IT-jus nr. 1/22

mandag 24. januar 2022 @ 08:00

Det er mer enn nok å holde seg oppdatert om på vårt felt! I dette nyhetsbrevet har jeg samlet det jeg mener har vært aller viktigst den siste måneden. På toppen av den listen troner den nye veiledningen om databehandleres bruk av personopplysninger fra kunder som er behandlingsansvarlige. Jeg tror at mange har en praksis […]
Av Eva Jarbekk

Det er mer enn nok å holde seg oppdatert om på vårt felt! I dette nyhetsbrevet har jeg samlet det jeg mener har vært aller viktigst den siste måneden. På toppen av den listen troner den nye veiledningen om databehandleres bruk av personopplysninger fra kunder som er behandlingsansvarlige. Jeg tror at mange har en praksis som ikke er helt i tråd med det som forventes. Det er også noe man må ta stilling til i nye kontrakter og anskaffelser.

Vi ser også stadig økt fokus på tredjelandsoverføringer, hvor søkelyset nå rettes mot India.

God lesning! Jeg gleder meg til å treffe dere til uken – da blir det fullt fokus på AI!

Hilsen Eva


BRUK AV INNSAMLEDE DATA

Databehandleres egen bruk av den behandlingsansvarliges personopplysninger

Den 12. januar i år kom det franske datatilsynet, CNIL, med en kort, men viktig veiledning. Temaet var: Hvordan kan en databehandler, som sanker inn data for sin oppdragsgiver, bruke de samme dataene til sine egne formål?

Dette er et område hvor det ofte er stor uenighet mellom kunde og leverandør. Ofte vil en databehandler ønske å analysere opplysningene og bruke dem til å forbedre sin programvare og sine tjenester.

Den gode nyheten er at tilsynet åpner for dette i stor grad, men de setter to betingelser:

  1.  Den behandlingsansvarlige må godkjenne behandlingen
  2.  Formålet med behandlingen må være i tråd med det opprinnelige formålet.

I tillegg settes det krav til at personene som er registrert blir informert om bruken. Alt i alt innebærer veiledningen at det må gjøres en rekke vurderinger i hver eneste konkrete situasjon, og det må dokumenteres. Her blir det ikke one-size-fits-all.

Anbefalingene fra tilsynet er ikke overraskende, og jeg tror nok andre tilsyn vil mene dette er riktig tenkt av CNIL. Det som er nytt, er at nå står det i et dokument. Dette er så praktisk viktig, at vi skal ta en runde på det i nettverket senere. Dette kommer åpenbart til å bli et enda viktigere tema i databehandleravtaler fremover.


COOKIES OG NYE BØTER

Google Analytics møter «Schrems-veggen»

Ikke overraskende møter Google Analytics (GA) «Schrems-veggen». Les Digis sak hvor Datatilsynet uttaler seg her. Legg merke til at Datatilsynet anbefaler alternativer, men det er ingen eksplisitte trusler om tilsyn. Det avdramatiserer saken noe. Se også denne artikkelen fra Digi som nevner alternativer til GA. Det finnes flere løsninger.

Bakgrunnen for saken er en av NOYBs (Schrems organisasjon) mange klager på virksomheter som bruker GA, denne gangen selve EU-parlamentet. Klagene fra NOYB har også angått virksomheter som bruker Facebook. Den 5. januar i år vedtok EDPS (som overser EU-institusjoners eget personvern) å pålegge EU-parlamentet å slutte å bruke Google Analytics, men de fikk ingen bot. Digi siterer Schrems og skriver «EDPS gjorde det klart at bare det å plassere en informasjonskapsel av en amerikansk leverandør på nettstedet er i strid med EUs personvernlovgivning. Ingen skikkelig beskyttelse mot amerikansk overvåking var på plass, til tross for at europeiske politikere er et kjent mål for overvåking, sier Schrems».

