Challenges of User-centric Privacy Enhancing Technologies

Who: Prof. Simone Fischer-Hübner


When:
4:30pm-5pm on Friday, Sept 17. Other honorary doctors will speak before and after Simone – feel free to attend the whole event 4pm-6pm!

Where: Chalmersska huset (limited seats, register via events@chalmers.se to attend in person)

Where: Online

Title: Challenges of User-centric Privacy Enhancing Technologies

Abstract: The GDPR promotes the principle of Privacy by Design and Default, acknowledging that the individual’s privacy is best protected if privacy law is complemented by privacy enhancing technologies (PETs). While technically advanced PETs have been researched and developed in the last four decades, challenges remain for making PETs and their configurations usable. In particular, PETs are often based on “crypto-magic” operations that are counterintuitive and for which no real-world analogies can be easily found.

This presentation presents human computer interaction challenges, end user perceptions and requirements for the design and configurations of PETs in compliance with the GDPR that we explored in recent European research projects. The presentation discusses cultural privacy aspects impacting the users’ preferences and trust in PETs, and it shows that users with technical knowledge may especially encounter challenges in understanding and trusting the protection claims of PETs. It concludes that for this reason, PET user interfaces should not only have to build on real-world analogies but also need to cater for digital world analogies that may impact the users’ understanding of PETs.

Välkommen till intressemöte hos SIS

Utveckla dina kunskaper om hur ramverket NIST-CSF kan utnyttjas.

Intressemötet sker den 14 september, 2021!

Läs gärna mer här angående utbildningen/webbiniarumet här

Nederländsk vägledning om smarta städer

Den nederländska dataskyddsmyndigheten, Autoriteit Persoonsgegevens (AP), publicerade nyligen en forskningsrapport om smarta städer som även innehåller rekommendationer till landets kommuner.

Ny teknik används allt mer för att ha uppsikt över det offentliga rummet: Tänk på WiFi och Bluetooth-spårning, kameror (kan även vara kroppsburna eller mobila) samt sensorer som samlar in data om trafik eller buller. Kommuner använder alltmer denna teknik för att bättre kunna optimera, påverka och hantera det offentliga rummet. Enligt rapporten utgör detta en risk för medborgarnas integritet och andra grundläggande rättigheter.

AP noterar att nederländska kommuner inte alltid iakttar kraven i dataskyddslagstiftningen   tillräckligt. Undermåligt utvecklade smarta lösningar kan enligt AP komma på bekostnad av individuella friheter.

Fortsättningsvis anser AP att den nederländska smarta staden nått en vändpunkt. Den är för närvarande ett lapptäcke av små projekt som måste växa till en sammanhållen vision om användningen av teknik och data i det offentliga rummet.

Ansvarsfullt införande av ny teknik

AP uppmanar nederländska kommuner att utveckla smarta städer ansvarsfullt. För att förhindra att Nederländerna blir ett övervakningssamhälle vill AP att kommuner ska närma sig frågan med mer eftertanke och med medborgarna i fokus.

AP anser att ny teknik kan göra staden säkrare och mer beboelig. Samtidigt varnar rapporten för farorna med “dataism”, tron ​​på att alla problem kan lösas med data. AP vill att kommuner blir bättre på att involvera medborgarna i beslutsfattandet och att de stärker den demokratiska kontrollen.

Rekommendationer

AP vill att nederländska kommuner följer dessa riktlinjer:

Följ grunderna i GDPR på rätt sätt – Finns det en rättslig grund och är det ens nödvändigt att behandla personuppgifter för att uppnå syftet? Om svaret är nej kan kommunen inte införa den tänkta lösningen.

Använd konsekvensbedömningen som ett verktyg – Det är ofta obligatoriskt för kommuner att genomföra en konsekvensbedömning. Kommuner bör överväga att publicera sina konsekvensbedömningar för att visa medborgarna hur kommunen har skyddat deras integritet.

Ta ett helhetsgrepp över den smarta staden – Varje kommun bör utveckla en heltäckande policy / ramverk för den smarta staden, snarare än att göra det per applikation. Policyn bör omfatta både dataskydd och etik. Policyn behöver också översättas till praktiska riktlinjer för genomförandet.

Kommunfullmäktige som motkraft – Fullmäktigeledamöter måste utrustas med tillräcklig kunskap och information för att kunna utöva demokratisk kontroll. Ledamöter bör ha tillgång till experter, såsom kommunens egna dataskyddsombud så de kan ställa rätt frågor och få insikt i riskerna för medborgarna.

