Her følger en ny utgave av nyhetsbrevet om GDPR, personvern og annet innenfor teknologi og juss.
Innhold denne gangen er bl.a.: Cookies! Igjen…, overføring av personopplysninger til USA, revisjon av GDPR, krav til personvernombud – bot til Telenor, retten til å gå og plikten til å gi informasjon, rettigheter ved automatiserte avgjørelser og portabilitet, erstatningskrav for bruk av personbilde uten samtykke, lov om digital operasjonell motstandsdyktighet i finanssektoren (DORA-loven), EUs personvernråd (EDPB) med koordinert tiltak for retten til å slette personopplysninger, avgjørelser fra EU-domstolen, avgjørelser fra Personvernnemda, avgjørelser fra Datatilsynet, om kunstig intelligens, øvrige nyheter, og noe til slutt…
Cookies! Igjen…
Datatilsynet har kommet med veileder på bruk av cookies. Denne tar for seg i hovedsak utfordringene med samtykke knyttet til cookies, som er mest vanskelig, om ikke umulig, ved bruk av cookies…
Veilederen gir en systematisk gjennomgang av kravene til cookies og samtykker, og kan tjene til en guide eller sjekkliste for å kontrollere bruken av cookies og samtykke på egen nettside. En slik gjennomgang bør gjøres så snart som mulig – før Datatilsynet tar en kontroll…
Noen takeaways fra veilederen:
- Det er Datatilsynet som vurderer om samtykket er tilstrekkelig. Nkom har tilsyn på det tekniske ved bruk av cookies.
- Samtykke må innhentes før det settes noen cookies (utenom for bruk av særlige nødvendige cookies, hvor man ikke trenger eller bør ha samtykke).
- Eieren av nettsiden har ansvar for alle cookies på nettsiden og kan ha felles behandlingsansvar for bruk av cookies fra tredjeparter.
- Det må gis dekkende og klar informasjon om bruken av cookies (se detaljer i veilederen) og bruke klart og enkelt språk (også på knappene).
- Det bør heller bruke egen cookie-erklæring/lagvis informasjon enn mye informasjon i selve samtykkeløsningen.
- Ikke bruk samtykke som vilkår for tilgang til nettsiden («cookie-wall»). Brukeren må allikevel interagere med samtykkeløsningen og enkelt kunne avvise denne.
- Å avgi samtykke og avvise dette må være på samme «lag» i løsningen, og det må være lett å avvise å gi samtykke.
- Knytt samtykket til formålet for bruken av cookies/personopplysninger og helst enkeltcookies (dette blir nok en utfordring ved bruk av mange cookies knyttet til kravet om klart og enkelt samtykke… Tips: Fjerne cookies som ikke brukes/det er klart behov for).
- Det skal være enkelt å trekke samtykket, og dette må også gjelde for informasjon overført ved bruk av tredjepartscookies (dette kan bli tricky for mange løsninger…)
- Gjennomgå bruken av cookies ved jevne mellomrom
Ellers har veilederen praktiske eksempler på utforming av samtykkebokser/-løsninger og tekster.
Det står for øvrig i veilederen: «Dersom virksomheten din behandler personopplysninger gjennom bruk av informasjonskapsler, kan andre rettslige grunnlag i personvernforordningen enn samtykke nesten aldri brukes for videre behandling av slike personopplysninger.» Dette høres noe merkelig ut, siden berettiget interesse vil også være et aktuelt grunnlag i mange tilfelle. Men dette er sjelden et problem i praksis siden samtykket dekker som regel behandlingen av personopplysninger også, men kan da ha betydning om samtykke trekkes.
Overføring av personopplysninger til USA
Det svenske datatilsynet, IMY, har kommet med veiledning om Data Privacy Framework (DPF), som er stort sett tilsvarende som den veiledning det norske Datatilsynet kom med (se siste nyhetsbrev). Denne innebærer en anbefaling om man skal ha en exit-strategi fra amerikanske it-leverandører.
