IT-jus nr. 1/23

tirsdag 10. januar 2023 @ 07:07

Riktig godt nytt år! Slutten av 2022 ble preget av noen riktig store bøter fra ulike datatilsyn. De fleste sakene har versert lenge mellom myndigheter og de som er ilagt […]
Av Eva Jarbekk

Riktig godt nytt år! Slutten av 2022 ble preget av noen riktig store bøter fra ulike datatilsyn. De fleste sakene har versert lenge mellom myndigheter og de som er ilagt bot før de har fått sine endelige vedtak. Fremdeles er det nok en stund til alle runder i rettssystemer er over for mange av dem. Et helt sentralt poeng i mange av sakene er at datatilsynene legger stor vekt på retningslinjer fra EDPB i tolkningen av GDPR. Det skal bli spennende å se om EDPBs retningslinjer har så stor rettskildemessig vekt at de kan åpne for så store bøter som vi ser nå.

Titter vi inn i glasskula og ser på hva som blir viktig i 2023, peker informasjonssikkerhet seg ut. Emnet aktualiseres ytterligere når det stilles spørsmål ved om man kan tegne forsikring mot slike hendelser. Se mer om dette under.

Videre kommer det nok en ny avtale mellom USA og EU om overføring av personopplysninger, men om det vil gjøre hverdagen lettere, er jeg usikker på. NOYB har sagt hva han mener om det – og det er jo nesten underlig at det ikke snakkes mer om overføringer til India. Jeg spår at vi skal jobbe med Transfer Impact Asessments (TIA’er) i lang tid fremover og ikke bare for overføringer til USA.

I Norge kan det nok tenkes at vi får et klarere cookie-regelverk og da er det mange som må endre praksis ganske fort. Vi kommer til å få nok å gjøre, alle sammen.

Riktig godt nytt personvernår!

Hilsen Eva


CAMBRIDGE ANALYTICA

Meta har inngått forlik etter skandalen

Vi må aller først innom det som på mange måter er en av de aller viktigste personvernsakene i hele verden: Saken om Cambridge Analytica som fikk bruke data fra Facebook og brukte det til å påvirke valgresultater. Lille julaften ble det kjent at Meta har inngått forlik i USA etter et langvarig gruppesøksmål i saken. Morselskapet Meta har akseptert å betale ikke mindre enn 725 millioner dollar, altså over 7 milliarder norske kroner. Forliket er den største utbetalingen i et gruppesøksmål innenfor personvern. Forliket skal godkjennes av en domstol i San Francisco, noe som ventes å kunne skje i mars i år. Saken er omtalt mange steder, og en grei oversikt finner du her:

Facebook parent company to settle Cambridge Analytica scandal lawsuit for $725M (Politico)


FORSIKRING

– Ikke mulig å forsikre seg mot cyberangrep

Det norske nettstedet digi.no hadde nylig en interessant artikkel der sjefen for forsikringsgiganten Zurich Insurance Group sier at det kan bli umulig å forsikre seg mot cyberangrep fremover.

Hans enkle poeng er at hvis noen tar kontroll over kritisk infrastruktur, er konsekvensene så kostbare at de ikke kan forsikres mot. Det pekes på at Hydro tapte 1 milliard kr. på hackerangrepet i 2019. De fikk visstnok utbetalt cirka 800 millioner i forsikringsdekning.

Skadevaren NotPetaya rammet mange virksomheter i 2017. Mondelez var ett av dem. Mondelez hadde cyberforsikring i Zurich Insurance Group og det ble rettssak mellom partene om erstatningen. Zurich Insurance Group mente at hendelsen representerte en «krigslignende handling» og følgelig ikke medførte dekning som force majeure. Resultatet av saken er ikke kjent, det ble et forlik som er unntatt offentlighet.

