IT-jus nr. 6

mandag 20. desember 2021 @ 10:30

I årets siste brev fra IT-juridisk nettverk har jeg samlet noen artikler som er relevante for oss som arbeider med «hverdags-personvern», men jeg løfter også blikket opp til et prinsipielt plan. Det […]
Av Eva Jarbekk

I årets siste brev fra IT-juridisk nettverk har jeg samlet noen artikler som er relevante for oss som arbeider med «hverdags-personvern», men jeg løfter også blikket opp til et prinsipielt plan. Det er tankevekkende at Sverige dømmes av en europeisk domstol for å mangle rettssikkerhetsgarantier i sine regler om overvåking. Det er også tankevekkende at det er en betydelig uenighet datatilsynene mellom om hvordan noe så sentralt som samtykkebestemmelsene skal forstås.
 
I 2022 blir det antakelig store endringer i regelverket rundt cookies og mye har allerede skjedd – det  tar jeg likevel ikke opp her fordi det blir et eget tema i nettverket senere. Dessuten kommer det antagelig en ny veileder fra EDPB om anonymisering på nyåret. Slik vi snakket om i siste nettverksmøte, er det mulig det blir en noe mer pragmatisk tilnærming til hva som skal anses som anonyme data. Dette følger vi selvfølgelig opp så snart vi vet mer.
 
Jeg ønsker dere alle en riktig fredfull jul og et godt nyttår!

Hilsen Eva

Den aller, aller største boten:

Datatilsynet varslet først en bot på hundre millioner kroner til datingappen Grindr, fordi tilsynet mente den delte personopplysninger om brukerne med markedsføringspartnere. Etter en del korrespondanse mellom Grindr og Datatilsynet, ble det denne uken kjent at boten er redusert med 35%, ned til 65 000 000. Det er fremdeles et høyt tall.

Den høye boten har vakt oppmerksomhet både her i landet og internasjonalt, blant annet i denne artikkelen fra NRK beta, som ofte har gode artikler om teknologi. Selv etter nedjusteringen er denne boten den desidert største det norske datatilsynet noensinne har kommet med. Den nest største er «bare» på fem millioner kroner – om overføring av personopplysninger til tredjeland.

Det er offentlig kjent at jeg er rådgiver i denne saken, så jeg kan ikke uttale meg om detaljene i den. Men det er åpenbart at vi lever i en tid hvor bøtene både blir hyppigere og høyere. Praksis fra andre lands datatilsyn viser at bøtenivåene der er enda høyere. De fleste sakene, Grindr-boten også, vil påklages og det tar tid før man vet hva sluttresultatet blir. Uansett endelig resultat er det all grunn til å ta inn over seg at datatilsynene lener seg tungt på retningslinjene fra EDPB i forståelsen av reglene. Dette kan ikke sies ofte nok: Pass på samtykkene deres, og pass på hva cookiene samler inn. Mer om dette på nyåret.

Kanskje vi kan slippe noen av overføringsreglene?

EU har kommet med et nytt utkast til retningslinjer angående overføringer til tredjeland i en post-Schrems-II-verden. Det mest sentrale er at det slås fast at ikke absolutt all aksess av opplysninger fra tredjeland skal anses som «overføring». Da slipper man unna overføringsreglene. Jeg har skrevet litt om dette i digi. Selv om dette åpner for noe mer bruk av utviklere i tredjeland, er likevel hovedutfordringene ved overføringsreglene fremdeles gjeldende.


Prinsippielle spørsmål om datatilsynenes rolle:

Det irske datatilsynet har måttet tåle kritikk over lang tid, og i det siste har det toppet seg. De anklages for å være litt vel vennlige mot de store teknologiselskapene, spesifikt mot Facebook/Meta. Schrems og NOYB har brukt den irske offentlighetsloven for å få tilgang til dokumenter som viser at det irske datatilsynet har vært aktive for å endre regelverket slik at Facebook kunne dele personopplysninger uten å måtte innhente samtykke fra brukerne.

Tilsynet argumenterte for at Facebook kunne basere innhentingen av opplysninger på en kontrakt. I kontrakten vil man kunne slå fast at en sentral del av Facebooks tilbud er å tilby brukerne tilpasset reklame. Da ville man ikke trenge samtykker overhodet.