Og det har vært debatten i Norge i det siste etter at det norske Datatilsynet da også anbefalte en exit-strategi. Digitaliseringsministeren mener imidlertid at ingenting tyder på at DPF vil falle bort, og at man ikke bør ha noen exit-strategi. Mens teknologene mener at en exit fra amerikanske tjenester vil ta minst 10 år. Mange av de offentlige virksomhetene har allerede tenkt på hva hvis man ikke kan overføre personopplysninger til bl.a. USA, men det er ikke uten utfordringer om noe slikt skulle skje pga. manglende alternativer. Datatilsynet selv har imidlertid løsninger som gjør at de ikke overfører personopplysninger til USA, og bruker bl.a. ikke Microsoft 365. De amerikanske levererandørene på sin side mener (selvsagt) at en exit-strategi ikke er nødvendig. Så hver og en får kanskje gjøre opp sin mening om hva de bør gjøre…
Dette gjør at det spøker – enda mer – for DPF og overføring av personopplysninger til USA. I tillegg har Trump nå fjernet medlemmene fra det Demokratiske partier fra Federal Trade Commission (FTC) som er ett av de tre tilsynsorganene for DPF. Dette som en del av tiltak for å legge føderale tilsyn under presidentens kontroll. Det viser seg også at de store teknologileverandørene i USA deler millioner av brukerkontoer med amerikanske myndigheter.
EU-kommisjonen har for øvrig ikke kommentert at Donald Trumps beslutninger som påvirker U.S. Privacy and Civil Liberties Oversight Board Democrats og andre forhold med betydning for DPF.
I mitt forrige nyhetsbrev skrev jeg at det såkalte «Project 2025», som synes å være Trumps veikart, ikke nevner EO14086. En våken leser gjorde meg oppmerksom på at dette ikke var riktig. På side 226 i Project 2025 står det (min utheving):
The United States has never seriously pushed back against the EU; now is the time. An incoming President should ask for an immediate study of the implementation of Executive Order 14086 and suspend any provisions that unduly burden intelligence collection. At the same time, in negotiations with the Europeans, the United States should make clear that the continued sharing of intelligence with EU member states depends on successful resolution of this issue within the first two years of a President’s term. It is time for a real solution, not the 30 years of stopgaps imposed by Brussels.
Og neste måned kan det komme opp en sak for EU-domstolen på om DPF kan fortsette å være grunnlag for overføring til USA, eller om det blir ugyldig. DPF er også tema i det neste møtet i EUs personvernråd (EDPB).
Men visstnok blir det ingen Schrems III-dom, siden Max Schrems mener at Trump-administrasjonen vil selv ødelegge for DPF. Uansett vil nok det, sammen med Trumps toller, gjøre vondt for amerikanske tech-giganter, så det var kanskje ikke så lurt å støtte Trump?
Revisjon av GDPR
Om personvernforordningen skal revideres er et stadig tilbakevendende tema, men EU-kommisjonen har uttalt at det ikke vil skje noen revisjon med det første (se nyhetsbrev 09b.2024). Det er imidlertid en del av EU-kommisjonens «pakke» for å revidere og forenkle digital lovgivning som skal fremlegges i fjerde kvartal i år, som kan også kan omfatte GDPR. Også enkelte datatilsyn, som det svenske, har uttalt at tiden er moden for en revisjon av GDPR. Sistnevnte uttaler (oversatt til norsk):
I Sverige er det en utbredt oppfatning at personvernforordningen er vanskelig å anvende og medfører en stor administrativ byrde, selv når personvernrisikoene er små. For å sikre en effektiv beskyttelse av personvernet, må regelverket gjennomgås slik at det gir et solid personvernvern der risikoene er størst, samtidig som det ikke skaper unødvendige hindringer for innovasjon og bruk av ny teknologi.
Tilsvarende tanker har et tysk parlamentsmedlem støttet av Max Schrems i NOYB fremmet forslag til tiltak for å bedre GDPR.
