Her finner du en oversikt over alle nyhetsartiklene vi har publisert de siste årene.
-
Det europeiske personvernrådet (EDPB) har kommet med retningslinjer om avvikshåndtering med eksempler på avvik etter personvernregelverket. Retningslinjene er endelig vedtatt etter å ha ligget ute på offentlig høring.
-
Datatilsynet vil i 2022 gjennomføre tilsyn fordelt på både privat og offentlig sektor. Sentrale områder innenfor personopplysningsloven med forordning vil da kontrolleres.
-
– Det er en milepæl for sandkasseprosjektet at vi nå publiserer den første rapporten, sier Datatilsynets direktør Bjørn Erik Thon. Den regulatoriske sandkassa ble etablert for å hjelpe fram innovasjon av ansvarlig kunstig intelligens, og Thon er trygg på at mange vil ha stor nytte av både denne og de andre rapportene, som vil komme på løpende bånd framover.
-
Schrems II-dommen sier at alle som overfører personopplysninger ut av EØS må vurdere beskyttelsesnivået for personopplysninger i hvert enkelt land. Denne studien kan understøtte dette arbeidet.
-
Google sporer innbyggerne på offentlige nettsider og Datatilsynet mener Facebook gir høy risiko for brukernes personvern. Hva kan gjøres?
-
Datatilsynet har ilagt Østre Toten kommune et overtredelsesgebyr på 4 millioner kroner. Kommunen er også pålagt å implementere et egnet styringssystem for informasjonssikkerhet og personopplysningssikkerhet.
-
Datatilsynet har gitt Elektro & Automasjon Systemer AS et overtredelsesgebyr på 200 000 kroner for å ha kredittvurdert en person uten rettslig grunnlag.
-
Justis- og beredskapsdepartementet har sendt ut et høringsforslag om endringer i politiloven, politiregisterloven og -forskriften. Det foreslås blant annet å åpne for at PST kan lagre, systematisere og analysere store mengder åpent tilgjengelig informasjon til etterretningsformål.
-
Det skjedde i de dager, for en 3-4 år siden. Og årets #juletilsyn avsluttes med en høytlest lovprising av nettopp det som skjedde da.
-
Om du definerer Rudolf og co som villrein eller tamrein er ikkje det avgjerande for om kameraet på taket ditt juridisk er eit viltkamera eller eit ulovleg overvakingskamera. I vårt #juletilsyn tek vi i dag for oss ei tilbakevendande misforståing.
-
Er det eit fly? Er det ei stjerne? Er det Superman? Nei, og det er heller ikkje julenissen. Det er ein drone. Ein av eit utal droner, som blinkar på himmelen. Kan du tippe korfor vårt #juletilsyn har fokus på droner i dag?
-
Datatilsynet varsler et forbud mot behandlingen av personopplysninger i nettleserverktøyet «Shinigami Eyes», for brudd på kravet til rettslig grunnlag og manglende informasjon til de registrerte (brukerne).
-
Julenissen har i alle år promotert glede, og arbeidet på nissens verkstad har blitt framstilt som ein leik. Vårt #juletilsyn har no avslørt at stemninga ikkje er udelt euforisk.
-
Julenissen har gjort omfattande oppgraderingar på informasjonstryggleiksfronten i løpet av vårt #juletilsyn. Men éin ting let seg ikkje idiotsikre: hans eigen hjerne.
-
Det er imponerende hvor kjapt og lett julenissen sporer opp alle klodens snille barn i løpet av et døgn. Datatilsynets utsendte på #juletilsyn er mindre imponert over hvor lett han selv lar seg spore.
-
Datatilsynets regulatoriske sandkasse har blitt nominert til Bedre stat-prisen 2022, ein pris som premierer prosjekt som har effektivisert eller forbedra offentleg sektor.
-
«Gjenbruk og delingsøkonomi skal redde verda», seier julenissen. Men vårt #juletilsyn konkluderer med at julenissen fullstendig har misforstått kva delingsøkonomi er.
