hits

Samtykker til besvr


Kravene til samtykke for bruke personopplysninger skjerpes betydelig nr EUs nye personvernregler (GDPR) trer i kraft i mai 2018. De nye reglene kan medfre at mange eksisterende samtykker m hentes inn p nytt. 

Samtykke er et av de viktigste og mest brukte grunnlagene for samle og bruke personopplysninger, og ofte den eneste hjemmelen for kundekontakt i markedsfringssammenheng. Samtykker kreves blant annet nr et bankkonsern markedsfrer forsikringsprodukter til sine bankkunder, nr en virksomhet profilerer preferansene og handlevanene til sine kunder eller nr et rekrutteringsselskap oppbevarer CVer etter at en sknadsprosess er over.

GDPR er EUs nye personvernforordning og erstatter 25. mai neste r dagens personopplysningslov. Forordningen utgjr den strste revisjonen av dette regelsettet p over 20 r, som et tiltak mot den kte kommersialiseringen av personopplysninger. Forordningen skal sikre europeiske borgere bedre kontroll over opplysningene om seg selv, og vil gjelde for samtlige norske bedrifter og organisasjoner. Blant de mange viktige og inngripende endringene str skjerpede krav til samtykker sentralt.

Strengere krav
Kravene skjerpes p mange mter. Det viktigste er at personvernforordningen til en viss grad krever at samtykker avgis separat for ulike bruksomrder. Det blir for eksempel penbart at det m avgis egne samtykker til aktiviteter som profilering og analyse. I Norge har det en stund vrt en debatt om det vil kreves eget samtykke for at avgitte data skal kunne brukes til testing og videreutvikling av IT-systemer. Videre m GDPR-samtykker innhentes separat fra den kjente og generelle I agree-boksen, og det skal vre like lett for brukerne trekke et samtykke tilbake som det i utgangspunktet var gi det. Forbrukere har ogs betydelig strre krav p informasjon. For eksempel skal man p forhnd informere om at opplysningene vil bli overfrt til land utenfor EU. Dersom samtykket trekkes tilbake, skal man slutte behandle opplysningene og ofte slette dem. Virksomheter m kunne dokumentere at gyldige samtykker eksisterer til enhver tid for de opplysningene virksomheten besitter.

Mange norske virksomheter jobber i dag for forberede seg p endringene i den nye personvernforordningen. De fleste har ikke kommet stort lenger enn skaffe oversikt over hvilke personopplysninger man har, og lage et rammeverk for internkontroll. Mange vil oppdage at det er like viktig sikre tilstrekkelig behandlingsgrunnlag for det man gjr ogs etter mai 2018. Da m man se p hvordan samtykker skal utformes, innhentes og dokumenteres. Det er urovekkende lite oppmerksomhet p disse problemstillingene.

Et sprsml som tvinger seg frem er om de skjerpede kravene pvirker samtykker allerede innhentet under dagens mildere regler? Datatilsynet i Norge har oss bekjent ikke ment noe om dette offentlig, men det britiske datatilsynet har spesifikt omtalt dette i en veileder utgitt tidligere i r. Veilederen angir at samtykker innhentet fr GDPR fortsatt er like gyldige under GDPR. Forutsetningen er derimot at de holder et niv som tilfredsstiller kravene i GDPR. Det britiske tilsynet presiserer at dersom eksisterende samtykker ikke holder en GDPR-standard, m nye samtykker innhentes. Veilederen er forelpig et utkast, men har sttte i fortalen til GDPR. Britenes tolkning virker vre korrekt.

Store konsekvenser for norske virksomheter
Dersom det samme blir forstelsen i Norge, noe det er grunn til tro, fr dette store konsekvenser. Vi frykter at f norske virksomheter har hentet inn samtykker p det nivet GDPR krever. Mange har nok ikke engang innhentet samtykker i henhold til dagens regelverk. Det finnes noen srbestemmelser som kan redde en del av dagens samtykker, men dette krever en juridisk vurdering i hvert enkelt tilfelle. 

Det som kan virke som en teoretisk diskusjon for personvernspesialister kan f enorme ringvirkninger, bde for norske virksomheter og borgere. Kravet om at samtlige samtykker skal vre i trd med GDPR betyr at mange av dagens samtykker antakelig ikke er gyldige nr GDPR trer i kraft.

