IT-jus nr. 1/22

mandag 24. januar 2022 @ 08:00

Det er mer enn nok å holde seg oppdatert om på vårt felt! I dette nyhetsbrevet har jeg samlet det jeg mener har vært aller viktigst den siste måneden. På […]
Av Eva Jarbekk

Det er mer enn nok å holde seg oppdatert om på vårt felt! I dette nyhetsbrevet har jeg samlet det jeg mener har vært aller viktigst den siste måneden. På toppen av den listen troner den nye veiledningen om databehandleres bruk av personopplysninger fra kunder som er behandlingsansvarlige. Jeg tror at mange har en praksis som ikke er helt i tråd med det som forventes. Det er også noe man må ta stilling til i nye kontrakter og anskaffelser.

Vi ser også stadig økt fokus på tredjelandsoverføringer, hvor søkelyset nå rettes mot India.

God lesning! Jeg gleder meg til å treffe dere til uken – da blir det fullt fokus på AI!

Hilsen Eva


BRUK AV INNSAMLEDE DATA

Databehandleres egen bruk av den behandlingsansvarliges personopplysninger

Den 12. januar i år kom det franske datatilsynet, CNIL, med en kort, men viktig veiledning. Temaet var: Hvordan kan en databehandler, som sanker inn data for sin oppdragsgiver, bruke de samme dataene til sine egne formål?

Dette er et område hvor det ofte er stor uenighet mellom kunde og leverandør. Ofte vil en databehandler ønske å analysere opplysningene og bruke dem til å forbedre sin programvare og sine tjenester.

Den gode nyheten er at tilsynet åpner for dette i stor grad, men de setter to betingelser:

  1.  Den behandlingsansvarlige må godkjenne behandlingen
  2.  Formålet med behandlingen må være i tråd med det opprinnelige formålet.

I tillegg settes det krav til at personene som er registrert blir informert om bruken. Alt i alt innebærer veiledningen at det må gjøres en rekke vurderinger i hver eneste konkrete situasjon, og det må dokumenteres. Her blir det ikke one-size-fits-all.

Anbefalingene fra tilsynet er ikke overraskende, og jeg tror nok andre tilsyn vil mene dette er riktig tenkt av CNIL. Det som er nytt, er at nå står det i et dokument. Dette er så praktisk viktig, at vi skal ta en runde på det i nettverket senere. Dette kommer åpenbart til å bli et enda viktigere tema i databehandleravtaler fremover.


COOKIES OG NYE BØTER

Google Analytics møter «Schrems-veggen»

Ikke overraskende møter Google Analytics (GA) «Schrems-veggen». Les Digis sak hvor Datatilsynet uttaler seg her. Legg merke til at Datatilsynet anbefaler alternativer, men det er ingen eksplisitte trusler om tilsyn. Det avdramatiserer saken noe. Se også denne artikkelen fra Digi som nevner alternativer til GA. Det finnes flere løsninger.

Bakgrunnen for saken er en av NOYBs (Schrems organisasjon) mange klager på virksomheter som bruker GA, denne gangen selve EU-parlamentet. Klagene fra NOYB har også angått virksomheter som bruker Facebook. Den 5. januar i år vedtok EDPS (som overser EU-institusjoners eget personvern) å pålegge EU-parlamentet å slutte å bruke Google Analytics, men de fikk ingen bot. Digi siterer Schrems og skriver «EDPS gjorde det klart at bare det å plassere en informasjonskapsel av en amerikansk leverandør på nettstedet er i strid med EUs personvernlovgivning. Ingen skikkelig beskyttelse mot amerikansk overvåking var på plass, til tross for at europeiske politikere er et kjent mål for overvåking, sier Schrems».

Det ligger 100 andre tilsvarende saker hos datatilsynene. Noen få norske selskaper er også innklaget, og jeg har jobbet med en av sakene. Det er rimelig å tro at konklusjonen på sakene vil bli tilsvarende. Det er fint om virksomhetene slipper bøter, men det er nok på tide å finne alternativer til Google Analytics.

