NPA 2021: Hur patienternas tillit till vården säkras och hur vården kan använda ny teknik

Detta är den tredje och sista artikeln som sammanfattar utvalda diskussioner från Nordic Privacy Arena 2021. Dagens artikel handlar om en paneldiskussion under dag 2 om dataskydd och informationssäkerhet inom hälso- och sjukvården.

Dataskydd och informationssäkerhet i hälso- och sjukvårdssektorn – en panel om den senaste tidens utveckling med representanter från alla sidor

Rose-Mharie Åhlfeldt, styrelseledamot i Forum för Dataskydd och docent vid Högskolan i Skövde, modererade en diskussion med fem panellister om informationssäkerhet i hälso- och sjukvården. Hon inledde med att säga att cyberkriminella och utländska statliga aktörer är intresserade av uppgifter från hälso- och sjukvården, och att sjukvården själv vill införa mer avancerad teknik, vilket kan öka riskerna. Det finns också färska exempel på personuppgiftsincidenter som 1177 och Vaastamo. Hon sade att dataskydd och informationssäkerhet måste harmoniera bättre. Därefter frågade Åhlfeldt, panelen hur vi kan åstadkomma en hållbar digitalisering inom hälso- och sjukvården.

Niclas Skyttberg, chefsläkare på Aleris, sa att hälso- och sjukvårdssektorn har en viktig hemläxa att göra, den måste fortsätta att arbeta hårt med cybersäkerhet och dataskydd. Den senaste tidens skandaler ger konkreta och påtagliga effekter som visar varför detta behövs. En av de största utmaningarna är hur hälso- och sjukvårdssektorn kan behålla patienternas förtroende. Visionen “en patient – en journal” är mycket viktig, men om vi vill uppnå den och centraliserar journalerna måste vi skapa större öppenhet för patienten. Det måste vara tydligt för patienten vem som behandlar och har tillgång till vilka uppgifter, vid vilken tidpunkt och för vad.

Dr. Anu Talus, dataskyddsombudsman i Finland, sa att hälso- och sjukvårdssektorn redan har en heltäckande rättslig ram men att den behöver anpassas bättre till GDPR. Dr. Talus tycker inte att vi behöver en ny lagstiftning: GDPR ger oss de verktyg vi behöver för framtiden, t.ex. konsekvensbedömningar av dataskydd och inbyggd integritet, vi måste bara bli bättre på att använda dessa redan när vi planerar nya projekt, för att möta de utmaningar som följer med ny teknik.

Pål Resare, förbundsjurist på Sveriges Kommuner och Regioner, höll med Dr. Talus om att hälso- och sjukvårdssektorn måste börja använda de verktyg den redan har och samarbeta för att skapa uppförandekoder. De måste också börja inkludera IT-specialister, upphandlingsansvariga och jurister redan från början så att IT-projekt som förberetts i flera år inte stoppas för att de inte är juridiskt genomförbara.


Tobias Bräutigam, senior jurist på Bird & Bird, sade att vi måste utbilda allmänheten och visa att integritet är en generell verksamhetsövergripande fråga, inte ett specialområde. Ett bra exempel på hur man kan utbilda massorna är Helsingfors universitets kurs “Elements of AI” som är gratis för alla. Han sa också att vi behöver en kontrollpanel där patienten kan välja vilka uppgifter som delas med vilken vårdgivare.


Carolina Wallenius, VD på Cerner Sverige, sa att vi bör digitalisera mer eftersom framtiden redan är här. Målet bör vara att hålla befolkningen frisk så färre patienter behöver sjukhusvård. Det finns otrolig teknik där ute, men den kan inte användas pga. juridiska hinder, vi måste bara komma på hur vi får och kan använda den. Vi behöver lagar och ledarskap så att vi kan använda tekniken för att lösa utmaningarna. Politikerna måste lyssna på leverantörerna, de har tänkt mycket på och investerat mycket i hur man kan använda den senaste tekniken för att skydda personuppgifter.

