Line Coll, direktør i Datatilsynet, Haakon Hertzberg, avdelingsdirektør i juridisk avdeling i NAV, Rune Opdahl, partner i Wiersholm, Ingvild Næss, direktør for personvern og trender i Schibsted og Kyrre Lekve, assisterende direktør i Simula deltok i paneldebatt om personvernets stilling i samfunnet.

- Personvern gir compliance-tsunami

- Personvern gjelder alt og alle, og det er EU som dirigerer jussen fremover, sier partner Rune Opdahl i Wiersholm. Direktør Line Coll i Datatilsynet etterlyser en personvernpolitikk i Norge.

Publisert Sist oppdatert

Som fersk advokatfullmektig fikk Rune Opdahl i 2006 ansvar for personvern i Wiersholm, og ble fortalt at det var å regne som venstrehåndsarbeid.

- Mange havnet nok litt tilfeldig på dette fagområdet, som nå er blitt veldig stort. Det er fordi samfunnet er gjennomdigitalisert, og alt og alle er koblet på internett. Tidligere hadde det å kjøpe klær, lese aviser eller dra på trygdekontoret ingen ting med data å gjøre. I det har det alt med data å gjøre, sa Opdahl da han åpnet Wiersholm-konferansen Oslo Privacy Conference, næringslivets største møteplass for personvern og GDPR.

I dag kommer du ikke unna personvern og GDPR, enten du driver en liten nettbutikk eller pumper opp olje fra Nordsjøen, sa han.

- Et konkurransefortrinn

Etter at GDPR trådte i kraft i juli 2018 har personvern blitt et stadig større fagfelt for advokater. Bare i Wiersholm arbeider et team på om lag ti medarbeidere innenfor personvern-paraplyen, og spesialiseringen øker.

Partner Rune Opdahl i Wiersholm ledet konferansen.

- Alle må forholde seg til personvernet på ett eller annet vis. Vi merker en compliance-tsunami. Men selskaper satser ikke på å bli gode på personvern av hensyn til seg selv, men for å få økt tillit overfor kunder og ansatte, og for å etablere et konkurransefortrinn, sier Opdahl.

Han understreker at personvernet ikke gjelder i et vakuum, men må avveies mot andre, viktige samfunnshensyn.

- Er det for eksempel Datatilsynet som bør bestemme over innovasjonen innenfor helsefeltet og hva slags statistikk vi skal ha, spurte han.

I salen satt nærmere fire hundre advokater og andre næringslivsfolk som var kommet til Bristol Hotel i Oslo for å høre eksperter snakke om cybersikkerhet, behandlingsgrunnlag som vilkår i GDPR og debatt om personvernets stilling i samfunnet.

- Stille før stormen

Datatilsynet påklager stadig flere vedtak til Personvernnemnda, og et betydelig antall saker overprøves, fortalte Opdahl.

I 2021 ble det ilagt skyhøye overtredelsesgebyrer for brudd på GDPR. I fjor falt både antallet gebyr og gebyrenes størrelse.

- Jeg tror ikke pilen vil fortsette ned, men at vi kan forvente en bratt økning i 2023, og at 2022 slik sett bare er «stille før stormen», sa Opdahl.

EU er svært aktiv på feltet, og har mye på trappene - blant annet Cyber Resiliance Act, ifølge Opdahl.

SLO ET SLAG FOR GDPRs ARTIKKEL 6, PUNKT F: Line Helen Haukalid og Anne-Marit Wang Sandvik er advokater i Wiersholm, og holdt innlegg om behandlingsgrunnlag i GDPR, med spesielt fokus på berettiget interesse, slik det er formulert i artikkel 6 punkt f. - Vår oppfatning er at berettiget interesse kanskje er det mest brukte behandlingsgrunnlaget i dag, og at det kanskje ikke er så utrygt og annerledes som de øvrige behandlingsgrunnlagene.