Tiltakene går bl.a. ut på at kravene til GDPR skal tilpasses til virksomhetens størrelse. I dag er det samme krav til GDPR for et enkeltpersonforetak som behandler i liten grad personopplysninger som en virksomhet med flere tusen ansatte som behandler omfattende sensitive opplysninger. Praktiseringen er ulik, men kravene er de samme.
En slik tilpasning gjøres bl.a. i Digital Services Act, og forslaget går ut på at 90 % av virksomheter bør ha enklere krav, et normalt lag for virksomheter som «behandler sensitive data eller driver større virksomhet» med personopplysninger. Og så virksomheter som har som en vesentlig del av virksomheten å bruke personopplysninger, som f.eks. annonsører og sosiale mediaplattformer.
Det siste nå – i lyst av Trumps krumspring – er at EU-kommisjonen har snudd og skal gjøre en revisjon av GDPR og kommer med et forslag iløpet av de neste to ukene. Dette er et forsøk på å gjøre europeiske virksomheter mer konkurransedyktig overfor amerikanske og asiatiske virksomheter, og kanskje et svar på USAs utspill (som at «GDPR påfører små amerikanske virksomheter endeløse kostnader»). GDPR har vært bra – og kontroversielt – og det er vel ikke mange som vil mene at dette er et regelverk som passer alle virksomheter, uavhengig av størrelse. Så det blir spennende hva som kommer ut av revisjonen.
Krav til personvernombud – bot til Telenor
Datatilsynet har kommet med en avgjørelse hvor Telenor gis pålegg og overtredelsesgebyr («bot») knyttet til etablering av personvernombud i teleselskapet. Saken gjaldt at Telenor bl.a. hadde organisert personvernombudrollen på en måte som ikke var i overensstemmelse med GDPR og hadde manglende rutiner og dokumentasjon. Telenor fikk derfor en bot på kr 4 millioner for enkelte forhold.
Personvernombudet var delvis personvernombud og delvis advokatfullmektig i Telenor ASA, og det var da spørsmål om dette var en tilstrekkelig uavhengig rolle og om ombudet rapporterte direkte til ledelsen i selskapet. Et personvernombud kan etter GDPR ha andre oppgaver, men disse oppgavene må ikke komme i interessekonflikt med ombudsrollen. Dette var tema i avgjørelsen, og tilsynet konkluderte ikke om det var en direkte konflikt mellom å være en del av juridisk avdeling og være ombud, men det må sikres gjennom rutiner og konkrete vurderinger at det ikke skjer noen interessekonflikter.
Datatilsynet fant også at Telenor ikke hadde gitt vedkommende tilstrekkelige ressurser til å gjennomføre sine oppgaver (50 % stilling), siden rollen nok krevde mer tid enn vedkommende hadde til rådighet ved siden av de øvrige oppgavene. Vedkommende hadde heller ikke tilstrekkelige muligheter til å rapportere til øverste ledelse i selskapet, reelt og formelt gjennom retningslinjer, som var et brudd på GDPR.
I tillegg var det mangler ved internkontrollen og interne rutiner, spesielt knyttet til personvernombudsrollen og dokumentasjon av denne, og behandlingsprotokollen som skal lages etter GDPR artikkel 30 var mangelfull. Telenor kunne heller ikke dokumentere at det var gjort vurdering av om det var noen plikt til å ha personvernombud (dette gjaldt Telenor ASA, og ikke de deler av konsernet som har millioner av kunder), spesielt siden det var oppnevnt ombud, og det deretter ble besluttet å ikke ha etter tilsynssaken ble åpnet.
PS! Jeg har tidligere vist til oversikten over personvernombud som Datatilsynet har på sine nettsider. Et raskt søk her viser at det er mange som trolig ikke trenger personvernombud, men som allikevel har det. Selv om man ikke trenger ombud, og har oppnevnt det frivillig, så gjelder kravene til personvernombud i GDPR. Man utsetter seg derfor unødvendig for risiko, så mange bør nok revurdere om de skal ha personvernombud i lys av avgjørelsen overfor Telenor.