Följ med oss nästa år


I år har det förts många intressanta diskussioner om dataskydd. Nordic Privacy Arena samlar experter på integritet från hela Norden med talare från hela världen för att diskutera den senaste utvecklingen inom detta dynamiska kunskapsfält. Här kan integritetsexperter och företag nätverka för att hålla sig uppdaterade och fördjupa sin kunskap om hur vi hantera gemensamma utmaningar. AI, säkerhet, internationella överföringar och förtroende var några av de ämnen som diskuterades i år. Forum för Dataskydd vill tacka alla som deltog i år och hoppas att vi ses på Nordic Privacy Arena nästa år också!

NPA 2021: Cyber-soldater och Brexit

Detta är artikel 2 av 3 där vi sammanfattar några av diskussionerna på Nordic Privacy Arena (NPA) 2021. Dagens artikel handlar om en paneldiskussion om cybersäkerhet och cybersoldater samt en presentation om föreslagna dataskyddsreformer i Storbritannien.

Hackad? Fokus på cyberrisker och integritetskränkningar – behöver varje organisation ha sin egen cybersoldat eller hur kan vi förbereda oss?

Maria Holmström Mellberg, styrelseledamot i Forum för Dataskydd samt integritets- och informationssäkerhetsansvarig för norden på företaget Accenture ledde en paneldiskussion med fyra “hackare”. Alla paneldeltagare var överens- inget IT-system är 100 % säkert. Flera lyfte att organisationer måste anta en modell för nolltillit (zero trust).


David Jacoby, biträdande direktör för det globala forsknings- och analysteamet på antivirusföretaget Kaspersky som också medverkar i en kommande SVT-serie, talade om att IT-säkerhet idag är ett socialt problem mer än ett tekniskt problem. Enligt honom finns många avancerade tekniska skydd men organisationen och den mänskliga faktorn är ofta den svaga länken.


Fredrik Blix, universitetslektor i cybersäkerhet vid Stockholms universitet, sa att konsekvensbedömningar, leverantörsavtal och lagar bara är löften och idéer på papper. Man måste omvandla dem till verkliga åtgärder och följa upp dem för att skydda data samt individens grundläggande fri- och rättigheter.


André Catry, senior rådgivare inom informationssäkerhet och cyberrisk berättade att cyberbrottslighet idag är riskfritt och dessutom genererar mer intäkter än narkotikabrottslighet. Oavsett vad organisationer gör eller hur de utbildar personalen kommer någon i organisationen alltid klicka på en skadlig länk förr eller senare. Vi måste enligt honom acceptera att organisationer alltid kommer att vara sårbara för cyberattacker, att krig kommer utkämpas över internet och tänka att regeringen bör ge mer stöd på detta område. I dag krävs det att varje organisation är sin egen cybersoldat, vilket enligt Catry är ineffektivt.


Krister Hedfors, chef för teknisk säkerhet på Sentor, Accenture, befarar att det verkliga problemet är alla dolda vägar in till organisationers IT-system som väntar på att utnyttjas av en hacker med onda avsikter.

Brexit – Storbritanniens ambitioner i samband med utträdet och adekvat skyddsnivå


I somras beslutade EU-kommissionen att Storbritannien har en adekvat dataskyddsnivå. Forum för Dataskydd skrev en nyhetsartikel om det här, men vi ville fördjupa oss ännu mer. Därför bjöd vi under dag två av NPA in John Bowman som moderator för ett samtal mellan honom och Eleonor Duhs.


Först ut var John Bowman, Senior Principal på Promontory Financial Group London och tidigare brittisk förhandlare för GDPR, som förklarade sammanhanget: Storbritannien överväger väsentliga dataskyddsreformer för att knyta partnerskap med länder som inte anses erbjuda en adekvat skyddsnivå enligt EU, till exempel USA, Brasilien och Australien. I praktiken kan detta bli ett sätt att kringgå EU:s process för att tilldela länder en adekvat skyddsnivå som idag upplevs som byråkratisk.


