Jeg har imidlertid gleden av å møte mange svært kompetente personvernombud som entusiastisk har kastet seg over oppgaven og som jeg ikke kan forstå annet enn at virkelig utgjør en forskjell når gjelder å ivareta personvernet for virksomhetens kunder (eller «de registrerte», som vi noe fremmedgjørende gjerne kaller dem). Ett av disse ombudene er Hanne Steen Lindstad, personvernombud i SpareBank 1 Utvikling.

Hannes fem råd for å lykkes som personvernombud ble for en tid siden publisert på SpareBank 1 sin interne nyhetskanal. De rådene er så gode at de fortjener et større publikum, og uten at jeg tukler med dem. Jeg formidler disse derfor herved videre i sin ordrette form, med min fulle tilslutning:

—-

Fem råd for å lykkes som personvernombud

Personvernombudet er tillagt en sentral rolle i det nye personvernregelverket (GDPR). Oppgavene er mange og fallhøyden for virksomheten er potensielt stor. Slik lykkes du i jobben som personvernets vokter.

Listen over personvernombudets arbeidsoppgaver er lang, men kort sagt skal personvernombudet bistå med at virksomheten holder seg innenfor personvernregelverket. Her er fem enkle råd for å lykkes i dette arbeidet: 

(1) Vær løsningsorientert

For å kunne gjøre en god jobb som personvernombud er det en forutsetning at du er løsningsorientert. Det kan skje at personvernregelverket ikke fullt ut tillater de ansatte å gjøre det de ønsker. Da er det viktig at du ikke bare setter deg på bakbeina og sier “Nei, dette går ikke”, men heller evner å komme med alternative forslag som lar seg gjennomføre. Et eksempel kan være: «Dette tillater nok ikke GDPR, men hvis dere dropper x og heller gjør y, da vil det gå». Hvis du blir kjent som en nei-person i selskapet, risikerer du å sette deg selv ut av spill og at de ansatte velger å ikke spørre deg neste gang. Det er ingen tjent med, verken selskapet, de ansatte og/eller kundene. 

(2) Skaff deg oversikt over selskapets behandlinger

Personvernombudets innsats skal rettes mot områder der risikoen for personvernet anses størst. For å jobbe risikobasert er det en forutsetning at du har god oversikt over selskapets behandlinger av personopplysninger. I større selskaper med mange behandlinger kan dette være svært krevende. En naturlig start er å bidra til at selskapet får etablert en behandlingsprotokoll, både for rollen som behandlingsansvarlig og som databehandler. Uten gode rutiner for oppdatering av protokollen, mister den imidlertid raskt sin funksjon. Du må derfor sørge for at organisasjonen oppdaterer protokollen når nye behandlinger kommer til eller det skjer endringer i eksisterende behandlinger. I tillegg må du etablere rutiner som sikrer at du blir informert om og koblet på nye prosesser. Aller helst så tidlig som mulig, slik at du kan gi råd og veilede før prosessen har kommet for langt. Ellers kan du raskt bli møtt med argumenter om at det er for dyrt eller teknisk krevende å gjøre endringer på det aktuelle stadiet. 

(3) Hold deg oppdatert på internasjonal praksis

Et av formålene med GDPR er å harmonisere personvernreglene i Europa, og med noen praktiske unntak har de europeiske regelverkene blitt svært like. Det innebærer at uttalelser fra andre lands datatilsynsmyndigheter har stor betydning for hvordan vi skal forstå GDPR her i Norge. Mange av dem har dessuten større ressurser enn det norske tilsynet og flere av dem er svært aktive. Det kan derfor lønne seg å jevnlig sjekke andre europeiske tilsynsmyndigheters nettsider og holde seg oppdatert på deres uttalelser og saker. 

Jeg vil særlig anbefale det britiske datatilsynet (ICO), som er et av de største tilsynene i Europa, og det irske tilsynet (DPC), som er tilsynsmyndighet for store selskaper som Facebook og Google. I tillegg har Det europeiske personvernrådet (EDPB) mange nyttige ressurser på sine nettsider, og de legger jevnlig ut informasjon om større saker fra samtlige nasjonale datatilsyn. Abonner på nyhetsbrev og følg ulike personvernaktører på LinkedIn, så holder du deg lettere oppdatert og du forstår hvor du bør rette din egen innsats. 

(4) Skap en lav terskel for å ta kontakt 

Du må gjøre det så enkelt som mulig for kollegaene dine å ta kontakt med deg. I stor grad handler det om synlighet. Forsøk å delta på arenaer der kollegaene dine er, som deres avdelingsmøter, faglunsjer og foredrag, men så klart også sommerfesten og juleavslutningen. Involver deg og bli kjent med dem. Sørg for at de vet at det bare er å spørre hvis de lurer på noe, og at det er bedre å spørre en gang for mye enn en gang for lite. 

For min egen del har det vært vellykket å “hospitere” i andre avdelinger. På forsommeren hadde jeg en prøveordning der jeg hver fredag formiddag hadde kontorplass hos et av utviklingsteamene i selskapet. Målet var å bli bedre kjent med teamet og hva de jobber med, være en synlig påminnelse om at de må jobbe med personvern og ikke minst gjøre det svært enkelt for dem å ta kontakt. Dette har fungert såpass godt at begge parter ønsker å videreføre ordningen. I tillegg har flere andre i selskapet tatt kontakt fordi de ønsker en lignende ordning hos seg. I høst tar jeg derfor sikte på å være et slags omvandrende personvernombud flere dager i uka. 