En annen vinkling er tatt av forsikringsselskapet Britiske Lloyds, som har ment at cyberforsikringer må ha unntaksbestemmelser for statlig støttede cyberangrep. Man kan undres over hvordan man eventuelt skal kunne slå fast at et angrep er statlig støttet. Samtidig er det åpenbart at private forsikringsselskap ikke vil forsikre situasjoner der de vil tape penger.

Jeg tror vi skal ta en runde på hva som finnes av cyberforsikringer i nettverket.

Saken er omtalt flere steder, jeg trekker frem disse:
Forsikringskjempe: – Cyberangrep kan bli umulige å forsikre seg mot (digi)
Cyber attacks set to become ‘uninsurable’, says Zurich chief (The Irish Times)


FLERE NYE BØTER

Gigabot for data scraping

Helt på tampen av november i fjor offentliggjorde det irske Datatilsynet sin beslutning om å bøtelegge Facebook for såkalt «data scraping». Personopplysningene til 530 millioner brukere kunne skrapes av tredje parter fra Facebook i tidsrommet 25. mai 2018 til september 2019. Facebook ble kritisert for å ikke ha tilstrekkelig innebygget personvern og default personvern, slik at opplysningene kunne lekke. Selv om Meta forsvarte seg ved å si at de hadde endret systemene under perioden og redusert muligheten til å ta data fra plattformen, ble dette ikke lagt vekt på av tilsynet. Vi har sett dette i flere tilfeller; selv om en behandling justeres og tilpasses regelverket, betyr ikke det alltid at en bot reduseres.

Boten på 256 millioner euro – over 2,5 milliard kroner – er ekstremt høy, og vil sikkert gå gjennom en juridisk klageprosess og antagelig en rettssak før den blir endelig. Men for mange selskaper er den en nyttig påminnelse om at det legges stadig større vekt på å sikre at personopplysninger ikke kan misbrukes. Opplysningene som ble tatt i dette tilfellet var telefonnummer, Facebook ID, navn og fødselsdato. Mange vil nok hevde at det ikke var spesielt kompromitterende informasjon.

Du kan lese mer om saken her:
Ireland fines Meta €265M for ‘data scraping’ leak (Politico)

Bot for lojalitetsprogram

I Italia har parfymeriet Douglas blitt bøtelagt 1,4 millioner euro for å ikke overholde individets rettigheter. En kunde klaget og tilsynet startet en undersøkelse av databasen til Douglas, som hadde cirka 10 millioner kunder. Selv om tilsynet fant at Douglas stort sett ivaretok individets rettigheter, fant de brudd på flere av bestemmelsene i GDPR. Douglas ble pålagt en rekke forbedringer. Blant annet må de endre layouten til sin app slik at det blir en klar forskjell mellom personvernerklæringen og deres cookiepolicy. De pålegges å slette personopplysninger senest 15 dager etter at en kunde ikke fornyer sitt lojalitetskort. Saken er interessant og bør leses av alle som har lojalitetsprogrammer og apper mot forbrukere. Boten fremstår som høy sammenlignet med praksis i andre land.

Italy: Garante fines Douglas Italia €1.4M for various GDPR violations (Dataguidance)

Saftig bot for feil bruk av cookies

Helt på tampen av 2022 offentliggjorde det franske Datatilsynet, CNIL, at de bøtelegger Microsoft for 60 millioner euro for feil bruk av cookies. Det er den største boten CNIL har gitt i 2022. Forholdet var enkelt og greit at søkemotoren Bing ikke tillot brukere å avslå cookies like enkelt som de kunne aksepteres. Dette er et prinsipp som det har vært mange saker om. Selv om praksis tidligere ikke har vært helt korrekt tidligere, er det ingen grunn til å gjøre feil på området fremover. I Norge er vi fremdeles ikke helt samkjørte med landene i EU, men det kommer antakelig et lovforslag om dette i løpet av første halvår også her. 

