Ida Tho 4/21/25 Ida Tho 4/21/25

For hipster for skjermopprøret!

La meg starte med at jeg synes skjermopprøret er teit. Jeg synes det bærer preg av en «abstinence only»-tilnørming hvor en gjeng øvre middelklasse semi-kjendisforeldre roper på at staten skal komme inn og pålegge alle en analog oppdragelse.

Dette sier jeg som en person som aller helst leser fysiske bøker og noterer med blekkpenn i en notatbok.

Og som nesten alltid eksisterer i en modus operandi der jeg er 5 minutter unna å kaste all teknologi på båten og flytte ut i skogen og «leve av landet».

(Ignorer det at jeg er et svært moderne menneske som er 100% avhengig av internett for å kunne gjøre jobben min)

La meg starte med å si meninga mi om dette: jeg skjønner skjermopprøret. Jeg driver med personvern. Jeg har ikke hatt Facebook siden 2016 fordi jeg ila Brexit og preseidentvalget da Trump ble valgt første gang, virkelig så hvordan algoritmer kan manipulere oss og fjerne menneskelig autonomi.

Og menneskelig autonomi (det som må være på plass for at vi skal kunne ta frie valg) er en av hovedgrunnene til at jeg jobber med personvern.

I get it.

But also…

Dette var i 2016. Vi er nesten 10 år senere. Og en del av med er litt sånn «jasså, du trengte nesten 10 år på å skjønne at sosiale medier ikke er det beste stedet for voksne mennesker å være, og nå er du bekymret for barna dine?».

For hvis du er så sikker på verdiene dine (at skjerm for et lite barn ikke er optimalt for små mennesker, noe jeg også mener), så ikke gi barnet ditt skjerm da!

Hvorfor i alle dager blir dette en nasjonal debatt hvor en håndfull semi-kjendisforeldre fra øvre middelklasse roper på staten for å få staten til å regulere et forbud?

Her kunne jeg rantet mye om oss i Norge sitt forhold til staten, men du skal slippe det. Jeg nøyer meg med å si at på dette punktet, trenger du ikke staten.

For hvis du som foreldre vet at skjerm er noe som vil skade avkommet ditt, er det ditt ansvar å ta et valg på vegne av barnet ditt, selv om det er vanskelig.

Selv om barnet ditt kommer til å bli surt. Selv om det kommer til å si at «alle andre får lov».

Når dette åpenbart handler om at du mener det er skadelig for barn å være mye foran en skjerm eller på sosiale medier, er det ditt ansvar å si nei. Og å forklare barnet ditt hvorfor du mener det er skadelig på en aldersadekvat måte.

Når vi mister kontroll er det enkleste å skylde på staten (her: skolen) og be om MER kontroll

En stor del av skjermopprøret handler om å ta vekk skjermen i skolen. https://www.aftenposten.no/meninger/debatt/i/al4rQO/foreldrene-er-glemt-skjermene-maa-bli-paa-skolen Så la oss se på om det er skoleskjermen som er problemet.

Ifølge Medietilsynets undersøkelse «Digitale dilemmaer» fra 2022, har 93% av alle barn mellom 9 og 11 en mobiltelefon. Medietilsynets undersøkelse «Barn og Medier» fra 2022 viser at 80% av norske barn i 4.-7. klasse har tilgang til nettbrett og egen hjemme-PC. Mobilen blir bare en av flere skjermer som de har tilgang til.

Undersøkelsene viser at foreldre først og fremst gir barna mobiltelefon fordi det er praktisk å kunne kommunisere med barnet.

Undersøkelsene viser derimot at barn heller bruker mobilen til alle de andre artige tingene du kan bruke skjermen til. Forståelig nok.

Så dette betyr at skoleskjermen bare er én av flere skjermer som norske barn forholder seg til. Og de skjermene hjemme, er det åpenbart foreldrene som har gitt dem.

Foreldre føler seg maktesløse og har dårlig samvittighet for at barna ser for mye på skjerm

Jeg tror ikke skoleskjermen egentlig er hovedproblemet. Jeg tror det er en enkelt proxy å angripe. Hvis det er skolen (dvs staten for offentlige skoler) sin feil, er det også der løsningen ligger. Altså utenfor deg som foreldre – hos noen André.

Eller sagt på en annen måte: jeg tror en stor del av skjermopprøret handler om at foreldre føler seg maktesløse.

Kanskje er det fordi barna befinner seg i en helt annen digital hverdag enn det vi som voksne gjør?

Kanskje handler det om at de får en barndom hvor mekanismer vi måtte deale med, foregår digitalt, og dermed på en måte eksponentielt.

Og når man som forelder føler seg maktesløs er det lett å ty til kontroll og forbud.

Det stikk motsatte av det som hjelper.

«Du vil ha et barn som kan fortelle deg når det er noe som ikke stemmer, barn som sier fra. Den muligheten får du bare om du blir oppfattet som trygg og ikke-dømmende. (…) Barn som er redde for å skuffe, som ikke føler seg bra nok, som lever med en regelbok for hva som er greit eller ikke i stedet for nærhet, de kommer ikke til deg når noe er galt.»

- Montgomery, Boka «Foreldremagi»

Så hva er «løsningen»?

Snakke med barna dine.

Jepp, det er gjennom å snakke sammen at vi danner relasjoner og gjør de relasjonene vi har dypere. For det aller meste handler om relasjonene våre til oss selv og til andre. Sånn generelt.

What? Snakke? Virkelig?

Jepp.

Føkk you, Ida!

I get it. Men ikke hør på meg. Hør på Magnus Hoem Iversen som i boka «Skjermtid – nødhjelp til frustrerte foreldre» sier dette:

«Man er kringsatt av skjermer og duppedingser, og så er løsningen at man bare skal sitte og prate og prate og prate? Seriøst? Jeg merker at jeg blir litt frustrert selv.

Men slik er det bare. Både så enkelt og vanskelig.

Regler og tidsbegrensninger kan ikke erstatte samtaler og bygging av bånd, heller ikke på nett, eller angående det som skjer på nett.»

Jeg driver med personvern. Et veldig viktig poeng i den forbindelse, er at det ikke finnes noen enkle løsninger.

Eller, løsningene kan være enkle nok de (lag en behandlingsprotokoll), men de tar TID. Og andre dyrebare ressurser.

Det er akkurat det jeg prøver å forfekte når jeg snakker om skjermopprørsdebatten. Løsningene her vil ta tid og krefter, og vi kan glemme quick fixes som at «staten ordner».

Og hvis vi virkelig ønsker å beskytte oss alle fra amerikanske SOME-selskaper (og det er det gode grunner til å ønske), trenger vi å investere i Europeiske, personvernvennlige løsninger.

DET er en mer langsiktig løsning enn å rope "we need to help the parents" til norske ansatte i div SOME-selskaper som uansett ikke har noe makt til å endre den overordna stretagien til disse selskapene.

Eller hva, Kari Nessa Nordtun?

(Obskur referanse? Well, if you know, you know)

PS. Okay, okay! Litt av irritasjonen min i denne debatten er også at det har tatt folk nesten 10 år å skjønne risikoen ved å henge mye på SOME. Kall det hipsteren i meg som er stolt over at hun sletta FB lenge før det ble kult :P

Ida Tho 4/7/25 Ida Tho 4/7/25

Hvilken støtte har DU? Et kjærlighetsbrev til konferanser og om de rommene det har vært nødvendig for meg å lage

Photo by Mikael Kristenson on Unsplash

Jeg elsker å være på konferanse! Grunnen til at jeg elsker å være på konferanse, er at jeg lærer nye ting.

Folk som kan andre ting enn det jeg kan, presenterer det i et forholdsvis enkelt format som det er lett å lære av.

Og hvis jeg kan det de sier fra før, så skjer det som regel at jeg går dypere inn i faget enn det jeg gjorde før. Altså at jeg ser noe gammelt fra en ny vinkel eller at jeg får litt ny og annerledes innsikt.

Med andre ord ser jeg på konferanser og foredrag som andre holder om personvern – et fag jeg kjenner skikkelig godt – som en invitasjon til å bli mer kjent med meg selv som fagperson. Det som den andre sier vekker rett og slett nye ting i meg.

Så jeg får alltid mange nye tanker når jeg er på konferanse! Noe jeg åpenbart liker skikkelig godt. Jeg tar med andre ord mange notater, og den tingen jeg har skrevet masse om er hvor mange hensyn vi som driver med personvern må balansere.

Kunnskap som hersketeknikk

Under Personverndagene var det to som snakket om viktigheten av å forklare personvern på en forståelig måte, og hvordan å gå ned i detaljene på hvorfor rådet ditt er blitt som det har blitt, er en hersketeknikk.

Og selv om jeg ikke tror at vi personvernrådgivere bevisst bruker kunnskap for å trykke andre ned – i alle fall ganske sjelden – hadde de et poeng. For dette ER et lite tilgjengelig fag. Når jeg nevner paragrafer og artikler, ja, selv når jeg sier «GDPR» så ER det folk som går helt hetta og går i frys.

Så selv om jeg ikke MENER å skape avstand, kan jeg gjøre det ved å snakke om faget mitt.

Hva du som personvernrådgiver verdsetter vs. hva folk som ikke driver med personvern ønsker av deg

Du som driver med personvern føler deg hele tiden litt bakpå. Det er et fagfelt som utvikles i rasende fart, og noen uker kjennes det som ny praksis f.eks. fra EU-domstolen kom og endret alt sånn helt plutselig.

Det er også et fagfelt som er ganske komplisert. Det er mye du skal kunne, og akkurat dette er stressende på en helt egen måte – for det kan slå deg rett i perfeksjonismen og følelsen av å aldri være bra nok.

Dette er noe jeg også kjenner på. Mindre nå enn før, men dog. Jeg er jurist, og jeg har blitt lært opp til å verdsette kunnskap.

Og når jeg har blitt fortalt / lært / internalisert at alle personvernproblemer kan løses ved å kunne faget og forklare, er det faktisk ganske ofte en konflikt mellom hva jeg tror at er nødvendig for å løse et problem, og hva som faktisk hadde vært nyttig.

For behovet er at vi skal evne å forklare kompliserte ting enkelt. Og det er vanskelig.

Da jeg var en dårligere jurist enn det jeg er nå, rett og slett fordi jeg ikke visste så mye, brukte jeg et mer komplisert språk. Det var – for å være helt ærlig – litt behagelig å kunne gjemme meg bak det juridiske stammespråket når jeg var usikker.

Min erfaring er at du må kunne faget ditt godt, for å kunne forenkle. Rett og slett fordi når du forenkler, blir ting upresist. Ja, kanskje til og med litt feil. Og da må du kunne faget ditt ganske godt for å kunne prioritere riktig.

Når du skal være raus med andre, må du ha rom til å nørde

Eller, dette gjelder i alle fall meg. For når det å jobbe med personvern betyr at du må kunne kommunisere som en dreven pedagog, klare å overbevise beslutningstakere om å prioritere personvern i en økonomisk presset situasjon OG holde deg oppdatert faglig, trenger du ting for å klare å romme alt det.

Det JEG trenger, er rom hvor jeg kan være akkurat så nørd som jeg er. For i slike rom slipper jeg å hele tiden begrunne min og faget mitt sin eksistens. Jeg slipper å forklare for Nte gang hva et behandlingsgrunnlag er.

Jeg kan faktisk også tillate meg å dykke ned i min egen faglige angst – hvordan håndterer JEG usikkerhet rundt om vurderingene mine blir bra nok, f.eks. For jeg trenger å kunne diskutere om JEG er langt ute på jordet eller ikke.

Så min oppfordring til deg er å tenke igjennom hva DU trenger for å balansere alle de forskjellige hensynene denne jobben innebærer.

Ps. Den konferansen jeg liker aller best er Personverndagene i Trondheim. Det er så vidt jeg vet den eneste personvernkonferansen i Norge. De aller fleste konferanser er egentlig sikkerhetskonferanser eller informasjonssikkerhetskonferanser, og så er personver gjerne en del av det. Men på Personverndagene er det BARE personvern. Påmelding? Se her!

Ida Tho 3/23/25 Ida Tho 3/23/25

Personvern handler om fellesskapets interesser, ikke bare om individuelle rettigheter – Om interessemodellen fra 1977

Photo by Giammarco Boscaro on Unsplash

Hvilke interesser ivaretar personvernet? Det åpenbare er private, individuelle rettigheter for personvern. Men fellesskapet eller samfunnet har også personverninteresser.

Når det skjer så mye på personvernfronten, er det lett å glemme at personvern er et gammelt fag, og at vi har ting å lære av fortidsmenneskene.

