Her er en oppsummering av noe av det siste innenfor personvern, GDPR, teknologirett mv. Følg meg også på LinkedIn for fortløpende oppdatereringer.
Tidligere nyhetsbrev, og mulighet til å abonnere, finnes her. Del også gjerne dette nyhetsbrevet med andre du tror kan ha nytte av det.
Nå må de nye standard kontraktsbestemmelser (SCC) benyttes
Fra 27. september 2021 må de nye standard kontraktsbestemmelsene for overføring av personopplysninger til land utenfor EØS (tredjeland) benyttes.
I juni besluttet EU-kommisjonen nye standard kontraktsbestemmelser (SCC) for overføring av personopplysninger til tredjeland. Disse erstatter de tidligere kontraktsbestemmelsene og skal være mer dekkende for overføring etter Schrems II-dommen.
Kontraktsbestemmelsene er imidlertid noe vanskelig å bruke, siden de publiserte kontraktsbestemmelsene er fire avtaler i ett (i moduler) og er kun tilgjengelig i PDF.
Men fortvil ikke: Her kan de tre mest praktiske variantene av kontraktsbestemmelsene i word-format.
I tillegg er det også laget standard kontraktsbestemmelser for databehandling (databehandleravtale), som også er tilgjengelig i word-format på linken over.
Dokumentene skal visstnok også bli tilgjengelig fra Datatilsynet på norsk når beslutningen om bruk av de nye kontraktsbestemmelsene implementeres i EØS-avtalen (som det ikke er helt klart når vil skje).
En reell løsning på Schrems II-utfordringene i visse tilfelle!
Flere av de store skyleverandørene, som AWS og Google, inngår avtaler med europeiske selskap for at behandling av data, og personopplysninger, skal skje innenfor Europa.
Teknologien fra skyleverandørene blir dermed lisensiert til selskaper som er heleid og kontrollert fra Europa, og da ikke eid eller kontrollert av selskap etablert i land utenfor Europa, som USA. Myndigheter utenfor EØS har da ikke anledning, også under landenes overvåkningslovgivning, til å kreve data utlevert.
Dette vil være en løsning på Schrems II-problemene i enkelte tilfelle som mange har sett som en løsning. Får håpe dette kommer på plass snart, og også for andre av de store leverandører, som for Microsoft.
Det vil imidlertid være mange selskaper og tjenester som ikke vil omfattes av denne muligheten, som bl.a. mindre tjenesteleverandører, så det kreves fremdeles årvåkenhet ved valg av leverandør (og at man gjør risikovurderinger).
Se mer informasjon i kommentarene til denne LinkedIn-posten.
Datatilsynet og Facebook
Datatilsynet har kommet med en vurdering av konsekvenser ved personvernet om det å ha en Facebook-side – og har kommet til at Datatilsynet skal ikke være på Facebook.
Jeg var bl.a. i Dagsnytt 18 og diskuterte vurderingen med Datatilsynets leder, Bjørn Erik Thon, hvor jeg nevnte bl.a. at jeg er helt enig med Datatilsynet at Facebook er personvernmessig veldig problematisk, og alle bør vurdere om det er et sted de ønsker å være. Men det er utfordringer knyttet til vurderingen fra Datatilsynet.
Vurderingen fra Datatilsynet er omfattende og interessant, og kan brukes som et eksempel på hvordan en slik vurdering skal gjennomføres. Utfordringen er at konklusjonen i vurderingen er veldig streng. Om kun det at Datatilsynet er på Facebook vil føre til «en for høy risiko» for personvernet til brukere av Facebook er vanskelig å forstå.
Vurderingen er tilpasset Datatilsynets virksomhet, som i og for seg er lærerikt. Men alle virksomheter må gjøre en risikovurdering tilpasset sin virksomhet om de skal være på Facebook. Datatilsynets vurdering (som er på over 30 sider) viser hvordan en vurdering kan gjøres. Men etter risikoen er vurdert – tør da den enkelte virksomhet å komme til en annen konklusjon enn Datatilsynet? Og om konklusjonen blir den samme – må man da fjerne Facebook-sidene? Skal bl.a. Stortinget, regjeringen med departementer, kommuner, en stor mengde selskaper osv. ikke lenger være på Facebook? Hvordan skal man da kommunisere videre med ca. 3,5 millioner nordmenn? Det er dessverre ingen reelle alternativer til dette i dag, som er synd siden Facebook bør ikke være kanalen som man kommuniserer i det offentlige rom.