-
Datatilsynet har vedtatt et overtredelsesgebyr på 65 millioner kroner til datingappen Grindr for brudd på samtykkekravene i personvernforordningen (GDPR).
-
I vårt #juletilsyn har vi plukket mange hint fra kjære julesanger om hvor vi bør sette inn støtet. I dag har det ført oss til et eventyrland et stykke sør for Nordpolen.
-
I vårt #juletilsyn har vi først og fremst fokus på julenissens etterlevelse av personvernforordningen (GDPR). Men i dag tillater vi oss å lytte til hans klagesang. Han mener nemlig hans eget personvern blir krenket år etter år. Og det er særlig en julesang som har skapt trøbbel for ham.
-
I juletilsynsluka den 8. desember tok vi for oss forskjellen mellom julenissen og Datatilsynet. Men det finnes også likhetstrekk. Vi har begge et ambivalent forhold til luciadagen. Det er tema for dagens #juletilsyn.
-
Også på Nordpolen har dei fått opp auga for målretta marknadsføring. I dagens #juletilsyn ser vi på juleoppdateringane mange raust deler mellom anna på sosiale medier, og konsekvensane av dei.
-
Omikron endrer spillereglene, sa byrådslederen. Og det er nettopp spillereglene på by'n, som er tema for dagens #juletilsyn.
-
Datatilsynet har sendt Trumf et varsel om overtredelsesgebyr på fem millioner kroner. Bakgrunnen er at Trumf-medlemmer har kunnet registrere andres kontonummer på medlemsprofilen og dermed skaffe seg tilgang til andres handlehistorikk.
-
Jula er tid for sju slag, og i dagens #juletilsyn følgjer vi tipset om at julenissen manglar magemål når det kjem til eit heilt spesielt kakeslag. For det som er søtt og godt for nissen, har ein bitter bismak for Datatilsynet.
-
Datatilsynet har vedtatt å gi Statens pensjonskasse (SPK) et overtredelsesgebyr på 1 million kroner. Bakgrunnen for vedtaket er at SPK har hentet inn unødvendige inntektsopplysninger om ca. 24 000 personer.
-
Jula er høysesong for hemmeligheter. Det er dessverre også sesong for dårlig hemmelighold, og for alle som prøver å avsløre disse hemmelighetene. I dagens #juletilsyn er vi nysgjerrige på hvor godt nissen vokter sine hemmeligheter.
-
Datatilsynet har varslet et overtredelsesgebyr på 150 000 kroner til NTNU for ulovlig innsyn i en ansatts e-postkasse.
-
Bryt nissen lova, når han lokkar barn til å sende ønskelister til Nordpolen? Det er spørsmålet som blir reist i dagens #juletilsyn.
-
Datatilsynets utsendte på #juletilsyn på Nordpolen havnet midt i en mobbesak. Da må man selvsagt hjelpe, og gjøre det man kan. Og det Datatilsynet kan, er jo personvern. (Og nå også reinsdyrvern?)
-
Vi er i gang med #juletilsyn av nissen, men sjølv Datatilsynet kan la seg distrahere til tider. I dag har vi hengt oss opp i noko som rett nok ikkje er vår sak å gjennomføre kontroll med, men som både vi og mange andre har vore opptekne av i det siste.
-
Juletilsynet er i gang. Det første vi sjekker, er julenissens påståtte registrering og kategorisering av barns handlinger. Dersom det virkelig er snakk om et register over alle barn på kloden, er det potensielt det største personvernregelbruddet i historien.
-
Det europeiske personvernrådet har sendt på høring retningslinjer som skal hjelpe virksomheter med å identifisere hva som er og hva som ikke regnes som en overføring av personopplysninger til tredjeland etter personvernforordningen.
-
Helse- og omsorgsdepartementet vedtok den 19. november 2021 en endring i covid-19-forskriften. Dette åpner for at kommunene kan innføre regler for bruk av koronasertifikat.
-
Landbruks- og matdepartementet har foreslått endringer i lov om hundehold. Departementet ønsker å oppnå en lov som i større grad bidrar til å forebygge at skader og ulemper relatert til hundehold oppstår, og å skape større forutsigbarhet.
