IT-jus nr. 4

mandag 18. oktober 2021 @ 11:18

Høsten varsler sitt komme med stormer og lavtrykk på rekke og rad. Stormer gjør det også rundt forordninger og fortolkninger av personvernet i den digitaliserte verden. I dette nyhetsbrevet kan […]
Av Eva Jarbekk

Høsten varsler sitt komme med stormer og lavtrykk på rekke og rad. Stormer gjør det også rundt forordninger og fortolkninger av personvernet i den digitaliserte verden. I dette nyhetsbrevet kan du blant annet lese om:

§ EDPBs lovforslag som vil forby all innhenting av biometrisk data, som ansiktsgjenkjenning, ved hjelp av kunstig intelligens (KI).

§ Facebook blir stadig mindre populært blant offentlige aktører i Norge. Teknologirådet har rett og slett slettet Facebook-kontoen sin. Vil flere følge etter?

§ I all hemmelighet forlangte amerikanske myndigheter å få spesifikk søks-historikk fra Google. Overføringer av personopplysninger til USA vil neppe bli enklere å forsvare etter denne saken. Samtidig ligger det an til at Sør-Korea kan bli et forhåndsgodkjent tredjeland.

§ Bøtenivået i saker om brudd på personvernet er på vei opp. En ny rekord i bøtenivå er satt i Amazon Web Services-saken. Søkelyset på personvern blir stadig sterkere både i EU og i Norge.

Happy reading!

Nei til masseovervåkning og ansiktsgjenkjenning i Europa:

Tidlig i oktober sa EU-parlamentet ja til et totalforbud mot bruk av ansiktsgjenkjenning i det offentlige rom. Lovforslaget ble fremmet av European Data Protection Board (EDPB). Forslaget innebærer et forbud mot innhenting av biometriske data ved hjelp av kunstig intelligens (KI). Altså et forbud mot bruk av KI og ansiktsgjenkjenning for masseovervåkning. EU-parlamentets «ja» er ikke juridisk bindende.

Forslaget vil gjøre det umulig for myndigheter å overvåke andre enn de som er mistenkte i en sak, og vil sette en stopper for prediktivt politiarbeid. Masseovervåkningen og poengsystemet Kina bruker overfor sine innbyggere blir trukket frem som et konkret eksempel på hvorfor lovforslaget bør bli vedtatt.

Selv om lovforslaget ikke er juridisk bindende, illustrerer EU-parlamentets «ja» en sterk vilje til å motarbeide misbruk av ansiktsgjenkjenningsteknologi i Europa og en sterk kritikk mot forholdene i Kina. Under foredragene i Nordic Privacy Arena i Stockholm i september holdt EDPS-representanten et innlegg om akkurat dette.

Ansiktsgjenkjenning er hovedsakelig kun en kompleks algoritme, og lovforslaget presiserer at europeiske borgere skal beskyttes mot misbruk og negativ partiskhet som følge av teknologien. Fremover vil man likevel se mye mer bruk av KI. Det er derfor veldig viktig at de som utvikler denne teknologien er påpasselige med å skape transparente, sporbare, og godt dokumenterte programvarer, dette sier EU-parlamentet selv.


Datatilsynene får nye støttespillere:

Personvernrettslige problemstillinger er på vei til å bli hverdagskost for folk. Det er ikke lenger slik at landenes datatilsyn er personvernets eneste vaktbikkje. I økende grad ser vi privatpersoner og advokatfirmaer ta opp kampen mot organisasjoner som har brutt reglene.

Et eksempel finner vi i det britiske advokatfirmaet Mishcon de Reya, som nylig har iverksatt et gruppesøksmål mot Google, DeepMind (et firma som utvikler kunstig intelligens) og det britiske helsevesenet NHS. NHS har siden 2015 tillatt Google og DeepMind å få innsyn i 1,6 millioner britiske innbyggere sine helseopplysninger – uten deres samtykke. Det blir veldig interessant å se hvordan denne saken utvikler seg, ikke minst i lys av Brexit. Siden Storbritannia ikke lenger er EU-medlem, er de heller ikke bundet av GDPR. Gruppesøksmålet kan bidra til å svare på noen veldig grunnleggende spørsmål om hvordan Storbritannia skal etablere sitt nye forhold til personvern.


USA gjør det ikke enkelt for personvernentusiaster å like dem:

Etter Schrems II har vi alle blitt oppmerksomme på at den amerikanske staten kan gjøre omfattende inngrep i datasubjekters privatliv. Dette har vi jo egentlig visst helt siden Snowden-avsløringene. Derfor er det kanskje ikke spesielt overaskende når et nytt forhold blir kjent.

Den amerikanske staten har i hemmelighet bedt Google å utlevere informasjon om alle som har søkt på navnet eller adressen til et overgrepsoffer, eller søkt på navnet til offerets mor. Hensikten var å skaffe informasjon om mulige mistenkte, men blir kritisert siden en slik utlevering av informasjon kan implisere uskyldige mennesker i alvorlige saker. Vi vet ikke hvordan denne saken utvikler seg videre, men vi kan i hvert fall tenke oss at det ikke gjør det noe lettere for de menneskene som forsøker å opprette en ny Privacy Shield avtale mellom EU og USA. Avsløringene innebærer at amerikansk overvåkning kan være enda mer omfattende enn tidligere antatt.


