige, blir det Max Tegmark og andre eksperter roper varsku om lett å avfeie som dystopiske dommedragsprofetier.

Hvis vi ønsker oss en meningsfull fremtid for våre barn og barnebarn, hvor det å være menneske fortsatt er relevant, tror jeg det er smart av oss å lytte til dem.

God tirsdag.


Foredrag

Denne artikkelen springer ut av refleksjoner knyttet til ulike foredrag jeg holder om kunstig intelligens. Skal jeg holde et slikt foredrag hos dere, eller skal vi bare ta en prat om KI? Ring, tekst eller send epost, så snakker vi om det.


Fordypning og kilder

Darwin, dating og dommedag

Darwin, dating og dommedag

Da jeg gikk ut av det forrige langvarige forholdet med en kvinne for noen år siden, etablerte jeg raskt en tilstedeværelse på et fenomen jeg hadde skulet litt misunnelig på i årene i et fast forhold: datingappene. 

De utskjelte datingappene.

Jeg elsket dem.

For en fantastisk oppfinnelse! 

Tusenvis av potensielle partnere, de fleste edru, samtlige per definisjon åpne for et forhold. 

«Gamlemåten» – ut på byen på et tilfeldig utested – blekner hva gjelder både kvantitet og kvalitet. 

Som et verktøy for å oppnå et definert mål er appene uovertrufne.

Velles perspektiv

Ikke alle er like begeistret. 

Simen Velle tok til orde for å løfte menns tilgang til kvinner opp på den politiske dagsorden, med utgangspunkt i en påstand om at nettopp datingappene favoriserer et fåtall menn og etterlater resten i dyp frustrasjon og ensomhet.

Velle ble tolket som at han klandrer kvinnefrigjøringen for dette, noe han – sikkert klokelig – benektet fra en svært flat posisjon i dagene som fulgte. 

Evolusjonens røst

Så kommer andre røster og sier at kanskje han ikke skulle lagt seg fullt så flat. Det er faktisk noe i dette, mener de. 

For evolusjonen har favorisert kvinner som finner menn med høy posisjon, status og inntekt.

Kvinnekampen har gitt kvinner høyere posisjon, status og inntekt. 

Men evolusjonen har ikke hengt med i svingene. 

Derfor ser kvinner fremdeles etter menn med høyere status. Når kvinnens utsiktspunkt er blitt hevet, mens menn står ganske stille, blir det langt færre igjen. 

Så det er ikke kvinnekampen som har skylda. 

Ikke datingappene heller.

Darwin har skylda.

Eller naturens iboende treghet.

Stress og instinkt

Evolusjonen har latt oss overleve som art gjennom tusenvis av år ved å favorisere egenskaper som gir størst sjanse for overlevelse. Egenskaper som ikke nødvendigvis er hensiktsmessige i vår tid. 

Stress for eksempel. Stress, frykt og de medfølgende biokjemiske prosesser er designet for å redde deg fra løver. Stress er ment å forbrukes i små porsjoner.

  1. Løve angriper,
  2. du flykter (eller blir spist),
  3. stress opphører.

I dag er løvene byttet ut med dårlige sjefer, ubrukelige kolleger, gretne kunder. Og de lusker ikke bort med halen mellom beina etter at angrepet er avverget. De er der hele tiden. Stresset blir en konstant faktor som spiser deg opp fra innsiden. 

Frykten for utstøtelse

En annen egenskap som kanskje har utspilt sin rolle levde Simen Velle selv ut da han stod frem på TikTok med sitt kontroversielle budskap: vår trang til å bli sett, hørt og høre til. 

Mennesket er isolert sett et relativt svakt lite dyr. Det sliter med å greie seg alene, men er fantastisk i flokk. 

Å bli utstøtt fra stammen på savannen i Afrika var derfor gjerne ensbetydende med en dødsdom. 

Å bli utstøtt fra venneflokken, avvist av en potensiell partner eller få bare to likerklikk på din sosiale post er ingen dødsdom. 

Men naturens iboende treghet gjør at vi fremdeles reagerer som om det var det. 

Nullstille instinkter?

Vi har i det hele tatt store utfordringer knyttet til naturens iboende treghet, og jeg synes vi må ta oss sammen og gjøre noe med det. 

Skulle noe løftes opp på den politiske dagsorden, må det være hvordan vi skal nullstille gamle instinkter som ikke lenger passer til hvordan vi lever våre liv, og erstatte dem med nye, mer hensiktsmessige instinkter. 

Spøkefullt? Ja, men med et snev av sannhet i.

De samme gamle instinktene som gjør at marginaliserte grupper angriper de som oppleves som bedre stilt er bakenforliggende i dagens urolige verden.

  • En ung mann opplever seg selv som så utenfor alt at han bestemmer seg for å dø og ta med seg så mange av sine medelever på skolen som mulig.
  • En politisk organisasjon er så forbitret at de vil drepe så mange som mulig av «de andre», og er villige til å ofre sin egen befolkning i forsøket.
  • En atommakt truer verden med total utslettelse heller enn å gi opp sin kamp mot vestlige verdier.

Oppgradert forstand

I alle disse historiene ser vi sporene av gamle instinkter fra savannen.

Forskjellen er våpnene og verktøyene de marginaliserte og deres motparter har tilgang på.

Evolusjonen har gitt oss teknologi, fremskritt, en slags «sivilisasjon».

Men den har ikke oppgradert vår forstand.

Det er ikke bærekraftig.

God tirsdag. 

PS. Etterskuddsvis gratulasjon med kvinnedagen!

IT-jus nr. 2/24

IT-jus nr. 2/24

Ønsker dere alle en flott måned i mars – våren er endelig her!

Et stort og aktuelt tema på personvernscenen nå er EDPBs mening om Metas nye «pay or OK»-modell. Etter en avgjørelse fra ECJ i fjor, endret Meta hjemmelsgrunnlaget sitt for målrettet annonsering. Brukeren må nå samtykke til slik annonsering eller betale for å slippe.

Spørsmålet som da oppstår er: Kan Meta gjøre dette? Kan de kreve betaling? Alternativet ser ut å være at Meta tvinges til å tilby tjenester gratis og uten å kunne tjene penger på målrettet annonsering.

Eller kan man si at beløpet Meta krever er for høyt? Skal eventuelt store selskaper pålegges andre krav til gratis tjenester enn SMB-bedrifter? Eller skal man regulere hvilken pris de kan ta? Og – hva er i tilfelle et «stort selskap»? Det er en lang rekke spørsmål som oppstår her og de gjelder ikke bare Meta, men også for mange andre selskaper. 

Jeg tror disse spørsmålene er svært viktige og min primære bekymring er at EDPB bare har åtte uker, med en mulig forlengelse på seks uker, til å skrive sin mening. Denne tidslinjen er fastsatt av bestemte artikler i GDPR, men disse gir en skremmende kort tidsfrist for å håndtere grunnleggende spørsmål om hvordan bedrifter kan sikre at de finansierer sine tjenester.

Se saken kommentert her 

https://www.reuters.com/technology/eu-privacy-watchdogs-urged-oppose-metas-paid-ad-free-service-2024-02-16/

og her

https://www.datatilsynet.no/aktuelt/aktuelle-nyheter-2024/datatilsynet-ber-edpb-om-formell-uttalelse-om-pay-or-okay/

På andre områder sirkulerer mye av fokuset i personvern- og teknologiområdet fortsatt rundt AI. Siste status for AI Act er beskrevet nedenfor. Det er også en interessant sak fra Danmark knyttet til mangel på tilsyn av databehandlere – sannsynligvis viktig for mange. Et annet interessant tilfelle er fortsettelsen av Google ChromeBook i Danmark – men med en ny vri. Det er ikke lenger den internasjonale overføringen og dokumentasjon som er i fokus, men kontrollering av data.

Som alltid – god lesning!

Hilsen Eva


KUNSTIG INTELLIGENS

Status for AI-ACT

Endelig har EUs medlemsland oppnådd enstemmig enighet om en lov om kunstig intelligens, og med det overvunnet siste øyeblikks frykt for at regelboken ville kvele europeisk innovasjon.

Etter å ha blitt enige om grunnleggende prinsipper før jul, men uten å ha en presis lovtekst å vise til, har vi nå endelig fått en samordnet lovtekst for den kommende AI Act. Teksten er fortsatt et utkast som stadig gjennomgår språklige tilpasninger. Lovteksten vil mest sannsynlig passere Rådet og Parlamentet i ukene eller månedene som kommer, og forventes å bli publisert i Official Journal i mai / juni. Etter å ha blitt publisert der vil noen av artiklene tre i kraft etter kun seks måneder – dette gjelder for forbudt AI. For generativ AI trer artiklene i kraft etter 12 måneder. For høyrisiko AI som definert i vedlegg III, trer artiklene i kraft etter 24 måneder. For høyrisiko AI som definert i vedlegg II, trer de i kraft etter 36 måneder. 

Noe som fanget min interesse, er at flere av artiklene i det nye utkastet er vesentlig forskjellig fra utkastene før jul. Blant de mer interessante endringene er at bøtene senkes. Ikke vesentlig, men betydelig. Jeg vil komme tilbake med en mer grundig analyse av den nye ordlyden. Fra det jeg hører, er det ikke forventet ytterligere endringer fremover, det er en språklig opprydding de gjør nå. Det nye utkastet er tilgjengelig på nett.

Se andres kommentarer på utkastet her 

https://iapp.org/news/a/a-view-from-brussels-all-eyes-on-eu-ai-act/

og her

https://www.politico.eu/article/eu-countries-strike-deal-ai-law-act-technology/

Italiensk datatilsyn sier at ChatGPT bryter personvernreglene

Det i talienske datatilsynet har gitt OpenAI beskjed om at chatbot-applikasjonen ChatGPT bryter personvernreglene. Tjenesten ble reaktivert etter at OpenAI adresserte og rettet opp tidligere bekymringer fra det italienske datatilsynet, blant annet knyttet til brukerens rett til å nekte samtykke til bruk av personopplysninger for trening av algoritmer. Uten å gi ytterligere detaljer, har det italienske datatilsynet nå konkludert med at visse elementer ved tjenesten indikerer ett eller flere mulige personvernbrudd. Vi vet per nå ikke hva disse elementene er.

Open AI har på sin side uttalt at de mener at praksisen er i tråd med EUs personvernregelverk, og har 30 dager på seg til å fremsette sine motargumenter. 

Italia var det første vesteuropeiske landet som bremset ChatGPT, hvis raske utvikling har tiltrukket seg oppmerksomhet fra lovgivere og regulatorer. Det er synd at ikke mer informasjon om denne saken er kjent, da lovligheten av AI-systemer er et spesielt hett tema. Men jeg er sikker på at vi vil vite mer om dette tilfellet om ikke så lenge.

Les mer her

https://www.reuters.com/technology/cybersecurity/italy-regulator-notifies-openai-privacy-breaches-chatgpt-2024-01-29/

Bruk av AI – er våre «søk» lagret?

Ikke skriv noe inn i Gemini, Googles familie av GenAI-apper, som er inkriminerende – eller som du ikke vil at noen andre skal se. I et støttedokument skisserer Google hvordan de samler inn data fra brukere av sine Gemini chatbot-apper for internett, Android og iOS. Google bemerker at brukere rutinemessig behandler samtaler med Gemini for å forbedre tjenesten. Disse samtalene lagres i opptil tre år sammen med «relaterte data», som språkene og enhetene brukeren brukte og deres plassering. Brukeren kan imidlertid slå av Gemini Apps-aktivitet i Googles My Activity-dashbord, dette forhindrer fremtidige samtaler med Gemini fra å bli lagret i en Google-konto for gjennomgang. 

Men selv når Gemini Apps-aktivitet er slått av, vil Gemini-samtaler bli lagret på en Google-konto i opptil 72 timer for å «opprettholde sikkerheten til Gemini-apper og forbedre Gemini-apper.»

Googles GenAI-retningslinjer for datainnsamling og oppbevaring skiller seg ikke så mye fra konkurrentenes. OpenAI lagrer for eksempel alle chatter med ChatGPT i 30 dager uavhengig av om ChatGPTs samtalehistorikkfunksjon er slått av, bortsett fra i tilfeller der brukeren abonnerer på en «enterprise-level plan» med en tilpasset dataoppbevaringspolicy. Etter hvert som GenAI-verktøy sprer seg, blir virksomhetene stadig mer oppmerksomme på personvernrisikoen.

OpenAI, Microsoft, Amazon, Google og andre tilbyr GenAI-produkter rettet mot bedrifter som eksplisitt ikke beholder data i lengre tid, verken for modellopplæring eller andre formål. Men forbrukerne får – slik som ofte er tilfelle – den dårligste dealen. 

Les mer her


DATABEHANDLERE

Straff for manglende gjennomføring av leverandørtilsyn

Det danske datatilsynet har anmeldt en part for ikke å ha ført tilsyn med sine databehandlere.

Datatilsynets etterforskning av parten viste at de ikke hadde overvåket sine databehandlere. Det første tilsynet ble utført da Datatilsynet begynte sine undersøkelser. Datatilsynet fant at parten ikke opptrådte i samsvar med kravene til ansvarlighet. De understreket at det ikke hadde blitt ført tilsyn med databehandlerne over flere år og at behandlingen innebar et stort antall registrerte personer. I tillegg ble sensitive personopplysninger behandlet.

Tilsyn knyttet bruken av databehandlere har blitt stadig vanligere de siste årene. Slik var det ikke i 2018, men det er en naturlig utvikling.

I tillegg til politianmeldelse, ble det anbefalt en bot på ikke mindre enn DKK 1 500 000. Så vidt jeg vet, er dette den første avgjørelsen hvor en part blir bøtelagt for ikke å ha gjennomført tilsyn med sine databehandlere.

Har du i det hele tatt sendt noen spørsmål til prosessorene dine? Hvis ikke er det på tide å begynne med det. Det finnes maler for hvilke spørsmål man bør stille.

Les mer her:

https://www.datatilsynet.dk/afgoerelser/afgoerelser/2024/feb/privathospitalet-capio-as-indstilles-til-boede


GOOGLE OG DE DANSKE SKOLENE

Historien om Chromebooks i danske skoler var ikke over

Den 30. januar kom det danske datatilsynet opp med en oppsiktsvekkende beslutning om bruk av Google Chromebooks og Workspace for utdanning i skoler. Beslutningen konkluderer med at behandlingen av personopplysninger i visse deler av tjenestene er ulovlig, da det ikke finnes noe rettslig grunnlag i personvernforordningen og nasjonal lovgivning for delingen av informasjon med Google. Her kan det være grunn til å minne om at hvert enkelt ledd i en behandlingsaktivitet, og deling av opplysninger, må ha en hjemmel. Både utlevering av informasjon – og mottak av informasjon.

Derfor utstedte Datatilsynet et pålegg til 53 danske kommuner om å bringe behandlingen i tråd med reglene og sikre at alle personopplysninger som behandles i Googles tjenester har et tilstrekkelig rettslig grunnlag.

Kommunene oppgir i det innsendte materialet at det er en overføring av personopplysninger til Google som Google bruker til egne formål. Ikke for skolenes formål. Formålet for Google sies å være forbedring av deres tjenester og utvikling av nye tjenester. Poenget til datatilsynet er imidlertid at skolene må ha et rettslig grunnlag for å gi studentenes personopplysninger til Google for slike formål – og at de ikke kan se at slikt rettslig grunnlag foreligger. 

Dette er en situasjon som er svært vanlig, ikke bare for skoler. Man kan forestille seg nøyaktig den samme problemstillingen i ansettelsessituasjoner. Hva er det juridiske grunnlaget for at våre arbeidsgivere skal gi våre personopplysninger til leverandører av IT-tjenester?

Jeg tror vi vil se den samme diskusjonen på dette området om ikke lenge. Det snakkes om det nedover i Europa. Dette er også ganske parallelt med tidligere undersøkelser fra EDPS om hvordan Microsoft behandler informasjon om brukerne av deres produkter, noe jeg har adressert i dette nyhetsbrevet tidligere.

Det danske datatilsynet har beordret kommunene til å bringe behandlingen i tråd med reglene ved å sikre at det foreligger autorisasjon for all behandling som finner sted. Kommunene må overholde pålegget fra 1. august 2024, men må angi hvordan de skal innrette seg allerede 1. mars.

https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2024/jan/datatilsynet-giver-paabud-i-chromebook-sag

Se også hvordan det norske Datatilsynet kommenterer saken, i lenken under. Det ser ut til at de tror den samme situasjonen kan gjelde i Norge, men at de ikke har gjennomført en nærmere vurdering av dette. Noe å tenke på for flere, her. https://www.personvernbloggen.no/2024/02/15/hva-betyr-den-danske-chromebook-saken-for-norge/


FORBRUKERE, INNSYN OG RETT TIL ENDRING

Straff for ulovlig å be om for mye informasjon

Vi har snakket om det mange ganger – du må være sikker på at du gir informasjon til riktig person, men du kan ikke be om mer identifiserende informasjon enn nødvendig.

Dette vises av en sak som behandles av datatilsynet i Hellas. De irettesatte en behandlingsansvarlig for ulovlig å spørre om en registrerts ID når de svarte på en tilgangsforespørsel, og for å ikke i tilstrekkelig grad informere brukerne om et databrudd. 