Som fra interessemodellen som ble utviklet av Dag Blekeli og Knut S. Selmer på begynnelsen av 1970-tallet og publisert i boka Data og personvern, Universitetsforlaget, 1977. Jeg leste om dette i lovkommentaren fra Universitetsforlaget til personopplysningsloven av 2000.

Hvis det er en ting som kjennetegner personvern som… kanskje ikke fagfelt, men i alle fall som «ting i bevisstheten til folk flest» (i den begrensede grad «folk flest» tenker på personvern), må det være at personvern handler om individets rettigheter.

Individets rettigheter er viktig, misforstå meg rett! Men det jeg liker med interessemodellen, er at den også tar hensyn til samfunnets, kollektivets eller fellesskapets interesse av personvern. Faktisk delte interessemodellen personverninteresser i individuelle personverninteresser og kollektive personverninteresser.

Så la oss dykke ned i de forskjellige personverninteressene!

De individuelle personverninteressene

1 Innsyn

I interessemodellen blir denne interessen beskrevet som en blanding mellom retten til informasjon og retten til innsyn slik vi kjenner den idag.

Retten til å bli informert beskrives nemlig som en av de viktigste rettighetene fordi den er avgjørende for at den registrerte skal kunne gjøre gjeldende de øvrige personvernrettighetene. På samme måte beskrives retten til innsyn i interessemodellen.

2 Diskresjon

Dette har blitt en av mine favoritt måter å beskrive det mange av oss kjenner som «creepy-faktoren». Du vet det ubehaget som kommer med personverninngrep som rett og slett ikke føles bra, men som det også er litt vanskelig å beskrive uten å si at det rett og slett er «creepy».

Da er det fint at vi har et norsk begrep som vi kan sette på trykk i en DPIA. Diskresjon beskrives som «behovet for å ha en viss kontroll med opplysninger om seg selv».

Diskresjon kobles også til det som i dag er prinsippet formålsbegrensning, det vil si interessen av at det ikke samles inn flere personopplysninger enn det som er nødvendig for å nettopp oppfylle formålet.

Samt at innsamlingen alltid må kunne begrunnes. Dette minner om lovlighetsprinsippet.

3 Fullstendighet

Dette tilsvarer i stor grad riktighetsprinsippet, det vil si den enkeltes interesse av at personopplysningene er korrekte slik at riktige avgjørelser kan treffes.

4 Privatlivets fred

Privatlivets fred er kanskje det mest klassiske hensynet bak personvernet, kanskje først artikulert som «the right to be left alone» av Samuel D. Warren II og Louis Brandeis i artikkelen «The Right to Privacy», publisert i the Harvard Law Review i 1890.

I interessemodellen beskrives dette som retten den enkelte har til å få være i fred fra andre.

Det er verdt å nevne at denne rettigheten i all hovedsak gjelder opplysninger om hva du gjør innenfor husets fire vegger, eller ellers i privatlivets sfære som det så fint heter.

Hvorfor er det en særlig interesse for personvern i denne sfæren? Dette kan synes litt åpenbart for deg som driver med personvern, men interessemodellen beskriver at folk har en tendens til å oppføre seg annerledes når de er alene sammenlignet med når de er sammen med andre.

Den enkelte har også rett til å til en viss grad velge hvilken rolle vedkommende tar på seg i ulike sammenhenger.

Privatlivets fred betyr med andre ord at det skal mye til for at det skal være ok å samle inn personopplysninger om den enkeltes privatliv.

De kollektive interessene

1 Borgervennlig forvaltning

Jeg elsker hvordan denne rettigheten er formulert! Personverninteressen borgervennlig forvaltning beskriver et «ønske om at forvaltningen skal møte borgeren med et menneskelig ansikt». Dette i motsetning til en automatisert behandling som vil kunne virke fremmedgjørende. I disse AI-tider, synes jeg dette argumentet er særlig interessant.

For fremmedgjøringen stopper ikke her. Interessemodellen beskriver at automatiserte avgjørelser også kan svekke borgernes mulighet til å korrigere eller supplere nye opplysninger.

Sagt på en annen måte:

«den kollektive interessen kan knyttes opp mot den enkeltes interesse i at opplysningene om at han behandles på en måte som gjør at han kan forstå og behandles på en måte som gjør at han kan forstå og påvirke måten de behandles på.

Så dette beskriver en kollektiv interesse IMOT automatisering. Noe jeg synes er skikkelig interessant i dag hvor vi nesten tar for gitt at automatisering innebærer en økonomisk besparelse som nærmest alltid taler FOR automatisering

2 Robust samfunn

Dette er også en kollektiv personverninteresse jeg virkelig har sansen for!

Denne interessen innebærer at samfunnet ikke må bygges opp på en slik måte at viktige samfunnsfunksjoner blir sårbare.

Jeg liker denne interessen fordi jeg innfortolker en verdsetting av den tilliten som hele det norske samfunnet er bygget på.

I interessemodellen beskrives dette slik:

«En må ikke risikere at viktige rettigheter går tapt fordi samfunnet er avhengig av teknologi som ikke tilfredsstiller grunnleggende krav til sikkerhet».

Eller til «personvern», som jeg ville ha lagt til!

3 Begrenset overvåkning

Det kollektive har en interesse i å begrense overvåkning. Dette handler om hvilke overvåkningstiltak det er legitimt at samfunnet iverksetter for å kontrollere at enkeltindivider opptrer i tråd med fellesskapets interesser.

Denne interessen anerkjenner at tillitsforholdet mellom individet og samfunnet er et gode i seg selv, og at overvåkning kan svekke dette tillitsforholdet.

Sagt på en annen måte - det offentliges kontroll skal ikke være så omfattende at det ikke eksisterer et behov for et tillitsforhold mellom samfunnet og den enkelte.

Ida Tho 10/11/24 Ida Tho 10/11/24

Jammen, stoler du ikke på meg? Aka når folk blir defensive pga personvernkrav

Photo by Bobby Mc Leod on Unsplash

Du som driver med personvern, har garantert møtt på dette. Uttalelser som «jammen, stoler du ikke på meg?» når du kommer med forslag til personvernvennlige eller risikoreduserende tiltak.

«Meg» kan være en enkeltperson, eller en representant for en hel yrkesgruppe. Som en lærer, en lege, en sykepleier, en advokat osv osv.

Det å reagere på denne måten på f.eks. tilgangskontroll, er veldig defensivt. Det som skjer er at personen går i forsvar. Føler seg angrepet. Tilgangsstyring blir personlig. Det blir en historie om at hvis du hadde hatt tillit til vedkommende, hvis hen var til å stole på, hadde vi ikke trengt tilgangsstyring.

Og kanskje heller ikke personvern.

Og i stedet for å adressere de vonde følelsene som kommer opp rundt den historien som fortelles om at personverntiltak på arbeidsplassen blir (enda) et tegn på at virksomheten ikke har tillit til den enkelte arbeidstaker, blir du som personvernrådgiver problemet.

Det handler ikke om kjøleskapet

I familien min har vi et ordtak: «Det handler ikke om kjøleskapet». Det kommer fra en opplevelse jeg har hatt med en tidligere samboer.

Hen hadde akkurat flyttet til Oslo og startet på universitetet. Og ut over høsten var det hens første eksamen på et nytt studium. Hen var stressa og jeg som samboer var det største håret i suppa noensinne.

En dag begynte hen å kjefte fordi vi (aka jeg) måtte se til å vaske kjøleskapet. Kjøleskapet var ikke egentlig skittent, og hvis dette virkelig var et behov, kunne hen gjøre det.

Men det var ikke poenget. Poenget var at dette ikke handlet om kjøleskapet i det hele tatt. Det handlet om at eksamen nærmet seg. Hen hadde aldri hatt muntlig eksamen før, og det var skummelt.

Det var mye enklere å kanalisere de vanskelige og stressa følelsene i å kjefte på meg om et vikarierende problem, enn å innrømme for seg selv at den gryende eksamen var skummel og at hen trengte litt trøst og omsorg.

Det handlet ikke om kjøleskapet. Kjøleskapet var en proxy for noe annet.

Og slik er det også når folk du som personvernrådgiver møter blir defensive idet du foreslår personverntiltak.

Det å implementere personverntiltak betyr ofte at folk må begynne å jobbe på en ny måte. Da er det veldig lett å tenke at den måten folk jobbet på før var «feil».

Og det kan man jo si, men en mer hensiktsmessig måte å se dette på, er at vi nå vet mer, og da også kan jobbe på måter som bedre ivaretar personvernet.

Poenget er: det å gå i forsvar i møte med personverntiltak, handler aldri om tiltakene i seg selv. Det handler om den fortellingen som ligger bak.

Som vi sier i min familie: det handler aldri om kjøleskapet!

Jobben min er ikke å stole på deg, jobben min er å lage systemer slik at jeg slipper

Jeg har tenkt mye på hvordan jeg ønsker å møte mennesker som går i forsvar og som reagerer på personvernetterlevelse med å spørre «stoler du ikke på meg».

Og jeg har kommet til at jeg ønsker å være ærlig selv om det betyr at jeg sier noe de ikke kommer til å like.

For sannheten er at det ikke er min – eller din – jobb som personvernrådgiver å stole på enkeltpersoner.

Jobben vår er å sette personvern i system slik at vi nettopp slipper å stole på enkeltpersoner. Som kjent setter vi personvern i system ved å etablere internkontroll.

Hele poenget med internkontroll er at det skal gjøre personvernetterlevelse være personuavhengig. Det vil si at det ikke skal ha noe å si om DU er til å stole på eller spesielt opptatt av personvernetterlevelse. Det skal være så enkelt og sømløst for deg å gjøre jobben din at du slipper å tenke på personvern.

Jeg som personvernrådgiver skal ha tatt høyde for gode systemer slik at du slipper å tenke så mye på det.

Det at det ikke er jobben min som personvernrådgiver å stole på deg, kan være provoserende å høre. Men det er også sannheten. Nå er jeg nå trygg nok til å stå i det, og jeg håper at dette nyhetsbrevet også gjør DEG trygg nok til å gjøre det samme.

Ida Tho 10/4/24 Ida Tho 10/4/24

Vi fagfolk tar tilbakemeldinger personlig!

Photo by Nik on Unsplash

Som fagnørd og egentlig bare som pliktoppfyllende mennesker i denne verden, setter vi fagfolk likhetstegn mellom vår egenverdi og det vi produserer. Vi læres opp til at bare det beste er bra nok. Bare de beste karakterene eller testresultatene som kan aksepteres, bare den høyeste scoren på kundeevalueringen som er greit.

Da er tilbakemeldinger vanskelig. For på et ganske grunnleggende nivå, tar du det som et tegn på at du ikke er perfekt, at du ikke har gjort en «bra nok» jobb og at du dermed ikke er verdifull. Dette vet jeg fordi jeg også er slik.

Og som prosjektleder for andre, veldig pliktoppfyllende og flinke folk, er det noe jeg må være bevisst på. For det er idet arbeidet vårt møter andre i form av tilbakemeldinger, at det ligger en god del læring. Hvis vi klarer å motta dem på riktig måte.

Dette er de tingene som jeg gjør for trygge mine kollager, men la oss være ærlige, også meg selv:

👉🏻 Rose deg masse slik at når du må justere, føles det ikke så voldsomt.

Jeg vet at du er litt ukomfortabel med å ta imot ros, samtidig som du er helt fullstendig avhengig av å få en bekreftelse på at det du gjør er bra nok. Det er min jobb som din prosjektleder å si «bra jobba» hver gang jeg kan.

👉🏻 Skille mellom hva som er materielle endringer som vi MÅ gjøre fordi det blir riktig, og endringer som skyldes mine personlige preferanser

Iløpet av et arbeidsliv, har jeg opparbeidet meg personlige preferanser på hvor jeg liker å ha sidetallene i rapporten, hvor langt jeg vil at en oppsummering skal være og hvilken størrelse jeg vil ha på figurene i en power point. Ingen ting av dette er en fasit. Det er mine personlige preferanser, og fordi jeg er prosjektleder blir det slik.

Men når jeg retter på det du har foreslått, er det min oppgave å fortelle deg at dette er en rettelse jeg gjør fordi jeg foretrekker noe annet, ikke fordi at DU trenger å gjøre det slik hver eneste gang. Det er også min oppgave å holde denne typen rettelser til et minimum, fordi ingen bryr seg, og jeg vil ikke at du skal læres opp til å bruke tid på denne typen detaljer.

👉🏻 Skjerme deg fra lite konstruktive tilbakemeldinger

Noen ganger er kunder eller oppdragsgivere skikkelig vanskelige. De kan si ting som «personvern er jo bare en check in the box, dette gjør vi bare fordi vi må» eller «dere på personvern gjør jo bare mest mulig ut av GDPR, vi trenger ikke ta disse rådene deres såå seriøst».