Det ligger 100 andre tilsvarende saker hos datatilsynene. Noen få norske selskaper er også innklaget, og jeg har jobbet med en av sakene. Det er rimelig å tro at konklusjonen på sakene vil bli tilsvarende. Det er fint om virksomhetene slipper bøter, men det er nok på tide å finne alternativer til Google Analytics.

Bøte-varsel til Google og Facebook

Google og Facebook er varslet store bøter for manglende cookie-compliance fra det franske datatilsynet. Kritikken er basert på at selskapene hadde en knapp for å akseptere cookies, men ingen enkel knapp for å avvise cookies.  Google varsles bot 150 000 000 euro og Facebook 60 000 000 euro. De får tre måneder på seg til å endre praksis, etter det tilkommer bøter på 100 000 euro per dag om praksis ikke endres.


TREDJELANDSOVERFØRING

Søkelyset rettes mot India

Historien om overføringsproblematikk til tredjeland fortsetter også på overordnet nivå. Det er interessant at Australia undertegnet en CLOUD-act avtale med USA i desember, dette kan du lese om her. Det har som kjent ingen land i EØS gjort.

EDPB har engasjert eksterne rådgivere til å vurdere rettstilstanden i Kina, Russland – og India. Vurderingen av sist nevnte land har kanskje de største praktiske konsekvenser for Vesten. Dette er altså ikke EDPBs egne vurderinger, men vurderinger fra eksterne forskere og eksperter. Kortversjonen er at i Kina har det offentlige få sperrer på å få tilgang til informasjon – på tross av at de nå har en personvernlovgivning. Det samme gjelder Russland, der de i tillegg tilføyer at landet har en «striking record» for å bryte menneskerettigheter.

Om India skriver de at selv om Høyesterett der nylig fattet avgjørelser som ivaretar personvernhensyn, er dette en ny praksis og landet har over lang tid brutt slike prinsipper. Den viktigste kommentaren er kanskje at selv om landet nå får en personvernlovgivning, ser lovgivningen ut til å ha en rekke vidtrekkende hjemler for at myndighetene kan kreve innsyn. Visstnok kan indiske myndigheter ikke holdes ansvarlig for brudd på regelverket. I oppsummeringen heter det: «the features of the proposed Personal Data Protection (PDP) Bill are discussed. The report concludes that, while the right to privacy was recently recognised by the Supreme Court of India, the government still benefits from wide exemptions to the data protection regime for governmental access to personal data. The concept of ‘national security’ is recurring, vague and broad, and it is often used as a ground to access any personal information stored in the Indian territory, including personal data of persons in the EU.» 

Dette er praktiske vurderinger det må være mulig å støtte seg på i egne tredjelandsvurderinger og i kontakt med leverandører. Se selve rapporten her.


EUROPA I SKYEN OG NYE SIKKERHETSHENDELSER

Blir det europeiske skyløsninger?

EU arbeider med nye initiativ for europeiske skyløsninger. Gaia-X, som vi så vidt har snakket om i nettverket, ser ut til å ha interne samarbeidsproblemer. EU-kommisjonen lanserte i desember et nytt initiativ for en «data and cloud alliance» med 39 deltakere, blant dem mange av de store selskapene. Mulig kommer det et nytt sett med retningslinjer for skyløsninger i løpet av 2022, der noe av målet er å redusere avhengighet av utenlandske teknologileverandører.

Stadig flere sikkerhetsbrudd

I forrige nyhetsbrev tok jeg opp at det er en økende trend med sikkerhetsbrudd. Det har kommet enda flere slike over julehelgen, for eksempel denne saken med Compu Group Medical.

Jeg må innrømme at jeg lurer på hvordan bedrifter skal forholde seg til dette. Bevilge ekstra penger til sikkerhet og pentesting? Det er nok en god idé, men den beslutningen må tas i styrerommet. Det er mulig at det er nettopp det Datatilsynet ønsker, ettersom de nå ofte skriver at ledelsen i selskapene som utsettes for slike hendelser har utvist grov uaktsomhet. Det kan åpne for styreansvar. Jeg kommer tilbake til tematikken i en større artikkel jeg arbeider med. Kanskje må Datatilsynet være tydelig på at ansvaret hører hjemme i styrene for at viljen til å bruke penger på datasikkerhet skal øke.