Saken er omtalt her:
France Fines Microsoft 60 Million Euros Over Advertising Cookies (Barron’s)


PERSONOPPLYSNINGER I FACEBOOK, INSTAGRAM OG WHATSAPP

Kritikk mot det irske datatilsynet

Metas behandling av personopplysninger i Facebook, Instagram og WhatsApp ble tatt opp i EDPB i desember. De underliggende spørsmålene handler om hvorvidt en behandling av personopplysninger kan baseres på behandlingsgrunnlaget «avtale» når formålet er adferdsbasert markedsføring eller forbedring av selskapets tjenester. Det er som vanlig det irske Datatilsynet som har behandlet sakene.

Tilsynets forslag til vedtak ble imidlertid kritisert fra mange andre lands datatilsyner, herunder det norske. EDPB vil i sin beslutning ha lagt klare føringer for hvilken beslutning det irske datatilsynet skal fatte. Beslutningen fra EDPB er derfor ikke kjent, men vil bli offentliggjort når det irske datatilsynet fatter sin endelige beslutning.

Vi kommer tilbake til denne saken når avgjørelsen er offentlig. Saken har stor overføringsverdi til utforming av personvernerklæringer og brukervilkår.

Saken er omtalt på en fin måte på det danske Datatilsynets hjemmeside her:
EDPB træffer afgørelse i tre sager vedrørende Facebook, Instagram og WhatsApp (datatilsynet.dk)

NOYB omtaler saken her:
noyb win: Personalized Ads on Facebook, Instagram and WhatsApp declared illegal (Noyb)


BONG-DATA

Hvor mye kan Statistisk Sentralbyrå tillate seg?

I Norge er en av de mest omtalte sakene et varsel om vedtak til statistisk sentralbyrå (SSB). SSB ønsket å samle inn personopplysninger om dagligvarekjøp via det man kaller for bong-data og bruke dette til å lage ny statistikk over hvilke grupper som kjøper hva. SSB har en særlig hjemmel i statistikklovens paragraf 10 for slik analyse og spørsmålet er om hjemmelen faktisk dekker den aktivitet SSB ser for seg. Et varsel om vedtak er ikke en endelig avgjørelse, og det gjenstår å se hvordan dette lander.

Saken viser uansett at for aktører innen offentlig sektor er det viktig å finne rammene for hva en lov åpner for, på samme måte som man i privat sektor ofte diskuterer for eksempel hva en avtale kan hjemle av behandlinger.

Varsel om vedtak om forbud til SSB (datatilsynet.no)


SAMTYKKER, UTPRESSING OG INDIA SOM TREDJELAND

Ett klikk for nei

Jeg er gjort oppmerksom på en litt spesiell sak fra Tyskland, nærmere bestemt fra Köln. Saken har bakgrunn i en sær tysk regulering der det sies at en avtale skal kunne avsluttes like enkelt som den inngås. Med andre ord: ett klikk for å inngå avtale tilsier ett klikk for å avslutte avtale. Saken har paralleller til hvordan man skal kunne trekke samtykker tilbake etter GDPR.

I dette tilfellet kunne en kunde av telekommunikasjonstjenester ikke like enkelt avslutte tjenesten som å inngå den, og vedkommende klaget på dette. Vedkommende måtte nemlig oppgi sitt passord til tjenesten for å kunne avslutte den. Domstolen fant at leverandøren ikke kunne kreve at kunden oppga sitt passord for å avslutte tjenesten. Dette åpner selvfølgelig også for misbruk, ved at tjenester avsluttes uten at man er helt trygg på om det gjøres av rette vedkommende. Saken virker å være omdiskutert i Tyskland.

Dette er relevant for de som har tjenester i det tyske markedet. Da må man sikre at man har en såkalt «termination button» implementert på riktig måte.

