IT-jus nr. 3/22

mandag 9. mai 2022 @ 08:00

I nyhetsbrevet denne gang tar jeg opp flere avgjørelser fra det danske datatilsynet. Tilsynet er inne i en svært aktiv periode, og det er god grunn til å tro at flere av sakene vil danne presedens for det norske tilsynet. Det har også vært interessante avgjørelser for banksektoren, bruk av bilder for gjenkjenning skaper stadig hodebry med ulike avgjørelser […]
Av Eva Jarbekk

I nyhetsbrevet denne gang tar jeg opp flere avgjørelser fra det danske datatilsynet. Tilsynet er inne i en svært aktiv periode, og det er god grunn til å tro at flere av sakene vil danne presedens for det norske tilsynet.

Det har også vært interessante avgjørelser for banksektoren, bruk av bilder for gjenkjenning skaper stadig hodebry med ulike avgjørelser og til sist har jeg en oppfordring til alle som jobber med UX.

I neste møte i nettverket skal vi ta opp et teknologisk oppsett, confidential computing, som kan bidra til å løse noen av utfordringene med gjensge cloudavtaler og tredjelandsoverføringer.

Hilsen Eva


TREDJELANDSOVERFØRINGER OG SLETTING

Evig aktuelle tema: Tredjeland og sletting av data

Etter at det danske datatilsynet hadde publisert sin veiledning om bruk av skytjenester, tok selskapet KOMBIT kontakt med dem med et konkret spørsmål knyttet til veiledningens omtale av utlevering av opplysninger til myndigheter i tredjeland. KOMBIT har en underleverandør som i sin tur har en avtale med AWS. KOMBIT leverer datasystemer til de danske kommuner og systemene behandler personopplysninger. I utgangspunktet behandles personopplysningene kun innenfor EU/EØS, men det fremgår samtidig av avtalen mellom deres underleverandør og AWS at dette kan fravikes hvis det strider mot gjeldende lov eller AWS blir pålagt å utlevere opplysningene til offentlig myndighet.

Det danske datatilsynet mener at denne underavtalen da medfører at slik eventuell overføring er tilsiktet. Dette betyr at en formulering som er gjengs i de fleste cloudavtaler, nemlig at leverandøren vil gi tilgang til opplysninger dersom slike krav fremsettes lovlig i et tredjeland, er problematiske.

Konsekvensene er store. Det gjenstår å se hvordan dette vil følges opp. Antakelig vil det være vanskelig for leverandørene å endre denne type klausuler. I neste møte i nettverket skal vi ta opp et teknologisk oppsett som kanskje kan bidra til en løsning på noe av dette – confidential computing.

For dårlige sletterutiner

I en annen sak har det danske datatilsynet varslet en bot på 10 millioner danske kroner til Danske Bank fordi banken ikke har hatt tilstrekkelige sletterutiner på plass. Banken hadde selv tatt kontakt med tilsynet og rapportert at de hadde problemer med å slette personopplysninger som de ikke lenger hadde noen rettmessig grunn til å beholde. Det ble etter hvert avdekket at det dreide seg om nærmere 400 ulike datasystemer hvor sletting ikke lot seg gjennomføre. Til sammen behandler disse systemene personopplysninger om flere millioner personer.

I forbindelse med varselet om boten, uttalte tilsynet følgende:

 «Ét af grundprincipperne i GDPR er, at man kun må behandle oplysninger, man har brug for – og når man ikke har brug for dem længere, skal de slettes. Når det handler om en organisation af Danske Banks størrelse, der har mange og komplekse systemer, er det særlig afgørende, at man samtidig kan dokumentere, at sletningen rent faktisk sker.»

Dette er ikke første gang det danske tilsynet er strenge på sletting av data. Vi har så langt ikke hatt tilsvarende saker i Norge, men det kommer nok: Regler for sletting av opplysninger er uten tvil grunnleggende i GDPR.