Därefter föreläste Eleonor Duhs, direktör för teknik, outsourcing och dataskydd på Field Fisher och tidigare ansvarig jurist för den brittiska regeringens huvudbestämmelser i Brexitlagen 2018. Hon förklarade att Storbritannien före Brexit införlivade EU:s GDPR i nationell rätt, men att landet nu vill reformera sitt system för att bli mer flexibelt och ekonomiskt konkurrenskraftigt.


Storbritanniens regering överväger enligt Eleonor Duhs att skapa en förteckning över vissa databehandlingar som kan utföras med intresseavvägning som rättslig grund utan att en intresseavvägning behöver utföras, att det inte ska vara möjligt att rättsligt ifrågasätta automatiserade beslut, att det ska vara lättare att utfärda beslut om adekvat skyddsnivå och generösare undantagsregler för internationella överföringar. Den brittiska dataskyddsmyndigheten, Information Commissioner’s Office (ICO) föreslås också få ett ändrat uppdrag, myndigheten ska väga in de ekonomiska konsekvenserna av sitt agerande när den utövar sitt tillsynsuppdrag.


En deltagare frågade om de föreslagna reformerna kan leda till att Storbritannien förlorar sin status som adekvat land. John Bowman sa att det skulle påverka handeln och leda till en stor debatt i EU om det hände. Han menade att många länder som har status som adekvat land till skillnad mot Storbritannien saknar en lag som liknar EU:s GDPR, och i så fall skulle även deras status kunna ifrågasättas.

NPA 2021: Europeiska datatillsynsmannen vill förbjuda viss AI medan dataskyddsmyndigheter kämpar med klagomål

Nordic Privacy Arena (NPA) är en årlig konferens för personer som arbetar med dataskydd. Den 6:e upplagan av NPA hölls som ett halvdigitalt event den 27–28 september 2021. Konferensen innehöll inte mindre än 30 programpunkter om dataskydd och hade över 95 stycken digitala deltagare och drygt 220 stycken på plats på Münchenbryggeriet i Stockholm. Detta är den första av tre artiklar som belyser några av de föreläsningar och diskussioner som ägde rum.

Artificiell intelligens ur Europeiska datatillsynsmannens synvinkel

Leonardo Cervera Navas, direktör vid Europeiska datatillsynsmannen, European Data Protection Supervisor (EDPS), var en av två huvudtalare som inledde dag 1. Han förklarade att EDPS har en dubbel roll: den övervakar EU:s institutioner och ger råd till EU om förslag till lagstiftning.

Under sin presentation som han gav via videolänk från flygplatsen i Malaga, fokuserade Cervera Navas främst på den föreslagna AI-förordningen för EU. Han redogjorde för ett gemensamt yttrande från EDPS och Europeiska Dataskyddstyrelsen som Forum för Dataskydd i somras rapporterade om här. Enligt Cervera Navas välkomnar EDPS i högsta grad denna förordning och anser att européerna bör omfamna AI-teknik i stället för att gömma sig för den. Å andra sidan varnade han också för de stora risker som är förknippade med vissa aspekter av AI-teknik.

Leonardo Cervera Navas förklarade att EDPS är mycket orolig för att offentliga myndigheter i grunden kommer att förändra sitt förhållande till medborgarna om de börjar använda igenkänning baserad på biometri och beteende på offentliga platser. Han varnade för att detta kan skapa ett Orwellianskt samhälle och att det inte kommer att vara möjligt att rulla tillbaka användningen av sådan teknik. Han uppmanade dataskyddsexperter att vara mycket aktiva och göra politikerna medvetna om dessa risker.

Leonardo Cervera Navas delade också med sig av att EDPS rekommenderar att man till en början förbjuder riskfyllda AI-lösningar och sedan gradvis lättar på dessa restriktioner. Dessutom anser EDPS att det är nödvändigt med ett proaktivt förhållningssätt till ny teknik. Han meddelade att TechSonar är ett projekt som EDPS nu lanserar för att förutse trender inom ny teknik och inleda en debatt som möjliggör en hållbar digital framtid.

