get_queried_object(); $id = $cu->ID; ?>

Trender og status for personvernet 2022

Vi er nå inne i et momentum for å få til endringer som stiller langt større personvernkrav.

Dette innlegget ble holdt på KiNS-konferansen (Foreningen Kommunal Informasjonssikkerhet ) i april 2022, og er en forkortet versjon.

KiNS-konferansen er en viktig tradisjon og møteplass for alle som er opptatt av personvern og informasjonssikkerhet. Foreningen har en tydelig plass i kommunal og fylkeskommunal sektor. KiNS har gjort et viktig arbeid for informasjonssikkerhet i kommunene og skolesektoren, og er en sentral arena for deling av kunnskap og nettverking.

Norge i verden – verden i Norge

24. februar angrep vårt naboland Russland Ukraina. Vi er vitne til forferdelige krigshandlinger og ufattelige menneskelige lidelser. Millioner er på flukt, og tusenvis tas imot i kommuner over hele landet. Vi må være godt rustet og ta imot med omsorg, også med tanke på personvern. Mange skal registres inn i nye og gamle systemer og lister.  Det må gjøres med varsomhet. Flyktninger er en sårbar gruppe. Særlig kategorier personopplysninger og personopplysninger relatert til sårbare grupper krever større beskyttelsesvern enn vanlige personopplysninger. Vi vet også at risikoen for nettverksoperasjoner har økt under krigen. Andre påskedag sendte PST ut en pressemelding med vurderinger av etterretningstrusselen fra Russland i Norge. Nettverksopperasjoner som metode blir mer relevant når konfliktnivået nå gjør det vanskeligere å operere på andre måter, og de blir mer omfattende, sier PST (pst.no).

Personopplysninger er nesten alltid inngangsnøkkelen for angrepet. Alle personer og virksomheter med informasjon eller innflytelse av verdi for Russland må regne med å være mer utsatt enn før for russiske etterretningsaktiviteter (datatilsynet.no). Flere norske selskaper lagrer og behandler dessuten data i utlandet. Situasjonen gjør at vi oppfordrer alle selskaper som eksporterer personopplysninger om å gjøre en ny vurdering av hvilke persondata som sendes ut av landet til Russland og Ukraina. Det kan derfor være lurt å gå gjennom databehandleravtalene med leverandører en gang til med dette for øyet (datatilsynet.no).

Mange samtaler tar en helt annen farge nå etter at krigen brøt ut. Også når det gjelder personvern og informasjonssikkerhet. Jeg tror at krigssituasjonen i Europa kommer til å prege mye av det vi alle gjør fremover- kanskje med  et nytt alvor.

Øking av saker og henvendelser til Datatilsynet

Fjorårets aktiviteter i Datatilsynet er med å danne grunnlaget for statusen for personvernet i dag, og gjenspeiler mye av hva som skjer på personvernsiden i samfunnet. Året 2021 har vært som en berg- og dalbane for de aller fleste, med nedstengninger og åpninger om hverandre. Vi har hatt flere store saker direkte knyttet til pandemien, blant annet spørsmål om koronasertifikat. Det har vært en økning i koronarelaterte klager, slik som overvåking av ansatte på hjemmekontor. Smittesporing er også et tema som har opptatt mange.

I løpet av 2021 har Datatilsynet utestedet 26 overtredelsesgebyr etter brudd på bestemmelser i personvernforordningen. Dette innebærer en dobling sammenlignet med året før.  Alt i alt utstedte vi overtredelsesgebyrer på i underkant av 80 millioner kroner i løpet av i fjor. Sammenlignet med 2020, da vi hadde 13 saker som resulterte i overtredelses­gebyr på til sammen snaue seks millioner, er dermed økningen betydelig. Dette gjelder både antallet ilagte overtredelsesgebyr, og ikke minst, det totale beløpet. Disse sakene (datatilsynet.no) gjelder blant annet brudd på person­opplysningssikkerhet, ulovlig overvåking på arbeids­plassen, innhenting av kreditt­opplysninger og ulovlig utlevering av personopplysninger via mobilapplikasjoner.

