Öppet brev

Ett flertal dataskyddsmyndigheter världen över har skickat ett öppet brev till företag som tillhandahåller videokonferensverktyg i syfte att upplysa företagen om personligt dataskydd. 

Integritetsfrågor

Som ett resultat av COVID-19-pandemin har det blivit allt vanligare med videokonferenser i både sociala och affärsmässiga sammanhang men även inom sjukvården och utbildningssektorn världen över. Denna ökning av videokonferenser försvårar hanteringen av personlig information, samt skapar fler risker i hanteringsprocessen. 

Brevet

Syftet med brevet är bland annat att redogöra för myndigheternas farhågor kring den ökade användningen av videokonferenser samt att klargöra för vilka förväntningar myndigheterna har på företagen som tillhandahåller dessa verktyg. Det handlar bland annat om säkerhet, Privacy-by-Design samt slutanvändarkontroll. 

Myndigheternas har dock en förståelse för att dessa företag erbjuder en värdefull tjänst som gör att människor kan hålla kontakten oavsett var i världen vi befinner oss, något som under nuvarande COVID-19-pandemi är särskilt viktigt. Men de menar att detta inte får komma på bekostnad av människors dataskydd och integritetsrättigheter. 

Svar från företagen brevet skickats till önskar myndigheterna att emotta senast den 30 september 2020. 

Ta del av hela brevet här.

Informationsmaterial inför brexit

Europeiska kommissionen har publicerat informationsmaterial för att hjälpa medborgare, nationella myndigheter och företag att förbereda sig för de viktigaste förändringarna som brexit för med sig under övergångsperioden. Det handlar om huruvida dataskyddets nivå är tillräckligt i Storbritannien, där man efter övergångsperioden börjar tillämpa dataskyddsbestämmelser som gäller tredjeländer. 

Datsskyddsförordningens om tredjeland

I sitt informationsmaterial lyfter EU-kommissionen fram de viktigaste förändringarna som brexit för med sig och som genomförs efter övergångsperioden oberoende av resultatet av förhandlingarna om den kommande relationen mellan EU och Storbritannien. Detta för att främja beredskapen för de berörda under övergångsperioden före utgången 2020. När utträdet träder i kraft börjar dataskyddsförordningens bestämmelser om tredjeland tillämpas när det gäller överföringen av personuppgifter.

Bedömning av dataskydd har inletts

EU-kommissionen har inlett en bedömning av Storbritanniens nivå på dataskyddet, utifrån vilken de kommer att fatta beslut huruvida nivån är tillräckligt för överföring av personuppgifter. Kommissionen strävar efter att ha bedömningen klar och presentera den före utgången 2020. Om bedömningen visar att nivån på dataskyddet är tillräckligt skulle det i fortsättningen inte krävas andra överföringsgrunder utöver kommissionens beslut för överföring av personuppgifter. 

Ta del av materialet här.

Matleverantören Foodora blivit hackat

Det har visat sig att den populära matleverantören Foodoras databas blivit hackat. I databasen fanns 25 000 svenska kunder och sammanlagt rör det sig om 480 000 personer i bland annat länder som Tyskland och Frankrike.

Säkerställa användningen av personuppgifter i samband med test

Klassificering av personuppgifter samt identifiering av rätta syften och användningsområden är ett viktigt steg i skyddet av information. Varje organisation behöver säkerställa att uppgifterna endast används för de syften som uppgivits samt skyddas i tillräcklig mån. Ofta innefattar det inte att använda en användardatabas för testning, men om så skulle ske kräver det lika hög säkerhet som i produktionsmiljön.

Svenska användare ska vara informerade och incidenten har anmälts till tyska myndigheter eftersom Foodora ägs av det börsnoterade tyska bolaget Delivery Hero.

Läs mer här.

Telekomföretag ålagd böter om € 16,7 miljoner

Den italienska dataskyddsmyndigheten meddelar i ett pressmeddelande att de tagit beslut om att bötfälla telekomföretaget Wind Tre S.p.A. om 16,7 miljoner euro. Wind Tre S.p.A. har använt kunddata utan samtycke i direkt marknadsföringssyfte. 

Hundratals kunder drabbade

Det har framkommit att hundratals kunder har fått oönskad kommunikation skickat till sig via bland annat SMS, e-post och telefonsamtal. Det handlar även om att enskilda kunder inte haft möjlighet att utöva sin rätt att återkalla samtycke eller tacka nej till marknadsföringsändamål. Detta då den information om integritetspolicy hos företaget ej var fullständig. Det handlar även om att kunddata har publicerats på offentliga telefonlistor. 

