Oppdatering personvern, GDPR og teknologirett mv. 08.2024

Etter en lenger pause av ulike grunner kommer det her en ny utgave av nyhetsbrevet om GDPR, personvern og annet innenfor teknologi og juss.

For brukere av LinkedIn: Tidligere nyhetsbrev finnes du her. For å abonnere (sammen med mer enn 5000 andre), abonnerer du her eller trykker på «+Abonnér» øverst i nyhetsbrevet. Har du ikke LinkedIn-konto og har mottatt dette nyhetsbrevet på annen måte, kan du abonnere på nyhetsbrevet her.

Følg meg også på LinkedIn: https://www.linkedin.com/in/sandtro/ for informasjon og oppdateringer.

Innholdsfortegnelse

GDPR samlet på ett sted med relevante fortalepunkter, artikler, mv.

Trenger du full oversikt over GDPR på norsk med engelsk tekst, med sammendrag, linker til annet som er aktuelt for å forstå de enkelte artikler, som fortalepunkter osv.?

Jeg har nå oppdatert GDPR-samlingen på mine nettsider, og med ny gjennomgang av linker til bestemmelser og fortalepunkter som har betydning for de enkelte artikler.

Så nå kan du finne GDPR samlet på ett sted med:

  • Sammendrag av bestemmelsene som skal være på forståelig språk (også for ikke-jurister)
  • Med norsk tekst, men engelsk tekst lett tilgjengelig
  • Med forklaringer på sentrale begreper ved å holde courser over begrepet
  • Linker til andre bestemmelser i personopplysningsloven, ellers i GDPR og annet som kan være av betydning
  • Alle fortalepunkter som hører til de enkelte arikler, delt opp i de viktigste punktene og andre punkter som er av betydning
  • Mulighet til å lage linker rett til bestemmelsene for referanse

Jeg tror at dette er den eneste samlingen som dekker alt dette på norsk (?). Håper det kan være til nytte.

Samlingen finnes her: https://sandtro.no/gdpr/ eller ved å gå på «GDPR» i menyen til venstre eller bruke drop-down-menyen for å gå direkte til de enkelte bestemmelser (er du på mobilversjonen, ligger dette under menyen over på de tre vannrette strekene).

Har du kommentarer og tilbakemelding, som forbedringer, bruk gjerne kommentarfeltet på LinkedIn-posten.

Trenger man personvernombud, og er rette person ombud?

Datatilsynet har nå lagt ut en oversikt over hvem som er personvernombud (PO) i virksomheter i Norge på sine nettsider. Denne oversikten gir grunn til noen refleksjoner:

1          Mange har PO uten å trenge det

PO kreves bare for noen virksomheter, se hvilke i GDPR artikkel 37 nr. 1, men mange av virksomhetene i listen har personvernombud uten at dette virker nødvendig. Det er fordeler med PO, men det er også mange plikter og krav. Bl.a. skal PO ha «faglige kvalifikasjoner og dybdekunnskap om personvernlovgivningen», og ombudet må holde seg oppdatert på personvernområdet, mange oppgaver og aktiviteter, krav til involvering mv.

Følges ikke pliktene, så er det brudd på GDPR. Det bør vurderes grundig, eventuell med ekspertise, om man skal ha PO (spesielt når man bryter reglene bare ved å ha ombud, se nedenfor). Mange vil nok være tjent med å ha en ansvarlig for personvern enn PO.

2          Det informeres ikke om kontaktopplysningene til PO

Mange av de som har meldt inn PO til Datatilsynet har ikke kontaktopplysninger for ombudet i listen. Da er det et krav at det informeres om kontaktopplysningene andre steder, som i personvernerklæringen. Men mange har ikke gjort dette, og da er det et brudd på regelverket.

3          Den som er PO kan ikke være det

Den som skal være PO skal ikke bli instruert, ikke ha interessekonflikter, skal kunne rapportere til den øverste ledelsen, skal kontrollere om regelverket følges, gi uavhengige råd mv. Allikevel er flere av ombudene i listen daglige ledere, it-sjefer, eiere osv., som vil kunne ha interessekonflikter og ikke operere fritt. Det må da oppnevnes en person som er i henhold til kravene i GDPR.