Ha tillräcklig bemanning och resurser – Se till att kommunens dataskyddsorganisation kan fungera bra och korrekt kan utföra sitt arbete.

Upphandla kritiskt – När kommunen köper produkter och tjänster, kontrollera kritiskt om de överensstämmer med GDPR. En leverantör kan hävda det, men stämmer det även in på kommunens tänkta användningsområde?

Konsultera medborgarna – Att involvera medborgarna är nyckeln till framgång. De känner sin egen livsmiljö bäst och kan bidra med att identifiera riskerna.

Kartlägg privata sensorer – Undersök hur kommunen kan få kännedom om var privata aktörer placerat sensorer på offentliga platser och dela informationen med medborgarna.

Slutligen är det värt att nämna att AP vill främja en oberoende diskussion och reflektion. AP har låtit en panel av oberoende experter reflektera över rapporten. Deras kommentarer har tagits med i rapporten, utan att redigeras av AP.

Läs mer: Pressmeddelande (Nederländska)

Under sitt senaste möte i plenum fattade Europeiska dataskyddsstyrelsen, EDPB, ett bindande beslut om tvistelösning med stöd av art. 65 GDPR i fallet mot WhatsApp Irland.

Det var den irländska tillsynsmyndigheten, Data Protection Commission (”DPC”), som inledde ett tillsynsärende mot WhatsApp. Syftet med tillsynen var att pröva huruvida WhatsApp uppfyllde de insynskrav som uppställs i art. 12, 13, och 14 GDPR. DPC tog sedan fram ett utkast till beslut. Den 24 december 2020, med stöd av art. 60.3 GDPR, delades sedan detta beslut med andra berörda tillsynsmyndigheter.

Andra berörda tillsynsmyndigheter gjorde dock invändningar mot utkastet enligt art. 60.4 GDPR. Invändningarna handlade bland annat om de identifierade överträdelserna av GDPR och kan delas upp i följande punkter:

  • om uppgifter i fråga ska klassificeras som personuppgifter och vilka konsekvenser det innebär
  • om de planerade åtgärderna mot WhatsApp Irland är lämpliga

DPC kunde inte komma fram till någon konsensus efter att ha tagit del av de andra tillsynsmyndigheternas invändningar och indikerade för EDPB att den därmed skulle bortse från dessa. Därför hänvisade DPC till att avgörandet skulle ske med hjälp av art. 65.1.a GDPR, genom ett tvistlösningsförfarande.

Den 28 juli 2021 fattade EDPB ett bindande beslut i ärendet. Beslutet tar hänsyn till de invändningar som befunnits vara ”relevanta och motiverade” mot bakgrund av kraven i art. 4.24 GDPR och innebär att DPC, vid fastställandet av sitt slutliga beslut i tillsynsärendet, måste ta hänsyn till de andra tillsynsmyndigheternas invändningar.

EDPB kommer att formellt meddela andra berörda tillsynsmyndigheter om sitt beslut angående invändningarna.

Enligt EDPB ska DPC fatta beslut i ärendet WhatsApp utan onödigt dröjsmål och senast en månad efter EDPB:s uttalande. Efter att DPC har fattat ett slutgiltigt nationellt beslut och meddelat de berörda personuppgiftsansvariga kommer EDPB att utan onödigt dröjsmål publicera beslutet på sin hemsida.

EDPS pressutskick kan läsas här

Den nederländska dataskyddsmyndigheten (DPA) har nu avslutat en granskning av TikTok som har resulterat i en administrativ sanktionsavgift på 750 000 euro

Förra året inledde DPA en omfattande granskning av TikTok, en populär applikation som idag används av många nederländska barn, efter oro om hur barnens personuppgifter hanteras. Granskningen är nu avslutad och har resulterat i att TikTok åläggs med 750 000 euro i administrativa sanktionsavgifter eftersom de inte har gjort tillräckligt för att skydda barnens integritet.

I samband med nedladdning av TikTok ombads användare att godkänna en integritetspolicy på engelska. Eftersom informationen inte fanns på nederländska har TikTok misslyckats med att informera dess yngre användare om hur applikationen samlar, lagrar och använder personuppgifter. Detta bryter mot dataskyddslagstiftningen som bygger på öppenhetsprincipen och att de registrerade alltid ska ha en klar uppfattning om hantering av deras personuppgifter.