Trendspaning genom dataskyddsmyndigheternas ögon

I en paneldiskussion med företrädare för flera dataskyddsmyndigheter var klagomål och resurser ett av ämnena som hamnade i fokus.

Dr. Andrea Jelinek, direktör (myndighetschef) för den österrikiska dataskyddsmyndigheten och ordförande i Europeiska Dataskyddsstyrelsen, European Data Protection Board (EDPB) var först ut. Hon nämnde att det kan vara svårt för dataskyddsmyndigheter att bemanna adekvat eftersom de inte i förväg vet om och till vilken dataskyddsmyndighet en organisation som Noyb kommer att lämna in en stor bunt med klagomål.

Paneldeltagarna var överens om att resurser och oförutsägbara ärendetillströmningar utgjorde en stor och gemensam utmaning för deras dataskyddsmyndigheter. Bjørn Erik Thon, generaldirektör vid norska dataskyddsmyndigheten, Datatilsynet, förklarade att en oacceptabel situation håller på att uppstå. Efter Schrems II-beslutet måste hans dataskyddsmyndighet utreda alla klagomål som rör tredjelandsöverföringar.  Denna påtvingade omfördelning av resurser hindrar Datatilsynet från att ta itu med mer brådskande ärenden, t.ex. att utreda allvarliga anmälningar om personuppgiftsincidenter. Thon varnade för att om detta problem inte åtgärdas kommer hans myndighet tvingas vidta drastiska åtgärder.

Dr. Andrea Jelinek fick en fråga om varför dataskyddsmyndigheterna fokuserar så mycket på tillsyn. Hon svarade att EDPB också arbetar med att ta fram mycket vägledning, men att det tar tid eftersom alla dataskyddsmyndigheter måste komma överens. Hon tillade att personuppgiftsansvariga måste komma ihåg att dataskyddsmyndigheterna inte är deras advokater och att det är de själva som är skyldiga att visa att de följer reglerna.

Slutligen uttryckte Dr. Jelinek förhoppningar om att medlemsstaternas regeringar kommer inse sitt delade ansvar. Genom EU:s lagstiftningsförfarande har de varit medlagstiftare till GDPR. Hon hoppades att de kommer se till att deras dataskyddsmyndigheter har tillräckliga resurser så dataskyddsförordningen fungerar som tänkt.

Challenges of User-centric Privacy Enhancing Technologies

Who: Prof. Simone Fischer-Hübner


When:
4:30pm-5pm on Friday, Sept 17. Other honorary doctors will speak before and after Simone – feel free to attend the whole event 4pm-6pm!

Where: Chalmersska huset (limited seats, register via events@chalmers.se to attend in person)

Where: Online

Title: Challenges of User-centric Privacy Enhancing Technologies

Abstract: The GDPR promotes the principle of Privacy by Design and Default, acknowledging that the individual’s privacy is best protected if privacy law is complemented by privacy enhancing technologies (PETs). While technically advanced PETs have been researched and developed in the last four decades, challenges remain for making PETs and their configurations usable. In particular, PETs are often based on “crypto-magic” operations that are counterintuitive and for which no real-world analogies can be easily found.

This presentation presents human computer interaction challenges, end user perceptions and requirements for the design and configurations of PETs in compliance with the GDPR that we explored in recent European research projects. The presentation discusses cultural privacy aspects impacting the users’ preferences and trust in PETs, and it shows that users with technical knowledge may especially encounter challenges in understanding and trusting the protection claims of PETs. It concludes that for this reason, PET user interfaces should not only have to build on real-world analogies but also need to cater for digital world analogies that may impact the users’ understanding of PETs.

Välkommen till intressemöte hos SIS

Utveckla dina kunskaper om hur ramverket NIST-CSF kan utnyttjas.

Intressemötet sker den 14 september, 2021!

