IT-jus nr. 10/23

onsdag 4. oktober 2023 @ 07:07

Høsten er godt i gang og datatilsynene i Europa kommer med en strøm av nye avgjørelser. Det er kommet nok en stor bot fra Irland, denne gangen mot TikTok. Det […]
Av Eva Jarbekk

Høsten er godt i gang og datatilsynene i Europa kommer med en strøm av nye avgjørelser. Det er kommet nok en stor bot fra Irland, denne gangen mot TikTok. Det er så mange avgjørelser nå at det utgjør en utfordring for mange å følge med på hva som er viktig. Under har jeg valgt ut en rekke nye avgjørelser som jeg synes har verdi å vite om. Grensen mellom avtale og samtykke er stadig i fokus. I øvrig er det viktig at det har kommet et søksmål mot DPF, overføringsgrunnlaget til USA. Det har også skjedd en del på mer overordnet personvern-plan: Selskaper som rammes av DMA er identifisert, det er kommet ny kritikk mot personvern i bilbransjen og mye mer. Avgjørelsen fra Personvernnemnda om Grindr og hva som er sensitive personopplysninger, kommer vi tilbake til i neste møte.

Happy reading!

Hilsen Eva


KLAGE MOT DPF

Det finnes flere aktivister enn Schrems

Den nye EU-US Data Privacy Framework, DPF,  strider mot både GDPR og EUs pakt om grunnleggende rettigheter, mener

, medlem av Frankrikes lovgivende forsamling. Tidlig i juli vedtok EU-kommisjonen et nytt juridisk rammeverk for trygg overføring av personopplysninger mellom EU og USA. Latombe mener at den nye dataoverføringsavtalen ikke gir tilstrekkelige garantier for respekten for privatlivet, og han ber EU-domstolen om å sette den på hold. Mange trodde det ville bli Schrems som skulle angripe DPF, men slik ble det altså ikke.

Et interessant poeng er at han også er ansatt i det franske datatilsynet – CNIL. Klagen har han likevel levert inn som enkeltperson – noe annet ville jo vært helt oppsiktsvekkende når tilsynene faktisk er bundet av EUs beslutning om å godta DPF. Han skal ha valgt en juridisk fremgangsmåte som vil gå raskere enn hva Schrems har gjort, samtidig som det visstnok skal være noe større risiko for at saken blir avvist.

Klagen er pt ikke offentliggjort, så jeg har så langt ikke funnet noen kommentarer på hvor sannsynlig det er at han vil nå frem. Vi kommer helt sikkert til å få vite så snart mer blir kjent, for denne saken er jo viktig for mange.

Les mer her:

https://www.politico.eu/article/french-lawmaker-challenges-transatlantic-data-deal-before-eu-court/

https://www.linkedin.com/pulse/french-mp-disrupts-schrems-monopoly-challenging-data-tiulkanov/?trk=news-guest_share-article


PERSONVERN – TAKE IT OR LEAVE IT

chrems og NOYB er aktive også

Max Schrems og NOYB (None of Your Business) har pekt ut sitt neste mål i personvernkampen: treningsklokka Fitbit. NOYB har klaget inn produsenten av Fitbit for brudd på personvernregler i Østerrike, Nederland og Italia.

NOYB hevder at klokken blir så å si ubrukelig hvis brukeren ikke gir sitt samtykke til deling av personopplysninger. Det kritiseres blant annet at Fitbit ikke gir brukeren informasjon om hvordan personopplysninger brukes, og at den eneste måten å trekke tilbake sitt samtykke er ved sletting av brukerkonto. Maartje de Graaf, advokat i NOYB skriver: “Først kjøper du en Fitbit-klokke for minst 100 euro. Deretter registrerer du deg for et betalt abonnement, bare for å oppdage at du er tvunget til å “fritt” godta deling av dataene dine med mottakere over hele verden. Fem år inn i GDPR prøver Fitbit fortsatt å håndheve en «take it or leave it»-tilnærming“. NOYB mener at et slikt samtykke er verken frivillig, informert eller spesifikt – noe som betyr at samtykket ikke oppfyller GDPRs krav.