Möjligheter till granskning varierar beroende på var företaget har sitt huvudkontor
Om ett företag har sitt huvudkontor utanför Europa kan alla EU:s medlemsländer delta i en tillsyn av dess verksamhet. När det gäller företag som har sina huvudkontor i Europa är det främst landet där huvudkontoret ligger som bär ansvaret för en eventuell granskning.

Tidigare hade TikTok sitt huvudkontor utanför Europa och Nederländerna kunde därför granska TikToks verksamhet. Enligt DPAs vice ordförande Monique Verdier har TikTok nu etablerat sin verksamhet i Irland och Nederländerna har därmed delat med sig av granskningens resultat. Monique Verdier påpekade att det nu är upp till Irlands tillsynsmyndighet att avsluta granskningen och undersöka om det finns andra brister i TikToks hantering av barnens personuppgifter. Det blir även Irlands ansvar att meddela ett slutgiltigt beslut.

Föräldrar och deras roll
Föräldrar har nu mer kontroll över sina barns konton och kan hantera barnens sekretessinställningar genom sitt konto med hjälp av familjedelningsfunktionen. Monique Verdier tyckte att funktionen var bra, men rekommenderade även föräldrar att visa intresse i de videor deras barn skapar och prata med sina barn om hur de interagerar med andra användare på TikTok.

TikTok har överklagat beslutet.

Nyhetsartikeln finns att läsa på EDPB här

Pressmeddelandet på nederländska finns att läsa här

Grönt ljus att överföra personuppgifter till Storbritannien

Den 28 juni 2021 meddelade Europeiska kommissionen att den beslutat att Storbritannien erbjuder en adekvat skyddsnivå.

Kommissionen har tagit ett beslut om adekvat skyddsnivå enligt GDPR och ett annat beslut om adekvat skyddsnivå enligt brottsbekämpningsdirektivet.

Exportkontroll på personuppgifter

Kommissionen har befogenhet att på förhand godkänna tredjeland så uppgifter får överföras dit, genom att fatta beslut om adekvat skyddsnivå. Tredjeland måste respektera rättsstatsprincipen och tillhandahålla en nivå av dataskydd som väsentligen motsvarar EU-standard. I det här fallet konstaterar kommissionen att Storbritannien efter Brexit helt och hållet implementerat reglerna i GDPR och brottsbekämpningsdirektivet i sitt rättssystem.

När det finns ett beslut om adekvat skyddsnivå, behöver personuppgiftsansvariga och personuppgiftsbiträden som vill exportera personuppgifter med stöd av beslutet, inte själva analysera lagarna i tredjeland. Deras uppgift blir istället att ta del av beslutet för att se om beslutet är förenat med villkor. Om man bryter mot villkoren blir exporten av personuppgifter olaglig. I det här fallet är det bara ett av besluten som har ett villkor. Personuppgifter får inte överföras till Storbritannien med stöd av beslutet om adekvat skyddsnivå enligt GDPR, om de ska användas på den brittiska sidan för migrationskontroll.

Det här är de första adekvansbesluten som automatiskt upphör att gälla efter en förutbestämd tid. Besluten upphör den 27 juni 2025, det vill säga om fyra år. Kommissionen ska fortsätta övervaka utvecklingen i Storbritannien under dessa 4 år och vidta åtgärder om skyddsnivån i landet minskar. Om kommissionen vill förlänga besluten behöver beslutsförfarandet inledas från början.

Skyddet i Storbritannien och CLOUD Act-avtal

Det är också värt att uppmärksamma att kommissionen i pressmeddelandet anser att rättssystemet i Storbritannien har implementerat starka skyddsåtgärder. Kommissionen upplyser att de brittiska underrättelsetjänsterna måste ha förhandsgodkännande från ett oberoende juridiskt organ för att få inhämta underrättelseuppgifter. Vidare påpekar kommissionen att individer som tror att en brittisk underrättelsetjänst olagligt har spionerat på dem kan starta en rättsprocess i en oberoende brittisk domstol. Slutligen noterar kommissionen i ett av besluten att Storbritannien har undertecknat ett CLOUD Act-avtal med USA som väntar på att träda i kraft. Kommissionen bedömer att det i framtiden kan förekomma att personuppgifter som överförts från EU till Storbritannien baserat på beslutet om adekvat skyddsnivå, i ett senare skede lämnas ut till USA. Kommissionen anser dock att detta inte utgör någon större fara, bland annat för att den anser att Cloud Act-avtalet mellan Storbritannien och USA ger ett likvärdigt dataskydd som motsvarar kraven i det så kallade ”paraplyavtalet” mellan EU och USA.

