IT-jus nr. 6

mandag 20. desember 2021 @ 10:30

I årets siste brev fra IT-juridisk nettverk har jeg samlet noen artikler som er relevante for oss som arbeider med «hverdags-personvern», men jeg løfter også blikket opp til et prinsipielt plan. Det […]
Av Eva Jarbekk

I årets siste brev fra IT-juridisk nettverk har jeg samlet noen artikler som er relevante for oss som arbeider med «hverdags-personvern», men jeg løfter også blikket opp til et prinsipielt plan. Det er tankevekkende at Sverige dømmes av en europeisk domstol for å mangle rettssikkerhetsgarantier i sine regler om overvåking. Det er også tankevekkende at det er en betydelig uenighet datatilsynene mellom om hvordan noe så sentralt som samtykkebestemmelsene skal forstås.
 
I 2022 blir det antakelig store endringer i regelverket rundt cookies og mye har allerede skjedd – det  tar jeg likevel ikke opp her fordi det blir et eget tema i nettverket senere. Dessuten kommer det antagelig en ny veileder fra EDPB om anonymisering på nyåret. Slik vi snakket om i siste nettverksmøte, er det mulig det blir en noe mer pragmatisk tilnærming til hva som skal anses som anonyme data. Dette følger vi selvfølgelig opp så snart vi vet mer.
 
Jeg ønsker dere alle en riktig fredfull jul og et godt nyttår!

Hilsen Eva

Den aller, aller største boten:

Datatilsynet varslet først en bot på hundre millioner kroner til datingappen Grindr, fordi tilsynet mente den delte personopplysninger om brukerne med markedsføringspartnere. Etter en del korrespondanse mellom Grindr og Datatilsynet, ble det denne uken kjent at boten er redusert med 35%, ned til 65 000 000. Det er fremdeles et høyt tall.

Den høye boten har vakt oppmerksomhet både her i landet og internasjonalt, blant annet i denne artikkelen fra NRK beta, som ofte har gode artikler om teknologi. Selv etter nedjusteringen er denne boten den desidert største det norske datatilsynet noensinne har kommet med. Den nest største er «bare» på fem millioner kroner – om overføring av personopplysninger til tredjeland.

Det er offentlig kjent at jeg er rådgiver i denne saken, så jeg kan ikke uttale meg om detaljene i den. Men det er åpenbart at vi lever i en tid hvor bøtene både blir hyppigere og høyere. Praksis fra andre lands datatilsyn viser at bøtenivåene der er enda høyere. De fleste sakene, Grindr-boten også, vil påklages og det tar tid før man vet hva sluttresultatet blir. Uansett endelig resultat er det all grunn til å ta inn over seg at datatilsynene lener seg tungt på retningslinjene fra EDPB i forståelsen av reglene. Dette kan ikke sies ofte nok: Pass på samtykkene deres, og pass på hva cookiene samler inn. Mer om dette på nyåret.

Kanskje vi kan slippe noen av overføringsreglene?

EU har kommet med et nytt utkast til retningslinjer angående overføringer til tredjeland i en post-Schrems-II-verden. Det mest sentrale er at det slås fast at ikke absolutt all aksess av opplysninger fra tredjeland skal anses som «overføring». Da slipper man unna overføringsreglene. Jeg har skrevet litt om dette i digi. Selv om dette åpner for noe mer bruk av utviklere i tredjeland, er likevel hovedutfordringene ved overføringsreglene fremdeles gjeldende.


Prinsippielle spørsmål om datatilsynenes rolle:

Det irske datatilsynet har måttet tåle kritikk over lang tid, og i det siste har det toppet seg. De anklages for å være litt vel vennlige mot de store teknologiselskapene, spesifikt mot Facebook/Meta. Schrems og NOYB har brukt den irske offentlighetsloven for å få tilgang til dokumenter som viser at det irske datatilsynet har vært aktive for å endre regelverket slik at Facebook kunne dele personopplysninger uten å måtte innhente samtykke fra brukerne.

Tilsynet argumenterte for at Facebook kunne basere innhentingen av opplysninger på en kontrakt. I kontrakten vil man kunne slå fast at en sentral del av Facebooks tilbud er å tilby brukerne tilpasset reklame. Da ville man ikke trenge samtykker overhodet.

