Varsel om personvernbrudd

Skjer det et brudd på personopplysningssikkerheten (personvernbrudd), skal dette varsles til Datatilsynet uten ugrunnet opphold og om mulig innen 72 timer. Ved et personvernbrudd tikker altså klokka, og ting må skje rimelig raskt og effektivt. Det må innhentes informasjon, vurderes om det skal sendes varsel til Datatilsynet, vurderes hvem som skal varslet, innholdet i varsel, og ikke minst sende inn varselet. Det vil trolig komme inn nær 1000 varsler til Datatilsynet innen årets utløp.

Her gis det en oversikt over reglene for varsel, slik at man har en oversikt når det må vurderes å sendes et varsel. Det er også tatt inn mal for rutiner for personvernbrudd og varsel, samt arbeidsdokument for varsel, til slutt i artikkelen.

Fortsett å lese Varsel om personvernbrudd

Ganske Dårlig Personvern Rådgivning (og IT-løsninger)

Jeg skrev denne artikkelen for 5 år siden, og den gang var utfordringen «personvernrådgivere» som ikke ga spesielt riktige eller gode råd. Resultatet kunne føre til sletting av verdifulle data, økt risiko og redusert omsetning. Det ble solgt inn it-løsninger, standarddokumenter, rutiner som var generelle og vanskelige å etterleve og ofte – dessverre – helt feil råd som eksponerte selskapene for tap og brudd på personvernlovgivningen. GDPR var relativt nytt, og mange kastet seg på bølgen.

Fortsett å lese Ganske Dårlig Personvern Rådgivning (og IT-løsninger)

Ikke vent på AI Act eller annen AI/KI-lovgivning

Vi allerede mye lovgivning som gjelder for kunstig intelligens og som man ikke må glemme. Dette skriver også Rune Opdahl skriver i denne artikkelen.

EU kommer med sin AI Act, som da ikke vil få virkning i Norge på lang tid. Og hvilken praktisk betydning, eller for den saks skyld hvordan loven vil se ut, er uklart.

Fortsett å lese Ikke vent på AI Act eller annen AI/KI-lovgivning

Sjekkliste personvernerklæring og informasjon etter GDPR

Det er mange personvernerklæringer der ute som har mangler mye informasjon, som ikke er oppdaterte og noen ganger er rett og slett feil.

Men er det så nøye det da? Det er jo ingen som leser disse?

Jo, det er viktig for erklæringene skal informere om hvordan personopplysninger behandles og oppfylle kravene etter personvernregelverket (som GDPR).

Fortsett å lese Sjekkliste personvernerklæring og informasjon etter GDPR

Bruk av Meta Pixel og tilsvarende på nettsider om helsetjenester mv.

Dette burde være enkelt: Har du en nettside som med helseinformasjon, så bør du ikke bruke løsninger som viser hva besøkende på nettsiden har vært interessert i.

Som jeg har skrevet her før, så er det mange som driver innenfor helse som bruker ulik sporingsteknologi på sine nettsider, bl.a. Meta (tidligere Facebook) Pixel. Slike løsninger gir tredjepart, som Meta, informasjon om hvilke nettsider som besøker nettsidene er interessert i. Martin Gundersen og Ine Julia Rojahn Schwebs viser hvor ille det kan gå i denne artikkelen.

Fortsett å lese Bruk av Meta Pixel og tilsvarende på nettsider om helsetjenester mv.

Nettside med Meta Pixel eller lignende? Følg med!

Har du nettside som bruker cookies eller tilsvarende som Meta Pixel og som da deler data med aktørere som Meta og Google? Bruk julen til å rydde opp!

Etter avsløringene om bruk av Meta Pixel som overfører detaljer om kunder og brukere av nettsider til Facebook og andre selskap hos Meta, varsler Datatilsynet at de vil ha tilsyn hos selskap som bruker slike løsninger.

Fortsett å lese Nettside med Meta Pixel eller lignende? Følg med!

Protokoll for behandling av personopplysninger? Keep it simple!

Etter personvernforordningen (GDPR) artikkel 30 skal behandlingsansvarlige og databehandlere lage «protokoll over behandlingsaktiviteter». Dette er en oversikt over hvilke personopplysninger man behandler og hvordan det behandles. Mange opplever det som krevende og vanskelig å lage og oppdatere en slik protokoll, og det er ofte en oppgave man helst «skyver på».

Fortsett å lese Protokoll for behandling av personopplysninger? Keep it simple!

Det er meget høy risiko ved å bruke feil leverandør

En undersøkelse (se kilde i kommentar) viser at leverandører er det svakeste leddet i cybersikkerheten til norske virksomheter. Både leverandører og leverandørers underleverandører kan være den største risikoen for it-sikkerheten for virksomheter. Seks av ti cyberangrep rettes mot leverandører, og rammer dermed også deres kunder.

Fortsett å lese Det er meget høy risiko ved å bruke feil leverandør

Datatilsynet med klart råd til hvordan samtykke innhentes ved bruk av cookie-banner

I sommer kom Datatilsynet med råd om analyse og sporing på nettsteder, noe som da gjøres ved bruk av cookies eller tilsvarende teknologi. Det kan være at en del ikke fikk med seg dette siden det kom midt på sommeren. Men når Datatilsynet er så tydelig som de var her, så kan det være grunn til å høre etter.

Fortsett å lese Datatilsynet med klart råd til hvordan samtykke innhentes ved bruk av cookie-banner