(5) Etabler en ryggmargsrefleks for personvern 

Personvernregelverket er omfattende og vanskelig tilgjengelig for de fleste, selv jurister. For at de ansatte skal ha en reell sjanse til å etterleve regelverket, er det derfor viktig at du evner å kommunisere personvern på en enkel måte. Begynn i det små med det mest grunnleggende og gi de ansatte noen eksempler og knagger som de kan henge ting på. 

Du vil aldri klare å lære dem alt om personvern. (Det er heller ikke meningen at alle i selskapet skal kunne like mye om personvern som deg. Hvem trenger vel et ombud da?). Det viktigste er at kollegaene dine utvikler en ryggmargsrefleks for personvern. Hvis du får dem til å tenke “Her tror jeg det er noe personverngreier – best jeg undersøker litt”, ja, da har du kommet langt. 

—-

Hanne Steen Lindstad har personvernombudsrollen som fulltidsjobb, som hun fikk etter å ha konkurrert med andre kandidater om stillingen. Mange av oss er imidlertid blitt internt utpekt til personvernombud i kombinasjon med andre oppgaver, kanskje også uten at det er blitt avtalt hvor mye tid og ressurser vi skal bruke på selve personvernombudsrollen. Da kan vi stå overfor noen andre typer utfordringer enn Hanne gjør som PVO i Sparebank 1 Utvikling.

Det vil jeg komme tilbake til i et senere blogginnlegg.

Rapport fra digitalt sårbarhetsutvalg

Det digitale sårbarhetsutvalget har levert en rapport som bør leses enten du er genuint opptatt av personvern, eller du er blant de som mener at personvern ofte står i veien for gode og viktige formål, som terror- og kriminalitetsbekjempelse. Selv om hovedfokuset naturlig nok har vært å beskrive de digitale sårbarhetene vi som et høyteknologisk samfunn står overfor, ligger det også i  NOU-en «Digital sårbarhet – sikkert samfunn» høyst lesverdige budskap om viktige samfunnsverdier, menneskerettigheter og personvern.

Ikke siden Personvernkommisjonen i januar 2009 la fram sin rapport om personvernets stilling i Norge, har noen offentlig utredning inneholdt en så omfattende og god analyse av personvern sett i forhold til andre interesser, som den utredningen det digitale sårbarhetsutvalget overleverte til Justis- og beredskapsministeren i går (NOU 2015:13).

God beskrivelse av personvern som del av grunnleggende samfunnsverdier

Dessverre opplever vi fra Datatilsynets side altfor ofte at personvernhensyn knapt nok blir nevnt i offentlige utredninger og lovforslag, eller så blir temaet overfladisk behandlet, uten at reelle vurderinger er blitt gjort. Lysne-utvalget har imidlertid allerede helt i begynnelsen av sin rapport viet et eget kapittel til «rettsstatsprinsipper og grunnleggende samfunnsverdier», som bør være pensum for mange. Det samme gjelder kapittelet som er viet «folkerett og internasjonalt samarbeid». Disse sett fra Datatilsynets ståsted to sentrale delene av NOU-en er en nødvendig påminnelse om at personvern ikke er noe som vi i Datatilsynet har funnet på av eget forgodtbefinnende, men er blant fellesskapets grunnleggende samfunnsverdier og del av menneskerettighetene. Disse hensynene kommer lett under press i møtet med utfordrende digitale muligheter, for eksempel til overvåking av enkeltindividet eller hele befolkningen. Grunnloven og menneskerettighetskonvensjonene er derfor viktige «dørvoktere» for statens adgang til å røre ved disse samfunnsverdiene og den enkeltes grunnleggende rettigheter. Dette minner Sårbarhetsutvalget oss om.

Ikke inngripende metoder uten skikkelig utredning og debatt!

Det digitale sårbarhetsutvalget har merket seg at hensynet til samfunnets sikkerhet ofte fører med seg forslag om innføring av nye og inngripende overvåkingsmetoder. De eksemplifiserer dette med forslaget om å innføre overvåking av den tele– og internettrafikken som går inn og ut av landet (digital grenseovervåking) og PSTs ønske om å registrere ytringer på sosiale medier og analysere informasjon fra åpne kanaler. Sårbarhetsutvalget minner om at denne typen forslag er av en så inngripende karakter at de må forberedes gjennom offentlige utredninger som diskuterer virkemidlene i sin fulle bredde.