Dette er sårende og kjipe tilbakemeldinger å få når vi har jobbet ganske intensivt med et prosjekt. Det er min jobb som prosjektleder å skjerme deg fra den typen tilbakemeldinger. Eller i alle fall ha et bevisst forhold til når du skal utsettes for dem.

Sånne uttalelser er egentlig BS som handler mye mer om den vi jobber for, enn det jobben vi har gjort. Jeg mener du ofte ikke skal trenge å forholde deg til dem. Jeg ønsker for all del ikke at du skal internalisere at det er deg det er noe galt meg og tenke at du ikke har gjort en bra nok jobb. Det HAR du. Det har jeg sett.

👉🏻 Vise deg hvordan jeg bruker mine seniorer for QA

Selv om jeg er prosjektleder, har også jeg noen over meg. Jeg har en eller flere seniorer jeg kan spille på for å kvalitetssikre mitt arbeid. Når jeg sparrer med noen som skal kvalitetssikre, viser jeg deg hvordan vi kan formulere problemstillinger til andre slik at de forstår dem.

Jeg viser deg også at jeg ikke er opptatt av å vise de over meg hvor «flink» jeg er. Jeg bruker dem for å gjøre leveransen bedre. Jeg bruker deres dyrebare tid uten å unnskylde at jeg bruker den. Jeg bruker de mange årene med kunnskap de har bygget seg opp for å heve det vi har laget til neste nivå. Jeg bruker dem for å lære. Og i det viser jeg deg at det er slik jeg også vil at du skal forholde deg til meg. Du skal bruke meg for å lære. Uten at du skal være redd for å avsløre deg selv som «ikke flink nok».

👉🏻 Vise deg at det oppdragsgiver vil er å få oppgaven gjort, det handler ikke om oss

Denne er jeg litt ambivalent til. Fordi jeg ønsker ikke å si «suck it up, det handler ikke om deg» på en gaslighty måte. Og likevel handler det nesten aldri om deg. Eller meg. Oppdragsgiver vår vil ha en leveranse. De er veldig lite interessert i hvor «flinke» vi er, og mye mer om at de faktisk skal få det de har bedt om.

Det betyr at vi må utforme leveransen på en måte som de faktisk forstår. Det kan godt være jeg har rett i de personverngreiene jeg forklarer, men hvis kunden ikke forstår det, er vi like langt. Da er det vi som må justere teksten. Og det er greit. Det betyr ikke at vi er noe dårligere, det betyr at det var dette vi måtte gjøre for å forklare oppdragsgiver på en forståelig måte.

Ida Tho 9/27/24 Ida Tho 9/27/24

«Du er konsulent? Åja, men da er jo rådet ditt kjøpt og betalt!»

Photo by Annie Spratt on Unsplash

«Du er konsulent? Åja, men da er jo rådet ditt kjøpt og betalt! Vi kan bare gå til noen andre å få et annet råd! Og du overdriver dessuten hvor farlig denne personverngreia er!»

Jeg kunne bytta ut «konsulent» med «jurist», «advokat» eller egentlig enhver annen yrkesgruppe som får betalt for sine tjenester…

Dette er en påstander jeg har hørt en del ganger. I år alene kommer jeg på 4 tilfeller, og to av gangene ble det sagt direkte til meg.

Jeg vet at når det kommer, handler det lite om meg og den fagpersonen jeg er, og mye mer om situasjonen. Selv om det er helt vilt vanskelig å ikke ta det personlig! Dette er situasjonene jeg har hørt uttalelsen i:

1. Noen mener at et personvernråd jeg har gitt er altfor for strengt

Dette kommer gjerne når jeg har gitt et råd som gjør at noen må endre måten de jobber på, eller bruke tid og ressurser på etterlevelsesarbeid. Og det synes de er tullete.

2. Noen mener at et personvernråd ikke er strengt nok

For hvis jeg ikke gir et råd som er strengt nok, må jeg jo være kjøpt og betalt av bigtech. Hvis jeg ikke tenker at så lenge noe er en overføring av personopplysninger til USA, så ER det ulovlig fordi etterretningsmyndighetene vil jo automatisk få tilgang til dem og VIL utnytte dem på groveste vis, er jeg ikke en type personvernrådgiver som tar de registrertes rettigheter på alvor.

Begge innsigelsene kommer gjerne akkompagnert med noe à la «vi kan få et helt annet råd av en annen personvernrådgiver».

Begge innsigelsene går ut på det samme: noen du gir råd til er ikke fornøyd, og da er det mye enklere å sette deg i en bås, slik at de ikke trenger å høre på rådet ditt, enn å faktisk ta inn over seg det du sier.

Jeg vet fortsatt ikke hva jeg skal svare når dette kommer opp. Det kommer litt an på. Som regel ler jeg fordi jeg er blitt for gammel «for this shit». Men jeg vet også at okay, da vil dette samarbeidet bli vanskelig. Fordi du har vist meg at du ikke har tillit til de rådene jeg gir.

Og vårt fagmiljø holder live i dette. Ved ujevne mellomrom kommer diskusjonen opp: er du en personverndogmatiker eller en personvernpragmatiker?

Jeg mener at den diskusjonen er 1) kleint navlebeskuende, 2) regelrett en hersketeknikk hvor vi setter folk i bås hvor vi kan unngå å høre på dem og 3) ganske meningsløs: personvern er ikke binært. Rådene vi gir er konkrete og situasjonsavhengige.

Tidligere hadde jeg i bioen min på Linkedin at jeg var en «pragmatisk» konsulent, men jeg har fjernet det. Jeg vil ikke bruke det begrepet fordi jeg har ingen interesse av å fortsette dette kunstige skillet mellom å ville få ting gjort, og å gjøre dem riktig. Jeg vil begge deler, og jeg løser problemer forskjellig ut i fra hva den konkrete situasjonen er.

Ja, folk som er helt ute i enden av spekteret på strenghet kan være litt irriterende og selvhøytidelige. I get it. Og samtidig er jeg definitivt den personen noen ganger! Og jeg mener det har sin plass.

Man kan si mye om Max Schrems, men han har definitivt trukket personvern i en retning hvor bigtech er pokka nødt til å ta personvern på alvor.

Og folk på den andre enden av skalaen kan være helt utrolig lite konsekvente. Folk som i en berettiget interessevurdering legger litt for mye vekt på at «du som registrert kan jo protestere på behandlingen, så da er disse markedsføringsgreiene egentlig ikke så farlig». Det mener jeg kan vise lite integritet.

Og jeg har DEFINITIVT også vært den personen. Jeg har vært i situasjoner hvor jeg bare ville få jobben gjort, og trakk konklusjoner fordi jeg visste det var innenfor behandlingsansvarliges risikoappetitt selv om jeg strengt tatt ikke var enig.

Dette har også sin plass. Det fine med dette perspektivet er at jeg får ting unna. Jeg lar ikke perfeksjonismen i meg sette meg i frys. Og jeg vet at selv om det jeg gjør er langt fra perfekt, vil det bli mer personvernvennlig enn om jeg ikke hadde gjort jobben.

Poenget med denne «ranten»: Det gir ikke mening å dele oss inn i disse to boksene: dogmatiker eller pragmatiker. Som mennesker og personvernrådgivere er vi langt mer fleksible og komplekse enn som så.

Ida Tho 9/20/24 Ida Tho 9/20/24

Aldersgrenser på sosiale medier - en rant

Aldersgrenser på sosiale medier - en rant!

Photo by NordWood Themes on Unsplash

I sommer gikk statsminister Jonas Gard Støre ut og lovet aldersgrenser for sosiale medier. Det er vanskelig for meg å ikke synes den typen uttalelser er så utrolig teite. Teite fordi vi HAR allerede aldersgrenser for sosiale medier. En aldersgrense på 13 år som er særnorsk som gir 13-åringer samtykkekompetanse til at big tech kan behandle deres personopplysninger på sosiale medier.

Eller «informasjonssamfunnstjenester» som det heter i lovverket.

Den generelle aldersgrensen er høyere enn 13 år. Faktisk er den på 16 år. Men GDPR åpner for at hvert enkelt land kan velge å senke den, men ikke lavere enn til 13 år.

Norge valgte å senke den så langt ned vi kunne. Det vil si at da GDPR ble innført, hadde lovgiver et valg. Og lovgiver (justisdepartementet som regjeringskontor og saksbehandler for personopplysningsloven av 2018 og så Stortinget) VALGTE å senke den til 13 år.

Derfor synes jeg det er så UTROLIG teit at politikere nå, 6 år senere, når foreldre freaker ut over at de unge og håpefulle er på sosiale medier og hvilken skade det kan gjøre å være eksponert for internettet uten en ansvarlig voksenperson som kan guide deg.

NÅ bryr du deg, Jonas? Da du satt på Stortinget for 6 år siden som opposisjonspolitiker var du a-okay med at 13-åringer er modne nok til å lese Meta sine terms of service og derfor ha samtykkekompetanse?

[Eyeroll]

Okay, greit nok! La oss snakke om denne aldersgrensen.

Utgangspunktet for barns samtykkekompetanse og unntak

Barn – altså personer under 18 år – har ikke samtykkekompetanse. Det er den store hovedregelen.

Og så finnes det unntak i spesiallovgivning, hvor barn ER gitt rett til å samtykke i gitte, avgrensede tilfeller.

Et slikt eksempel er barneloven § 32 som gir barn som er 15 år gamle rett til å velge utdanning, og til å melde seg inn og ut av foreninger. Dette er uttrykk for barns selvbestemmelsesrett. Og for å ta i bruk den retten, må barn også ha samtykkekompetanse for bruk av egne personopplysninger for å kunne oppfylle denne retten.

Et annet eksempel på en spesiallov som gir barn samtykkerett, er personopplysningsloven § 5 som sier at aldersgrensen for samtykke til bruk av egne personopplysninger på sosiale medier (eller «informnasjonssamfunntjenester» for å være veldig presis), er 13 år.

Er barn på 13 generelt modne nok til å gi informert samtykke for bruk av SOME?

Nei. Svaret på det er ÅPENBART nei. I alle fall når det gjelder samtykke for bruk av deres personopplysninger på sosiale medier. Her klarer ikke voksne folk engang å gi informerte samtykker.

Når var forrige gang DU leste den informasjonen en SOME-aktør ga deg da du registrerte deg som bruker?

Siden du leser det jeg skriver her, kan jeg jo tippe at du er LANGT over snittet interessert i personvern, så det kan godt hende at DU er en slik som leser all informasjonen du presenteres forut for et samtykke, kanskje også Terms of service eller personvernerklæringen.

Men poenget er: de aller fleste leser ikke disse dokumentene.

Og la meg understreke først som sist, det er BY DESIGN.

Når jeg har gått gjennom forskjellige brukerreiser du må igjennom for å registrere deg som bruker på sosiale medier, er det ALLTID vanskelig å skille informasjon du får i forbindelse med at du skal gi et informert samtykke, fra generell informasjon om hvordan virksomheten behandler personopplysninger.

Hadde de vært bedre på det, kunne det kanskje vært forsvarlig for barn på 13 år å ha samtykkekompetanse.

«Jammen Ida, dette har jo lovgiver vurdert da GDPR ble innført i norsk rett i 2018. De MÅ jo ha gjort en skikkelig vurdering av dette?»

Nope, det har de ikke. Da GDPR ble innført, vurderte Justisdepartementet at 13 år var passende fordi «en aldersgrense på 13 år i størst grad [ivaretar] hensynet til barnets selvbestemmelsesrett.»

Du finner ingen veldig solid begrunnelse ut over dette i forarbeidene. Departementet viser til noen av høringsuttalelsene, og det er litt uklart om høringsinstansene er positive eller negative:

❓ Datatilsynet mente det var riktig at barn under 13 år trenger foreldre eller verge sitt samtykke for å være på SOME.

❓ Barneombudet understreket at barn bør gradvis lære å gi samtykke, i stedet for å plutselig få full samtykkekompetanse.

❓ Medietilsynet mente det var viktig å gi foreldre til barn under 18 år god informasjon og veiledning om brukerprofiler i kommersielle tjenester.

❌ BLD mente 13 år var for ungt for å forstå konsekvensene av å gi samtykke til bruk av personopplysninger.

Løsningen? Skikkelig usexy, men: håndhevelse av det regelverket vi allerede har

Jeg synes at å innføre (enda) en aldersgrense blir for lettvint. Den egentlige løsningen er langt mindre sexy enn en aldersgrense: det er håndhevelse av det regelverket vi allerede har over tid.