Virksomheter som ikke klarer innhente oppdaterte samtykker fra brukerne sine risikerer plutselig vre uten rettslig hjemmel til bruke opplysningene. Samtidig risikerer forbrukerne et hav av nye samtykkeforesprsler nr norske virksomheter innser at samtykkeparken m oppdateres. Prinsipielt er gode og informerte samtykker viktig fordi det styrker personvernet, men det kan bli mange samtykker fornye p kort tid. Vi registrerer naturlig nok en viss motvilje i markedsavdelinger rundt om mot kontakte kunder for innhente oppdaterte samtykker. Det er uansett grunn for bde compliance- og markedsavdelinger til se nrmere p de samtykkene man bruker i dag.

Innlegget ble publisert for frste gang i Dagens Nringsliv 30.08.2017, og ble skrevet av Eva Jarbekk i samarbeid med advokatfullmektig Christian Werner Skovly i advokatfirmaet Fyen Torkildsen. 

 

 

Minsteml for best EUs personvernkrav


I dag vet nesten alle at EUs nye personvernregler (GDPR) trer i kraft om litt mer enn et r. Rdgivere og eksperter av ymse slag roper ulv. Det kan fremst som nesten umulig etterflge kravene, ikke minst fordi en fornuftig prioritering kan virke som rene tryllekunsten. Men, det er ikke umulig.

Mange av mine klienter jobber hardt for f sine bedrifter nogenlunde compliant - stammeordet for overholde relevante regler.

Mange av mine klienter jobber hardt for f sine bedrifter nogenlunde compliant.  Ettersprselen etter vr kompetanse har endret seg. Vi har advokater utplassert for hjelpe til fordi kapasiteten internt ikke finnes. Noen steder finnes heller ikke kompetansen fullt ut.

Det er stadige diskusjoner om ansvarsbegrensninger i avtaler mellom databehandler og behandlingsansvarlig for erstatningsansvar - for ikke snakke om diskusjoner om slike begrensninger egentlig str seg rettslig i GDPR-verden. Og nr noen skal bruke skylsninger str compliance hyt p agendaen fordi man vet at feil her kan trigge de strste konomiske straffene. Verden var ikke slik for et par r siden. Alle var ikke opptatt av personvern da. Kanskje er ikke alle det n heller, men det virker slik innimellom.

Risikerer store gebyrer
Driveren bak dette er, som kjent, dessverre muligheten for at Datatilsynene kan ilegge veldig store gebyrer etter det nye regelverket. Det hadde vrt hyggelig kunne skrive at driveren er at alle er blitt veldig mye mer opptatt av personvern, men det ville nok ikke vrt sant.

En like stor rsak er at behandlingsansvarlig og databehandler er solidarisk ansvarlig for eventuelle erstatningssksml fra de registrerte - igjen er penger og fare for tap i fokus. Det blir enda verre av at grupper av registrerte kan g sammen i gruppesksml mot den de mener er mest skegod av behandlingsansvarlig og databehandler. Ikke lett vre liten databehandler med stor kunde, da. Solidaransvar er ingen spk. Har man store kunder og mange registrerte er det all grunn til se nye p avtalene sine og p om man har definert sine egne tjenester p en god nok mte.

Viktig forberede seg
Det nesten alle bedrifter m gjre er lage en plan. De strste bedriftene har begynt med sin plan for lenge siden, men det store flertallet av bedrifter har til gode identifisere hvilke handlinger de m gjennom for minimalisere risiko for tap og ikke minst for ke valgbarheten som foretrukken avtalepart ogs etter mai 2018 nr reglene trer i kraft.

Hva skal s en slik plan inneholde? Det avhenger jo selvflgelig av hvilken type virksomhet man bedriver. En bedrift med mange ansatte og bare bedrifter som kunder har et ganske annerledes behov enn en tjenesteleverandr som f eks selger driftstjenester til andre, kanskje strre selskaper med private kunder eller mange ansatte.

Det aller viktigste er finne ut om - eller hvor - bedriften behandler store mengder informasjon om privatpersoner og legge innsatsen der.   