Tvingats till samtycke

Vidare fann den italienska dataskyddsmyndigheten att telekomföretagets applikationer “MyWind” och “My3” var utformat så att användaren tvingats ge sitt samtycke för olika ändamål. Även brister i telekomföretagets förvaltning av tredjepartspartners framkom. Den italienska dataskyddsmyndigheten bötfäller således telekomföretaget för brott mot GDPR. 

Du kan läsa pressmeddelandet här och beslutet här, båda endast tillgängliga på italienska.

Brister i Fynbus I/S informationsskyldighet

Det danska Datatilsynet uttrycker stark kritik mot hur bussbolaget Fynbus I/S hanterar sina resenärers information. Detta då de anser att bussbolaget inte uppfyller skyldigheten att tillhandahålla information om insamling av data gällande resenärerna.

Avsaknad information om datainsamling

Hösten 2019 inledde det danska Datatilsynet an granskning av bussbolaget Fynbus I/S. Granskningens handlade om att se över om bussbolagets uppfyller den informationsskyldighet som Fynbus I/S har i samband med insamling av data så som resenärernas resehistorik och personuppgifter

Det danska Datatilsynet anser att Fynbus I/S inte uppfyller informationsskyldigheten i tre av fem app- eller webbtjänster. Detta då information om datainsamlingen inte lämnas till resenären i appen- eller webbplatsen.

Stark kritik mot integritetspolicy

Kritik riktas främst mot hur datainsamlingen går till då bussbolaget inte informerar kunden att insamlingen sker i det skede av processen som insamlingen sker. Datatilsynet är även kritiska mot att bussbolagets integritetspolicy för en av tjänsterna är extremt bristfällig. 

Mot denna bakgrund har Datatilsynet funnit anledning att uttrycka allvarlig kritik mot att bussbolaget inte uppfyller den informationssäkerhet de är skyldiga till.

Läs mer här.

Överträdelseavgift om 500 000 NOK till Rælingen kommun

Det norska Datailsynet beslutar om överträdelseavgift om 500 000 NOK till Rælingen kommun. Överträdelseavgiften delas ut efter att hälsoinformation om barn har behandlats i den digitala inlärningsplattformen Showbie. 

Inte tillräcklig inloggningssäkerhet

Målet uppdagades i samband med att Datatilsynet fick in en avvikelserapport från kommunen. Överträdelsen involverar 15 studenter som med Showbie-applikationen kommunicerat hälsorelaterad och personlig information mellan skolan och hemmet. Innan applikationen sattes i bruk gjordes det inte några riskbedömningar såsom bedömning av integritetspåverkan. Det visar sig även att applikationen saknar tillräcklig stark säkerhet vid inloggning, vilket bland annat gjort det möjligt att få tillgång till andra registrerade studenter i applikationen. 

Säkerhetsbrott

Kommunen påpekar att det inte finns något som tyder på att någon utsatts för varken materiella eller icke-materiella skador av det inträffade. Detta tar dock inte Datatilsynet hänsyn till i sin bedömning då de menar att säkerhetsbrottet i sig utgör en risk oavsett om risken manifesterat sig i en mer specifik form av skada för de drabbade.

Läs mer här.

Brott mot sekretessförordningen

Den 18 maj 2020 inkom en avvikelserapport till det norska Datatilsynet från Oslo Universitetssjukhus HF (OUS) gällande personuppgiftssäkerhet. Därefter meddelades det att 275 fall upptäckts där konfidentiell information om patienter har publicerats via en offentlig postjournal under en period om tre år. 

Brott mot flera lagar

Förutom brott mot speciallagar kan brott mot sekretessförordningen ha begåtts. Att offentliggöra patientinformation är ett åsidosättande av vårdpersonalens sekretessplikt, och sjukhuset har en skyldighet att utesluta information om personliga frågor från offentliga register. Patientregisterlagen kräver också att sjukhuset ska säkerställa adekvat informationssäkerhet samt intern kontroll. Detta är för att säkerställa att de överensstämmer med kraven i sekretessförordningen om säkerhet vid behandling av patientdata.

Allvarlig avvikelse

Datatilsynet anser att det är mycket allvarligt att denna typ av avvikelse har pågått under en längre tid och har nu bett sjukhuset om en omfattande redogörelse gällande avvikelsen. Datatilsynet har fått en kopia av avvikelserapporten som gjorts men de menar att den innehåller för lite information när det gäller orsaken till händelsen, efterföljande konsekvenser samt angående de åtgärder som sjukhuset vidtagit.