Dette er sterkt kritisert av de andre datatilsynene, og det norske tilsynet er helt i front her og har sendt et eget brev på 11 sider om dette til Irland. Et apropos er at irsk datatilsyn også er på kollisjonskurs med datatilsynet i Luxemburg som synes å mene det absolutt motsatte i boten på ca litt over syv milliarder kroner som de ila Amazon for noen måneder siden.

Irland er et attraktivt sted for teknologigigantene grunnet lav skatt. Det er ikke overraskende at andre lands tilsynsmyndigheter reagerer når det irske datatilsynet tøyer reglene i GDPR for å tekkes gigantene. Det vil forundre meg om Irland når frem med sitt syn her.

Et annet eksempel på at det blåser rundt datatilsynene, finner vi i Belgia. Lederen for det belgiske datatilsynet har nylig valgt å trekke seg i protest etter at tilsynet har blitt forsøkt styrt politisk. EU-kommisjonen har også sendt en «reasoned opinion» til Belgia, hvor EU påpeker at landet ikke følger reglene om at et datatilsyn skal være uavhengig. Belgia har to måneder på å rette opp de interne strukturene sine slik at datatilsynets ansatte blir uavhengige. Du kan lese EU’s brev til Belgia her.


Sverige dømt for manglende rettsikkerhet i overvåkingslov

Den svenske overvåkningsloven, FRA-lagen, ble i november vurdert av Europadomstolen til å være i strid med menneskerettighetene. Dommen kom hele 13 år etter anmeldelsen.

Essensen er at overvåkning av kommunikasjon nok kan være lovlig, men det må rettssikkerhetsgarantier på plass. Dette hadde ikke den svenske loven i tilstrekkelig grad. Spesielt pekes det på at ikke bare enkeltpersoner skal ha et vern, men bedrifter også. Dessuten må man sørge for at informasjon som overleveres til et annet lands etterretningstjeneste ikke misbrukes. Det siste elementet i kritikken går på at den som blir avlyttet ikke har noen måte å kunne kontrollere eller klage for å sørge for at avlytting skjer slik loven angir. Dette siste elementet ligner på deler av argumentasjonen i Schrems-saken.

Det er bra at lover etterprøves, det er ikke så bra at det tar så lang tid. Sverige må nå endre ordlyden i loven, samtidig kritiserer svenske menneskerettighetsorganisasjoner landet for å utvide bruksområdet for loven, før manglene er rettet. Dette er et spørsmål om moral, etikk og juss. Det kommer til å bli mange diskusjoner om overvåking fremover.

Vi må snakke mer om hacking

Til slutt: Personvern kan sammenlignes med en mynt med to sider. Den ene siden handler om å sørge for at opplysninger hentes inn og brukes på riktig juridisk grunnlag. Den andre siden er informasjonssikkerheten – å ha systemer som ikke lar uønskede personer bryte seg inn og stjele informasjon de ikke har rett til.

Det er en stadig strøm av vellykkede hacker-angrep i Norge. Noen av de siste som er blitt rammet er  Nordic Choice Hotels, Ikea og nettsiden Booking.com. Forrige uke kom det melding om at en kommune i Sverige, Kalix, ser ut til å være rammet av et randsomware-angrep på samme måte som Østre Toten. Alt fra lønnssystemer til sykejournaler og epost er frosset. Kommunen kan ikke betale regninger. Det er kritisk i ordets opprinnelige betydning. Det er ikke snakk om om en virksomhet er utsatt for angrep – det er snakk om når det skjer. Dere i nettverket vet dette godt. Kanskje må vi snakke litt mer om hvordan man kan sikre seg best i praksis.


Kommende møter:

27. jan 14.00 – 17.00
 Nettverksmøte
24. feb 12.00 – 13.00
 Digital drop-in
24. mars 14.00 – 16.00
 Digitalt nettverksmøte
Se hele oversikten over kommende aktiviteter i nettverket her.

Fant ikke noen innlegg.