Forordningen, som kalles Rammeverk for digitale produkters og tjenesters robusthet på norsk, vil innføre sikkerhetskrav for å trygge hardware- og softwareprodukter. Ifølge EU kostet cyberkriminalitet hele 5,5 billioner euro bare i 2021.

- Både offentlige virksomheter og private selskaper blir utsatt for angrep i stadig større grad, og det er ikke bare de med sensitive data som rammes, men litt tilfeldig, ut fra hvem som har sårbarheter, sa Opdahl.

- Ministre på Tik Tok

Har Norge en personvernpolitikk? Og hvilken stilling har personvernet i samfunnet? Dette var blant spørsmålene som et bredt panel var invitert for å diskutere.

I panelet satt direktør i Datatilsynet, tidligere partner i Wikborg Rein, Line Coll, Ingvild Næss, direktør for personvern og datatrender i Schibsted, Kyrre Lekve, viseadministrerende direktør i Simula og Haakon Hertzberg, avdelingsdirektør i juridisk avdeling i NAV.

- Vi bør få en bedre offentlig samtale og en personvernpolitikk i Norge. Bevisstheten i det offentlige rom og diskusjonen på prinsipielt nivå, er nesten fraværende, sa Line Coll.

Debatten, som ble ledet av Rune Opdahl, fant sted før justisminister Emilie Mehl (Sp) innrømmet at hun lastet ned Tik Tok-appen til sin tjenestemobil.

- Uten å nevne navn, så har vi jo ministre som sitter på Tik Tok i stortingssalen. Det viser en naivitet; jeg skal ikke si hva det grenser til. Men det viser bare at vi trenger en god offentlig samtale i Norge om personvern, og å løfte de store, prinsipielle spørsmålene, sa Line Coll.

Dette stod på programmet:

Cybersikkerhet:

    • Sikkerhet veldig, veldig enkelt – er det mulig? Hvordan balansere sikkerhet og brukervennlighet og samtidig oppnå «world class security» // John Arild A. Johansen, CISO og sikkerhetsentusiast, Vipps
    • Cybersikkerhet: Fra irritasjonsmoment til eksistensiell trussel // Jan Henrik Schou Straumsheim, partner Cyber Security & Privacy, PwC

Behandlingsgrunnlag:

    • Er ikke alt en interesseavveining? // Anne-Marit Wang Sandvik og Line Helen Haukalid, managing associates, Wiersholm
    • Supplerende rettsgrunnlag // Anne Sofie Hippe, lovrådgiver, Justisdepartementets lovavdeling
    Paneldebatt: Personvernets stilling i samfunnet

Debatten tok for seg mange av de vanskelige avveiningene der personvernet spiller en rolle.

- Hvis man bryter GDPR kan man få saftige bøter, men man får ikke bot for å avstå fra å bruke data for å utvikle gode produkter og tjenester. Merker man en frykt for bøter som gjør næringslivet og forskning mer tilbakeholdne, spurte Rune Opdahl.

- Min opplevelse fra Schibsted, er at ofte ender man opp med at noen har et initiativ til å bruke data til bestemte formål, men så, tre steg senere, så trekker personvernet i bremsen, sa Ingvild Næss.

- Ønsker flere stemmer i debatten

Den offentlige samtalen om personvern handler for det meste om avgjørelser fra Datatilsynet og Personvernnemnda, mente Coll.

- Det blir veldig ensidig. Vi ønsker å høre flere stemmer og få mer input. Datatilsynet er satt til å forsvare personvernet, og det er samfunnsoppdraget vårt, men med de ressursene vi har til rådighet, er det begrenset hva vi har mulighet til å være med og løfte i politikken. Og å løfte en politikk når du ikke får noen respons, er jo også krevende øvelse, sa Coll.

Haakon Hertzberg, avdelingsdirektør i juridisk avdeling i NAV, satt i Personvernkommisjonen, som utredet den samlede situasjonen for personvernet i Norge og leverte sin rapport i fjor høst.

