IT-jus nr. 1/22

mandag 24. januar 2022 @ 08:00

Det er mer enn nok å holde seg oppdatert om på vårt felt! I dette nyhetsbrevet har jeg samlet det jeg mener har vært aller viktigst den siste måneden. På toppen av den listen troner den nye veiledningen om databehandleres bruk av personopplysninger fra kunder som er behandlingsansvarlige. Jeg tror at mange har en praksis […]
Av Eva Jarbekk

Det er mer enn nok å holde seg oppdatert om på vårt felt! I dette nyhetsbrevet har jeg samlet det jeg mener har vært aller viktigst den siste måneden. På toppen av den listen troner den nye veiledningen om databehandleres bruk av personopplysninger fra kunder som er behandlingsansvarlige. Jeg tror at mange har en praksis som ikke er helt i tråd med det som forventes. Det er også noe man må ta stilling til i nye kontrakter og anskaffelser.

Vi ser også stadig økt fokus på tredjelandsoverføringer, hvor søkelyset nå rettes mot India.

God lesning! Jeg gleder meg til å treffe dere til uken – da blir det fullt fokus på AI!

Hilsen Eva


BRUK AV INNSAMLEDE DATA

Databehandleres egen bruk av den behandlingsansvarliges personopplysninger

Den 12. januar i år kom det franske datatilsynet, CNIL, med en kort, men viktig veiledning. Temaet var: Hvordan kan en databehandler, som sanker inn data for sin oppdragsgiver, bruke de samme dataene til sine egne formål?

Dette er et område hvor det ofte er stor uenighet mellom kunde og leverandør. Ofte vil en databehandler ønske å analysere opplysningene og bruke dem til å forbedre sin programvare og sine tjenester.

Den gode nyheten er at tilsynet åpner for dette i stor grad, men de setter to betingelser:

  1.  Den behandlingsansvarlige må godkjenne behandlingen
  2.  Formålet med behandlingen må være i tråd med det opprinnelige formålet.

I tillegg settes det krav til at personene som er registrert blir informert om bruken. Alt i alt innebærer veiledningen at det må gjøres en rekke vurderinger i hver eneste konkrete situasjon, og det må dokumenteres. Her blir det ikke one-size-fits-all.

Anbefalingene fra tilsynet er ikke overraskende, og jeg tror nok andre tilsyn vil mene dette er riktig tenkt av CNIL. Det som er nytt, er at nå står det i et dokument. Dette er så praktisk viktig, at vi skal ta en runde på det i nettverket senere. Dette kommer åpenbart til å bli et enda viktigere tema i databehandleravtaler fremover.


COOKIES OG NYE BØTER

Google Analytics møter «Schrems-veggen»

Ikke overraskende møter Google Analytics (GA) «Schrems-veggen». Les Digis sak hvor Datatilsynet uttaler seg her. Legg merke til at Datatilsynet anbefaler alternativer, men det er ingen eksplisitte trusler om tilsyn. Det avdramatiserer saken noe. Se også denne artikkelen fra Digi som nevner alternativer til GA. Det finnes flere løsninger.

Bakgrunnen for saken er en av NOYBs (Schrems organisasjon) mange klager på virksomheter som bruker GA, denne gangen selve EU-parlamentet. Klagene fra NOYB har også angått virksomheter som bruker Facebook. Den 5. januar i år vedtok EDPS (som overser EU-institusjoners eget personvern) å pålegge EU-parlamentet å slutte å bruke Google Analytics, men de fikk ingen bot. Digi siterer Schrems og skriver «EDPS gjorde det klart at bare det å plassere en informasjonskapsel av en amerikansk leverandør på nettstedet er i strid med EUs personvernlovgivning. Ingen skikkelig beskyttelse mot amerikansk overvåking var på plass, til tross for at europeiske politikere er et kjent mål for overvåking, sier Schrems».

Det ligger 100 andre tilsvarende saker hos datatilsynene. Noen få norske selskaper er også innklaget, og jeg har jobbet med en av sakene. Det er rimelig å tro at konklusjonen på sakene vil bli tilsvarende. Det er fint om virksomhetene slipper bøter, men det er nok på tide å finne alternativer til Google Analytics.