I denne saken ba en registrert om en kopi av sine personopplysninger i henhold til artikkel 15(3) GDPR etter å ha blitt informert av media om at den behandlingsansvarlige hadde hatt et databrudd. Den behandlingsansvarlige drev et nettsted. Den registrerte nektet for noensinne å ha opprette en konto på nettstedet og hevdet at noen andre måtte ha gjort dette ved hjelp av vedkommendes e-postadresse. 

Den behandlingsansvarlige svarte at de eneste dataene de behandlet var den registrertes IP-adresse og brukernavn som ble innhentet ved registrering, og at den registrerte måtte oppgi en ID for at den behandlingsansvarlige skulle kunne identifisere ham og gjennomføre tilgangsforespørselen. Den registrerte svarte at ID-en ikke var nødvendig fordi han brukte e-postadressen sin – og klaget til tilsynet. Nettstedet uttalte at de krevde en ID i forbindelse med tilgangsforespørsler for å kunne beskytte brukere mot uautoriserte utleveringer, og at dette er i tråd med punkt fortalepunkt 64 i GDPR.

Datatilsynet mente derimot at den behandlingsansvarlige handlet i strid med artikkel 5(1)(c) GDPR ved å samle inn ID-er utelukkende for å overholde de registrertes tilgangsforespørsler, fordi dette var overdrevent.

Det er ikke alltid lett å vurdere hvilket nivå av sikkerhet som kreves for utlevering av informasjon, men som en generell regel bør det være tilstrekkelig å bruke e-posten som den behandlingsansvarlige har tilgjengelig.

https://gdprhub.eu/index.php?title=Commissioner_(Cyprus)_-_11.17.001.010.007&mtc=today

Tekniske rammeverk ignoreres – Klarna AB

Det svenske datatilsynet (IMY) startet tilsyn med Klarna Bank AB («Klarna») på grunn av en klage fra en tysk statsborger. Klageren har et Klarna-kort og har bedt om korrigering av e-postadressen knyttet til kortet. Klarna sier at det ikke er teknisk mulig å endre e-postadressen knyttet til klagerens kort og at klager derfor må bestille et nytt kort for å få endret e-postadressen sin. Et nytt Klarna-kort vil imidlertid påvirke klagerens kredittverdighet og vedkommende ønsker ikke det. 

IMY skriver at saken viser at Klarna har behandlet personopplysninger i strid med artikkel 12.2 i GDPR ved ikke å ha lagt til rette for klagerens rett til retting – ved å ikke gjøre det mulig for klageren å endre sin e-postadresse. Å ikke korrigere e-postadresse, anses som et brudd på artikkel 16.

Her ser vi at IMY motsetter seg hvordan Klarna har satt opp sin interne logistikk. Jeg tror dette er en trend – at det å håndheve GDPR faktisk også innebærer innvendinger om hvordan bedrifter (og noen ganger forretningsmodeller) er satt opp. Ikke alle er positive til at myndighetene blander seg inn i slikt, men det er i noen tilfeller en naturlig konsekvens av hvordan GDPR fungerer.

https://www.imy.se/globalassets/dokument/beslut/2024/beslut-klarna-bank-imy-2023-8336.pdf

Personvern i biler 

En forbrukergruppe har funnet ut at «Tilkoblede tjenester»-funksjonen som er innebygd i nye Toyota-biler kan sende personopplysninger og kjøretøydata til tredjeparter. Hvis sjåførene fjerner komponenter som sender dataene, risikerer de at bilens garanti blir annullert.

Toyota har insistert på at det tar kundenes personvern «ekstremt alvorlig», men har erkjent at «Tilkoblede tjenester»-funksjonen bare kan deaktiveres, men ikke fjernes, fra bilene. Ellers kan sjåfører ugyldiggjøre garantien og gjøre Bluetooth og høyttalere ikke-funksjonelle. 

Det har blitt avdekket at Toyotas «Tilkoblede tjenester»-funksjon samler inn informasjon som kjøretøyets plassering, kjøredata, drivstoffnivåer og til og med telefonnumre og e-postadresser. Hvis du ikke melder deg av tjenesten, vil den samle inn og bruke person- og kjøretøydata for forskning, produktutvikling og dataanalyseformål. Tjenestene kan også under noen omstendigheter dele dataene med tredjeparter, for eksempel forsikringsselskaper.

Jeg tror at personvern i biler ennå ikke har fanget lovgivernes oppmerksomhet på ordentlig. Men med tanke på at lokasjonsdata får stor oppmersomhet i andre personvernspørsmål, tror jeg at dette vil komme ganske snart. 

https://www.theguardian.com/australia-news/2024/feb/08/toyota-cars-collecting-and-potentially-sharing-location-data-and-personal-information-choice-says

Fortsatt hardt vær for Facebook

Den nederlandske regjeringen vurderer å trekke seg helt fra Facebook på grunn av alvorlige bekymringer om hvordan den sosiale medieplattformen håndterer datasikkerhet. Regjeringen har i flere år vært bekymret for hvordan Facebook håndterer personvernsensitive data, og den nederlandske regjeringen har ved gjennomføringen av en DPIA avslørt det de mener er alvorlige mangler. De har visstnok diskutert dette med Meta, men Meta har ikke gjennomført tilfredsstillende forpliktelser eller forbedringer. Meta er tilsynelatende ikke enig i funnene i DPIA. 

I november spurte den nederlandske regjeringen det nederlandske datatilsynet om det er trygt å fortsette å bruke Facebook. Tilbakemeldingen fra datatilsynet er forventet å være klar snart. Imidlertid synes den foreløpige indikasjonen å være at regjeringen forventer å slutte å bruke Facebook og at de allerede gjør forberedelser for dette. 

https://nltimes.nl/2024/02/05/dutch-government-considering-ditching-facebook


GDPR OG ANSATTE

Overvåkning av ansatte 

Den 27. desember 2023 bøtela det franske datatilsynet (CNIL) Amazon France Logistique 32 millioner euro for å ha satt opp et overdrevent påtrengende system for overvåking av ansattes aktivitet. Selskapet ble også bøtelagt for videoovervåkning uten informasjon eller tilstrekkelig sikkerhet.

Selskapet administrerer Amazon-konsernets lager i Frankrike, hvorfra de sender pakker til kunder. Hver lageransatt får en skanner for å dokumentere hvordan arbeidet utføres i sanntid. Hver skanning registreres og brukes til å beregne informasjon om kvaliteten, produktiviteten og perioder med inaktivitet for hver ansatt.

CNIL vurderte at systemet for overvåking av ansatte var overdrevent. CNIL fastslo bl.a. at det var ulovlig å sette opp et system som måler arbeidsavbrudd med slik nøyaktighet, noe som potensielt krever at ansatte må rettferdiggjøre hver pause eller avbrudd. Videre kom CNIL til at systemet for måling av hastigheten pakker ble skannet med var overdrevent. CNIL anså det også som overdrevent å beholde alle dataene som samles inn via systemet, samt de resulterende statistiske indikatorene, for alle ansatte og midlertidige arbeidere, i en periode på 31 dager.

Ved fastsettelsen av botens størrelse ble det spesielt tatt hensyn til det faktum at analysen/overvåkingen var forskjellig fra tradisjonelle aktivitetsovervåkingsmetoder – særlig hva gjelder innhold og varighet, og at overføringen førte til svært tett og detaljert overvåking av ansattes arbeid.

Nå tror jeg ikke at mange norske virksomheter vil innføre denne type overvåking av ansatte, men det er klart at i et globalt marked er det en viss «smitteeffekt» fra land der slike systemer tillates.

Saken er omtalt her:

https://www.cnil.fr/en/employee-monitoring-cnil-fined-amazon-france-logistique-eu32-million

Uber beskytter ikke sjåførenes personvern – får en stor bot i Nederland

Det nederlandske datatilsynet har bøtelagt Uber 10 millioner euro for brudd på personvernregelverket i relasjon til sjåførenes personopplysninger.

Tilsynet kom til at Uber ikke hadde spesifisert hvor lenge de beholdt sjåførenes personopplysninger, eller hvordan de sikret personopplysninger når disse ble sendt til enheter i land, som de ikke hadde navngitt, utenfor EØS.

Uber hindret også sjåførenes mulighet til å utøve sin rett til personvern ved å gjøre forespørsler om tilgang til personopplysninger unødvendig komplisert. 

Boten ble ilagt etter at over 170 franske sjåfører klaget Uber inn til en fransk menneskerettighetsorganisasjon, som sendte inn en klage til det franske datatilsynet. Siden Uber har sitt europeiske hovedkvarter i Nederland, ble klagen videresendt til det nederlandske datatilsynet.

https://www.reuters.com/technology/dutch-watchdog-fines-uber-10-mln-euros-over-privacy-regulations-infringement-2024-01-31/


HOVEDETABLEING + NOYB

EDPB klargjør begrepet om hovedetablering («Main establishment»)

EDPB har gitt en uttalelse om begrepet hovedetablering og kriteriene for anvendelsen av One-Stop-Shop-mekanismen (OSS). De skriver følgende hovedpunkter: 

  • For at OSS skal gjelde, må etablering av den behandlingsansvarlige innenfor EU ta beslutninger om formålene og metodene for behandling. 
  • Hvis beslutninger om formålene og metodene – og makten til å få dem implementert – utøves utenfor EU, vil OSS ikke gjelde.
  • Bevisbyrden faller på den behandlingsansvarlige – ting som plassering av regionale hovedkontorer og hvor retningslinjer for personvern fastsettes er «relevante elementer», men ikke avgjørende, og datatilsynet kan realiteten i dette.
  •  Uttalelsen advarer spesielt om at GDPR ikke tillater «forumshopping» i identifiseringen av hovedetablering. 

Denne uttalelsen er den siste i en rekke konkrete tiltak tatt av EDPB etter Wien-erklæringen om grenseoverskridende håndhevelse, med sikte på å effektivisere håndhevelse og samarbeid mellom datatilsynene. 

https://edpb.europa.eu/news/news/2024/edpb-clarifies-notion-main-establishment-and-calls-eu-legislators-make-sure-csam_en

NOYB har undersøkt personverntilstanden i Europa

I november 2023 gjennomførte NOYB en nettbasert undersøkelse for å få innsikt i den praktiske implementeringen av GDPR. Noen vil kanskje si at funn fra NOYB sannsynligvis vil vippes til å være for personvernfokusert, men rapporten er faktisk en ganske god analyse av hva som er oppnådd med GDPR og hva som er nåværende status for etterlevelse av reglene.

Undersøkelsen inkluderte blant annet spørsmål om selskapers etterlevelse av GDPR, om vanskeligheten med å overbevise andre avdelinger eller ansatte i et selskap om etterlevelse av GDPR og spørsmål om de mest relevante faktorene som påvirker etterlevelsen av GDPR. Undersøkelsen fokuserte på personvernombud og andre som jobber med etterlevelse. 

Rapporten belyser et utbredt problem om manglende etterlevelse på tvers av ulike sektorer. Mange unnlater å beskytte enkeltpersoners personvernrettigheter og å sikre personopplysninger i samsvar med GDPR.

Videre fant de mangel på åpenhet og ansvarlighet i databehandlingspraksis, med organisasjoner som ofte ikke klarer å gi klar og tilgjengelig informasjon om deres retningslinjer for datainnsamling, lagring og bruk. De fant også at mange organisasjoner mangler robuste sikkerhetstiltak for å beskytte mot databrudd og uautorisert tilgang. Dette setter enkeltpersoners personopplysninger i fare for utnyttelse og misbruk. 

NOYB fant også at samtykkehåndteringsprosesser ofte er feil, med organisasjoner som er baserer seg på tvetydige eller uklare samtykkemekanismer som ikke oppfyller forordningens standarder for informert og fritt samtykke. Det er også en generell mangel på bevissthet blant enkeltpersoner om deres rettigheter og organisasjoner unnlater ofte å legge til rette for utøvelse av registrertes rettigheter på en betimelig og transparent måte. 

Rapporten inneholder også anbefalinger for forbedringer. For det første må tilsynsmyndighetene styrke håndhevingsarbeidet og avskrekke fremtidige brudd gjennom ileggelse av bøter og sanksjoner.  I tillegg bør organisasjoner prioritere investeringer i robuste sikkerhetstiltak, inkludert kryptering, tilgangskontroller og regelmessige sikkerhetsrevisjoner. Organisasjoner må prioritere åpenhet og klarhet i deres databehandlingspraksis, gi enkeltpersoner klar og tilgjengelig informasjon om hvordan deres personopplysninger samles inn, brukes og deles, og sikre bedre samtykkemekanismer. Rapporten understreker at det bør gjøres tiltak for å øke bevisstheten blant enkeltpersoner om deres rettigheter og gi dem mulighet til større kontroll over sine personopplysninger gjennom utøvelse av rettigheter.

Rapporten understreker et presserende behov for samordnet innsats fra både tilsynsmyndigheter, organisasjoner og enkeltpersoner for å fremme en kultur for etterlevelse og å opprettholde enkeltpersoners grunnleggende rett til personvern.

Rapporten finner du her

https://noyb.eu/sites/default/files/2024-01/GDPR_a%20culture%20of%20non-compliance_2.pdf


KOMMENDE MØTER

14. mars 14.00 – 16.00Digitalt nettverksmøte

Se hele oversikten over kommende aktiviteter i nettverket her.


SISTE ORD

Du får dette nyhetsbrevet som medlem av tilt.works PrivacyTech-nettverk eller fordi du har tegnet et eget abonnement. Du kan oppdatere din profil her.

Snyltekapitalismen

Snyltekapitalismen

Schibsted og 31 andre europeiske mediehus har saksøkt Google.

Les mer: Reuters Kampanje

Det kommer som enda et av en lang, lang rekke søksmål mot de internasjonale IT-gigantene.

Jeg syns det er høyst betimelig.

Google er en av et lite antall aktører som er blitt mektige og superrike ved å snylte på andres verdiskapning.

To inntektskilder

Media har tradisjonelt levd av innhold, og det har de skapt inntekter fra ved at den som bruker innholdet betaler for bruken, og ved at annonsører betaler for oppmerksomhet fra de samme brukerne.

Før internett og web stod papiret i en luksuriøs særstilling. Verdien av annonseflatene var svært høy. Mediene tjente svært gode penger.

Da nettavisene kom, endret det seg. Verdien av en annonse ble synliggjort, og det var ikke alltid lett å forsvare investeringen. Annonsørene ble mer bevisste hvordan de brukte pengene.

Google og andre annonsenettverk etablerte seg som et mellomledd mellom annonsører og potensielle kunder.

På den måten ble enorme verdier omfordelt. De 22 milliarder de 32 europeiske mediene mener de fortjener i erstatning er antagelig bare smuler i forhold til hvilket omsetningstap de faktisk har lidd.

Portvoktere

Når det er sagt, er det også liten tvil om at mye av tapet er fra oppblåste inntekter de selv har hatt i egenskap av å være «portvoktere» for virksomheter som ønsker seg kunder. De var selv i praksis lokale og nasjonale monopoler som beriket seg på samme måte de nå anklager Google for.

Greit nok. La tyv fange tyv.

Den verdiøkningen Google har gitt annonsører i form av målrettede salgsbudskap er reell, og antagelig positiv i det store bildet, hvis man ikke henger seg opp i medienes stadig trangere økonomi.

Like fullt er det betenkelig faktum at Google, Facebook og noen andre store aktører lever utelukkende av verdier skapt av andre.

De er barn av den nye kapitalismen: Snyltekapitalismen. De fortjener motstand, og jeg ønsker de europeiske mediehusene lykke til.

Men jeg skulle gjerne sett at de store digitale selskapene ble sterkere utfordret på andre områder også. Viktigere områder.

Våre data

Et område er den skamløse måten de forsyner seg av våre data. Mine data er min eiendom, men den har ikke mye verdi i seg selv. Det er en dråpe vann i havet.

Men data fra noen milliarder mennesker, som hver seg eies av et individ, har en verdi. Det er selve havet.

I likhet med naturressurser som hav og vassdrag, er det en del av vår kollektive eiendom. Slik vi nå snakker om «lakseskatt» i form av en grunnrente for bruk av kollektive naturressurser, må vi begynne å snakke om en grunnrente på fellesskapets data.

I mangel av regulering har IT-gigantene kunnet spørre hver enkelt eier av «vanndråpene» om de vil bytte den mot litt enkel moro, og på den måten fått tilgang på hele havet.

Velferdssamfunnet

Et annet område som i svært liten grad er adressert ennå er verdien av arbeidet vi ikke lenger utfører fordi det utføres av en algoritme i Silicon Valley.

Skattlegging av data og verdier utvunnet av data genererer enorme mengder inntekt fra data de samler inn globalt. Utfordringen med å skattlegge disse inntektene ligger i den digitale økonomiens natur.

Vårt velferdssamfunn er fundert på skatt på inntekt. Inntekt er noe en arbeidstaker får fordi vedkommende skaper en verdi for arbeidsgiveren.

Når AI og annen teknologi sørger for at jeg gjør det samme arbeidet på 20 prosent av tiden, vil det som kostet arbeidsgiveren 100 kroner i lønn i går, koste 20 kroner i dag.

Det er lønnsomt for arbeidsgiveren, men for velferdsstaten betyr det at 80 prosent av inntektsskatten blir borte. Og siden verdiskapningen ikke skjer i Norge, skattlegges den heller ikke i Norge.

Da har snyltekapitalismen gått fra å suge blod fra små og store næringer og folk flest, til å utarme hele velferdssamfunnet vårt.