Kritikken er på linje med mye annet som skjer nå, der hva som er nødvendig for å levere en tjeneste er i fokus og det blir økt oppmerksomhet på forskjellen mellom avtale og samtykke.

Les mer her:

https://noyb.eu/en/your-fitbit-useless-unless-you-consent-unlawful-data-sharing


NY MILLIONBOT

TikTok i hardt vær


en irske databeskyttelsesmyndigheten (DPC) har bøtelagt TikTok med 345 millioner euro for brudd på behandling av barns personopplysninger.

Ifølge DPC skal TikTok-bruddene blant annet ha dreid seg om følgende:

  • Profilinnstillingene for barnekontoer var som standard satt til offentlig, som betød at alle kunne se innholdet, selv uten en TikTok-konto.
  • Family Pairing-innstillingen gjorde det mulig for kontoer å pare kontoen sin med en barnekonto uten å bekrefte at de var forelder eller foresatt, og på den måten aktivere direktemeldinger for brukere mellom 16 og 17 år.
  • For lite transparens i informasjonen til barnebrukere
  • TikTok brukte såkalte «dark patterns», på norsk gjerne kalt manipulativ design, for å få brukerne til å velge alternativer med mindre personvern i registreringsprosessen, i tillegg til når de postet videoer.

Av takeaways fra denne saken, tror jeg nesten at det som er mest praktisk for mange, er at det blir satt fokus på manipulativ design. Det er ikke så mange avgjørelser som handler om dette enda, selv om det snakkes en god del om det. Det kan altså være grunn til å legge noe mer vekt på å ha en “fair” design fremover når tjenester og grensesnitt utvikles.

Du finner DPCs avgjørelse her:

https://edpb.europa.eu/system/files/2023-09/final_decision_tiktok_in-21-9-1_-_redacted_8_september_2023.pdf


PRIVATLIVETS FRED

NYPD vil bruke droner for å overvåke bakgårdsfester

New York-politiet (NYPD) planlegger å ta i bruk droner for overvåkning av ulike arrangementer, inkludert bakgårdsfester. Planen har vakt protester fra flere aktivister som mener at slik droneovervåking er en krenkelse av privatlivets fred.

Rundt 1400 politistasjoner i USA bruker droner i en eller annen form, ifølge en fersk rapport fra American Civil Liberty Union. Hittil har bruk av droner imidlertid bare vært begrenset til operatørens synsfelt eller i forbindelse med nødssituasjoner. Ifølge rapporten er bruken av droner “klar til å eksplodere” blant politiet i USA.

Les hele artikkelen her:

https://apnews.com/article/drones-labor-day-eric-adams-nypd-jouvert-c2787e87bcad8fa87aa8d34b454ee6cf


STORBRITANNIA

Personvern i UK er ikke helt som i Europa

Storbritannias Innenriksdepartementet (Home Office) er anklaget for å drive hemmelig lobbyvirksomhet til fordel for Facewatch, et selskap som tilbyr teknologi for ansiktsgjenkjennelse drevet av kunstig intelligens. Kritikere av teknologien hevder at den bryter menneskerettighetene og er unøyaktig og partisk, spesielt mot mennesker med mørk hud. Til tross for utbredt bekymring over teknologien, har den allerede blitt introdusert i hundrevis av butikker i Storbritannia for å identifisere butikktyver.

Information Commissioner’s Office (ICO, datatilsynet i Storbritannia) konkluderte 31. mars at det ikke var påkrevd med tiltak mot Facewatch, da “selskapet har et legitimt formål med å bruke personopplysninger for å oppdage og forebygge kriminalitet”. Nylig ble det imidlertid avslørt at Storbritannias innenriksdepartement skrev til ICO, og gjorde det klart at ansiktsgjenkjenning for å bekjempe detaljhandelskriminalitet var en viktig politisk agenda for Chris Philp, Storbritannias politiminister. Innenriksdepartementet skrev også at Chris Philp ville ta kontakt med ICO dersom ICOs konklusjon ikke var positiv.  Den tilsynelatende trusselen kom to dager etter et lukket møte 8. mars mellom Philp, seniorembetsmenn i innenriksdepartementet og Facewatch.