4          Er det rutiner for PO og følges disse ved å melde endringer i kontaktopplysninger?

Hensikten med listen er – ifølge Datatilsynet – bl.a. å gjøre det mulig å sjekke innmeldte kontaktopplysninger til PO. Dette fordi Datatilsynet mistenker at mange virksomheter ikke har rutiner for å melde fra til Datatilsynet. Så det bør være rutiner på plass for PO for å overholde reglene i GDPR.

5          Mange gjør feil

Etter en rask (og høyst uvitenskapelig) gjennomgang av de tre første sidene på listen (uten konsernselskap), så brøt 10 av de 26 virksomhetene minst ett av 2. og 3. punkt ovenfor. Av disse var det 19 virksomheter (73 %) som ikke ser ut til å trenge å ha PO ut fra beskrivelsen på nettsidene. Er disse tre sidene representative for virksomhetene i listen, er det over 1500 virksomheter som har, men ikke trenger, PO. Vi får håpe det ikke stemmer.

Nedenfor er det en oversikt over resultatene av gjennomgangen, som er stokket om for å verne om virksomhetenes «personvern».

Noen oppnevner kanskje PO siden man ikke har satt seg godt nok inn i reglene, at man er usikker og derfor oppnevner ombud «for sikkerhets skyld», eller at man tror det virker som at man tar personvern mer seriøst ved å ha PO (selv om det kan heller tyde på det motsatte). Uansett bør en del virksomheter revurdere å ha PO og/eller gå gjennom kravene til hvem som er ombud.

Se og kommenter artikkelen i post på LinkedIn.

Oversikt over overholdelse av personvernregelverket

Å følge og overholde personvernregelverket, som personopplysningsloven og personvernforordningen (GDPR) er ikke enkelt.

Det ikke nok å forsøke å være innenfor regelverket i det daglige arbeidet og gjøre enkelte tiltak. Det må planmessig arbeid til, effektive tiltak, etablering av rutiner og prosedyrer, og så må det kunne vise at arbeidet, tiltak og vurderinger er gjort.

På linken nedenfor kan det lastes ned en oversikt over oversikt over overholdelse av personvernregelverket.

Denne oversikten har brukt for mine klienter i en årrekke (kanskje over 10 år, men som har blitt oppdatert noe underveis) og omfatter:

  • Tiltak som bør gjøres for å arbeide mot å overholde regelverket. Dette er tiltak som alle virksomheter bør gjøre.
  • Rutiner/prosedyrer og dokumentasjon i virksomheten. Dette er en stor liste, men den viser både hva som bør være på plass, og hva som bør vurderes å ha, avhengig av behandlingen en gjør av personopplysninger.

Jeg håper denne oversikten kan være til nytte for andre som trenger innspill til hvordan komme i gang med eller komme videre med arbeidet for å følge regelverket.

Dette arbeidet er ikke enkelt (de som hevder noe annet har ikke gjort det), og det er ingen snarveier (som å bruke systemer som selges) så man må ta det skritt for skritt.

Dokumentet kan lastes ned her.

Sjekklister – bra verktøy om de lages riktig

Sjekklister kan være ekstremt virkningsfulle verktøy. Men da må de lages riktig.

Denne sommeren leste jeg – igjen – «The Checklist Manifesto» av Atul Gawande. Boken gir et innblikk i hvor effektive sjekklister kan være innenfor mange områder, som flysikkerhet, medisin og operasjoner, og til og med investeringer.

Foruten å være meget godt skrevet og interessant med overbevisende eksempler på hvor bra og viktige gode sjekklister kan være, gir boken også noe veiledning i hvordan man skal skrive sjekkpunkter og sjekklister.

Jeg laget og brukt mange sjekklister gjennom årene, og ofte gir de lite hjelp siden de er for lange, for generelle punkter osv. Sjekkpunkter som «Følger dere X lov?», «Er behandlingen i overensstemmelse med GDPR?» osv. er så godt som ubrukelige da de er upraktiske siden de er vage, upresise, for generelle, for lange og dekker for mange krav mv.  Å lage en sjekkliste er krevende om det skal være et godt verktøy, og ikke være laget av «desk jockeys» uten praktisk erfaring, som Gawande skriver.