Nr man vet p hvilke omrder man har personopplysninger, m man aller frst kartlegge hvilke opplysninger man har, hvem som har tilgang, hvor lenge de lagres, om de ligger i skylsninger, om opplysningene kan aksesseres fra personell som er lokalisert utenfor EU, hva som er hjemmelen for bruken, etc. Basert p GDPR og andre utspill fra EU, og p hva vi ser skjer i markedet, har vi laget lister over hva som m kartlegges. Det interessante fra et brukerperspektiv er at hva som ettersprres i bde databehandleravtaler og intern kontrolldokumentasjon utvides uke for uke. Det er en skokk tekniske og juridiske rdgivere i inn- og utland som arbeider med feltet for tiden og oppfinnsomheten i hva man skal ettersprre hos leverandrer og hva man skal sikre seg mot synes ikke avta. S da m man vite hvilke sprsml fra kunder som faktisk er relevante og hva man kan si ligger utenfor scope til GDPR-compliance.

Hva er personopplysninger?
Et beslektet og viktig tema er ha et realistisk forhold til hva som er personopplysninger. Mange tar feil og tror at krypterte opplysninger, pseudonymiserte opplysninger eller aggregerte opplysninger ikke er personopplysninger fordi det skal mye til for finne individet bak, ofte er det jo nesten umulig. Det er som regel en feil konklusjon. GDPR legger opp til at selv om det skal mye til for bakveisidentifisere et individ, s er det en personopplysning. Ogs veldig mange typer metadata er personopplysninger. Tenk beacons, loggdata, IP-adresser, pc-innstillinger og webbrowsere fra tredjeparter, og s videre.. Det kan bli dyrt ta feil der.

Et annet viktig punkt handler om internkontrolldokumentasjon. Det er interessant at n ber kjpere av ulike tjenester om detaljert informasjon om tjenesteleverandrens internkontrolldokumentasjon fr de er villige til undertegne en avtale. For eksempel er det mange tjenesteleverandr som n m dokumentere at de har en rutine for sletting av personopplysninger etter endt kontraktsforhold - helst med bekreftet sletting. Det er ikke alle som klarer dokumentere sletting slik. Et annet sprsml som stadig dukker opp n er segmentering av data. Kan man samle ulike kunders data i samme database og hva slags logisk segmentering er godt nok? Og har man mulighet til oversende kopi av revisjonsrapporter p hhv personvern og informasjonssikkerhet? Svaret p det siste kan fort avhenge av hvilke underleverandrer en tjeneste baserer seg p - det er ikke penbart at et stort utenlandsk softwareselskap oversender slikt.

Et annet viktig punkt er den helt nye bestemmelsen om dataportabilitet. Dette handler ikke om noen ting som vi har i dag. Fra mai neste r, skal de aller fleste individer som er registrert et sted, kunne kreve opplysningene utlevert til seg i et maskinlesbart format og automatisk overfrt til en annen leverandr. Den juridiske utfordringen rundt dette er fort finne ut om det virkelig gjelder ens klient (eller om noen av unntakene kan bruke), mens det kostnadsdrivende elementet er f programmert de ndvendige endringene i systemet.

Det er mange ting ta tak i. Trsten er at dersom man har oversikt over hvilke opplysninger man forvalter og behandler, har oversikt over hvor de er og hvem som har tilgang, en riktig bruk av skytjenester, et fornuftig internkontrollsystem samt en realistisk oppfatning av vrige srkrav i GDPR s ligger man veldig bra an. Det er ikke umulig og kan vise seg bli et riktig bra konkurransefortrinn fremover i forhold til bde private og offentlige kunder.

Gruppesksml i Norge og amerikanske tilstander?

Hand banging gavel on sounding block

Licensed from: Wavebreakmedia / yayimages.com

Fra og med mai neste r, nr EUs nye personvernforordning (GDPR) trer i kraft, kan grupper av enkeltpersoner sakske virksomheter som har hndtert deres personopplysninger i strid med loven. Dermed ker sannsynligheten for at noen orker ta fighten dramatisk.

Det som kan oppleves som en uforsvarlig sakskostnad for en enkeltsak for en enkeltperson, lar seg lett forsvare dersom man samlet kan behandle 100, 500 eller 3000 enkeltpersoner som fler seg krenket. Samtidig innfres et solidaransvar for denne type sksml som kan trekke inn underleverandrer.