För mer information, se skäl 153-156, på sidorna 45-47 i adekvansbeslutet enligt GDPR.


Den norska tillsynsmyndigheten Datatillsynet har konstaterat att Olso Universitetssjukhus måste ingå nya avtal när sjukhuset tar hjälp av utländska laboratorier

Datatillsynet har efter en tillsyn av Olso Universitetssjukhuset konstaterat att sjukhuset inte kan säkerställa att de har kontroll över patientdata när laboratorietjänster efterfrågas från andra länder.

Tillsynsmyndigheten konstaterar att det är viktigt att kunna ta hjälp av utländska laboratorier när sjukhuset i fråga eller andra norska laboratorier saknar expertis för att förse patienterna med sådan vård som de behöver. Sjukhuset skickar ut blodprov, annat biologiskt material och patientdata till andra länder, både inom och utanför EES. Detta påverkar cirka 8000 patienter per år.

Avtal som kan tillgodose rätt behandling av personuppgifter saknas

Att det kan finnas ett behov av att ta hjälp från utländska laboratorier befriar inte sjukhuset från dess ansvar att säkerställa en säker och lämplig behandling av biologiska prover och patientdata.

Datatillsynet fastställde att sjukhuset har misslyckats med att upprätta lämpliga avtal för att säkerställa en korrekt behandling av sjukhusets förpliktelser och skydd av patientdata. Detta bland annat eftersom sjukhuset har misslyckats med att ingå avtal om behandling av data med laboratorierna.

Sjukhuset kommer att ta tag i problemen

Sjukhuset skriver i sitt sista svar på Datatillsynets preliminära kontrollrapport att de vill ta tag i problemen som sjukhuset avslöjar. Sjukhuset kommer att delegera ansvaret för användning av utländska laboratorier till en särskild sjukhusenhet och kommer att ingå avtal med laboratorierna som säkerställer att patientdata och det biologiska materialet behandlas i enlighet med tillämplig lagstiftning. Direktören för Datatillsynet, Bjørn Erik Thon, menar att detta sänder positiva signaler från sjukhuset i fråga. En klar ansvarsfördelning och tydliga avtal är viktiga för skydd av personuppgifter och informationssäkerhet.

Det ursprungliga pressmeddelandet på norska finns att läsa här

Europeiska dataskyddsstyrelsen (EDPB) har rapporterat om pressmeddelandet på engelska här

EDPB och EDPS vill att dataskyddsmyndigheter utövar tillsyn över AI-lag

Europeiska dataskyddsstyrelsen (EDPB) och Europeiska datatillsynsmannen (EDPS) publicerade den 21 juni ett gemensamt remissvar på EU-kommissionens förslag till AI-förordning.


Breddat tillämpningsområde och tillsyn genom dataskyddsmyndigheter
EDPB och EDPS är positiva till EU-kommissionens förslag om att lagen också ska omfatta EU-institutionernas användning av AI och att EDPS blir tillsynsmyndighet för EU-institutionerna. Samtidigt uttrycker båda remissinstanserna att de är djupt bekymrade över att internationella samarbeten för brottsbekämpning är undantagna från den föreslagna AI-lagen, vilket öppnar upp för att lagen kan kringgås.


När det gäller medlemsstaternas tillsyn föreslår EDPB och EDPS att uppgiften bör ges till dataskyddsmyndigheterna som redan utövar tillsyn under GDPR. I yttrandet betonas det att dataskyddsmyndigheterna redan skyddar grundläggande rättigheter i AI-projekt där personuppgifter behandlas enligt GDPR eller brottsbekämpningsdirektivet. EDPS och EDPB anser att den föreslagna lagen innehåller bestämmelser om dataskydd som påverkar tillämpningen av GDPR, EUDPR (dataskyddsförordning för EU-institutionerna) och brottsbekämpningsdirektivet. Om tillsynsuppdraget läggs på dataskyddsmyndigheterna möjliggörs enligt remissvaret en smidigare och mer samstämmig lagtolkning mellan dataskyddslagarna och AI-förordningen. Slutligen anser EDPB och EDPS att det skulle ge dataskyddsmyndigheterna möjlighet att förhindra motsägelsefulla tillsynsbeslut emellan medlemsstaterna.