Ulikheter og uro

Så når jeg har sympati med Schibsted, Axel Springer og de andre, så er det ikke fordi jeg tenker at de er ofre som bør få oppreisning. Det er fordi det er viktig at utviklingen mot at stadig større verdier sluses inn i lommene til et fåtall superrike, internasjonale aktører utfordres.

Ulikheter skaper uro, konflikt og ofte krig. Jeg tror at mye av den uroen og splittelsen vi ser i verden i dag kan tilbakeføres til de stadig voksende ulikhetene mellom fattige og (super-)rike.

Det er ikke bærekraftig.

God tirsdag.

Opptak av møtet 15. feb 2024

Opptak av møtet 15. feb 2024

På møtet i partnerskapet den 15. februar snakket vi om veien videre for tilt.work og for Partners in Tilt. Paal presenterte sine visjoner for tilt, mens Thomas presenterte tanker om hvordan modellen til PiT vil endre seg.

Farvel til alderismen. Eldre som livsbejaende, verdiskapende borgere

Farvel til alderismen. Eldre som livsbejaende, verdiskapende borgere

Den kommunale økonomi settes for tiden på prøve. Ordføreropprøret den 22. januar i år i Larvik samlet representanter for 120 skattefattige kommuner. Mange av disse kommunene får ikke nok inntekter til å kunne levere hverken lovpålagte eller forventede tjenester. Spesielt utfordrende er økende antall unge med rapportert dårligere mental helse, økende utenforskap og uføregrad samt kostbare spesialtiltak for utsatte barn.

read more…
Du skal få din lønn i vaffeljernet

Du skal få din lønn i vaffeljernet

Store deler av det norske samfunnsmaskineriet er basert på frivillighet. Tusenvis av frivillige legger igjen millioner av timer til glede for idrettslaget, politiske partier, menigheten, korpset, koret, speideren. 

Den eneste kompensasjonen de får utover gleden ved å bidra til «saken» er at de kan spise så mange vafler de vil (bare de steker dem selv).

Råtnende røtter

Dugnadsånden er dypt rotfestet i norsk kultur, men mange opplever at røttene begynner å råtne. Fra mange hold hører vi historier om foreldre som ser seg og sine barn mer som kunder i idrettslaget enn medlemmer med felles ansvar for helheten.

Samtidig forventer mange foreninger og lag mye av sine medlemmer. 

Kanskje denne ubalansen er utslagsgivende for en trend jeg mener å se nå: at foreninger, idrettslag og andre organisasjoner investerer mer i medlemmer som strekker seg lenger?

Frivillig lederutvikler

Jeg har, som en gjennomsnittlig norsk borger, engasjert meg mye i frivillighet gjennom årene, med tillitsverv i ulike organisasjoner både privat og profesjonelt. Jeg er også pro bono konsulent for Prospera, som deler ut verdifull konsulentbistand til verdige trengende organisasjoner.

Jeg er blitt glad i det frivillige Norge. 

Så da jeg fikk anledning til å kombinere min erfaring med å vikle ut ledere med min begeistring for frivillighet i fjor, nølte jeg ikke.  Jeg ble med i en pool av frivillige lederutviklere i Den norske turistforening (DNT).  

Det er et av de morsomste oppdragene jeg har hatt, selv om lønna kun var kaffe, frukt og småkaker.

Engasjementet falt sammen med et lignende program som allerede var under utvikling i tilt.work for et stort idrettslag i Oslo.

I vinter har jeg derfor hatt gleden av å lose to kohorter frivillige ledere gjennom to versjoner av det femten timer lange programmet.

Ledelse avmystifisert

Felles for programmene er at de har en praktisk tilnærming til ledelse. Ledelse er ofte blitt opphøyd til noe nesten mystisk. Men ledelse er ikke hokus pokus. Ledelse er håndverk, teknikk, øvelse og refleksjon.

Gode ledere er gode ledere fordi de har en velfylt verktøykasse og har praktisk øvelse med verktøyene sine.

Det spesielle med å lede i frivilligheten er at det finnes få om noen ytre motivasjonsfaktorer. Alt handler om indre motivasjon, og den kommer i mange ulike former.

Det gir helt spesielle lederutfordringer. Der du som leder i andre sektorer har lønn, bonus og forfremmelse i ermet for å motivere til innsats, står du igjen med kun deg selv og din atferd som verktøy for motivasjon. 

Den ultimate testen

Derfor er ledelse av frivillige den ultimate testen på ledelse.

Samtidig er indre motivasjon en sterk drivkraft også i mer formelle arbeidssituasjoner. Et eksempel er startups, hvor gründerne gjerne har «snublet» inn i ledelse fordi de forfulgte en lidenskap og en drøm om å endre bittelitt på verden. Folka de skal lede er gjerne motivert av det samme. 

Les mer om programmet

Jeg tror også det er gjenkjennbart for mange prosjektledere. De skal sikre at en gjeng med fremmede transformeres til et høytytende team. Da vil ofte «myke» lederferdigheter være et uvurderlig supplement til teknikkene de lærte på prosjektlederkurset.

Send stafettpinnen videre

Hvorfor forteller jeg deg dette en tirsdag morgen?

Du er smart, og ser at det er et element av salg i denne ukens Tirsdag morgen. Antagelig kjenner du en eller flere organisasjoner som kan være interessert i å styrke både organisasjon og medlemsmotivasjon ved å utvikle sine ledere.

Send stafettpinnen videre, eller ta kontakt med en mail. Hvis du leser dette i eposten din, kan du svare direkte.

God tirsdag. 

Oppslagsbildet er AI-generert (ChatGPT)

Kunsten å skape engasjement i møter og på kurs

Kunsten å skape engasjement i møter og på kurs

Kampen om oppmerksomhet er tøff. Vi er vant til å få servert informasjon i kvikke kutt og faller fort av om det som skjer på scene/skjermen ikke fenger.

Smak på denne: I en undersøkelse Wall Street Journal gjorde for noen år siden beskrev halvparten av topplederne presentasjonene de hører som «direkte søvndyssende» og 43 prosent som «fryktelig kjedelige». Bare 7 prosent svarte «inspirerende».

read more…
IT-jus nr. 1/24

IT-jus nr. 1/24

Datatilsynet har kommet med en oversikt over nylig vedtatt regelverk fra EU. Der er AI Act, selvfølgelig. Men også

  • Data Governance Act,
  • Digital Markets Act,
  • NIS 2 direktivet,
  • General Product Safety Regulation,
  • Digital Services Act,
  • Critical Entities Resilience Directive
  • Digital Operations Resilience Act (DORA).

Og ny lovgivning som ventes å komme om kort, er

  • AI Liability Act,
  • Consumer Credit Directive,
  • European Health Data Space,
  • European Media Freedom Act

og hele ni andre lover.

Fra ECJ fikk vi 32 avgjørelser om personvern i 2023. Et søk på EDPBs sider viser at de har publisert 117 dokumenter i 2023. Man kan bli svimmel av mindre! Heldigvis er ikke alt like viktig.

Uansett kan vi neppe bare forholde oss til GDPR fremover – personvernet sniker seg inn i mange andre lover også. For å finne relevant GDPR-materiale bruker jeg ofte GDPRhub som har en ganske fullstendig oversikt over europeiske avgjørelser, både fra domstoler og datatilsyn. Det er en fin og lett søkbar nettside som NOYB har tatt initiativ til.

Under er et knippe saker fra årsskiftet som har fanget min interesse. Jeg tar noen korte, enkle saker først, og så kommer noen litt mer juridiske ECJ-saker om erstatning for tort og svie til slutt.

I neste nettverksmøte skal vi ha en runde på hvordan det var å ha tilsyn for NAV samt en del om AIB TCF 2.2-rammeverket om cookies. Cookies er veldig i vinden og jeg vet at mange jobber hardt med å trimme tekst på hjemmesidene sine. Happy reading og riktig godt nytt personvernår!

Hilsen Eva


LOJALITETSPROGRAM

Slett kundeopplysninger i lojalitetsprogram

Det finske datatilsynet har kommet med en praktisk avgjørelse om lagringstid innen retail. Det dreier seg om Kesko, landets største retailkjede, og deres lojalitetsprogram.

De lagret kundeopplysninger og salgsopplysninger så lenge kundeforholdet varte. Tilsynet slo fast at koblingen til kundeforholdet kunne medføre lagring i hele kundens levetid og at dette var for lenge. Det ble også fremhevet at kjøpshistorikk kan brukes til å utlede særlige kategorier opplysninger. Kesko skulle også ha sørget for at kundene fikk velge hvor mye data om dem som ble samlet inn om dem.

Kesko slapp bot, men det er all grunn til å tro at lagringstid og sletting får oppmerksomhet fremover.

Saken er omtalt her https://gdprhub.eu/index.php?title=Tietosuojavaltuutetun_toimisto_(Finland)_-_3831/161/21&mtc=today


SAKER FRA DET DANSKE DATATILSYNET

Hva er tilstrekkelige sikkerhetstiltak?

Når man lurer på hvilke sikkerhetstiltak man må implementere, kan det være nyttig å se til en ny veileder fra det danske datatilsynet. Datatilsynet mottar ukentlig flere anmeldelser om brudd på persondatasikkerheten og mange handler om utilsiktet tilgang eller videreformidling av personopplysninger.

Tilsynet mener at bruddene kunne vært unngått med passende sikkerhetstiltak. Datatilsynet har derfor identifisert 10 typiske brudd og gir råd om relevante sikkerhetstiltak for å redusere risikoen for disse hendelsene.

Veiledningen henvender seg spesielt til ansatte med innflytelse på organisasjonens regler, prosedyrer, opplæring og tekniske konfigurasjoner for å beskytte mot brudd på persondatasikkerheten. Det vil antakelig være ganske nyttig lesning for mange. Med tanke på den oppmerksomhet NAV nylig har fått for sviktende adgangskontroll i Norge, er det interessant å se at første avvik de tar opp er nettopp «adgangsrettigheter etter behov».

Du finner oversikten her

https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2023/nov/nyt-katalog-over-sikkerhedsforanstaltninger

Mer om hva som er god tilgangskontroll

Det danske Datatilsynet har også gitt ut en veileder for nettopp tilgangsstyring. Tilsynet skriver at styring av brukernes tilganger er en helt grunnleggende del av informasjonssikkerhet, men at mange finner dette vanskelig. Manglende tilgangsstyring øker risikoen for brudd på persondatasikkerheten – alt fra ansattes uautoriserte innsyn og misbruk utført av tidligere ansatte, til målrettede hacker- og ransomware-angrep.

Veiledningen er tilgjengelig her

https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2023/dec/ny-vejledning-om-rettighedsstyring

Vanskelig med samtykke på sykehus

I slutten av november kom det en litt uvanlig sak fra det danske Datatilsynet. Aarhus universitetssykehus publiserte enkelte pasientbilder på Instagram – basert på samtykke. Det høres antakelig helt OK ut for mange.

Men en pasient henvendte seg til datatilsynet og lurte på om dette var lov.

Tilsynet åpnet sak og konkluderte med at samtykke ikke kunne brukes som behandlingsgrunnlag fordi det ikke er likevekt mellom pasienten og sykehuset. Sykehuset er i en maktposisjon, selv om de selvfølgelig ikke vil gi pasienter som ikke samtykker dårligere behandling.

Balanse mellom partene i samtykkesituasjoner er jo viktig og er jo kjent for å være vanskelig i arbeidsforhold. Jeg er kanskje noe overrasket over avgjørelsen, men det vil naturligvis avhenge av i hvilke situasjoner sykehuset ba om tillatelse til publisering.

Du finner beslutningen her

https://www.datatilsynet.dk/afgoerelser/afgoerelser/2023/nov/hospital-kan-ikke-bruge-samtykke-til-at-offentliggoere-billeder-af-patienter-paa-instagram

Bruker utviklerne dine JavaScript?

Den 20. januar 2022 mottok det danske Datatilsynet en henvendelse fra en borger angående Digitaliseringsstyrelsens bruk av JavaScript i MitID, den danske digitale ID-en. Vedkommende hevdet at JavaScript er utdatert og ikke sikkert, og at enheter enkelt kan hackes hvis JavaScript er aktivert. Dette har vært tema i sikkerhetsbransjen lenge.

Digitaliseringsstyrelsen forklarte at det var gjennomført risikovurderinger av MitID, herunder av kodekvalitet. De hadde likevel ikke vurdert mulige risikoer for de registrerte ved bruk av JavaScript.

Datatilsynet minnet om at GDPR krever at behandlingsansvarlig må håndtere risikoen for rettighetene og frihetene til datasubjektene før man starter behandlinger. I tillegg minnet Datatilsynet om at i henhold til artikkel 5(1)(f) i GDPR må personopplysninger behandles på en måte som sikrer tilstrekkelig sikkerhet for de berørte personopplysningene. Det påpekte videre at både artikkel 5(2) i GDPR og artikkel 24(1) i GDPR fastslår at en behandlingsansvarlig må kunne påvise overholdelse av GDPR. For at et tilsynsorgan skal kunne vurdere om tilstrekkelig sikkerhetsnivå er sikret, må behandlingsansvarlige dokumentere identifiserte risikoer og de tiltakene som er iverksatt.

Ikke overraskende, konkluderte Datatilsynet med at risikoen for de registrerte skulle ha vært vurdert og at man burde ha gjennomført en separat risikovurdering av JavaScript, siden det er offentlig kjent at programmeringsspråket har svakheter. At dette gjaldt en nasjonal infrastruktur gjorde det verre.

Da Digitaliseringsstyrelsen viste til en eldre vurdering av JavaScript, gjennomført flere år tidligere for «NemID», var det utilstrekkelig.

Hva kan vi lære av dette? At dokumentasjon selvfølgelig er viktig, selv om det er tidkrevende.


BEHANDLINGSANSVAR

Kreves avtale for felles behandlingsansvar?

I ECJ C-683/21 var spørsmålet om et helseinstitutt som hadde outsourcet utviklingen av en Covid-19-smittesporingsapp til en privat aktør, var behandlingsansvarlig. Instituttet eide ikke appen og behandlet ikke personopplysninger selv. Men ECJ slo fast at når en virksomhet faktisk medvirker til å bestemme formålene og virkemidlene for behandlingen av personopplysninger, anses den som behandlingsansvarlig. I dette aktuelle tilfellet mente domstolen at det var et felles behandlingsansvar. Det var ikke avgjørende at partene ikke hadde inngått noen avtale om slikt felles behandlingsansvar – domstolen gjorde en vurdering basert på faktum.

Antakelig er det flere enn man tror som har felles behandlingsansvar. Jeg tror nok dette gjelder i en del konsern og også i en del utviklingssituasjoner. Det skal ikke mye til – og konsekvensene er jo faktisk ganske store. Det spiller en rolle for ens ansvar om man er behandlingsansvarlig eller om man er databehandler. En meget dyktig engelsk personvernekspert, Christopher Millard, skrev en artikkel om dette allerede i 2019. Tittelen var “At this rate, everyone will be a joint controller of personal data!”

Det er en meget lesverdig artikkel og du finner den her:

https://academic.oup.com/idpl/article/9/4/217/5771498


INNSYN NÅR ALGORITMEN AVGJØR

SCHUFA-sakene – viktig for mer enn bare kredittopplysningsvirksomhet!

SCHUFA er et tysk selskap som driver kredittvirksomhet, de setter score på hvor god økonomi mennesker har. En kunde av en bank fikk avslag på sin lånesøknad som følge av at hennes score fra SCHUFA var for lav. Da hun begjærte innsyn i hvilke opplysninger SCHUFA hadde lagt til grunn om henne, fikk hun innsyn i det, men ikke i algoritmen som regnet ut en score fordi SCHUFA mente det var en forretningshemmelighet.

Her oppstår mange juridiske spørsmål, men blant annet om GDPR om artikkel 22 får anvendelse. Ville SCHUFA anses å ha fattet en beslutning med stor innvirkning på individet slik at de veldig strenge rammene i artikkel 22 må anvendes? Da kan man som kjent bare bruke samtykke, avtale eller lov som hjemmel for behandlingen/scoringen.

ECJ konkluderte i sak C-634/21 med at selv om SCHUFA ikke selv traff beslutningen om å avslå lånesøknaden, spilte scoren en avgjørende rolle i at kunden ikke fikk lån. Dette mente de var tilstrekkelig til at artikkel 22 fikk virkning for SCHUFAs egen aktivitet. I tillegg kunne SCHUFA lettere oppfylle informasjonsforpliktelsene overfor den registrerte enn banken, ettersom banken ikke hadde kunnskap om hvordan de automatiserte prosessene i SCHUFA fungerte.

I Norge har vi en særlov for kredittopplysningsselskap, så for dem har saken antakelig ikke stor betydning. Mange andre europeiske land har ikke dette, og der får denne avgjørelsen større betydning. Men den kan likevel ha virkning for mange andre selskaper i Norge.

En bred tolkning av hva som er en automatisert beslutning i artikkel 22 utvider bestemmelsen. I praksis vil nå alle selskaper som utarbeider og selger analyser som andre virksomheter baserer seg på, måtte ta hensyn til denne dommen. Antakelig vil dette påvirke sektorer som arbeidsliv, helsevesen og forsikring – områder der det ikke er uvanlig at bedrifter bruker algoritmer som beslutningsgrunnlag.

Dommen understreker også viktigheten av at virksomheter gir klar og forståelig informasjon om metodene for databehandling. Her vil også AI Act komme inn med veldig like regler om ganske kort tid.

