Arendalsuka vokser og vokser, og det er et uendelig antall arrangementer å velge mellom. Men hvordan velge riktig? Hvordan kan den personverninteresserte virksomhet sende sine beste menn og kvinner på riktig sted? Hvor bør den glade forbruker og bevisste borger gå for å bli en enda bedre utgave av seg selv?

I denne guiden lister jeg opp de viktigste personvernarrangementene. Det er ingen uttømmende liste. Mange andre arrangementer, som digitalisering, helse og transport handler også om personvern, selv om dette ikke er angitt som tema.

Norge anno 2030 (mandag 13. august kl. 20.00)

Det er vanskelig å spå om fremtiden, men det er oppgaven til panelet som skal snakke om hvordan ble vi et grønt, digitalt og smart samfunn. En ting er sikkert; mengden persondata vil være mangedoblet om 12 år, men kanskje har vi utviklet teknologi som gjør at personvernet kan ivaretas på en bedre måte enn i dag. Og mon tro om Facebook, Google og Amazon fremdeles er verdens største selskaper. Jeg kan vel si såpass at jeg slett ikke er sikker.

Arrangører er Tekna, og jeg sitter i panelet sammen med blant annet president i Tekna, Lise Lyngsnes Randeberg og Høyres Henrik Asheim, som leder finanskomiteen på Stortinget.

Se programmet her

Den digitale kommune – Best for deg? (tirsdag kl. 09.30–11.00)

Alle bor i en kommune, og vi er allerede fra før vi blir født brukere av kommunens tjenester. Kommune-Norge digitaliseres i stadig større fart, og enkelte steder har man en fremtidsvisjon om at vi får tildelt barnehageplass ved fødselen, og viktige kommunale tjenester skal tildeles uten søknad.

Dette er vel og bra, men det fordrer innsamling og analyse av enorme mengder data, også av sensitiv karakter. Vi har gjennom mange tilsyn de siste årene avdekket av mange norske kommuner slett ikke har kontroll på data de har om innbyggerne sine. Det er derfor grunn til å spørre om de er klare for den digitale revolusjonen.

Dette arrangement er en del av hovedprogrammet, og arrangerer i samarbeid mellom Datatilsynet, KS og Arendalsuka. Jeg sitter i panelet sammen med blant annet KS sin leder Gunn Marit Helgesen og direktør i Teknologirådet, Tore Tennøe.

Se programmet her

Kan man regulere internett? (tirsdag kl. 11.00–12.00)

Regulering av internett er en stor debatt i Norge og mange andre land. Hvilke muligheter har myndighetene til å regulere internett, og hva vil kreves for å kunne gjøre dette? Skal norske forbrukere kunne oppsøke alt man ønsker så lenge det er på internett, eller er det eller bør det være begrensninger for dette? Hvor går i så fall grensen?

Programmet for dette arrangementet er ikke klart enda, men fra Datatilsynet deltar juridisk direktør Jørgen Skorstad.

Arrangør er Kindred Group.

Skal roboter passe på bestemor? (tirsdag 14. august kl. 12.15–13.00)

Vi snakker ofte om at eldreomsorgen trenger varme hender, men varme hender kan også bli klamme hender. Bruk av velferdsteknologi har mange gode sider; folk kan bo hjemme lenger, de eldre kan føle at privatlivet deres i mindre grad blir invadert av andre og det kan gi større trygghet.

Dette er blant temaene vi berører når vi samles på Aftenpostens arrangement på Mediebåten, der teknologikommentator i Aftenposten, Joacim Lund, samler teknologieksperter til en samtale. Jeg faller neppe helt inn i den kategorien, men jeg vil utdype personvernperspektivene i denne viktige debatten.

Se programmet her

Sikkerhet, personvern og elleville vilkår i «smart»-produkter (tirsdag 14. august kl. 13.00–14.30)

Antall produkter som er koblet til internett er enormt, og økende. Det siste året har Datatilsynet blant annet behandlet saker knyttet til bruk av smartklokker for barn, og vi noterer samtidig med glede at den nye personvernforordningen legger opp til at det skal tas særlig hensyn til barns personvern.

Vi ser også at personvernspørsmål har blitt forbrukerspørsmål. Hvordan dataene våre behandles handler om deg og meg og oss.

Arrangementet er et samarbeid mellom Forbrukerrådet, Forbrukertilsynet (tidligere Forbrukerombudet) og Datatilsynet, og jeg deltar i panelet sammen med blant annet Forbrukerrådets direktør Randi Flesland, direktør i Forbrukertilsynet Elisabeth Lier Haugseth og statssekretær i Justis- og beredskapsdepartementet Sveinung Rotevatn.