-
Datatilsynet har sendt et brev til statsforvalteren i landets fylker for å klargjøre hvorfor vi ikke kan behandle saker som gjelder retten til sletting og som også gjelder arkivplikt.
-
Datatilsynet og Foreningen Personvernombudene inviterer til digitalt seminar om personvernombudsrollen onsdag 1. desember.
-
Datatilsynet har varslet at det vil gjennomføres et tilsyn med Kriminalomsorgsdirektoratet 9. november. Dette blir gjennomført i direktoratets lokaler på Lillestrøm.
-
Datatilsynet har valgt ut tre nye prosjekter, som skal få grundig og konstruktiv sparring i den regulatoriske sandkassa for ansvarlig kunstig intelligens.
-
Datatilsynet har varslet Østre Toten kommune om et overtredelsesgebyr på fire millioner kroner på grunn av mangler ved personopplysningssikkerheten og tilhørende internkontroll.
-
Vi ber om endringer i forslaget til ny ekomlov og regelen om bruk av informasjonskapsler – såkalte cookies. Formålet er at internettbrukere i Norge skal få tilbake kontroll over sine personopplysninger.
-
Justis- og beredskapsdepartementet har sendt ut et høringsforslag om endringer i politiloven, politiregisterloven og politiregisterforskriften. Det foreslås blant annet å åpne for at PST kan lagre, systematisere og analysere store mengder åpent tilgjengelig informasjon til etterretningsformål.
-
Datatilsynet har gitt Ultra-Technology AS et overtredelsesgebyr på 125 000 kroner for å ha kredittvurdert en person uten rettslig grunnlag.
-
Datatilsynet har vedtatt å gi St. Olavs hospital et overtredelsesgebyr på 750 000 kroner på grunn av manglende tilgangsstyring av mappeområder utenfor pasientjournalen.
-
Datatilsynet har vedtatt å gi Høylandet kommune 200 000 kroner i overtredelsesgebyr. Bildefiler med helseopplysninger om personer uten tilknytning til kommunen lå tilgjengelig for ansatte ved helsestasjonen.
-
Datatilsynet har gitt innspill til utkast til forskrift om innhenting av politiattest, gjelds- og kredittopplysninger ved arbeid eller tjeneste for Norges Bank.
-
Datatilsynet ilegger et overtredelsesgebyr på 5 millioner kroner til det norske bompengeselskapet Ferde. Selskapet skal blant annet ulovlig ha overført personopplysninger om norske bilister til Kina.
-
Hva slags risiko for personvernet kan det ha når en virksomhet kommuniserer gjennom Facebook? Og hvilket ansvar for behandlingen av personopplysninger har de? Vi har gjort en grundig vurdering av personvernkonsekvensene ved å skulle opprette en egen side på Facebook.
-
Det har kommet inn over 20 søknader til Datatilsynets sandkasse for kunstig intelligens, i håp om å få grundig og konstruktiv sparring rundt personvernfloker. Dette er andre opptaksrunde til sandkassa, knapt et halvår etter den første, så søknadsbunken vitner om at det skjer mye spennende på KI-fronten i Norge.
-
Med innføringen av personvernforordningen, ble det obligatorisk for en rekke virksomheter å opprette personvernombud (PVO), og ombudene fikk en sentral rolle i etterlevelsen av regelverket. Vi har gjennomført en undersøkelse der vi har sett nærmere på ombudenes erfaringer, og laget en rapport der vi presenterer funn og anbefalinger.
-
Datatilsynet ber direktoratet om å utarbeide en behandlingsprotokoll, samt å fremlegge internkontroll og dokumentasjon som viser hvordan behandlingsansvaret er plassert i hele etaten.
-
Da vi skulle plukke ut de første sandkasseprosjektene av en fin bunke søknader fra store og små - offentlige som private - aktører, så vi et gjennomgående problem. Mange hadde ikke behandlingsgrunnlaget på plass. Nå lanserer vi i samarbeid med DigitalNorway redningen for dere som ikke skjønte forrige setning: Et lynkurs i personvern for innovasjonsprosjekter.