At vi må snakke mer om sikkerhet, er helt klart. Men jeg vil gjerne ha innspill på hvilke aspekter dere trenger input på. Vi snakker om det til uken.


KOMMENDE MØTER

27. januar 14.00 – 17.00  Nettverksmøte
24. feb 12.00 – 13.00 Digital drop-in
24. mars 14.00 – 16.00 Digitalt nettverksmøte
Se hele oversikten over kommende aktiviteter i nettverket her.

SISTE ORD

Du får dette nyhetsbrevet som medlem av tilt.works IT-juridiske nettverk eller fordi du har tegnet et eget abonnement. Du kan oppdatere din profil her.

Fant ikke noen innlegg.

Abonnement på coaching

Abonnement på coaching

Gi dine medarbeidere tilgang på personlig og profesjonell vekst og utvikling med et fleksibelt abonnement på en eller flere av våre profesjonelle coacher.

Les mer

Våre nyhetsbrev

Her kan du melde deg på et eller flere av våre ukebrev.

"*" obligatorisk felt

Navn*

PrivacyTech

Som medlem i PrivacyTech-nettverket blir du en del av en gruppe likesinnede profesjonelle som er opptatt av GDPR, personvern, compliance og tech. Med Eva Jarbekk – en av Norges fremste eksperter på området – som fasilitator.

Partners in tilt

Vårt nettverk av “kloke hoder” (team tilt) med en bærekraftsagenda.

Del dine tanker om denne artikkelen

0 Comments

På forsiden nå

Salgsbroen, alle pilarer er like viktige.

Kan du skape tillit? Da er du en selger!

|
Du skal si til deg selv: «Jeg er en selger», og du skal si det med stolthet.
Adferdslæring: Tanker skaper følelser - følelser skaper adferd - adferd skaper tanker

De ubevisste holdningene til eldre arbeidstakere

|
Det foreligger en «allmenn sannhet» om de unge «talentene»: De er fremoverlente, innovative og proaktive arbeidstakere.
Soloprenørene: Hvordan skaffe nye kunder?

Soloprenørene: Hvordan skaffe nye kunder?

|
Overraskende kundeinnsikt fra erfarne soloprenører.
Hvordan 84% av norske virksomheter skaffer nye kunder

Hvordan 84% av norske virksomheter skaffer nye kunder

|
Ukens Tirsdag morgen er skrevet spesielt til en stor gruppe mennesker jeg beundrer: soloprenørene. Dere andre: Les på eget ansvar.
Diagnose: Kan brukes til alt

Diagnose: Kan brukes til alt

|
Å kunne mer om det meste enn de fleste høres bra ut. Men i et ekspertdrevet arbeidsliv kan "multitalent" klinge mer som en diagnose.
Skal vi gni det inn, eller ikke?

Skal vi gni det inn, eller ikke?

|
De gangene jeg som barn kom over en liten rift på en tapetvegg eller i et klesplagg, var det utrolig fristende å pirke litt, og se om jeg kunne få løs en bit til, eller lage hullet litt større. Jeg hadde ikke noe ønske om å ødelegge, jeg ville bare se hva som skjedde.  
Født som leder?

Født som leder?

|
Blir man født som leder? Eller kan det læres? Jeg trodde ikke dette var et tema lenger. Jeg tok feil.
Bare 200 meter til: Små steg gjør store fremskritt

Bare 200 meter til: Små steg gjør store fremskritt

|
Hva er likheten mellom en polfarer, deg og dine ansatte?
Olivias verden

Olivias verden

|
KI er et fantastisk verktøy, og det blir mer fantastisk for hvert minutt. Fint for oss, stort sett. Men hvordan vil Olivia (8 måneder) sitt voksne liv se ut?

Pin It on Pinterest

Share This

Del dette

Delt glede er dobbelt glede. Del dette med ditt nettverk.