Se programmet her 

Dine data i fremmede makters valgkamper? Hvordan skal personvernet beskyttes? (tirsdag 14. august kl. 17.00–18.00)

Hvordan utfordrer den teknologiske utviklingen personvern og menneskerettigheter? Har den endret offentlighetene våre? Og hvordan kan vi styre teknologien?
Dette er spørsmål vi skal snakke om på om tirsdag ettermiddag

Aftenposten er arrangør og det hele foregår på Mediebåten, der jeg deltar sammen med fagdirektør i Norges Nasjonale Institusjon for Menneskerettigheter, Anine Kierulf og Harald Stanghelle, redaktør i Aftenposten.

Se programmet her  (merk: ny tekst kommer)

Pasientens helsetjenester – mine og dine data? (onsdag 15. august kl. 08.30–13.30)

Det samles inn helsedata om oss hele livet gjennom. Dette er de mest sensitive dataene som finnes, samtidig kanskje de som kan gi størst samfunnsnytte. Men vet vi hva som egentlig skjer med mine og dine helsedata? Og hvordan utfordrer bruk av helsedata personvernet? Dette er blant de spørsmålene som skal diskuteres på dette mini-seminaret.

Arrangementet er i regi av e-Helsealliansen, Sørlandet Sykehus HF, Digin, Aust-Agder Fylkeskommune, Senter for e-helse/UiA, Egde Consulting AS. Fra Datatilsynet deltar seniorrådgiver og leder for helsegruppa, Camilla Nervik.

Se programmet her

Tilkoblede barn – hvordan kan vi sørge for at barn er trygge digitale forbrukere? (onsdag 15. august kl. 09.00–10.00)

I dag er TV-en smart, klokkene er smarte og leketøyene smarte og de kan snakke til barna våre. Men hvordan gjør vi barna digitalt smarte, når vi vet at det er svært vanskelig å vite hva man egentlig takker ja til? Vi stiller også spørsmål ved hvilket ansvar foreldre og næringslivet har i å oppdra barna til gode digitale borgere.

Arrangementet er et samarbeid mellom Forbrukertilsynet, Datatilsynet og Medietilsynet. I tillegg til direktørene for de tre tilsynene, møter vi representanter fra næringslivet for meningsutveksling og debatt. Blant deltagerne er Stian Barsnes-Simonsen fra Nordic Screens og Mari Midtstigen, redaktør i Aftenposten junior.

Som oppvarming anbefaler jeg kommunikasjonsrådgiver Guro Skåltveit sin blogg om manglende opplæring i digital dømmekraft

Se programmet her

Deit med Forbrukertilsynet, Datatilsynet eller Medietilsynet – spør oss om barn og digitale medier (onsdag 15. august kl. 10.00–11.00)

Hvem drømmer ikke om en deit med Datatilsynet? Nå er sjansen der! Utviklere, produsenter, distributører, innovatører, foreldre, barn og besteforeldre – alle er velkomne til å stille spørsmål til oss om markedsføring rettet mot barn, vilkår og innsamling av data.

Fra Datatilsynet møter du erfarne jurister, teknologer og samfunnsvitere. Deiter deles ut der og da etter førstemann-til-mølla-prinsippet.

Se programmet her

Hvordan gjøre cyber-Norge tryggere? (onsdag 15. august kl. 10.30–11.30)

2018 er året Norge får både et nasjonalt cybersikkerhetssenter og et nasjonalt senter mot cyberkriminalitet. Bakgrunnen for disse nyetableringene er den økende digitale trusselen. Nasjonal Sikkerhetsmyndighet står bak arrangementet, der vi blant annet vil diskutere om slike sentre vil hjelpe og om vi kan beskytte folk og virksomheter bedre enn i dag.

Mitt perspektiv blir selvsagt hva mer sammenstilling, analyse og bruk av data betyr for innbyggernes personvern. De andre deltagerne er avdelingsdirektør Hans Petter Pretorius i NSM, politiinspektør Hans-Petter Torgersen i Kripos og sikkerhetsdirektør Hanne Tangen Nilsen i Telenor.

Se programmet her

Skjeve data & slemme roboter: Hvordan gi kunstig intelligens moralsk kompass? (onsdag 15. august kl.11.45 –14.00)

Mennesket fases ut av stadig flere beslutninger. Intelligente maskiner vil i fremtiden bestemme om vi skal få trygd, lån og forsikring, og hva slags behandling vi skal få når vi blir syke. Dette har utvilsomt mange fordeler, men samtidig er det ingen grense for hvilke opplysninger som kan bli samlet inn og brukt i «det godes tjeneste».