I USA har dette eksistert lenge, ogs for brudd p personvern. Helt nylig inngikk en stor, men ganske alminnelig klesbutikk, Neiman Marcus, forlik p 1,6 millioner dollar som flge av et gruppesksml fra kunder da noen av deres kredittkortopplysninger var kommet p avveie. Saken har vrt mye omtalt i personvernfora utenlands, men ikke i Norge. Hva kan skje i Norge fremover? Et blikk p situasjonen i Danmark er illustrerende. Der gir brudd som omfatter enkle personopplysninger ofte en relativt standardiserte erstatninger p mellom 5.000 og 25.000 kroner avhengig av typen opplysninger og om det er sensitive personopplysninger involvert. EU planlegger standardiserte erstatningsbelp for brudd p GDPR. Nivet kjenner vi ikke enda, men det er fullt mulig at det vil tilsvare dagens praksis i Danmark. Og, man vil alts slippe g til Datatilsynet for fremme et slikt krav. Det holder g til en advokat. Da skal det ikke s mange individer til fr man fort kommer opp i store belp.

Denne delen av GDPR er hyst relevant for alle virksomheter som har et stort antall personer registrert i sine servere. Vi hrer jevnlig om brudd p personvernreglene som involverer store antall pasienter, kunder eller ansatte. Det er jo ikke bare kunder som kan fremme denne type sksml; det samme vil ansatte eller pasienter kunne gjre.

Enda mer dramatisk blir det av at EU har innfrt et solidaransvar for denne type erstatningssksml mellom den som er behandlingsansvarlig og de som er databehandlere.  Hvis det f.eks. har skjedd en lekkasje hos en driftsleverandr, kan den som rammes velge om de vil sakske driftsleverandren eller om de vil sakske den som er behandlingsansvarlig.

S langt i GDPR-diskusjonen har det vrt mye snakk om bter. Det er selvflgelig relevant, men erstatningsaspektet er minst like relevant. Erstatningssksml av denne type krever ikke at Datatilsynet har kapasitet til utrede eventuelle brudd; det krever bare at bruddene blir kjent og at noen ber en advokat ta sksmlet.

I mellomtiden har jeg flere underleverandrer blant mine klienter som n er temmelig nyaktige og spesifikke med hvilket ansvar de ptar seg i sine databehandleravtaler. Det er det god grunn til. Og ute i det store Europa snakker gruppesksmlsadvokater med personvernadvokater. Slik kan det bli her p berget ogs.

Smarte bygg og person-opplysninger

business building
Licensed from: peus / yayimages.com


Jeg har nylig arbeidet med flere saker som omhandler kontorlokaler og personopplysninger. Mange vil lure p hva personopplysninger og personvern har gjre med fast eiendom. Fast eiendom dreier seg jo om kvadratmetere, vedlikehold og rengjring. Er personopplysninger virkelig relevant for utleie av kontorlokaler? Svaret er ja.

Utleier har blitt innholdsleverandr

I tillegg til kvadratmetere, rengjring og vedlikehold, tilbyr utleier i kende grad resepsjonstjenester, adgangskontroll, beskendekontroll, vakttjenester etc. Utleier blir ofte en innholdsleverandr . Dette tar man selvflgelig betalt for som en tjeneste, gjerne innbakt i husleien. For viderefre eksempelet - stadig flere snakker om smarte bygg. Det kommer n forretningsbygg som allokerer parkeringsplasser til ansatte basert p hvor mange mter de har i og utenfor kontorlokalene. Noen snakker om datasystemer som allokerer kontorplass til ansatte basert p om de har inne- eller utemter. Mulighetene for effektivisere og styre en arbeidsplass blir stadig flere. Alle disse tjenestene genererer personopplysninger som lagres i systemene.

Fra leietakers ststed, m man forholde seg til at man har bde ansatte og beskende. Begge kategorier er opptatt av sitt personvern. Opplysninger om ansatte og beskende registreres svrt ofte i systemene som utleier tilbyr. Avhengig av hvor avanserte systemene er, vil et strre eller mindre antall opplysninger registreres. I sum registreres i alle fall stadig flere opplysninger. Nr vi tar i bruk big data og avansert bruksanalyse via analytics-verkty, forsterkes behovet for kontroll.

Leietaker m stille krav

Som en naturlig konsekvens av dette m leietakere stille, og stiller i kende grad, krav til hvordan opplysningene om egne ansatte og beskende skal behandles. Og de vil, og m, ha en oversikt over hva som skjer. Det er ikke s rart, for dette er leietaker plagt ha oversikt over. Bde etter eksisterende lovgivning og etter de nye EU-personvernreglene.