Retten til å gå og plikten til å gi informasjon
Datatilsynet har – i tillegg til veileder for cookies, se ovenfor – kommet med veileder for retten til å få informasjon om hvilken behandling som gjøres med personopplysninger. Dette er den informasjonen som den som personopplysningene gjelder (den registrerte) har rett til å få av behandlingsansvarlig om behandlingen av personopplysninger etter GDPR artikkel 12 til 14.
Som del av oppdateringen ovenfor har Datatilsynet også oppdatert veilederen for behandlingsansvarliges plikt til å gi informasjon, dvs. uten at den registrerte krever informasjon. Slik informasjon gis som regel gjennom personvernerklæringen, så veilederen kan være en grei påminnelse for å gå gjennom personvernerklæringen for å se om denne er i henhold til regelverket. Men det er viktig å minne om at det er ikke nok å gi informasjon på personvernerklæringen, siden den registrerte bl.a. skal ha informasjon når personopplysninger samles inn. Så det bør sees på andre måter å gi informasjon enn å ta inn på personvernerklæringen.
Se også sjekkliste for personvernerklæring som kan lastes ned på mine nettsider.
Rettigheter ved automatiserte avgjørelser og portabilitet
Datatilsynet har stått på i det siste, og har også oppdatert veilederen for de registreres rettigheter ved automatiserte avgjørelser.
Automatiserte avgjørelser er når det gjøres vurderinger av it-systemer gjennom algoritmer som har betydning for personer. Eksempler på dette er at lån eller forsikring avgjøres av it-systemene til bank eller forsikringsselskap. Eller når NAV avgjør om man skal få trygd gjennom sine it-systemer.
Å bruke slike automatiserte avgjørelser er som utgangspunkt ikke tillatt, men det er unntak, som da følger av veilederen. Hvilke rettigheter man har når det tas slike avgjørelser er også behandlet i veilederen.
Datatilsynet har også kommet med en oppdatert veileder på dataportabilitet, dvs. retten til å ta med personopplysninger én tjeneste til en annen gjennom utlevering for så å dele opplysningene med andre. Ikke en veldig benyttet rettighet, og som er omtalt å være mer en konkurranserettsbestemmelse enn en personvernbestemmelse. Men denne får kanskje mer relevans i fremtiden etter hvert som samfunnet blir ytterligere digitalisert, spesielt i det offentlige.
Erstatningskrav for bruk av personbilde uten samtykke
Etter åndsverksloven § 104 kreves det samtykke for gjengivelse og offentlig bruk av bilder av personer (med noen unntak). Denne bestemmelsen er omtalt som en personvernregel som er kommet inn i åndsverksloven og gjelder da i tillegg til personvernreglene ellers. Spesielt med denne regelen er at den klart krever samtykke for en type behandling i motsetning til bl.a. GDPR artikkel 6.
Et selskap hadde brukt et bilde av en ansatt i markedsføring i aviser og på sosiale medier både mens og etter personen var ansatt. Den ansatte krevde erstatning, og saken kom opp for Oslo tingrett.
Retten mente at den ansatte hadde samtykket til bildebruken ved å stille opp til bildetaking siden den ansatte var klar over hensikten med at det ble tatt bilder og hva de skulle brukes til, dvs. markedsføring. Men at det sto i arbeidsavtalen at det kunne benyttes bilder av ansatte var ikke tilstrekkelig samtykke.
Da den ansatte sa opp jobben sin, uttrykte vedkommende at bilder av bildene skulle slettes og ikke brukes lenger. Retten mente med dette at samtykket var trukket, og videre bruk da var brudd på åndsverkloven § 104 og personvernreglene. Retten tilkjente vedkommende en erstatning på kr 20.000 og siden bruken var svært begrenset og hadde ikke negative konsekvenser for den ansatte, hadde vært lovlig en periode, og at bruken hadde ganske liten verdi for selskapet.