Her er et sammendrag av de viktigste punktene om sjekklister (sammendrag av meg, og ikke av forfatteren, og med noen punkter lagt til av meg. Dette er også noe tilpasset behandling av personopplysninger, som jeg jobber mye med):

✅ Det må være klart når en sjekkliste skal benyttes, f.eks. «Det skal startes en ny aktivitet som innebærer behandling av personopplysninger, som innføring av et nytt it-system». Dette vil være en trigger for når sjekklisten skal hentes frem.

✅ Sjekklisten kan være «HANDLE-SJEKKE» (man gjør handlingen og så sjekker om alt er gjort, som en pakke-liste til en tur) eller «LESE-HANDLE» (som en oppskrift for lage en kake, for å bruke veldig praktiske eksempler).

✅ Punktene i sjekklisten kan være handlinger eller kommunikasjonspunkter. Sistnevnte er man skal stoppe og ta en samtale med eller konferere med de involverte før man går videre.

✅ Sjekklisten skal ikke være lang. Mellom fem og ni punkter er ideelt, men må sees an på situasjonen og mot risiko for at det gjøres feil. Listen kan deles opp i deler om den blir lenger, men ideelt skal listen ikke gå over en side. Det kan også lages forklaringspunkter som tillegg til listen, men ikke i listen – den skal være kort og oversiktlig.

✅ Ta høyde for at det kan oppstå forhold som er uventet og ikke dekket av sjekklisten. Det vil skje. Sjekklister kan dekke normale situasjoner (hva gjør man når ny behandling skal starte), og hva man skal gjøre dersom det skjer noe unormalt (det har skjedd et personvernbrudd).

✅ Gode sjekkpunkter er tilpasset den praktiske situasjonen, presise og konkrete, korte (skal ikke dekke alle punkter, men være påminnelse om kritiske punkter og få brukeren til å tenke), enkle å bruke i den konkrete situasjonen og tilpasset målgruppen (kortere og mer konkrete for profesjonelle brukere).

✅ Språket i sjekklister skal være enkelt og klart. Se an brukerne. Fagtermer kan kun brukes i sjekklister overfor profesjonelle.

✅ Husk at sjekklister vil ikke være fullstendige og forhindre feil, men skal være til hjelp. Man kan derfor ikke stole blindt på sjekklister heller.

✅ Det er vanskelig å tvinge folk til å følge sjekklister, så de må «selges inn».

✅ Test sjekklisten på det den er laget for. Helst flere ganger, og til sjekklisten virker. En sjekkliste vil alltid feile ved første test (!), og du vil bli overrasket over hvor mange endringer som gjøres i en sjekkliste ved testing.

✅ Oppdater og revider sjekklisten jevnlig. Helst gjennom praktisk bruk. En sjekkliste er kunnskap som er systematisert i praktisk form, hvor viktige erfaringer kondenseres og vi lærer best gjennom praktisk bruk.

Ovennevnte liste er trolig ikke egnet til en sjekkliste, siden den er for lang, men de understreker kanskje poenget 😊

Her et forsøk på en sjekkliste for ny behandling av personopplysninger (laget for personer som har kjennskap til GDPR og personvern):

🔲 Vurdere om behandling skjer innenfor formålet opplysningene ble samlet inn for

🔲 Vurdere grunnlag for behandling

🔲 Skjer det overføring eller behandling i land utenfor EØS, vurdere om dette kan gjøres.

🔲 Er databehandleravtale inngått og dekkende for behandlingen om det brukes databehandler?

🔲 Oppdater behandlingsprotokoll.

🔲 Hvordan skal rettighetene til registrerte skal oppfylles ved behandlingen, spesielt informasjon, innsyn og sletting. Lage eller endre rutiner?

🔲 Eventuelt oppdatere personvernerklæring.

🔲 Er tilstrekkelige tiltak på plass for sikre personopplysningene (konferere med IT/sikkerhet mv.)

🔲 Vurdere om det skal gjennomføres risikovurdering/DPIA for behandlingen.

Se post og eventuelle kommentarer på LinkedIn her.

Sjekkliste personvernerklæring og informasjon etter GDPR

Det er mange personvernerklæringer der ute som har mangler mye informasjon, som ikke er oppdaterte og noen ganger er rett og slett feil.