Flere aktivister har nå krevd en uavhengig gransking av innenriksdepartementets innflytelse på ICO. Både ICO, innenriksdepartementet og Philp avviser å ha påvirket ICO.

Les mer:

https://www.theguardian.com/technology/2023/sep/02/home-office-accused-of-secret-lobbying-for-facial-recognition-spy-company

Litt mer fra Storbritannia  

Den britiske regjering har gjort endringer i sitt kontroversielle lovforslag om nettsikkerhet (Online Safety Bill), og viser tegn til å mykne sin stilling til ende-til-ende-kryptering (E2EE). Lovforslaget, som tar sikte på å bekjempe skadelig innhold på internett, vakte opprinnelig bekymring for å kompromittere sikkerheten til private meldinger på kommunikasjonsplattformer.

E2EE er en krypteringsmetode som sikrer at kommunikasjonen forblir trygg ved å holde dekrypteringsnøklene skjult, selv for plattformtilbydere. Det foreslåtte lovforslaget truet med å svekke denne sikkerheten ved å gi Ofcom (Storbritannias regulerings- og konkurransemyndighet for kommunikasjonsindustrien) makten til å kreve bruk av “akkreditert teknologi” for moderering av innhold, noe som ville kreve identifisering og fjerning av ulovlig innhold.

Store teknologiselskaper som WhatsApp, Apple og Signal kom med innvendinger og advarte om at de heller ville forlate Storbritannia enn å la dette gå på bekostning av brukernes personvern.

Nå kan det imidlertid virke som at den britiske regjeringen har tatt til seg kritikken, og den har kommet ut med beskjed om at teknologiselskaper ikke vil bli pålagt automatisk skanning av digital kommunikasjon.  I realiteten er det imidlertid lite som tyder på at regjeringens syn har endret seg. Den kontroversielle delen av lovforslaget vil ikke bli fjernet, noe som betyr at det fortsatt vil innføres en bakdør som undergraver ende-til-ende kryptering. Den eneste endringen er at den britiske regjeringen nå har sagt at den ikke vil tvinge teknologiselskaper til å faktisk håndheve dem.

Det gjenstår å se om Storbritannias lovforslag om nettsikkerhet vil bli implementert eller om den vil bli droppet helt. I mellomtiden kan regjeringens beslutning ha stor innvirkning på lignende lovgivning som forhandles i EU.


PERSONOPPLYSNINGER

Personvern i biler kommer til å bli et tema

En undersøkelse gjennomført av Mozilla viser at ingen av de store bilmerker klarer å oppfylle de mest grunnleggende personvern- og sikkerhetsstandardene i sine nye internett-tilkoblede modeller. Jeg er ikke spesielt overrasket og tror nok at dette er et felt som vil få mer oppmerksomhet fremover. Ingen av de 25 bilmerker som ble undersøkt bestod Mozillas test. Noen bilprodusenter, som Nissan og KIA, har også blitt kritisert for å samle inn og behandle svært sensitive personopplysninger, inkludert genetisk informasjon og helseopplysninger, for markedsføringsformål. Noen biler samler inn informasjon “race, facial expressions, weight, health information, and where you drive”. Det er en ganske kraftig opplysningsmiks.

“Alle nye biler i dag er personvernmareritt på hjul som samler enorme mengder personlig informasjon”, uttalte Jen Caltrider, programdirektør for Privacy Not Included-prosjektet, i en pressemelding.