Derfor er det viktig at vi allerede nå, i en tidlig fase av utviklingen stiller de riktige spørsmålene: hvilke rammer trenger vi for å kunne realisere mulighetene kunstig intelligens gir oss på en sikker og rettferdig måte? Hvordan håndterer norske virksomheter som har begynt å ta i bruk KI personvernhensyn?

Arrangementet er et samarbeid mellom Telenor og Datatilsynet, og består av tre deler: En innledning av Kommunal- og moderniseringsminister Monica Mæland, hard-talk mellom Arbeiderpartiets Torstein Tvedt-Solberg og Høyres Mari Holm Lønseth (ikke endelig avklart). Deretter skal et ekspert-panel bestående av bl .a. IT-direktør i NAV Torbjørn Larsen, Ruters direktør Bernt Reitan – Jenssen og meg selv diskutere temaet.

Som en oppvarming anbefales Datatilsynets rapport om kunstig intelligens og personvern (januar 2018)

Se programmet her

Kunstig intelligens, sikkerhet og fremtidens teknologi i et globalt og inkluderende samfunn (onsdag 15. august kl. 14.00–15.00)

Dette er et arrangement i samarbeid mellom IKT-Norge og Sopra Steria. Program og deltakere er ikke helt avklart enda, men det som er sikkert er at Datatilsynets fagdirektør Catharina Nes deltar.

Som en oppvarming anbefaler vi rapporten vår om Kommersiell bruk av personopplysninger

Les gjerne også Catharinas blogg om utviklingen i Kina

Se programmet her

Det digitale skiftet – Fantastisk eller Forferdelig? (onsdag 15. august kl. 17.00 – 19.00)

Dette er et arrangement i regi av Centre for Digital Transformation ved Universitetet i Agder. Programmet vil bli oppdatert. Datatilsynets fagdirektør Catharina Nes deltar sammen med IKT-Norges Torgeir Waterhouse, og gode rykter sier at det blir skråblikk med Bare Egil også!

Se programmet her

Helsedata – mirakelkur med bivirkning? (torsdag 16. august kl .12.00–14.00)      

Det har den siste tiden blitt gjennomført en rekke utredninger og evalueringer som har endt opp med ulike forslag til hvordan vi bedre og mer effektivt skal kunne bruke helsedata til ulike formål, og hvordan vi skal kunne realisere gevinstene av disse dataene. Det er bred enighet om at helsedata har stor verdi, og det brukes ofte store ord som den nye oljen og det nye arvesølvet.

Dette er en debatt med mange nyanser og dilemmaer. Kan den økte bruken ha noen kostnader? Kan det gå på bekostning av befolkningens tillit? Og hvilke krav stiller Den Europeiske Menneskerettighetskonvensjon og det nye personvernregelverket til bruken av helsedata i forskning og utvikling.

Datatilsynet står som arrangør av dette arrangementet, og i debatten møter du direktør i Folkehelseinstituttet Camilla Stoltenberg, prosjektleder i BIgMed-prosjektet Thomas Smedsrud, styreleder i Legemiddelindustrien Veronika Barrabes og meg.

Les gjerne min blogg om framtidas helsevesen på Personvernbloggen

Se programmet her

«Det er den draumen me ber på, at noko vidunderlig skal skje.» Ordene fra lyrikeren Olav H. Hauge oppsummerer kanskje de store forhåpningene vi har til kunstig intelligens. Allerede i dag kan algoritmer gjenkjenne ansikter eller treffe beslutninger basert på enorme mengder data i løpet av et sekund. Teknologien har potensial til å revolusjonere sektorer som helse og finans.

Alt som er teknisk mulig er ikke alltid til det beste – og det er heller ikke alltid tillatt.

Skjeve algoritmer
Domstolene i noen av statene i USA har tatt i bruk maskinlæring i et system for utmåling av straff og kausjonsbetingelser. Dobbelt så mange afroamerikanere som hvite ble feilaktig ansett å ha høy risiko for å begå nye lovbrudd.

Vi er bare i startgropen på noe som vil ha en betydelig effekt på samfunnet. Derfor er det viktig at vi tar diskusjonen nå – hvilke rammer trenger vi for å kunne realisere mulighetene i kunstig intelligens på en oversiktlig, trygg og rettferdig måte?

Svarte bokser og dype nett
En enkel og forståelig algoritme for å kjenne igjen et ansikt kan være å kun se på om håret er lyst eller mørkt. Da er det én regel som styrer ansiktsgjenkjenningen.