Men er det så nøye det da? Det er jo ingen som leser disse?

Jo, det er viktig for erklæringene skal informere om hvordan personopplysninger behandles og oppfylle kravene etter personvernregelverket (som GDPR).

Erklæringene er ofte første (og eneste) måte mange gir informasjon. Det er også gitt bøter fra Datatilsynet for informasjon som kunne vært gitt i personvernerklæringen.

Erklæringen er også en virksomhets «ansikt utad» for personvern. Er erklæringen dårlig, så er det stor sannsynlighet for at det står dårlig til med annet knyttet til personopplysninger. Dette ser kunder, leverandører og andre. Og Datatilsynet.

Men mange erklæringer er ikke gode nok, så nedenfor er en sjekkliste for hva skal være med i informasjonen om behandling av personopplysning, og det som da kan tas inn i personvernerklæringen.

Sjekklisten dekker kravene etter GDPR, men det kan være krav andre krav til innholdet i personvernerklæringen i tillegg. Spesielt for virksomheter som har mer kompleks og omfattende behandling av personopplysninger.

Husk også at informasjonen skal gis på en «kortfattet, åpen, forståelig og lett tilgjengelig måte og på et klart og enkelt språk» ifølge GDPR. Dette stiller krav til hvordan erklæringen skrives, og det er ofte vanskelig å få til at erklæringen dekker alt og er samtidig kortfattet og forståelig.

For at erklæringen skal være dekkende, kan man kontrollere at alt i behandlingsprotokollen etter GDPR artikkel 30 er med i erklæringen (mer om denne i senere post, så følg meg for å få den med deg).

Og ikke la deg lure: Det er ikke mulig å «autogenerere», kopiere eller lage en personvernerklæring ut fra en standard. Det må arbeid til, men det kan spare tid og penger å bruke noen som kjenner kravene og som har laget personvernerklæringer før. Det kan gjøre at viser at man har kontroll og at man gir informasjon som man skal etter GDPR.

Sjekklisten kan lastes ned her.

PS! Denne sjekklisten kan klart forbedres etter det som skrives om sjekklister ovenfor. Men skomakerens barn…

Bruk av Meta Pixel og tilsvarende på nettsider om helsetjenester mv.

Dette burde være enkelt: Har du en nettside som med helseinformasjon, så bør du ikke bruke løsninger som viser hva besøkende på nettsiden har vært interessert i.

Som jeg har skrevet her før, så er det mange som driver innenfor helse som bruker ulik sporingsteknologi på sine nettsider, bl.a. Meta (tidligere Facebook) Pixel. Slike løsninger gir tredjepart, som Meta, informasjon om hvilke nettsider som besøker nettsidene er interessert i. Martin Gundersen og Ine Julia Rojahn Schwebs viser hvor ille det kan gå i denne artikkelen.

Jeg har derfor laget en enkel oppskrift på hvordan man skal forholde seg om man har tilbyr tjenester eller produkter knyttet som være relatert til helse på nettsidene.

  1. Sjekk om du bruker Meta Pixel eller tilsvarende løsninger som sporer brukere av nettsidene. Dette kan enten stå i din personvernerklæring (hvis du har vært flink) eller så kan du sjekke selv enten ved å gå inn på cookies i din browser. For å avdekke Meta Pixel spesielt, kan du gå inn i koden på nettsiden og søke etter «Pixel» eller installere dette verktøyet.
  2. Bruker du Meta Pixel (eller tilsvarende løsninger som sporer brukere): Ta det vekk selv eller få noen til å hjelpe deg med å fjerne det.
  3. Bruker du ikke Meta Pixel mv.: Fint, og tenk deg om to ganger før du bruker noe slikt. Det finnes andre verktøy som gir god informasjon om bruk av nettsidene uten at det samles inn eller utleveres opplysninger om enkeltpersoner. Ovennevnte er også i tråd med Datatilsynets anbefaling om å gjennomgå bruken av sporingsteknologi på nettsider (se artikkelen nedenfor). Det er ennå mange som bruker Meta Pixel. Etter en sjekk som tok ca. 10 minutter fant jeg et titalls psykologer som bruker Meta Pixel og andre sporingsløsninger.