Og det er åpenbart mye vanskeligere enn å innføre en aldersgrense.

For det krever langsiktig budsjettering slik at datatilsynet og forbrukerrådet har ressurser til å følge opp brudd på personvernet.

Det blir bare tydeligere og tydeligere for meg at håndhevelse av det regelverket vi har, for å virkelig sørge for at personvernet vårt blir ivaretatt, er alfa og omega.

Særlig når store tech-firmaer gang på gang kommer unna med personvernbrudd og manipulativt design. Da trenger vi å sørge for at organer som datatilsynet og forbrukerrådet har nok ressurser til å følge dette opp.

En annen ting staten Norge kan gjøre? Bruke forhandlingsmakten sin til å presse big-tech til å gi oss bedre personvernvilkår når det offentlige bruker produkter som Microsoft 365 og Google Workspace.

Den tingen jeg ønsker meg for skolenorge er for eksempel en YouTube til bruk i skolen hvor Google ikke behandler barns personopplysninger til egne formål. Og det kan Norge bidra til ved å bruke sin forhandlingsmakt.

Im looking at you, Staten! Jeg synes IKKE dette er for mye å be om.

Ps. En not so fun fact er at barnelovutvalget i NOU 2019 : 10 foreslo å gjøre aldersgrensen på 13 år generell for bruk av alminnelige personopplysninger. Det vil bety at barn, generelt fra og med det er 13 år, kan samtykke til at virksomheter behandler personopplysningene deres. Heller ikke barnelovutvalget begrunner dette noe særlig. Det virker som de er mer opptatt av at reglene må harmoniseres enn å vurdere om 13 år er en riktig aldersgrense.

Ida Tho 9/13/24 Ida Tho 9/13/24

Tips til å skrive kronikk om personvern

Photo by Aaron Burden on Unsplash

Jeg skriver mye om personvern. Tidligere i år hadde jeg en kronikk på trykk i Khrono om hvordan det å laste opp eksamensbesvarelser i et plagiatkontrollsystem kan være utfordrende sånn personvernmessig.

Men det var ikke egentlig humble-bragging som er hovedpoenget med denne bloggposten. Jeg har lyst til å fortelle deg hvordan jeg finner ting å skrive om.

Så uten mer om og men, dette er tre ting jeg har gjort i denne kronikken, som du kan adoptere hvis du også synes det er gøy å skrive om personvern.

Behandlingsgrunnlag, behandlingsgrunnlag, behandlingsgrunnlag

Den første, og mest åpenbare tingen du må se på når du skal kritisere en behandling, er om den behandlingsansvarlige har et behandlingsgrunnlag. Det er så elementært, men det er også så lett å trå feil akkurat her. Særlig hvis den behandlingsansvarlige ikke har tatt stilling til personvernspørsmål.

I vår europeiske jurisdiksjon, er jo utgangspunktet har behandlingsansvarlig må ha lov til å behandle personopplysninger. Dette i motsetning til f.eks. amerikansk jurisdiksjon, hvor virksomheter kan gjøre det de vil med personopplysninger, med mindre det finnes et forbud eller en restriksjon hjemlet i lov.

Så se på behandlingsgrunnlag. Har den behandlingsansvarlige uttalt seg om det? Viser de til hjemmel i lov eller forskrift? Great, verifiser om hjemmelen faktisk dekker det som de ønsker å gjøre med personopplysningene.

Viser man til samtykke? Awesome, ta en titt på om samtykke er et passende behandlingsgrunnlag. Har den registrerte egentlig valgfrihet? Hvis nei, er ikke frivillighetskravet oppfylt, og samtykke vil ikke passe i denne konkrete situasjonen.

Et ganske sikkert veddemål er at informasjonskravet ikke er oppfylt

Hvis du kan kritisere behandlingsgrunnlaget, f.eks. fordi den behandlingsansvarlige ikke har tenkt på at dette er en behandling av personopplysninger, er det sannsynlig at den heller ikke har oppfylt sine øvrige forpliktelser etter GDPR.

En av de forpliktelsene som er den mest stemoderlige behandlet, er informasjonsplikten. Behandlingsansvarlige er rett og slett generelt skikkelig dårlige på å informere på en god måte.

Og hvid den behandlingsansvarlige ikke visste at dette var en behandling av personopplysninger, kan du nesten garantere at de heller ikke har informert den registrerte om behandlingen.

Og det er egentlig ganske ille, fordi det å bli informert om at behandlingen skjer, er en forutsetning for å kunne gjøre gjeldende alle andre personvernrettigheter.

Jeg angriper ikke min egen kronikk

Så jeg vet hva svakhetene i kronikken er. Eller rettere sagt, jeg vet hvilke argumenter jeg ville ha brukt hvis jeg var NTNU, og skulle argumentere for at det å laste opp eksamensbesvarelser var helt a-okay personvernmessig.

Men dette er et argument jeg ikke «gir» dem. Fordi utgangspunktet i Nowak-dommen er at en eksamensbesvarelse ER en personopplysning, vil det være opp til NTNU å argumentere for at dette likevel ikke er personopplysninger.

Og det er noe de eventuelt kan gjøre i en egen kronikk, eller i intern etterlevelsesdokumentasjon. Det skal som kjent en del til for at noe IKKE er en personopplysning, så her kommer jeg til å vente i spenning :3

Ida Tho 9/6/24 Ida Tho 9/6/24

Hvordan skille mellom en protest, en slettebegjøring og en klage etter GDPR?

Photo by John Matychuk on Unsplash

Tidliger i år, fikk en kollega og jeg publisert en artikkel i Lov&Data som forklarer deg hvordan du skal se forskjellen på en protest, en slettebegjæring og en klage etter GDPR.

Du kan lese den her!

En vanskelig rettighet å forstå og forholde seg til

Retten til å protestere etter GDPR er vanskelig, særlig når behandlingen din er basert på behandlingsgrunnlaget «oppgave i allmennhetens interesse eller offentlig myndighet» i GDPR artikkel 6(1) e).

Dette er det flere grunner til. Den kanskje tydeligste grunnen er at retten til å protestere er en rettighet den registrerte har, selv om behandlingen er lovlig.

La din synke inn.

Selv om du har gjort alt rett. Du har å gjøre med en 100% lovlig behandling, kan den registrerte protestere på behandlingen.

Det er viktig å understreke at selv om den registrerte har rett til å protestere, har hen ikke en automatisk rett til å få protesten tatt til følge. Særlig ikke når behandlingsgrunnlaget ditt er «oppgave i allmennhetens interesse eller offentlig myndighet».

Den andre grunnen til at retten til å protestere er vanskelig å forholde seg til er fordi de registrerte i 99% av tilfellene ikke har noe forhold til om de formelt har bedt om sletting, har klagd på behandlingen, bare stiller deg som behandlingsansvarlig et betimelig spørsmål eller om de faktisk protesterer på behandlingen.

Og det betyr at du som behandlingsansvarlig må vite nok til å kunne nøste i hvilken type henvendelse du egentlig har fått.

De to spørsmålene som gir deg svar på om du skal behandle henvendelsen som en protest

For at KI skal fungere best, må du kunne faget ditt. Dette er nært knyttet til hva KI er og hva den ikke er. Den er ikke en sannhetsmaskin, men den gir deg det svaret som er det mest sannsynlige.

Det betyr at du VIL måtte overprøve den. Noe som fordrer at du allerede kan fagfeltet ditt.

Så hvordan skal du nøste i dette? Hvordan kan du identifisere om du skal behandle en henvendelse som du mottar som en protest? Jo, du kan stille disse to spørsmålene, og hvis du svarer ja på begge, er det en protest som du må ta stilling til:

1. Er behandlingen lovlig?

2. Gjelder henvendelsen personlige forhold eller individuelle hensyn på den registrertes side?

Oversikt over prosessen og veileder

Og så anbefaler jeg å lese artikkelen for en grundigere oversikt. Du finner den her.

I dagjobben min har vi også laget en veileder på retten til å protestere. Du finner den her.

Ida Tho 8/31/24 Ida Tho 8/31/24

Tre ting du må huske på når du bruker KI-tech som Copilot

Tre ting du må du må huske på når du bruker KI-tech som Copilot

Photo by Marcel Eberle on Unsplash

Kunstig intelligens rulles nå ut i veldig mange plattformer. Vi er 1,5 år etter at ChatGPT ble lansert på forbrukermarkedet 30. november 2022. Plattformer som Microsoft 365 har tatt i bruk denne teknologien på ulike måter, f.eks. i Copilot.

NTNU publiserte for en tid tilbake siden en rapport fra deres pilot hvor de har testet Copilot i M365. Dette var en del av sandkasseprosjektet til Datatilsynet. Og Datatilsynets rapport vil komme engang ila høsten.

Jeg synes rapporten til NTNU er skikkelig interessant. Dette er de tre tingene jeg sitter igjen med etter å ha lest den.

1. Du må skjønne hvordan KI-teknologi fungerer

For å bruke KI. Må du forstå hva den er, hva den kan gjøre og hva den ikke kan gjøre. Dette virker selvsagt, men la meg understreke at dette både er for at du skal kunne oppfylle krav til personvern (og snart også AI Act) og for at du skal kunne bruke teknologien effektivt.

Du må forstå teknologien før å kunne forklare den til «brukerne dine». Verktøy som Copilot vil behandle personopplysninger.

Copilot kan nemlig sammenlignes med en digital kopi av deg. Den har alle de samme tilgangene som du har, til chat på teams, epostene dine, alle dokumenter som du har tilgang til, både de private du har lagret på jobb-PCen og til alle SharePoint-rom som du noensinne har fått tilgang til.

Det er åpenbart at den vil behandle personopplysninger, og da må du ha oversikt over hvilke, og du må kunne forklare hvordan den fungerer til de registrerte.

Å forstå teknologien er en forutsetning for at du skal kunne bruke den effektivt. Dette er det skrevet mye om, men generativ AI som Copilot, er ikke sannhetsmaskiner.

Basert på hva du ber den om å gjøre, gir den deg et svar i form av en tekst. En tekst som er det sannsynlige svaret på det du har spurt om.

AIen forstår ikke svaret på samme måte som et menneske. En måte å forklare dette på kan være at en mindre moden AI, vil kunne gi deg et svar som ikke gir mening innholdsmessig, men som gir grammatisk mening.

Jeg kan ikke understreke mange nok ganger hvor viktig akkurat dette er å forstå for at du eller virksomheten din skal kunne ta stilling til hvordan du bør bruke AI.

Og dette er en flott overgang til det neste poenget:

2. KI fungerer best når du allerede er en ekspert – ellers vil den kunne påvirke beslutningene dine

For at KI skal fungere best, må du kunne faget ditt. Dette er nært knyttet til hva KI er og hva den ikke er. Den er ikke en sannhetsmaskin, men den gir deg det svaret som er det mest sannsynlige.

Det betyr at du VIL måtte overprøve den. Noe som fordrer at du allerede kan fagfeltet ditt.

Det jeg synes rapporten fra NTNU viser er at KI kan hjelpe deg som fagperson å gjøre jobben din mer effektivt. Men den er også tydelig på at hvis du ikke kan fagfeltet, vil KI noen ganger styre deg i feil retning. Rett og slett fordi du ikke vet nok til å stoppe den.

Det er her jeg ser den risikoen for å komme inn på forbudet mot automatiserte avgjørelser i GDPR artikkel 22, særlig når det kommer til saksbehandling. Kort fortalt sier denne bestemmelsen at du ikke kan bruke KI til å ta en automatisert beslutning som får «rettsvirkning» for en person.

For at noe skal være en automatisert beslutning holder det at et menneske ikke er involvert på en meningsfull måte i beslutningsprosessen.

Og her ser vi tydelig risikoen for at et menneske som ikke kan faget godt vil stole fullt og helt på den KI-genererte teksten som svarer på om en person f.eks. skal få innvilget en søknad om idk borteboerstipend.

Så den tingen jeg tar med meg fra dette poenget i rapporten er at en virksomhet må ta bevisste valg om hvordan KI skal brukes, hvor i organisasjonen den vil være nyttig og hvor i organisasjonen den vil være direkte skadelig.

Min tommelfingerregel er noe à la dette: jeg vil bruke KI for å effektivisere arbeidet mitt på områder jeg allerede kan, ikke til nye ting eller på en måte som tar fra meg «agency», min selvstendighet eller handlekraft.

Og hvis jeg skal bruke den til læring, må jeg dobbeltsjekke kildene den gir meg. Og da er det kanskje ikke verdt det for meg.