Såkalte dype nett er den nyeste utviklingen og selskaper som Google og Facebook ligger helt i front. Dype nett kan ha millioner av parametre, som hver for seg beskriver en enkel sammenheng. Millioner av slike enkle biter gir modeller som er komplekse og presise, men som også kan være vanskelige å forstå selv for dem som har laget dem – såkalte svarte bokser.

Algoritmene kan ikke gjøre som de vil
De nye personvernreglene fra EU (GDPR) som trer i kraft i mai stiller større krav til dem som behandler personopplysninger og setter grenser for bruk av teknologi. Sentralt for bruk av kunstig intelligens i de nye reglene er dataminimering, rettferdig behandling og ikke minst gjennomsiktighet.

Brukeren har rett til å få grunnleggende informasjon om behandlingen. Ved en helautomatisert avgjørelse med betydelig konsekvens for den registrerte kan vedkommende også ha rett til en forklaring på hvordan avgjørelsen er tatt. Å ikke følge reglene kan gi bøter eller pålegg om å endre praksis eller slutte å behandle personopplysninger.

Innsyn i algoritmene er teknisk mulig
Vi har den siste tiden sett flere eksempler på utprøving av tekniske løsninger som gjør det mulig å se inn i algoritmene uten å avsløre mer enn den registrerte har krav på å få vite. En algoritme henter ut en forståelig forklaring på hvordan algoritmen har vurdert akkurat dine data. Slik metodikk for å se inn i algoritmer uten å kjenne dem i detalj – en slags kunstig intelligens for å forklare den kunstige intelligensen – forskes det aktivt på i dag.

Videre utvikling er avhengig av folks tillit
En bærekraftig utvikling av personaliserte tjenester forutsetter at folk er villige til å dele opplysningene sine og at de stoler på at opplysningene deres blir ivaretatt på en ansvarlig måte. Hvis din virksomhet vil ta i bruk kunstig intelligens bør du først vurdere mulige personvernkonsekvenser, ha gode systemer for å ta vare på de registrertes rettigheter og teste løsningene jevnlig for å unngå innebygd, urimelig forskjellsbehandling. Det kan dessuten være at du må velge mellom en modell som gir best mulig resultater og en modell det også er mulig å forklare.

Til slutt: Det offentlige må gå foran med etiske og personvernvennlige løsninger og det bør forskes mer på løsninger som sikrer personvernvennlig kunstig intelligens og gjør det lettere å følge reglene. Dette kan også bli en konkurransefordel for norske virksomheter.

Denne teksten ble trykket som kronikk i Dagens Næringsliv sin teknologispalte fredag 12. januar med Anders Løland fra Norsk Regnesentral og Bjørn Erik Thon fra Datatilsynet som medforfattere i tillegg til meg selv. Samme dag ble Datatilsynets rapport om personvern og kunstig intelligens lansert, les mer om den her.

Regelverket stiller ingen spesifikke krav når det kommer til utdanningsbakgrunn eller sertifiseringer, men det stilles tydelige krav til kompetanse og egnethet. Ombudet skal velges på grunnlag av:

• Faglige kvalifikasjoner. Ombudets faglige kvalifikasjoner bør stå i forhold til hvor omfattende behandling av personopplysninger virksomheten har, og hvor sensitive og komplekse opplysningene er. Hvis en virksomhet behandler store mengder personopplysninger eller overfører data i stor skala til tredjeland er det ekstra viktig å utnevne et personvernombud med sterk faglig tyngde.
• Dybdekunnskap om personvernlovgivning og praksis på området. Personvernombudet forventes å ha oversikt over, og å gi råd om, rammene for etterlevelse av både forordningen og annet personvernrelevant regelverk med betydning for virksomheten. Behovet for dybdekunnskap om tilstøtende regelverk vil naturlig nok variere. I noen tilfeller vil det ikke være annet relevant regelverk, mens det i andre vil det være sektorspesifikk lovgivning som kan ha bestemmelser av betydning for personvernet. Det er også en fordel at ombudet har erfaring fra og kjennskap til sektoren. Ombudet bør også ha en god forståelse av behandlingsaktivitetene, IT-systemene, informasjonssikkerhet og personvernbehovene i virksomheten.
• Evne til å utføre oppgavene sine. Dette referer både til personlige egenskaper og kunnskap, men også til ombudets posisjon i virksomheten. Når det kommer til personlige egenskaper er det relevant å vurdere integritet og evne til å gjøre etiske vurderinger, samt evnen til å stimulere resten av virksomheten til å behandle personopplysninger i tråd med regelverket.

Hva slags utdanningsbakgrunn bør personvernombudet ha?