Läs gärna mer här angående utbildningen/webbiniarumet här

Nederländsk vägledning om smarta städer

Den nederländska dataskyddsmyndigheten, Autoriteit Persoonsgegevens (AP), publicerade nyligen en forskningsrapport om smarta städer som även innehåller rekommendationer till landets kommuner.

Ny teknik används allt mer för att ha uppsikt över det offentliga rummet: Tänk på WiFi och Bluetooth-spårning, kameror (kan även vara kroppsburna eller mobila) samt sensorer som samlar in data om trafik eller buller. Kommuner använder alltmer denna teknik för att bättre kunna optimera, påverka och hantera det offentliga rummet. Enligt rapporten utgör detta en risk för medborgarnas integritet och andra grundläggande rättigheter.

AP noterar att nederländska kommuner inte alltid iakttar kraven i dataskyddslagstiftningen   tillräckligt. Undermåligt utvecklade smarta lösningar kan enligt AP komma på bekostnad av individuella friheter.

Fortsättningsvis anser AP att den nederländska smarta staden nått en vändpunkt. Den är för närvarande ett lapptäcke av små projekt som måste växa till en sammanhållen vision om användningen av teknik och data i det offentliga rummet.

Ansvarsfullt införande av ny teknik

AP uppmanar nederländska kommuner att utveckla smarta städer ansvarsfullt. För att förhindra att Nederländerna blir ett övervakningssamhälle vill AP att kommuner ska närma sig frågan med mer eftertanke och med medborgarna i fokus.

AP anser att ny teknik kan göra staden säkrare och mer beboelig. Samtidigt varnar rapporten för farorna med “dataism”, tron ​​på att alla problem kan lösas med data. AP vill att kommuner blir bättre på att involvera medborgarna i beslutsfattandet och att de stärker den demokratiska kontrollen.

Rekommendationer

AP vill att nederländska kommuner följer dessa riktlinjer:

Följ grunderna i GDPR på rätt sätt – Finns det en rättslig grund och är det ens nödvändigt att behandla personuppgifter för att uppnå syftet? Om svaret är nej kan kommunen inte införa den tänkta lösningen.

Använd konsekvensbedömningen som ett verktyg – Det är ofta obligatoriskt för kommuner att genomföra en konsekvensbedömning. Kommuner bör överväga att publicera sina konsekvensbedömningar för att visa medborgarna hur kommunen har skyddat deras integritet.

Ta ett helhetsgrepp över den smarta staden – Varje kommun bör utveckla en heltäckande policy / ramverk för den smarta staden, snarare än att göra det per applikation. Policyn bör omfatta både dataskydd och etik. Policyn behöver också översättas till praktiska riktlinjer för genomförandet.

Kommunfullmäktige som motkraft – Fullmäktigeledamöter måste utrustas med tillräcklig kunskap och information för att kunna utöva demokratisk kontroll. Ledamöter bör ha tillgång till experter, såsom kommunens egna dataskyddsombud så de kan ställa rätt frågor och få insikt i riskerna för medborgarna.

Ha tillräcklig bemanning och resurser – Se till att kommunens dataskyddsorganisation kan fungera bra och korrekt kan utföra sitt arbete.

Upphandla kritiskt – När kommunen köper produkter och tjänster, kontrollera kritiskt om de överensstämmer med GDPR. En leverantör kan hävda det, men stämmer det även in på kommunens tänkta användningsområde?

Konsultera medborgarna – Att involvera medborgarna är nyckeln till framgång. De känner sin egen livsmiljö bäst och kan bidra med att identifiera riskerna.

Kartlägg privata sensorer – Undersök hur kommunen kan få kännedom om var privata aktörer placerat sensorer på offentliga platser och dela informationen med medborgarna.

Slutligen är det värt att nämna att AP vill främja en oberoende diskussion och reflektion. AP har låtit en panel av oberoende experter reflektera över rapporten. Deras kommentarer har tagits med i rapporten, utan att redigeras av AP.

