IT-jus nr. 3/22

mandag 9. mai 2022 @ 08:00

I nyhetsbrevet denne gang tar jeg opp flere avgjørelser fra det danske datatilsynet. Tilsynet er inne i en svært aktiv periode, og det er god grunn til å tro at flere […]
Av Eva Jarbekk

I nyhetsbrevet denne gang tar jeg opp flere avgjørelser fra det danske datatilsynet. Tilsynet er inne i en svært aktiv periode, og det er god grunn til å tro at flere av sakene vil danne presedens for det norske tilsynet.

Det har også vært interessante avgjørelser for banksektoren, bruk av bilder for gjenkjenning skaper stadig hodebry med ulike avgjørelser og til sist har jeg en oppfordring til alle som jobber med UX.

I neste møte i nettverket skal vi ta opp et teknologisk oppsett, confidential computing, som kan bidra til å løse noen av utfordringene med gjensge cloudavtaler og tredjelandsoverføringer.

Hilsen Eva


TREDJELANDSOVERFØRINGER OG SLETTING

Evig aktuelle tema: Tredjeland og sletting av data

Etter at det danske datatilsynet hadde publisert sin veiledning om bruk av skytjenester, tok selskapet KOMBIT kontakt med dem med et konkret spørsmål knyttet til veiledningens omtale av utlevering av opplysninger til myndigheter i tredjeland. KOMBIT har en underleverandør som i sin tur har en avtale med AWS. KOMBIT leverer datasystemer til de danske kommuner og systemene behandler personopplysninger. I utgangspunktet behandles personopplysningene kun innenfor EU/EØS, men det fremgår samtidig av avtalen mellom deres underleverandør og AWS at dette kan fravikes hvis det strider mot gjeldende lov eller AWS blir pålagt å utlevere opplysningene til offentlig myndighet.

Det danske datatilsynet mener at denne underavtalen da medfører at slik eventuell overføring er tilsiktet. Dette betyr at en formulering som er gjengs i de fleste cloudavtaler, nemlig at leverandøren vil gi tilgang til opplysninger dersom slike krav fremsettes lovlig i et tredjeland, er problematiske.

Konsekvensene er store. Det gjenstår å se hvordan dette vil følges opp. Antakelig vil det være vanskelig for leverandørene å endre denne type klausuler. I neste møte i nettverket skal vi ta opp et teknologisk oppsett som kanskje kan bidra til en løsning på noe av dette – confidential computing.

For dårlige sletterutiner

I en annen sak har det danske datatilsynet varslet en bot på 10 millioner danske kroner til Danske Bank fordi banken ikke har hatt tilstrekkelige sletterutiner på plass. Banken hadde selv tatt kontakt med tilsynet og rapportert at de hadde problemer med å slette personopplysninger som de ikke lenger hadde noen rettmessig grunn til å beholde. Det ble etter hvert avdekket at det dreide seg om nærmere 400 ulike datasystemer hvor sletting ikke lot seg gjennomføre. Til sammen behandler disse systemene personopplysninger om flere millioner personer.

I forbindelse med varselet om boten, uttalte tilsynet følgende:

 «Ét af grundprincipperne i GDPR er, at man kun må behandle oplysninger, man har brug for – og når man ikke har brug for dem længere, skal de slettes. Når det handler om en organisation af Danske Banks størrelse, der har mange og komplekse systemer, er det særlig afgørende, at man samtidig kan dokumentere, at sletningen rent faktisk sker.»

Dette er ikke første gang det danske tilsynet er strenge på sletting av data. Vi har så langt ikke hatt tilsvarende saker i Norge, men det kommer nok: Regler for sletting av opplysninger er uten tvil grunnleggende i GDPR.

Personopplysninger i DevOps-miljøer

Det danske datatilsynet har også rettet kritikk mot Sundhedsdatastyrelsen etter at de rapporterte at personopplysninger hadde blitt liggende i utviklingsmiljøet Microsoft Azure DevOps i mer enn et år etter at pseudonymiserte data hadde blitt brukt for utviklingsformål. Sundhedsdatastyrelsen uttalte selv at det ikke var mulig å etablere tekniske sikkerhetsforanstaltninger for å sikre at lignende feil ikke kan skje igjen.