Det digitale sårbarhetsutvalget mener at det ved utredninger som vurderer nye og inngripende overvåkingsmetoder skal gis i mandatet at utvalget skal:

• Ha en presis formulering av formålet med innsamlingen og tilgang til bruk av data
• Vurdere implementasjonsmetoder for å nå dette målet
• Utrede hvilke tilleggsgevinster man får av overvåkingen, i tillegg til allerede iverksatte overvåkingstiltak og eksisterende tilgang til informasjon fra andre kilder
• Vurdere den teknologiske realismen i disse tilleggsgevinstene
• Vurdere alternative tilnærminger for å oppnå de samme gevinstene
• Vurdere forholdsmessigheten i disse tilleggsgevinstene i relasjon til hvor inngripende de er i forhold til personvern og menneskerettigheter
• Vurdere mulige konsekvenser for individer, næringsvirksomhet og nasjonal sikkerhet dersom utenforstående skulle ta kontroll over overvåkingsutstyret og/eller få innsyn i data
• Vurdere proaktive tiltak for å hindre fremtidig formålsutglidning, og slik sikre at innsamlede data og tekniske installasjoner tilknyttet overvåkingen ikke benyttes til andre formål enn de som er forutsatt.

Utvalget skriver videre:

«- Det er ikke tilstrekkelig å si at en konkret løsning har de beste grunner, eller at man etter en totalvurdering konkluderer med denne løsningen (…) Dersom slike inngripende virkemidler skal taes i bruk, må det foretas tilstrekkelige vurderinger, slik at lovgiver har et grundig, troverdig og fullstendig grunnlag for sine beslutninger».

Så enig, så enig!

De som deltar i et slikt utredningsutvalg må samlet sett ha kompetanse ikke bare på det etterretnings- og politifaglige, men også kompetanse som sikrer at utredningen gir en grundig redegjørelse for også de teknologiske, rettslige og samfunnsmessige spørsmålene som saken reiser, anbefaler Sårbarhetsutvalget.

Med andre ord en slik bred sammensetning som nettopp det digitale sårbarhetsutvalget selv har hatt!

Kan vi legge anti-krypteringsdebatten død?

Til debatten som går internasjonalt om hvordan myndighetene skal forholde seg til kryptert kommunikasjon, er det digitale sårbarhetsutvalget tydelig på at kryptering ikke bør forbys eller på annen måte reguleres i Norge. Begrensninger på lovlig bruk av kryptografi vil svekke sikkerheten for svært mange, samtidig som vi bare i begrenset grad vil klare å hindre kriminelle å kommunisere uten at Etterretningen og politiet klarer å fange det opp. Sårbarhetsutvalget har ikke en gang funnet det nødvendig å vise til ytringsfrihet, personvern og andre grunnleggende rettigheter for å komme til denne utvetydige anbefalingen. Utvalget fant det åpenbart tilstrekkelig å vise til rent sikkerhetsfaglige argumenter for å anbefale et klart nei til tanken om å tukle med krypteringen.

Med disse vurderingene fra det digitale sårbarhetsutvalgets side kan vi kanskje regne med at den gryende anti-krypteringsdebatten blir lagt død her i Norge.

Eller?

Sårbarhetsutvalgets rapport: NOU 2015:13 Digital sårbarhet – sikkert samfunn. Beskytte enkeltmennesker og samfunn i en digitalisert verden.

Den fullstendige årsrapporten

I likhet med andre statsetater legger vi fra Datatilsynets side ned en ganske så betydelig innsats i å levere vår årsrapport til overordnet departement, som i vårt tilfelle er Kommunal- og moderniseringsdepartementet. Vi svarer her på alle de kravene som stilles til oss gjennom de årlige tildelingsbrevene, og den såkalte økonomi- og virksomhetsinstruksen. Slik er det for alle statlige etater.

I tillegg har vi i Datatilsynet det privilegiet at personopplysningsloven bestemmer at vi også skal levere en årlig melding til Stortinget om vår virksomhet. I år har vi lagt opp til en prosess hvor vi har forsøkt å få til en størst mulig samkjøring av disse to formelle dokumentene. La oss kalle det et lite tiltak i regjeringens arbeide med å bekjempe tidstyver. Vi mener selv å ha lykkes godt med det.

Men finner jeg noe av interesse?

Vel, det må du nesten finne ut selv ved å ta en rask kikk på innholdsfortegnelsen, men jeg kan nevne noen stikkord:

• Helsesektoren, skole- og utdanningssektoren, justissektoren og digitaliseringen av offentlig sektor var de fire områdene vi særlig prioriterte i fjor. Dersom du er en aktør innen en av disse sektorene, så får du raskt en oppdatering av hva Datatilsynet har vært og er mest opptatt av innen ditt interesseområde.
• Vi gjennomførte til sammen 68 tilsyn hos private og offentlige virskomheter. Flere av disse var naturlig nok innen de fire prioriterte områdene jeg nettopp har nevnt. Særlig bekymringsfullt er nok at vi innen offentlig sektor finner det vi kaller systematiske avvik knyttet til internkontroll, informasjonssikkerhet og databehandleravtaler. Vi varslet faktisk overtredelsesgebyr overfor fem av 18 offentlige virksomheter.
• Etter tilsynene med skoler og barnehager oppsummerte vi arbeidet i en samlerapport. Denne er blitt møtt med stor interesse. Vi er nå i dialog med aktører innen skolesektoren med det mål å få etablert en bransjenorm for behandling av personopplysninger innen skolesektoren.
• Vi får stadig flere saker å håndtere i saksbehandlingen, samtidig som vi opplever at kompleksiteten i sakene øker. Andelen som klager på våre vedtak må likevel fortsatt sies å være relativt lav.
  Veiledningstjenesten besvarte over ni tusen henvendelser i fjor, nesten 20 prosent flere enn året før. Personvern innen arbeidslivet er fortsatt det temaet som flest søker veiledning om.
• Det er viktigere enn noen gang tidligere å være aktive på den internasjonale arenaen. For to år siden satte vi oss som mål å bli en ledende internasjonal personvernmyndighet når det gjelder å ha et aktivt forhold til utfordringene som knytter seg til bruk av stordataanalyse (Big Data). I 2014 kronet vi vår innsats på dette området ved å fremme, og få vedtatt, en resolusjon på den internasjonale personvernkonferansen, med unison støtte fra øvrige lands personvernmyndigheter. Det er vi stolte over å ha fått til – og er en inspirasjon til fortsatt arbeide.

