IT-jus nr. 3/22

mandag 9. mai 2022 @ 08:00

I nyhetsbrevet denne gang tar jeg opp flere avgjørelser fra det danske datatilsynet. Tilsynet er inne i en svært aktiv periode, og det er god grunn til å tro at flere […]
Av Eva Jarbekk

I nyhetsbrevet denne gang tar jeg opp flere avgjørelser fra det danske datatilsynet. Tilsynet er inne i en svært aktiv periode, og det er god grunn til å tro at flere av sakene vil danne presedens for det norske tilsynet.

Det har også vært interessante avgjørelser for banksektoren, bruk av bilder for gjenkjenning skaper stadig hodebry med ulike avgjørelser og til sist har jeg en oppfordring til alle som jobber med UX.

I neste møte i nettverket skal vi ta opp et teknologisk oppsett, confidential computing, som kan bidra til å løse noen av utfordringene med gjensge cloudavtaler og tredjelandsoverføringer.

Hilsen Eva


TREDJELANDSOVERFØRINGER OG SLETTING

Evig aktuelle tema: Tredjeland og sletting av data

Etter at det danske datatilsynet hadde publisert sin veiledning om bruk av skytjenester, tok selskapet KOMBIT kontakt med dem med et konkret spørsmål knyttet til veiledningens omtale av utlevering av opplysninger til myndigheter i tredjeland. KOMBIT har en underleverandør som i sin tur har en avtale med AWS. KOMBIT leverer datasystemer til de danske kommuner og systemene behandler personopplysninger. I utgangspunktet behandles personopplysningene kun innenfor EU/EØS, men det fremgår samtidig av avtalen mellom deres underleverandør og AWS at dette kan fravikes hvis det strider mot gjeldende lov eller AWS blir pålagt å utlevere opplysningene til offentlig myndighet.

Det danske datatilsynet mener at denne underavtalen da medfører at slik eventuell overføring er tilsiktet. Dette betyr at en formulering som er gjengs i de fleste cloudavtaler, nemlig at leverandøren vil gi tilgang til opplysninger dersom slike krav fremsettes lovlig i et tredjeland, er problematiske.

Konsekvensene er store. Det gjenstår å se hvordan dette vil følges opp. Antakelig vil det være vanskelig for leverandørene å endre denne type klausuler. I neste møte i nettverket skal vi ta opp et teknologisk oppsett som kanskje kan bidra til en løsning på noe av dette – confidential computing.

For dårlige sletterutiner

I en annen sak har det danske datatilsynet varslet en bot på 10 millioner danske kroner til Danske Bank fordi banken ikke har hatt tilstrekkelige sletterutiner på plass. Banken hadde selv tatt kontakt med tilsynet og rapportert at de hadde problemer med å slette personopplysninger som de ikke lenger hadde noen rettmessig grunn til å beholde. Det ble etter hvert avdekket at det dreide seg om nærmere 400 ulike datasystemer hvor sletting ikke lot seg gjennomføre. Til sammen behandler disse systemene personopplysninger om flere millioner personer.

I forbindelse med varselet om boten, uttalte tilsynet følgende:

 «Ét af grundprincipperne i GDPR er, at man kun må behandle oplysninger, man har brug for – og når man ikke har brug for dem længere, skal de slettes. Når det handler om en organisation af Danske Banks størrelse, der har mange og komplekse systemer, er det særlig afgørende, at man samtidig kan dokumentere, at sletningen rent faktisk sker.»

Dette er ikke første gang det danske tilsynet er strenge på sletting av data. Vi har så langt ikke hatt tilsvarende saker i Norge, men det kommer nok: Regler for sletting av opplysninger er uten tvil grunnleggende i GDPR.