Lov om digital operasjonell motstandsdyktighet i finanssektoren (DORA-loven)
Det er kommet forslag til lov som skal implementere EU-forordningen Digital Operational Resilience Act (DORA) – forordning (EU) 2022/2554. Forordningen implementeres i norsk rett gjennom en kort lov (6 paragrafer) – som ofte gjøres ved implementering av forordninger. Det gjøres også endringer i hvitvaskloven for om opplysninger som skal følge overføringer av penger og visse kryptoeiendeler (gjennomføring av «Transfer of Funds Regulation» TFR II).
Foretakene i finanssektoren i Norge har i mange år vært underlagt regelverk og tilsyn som skal bidra til en høy grad av IKT-sikkerhet, enten foretakene drifter løsningene selv eller har utkontraktert dette til IKT-leverandører. Dette har særlig vært gjennom IKT-forskriften fra 2003, og gjennom Finanstilsynets veiledere og pålegg, som har stilt omfattende krav til foretakenes risikostyring, hendelseshåndtering og bruk av IKT-leverandører.
De nye reglene gjennom DORA-loven vil da føre til nye krav til sikkerheten i nettverks- og informasjonssystemer, hvor det kommer krav til foretakenes risikostyring, avtaler om bruk av IKT-tjenester, felleseuropeisk overvåking av kritiske IKT-leverandører og tilsyn og tilsynssamarbeid ved harmonisering av krav til IKT-sikkerhet i finansielle foretak i Europa.
Tradisjonen tro, innføres det også omfattende overtredelsesgebyr ved brudd på loven (siden den er basert på en EU-forordning) på inntil kr 50 mill. for overtredelse av visse bestemmelser i loven.
Det er ikke klart når loven vil tre i kraft, men saksbehandlingen i Stortinget kan følges her.
EUs personvernråd (EDPB) med koordinert tiltak for retten til å slette personopplysninger
EDPB har regelmessig et koordinert tiltak mellom tilsynene i de enkelte land (Coordinated Enforcement Framework (CEF)), som er en del av EDPBs strategi. I fjor var det retten til innsyn, og i år vil det være retten til å få sine opplysninger slettet etter GDPR artikkel 17. Bakgrunnen er at dette er en av de mest brukte rettighetene etter GDPR.
Tiltaket vil gjennomføres ved at tilsynsmyndighetene vil kontakte et utvalg behandlingsansvarlige fra ulike sektorer i hele Europa, enten gjennom nye undersøkelser eller innsamling av fakta. I sistnevnte tilfelle kan det besluttes å iverksette ytterligere oppfølgingstiltak om nødvendig.
Så vil tilsynene undersøke hvordan behandlingsansvarlige håndterer og besvarer forespørsler om sletting av personopplysninger, og spesielt hvordan de anvender vilkårene og unntakene for denne rettigheten.
Tilsynene vil opprettholde tett kontakt gjennom året for å dele og diskutere funnene fra de nasjonale tiltakene, og resultatene vil bli samlet og analysert for å gi en dypere innsikt i temaet, noe som vil legge til rette for målrettede oppfølgingstiltak både på nasjonalt og EU-nivå.
Avgjørelser fra EU-domstolen
Rettighetene til transpersoner knyttet til GDPR var tema i ny sak i EU-domstolen (C-247/23 Deldits), hvor det ble slått fast at krav om medisinsk dokumentasjon for juridisk kjønnsskifte kan være i strid med GDPR. Dommen viser at slike krav bryter med prinsippet om dataminimering i artikkel 5(1)(c) og innebærer behandling av særlige kategorier personopplysninger etter artikkel 9. Domstolen understreker at kjønnsidentitet kan registreres uten at det fremkommer helsedata.
Kontaktopplysninger for representanter for juridiske personer (som selskaper) er personopplysninger, er en noe mindre overraskende konklusjon i en annen avgjørele fra EU-domstolen (C-710/23 Ministerstvo zdravotnictvi). Det understrekes i dommen at behandling av slike data må ha et gyldig rettslig grunnlag, som for eksempel oppfyllelse av en rettslig forpliktelse eller utførelse av en oppgave i allmennhetens interesse. Videre påpeker domstolen at nasjonale krav om å informere og konsultere den registrerte før offentliggjøring av slike opplysninger må være i samsvar med GDPRs bestemmelser.