Läs mer: Pressmeddelande (Nederländska)

Under sitt senaste möte i plenum fattade Europeiska dataskyddsstyrelsen, EDPB, ett bindande beslut om tvistelösning med stöd av art. 65 GDPR i fallet mot WhatsApp Irland.

Det var den irländska tillsynsmyndigheten, Data Protection Commission (”DPC”), som inledde ett tillsynsärende mot WhatsApp. Syftet med tillsynen var att pröva huruvida WhatsApp uppfyllde de insynskrav som uppställs i art. 12, 13, och 14 GDPR. DPC tog sedan fram ett utkast till beslut. Den 24 december 2020, med stöd av art. 60.3 GDPR, delades sedan detta beslut med andra berörda tillsynsmyndigheter.

Andra berörda tillsynsmyndigheter gjorde dock invändningar mot utkastet enligt art. 60.4 GDPR. Invändningarna handlade bland annat om de identifierade överträdelserna av GDPR och kan delas upp i följande punkter:

  • om uppgifter i fråga ska klassificeras som personuppgifter och vilka konsekvenser det innebär
  • om de planerade åtgärderna mot WhatsApp Irland är lämpliga

DPC kunde inte komma fram till någon konsensus efter att ha tagit del av de andra tillsynsmyndigheternas invändningar och indikerade för EDPB att den därmed skulle bortse från dessa. Därför hänvisade DPC till att avgörandet skulle ske med hjälp av art. 65.1.a GDPR, genom ett tvistlösningsförfarande.

Den 28 juli 2021 fattade EDPB ett bindande beslut i ärendet. Beslutet tar hänsyn till de invändningar som befunnits vara ”relevanta och motiverade” mot bakgrund av kraven i art. 4.24 GDPR och innebär att DPC, vid fastställandet av sitt slutliga beslut i tillsynsärendet, måste ta hänsyn till de andra tillsynsmyndigheternas invändningar.

EDPB kommer att formellt meddela andra berörda tillsynsmyndigheter om sitt beslut angående invändningarna.

Enligt EDPB ska DPC fatta beslut i ärendet WhatsApp utan onödigt dröjsmål och senast en månad efter EDPB:s uttalande. Efter att DPC har fattat ett slutgiltigt nationellt beslut och meddelat de berörda personuppgiftsansvariga kommer EDPB att utan onödigt dröjsmål publicera beslutet på sin hemsida.

EDPS pressutskick kan läsas här

Den nederländska dataskyddsmyndigheten (DPA) har nu avslutat en granskning av TikTok som har resulterat i en administrativ sanktionsavgift på 750 000 euro

Förra året inledde DPA en omfattande granskning av TikTok, en populär applikation som idag används av många nederländska barn, efter oro om hur barnens personuppgifter hanteras. Granskningen är nu avslutad och har resulterat i att TikTok åläggs med 750 000 euro i administrativa sanktionsavgifter eftersom de inte har gjort tillräckligt för att skydda barnens integritet.

I samband med nedladdning av TikTok ombads användare att godkänna en integritetspolicy på engelska. Eftersom informationen inte fanns på nederländska har TikTok misslyckats med att informera dess yngre användare om hur applikationen samlar, lagrar och använder personuppgifter. Detta bryter mot dataskyddslagstiftningen som bygger på öppenhetsprincipen och att de registrerade alltid ska ha en klar uppfattning om hantering av deras personuppgifter.

Möjligheter till granskning varierar beroende på var företaget har sitt huvudkontor
Om ett företag har sitt huvudkontor utanför Europa kan alla EU:s medlemsländer delta i en tillsyn av dess verksamhet. När det gäller företag som har sina huvudkontor i Europa är det främst landet där huvudkontoret ligger som bär ansvaret för en eventuell granskning.