Mozilla oppdaget også at mange bilmerker praktiserer “privacy washing”, det vil si at de gir forbrukere informasjon som tyder på at de ikke trenger å bekymre seg for personvernspørsmål når virkeligheten er en helt annen. Rapporten kritiserer også hva selskapene regner som samtykke. Subaru sier for eksempel at ved å være passasjer i bilen regnes du som en “bruker” som har gitt selskapet samtykke til å innhente informasjon om deg. Det er jo en interessant vinkling på hva samtykke skal være. Mozilla viser videre til at en rekke bilmerker sier at det er sjåførenes ansvar å informere passasjerene om bilens personvernregler. Jeg tror ikke så mange sjåfører er klar over hvordan opplysningene brukes overhodet. Det er nok helt fint at det blir mere søkelys på dette.

Les mer her:

https://gizmodo.com/mozilla-new-cars-data-privacy-report-1850805416


INNSYNSBEGJÆRINGER

Spiller motivet bak en innsynsbegjæring en rolle? Ikke denne gangen

En tysk domstol kom til at et krav om innsyn ikke er “overdreven”, selv om den forfølger andre formål enn personvern. I denne saken økte forsikringsselskapet en forsikringspremie, noe forsikrede mente var ulovlig. Forsikrede fremsatte dermed krav om innsyn i opplysninger knyttet til premieøkninger, men selskapet nektet innsyn.

Forsikrede utfordret lovligheten av premieøkningen i retten og ba dommeren om å pålegge selskapet å gi tilgang til opplysninger om premieøkninger. Den tyske domstolen kom til at forsikrede hadde rett til innsyn, og viste til at slik informasjon er å regne som personopplysninger i henhold til artikkel 4(1) GDPR. Videre mente den tyske domstolen at det var uten betydning hva som var motivasjonen bak innsynskravet. Domstolen kunne derfor ikke se at kravet var “overdreven” i henhold til artikkel 15 GDPR, og klager fikk medhold.

Les avgjørelsen her:

https://gdprhub.eu/index.php?title=OLG_Koblenz_-_10_U_1633/22&mtc=today


2 x SAMTYKKE

Tilsynene er opptatt av samtykker

Den 18. juli 2023 bøtela det italienske datatilsynet et italiensk selskap Compara Facile med 40 000 euro for å ha gjennomført markedsføringssamtaler pr. telefon, uten å ha innhentet informert samtykke fra de registrerte.

Det italienske datatilsynet avdekket at Compara Facile, etter å ha kjøpt personopplysningene fra et selskap i Moldova, kontaktet personer for å spørre om de var interessert i å motta kommersielle tilbud, og deretter sendte dem en tekstmelding med en lenke til en nettside der de kunne gi sitt samtykke. Det italienske datatilsynet fant at den første telefonkontakten fant sted uten samtykke fra den enkelte, og uten at den enkelte fikk tilstrekkelig informasjon om behandling av personopplysninger. Det italienske datatilsynet konstaterte dermed flere brudd på GDPR.  

Les hele avgjørelsen her:

https://gdprhub.eu/index.php?title=Garante_per_la_protezione_dei_dati_personali_(Italy)_-_9921112&mtc=today

I en lignende sak, som også gjaldt samtykke til digital markedsføring, konstaterte det italienske datatilsynet igjen brudd på GDPR. I denne saken fant det italienske datatilsynet at Tiscali Italia ga utilstrekkelig informasjon til sine brukere, da Tiscali Italia ikke opplyste om noen tidsbegrensning for lagring av personopplysninger for markedsføringsformål. Det italienske datatilsynet bemerket også at Tiscali Italia hadde utført såkalte “soft spam” aktiviteter, ved å sende tekstmeldinger til over 160 000 kunder som ikke hadde gitt samtykke til å motta reklame. Boten ble satt til 100 000 euro.

Les avgjørelsen her:

https://gdprhub.eu/index.php?title=Garante_per_la_protezione_dei_dati_personali_(Italy)_-_9920942&mtc=today


BOT TIL FORSIKRINGSSELSKAP

Informasjonssikkerhet er viktig 

Den svenske databeskyttelsesmyndigheten (IMY) ga Trygg-Hansa en bot på 35 millioner svenske kroner.

