Europeiska dataskyddsstyrelsen ger ut riktlinjer för internationella överföringar

Europeiska dataskyddsstyrelsen (EDPB) har publicerat en vägledning om samspelet mellan GDPRs territoriella räckvidd och bestämmelserna om internationella överföringar i kapitel V. Syftet är att hjälpa personuppgiftsansvariga och personuppgiftsbiträden i EU att avgöra om en behandling utgör en internationell överföring enligt GDPR. Riktlinjerna är öppna för konsultation, vilket betyder att vem som helst kan lämna ett remissvar fram till slutet av januari 2022.

I riktlinjerna anges tre kriterier som alla ska vara uppfyllda för att en databehandling ska betraktas som en internationell överföring:

1. Den som exporterar uppgifterna (en personuppgiftsansvarig eller ett biträde) omfattas av dataskyddsförordningen för den aktuella behandlingen.

2. Den som exporterar uppgifterna överför eller gör personuppgifterna tillgängliga för den som importerar uppgifterna (en annan personuppgiftsansvarig, gemensam personuppgiftsansvarig eller personuppgiftsbiträde).

3. Den som importerar uppgifterna befinner sig i ett tredjeland eller är en internationell organisation.

GDPRs juridiska definition av en internationell överföring är bredare än vad man först kan anta. EDPB klargör att en internationell överföring äger rum både när en exportör skickar uppgifterna eller när uppgifterna bara görs tillgängliga för åtkomst till någon i ett tredjeland, under de villkor som anges ovan.

Riktlinjerna innehåller sju exempelsituationer. Ett av exemplen är när ett företag skickar en anställd på tjänsteresa till ett tredje land och den anställde ansluter sig på distans till företagets nätverk. Eftersom informationen juridiskt sett skickas internt inom samma företag och inte till en annan personuppgiftsansvarig eller personuppgiftsbiträde är det inte fråga om en internationell överföring. Datadelning mellan företag i samma koncern (moderbolag och dotterbolag) som är separata personuppgiftsansvariga eller personuppgiftsbiträden kan dock enligt vägledningen utgöra en internationell överföring.

Ett annat exempel är när en europeisk konsument gör ett köp online från en butik utanför EU. Butiken har inget etableringsställe i Europeiska unionen. I detta fall, där kunden har skickat sina personuppgifter direkt, är det inte fråga om en internationell överföring av personuppgifter i den mening som avses i GDPR. Även om det inte är en internationell överföring kan databehandlingsverksamheten ändå omfattas av artikel 3.2 i GDPR påpekar EDPB. Enligt artikel 3.2 i GDPR kan ett företag utanför EU som erbjuder tjänster/varor till européer eller som övervakar deras beteende (till exempel hur de interagerar med en hemsida) ändå vara tvunget att följa bestämmelserna i GDPR.   

EDPB menar att man bör anpassa skyddsåtgärderna till situationen. EDPB påpekar att när man utvecklar relevanta överföringsverktyg (som för närvarande endast finns i teorin) ska arbetet ske utifrån faktiska omständigheterna. Standard- eller ad hoc-avtalsklausuler bör ta hänsyn till vilka regler dataimportören redan omfattas av, för att inte upprepa skyldigheterna i dataskyddsförordningen. Skyddsåtgärderna ska snarare fylla de luckor som finns på grund av kolliderande nationella lagar och rätten till tillgång för myndigheterna i tredjelandet anser EDPB. Verktygen ska alltså enligt EDPB behandla de åtgärder som ska vidtas vid lagkonflikter mellan lagstiftningen i tredjeland och GDPR samt för att möta rättsligt bindande krav från utländska myndigheter om att lämna ut personuppgifter.

Läs pressmeddelandet här

Integritetsskyddsmyndigheten (IMY) har också publicerat information på svenska här

Nu har årets lönekartläggning startat!

Nu är den årliga kartläggningen igång – där ditt svar är viktigt!

Nu har vi startat den årliga löneundersökningen för Dataskyddsombud.