Det danske datatilsynet slo seg ikke til ro med denne forklaringen, men slo kontant fast at Sundhedsdatastyrelsen ikke hadde fulgt reglene om behandlingssikkerhet fordi de ikke hadde etablert passende kontrollmekanismer, automatiske eller manuelle. Det er i den forbindelse ikke tilstrekkelig å ha retningslinjer og/eller prosedyrer for slike kontroller hvis disse ikke blir fulgt opp i praksis.

Avgjørelsen viser med all tydelighet viktigheten av at dokumenterbare rutiner må på plass og at etablerte rutiner faktisk følges opp.


BANKVESENET OG INFORMASJONSPLIKT

Banker i trøbbel: Kredittverdigheten må rapporteres korrekt og brudd på informasjonsplikten

Det hender ting i bankverden også:

Bank of Irland risikerer en rekke sivilsøksmål etter at det irske datatilsynet (Data Protection Commission – DPC) avdekket at banken hadde sendt feilaktige, i mange tilfeller negative, kredittopplysninger om 47 000 kunder til det sentrale kredittregisteret (Central Credit Registry).

Til tross for at banken ble oppmerksom på feilene allerede i juni 2019, ventet de nærmere 6 måneder før de informerte sine kunder om feilen, noe DPC fant ekstra graverende.

Banken ble varslet om en bot på €463,000, men det er kanskje det minste av deres bekymringer. GDPR åpner for at enkeltindivider kan gå til erstatningssak for ikke-økonomisk skade, og det er fullt mulig at slike saker vil bli reist som følge av disse feilene – særlig av kunder som har blitt registrert med en feilaktig, redusert kredittverdighet.

Bot til Klarna

Klarna har mottatt varsel om bot for brudd på informasjonsplikten. Det svenske datatilsynet varsler en bot på 7,5 millioner SEK for at de ikke i tilstrekkelig grad har informert sine kunder om formålet med innsamlingen av personopplysninger og på hvilket rettslig grunnlag informasjonen ble innsamlet. De hadde heller ikke i tilstrekkelig grad informert sine kunder om hvem som var mottaker av hvilke personopplysninger når Klarna delte disse med andre svenske og utenlandske kredittopplysningsforetak, ei heller hvorvidt opplysningene ble sendt utenfor EU/EØS-området.

All slik informasjon bør man være krystallklar på. Her er det fremdeles også en del norske virksomheter som har en del igjen å ordne.


TRANSPARENCY

Bot på 3,7 mill. EUR til skattevesen

Datatilsynet i Nederland har ilagt skattevesenet der en klekkelig bot fordi de hadde opprettet en liste for å søke å identifisere bedrageri (Fraud Signaling Facilty – FSV). Listen inneholdt over 270.000 registreringer og var i bruk i mer enn seks år. Blant indikatorer som ble registrert som bedrageririsiko hos individer var nasjonalitet og fremtoning (appearance). En rekke personer ble «merket» som bedragere, selv om dette ikke var korrekt.

I tillegg til at listen i seg selv var å anse som ulovlig, påpekte datatilsynet at skattevesenet med denne listen hadde brutt prinsippet om åpenhet (transparency), prinsippet om formålsbegrensning, korrekthet og lagring av personopplysninger.


BILDER OG GJENKJENNING

Sprikende avgjørelser om bilder til identifikasjonsformål

Tre avgjørelser som gjelder bruk av bilder bør nevnes. Den første kommer fra Østerrike, hvor en skiheis-operatør ble gitt medhold i at de hadde rettmessig grunn til å ta bilde av publikum hver gang de passerte kontrollposten. Det østerrikske datatilsynet (DSB) mente dette var legitim bruk av personopplysninger, med støtte i forordningens artikkel 6(1)f.

Derimot konkluderte det danske datatilsynet annerledes i en lignende sak. Treningsstudiokjeden FysioDanmark ønsket å benytte ansiktsgjenkjenning som adgangskontroll til sine treningsstudioer. Bruken skulle være frivillig og basert på samtykke. De innsamlete dataene skulle også bli brukt for statistikk- og analyseformål.