Bøte-varsel til Google og Facebook

Google og Facebook er varslet store bøter for manglende cookie-compliance fra det franske datatilsynet. Kritikken er basert på at selskapene hadde en knapp for å akseptere cookies, men ingen enkel knapp for å avvise cookies.  Google varsles bot 150 000 000 euro og Facebook 60 000 000 euro. De får tre måneder på seg til å endre praksis, etter det tilkommer bøter på 100 000 euro per dag om praksis ikke endres.


TREDJELANDSOVERFØRING

Søkelyset rettes mot India

Historien om overføringsproblematikk til tredjeland fortsetter også på overordnet nivå. Det er interessant at Australia undertegnet en CLOUD-act avtale med USA i desember, dette kan du lese om her. Det har som kjent ingen land i EØS gjort.

EDPB har engasjert eksterne rådgivere til å vurdere rettstilstanden i Kina, Russland – og India. Vurderingen av sist nevnte land har kanskje de største praktiske konsekvenser for Vesten. Dette er altså ikke EDPBs egne vurderinger, men vurderinger fra eksterne forskere og eksperter. Kortversjonen er at i Kina har det offentlige få sperrer på å få tilgang til informasjon – på tross av at de nå har en personvernlovgivning. Det samme gjelder Russland, der de i tillegg tilføyer at landet har en «striking record» for å bryte menneskerettigheter.

Om India skriver de at selv om Høyesterett der nylig fattet avgjørelser som ivaretar personvernhensyn, er dette en ny praksis og landet har over lang tid brutt slike prinsipper. Den viktigste kommentaren er kanskje at selv om landet nå får en personvernlovgivning, ser lovgivningen ut til å ha en rekke vidtrekkende hjemler for at myndighetene kan kreve innsyn. Visstnok kan indiske myndigheter ikke holdes ansvarlig for brudd på regelverket. I oppsummeringen heter det: «the features of the proposed Personal Data Protection (PDP) Bill are discussed. The report concludes that, while the right to privacy was recently recognised by the Supreme Court of India, the government still benefits from wide exemptions to the data protection regime for governmental access to personal data. The concept of ‘national security’ is recurring, vague and broad, and it is often used as a ground to access any personal information stored in the Indian territory, including personal data of persons in the EU.» 

Dette er praktiske vurderinger det må være mulig å støtte seg på i egne tredjelandsvurderinger og i kontakt med leverandører. Se selve rapporten her.


EUROPA I SKYEN OG NYE SIKKERHETSHENDELSER

Blir det europeiske skyløsninger?

EU arbeider med nye initiativ for europeiske skyløsninger. Gaia-X, som vi så vidt har snakket om i nettverket, ser ut til å ha interne samarbeidsproblemer. EU-kommisjonen lanserte i desember et nytt initiativ for en «data and cloud alliance» med 39 deltakere, blant dem mange av de store selskapene. Mulig kommer det et nytt sett med retningslinjer for skyløsninger i løpet av 2022, der noe av målet er å redusere avhengighet av utenlandske teknologileverandører.

Stadig flere sikkerhetsbrudd

I forrige nyhetsbrev tok jeg opp at det er en økende trend med sikkerhetsbrudd. Det har kommet enda flere slike over julehelgen, for eksempel denne saken med Compu Group Medical.

Jeg må innrømme at jeg lurer på hvordan bedrifter skal forholde seg til dette. Bevilge ekstra penger til sikkerhet og pentesting? Det er nok en god idé, men den beslutningen må tas i styrerommet. Det er mulig at det er nettopp det Datatilsynet ønsker, ettersom de nå ofte skriver at ledelsen i selskapene som utsettes for slike hendelser har utvist grov uaktsomhet. Det kan åpne for styreansvar. Jeg kommer tilbake til tematikken i en større artikkel jeg arbeider med. Kanskje må Datatilsynet være tydelig på at ansvaret hører hjemme i styrene for at viljen til å bruke penger på datasikkerhet skal øke.