Nei, nå har jeg nesten gjengitt hele årsmeldingen. Les den heller selv!

Også denne gang har vi slått oss sammen med Teknologirådet for å skape en skikkelig markering når vi inviterer til et frokostseminar på Litteraturhuset i Oslo mellom klokken 09.00 og 11.00.

Lokalet blir med sine 231 påmeldte deltakere ganske så fullstappet, så vi tør ikke si ja til at flere kan møte opp der. Du som ikke fikk meldt deg på i tide kan likevel følge seminaret direkte over nettet om du klikker deg inn på våre nettsider fra klokken ni. Her vil du senere også finne et opptak fra seansen.

Men hva er så temaene for Personverndagen 2015?

Har barn samme rett til personvern som voksne?
Ett av hovedtemaene i årets rapport er barn og unges personvern. Digitaliseringen av skolen gjør at det samles inn stadig flere og mer dyptgående opplysninger om barna våre. Dette er nyttig, men hvor skal grensa gå for at nok er nok, selv om nytteverdien for læring kan hevdes å være betydelig? Er det OK at mor eller far i skjul tar en kikk på podens profil på sosiale medier for å følge med på hva han gjør der, og hva slags venner han har? Og er det akseptabelt at foreldre utstyrer barna sine med sporingsbrikker, slik at de kan følge med på hvor de er til enhver tid? Vi har stilt noen spørsmål om hva folk flest mener om disse spørsmålene, og har fått svar som vi gleder oss til å presentere.

Når tingene vi omgir oss med begynner å snakke sammen
Et annet tema vi vier mye oppmerksomhet i årets rapport er noe alle teknologiinteresserte snakker om for tiden, ikke uten grunn. Har du ikke hørt om «tingenes internett» før, så kan du like godt lære begrepet nå! Helt vanlige ting vi omgir oss med i hjemmet, i bilen, eller på kroppen, utstyres med sensorer som koples til internett. Tingene tilpasser seg din og min adferd. Ikke bare kan dette gjøre livet mer bekvemmelig og behagelig for den enkelte av oss, men vi kan også oppnå betydelige samfunnsmessige gevinster, i form av mer effektivitet, et bedre miljø og mer sikkerhet. Men vil de enorme mengdene av data som samles inn om oss via alle disse sensorene også kunne bli brukt mot meg og mine interesser? Og det uten at jeg har den fjerneste anelse om at det faktisk skjer?

Og Snowden er ikke glemt
På fjorårets seminar var Edward Snowdens avsløringer av den amerikanske masseovervåkingen det temaet vi viet aller mest tid til. Han er dessverre forhindret fra å besøke oss på konferansen, og vi har heller ikke rigget nettmøte med ham. Vi avgrenser oss derfor denne gangen til å ta en rask oppsummering av hva som har skjedd det siste året. Har Snowdens gjerninger hatt noen praktisk betydning for oss og vårt personvern, også her i Norge? Ja, mener vi, og det skal vi underbygge nærmere!

Etter at Tore Tennøe, direktøren i Teknologirådet, og jeg har presentert disse tre temaene, legger vi opp til en paneldebatt med:

• Bård Vegar Solhjell, stortingsrepresentant for SV, og tidligere kunnskapsminister.
• Heidi Nordby Lunde, stortingsrepresentant for Høyre, men også kjent som bloggeren Vampus,
• Kai Morten Terning, statssekretær i Barne-, likestillings-, og inkluderingsdepartementet, FrP. Han har blant annet tidligere også vært byrådssekretær for velferd og sosiale tjenester i Oslo.
• Jan Holm, administrerende direktør i Lyse Smart, blant annet kjent for sine velferdsteknologiprodukter.

På vegne av Teknologirådet og Datatilsynet ønsker vi deg hjertelig velkommen til å delta på den internasjonale personverndagen! Enten møter vi deg som påmeldt deltaker på seminaret, eller så kan du følge med via nett.

• Rapporten Personvern: Tilstand og trender 2015 (pdf) kan lastes ned her

Gratulerer med Personverndagen 2015!

Fra møtet med Presseforbundet og Redaktørforeningen. Generalsekretær Arne Jensen i Redaktørforeningen

Som jeg skrev om i et tidligere blogginnlegg har vi et etablert et samarbeide med vår søsterorganisasjon i Republikken Makedonia (FYROM). Det er særlig personvern i sosiale nettsamfunn og skytjenester som har fått mest oppmerksomhet under besøket, men vi var også innom mange andre temaer – til gjensidig nytte for både dem og oss i det norske Datatilsynet.