Om lag 650.000 kunder hos det svenske forsikringsselskapet Trygg-Hansa har hatt sine personopplysninger åpent tilgjengelig på nett. Ved å endre noen sifre i URL-en, kunne kunder få tillgang til andre kunders dokumenter. Problemet var så grunnleggende at Trygg-Hansa burde ha oppdaget det allerede før systemet ble innført, mente IMY. Sikkerhetseksperter jeg har snakket med, bekrefter at dette var en helt elementær feil.

Problemet varte fra oktober 2018 til februar 2021, og eksponerte personnumre, økonomisk informasjon, kontaktinformasjon og helseopplysninger.

Saken finner du her:

https://www.imy.se/nyheter/sanktionsavgift-pa-35-miljoner-mot-trygg-hansa/


EUs DIGITALE MARKEDSLOV

EU har pekt ut hvem som skal være DMA-portvoktere   

EU har nå identifisert 22 digitale plattformer, som skal som skal fungere som portvoktere i henhold til EUs digitale markedslov (DMA). Disse teknologigigantene vil være underlagt spesifikk og strengere forpliktelser under DSA-regelverket fra mars 2024. Regelverket er ikke direkte relevant for den gjennomsnittlige virksomheten i Norge, da det primært retter seg mot de største plattformene. Så for den gjengse bruker, er dette mest relevant fra vårt ståsted som brukere av plattformene. DMA skal som kjent sikre rettferdig konkurranse og sluttbrukerens rettigheter. EU forventer at de nye reglene vil skape nye muligheter, innovasjon og begrense urettferdig praksis fra portvoktere. Av de vedtatte tiltakene kan det blant annet nevnes at portvoktere vil bli pålagt å gi tredjeparter mulighet til å interagere med portvokters egne tjenester i nærmere angitte situasjoner. Det vil også være forbudt for portvoktere å gi egne varer og tjenester bedre rangering enn tilsvarende varer og tjenester som tilbys av tredjeparter på portvokters plattform.

For å bli utpekt som portvokter må selskapet ha over 45 millioner aktive lokale brukere, en omsetning på over 7,5 milliarder euro de tre siste årene, eller en markedsverdi som overstiger 75 milliarder euro. På listen finner man derfor en rekke teknologiganter, blant annet Amazon, Apple, TikTok, Facebook, Instagram Google, Microsoft, mfl.

Hvis selskapene bryter det nye lovverket, kan de få en straff på opptil 10 prosent av den globale årlige omsetningen, eller opptil 20 prosent for alvorlige lovbrudd.


CYBERSIKKERHET

En liten personverngladnyhet på tampen  

Det trønderske teknologiselskapet Secure Practice har fått et EU-oppdrag verdt 29 millioner kroner for å forsterke cybersikkerheten i hele Europa. Det skjer mindre enn to år etter at selskapet fikk testet ideene sine i Datatilsynets regulatoriske sandkasse. Secure practise anslår at 85% av sikkerhetsbrudd skyldes menneskelig feil og tilstreber å redusere risikoen for dette gjennom personalisert trening gjennom en AI-basert skyløsning. Som den første norske virksomheten som mottar støtte gjennom Digital Europe, står Secure Practice i en sjelden posisjon for å bidra til vår digitale fremtid. Med EU som oppdragsgiver, kan selskapet bygge betydelige nettverk og samarbeid på tvers av hele Europa.

Les mer her:

https://www.datatilsynet.no/aktuelt/aktuelle-nyheter-2023/eu-satser-pa-norsk-sandkassegaselle/


KOMMENDE MØTER

19. okt 14.00 – 16.00
Digitalt nettverksmøte
16. nov 12.00 – 13.00
Digital drop-in
7. des 14.00 – 17.00
Nettverksmøte, Oslo

Se hele oversikten over kommende aktiviteter i nettverket her.