Personopplysninger i DevOps-miljøer

Det danske datatilsynet har også rettet kritikk mot Sundhedsdatastyrelsen etter at de rapporterte at personopplysninger hadde blitt liggende i utviklingsmiljøet Microsoft Azure DevOps i mer enn et år etter at pseudonymiserte data hadde blitt brukt for utviklingsformål. Sundhedsdatastyrelsen uttalte selv at det ikke var mulig å etablere tekniske sikkerhetsforanstaltninger for å sikre at lignende feil ikke kan skje igjen.

Det danske datatilsynet slo seg ikke til ro med denne forklaringen, men slo kontant fast at Sundhedsdatastyrelsen ikke hadde fulgt reglene om behandlingssikkerhet fordi de ikke hadde etablert passende kontrollmekanismer, automatiske eller manuelle. Det er i den forbindelse ikke tilstrekkelig å ha retningslinjer og/eller prosedyrer for slike kontroller hvis disse ikke blir fulgt opp i praksis.

Avgjørelsen viser med all tydelighet viktigheten av at dokumenterbare rutiner må på plass og at etablerte rutiner faktisk følges opp.


BANKVESENET OG INFORMASJONSPLIKT

Banker i trøbbel: Kredittverdigheten må rapporteres korrekt og brudd på informasjonsplikten

Det hender ting i bankverden også:

Bank of Irland risikerer en rekke sivilsøksmål etter at det irske datatilsynet (Data Protection Commission – DPC) avdekket at banken hadde sendt feilaktige, i mange tilfeller negative, kredittopplysninger om 47 000 kunder til det sentrale kredittregisteret (Central Credit Registry).

Til tross for at banken ble oppmerksom på feilene allerede i juni 2019, ventet de nærmere 6 måneder før de informerte sine kunder om feilen, noe DPC fant ekstra graverende.

Banken ble varslet om en bot på €463,000, men det er kanskje det minste av deres bekymringer. GDPR åpner for at enkeltindivider kan gå til erstatningssak for ikke-økonomisk skade, og det er fullt mulig at slike saker vil bli reist som følge av disse feilene – særlig av kunder som har blitt registrert med en feilaktig, redusert kredittverdighet.

Bot til Klarna

Klarna har mottatt varsel om bot for brudd på informasjonsplikten. Det svenske datatilsynet varsler en bot på 7,5 millioner SEK for at de ikke i tilstrekkelig grad har informert sine kunder om formålet med innsamlingen av personopplysninger og på hvilket rettslig grunnlag informasjonen ble innsamlet. De hadde heller ikke i tilstrekkelig grad informert sine kunder om hvem som var mottaker av hvilke personopplysninger når Klarna delte disse med andre svenske og utenlandske kredittopplysningsforetak, ei heller hvorvidt opplysningene ble sendt utenfor EU/EØS-området.

All slik informasjon bør man være krystallklar på. Her er det fremdeles også en del norske virksomheter som har en del igjen å ordne.


TRANSPARENCY

Bot på 3,7 mill. EUR til skattevesen

Datatilsynet i Nederland har ilagt skattevesenet der en klekkelig bot fordi de hadde opprettet en liste for å søke å identifisere bedrageri (Fraud Signaling Facilty – FSV). Listen inneholdt over 270.000 registreringer og var i bruk i mer enn seks år. Blant indikatorer som ble registrert som bedrageririsiko hos individer var nasjonalitet og fremtoning (appearance). En rekke personer ble «merket» som bedragere, selv om dette ikke var korrekt.

I tillegg til at listen i seg selv var å anse som ulovlig, påpekte datatilsynet at skattevesenet med denne listen hadde brutt prinsippet om åpenhet (transparency), prinsippet om formålsbegrensning, korrekthet og lagring av personopplysninger.