Det er for øvrig ikke tillatt å bruke Meta Pixel til helsetjenester eller dele sensitive opplysninger som helseopplysninger med Meta etter Metas egne brukervilkår. Det er ingen grunn til at en psykolog (eller andre som driver med helsetjenester) skal bruke slike løsninger, så her bør man rydde opp! Kanskje særlig før Datatilsynet banker på døra.

Forstås personvernregelverket for strengt?

Viviane Reding (kommissær i Europakommisjonen fra 1999 til 2014) uttaler at GDPR ble laget for å beskytte EU-borgere mot Big Tech & Goverment, og ikke for den lokale slakteren eller fotballklubben.

Hun sier også: «Dessverre så de nasjonale og regionale tilsynsmyndighetene og mer på detaljer enn de virkelige problemene med de store plattformene.» (For originaltekst, se video her).

Det er derfor bra at tilsynene nå ser mer på de store plattformene, som også vårt Datatilsyn gjør.

At tilsynene ser for mye på «detaljer» er ikke primært en utfordring for vårt Datatilsyn (det er andre tilsyn der ute som bør heller løfte blikket), selv om det kan gjøres noe enklere for mindre virksomheter ved å lage flere maler og eksempler.

Det er grunn til å minne om det som står i fortalepunkt 13 i GDPR:

«Videre oppfordres Unionens institusjoner og organer samt medlemsstatene og deres tilsynsmyndigheter til å ta høyde for de særlige behovene til svært små, små og mellomstore bedrifter ved anvendelsen av denne forordning.»

Og det er også flere eksempler i forordningen om at regelverket og tiltak må gjøres enkelt for små og mellomstore bedrifter å følge. Dette bør følges opp av myndighetene, for det er mange der ute som sliter med å følge regelverket.

Se videoen av Reding, kommenter og les kommentarer på LinkeIn-posten.

Varsel om personvernbrudd

Skjer det et brudd på personopplysningssikkerheten (personvernbrudd), skal dette varsles til Datatilsynet uten ugrunnet opphold og om mulig innen 72 timer, se GDPR artikkel 33. Ved et personvernbrudd tikker altså klokka, og ting må skje rimelig raskt og effektivt. Det må innhentes informasjon, vurderes om det skal sendes varsel til Datatilsynet, vurderes hvem som skal varslet, innholdet i varsel, og ikke minst sende inn varselet. Det vil trolig komme inn nær 1000 varsler til Datatilsynet innen årets utløp.

I denne artikkelen gis det en oversikt over reglene for varsel, slik at man har en oversikt når det må vurderes å sendes et varsel. Det er også tatt inn mal for rutiner for personvernbrudd og varsel, samt arbeidsdokument for varsel, til slutt i artikkelen.

Les artikkelen her.

Personvern skal ikke stanse viktige tiltak

GDPR og personvernet skal ikke stanse viktig forskning, bruk av (ny) teknologi eller effektiv helsebehandling. Men det skjer hele tiden! Og det skyldes ofte feil bruk av personvernreglene.

Bouvet ASA har kommet med en rapport på Arendalsuka (nei, jeg var ikke der, og det virker som jeg var den eneste her på LinkedIn som ikke var der 🤔) som viser at personvernet ofte går foran pasientrettigheter. Sistnevnte er bl.a. at man har krav på en riktig behandling. Det fører til at helsepersonell ikke får den informasjonen de trenger for å gi riktig behandling. Hele 86 % av leger i kommuner opplever at de ikke får nødvendig informasjon.  

Jeg har skrevet om dette tidligere (bl.a. for fem år siden her: https://lnkd.in/dhk857sa), men det er grunn til å minne om det igjen:

Personvernregelverket skal være til støtte for personvernet, og IKKE stoppe fornuftig og viktige tiltak og arbeid. Det meste lar seg gjøre, bare det gjøres riktig innenfor regelverket. Og regelverket har et stor handlingsrom bare man bruker det.

Man må alltid ta risiko ved behandling av personopplysninger. Ifølge rapporten er det imidlertid en forventning om at det skal være ingen risiko. Det er en fullstendig feil forståelse av personvernregelverket, og kan føre til at viktige tiltak og arbeid stanses.