3. Regional Court of Cologne: No password request when using the termination button (Oppenhoff)

Truer Elon Musk med løsepenger

Da GDPR trådte i kraft var det mange som skrev om at de store bøtene kan åpne for utpressing. Kriminelle som har stjålet personopplysninger kan drive utpressing mot den de har stjålet det fra. Nå blir den allerede ganske hardt prøvede Elon Musk muligens offer for dette. I fjor hadde Twitter en lekkasje av ganske trivielle personopplysninger om 5,4 millioner av sine brukere. Selv om opplysningene er så enkle som telefonnummer og e-postadresse, vil ikke dette anses som allment kjent informasjon alltid, og bøtepotensialet for Twitter er ikke mindre enn 276 millioner dollar. Vedkommende som stjal opplysningene truer Musk med at han vil offentliggjøre opplysningene hvis han ikke får løsepenger for dem – og slik sett eksponere Twitter for en stor bot. Foreløpig har Twitter ikke uttalt seg om saken.

Hacker sitter angivelig på data fra 400 millioner Twitter-brukere – nå truer han Elon Musk (digi)

Ny personvernlov i India

Slik jeg skrev om i forrige nyhetsbrev, har India oppdatert sitt forslag til ny personvernlov. Spørsmålet er om det reviderte utkastet er tilstrekkelig til at India en gang om kanskje ikke så lenge kan godkjennes som et adekvat land for personvernlovgivning. Jeg skal ikke her gå inn på detaljer i dette nye utkastet, men det er fremdeles mye kritikk mot det for at det gir regjeringen for stor frihet og kontroll. En mer detaljert gjennomgang av regelverket finner du her:

Digital Personal Data Protection Bill – an analysis (Majmudar & Partners)


GJELDER OGSÅ PRINT!

Påminnelse ved printeren

Det danske Datatilsynet har nylig understreket at GDPR også gjelder for personopplysninger i trykket materiale. Det er for så vidt ingen nyhet, men de har rett og slett laget en plakat som man kan henge ut ved siden av en skriver slik at brukere husker dette.

Link til plakaten finner du her
Pas på data – også på print (datatilsynet.dk)


FLERE AVVIK FOR UBER

Rettet angrep mot Uber-ansatt

Midt i desember ble Uber utsatt for et nytt avvik. En av deres databehandlere ble angrepet og informasjon om 77.000 ansatte ble stjålet. Opplysningene ble så dumpet på det mørke nettet. En av kommentarene rundt saken går på at hackere som publiserer materiale på denne måten nesten er verre enn de som driver utpressing. Årsaken er at opplysningene raskt blir offentlig og kan misbrukes. Det hevdes også at angrepsmetoden var å bombardere en intern bruker med svært mange MFA-henvendelser inntil vedkommende aksepterte en for å få henvendelsene til å slutte. På den annen side, hvis man får svært mange MFA-henvendelser (Multi Factor Authentication), så bør man kanskje forstå at noe er galt. Uansett må man se på om sikkerheten er satt opp riktig nok. Uber har hatt flere avvik de siste månedene. Dette er selvfølgelig ikke heldig for selskapets renommé og det påstås at aksjene har falt med 5,2 % som følge av dette.

•  Uber Data Breach of Employee Information Caused by Third-Party Vendor (CPOMagazine)


KOMMENDE MØTE

26. jan 14.00 – 17.00
  Nettverksmøte
16. feb 12.00 – 13.00
  Digital drop-in
23. mars 14.00 – 16.00
  Digitalt nettverksmøte

Se hele oversikten over kommende aktiviteter i nettverket her.


SISTE ORD

Du får dette nyhetsbrevet som medlem av tilt.works PrivacyTech-nettverk eller fordi du har tegnet et eget abonnement. Du kan oppdatere din profil her.

Fant ikke noen innlegg.

Abonnement på coaching

Abonnement på coaching

Gi dine medarbeidere tilgang på personlig og profesjonell vekst og utvikling med et fleksibelt abonnement på en eller flere av våre profesjonelle coacher.

Les mer

Coaching-teknikker for prosjektledere

Coachende prosjektledelse

En coach-veteran avslører nyttige teknikker spesielt tilrettelagt for deg som leder prosjekter.