Historisk har nok denne type IT-systemer hatt mindre fokus enn f.eks. kundelojalitetsprogrammer og helsesystemer hvor man forstr at det lagres sensitive data. N er det en gryende forstelse for at hvem som besker en bestemt type bedrift, eller hvilke ansatte som kommer og gr p ukurante tider, ogs kan vre personopplysninger som har stor verdi med tilhrende risiko for misbruk.

Leietaker stiller oftere krav til at utleier gir en oversikt over hvilke systemer som brukes og hvilke underleverandrer som benyttes i IKT-systemene. Det er alts viktig ha oversikt over verdikjeden av opplysninger som man forvalter.

Det er ogs vanlig, pga personvernlovgivning, stille krav til at opplysningene ikke tas ut av EU/ES. Det siste kan vre en utfordring da flere gode leverandrer bruker underliggende tjenester som ligger i land nettopp utenfor EU/ES. Som utleier m du kunne gi denne type informasjon - i tillegg til mye annen informasjon. Blant annet m man kunne vise at man har et internkontrollsystem som omfatter de aktuelle systemene.

Nytt EU-regelverk om personvernopplysninger

Fremover kommer vi til se et langt strre antall skalte databehandleravtaler som beskriver disse ansvarsforholdene og hvordan utleierne kan opptre og behandle leietakernes informasjon. Ett element i disse avtalene vil ganske sikkert bli ansvarsfordeling og erstatningsbegrensning samt plikt til underrette leietakere raskt dersom det skulle skje avvik. Det nye regelverket fra EU om personopplysninger tvinger dette frem.

Et beslektet omrde er eiendomsforvaltere som ofte har detaljert informasjon om beboere, deres srlige behov og informasjon om tvister mellom beboere.  Ved siden av at dette er strengt lovregulert, er det klart det er viktig hvordan slike data behandles - og at dette er i fokus bde fra sameier og de som er beboere. Forvaltere m ha god oversikt og bli tydelige p hvor lenge hvilke personopplysninger lagres, hvem som har tilgang, hvem opplysninger deles med og hvilke underleverandrer som benyttes.

Hvordan kan man anbefale et digitalt grenseforsvar i Norge?

Lysne II-rapporten anbefaler et digitalt grenseforsvar (DGF) i Norge. Anbefalingen om innfre et DGF har utlst en offentlig debatt, og det var ogs noe av hovedpoenget med rapporten. Dersom regjeringen gr videre med arbeidet og det kommer et lovforslag, vil det sikkert utlse en ny runde med debatt. Her gr jeg inn p fakta som har vrt avgjrende for meg da jeg satt i utvalget.

Generic stock photo shows a woman's hands using a laptop keyboard. PRESS ASSOCIATION Photo. Picture date: Tuesday August 6, 2013. Photo credit should read: Dominic Lipinski/PA Wire

Et digitalt Norge m ha et digitalt forsvar
Det er mange grunner til si nei til et DGF. Etter ha gjennomgtt den teknologiske virkeligheten i Norge i dag, var det likevel til slutt ikke mulig overse en viktig grunn til si ja: Digitaliseringen av Norge. Digitaliseringen av Norge kommer ikke til stoppe, tvert imot arbeides det iherdig bde i privat og offentlig sektor for at den skal fortsette og forsterkes slik at vi blir mer effektive og konkurransedyktige.

Vi m ha et cyberforsvar mot ondsinnede angrep og hendelser over nettet. Slike hendelser har potensielt like stor deleggende og drepende effekt som tradisjonelle terrorangrep.  Det dreier seg om angrep p grunnleggende tjenester i landet som kan medfre store tap av liv, helse og ogs ikke minst demokrati dersom de lykkes. Hva gjelder angrep over internett er det vanskelig tenke seg alternativer til et forsvar p nett. Spissformulert kan man si at vrt digitaliserte demokrati er avhengig av en viss overvkning. Srlig n.