- NAV er kanskje den virksomheten i Norge som har mest persondata om befolkningen, og en av de største innkjøperne av teknologi i Norge. Hva er betydningen av data og personvern i en offentlig virksomhet som NAV, spurte Opdahl.

- Data er helt sentralt for å få gjort de oppgavene vi har. Digitaliseringen har åpnet et vindu for behandling av ytelser på en formidabel måte, og vi oppnår mye mer rettssikkerhet ved at like saker blir behandlet likt, sa Hertzberg.

- Fare for nedkjølingseffekt

Faren er å bruke teknologien for aggressivt, påpekte han.

5 grunnprinsipper fra sikkerhetssjefen i Vipps

Hvordan balansere sikkerhet og brukervennlighet, og samtidig oppnå «world class security», var tittelen på foredraget til John Arild A. Johansen, sikkerhetssjef i Vipps.

Han hadde med seg det han kalte fem «veldig enkle grunnprinsipper» for å bedre IT-sikkerheten.

Her er de, i kortversjon:

  • Bygg en god nok sikkerhetskultur i selskapet.
  • Ikke bygg siloer der for eksempel jurister som jobber med lovtolkninger sitter i den ene, og teknologer i den andre.
  • Ha et styringssystem og et såkalt statement of applicability - Johansen anbefalte informasjonssikkerhetsstandarden ISO 27001.
  • Invester i sikkerhet og personvern.
  • Smart organisering.

Johansens understrekte at veldig, veldig enkelt ikke betyr veldig, veldig billig, og at veldig, veldig enkelt heller ikke betyr veldig, veldig lettvint.

- Disse fem kjepphestene må til for å få sikkerhetsarbeidet til å fly, sa Johansen.

- Vi har kanskje ikke vært så opptatt av lovreguleringen og hvor langt den strekker seg. Når skader reguleringen demokratiet? Det er tilliten som må være skranken for hvor langt vi går, slik at vi ikke ødelegger andre samfunnsverdier, og får en nedkjølingseffekt. Dersom man frykter å fortelle legen det man tenker fordi man er redd for at NAV vil plukke det opp, så har det gått for langt, sa han.

Kyrre Lekve i forskningslaboratoriet Simula fortalte at personvernet oppleves vanskelig, spesielt innenfor medisin.

- Personvernet kan være en hindring, og det er vanskelig å manøvrere. Å få tak i helsedata i Norge i dag, er krevende. Det er mangel på gode og store datasett som kunne vært brukt til å løse viktige samfunnsproblemer. Personvernet er en faktor som oppleves problematisk i forskningsmiljøene, sa Lekve.

- Anonymitet en illusjon

Han trakk frem smittestopp-appen som et eksempel.

- Vi skulle lage en integrert app som både skulle være en varslingsapp og bekjempe pandemien. Det fikk vi ikke til. Vi fikk aldri en moden diskusjon om hva vi kunne gjort mer og mindre av, sa han.

De teknologiske forutsetningene for å være anonym på nett er ikke tilstede, påpekte Lekve.

- Det er helt illusorisk å tro at man kan være digitalt anonym. Det er noen som vet hva du gjør til enhver tid som du har null kontroll på. Vi har undersøkt åtte apper, blant annet Vipps, og alle strømmer data via utlandet.

Personvern-frustrasjon

Wiersholm opplever en slags personvern-frustrasjon hos en del klienter, fortalte Rune Opdahl.

- De jobber iherdig for å etterleve personvernet, men fordi GDPR er skjønnsmessig, så opplever de at den er veldig vanskelig å følge, og at de uansett ikke kan gjøre alt riktig eller nok, og at det alltid er en risiko for bøter, sa Opdahl.

Han avsluttet med å stille ja- og nei-spørsmål til paneldeltagerne. Ett av spørsmålene var om cookies-varslene som popper opp på veldig mange nettsider, har noen som helst funksjon.

På dette svarte samtlige paneldeltagere et tydelig nei.

Powered by Labrador CMS