3. Organisasjonen din må være ganske moden for kunne bruke KI på en nyttig måte

Rapporten til NTNU understreker at en organisasjon må være ganske moden for å kunne ta i bruk KI på en nyttig og effektiv måte.

I dette ligger det flere ting:

Du må ha en organisasjon som evner å ta stilling til hvor i organisasjonen et KI-verktøy vil være nyttig, og hvor det vil være skadelig. Det betyr at du må kjenne organisasjonen din ganske godt.
Du må ha strukturer på plass for å kunne øke kompetansen hos egne ansatte. Ansatte må forstå hva KI er og hva det ikke er for å kunne bruke det effektivt.
Copilot er en type teknologi som bruker all informasjon som den kommer over i virksomheten din. En av risikoene som NTNU beskriver, er at den bruker ALL informasjon, også mer uformelle informasjonskilder som chat og e-post.
Dette kan justeres, noe som fordrer at du har en IT-infrastruktur hvor noen faktisk kan skru på disse innstillingene. Men det fordrer også at du har kontroll på dokumenter og informasjon i virksomheten din, formelt kalt «informasjonsforvaltning».

Min erfaring er at virksomheter notorisk er veldig dårlige på informasjonsforvaltning. Det tar tid å klassifisere, og klassifisering er ofte avhengig av at folk husker å klassifisere. Det vil si gjøre ENDA en ting på toppen av alle andre arbeidsoppgaver.

Til slutt kommer alle krav til personvern og snart også krav fra AI Act, som virksomheten din også må ta inn over seg. For KI-teknologi som bruker personopplysninger må du både oppdatere alt du har gjort på personvern, OG du vil måtte finne ut hvilke nye krav som kommer i AI Act.

Det forutsetter at virksomheten din allerede er ganske god på personvern, har internkontroll og etterlevelsesdokumentasjon som behandlingsprotokoll på plass, og evner å gjennomføre nye etterlevelsesøvelser. Alt dette krever modenhet.

Og nei, jeg tviler på et noen av oss blir arbeidsledige med det første!

Ida Tho 8/24/24 Ida Tho 8/24/24

Faller muntlig behandling av personopplysninger inn under GDPR?

Photo by Volodymyr Hryshchenko on Unsplash

Det er ikke veldig ofte saklig virkeområde, det vil si om GDPR kommer til anvendelse eller ikke, er relevant for oss som driver med personvern. Så lenge du har å gjøre med en personopplysning, vil som den store hovedregel GDPR gjelde.

Men det finnes unntak.

Så la GDPR la oss dykke mer ned i når GDPR gjelder og når det ikke gjelder ved å se på to eksempler fra når en muntlig behandling av personopplysninger er omfattet av reglene i GDPR, og når det ikke er det.

Ikke-automatisert behandling som inngår i et «register»

Utgangspunktet for GDPRs saklige virkeområde finner vi i GDPR artikkel 2(1). Bestemmelsen sier at all «automatiset behandling av personopplysninger» er omfattet av GDPR. Og dette gir mening. Teknologi har gjort det så mye enklere å behandle store mengder personopplysninger, og da er det nødvendig å stille krav til den behandlingen for at personvernet vårt skal ivaretas.

Men GDPR gjelder også «ikke-automatisert behandling av personopplysninger», men bare når de «inngår» eller «skal inngå» i et «register».

Hva betyr dette?

Det trenger ikke være et formelt register, det holder at du kan gjenfinne informasjonen

Registerbegrepet er vidt. Det omfatter ikke bare det vi normalt tenker på som et register. Dette betyr at noe kan være et register selv om det ikke heter «register» og selv om informasjonen ikke er organisert på dato, og finnes i mapper i et arkivskap.

Hvor finner vi denne definisjonen?

Jo, «register» er definert i GDPR. Nærmere bestemt i artikkel 4(6). Den sier at et register er «enhver strukturert samling av personopplysninger som er tilgjengelig etter særlige kriterier».

Og informasjonen trenger ikke engang være samlet på samme sted for at det skal kvalifisere som et «register». Informasjonen kan være sentralisert, desentralisert eller «spredt på et funksjonelt eller geografisk grunnlag».

Igjen ser vi at GDPR inneholder vide definisjoner. Nettopp for å beskytte personvernet vårt på best mulig måte.

Tommelfingerregel – la oss se til praksis fra EU-domstolen

Så hva kan du ha som tommelfingerregel for når noe er et register? For å svare på om personopplysninger er strukturert på en så systematisk måte at det kan kalles et register, kan du spørre om du klarer å gjenfinne informasjonen.

Sagt på en annen måte, hvis du skal ta tak i informasjon om en person har en pågående straffesak, er spørsmålet om du klarer å finne den informasjonen.

Det var spørsmålet i en sak fra EU-domstolen der spørsmålene var

1. Om det å få muntlig informasjon fra en domstol om en persons pågående straffesaker var en behandling av personopplysninger?

(Ja, det var det)

2. Om behandlingen falt inn under det materielle unntaket i GDPR artikkel 2(1)?

(Nei, det gjorde den ikke)

Og da var konklusjonen at dette var informasjon som kunne gjenfinnes i et register.

Ida Tho 8/17/24 Ida Tho 8/17/24

Noen databehandlere er så store at de trenger å være i en egen kategori

Photo by Patrick Tomasso on Unsplash

Det er ikke ofte jeg tenker på hvordan et regelverk burde være. Jobben min går i aller størst grad ut på å uttale meg om hvordan regelverket ER, hvordan det skal tolkes eller hvilke muligheter som finnes.

Men jeg har tenkt på hvordan GDPR kan forbedres en stund. Det er flere ting jeg kunne ha sagt om detaljene og småting som kan justeres. Men hvis jeg skal koke det ned til én stor ting som jeg ønsker meg, blir det dette:

De aller største tech-gigantene som leverer tjenester og er databehandler bør settes i en egen kategori og pålegges særlige plikter som reflekterer det ekstremt asymmetriske maktforholdet mellom behandlingsansvarlige og databehandler.

La meg forklare!

Et asymmetrisk maktforhold

Jeg jobber for tiden med en nasjonal DPIA hvor KS sammen med en håndfull kommuner gjør en DPIA av Google Workspace for Education i skolen.

Du som har jobbet med DPIAer av tjenester levert av store leverandører (f.eks. Amazon, Google, Microsoft eller Apple), vet at det er notorisk vanskelig å gjøre.

Du vet jo f.eks. ikke hvordan disse selskapene har jobbet med innebygd personvern i de produktene som tilbys på markedet, men det er like fullt ditt ansvar å vurdere det. Og hvordan skal du finne ut av det?

Vel, først prøver du å lete opp informasjonen på hjemmesidene til leverandøren. De har gjerne en del etterlevelsesdokumentasjon som personvernerklæringer, databehandleravtaler og ISO 27 001-sertifiseringer.

Men det er ikke sikkert du finner begrunnelsene hvor hvorfor tjenesten er designet på den måten den er, og at leverandøren virkelig har ivaretatt innebygd personvern.

Da må du snakke med leverandøren. Eller rettere sagt, du PRØVER å ta kontakt med leverandøren. Det er ikke sikkert du får et svar. Mest sannsynlig får du ikke et svar. Eller så får du et BS-svar à la «det finner du på hjemmesiden» eller «we are compliant», og da er du basically like langt.

Det du da ender opp med å gjøre, er det jeg kaller å gå baklengs inn i fulgekassa. Med det mener jeg at du prøver å begrunne på hvilken måte personvernrettighetene og prinsippene er ivaretatt i løsningen, HELT UTEN at du kjenner til designprosessen!

Og det er ganske sjukt, men her er vi.

Da GDPR ble laget, visste lovgiver at det var et asymetrisk maktforhold mellom noen store leverandører / databehandlere og den behandlingsansvarlige. Og som et resultat inneholder GDPR flere krav for databehandler enn tidligere lovgivning.

Men det er ikke nok. Min mening er at noen databehandler må pålegges ekstra krav. Krav som gjør det mulig for den behandlingsansvarlige å ivareta SINE plikter.

Sikre at vi løser de store utfordringene

Jeg har tenkt mye på hva utfordringene i dette personvernlandskapet jeg beveger meg i er. Hva er det vi sliter med, gang på gang, i de leverandørkjedene vi forholder oss til?

Det jeg kommer tilbake til, gang på gang, er at vi lykkes ikke med personvern med mindre de to-tre plattformene som sammen har monopol.

Ja, jeg snakker om Google og Microsoft. For de to selskapene er basically et duopol på markedet for digitale kontortjenester, du kan enten bruke Google Workspace eller Microsoft Office.

Og det betyr etter min mening at vi må regulere dem særskilt. Eller sagt på en annen måte, vi må regulere disse store plattformene særskilt.

Jammen, jammen, sier du kanskje. Men la meg stoppe deg og si en ting til før du kommer med noen innvendinger.

Vi har nå president for å lage egne kategorier som pålegger de aller største selskapene egne plikter:

EUs Digital Service Act gjelder veldig store online plattformer. I regelverket pålegges de egne plikter for å beskytte oss som brukere mot misinformasjon, skadelig innhold og for å gi brukere bedre digitale rettigheter.

Hva betyr dette?

Jo, at vi må restrukturere GDPR. Det er behov for en helt egen kategori for databehandlere som er så store, at behandlingsansvarlige «må» bruke dem.

Og hvis jeg kan ønske meg noe, er det at de pålegges krav som gjør det mulig for de behandlingsansvarlige ivareta SINE plikter.

Det jeg ønsker meg er at de pålegges å lage etterlevelsesdokumentasjon som skal publiseres offentlig, f.eks. på innebygd personvern. Og så vil jeg at de må lage en behandlingsprotokoll per tjeneste, som de også plikter å publisere.

Og at det skal være TYDELIG hvilket avtaleverk som regulerer de forskjellige tjenestene, for der er det en LANG vei å gå.

Og egne sanksjonsmuligheter slik at det blir lettere for datatilsyn å håndheve personvern – også overfor store aktører.

Og så er det sikkert andre ting som jeg ønsker meg, men som jeg ikke kommer på!

Ida Tho 8/10/24 Ida Tho 8/10/24

Tre ting jeg har innsett om tredjelandsvurderinger

Photo by Andrew Stutesman on Unsplash

I dagjobben min har jeg jobbet mye med tredjelandsvurderinger det siste året. Så mye at en kollega og jeg hadde en LinkedIn Live hvor vi snakket om overføringer av personopplysninger til tredjeland for en tid tilbake siden.

Fikk du det ikke med deg, anbefaler jeg deg på det sterkeste å se på opptaket du kan finne her.

La meg bare si at jeg har lært SÅ mye om tredjelandsvurderinger på forholdsvis kort tid. Og det skyldes i all hovedsak at jeg har fått lov til å veilede kollegaen min som har gjort selve arbeidet. Det har vært skikkelig lærerikt.

Og i den forbindelse har jeg innsett tre ting som jeg har lyst til å dele med deg.

1. En tredjelandsvurdering er ikke en risikovurdering, det er en «mini-adekvansvurdering»

Husker du den diskusjonen for noen år siden hvor et større advokatfirma og Datatilsynet kranglet på LinkedIn om du kunne ha en risikobasert tilnærming til overføringer?

Nei? Det er kanskje bare jeg som husker dette som veldig dramatisk fordi jeg er en liten dramaqueen selv. Nuvel! Tilbake til poenget!

Det har lenge vært en diskusjon om man kan ha en risikobasert tilnærming til overføringer. Det jeg har skjønt etter å ha jobbet med dette en stund, er at det spørsmålet egentlig ikke er så relevant.

I 2020 utga EDPB en veileder om «European Essential Garantees for surveillance measures». Veilederen skisserer at du i en tredjelandsvurdering må se på lovene i det landet du skal overføre personopplysninger til. Så må du vurdere om de personverninngrepene som landet har åpnet for ville bli akseptert i EU/EØS.

Innenfor EU/EØS har vi nemlig en rettstradisjon som bare respekterer inngrep i menneskerettighetene under visse forutsetninger. Personvern er en slik menneskerettighet.

Og det betyr at en tredjelandsvurdering ikke er en risikovurdering, men en vurdering av om personverninngrepene som fremgår av lovene i tredjelandet ville bli godtatt i EU/EØS.

Hvis svaret på det er ja, trenger du ikke implementere supplerende tiltak, men hvis svaret er nei, må du.

2. En av grunnene til at dette er vanskelige vurderinger, er at vi ikke er vant til å vurdere om inngrep i lover er legitime

Jeg er jurist. Det betyr at jeg er veldig vant til å tolke loven. Men jeg er mye mindre vant til å vurdere om loven er «lovlig». Altså om de inngrepene i personvernet som loven innebærer er et legitimt inngrep.