Og hva vil skje om man fortsatt er på Facebook? Vil Datatilsynet kontrollere om det er foretatt risikovurdering, og vil risikovurderingen og konklusjonen aksepteres? Og hvis dette ikke skjer, blir det da pålegg om å fjerne Facebook-siden/og eller gebyr?
Datatilsynets leder, Bjørn Erik Thon, avklarer noe mer i et intervju, hvor det fremkommer at Datatilsynet er 100 % åpne på at andre kan konkludere annerledes enn dem. Datatilsynets vurdering tok mer enn 2,5 år, og det har vært et mål for dem «å være best i klassen». De vil ikke si noe om andre skal være like grundige, men forventer ikke tilsvarende grundighet. Videre kan ikke Datatilsynet utelukke tilsyn av virksomheter som er på Facebook, spesielt om det ikke er gjort vurderinger/risikoanalyser.
Risikovurderingen fra Datatilsynet er som sagt interessant og nyttig, men etterlater stor usikkerhet for virksomheter som er på Facebook. Det er imidlertid klart at vurderingen fra Datatilsynet fører ikke til at alle virksomheter må fjerne sine Facebook-sider. Hver enkelt virksomhet må foreta egne vurderinger, og det kan være at det store flertallet av virksomheter vil vurdere det slik at de fortsatt kan være på Facebook (og det vil trolig være en riktig vurdering). Og det kan være tiltak som reduserer risikoen ved å være på Facebook, som å ikke ha kommentarfelt mv. Men vurderingen fra Datatilsynet vil nok føre til at mange virksomheter vil komme til at de ikke kan fortsette å være på Facebook.
Kanskje det beste hadde vært at Datatilsynet hadde erklært at ikke ønsker å legitimere plattformen ved at de synes deltakelse på Facebook er uklart og problematisk personvernmessig? Da hadde ikke mange virksomheter kommet i den vanskelige situasjonen de er nå.
Annet fra Datatilsynet
Klargjøring om cookies og mer kontroll til Datatilsynet. I forbindelse med forslag til ny ekom-lov er Datatilsynet (sammen med Forbrukertilsynet) positive til at det legges opp i lovforslaget at samtykkekravene til cookies skal være de samme som etter GDPR. Men Datatilsynet mener at det er forvirrende at det i forslaget skrives at teknisk innstilling i nettleser eller tilsvarende i de tilfeller der det er teknisk mulig er tilstrekkelig som samtykke (som det for så vidt legges opp til i siste utkast til ePrivacy-forordningen). Etter dagens ekom-lov er det Nasjonal kommunikasjonsmyndighet (Nkom) som har tilsyn med overholdelse av at reguleringen av bl.a. cookies overholdes, men nå ønsker Datatilsynet også ha myndighet – sammen med Nkom – til håndheve reglene om cookies.
Gebyrer igjen. Datatilsynet har ilagt St. Olavs hospital gebyr på kr 750.000 for at personer som ikke er autorisert har fått tilgang til pasientmatter (manglende tilgangskontroll). Og bompengeselskapet Ferde har fått et overtredelsesgebyr på kr 5 mill. for å ha overført opplysninger knyttet til bompasseringer til Kina uten lovlig overføringsgrunnlag, samt å ha manglet databehandleravtale og ikke gjennomført risikovurdering.
Datatilsynets strategi. I et nyhetsbrev om det internasjonale samarbeidet mellom datatilsyn i forumet Global Privacy Assembly, har Datatilsynets leder, Bjørn Erik Thon, redegjort for hvordan Datatilsynet ønsker å arbeide med å bruke «gulrot og pisk». Thon redegjør for en del tiltak og sanksjoner/pålegg fra Datatilsynet, men presiserer at preventive tiltak er bedre enn sanksjoner.
Undersøkelse om personvernombud. En undersøkelse fra Datatilsynet om personvernombud viser bl.a. at mange av ombudene opplever at virksomhetene deres etterlever personvernregelverket og ofte er konkrete lovkrav på plass, men mange sliter med manglende ressurser, ledelsesforankring, kompetanseheving og opplæring av ansatte.