Syftet med den årliga lönekartläggningen är att:

  • Bidra till att stärka och utveckla yrkesprofessionen för alla som arbetar som Dataskyddsombud i Sverige.
  • Ge en bild av hur förutsättningarna ser ut och visar på trender, likheter och eventuella omotiverade skillnader.
  • Skapa ett underlag inför kommande lönediskussioner, vare sig det gäller dig själv eller dina medarbetare.

Genom att bidra till denna undersökning skapar du en ökad kunskap om löner, förmåner och arbetsvillkor och tillsammans kan vi skapa bättre villkor för alla Dataskyddsombud i hela Sverige!

Till årets lönekartläggning!

HR Commitment har i över 10 år genomfört löpande löneundersökningar för Sveriges bolagsjurister, Sveriges Compliance Officers och Sveriges internrevisorer i samarbete med respektive yrkesgrupps intresseförening.

Undersökningen är ett samarbete tillsammans med HR Commitment.

Läs mer om HR Commitment här

EU ökar tempot för att bli världsledande inom AI

Artificiell intelligens (AI) är för närvarande en hög politiskt prioriterad fråga i Europeiska unionen (EU). Europaparlamentets har till och med inrättat ett särskilt utskott för artificiell intelligens i den digitala tidsåldern, The Special Committee on Artificial Intelligence in the Digital Age (AIDA).

Mandatet för detta utskott är att ta ett horisontellt grepp om AI, vilket innebär att det kommer att arbeta holistiskt med AI tvärs över politikområden. AIDA:s yttersta uppgift är att skapa en långsiktig färdplan för artificiell intelligens i Europeiska unionen.

För att bedöma AI:s framtida inverkan på Europeiska unionen kommer AIDA att anordna utfrågningar och workshoppar med viktiga intressenter, däribland experter, beslutsfattare och näringslivet. Målet med denna process är att identifiera möjliga angreppssätt för att ta tillvara på AI:s möjligheter inom områdena kompetens, sysselsättning, utbildning, hälsa, transport, miljö, industri och e-förvaltning samt att ta reda på hur länder utanför Europeiska unionen hanterar denna fråga.

Toppmöte om artificiell intelligens

Onsdagen den 8 november 2021 anordnade AIDA-utskottet och europeiska ekonomiska och sociala kommittén (EESK) tillsammans ett AI-toppmöte för berörda intressenter. EESK organiserade förmiddagsdelen av evenemanget med inbjudna talare från den akademiska världen, den privata sektorn och det civila samhället. Under eftermiddagen var det politiska fokuset större, med AIDA som värd för en politisk panel på hög nivå, ett interparlamentariskt möte där parlamentsledamöter från Europaparlamentet träffade parlamentariker från medlemsstaterna och en politisk debatt om förslaget till förordning om AI inom EU.

Under det interparlamentariska mötet med nationella parlament vars syfte var att fördjupa AI-dialogen mellan Europaparlamentariker och deras motsvarigheter från EU:s medlemsstater, sade AIDA-utskottets ordförande Dragoș Tudorache att EU måste samordna sina åtgärder och strategier för att bli en verklig geopolitisk aktör och använda sin kollektiva makt på den globala arenan, särskilt inom den digitala sfären. För att möta AI:s inverkan på vår digitala tidsålder ansåg han att detta är exakt den typ av dialog som vi bör fortsätta att främja och föra så ofta som möjligt.

AI ett hett debatterat ämne

Det råder ingen tvekan om att det händer mycket i den offentliga politiska debatten om artificiell intelligens just nu. ZDNET rapporterar att Europaparlamentet i början av oktober antog en icke-bindande resolution där parlamentet rekommenderar att brottsbekämpande myndigheter inte får använda ansiktsigenkänning. På Nordic Privacy Arena i september uppmanade också en talare som representerade Europeiska datatillsynsmannen integritetsexperter att delta i den offentliga debatten om riskerna med biometrisk- och beteendeigenkänning i offentliga miljöer.

Den 9 november lade AIDA-utskottets särskilda rapportör Axel Voss fram ett första offentligt utkast till EU:s färdplan för artificiell intelligens. EU bör enligt utkastet inte reglera artificiell intelligens som en teknik, utan lagstiftningsåtgärder bör bestämmas utifrån vilken typ av risk som det AI-baserade systemet utgör. I utkastet varnas det för att EU redan ligger på efterkälken i den globala teknikkapplöpning som kommer att avgöra den framtida politiska och ekonomiska maktbalansen i världen. I utkastet sägs också att AI kan utmana våra nationalstaters suveränitet och de demokratiska systemens grundvalar.