Dette er sterkt kritisert av de andre datatilsynene, og det norske tilsynet er helt i front her og har sendt et eget brev på 11 sider om dette til Irland. Et apropos er at irsk datatilsyn også er på kollisjonskurs med datatilsynet i Luxemburg som synes å mene det absolutt motsatte i boten på ca litt over syv milliarder kroner som de ila Amazon for noen måneder siden.

Irland er et attraktivt sted for teknologigigantene grunnet lav skatt. Det er ikke overraskende at andre lands tilsynsmyndigheter reagerer når det irske datatilsynet tøyer reglene i GDPR for å tekkes gigantene. Det vil forundre meg om Irland når frem med sitt syn her.

Et annet eksempel på at det blåser rundt datatilsynene, finner vi i Belgia. Lederen for det belgiske datatilsynet har nylig valgt å trekke seg i protest etter at tilsynet har blitt forsøkt styrt politisk. EU-kommisjonen har også sendt en «reasoned opinion» til Belgia, hvor EU påpeker at landet ikke følger reglene om at et datatilsyn skal være uavhengig. Belgia har to måneder på å rette opp de interne strukturene sine slik at datatilsynets ansatte blir uavhengige. Du kan lese EU’s brev til Belgia her.


Sverige dømt for manglende rettsikkerhet i overvåkingslov

Den svenske overvåkningsloven, FRA-lagen, ble i november vurdert av Europadomstolen til å være i strid med menneskerettighetene. Dommen kom hele 13 år etter anmeldelsen.

Essensen er at overvåkning av kommunikasjon nok kan være lovlig, men det må rettssikkerhetsgarantier på plass. Dette hadde ikke den svenske loven i tilstrekkelig grad. Spesielt pekes det på at ikke bare enkeltpersoner skal ha et vern, men bedrifter også. Dessuten må man sørge for at informasjon som overleveres til et annet lands etterretningstjeneste ikke misbrukes. Det siste elementet i kritikken går på at den som blir avlyttet ikke har noen måte å kunne kontrollere eller klage for å sørge for at avlytting skjer slik loven angir. Dette siste elementet ligner på deler av argumentasjonen i Schrems-saken.

Det er bra at lover etterprøves, det er ikke så bra at det tar så lang tid. Sverige må nå endre ordlyden i loven, samtidig kritiserer svenske menneskerettighetsorganisasjoner landet for å utvide bruksområdet for loven, før manglene er rettet. Dette er et spørsmål om moral, etikk og juss. Det kommer til å bli mange diskusjoner om overvåking fremover.

Vi må snakke mer om hacking

Til slutt: Personvern kan sammenlignes med en mynt med to sider. Den ene siden handler om å sørge for at opplysninger hentes inn og brukes på riktig juridisk grunnlag. Den andre siden er informasjonssikkerheten – å ha systemer som ikke lar uønskede personer bryte seg inn og stjele informasjon de ikke har rett til.

Det er en stadig strøm av vellykkede hacker-angrep i Norge. Noen av de siste som er blitt rammet er  Nordic Choice Hotels, Ikea og nettsiden Booking.com. Forrige uke kom det melding om at en kommune i Sverige, Kalix, ser ut til å være rammet av et randsomware-angrep på samme måte som Østre Toten. Alt fra lønnssystemer til sykejournaler og epost er frosset. Kommunen kan ikke betale regninger. Det er kritisk i ordets opprinnelige betydning. Det er ikke snakk om om en virksomhet er utsatt for angrep – det er snakk om når det skjer. Dere i nettverket vet dette godt. Kanskje må vi snakke litt mer om hvordan man kan sikre seg best i praksis.


Kommende møter:

27. jan 14.00 – 17.00
 Nettverksmøte
24. feb 12.00 – 13.00
 Digital drop-in
24. mars 14.00 – 16.00
 Digitalt nettverksmøte
Se hele oversikten over kommende aktiviteter i nettverket her.

Fant ikke noen innlegg.

Abonnement på coaching

Abonnement på coaching

Gi dine medarbeidere tilgang på personlig og profesjonell vekst og utvikling med et fleksibelt abonnement på en eller flere av våre profesjonelle coacher.