Förbud mot social poängsättning och att förutspå brottsligt beteende
EDPB och EDPS efterfrågar regelskärpningar kring användningen av AI inom vissa områden. I synnerhet anser de att påträngande AI, som påverkar den mänskliga värdigheten bör förbjudas.
För det första anser EDPB och EDPS att EU-kommissionens förslag förbjuder system för social poängsättning i alldeles för få situationer. I remissvaret framhåller de att förslaget inte hindrar sociala medieföretag och molntjänstleverantörer som har tillgång till stora mängder personuppgifter från att införa sådana system. De rekommenderar därför att det införs ett totalförbud.


För det andra efterlyser EDPS och EDPB ett allmänt förbud mot användning av AI för biometrisk identifiering på offentliga platser oavsett i vilket sammanhang det används. Detta inkluderar identifiering av alla beteendemässiga eller biometriska egenskaper hos en person såsom gångstil, tangenttryckningar, röst, fingeravtryck, ansikte och DNA.
För det tredje efterfrågar EDPB och EDPS ett förbud mot “biometrisk kategorisering”. Båda remissinstanser vill förbjuda användningen av AI för att kategorisera individer baserat på egenskaper som omfattas av förbudet mot diskriminering i EU-stadgans artikel 21. EDPB och EDPS anser att förbudet bör omfatta både privata och offentliga aktörer.


För det fjärde föreslår EDPB och EDPS i motsats till EU-kommissionens förslag, ett förbud mot att brottsbekämpande myndigheter använder sig av prediktivt polisarbete. Det omfattar situationer där brottsbekämpande myndigheter använder profilering, analys av personlighet och personliga egenskaper eller tidigare brottsligt beteende för att förutspå om en individ kommer begå ett brott eller återfalla i brottslighet. Enligt remissvaret reducerar sådana klassificeringar personen till ett objekt utan fri vilja, vilket strider mot tanken om mänsklig värdighet.
Slutligen anser EDPB och EDPS att användningen av AI för att analysera en persons känsloläge är högst oönskvärt och bör förbjudas som huvudregel. Enligt remissvaret bör sådana analyser endast vara tillåtna i väldefinierade undantagssituationer inom områden som hälsa och forskning. Även i dessa situationer bör det enligt remissvaret finnas krav på att skyddsåtgärder används och att sedvanliga krav i dataskyddsregleringen såsom uppgiftsminimering efterlevs.

Läs mer här

IMY beslutar att ålägga SL med en administrativ sanktionsutgift på 16 miljoner kronor

Under måndagen den 21 juni beslutade Integritetsskyddsmyndigheten (IMY) att ålägga Storstockholms lokaltrafik (SL) med en administrativ sanktionsutgift på 16 miljoner kronor. Detta efter att IMY i samband med en tillsyn har konstaterat att SLs användning av kroppsburna kameror strider mot flera artiklar i dataskyddsförordningen.

SLs användning av kroppsburna kameror och IMYs bedömning
Enligt SL användes de kroppsburna kamerorna för tre ändamål:
1) För att förebygga hotfulla situationer riktade mot kontrollanter i samband med biljettkontroller
2) För att dokumentera inträffade incidenter
3) För att fast- och säkerställa identiteten på resenärer som åläggs tilläggsavgifter

IMY konstaterade inledningsvis att videoinspelning med kroppsburna kameror får användas för det första ändamålet eftersom det finns ett berättigat intresse – att skydda kontrollanter från hot. IMY ansåg däremot att videoklippens längd måste begränsas till maximalt 15 sekunder för att garantera att principerna om laglighet och uppgiftsminimering i artikel 5.1 a respektive c efterlevs.

Vidare uttryckte IMY att videoinspelning inte kan användas för att säkerställa resenärers identitet vid utfärdandet av en tilläggsavgift eftersom en sådan behandling av personuppgifter inte är nödvändig. Samma ändamål kan och bör därför uppfyllas genom mindre integritetskränkande åtgärder, exempelvis med hjälp av stillbilder.

Brister i information till de registrerade
De registrerade har rätt att bli meddelade om att en behandling av deras personuppgifter sker och ska informeras om syftet med behandling. IMY ställde sig kritisk till att endast resenären som ålagdes en tilläggsutgift fick information om personuppgiftsbehandlingen. De övriga passagerare som råkade befinna sig i närheten fick alltså ingen information på plats.

Övriga resenärer kunde läsa om personuppgiftsbehandlingen på SLs hemsida, men sådan information ansågs inte tillräcklig i ljuset av artikel 13 dataskyddsförordningen. Dessutom fanns det endast information om behandling av stilla och rörliga bilder samtidigt som information om ljudupptagning utelämnades. IMY anmärkte att detta var allvarligt eftersom ljudupptagning anses vara särskilt integritetskänsligt.

