Vi er nå inne i et momentum for å få til endringer som stiller langt større personvernkrav.
Dette innlegget ble holdt på KiNS-konferansen (Foreningen Kommunal Informasjonssikkerhet ) i april 2022, og er en forkortet versjon.
KiNS-konferansen er en viktig tradisjon og møteplass for alle som er opptatt av personvern og informasjonssikkerhet. Foreningen har en tydelig plass i kommunal og fylkeskommunal sektor. KiNS har gjort et viktig arbeid for informasjonssikkerhet i kommunene og skolesektoren, og er en sentral arena for deling av kunnskap og nettverking.
Norge i verden – verden i Norge
24. februar angrep vårt naboland Russland Ukraina. Vi er vitne til forferdelige krigshandlinger og ufattelige menneskelige lidelser. Millioner er på flukt, og tusenvis tas imot i kommuner over hele landet. Vi må være godt rustet og ta imot med omsorg, også med tanke på personvern. Mange skal registres inn i nye og gamle systemer og lister. Det må gjøres med varsomhet. Flyktninger er en sårbar gruppe. Særlig kategorier personopplysninger og personopplysninger relatert til sårbare grupper krever større beskyttelsesvern enn vanlige personopplysninger. Vi vet også at risikoen for nettverksoperasjoner har økt under krigen. Andre påskedag sendte PST ut en pressemelding med vurderinger av etterretningstrusselen fra Russland i Norge. Nettverksopperasjoner som metode blir mer relevant når konfliktnivået nå gjør det vanskeligere å operere på andre måter, og de blir mer omfattende, sier PST (pst.no).
Personopplysninger er nesten alltid inngangsnøkkelen for angrepet. Alle personer og virksomheter med informasjon eller innflytelse av verdi for Russland må regne med å være mer utsatt enn før for russiske etterretningsaktiviteter (datatilsynet.no). Flere norske selskaper lagrer og behandler dessuten data i utlandet. Situasjonen gjør at vi oppfordrer alle selskaper som eksporterer personopplysninger om å gjøre en ny vurdering av hvilke persondata som sendes ut av landet til Russland og Ukraina. Det kan derfor være lurt å gå gjennom databehandleravtalene med leverandører en gang til med dette for øyet (datatilsynet.no).
Mange samtaler tar en helt annen farge nå etter at krigen brøt ut. Også når det gjelder personvern og informasjonssikkerhet. Jeg tror at krigssituasjonen i Europa kommer til å prege mye av det vi alle gjør fremover- kanskje med et nytt alvor.
Øking av saker og henvendelser til Datatilsynet
Fjorårets aktiviteter i Datatilsynet er med å danne grunnlaget for statusen for personvernet i dag, og gjenspeiler mye av hva som skjer på personvernsiden i samfunnet. Året 2021 har vært som en berg- og dalbane for de aller fleste, med nedstengninger og åpninger om hverandre. Vi har hatt flere store saker direkte knyttet til pandemien, blant annet spørsmål om koronasertifikat. Det har vært en økning i koronarelaterte klager, slik som overvåking av ansatte på hjemmekontor. Smittesporing er også et tema som har opptatt mange.
I løpet av 2021 har Datatilsynet utestedet 26 overtredelsesgebyr etter brudd på bestemmelser i personvernforordningen. Dette innebærer en dobling sammenlignet med året før. Alt i alt utstedte vi overtredelsesgebyrer på i underkant av 80 millioner kroner i løpet av i fjor. Sammenlignet med 2020, da vi hadde 13 saker som resulterte i overtredelsesgebyr på til sammen snaue seks millioner, er dermed økningen betydelig. Dette gjelder både antallet ilagte overtredelsesgebyr, og ikke minst, det totale beløpet. Disse sakene (datatilsynet.no) gjelder blant annet brudd på personopplysningssikkerhet, ulovlig overvåking på arbeidsplassen, innhenting av kredittopplysninger og ulovlig utlevering av personopplysninger via mobilapplikasjoner.
Meldinger om brudd på personopplysningssikkerheten
Antallet innmeldte avviksmeldinger har økt betraktelig. I fjor fikk vi inn 2 255 meldinger om brudd på personopplysningssikkerheten. 28 prosent av alle avvikene som meldes inn, kommer fra kommunesektoren. Det inkluderer skoler, barnehager, mange helsetjenester, eldreomsorg og barnevern. Kommunene er ansvarlige for mange av tjenestene som er nærmest enkeltindividet, og følgelig behandles mange sensitive opplysninger her. Å hjelpe til med å løfte kommunenes kompetanse på personvern og informasjonssikkerhet er dermed spesielt viktig.