-
Onsdag 1. september var det digitalt orienteringsmøte for alle potensielle søkere til Datatilsynets regulatorisk sandkasse for ansvarlig kunstig intelligens.
-
Datatilsynet har på grunnlag av en rapport fra Forbrukerrådet sendt en rekke spørsmål til gentestingsselskapet.
-
Datatilsynets KI-sandkasse inviterte til webinar ope for alle på jakt etter ekte kunnskap om kunstig intelligens måndag 30. august.
-
Datatilsynet krev eit gebyr på 100 000 kroner frå Waxing Palace AS. Verksemda driv ein voksesalong, og der har dei kameraovervaka resepsjonsområdet i strid med personvernforordninga.
-
I fjor så Datatilsynet på karaktersettingen ved IB-linjene i den videregående skolen. Mange opplevde å få karakterer basert på andre elevers prestasjoner. Datatilsynet varslet vedtak som førte til at IB gjorde endringer. Nå avsluttes saken.
-
Datatilsynet er positive til flere av anbefalingene i utredningen som handler om grunnlaget for verdiskaping, produksjon, sysselsetting og velferd etter pandemien. Vi savner likevel en diskusjon av utfordringene knyttet til informasjonssikkerhet ved hjemmekontor.
-
Etter Datatilsynets syn er ikke rammene i departementets forslag tilstrekkelig klare. Vi savner også en grundigere redegjørelse for kontrollmekanismene.
-
Datatilsynet har mottatt flere klager på nettleserutvidelsen «Shinigami Eyes», som er tilgjengelig på Chrome og Firefox. Vi sender nå krav om redegjørelse til utvikleren.
-
Datatilsynet har sendt et varsel om irettesettelse til Den norske kirke (DNK) for brudd på personvernforordningen. Bakgrunnen for saken er at DNK samlet inn fødselsmeldinger til medlemmers barn fra Folkeregisteret i en og en halv måned etter at tillatelsen deres til å motta disse folkeregisteropplysningene opphørte.
-
EU-kommisjonen har vedtatt at Storbritannia har et godt nok beskyttelsesnivå for personopplysninger. Det betyr at man kan fortsette å overføre personopplysninger til Storbritannia uten ekstra forpliktelser, selv om Storbritannia ikke lenger er en del av EØS. Beslutningen er gyldig i fire år.
-
Datatilsynet har gitt Moss kommune eit gebyr på 500 000 kroner for ikkje å ha sikra personopplysningar godt nok. Feilen er retta opp, og saka er avslutta.
-
Arendalsuka ble i år arrangert fra 16. til 20. august, og Datatilsynet deltok i flere arrangementer. Personvernets status i Norge og verden anno 2021, barn og unges personvern, datadeling og kunstig intelligens er bare noe av det vi var med på å debattere.
-
Sliter du med personvernregelverket i forbindelse med kunstig intelligens? Det gjør på en måte Datatilsynet også. For på et så ferskt felt er det nemlig lite rettspraksis å vise til. Teknologien ligger i forkant av jussen. Men Datatilsynets sandkasse for ansvarlig kunstig intelligens kan gi gjensidig hjelp.
-
Bakgrunnen for saken er en klage fra en tidligere ansatt som opplevde at arbeidsgiveren gjorde innsyn i den tidligere ansattes e-postkasse.
-
Det europeiske personvernrådet (EDPB) har revidert veiledningen sin om overføring av personopplysninger til land utenfor EØS med nye anbefalinger og presiseringer.
-
Utdanningsdirektoratet og Datatilsynet er stolte over å endelig kunne vise frem en helt nyoppusset versjon av dubestemmer.no – en nettside der særlig elever og lærere, men også andre, kan lære om personvern og digital dømmekraft.
-
Datatilsynet har gitt BRAbank et overtredelsesgebyr på 400 000 kroner for brudd på personvernforordningen. Saken gjelder manglende risikovurdering og testing i forbindelse med lansering av en kundeportal for banktjenester.