Datatilsynet ga FysioDanmark medhold i at de kunne benytte seg av ansiktsgjenkjenning såfremt det var frivillig og basert på samtykke, men at det måtte være snakk om differensierte samtykker; kundene måtte også kunne velge å ikke gi samtykke til at deres persondata ble benyttet for andre formål, så som statistikk og analyse.

Den tredje nylige avgjørelsen om bruk av bilder for identifikasjon og gjenkjenning er kanskje en mer selvsagt en: Det italienske datatilsynet har varslet Clearview AI om en bot på €20 millioner for å ha ha samlet inn biometriske data om ansikter basert på fotografier den har funnet på internett. Datatilsynet krever også alle bilder av italienske borgere slettet fra deres databaser.

Tilsvarende avgjørelser har blitt fattet av de franske og britiske datatilsyn, uten at bøter har blitt utstedt.

Clearview er et amerikansk firma, uten representasjon eller datterselskaper i Europa. Det er derfor lite sannsynlig at det italienske datatilsynet vil lykkes med å inndrive boten. Men kundegrunnlaget i Europa vil forsvinne, fordi myndighetene vil kunne rettsforfølge enhver europeisk virksomhet som benytter seg av teknologien. Dette har allerede skjedd: Svensk politi har blitt bøtelagt for å bruke teknologien.


HELSEOPPLYSNINGER

Vær varsom med deling av ansattes helseopplysninger

Det danske datatilsynet (de er veldig aktive om dagen, og deres avgjørelser kan lett sette presedens for lignende saker i Norge) har irettesatt en kommune for å ha delt en ansatts helseopplysninger med hennes kolleger, i forbindelse med en fellesutsendelse av epost om midlertidig endring i arbeidsoppgaver. Kommunen viste til at det hele var en misforståelse og et hendelig uhell, men det faktum at det her var snakk om deling av særlig sensitive opplysninger var såpass graverende at en reaksjon fra datatilsynet var nødvendig.

Eposter med potensielt sensitivt innhold bør man være spesielt forsiktige med å spre bredt.


DARK PATTERNS

Nye retningslinjer skal forhindre «dark patterns»

Det europeiske personvernrådet (EDPB) har vedtatt retningslinjer om manipulativt design, såkalte «dark patterns», i sosiale medier. Retningslinjene gir praktiske råd og anbefalinger til utviklere og brukere av sosiale medier.

Tilbydere av sosiale medier og lignende tjenester er ansvarlige for å sikre samsvar med pliktene i personvernforordningen. Retningslinjene gir konkrete eksempler på de ulike typene «dark patterns» som finnes og inneholder spesifikke anbefalinger overfor utviklere av brukergrensesnitt om hvordan man best legger til rette for effektiv implementering av pliktene i forordningen i sine tjenester. Mange av eksemplene er også grafisk illustrert. I et eget vedlegg har de laget en egen sjekkliste om ulike former for «dark patterns».

Veiledningen bør være obligatorisk lesning for alle som arbeider med UX. Det er all grunn til å tro at datatilsynene om et år eller to vil følge opp innholdet i veiledningen med tilsyn.


KOMMENDE MØTER

12. mai 14.00 – 17.00
 Nettverksmøte
16. juni 14.00 – 17.00
 Nettverksmøte
25. aug 14.00 – 16.00
 Nettverksmøte
Se hele oversikten over kommende aktiviteter i nettverket her.

Siste ord

Du får dette nyhetsbrevet som medlem av tilt.works PrivacyTech-nettverk eller fordi du har tegnet et eget abonnement. Du kan oppdatere din profil her.

Fant ikke noen innlegg.

Abonnement på coaching

Abonnement på coaching

Gi dine medarbeidere tilgang på personlig og profesjonell vekst og utvikling med et fleksibelt abonnement på en eller flere av våre profesjonelle coacher.

Les mer

Coaching-teknikker for prosjektledere

Coachende prosjektledelse

En coach-veteran avslører nyttige teknikker spesielt tilrettelagt for deg som leder prosjekter.