Det kom ganske samtidig to andre saker om SCHUFA, sakene C-26/22 og C-64/22. De gjaldt lagringstid for kredittopplysninger, men jeg tror ikke disse er så relevante i Norge da vi har særlovgivning på dette.


IKKE-ØKONOMISKE TAP

Erstatning for tort og svie? Det spørs!

Da GDPR kom, var mange usikre på hva omfanget ville bli for erstatninger knyttet til ikke-økonomiske tap. Det vet vi mye mer om nå fordi vi har fått mange saker om dette.

I en ganske ny sak fra en domstol i Köln, slås det fast at det ikke var nok å vise til ubehag, angst og frykt for å kreve erstatning etter GDPR art 82. Saken gjaldt opplysninger som kom på avveie etter et avvik hos Facebook i 2019. Selv om klageren faktisk mistet kontrollen over dataene etter at de ble publisert på darkweb, var ikke dette tilstrekkelig for å utgjøre en relevant skade. Det var ikke nok at klageren viste til en «negativ konsekvens» og abstrakt tap av kontroll, det skulle vært vist til en klar skade.  

Domstolen sa samtidig at dette ikke betyr at det er en minimumsterskel for erstatning, men at skaden i det minste må være objektivt fastsatt. På samme måte fastslo retten at klageren ikke klarte å vise hvordan han led skade av spam-e-postene og SMS-ene han mottok etter avviket, eller hvordan han brukte tid og innsats på å håndtere tapet av kontroll over dataene sine.

Her er det nyttig med et tilbakeblikk på CJEU C-300/21 om det østerrikske postvesenet (Österreichische Post), fra 4. mars 2023 som blir vist til i dommen over. Österreichische Post-saken var en av de første sakene om dette. Det østerrikske postvesenet laget antakelser om befolkningens politiske tilknytning basert på sosiodemografiske kriterier. En person klaget. Han hadde ikke samtykket til dette og følte seg krenket. Saksøkeren hevdet at dette forårsaket ham stor opprørthet, tap av tillit og en følelse av eksponering ved at postvesenet lagret informasjon om hans antatte politiske meninger.

Saken endte for flere østerrikske domstoler og gjennomgående avviste de erstatningskravet. I prosessen ba en østerriksk domstol ECJ om å uttale seg om flere forhold og følgende ble slått fast:

For at retten til erstatning skal oppstå, må tre kumulative betingelser være oppfylt:

  • Det må ha skjedd et brudd på GDPR,
  • det må finnes en materiell eller immateriell skade som følge av denne krenkelsen, og
  • det må være årsakssammenheng mellom skaden og krenkelsen.

En ren krenkelse av en GDPR-bestemmelse er ikke nok for å gi rett til erstatning, med mindre klageren viser at han eller hun har lidd skade og at den aktuelle krenkelsen faktisk forårsaket den.

EU-domstolen fastslo likevel at medlemsstatene ikke kan betinge retten til erstatning for immateriell skade av at en terskel for «alvorlighet» først blir oppfylt. Domstolen fastslo at begrepet «skade» skal tolkes bredt og sa også at et annet resultat ville føre til at erstatningskrav kan få ulikt utfall i ulike land, noe som ikke ville være i tråd med GDPR.

Til slutt, påpekte EU-domstolen at GDPR ikke inneholder noen regler for å fastsette beløpet av erstatningen som skal i erstatning. Har kan altså nasjonale domstoler i EU anvende nasjonale regler når de avgjør beløpet for erstatning. Dette betyr at nivået på erstatninger vil variere.

Du finner dommen omtalt her

https://gdprhub.eu/index.php?title=CJEU_-_C-300/21_-_%C3%96sterreichische_Post_AG

Det som ble slått fast i Österreichische Post-saken er på mange måter blitt gullstandarden for hvordan vurderingene skal gjøres. Det skal altså en del til for at en virksomhet får slike erstatningskrav mot seg.

Her må jeg også nevne ECJs nye avgjørelse av 14. desember 2023 (C-340/21) som har flere andre prinsipielle avklaringer.

Etter et cyberangrep mot det bulgarske nasjonale skattevesenet der opplysninger ble lekket, klaget en bruker og krevde erstatning. Vedkommende hevdet å ha lidt ikke-materiell skade; frykt for at personopplysninger kunne bli misbrukt i fremtiden eller at de kunne bli presset, angrepet eller sågar kidnappet.

ECJ tok utgangspunkt i at selv om det var brudd på GDPR, så betød ikke det nødvendigvis at behandlingsansvarlig hadde forsømt å bruke hensiktsmessige tekniske og organisatoriske tiltak. De sa at EU-lovgiverens intensjon var å «redusere» risikoen for brudd på personvern, uten å kreve at risikoen skulle bli helt eliminert. Dette er godt nytt for mange. Tiltakene som er implementert må vurderes konkret.

CJEU fortsatte med at selv om et GDPR-brudd skyldes tredjeparter (hackere), så er ikke den behandlingsansvarlige fri for ansvar. Man må se på om de implementerte tekniske og organisatoriske tiltakene var hensiktsmessige. Og et OBS her – merk at det er den behandlingsansvarlige som må kunne dokumentere at tilstrekkelige tiltak er fattet.

Dernest viste de til ovenfornevnte C-300/21 (postvesenet), og skrev at opplevd frykt og mulig misbruk av personopplysninger hos en enkeltperson kan utgjøre relevant skade. De skrev at det er opp til den nasjonale domstolen å verifisere om frykten for den enkelte kan anses som velbegrunnet. Skal man kjøre en slik sak, bør man kanskje involvere psykologisk ekspertise som kan si noe om reell frykt.

Dommen finner du omtalt her

https://gdprhub.eu/index.php?title=CJEU_-_C%E2%80%91340/21_-_Natsionalna_agentsia_za_prihodite


KOMMENDE MØTER

25. jan 14.00 – 17.00
  Nettverksmøte, Oslo
22. feb 12.00 – 13.00
Drop in
14. mars 14.00 – 16.00
Digitalt nettverksmøte

Se hele oversikten over kommende aktiviteter i nettverket her.


SISTE ORD

Du får dette nyhetsbrevet som medlem av tilt.works PrivacyTech-nettverk eller fordi du har tegnet et eget abonnement. Du kan oppdatere din profil her.

Utsikten fra elfenbenstårnet

Utsikten fra elfenbenstårnet

Jeanette, min dyktige kollega som har vikariert for meg i Tirsdag morgen de siste ukene, har forklart mitt fravær med at jeg har steget opp i elfenbenstårnet for å tenke kloke tanker om tilt.works videre utvikling.

Jeg er tilbake, og har tenkt noen tanker. Om de er kloke får tiden vise.

Men begrepet «elfenbenstårn» vekket min nysgjerrighet i seg selv. 

Jeg har i grunnen aldri reflektert over hva det vil si å sitte i et elfenbenstårn inntil jeg ble sendt opp i ett. 

Så jeg måtte sjekke hva det innebærer: 

«Å bo eller være i et elfenbenstårn er ikke å vite om eller å ville unngå de vanlige og ubehagelige tingene som skjer i folks liv: Akademikere som sitter i elfenbenstårn har ingen forståelse for hva som er viktig for vanlige mennesker.»

Gruppediagnose

Hmm. Dette låter kjent. Dette høres ut som en gruppediagnose som kan passe på mange funksjoner i arbeidslivet og samfunnet for øvrig. 

Jeg tror det passer på mange styrer, for eksempel. Det mystiske styret som jevnlig samles i viktige styremøter for å behandle saker som vedgår svært mange mennesker uten at de som behandler dem har peiling på hvem disse menneskene er, hva de drømmer om og hva de tenker om utfordringene.

Jeg har selv sittet i eller rapportert til ulike styrer. Bakkekontakt er ikke alltid den mest fremtredende kvaliteten.

Noen typiske funksjoner i arbeidslivet kan også mistenkes for å trekke seg tilbake til sine elfenbenstårn. Noen vil for eksempel føle at HR-avdelingen befinner seg i en avsondret verden hvorfra det sendes ut dekreter og forskrifter ingen forstår hensikten med.

Andre kan ha opplevd IT-avdelinger som skjuler seg bak et sjamanistisk slør av teknologisk mystikk.  

Det er også, vil jeg mene, treffende for deler av vårt politiske system. Noen stikkord: eksamensjuks, innsidehandel, reversering av reformer.

Jeg tenker at elfenbenstårnet også kan være en god metafor for den massive «oss-og-dem»-tenkningen som preger vår verden i dag. Republikanere mot demokrater, israelere mot palestinere, Russland mot vesten.

Tankesiloer

Spør du de kunstige intelligenser der ute om hva som skal til for å motvirke elfenbenstårnenes tankesiloer, er noe av svaret større transparens. Del mer informasjon, kunnskap, resonnementer, vær transparent med hvordan beslutningsprosesser foregår, skap tverrsektorielle arenaer.

La meg derfor være transparent om noe av det jeg har tenkt om prosjektet tilt.work der oppe i elfenbenstårnet, og la meg prøve å trekke noen tråder fra min og mine partneres navler og ut i en større kontekst.

En kjærlig kilevink

tilt.works grunnleggende premiss er å tilte hoder i arbeidslivet. Mildt og kjærlig gir vi våre kunder en kilevink. Etter den første forbløffelsen og irritasjonen rister de på hodene sine, og ta-da! oppdager at det finnes andre måter å se verden på. Mer bærekraftige perspektiver. Perspektiver som tar hensyn til omverdenen, kommende generasjoner og som ser planeten som en helhet.

Så sender vi faktura.

Det er tilt.work, det.

I en ideell verden.

I forretningsplanen vår.

«If you want to make God really laugh, show him your business plan.»

Planen ble unnfanget av en gruppe idealistiske konsulenter i pandemisk isolasjon.

Også et slags elfenbenstårn?

Naiv. Ikke dum

Det var en naiv plan, men den var ikke dum. Det handler om å ansvarliggjøre næringslivet. De store virksomhetene på planeten har betydelig mer makt enn en gjennomsnitts regjering: makt til å kreve, makt til å endre, makt til å skape.

Les mer om tilt.work her.

Vi som leies inn som rådgivere og endringsagenter i disse virksomhetene har makt til å tilte våre oppdragsgiveres kurs. Små justeringer kan gi enorme ringvirkninger. Vår ambisjon er å skape bevissthet om hvordan disse kursendringene gir mest mulig positive ringvirkninger.

Det er fire år siden, og mye har forandret seg på disse årene. Vi trodde pandemien var bunnen. Men det var bare begynnelsen. Vi lever i en verden mer splittet enn noensinne. Klimakrisen eskalerer. En tredje verdenskrig oppleves for første gang på mange tiår som en reell trussel.

Vern om blåøydheten

Heldigvis er millioner av mennesker på lag med fremtiden. Usett av de konfliktfylte overskriftene i nyhetene jobber armeer av mennesker med å løse utfordringene. Aktivister, politikere, journalister, akademikere, byråkrater, ledere, forskere, ingeniører, helsepersonell, gründere, konsulenter, fasilitatorer, foredragsholdere, forfattere.

tilt.work er en blåøyd visjon som tar utgangspunkt at de fleste har gode intensjoner, men mange trenger hjelp til å sette intensjonene ut i livet.

Mer enn noen gang er det nødvendig å ta verne om blåøydheten, og aldri, aldri miste motet og troen på fremtiden.

For å få til det kan det hende flere enn meg trenger å komme ned fra elfenbenstårnet.

God tirsdag.

Paal Leveraas
Opprinnelsen til begrepet «elfenbenstårnet»

Begrepet  «elfenbenstårnet» stammer fra middelalderens forestilling om et tårn laget av elfenben, et symbol på luksus og isolasjon. I litteraturen ble elfenbenstårnet ofte brukt som en metafor for et sted der intellektuelle og kunstnere isolerte seg fra resten av verden for å fokusere på sitt arbeid.

Begrepet har blitt brukt i forskjellige kontekster gjennom historien, men det har alltid hatt en negativ konnotasjon. Det brukes ofte til å kritisere folk som er:

  • Uavhengige: De bryr seg ikke om eller er ikke klar over problemene og bekymringene til vanlige mennesker.
  • Arrogante: De mener at de er bedre enn andre og at deres ideer er viktigere.
  • Utenfor kontakt: De forstår ikke hvordan den virkelige verden fungerer.

I dag brukes begrepet  «elfenbenstårnet» ofte til å kritisere akademikere og forskere som isolerer seg i sine laboratorier og klasserom og ikke engasjerer seg i den offentlige debatten. Det brukes også til å kritisere kunstnere og intellektuelle som lager verk som er vanskelig å forstå eller som ikke er relevante for vanlige mennesker.

(Kilde: gemini.google.com)

Nøkkelen til vekst: Lærdommer fra åkeren til kontoret

Nøkkelen til vekst: Lærdommer fra åkeren til kontoret

Med røtter dypt plantet i en familie som har drevet med gårdsbruk i fire generasjoner, har jeg lært flere verdifulle leksjoner som ikke bare gjelder åkeren, men også den måten vi leder og vokser sammen med andre på. Nøkkelen til vekst er ikke så ulik for den som dyrker jorden og for den som dyrker mennesket.

read more…
Læringspunkter fra Datatilsynets tilsyn med kommuner

Læringspunkter fra Datatilsynets tilsyn med kommuner

I 2023 gjennomførte Datatilsynet et omfattende landsomfattende tilsyn med norske kommuner og fylkeskommuners etterlevelse av personvernforordningen (GDPR). Tilsynet ble gjort i to faser – først en bred brevkontroll mot 98 kommuner, og deretter stedlige tilsyn med 10 utvalgte kommuner.

read more…
12 bud for å bygge en robust personvernkultur

12 bud for å bygge en robust personvernkultur

Som leder har du ansvaret for å bygge en organisasjonskultur som ikke bare respekterer, men aktivt beskytter personvernet til ansatte, kunder og andre. Her er noen råd for hvordan du kan lykkes med dette viktige arbeidet:

read more…
Disse artiklene ble mest lest i 2023

Disse artiklene ble mest lest i 2023

At IT generelt, programmeringsspråk, skytjenester og lagring av enorme mengder data også er en del av klimautfordringene kom på alvor på agendaen i 2023. Det viser seg også hos tilt.work, hvor et intervju med Catherine Janson, IT-direktør i politiets IT-enhet, topper listen over de mest leste artiklene.

Vi har gått gjennom statistikken for 2023 og gir deg oversikten over de ti mest leste sakene. Artiklene handler om bærekraftig IT, selvledelse, gode råd til en jobbsøker, alderisme, bærekraftig ledelse, selvfølelse og skolesystem og kunsten å reise seg når ting går på tverke.

Her er topplisten:

1. Om bærekraftig IT

Skal vi nå bærekraftmålene, må teknologien spille en stor rolle. Samtidig setter teknologien like store klimaavtrykk som flybransjen. Fortsetter den voldsomme veksten i bruke av skytjenester, vil IT-bransjen utgjøre 20 prosent av verdens energiforbruk innen 2030. Dette er bakteppet for intervjuet med Catherine Janson, som setter søkelys på grønn koding og bærekraftig IT-systemer. – Vi må tenke stort og starte smått. Det er en parole for digitaliseringen. Vi skal ikke være for ambisiøse ut fra hoppkanten, for da er det vanskelig å få ting til, sier Janson.

Paal Leveraas sto for intervjuet, sammenfattingen er ført i pennen av Jeanette Høie.

2. Tre tips til selvmotivering

Endring innebærer gjerne at vi må gi slipp på noe kjent og kjært, og leve videre med noe ukjent og utrygt, skriver Catherine Lemaréchal i denne artikkelen, som ble den nest mest leste i 2023.

3. Gode råd til en jobbsøker

Mai-Britt Andersen er en erfaren rekrutterer som har lest mengder av søknader. Her er hennes råd til den som skriver søknader.

4. Easee og stordriftsulempene

I januar, noen måneder før det smalt for el-bil-ladebedriften Easee, skrev Roald Nomme denne artikkelen hvor han peker på overgangen fra gründervirksomhet til stordrift. Nomme heier på Jonas Helmiksdøls utradisjonelle lederstil, men skriver også: «Og skulle det gå galt spår jeg det kan skyldes at grådigheten kjører over kjærligheten, og at ledelsen, i likhet med de fleste, ikke forstår eller anerkjenner stordriftsulempene

5. ChatGPT om bærekraftig ledelse

Tilt.work startet sin serie om bærekraftig ledelse med et intervju med ChatGPT. Paal Leveraas brukte den kunstige intelligensen til å definere, avgrense og spå fremtiden for bærekraftig ledelse.

6. Influensere og alderisme

Hva er verdifull kompetanse og kunnskap?

«Det kan synes som om samfunnet gradvis har skiftet fokus fra verdsettelsen av kompetanse og livserfaring til å omfavne overfladiske kvaliteter», skriver Glenn Hole i denne artikkelen.

7. Kraften i positive anerkjennelser

Hans Jacob Christensen tyr til en fortryllende historie når han illustrerer hva det betyr å gi anerkjennelse til et menneske. «Mennesker som føler seg sett, verdsatt, nyttige og satt pris på får styrke, som igjen kan utrette store ting,» skriver han.

8. Virginia Satir som egenterapi

Noen ganger møter vi motgang som er nesten for stor til å bære. Vi settes i kontakt med følelser vi ikke visste vi hadde, og kanskje også følelser vi ikke er spesielt stolt over. Det siste vi trenger i denne fasen er velmente råd om at vi ikke bør føle som vi gjør, skriver Hedvig Rognerud i denne artikkelen. Hun peker videre til Virginia Satirs 5 friheter.