Regelverket setter ingen krav til hva slags type utdanningsbakgrunn et personvernombud skal ha. I dagens ordning ser vi at ombudene kommer fra mange ulike slags bakgrunner. Men det er kanskje en overvekt av jurister, IT-rådgivere, HR-personell, revisorer og personell som jobber med compliance, organisasjonsstruktur, sikkerhet og regelverketterlevelse.

Som nevnt over er det viktig at personvernombudet har en god forståelse av behandlingsaktivitetene, IT-systemene, informasjonssikkerhet og personvernbehovene i virksomheten. I tillegg er god forståelse av regelverket avgjørende. Et godt personvernombud trenger ikke nødvendigvis å være ekspert på alle disse feltene. Det viktige her er at det er en person som evner å tilknytte seg de personene og den kunnskapen hun eller han trenger i organisasjonen.

Hva slags kurs eller utdanning trenger et personvernombud?

Noen nye personvernombud vil ha med seg personvernrelevant erfaring fra tidligere, mens andre ombud vil være helt ferske og kanskje ikke ha noen erfaring med personvern. Virksomheten og ombudet må sammen se på hva slags kompetanseheving og kursing ombudet trenger for å kunne ivareta oppgavene sine på en god måte.

Vi anbefaler alle personvernombud å ta kurs eller utdanning som er relevant for sin oppgave. De aller fleste vil trenge det, eller i hvert fall ha stor glede av denne måten å tilegne seg kunnskap på. I dag er den mange som tilbyr kurs eller seminarer, med ulik profil og med ulik varighet. Kanskje finnes det også samlinger eller kurs som er spesifikk rettet mot en ønsket bransje, eller mot en bruk av personopplysninger som er særlig relevant for deres virksomhet?

Det viktige er at den enkelte finner en vei som passer dem samt utfordringen som virksomheten står overfor i sin bruk av personopplysninger. For noen er det naturlig å ta litt av gangen, eller å kombinere forskjellige kurs. For andre vil det beste være å finne en generell opplæring av en varighet som gjør det mulig å gå mer i dybden, typisk et større kurs som er ment for å gi et god fundament for personvernombud. For de som stiller på bar bakke kunnskapsmessig, anbefaler vi å ta kurs utover en dag eller to for å få kunnskapen og oversikten som trengs for å utføre ombudsoppgavene.

Datatilsynet tilbyr to dager med kurs for personvernombud i høst – disse er dessverre fullbooket, men vi vurderer å sette opp nye kurs våren 2018. Mer info kommer på Datatilsynets nettsiderdette er endelig bestemt. Våre kurs gir en innføring, men er ikke omfattende nok som fundament for et personvernombud med stort kunnskapsbehov.

Det er i tillegg en rekke personvernkurs på markedet som er relevante for personvernombudene.

Les mer

Vår samleside om personvernombudsordningen

Veiledere og annen informasjon om det nye personvernregelverket

Artikkel 37 i den nye forordningen som kommer fra EU sier at både behandlingsansvarlige og databehandlere skal utpeke et personvernombud dersom:

1. behandlingen utføres av en offentlig myndighet eller et offentlig organ, bortsett fra domstoler som handler innenfor rammen av sin domsmyndighet,
2. den behandlingsansvarliges eller databehandlerens hovedvirksomhet består av behandlingsaktiviteter som på grunn av sin art, sitt omfang og/eller formål krever regelmessig og systematisk monitorering i stor skala av registrerte, eller
3. den behandlingsansvarliges eller databehandlerens hovedvirksomhet består av behandling i stor skala av særlige kategorier av opplysninger i henhold til artikkel 9 (sensitive personopplysninger) eller personopplysninger knyttet til straffedommer og straffbare forhold som er nevnt i artikkel 10.

Med mindre det er helt opplagt at en virksomhet ikke er pålagt å ha ombud, anbefaler Datatilsynet at virksomheten dokumenterer de vurderingene som har blitt gjort dersom personvernombud ikke blir opprettet. Dokumentasjonen er nødvendig for å kunne vise at virksomheten har gjennomført en reell vurdering, der alle relevante faktorer har blitt tatt med. Vurderingene bør oppdateres ved behov, for eksempel hvis virksomheten starter nye behandlinger av personopplysninger som kan være omfattet av de tre punktene over.

Hva faller innenfor «offentlig myndighet og organ»?