Samtykke på apper
Når man installerer apper på bl.a. mobiltelefoner så er det veldig vanskelig å vite hvilke opplysninger som samles gjennom bruk av appene, og hva det samtykkes til at appen kan samle inn av opplysninger.
De færreste leser gjennom vilkårene og setter seg inn i hva appen gjør i tillegg til de funksjonene appen skal ha, som å vise været. Så hva samtykker man til at det samles inn av opplysninger og hva aksepterer man at opplysningene kan brukes til?
Aksepterer du at det bl.a. samles inn hvor du er til enhver tid og at disse opplysningene selges til andre som bruker opplysningene til markedsføring, kartlegging av bruk eller annet?
NRK, Forbrukerrådet og Datatilsynet har avdekket at det er mye uklarheter, og trolig ulovligheter, ved innsamling av personopplysninger gjennom apper. NRK Beta har i flere grundige og gode artikler skrevet om innsamling av opplysninger av slik karakter og omfang som som er sterkt tvilsom, og er basert på samtykke som vanskelig kan sies å være lovlig.
NRK Betas Martin Gundersen avdekker i en artikkel at selskapet Huq Industries samler inn bl.a. mobilbevegelsene til brukere gjennom flere hundre apper, for så å selge opplysningene videre. Brukerne kan identifiseres, og det hele er basert på samtykke som er meget uklart både teknisk og juridisk.
Jeg har, sammen med Vebjørn Søndersrød og Simen Sommerfeldt, kommentert saken, og mener at virksomheten og samtykket som benyttes er ulovlig.
Nyttig og god bok om informasjonssikkerhet for de som arbeider med personvern – og andre.
Informasjonssikkerhet og personvern går hånd i hånd, men samtidig er det to adskilte disipliner. I GDPR settes det krav til informasjonssikkerhet, men kravene er korte, kryptiske og uklare. Det er derfor nødvendig med en viss innsikt i det grunnleggende ved informasjonssikkerhet, også for de som er involvert i personvern (selv råd om og gjennomføringen av informasjonssikkerhet bør gjøres av ekspertene). Samtidig er informasjonssikkerhet et komplekst, omfattende område i rask utvikling som kan være vanskelig å sette seg inn i.
En ny bok om informasjonssikkerhet er derfor verdsatt. Boken av Audun Jøsang, professor ved UiO, gir en god innføring i informasjonssikkerhet, herunder begreper som er viktig å ha klart for seg også innenfor praktisk personvern. Det gjennomgår også ulike sikkerhetselementer og praktiske tiltak – alt knyttet til dagens teknologiske virkelighet og systemer som er i bruk de fleste steder, også med noen spennende dypdykk innenfor temaer som kryptografi, nettverkssikkerhet, autentisering mv. (som vi nerder kan kose oss med).
Sikkerhetsledelse og implementering av informasjonssikkerhetstiltak i organisasjoner samt etablering av sikkerhetskultur dekkes også, som er veldig praktisk når det skal sikres at virksomheten etterlever personvernregelverket, bl.a. ved etablering av strategi, mål og internkontroll for etterlevelse av lovverket. Også veldig nyttig at risikostyring og -vurdering dekkes grundig.
Boken har også et kapittel om personvern og ett om innebygd informasjonssikkerhet og personvern (privacy by design). Mens det siste kapittelet er grundig og godt, opplever jeg at kapittelet om personvern ikke er så godt og praktisk som resten av boken, og her kan andre kilder være bedre. Siden boken er god på praktisk informasjonssikkerhet, hadde det vært nyttig om kravene til informasjonssikkerhet etter GDPR var knyttet til tiltakene som beskrives i boken ellers (kanskje noe til neste utgave?). Men boken gir ellers god veiledning om tiltak, som vil være praktisk knyttet til oppfyllelse av kravene etter GDPR.
Boken er enkel å forstå, og er også skrevet på en måte som gjør stoffet interessant. Anbefales til alle som er i befatning med sikring av data, informasjon og personopplysninger – og da sikkert for andre.
Takk til Universitetsforlaget for vurderingseksemplar. Boken kan bestilles her.