BILDER OG GJENKJENNING

Sprikende avgjørelser om bilder til identifikasjonsformål

Tre avgjørelser som gjelder bruk av bilder bør nevnes. Den første kommer fra Østerrike, hvor en skiheis-operatør ble gitt medhold i at de hadde rettmessig grunn til å ta bilde av publikum hver gang de passerte kontrollposten. Det østerrikske datatilsynet (DSB) mente dette var legitim bruk av personopplysninger, med støtte i forordningens artikkel 6(1)f.

Derimot konkluderte det danske datatilsynet annerledes i en lignende sak. Treningsstudiokjeden FysioDanmark ønsket å benytte ansiktsgjenkjenning som adgangskontroll til sine treningsstudioer. Bruken skulle være frivillig og basert på samtykke. De innsamlete dataene skulle også bli brukt for statistikk- og analyseformål.

Datatilsynet ga FysioDanmark medhold i at de kunne benytte seg av ansiktsgjenkjenning såfremt det var frivillig og basert på samtykke, men at det måtte være snakk om differensierte samtykker; kundene måtte også kunne velge å ikke gi samtykke til at deres persondata ble benyttet for andre formål, så som statistikk og analyse.

Den tredje nylige avgjørelsen om bruk av bilder for identifikasjon og gjenkjenning er kanskje en mer selvsagt en: Det italienske datatilsynet har varslet Clearview AI om en bot på €20 millioner for å ha ha samlet inn biometriske data om ansikter basert på fotografier den har funnet på internett. Datatilsynet krever også alle bilder av italienske borgere slettet fra deres databaser.

Tilsvarende avgjørelser har blitt fattet av de franske og britiske datatilsyn, uten at bøter har blitt utstedt.

Clearview er et amerikansk firma, uten representasjon eller datterselskaper i Europa. Det er derfor lite sannsynlig at det italienske datatilsynet vil lykkes med å inndrive boten. Men kundegrunnlaget i Europa vil forsvinne, fordi myndighetene vil kunne rettsforfølge enhver europeisk virksomhet som benytter seg av teknologien. Dette har allerede skjedd: Svensk politi har blitt bøtelagt for å bruke teknologien.


HELSEOPPLYSNINGER

Vær varsom med deling av ansattes helseopplysninger

Det danske datatilsynet (de er veldig aktive om dagen, og deres avgjørelser kan lett sette presedens for lignende saker i Norge) har irettesatt en kommune for å ha delt en ansatts helseopplysninger med hennes kolleger, i forbindelse med en fellesutsendelse av epost om midlertidig endring i arbeidsoppgaver. Kommunen viste til at det hele var en misforståelse og et hendelig uhell, men det faktum at det her var snakk om deling av særlig sensitive opplysninger var såpass graverende at en reaksjon fra datatilsynet var nødvendig.

Eposter med potensielt sensitivt innhold bør man være spesielt forsiktige med å spre bredt.


DARK PATTERNS

Nye retningslinjer skal forhindre «dark patterns»

Det europeiske personvernrådet (EDPB) har vedtatt retningslinjer om manipulativt design, såkalte «dark patterns», i sosiale medier. Retningslinjene gir praktiske råd og anbefalinger til utviklere og brukere av sosiale medier.

Tilbydere av sosiale medier og lignende tjenester er ansvarlige for å sikre samsvar med pliktene i personvernforordningen. Retningslinjene gir konkrete eksempler på de ulike typene «dark patterns» som finnes og inneholder spesifikke anbefalinger overfor utviklere av brukergrensesnitt om hvordan man best legger til rette for effektiv implementering av pliktene i forordningen i sine tjenester. Mange av eksemplene er også grafisk illustrert. I et eget vedlegg har de laget en egen sjekkliste om ulike former for «dark patterns».

Veiledningen bør være obligatorisk lesning for alle som arbeider med UX. Det er all grunn til å tro at datatilsynene om et år eller to vil følge opp innholdet i veiledningen med tilsyn.