Les mer

Coaching-teknikker for prosjektledere

Coachende prosjektledelse

En coach-veteran avslører nyttige teknikker spesielt tilrettelagt for deg som leder prosjekter.

Dette kurset gir deg grunnleggende coaching-verktøy som er anvendelige i mange situasjoner. I kurset lærer du gjennom teori og øvelser som gir deg håndfast kroppslig læring. Kurset er et samarbeid mellom tilt.work og Computerworld Academy.


IdéCafé

IdéCafé med Nils Petter Nordskar

Lurer du også på hva tilt.work egentlig er? Du er ikke alene. 9. april får vi hjelp av selveste Nils Petter Nordskar – og kanskje deg? – til å finne oss sjæl.

Idéen bak IdéCafé er gratis innspill og idéer til småselskaper som ikke kan bruke store ressurser på profesjonelle i reklame og markedsføring.

Foruten praten mellom Nordskar og tilts Paal Leveraas, er deltakernes innspill hjertelig velkomne, og svært viktige. Mange har fulgt tilt.work og dets utspring – Tirsdag morgen – lenge. Nå har du sjansen til å bli med å forme vår fremtid.


Våre nyhetsbrev

Her kan du melde deg på et eller flere av våre ukebrev.

"*" obligatorisk felt

Navn*

PrivacyTech

Som medlem i PrivacyTech-nettverket blir du en del av en gruppe likesinnede profesjonelle som er opptatt av GDPR, personvern, compliance og tech. Med Eva Jarbekk – en av Norges fremste eksperter på området – som fasilitator.

Partners in tilt

Vårt nettverk av «kloke hoder» (team tilt) med en bærekraftsagenda.

Del dine tanker om denne artikkelen

0 Comments

På forsiden nå

Norge under lupen, Datatilsynets tilsyn med kommuner ang personvern

Læringspunkter fra Datatilsynets tilsyn med kommuner

|
Datatilsynets rapport etter tilsyn med flere kommuner i Norge, gir oss nyttig læring.
Vektorgrafikk med to personer foran en tavle som viser elementer for god GDPR. Illustrerer viktigheten av å bygge en god personvernkultur.

12 bud for å bygge en robust personvernkultur

|
GDPR og IT-sikkerhet er ikke et engangsoppsett. Det krever konstant fokus og kontinuerlig oppdatering. Her er 12 gode råd for å bygge en varig personvernkultur.
Toppliste med pallplassene 1, 2 og 3.

Disse artiklene ble mest lest i 2023

|
Er artikkel om bærekraftig IT og grønn koding ble den mest leste artikkelen i 2023.
Lederskap bor i oss alle

Lederskap bor i oss alle

|
Jeg ønsker at vi reflekterer mer over hva lederskap egentlig er og hvilket mangfold av lederskap vi ønsker.
Kvinne med avsjekkshefte. Gode rutiner er personvern i praksis.

Personvern og IT-sikkerhet: Slik oppfyller du GDPR-kravene

|
Personvern er småskrittsforbedringer og sunn fornuft satt i system, forankret i lovverket. Det er ledelsens ansvar, men alles oppgave!
Derfor skal oppstartsselskaper inkludere personvern helt fra start

Derfor skal oppstartsselskaper inkludere personvern helt fra start

|
I denne artikkelen guider jeg deg gjennom hva du bør sikre som minimum rundt personvern og IT-sikkerhet allerede fra start.
Et komplett år

Et komplett år

|
Det nærmer seg jul og deretter vipper vi snart inn i et nytt år. Lær deg kunsten å avslutte året som snart er over på en god måte.
Mann som går opp trapp, illustrerer strategisk ledelse

Derfor er strategisk ledelse viktig for bærekraftsmål

|
Mangelen på strategisk kompetanse i næringslivet er en utfordring, men også en mulighet for bedrifter å utvikle og styrke sin posisjon i markedet.
Jobb, karriére eller kall?

Jobb, karriére eller kall?

|
Er din jobb en jobb eller en karriére? Eller er den et kall? Om du lever ut ditt kall avhenger av dine holdninger, men også av ledelsen og miljøet du er i.

Pin It on Pinterest

Share This

Del dette

Delt glede er dobbelt glede. Del dette med ditt nettverk.