Overføring til land utenfor EØS (tredjeland)
Erstatning for Privacy Shield? Den langvarige, men like aktuelle problemstillingen om overføring til tredjeland, og da spesielt USA, fortsetter. Forhandlingene mellom EU-kommisjonen og USAs handelsdepartement fortsetter for å forsøke å finne en erstatning til Privacy Shield, som da som kjent ble funnet ugyldig som overføringsgrunnlag ut av EØS. Som tidligere nevnt, så trekker forhandlingene ut, mye pga. USAs mangler på personvern for å sikre opplysninger som overføres til USA, og manglende interesse i å redusere sin overvåking, også av EU-borgere. Dette til tross for stadige nyheter om at forhandlingene blir mer intense og nærmer seg en avtale, men da er det mest USA som mener at man er nær en avtale, mens EU ikke deler denne oppfatningen. Det har vært noe håp om at det nye «EU-U.S. Trade and Technology Council», som skal knytte Washington og Brussel tettere sammen, skulle hjelpe, men det ser ikke ut til at det vil bidra noe mer til enighet.
Løsninger på Schrems-problematikken? Den amerikanske kongressens forskningstjenester (CRS) har publisert en rapport på overføring av personopplysninger mellom EU og USA, som gjennomgår alternativer for kongressen til å sørge for at det åpnes for overføring over Atlanteren igjen, bl.a. med en ny Privacy Shield-løsning som er i overensstemmelse med kravene i GDPR. CRS gir også anbefaling om at det amerikanske handelsdepartementet skal få mer myndighet til å håndheve overholdelse av GDPR for amerikanske bedrifter som behandler personopplysninger om EU-borgere.
Sør-Korea som «godkjent tredjeland». EU-kommisjonen har kommet med utkast til en vurdering (en såkalt adekvansvurdering) hvor kommisjonen mener at Sør-Korea har et tilstrekkelig beskyttelsesnivå for personopplysninger. EUs personvernråd (EDPB) har gitt en uttalelse til vurderingen. Om kommisjonen fatter en beslutning, kan personopplysninger overføres til Sør-Korea uten at det foreligger overføringsgrunnlag, som EUs standard kontraktsbestemmelser (SCC).
Og Max Schrems mener at skyleverandørenes tiltak som følge av dommen som bærer hans navn er «bullshit».
Maria Helen Murphy, stipendiat ved Maynooth Universitet, har skrevet en grundig artikkel om virkningene av Schrems II-dommen for overføring av data mellom USA og EU.
Og et interessant tilbakeblikk på overføring av personopplysninger til tredjeland fra EUs datatilsyn (EDPS)
Hva skjer ellers i Brussel
Det er mange initiativer i EU knyttet til data og personvern. Her er en kortfattet oversikt:
Digital Services Act er lovgivning er regulering av transparens, fjerning av ulovlig innhold og at det skal gis tilgang for kontroll av overholdelse av regelverket. Det er også forslag om at det skal være et aktivt valg/samtykke for bruk av personlige anbefalinger basert på algoritmer for de store plattformene, mens kommisjonen ønsker kun transparens og informasjon (bl.a. i tråd med en nylige WhatsApp-boten). Det vil kunne gi bøter opp til 6 % av årlig omsetning, så brudd på regelverket vil gjøre vondt. Det er naturlig nok sterk motstand mot dette regelverket fra amerikansk hold, selv om de store it-selskapene synes å være enig i forslaget. Dette er også uenighet i EU-parlamentet om forslaget som kan gjøre at lovgivningen ikke blir vedtatt med det første.
Digital Marketing Act skal gi forbud rettet spesielt mot de største plattformene som Google og Facebook, Forbudene skal rette seg mot å slå sammen og koble data fra flere kilder uten samtykke fra brukere/registrerte, samt å bruke data som ikke er offentlig tilgjengelig (som da koblede eller sammenslåtte data) til flere formål over tid. Tilsvarende som for Digital Services Act er det uenighet i EU-parlamentet om dette lovforslaget også.
Data Governance Act er en del av EU-kommisjonens datastrategi, som skal gi nye regler om deling og gjenbruk av personopplysninger og andre data. Dette skal spesielt gjelde for offentlig sektor, men også gi muligheter for salg av data (gjennom såkalte «data brokers»). Det skal etableres et ekspertpanel – «European Data Innovation Board» – som skal vurdere standarder for bruken av data. Det er meldt om at EU-statene er enige om innholdet i lovforslaget.