Dette er egentlig essensen i menneskerettighetene våre, og personvern er som kjent en menneskerett i vår europeiske kontekst (EMD artikkel 8). Menneskerettighetene – og i forlengelsen av dem – personvernrettighetene, er ikke absolutte. Inngrep i dem kan godtas på visse vilkår.

Men de vurderingene er det som regel bare den Europeiske menneskerettighetsdomstolen eller EU-domstolen som gjør. Som jurister er vi som regel veldig lite interessert i dette. Og det gjør at når vi skal gjøre de vurderingene på lover i land utenfor EU/EØS, er det en veldig fremmed ting.

Og det er med på å gjøre tredjelandsvurderinger ekstra vanskelige.

3. Du som norsk personvernrådgiver er mer kvalifisert til å gjøre denne vurderingen enn det du tror

Når jeg gjør en tredjelandsvurdering, henger jeg meg ofte opp i de tingene jeg ikke kan. Svakhetene jeg som norsk jurist tar med meg.

Og de er mange:

Jeg kjenner ikke til alle lovene i tredjelandet som er relevante. Og når jeg finner lover som jeg tror er relevante, blir jeg usikker på om jeg vet jeg gjerne ikke nok til å vurdere om de kommer til anvendelse.
Jeg blir usikker på om jeg tolker dem riktig. Både fordi de er på et annet språk, men også fordi de er skrevet i en rettstradisjon som jeg ikke er trent i
Jeg vet ikke hvor jeg skal finne praksis som kan gi meg mer innsikt i hvordan de fungerer i praksis.

Disse tingene har gjort at jeg har tenkt at andre enn meg burde gjøre tredjelandsvurderinger. F.eks. jurister som er eksperter på lovene i det landet det er snakk om. Og akkurat det gjør det ekstra vanskelig og stressende å gjøre tredjelandsvurderinger.

Men jeg innså denne uka at du som sitter med en tredjelandsvurdering faktisk ER den beste til å gjøre jobben, for du skal vurdere lovene opp mot rettsstandarden i EU/EØS. Den fiktive juristen jeg tror er bedre rusta til å gjøre dette er IKKE ekspert på det.

Den endringen i tankesett kom ved at jeg forsto bedre hva en tredjelandsvurdering faktisk er.

Jeg sier ikke at de ikke er vanskelige og tar tid, for det er de og det gjør de. Men jeg innså at noen av de hindrene jeg har laget for meg selv, er nettopp det. Hindre JEG har laget fordi jeg tror at jeg ikke er kvalifisert til å gjøre en tredjelandsvurdering.

Og det var en endring i tankesett som har hjulpet meg veldig, og da kan den kanskje også hjelpe deg neste gang du skal gjøre en tredjelandsvurdering!

Ida Tho 8/3/24 Ida Tho 8/3/24

Oversikt over EU - US Data Privacy Framework

Photo by Brandon Mowinkel on Unsplash

I voksenjobben min, var jeg for en tid tilbake nødt til å lese adekvansvurderingen til USA. Du vet det (nye) overføringsgrunnlaget for personopplysninger fra EU/EØS til USA.

Aka EU - US Data Privacy Framework.

Aka the Bain of My Existance! Kjært barn har som kjent mange navn.

Hele adekvansvurderingen er på 134 sider. Det er en liten bok. Det tok tid.

Jeg har en tendens til å bare starte å lese, og så brenne meg litt ut. Så la meg dele mitt beste tips hvis DU også vil lese den: få oversikt over hva den egentlig inneholder. Dette virker selvsagt, men jeg glemmer det ofte.

Så la meg gi deg den oversikten her og poengter hva som er viktigst at du leser og setter deg inn i hvis du skal lese adekvansvurderingen:

Det du ser fra figuren ovenfor er for det første at det er to versjoner av Annex 1. Jepp, jeg har sjekket dette MANGE ganger. Jeg tror det er en feil. Det gir lite mening. I know.

Det andre du ser fra figuren ovenfor er at det dokumentet som her «Commission Implementing Decision of 10.7.2023 pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council on the adequante level of protection of personal data under the EU-US Data Privacy Framework» består av flere ting.

Og mange av de tingene er ikke egentlig relevant. F.eks. har EU-kommisjonen lagt ved en rekke brev fra amerikanske myndigheter som forklarer deler av endringer i forvaltningens tilsyn med etterretningsvirksomhetenes overvåkning.

Men la oss se på de to tingene som jeg tror er mest relevant for deg hvis du skal lese den:

1 Annex 1

Annex 1 til EU – U.S. Data Privacy Framework Principles er selve rammeverket som amerikanske virksomheter som vil sertifiseres må overholde.

Det er en slags mini-versjon av GDPR, med tilpasset innhold og til et formant som amerikanske virksomheter kan overholde. Og det er skrevet av det amerikanske handelsdepartementet.

Hvis du vil vite hvilke krav som amerikanske virksomheter må leve opp til, er det denne delen du leser.

2 Fortalen

The Commission Implementing Decision (eller det jeg har kalt fortalen) er selve adekvansvurderingen. Men selve adekvansvurderingen kommer ikke før i punkt 3 «Access and use of personal data transferred from the European Union by Public Authorities in the United States».

Det er her EU-kommisjonen vurderer hvorfor de nå er sikkert å overføre personopplysninger til USA. Der de går gjennom alle endringer i amerikansk etterretningslovgivning som har skjedd siden Schrems II, og hvorfor disse er gode nok til at europeiske borgere nå får til tilsvarende personvern i USA som i EU/EØS hvor GDPR gjeder.

Hvis du ønsker å forstå de endringene i amerikansk etterretning som nå gjør at EU-kommisjonen mener det er trygt å overføre personopplysninger til USA, er det denne deler du leser.

Det er også denne delen du leser hvis du lurer på hvorfor EU-kommisjonen har kommet til at amerikanske etterretningsmyndigheters og politimyndigheters adgang til innsyn i dine personopplysninger som EU/EØS-borger, er et lovlig inngrep i ditt personvern, og ikke et brudd.

Når jeg sier at «det nå er sikkert å overføre personopplysninger til USA», mener jeg at EU-kommisjonen mener det er sikkert å overføre, FORUTSATT at du overfører personopplysningene til en virksomhet som er sertifisert etter det nye rammeverket.

Jeg vet du vet dette, men jeg sier det likevel.

Ja, jeg vet det er en yrkesskade å ta denne typen forbehold!

Ida Tho 6/22/24 Ida Tho 6/22/24

Mitt beste DPIA-tips? Å spørre de registrerte om hva de mener, her er hvordan!

Photo by Towfiqu barbhuiya on Unsplash

Når du gjør en personvernkonsekvensvurderinger eller Data Protection Impact Assessment (DPIA), skal du spørre den registrerte eller en representant for den registrerte om deres mening om behandlingen. Og ja, dette er en forpliktelse som gjelder «dersom det er relevant». Dersom man vet hvem de registrerte er (og det vil man jo som regel gjøre), skal man spørre de registrerte om hva de mener når man gjør en DPIA.

Min erfaring er at mange hopper over denne delen av DPIAen. Jeg mistenker at det både er fordi dette vil være ekstra arbeid, og fordi det kanskje kan være litt skummelt å snakke med de registrerte. Jeg syntes i alle fall det. Men ikke nå lenger.

Nå foretrekker jeg å innhente den registrertes mening FØR jeg gjør DPIAen. Dette fordi de registrerte, er de som er aller nærmest til å gi deg viktig informasjon om hvilke personvernbekymringer de har. Og dette utrolig nyttig informasjon. Du får direkte informasjon rett fra de som kjenner hvor skoen trykker. Jeg finner alltid flere risikoscenarioer som jeg aldri hadde kommet på, om jeg ikke hadde spurt de registrerte.

Så hvordan kan du gå frem?

Jeg liker å gjøre dette så enkelt som mulig!

Personlig liker jeg å intervjue en gruppe av de registrerte, dette kan være en fagforening hvis de registrerte er ansatte, elevorganisasjonen hvis re registrerte er elever eller en interesse- eller pasientorganisasjon hvis de registrerte f.eks. er pasienter.

Før intervjuet sender jeg gruppen en skriftlig beskrivelse av hvilke personopplysninger som behandles om dem. Dette svarer i stor grad til den delen av DPIAen som beskriver behandlingsaktivitetene.

Under intervjuet presenterer jeg hvordan personopplysningene deres skal behandles muntlig, og så stiller jeg to spørsmål:

Hvilke personvernbekymringer har du på bakgrunn av det du vet om behandlingen av personopplysningene? (Her spør vi om personvernrisiko)
Hva ønsker du at vi skal gjøre med disse bekymringene? (Her spør vi om risikoreduserende tiltak)

Etter intervjuene utarbeider jeg en skriftlig oppsummering som blir sendt til gruppens medlemmer for innspill og rettelser. Oppsummeringen skal ikke inneholde personopplysninger. Det er en sammenstilling av personvernrisikoene som gruppen identifiserte, samt de tiltakene som ble nevnt.

Dette gir deg verdifulle innspill om personvernrisikoer som du kan bruke direkte i DPIAen. Det girt deg også forslag til risikoreduserende tiltak som de registrerte selv tror vil redusere risiko.

I tillegg til å bake inn innspillene i DPIAen, legger jeg ofte med oppsummeringen som et vedlegg til DPIAen. Dette for å synliggjøre hvordan de registrerte ble hørt.

Skal du gjøre en DPIA i nærmeste fremtid? Prøv å innhente den registrertes mening da vel! Det er verdt det 😉

Ps. Den første gangen jeg var på et kurs i hvordan gjøre en DPIA, ble vi bedt om å låse opp telefonen vår. Da vi hadde gjort det, ble vi bedt om å gi den til personen som satt ved sien av oss. Ulåst. Jeg har ikke mange ting på telefonen som ikke tåler dagens lys, men jeg fikk likevel en synkende følelse i magen. Det var ikke snakk om at jeg ville la en fremmed person få innsyn i telefonen min! «Den følelsen dere kjenner der, er den innstillingen dere skal ha når dere gjør en DPIA», sa foredragsholderen. «Dere er interessene til de registrerte som vurderes».

Ida Tho 6/16/24 Ida Tho 6/16/24

Er det å ikke ville vie et likekjønnet par en politisk, religiøs eller filosofisk overbevisning?

Photo by Akira Hojo on Unsplash

Jeg har flere ganger måttet vurdere om noe er en særlig kategori personopplysninger. Denne bloggposten handler om en slik gang. Jepp, dette betyr at det er tid for ✨storytime✨!

En historie fra Den norske kirke

Denne historien kommer fra da jeg var personvernombud i Den norske kirke. Og den starter med at vi fikk en henvendelse fra Datatilsynet.

En prest hadde klagd på at sognepresten hadde laget en liste over alle de prestene som var villige til å vie homofile par i kirken i sognet hvor presten jobbet.

Dette var på det tidspunktet i 2016 da Kirkemøtet, den norske kirkes demokratisk valgte organ, hadde bestemt at homofile skulle få rett til å gifte seg i kirka.

Det var flere prester som var imot dette. Og Kirkemøtet bestemte at de prestene som på grunn av sin personlige overbevisning ikke ville vie homofile, skulle få slippe det. Prester fikk en slags reservasjonsrett som de kunne påberope seg hvis de mente likekjønnet vigsel ikke lot seg forene med deres tro.

En liste med prester

Denne konkrete sognepresten hadde laget en liste med prester som var villige til å vie homofile par. Formålet var administrativt: hvis sognepresten hadde oversikt over hvilke prester som ønsket å vie homofile par, ville det være enklere å vite hvem hun kunne spørre om å gjennomføre vielsen når en annen prest brukte reservasjonsretten for å slippe å vie det homofile paret.

Nå hadde en av de prestene klagd på denne lista. For lista var en behandling av personopplysninger. Og datatilsynet ba oss om å redegjøre for om dette var offisiell kirkepraksis.

Et av de spørsmålene vi så på, var hvilke typer personopplysninger dette var. Det var ganske åpenbart at det var følsomme personopplysninger. Presten som hadde klagd dette inn, refererte til andre verdenskrig og jødeforfølgelsen, og forfølgelse av mennesker med dissenterende politisk mening.

Og selv om jeg syntes det var en litt voldsom sammenligning, hadde presten et poeng.

Temaet likekjønnet kirkelig vigsel – hvorvidt homofile skulle få gifte seg i kirka – hadde vært heftig debattert. Både på Kirkemøtet og i kirkesamfunnet ellers. Nå som det var blitt lov, fikk vi i Kirkerådet telefoner fra troende mennesker som mente at vi hadde gått for langt.