Läs mer här

IMY har fattat beslut om den s.k. 1177-läckan

Händelsen handlade i grunden om att en NAS-server (fillagringsserver) var felkonfigurerad som ledde till att obehöriga kunde få tillgång till inspelade telefonsamtal (enligt IMY 650 000 till 900 000 samtal) på servern. Kedjan av aktörer i personuppgiftsbehandlingen var lång, där det började i regioners sjukvårdsansvar, där Inera AB (Inera) förmedlade samtalen till leverantör åt regionerna. Regionerna Sörmland, Värmland och Stockholm anlitade vårdgivaren MedHelp AB (MedHelp) för att hantera samtal med patienter kopplat till tjänsten 1177.se. MedHelp i sin tur anlitade personuppgiftsbiträden för att stödja dem i deras hantering.


Otydlighet i fördelning av ansvar kopplat till personuppgifterna
Kopplat till händelsen inkom flertalet anmälningar av personuppgiftsincidenter, bl.a. från företagen Voice Integrate Nordic AB (Voice), MedHelp och MediCall Co Ltd (MediCall). IMY inledde tillsyn mot sex aktörer som kunde kopplas till incidenten; Voice, MedHelp, Inera, samt regionerna Stockholm, Värmland och Sörmland.


IMY fann flera brister i de olika aktörernas hantering.
• Mängden incidentrapporter ledde IMY till att tro att det fanns oklarheter kopplat till personuppgiftsansvaret.
• Det fanns flera brister i informationssäkerhetshanteringen hos flera aktörer.
• Det fanns flera brister i informationen till registrerade hos flera aktörer.


Flera aktörer fick sanktioner
Regionerna Sörmland och Värmland informerade inte om personuppgiftshanteringen kopplat till telefonihanteringen, vilket ledde till att de fick sanktionsavgifter på 250 000 kr vardera.
Region Stockholm informerade inte heller om personuppgiftshanteringen kopplat till telefonihanteringen och samlade utöver regionerna Sörmland och Värmland in uppgifter från vårdgivaren, MedHelp, som de pseudonymiserade för att utveckla deras sjukvårdsrådgivning. För detta fick de en sanktion på 500 000 kr.
Inera agerade personuppgiftsbiträde till regionerna genom att koppla samtal till MedHelp, men hade inte någon koppling till inspelningen av telefonsamtalen. Det ledde till att de inte fick någon sanktionsavgift utan ärendet mot dem avskrevs.
MedHelp var personuppgiftsansvarig som vårdgivare kopplat till telefonsamtalen. De ansågs av IMY ha brutit mot bl.a. dataskyddsförordningen, patientdatalagen och socialstyrelsens föreskrifter. De fick 12 miljoner kr i sanktionsavgift för detta.
Voice hanterade NAS-servern för MedHelp:s räkning. Där ansvarade Voice för bl.a. säkerheten. Voice fick en sanktionsavgift på 650 000 kr eftersom de inte vidtagit tillräckliga säkerhetsåtgärder.

Läs mer om detta här

Logga in

Ej medlem? Registrera dig

Återställ lösenord

Bli medlem

    Forum för Dataskydd bidrar till ett tryggt informationssamhälle och värnar om integritetsskydd idag och i morgon. Vi förstärker, förenklar och ökar medvetenheten kring integritetsskydd i Europa genom att skapa ett tongivande forum för samverkan och informationsspridning. Stärk ditt dataskyddsarbete med kompetens från drygt 800 medlemmar på våra seminarier och nätverksträffar. Medlemmar går gratis på våra seminarier och nätverksträffar samt till rabatterat pris på Nordic Privacy Arena.

    Studentmedlemskap upphör automatiskt efter ett år, därefter behövs ny ansökan. Ange också ert mecenatkortnr i meddelandefältet.


    Det är viktigt att meddela oss om du byter arbetsplats, faktureringsadress, telefonnummer, mailadress eller annan viktig information. När du byter arbetsplats eller annan ovannämnd information mailar du oss och meddelar detta på info@dpforum.se så att vi kan säkerställa kontinuitet i ditt medlemskap.


    Ordinarie medlemskap: 1645 kr per år.
    Student: Gratis första året, sedan 200 kr per år (är du anställd på ett företag gäller ordinarie pris).















    Genom att fylla i formuläret, godkänner jag att Forum för Dataskydd lagrar mina personuppgifter i sin databas som kommer användas för att förse mig med relevant information om Forum för Dataskydds tjänster och erbjudanden.

    This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.
    Go to cart