Data Act er en annen del av datastrategien som gi regler om deling av data mellom bedrifter til samfunnsnyttige formål, og ivareta rettighetsproblematikk mellom bedrifter for deling.
ePrivacy Regulation har også en meget lang historikk (fra 2017), se tidligere nyhetsbrev, og forlaget til forordning har gått frem og tilbake mellom kommisjonen og parlamentet flere ganger uten resultat. Nå synes det å være resignasjon i EU og behandlingen av forslaget er nedprioritert, og det synes å ikke kunne bli noen løsning på meget lang tid.
Artificially Intelligence Act er mye omtalt og skal legge begrensninger på bruk av kunstig intelligens til visse formål, hvor det legges opp til grader av risiko – høy, begrenset og minimal – hvor det som defineres som høy risiko vil bli forbudt, som bruk av biometriske data på offentlige steder. Lovforslaget er omdiskutert og derfor uklart hva som blir resultatet.
Det er også andre initiativer, bl.a. innenfor informasjonssikkerhet, men dette er noe av det som skjer.
Er lokasjonsdata for elsparkesykler personopplysninger?
I rettssaken hvor tre selskaper som leier ut elsparkesykler forsøkte å stanse Oslo kommunes nye regler for elsparkesykler, kommer det frem noen interessante betraktninger i kjennelsen om grensene for hva som skal anses å være personopplysninger ved indirekte identifisering av enkeltpersoner.
Oslo kommune krevde i forskrift om elsparkesykler å få utlevert både historiske og sanntids lokasjonsdata knyttet til sparkesyklene fra selskapene, hvor sistnevnte hevdet i retten at lokasjonsdataene, var å anse som personopplysninger, og som da kunne brukes til overvåking av brukerne av syklene.
Lokasjonsdataene er ikke direkte knyttet til enkeltindivider, som de som leier syklene, men selskapene mente at ved å følge syklenes bevegelse, spesielt ved bearbeide store menger av dataene, vil det kunne være mulig å identifisere enkeltindivider (eller dennes husstand), som ved at hvor syklene starter og stopper knyttet til adresser kan vise hvem som bruker syklene og hvor de kjører. Kommunen avviste at det var snakk om personopplysninger.
Retten viste imidlertid til fortalepunkt 26 i GDPR, og at opplysninger som ikke kan direkte knyttes til enkeltindivider vil det kun være personopplysninger dersom identifiseringsprosessen innebærer en «rimelig grad av bearbeidelse». Dvs. at dersom det kreves mye for å identifisere enkeltpersoner, så er ikke data å anse som personopplysninger. Det å identifisere hvor sparkesyklene starter og stopper, selv om det kan knyttes til adresser, krever mye arbeid, og vil allikevel gi usikre resultater (som «å lete etter nåla i høystakken» mener retten), at det kan ikke være personopplysninger.
Nyheter fra Danmark
Krav om innsyn i personopplysninger ved rettstvister. Det danske datatilsynet har behandlet en sak med en problemstilling som oppstår for oss advokater fra tid til annen: Det kreves innsyn i personopplysninger i forkant av eventuelle rettstvister, hvor innsynsreglene etter GDPR artikkel 15 brukes for å få innsyn i den andre partens (som da vil være en virksomhet) opplysninger. Opplysningene vurderes om det skal gås til rettssak eller som bevis i rettssaken. Som regel løser sakene seg ved at opplysninger/dokumenter kreves utlevert etter tvisteloven, men det kan være opplysninger som kan være hensiktsmessig å få utlevert etter personvernlovgivningen. Det danske datatilsynet ga vedkommende medhold i at opplysningene skulle utleveres.
Om bruk av tittelen «prest» er en særlig kategori personopplysninger. To menigheter i Danmark har instruert sine prester om å ikke bruke tittelen «prest» for signering av eposter til konfirmanter uten at epostene er kryptert, siden dette kan avdekke konfirmantenes religiøse tro (som er en særlig kategori personopplysninger etter GDPR artikkel 9). Både det danske og norske datatilsynet har imidlertid uttalt at tittelen kan brukes i epost knyttet til arbeidet, også i ukrypterte eposter. Det danske datatilsynet skriver at det ikke er Datatilsynets oppgave å påpeke at noen har overimplementert GDPR-reglene, og forbudet er omtalt som «Det rene rablende vanvidd» av enkelte kritikere. Sant, det er den enkeltes ansvar å ikke tolke regelverket for strengt, som forbudet mot at barn kunne henge ønskelister på juletreet.