Meldinger om brudd på personopplysningssikkerheten

 Antallet innmeldte avviksmeldinger har økt betraktelig. I fjor fikk vi inn 2 255 meldinger om brudd på personopplysningssikkerheten.  28 prosent av alle avvikene som meldes inn, kommer fra kommunesektoren. Det inkluderer skoler, barnehager, mange helsetjenester, eldreomsorg og barnevern. Kommunene er ansvarlige for mange av tjenestene som er nærmest enkeltindividet, og følgelig behandles mange sensitive opplysninger her. Å hjelpe til med å løfte kommunenes kompetanse på personvern og informasjonssikkerhet er dermed spesielt viktig.

Kun 9 stykker av totalt 2 255 innmeldte brudd på personopplysningssikkerheten fikk gebyr, det vil si under 0,5 %. Det betyr at når Datatilsynet faktisk ilegger gebyr så er saken av en slik karakter at den skiller seg ut, samtidig som den også gjerne har likhetstrekk med flere andre saker. Gebyrsakene kjennetegnes av at sikkerheten ikke er godt nok ivaretatt i virksomheten når hendelsen inntraff, uansett eventuell angriper eller årsak til hendelsen.   Enkelte mener at virksomheter som utsettes for angrep, ikke bør ilegges gebyr, og at de allerede har fått sin straff. Vi har stor sympati for vanskelighetene slike angrep skaper for de som blir rammet. Vi mener likevel at våre gebyrer er virkningsfulle og virker avskrekkende og ikke minst opplærende for andre som er i tilsvarende risikosituasjon.

Les blogg: Når en virksomhet har hatt et datainnbrudd, har den ikke da allerede fått sin straff? – Personvernbloggen.

I vår saksbehandling går vi grundig gjennom hva som er skjedd, hvorfor og hvilke tiltak som var satt inn før og etter. Tenk hvilke ringvirkninger diskusjonen til Østre Toten har gitt. Vi er mange som kan takke kommunen for åpenheten rundt angrepet (personvernbloggen.no).

Big Tech og offentlig sektor

Vi kan ikke snakke om status for personvernet uten å snakke og de store teknologiselskapene. Teknologirådets rapport viser at du spores på over 80 prosent av offentlige nettsteder, ved at de bruker verktøy i regi av de store techgigantene. Er dette lurt, greit, og rimelig å forvente? Spørsmålet stilte Tore Tennøe, direktør for Teknologirådet, da han holdt sitt innlegg på Personverndagen mandag 31. januar i år. Han svarte selv at det offentlige både har monopol, dekker viktige livshendelser og har et særlig ansvar, og svaret derfor er nei. Datatilsynet har, etter en egen vurderingen som behandlingsansvarlig valgt å ikke opprette en egen konto på Facebook, fordi vi ikke vet hva som faktisk skjer med brukernes data.

En ganske ny avgjørelse fra det østerrikske datatilsynet konkluderer med at det å bruke Google Analytics betyr at brukernes data sendes til USA. Det strider mot personvernlovgivningen i EU. Blir avgjørelsen stående, er det å bruke Google Analytics ulovlig – også i Norge. Men det er bevegelse, ja det er faktisk lys i tunnelen, sier Tobias Judin i Datatilsynet. Det er mulig det kommer på plass en ny avtale slik man enkelt overføre personopplysninger til USA igjen. Forrige måned kom nemlig nyheten mange har ventet på. I forbindelse med president Joe Bidens besøk i Brussel, kunngjorde han og EU-president Ursula von der Leyen at EU og USA har landet en ny avtale. I en felles uttalelse kunngjorde de at avtalen vil besvare EU-domstolens innvendinger mot den forrige avtalen, samtidig som USA skal styrke personvernreguleringene i egen telekombransje.

Vi må stille krav

Vi er nå inne i et momentum for å få til endringer som stiller langt større personvernkrav. Det er på høy tid at vi begynner å gjøre den type vurderinger fra offentlig sektor, og begynne å stille krav. Vår tidligere sjef, Bjørn Erik Thon sa før han skulle slutte– Min drøm er at vi skal kunne lage det nye, personvernvennlige Google i Norge, ut fra en helt ny måte å tenke på, som tar opp i seg både innovasjon, samfunnsnytte og personvern. Ja, tenk om! Vårt inntrykk er at regjeringen ser viktigheten av å ivareta personvern og informasjonssikkerhet, også i kommunesektoren. Slik ser det i hvert fall ut i Hurdalsplatformen (regjeringen.no).