Forordningen definerer ikke hva offentlig myndighet og organ betyr i vår sammenheng, og det er opp til hvert land å definere ut i fra sitt lovverk og kontekst. I høringsutkastet fra Justisdepartementet er det foreslått at de organene som omfattes av offentlighetsloven § 2 a skal være pålagt å ha ombud. Det vil i så fall innebære at staten, fylkeskommuner og kommuner har plikt til å opprette personvernombud. Hvordan offentlig sektor defineres vil bli endelig avklart når det nye regelverket vedtas i Stortinget.

Hvem innen privat sektor må ha ombud?

Virksomheter som har som hovedvirksomhet å gjøre følgende i stor skala, må opprette personvernombud:

• regelmessig og systematisk monitorering av personer, eller
• behandling av sensitive personopplysninger, eller
• behandling av opplysninger om straffbare forhold

Nedenfor forklarer vi nærmere hvordan de ulike begrepene kan tolkes.

Hovedvirksomhet «Hovedvirksomhet» er kjerneaktiviteter som er nødvendig for å oppnå virksomhetens mål. Hvis behandling av personopplysninger er uløselig forbundet med virksomhetens produkter eller tjenester, skal det ses på som en hovedvirksomhet.

To eksempler på dette:

• Et sykehus sin hovedvirksomhet er å gjøre folk friske, men sykehuset kan ikke gjøre det uten å behandle personopplysninger i stor skala. Sykehuset er derfor pålagt å ha personvernombud.
• Et sikkerhetsselskap utfører kameraovervåking på flere kjøpesentre. Å sørge for sikkerheten er hovedvirksomheten, men dette forutsetter behandling av personopplysninger. Sikkerhetsselskapet blir derfor pålagt å ha personvernombud.

Personaladministrasjon og vanlig IT-støtte er standard i alle virksomheter, og blir i denne sammenheng ikke sett på som hovedvirksomhet. Dermed utløses ikke pålegget om å ha personvernombud.

Stor skala Forordningen definerer ikke hva som ligger i begrepet «stor skala». Følgende faktorer bør imidlertid tas med i en vurdering av om en behandling er i stor skala, eller ikke:

• antallet personer det behandles opplysninger om
• mengden og omfanget av personopplysningene som blir behandlet
• varigheten av behandlingen
• det geografiske omfanget av behandlingen

Eksempler på aktører som foretar behandling av personopplysninger i stor skala er sykehus, offentlige transportsystemer i en by, banker, forsikringsselskaper, søkemotorer på internett og internett- og teletilbydere.

Eksempler på aktører som ikke vil falle inn under begrepet «stor skala» er fastleger eller advokater som kun behandler opplysninger for et begrenset antall pasienter eller kunder.

Regelmessig og systematisk Heller ikke når det gjelder «regelmessig og systematisk» gir forordningen en definisjon, men følgende punkter bør legges til grunn i en vurdering:

• Regelmessig:
  • Behandlingen av personopplysninger skjer løpende eller jevnlig i en bestemt periode
  • Behandlingen gjentas på bestemte tidspunkter
• Systematisk:
  • Behandlingen av personopplysninger skjer etter et system
  • Behandlingen er forhåndsbestemt, organisert eller metodisk
  • Behandlingen skjer som en del av en generell plan for datainnhenting
  • Behandlingen skjer som en del av en strategi

Monitorering «Monitorering» beskrives nærmere i fortalepunkt nummer 24 («fortale» er en innledende forklaring til de enkelte artiklene i lovteksten):

«For å fastslå om en behandlingsaktivitet kan anses som monitorering av de registrertes atferd bør det bringes på det rene om det skjer sporing av fysiske personer på internett, herunder en mulig påfølgende bruk av teknikker for behandling av personopplysninger som innebærer profilering av en fysisk person, særlig med det formål å treffe avgjørelser om vedkommende eller analysere eller forutsi vedkommendes personlige preferanser, atferd eller holdninger.»

Oppsummert omfatter «monitorering» i denne sammenhengen alle former for sporing og profilering på nettet, inkludert persontilpasset reklame.

Begrepet monitorering begrenses imidlertid ikke bare til aktiviteter på internett. Eksempler på aktiviteter som kan falle inn under begrepet monitorering er:

• drift av et telekommunikasjonsnettverk
• målrettet e-postreklame
• profilering og vurdering i forbindelse med kredittvurdering
• sporing av lokasjon i mobilapplikasjoner
• monitorering ved bruk av helsearmbånd
• kundeklubber eller lojalitetsprogrammer
• kameraovervåking
• bruk av internettilknyttede enheter, som for eksempel smarte biler, automatiske strømmålere, smarthus og lignende

Sensitive opplysninger og straffbare forhold «Særlige kategorier av opplysninger samt personopplysninger knyttet til straffedommer og straffbare forhold» refererer til definisjoner i artikkel 9 og 10:

• Sensitive opplysninger/særlige kategorier av personopplysninger (art. 9):
  • rasemessig eller etnisk opprinnelse
  • politisk oppfatning
  • religiøs eller filosofisk overbevisning
  • fagforeningsmedlemskap
  • behandling av genetiske opplysninger og biometriske opplysninger med det formål å entydig identifisere en fysisk person
  • helseopplysninger
  • opplysninger om en fysisk persons seksuelle forhold eller seksuelle legning
• Straffbare forhold (art. 10):

• personopplysninger i forbindelse med straffedommer og straffbare forhold eller tilknyttede sikkerhetstiltak

Kan virksomheten opprette personvernombud på frivillig basis?

Datatilsynet oppfordrer alle virksomheter som gjør en omfattende innsamling og bruk av personopplysninger, eller som behandler opplysninger som er særlig beskyttelsesverdige, om å opprette et personvernombud. Dette gjelder også de som ikke er pålagt å gjøre det. Vær da oppmerksom på at dersom dere oppretter ombud på frivillig initiativ, vil artiklene 37-39 i forordningen gjelde på lik linje som for lovpålagte ombud.

En virksomhet står selvfølgelig fritt til å ansette eller leie inn arbeidskraft for å ivareta personvernet uten at denne eller disse personene har rollen som personvernombud. I slike tilfeller er det viktig at det kommer tydelig fram, både innad og utad i virksomheten, at tittelen, oppgavene og rollen til disse ikke kan forveksles med et personvernombud.

Må også databehandlere opprette personvernombud?

Både den behandlingsansvarlige og databehandleren er pålagt å ha personvernombud hvis kriteriene i artikkel 37 er oppfylt. Avhengig av hvem som oppfyller kriteriene kan det være enten den behandlingsansvarlige eller databehandleren som er pålagt å ha personvernombud, men det kan også være begge.

Et eksempel:

En liten familiebedrift selger hvitevarer og kjøper tjenester av et webanalysebyrå for å tilby målrettet reklame på nettsiden sin. Familiebedriften sin behandling av personopplysninger er såpass begrenset at det ikke faller inn under begrepet «stor skala». Webanalysebyrået derimot har så mange forskjellige kunder at det til sammen tilsvarer behandling av personopplysninger i stor skala. I dette tilfellet skal webanalysebyrået utnevne personvernombud, mens familiebedriften ikke har den samme plikten.

Et personvernombud som er utnevnt av en databehandler har også ansvar for de øvrige behandlingene som virksomheten er behandlingsansvarlig for (for eksempel IT, personal/HR, logistikk og lignende).

Les mer om personvernombudsordningen

Les mer om personvernombud etter ny forordning

Les mer om den nye forordningen 

MANGEL PÅ KONTROLL

Mer enn åtte av ti føler at de ikke har full kontroll over personopplysningene sine på nettet. To tredjedeler av disse sier de er bekymret på grunn av dette. Respondentene ble bedt om å rangere seks ulike hverdagslige aktiviteter ut i fra hva de er mest bekymret for når det kommer til sporing av personopplysninger. Flest (55 prosent) var bekymret i forbindelse med bruk av betalingskort, og ved bruk av mobiltelefon og mobilapper.

LIKER IKKE Å BETALE MED PERSONOPPLYSNINGER OG TILPASSET REKLAME

Over halvparten av respondentene er uenig i et utsagn om at de ikke har noe imot å oppgi personopplysninger i bytte mot gratis tjenester på nettet. En tredjedel er enig i utsagnet – de har altså ikke noe imot å betale med personopplysninger for tjenester på nettet. Det er ganske interessant at såpass få synes det er greit, med tanke på at nesten alle av oss faktisk gjør det, for eksempel ved å bruke Gmail eller Facebook.

Det er også verdt å merke seg at over halvparten sier de ikke er komfortabel med å få personlig tilpasset reklame på nett.

ØNSKER KONTROLL, MEN VET LITE HVORDAN PERSONOPPLYSNINGENE BLIR BRUKT

Sju av ti mener at bruk av deres personopplysninger kun bør skje hvis de har gitt sitt eksplisitte samtykke. Like mange er bekymret for at opplysningene deres blir brukt for andre formål enn det de var ment brukt til i utgangspunktet. Hele ni av ti ønsker å bli informert hvis opplysninger om dem kommer på avveier eller blir stjålet.

Kun én av fem respondenter sier at de alltid er informert om hvilke avtalevilkår som ligger til grunn når de oppgir personopplysninger på nett. Omtrent like få sier at de leser hele personvernerklæringen. De fleste synes at slike erklæringer for lange og vanskelige å forstå.