9. Bærekraftig HR

Heidi Nygjelten, Nordic Chief People and Culture Officer i Amesto TechHouses, innledet et Litt klokere-møte om Bærekraftig HR i mars. – Vi tror at flinke folk ønsker frihet til å ta ansvar, og at jobb er først og fremst noe du gjør, ikke et sted du er, var noe av det hun trakk frem. Oppsummeringen av Nygjeltens budskap er i ført i pennen av Jeanette Høie.

10. Selvfølelse og skolesystemet

Annar Aasheim vil intet mindre enn å revolusjonere undervisningssystemet. I denne artikkelen understreker han hvor viktig skolens rolle kan være i å la elever bygge selvfølelse, og slik bli robuste mennesker.

Lederskap bor i oss alle

Lederskap bor i oss alle

For en tid tilbake leste jeg et innlegg av teologen Helge Hognestad. Han skriver blant annet: «Vi må åpne oss for det som er i ferd med å komme.» Mye har skjedd i verden etter jeg leste dette. Vi har gjennomgått en koronaepidemi, Ukraina er under angrep, mennesker slaktes på Gazastripen. Det er mye å være fortvilet over. 

Lederskap er mer enn å være sjef

Hognestads artikkel ga meg en døråpner til å reflektere rundt lederskap i vår tid og behovet for å se dette i et fornyet og bredere perspektiv enn det vi vanligvis gjør. Lederskap er så mye mer enn å være sjef. 

Jeg ønsker at vi reflekterer mer over hva lederskap egentlig er og hvilket mangfold av lederskap vi ønsker. På lengre sikt trenger vi ledere som kan lede oss til en annen type bevissthet om lederskap og hva det innebærer.  Vi trenger i enda større grad å se på lederskap på en annen og mindre endimensjonal måte. 

Lederskap bor i oss alle. Har vi denne erkjennelsen, kan vi forløse et lederpotenisale i så mange flere. Vi bør søke større bevissthet omkring egne og andres styrker, samtidig kan vi ikke alle løpe først. Men vi har mye å tjene på å bevege oss i felles og klok retning. Verden, samfunnet, arbeidsplasser og organisasjoner trenger å «se» den flerdimensjonale siden av lederskapet. Det er dette vi trenger å ha fokus på nå. Vi må løfte i flokk. Vi må reise oss i flokk.

I den flokken er vi ulike, men likevel avhengig av hverandre. Det er ikke nødvendigvis politikere, med formell vedtaksmakt, eller fagfolk som fatter faglig funderte beslutninger, som vil sette de aller største sporene etter seg. Det vil vi oppdage når vi snur oss og ser tilbake. 

Ulike typer ledere

Vi kan ikke alle løpe først, men vi trenger også noen som gjør det. Dette er ofte de menneskene vi forbinder med tradisjonelle ledere, mennesker som tar grep og går foran.

Samtidig finnes det andre styrker som fortjener større fokus som lederskap. Det kan være den lederen som evner å samarbeide. Den som drar flere sammen med seg, den som ser hvordan det å utfylle hverandre er en styrke. Det kan være den lederen som evner å gå i takt, og som ser at egen svakhet kan være en annens styrke.

Vi har også ledere som best leder gjennom andre, ledere som står bak og skyver, løfter, motiverer og inspirerer. Disse mindre synlige, men lar andre skinne. Vi har ledere som evner å se hva som er nødvendig her og nå. Ledere som har det store overblikket, som klarer å se hva som kommer, samler tråder og som kommuniserer det. Og til slutt har vi ledere, som gjennom verdistandpunkt og indre driv, leder gjennom kraft og tro, visjoner og drømmer. Som evner å se målet helt klart, uten å la seg stoppe av alle hindringene underveis. 

Lederskap er å være bevisst den styrken du har, der du er!

Lederskap er å være bevisst den styrken du har, der du er! Vi trenger den gjensidige respekten det ligger i å erkjenne og anerkjenne at lederskap bor i oss alle, men at lederskapet kan gi forskjellige uttrykk. Selv om du ikke er formell sjef, kan du være sterk på en type lederskap. Til syvende og sist er vi alle avhengig av hverandre.

Personvern og IT-sikkerhet: Slik oppfyller du GDPR-kravene

Personvern og IT-sikkerhet: Slik oppfyller du GDPR-kravene

Personopplysninger er i dag å finne i de aller fleste IT-systemer, rutiner og arbeidsprosesser i en moderne virksomhet. Dette kan være alt fra navn og kontaktinformasjon på ansatte og kunder, til IP-adresser, kjøpemønster eller helsedata.

Artikkelserie:

GDPR i praksis

I en serie artikler vil Erik Horn gi deg praktisk veiledning i GDPR.

Derfor skal oppstartsselskaper inkludere personvern helt fra start

• Personvern og IT-sikkerhet i praksis (denne artikkelen)

Slik bygger du en god personvernkultur

Læringspunkter fra Datatilsynets tilsyn

Den nye personvernforordningen (GDPR) fra EU setter en helt ny standard for hvordan all behandling av slike personopplysninger skal foregå. Regelverket stiller en rekke konkrete krav til informasjon, kartlegging, analyser, dokumentasjon, sikkerhet og oppfølging.

Selv om GDPR ved første øyekast kan virke omfattende og byråkratisk, handler mye om å bruke sunn fornuft og etablere gode rutiner. Grunntanken er å sikre enkeltindividets rett til personvern og kontroll over egne data.

Etterlevelse må skje på alle nivåer

Det overordnede ansvaret ligger alltid hos ledelsen. Men ettersom nesten alle prosesser i en virksomhet typisk involverer personopplysninger, må etterlevelse skje på alle nivåer i organisasjonen. Derfor er det viktig at alle ansatte forstår prinsippene i GDPR og følger retningslinjene.

Et naturlig første skritt for personvern i praksis er at virksomheten foretar en detaljert kartlegging av all behandling av personopplysninger. Hvilke typer data samles inn, fra hvem, til hvilket formål og hvordan lagres og brukes de? Hvordan deles data internt eller med tredjeparter? All bruk av databehandlere og underleverandører må dokumenteres gjennom databehandleravtaler.

Videre må personvernarbeidet ses i sammenheng med IT-sikkerhet og beredskapsplaner. Virksomheter som ikke sikrer personopplysninger, risikerer at disse går tapt eller misbrukes. Det vil være et klart brudd på GDPR. Derfor må dataenes flyt og lagringspunkter kartlegges sammen med tilganger, sårbarheter og generell IT-sikkerhet. Beredskapsplaner for håndtering av avvik er også en viktig del av helheten.

Nøkkelpunkter for god etterlevelse

Når virksomheten har utført kartleggingen, må man analysere risiko og sårbarheter på en strukturert måte. Ut fra dette kan virksomheten identifisere hvilke tiltak som må iverksettes for å redusere risiko til et akseptabelt nivå. Dette kan inkludere endring av rutiner, opplæring, innføring av ny teknologi eller andre sikkerhetstiltak.

Nøkkelen til suksess er å se etterlevelse som en kontinuerlig prosess. Avvik og sikkerhetshull vil uunngåelig oppstå. Disse må meldes og følges opp gjennom gode rutiner. Målet er løpende forbedring basert på erfaring. Opplæring av ansatte i personvern og IT-sikkerhet er også helt avgjørende.

Selv om GDPR tidvis kan oppleves krevende å etterleve, handler det i bunn og grunn om å sette personvernet i system. Dette skjer gjennom mange små, men viktige skritt som til sammen løfter rutinene og bevisstheten rundt et så viktig tema. Det krever utholdenhet og fokus fra ledelsen, men resultatet er økt trygghet for ansatte, kunder og virksomhetens omdømme.

Lykke til med arbeidet!

Er du medlem av tilt.work kan du laste ned dokumentet «Inspirasjon til kartlegging av arbeidsprosesser» under. Dokumentet er en verdifull veiledning som hjelper deg med å identifisere de typiske prosesser som behandler persondata, forslag til lovlig grunnlag samt sletterutiner. (Dokumentet er ikke synlig for ikke-medlemmer) Bli medlem her.

Derfor skal oppstartsselskaper inkludere personvern helt fra start

Derfor skal oppstartsselskaper inkludere personvern helt fra start

Her skal du få to argumenter som bør overbevise deg om det er rasjonelt å tenke personvern fra start:

  1. Har du prøvd å putte majonesen tilbake i tuben? Du trenger neppe å utføre eksperimentet for å vite at det er langt mer hensiktsmessig å gjøre det riktig fra start.
  2. Penger brukt på feil fokus kan ikke brukes om igjen.
read more…
Et komplett år

Et komplett år

Et år går mot slutten. Dette er en god tid for å gjøre året som er gått komplett, og begynne å skape det neste.

Å gjøre et år «komplett», betyr ikke at ting er avsluttet eller at tilværelsen er bare rosenrød. Det handler snarere om å gjøre ting hele, eller fullt ut la tingene være som de er, eller som de ikke er.

Når noe ikke er komplett, suger det energi fra deg, og lar deg ikke være i fred. Når du kompletterer noe eller med noen, tar du energien tilbake. Du aksepterer tapene, feirer seierne, eller bestemmer deg ganske enkelt for å komplettere det som ikke er komplett. Ofte vil et rituale hjelpe, som å brenne regnearket eller åpne en champagneflaske. Du må bare bruke fantasien.

Litt klokere om coachende ledelse: Den coachende lederstilen er den mest anvendelige, påstås det ​fra mange hold. Hva er ​coachende ledelse? Hvordan bli en coachende leder? ​La oss snakke om det. Bli med på vårt Litt klokere nettmøte på Zoom tirsdag 12. desember kl 15-16.

Her er noen av de tingene du kan gjøre, på egenhånd, eller med en venn eller partner, eller din coach.

Oppgave 1: List dine seire

Sett deg ned med med skrivesaker i nærheten, og reflektér litt over året som snart er over.

Kanskje tok du merket i Birken, men har ikke fått hengt opp diplomet. Kanskje fikk du den jobben du higet etter, men føler at du ikke helt har tatt seieren inn over deg enda. Tenk over hva du trenger å gjøre for å bli hel og komplett på hvert enkelt område, og bestem deg for når du senest skal ha gjort det. Det trenger ikke å være mye, det kan være at alt du trenger er et bittelite rituale for å feire og anerkjenne deg selv.

Oppgaven er derfor å lage en liste over seire, suksesser, triumfer og gjennombrudd. Markér hver enkelt av dem som enten komplett eller ukomplett. Sett så en dato for når du ønsker å gjøre hvert enkelt element i listen komplett.

Oppgave 2: List dine tap

Når du har tatt seirene inn over deg, gjør du det samme med dine tap, skuffelser, nederlag og feilskjær. Mens du skriver dem ned, gjør samtidig en innsats for å akseptere dem.

Akseptér at ting ble slik de ble. I dette ligger ikke at det er fint at det ble slik, bare en aksept av slik skjedde det, slik ble det, og slik fikk det deg til å føle.

Igjen kan det være ting på listen som du føler ikke er komplett. Markér disse tingene, og sett en dato for når det skal kompletteres. Det kan hende at du ikke nå har den minste idé om hvordan det skal gjøres helt, men ikke bry deg om det. Bare sett en dato.

Oppgave 3: Trekk lærdom

Den neste oppgaven er å se hva slags lekser du har lært i løpet av det forgangne året. Lag deg en liste over 6-8 lærdommer som du ønsker å ta med deg videre inn i det neste året. Når du vurderer hvilke lærdommer du skal inkludere, tenk gjennom at du bevisst skal bruke dem i året som kommer.

Eksempler på slike lærdommer kan være at du har lært at omstendigheter du ikke har kontroll over skal få styre livet ditt, eller at du skal lytte til din egen intuisjon, eller at du skal våge å be om hjelp og støtte når du trenger det, eller kanskje at joggingen har gjort deg godt, og du skal jogge enda mer neste år.

Oppgave 4: Sett deg nye mål

Nå er det på tide å mane fram det beste av året som er på vei. Du har sikkert hørt at idrettsutøvere ofte forestiller seg selv stående på seierspallen i OL med en gullmedalje om halsen som en del av treningen og forberedelsene sine. Visualisering av positive og gode resultater er ikke nok alene, men det er likevel et ekstremt viktig hjelpemiddel.

Derfor skal du forestille deg hvordan neste år skal bli. Tenk deg fram til desember neste år. Lat som om du allerede er der. Skriv nå en ny liste, denne gangen med en oversikt over alle seire, suksesser, triumfer og gjennombrudd du har oppnådd i dette året, et år inn i framtiden.

Vær så konkret som mulig, og skriv dem som om de allerede er skjedd, eller at det er noe som skjer hele tiden, som for eksempel «jeg er blitt toppleder i bedriften min», eller «jeg har vunnet hjertet til K., og nå er vi kjærester», eller «jeg tar merket i Birken». Se på alle områder av livet ditt, både arbeid, skole, privatliv, personlig vekst, helse, økonomi og annet, og gjør listen så lang eller kort som du føler for.

Oppgave 5: Hva skal det neste året hete?

Når listen ligger der foran deg, er det på tide å gi det nye året et navn. Ikke bry deg om hva FN har sagt er årets navn, men velg ditt eget. Det kan være «Frihetsåret», eller «Kjærlighetsåret», eller «Fedrenes år» eller «Barnas år» eller «Ego-året» eller «Reiseåret». Eller noe helt annet. Navnet skjemmer ingen, ei heller dine år, det viktigste er at du gir det et navn som har en positiv klang og et godt innhold for nettopp deg.

Dette er din prosess, og det er din jobb å gjøre den til din egen. Prøv, og se om ikke det kan være en ny, spennende og fruktbar måte å få det nye året til å bli det beste året i ditt liv.

Så langt.

Året _____ skal ha navnet: __________

Oppgave 6: Skaff deg et verktøy som holder deg på kurs

Siste oppgave er å finne måter å holde deg selv ansvarlig for dine mål på. Det skal ikke være et tvangspreget verktøy, men et forhold som er positivt og oppløftende. En enkelt ting er å lage deg en «Walk-the-talk» liste som du jevnlig følger opp gjennom året. Bruk de verktøyene som passer deg best, og som du vet vil fungere for deg gjennom året.

God tirsdag.

Og god jul. Tirsdag morgen tar pause til januar.

PS. Litt klokere og kurs i coachende ledelse

Dette temaet er relevant for deg som er opptatt av ledelse, selvledelse og coachende ledelse. Tirsdag 12. desember kl 15 snakker vi om coachende ledelse i vårt Zoom-møte «Litt klokere». Det er åpent for alle.

Til våren setter vi opp et kurs i coachende ledelse. Hvis du vil vite mer om dette etter som planene skrider fram, sett deg på listen under.



Denne artikkelen ble første gang publisert 19. desember 2006 og er blitt revidert og republisert flere ganger etter dette, sist i desember 2010.

Derfor er strategisk ledelse viktig for bærekraftsmål

Derfor er strategisk ledelse viktig for bærekraftsmål

Strategisk ledelse er avgjørende for å navigere i et stadig skiftende forretningslandskap. Denne kunsten innebærer formulering, implementering og evaluering av tverrfunksjonelle beslutninger som vil hjelpe en organisasjon i å oppnå sine langsiktige mål. En dyptgående forståelse av både det interne og eksterne forretningsmiljøet, samt evnen til å forutse og tilpasse seg endringer, er sentralt. 

Utfordringer med manglende strategisk kompetanse 

Mangelen på strategisk forståelse kan manifestere seg på flere måter: 

  1. Kortsiktig fokus: Virksomheter uten klar strategisk retning kan ofte bli fanget i en kortsiktig tankegang.
  2. Svak markedsposisjonering: En manglende evne til å tilpasse seg markedstrender kan svekke konkurranseevnen.
  3. Ineffektiv ressursbruk: Uten strategiske retningslinjer kan ressurser bli misbrukt eller underutnyttet.
  4. Motstand mot endring: En kultur motstandsdyktig mot endring er skadelig i et skiftende forretningsmiljø.

Strategisk samarbeid som katalysator for vekst 

Strategisk samarbeid kan fremme vekst og innovasjon gjennom: 

  1. Kunnskaps- og kompetansedeling: Deling av ferdigheter beriker begge parters strategiske kapasiteter.
  2. Skala- og omfangsfordeler: Samarbeid kan føre til effektivitet og kostnadsbesparelser.
  3. Utforsking av nye markeder: Partnerskap kan åpne dører til nye markeder og kundebaser.
  4. Innovasjon gjennom diverse perspektiver: Samarbeid med bedrifter fra ulike sektorer kan føre til unike innovasjoner.

Ulike komponenter i strategisk ledelse

Strategisk ledelse er en disiplin med flere komponenter. Ved å ha et helhetlig perspektiv på strategisk ledelse kan bedrifter sikre en bærekraftig vekst i fremtiden. 

Her er noen av elementene i strategisk ledelse:

Teknologi og digitalisering i strategisk ledelse: Bruk av Big Data, AI og maskinlæring kan gi verdifull innsikt i markeds- og kundetrender, samt assistere i risikostyring. Teknologi er en nøkkel til effektiv beslutningstaking og kan også spille en stor rolle i å forme bedriftens strategiske retning. 

Menneskelige ressurser som en strategisk komponent: En strategisk tilnærming til HR betyr å se ansatte som en nøkkelressurs, og investere i deres utvikling. Dette inkluderer opplæring, karriereveiledning og motivasjonsstrategier, som alle er avgjørende for å tiltrekke, beholde og utvikle talent. 