Tidigare hade TikTok sitt huvudkontor utanför Europa och Nederländerna kunde därför granska TikToks verksamhet. Enligt DPAs vice ordförande Monique Verdier har TikTok nu etablerat sin verksamhet i Irland och Nederländerna har därmed delat med sig av granskningens resultat. Monique Verdier påpekade att det nu är upp till Irlands tillsynsmyndighet att avsluta granskningen och undersöka om det finns andra brister i TikToks hantering av barnens personuppgifter. Det blir även Irlands ansvar att meddela ett slutgiltigt beslut.

Föräldrar och deras roll
Föräldrar har nu mer kontroll över sina barns konton och kan hantera barnens sekretessinställningar genom sitt konto med hjälp av familjedelningsfunktionen. Monique Verdier tyckte att funktionen var bra, men rekommenderade även föräldrar att visa intresse i de videor deras barn skapar och prata med sina barn om hur de interagerar med andra användare på TikTok.

TikTok har överklagat beslutet.

Nyhetsartikeln finns att läsa på EDPB här

Pressmeddelandet på nederländska finns att läsa här

Grönt ljus att överföra personuppgifter till Storbritannien

Den 28 juni 2021 meddelade Europeiska kommissionen att den beslutat att Storbritannien erbjuder en adekvat skyddsnivå.

Kommissionen har tagit ett beslut om adekvat skyddsnivå enligt GDPR och ett annat beslut om adekvat skyddsnivå enligt brottsbekämpningsdirektivet.

Exportkontroll på personuppgifter

Kommissionen har befogenhet att på förhand godkänna tredjeland så uppgifter får överföras dit, genom att fatta beslut om adekvat skyddsnivå. Tredjeland måste respektera rättsstatsprincipen och tillhandahålla en nivå av dataskydd som väsentligen motsvarar EU-standard. I det här fallet konstaterar kommissionen att Storbritannien efter Brexit helt och hållet implementerat reglerna i GDPR och brottsbekämpningsdirektivet i sitt rättssystem.

När det finns ett beslut om adekvat skyddsnivå, behöver personuppgiftsansvariga och personuppgiftsbiträden som vill exportera personuppgifter med stöd av beslutet, inte själva analysera lagarna i tredjeland. Deras uppgift blir istället att ta del av beslutet för att se om beslutet är förenat med villkor. Om man bryter mot villkoren blir exporten av personuppgifter olaglig. I det här fallet är det bara ett av besluten som har ett villkor. Personuppgifter får inte överföras till Storbritannien med stöd av beslutet om adekvat skyddsnivå enligt GDPR, om de ska användas på den brittiska sidan för migrationskontroll.

Det här är de första adekvansbesluten som automatiskt upphör att gälla efter en förutbestämd tid. Besluten upphör den 27 juni 2025, det vill säga om fyra år. Kommissionen ska fortsätta övervaka utvecklingen i Storbritannien under dessa 4 år och vidta åtgärder om skyddsnivån i landet minskar. Om kommissionen vill förlänga besluten behöver beslutsförfarandet inledas från början.

Skyddet i Storbritannien och CLOUD Act-avtal

Det är också värt att uppmärksamma att kommissionen i pressmeddelandet anser att rättssystemet i Storbritannien har implementerat starka skyddsåtgärder. Kommissionen upplyser att de brittiska underrättelsetjänsterna måste ha förhandsgodkännande från ett oberoende juridiskt organ för att få inhämta underrättelseuppgifter. Vidare påpekar kommissionen att individer som tror att en brittisk underrättelsetjänst olagligt har spionerat på dem kan starta en rättsprocess i en oberoende brittisk domstol. Slutligen noterar kommissionen i ett av besluten att Storbritannien har undertecknat ett CLOUD Act-avtal med USA som väntar på att träda i kraft. Kommissionen bedömer att det i framtiden kan förekomma att personuppgifter som överförts från EU till Storbritannien baserat på beslutet om adekvat skyddsnivå, i ett senare skede lämnas ut till USA. Kommissionen anser dock att detta inte utgör någon större fara, bland annat för att den anser att Cloud Act-avtalet mellan Storbritannien och USA ger ett likvärdigt dataskydd som motsvarar kraven i det så kallade ”paraplyavtalet” mellan EU och USA.

