Appen Smittestopp, så ble det stille!


6. Juli besluttet Datatilsynet å midlertidig forby Smittestopp. Da hadde FHI allerede stoppet den selv. Årsaken er 2 sentrale punkter som står sterkt i Personopplysningsloven, minimering og samtykke. Det er krav til minimering, det vil si at vi skal ikke be om mer enn det vi trenger av personopplysninger. Det er ingen fasit her, og det har gjort denne saken litt spesiell. FHI holder på at dette er en såpass alvorlig pandemi at vi skal kunne tillate mye innsamling av data, men hvor farlig det enn er å si dette høyt, smittetallene er ikke så høye, det er pr. dd. 255 døde. Det dør 6.000 mennesker i Norge hvert eneste år som direkte følge av røyking. Vi må alltid se ting i perspektiv når vi vurdere hvilke inngrep vi kan ta. Når det gjelder samtykke er kravet i loven enkelt og greit; ett samtykke pr. handling. Dette var ikke gjeldende for Smittestopp, her var det et samtykke for flere handlinger. Dette er de grove trekkene for hvorfor appen ble stoppet. Les hele dokumentet her.   

I dag 20. juli 2020 er det 2 år siden GDPR ble implementert i personopplysningsloven. Hva skjedde, hvor er vi og hvor skal vi?

Hva skjedde?

Det er ingen tvil om at vi måtte regulere hvordan våre personopplysninger ble behandlet. Da Max Shrems la frem de 1222 A4 sidene Facebook hadde lagret om hans personopplysninger var det egentlig ingen vei tilbake. EU utarbeidet et nytt direktiv; GDPR. Norge som medlem i EØS valgt da altså 20. juli 2018 og implementere GDPR i vår personopplysningslov. Det var egentlig ikke så store endringer for vår del, men et punkt stod sentralt; bøter. Datatilsynet fikk nå muligheter for å kunne bøtelegge bedrifter, foreninger, stat og kommune som ikke fulgte GDPR. Frykten for bøter satte fart i en ny næring; personvernrådgivere. Nå ble alle eksperter på GDPR og bedrifter betalte høye summer for dårlige råd. Bedrifter slettet kundeopplysninger som aldri skulle blitt slettet, man ble fortalt at det var nærmest umulig å markedsføre seg. Slik var det selvsagt aldri ment. Datatilsynet uttalte at det er bedre å gjøre noe enn ingenting. Loven var vanskelig, for enkelte umulig å forstå, man meldte HR og eller regnskap på kurs som kom tilbake fra kurset med ennå større frustrasjon enn før. Det hele fremsto som noe kaotisk.

 

Hvor er vi?

I kjølvannet av frustrasjon følger ofte resignasjon. Flere velger i dag å se bort fra GDPR, min erfaring er at i SMB markedet og foreningsmarkedet har 80% fortsatt store mangler på GDPR. Årsakene til dette er selvsagt flere. Vi kan peke på noen åpenbare. Når prisene for å gjennomføre GDPR for en liten bedrift koster fra 40.000.- og oppover har ikke bedriften finansielle muskler til å gjøre dette arbeidet. Så kom aldri Datatilsynet på døra heller. En annen årsak er at lovverket er rett og slett for komplisert. Veiledningene på Datatilsynet er vanskelig å finne ut av. Mange gjorde det Datatilsynet sa i starten -litt er bedre enn ingenting. Så ble det med det. Nå to år senere begynner Datatilsynet å dele ut bøter. Bedrifter, foreninger, stat og kommune ligger fortsatt bakpå. Dette gjelder ikke bare i Norge, men stort sett hele EØS sliter med det samme. Det som er interessant i dette kan vi lese i personopplysningslovens artikkel 52.4: Hver medlemsstat skal sikre at hver tilsynsmyndighet har de menneskelige, tekniske og økonomiske ressurser og lokaler samt infrastruktur som er nødvendig for å kunne utføre sine oppgaver og utøve sin myndighet på en effektiv måte. Har Norsk stat innfridd forpliktelsene de en gang skrev under på? Datatilsynet har kanskje ikke hatt de ressursene de burde ha for å tydeliggjøre hvilke forpliktelser de som må følge GDPR er og hvordan man skal gjøre dette.

 

Hvor skal vi?

 I oktober kommer GDPR til Dubai, Egypt har de siste dagene lansert sin versjon av GDPR, California har sin. EU forkastet fredag USA sitt forhold til GDPR gjennom sin privacy shield ordning. Forsøker vi å se langt nok inn i krystallkula ser vi nok på en global GDPR. GDPR forsvinner med andre ord ikke, men vil styrke seg. Det blir nok heller ikke enklere, dessverre. Mange har forsøkt med enkle digitale løsninger, men det er for mange fallgruver. De som nå har fått bøter, eller er innstilt på bøter ville fortsatt fått bøter dersom man hadde benyttet en heldigital løsning. Så GDPR er kommet for å bli og kommer til å bli viktigere og viktigere i fremtiden. Personvernrådgivere blir de nye revisorene. Det er dit vi er på vei. Det er ikke utelukkende negativt. En god rådgiver vil kunne hjelpe deg til å nå ut til kunder og du vil kunne bruke dette arbeidet i din bedrift til å bygge omdømme å styrke din bedrift. Så i stedet for å skyve GDPR bort, ta det imot og gjør det beste av det.  