I tillegg til Datatilsynet har følgende institusjoner bidratt:

• KRIPOS: Om netthets og rasistiske ytringer, overgrep og utnyttelse av barn på Internett, «rød knapp» og politiets tips-linje
• Redaktørforeningen og Norsk Presseforbund: Ytringsfrihet, offentlighetslovgivningen, presseetikk, redaktørplakat og PFU
• Norsk senter for informasjonssikring (NorSIS): Om slettmeg.no, arbeidet med informsajonssikkerhet, demonstrasjon om mobilhacking
• Universitetet i Oslo, avdeling for forvaltningsinformatikk: Om pågående og planlagte forskningsprosjekter ved Senter for rettsinformatikk – og deres masterprogram
• Direktoratet for forvaltning og IKT (DIFI): Om norsk forvaltning, arbeidet med informasjonssikkerhet, digital forvaltning, bruk av sosiale medier i offentlig sektor og cloud computing
• Forbrukerrådet: Om tåkete brukervilkår i skylagringstjenester.

Det siste møtet under norgesbesøket var med en representant for Utenriksdepartementets Vest-Balkan-seksjon. I dette møtet presenterte vi arbeidet så langt i samarbeidsprosjektet. Vi benyttet også anledningen til å lufte noen tanker om  mulig videre samarbeide også etter at det nåværende prosjektet avsluttes i høst.

DIFIs Sanja Kostovska Skaar gir et overblikk over norsk forvaltning

Etter til sammen fire døgn i Norge, hvorav tre hektiske møtedager, var tilbakemeldingene fra våre makedonske venner at de var svært fornøyd med oppholdet. Jeg tillater meg å tro dem på det. Den viktigste årsaken til det er at alle de ulike institusjonene var godt forberedte på besøket og gav alle meget gode presentasjoner. Dere fortjener derfor alle en hjertelig takk for innsatsen!

Aftenposten har kartlagt 70 apper

På selveste påskeaften publiserte Aftenposten en flott sak om apper og hva de innhenter av informasjon fra din mobil eller nettbrett. Dette holdt på å gå meg hus forbi, og det gjorde det kanskje for deg som var opptatt med ski, snø og påskefeiring. Men ikke nå lenger!

Aftenposten har rett og slett gjort et imponerende stykke arbeide med å kartlegge hele 70 forskjellige apper som brukes på Google Android og Apples Ios. Ved hjelp av en interaktiv grafikk gir Aftenposten deg en en detaljert oversikt over hva slags informasjon du faktisk aksepterer at du gir fra deg når du laster hver enkelt av de 70 appene som er med i kartleggingen – og hvorfor appen gjør det. Det er bare å trykke på ikonet for den appen du er interessert i å sjekke ut.  I tillegg kan du huke av for enkelte typer tilganger, som for eksempel tilgangen til å endre eller lese kalenderen. Ved å gjøre det så får du opp en oversikt over hvilke av appene i oversikten som faktisk ber om den aktuelle typen tilgang. Kanskje du blir overrasket. Det ble jeg! Prøv selv!

Slik sjekker du på din egen mobil eller nettbrett

Vår egen fagdirektør for teknologi, Atle Årnes viser deg også på Aftenposten TV hva du selv bør se etter når du installerer apper på din android-telefon, eller hvordan du i ettertid kan gå inn og sjekke de enkelte appene du har på din mobiltelefon.

Og han gir selvsagt en tilsvarende veiledning når det gjelder Iphone, eller nettbrett fra Apple.

Og til slutt – få også med deg kommentaren fra Aftenpostens Joacim Lund, «Adjø privatliv». Vi her i Datatilsynet kunne rett og slett ikke ha sagt det bedre…..

Jeg, for egen del bør ta en ekstra kikk på hvilke tilganger lommelyktappen jeg nettopp innstallerte krever fra mobiltelefonen. Jeg har jo tross alt ment at den kun skulle benyttes til å kaste lys over mine omgivelser når jeg vil – ikke omvendt!

Nedenfor har jeg satt opp en oversikt over de ti ulike dokumentarprogrammene,  og når de blir sendt på NRK2. Du finner selvsagt også disse tilgjengelig på NRK nett-TV så snart de enkelte innslagene har vært vist på tv. Noen av linkene fungerer med andre ord ikke riktig enda.

(Omtalen er hentet fra NRK. Jeg tar forbehold om at jeg kan ha bommet enkelte steder mht sendeskjemaet)

Datalagringsdirektivet. Norsk dokumentar. Mer åpenhet, mer demokrati eller mer overvåking? I 2015 settes datalagringsdirektivet ut i livet. Alle data om kommunikasjonen mellom oss skal lagres. Hvor langt er vi villige til å strekke oss for å få et tryggere samfunn?