Jeg opplever nesten ukentlig at det kreves at det gjennomføres omfattende risikovurderinger (DPIA) ofte med den forventning at det ikke skal være noen eller ekstrem liten risiko. Dette gjelder spesielt offentlige virksomheter som i stat og kommune, og skyldes kanskje «ansvarsfrykt» som ofte rår der.

Dette kan stanse viktig forskning, innføring av it-løsninger til det beste for helsepersonell og pasienter, at det gis informasjon som kan bedre behandling osv. Dette fordi man opplever at gjennomføring av risikovurderinger er for omfattende og krevende, og det er ikke ressurser til arbeidet. Ofte aksepteres ikke risikovurderinger gjort av andre, som leverandører, siden vurderingen skal «gjøres selv». Eller så er det et personvernombud som stritter imot, ofte uten nærmere begrunnelse.

Konsekvensen er at viktig forskning, hjelpemidler gjennom (ny) teknologi, eller informasjon ikke kommer til nytte. Og da ofte basert på en feil forståelse av personvernregelverket. Regelverket er ikke så strengt, og det meste går. Har noen gjort en rimelig god risikovurdering, bør man kunne stole på denne uten å gjøre fullstendig ny vurdering selv. Og det må aksepteres risiko, når man har forsøkt å redusere denne mest mulig og vurdert risikoen mot fordelene ved aktiviteten. Det er veldig sjelden at behandlingen av personopplysninger er så krevende at nødvendige tiltak ikke kan gjøres. Så her må noen trekke pusten dypt, og revurdere.

Rapporten er bra lesing med mange gode eksempler: https://www.bouvet.no/bouvet-deler/star-personvernet-i-veien-for-pasientsikkerheten.

Se også posten på LinkedIn med kommentarer.

Se også

  • Nye regler om cookies i ekomloven, som følger opp EUs cookie-regler vil gi dårligere kontroll på egne personopplysninger. Rune Opdahl har – som vanlig – gode betraktninger om at både de nye norske reglene og EUs regler om cookies vil virke mot sin hensikt. Brukerne vil umulig forstå hva de samtykker til, og da er ikke samtykket gyldig. I stedet bør man se på å forby innsamling av visse personopplysninger og bruk av visse cookies (se til Meta-sakene). Men det krever at myndighetene våker både i Norge og EU. De reglene vi har i dag i Norge var faktisk kanskje bedre enn de vi får nå, hvor de nye reglene vil gi falsk trygghet. Og med de nye reglene blir vi ikke kvitt de håpløse cookie-bannerne. Bare det bør være nok til at lovgiver tenker seg om. Les innlegget i DN her.
  • Lovgivning knyttet til AI/KI. Og Rune har også bra artikkel om at vi allerede har lovgivning som dekker bruken av AI/KI i Norge. Les innlegget her.
  • Nye regler om cookies i ekomloven. Vebjørn Søndersrød har en bra oppsummering av de nye reglene i ekomloven vedrørende cookies og lignende teknologier. Dette vil medføre endring i Norge som vil merkes. Ihverfall for de som bruker cookies, og spesielt til analyse- og markedsføringsformål. For besøkende av nettsider endres lite; vi må fortsette å klikke for å få vekk de evinnelige bannerne. Les innlegget her.
  • Logger – hva er lov? God artikkel om bruk av logger som sikkerhetstiltak etter GDPR, herunder om det er lov å logge, hvor lenge logger kan lagres, hva som kan logges osv. av Hanne Pernille Gulbrandsen og Ole Martin Moe. Les artikkelen her.

Dette nyhetsbrevet kan også leses på min nettsider, hvor det kan lastes ned som pdf.

Se også mer om GDPR og annet på mine nettsider på sandtro.no, hvor det også er en oversikt over personvernforordningen (GDPR) med relevante fortalepunkter og informasjon knyttet til hver enkelt artikkel.

For rettigheter og bruk av innholdet over, se her: https://sandtro.no/rettigheter/.

Litt legal stuff: Ovenfor er det kun nyheter og informasjon som ikke må forstås som juridiske råd. Overholdelse av lover og regler er vurderinger som den enkelte må gjøre basert på den konkrete behandling av personopplysninger, eventuelt gjennom å søke bistand av ekspertise.