Nye rekorder – bot på 900 millioner dollar!

I forrige nyhetsbrev lenket jeg til en artikkel om WhatsApp, som ligger an til å få en kjempebot på 225 millioner euro fra det irske datatilsynet. To av mine kollegaer i Schjødt har skrevet en artikkel om saken, og hvilken konsekvens den har for personvernpolicyer og transparens. Med et stadig økende bøtenivå begynner det å svi skikkelig for selskaper som ikke følger retningslinjene til EDPB.

Også i Norge ser vi en kraftig økning i bøtenivået. For eksempel ser vi at bøtene for å snoke i ansattes eposter, uavhengig av om de er nåværende eller tidligere ansatte, går i taket. Artikkelen som du finner her handler om et norsk firma som har fått varsel om 700 000 kroner i bot for å gjøre ulovlig innsyn i tidligere ansattes eposter.

Dessuten har Amazone Web Services blitt ilagt den største boten noensinne gitt under GDPR.  Boten er på svimlende 900 millioner amerikanske dollar.

Det er noen overraskende elementer i saken og det blir et tema på neste nettverksmøte.


Facebook i hardt vær:

Datatilsynet gjorde i september en vurdering om hvorvidt de med god samvittighet kan opprette en Facebook-konto, og fant at det kan de ikke. Det har sendt en sterk melding til det norske samfunn om at Facebook ikke tar godt nok vare på brukernes personvern. I ettertid har vi sett at Teknologirådet har slettet Facebook-siden sin, og de har kommet med en generell oppfordring til alle offentlige instanser i Norge om å følge deres eksempel. Her så man faktisk at Teknologirådet var langt klarere i sin kommunikasjon enn Datatilsynet.

Facebook er altså raskt på vei til å bli høyst upopulær blant norske offentlige aktører. Aktørene står i et vanskelig dilemma: De kan forlate plattformen for egen maskin og bli oppfattet som vanskelig tilgjengelige. Eller de kan velge å bli, men kan da møte kritikk for dårlig personvern. Helsenorge ble kritisert fordi de inntil nylig tillot mennesker å chatte med dem via Facebook-siden deres, se artikkel om dette her.

Jeg ser en tendens til at det ikke lenger tolereres at privatpersoner selv skal ta hele ansvaret for hva de deler, offentlig eller privat, på Facebook. Holdningene tilter mot at offentlige aktører ikke bør åpne opp for kommunikasjonsformer hvor brukernes informasjon står i fare for å bli utnyttet av programvaren de bruker. Å flytte ansvaret over på instansene kan være en god ting, forutsatt at instansene har tid og ressurser til å gjøre gode beslutninger om hva som er trygge kommunikasjonskanaler.


EDPB etablerer en Cookie Taskforce:

Mange kjenner til Schrems II-saken, som har stor betydning for hvilke programvarer vi bør bruke fremover. NOYB, organisasjonen bak Schrems II, har stått for en algoritme som automatisk finner cookie-varsler som ikke fulgte GDPRs retningslinjer om at brukeren enkelt kunne svare «nei» til spørsmålet om overflødige cookies. Algoritmen sendte også en automatisk advarsel om søksmål dersom banneret ikke ble endret slik at det ble lettere for brukeren å si «nei».

Schrems sin algoritme gikk bare gjennom et par hundretall av de mest besøkte sidene på nettet. Selv om det var et flott initiativ, var det ikke en bærekraftig løsning. EDPB, som har tilgang på flere ressurser og høster større anerkjennelse enn NOYB, tar nå grep. De har besluttet å sette ned en gruppe som skal spesialisere seg på håndteringer av klager som kommer inn i forbindelse med cookie-banner. Kanskje får vi endelig en god metodikk for å sikre gyldige samtykker over hele internettet.

At Norge i sommer foreslo at browser-innstillinger skal være tilstrekkelig samtykke for cookies, var overraskende for mange. Dette ble kjent under arbeidet med forslag til ny Ekom-lov, som hadde høringsfrist 15. oktober. Datatilsynet har allerede protestert, så det er ikke sikkert forslaget vil stå seg. Det ville i alle fall være praktisk om Norge har samme forståelse av lovlig cookiesamtykke som EU-land. Den gjeldende Ekom-loven er for øvrig fra 2003.


Sør-Korea blir sannsynligvis et godkjent tredjeland:

Jeg føler av og til at alt jeg skriver om i dette nyhetsbrevet her kan føres tilbake til Schrems II-saken, og dette er ikke et unntak. Vi hører oftest om Schrems II i kontekst av overføringer av data til USA, siden mye av programvaren vi bruker til daglig, som Microsoft og Google, er amerikanske. Da blir det lett å glemme at svært mange andre land også faller i den samme kategorien. EDPB og EU-kommisjonen arbeider med å «forhåndsgodkjenne» flere land.