För mer information, se skäl 153-156, på sidorna 45-47 i adekvansbeslutet enligt GDPR.


Den norska tillsynsmyndigheten Datatillsynet har konstaterat att Olso Universitetssjukhus måste ingå nya avtal när sjukhuset tar hjälp av utländska laboratorier

Datatillsynet har efter en tillsyn av Olso Universitetssjukhuset konstaterat att sjukhuset inte kan säkerställa att de har kontroll över patientdata när laboratorietjänster efterfrågas från andra länder.

Tillsynsmyndigheten konstaterar att det är viktigt att kunna ta hjälp av utländska laboratorier när sjukhuset i fråga eller andra norska laboratorier saknar expertis för att förse patienterna med sådan vård som de behöver. Sjukhuset skickar ut blodprov, annat biologiskt material och patientdata till andra länder, både inom och utanför EES. Detta påverkar cirka 8000 patienter per år.

Avtal som kan tillgodose rätt behandling av personuppgifter saknas

Att det kan finnas ett behov av att ta hjälp från utländska laboratorier befriar inte sjukhuset från dess ansvar att säkerställa en säker och lämplig behandling av biologiska prover och patientdata.

Datatillsynet fastställde att sjukhuset har misslyckats med att upprätta lämpliga avtal för att säkerställa en korrekt behandling av sjukhusets förpliktelser och skydd av patientdata. Detta bland annat eftersom sjukhuset har misslyckats med att ingå avtal om behandling av data med laboratorierna.

Sjukhuset kommer att ta tag i problemen

Sjukhuset skriver i sitt sista svar på Datatillsynets preliminära kontrollrapport att de vill ta tag i problemen som sjukhuset avslöjar. Sjukhuset kommer att delegera ansvaret för användning av utländska laboratorier till en särskild sjukhusenhet och kommer att ingå avtal med laboratorierna som säkerställer att patientdata och det biologiska materialet behandlas i enlighet med tillämplig lagstiftning. Direktören för Datatillsynet, Bjørn Erik Thon, menar att detta sänder positiva signaler från sjukhuset i fråga. En klar ansvarsfördelning och tydliga avtal är viktiga för skydd av personuppgifter och informationssäkerhet.

Det ursprungliga pressmeddelandet på norska finns att läsa här

Europeiska dataskyddsstyrelsen (EDPB) har rapporterat om pressmeddelandet på engelska här

Logga in

Ej medlem? Registrera dig

Återställ lösenord

Bli medlem

    Forum för Dataskydd bidrar till ett tryggt informationssamhälle och värnar om integritetsskydd idag och i morgon. Vi förstärker, förenklar och ökar medvetenheten kring integritetsskydd i Europa genom att skapa ett tongivande forum för samverkan och informationsspridning. Stärk ditt dataskyddsarbete med kompetens från drygt 800 medlemmar på våra seminarier och nätverksträffar. Medlemmar går gratis på våra seminarier och nätverksträffar samt till rabatterat pris på Nordic Privacy Arena.

    Studentmedlemskap upphör automatiskt efter ett år, därefter behövs ny ansökan. Ange också ert mecenatkortnr i meddelandefältet.


    Det är viktigt att meddela oss om du byter arbetsplats, faktureringsadress, telefonnummer, mailadress eller annan viktig information. När du byter arbetsplats eller annan ovannämnd information mailar du oss och meddelar detta på info@dpforum.se så att vi kan säkerställa kontinuitet i ditt medlemskap.


    Ordinarie medlemskap: 1645 kr per år.
    Student: Gratis första året, sedan 200 kr per år (är du anställd på ett företag gäller ordinarie pris).















    Genom att fylla i formuläret, godkänner jag att Forum för Dataskydd lagrar mina personuppgifter i sin databas som kommer användas för att förse mig med relevant information om Forum för Dataskydds tjänster och erbjudanden.

    This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.
    Go to cart