Ingen private bedrifter har blitt bøtelagt så…
 

Dette hører jeg ofte, - ingen private bedrifter har blitt bøtelagt ennå så da venter vi. Uansett så er bøtene så små at det vil ikke lønne seg og dra GDPR arbeidet inn i bedriften.
Det er ikke slik lenger! Vi har de siste månedene sett varsling på store bøter;
Coop Finnmark for ulovlig bruk av kameraopptak kr. 400.000.-
Aquateknikk for ulovlig kredittsjekk av privatperson kr. 300.000.-
Odin flissenter for ulovlig kredittsjekk av ENK kr. 300.000.-

Jeg skriver ikke om dette for å skremme, men for å vekke. Jeg møter så mange bedrifter og foreninger som velger bort GDPR. 20 juli har vi hatt GDPR i Norge i to år og som ventet kommer bøtene etter to år. De er bare mye større enn jeg trodde. Mitt råd er derfor; ta tak i dette når du kommer tilbake på jobb til høsten.

Råder GDPR hjelper deg med alt av GDPR, vi har implementeringsmøter hvor du også får de rådene du trenger på veien og med startpris ned i kr. 6.000.- hjelper vi mange.

Mange har hørt om databehandleravtaler, men hva er det egentlig og hvorfor har vi det?


Enkelt sagt er en databehandleravtale en avtale som sikrer dine kunders personopplysninger når du gir de fra deg til dine leverandører. Dersom du har et regnskapsfirma som fakturerer for deg eller kjører lønn til dine ansatte så gir du dine kunders og dine ansattes personopplysninger til regnskapskontoret. Da trenger du en avtale som beskriver hva regnskapsfører kan bruke disse opplysningene til. Dette er for å sørge for at ikke personopplysninger blir misbrukt. Nå tror jeg neppe regnskapskontoret vil misbruke disse, men det finnes andre aktører som f.eks. vil markedsføre seg direkte mot dine kunder. Dersom dette skjer og din kunde melder saken inn for Datatilsynet vil du være på den trygge siden dersom du har sikret så godt du kan med en databehandleravtale. Dersom du derimot ikke har gjort det vil du nok slite litt.

Hva da når en databehandleravtale kommer fra en større aktør som har en standard databehandleravtale og denne ikke inneholder det som er kravet iht. GDPR, eksempelvis Microsoft? Dette er ikke uvanlig, du kan egentlig bare glemme å få de til å endre avtalen slik at den passer deg. Enn så lenge må du bare forholde deg til det du får av avtale, dette vet også Datatilsynet. Så lenge du gjør så godt du kan. Alle skjønner at det å klare seg uten e-post, eller Teams så fungerer ikke en bedrift og det er og kommer aldri til å være hensikten med GDPR.

Slutten for smittevernappen?


I dag, 15. juni velger FHI å stoppe all innsamling av data og slette all data fra smittevernappen. Dette skyldes at Datatilsynet mener av det er et såpass stort inngrep i hver enkelt individs persondata i forhold til hva vi får igjen. Det er altså slik at for å kunne gjennomføre tiltak som smittevernappen må samfunnsnytten være like stor som inngrepet. Slik er personopplysningsloven på alle andre punkter, en pandemi er ikke noe unntak og siden smittevernappen kun har systemet med overvåkning og varsling i tre kommuner; Drammen, Trondheim og Tromsø. Samtidig opplyser selv FHI at smitten er såpass lav at det er vanskelig å validere at den varsler de riktige personene.

Dette er ikke nødvendigvis slutten på appen. Dette skal diskuteres på møte 19. juni med FHI og Datatilsynet. Det som er viktig å merke seg her er at all innsamling og bruk av persondata må stå i samsvar med nytteverdi for den det samles inn persondata om. Har du dette i tankene er du i utgangspunktet langt på vei, men husk at du må forankre dette i protokollen din

Hva er cookie og hvordan gjøre dette riktig?


Cookies er små spor din maskin legger igjen på en server hos mottaker. Disse sporene gjør forskjellige ting og dette er viktig. Noen cookies er nødvendige for at en side skal fungere, andre derimot åpner for at mottaker kan sende deg reklame direkte. Cookies er også regulert, men i to forskjellige lover; E-kom loven som reguleres av NKOM (Norsk kommunikasjonsmyndighet) og av Datatilsynet ved personvernloven. Et tysk firma, Planet49, hadde en ferdig avkrysset boks på sine sider som gav tillatelse til å markedsføre Planet49 sine produkter. Dette er ikke lov da det må være et aktivt samtykke, altså krysse av selv. Dette har medført at hver gang du er inne på en side må du krysse av for samtykke til bruk av cookies. Problemet med dette er at du nå må gå inn å lese hvilke cookies du aksepterer, og det er det ikke så mange av oss som gjør. Tidligere mente man her i Norge at når du installerte en ny nettleser på din maskin godtok du cookies og derfor behøvde man ikke å gi samtykke, men etter Planet49 ble da altså cookies også implementert i GDPR og du må nå krysse av for samtykke. De fleste er nå enige om at slik det er i dag er ikke bra nok. Råder har hatt samtaler med NKOM som mener at et kryss for alle samtykker også markedsføring er bra nok. Datatilsynet er av en litt annen oppfatning da et samtykke til flere handlinger er lovstridig iht. personvernloven. Begge tilsynsmyndigheter er enige om at det er mange huller i systemet i dag. Råder velger da å behandle dette på følgende måte: Nødvendige cookies og cookies som slettes etter endt leseøkt er det ikke nødvendig å innhente samtykke om, men cookies som har til hensikt å brukes i markedsføring skal spesifiseres og gis samtykke til før økten fortsettes. Dette betyr at det er du som eier av nettsiden som må ha kontroll på hvilke cookies du bruker. Husk at dette må forankres i GDPR arbeidet i forkant. 

Råder

Rådhusgaten 1

3126 Tønsberg

Org. nr. 924 647 175

post@raader.no