SISTE ORD

Du får dette nyhetsbrevet som medlem av tilt.works PrivacyTech-nettverk eller fordi du har tegnet et eget abonnement. Du kan oppdatere din profil her.

Fant ikke noen innlegg.

Abonnement på coaching

Abonnement på coaching

Gi dine medarbeidere tilgang på personlig og profesjonell vekst og utvikling med et fleksibelt abonnement på en eller flere av våre profesjonelle coacher.

Les mer

Coaching-teknikker for prosjektledere

Coachende prosjektledelse

En coach-veteran avslører nyttige teknikker spesielt tilrettelagt for deg som leder prosjekter.

Dette kurset gir deg grunnleggende coaching-verktøy som er anvendelige i mange situasjoner. I kurset lærer du gjennom teori og øvelser som gir deg håndfast kroppslig læring. Kurset er et samarbeid mellom tilt.work og Computerworld Academy.


Våre nyhetsbrev

Her kan du melde deg på et eller flere av våre ukebrev.

"*" obligatorisk felt

Navn*

PrivacyTech

Som medlem i PrivacyTech-nettverket blir du en del av en gruppe likesinnede profesjonelle som er opptatt av GDPR, personvern, compliance og tech. Med Eva Jarbekk – en av Norges fremste eksperter på området – som fasilitator.

Partners in tilt

Vårt nettverk av “kloke hoder” (team tilt) med en bærekraftsagenda.

Del dine tanker om denne artikkelen

0 Comments

På forsiden nå

Diagnose: Kan brukes til alt

Diagnose: Kan brukes til alt

|
Å kunne mer om det meste enn de fleste høres bra ut. Men i et ekspertdrevet arbeidsliv kan "multitalent" klinge mer som en diagnose.
Skal vi gni det inn, eller ikke?

Skal vi gni det inn, eller ikke?

|
De gangene jeg som barn kom over en liten rift på en tapetvegg eller i et klesplagg, var det utrolig fristende å pirke litt, og se om jeg kunne få løs en bit til, eller lage hullet litt større. Jeg hadde ikke noe ønske om å ødelegge, jeg ville bare se hva som skjedde.  
Født som leder?

Født som leder?

|
Blir man født som leder? Eller kan det læres? Jeg trodde ikke dette var et tema lenger. Jeg tok feil.
Bare 200 meter til: Små steg gjør store fremskritt

Bare 200 meter til: Små steg gjør store fremskritt

|
Hva er likheten mellom en polfarer, deg og dine ansatte?
Olivias verden

Olivias verden

|
KI er et fantastisk verktøy, og det blir mer fantastisk for hvert minutt. Fint for oss, stort sett. Men hvordan vil Olivia (8 måneder) sitt voksne liv se ut?
Darwin, dating og dommedag

Darwin, dating og dommedag

|
Det går en rød tråd fra Simen Velle til armageddon. Men det er ikke kvinnekampen som har skylda. Ei heller datingappene. Det er Darwin.
Snyltekapitalismen

Snyltekapitalismen

|
De har sugd seg inn i verdiskapningen i det meste som foregår på planeten. Nå begynner de å spise av velferdssamfunnets grunnmur også.
vektorgrafikk eldre i aktivitet

Farvel til alderismen. Eldre som livsbejaende, verdiskapende borgere

|
Den offentlige samtalen har et sterkt fokus på eldre som et problem og en kostnad. Skal vi snu samtalen til å handle om eldre som en livsbejaende ressurs, må det en holdningsendring til – også hos eldre.
Du skal få din lønn i vaffeljernet

Du skal få din lønn i vaffeljernet

|
Den ultimate lederutfordringen: Det eneste du kan tilby av motivasjon er vafler. Tusenvis står i det hver dag.

Pin It on Pinterest

Share This

Del dette

Delt glede er dobbelt glede. Del dette med ditt nettverk.