Senast den 28 juli 2020 måste Oslo Universitetssjukhus redogöra för den saknade informationen.

Läs mer här.

Fortsatt stopp av appen Smittestopp

Det norska Datatilsynet fastslår ett fortsatt stopp av den norska smittspårningsappen Smittestopp då de anser att appen fortfarande inte lever upp till vad som anses vara i enlighet med användarnas integritetsrättigheter.

Bristfällig dokumentation

Det Norska Folkhälsoinstitutet (FHI) hade fram till den 23 juni att dokumentera och göra nödvändiga ändringar för att återuppta användandet av appen. Således skickade FHI ett svarsbrev med dokumentationen till det norska Datatilsynet den 24 juni.

Efter Datatilsynets granskning av dokumentationen fastslår de fortsatt stopp av appen Smittestopp. Detta då de anser att dokumentationen är bristfällig gällande bland annat appens användbarhet. De menar att FHI har valt lösningar som strider mot rekommendationerna från bland annat EDPB och WHO. Särskilt kritisk vad Datatilsynen till den bristfälliga dokumentationen kring nödvändigheten av att använda GPS i appen.

Läs mer här.

Ta del av beslutet här.

EDPS-rapport: EU-institutioners användning av konsekvensbedömningar

I februari 2020 genomförde EDPS en undersökning bland EU:s institutioner och organ för att se över på vilket sätt man har utfört konsekvensbedömningar sedan ikraftträdande av förordningen (EU) 2018/1725. I dag, 6 juli 2020, publiceras EDPS en rapport baserad på undersökningen, vilken visar att sätten för hur en konsekvensbedömning utförs kan variera.  

Värdefullt verktyg

Konsekvensbedömningar är ett värdefullt riskbedömningsverktyg som institutioner och organ inom EU använder vid hantering av känslig persondata. En konsekvensbedömning hjälper även till att bättre förstå hur databehandlingen förändras i praktiken. Vår rapport, tillsammans med de svar som mottagits från vår undersökning, gör det möjligt för EDPS att ge ytterligare vägledning gällande konsekvensbedömningar i enlighet med artikel 39 i förordningen, säger Wojciech Wiewiórowski, EDPS, i ett pressmeddelande. 

EDPS kommer i framtiden att utföra undersökningar liknande denna mer ofta i framtiden då det är ett bra sätt att övervaka efterlevnaden av förordningen.

Läs mer här.

EDPS rapport gällande användning av Microsoft-produkter

EDPS har i en egeninitierad granskning tittat på EU-institutionernas användning av Microsoftprodukter och -tjänster. De lämnar bland annat kritik på licensavtalen, personuppgiftsbiträdesavtalen, datadelning och tredjelandsöverföringar samt bristande tekniska skyddsåtgärder.

Rapporten har i alla delar tydliga rekommendationer som är allmängiltiga och kan tillämpas av samtliga användare av Microsofts produkter och tjänster.  

I sina slutsatser lyfter EDPS bland annat fram vikten av att inte anlita leverantörer som inte är beredda att lämna tillräckliga garantier att implementera tekniska och organisatoriska åtgärder så att GDPR följs och skydda de registrerades rätt till integritet.

Ta del av rapporten här.

Logga in

Ej medlem? Registrera dig

Återställ lösenord

Bli medlem

Forum för Dataskydd bidrar till ett tryggt informationssamhälle och värnar om integritetsskydd idag och i morgon. Vi förstärker, förenklar och ökar medvetenheten kring integritetsskydd i Europa genom att skapa ett tongivande forum för samverkan och informationsspridning. Stärk ditt dataskyddsarbete med kompetens från mer än 700 medlemmar på våra seminarier och nätverksträffar. Medlemmar går gratis på våra seminarier och nätverksträffar samt till rabatterat pris på Nordic Privacy Arena.

Studentmedlemskap upphör automatiskt efter ett år, därefter behövs ny ansökan. Ange också ert mecenatkortnr i meddelandefältet.

Ordinarie medlemskap: 1645 kr per år.
Student: Gratis första året, sedan 200 kr per år (är du anställd på ett företag gäller ordinarie pris).















Genom att fylla i formuläret, godkänner jag att Forum för Dataskydd lagrar mina personuppgifter i sin databas som kommer användas för att förse mig med relevant information om Forum för Dataskydds tjänster och erbjudanden.

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.
Go to cart