Teknologiske forviklinger
Dersom man aksepterer at cybertrusler gjr en viss overvkning ndvendig, m man ta stilling til hva som er teknisk mulig. Her er det noen interessante misforstelser i debatten. Flere har sagt at man ikke skal ha bulk-lagring, men at man kanskje kan akseptere rettede sk eller uthenting i datastrmmen. Rett og slett fiske ut det man er interessert i og la alt annet fare forbi uten ha tilgang til eller se p det. At ingen skal kunne se p alt. Det hadde vrt fint. Problemet er bare at det ikke er teknisk mulig.

En slik datastrm som det er tale om i disse tilfellene er komplisert, og bestr blant annet av en rekke tekniske metadata som ligger rundt innholdet som formidles. Disse metadataene endres ofte av tjenesteleverandrene av tekniske rsaker. For kunne flge kommunikasjonen fra en viss app, signatur eller adresse, m man bruke metadata. For kunne finne riktige metadata m man flge med p hvordan leverandren tuner metadataene fortlpende. Det betyr at noen m kunne se de tekniske innstillingene i hele datastrmmen for kunne justere silingskriteriene etter nye innstillinger hos leverandrene. Og da er det ogs mulig se innhold dersom man skulle nske det. Det er ikke mulig ha en fullstendig rettet uthenting. Noen m kunne se p alt, om enn i s kort periode som overhodet mulig.

E-tjenesten skal ha honnr for muliggjre en veldig pen fremstilling av hvordan slike sk skjer. Kanskje kan denne innsikten, pne for og medvirke til at man fr en litt annerledes og mer realistisk diskusjon ogs i andre land.  Det er lett vre enig i at en rettet siling hadde vrt det aller beste, men nr det ikke er mulig m man srge for at innsynet er s begrenset som mulig. Det er ikke plass til g inn p detaljene om dette i et enkelt innlegg, men rapporten anbefaler at bulk-tilgangen er svrt snever med hy grad av tidsbegrensning og ekstern kontroll.

Demokrati og chilling effect
Samtidig m man ta inn over seg at overvkning kan medfre det mange kaller en chilling effect, alts at personer justerer sin adferd p nettet med en mulig konsekvens at demokratiet ikke fr en like fri diskusjon. Det er negativt. Forelpig er det vanskelig ansl omfanget av en chilling effect, fordi det ikke er mange underskelser p omrdet. Flere av underskelsene som finnes viser ikke de helt store utslagene. Men det forskes p dette og det er bra. Uansett, i lys av nyhetene som n kommer om pvirkning av presidentvalget i USA, m man ogs innse at fravr av digital kontroll ogs kan ha en negativ konsekvens for demokratiet. Demokrati og fri meningsutveksling, frie valg, er det viktigste vi har. 

Et argument som stadig kommer opp i DGF-debattene er at faren for terror ker. Noe statistikk viser at det faktisk dr frre i Vest-Europa p grunn av terror n enn i slutten p forrige rhundre. Dette m isolert sett vre et sterkt argument mot DGF og all annen overvkning. Det er mulig stanse diskusjonen om terror der og si at intet DGF kan vurderes fr dagens situasjon er langt verre enn hva den var fr. Men, skal man se en sak fra flere sider, s er det grunn til bekymre seg over at tallene p drepte i Vest-Europa n stiger ganske mye og at arten av terror som n sees er annerledes enn i forrige rhundre. Jeg tror det blir feil se helt bort fra at ogs ikke cyber-basert terror kan motvirkes og oppklares ved et DGF sfremt det settes stramme grenser for hvordan, slik vi har foresltt.

Noen debattanter har antydet at utvalget mener at DGF br tillates fordi lignende systemer finnes i land rundt oss. Det er naturligvis ikke slik at fordi andre land har overvkningsregimer, m Norge ha det. Men andre lands overvkningsregimer rammer intern-norsk kommunikasjon. Det er ikke alle som er klar over dette. Om man sender en mail fra en adresse i Norge til en adresse i Norge, s vil den svrt ofte fanges opp av utenlandsk etterretning likevel fordi den rutes gjennom land som har slik overvkning. Det betyr at norske borgeres kommunikasjon ikke er srlig mye mindre overvket om Norge ikke har en egen kontroll. For meg er dette ikke noe argument i noen retning - bortsett fra at det er relativt naivt tro at vi ikke blir overvket om Norge unnlater innfre DGF. En annen ting er at det er relevant i forhold til studier av chilling effect - fordi vr intern-norske kommunikasjon er allerede overvket av andre land. Chilling effect er vel ikke bare interessant i forhold til hva som skjer hos norske myndigheter.

