Finland utser biträdande dataombudsmän

Den 1 maj tillträder Anu Talus och Jari Råman som biträdande dataombudsmän i Finland. Anu Talus kommer närmast från en tjänst vid justitieministeriet och ska bl a leda de ärenden som omfattas av dataskyddsförordningen. Jari Råman, som arbetat med dataskyddsfrågor vid finska polisen under många år, ska bl a arbeta med ärenden som omfattas av dataskyedsdirektivet och utöver detta med verksamhetsutveckling och samordning av tillsynspolitiken.

Medlemsrabatter på litteratur från Hart Publishing

I veckan släpps The Right to be Forgotten, en ny bok om GDPR, rätten att bli glömd, Google Spain-målet samt Storbritanniens Data Protection Act och Brexit. Boken är skriven av Paul Lambert, författare till bl a The Data Protection Officer: Profession, Rules and Role.

Vi kan i samarbete med Hart Publishing erbjuda Forum för dataskydds medlemmar 20 procents rabatt på boken och på sju andra titlar, däribland Brendan McGurks nysläppta bok om profilering och försäkringsrätt. Missa inte heller Legal Tech – A Practicioner’s Guide, som innehåller ett kapitel skrivet av Forum för dataskydds Fredrik Svärd.

Rabattkoden hittar du under medlemssidorna och i vårt nyhetsbrev. Läs mer om titlarna här:

The Right to be Forgotten, Paul Lambert
Data Profiling and Insurance Law, Brendan McGurk
Collisions in the Digital Paradigm – Law and Rule Making in the Internet Age, David John Harvey
Protecting Personal Information – The Right to Privacy Reconsidered, Andrea Monti & Raymond Wacks
Data Protection and Privacy – The Internet of Bodies, Ronald Leenes, Rosamunde van Brakel, Serge Gutwirth & Paul De Hert
Liability for Artificial Intelligence and the Internet of Things, Sebastian Lohsse, Reiner Schulze, Dirk Staudenmayer
Surveillance, Privacy and Trans-Atlantic Relations, David Cole, Federico Fabbrini & Stephen Schulhofer
Legal Tech – A Practicioner’s Guide, Markus Hartung, Micha-Manuel Bues & Gernot Halbleib

EU stärker skyddet för visselblåsare

För drygt två år sedan stärktes skyddet för visselblåsare i Sverige. Reglerna innefattar bl a en rätt att utan repressalier slå larm om allvarliga missförhållanden externt om det inte gett resultat att göra det internt. Ett tiotal EU-länder har liknande regelverk.

Europaparlamentet har nu antagit ett minimidirektiv till skydd för den som rapporterar om brott mot bl a konsument- och dataskyddsregler. Visselblåsare uppmanas att i första hand använda sig av interna kanaler. Vidtas inte åtgärder ska visselblåsaren enligt förslaget kunna slå larm externt, exempelvis till media. Reglerna omfattar utöver arbetstagare exempelvis aktieägare, styrelseledamöter och volontärer, samt personer som hjälper visselblåsare att slå larm.

Lagstiftningen ska nu godkännas av ministerrådet, därefter har medlemsländerna två år på sig att införa direktivet.

Ny vägledning om förhållandet personuppgiftsansvarig – personuppgiftsbiträde

För snart ett år sedan arrangerade Forum för dataskydd ett seminarium om vem som är personuppgiftsansvarig respektive personuppgiftsbiträde. Medlemmar kan ta del av inspelningen under medlemssidorna.

Svenska Datainspektionen har sedan dess fått i uppdrag av EDPB att leda en arbetsgrupp som ska ta fram nya riktlinjer för hur begreppen ska tolkas.

Svenskt Näringsliv har nu publicerat en vägledning som ska hjälpa företag att undvika att avtal sluts med stöd av felaktiga bedömningar om personuppgiftsansvaret. Martin Brinnen och Mikael Bock vid advokatfirman Kahn Pedersen beskriver med hjälp av exempel och checklistor hur kartläggningen av personuppgiftsbehandlingen, fastställandet av personuppgiftsansvaret och regleringen av förhållandet mellan aktörerna kan gå till. Läs vägledningen här.

Vi återkommer till ämnet vid Nordic Privacy Arena 23-24 september.

Webbseminarium: Brexit och datatransfers

Se Forum för dataskydds och Bristows seminarium om datatransfers efter Brexit här.

Talare: Robert Bond, partners vid Bristows, och Caroline Olstedt Carlström, ordförande för Forum för dataskydd.

Datainspektionens frågor till Inera

Inera, som ägs av SKL Företag, regioner och kommuner, förvaltar och utvecklar tjänster inom e-hälsa och digitalisering, däribland 1177 Vårdguiden.

Datainspektionen har sedan det blev känt att ett stort antal inspelade samtal till 1177 funnits tillgängliga på en oskyddad server inlett en granskning av Ineras personuppgiftsbehandling.

Datainspektionen frågar i sin tillsynsskrivelse till Inera vilka personuppgifter som behandlas, till vilka kategorier av mottagare uppgifterna lämnas ut och om Inera behandlar uppgifterna i egenskap av personuppgiftsbiträde eller personuppgiftsansvarig samt vem eller vilka som ev. är personuppgiftsansvariga och med stöd av vilken rättslig grund uppgifterna behandlas. Frågorna ska vara besvarade senast den 19 mars.