Personopplysninger i DevOps-miljøer

Det danske datatilsynet har også rettet kritikk mot Sundhedsdatastyrelsen etter at de rapporterte at personopplysninger hadde blitt liggende i utviklingsmiljøet Microsoft Azure DevOps i mer enn et år etter at pseudonymiserte data hadde blitt brukt for utviklingsformål. Sundhedsdatastyrelsen uttalte selv at det ikke var mulig å etablere tekniske sikkerhetsforanstaltninger for å sikre at lignende feil ikke kan skje igjen.

Det danske datatilsynet slo seg ikke til ro med denne forklaringen, men slo kontant fast at Sundhedsdatastyrelsen ikke hadde fulgt reglene om behandlingssikkerhet fordi de ikke hadde etablert passende kontrollmekanismer, automatiske eller manuelle. Det er i den forbindelse ikke tilstrekkelig å ha retningslinjer og/eller prosedyrer for slike kontroller hvis disse ikke blir fulgt opp i praksis.

Avgjørelsen viser med all tydelighet viktigheten av at dokumenterbare rutiner må på plass og at etablerte rutiner faktisk følges opp.


BANKVESENET OG INFORMASJONSPLIKT

Banker i trøbbel: Kredittverdigheten må rapporteres korrekt og brudd på informasjonsplikten

Det hender ting i bankverden også:

Bank of Irland risikerer en rekke sivilsøksmål etter at det irske datatilsynet (Data Protection Commission – DPC) avdekket at banken hadde sendt feilaktige, i mange tilfeller negative, kredittopplysninger om 47 000 kunder til det sentrale kredittregisteret (Central Credit Registry).

Til tross for at banken ble oppmerksom på feilene allerede i juni 2019, ventet de nærmere 6 måneder før de informerte sine kunder om feilen, noe DPC fant ekstra graverende.

Banken ble varslet om en bot på €463,000, men det er kanskje det minste av deres bekymringer. GDPR åpner for at enkeltindivider kan gå til erstatningssak for ikke-økonomisk skade, og det er fullt mulig at slike saker vil bli reist som følge av disse feilene – særlig av kunder som har blitt registrert med en feilaktig, redusert kredittverdighet.

Bot til Klarna

Klarna har mottatt varsel om bot for brudd på informasjonsplikten. Det svenske datatilsynet varsler en bot på 7,5 millioner SEK for at de ikke i tilstrekkelig grad har informert sine kunder om formålet med innsamlingen av personopplysninger og på hvilket rettslig grunnlag informasjonen ble innsamlet. De hadde heller ikke i tilstrekkelig grad informert sine kunder om hvem som var mottaker av hvilke personopplysninger når Klarna delte disse med andre svenske og utenlandske kredittopplysningsforetak, ei heller hvorvidt opplysningene ble sendt utenfor EU/EØS-området.

All slik informasjon bør man være krystallklar på. Her er det fremdeles også en del norske virksomheter som har en del igjen å ordne.


TRANSPARENCY

Bot på 3,7 mill. EUR til skattevesen

Datatilsynet i Nederland har ilagt skattevesenet der en klekkelig bot fordi de hadde opprettet en liste for å søke å identifisere bedrageri (Fraud Signaling Facilty – FSV). Listen inneholdt over 270.000 registreringer og var i bruk i mer enn seks år. Blant indikatorer som ble registrert som bedrageririsiko hos individer var nasjonalitet og fremtoning (appearance). En rekke personer ble «merket» som bedragere, selv om dette ikke var korrekt.

I tillegg til at listen i seg selv var å anse som ulovlig, påpekte datatilsynet at skattevesenet med denne listen hadde brutt prinsippet om åpenhet (transparency), prinsippet om formålsbegrensning, korrekthet og lagring av personopplysninger.


BILDER OG GJENKJENNING

Sprikende avgjørelser om bilder til identifikasjonsformål

Tre avgjørelser som gjelder bruk av bilder bør nevnes. Den første kommer fra Østerrike, hvor en skiheis-operatør ble gitt medhold i at de hadde rettmessig grunn til å ta bilde av publikum hver gang de passerte kontrollposten. Det østerrikske datatilsynet (DSB) mente dette var legitim bruk av personopplysninger, med støtte i forordningens artikkel 6(1)f.