Bøte-varsel til Google og Facebook

Google og Facebook er varslet store bøter for manglende cookie-compliance fra det franske datatilsynet. Kritikken er basert på at selskapene hadde en knapp for å akseptere cookies, men ingen enkel knapp for å avvise cookies.  Google varsles bot 150 000 000 euro og Facebook 60 000 000 euro. De får tre måneder på seg til å endre praksis, etter det tilkommer bøter på 100 000 euro per dag om praksis ikke endres.


TREDJELANDSOVERFØRING

Søkelyset rettes mot India

Historien om overføringsproblematikk til tredjeland fortsetter også på overordnet nivå. Det er interessant at Australia undertegnet en CLOUD-act avtale med USA i desember, dette kan du lese om her. Det har som kjent ingen land i EØS gjort.

EDPB har engasjert eksterne rådgivere til å vurdere rettstilstanden i Kina, Russland – og India. Vurderingen av sist nevnte land har kanskje de største praktiske konsekvenser for Vesten. Dette er altså ikke EDPBs egne vurderinger, men vurderinger fra eksterne forskere og eksperter. Kortversjonen er at i Kina har det offentlige få sperrer på å få tilgang til informasjon – på tross av at de nå har en personvernlovgivning. Det samme gjelder Russland, der de i tillegg tilføyer at landet har en «striking record» for å bryte menneskerettigheter.

Om India skriver de at selv om Høyesterett der nylig fattet avgjørelser som ivaretar personvernhensyn, er dette en ny praksis og landet har over lang tid brutt slike prinsipper. Den viktigste kommentaren er kanskje at selv om landet nå får en personvernlovgivning, ser lovgivningen ut til å ha en rekke vidtrekkende hjemler for at myndighetene kan kreve innsyn. Visstnok kan indiske myndigheter ikke holdes ansvarlig for brudd på regelverket. I oppsummeringen heter det: «the features of the proposed Personal Data Protection (PDP) Bill are discussed. The report concludes that, while the right to privacy was recently recognised by the Supreme Court of India, the government still benefits from wide exemptions to the data protection regime for governmental access to personal data. The concept of ‘national security’ is recurring, vague and broad, and it is often used as a ground to access any personal information stored in the Indian territory, including personal data of persons in the EU.» 

Dette er praktiske vurderinger det må være mulig å støtte seg på i egne tredjelandsvurderinger og i kontakt med leverandører. Se selve rapporten her.


EUROPA I SKYEN OG NYE SIKKERHETSHENDELSER

Blir det europeiske skyløsninger?

EU arbeider med nye initiativ for europeiske skyløsninger. Gaia-X, som vi så vidt har snakket om i nettverket, ser ut til å ha interne samarbeidsproblemer. EU-kommisjonen lanserte i desember et nytt initiativ for en «data and cloud alliance» med 39 deltakere, blant dem mange av de store selskapene. Mulig kommer det et nytt sett med retningslinjer for skyløsninger i løpet av 2022, der noe av målet er å redusere avhengighet av utenlandske teknologileverandører.

Stadig flere sikkerhetsbrudd

I forrige nyhetsbrev tok jeg opp at det er en økende trend med sikkerhetsbrudd. Det har kommet enda flere slike over julehelgen, for eksempel denne saken med Compu Group Medical.

Jeg må innrømme at jeg lurer på hvordan bedrifter skal forholde seg til dette. Bevilge ekstra penger til sikkerhet og pentesting? Det er nok en god idé, men den beslutningen må tas i styrerommet. Det er mulig at det er nettopp det Datatilsynet ønsker, ettersom de nå ofte skriver at ledelsen i selskapene som utsettes for slike hendelser har utvist grov uaktsomhet. Det kan åpne for styreansvar. Jeg kommer tilbake til tematikken i en større artikkel jeg arbeider med. Kanskje må Datatilsynet være tydelig på at ansvaret hører hjemme i styrene for at viljen til å bruke penger på datasikkerhet skal øke.