De kjente seg ikke lenger igjen i Kirken, og de følte seg ikke lenger velkomne. De følte seg uglesett. Overkjørt. Selv om det hadde vært en demokratisk prosess og et overveldende flertall for å åpne for at homofile skulle få gifte seg i kirka. Poenget var, uansett hvilken side du tilhørte, ble du utsatt for kritikk. Frontene var steile.

Hvilken type sensitiv personopplysning?

Spørsmålet vi måtte ta stilling til var om opplysningen at en prest ikke ville ta i bruk retten til å reservere seg fra å vie et homofilt par i kirken var en sensitiv personopplysning (eller særlige kategorier av personopplysninger). Det var åpenbart at det var en opplysning knyttet til personlig overbevisning, men hvilken kategori skulle det gå under?

Var det en religiøs eller teologisk overbevisning?

Hvis vi kategoriserte det at en prest ikke ville ta i bruk reservasjonsretten under dette, risikerte vi å ta stilling til det teologiske. Å si at det ene valget var mer teologisk riktig enn det andre. Det var et minefelt vi ikke hadde lyst til å gå ut i.

Var det kanskje en politisk overbevisning?

Det virket ikke nok det heller. På talerstolen på Kirkemøtet hadde flere av representantene, mange prester eller med teologisk bakgrunn, greid ut om hvor personlig og spirituelt dette valget var. Det virket billig å redusere denne overbevisningen til politikk.

Var det en filosofisk overbevisning?

Nei, det virket ikke helt riktig det heller.

Vi kom til at vi ikke trengte å konkludere med hva dette konkret var.

Det var åpenbart at personopplysningen falt inn under en av de tre kategoriene religiøs, politisk eller filosofisk overbevisning, og at lista med prestenavnene derfor inneholdt sensitive personopplysninger.

Hva vi svarte Datatilsynet

Er du nysgjerrig på hva vi svarte Datatilsynet?

Vi fortalte at det å holde slike lister ikke var offisiell kirkepolicy, og at vi mente sognepresten ikke trengte å holde en slik elektronisk oversikt. Sognepresten kunne løse formålet med behandlingen på en annen måte.

Denne lista hadde to formål: 1) sørge for at de parene som ville gifte seg i kirka, faktisk fikk gjort det, samtidig som 2) prester som ville bruke reservasjonsretten fikk tatt den i bruk.

Vi mente at det kunne gjøres ved å håndtere det konkret når en prest faktisk påberopte seg reservasjonsretten. Dette gjennom å behandle det som en reservasjonsrett: utgangspunktet var at det var prestens jobb å vie ethvert par som ønsket å gifte seg i kirka. Presten måtte selv si i fra hvis hen ønsket å bruke reservasjonsretten i det konkrete tilfelle.

Synes du det var feigt av oss? Kanskje. Vi hoppet definitivt over gjerdet der det var lavest. Vi trengte ikke egentlig ta stilling til hvilken type sensitive personopplysning det var snakk om, og da gjorde vi heller ikke det.

Og så resulterte løsningen i at vi på best mulig måte ivaretok prinsippet om dataminimering – nemlig at vi ikke behandlet flere personopplysninger enn det vi faktisk trengte.

Ps. Jobben min i Den norske kirke var min første ordentlige personvernjobb. Jeg har aldri vært særlig religiøs, og det var fascinerende å få innblikk i kirkemiljøet i Norge. For meg var det et eksotisk sted, med overraskende mange personvernproblemstillinger!

Ida Tho 5/22/24 Ida Tho 5/22/24

Når er noe en “automatisert avgjørelse”?

Når er noe en automatisert avgjørelse?

Photo by Jason Leung on Unsplash

Vi som driver med personvern har verktøy i GDPR-verktøykassa vår for å håndtere AI. Nærmere bestemt artikkel 22 om forbudet mot automatiserte avgjørelser. La oss se på hva som skal til for at noe er en automatisert avgjørelse. Dette blir litt jussete så hold deg fast! Eller ikke. I cannot tell you what to do 🤗

Så når er noe en automatisert avgjørelse?

1 Avgjørelsen må «utelukkende være basert på automatisert behandling»

En avgjørelse som «utelukkende» er basert på automatisert behandling er ikke lov. Men «utelukkende» betyr ikke det du tror aka. dette er et eksempel på ordlyd i GDPR som bør endres!

Du som jobber med personvern, har et verktøy i å forhindre at AI tar avgjørelser om deg i artikkel 22. Bestemmelsen sier at avgjørelser som «utelukkende» er basert på automatisert behandling er ikke lov.

Du skulle tro at «utelukkende» betyr «utelukkende». At det betyr at avgjørelsen BARE kan være tatt på bakgrunn av f.eks. AI-vurderinger.

Men det er ikke tilfelle.

Hvis et menneske er involvert i prosessen, men ikke har noen reell innflytelse på resultatet, er det likevel en avgjørelse som «utelukkende er basert på en automatisk behandling». Det holder altså at det ikke er noen meningsfull menneskelig involvering i avgjørelsesprosessen.

Og det endrer betydningen. For det det EGENTLIG står er: «Avgjørelse basert på automatisert behandling uten noen meningsfull menneskelig involvering er ikke lov».

2 Det må være en «avgjørelse»

I dette ligger det at behandlingen av personopplysninger og bruken av AI må brukes til å fatte en beslutning om en person.

Hvis du fatter et forvaltningsvedtak om noen, vil det åpenbart være en «avgjørelse».

Ofte vil denne vurderingen slås sammen med den neste:

3 Avgjørelsen må ha «rettsvirkning» for den registrerte eller på tilsvarende måte ha betydelig påvirkning

Med rettsvirkning menes at avgjørelsen må påvirke rettighetene eller den rettslige statusen til den registrerte.

Det er en litt kronglete måte å si at det må være en avgjørelse av med en viss påvirkning på den registrertes liv. En viss tyngde.

Har vi eksempler på dette? Ja, flere! Fortalen nevner i punkt 71 eksemplene automatiserte behandlinger av dine personopplysninger for å sette en kredittscore eller for å vurdere jobbsøknaden din.

Vi har også en sak fra vårt eget Datatilsyn fra 2020. Der ble standpunktkarakter på IB-linja ansett som en automatisert avgjørelse. Dette bl.a. fordi det hadde påvirkning på elevenes fremtid i form av karakterer, og fordi karaktersettingen var basert blant annet på historiske data fra sluttresultatene til tidligere elever ved den aktuelle skolen.

Tilsynet fattet ikke endelig vedtak i saken av prosessuelle grunner.

Men den sier likevel noe om at det å sette karakter ved bruk av f.eks. ChatGPT, nok vil være en avgjørelse med «rettsvirkning». Og det er jo interessant i disse eksamenstider!

4 Du må se på helse beslutningsprosessen

Dette er et kriterie som kommer fra en dom fra EU-domstolen kalt Schufa-dommen.

Schufa er et tysk selskap som lager en «credit score» eller kredittvurdering på folk. Dette er en vurdering som sier noe om en person sannsynligvis vil kunne betale for seg i fremtiden. Måten Schufa kom frem til denne «scoren», var ved hjelp av en matematisk formel – en algoritme om du vil – som tok i betraktning en rekke parametere basert på data om hvordan andre folks tidligere betalingsevne.

Schufa mente at de ikke var en del av avgjørelsesprosessen, og at de dermed ikke bidro inn i en eventuell automatisert avgjørelse. De hadde nemlig bare gitt informasjon til banken. Det var banken som brukte kredittvurderingen til å fatte en avgjørelse.

Domstolen hørte ikke på dette argumentet.

I stedet konkluderte domstolen med at vilkårene for når noe er en automatisert avgjørelse kan oppfylles på forskjellige tidspunkter og av forskjellige parter.

Hva betyr dette? Jo, at du må se avgjørelseskjeden under ett. Schufa sin etablering av kredittvurdering er en del av avgjørelsen, selv om de ikke fatter endelig avgjørelse.

Og det gjør at leverandører som lager automatiserte beslutningsstøtteverktøy, f.eks. ved bruk av AI eller maskinlæring, VIL være en del av en beslutningskjede, og dermed må respektere forbudet mot automatiserte avgjørelser i artikkel 22.

Ida Tho 5/11/24 Ida Tho 5/11/24

Er en personvernsertifisering som CIPP/E «verdt det»?

Photo by Edu Lauton on Unsplash

Ved ujevne mellomrom får jeg spørsmål om personvernsertifiseringer som CIPP/E er «verdt det».

Så la meg prøve å svare i en bloggpost!

Hvilke sertifiseringer kan du ta gjennom IAPP?

IAPP eller «International Association of Privacy Professionals» er en internasjon organisasjon for oss som driver med personvern profesjonelt. De har flere sertifiseringer du kan ta:

- Certified Information Privacy Professional (CIPP): Viser at du kjenner personvernregelverket f.eks. i EU/EØS

- Certified Information Privacy Manager (CIPM): Viser at du vet hvordan operasjonalisere arbeidet med personvern i en virksomhet

- Certified Information Privacy Technologist (CIPT): Viser at du vet hvordan du skal bygge inn personvern i tekniske løsninger

Jeg har den som kalles CIPP/E – altså den for personvernrådgivere som er spesialisert på EU-regelverket GDPR.

Okay, men er det «verdt det»?

Jeg merker at kundene mine begynner å veie CIPP/E positivt når de utlyser oppdrag. Så for meg er den en bekreftelse overfor dem at jeg kan det jeg snakker om.

Jeg ser også at arbeidsgivere som lyser ut stillinger på personvern noen ganger krever en sertifisering som understøtter hva du kan på området, ellers så sier de at den er «kjekk å ha», altså at det er et pluss, men ikke et krav.

Hvordan går jeg frem får å ta den?

Jeg kan bare svare på hvordan du tar CIPP/E. Jeg pleier å si at hvis du jobber med personvern til daglig, trenger du egentlig ikke å lese så mye til den. Dette er slik jeg forberedte meg til den:

- Jeg leste en introduksjonsbok til personvern bare for å friske opp, men sett i etterkant var det ikke nødvendig

- Jeg gjorde ganske mange oppgaver fra prøveeksamener for å gjøre meg kjent med formatet «multiple choice» fordi det var et format som kan være litt fremmed

Og hvis du virkelig vil sikre deg så leser du seg opp på EU-institusjonene fordi det er noen spørsmål om dem. Etter min erfaring vektes ikke de veldig tungt, så jeg gjorde ikke det, men det kan nok være lurt!

Og når du er klar for å ta den, kjøper sertifiseringseksamen gjennom IAPP her: Certification (iapp.org) Etter du har kjøpt eksamen, finner du den under «MyIAPP Portal» og det er fra dette stedet du bestiller selve eksamensdatoen. Jeg tok min eksamen hos Glasspaper sine lokaler i Brynsveien 12 i Oslo.

Kort fortalt, hvis du kan personvern, gir sertifiseringer som CIPP/E deg ikke noe ekstra faglig, men den viser omverden at du kan personvern. Og det gjør det verdt det for meg :)

Ida Tho 5/6/24 Ida Tho 5/6/24

Hvorfor jeg ikke bruker TikTok

Photo by visuals on Unsplash

For en tid tilbake tiden fikk jeg et åpent spørsmål på LinkedIn. Spørsmålet gikk ut på om jeg kunne forklare hva som er greia med at USA i flere omganger har vurdert å forby TikTok.

Bak USAs vurdering ligger det flere ting. Blant annet sikkerhetspolitiske hensyn som jeg ikke har innsyn i. Så jeg kan åpenbart ikke uttale meg om det.

Men jeg vet hvorfor JEG ikke bruker TikTok. Det er av personvernhensyn, men kan også forklares i hva vi vet om hvordan det står til med rettsikkerheten i Kina.

Lets get into it!

EDPBs utredning om personverntilstanden i Kina

For noen år siden bestilt EDPB (Det europeiske personvernrådet) en utredning om personverntilstanden i landene Kina, Russland og India. Du kan finne den her.

https://www.edpb.europa.eu/system/files/2022-01/legalstudy_on_government_access_0.pdf

Dette er ikke en offisiell tredjelandsvurdering stemplet og godkjent av verken EDPB eller EU-kommisjonen. Men du kan bruke den til DIN tredjelandsvurdering.

Så hva er greia med rettstilstanden i Kina som gjør at jeg ikke vil bruke TikTok?

Veldig kort fortalt: Kina er et diktatur helt uten grunnleggende menneskerettigheter som personvern, ytringsfrihet og organisasjonsfrihet som vi som bor i Norge tar for gitt.