Vill du fördjupa dig?

Se inspelningarna från AI-toppmötet HÄR

Läs

Läs pressmeddelandet om den Europaparlamentets särskilda rapportörs första utkast till AI-färdplan för Europa HÄR

WhatsApp får betala över 2 miljarder kronor för bristande GDPR-efterlevnad

WhatsApp har åkt på en sanktionsavgift på €225 miljoner (ca 2,2 miljarder svenska kronor) för bristande transparens om hur de behandlar personuppgifter. Det är den irländska dataskyddsmyndigheten, Data Protection Commissioner (DPC) som delat ut sanktionen. Hittills är detta en av de högsta sanktionerna som utdelats under GDPR. Beskedet kom bara en månad efter det blev allmänt känt att Amazon fått en sanktionsavgift på 746 miljoner euro (7 miljarder kronor), vilket är den högsta GDPR sanktionen hittills.  

Det var den 10 december 2018 som DPC på eget initiativ öppnade en utredning mot WhatsApp. Utredningen skulle granska om WhatsApp brutit mot sina skyldigheter att informera användare och icke användare om hur deras personuppgifter behandlas. DPC ville även undersöka vilken information WhatsAPP lämnat om hur personuppgifter delas med andra bolag i Facebook-koncernen.  

Från början ville DPC utfärda en sanktionsavgift på 30–50 miljoner euro till WhatsApp. När DPC konsulterade sina ”kollegor”, ansåg sig flera europeiska dataskyddsmyndigheter vara berörda av sakfrågan. De berörda dataskyddsmyndigheterna hade invändningar mot det beslut som DPC var på väg att fatta. Eftersom DPC inte kunde nå konsensus med de berörda dataskyddsmyndigheterna hänsköts ärendet till Europeiska dataskyddsstyrelsen, European Data Protection Board (EDPB). I augusti rapporterade Forum för Dataskydd I augusti att EDPB hade utfärdat ett bindande beslut om WhatsApp.

DPC hade informerat EDPB att den tänkte bortse från de berörda dataskyddsmyndigheternas invändningar. EDPB granskade de berörda tillsynsmyndigheternas invändningar och ansåg dem vara “relevanta och motiverade”. EDPB instruerade DPC att omvärdera sanktionsavgiften och höja den på grundval av flera faktorer som ingick i EDPB-beslutet. Till sist ålade DPC, WhatsApp en sanktionsavgift på 225 miljoner euro. WhatsApp fick också en reprimand och ett föreläggande om att vidta ett flertal åtgärder så att företagets databehandlingar följer GDPR.

Max Schrems, ordförande för den ideella föreningen Noyb (None of your business) har kommenterat DPC:s beslut i ett uttalande. Schrems hävdar i uttalandet att detta är första gången DPC utfärdar en stor sanktionsavgift, trots att myndigheten fått 10 000 klagomål per år sedan 2018. Fortsättningsvis säger Schrems att GDPR förutser böter på upp till 4% av den globala omsättningen. Schrems lyfter fram att det var andra dataskyddsmyndigheter som tvingade DPC att höja sanktionen till 225 miljoner euro, det utgör enligt honom fortfarande bara 0,08 % av Facebook-koncernens omsättning. Schrems påstår att detta visar på att DPC som myndighet fortfarande är ”extremt dysfunktionell”. Slutligen säger Schrems att han räknar med att WhatsApp kommer överklaga och att Noyb fortsatt kommer övervaka fallet.

För vidare läsning:

www.dataprotection.ie

edpb.europa.eu

edpf.europa.eu


NPA 2021: Hur patienternas tillit till vården säkras och hur vården kan använda ny teknik

Detta är den tredje och sista artikeln som sammanfattar utvalda diskussioner från Nordic Privacy Arena 2021. Dagens artikel handlar om en paneldiskussion under dag 2 om dataskydd och informationssäkerhet inom hälso- och sjukvården.