At vi må snakke mer om sikkerhet, er helt klart. Men jeg vil gjerne ha innspill på hvilke aspekter dere trenger input på. Vi snakker om det til uken.


KOMMENDE MØTER

27. januar 14.00 – 17.00  Nettverksmøte
24. feb 12.00 – 13.00 Digital drop-in
24. mars 14.00 – 16.00 Digitalt nettverksmøte
Se hele oversikten over kommende aktiviteter i nettverket her.

SISTE ORD

Du får dette nyhetsbrevet som medlem av tilt.works IT-juridiske nettverk eller fordi du har tegnet et eget abonnement. Du kan oppdatere din profil her.

Våre ukebrev

Her kan du melde deg på et eller flere av våre ukebrev. Du kan melde deg av eller endre hva du mottar via lenker i epostene.

"*" obligatorisk felt

Navn*

Litt klokere

Ukentlige nettmøter hvor vi gjør hverandre litt klokere. Du må være logget inn som medlem for å melde deg på.

PrivacyTech

Som medlem i PrivacyTech-nettverket blir du en del av en gruppe likesinnede profesjonelle som er opptatt av GDPR, personvern, compliance og tech. Med Eva Jarbekk – en av Norges fremste eksperter på området – som fasilitator.

Partners in tilt

Vårt nettverk av «kloke hoder» (team tilt) med en bærekraftsagenda.

Del dine tanker om denne artikkelen

0 Comments

På forsiden nå

vektorgrafikk eldre i aktivitet

Farvel til alderismen. Eldre som livsbejaende, verdiskapende borgere

|
Den offentlige samtalen har et sterkt fokus på eldre som et problem og en kostnad. Skal vi snu samtalen til å handle om eldre som en livsbejaende ressurs, må det en holdningsendring til – også hos eldre.
Du skal få din lønn i vaffeljernet

Du skal få din lønn i vaffeljernet

|
Den ultimate lederutfordringen: Det eneste du kan tilby av motivasjon er vafler. Tusenvis står i det hver dag.
Kvinne holde en presentasjon foran et publikum.

Kunsten å skape engasjement i møter og på kurs

|
VIVA er en huskeregel for den som vil skape engasjerende kurs som huskes.
Utsikten fra elfenbenstårnet

Utsikten fra elfenbenstårnet

|
Å se det store bildet er bra, men hvis det er det eneste vi ser, mister vi kontakten med virkeligheten.
Nøkkelen til vekst: Lærdommer fra åkeren til kontoret

Nøkkelen til vekst: Lærdommer fra åkeren til kontoret

|
Visdommen jeg arvet fra min kjære bestefar, en visdom som strekker seg langt utover åkrene og inn i livets mange aspekter, er en uvurderlig guide i forståelsen av likhetene mellom lederskap og bondekunnskap.
Norge under lupen, Datatilsynets tilsyn med kommuner ang personvern

Læringspunkter fra Datatilsynets tilsyn med kommuner

|
Datatilsynets rapport etter tilsyn med flere kommuner i Norge, gir oss nyttig læring.
Vektorgrafikk med to personer foran en tavle som viser elementer for god GDPR. Illustrerer viktigheten av å bygge en god personvernkultur.

12 bud for å bygge en robust personvernkultur

|
GDPR og IT-sikkerhet er ikke et engangsoppsett. Det krever konstant fokus og kontinuerlig oppdatering. Her er 12 gode råd for å bygge en varig personvernkultur.
Toppliste med pallplassene 1, 2 og 3.

Disse artiklene ble mest lest i 2023

|
Er artikkel om bærekraftig IT og grønn koding ble den mest leste artikkelen i 2023.
Lederskap bor i oss alle

Lederskap bor i oss alle

|
Jeg ønsker at vi reflekterer mer over hva lederskap egentlig er og hvilket mangfold av lederskap vi ønsker.

Pin It on Pinterest

Share This

Del dette

Delt glede er dobbelt glede. Del dette med ditt nettverk.