Sendes på NRK2: Onsdag 02.04. kl 12:30, lørdag 05.04 kl 19.40 eller søndag 06.04 kl 15.10.
NRK nett-tv:  http://tv.nrk.no/program/koid75005313/tema-dine-digitale-spor-datalagringsdirektivet

Du er googla. Svensk dokumentar. Kva finn arbeidsgjevaren, kollegaene eller den nye kjærasten din om deg på nettet? Bengt og Tina veit kva som kan hende dersom ein mister kontrollen over namnet sitt i Google sitt søk. Og kan ein lage eit meir attraktivt bilde av seg sjølv på nettet? Produsent Johan Ripås forsøker å ta makten over sin eigen digitale identitet.

Sendes på NRK2: Torsdag 03.04 kl 22:50, lørdag 05.04 kl 00:25.
NRK nett-tv: http://tv.nrk.no/program/koid33001312/du-er-googla

Overvåkingssamfunnet. Nederlandsk dokumentar. Det er få som har noe å skjule. Men kontroll av folks privatliv øker. Grensen mellom overvåking og å gi beskyttelse kan være flytende. Hvordan overvåkes vi, og hvorfor er liberale land spesielt utsatt? (Panopticon)

Sendes på NRK2: Torsdag 03.04 kl 20:15, fredag 04.04 kl 14:45, søndag 06.04 kl 16:25.
NRK nett-tv: http://tv.nrk.no/program/koid20001114/tema-dine-digitale-spor-overvaakningssamfunnet

Vilkår og betingelser. Kanadisk dokumentar. En tankevekkende film om avtalene alle skriver under på, men ingen leser. I en tid der alle er bestyrtet over de amerikanske myndighetenes overvåking av den globale nettrafikken, er det et tankekors at så mange av oss ivrer etter å dele den samme informasjonen via sosiale medier. (Terms and Conditions May Apply)

Sendes på NRK2:  Tirsdag 01.04 kl 21:31, onsdag 02.04 kl 12.55, fredag 04.04 kl 20:00, søndag 06.04 kl 14:10.
NRK nett-tv: http://137.117.134.253/program/koid27003413/tema-dine-digitale-spor-vilkaar-og-betingelser

Big data – en ny tidsalder. Britisk dokumentar. I Los Angeles avverger politiet kriminelle handlinger ved hjelp av data som allerede er samlet inn. Hver dag produserer vi mennesker en større mengde informasjon enn vi gjorde fra sivilisasjonens fødsel og fram til år 2000. Hvordan går det an å finne fram i en så stor mengde informasjon, og hvordan kan den komme til nytte? (The Age of the Big Data)

Sendes på NRK2: tirsdag 01.04 kl 23.20,  lørdag 05.04 kl 18:50, søndag 06.04 kl 13:20, mandag 07.04 kl 09:40.
NRK nett-tv:  http://tv.nrk.no/program/koid27002613/tema-dine-digitale-spor-big-data-en-ny-tidsalder

Datajournalistikk og Big data. Nederlandsk dokumentar. Analyse av store datamengder gir nye muligheter for undersøkende journalistikk. Basert på dokumenter fra wikileaks og andre kilder kom nederlandske journalister på sporet av forretningshemmeligheter hos oljeselskapet Shell. Til tross for internasjonal handelsboikott ble det bevist at Shell drev forretninger med Iran. (Big Data: The Shell Search)

Sendes på NRK2: Lørdag 05.04. kl. 21:10, søndag 06.04 kl 13:20.
NRK nett-tv: http://137.117.134.253/program/koid21003114/tema-dine-digitale-spor-datajournalistikk-og-big-data

GPS – kven har kontroll. Fransk dokumentar. GPS, det satellittbaserte radionavigasjonssystemet, har gjort livet vårt enklere. Nå er flere land i ferd med å utvikle nye lignende systemer. Men kan disse brukes parallelt? Og er amerikanerne villig til å gi opp sitt monopol? Norsk kommentar: Gry Molvær(GPS – A Global War)

Sendes på NRK2: Onsdag 02.04 kl. 21:40, torsdag 03.04 kl 14:50, søndag 06.04 kl 15:35, mandag 07.04 kl 10:30
NRK nett-tv: http://137.117.134.253/program/koid27004113/tema-dine-digitale-spor-gps-kven-har-kontroll

Et møte med Edward Snowden. It-spesialisten Edward Snowden kom i verdens søkelys da han lekket store mengder amerikanske etterretningsdokumenter. Siden 23. juni 2013 har han oppholdt seg i Russalnd, der han er invilget politisk asyl. Dette intervjuet, gjort for den tyske tv-kanalen ARD, forteller Edward Snowden sin versjon av historien.