Dataskydd och informationssäkerhet i hälso- och sjukvårdssektorn – en panel om den senaste tidens utveckling med representanter från alla sidor

Rose-Mharie Åhlfeldt, styrelseledamot i Forum för Dataskydd och docent vid Högskolan i Skövde, modererade en diskussion med fem panellister om informationssäkerhet i hälso- och sjukvården. Hon inledde med att säga att cyberkriminella och utländska statliga aktörer är intresserade av uppgifter från hälso- och sjukvården, och att sjukvården själv vill införa mer avancerad teknik, vilket kan öka riskerna. Det finns också färska exempel på personuppgiftsincidenter som 1177 och Vaastamo. Hon sade att dataskydd och informationssäkerhet måste harmoniera bättre. Därefter frågade Åhlfeldt, panelen hur vi kan åstadkomma en hållbar digitalisering inom hälso- och sjukvården.

Niclas Skyttberg, chefsläkare på Aleris, sa att hälso- och sjukvårdssektorn har en viktig hemläxa att göra, den måste fortsätta att arbeta hårt med cybersäkerhet och dataskydd. Den senaste tidens skandaler ger konkreta och påtagliga effekter som visar varför detta behövs. En av de största utmaningarna är hur hälso- och sjukvårdssektorn kan behålla patienternas förtroende. Visionen “en patient – en journal” är mycket viktig, men om vi vill uppnå den och centraliserar journalerna måste vi skapa större öppenhet för patienten. Det måste vara tydligt för patienten vem som behandlar och har tillgång till vilka uppgifter, vid vilken tidpunkt och för vad.

Dr. Anu Talus, dataskyddsombudsman i Finland, sa att hälso- och sjukvårdssektorn redan har en heltäckande rättslig ram men att den behöver anpassas bättre till GDPR. Dr. Talus tycker inte att vi behöver en ny lagstiftning: GDPR ger oss de verktyg vi behöver för framtiden, t.ex. konsekvensbedömningar av dataskydd och inbyggd integritet, vi måste bara bli bättre på att använda dessa redan när vi planerar nya projekt, för att möta de utmaningar som följer med ny teknik.

Pål Resare, förbundsjurist på Sveriges Kommuner och Regioner, höll med Dr. Talus om att hälso- och sjukvårdssektorn måste börja använda de verktyg den redan har och samarbeta för att skapa uppförandekoder. De måste också börja inkludera IT-specialister, upphandlingsansvariga och jurister redan från början så att IT-projekt som förberetts i flera år inte stoppas för att de inte är juridiskt genomförbara.


Tobias Bräutigam, senior jurist på Bird & Bird, sade att vi måste utbilda allmänheten och visa att integritet är en generell verksamhetsövergripande fråga, inte ett specialområde. Ett bra exempel på hur man kan utbilda massorna är Helsingfors universitets kurs “Elements of AI” som är gratis för alla. Han sa också att vi behöver en kontrollpanel där patienten kan välja vilka uppgifter som delas med vilken vårdgivare.


Carolina Wallenius, VD på Cerner Sverige, sa att vi bör digitalisera mer eftersom framtiden redan är här. Målet bör vara att hålla befolkningen frisk så färre patienter behöver sjukhusvård. Det finns otrolig teknik där ute, men den kan inte användas pga. juridiska hinder, vi måste bara komma på hur vi får och kan använda den. Vi behöver lagar och ledarskap så att vi kan använda tekniken för att lösa utmaningarna. Politikerna måste lyssna på leverantörerna, de har tänkt mycket på och investerat mycket i hur man kan använda den senaste tekniken för att skydda personuppgifter.

Följ med oss nästa år


I år har det förts många intressanta diskussioner om dataskydd. Nordic Privacy Arena samlar experter på integritet från hela Norden med talare från hela världen för att diskutera den senaste utvecklingen inom detta dynamiska kunskapsfält. Här kan integritetsexperter och företag nätverka för att hålla sig uppdaterade och fördjupa sin kunskap om hur vi hantera gemensamma utmaningar. AI, säkerhet, internationella överföringar och förtroende var några av de ämnen som diskuterades i år. Forum för Dataskydd vill tacka alla som deltog i år och hoppas att vi ses på Nordic Privacy Arena nästa år också!