Hva er alternativene?
Da vi skulle utarbeide vr anbefaling i utvalget, s vi ogs p hva alternativene til et DGF er. Noen av de som n debatterer har sagt at det ikke er deres ansvar ta stilling til alternativer. Det er lite ansvarlig. Dersom vi ikke har et grenseforsvar, m norske bedrifter og offentlige virksomheter forsvare seg p en annen mte mot cyberangrep. Kanskje ved hjelp av flere private aktrer eller ved legge tilsvarende funksjoner til andre offentlige myndigheter. Det er langt fra sikkert at en slik lsning gir bedre kontroll og mindre overvkning, mindre chilling effect eller mindre fare for formlsutglidning.

Nye dommer
Til slutt noen ord om de nye dommene om menneskerettigheter og overvkning. Det er flere av dem, og det vil komme enda flere. I debatten sammenligner noen DGF med Datalagringsdirektivet (DLD). Det blir feil. Det DGF som er foresltt er vesensforskjellig fra DLD. Det er ogs vesensforskjellig fra de overvkningsregimer som praktiseres i andre land i Europa og som vil bli prvet for retten fremover.

penheten fra E-tjenesten rundt hvordan DGF kan settes opp er imponerende. Sikkerhetstiltakene rundt det DGF vi har foresltt er mye sterkere enn hva vi er kjent med finnes noe annet sted. Hva DGF skal kunne brukes til er svrt snevert og snevrere enn noe sammenlignbart land. Lovteksten et DGF skal bygge p er ikke skrevet, og kan skrives s konkret at selv om faren for formlsutglidning ikke kan fjernes, s kan den gjres liten ved hjelp av god lovteknikk. Uansett er hva som vil bli akseptert av en menneskerettighetsdomstol et sammensatt og komplisert sprsml. Jeg vil mene at det ikke er opplagt at dommene s langt forhindrer enhver form for et DGF og jeg blir jo litt overrasket nr noen debattanter er skrsikre p at det ikke kan skje. Av og til kan man lure p om ogs dommerne har forsttt det teknologiske faktum. Har domstolen i Tele2-avgjrelsen forsttt om det teknologisk sett er mulig programmere rettede sk uten la programmererne studere hvordan de dataene det skal skes i ser ut?

Facebook-nyhet: Ulovlig for norske bedrifter?



Det finnes mange nyttige amerikanske dataprogrammer og tjenester som vi nsker bruke i Norge. Aller helst p lovlig mte. Workplace (facebook@work), Amazon, Salesforce, Dropbox og HotJar er bare noen av disse. Problemet er at lovgivningen p personvern i USA og Europa - ogs Norge - er forskjellige p viktige prinsipielle omrder.

Flere av disse store selskapene hemmeligholder ogs hvilke avtaleendringer som er ndvendige for at en norsk bedrift skal kunne bruke de lovlig. For norske bedrifter og privatpersoner er det problematisk. 

Nye og strengere personvernregler
Mange dataprogrammer bruker personopplysninger. Men et dataprogram vil som oftest ogs lage nye personopplysninger. Slike logger er nye personopplysninger som lages av systemet hver gang det er i bruk, og kan si noe om brukeratferd: hvilke ansatte som bruker systemet, p hvilken mte, hvor effektivt etc. Men dette innlegget skal likevel handle om noe annet enn bruk, og misbruk, av loggdata.

Hvis man legger til grunn at et datasystem inneholder personopplysninger, s vet de fleste at man m ta hensyn til personopplysningsloven. Mange har ogs ftt med seg at EU har vedtatt nye og strengere personvernregler som trer i kraft (ogs i Norge) i mai 2018. Nr man skal bruke et amerikansk datasystem, s er det derfor kjekt at reglene om personvern er ivaretatt p riktig mte. Srlig fordi brudd p nettopp disse personvernreglene er blant de bruddene med hyest konomiske sanksjoner i det nye regelverket. 

Det kan fort bli dyrt. Og det er her det blir utfordringer med en del amerikanske leverandrer. Fordi det i amerikansk tradisjon ikke er vanlig anse loggdata (eller metadata) som personopplysninger.