Forslag om lov om regulering av sosiale medier. Det er foreslått en lov om regulering av sosiale medier i Danmark. Loven vil stille klare krav om sosiale mediers ansvar for ulovlig innhold på plattformene, som krav om å etablere anmeldelsesprosedyrer, krav om begrunnelse for å fjerne eller blokkere ulovlig innhold, tidsfrist for fjerning og gi rapporter om fjerning. Brukerne kan få overprøvd beslutninger om at innhold blir fjernet. Brudd på loven vil kunne gi bøter. Lovforslaget vil trolig bli fremmet i februar 2022.
Beregning av bøter for veldedige organisasjoner. Ved et brudd på informasjonssikkerheten for en veldedig organisasjon i Danmark, ble ikke donasjoner tatt med som grunnlag for beregning av boten.
Opptak av telefonsamtaler for bedrifter. Ved opptak av telefonsamtaler for kontroll av ansatte intern opplæring, er samtykke det eneste gyldige grunnlaget, ifølge det danske datatilsynet.
Annet
EUs personvernråd (EDPB) har etablert en «Cookie Banner Task Force» (!) for å håndtere klagene på bruk av cookies/cookie-bannere fra Max Schrems’ organisasjon NYOB (disse klagene er omtalt i tidligere nyhetsbrev).
Personvernnemda har avgjort at bruk av kameraovervåkingsutstyr i inngangspartiet (både selve kameraopptaket og lagring av bilde som skjer ved hver passering), ikke innebar en behandling av biometriske opplysninger.
EU-domstolen har kommet til at nedlastbare programvare er å anse som en vare, men da kun i tilknytning til agentforhold.
WhatsApp vil – ikke uventet – bringe boten som ble ilagt av det irske datatilsynet, DPC, på EUR 225 mill. (ca. kr 2,2 mrd.) inn for domstolene.
Også Amazon bringer boten på EUR 746 mill. (ca. kr 7,2 mrd.) fra Luxembourgs datatilsyn inn for overprøving.
EU-domstolens generaladvokat mener at en bils chassis-nummer er en personopplysning.
Ankedomstolen i en kommune i Nederland har funnet at en registrert har ikke rett til alle opplysninger som behandles om vedkommende etter GDPR artikkel 15, herunder slettede (!) opplysninger.
Det spanske datatilsynet har ilagt bot til databehandler for å ikke overholde å slette alle data etter endt oppdrag som databehandler.
Og det spanske datatilsynet har funnet at tilgang til videoopptak kan ikke nektes registrerte under begrunnelse av at andre er avbildet, siden det finnes god programvare for å anonymisere personer i video.
Antallet personvernbrudd hittil i år har allerede overgått det totalet antall brudd i 2020.
Så har 850 fotballspillere gått mot (foreløpig) 17 større selskap for at selskapene har samlet inn statistikk og data om spillerne som gjennomsnittlige mål per kamp til vekten til spillerne. Spillerne mener dette er personopplysninger om dem som selskapene ikke har rett til å behandle. Det synes som penger er mer motivet enn personvern i dette tilfellet…
Det irske datatilsynet (DPC) har, ifølge et utkast til avgjørelse til de øvrige datatilsyn i Europa som er blitt lekket, uttalt at dersom Facebook tar inn behandlingen som gjøres i en avtale med brukerne, så er det ikke nødvendig med å innhente samtykker så lenge behandlingen er tilstrekkelig informert (transparent). Reaksjonene på dette er naturlig nok sterke, siden det vil uthule prinsippet om samtykke.
Og ikke minst: Facebook var fullstendig GDPR-compliant tidlig i oktober(!). Riktignok på grunn av at tjenestene til Facebook var nede i 6 timer. Nå skal visst alt være tilbake til det normale.
Dette nyhetsbrevet er også tilgjengelig på LinkedIn med eventuelle kommentarer og oppdateringer.
Oppdateringer og artikler blir lagt ut på LinkedIn, samt på mine nettsider, sandtro.no.
Kom gjerne med innspill og kommentarer til meg, enten i epost (jan@sandtro.no) eller i direktemelding til meg gjennom LinkedIn.
For rettigheter og bruk av innholdet over, se her.