IdéCafé

IdéCafé med Nils Petter Nordskar

Lurer du også på hva tilt.work egentlig er? Du er ikke alene. 9. april får vi hjelp av selveste Nils Petter Nordskar – og kanskje deg? – til å finne oss sjæl.

Idéen bak IdéCafé er gratis innspill og idéer til småselskaper som ikke kan bruke store ressurser på profesjonelle i reklame og markedsføring.

Foruten praten mellom Nordskar og tilts Paal Leveraas, er deltakernes innspill hjertelig velkomne, og svært viktige. Mange har fulgt tilt.work og dets utspring – Tirsdag morgen – lenge. Nå har du sjansen til å bli med å forme vår fremtid.


Coaching-teknikker for prosjektledere

Coachende prosjektledelse

En coach-veteran avslører nyttige teknikker spesielt tilrettelagt for deg som leder prosjekter.

Dette kurset gir deg grunnleggende coaching-verktøy som er anvendelige i mange situasjoner. I kurset lærer du gjennom teori og øvelser som gir deg håndfast kroppslig læring. Kurset er et samarbeid mellom tilt.work og Computerworld Academy.


Abonnement på coaching

Abonnement på coaching

Gi dine medarbeidere tilgang på personlig og profesjonell vekst og utvikling med et fleksibelt abonnement på en eller flere av våre profesjonelle coacher.

Les mer

Våre nyhetsbrev

Her kan du melde deg på et eller flere av våre ukebrev.

"*" obligatorisk felt

Navn*

PrivacyTech

Som medlem i PrivacyTech-nettverket blir du en del av en gruppe likesinnede profesjonelle som er opptatt av GDPR, personvern, compliance og tech. Med Eva Jarbekk – en av Norges fremste eksperter på området – som fasilitator.

Partners in tilt

Vårt nettverk av «kloke hoder» (team tilt) med en bærekraftsagenda.

Del dine tanker om denne artikkelen

0 Comments

På forsiden nå

Bare 200 meter til: Små steg gjør store fremskritt

Bare 200 meter til: Små steg gjør store fremskritt

|
Hva er likheten mellom en polfarer, deg og dine ansatte?
Olivias verden

Olivias verden

|
KI er et fantastisk verktøy, og det blir mer fantastisk for hvert minutt. Fint for oss, stort sett. Men hvordan vil Olivia (8 måneder) sitt voksne liv se ut?
Darwin, dating og dommedag

Darwin, dating og dommedag

|
Det går en rød tråd fra Simen Velle til armageddon. Men det er ikke kvinnekampen som har skylda. Ei heller datingappene. Det er Darwin.
Snyltekapitalismen

Snyltekapitalismen

|
De har sugd seg inn i verdiskapningen i det meste som foregår på planeten. Nå begynner de å spise av velferdssamfunnets grunnmur også.
vektorgrafikk eldre i aktivitet

Farvel til alderismen. Eldre som livsbejaende, verdiskapende borgere

|
Den offentlige samtalen har et sterkt fokus på eldre som et problem og en kostnad. Skal vi snu samtalen til å handle om eldre som en livsbejaende ressurs, må det en holdningsendring til – også hos eldre.
Du skal få din lønn i vaffeljernet

Du skal få din lønn i vaffeljernet

|
Den ultimate lederutfordringen: Det eneste du kan tilby av motivasjon er vafler. Tusenvis står i det hver dag.
Kvinne holde en presentasjon foran et publikum.

Kunsten å skape engasjement i møter og på kurs

|
VIVA er en huskeregel for den som vil skape engasjerende kurs som huskes.
Utsikten fra elfenbenstårnet

Utsikten fra elfenbenstårnet

|
Å se det store bildet er bra, men hvis det er det eneste vi ser, mister vi kontakten med virkeligheten.
Nøkkelen til vekst: Lærdommer fra åkeren til kontoret

Nøkkelen til vekst: Lærdommer fra åkeren til kontoret

|
Visdommen jeg arvet fra min kjære bestefar, en visdom som strekker seg langt utover åkrene og inn i livets mange aspekter, er en uvurderlig guide i forståelsen av likhetene mellom lederskap og bondekunnskap.

Pin It on Pinterest

Share This

Del dette

Delt glede er dobbelt glede. Del dette med ditt nettverk.