Ta Facebook som eksempel. De har introdusert sitt facebook@work, eller Workplace, som de kaller det n. Det er et kult system som fungerer fint som et moderne intranett. Mange bedrifter nsker n ta det i bruk, ettersom det er lett lre ? og ligner p det Facebook vi lenge har brukt som privatpersoner.

Norge er ett av fem testland for Facebook, i det som antakelig er tenkt bli et verdensomspennende produkt. Andre testland i Europa er England og Frankrike. Jeg vet ikke, men jeg vil tro at det kan vre av stor verdi for Facebook om de snart kan si til andre europeiske land, at systemet er godkjent i bruk i Norge. 

Facebook med undvendig hemmelighold
De frste bedriftene i Norge tok i bruk Workplace tidligere i r, og de brukte mye tid og ressurser p forhandle frem srlige vilkr for hvordan Facebook skal kunne bruke opplysningene brukerne genererer. Srforhandlede avtaler om personvern, alts. Dette gjelder bde opplysninger som de ansatte legger inn i systemet nr de bruker det, men ogs de opplysningene systemet selv genererer nr det er i bruk. Alts loggopplysninger. 

Og dette er det punktet som er virkelig spesielt nr man arbeider med noen av de store amerikanske leverandrene. Vi advokater er vant til at avtaler inneholder hemmelige klausuler - det er normalt i enhver forretningsmessig sammenheng. 

Det som er uvanlig her, er at det vi eller klientene ikke kan avslre, er hvilke endringer som m til for at Workplace skal vre lovlig bruke i Norge. Eller for si det p moderne norsk - hvilke justeringer m til for at den norske virksomheten er compliant med norske personvernregler?

Det hemmeligholde kommersielle, konomiske forhold er normalt ? men hemmeligholde hvilke endringer som skal til for at avtalen blir lovlig? Det er faktisk litt srt. Datatilsynet gjennomgikk de frste sravtalene som ble inngtt med Facebook og konkluderte i hst med at personvernhelheten i avtalene var god nok til gi godkjentstempel. Men hva som ble endret, nei det er en hemmelighet. 

N gjelder dette ikke bare Facebook. De representerer bare n av mange amerikanske aktrer som har veldig strenge taushetsbestemmelser rundt avtalene sine. Jeg synes det er underlig at informasjon om hvordan man kan overholde loven, gjres hemmelig. Den burde heller gjres lett tilgjengelig for alle! Samtidig viser det at eierskap og kontroll over personopplysninger n anses s viktig at aktrer ikke vil dele informasjon.

Behov for ny standardavtale
Jeg mener vi burde ha en norsk eller europeisk standardavtale for hva man skal insistere p f avtalefestet nr man skal bruke store amerikanske leverandrer. Det finnes per i dag ikke. Det beste offentlige materialet vi har i Norge er Datatilsynets generelle sjekkliste for cloud-leverandrer. Det er ikke noe galt med den, men den kan vre s generell at noen synes den er vanskelig anvende. P helt generelt grunnlag deler jeg her derfor noen av mine egne sjekkpunkter for enhver avtale med amerikanske leverandrer. Ikke bare Facebook, alts.

Sjekkliste
Aller frst, husk at en amerikansk Privacy Shield-sertifisert leverandr m akseptere grunnleggende personvernprinsipper. Det kan enten gjres i en databehandleravtale eller i en generell avtaletekst. Under er noen av disse prinsippene:

  • Husk at loggdata og aggregerte data som regel er personopplysninger ? de kan ikke brukes fritt av leverandren. Dersom avtalen opphrer, skal alle slike data slettes hos leverandren.
  • Husk at krypterte personopplysninger ogs er personopplysninger.
  • Husk at du skal ha tilgang til revisjonsrapporter om hvordan informasjonssikkerheten og personvernet er hos leverandren. Kanskje br du ogs kunne initiere en revisjon. Du m ogs kunne vise revisjonsrapporten til Datatilsynet.
  • Husk at avtalevilkr ikke skal kunne endres ensidig og ukritisk fra leverandren.
  • Tenk p hva som skjer med dataene dine dersom du trenger avslutte avtalen. Fr du ut en kopi av dataene slik at du kan bruke dem videre i et annet system?
  • Og - husk at selv om personopplysningene lagres i Europa eller Norge, s gjelder reglene dersom servicepersonell lokalisert utenfor Europa eller ES har tilgang til opplysningene.