Den treffer blink på mye. Les den, bruk den. Vi må ha store forventninger.

Vi trenger fortsatt et skikkelig trøkk for å sikre er godt personvern for alle.

Umberto Eco sa på et foredrag for internasjonale personvernmyndigheter allerede på 1980-tallet at «Den største utfordringen er ikke å sikre personvernet til  de få som ber om hjelp, men å få alle andre til å betrakte personvernet som et verdifullt gode».

Vi bærer det videre.

GDPR: Materielt eller prosessuelt vern?

(Denne teksten ble først publisert på Rett24.no den 14. desember 2021.) Perspektivene på hva personvern er og bør være, varierer. Fersk praksis illustrerer at det kanskje er mer enn skattereglene som lokker teknologigantene til Irland. I EØS har vi strenge...

les mer

Kan jeg få dra av deg nissedrakta?

I Maskorama på NRK får du avslørt identiteten din om du ikke er flink nok. I den virkelige verden kan du bli frastjålet identiteten. Det var Abid Raja som skjulte seg inni NRKs nissedrakt, men verden er full av nisser. Er du en av dem? Ikke? Tja, vi får se på det. Det...

les mer

Nei takk, vi er forsynt med cookies

Den norske mediebransjen mobiliserer igjen for å stoppe innstramminger i regelverket for cookies og lignende sporingsteknologier. Denne gangen håper vi at regjeringen ikke lytter. Bakgrunnen for det som utspiller seg i høringsrunden går nesten ti år tilbake i tid. Da...

les mer

Derfor sa vi nei til Facebook

Dette innlegget sto på trykk i Dagens Næringsliv 18. oktober 2021. Datatilsynet har besluttet å ikke opprette en egen side på Facebook fordi usikkerheten til hvordan Facebook bruker disse dataene er for stor. I et innlegg den 13. oktober uttrykker Facebook...

les mer

Ti tonn tillit, takk!

Kva er kiloprisen på tillit? Sei det! Uansett - i ei tid der vi snakkar om persondata som det nye gullet, blir det stadig tydelegare at tilliten din er sjølve diamanten. Cyberangrep er stadig i overskriftene, og det er berre å innsjå det – vi menneske er det svakaste...

les mer

Data er det nye oljesølet

Vår tids digitale utfordringer bærer i seg et element av allmenningens tragedie. Hvis data er den nye oljen, må vi snakke mer om forurensingen, utslippene og de kollektive skadevirkningene stordataalderen har medført.  Dette innlegget stod på trykk i Morgenbladet...

les mer

Må vi egentlig være på sosiale medier?

Det er blitt skapt et avhengighetsforhold mellom norske virksomheter og teknologiselselskapene som det blir vanskelig å fri seg fra. Vi må passe på at ikke offentlig sektor blir like avhengig av den samme retorikken - at de "må være på sosiale medier ettersom...

les mer

Er du også tankeleser?

(Denne teksten ble først publisert på digi.no 9. september 2021.) En rekordstor GDPR-bot fra Luxembourg illustrerer dilemmaet: Trår man feil, kan behandling av personopplysninger gi muligheter på kort sikt og utfordringer på lang sikt. Her er noen råd på veien....

les mer

Stressa for Schrems II?

Vi har laget en ny veileder om overføring av personopplysninger til områder utenfor EØS. Her er noen ting du kanskje bør vite. Ut av hjemmekontorvinduet ser jeg en myk ås formet gjennom sikkert millioner av år (forbehold: jeg er ikke geolog). Så skifter jeg fokus til...

les mer

Siste kommentarer

    Arkiv

    Følg oss:

    Ønsker du å motta e-post når nye innlegg postes på Personvernbloggen, kan du registrere din e-postadresse her.

    E-postadressen blir lagret på vår server og kun brukt til dette formålet. Om du velger å slutte å følge oss, vil e-postadressen bli slettet fra vår server. Du samtykker til denne bruken av din e-postadresse ved å registrere den her.

    Loading