NPA 2021: Cyber-soldater och Brexit

Detta är artikel 2 av 3 där vi sammanfattar några av diskussionerna på Nordic Privacy Arena (NPA) 2021. Dagens artikel handlar om en paneldiskussion om cybersäkerhet och cybersoldater samt en presentation om föreslagna dataskyddsreformer i Storbritannien.

Hackad? Fokus på cyberrisker och integritetskränkningar – behöver varje organisation ha sin egen cybersoldat eller hur kan vi förbereda oss?

Maria Holmström Mellberg, styrelseledamot i Forum för Dataskydd samt integritets- och informationssäkerhetsansvarig för norden på företaget Accenture ledde en paneldiskussion med fyra “hackare”. Alla paneldeltagare var överens- inget IT-system är 100 % säkert. Flera lyfte att organisationer måste anta en modell för nolltillit (zero trust).


David Jacoby, biträdande direktör för det globala forsknings- och analysteamet på antivirusföretaget Kaspersky som också medverkar i en kommande SVT-serie, talade om att IT-säkerhet idag är ett socialt problem mer än ett tekniskt problem. Enligt honom finns många avancerade tekniska skydd men organisationen och den mänskliga faktorn är ofta den svaga länken.


Fredrik Blix, universitetslektor i cybersäkerhet vid Stockholms universitet, sa att konsekvensbedömningar, leverantörsavtal och lagar bara är löften och idéer på papper. Man måste omvandla dem till verkliga åtgärder och följa upp dem för att skydda data samt individens grundläggande fri- och rättigheter.


André Catry, senior rådgivare inom informationssäkerhet och cyberrisk berättade att cyberbrottslighet idag är riskfritt och dessutom genererar mer intäkter än narkotikabrottslighet. Oavsett vad organisationer gör eller hur de utbildar personalen kommer någon i organisationen alltid klicka på en skadlig länk förr eller senare. Vi måste enligt honom acceptera att organisationer alltid kommer att vara sårbara för cyberattacker, att krig kommer utkämpas över internet och tänka att regeringen bör ge mer stöd på detta område. I dag krävs det att varje organisation är sin egen cybersoldat, vilket enligt Catry är ineffektivt.


Krister Hedfors, chef för teknisk säkerhet på Sentor, Accenture, befarar att det verkliga problemet är alla dolda vägar in till organisationers IT-system som väntar på att utnyttjas av en hacker med onda avsikter.

Brexit – Storbritanniens ambitioner i samband med utträdet och adekvat skyddsnivå


I somras beslutade EU-kommissionen att Storbritannien har en adekvat dataskyddsnivå. Forum för Dataskydd skrev en nyhetsartikel om det här, men vi ville fördjupa oss ännu mer. Därför bjöd vi under dag två av NPA in John Bowman som moderator för ett samtal mellan honom och Eleonor Duhs.


Först ut var John Bowman, Senior Principal på Promontory Financial Group London och tidigare brittisk förhandlare för GDPR, som förklarade sammanhanget: Storbritannien överväger väsentliga dataskyddsreformer för att knyta partnerskap med länder som inte anses erbjuda en adekvat skyddsnivå enligt EU, till exempel USA, Brasilien och Australien. I praktiken kan detta bli ett sätt att kringgå EU:s process för att tilldela länder en adekvat skyddsnivå som idag upplevs som byråkratisk.


Därefter föreläste Eleonor Duhs, direktör för teknik, outsourcing och dataskydd på Field Fisher och tidigare ansvarig jurist för den brittiska regeringens huvudbestämmelser i Brexitlagen 2018. Hon förklarade att Storbritannien före Brexit införlivade EU:s GDPR i nationell rätt, men att landet nu vill reformera sitt system för att bli mer flexibelt och ekonomiskt konkurrenskraftigt.


Storbritanniens regering överväger enligt Eleonor Duhs att skapa en förteckning över vissa databehandlingar som kan utföras med intresseavvägning som rättslig grund utan att en intresseavvägning behöver utföras, att det inte ska vara möjligt att rättsligt ifrågasätta automatiserade beslut, att det ska vara lättare att utfärda beslut om adekvat skyddsnivå och generösare undantagsregler för internationella överföringar. Den brittiska dataskyddsmyndigheten, Information Commissioner’s Office (ICO) föreslås också få ett ändrat uppdrag, myndigheten ska väga in de ekonomiska konsekvenserna av sitt agerande när den utövar sitt tillsynsuppdrag.