Derimot konkluderte det danske datatilsynet annerledes i en lignende sak. Treningsstudiokjeden FysioDanmark ønsket å benytte ansiktsgjenkjenning som adgangskontroll til sine treningsstudioer. Bruken skulle være frivillig og basert på samtykke. De innsamlete dataene skulle også bli brukt for statistikk- og analyseformål.

Datatilsynet ga FysioDanmark medhold i at de kunne benytte seg av ansiktsgjenkjenning såfremt det var frivillig og basert på samtykke, men at det måtte være snakk om differensierte samtykker; kundene måtte også kunne velge å ikke gi samtykke til at deres persondata ble benyttet for andre formål, så som statistikk og analyse.

Den tredje nylige avgjørelsen om bruk av bilder for identifikasjon og gjenkjenning er kanskje en mer selvsagt en: Det italienske datatilsynet har varslet Clearview AI om en bot på €20 millioner for å ha ha samlet inn biometriske data om ansikter basert på fotografier den har funnet på internett. Datatilsynet krever også alle bilder av italienske borgere slettet fra deres databaser.

Tilsvarende avgjørelser har blitt fattet av de franske og britiske datatilsyn, uten at bøter har blitt utstedt.

Clearview er et amerikansk firma, uten representasjon eller datterselskaper i Europa. Det er derfor lite sannsynlig at det italienske datatilsynet vil lykkes med å inndrive boten. Men kundegrunnlaget i Europa vil forsvinne, fordi myndighetene vil kunne rettsforfølge enhver europeisk virksomhet som benytter seg av teknologien. Dette har allerede skjedd: Svensk politi har blitt bøtelagt for å bruke teknologien.


HELSEOPPLYSNINGER

Vær varsom med deling av ansattes helseopplysninger

Det danske datatilsynet (de er veldig aktive om dagen, og deres avgjørelser kan lett sette presedens for lignende saker i Norge) har irettesatt en kommune for å ha delt en ansatts helseopplysninger med hennes kolleger, i forbindelse med en fellesutsendelse av epost om midlertidig endring i arbeidsoppgaver. Kommunen viste til at det hele var en misforståelse og et hendelig uhell, men det faktum at det her var snakk om deling av særlig sensitive opplysninger var såpass graverende at en reaksjon fra datatilsynet var nødvendig.

Eposter med potensielt sensitivt innhold bør man være spesielt forsiktige med å spre bredt.


DARK PATTERNS

Nye retningslinjer skal forhindre «dark patterns»

Det europeiske personvernrådet (EDPB) har vedtatt retningslinjer om manipulativt design, såkalte «dark patterns», i sosiale medier. Retningslinjene gir praktiske råd og anbefalinger til utviklere og brukere av sosiale medier.

Tilbydere av sosiale medier og lignende tjenester er ansvarlige for å sikre samsvar med pliktene i personvernforordningen. Retningslinjene gir konkrete eksempler på de ulike typene «dark patterns» som finnes og inneholder spesifikke anbefalinger overfor utviklere av brukergrensesnitt om hvordan man best legger til rette for effektiv implementering av pliktene i forordningen i sine tjenester. Mange av eksemplene er også grafisk illustrert. I et eget vedlegg har de laget en egen sjekkliste om ulike former for «dark patterns».

Veiledningen bør være obligatorisk lesning for alle som arbeider med UX. Det er all grunn til å tro at datatilsynene om et år eller to vil følge opp innholdet i veiledningen med tilsyn.


KOMMENDE MØTER

12. mai 14.00 – 17.00
 Nettverksmøte
16. juni 14.00 – 17.00
 Nettverksmøte
25. aug 14.00 – 16.00
 Nettverksmøte
Se hele oversikten over kommende aktiviteter i nettverket her.