Globalisering og etisk ledelse: Forståelsen av kulturelle forskjeller, globale økonomiske forhold og internasjonale lovverk er viktig i en globalisert verden. Samtidig blir etisk ledelse og bærekraft sentrale elementer i moderne strategisk ledelse. Integrering av sosialt ansvar og miljømessig bærekraft kan styrke et selskaps merke og omdømme. 

Måling og evaluering av strategier: Etablere klare suksesskriterier og jevnlig evaluere strategiens effektivitet er viktig. Dette kan omfatte finansielle målinger og andre nøkkelindikatorer som kundetilfredshet og innovasjonsevne. 

Utfordring og mulighet

Mangelen på strategisk kompetanse i næringslivet er en utfordring, men også en mulighet for bedrifter å utvikle og styrke sin posisjon i markedet. Gjennom en helhetlig tilnærming som omfatter digital transformasjon, menneskelige ressurser, global innsikt, etiske prinsipper og kontinuerlig evaluering, kan bedrifter sikre sin bærekraft og vekst i fremtiden.

Strategisk samarbeid fungerer som en katalysator i denne prosessen, og åpner opp for nye muligheter og innovative løsninger. 

Jobb, karriére eller kall?

Jobb, karriére eller kall?

Det fortelles en historie om da president John F. Kennedy besøkte NASA. Det var mens USA sprengjobbet for å vinne kappløpet om å være den første nasjon til å sette et menneske på månen.

Kennedy ble vist de imponerende fasilitetene. I en korridor stod en kar, hvis jobb åpenbart var å vaske gulvene, stramt oppstilt, vaskekosten nesten som et gevær mellom føttene hans.

Kennedy ble nysgjerrig og stoppet. «God morgen, mister», sa han. «Hva er det du driver med her på NASA?»

«Sir!», nesten ropte mannen. “Sir! Jeg jobber med å sette den første mann på månen!”

Fra jobb til kall

Den søte, kanskje oppdiktede historien, illustrerer forskjellen mellom en jobb, en karriére og et kall.

En jobb er noe du utholder fordi du må. Test deg selv: Hvis du hadde penger nok til å leve et godt liv uavhengig av lønna di, ville du fortsatt i jobben? Hvis svaret er nei, har du en jobb.

En karriére trives du muligens med, men din mentale tilstand er som en som har kommet til en mellomstasjon. Du vet at for å komme videre må du prestere og kanskje utkonkurrere noen av dine kolleger.

Et kall er det du gjør fordi du elsker å gjøre det, og at noen faktisk betaler deg for å gjøre det er en bonus. Et kall er en del av din identitet, og du vil antagelig fortsette å gjøre det om ingen lenger betaler deg, eller den dagen du pensjonerer deg.

Kallet til å jobbe

Å ha en jobb som føles som et kall høres sannsynligvis mest fristende ut for de fleste av oss. Det er mange gode grunner til å tro at medarbeidere som opplever jobben som et kall også er de mest attraktive medarbeiderne, for trivsel, for lønnsomhet for kontinuitet.

Samtidig er det lett å tenke at de som har en slik jobb er høyt utdannede eller spesielt priviligerte mennesker. En nobelprisvinner føler seg sannsynligvis kallet. En kunstner likeså.

Men hva med vaskehjelpen på NASA? Hva med selgeren som ikke ser seg som en selger, men en som bidrar til å gjøre livet litt lettere for kundene sine? Hva er forskjellen på kassebetjenten som fikk deg til å gå smilende ut av Rema 1000 og han som fikk deg til å fråde av irritasjon?

Mye handler om personlighet, hvordan den enkelte går inn i sin egen hverdag, sitt eget liv. Hvis du velger å se de aktivitetene du får betalt for som meningsløse så blir de meningsløse. Og omvendt.

Men selv om du er en sånn person som ser en høyere mening i det du gjør, enten du vasker gulv eller forsker på alzheimer, er din mulighet til å leve ut ditt kall avhengig av den konteksten du befinner deg i.

Gnistrende energi kan ikke gnistre uten oksygen. Gnistrende personer kan ikke gnistre uten at miljøet de befinner seg i tillater det.

Hva skjedde?

Det handler — igjen — om ledelse.

Har du opplevd ledelse som begrenser eller muliggjør at jobben blir mer enn en jobb og en karriére, men også et kall?

Hva skjedde?

Send meg en mail og del.

God tirsdag.

IT-jus nr. 12/23

IT-jus nr. 12/23

Dette nyhetsbrevet er skrevet med assistanse av advokat Jenny Nondal i Schjødt.

Riktig god desember! Det tar aldri slutt på personvernnyheter og nå har jeg måttet sortere hardt i hva jeg velger ut. Under er et knippe nyheter jeg synes det er verdt å bruke tid på. a

Mange har kanskje lagt merke til at en del mediehus nå endrer sin cookie-praksis – de blir mer detaljerte. Men cookiereglene i Norge har jo ikke endret seg, så hvorfor skjer dette? Det har sin bakgrunn i at mange Consent Management Platforms (CMP’er) for bruk av cookies er internasjonale, og vil ha det samme oppsettet i mange land. Mange av disse er også med i en bransjeforening for annonsører som heter IAB. IAB har en egen code of conduct som heter TCF (Transparency and Consent Framework) og denne er nylig oppdatert til TCF 2.2.

Årsaken til endringen er en lang historie som vi ikke tar her, men et datatilsyn mente at samtykkene de brukte tidligere ikke var gode nok, så nå har TCF 2.2 blitt veldig tydelig på hva som er OK og ikke. TCF 2.2 trådte i kraft 20 november i år og det har gitt ganske store ringvirkninger, særlig ved at det nå legges ganske klare samtykker til grunn for bruk av cookies. TCF 2.2 har dessuten detaljerte beskrivelser av hva man kan bruke samtykker til og hva man kan bruke berettiget interesse til. Dette er klargjørende, fordi de har spesifisert svært mange ulike behandlinger. Superviktig for alle som driver med annonsering.

Ønsker dere en fredfull jul og håper dere får noen rolige dager – uten avvik.

Hilsen Eva,

i samarbeid med Jenny Nondal


COOKIES

EDPB med nye retningslinjer for cookies o.l.

15. november lanserte EDPB nye retningslinjer knyttet til Artikkel 5(3) i EUs ePrivacy Directive. Bestemmelsen handler om lagring på brukerens utstyr eller tilgang til informasjon på utstyret. Cookies, altså. Men det gjelder også pixler, beacons og annen teknologi som henter og sender informasjon fra brukerens enhet. Som dere vet kreves samtykke for å gjøre dette. Noen har tidligere sagt at pixler er noe annet enn cookies og at ePrivacy-direktivet ikke gjelder, men det blir ikke så lett å hevde fremover.

Poenget for EDPB er å se om nye sporingsteknologier også rammes av direktivet. Spoiler alarm: ja, det gjør de. Ofte.

Retningslinjene gir en grundig analyse av de fire mest sentrale elementene i anvendelsen av artikkel 5(3), (i) ‘information’, (ii) ‘terminal equipment of a subscriber or user’, (iii) ‘electronic communications network’, og (iv) ‘gaining of access’ og ‘stored information’ / ‘storage’, samt eksempler på når EDPB mener artikkel 5(3) kommer til anvendelse.

Under har vi oppsummert hovedpunktene. Flere av eksemplene er etablerte tolkninger av artikkel 5(3). Derimot er anvendelsen av artikkel 5(3) på innsamling av identifikatorer fra sporede URL-er, som distribuert over et offentlig kommunikasjonsnettverk, en bredere tolkning av artikkel 5(3) enn det som tidligere har vært godt etablert.

URL- og pikselsporing

  • Innsamling av identifikatorer fra sporing av piksler og sporede URL-er anses som «gaining of access» slik at artikkel 5(3) kommer til anvendelse.

Lokal behandling

  • Teknologier som innebærer lokal behandling instruert av programvare distribuert på brukernes terminal, slik at behandlet informasjon blir tilgjengelig for utvalgte aktører gjennom klientens API og senders tilbake over nettverket, utgjør «gaining of access» slik at artikkel 5(3) kommer til anvendelse.
  • Det faktum at informasjonen produseres lokalt er uten betydning for anvendelse av artikkel 5(3).

Sporing utelukkende basert på IP

  • Artikkel 5(3) gjelder også for reklameløsninger som kun samler inn IP-adressen for brukersporing over domener, selv om instruksjonen er gitt av en annen enhet enn den som mottar den, så lenge informasjonen stammer fra brukerens terminalutstyr.

Kortvarig («intermittent») lagring og IoT-rapportering

  • Artikkel 5(3) gjelder for IoT-enheter tilknyttet et offentlig kommunikasjonsnettverk hvis enheten er instruert til å sende dynamisk lagrede data til en fjernserver, da en slik instruksjon utgjør «gaining of access», selv om informasjonen streames eller lagres bare for kortvarig rapportering.
  • Hvis en IoT-enhet er tilkoblet via en reléenhet, kan overføring til reléenheten falle utenfor artikkel 5(3) ePD, men artikkel 5(3) gjelder hvis informasjonen som mottas av reléenheten er instruert til å sende til en fjernserver.

Unik identifikator

  • Artikkel 5(3) gjelder for innsamling av unike identifikatorer på nettsteder eller applikasjoner som er avledet fra vedvarende personopplysninger og hashet på brukerens enhet, da det innebærer å instruere nettleseren til å sende informasjon og utgjør «gaining of access».

Du finner guidelinen her:

https://edpb.europa.eu/news/news/2023/edpb-provides-clarity-tracking-techniques-covered-eprivacy-directive_en


KUNSTIG INTELLIGENS

AI Act nærmer seg – kanskje

Det pågår betydelig aktivitet knyttet til den kommende AI Act i EU. Forslaget er som kjent i siste fase av lovgivningsprosessen, men forhandlingene står akkurat nå i stampe grunnet uenigheter rundt reguleringen av såkalte «foundation models» innen kunstig intelligens. ChatGPT er en typisk foundation model som bygger på en stor mengde data.

Flere EU-land, inkludert Frankrike, Tyskland og Italia, motsetter seg regulering av disse modellene i AI Act og foreslår heller retningslinjer for adferd uten sanksjonsordninger. Dette skaper spenninger, da andre ønsker mer bindende regulering for å sikre tryggere bruk av avansert AI.

Uenigheten knytter seg spesielt til den såkalte trappetrinnsmodellen, hvor de kraftigste AI-modellene skulle underlegges strenge regler. Motstanderne av trappetrinnsmodellen ønsker heller selvregulering. Dette har skapt en viss stagnasjon i forhandlingene.

Merk også at Frankrike, Tyskland og Italia visstnok har inngått en avtale om regulering av foundation models der selvregulering står sentralt.

Det er ikke uvanlig at slike uenigheter kommer frem mellom medlemslandene og jeg tror at AI Act kommer til å bli vedtatt, men kanskje med noen endringer. Kanskje legger de mer av regelverket ut i vedlegg der det er lettere å gjøre endringer hvis det blir behov for det fremover enn i en forordningstekst.

Les mer om dette i disse lenkene.

https://www.euractiv.com/section/artificial-intelligence/news/eu-policymakers-enter-the-last-mile-for-artificial-intelligence-rulebook

https://www.euractiv.com/section/artificial-intelligence/news/eus-ai-act-negotiations-hit-the-brakes-over-foundation-models/

https://www.euractiv.com/section/artificial-intelligence/news/france-germany-italy-push-for-mandatory-self-regulation-for-foundation-models-in-eus-ai-law/

https://www.reuters.com/technology/germany-france-italy-reach-agreement-future-ai-regulation-2023-11-18/

Italia har fokus på trening av AI på åpne data

Italienske myndigheter har satt i gang en undersøkelse for å se om nettsider tar nok grep for å hindre at AI-plattformer samler inn store mengder personopplysninger gjennom dataskraping. Det italienske tilsynet har et spesielt fokus på AI. Avhengig av hva de finner, sier tilsynet at det kan komme til å fatte haste-tiltak. Hastetiltak begynner å bli vanlig i personvern-verdenen. Men det blir spennende å se om de finner forhold de mener er kritikkverdige.

Saken er omtalt her:

https://www.reuters.com/world/europe/italys-privacy-regulator-looks-into-online-data-gathering-train-ai-2023-11-22/


GRUPPESØKSMÅL

Google og Amazon i hardt vær i Nederland

To forbrukerorganisasjoner i Nederland, Consumentenbond og Privacy Protection Foundation, har gått til gruppesøksmål mot Google for brudd på personvernet. De hevder at Google utfører konstant overvåkning og deling av personlige data gjennom nettannonsering. 82 000 forbrukere har sluttet seg til søksmålet.

En annen gruppe, Stichting Data Bescherming Nederland (SDBN), har saksøkt Amazon for sporing av nettsidebesøkendes aktivitet uten deres tillatelse. Søksmålet representerer rundt fem millioner Amazon-kontoer i Nederland.

Disse søksmålene er del av en økende trend der forbrukergrupper søker erstatning for påståtte brudd på personvern fra store selskaper som Amazon og Twitter. Tidligere har Facebook blitt funnet skyldig i ulovlig bruk av personopplysninger i Nederland.

Den europeiske lovgivningen og rettsavgjørelser i Nederland har bidratt til å skape et press på selskapene for å endre praksis og respektere personvernreglene. Gruppesøksmålene har som mål å oppnå erstatning for berørte forbrukere og tvinge selskapene til å endre sine praksiser slik at personvernreglene faktisk overholdes.

Her kan nevnes at selskap som driver med såkalt «søksmålsfinansiering» aktivt vurderer om krav etter GDPR er noe man skal satse på. Det innebærer at de følger med på store selskaper hvor det blir konstatert brudd som rammer mange brukere – og deretter vurderer å finansiere et søksmål mot en andel av eventuell gevinst. Jeg har alltid syntes at dette er en uvanlig forretningsmodell, men hører at en del mener at dette faktisk er god investeringsstrategi.

Ovennevnte gruppesøksmål er omtalt her:

https://iapp.org/news/a/netherlands-consumer-advocates-file-privacy-class-action-against-google/

https://www.livemint.com/technology/dutch-consumer-group-sues-amazon-over-data-tracking-11697651856735.html

https://www.techradar.com/news/facebook-misused-dutch-data-court-finds


DATA ACT

Ny EU-lovgivning for datadeling

EU har nettopp vedtatt Data Act, en lov som gjør det enklere å kreve å få tilgang til data som genereres av oppkoblede produkter. Denne loven åpner for at flere kan få tilgang til og dele slik informasjon og det forventes økt verdiskaping. Produkter og tjenester skal designes slik at andre kan få enkel tilgang til informasjonen.

Loven vil endre måten bedrifter og forbrukere bruker og deler data på, og forventes å gi mulighet for mer nyskapning og forbedre tilgangen til nyttig informasjon. Data Act setter standarder for hvordan data deles og brukes. Dette er ikke nødvendigvis personopplysninger, men for eksempel informasjon om hvordan vaskemaskinen din «snakker med» leverandørens skytjeneste. Hvis man har tilgang til den informasjonen, blir det antakelig lettere å finne alternative reparatører dersom maskinen går i stykker.

Dersom du jobber i et selskap som har oppkoblede tjenester eller produkter ut mot kundene, er dette er regelverk du må sette deg inn i.

Loven sørger blant annet for:

  • i) Rettferdig deling av data: Regler som sikrer at data deles på en måte som er rettferdig for alle parter. Ingen får en urettferdig fordel av informasjonsdelingen
  • ii) Støtte til små og mellomstore bedrifter: Den hjelper mindre bedrifter ved å gi dem enklere tilgang til viktig data.
  • iii) Forbud mot hindringer for skyleverandørbytte: Loven sier at bedrifter ikke kan sette opp unødvendige hindringer som gjør det vanskelig for andre bedrifter å bytte til en annen skyleverandør. Dette betyr at bedrifter enkelt kan endre hvem de bruker for skytjenester, om det er nødvendig

Det står mer om Data Act her:

https://iapp.org/news/a/a-view-from-brussels-eu-formally-adopts-data-act/


DIGITAL MARKETS ACT

Flere selskaper kjemper for å unngå «gatekeeper»-status

Under den nye loven Digital Markets Act (DMA), som trår i kraft våren 2024,  har EU klassifisert teknologigiganter som Google, Amazon, Apple, TikTok (ByteDance), Meta og Microsoft som såkalte «gatekeepere» fordi de har så stor innflytelse over markedet. Målet med DMA er å jevne ut konkurransen for mindre bedrifter mot disse bransjegigantene. Ikke overraskende er disse selskapene ikke særlig begeistret for dette. Meta, Apple og TikTok har alle tatt rettslige skritt ved å anke sin «gatekeeper»-status til den europeiske domstolen.

Apple utfordrer sin status som «gatekeeper» for App Store, iOS-operativsystemet og Safari-nettleseren. Meta aksepterer «gatekeeper»-statusen for Facebook, Instagram og WhatsApp, men bestrider statusen til Messenger og Marketplace ved å argumentere for at disse er en del av Facebook og ikke separate tjenester. TikTok mener de ikke bør klassifiseres som «gatekeeper» fordi de er nye på markedet og sliter med å konkurrere mot etablerte selskaper som Meta og Google. De påpeker også at de ikke oppfyller lovens krav om årlig omsetning på 75 milliarder euro.