-
EU-kommisjonen har nå vedtatt en standard databehandleravtale og ny standardavtale for overføring av personopplysninger til tredjeland.
-
Datatilsynet ber selskapet Smartere Utdanning AS om å utbetre løysinga dei har for å hente inn samtykke, slik at den oppfyller krava i personvernforordninga.
-
Justis- og beredskapsdepartementet ønsker å samle inn flypassasjerinformasjon frå alle norske borgarar, og lagre opplysningane i fem år. I høyringssvaret gjer Datatilsynet det klart at ei slik lagringstid er for lang.
-
Datatilsynet har sendt vedtak om overtredelsesgebyr på 1 million kroner til Innovasjon Norge. Saken gjelder kredittvurdering uten behandlingsgrunnlag.
-
Tidligere i vår ga vi et høringssvar om militærpolitiets behandling av personopplysninger. I forslaget ble det åpnet for å gi Forsvaret en bred tilgang til direkte søk i politiets registre. Vi mente at dette ikke er nødvendig for at militærpolitiet kan utføre sine oppgaver.
-
Det europeiske personvernrådet (EDPB) har sendt retningslinjer om anvendelsen av artikkel 65 på offentlig høring. Det samme gjelder en tilleggsveiledning om vurdering av sertifiseringskriterier.
-
Vi har gitt høringssvar til forslaget fra Helse- og omsorgsdepartementet om endringer i smittevernloven, og støtter i det store og hele forslaget. Vi mener imidlertid at departementets senere vurderinger av hvilke instanser og virksomheter som skal kunne kreve å se koronasertifikatet, også bør sendes på høring.
-
Datatilsynets tilsyn med Oslo universitetssykehus HF (OUS) viser at sykehuset ikke kan dokumentere at de har kontroll over pasientenes opplysninger når det trenger laboratorietjenester fra andre land.
-
Datatilsynet har gitt Norges idrettsforbund (NIF) et overtredelsesgebyr på 1 250 000 kroner for brudd på personvernforordningen. Bakgrunnen for saken er at personopplysninger om 3,2 millioner nordmenn ble liggende tilgjengelig på nett i 87 dager etter en feil i forbindelse med test av en skyløsning.
-
Behandlingen av personopplysninger, for eksempel vaksinestatus, må være forholdsmessig, den må respektere personvernprinsippene, og ikke gå lenger enn nødvendig.
-
Datatilsynet varsler gebyr på 5 millioner kroner til det norske bompengeselskapet Ferde for blant annet å ha ulovlig overført personopplysninger om norske bilister til Kina.
-
Regjeringen jobber med koronasertifikat for å åpne opp samfunnet mer under pandemien. Sertifikatet skal være klart i juni. Forslaget er nå ute på høring.
-
Datatilsynet varsler gebyr på 25 millioner kroner til selskapet Disqus for brudd på ansvarlighetsprinsippet, kravet til rettslig grunnlag og manglende informasjon til de registrerte.
-
Vinneren av innebygd personvernprisen 2020 er «Anonyme Tokens». Gruppen bak bidraget har utviklet en løsning som gir brukere med en positiv COVID-19-test økt anonymitet ved bruk av appen Smittestopp.
-
Datatilsynet har utlyst nok en konkurranse for å løfte frem gode eksempler på praktisk bruk av innebygd personvern i tekniske løsninger.
-
Datatilsynet inviterer alle som har utviklet en løsning, applikasjon eller et system i tråd med kravene til innebygd personvern til å delta i konkurransen «Innebygd personvern i praksis 2021». Vi har også en egen kategori for studenter, der premien er et stipend på 20 000 kr.
-
Datatilsynet har gitt Basaren Drift AS et overtredelsesgebyr på 200 000 kroner for brudd på personvernforordningen. Saken gjelder kameraovervåking av restaurantlokaler.
-
Vinneren av konkurransen «Innebygd personvern i praksis 2020» er nå kåret. Datatilsynet inviterte til innlegg, debatt og prisutdeling. Se opptak av webinaret.