En deltagare frågade om de föreslagna reformerna kan leda till att Storbritannien förlorar sin status som adekvat land. John Bowman sa att det skulle påverka handeln och leda till en stor debatt i EU om det hände. Han menade att många länder som har status som adekvat land till skillnad mot Storbritannien saknar en lag som liknar EU:s GDPR, och i så fall skulle även deras status kunna ifrågasättas.

NPA 2021: Europeiska datatillsynsmannen vill förbjuda viss AI medan dataskyddsmyndigheter kämpar med klagomål

Nordic Privacy Arena (NPA) är en årlig konferens för personer som arbetar med dataskydd. Den 6:e upplagan av NPA hölls som ett halvdigitalt event den 27–28 september 2021. Konferensen innehöll inte mindre än 30 programpunkter om dataskydd och hade över 95 stycken digitala deltagare och drygt 220 stycken på plats på Münchenbryggeriet i Stockholm. Detta är den första av tre artiklar som belyser några av de föreläsningar och diskussioner som ägde rum.

Artificiell intelligens ur Europeiska datatillsynsmannens synvinkel

Leonardo Cervera Navas, direktör vid Europeiska datatillsynsmannen, European Data Protection Supervisor (EDPS), var en av två huvudtalare som inledde dag 1. Han förklarade att EDPS har en dubbel roll: den övervakar EU:s institutioner och ger råd till EU om förslag till lagstiftning.

Under sin presentation som han gav via videolänk från flygplatsen i Malaga, fokuserade Cervera Navas främst på den föreslagna AI-förordningen för EU. Han redogjorde för ett gemensamt yttrande från EDPS och Europeiska Dataskyddstyrelsen som Forum för Dataskydd i somras rapporterade om här. Enligt Cervera Navas välkomnar EDPS i högsta grad denna förordning och anser att européerna bör omfamna AI-teknik i stället för att gömma sig för den. Å andra sidan varnade han också för de stora risker som är förknippade med vissa aspekter av AI-teknik.

Leonardo Cervera Navas förklarade att EDPS är mycket orolig för att offentliga myndigheter i grunden kommer att förändra sitt förhållande till medborgarna om de börjar använda igenkänning baserad på biometri och beteende på offentliga platser. Han varnade för att detta kan skapa ett Orwellianskt samhälle och att det inte kommer att vara möjligt att rulla tillbaka användningen av sådan teknik. Han uppmanade dataskyddsexperter att vara mycket aktiva och göra politikerna medvetna om dessa risker.

Leonardo Cervera Navas delade också med sig av att EDPS rekommenderar att man till en början förbjuder riskfyllda AI-lösningar och sedan gradvis lättar på dessa restriktioner. Dessutom anser EDPS att det är nödvändigt med ett proaktivt förhållningssätt till ny teknik. Han meddelade att TechSonar är ett projekt som EDPS nu lanserar för att förutse trender inom ny teknik och inleda en debatt som möjliggör en hållbar digital framtid.

Trendspaning genom dataskyddsmyndigheternas ögon

I en paneldiskussion med företrädare för flera dataskyddsmyndigheter var klagomål och resurser ett av ämnena som hamnade i fokus.

Dr. Andrea Jelinek, direktör (myndighetschef) för den österrikiska dataskyddsmyndigheten och ordförande i Europeiska Dataskyddsstyrelsen, European Data Protection Board (EDPB) var först ut. Hon nämnde att det kan vara svårt för dataskyddsmyndigheter att bemanna adekvat eftersom de inte i förväg vet om och till vilken dataskyddsmyndighet en organisation som Noyb kommer att lämna in en stor bunt med klagomål.