DATAMINIMERING OG LAGRING

Irsk DPC presiserer hva som er nødvendig for å sikre visshet om et individs identitet

AirBnb ble irettesatt av DPC for brudd på prinsippene om dataminimering og lagringsbegrensing. AirBnb ba en kunde om ID-dokumenter og et nytt bilde for å bekrefte identiteten ved booking. Kunden mente dette var å kreve for mye og klagde til datatilsynet i Berlin, som videresendte saken til DPC.

DPC la til grunn at det ikke var lovhjemmel for å kreve ID på denne måten ettersom det fantes andre, mindre inngripende metoder å bekrefte identiteten til brukeren på. DPC påpekte dessuten at AirBnb beholdt ID-kopiene for lenge, selv etter at identiteten var bekreftet.

DPC har ilagt AirBnb reprimander hele fem ganger det siste året for brudd på personvernbestemmelser. Til tross for at DPC anser bruddene som alvorlige, har de valgt å gi reprimande i stedet for bøter. Dette kan skyldes DPCs ønske om å prioritere oppfølging, korrigering og veiledning fremfor strengere sanksjoner, spesielt hvis AirBnb viser vilje til å forbedre seg og etterkomme kravene etter tidligere reaksjoner. AirBnb skal kanskje være glade for at det norske datatilsynet ikke har fokusert på dem.

Se mer om dette her:

https://gdprhub.eu/index.php?title=DPC_(Ireland)_-_Inquiry_into_Airbnb_Ireland_UC_-_28_September_2023&mtc=today


SVERIGE

IMY bøtelegger selskap som sendte personopplysninger feil

Svenske IMY har gitt en bot på 500 000 kroner til et selskap som ved en feil sendte en e-post til en stor gruppe kunder. Denne e-posten inneholdt en fil med tusenvis av andre kunders økonomiske data.

IMY gransket saken og fant ut at selskapet ved et uhell la ved en Excel-fil med personopplysninger istedenfor en PDF-rapport om fondenes utvikling. Den feilsendte filen inkluderte kundenes navn, personnummer, bankinformasjon, e-postadresser, individuelle fondvalg og de siste verdiene av kundenes fondinvesteringer. Heldigvis inneholdt ikke filen informasjon som kontonumre eller påloggingsdetaljer. Den omfattet personopplysninger om over 52 000 kunder.

IMY konkluderte med at selskapet hadde behandlet personopplysninger i strid med personvernforordningen ved å ikke sikre tilstrekkelig beskyttelse av dataene. Derfor har IMY ilagt selskapet en bot på 500 000 kroner for bruddet på

personvernlovgivningen. IMY peker på at slike overtredelser ofte skyldes menneskelige feil og understreker viktigheten av å ha på plass tekniske og organisatoriske sikkerhetstiltak for å redusere risikoen for slike hendelser. Dette er jo ikke nytt, men det er nok et eksempel på at man bør oppfordre til aktsomhet.

Saken er omtalt her:

https://www.imy.se/nyheter/sanktionsavgift-mot-bolag-som-skickat-kunduppgifter-fel/


DANMARK

Datatilsynet har vært aktive – to viktige nye saker

Digitaliseringsstyrelsen behandler for mange personopplysninger i sin administrasjon av det digitale kjørekortet.

Digitaliseringsstyrelsen har fått kritikk fra Datatilsynet for å behandle for mange personopplysninger i administrasjonen av det digitale kjørekortet. De lagrer informasjon om alle borgere med gyldig dansk førerkort, totalt nær 4 millioner personer, selv om kun ca. 1,7 millioner har den digitale førerkortappen.

Datatilsynet fant (ikke overraskende) at behandlingen av personopplysninger om over 2 millioner borgere som ikke har sluttet seg til den digitale førerkortordningen, var i strid med prinsippet om dataminimering, som krever at man bare behandler nødvendige opplysninger. Datatilsynet understreker viktigheten av å unngå unødvendig opphopning av personopplysninger og fastslår at Digitaliseringsstyrelsen fremover kun kan behandle opplysninger om de som faktisk har valgt den digitale løsningen.

Selv om Digitaliseringsstyrelsen har argumentert for begrensninger i det eksisterende systemet som årsak til lagringen av alle opplysningene, mener Datatilsynet at dette ikke kan forsvare behandlingen av unødvendige opplysninger om over 2 millioner borgere.

———

Kommunens hjemmel til AI-løsning til identifikasjon av borgere med behov for vedlikeholdene trening og rehabiliterende innsats.

Datatilsynet har evaluert Københavns Kommunes hjemmel til å utvikle og drifte en AI-løsning for å identifisere borgere med behov for vedlikeholdstrening og rehabiliterende tiltak. Kommunen ønsker å bruke AI til å støtte saksbehandlere ved å identifisere borgere med slike behov basert på historiske data.

Datatilsynet mener at generell utvikling, drift og trening av en slik AI-løsning er i tråd med personvernforordningen, men understreker behovet for et supplerende nasjonalt rettslig grunnlag. Kravene til dette grunnlaget vil variere avhengig av om det knytter seg til utvikling, trening eller drift av AI-løsningen.

Behandling av personopplysninger til utvikling og trening av en AI-løsning, vil enklere være i tråd med lovens rammer sammenlignet med driften av en slik løsning, skriver de. I driftsfasen stilles det krav til tydeligere lovhjemmel på grunn av den store mengden sensitive opplysninger som AI-løsninger behandler.

Jeg har tatt med denne saken fordi det er viktig å se at utvikling, trening og drift av et system er ulike behandlinger – og at de ikke alltid kan hjemles i samme bestemmelse.

Sakene er omtalt her:

https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2023/nov/digitaliseringsstyrelsen-behandler-for-mange-personoplysninger-i-sin-administration-af-det-digitale-koerekort

https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2023/nov/kommunes-hjemmel-til-ai-loesning-til-identifikation-af-borgere-med-behov-for-vedligeholdende-traening-og-rehabiliterende-indsats


YOU TUBE

Er det lovlig å blocke ad-blockere?

YouTube har jobbet hardt med å utvikle teknologi som oppdager annonseblokkere. Nå kan de finne ut om annonseblokkere er skrudd på, og hvis det er tilfellet, spilles ikke videoene av. I stedet får man beskjed om å enten godta annonsene eller abonnere på YouTube Premium.

Personvernforkjempere reagerer på YouTubes identifiseringsverktøy av

annonseblokkene, og mener disse er i strid med reglene i ePrivacy-direktivet, spesielt Artikkel 5.3. Bestemmelsen krever som kjent at nettsteder ber om samtykke før de lagrer eller får tilgang til informasjon på en brukers enhet. YouTube på sin side argumenterer med at annonseblokkere bryter med plattformens vilkår og hindrer skapere i å tjene inntekter fra annonsene. Av den grunn mener selskapet at det er nødvendig med et verktøy som kan identifisere og stoppe annonseblokkere.

Saken håndteres nå som en klagesak ved det irske datatilsynet, DPC, og er omtalt her:

https://www.theverge.com/2023/11/7/23950513/youtube-ad-blocker-crackdown-privacy-advocates-eu


NONE OF YOUR BUSINESS

NOYB klager inn EU-kommisjonen

NOYB har klaget inn EU-kommisjonen til EDPS for å bruke ulovlige metoder på Twitter for å fremme en omstridt lov om chat-kontroll (chat control regulation). De mener at å målrette informasjon mot brukere på twitter brøt med personvernreglene etter GDPR og de etablerte demokratiske prosedyrene mellom EU-institusjonene.

Den foreslåtte chat-kontrollloven i EU har fått stor kritikk fra mange hold, inkludert industri, samfunn og medlemsland, som frykter at den vil åpne døren for omfattende overvåkning av online kommunikasjon.

NOYB reagerte spesielt på Kommisjonens bruk av målrettet annonsering basert på politiske og religiøse synspunkter, noe som åpenbart brøt med personvernreglene. Det var også bemerkelsesverdig at Kommisjonen tidligere hadde advart mot nettopp denne typen annonsering, og omtalt det som en alvorlig trussel mot en rettferdig og demokratisk valgprosess. NOYB har også bedt om at EDPS ilegger bøter i saken.

Dette er en ganske uvanlig sak og skal bli spennende å følge. Hvis EDPS ilegger bøter, tror jeg det er første gangen det skjer.

Saken er omtalt her:

https://noyb.eu/en/noyb-files-complaint-against-eu-commission-over-targeted-chat-control-ads


CANADA

Personvern i USA er annerledes enn i Europa, men det er ganske annerledes i Canada også

I Canada vurderer politiet å ta i bruk teknologi som gir dem tilgang til hjemmeovervåkingskameraer, en praksis som allerede er i bruk i flere amerikanske byer. Systemet, kjent som Fusus, tillater politiet å overvåke direktesendte videoer fra privat eide kameraer hos folk og bedrifter ved mulige nødsituasjoner og potensielle kriminelle handlinger. De mener at Fusus bidrar til å løse forbrytelser raskere og gir politiet informasjon på forhånd om potensielle nødsituasjoner.

Fusus gir politiet direkte tilgang til private overvåkingskameraer, noe som bekymrer personvernforskere på grunn av mulig overvåkning uten rettslig godkjennelse. Tilgangen skal være basert på avtale med de som har de private kameraene.

At Canada i det hele tatt vurderer å implementere denne typen teknologi viser at personvernet der skiller seg en del fra det vi ser i Europa, og var faktisk litt overraskende å lese. Stort sett har jo Canada en personvernlovgivning og et personvernsyn som ligger ganske nære det europeiske.

Saken finner du her:

https://www.cbc.ca/news/canada/hamilton/police-private-security-cameras-fusus-canada-1.7001675


RETNINGSLINJER

GDPR skal evalueres

EU-landene ønsker å evaluere GDPR fem år etter implementeringen. De ser på utfordringer knyttet til implementeringen, spesielt for små bedrifter og offentlige organer. Loven har styrket tillit og rettslig sikkerhet rundt personvern, men medlemslandene etterlyser likevel ytterligere veiledning og retningslinjer. I evalueringen skal det bl.a. tas stilling til bruken av persondata i forskning og behovet for klarere retningslinjer for databehandling av mindreårige. Rådet ber også om forbedringer i håndhevingen av loven og ønsker større klarhet i internasjonale dataoverføringer. Samlet sett anses GDPR som en suksess, og det er lite som tyder på at det vi har noen drastiske endringer i vente.

Mer om dette her:

https://www.euractiv.com/section/data-privacy/news/eu-countries-call-for-overarching-and-comprehensive-evaluation-of-data-protection-law/


NORSKE DATATILSYNET

Personvernnemnda fastslår at Datatilsynet må vurdere personvernspørsmål

Saken gjaldt en klage fra en person, A, angående Datatilsynets avgjørelse om å avslutte en sak uten å vurdere om personopplysningsloven ble brutt. A mente at personvernet hans ble krenket av bostyreren i selskapet X AS, etter at det ble åpnet konkurs i selskapet. Bostyrer hadde sendt ut rapporter til flere mottakere, der det ble fremmet påstander om at A var involvert i ulovlige aktiviteter. Dette resulterte i skade på As omdømme og rykte, noe som ifølge A var et klart brudd på hans rett til personvern og utilbørlig behandling av hans personopplysninger. Datatilsynet avsluttet saken uten å gå inn i detaljer eller konkludere om eventuelle brudd på personopplysningsloven.

Datatilsynet begrunnet avgjørelsen med at konkursboet var slettet, og at det var dermed ikke behov for å fortsette undersøkelsene. Personvernnemnda vurderte saken og fant at Datatilsynet ikke kunne avslutte saken uten å vurdere om personopplysningene ble ulovlig behandlet. Nemnda mente at tilsynet måtte gjøre en grundigere vurdering av om behandlingen av As personopplysninger var lovlig eller ikke etter personvernforordningen. Derfor ble Datatilsynets avgjørelse opphevet, og saken ble sendt tilbake for en ny vurdering.

Saken er praktisk sett viktig fordi Datatilsynet har en stor strøm av saker og trenger å prioritere – samtidig er det grunnleggende at den sier at Datatilsynet ikke kan la være å vurdere personvernspørsmål.

Saken finner du her:

https://personvernnemnda.no/pvn-2023-14


BINDING DECISION

Til slutt: Noen prøver å slå hull i  GDPR

TikTok har utfordret deler av GDPR gjennom en sak for EU-domstolen. I saken er det uenighet mellom irske og tyske datatilsyn angående TikToks brudd på GDPR-reglene og tolkningen av reglene.  Uenigheten har vært forelagt EDPB som har fattet en såkalt «Binding decision» som binder det irske datatilsynet. TikTok har tatt et uvanlig grep, og argumenterer for at hele prosessen med å pålegge «Binding Decisions» bryter med EU-lovgivningen. Det er jo litt artig – å hevde at GDPR bryter med EU-regler.

Tidligere har lignende saker blitt avvist av EU-domstolen. For eksempel prøvde WhatsApp seg på en tilsvarende argumentasjon som TikTok, men de ble avvist med begrunnelsen om at «Binding Decisions» ble pålagt Irland, og ikke selve selskapet. TikTok tar argumentene ett skritt videre ved å utfordre selve GDPR-loven. De påpeker at prosessen med disse bindende beslutningene kan stride imot EU-loven, spesielt rettighetene knyttet til rettferdig rettergang og retten til å anke. (Selskapet har ikke klagerett på vedtakene fra EDPB.)

Dersom TikTok vinner saken, kan det ha store implikasjoner for hvordan EU-lovgivningen for personvern blir håndhevet, spesielt for selskaper som opererer fra Irland og ønsker å unngå strenge straffer fra andre europeiske land. På den annen side er det neppe sannsynlig at de vinner frem.

Dersom TikTok vinner saken, får «One Stop Shop» et stort skudd for baugen. Men det er ikke sikkert at dette gavner selskapene for det vil bety at tilsynsmyndighetene i alle medlemsstatene kan starte sine egne etterforskninger og håndheve regelbrudd på egenhånd. Dette vil gjøre håndhevingen av regelverket svært kostbar og komplisert. Alt i alt må det være å foretrekke at regelbrudd kun behandles av én tilsynsmyndighet.

Disse aspektene er omtalt her


KOMMENDE MØTER

7. des14.00 – 17.00
  Nettverksmøte, Oslo
25. jan14.00 – 17.00
Nettverksmøte i Oslo
22. feb12.00 – 13.00
  Drop In

Se hele oversikten over kommende aktiviteter i nettverket her.


SISTE ORD

Du får dette nyhetsbrevet som medlem av tilt.works PrivacyTech-nettverk eller fordi du har tegnet et eget abonnement. Du kan oppdatere din profil her.

Tre tips til deg som vil motivere deg selv til endring

Tre tips til deg som vil motivere deg selv til endring

Motivere til endring – for noen er utsagnet en selvmotsigelse, de er absolutt ikke motivert for endring.

«Endring hører livet til. Ingen går gjennom livet uten også å møte det uventede og ubehagelige» skriver Per Anders Nordengen i en nydelig bok «Når forandring ikke fryder».

Endring innebærer gjerne at vi må gi slipp på noe kjent og kjært, og leve videre med noe ukjent og utrygt.

read more…
Opptak av møtet 22. november 2023

Opptak av møtet 22. november 2023

Dette er et opptak av møtet i Partners in Tilt 22. november. Vi snakker om Videocation, erfaringene fra workshopen om workshop og samarbeidsformer videre.

Den essensielle bærekraftsevnen

Den essensielle bærekraftsevnen

Lederens rolle i å skape et trygt arbeidsmiljø blir stadig mer avgjørende. Dessverre ser vi gang på gang at mange blir psykisk utmattet på grunn av dårlig ledelse. Et nøkkelbegrep som har kommet i forgrunnen i diskusjoner om god ledelse er «psykologisk trygghet». En leders evne til å bygge psykologisk trygghet er en av de mest verdifulle ferdighetene en leder kan ha i dagens arbeidsmiljø.

Hva er psykologisk trygghet?

Psykososial trygghet refererer til en persons oppfatning av at det er trygt å ta interpersonell risiko på arbeidsplassen. I et psykologisk trygt miljø føler ansatte seg komfortable med å dele bekymringer, gi tilbakemeldinger, stille spørsmål eller innrømme feil uten frykt for represalier eller negativ bedømmelse.

Hvorfor er psykologisk trygghet viktig?

Økt innovasjon: Når medarbeidere føler seg trygge, er de mer sannsynlig å dele kreative ideer, noe som kan føre til innovasjon.

Bedre beslutningstaking: Med åpenhet og ærlig kommunikasjon, kan team ta bedre informerte beslutninger.

Større engasjement: Ansatte som føler seg trygge på arbeidsplassen, er mer engasjerte i sitt arbeid.

Redusert turnover: Et miljø hvor folk føler seg verdsatt og trygge kan bidra til lavere turnover, noe som kan spare organisasjonen for betydelige kostnader.

Dårlig ledelse og dens konsekvenser

Dårlig ledelse kan føre til mangel på psykologisk trygghet. Ledere som ikke er oppmerksomme på deres ansattes behov, eller som opptrer på en autoritær eller avvisende måte, kan skape et miljø hvor ansatte er redde for å uttrykke seg.

Konsekvensene av dette kan være alvorlige:

  • Økt antall sykemeldinger på grunn av stress.
  • Lavere produktivitet og engasjement.
  • Høy turnover.
  • Tapt innovasjon.