For oversikt over avgjørelser i EU-domstolen, se her: https://sandtro.no/kilder/dommer/cjeu/.
Avgjørelser fra Personvernnemda
Grensene for rettspleielovunntaket var tema i en nylig avgjørelse i Personvernnemda. Datatilsynet hadde vedtatt at Husleietvistutvalget skulle gi en person innsyn i dennes personopplysninger, men utvalget mente at behandling av personopplysninger i tvist om leie av bolig anses å være unntatt av personvernlovgivningen etter det såkalte rettspleielovunntaket i personopplysningsloven § 2(2)(b). Etter denne bestemmelsen så gjelder ikke personopplysningsloven og personvernforordningen for for saker som behandles eller avgjøres i medhold av rettspleielovene (domstolloven, straffeprosessloven, tvisteloven og tvangsfullbyrdelsesloven mv.). Nemnda går dypt inn i EØS-lovgivningen i vedtaket og kommer til at tvistebehandling etter husleieloven ikke omfattes av rettspleieunntaket. Nemnda kom også til at kompetansebegrensningen i GDPR artikkel 55(3) gjorde ikke at Husleietvistutvalget ikke skulle behandle innsynskravet.
Automatisk skiltgjenkjenning ved bom har rettslig grunnlag i GDPR artikkel 6(1)(f), dvs. berettiget interesse, følger av en annen avgjørelse i Personvernnemda. Det er således en berettiget interesse å bruke automatisk skiltgjenkjenning for å kreve inn bompenger til vedlikehold av vei, og behandlingen av personopplysninger er nødvendig for denne interessen. Behandlingen av personopplysninger ble vurdert som beskjedent, og det var etablert alternative løsninger som hvitlisting og betaling på stedet. Nemnda fant at det ikke er noen mindre inngripende alternativer som er bedre egnet enn automatisk skiltgjenkjenning. Informasjonsplikten etter GDPR artikkel 13 ved skiltgjenkjenning ble også behandlet, som ble ansett som oppfylt.
Manglende klagerett var grunnlag for avvisning av klage til Datatilsynet i en annen sak. Bakgrunnen var en person som klaget på en app, men det var frivillig å bruke appen, vedkommende hadde reservert seg for bruk og hadde ikke brukt appen. Det var ikke behandlet personopplysninger om vedkommende, og denne kunne da ikke klage på behandlingen. Dette er tilsvarende som i en rekke saker som er brakt inn for Personvernnemda.
Manglende behandling fra Datatilsynets side var resultatet i en neste sak behandlet av Personvernnemda. Datatilsynets vedtak om avslutning av sak ble klaget inn, siden tilsynet hadde avsluttet saken ved at det sannsynliggjort at lovens vilkår for innsyn i personopplysninger ikke var oppfylt. Nemnda mente at tilsynet hadde tolket loven feil, ved at spørsmålet i saken var om lovens vilkår var oppfylt, og ikke om vilkårene ikke er oppfylt. Nemnda uttalte seg også om forskjellen på rettsanvendelse og bevisbedømmelse. Videre fant nemnda at vedtaket fra tilsynet ikke oppfylte kravene til begrunnelse i forvaltningsloven. Datatilsynets vedtak ble derfor opphevet og sendte tilbake for ny behandling.
For oversikt over avgjørelser fra Personvernnemda, se her: https://sandtro.no/kilder/dommer/personvernnemda/.