Siste ord

Du får dette nyhetsbrevet som medlem av tilt.works PrivacyTech-nettverk eller fordi du har tegnet et eget abonnement. Du kan oppdatere din profil her.

Fant ikke noen innlegg.

Coaching-teknikker for prosjektledere

Coachende prosjektledelse

En coach-veteran avslører nyttige teknikker spesielt tilrettelagt for deg som leder prosjekter.

Dette kurset gir deg grunnleggende coaching-verktøy som er anvendelige i mange situasjoner. I kurset lærer du gjennom teori og øvelser som gir deg håndfast kroppslig læring. Kurset er et samarbeid mellom tilt.work og Computerworld Academy.


Abonnement på coaching

Abonnement på coaching

Gi dine medarbeidere tilgang på personlig og profesjonell vekst og utvikling med et fleksibelt abonnement på en eller flere av våre profesjonelle coacher.

Les mer

Våre nyhetsbrev

Her kan du melde deg på et eller flere av våre ukebrev.

"*" obligatorisk felt

Navn*

PrivacyTech

Som medlem i PrivacyTech-nettverket blir du en del av en gruppe likesinnede profesjonelle som er opptatt av GDPR, personvern, compliance og tech. Med Eva Jarbekk – en av Norges fremste eksperter på området – som fasilitator.

Partners in tilt

Vårt nettverk av “kloke hoder” (team tilt) med en bærekraftsagenda.

Del dine tanker om denne artikkelen

0 Comments

På forsiden nå

Diagnose: Kan brukes til alt

Diagnose: Kan brukes til alt

|
Å kunne mer om det meste enn de fleste høres bra ut. Men i et ekspertdrevet arbeidsliv kan "multitalent" klinge mer som en diagnose.
Skal vi gni det inn, eller ikke?

Skal vi gni det inn, eller ikke?

|
De gangene jeg som barn kom over en liten rift på en tapetvegg eller i et klesplagg, var det utrolig fristende å pirke litt, og se om jeg kunne få løs en bit til, eller lage hullet litt større. Jeg hadde ikke noe ønske om å ødelegge, jeg ville bare se hva som skjedde.  
Født som leder?

Født som leder?

|
Blir man født som leder? Eller kan det læres? Jeg trodde ikke dette var et tema lenger. Jeg tok feil.
Bare 200 meter til: Små steg gjør store fremskritt

Bare 200 meter til: Små steg gjør store fremskritt

|
Hva er likheten mellom en polfarer, deg og dine ansatte?
Olivias verden

Olivias verden

|
KI er et fantastisk verktøy, og det blir mer fantastisk for hvert minutt. Fint for oss, stort sett. Men hvordan vil Olivia (8 måneder) sitt voksne liv se ut?
Darwin, dating og dommedag

Darwin, dating og dommedag

|
Det går en rød tråd fra Simen Velle til armageddon. Men det er ikke kvinnekampen som har skylda. Ei heller datingappene. Det er Darwin.
Snyltekapitalismen

Snyltekapitalismen

|
De har sugd seg inn i verdiskapningen i det meste som foregår på planeten. Nå begynner de å spise av velferdssamfunnets grunnmur også.
vektorgrafikk eldre i aktivitet

Farvel til alderismen. Eldre som livsbejaende, verdiskapende borgere

|
Den offentlige samtalen har et sterkt fokus på eldre som et problem og en kostnad. Skal vi snu samtalen til å handle om eldre som en livsbejaende ressurs, må det en holdningsendring til – også hos eldre.
Du skal få din lønn i vaffeljernet

Du skal få din lønn i vaffeljernet

|
Den ultimate lederutfordringen: Det eneste du kan tilby av motivasjon er vafler. Tusenvis står i det hver dag.

Pin It on Pinterest

Share This

Del dette

Delt glede er dobbelt glede. Del dette med ditt nettverk.