Dette kurset gir deg grunnleggende coaching-verktøy som er anvendelige i mange situasjoner. I kurset lærer du gjennom teori og øvelser som gir deg håndfast kroppslig læring. Kurset er et samarbeid mellom tilt.work og Computerworld Academy.


IdéCafé

IdéCafé med Nils Petter Nordskar

Lurer du også på hva tilt.work egentlig er? Du er ikke alene. 9. april får vi hjelp av selveste Nils Petter Nordskar – og kanskje deg? – til å finne oss sjæl.

Idéen bak IdéCafé er gratis innspill og idéer til småselskaper som ikke kan bruke store ressurser på profesjonelle i reklame og markedsføring.

Foruten praten mellom Nordskar og tilts Paal Leveraas, er deltakernes innspill hjertelig velkomne, og svært viktige. Mange har fulgt tilt.work og dets utspring – Tirsdag morgen – lenge. Nå har du sjansen til å bli med å forme vår fremtid.


Våre nyhetsbrev

Her kan du melde deg på et eller flere av våre ukebrev.

"*" obligatorisk felt

Navn*

PrivacyTech

Som medlem i PrivacyTech-nettverket blir du en del av en gruppe likesinnede profesjonelle som er opptatt av GDPR, personvern, compliance og tech. Med Eva Jarbekk – en av Norges fremste eksperter på området – som fasilitator.

Partners in tilt

Vårt nettverk av «kloke hoder» (team tilt) med en bærekraftsagenda.

Del dine tanker om denne artikkelen

0 Comments

På forsiden nå

Norge under lupen, Datatilsynets tilsyn med kommuner ang personvern

Læringspunkter fra Datatilsynets tilsyn med kommuner

|
Datatilsynets rapport etter tilsyn med flere kommuner i Norge, gir oss nyttig læring.
Vektorgrafikk med to personer foran en tavle som viser elementer for god GDPR. Illustrerer viktigheten av å bygge en god personvernkultur.

12 bud for å bygge en robust personvernkultur

|
GDPR og IT-sikkerhet er ikke et engangsoppsett. Det krever konstant fokus og kontinuerlig oppdatering. Her er 12 gode råd for å bygge en varig personvernkultur.
Toppliste med pallplassene 1, 2 og 3.

Disse artiklene ble mest lest i 2023

|
Er artikkel om bærekraftig IT og grønn koding ble den mest leste artikkelen i 2023.
Lederskap bor i oss alle

Lederskap bor i oss alle

|
Jeg ønsker at vi reflekterer mer over hva lederskap egentlig er og hvilket mangfold av lederskap vi ønsker.
Kvinne med avsjekkshefte. Gode rutiner er personvern i praksis.

Personvern og IT-sikkerhet: Slik oppfyller du GDPR-kravene

|
Personvern er småskrittsforbedringer og sunn fornuft satt i system, forankret i lovverket. Det er ledelsens ansvar, men alles oppgave!
Derfor skal oppstartsselskaper inkludere personvern helt fra start

Derfor skal oppstartsselskaper inkludere personvern helt fra start

|
I denne artikkelen guider jeg deg gjennom hva du bør sikre som minimum rundt personvern og IT-sikkerhet allerede fra start.
Et komplett år

Et komplett år

|
Det nærmer seg jul og deretter vipper vi snart inn i et nytt år. Lær deg kunsten å avslutte året som snart er over på en god måte.
Mann som går opp trapp, illustrerer strategisk ledelse

Derfor er strategisk ledelse viktig for bærekraftsmål

|
Mangelen på strategisk kompetanse i næringslivet er en utfordring, men også en mulighet for bedrifter å utvikle og styrke sin posisjon i markedet.
Jobb, karriére eller kall?

Jobb, karriére eller kall?

|
Er din jobb en jobb eller en karriére? Eller er den et kall? Om du lever ut ditt kall avhenger av dine holdninger, men også av ledelsen og miljøet du er i.

Pin It on Pinterest

Share This

Del dette

Delt glede er dobbelt glede. Del dette med ditt nettverk.