Men hva betyr det rettslig? Rapporten fremhever tre ting som er problematisk med Kina sånn personvernmessig:

1. Lovverket i Kina pålegger både private og offentlige virksomheter å ikke begrense myndighetenes tilgang til personopplysninger

Jepp, la den synke inn: Både offentlige og private virksomheter som opererer i Kina er pålagt å ikke begrense myndighetenes tilgang til de personopplysningene som virksomheten behandler.

Det er et ganske annet utgangspunkt enn det som vi er vandt til i vår rettstradisjon.

2. Det finnes ikke uavhengige tilsyn som skal kontrollere at lovene som regulerer myndighetenes tilgang til personopplysninger ikke misbrukes

Kina har interne kontrollmekanismer for dette, men det er ikke nok.

For at kinas lover skal gi deg som registrert tilsvarende personvern som du har etter GDPR, må landet ha uavhengige tilsynsmekanismer for personvern. Datatilsynet er et eksempel på dette.

3. Du som registrert har ikke noen du kan gå til for å håndheve personvernrettighetene dine

I Norge kan du som registrert klage direkte til den virksomheten det gjelder, gå til Datatilsynet eller domstolene for å få håndhevd personvernrettighetene dine. Det kan du ikke i Kina.

Rapporten bestilt av EDPB beskriver hvordan flere av personvernrettighetene dine ikke gjelder når myndighetene ønsker tilgang til personopplysningene dine.

Jammen jammen, er ikke Kina like ille som USA?

Jeg har ikke tall på hvor mange ganger jeg har beskrevet menneskerettssituasjonen og hvilket rettsvern du har i Kina med tanke på personver, og så fått en reaksjon à la: «Ja, akkurat slik som i USA!».

Min første refleks er alltid å tenke at denne typen uttalelse er feil. Det ER en forskjell på USA og Kina.

USA er fortsatt et demokrati og en rettsstat. Det er et land som har mer uavhengige kontroller i form av f.eks. domstoler enn det Kina har.

Men det er LANGT ifra en perfekt rettsstat. Det er et land som har og fortsetter å gjøre grove menneskerettighetsbrudd. Som et eksempel kan jeg jo nevne at Guantanamo fortsatt eksisterer og der sitter det folk som er fengslet helt uten å være siktet for noe og også uten dom.

Likevel vet jeg hvilket land JEG ville foretrukket å bo i. Før trodde jeg det var nok. Men det er det ikke. Det holder ikke at for de aller fleste av oss nordmenn vil USA være et forholdsvis trygt land sånn med tanke på rettsikkerheten og personvernet vårt.

Om du er en melaninrik nordmann, kanskje også med muslimsk bakgrunn, skjønner jeg GODT at du likestiller Kina og USA. Jeg er ikke enig, men jeg skjønner det.

Jeg forstår at du trekker grensa et annet sted enn jeg fordi folk som ligner på deg har blitt utsatt for LANGT større menneskerettighetsbrudd enn det som folk som ligner på meg har blitt.

Ida Tho 4/15/24 Ida Tho 4/15/24

Det du må vite om Scania-dommen (C-319/22) - krav til supplerende behandlingsgrunnlag

Photo by Ricardo Gomez Angel on Unsplash

Jeg trodde Scania-dommen skulle handle om rammene for hva en personopplysning er. Og dels handler den om det. Men det jeg sitter igjen med etter å ha lest dommen, er ikke innsikt i hvor terskelen for når en opplysning er identifiserende.

Det jeg sitter igjen med er

- En dypere forståelse av når man kan bruke behandlingsgrunnlaget «rettslig forpliktelse» (GDPR artikkel 6 nr. 1 bokstav c) og

- Hvilke kriterier som må være oppfylt for noe skal være et supplerende rettsgrunnlag etter GDPR artikkel 6 nr. 3.

Kort fortalt, når du bruker GDPR artikkel 6 nr. 1 bokstav c) «rettslig forpliktelse» eller GDPR artikkel 6 nr. 1 bokstav e) «oppgave i allmennhetens interesse eller utøvelse av offentlig myndighet» som behandlingsgrunnlag, fremgår det av GDPR artikkel 6 nr. 3 at du også trenger et supplerende behandlingsgrunnlag.

Og det kan du enten finne i nasjonal lovgivning eller i EU-lovgivningen.

(Ja, jeg innser at det er en smule ironisk å skrive en hel artikkel om noe så nørdete som behandlingsgrunnlag i og med at jeg tidligere har rantet at du – Ja, DU – bryr deg for mye om behandlingsgrunnlag. Uansett!)

Litt om faktum

Scania-dommen handler ikke først og fremst om personvern. Den handler om et EU-regelverk som pålegger bilprodusenter å dele data om bilene de lager med virksomheter som skal reparere bilene.

Bilreparatørene er potensielt i konkurranse med bilprodusentene om reparasjon, og i denne saken var den svenske bilprodusenten Scania anklaget for å ikke ha tilgjengeliggjort data på en måte som de var pålagt i EU-regelverket 2018/858 som handler om regulering av bilmarkedet. Du finner den her.

Grunnen til at jeg nevner det med konkurranse, er at dette er en slik sak, der jeg ikke hadde blitt overrasket om Scania brukte GDPR for å slippe å dele opplysninger som kunne komme konkurrentene deres til gode. Men det var ikke spørsmål om innsyn etter GDPR.

Det personvernrelaterte spørsmålet i denne saken, var om bestemmelsen i EU-regelverket 2018/85 om deling av data kunne være et supplerende behandlingsgrunnlag (etter GDPR artikkel 6 nr. 3).

Den ene tingen om terskelen for hva en personopplysning er

Men før vi går inn på det, det som kunne ha blitt en personopplysning er «Vehicule Identification Number» (VIN) - et nummer som skal identifisere den enkelte bilen.

Domstolen sier – ikke overraskende at dette nummeret i seg selv ikke er en personopplysning, men at det blir en personopplysning hvis noen «reasonably likely» kan identifisere en enkeltperson ut ifra det nummeret.

Du som har lest Breyer-dommen vil kjenne igjen den rettslige standarden «reasonably likely» derifra.

Domstolen sa ikke noe mer om VIN var personopplysninger i dette tilfellet, det lot de være opp til den nasjonale domstolen å avgjøre.

Vurderingstemaet for om noe var en rettslig forpliktelse

Det spørsmålet som var oppe for domstolen, var om artikkel 61 nr. 1 i EU-regelverket 2018/85 kunne være supplerende behandlingsgrunnlaget for overføring av personopplysninger fra Scania til reparatører, hvis det skulle viste seg at VIN var en personopplysning.

Domstolen så aller først på hva som skulle til for å bruke «rettslig forpliktelse» som behandlingsgrunnlag. GDPR artikkel 6 nr. 1 bokstav c) sier nettopp at det må være snakk om en «rettslig forpliktelse» eller en «legal obligation».

Hva betyr egentlig det?

Ifølge domstolen betydde det å se på hva artikkel 61 nr. 1 i EU-regelverket 2018/85 egentlig påla Scania. Bestemmelsen pålegger bilprodusenter å dele ganske detaljert informasjon som vil gjøre reparatører i stand til å f.eks. inspisere eller diagnostisere et problem med bilen.

EU-regelverket har også et vedlegg som inneholder ytterligere detaljert informasjon som bilprodusenter som Scania pålegges å dele, f.eks. VIN, og hvordan det skal deles (via en database).

Domstolen konkluderte med at dette var en «rettslig forpliktelse».

Vurdering om supplerende behandlingsgrunnlag

Domstolen gikk så videre til å vurdere om artikkel 61 nr. 1 i EU-regelverket 2018/85 kunne være et supplerende behandlingsgrunnlag.

For å vurdere det, tydeliggjorde EU-domstolen først hvilke krav til supplerende behandlingsgrunnlag som fremgår av GDPR artikkel 6 nr. 3:

Formålet må fremgå av det supplerende behandlingsgrunnlaget
Det må oppfylle et formål i allmennhetens interesse («public objective»)
Det må være proporsjonalt i forhold til formålet (den norske ordlyden er «stå i et rimelig forhold til det berettigede målet som søkes oppnådd»)

Domstolen fant formålet til EU-regelverket 2018/85 i reguleringens fortalepunkt 50: «ensuring effective and undistorted competition on the market for vehicle repair and maintenance information services». Formålet med behandlingen fremgikk dermed av det supplerende behandlingsgrunnlaget.

Domstolen konkluderte raskt med at EU-regelverk som søker å være konkurransefremmede og som muliggjør fri flyt av produkter og tjenester, er i allmennhetens interesse («public objective»).

Når det gjaldt spørsmålet om det supplerende behandlingsgrunnlaget var proporsjonalt, gikk domstolen inn på hvilke data som bilprodusenter som Scania måtte dele. Domstolen pekte på at Scania ville oppfylle delingskravet ved å dele VIN, og at det ikke var lagt frem alternative identifikasjonsmetoder som ville være mindre restriktive og samtidig like effektive for domstolen.

Det domstolen gjorde her, var egentlig å si at det supplerende behandlingsgrunnlaget påla Scania å dele akkurat så mye data som nødvendig for å oppfylle formålet.

Og så konkluderte domstolen elegant med at artikkel 61 nr. 1 i EU-regelverket 2018/85 oppfylte kravene for å kunne være et supplerende behandlingsgrunnlag!

Kunnskap som hersketeknikk

Hva du som personvernrådgiver verdsetter vs. hva folk som ikke driver med personvern ønsker av deg

Når du skal være raus med andre, må du ha rom til å nørde

De individuelle personverninteressene

1 Innsyn

2 Diskresjon

3 Fullstendighet

4 Privatlivets fred

De kollektive interessene

1 Borgervennlig forvaltning

2 Robust samfunn

3 Begrenset overvåkning

Det handler ikke om kjøleskapet

Jobben min er ikke å stole på deg, jobben min er å lage systemer slik at jeg slipper

👉🏻 Rose deg masse slik at når du må justere, føles det ikke så voldsomt.

👉🏻 Skille mellom hva som er materielle endringer som vi MÅ gjøre fordi det blir riktig, og endringer som skyldes mine personlige preferanser

👉🏻 Skjerme deg fra lite konstruktive tilbakemeldinger

👉🏻 Vise deg hvordan jeg bruker mine seniorer for QA

👉🏻 Vise deg at det oppdragsgiver vil er å få oppgaven gjort, det handler ikke om oss

Utgangspunktet for barns samtykkekompetanse og unntak

Er barn på 13 generelt modne nok til å gi informert samtykke for bruk av SOME?

Løsningen? Skikkelig usexy, men: håndhevelse av det regelverket vi allerede har

Behandlingsgrunnlag, behandlingsgrunnlag, behandlingsgrunnlag

Et ganske sikkert veddemål er at informasjonskravet ikke er oppfylt

Jeg angriper ikke min egen kronikk

En vanskelig rettighet å forstå og forholde seg til

De to spørsmålene som gir deg svar på om du skal behandle henvendelsen som en protest

Oversikt over prosessen og veileder

1. Du må skjønne hvordan KI-teknologi fungerer

2. KI fungerer best når du allerede er en ekspert – ellers vil den kunne påvirke beslutningene dine

3. Organisasjonen din må være ganske moden for kunne bruke KI på en nyttig måte

Ikke-automatisert behandling som inngår i et «register»

Det trenger ikke være et formelt register, det holder at du kan gjenfinne informasjonen

Tommelfingerregel – la oss se til praksis fra EU-domstolen

Et asymmetrisk maktforhold

Sikre at vi løser de store utfordringene

Hva betyr dette?

1. En tredjelandsvurdering er ikke en risikovurdering, det er en «mini-adekvansvurdering»

2. En av grunnene til at dette er vanskelige vurderinger, er at vi ikke er vant til å vurdere om inngrep i lover er legitime

3. Du som norsk personvernrådgiver er mer kvalifisert til å gjøre denne vurderingen enn det du tror

1 Annex 1

2 Fortalen

En historie fra Den norske kirke

En liste med prester

Hvilken type sensitiv personopplysning?

Hva vi svarte Datatilsynet

Hvilke sertifiseringer kan du ta gjennom IAPP?

Okay, men er det «verdt det»?

Hvordan går jeg frem får å ta den?

EDPBs utredning om personverntilstanden i Kina

Så hva er greia med rettstilstanden i Kina som gjør at jeg ikke vil bruke TikTok?

Jammen jammen, er ikke Kina like ille som USA?

Litt om faktum

Den ene tingen om terskelen for hva en personopplysning er

Vurderingstemaet for om noe var en rettslig forpliktelse

Vurdering om supplerende behandlingsgrunnlag

For rådgivning, ta kontakt på personverntakk [at] pm.me