Avgjørelser fra Datatilsynet
Slapp bot pga. lang behandlingstid. Grimstad kommune hadde delt opplysninger om en varsler tilgjengelig. Kommunen ble for dette ilagt et overtredelsesgebyr («bot») fra Datatilsynet på kr 200.000, men har nå blitt fritatt fra boten siden tilsynet har brukt lang tid på å behandle saken. Datatilsynet anser allikevel at det er alvorlig at kommunen har publisert taushetsbelagte opplysninger om en varsler uten rettslig grunnlag, som tilsynet mener kan bidra til å svekke tilliten til varslingsinstituttet og kommunen. Kommunen har etter hendelsen iverksatt tiltak ved å endre rutiner rundt datasikkerhet og ansatt informasjonssikkerhetsrådgiver.
Avsløring av lekkasje til media er ikke tilstrekkelig grunnlag for innsyn i epost følger det av vedtak fra Datatilsynet overfor Politiets IT-enhet (PIT). Det noe spesielle i saken var at ansatt i PIT brukte en antivirusløsning for å spore opp en annen ansatts oversendelse av epost til media. Det var derfor kun metadata som ble avdekket, og ikke innholdet i eposten. Selv om det var en ansatt som gjorte sporingen uten involvering fra ledelsen, var det likefullt et brudd fra PITs side mener Datatilsynet. Dette fordi det var manglende bevissthet om slik opptreden i organisasjonen, og innsynet manglet behandlingsgrunnlag fra PITs side. Også overvåking av den ansattes bruker-ID ble ansett å være et brudd på lovverket. Det ble imidlertid ikke pålegg eller bot for PIT, siden tilsynet forutsetter at det kommer tiltak fra enhetens side.
Om kunstig intelligens
Trening av AI på dommer/rettsavgjørelser. Advokatbladet har en artikkel med utfordringene for å bruke AI på dommer og rettsavgjørelser pga. muligheter for å identifisere parter. En utfordring som kommer frem i artikkelen er at AI hallusinerer og dikter opp dommer, som amerikanske advokater har erfart.
Bruk av AI for journalføring hos leger er tema i artikkel i Universitas. I artikkelen uttaler Datatilsynet at dette er rent prinsipielt et støtteverktøy og teknologien brukes fordi den er ressursbesparende. Datatilsynet mener det er for tidlig å si noe generelt om mulig mislighold ved bruken av teknologien, men at dette er et område de følger med på. Det er uansett viktig at pasientene informeres om bruken av AI på forhånd på en forståelig måte. Samtidig er mange positive til bruk av kunstig intelligens som stille medisinske diagnoser og foreslå behandling (se forrige nyhetsbrev).
Gjør AI reelle bevis verdiløse? Er tema i et interessant innlegg fra Gabriel Qvigstad Trampe i TU.no. Bakgrunnen for diskusjonen er at med bruk av AI-genererte bilder, hvordan vet man at ekte bilder virkelig er ekte, slik som i rettssaker. Granskning av digitale bevis har vært et tema i domstolene over lang tid, og siden dette er et teknisk problem, må man også satse på tekniske løsninger. Uansett interessant debatt som nok vil fortsette så lenge vi har teknologisk utvikling…
Seks spørsmål om kunstig intelligens, med noen svar er kommet ut fra erfaringer fra Datatilsynets sandkasse for kunstig intelligens. Spørsmålene går på om man kan bruke personopplysninger i løsninger med AI, kan bruk av AI løses med anonymisering, kan AI bidra til dataminimering, hvordan skaper algoritmer urettferdighet, hvem har ansvaret – leverandøren/utvikler eller kunden som bruker og hvorfor må personverntiltak tidlig på plass i utviklingen?
Øvrige nyheter
Veileder for anonymisering er kommet fra det britiske datatilsynet, ICO. Denne er veldig praktisk og nyttig, og kan være et alternativ til EUs personvernråds veileder på samme område, som er blitt kritisert for å være lite praktisk og til tider uforståelig.