Paneldeltagarna var överens om att resurser och oförutsägbara ärendetillströmningar utgjorde en stor och gemensam utmaning för deras dataskyddsmyndigheter. Bjørn Erik Thon, generaldirektör vid norska dataskyddsmyndigheten, Datatilsynet, förklarade att en oacceptabel situation håller på att uppstå. Efter Schrems II-beslutet måste hans dataskyddsmyndighet utreda alla klagomål som rör tredjelandsöverföringar.  Denna påtvingade omfördelning av resurser hindrar Datatilsynet från att ta itu med mer brådskande ärenden, t.ex. att utreda allvarliga anmälningar om personuppgiftsincidenter. Thon varnade för att om detta problem inte åtgärdas kommer hans myndighet tvingas vidta drastiska åtgärder.

Dr. Andrea Jelinek fick en fråga om varför dataskyddsmyndigheterna fokuserar så mycket på tillsyn. Hon svarade att EDPB också arbetar med att ta fram mycket vägledning, men att det tar tid eftersom alla dataskyddsmyndigheter måste komma överens. Hon tillade att personuppgiftsansvariga måste komma ihåg att dataskyddsmyndigheterna inte är deras advokater och att det är de själva som är skyldiga att visa att de följer reglerna.

Slutligen uttryckte Dr. Jelinek förhoppningar om att medlemsstaternas regeringar kommer inse sitt delade ansvar. Genom EU:s lagstiftningsförfarande har de varit medlagstiftare till GDPR. Hon hoppades att de kommer se till att deras dataskyddsmyndigheter har tillräckliga resurser så dataskyddsförordningen fungerar som tänkt.

Challenges of User-centric Privacy Enhancing Technologies

Who: Prof. Simone Fischer-Hübner


When:
4:30pm-5pm on Friday, Sept 17. Other honorary doctors will speak before and after Simone – feel free to attend the whole event 4pm-6pm!

Where: Chalmersska huset (limited seats, register via events@chalmers.se to attend in person)

Where: Online

Title: Challenges of User-centric Privacy Enhancing Technologies

Abstract: The GDPR promotes the principle of Privacy by Design and Default, acknowledging that the individual’s privacy is best protected if privacy law is complemented by privacy enhancing technologies (PETs). While technically advanced PETs have been researched and developed in the last four decades, challenges remain for making PETs and their configurations usable. In particular, PETs are often based on “crypto-magic” operations that are counterintuitive and for which no real-world analogies can be easily found.

This presentation presents human computer interaction challenges, end user perceptions and requirements for the design and configurations of PETs in compliance with the GDPR that we explored in recent European research projects. The presentation discusses cultural privacy aspects impacting the users’ preferences and trust in PETs, and it shows that users with technical knowledge may especially encounter challenges in understanding and trusting the protection claims of PETs. It concludes that for this reason, PET user interfaces should not only have to build on real-world analogies but also need to cater for digital world analogies that may impact the users’ understanding of PETs.

Välkommen till intressemöte hos SIS

Utveckla dina kunskaper om hur ramverket NIST-CSF kan utnyttjas.

Intressemötet sker den 14 september, 2021!

Läs gärna mer här angående utbildningen/webbiniarumet här

Nederländsk vägledning om smarta städer

Den nederländska dataskyddsmyndigheten, Autoriteit Persoonsgegevens (AP), publicerade nyligen en forskningsrapport om smarta städer som även innehåller rekommendationer till landets kommuner.

Ny teknik används allt mer för att ha uppsikt över det offentliga rummet: Tänk på WiFi och Bluetooth-spårning, kameror (kan även vara kroppsburna eller mobila) samt sensorer som samlar in data om trafik eller buller. Kommuner använder alltmer denna teknik för att bättre kunna optimera, påverka och hantera det offentliga rummet. Enligt rapporten utgör detta en risk för medborgarnas integritet och andra grundläggande rättigheter.

AP noterar att nederländska kommuner inte alltid iakttar kraven i dataskyddslagstiftningen   tillräckligt. Undermåligt utvecklade smarta lösningar kan enligt AP komma på bekostnad av individuella friheter.

Fortsättningsvis anser AP att den nederländska smarta staden nått en vändpunkt. Den är för närvarande ett lapptäcke av små projekt som måste växa till en sammanhållen vision om användningen av teknik och data i det offentliga rummet.