FIRE AV TI HAR ALDRI ENDRET PERSONVERNINNSTILLINGENE SINE

Fire av ti av de som bruker sosiale nettjenester har aldri endret personverninnstillingene sine. Av de som ikke har endret innstillingene sine var det flest (24 prosent) som svarte at årsaken var at de stolte på at tjenesten de bruker har satt de mest hensiktsmessige innstillingene som standard.

REDD FOR SVINDEL OG IDENTITETSTYVERI

Respondentene ble spurt om hva de ser på som de største risikoene for egne personopplysninger. Å bli et offer for svindel (50 prosent), identitetstyveri (40 prosent) og at opplysningene deres ble brukt uten at de vet det (32 prosent) er det folk er mest bekymret for.

Når respondentene ble spurt om hvem som er ansvarlig for at personopplysninger blir behandlet på en sikker måte er det interessant å se at hoveddelen (42 prosent) peker på seg selv først. 33 prosent mener at nettjenester er hovedansvarlig og 21 prosent mener at myndighetene har dette ansvaret.

VIL HA PERSONVERNRETTIGHETER PÅ TVERS AV GRENSER

En viktig drivkraft bak å få et nytt europeisk personvernlovverk er at de samme reglene skal gjelde i alle europeiske land. Ideen er at det skal bli lettere for både virksomheter og enkeltindivider å forholde seg til lovverket på tvers av landegrenser. Undersøkelsen viser at dette er det også stemning for i befolkningen: Ni av ti sier at det er viktig for dem å ha de samme rettighetene og den samme beskyttelsen av personopplysningene sine uavhengig av i hvilket land tjenesten de bruker er basert.

Om undersøkelsen: Special Eurobarometer 432 Data protection er utført på vegne av den Europeiske kommisjonen. Undersøkelsen ble gjennomført i februar/mars 2015 og resultatene ble publisert i juni 2015. Last ned sammendraget og hele rapporten her.

Undersøkelsen samsvarer forøvrig også godt med personvernundersøkelsen vi selv gjennomførte for godt og vel et år siden.

Og mannen som snakket hadde mer på lager. Han snakket om viktigheten av kryptert informasjon. Kanskje fikk han også fram gåsehuden hos tilhengerne da han dro følgende frase: «We believe that people have a fundamental right to privacy. The American people demand it, the Constitution demands it, morally.»

Så er spørsmålet: Hvem sa disse Pauli ord? Overraskende nok: Apple-sjef Tim Cook, som tok et oppgjør med en forretningsmodell som er rådende blant mange av de stor teknologiselskapene, som Google og Facebook: Det er våre personopplysninger som er betalingen for de tjenestene vi får.

Jeg har lenge undret meg over hvorfor ikke flere selskaper forsøker å gjøre personvern til et konkurransefortrinn. Nå har Apple både ett og to personvernsvin på skogen, men det er interessant å se at en av de virkelig store, og utvilsomt mest ikoniske teknologiselskapene, så klart og tydelig taler personvernets sak. Vi må selvsagt ikke innbille oss annet enn at Tim Cook gjør dette for å tjene penger, og ære være ham for det, men fortjenesten skal skaffes ved å fri til de som er opptatt av personvern.

Vi har sett det også tidligere. I kjølvannet av Edward Snowdens avsløringer ble det skapt usikkerhet om hvor trygt amerikansk skylagring var. Flere norske selskaper opplevde stor tilstrømning av kunder, og de markedsførte seg med godt personvern og trygg lagring utenfor amerikanske klør. Det har nærmest vært en bølge blant amerikanske teknologiselskaper om å innføre kryptering, og de aller fleste selskaper publiserer transparancy reports, der de offentliggjør hvor mange forespørsler om innsyn de mottar fra politiet i ulike land. Hensikten er å spille personvernkortet, å vise åpenhet overfor sine kunder, å tilby sikkerhet og trygghet slik at de … nettopp! kan tjene flere penger.

Det er umulig å forutse hvordan utviklingen blir fremover. Det avhenger også av om regelverket legger til rette for at folk kan ta med seg dataene sine dersom de bytter selskap, slik vi kan med mobilnummeret vårt når vi bytter mobilabonnement. I EUs forslag til ny personvern-forordning er det foreslått å innføre dataportabilitet, som på visse vilkår åpner for at vi forbrukere kan kreve våre data overført til et nytt selskap. Og for en personverner som meg: Til det selskapet som er best på personvern. Og hvis teknologiselskapene begynner å konkurrere om det kan vi se framtida lysere i møte.