Norske utviklere mangler praktiske retningslinjer for personvern viser en studie fra NTNU. Til tross for økt fokus på personvern og innføringen av regelverk som GDPR foreligger det ikke retningslinjer for utvikling som hensyntar personvern. Ifølge studien mente 70 % av de spurte at de hadde god kunnskap om personvern og GDPR, men de hadde mindre tiltro til at organisasjonen hadde godt samarbeid om personvern, at deres team håndterer personvern godt, eller at rammeverkene de bruker tar høyde for personvern. Blant barrierene som ble hyppigst nevnt var manglende kunnskap, manglende prioritet, utilstrekkelig budsjett og tekniske begrensninger, hvor knappe 15 % følte seg tilstrekkelig utstyrte. De mest etterlyste tiltakene var teknisk veiledning, workshoper, bedre samarbeid med eksterne, og mer.
Norge skal bli verdens best digitaliserte land uttaler direktøren for vårt Datatilsyn, Line Coll, i et innlegg i Digi.no. Innlegget kommer på bakgrunn av en debatt om datadeling i Norge, hvor også innlegget fra Yngve Milde og Elias Meling er vel verdt å lese. Sistnevnte mener at Datatilsynet oppleves som «et organ som setter terskelen for akseptabel risiko så høyt at det for mange oppleves som nullrisiko». Coll tilbakeviser dette og presiserer i sitt innlegg at formålet med bl.a. GDPR er nettopp å legge til rette for bruk og deling av data – innenfor trygge rammer, og at Datatilsynet ser på personvern ikke som en hindring, men en ressurs for å sikre forsvarlig digitalisering.
Bruk av skytjenester for advokater. Det er mange advokater som mottar nyhetsbrevet, og det er da kanskje av interesse at den europeiske advokatorganisasjonen for advokater (CCBE) har kommet med veiledning for bruk av skytjenester for advokater.
Grensene for bevissikring mot personvernet etter den europeiske menneskerettskonvensjon (EMK) var tema i en avgjørelse fra Borgarting lagmannsrett hvor retten til å få vite hvem som står bak anmeldelser på Google Maps ble vurdert mot EMK artikkel 8 om retten til privatliv. Domstolen uttaler bl.a.:
Det er, i seg selv, klart ikke rettsstridig å legge igjen anonyme kommentarer og anmeldelser hos plattformer som Google. Ettersom det er adgang til å velge et brukernavn som ikke angir identitet, har privatpersoner en i utgangspunktet beskyttelsesverdig forventning om å være anonyme i sine handlinger på nett.»
Men det kan være grenser for om man skal beholde anonymiteten, bl.a. mot straffbare og ærekrenkende ytringer.
Ordliste for GDPR og personvern er kommet fra det danske datatilsynet. Dansk er ganske likt norsk (i hvert fall skriftlig…), så denne kan muligens være til nytte i Norge også.
Og til slutt…
Produsenten av telefonen Fairphone hadde nylig et personvernbrudd ved personer som meldte seg på som betatestere for telefonen fikk delt sine personopplysninger med andre hadde meldt seg inn.
Ikke en kritisk feil – kun bagatellmessige opplysninger ble delt med 24 personer, men Fairphone ønsket pliktoppfyllende (men unødvendig) å varsle de som var berørt. Dessverre ble varselet sendt ut med alle mottakere på til-feltet i eposten, som førte til enda ett personvernbrudd. Denne gang begått av personvernteamet til Fairphone.
Dette må vel kalles å gjøre seg selv en bjørnetjeneste…
Dette nyhetsbrevet og tidligere versjoner kan også leses på mine nettsider, sandtro.no, hvor det også finnes mer om GDPR, med oversikt over personvernforordningen (GDPR) med relevante fortalepunkter og informasjon knyttet til hver enkelt artikkel samt dokumenter, maler, sjekklister osv. som kan lastes ned.
For rettigheter og bruk av innholdet over, se her: https://sandtro.no/rettigheter/.
Litt legal stuff: Ovenfor er det kun nyheter og informasjon som ikke må forstås som juridiske råd. Overholdelse av lover og regler er vurderinger som den enkelte må gjøre basert på den konkrete behandling av personopplysninger, eventuelt gjennom å søke bistand av ekspertise.