Ansvarsfullt införande av ny teknik

AP uppmanar nederländska kommuner att utveckla smarta städer ansvarsfullt. För att förhindra att Nederländerna blir ett övervakningssamhälle vill AP att kommuner ska närma sig frågan med mer eftertanke och med medborgarna i fokus.

AP anser att ny teknik kan göra staden säkrare och mer beboelig. Samtidigt varnar rapporten för farorna med “dataism”, tron ​​på att alla problem kan lösas med data. AP vill att kommuner blir bättre på att involvera medborgarna i beslutsfattandet och att de stärker den demokratiska kontrollen.

Rekommendationer

AP vill att nederländska kommuner följer dessa riktlinjer:

Följ grunderna i GDPR på rätt sätt – Finns det en rättslig grund och är det ens nödvändigt att behandla personuppgifter för att uppnå syftet? Om svaret är nej kan kommunen inte införa den tänkta lösningen.

Använd konsekvensbedömningen som ett verktyg – Det är ofta obligatoriskt för kommuner att genomföra en konsekvensbedömning. Kommuner bör överväga att publicera sina konsekvensbedömningar för att visa medborgarna hur kommunen har skyddat deras integritet.

Ta ett helhetsgrepp över den smarta staden – Varje kommun bör utveckla en heltäckande policy / ramverk för den smarta staden, snarare än att göra det per applikation. Policyn bör omfatta både dataskydd och etik. Policyn behöver också översättas till praktiska riktlinjer för genomförandet.

Kommunfullmäktige som motkraft – Fullmäktigeledamöter måste utrustas med tillräcklig kunskap och information för att kunna utöva demokratisk kontroll. Ledamöter bör ha tillgång till experter, såsom kommunens egna dataskyddsombud så de kan ställa rätt frågor och få insikt i riskerna för medborgarna.

Ha tillräcklig bemanning och resurser – Se till att kommunens dataskyddsorganisation kan fungera bra och korrekt kan utföra sitt arbete.

Upphandla kritiskt – När kommunen köper produkter och tjänster, kontrollera kritiskt om de överensstämmer med GDPR. En leverantör kan hävda det, men stämmer det även in på kommunens tänkta användningsområde?

Konsultera medborgarna – Att involvera medborgarna är nyckeln till framgång. De känner sin egen livsmiljö bäst och kan bidra med att identifiera riskerna.

Kartlägg privata sensorer – Undersök hur kommunen kan få kännedom om var privata aktörer placerat sensorer på offentliga platser och dela informationen med medborgarna.

Slutligen är det värt att nämna att AP vill främja en oberoende diskussion och reflektion. AP har låtit en panel av oberoende experter reflektera över rapporten. Deras kommentarer har tagits med i rapporten, utan att redigeras av AP.

Läs mer: Pressmeddelande (Nederländska)

Logga in

Ej medlem? Registrera dig

Återställ lösenord

Bli medlem

    Forum för Dataskydd bidrar till ett tryggt informationssamhälle och värnar om integritetsskydd idag och i morgon. Vi förstärker, förenklar och ökar medvetenheten kring integritetsskydd i Europa genom att skapa ett tongivande forum för samverkan och informationsspridning. Stärk ditt dataskyddsarbete med kompetens från drygt 800 medlemmar på våra seminarier och nätverksträffar. Medlemmar går gratis på våra seminarier och nätverksträffar samt till rabatterat pris på Nordic Privacy Arena.

    Studentmedlemskap upphör automatiskt efter ett år, därefter behövs ny ansökan. Ange också ert mecenatkortnr i meddelandefältet.


    Det är viktigt att meddela oss om du byter arbetsplats, faktureringsadress, telefonnummer, mailadress eller annan viktig information. När du byter arbetsplats eller annan ovannämnd information mailar du oss och meddelar detta på info@dpforum.se så att vi kan säkerställa kontinuitet i ditt medlemskap.


    Ordinarie medlemskap: 1645 kr per år.
    Student: Gratis första året, sedan 200 kr per år (är du anställd på ett företag gäller ordinarie pris).















    Genom att fylla i formuläret, godkänner jag att Forum för Dataskydd lagrar mina personuppgifter i sin databas som kommer användas för att förse mig med relevant information om Forum för Dataskydds tjänster och erbjudanden.

    This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.
    Go to cart