At vi må snakke mer om sikkerhet, er helt klart. Men jeg vil gjerne ha innspill på hvilke aspekter dere trenger input på. Vi snakker om det til uken.


KOMMENDE MØTER

27. januar 14.00 – 17.00  Nettverksmøte
24. feb 12.00 – 13.00 Digital drop-in
24. mars 14.00 – 16.00 Digitalt nettverksmøte
Se hele oversikten over kommende aktiviteter i nettverket her.

SISTE ORD

Du får dette nyhetsbrevet som medlem av tilt.works IT-juridiske nettverk eller fordi du har tegnet et eget abonnement. Du kan oppdatere din profil her.

Våre ukebrev

Her kan du melde deg på et eller flere av våre ukebrev. Du kan melde deg av eller endre hva du mottar via lenker i epostene.

"*" obligatorisk felt

Navn*

Litt klokere

Ukentlige nettmøter hvor vi gjør hverandre litt klokere. Du må være logget inn som medlem for å melde deg på.

PrivacyTech

Som medlem i PrivacyTech-nettverket blir du en del av en gruppe likesinnede profesjonelle som er opptatt av GDPR, personvern, compliance og tech. Med Eva Jarbekk – en av Norges fremste eksperter på området – som fasilitator.

Partners in tilt

Vårt nettverk av «kloke hoder» (team tilt) med en bærekraftsagenda.

Del dine tanker om denne artikkelen

0 Comments

På forsiden nå

Erna Solberg på talerstolen, krisestrategi

Politisk ansvar: Refleksjoner over Høyres krisestrategi

|
Høyres krisestrategi har vært å plassere all skyld på Sindre Finnes. Dette reflekterer en dyp kynisme og kan ved første øyekast virke som en strategisk nødvendighet.
sosiale medier som debattarena

Slik kan vi styrke sosiale medier som debattarena

|
Den digitale tidsalderens overfladiskhet: Fra akademisk dybde til sosiale mediers overfladiskhet
Tre bærekraftige råd til unge ledere

Tre bærekraftige råd til unge ledere

|
2x5 megatrender og 3 råd til unge ledere som vil frem i fremtidens arbeidsliv. Og harde fakta krever myke tilpasninger.
kundeopplevelse

4 steg for å reparere en dårlig kundeopplevelse

|
Hvordan et fjell av pepper kan snu en kundeopplevelse.
frykten for det ukjente

Mangfold og frykten for det ukjente

|
Refleksjoner over interkulturell forståelse i et mangfoldig samfunn: Lærdom fra profesjonsdagen ved VID.
Hva trenger næringslivet av politikerne for å bli en bedre utgave av seg selv?

Hva trenger næringslivet av politikerne for å bli en bedre utgave av seg selv?

|
Fra et bærekraftvennlig næringslivs ståsted: Hvem bør vi gi stemmeseddelen til?
utradisjonelle valg: Jeg har valgt en annen, mindre farbar sti

Utradisjonelle valg: Fra toppleder til teologi-studier

|
I et samfunn der konformitet ofte er normen, har jeg valgt en annen sti. Min karrierevei og utdanningsvalg har vært preget av både uortodokse beslutninger og en konstant tørst etter kunnskap.
coaching kan gi deg verktøyene for å se trinnene du må ta, men kan ikke tvinge deg til å gå dem.

Det er ikke deg som coach det handler om!

|
Coachen tilbyr ei verktøykasse på reisen for den det gjelder, men velger den reisende å la verktøyene ligge ubrukt, er det helt ok.
- Det er tragisk å tro at uten oljen hadde Norge vært et fattig land

– Det er tragisk å tro at uten oljen hadde Norge vært et fattig land

|
– Vi har bygget opp et narrativ i Norge om at all rikdommen vår skyldes olje. At hadde vi ikke hatt oljen, ville vi vært lutfattige. Det er så tragisk at denne fortellingen har fått lov å sette seg.

Pin It on Pinterest

Share This

Del dette

Delt glede er dobbelt glede. Del dette med ditt nettverk.