KOMMENDE MØTER

12. mai 14.00 – 17.00
 Nettverksmøte
16. juni 14.00 – 17.00
 Nettverksmøte
25. aug 14.00 – 16.00
 Nettverksmøte
Se hele oversikten over kommende aktiviteter i nettverket her.

Siste ord

Du får dette nyhetsbrevet som medlem av tilt.works PrivacyTech-nettverk eller fordi du har tegnet et eget abonnement. Du kan oppdatere din profil her.

Våre ukebrev

Her kan du melde deg på et eller flere av våre ukebrev. Du kan melde deg av eller endre hva du mottar via lenker i epostene.

"*" obligatorisk felt

Navn*

Litt klokere

Ukentlige nettmøter hvor vi gjør hverandre litt klokere. Du må være logget inn som medlem for å melde deg på.

PrivacyTech

Som medlem i PrivacyTech-nettverket blir du en del av en gruppe likesinnede profesjonelle som er opptatt av GDPR, personvern, compliance og tech. Med Eva Jarbekk – en av Norges fremste eksperter på området – som fasilitator.

Partners in tilt

Vårt nettverk av «kloke hoder» (team tilt) med en bærekraftsagenda.

Del dine tanker om denne artikkelen

0 Comments

På forsiden nå

Erna Solberg på talerstolen, krisestrategi

Politisk ansvar: Refleksjoner over Høyres krisestrategi

|
Høyres krisestrategi har vært å plassere all skyld på Sindre Finnes. Dette reflekterer en dyp kynisme og kan ved første øyekast virke som en strategisk nødvendighet.
sosiale medier som debattarena

Slik kan vi styrke sosiale medier som debattarena

|
Den digitale tidsalderens overfladiskhet: Fra akademisk dybde til sosiale mediers overfladiskhet
Tre bærekraftige råd til unge ledere

Tre bærekraftige råd til unge ledere

|
2x5 megatrender og 3 råd til unge ledere som vil frem i fremtidens arbeidsliv. Og harde fakta krever myke tilpasninger.
kundeopplevelse

4 steg for å reparere en dårlig kundeopplevelse

|
Hvordan et fjell av pepper kan snu en kundeopplevelse.
frykten for det ukjente

Mangfold og frykten for det ukjente

|
Refleksjoner over interkulturell forståelse i et mangfoldig samfunn: Lærdom fra profesjonsdagen ved VID.
Hva trenger næringslivet av politikerne for å bli en bedre utgave av seg selv?

Hva trenger næringslivet av politikerne for å bli en bedre utgave av seg selv?

|
Fra et bærekraftvennlig næringslivs ståsted: Hvem bør vi gi stemmeseddelen til?
utradisjonelle valg: Jeg har valgt en annen, mindre farbar sti

Utradisjonelle valg: Fra toppleder til teologi-studier

|
I et samfunn der konformitet ofte er normen, har jeg valgt en annen sti. Min karrierevei og utdanningsvalg har vært preget av både uortodokse beslutninger og en konstant tørst etter kunnskap.
coaching kan gi deg verktøyene for å se trinnene du må ta, men kan ikke tvinge deg til å gå dem.

Det er ikke deg som coach det handler om!

|
Coachen tilbyr ei verktøykasse på reisen for den det gjelder, men velger den reisende å la verktøyene ligge ubrukt, er det helt ok.
- Det er tragisk å tro at uten oljen hadde Norge vært et fattig land

– Det er tragisk å tro at uten oljen hadde Norge vært et fattig land

|
– Vi har bygget opp et narrativ i Norge om at all rikdommen vår skyldes olje. At hadde vi ikke hatt oljen, ville vi vært lutfattige. Det er så tragisk at denne fortellingen har fått lov å sette seg.

Pin It on Pinterest

Share This

Del dette

Delt glede er dobbelt glede. Del dette med ditt nettverk.