Sendes på NRK2: Onsdag 02.04 kl. 22:50, fredag 04.04 kl 14:15, fredag 04.04 kl 19:30.
NRK nett-tv: http://tv.nrk.no/program/koid20005814/et-moete-med-edward-snowden

Kampen mot hackerne. Britisk dokumentar. Eksperter på fysikk, matematikk og data jobber intenst for å ligge i forkant av forbryterne som stjeler informasjon og penger fra cyberspace. Ved hjelp av avansert kryptologi og matematikk jobber globale aktører for å sikre verdiene våre. (Horizon: Defeating the Hackers)

Sendes på NRK2: Fredag 04.04 kl 21:30, lørdag 05.04 kl 11:10, søndag 06.04 kl 17:20, mandag 07.04 kl 12:15.
NRK nett-tv: http://tv.nrk.no/program/koid25007513/tema-dine-digitale-spor-kampen-mot-hackerne

Kroppslig overvåking. Britisk dokumentar. Snart kan vi overvake alt frå søvn, kaloriforbruk og symptom på sjukdom med enkle digitale hjelpemiddel. Dr. Kevin Fong gjer eit eksperiment. Han vil finne ut om vi blir friskare av å bruke dei nye teknologiane. (Horizon: Monitor Me)

Sendes på NRK2: Søndag 06.04 kl 20:05, mandag 07.04 kl 13:05.
NRK nett-tv: http://tv.nrk.no/program/koid25002313/kroppslig-overvaaking

Hva gjør vi der?

Bakgrunnen for prosjektet er at det norske utenriksdepartementet har gitt direkte finansiell støtte til Republikken Makedonia (FYROM) til utvikling av landets personvernmyndighet.  DPDP ble etablert i 2005, og består i dag av 24 medarbeidere.

Fra det norske Datatilsynet sin side har vi forpliktet oss til å gi faglig støtte, rådgivning og «sparring» til DPDP særlig innen to temaer; personvern i sosiale nettsamfunn og cloud computing, herunder bruk av databehandleravtaler.

På vårt forrige besøk til Skopje, første uka i februar, deltok direktør Bjørn Erik Thon på et større lanseringsarrangement, som fikk god mediedekning, og som er nærmere omtalt DPDPs siste nyhetsbrev, (se side 4).  Ut over dette drøftet vi, og planla det videre arbeidet i prosjektet.

Du Bestemmer og Slettmeg.no

På  denne ukas møte var ikke Bjørn Erik med. Til gjengjeld var Hans Marius med fra NorsSIS for å presentere veiledningstjenesten Slettmeg.no.Våre makedonske søsterorganisasjon viste stor interesse for måten vi i Norge ikke bare arbeider for å forebygge nettkrenkelser, men hvordan vi gjennom Slettmeg.no også prioriterer å gi rask og handlekraftig hjelp når skaden først har skjedd. Det var også hyggelig for oss å se at makedonerne forlengst hadde tatt i bruk materiale fra vårt norske undervisningsopplegg Du Bestemmer.

I slutten  av juni kommer våre makedonske venner  på besøk til Norge. I tillegg til å besøke NorSIS og Datatilsynet, vil vi tilrettelegge besøk hos flere andre norske institusjoner, som er relevante med hensyn til blant annet sosiale medier, nettkrenkelser, datakriminalitet og skytjenester.

DPDP er svært aktive også på andre områder

DPDP virket å være en svært dreven organisasjon når det gjelder å ta intiativ til, og samle ulike aktører til å utveksle erfaringer og kunnskap seg i mellom, både internt i Makedonia, på Balkan og overfor Europa forøvrig. Første uken i mai står de for eksempel som vertskap for den såkalte «Berlingruppen». (her skal forøvrig representanter fra oss i Datatilsynet presentere et utkast til en såkalt «opinion» om skytjenester). I september arrangerer DPDP også det internasjonale saksbehandlermøtet for personvernmyndighetene.

Vi ser ikke bort fra at vi vil samarbeide med makedonerne også etter at det nåværende samarbeidsprosjektet er avsluttet. Vi kan for vår del både lære og få inspirasjon av deres helt andre måter å løse forskjellige oppgaver på, for eksempel tilsynsmetodikken.

Men det er en annen gang og en annen skål….

Datalagringsdirektivet

Det meste av debattiden ble brukt på Datalagringsdirektivet, selv om dette strengt tatt ikke var særlig omtalt i 2012-årsmeldingen. Noe av diskusjonen dreide seg da nettopp også om dette var en sak som skulle diskuteres ved behandlingen av denne årsmeldingen, eller ikke. I alle fall viser diskusjonen som utspant seg i Stortinget at Datalagringsdirektivet fortsatt er, og nok fortsatt vil bli, en høyst politisk betent sak i tiden som kommer.

Innebygd personvern

I motsetning til Datalagringsdirektivet var ”Innebygd personvern” et sentralt tema i vår årsmelding for 2012, og ble det også i tirsdagens debatt på Stortinget. Det tar vi som et uttrykk for at vi har lykkes godt med å få fram hvor viktig det er at man ved utvikling av nye IKT-løsninger og systemer bygger inn funksjonalitet som ivaretar personvernet fra første stund. Som komiteleder Ingjerd Schou så riktig sa det: ”-Når man tar slike hensyn på et tidlig tidspunkt, blir løsningene både bedre og mindre kostbare enn om man må tilpasse et system som egentlig ikke var designet for å ivareta personvernet”.  Kommunal- og moderniseringsminister Jan Tore Sanner understreket på sin side at for å lykkes med å modernisere offentlig sektor er man avhengig av å få teknologiske løsninger som også ivaretar personvernet. Han lovet å ta tanken om innebygd personvern med seg både i arbeidet med å fornying og forenkling av offentlig sektor og ved Regjeringens generelle lov- og utredningsarbeid.