Kulturell refleksjon: HBO Max serien «Succession»

En interessant popkulturell refleksjon over dette temaet kan ses i HBO Max serien «Succession». Denne serien illustrerer den giftige kulturen i en familieeid medieimperium, hvor maktspill, mistillit og manipulering er dagens orden.

Selv om «Succession» er fiksjon, gir det et innblikk i hvordan et psykologisk utrygt arbeidsmiljø kan se ut. Beklageligvis er slike scenarier ikke begrenset til TV-skjermen; mange virksomheter i dagens samfunn har lignende arbeidsmiljøer som kan føre til alvorlige psykologiske skader på deres ansatte.

På bunnlinjen

For å bygge bærekraftige organisasjoner i fremtiden, må ledere prioritere psykologisk trygghet. Ved å skape et miljø hvor alle føler seg trygge til å uttrykke seg, kan organisasjoner blomstre og oppnå suksess på lang sikt. Det er derfor ikke bare en etisk forpliktelse for ledere å sikre psykologisk trygghet, men også en forretningsnødvendighet.

Et godt skolesystem krever at vi spiller på lag med hjernen

Et godt skolesystem krever at vi spiller på lag med hjernen

Det er viktig at alle som er engasjert i skoleverket, forstår at vi må spille på lag med hjernen for å få et bedre skolesystem. Dette omfatter elever, lærere, foreldre, politikere, politi og næringslivet. Å legge til rette for at elevene kan utvikle en god selvfølelse er et viktig skritt i riktig retning.

Å kjenne på følelsene

God selvfølelse betyr ikke at alt er perfekt. Men; det betyr at vi er i stand til å gi våre følelser riktig oppmerksomhet. Følelsene er vår hjernes ordløse språk som forteller deg og meg hvilket behov vi har. I dagens samfunn er de fleste av oss ikke vant til å uttrykke egne følelser. Allerede som barn lærte vi å holde igjen følelser. Mange har f.eks. hørt uttrykk som: «Du som er gutt, bør ikke gråte». I dag synes vi derfor at det er litt skummelt å vise følelser fordi det gjør oss sårbare. Når vi åpner opp, blir vi redde for å ikke bli møtt og tatt imot.

Følelsene er vår hjernes ordløse språk som forteller deg og meg hvilket behov vi har.

I dagens samfunn er vi med andre ord ikke trent til å gå innover i oss selv og kjenne etter hva vi egentlig føler. I starten vil derfor dette føles ubehagelig, men heldigvis vet vi at vi må ut av komfortsonen for å utvikle oss. Og, når vi – takket være god selvfølelse – velger å tilfredsstille det hjernen forteller oss, unngår vi smertefulle følelser som tapper oss for energi, reduserer
effektivitet, blokkerer kommunikasjon og skaper oppgitthet og apati – i stedet for engasjement og optimisme.

Følelser har ingen kalender

Elevundersøkelser viser derimot at mange sliter med psykiske problemer. Elevene bekymrer seg, sover dårlig og føler at de ikke strekker til på mange områder- i f.eks. matematikk.

Derfor er det gledelig å vite at skolen arbeider med å fjerne analfabetismen om følelser og selvfølelse. Forbausende mange tror fortsatt at det er den eller de andre som gjør oss sinte. Men du vet nå at følelsen sinne er hjernens ordløse språk som forteller at du må beskytte ditt eget verd som menneske. Og; dette behovet dekker du sikkert klokere enn ved å bruke metoden å kjefte eller slå til den andre. Du vet jo at hat kun fører til nytt hat!

Det er også vanlig å tro at ordtaket «Tiden leger alle sår» er riktig, selv om vi nå vet at tiden ikke kan gjøre noe med ubearbeidete følelser. Konferer krigsseilerne våre som slet med vonde følelser i mange år etter krigen. I dag vet vi at følelsene har ingen kalender.

Det som betyr noe

Alle våre følelser springer ut fra det som virkelig betyr noe for oss. Våre følelser skyldes altså at hjernen – med sitt ordløse språk – ber om at du må dekke ett eller flere sentrale behov hos oss selv.

Dersom vi f.eks. føler tørste, så er det ingen som  ringer en psykolog og spør hva man skal gjøre med denne følelsen. Vi tar metoden «et glass vann» i bruk som en selvfølge, – uten å skylde på noen andre. Vårt mål bør være å bli like god til å tilfredsstille de andre følelsene våre også. Da blir også alle kjent med at sinne beskriver vår følelse, mens aggresjon beskriver hva vi gjør med følelsen. 

Aggresjon = Sinne + Gjøring 

Et kjerneråd 

Vi kan bruke David Kvebæk og Marshall Rosenberg teorier til å utarbeide et sentralt råd i arbeidet med selvfølelsen:

«Snakk ut fra deg selv, ut fra dine følelser som kommer fra det som virkelig betyr noe for deg» 

Når vi vet det, kan vi også trygt gå ut fra at: 

🗸 Bak et menneske som angriper, går i forsvar eller avviser oss, finnes det et  menneske med utilfredsstilte behov 

🗸 En og samme handling kan utløse ulike følelser avhengig av det som betyr noe for  mennesket 

🗸 Å ha behov er ikke det samme som å kreve noe av andre 

🗸 Å lytte til det som betyr noe for et annet menneske, krever ikke at vi skal oppgi våre egne behov. 

Ved å bruke kjernerådet, skapes kontakt og empati – dvs. gode relasjoner. Dermed blir det lettere for oss både å forstå og dele følelser med en annen person. Og vi forstår godt at følelser skal ikke fikses – de skal løses. Det gir oss mange interessante og nyttige  kunnskaper.

Følelsen er vår viktigste informasjonskilde.
Den forteller:
Sinne kan også vendes innover, som:
Hvordan vi egentlig har det Selvforakt og selvskading
Hvilke behov er dekket/udekketDepresjon

Skolesystemet: Veien videre

Vi startet denne artikkelen med å skrive at alle som er engasjert i skoleverket, må spille på  lag med hjernen for å få et bedre skolesystem. Dette omfatter elever, lærere, foreldre,  politikere, politi og næringslivet. Dersom alle i et tverrfaglig team spiller på lag med hjernen, blir kommunikasjonen og relasjonen mellom de involverte meget god. Vi unngår dermed:

  1. Polariserte samtaler.
    Klaging og sjikanering • Irritasjon som ofte skjuler andre følelser 
    Med et godt, helhetlig og tverrfaglig samarbeid, finner vi små justeringer som raskt kan  skape store endringer. Det gjelder å ha søkelys på de to faktorene som er hovedårsaken til at  skolesystemet har mange problemer i dag. 
  2.  Selvfølelsen strekker ikke til.
    Eksempler: Dårlig klassemiljø. Vi må tilpasse læringen til elevens behov, fremheve  samarbeid og kreativitet.
  3. Feil valg av arbeidsmetoder.
    Mer praktisk arbeid, fjerne tradisjonell/teoretisk undervisning samt testing og karaktergivning slik det praktiseres i dag.

Ett eksempel på endring er at vi kan redusere antallet ADHD-diagnoser ved å ta hensyn til  faktoren selvfølelse gjerne kombinert med å velge undervisningsmetoder som skaper mestringsfølelse. Dersom vi i tillegg reduserer skjermbruken og setter mer fokus på det som virkelig betyr noe for den enkelte elev – har vi allerede kommet et godt stykke på vei.

Dette er den andre artikkelen om undervisningssystemet og selvfølelse. Den første artikkelen leser du her.

En leders ønskeliste: 31 temaer

En leders ønskeliste: 31 temaer

Tirsdag 21.11 er jeg vert for kloke hoder som ønsker å utforske coachende ledelse. Det er med utgangspunkt i et kurs tilt.work planlegger satt opp til våren, hvor nettopp coachende ledelse er temaet.

Meld deg på Litt klokere om coachende ledelse her.

«Pensum»

Det er nesten ingen grenser for hva «pensum» i et slikt kurs kan være. Med litt hjelp fra en kunstig intelligens, har jeg sett på hva som kan være en bruttoliste for et slikt pensum.

Her er 31 mulige temaer. Disse ferdighetene dekker et bredt spekter, inkludert kommunikasjon, emosjonell intelligens, strategisk tenkning, og systemisk ledelse.

31 temaer

  1. Aktiv lytting: Hvordan lytte godt, både til det som sies og det som ikke sies.
  2. Rapport: Som uttales på fransk, rappåår. «Connection» på godt norsk. Opprette forbindelse basert på tillit og forståelse.
  3. Målsetting: Hjelpe medarbeidere med å sette og nå personlige og profesjonelle mål.
  4. Empati: Forstå og anerkjenne andres følelser
  5. Selvinnsikt: Forstå egne styrker, svakheter, og hvordan en påvirker andre.
  6. Åpne spørsmål: Bruke åpne og utforskende spørsmål for å fremme refleksjon.
  7. Visjonær tenkning: Kommunisere et bilde av en attraktiv, mulighetsrik fremtid.
  8. Fleksibel kommunikasjon: Tilpass din kommunikasjonsstil til ulike mennesker.
  9. Endringsledelse: Styre og støtte team gjennom endringer og overganger.
  10. Konflikthåndtering: Håndtere og løse uenigheter på en konstruktiv måte.
  11. Motiverende intervju: Samtaleteknikker som fremmer indre motivasjon.
  12. Perspektivskifte: Endre perspektiv på en situasjon for å se nye muligheter.
  13. Metaforer: Metaforer er kraftfulle verktøy for å forenkle komplekse ideer.
  14. Feedback: Gi og motta konstruktiv tilbakemelding.
  15. Tidsstyring: Prioritere og håndtere tid effektivt.
  16. Systemisk ledelse: Se og jobbe med dynamikken I et relasjonssystem.
  17. Pressede situasjoner: Hvordan opprettholde effektivitet under stressende forhold?
  18. Selvregulering: Håndtere egne følelser og reaksjoner under press.
  19. Emosjonell intelligens: Gjenkjenne, forstå og håndtere egne og andres følelser.
  20. Relasjonell intelligens: Evnen til å utvikle og vedlikeholde gode relasjoner parret med evnen til å jobbe med relasjonssystemets indre intelligens.
  21. Styrkebasert ledelse: Fokusere på og utvikle medarbeidernes styrker.
  22. Kreativ problemløsning: Fremme innovasjon og kreative løsninger.
  23. Delegering: Effektivt fordele oppgaver og ansvar.
  24. Inspirerende kommunikasjon: Motivere og inspirere andre gjennom tale og handlinger.
  25. Kulturell kompetanse: Forstå og respektere mangfold i arbeidsmiljøet.
  26. Mindfulness og tilstedeværelse: Være fullstendig til stede og oppmerksom i øyeblikket.
  27. Stamina: Opprettholde energi og engasjement over tid.
  28. Kritisk tenkning: Analysere informasjon og situasjoner effektivt.
  29. Strategisk planlegging: Utvikle og implementere langsiktige planer.
  30. Overtalelse: Overtale og påvirke andre positivt.
  31. Resiliens: Evnen til raskt å ta seg inn etter tilbakeslag.

Prioritér

Alt dette er vanskelig å klemme inn i et kurs, være det seg på 1, 2 eller 3 dager. Så da spør jeg deg: Hvis du skulle prioritere, hvilke 5 av disse temaene ville du helst hatt med i et slikt kurs?

Eller er det et eller flere temaer som ikke er i listen du gjerne skulle sett?

Svar med en mail til [email protected].

Forward the action

God tirsdag.

Det er på tide å gjøre endringer i skolesystemet

Det er på tide å gjøre endringer i skolesystemet

Skolesystemet skal gi kompetanse for et godt liv. Læringen starter barnehagen og videreføres i grunnskolen og den videregående skolen. Dagens norske skolesystem er bygget på verdier og en læringstradisjon gjennom mange år. Spørsmålet er om det er på tide med nytenkning, både når det gjelder innhold og arbeidsform.

read more…
Digital transformasjon: Mer enn teknologi

Digital transformasjon: Mer enn teknologi

Digital transformasjon er ikke bare en teknologisk oppdatering, men også en dyptgående endring av bedriftskulturen, arbeidsprosesser og, viktigst av alt, hvordan en organisasjon tenker rundt innovasjon og fremtidig vekst. I denne refleksjonen ønsker jeg å utforske både fallgruvene og de avgjørende faktorene som skiller suksess fra fiasko i digitale transformasjonsprosjekter.

read more…
Blue Zone: 10 prinsipper for å skape en bedre arbeidsplass

Blue Zone: 10 prinsipper for å skape en bedre arbeidsplass

Interessen for ansattes velvære har fått betydelig innpass på arbeidsplasser verden over, mye takket være dets påvirkning på faktorer som produktivitet, engasjement og generell ytelse. Dette bekrefter kilder som Forbes, Gallup og Harvard Business Review.

Likevel har temaet lenge blitt oversett av mange toppledere. Gjennom å måle velværets innvirkning på faktorer som sykefravær, turnover, engasjement og lojalitet, har bevisstheten rundt ansattes velvære økt.

read more…

Tirsdag morgen

Hvordan såpeopera og vann kan endre verden

Hvordan såpeopera og vann kan endre verden

Skal du endre verden, må du endre folks adferd. Allerede der finner mange frem et gammelt kjøleskapsvers, og toer sine hender. Men nå har du ikke lenger noen unnskyldning. Les mer
Vær ditt eget forskningsprosjekt

Vær ditt eget forskningsprosjekt

Ønsker du endring? Slutt å dømme, og begynn å forske. Vær ditt eget forskningsprosjekt. Det handler ikke om viljestyrke, det handler om ferdigheter. Les mer

En kyllingsang om livets gang

Enkelte ting er for vanskelig å snakke om, selv i Tirsdag morgen. Derfor gjengir jeg essensen i ukens ukebrev i form av matpakkediktet min datter fikk med seg på skolen neste dag. Les mer

IdéCafé

IdéCafé med Nils Petter Nordskar

Lurer du også på hva tilt.work egentlig er? Du er ikke alene. 9. april får vi hjelp av selveste Nils Petter Nordskar – og kanskje deg? – til å finne oss sjæl.

Idéen bak IdéCafé er gratis innspill og idéer til småselskaper som ikke kan bruke store ressurser på profesjonelle i reklame og markedsføring.

Foruten praten mellom Nordskar og tilts Paal Leveraas, er deltakernes innspill hjertelig velkomne, og svært viktige. Mange har fulgt tilt.work og dets utspring – Tirsdag morgen – lenge. Nå har du sjansen til å bli med å forme vår fremtid.


Abonnement på coaching

Abonnement på coaching

Gi dine medarbeidere tilgang på personlig og profesjonell vekst og utvikling med et fleksibelt abonnement på en eller flere av våre profesjonelle coacher.

Les mer

Våre nyhetsbrev

Her kan du melde deg på et eller flere av våre ukebrev.

"*" obligatorisk felt

Navn*

PrivacyTech

Som medlem i PrivacyTech-nettverket blir du en del av en gruppe likesinnede profesjonelle som er opptatt av GDPR, personvern, compliance og tech. Med Eva Jarbekk – en av Norges fremste eksperter på området – som fasilitator.

Partners in tilt

Vårt nettverk av «kloke hoder» (team tilt) med en bærekraftsagenda.

Del dine tanker om denne artikkelen

0 Comments

På forsiden nå

Olivias verden

Olivias verden

|
KI er et fantastisk verktøy, og det blir mer fantastisk for hvert minutt. Fint for oss, stort sett. Men hvordan vil Olivia (8 måneder) sitt voksne liv se ut?
Darwin, dating og dommedag

Darwin, dating og dommedag

|
Det går en rød tråd fra Simen Velle til armageddon. Men det er ikke kvinnekampen som har skylda. Ei heller datingappene. Det er Darwin.
Snyltekapitalismen

Snyltekapitalismen

|
De har sugd seg inn i verdiskapningen i det meste som foregår på planeten. Nå begynner de å spise av velferdssamfunnets grunnmur også.
vektorgrafikk eldre i aktivitet

Farvel til alderismen. Eldre som livsbejaende, verdiskapende borgere

|
Den offentlige samtalen har et sterkt fokus på eldre som et problem og en kostnad. Skal vi snu samtalen til å handle om eldre som en livsbejaende ressurs, må det en holdningsendring til – også hos eldre.
Du skal få din lønn i vaffeljernet

Du skal få din lønn i vaffeljernet

|
Den ultimate lederutfordringen: Det eneste du kan tilby av motivasjon er vafler. Tusenvis står i det hver dag.
Kvinne holde en presentasjon foran et publikum.

Kunsten å skape engasjement i møter og på kurs

|
VIVA er en huskeregel for den som vil skape engasjerende kurs som huskes.
Utsikten fra elfenbenstårnet

Utsikten fra elfenbenstårnet

|
Å se det store bildet er bra, men hvis det er det eneste vi ser, mister vi kontakten med virkeligheten.
Nøkkelen til vekst: Lærdommer fra åkeren til kontoret

Nøkkelen til vekst: Lærdommer fra åkeren til kontoret

|
Visdommen jeg arvet fra min kjære bestefar, en visdom som strekker seg langt utover åkrene og inn i livets mange aspekter, er en uvurderlig guide i forståelsen av likhetene mellom lederskap og bondekunnskap.
Norge under lupen, Datatilsynets tilsyn med kommuner ang personvern

Læringspunkter fra Datatilsynets tilsyn med kommuner

|
Datatilsynets rapport etter tilsyn med flere kommuner i Norge, gir oss nyttig læring.

Pin It on Pinterest

Share This

Del dette

Delt glede er dobbelt glede. Del dette med ditt nettverk.