Mye tyder på at vi snart får et nytt land vi kan dele data med uten å være redd for at innbyggernes data blir misbrukt. EDPB har nemlig kommet med forslag til en såkalt positiv Adequacy Decision for Sør-Korea, som betyr at overføringer dit kan gjøres på samme måte som overføringer innenfor EU. EU-kommisjonen skal foreta noen videre undersøkelser av de sør-koreanske personvernreglene, men det er mye som tyder på at landet blir godkjent.


Sitert:

På nettet er det ikke bare skinnet som kan bedra, men en god del annet også.
Ingvar Ambjørnsen. (2019) Ekko av en venn


Siste ord

Du får dette nyhetsbrevet som medlem av tilt.works IT-juridiske nettverk eller fordi du har tegnet et eget abonnement. Se oversikten over kommende aktiviteter i nettverket her.

Fant ikke noen innlegg.

IdéCafé

IdéCafé med Nils Petter Nordskar

Lurer du også på hva tilt.work egentlig er? Du er ikke alene. 9. april får vi hjelp av selveste Nils Petter Nordskar – og kanskje deg? – til å finne oss sjæl.

Idéen bak IdéCafé er gratis innspill og idéer til småselskaper som ikke kan bruke store ressurser på profesjonelle i reklame og markedsføring.

Foruten praten mellom Nordskar og tilts Paal Leveraas, er deltakernes innspill hjertelig velkomne, og svært viktige. Mange har fulgt tilt.work og dets utspring – Tirsdag morgen – lenge. Nå har du sjansen til å bli med å forme vår fremtid.


Coaching-teknikker for prosjektledere

Coachende prosjektledelse

En coach-veteran avslører nyttige teknikker spesielt tilrettelagt for deg som leder prosjekter.

Dette kurset gir deg grunnleggende coaching-verktøy som er anvendelige i mange situasjoner. I kurset lærer du gjennom teori og øvelser som gir deg håndfast kroppslig læring. Kurset er et samarbeid mellom tilt.work og Computerworld Academy.


Abonnement på coaching

Abonnement på coaching

Gi dine medarbeidere tilgang på personlig og profesjonell vekst og utvikling med et fleksibelt abonnement på en eller flere av våre profesjonelle coacher.

Les mer

Våre nyhetsbrev

Her kan du melde deg på et eller flere av våre ukebrev.

"*" obligatorisk felt

Navn*

PrivacyTech

Som medlem i PrivacyTech-nettverket blir du en del av en gruppe likesinnede profesjonelle som er opptatt av GDPR, personvern, compliance og tech. Med Eva Jarbekk – en av Norges fremste eksperter på området – som fasilitator.

Partners in tilt

Vårt nettverk av «kloke hoder» (team tilt) med en bærekraftsagenda.

Del dine tanker om denne artikkelen

0 Comments

På forsiden nå

Bare 200 meter til: Små steg gjør store fremskritt

Bare 200 meter til: Små steg gjør store fremskritt

|
Hva er likheten mellom en polfarer, deg og dine ansatte?
Olivias verden

Olivias verden

|
KI er et fantastisk verktøy, og det blir mer fantastisk for hvert minutt. Fint for oss, stort sett. Men hvordan vil Olivia (8 måneder) sitt voksne liv se ut?
Darwin, dating og dommedag

Darwin, dating og dommedag

|
Det går en rød tråd fra Simen Velle til armageddon. Men det er ikke kvinnekampen som har skylda. Ei heller datingappene. Det er Darwin.
Snyltekapitalismen

Snyltekapitalismen

|
De har sugd seg inn i verdiskapningen i det meste som foregår på planeten. Nå begynner de å spise av velferdssamfunnets grunnmur også.
vektorgrafikk eldre i aktivitet

Farvel til alderismen. Eldre som livsbejaende, verdiskapende borgere

|
Den offentlige samtalen har et sterkt fokus på eldre som et problem og en kostnad. Skal vi snu samtalen til å handle om eldre som en livsbejaende ressurs, må det en holdningsendring til – også hos eldre.
Du skal få din lønn i vaffeljernet

Du skal få din lønn i vaffeljernet

|
Den ultimate lederutfordringen: Det eneste du kan tilby av motivasjon er vafler. Tusenvis står i det hver dag.
Kvinne holde en presentasjon foran et publikum.

Kunsten å skape engasjement i møter og på kurs

|
VIVA er en huskeregel for den som vil skape engasjerende kurs som huskes.
Utsikten fra elfenbenstårnet

Utsikten fra elfenbenstårnet

|
Å se det store bildet er bra, men hvis det er det eneste vi ser, mister vi kontakten med virkeligheten.
Nøkkelen til vekst: Lærdommer fra åkeren til kontoret

Nøkkelen til vekst: Lærdommer fra åkeren til kontoret

|
Visdommen jeg arvet fra min kjære bestefar, en visdom som strekker seg langt utover åkrene og inn i livets mange aspekter, er en uvurderlig guide i forståelsen av likhetene mellom lederskap og bondekunnskap.

Pin It on Pinterest

Share This

Del dette

Delt glede er dobbelt glede. Del dette med ditt nettverk.