Kun 9 stykker av totalt 2 255 innmeldte brudd på personopplysningssikkerheten fikk gebyr, det vil si under 0,5 %. Det betyr at når Datatilsynet faktisk ilegger gebyr så er saken av en slik karakter at den skiller seg ut, samtidig som den også gjerne har likhetstrekk med flere andre saker. Gebyrsakene kjennetegnes av at sikkerheten ikke er godt nok ivaretatt i virksomheten når hendelsen inntraff, uansett eventuell angriper eller årsak til hendelsen. Enkelte mener at virksomheter som utsettes for angrep, ikke bør ilegges gebyr, og at de allerede har fått sin straff. Vi har stor sympati for vanskelighetene slike angrep skaper for de som blir rammet. Vi mener likevel at våre gebyrer er virkningsfulle og virker avskrekkende og ikke minst opplærende for andre som er i tilsvarende risikosituasjon.
Les blogg: Når en virksomhet har hatt et datainnbrudd, har den ikke da allerede fått sin straff? – Personvernbloggen.
I vår saksbehandling går vi grundig gjennom hva som er skjedd, hvorfor og hvilke tiltak som var satt inn før og etter. Tenk hvilke ringvirkninger diskusjonen til Østre Toten har gitt. Vi er mange som kan takke kommunen for åpenheten rundt angrepet (personvernbloggen.no).
Big Tech og offentlig sektor
Vi kan ikke snakke om status for personvernet uten å snakke og de store teknologiselskapene. Teknologirådets rapport viser at du spores på over 80 prosent av offentlige nettsteder, ved at de bruker verktøy i regi av de store techgigantene. Er dette lurt, greit, og rimelig å forvente? Spørsmålet stilte Tore Tennøe, direktør for Teknologirådet, da han holdt sitt innlegg på Personverndagen mandag 31. januar i år. Han svarte selv at det offentlige både har monopol, dekker viktige livshendelser og har et særlig ansvar, og svaret derfor er nei. Datatilsynet har, etter en egen vurderingen som behandlingsansvarlig valgt å ikke opprette en egen konto på Facebook, fordi vi ikke vet hva som faktisk skjer med brukernes data.
En ganske ny avgjørelse fra det østerrikske datatilsynet konkluderer med at det å bruke Google Analytics betyr at brukernes data sendes til USA. Det strider mot personvernlovgivningen i EU. Blir avgjørelsen stående, er det å bruke Google Analytics ulovlig – også i Norge. Men det er bevegelse, ja det er faktisk lys i tunnelen, sier Tobias Judin i Datatilsynet. Det er mulig det kommer på plass en ny avtale slik man enkelt overføre personopplysninger til USA igjen. Forrige måned kom nemlig nyheten mange har ventet på. I forbindelse med president Joe Bidens besøk i Brussel, kunngjorde han og EU-president Ursula von der Leyen at EU og USA har landet en ny avtale. I en felles uttalelse kunngjorde de at avtalen vil besvare EU-domstolens innvendinger mot den forrige avtalen, samtidig som USA skal styrke personvernreguleringene i egen telekombransje.
Vi må stille krav
Vi er nå inne i et momentum for å få til endringer som stiller langt større personvernkrav. Det er på høy tid at vi begynner å gjøre den type vurderinger fra offentlig sektor, og begynne å stille krav. Vår tidligere sjef, Bjørn Erik Thon sa før han skulle slutte– Min drøm er at vi skal kunne lage det nye, personvernvennlige Google i Norge, ut fra en helt ny måte å tenke på, som tar opp i seg både innovasjon, samfunnsnytte og personvern. Ja, tenk om! Vårt inntrykk er at regjeringen ser viktigheten av å ivareta personvern og informasjonssikkerhet, også i kommunesektoren. Slik ser det i hvert fall ut i Hurdalsplatformen (regjeringen.no).
Den treffer blink på mye. Les den, bruk den. Vi må ha store forventninger.
Vi trenger fortsatt et skikkelig trøkk for å sikre er godt personvern for alle.
Umberto Eco sa på et foredrag for internasjonale personvernmyndigheter allerede på 1980-tallet at «Den største utfordringen er ikke å sikre personvernet til de få som ber om hjelp, men å få alle andre til å betrakte personvernet som et verdifullt gode».
Vi bærer det videre.