Kontroll og overvåking innen arbeidslivet – og overtredelsesgebyr

Det tredje temaet som ble viet tid i debatten var de personvernutfordringene vi ser  i arbeidslivet, og som var et av våre prioriterte satsingsområder både i 2012 og 2013. Her ble det fra regjeringspartienes side vist til at en partssammensatt arbeidsgruppe i løpet av våren skal legge fram en rapport med forslag til tiltak.

Spørsmålet om Datatilsynets muligheter til å ilegge såkalte overtredelsesgebyr ble diskutert. SVs Karin Andersen lurte på om Kommunal- og moderniseringsministeren sendte signaler til Datatilsynet om å ikke benytte overtredelsesgebyr som virkemiddel  i tiden frem til det nevnte utvalget har lagt fram sin rapport. Dette ble klart avvist fra statsrådens side.

Her kan vi fra Datatilsynet sin side berolige alle med at vi ikke  har mottatt noen signaler i den retning fra vårt overordnede departement sin side. Det ville heller ikke vært særlig passende. Etter personopplysningsloven og dens forarbeider har vi en særlig uavhengig rolle som tilsynsmyndighet. Det er derfor helt og fullt opp til oss selv å bestemme hvorvidt vi skal ilegge overtredelsesgebyr i en sak, eller ikke.

Overtredelsesgebyr er bare ett av mange virkemidler vi har til vår rådighet. Vi ønsker ikke at overtredelsesgebyr skal være vårt primære verktøy for å sikre at regelverket blir fulgt, men vil bruke det i de mest alvorige sakene. I fjor benyttet vi oss av overtredelsesgebyr i syv saker, hvorav to innen arbeidslivet. Dette kan du lese mer om i vår årsmelding for 2013.

Årsmeldingen for 2013

Og mens vi er inne på årsmeldingen for 2013. Den hadde vi ferdig fra vår side to uker før Stortinget debatterte årsmeldingen for 2012. Vi er glad for at representanter for regjeringspartiene i debatten signaliserte at de er opptatt av at det skal gå kortere tid fra årsmeldingen foreligger fra vår side, frem til den blir endelig behandlet i Stortinget.

Bladet Vårt Land bringer i dag nyheten om at at flere ansatte i ambulanse og redningstjenesten tar bilder av pasienter, mens de er ute på akuttoppdrag. Bildene taes med helsepersonellets private mobiltelefoner, og uten samtykke fra pasientene. I enkelte tilfeller blir bildene publisert på sosiale medier. Statens Helsetilsyn har derfor igjen sett seg nødt til å minne om den taushetsplikten som helsepersonell har. 

Fra myndighetenes side har vi opp gjennom årene brukt ganske så betydelig med ressurser på å lære barn og unge om personvern og ansvarsforhold på Internett og i sosiale medier. Fra Datatilsynets side har vi særlig konsentrert oss om arbeidet med www.dubestemmer.no, der vi samarbeider med Teknologirådet og Senter for IKT i utdanningen. På mange måter tror jeg faktisk at barn og unge har tilegnet seg en bedre forståelse for mulige konsekvenser av publisering på sosiale medier, enn hva middelaldrende voksne har. Vi får håpe at dette i noen grad skyldes at det bevissthetsskapende arbeidet, fra mange gode krefter, har gitt resultater. 

Helsedirektoratets veileder om bruk av sosiale medier for helsepersonell mv

Vi valgte i sin tid navnet på undervisningsopplegget «Du bestemmer» fordi vi mente at den enkelte kan ta ansvar først etter at man har fått kunnskap. Når den enkelte har fått  kunnskap (eller ihvertfall muligheten til det) er det vanskeligere å unngå å ta ansvar for sine handlinger. Samme logikk bør også gjelde for arbeidstakere.

Fra Datatilsynet sin side vil vi derfor igjen oppfordre arbeidsgivere til å gi sine medarbeidere et godt  grunnlag for å være ansvarlige i sin bruk av sosiale medier, knyttet til sin rolle som arbeidstaker og yrkesutøver. Gjennom gjentatt bevissthetsskaping og kunnskapsbygging kan medarbeidere kanskje unngå å tråkke fatalt feil, nærmest i ren «bevisstløsthet».

Det finnes allerede en del brukbart veiledningsmateriale – her er noe å ta utgangspunkt i:  

• Helsedirektoratet: «Veileder i bruk av sosiale medier i helse-, omsorgs- og sosialsektoren». Utgitt juni 2012.
• Nasjonal sikkerhetsmyndighet (NSM): «Sosiale medier og sikkerhet»
• Nasjonal sikkerhetsmyndighet (NSM): «Nettsamfunn og sikkerhet«.
• Direktoratet for forvaltning og IKT (Difi), samleside om bruk av sosiale medier i forvaltningen: http://www.difi.no/sosiale-medier

Så må jeg til slutt få nevne den lille veiledningen vi i Datatilsynet utarbeidet allerede våren 2007 – den gang Facebook var i sin lille spede begynnelse her i Norge. I vårt råd nummer fem heter det: 

«Du er selv ansvarlig for all informasjon du legger ut på profilen din. Legg ikke ut bilder eller personopplysninger om andre uten først å ha spurt dem om lov.»

I hovedsak er det i prinsippet så enkelt!