Dette kurset gir deg grunnleggende coaching-verktøy som er anvendelige i mange situasjoner. I kurset lærer du gjennom teori og øvelser som gir deg håndfast kroppslig læring. Kurset er et samarbeid mellom tilt.work og Computerworld Academy.


IdéCafé

IdéCafé med Nils Petter Nordskar

Lurer du også på hva tilt.work egentlig er? Du er ikke alene. 9. april får vi hjelp av selveste Nils Petter Nordskar – og kanskje deg? – til å finne oss sjæl.

Idéen bak IdéCafé er gratis innspill og idéer til småselskaper som ikke kan bruke store ressurser på profesjonelle i reklame og markedsføring.

Foruten praten mellom Nordskar og tilts Paal Leveraas, er deltakernes innspill hjertelig velkomne, og svært viktige. Mange har fulgt tilt.work og dets utspring – Tirsdag morgen – lenge. Nå har du sjansen til å bli med å forme vår fremtid.


Våre nyhetsbrev

Her kan du melde deg på et eller flere av våre ukebrev.

"*" obligatorisk felt

Navn*

PrivacyTech

Som medlem i PrivacyTech-nettverket blir du en del av en gruppe likesinnede profesjonelle som er opptatt av GDPR, personvern, compliance og tech. Med Eva Jarbekk – en av Norges fremste eksperter på området – som fasilitator.

Partners in tilt

Vårt nettverk av «kloke hoder» (team tilt) med en bærekraftsagenda.

Del dine tanker om denne artikkelen

0 Comments

På forsiden nå

Norge under lupen, Datatilsynets tilsyn med kommuner ang personvern

Læringspunkter fra Datatilsynets tilsyn med kommuner

|
Datatilsynets rapport etter tilsyn med flere kommuner i Norge, gir oss nyttig læring.
Vektorgrafikk med to personer foran en tavle som viser elementer for god GDPR. Illustrerer viktigheten av å bygge en god personvernkultur.

12 bud for å bygge en robust personvernkultur

|
GDPR og IT-sikkerhet er ikke et engangsoppsett. Det krever konstant fokus og kontinuerlig oppdatering. Her er 12 gode råd for å bygge en varig personvernkultur.
Toppliste med pallplassene 1, 2 og 3.

Disse artiklene ble mest lest i 2023

|
Er artikkel om bærekraftig IT og grønn koding ble den mest leste artikkelen i 2023.
Lederskap bor i oss alle

Lederskap bor i oss alle

|
Jeg ønsker at vi reflekterer mer over hva lederskap egentlig er og hvilket mangfold av lederskap vi ønsker.
Kvinne med avsjekkshefte. Gode rutiner er personvern i praksis.

Personvern og IT-sikkerhet: Slik oppfyller du GDPR-kravene

|
Personvern er småskrittsforbedringer og sunn fornuft satt i system, forankret i lovverket. Det er ledelsens ansvar, men alles oppgave!
Derfor skal oppstartsselskaper inkludere personvern helt fra start

Derfor skal oppstartsselskaper inkludere personvern helt fra start

|
I denne artikkelen guider jeg deg gjennom hva du bør sikre som minimum rundt personvern og IT-sikkerhet allerede fra start.
Et komplett år

Et komplett år

|
Det nærmer seg jul og deretter vipper vi snart inn i et nytt år. Lær deg kunsten å avslutte året som snart er over på en god måte.
Mann som går opp trapp, illustrerer strategisk ledelse

Derfor er strategisk ledelse viktig for bærekraftsmål

|
Mangelen på strategisk kompetanse i næringslivet er en utfordring, men også en mulighet for bedrifter å utvikle og styrke sin posisjon i markedet.
Jobb, karriére eller kall?

Jobb, karriére eller kall?

|
Er din jobb en jobb eller en karriére? Eller er den et kall? Om du lever ut ditt kall avhenger av dine holdninger, men også av ledelsen og miljøet du er i.

Pin It on Pinterest

Share This

Del dette

Delt glede er dobbelt glede. Del dette med ditt nettverk.