– Inera ser allvarligt på den aktuella händelsen och det är viktigt att invånare kan känna sig trygga med att ringa 1177. Det är angeläget att understryka att Ineras system som 18 regioner använder för tjänsten 1177 Vårdguiden inte berörs av säkerhetsbristen. Men vi välkomnar givetvis att Datainspektionen inleder tillsyn kring händelsen och även kring hur Inera behandlar personuppgifter på telefon, säger Sofie Zetterström, vice vd på Inera.

Nej till ramavtalsupphandling av utländska molntjänster

Kammarkollegiet har efter införandet av dataskyddsförordningen, NIS-direktivet, president Trumps executive order 12333 och CLOUD Act undersökt möjligheten att ta fram ramavtal för webbaserade kontorsprodukter som Microsofts Office 365 och Googles G Suite.

I sin förstudie uttalar projektgruppen att sekretessreglerade och säkerhetskänsliga uppgifter som finns tillgängliga i en utländsk molntjänst är att betrakta som röjda.

Gruppen uttalar vidare att en svensk myndighet som låter företag som lyder under problematiska regelverk ger det utländska regelverket företräde framför den europeiska dataskyddsförordningen, villkor i personuppgiftsbiträdesavtal samt reglerna för internationell rättshjälp. Som exempel på länder med problematisk lagstiftning nämns utöver USA även Indien, Kina och Ryssland.

– Det vi har kommit fram till är att vi skulle få noll anbud med rätt kravställning. Det finns ingen leverantör i dag som skulle uppfylla både funktionella krav, säkerhetskrav och juridiska krav, säger Daniel Melin, projektledare vid Statens Inköpscentral till Computer Sweden.

Enligt förstudien skulle det vara möjligt att upphandla webbaserat kontorsstöd som är tekniskt och rättsligt godtagbart, om offentlig sektor och marknaden påvisar behov och investeringsvilja.

Läs mer på avropa.se.

Se också advokat Nina Barzeys föreläsning och IT-säkerhet och upphandling av molntjänster från Forum för dataskydds seminarium i Stockholm den 19 februari här.

Facit för Datainspektionens verksamhet under GDPR-året

För drygt ett år sedan föreslog regeringen att Datainspektionens anslag skulle höjas med 30 miljoner kronor. Vi bedömde då att myndigheten sannolikt kommer behöva ytterligare anslag för att kunna hantera anmälningar och incidentrapporter, och även för att stärka kommunikationsarbetet och den tekniska plattformen.

Kraftig ökning av ärenden – som väntat

Av Datainspektionens årsredovisning för 2018 framgår nu att antalet inkommande ärenden ökat från ca 8 000 till ca 25 000. Myndigheten tog emot 2 262 incidentrapporter och ca 1 800 klagomål från enskilda (att jämföra med omkring 250 2017).

Myndighetens medarbetare besvarade 8 500 frågor via telefon och närmare 11 000 skriftliga frågor. 16 000 samtal nådde inte fram, detta trots att antalet medarbetare ökade från 57 till 87 under året.

Svårt behålla kompetens

Parallellt med nyrekryteringen gick många vidare till andra uppdrag. En förklaring uppges vara den ökade efterfrågan på dataskyddskompetens. Enligt årsredovisningen har 70 procent av medarbetarna varit anställda kortare tid än 18 månader.

Datainspektionen konstaterar vidare att myndighetens eget digitaliseringsarbete kommer kräva fortsatta investeringar.

Läs också: Hur långt räcker 30 miljoner?

Video: IT-säkerhet och upphandling av molntjänster

Se Nina Barzeys föreläsning om IT-säkerhet, molntjänster och upphandling från Forum för dataskydds seminarium i Stockholm den 19 februari 2019 här.

Bilderna finns tillgängliga i Powerpoint-format under medlemssidorna.

“Med känsligare uppgifter kommer större krav”

I veckan avslöjande tidningen Computer Sweden att miljontals telefonsamtal till Vårdguiden 1177 ska ha funnits tillgängliga som ljudfiler på en oskyddad server. 57 000 svenska telefonnummer förekommer enligt uppgift i databasen.

Forum för dataskydds ordförande Caroline Olstedt Carlström kommenterade uppgifterna i Expressen på måndagen:

– Det kan vara både hälsodata och information om barn. Det är väldigt allvarligt eftersom det är extra känslig information. Med känsligare uppgifter kommer också ett större krav på att underleverantören lever upp till säkerhetskraven. De måste se till att ha en tillförlitlig kontroll.

Rose-Mharie Åhlfeldt, professor i informationsteknologi vid Högskolan i Skövde och styrelseledamot i Forum för dataskydd, kommenterar det inträffade i Dagens Nyheter.

– Det som förvånar är att avtalsskrivningen vid upphandlingar inte blivit bättre. Och bara för att ett avtal är skrivet, betyder det inte att man kan strunta i att göra uppföljningar med leverantörerna.

Åhlfeldt konstaterar också i en artikel i Svenska Dagbladet att informationssäkerhet är ett eftersatt område i Sverige.

Datainspektionen har nu inlett tillsynsärenden, bl a mot Inera, som utvecklar och förvaltar tjänster inom e-hälsa på uppdrag av regioner och kommuner.

 

Logga in

Ej medlem? Registrera dig

Återställ lösenord

Bli medlem

Medlemmar går gratis på våra seminarier och till rabatterat pris på Nordic Privacy Arena.

Studentmedlemskap upphör automatiskt efter ett år, därefter behövs ny ansökan. Ange också ert mecenatkortnr i meddelandefältet.

Ordinarie medlemskap: 1645 kr per år.
Student: 400 kr per år.











This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.
Go to cart