-
Datatilsynet har gitt Asker kommune et overtredelsesgebyr på én million kroner. Gebyret gis etter at kommunen publiserte taushetsbelagte personopplysninger og fødselsnummer på hjemmesiden sin.
-
Datatilsynet har vedatt et overtredelsesgebyr på 35 000 kroner til Miljø- og Kvalitetsledelse AS for ulovlig oversendelse av personopplysninger fra kameraopptak.
-
EU har foreslått et rammeverk for sertifikater som viser om du har blitt vaksinert mot korona, hatt korona eller testet negativt for korona. Det europeiske personvernrådet (EDPB) har sammen med datatilsynet for EU-organene (EDPS) kommet med en formell uttalelse om personvernaspektene.
-
I dag bruker hele verden det såkalte qwerty-tastaturet (oppkalt etter bokstavene øverst til venstre på tastaturet). Datatilsynet har gjort en grundig utredning av hva vi egentlig avslører gjennom måten vi taster på, og varsler nå at qwerty-tastaturet må byttes ut med Dvorák-tastaturet fra 2022.
-
Det europeiske personvernrådet (EDPB) har sendt retningslinjer om virtuelle stemmeassistenter på offentlig høring. Retningslinjene identifiserer noen av de mest relevante utfordringene på området og gir anbefalinger til interessenter om hvordan disse utfordringene skal adresseres.
-
Datatilsynet krev kraftselskapet Dragefossen AS for eit gebyr på 150 000 kroner. Gebyret vert gitt etter at selskapet kameraovervaka Rognan sentrum og kringkasta opptaka direkte på internett utan rettsleg grunnlag.
-
Datatilsynet har gitt ein fagleg uttale til Barne- og familiedepartementet om personvernkonsekvensane av ei eventuell utviding av gjeldsinformasjonsordninga til å omfatte fleire typar gjeld. Vi peikar på fleire personvernmessige utfordringar ved ei slik utviding.
-
Datatilsynet har vedteke å gje Ålesund kommune eit overtredelsesgebyr på 50 000 kronar for deira bruk av treningsappen Strava.
-
I to høringer er det foreslått lovendringer for å gjennomføre EUs digitalytelsesdirektiv og moderniseringsdirektiv i Norge. Datatilsynet mener at forholdet til personvernregelverket er for uklart i forslagene, og at regelverkene må samordnes bedre for å unngå forvirring hos både næringsdrivende og forbrukere.
-
Datatilsynet varslet 21. januar 2021 et gebyr på 100 millioner kroner til datingappen Grindr for brudd på samtykkekravene i personvernforordningen (GDPR). Vi har nå mottatt merknader til varselet fra både Grindr og Forbrukerrådet.
-
Nå er de fire første prosjektene, som får delta i Datatilsynets regulatoriske sandkasse for ansvarlig kunstig intelligens, klare. I sandkassen skal de utforske og utfordre et juridisk utfordrende terreng.
-
Det er for tiden mange som kontakter Datatilsynet angående NAVs tjeneste arbeidsplassen.no. NAV har selv opplyst i en melding at de har gjort tilgjengelig opplysninger om CV-er uten å ha tilstrekkelige hjemler for dette.
-
Ei verksemd har fått vedtak om gebyr på 250 000 kroner for ulovleg vidaresending av e-posten til ein tilsett. Namnet på verksemda er unntatt offentlegheit for å skjerme identiteten til de tilsette.
-
Datatilsynet mottar mange henvendelser om helseboka.no (Helseboka) og om registrering av personopplysninger i denne løsningen i forbindelse med testing av og vaksinering mot Covid-19. Vi har hatt kontakt med Helseboka for å lære mer om løsningen og hvordan de behandler personopplysninger i den.
-
Datatilsynet har mottatt flere klager og tips angående Jehovas vitners behandling av personopplysninger. Vi sender nå krav om redegjørelse til trossamfunnet.
-
Datatilsynet har gitt høringssvar om militærpolitiets behandling av personopplysninger. I forslaget åpnes det for å gi Forsvaret en bred tilgang til direkte søk i politiets registre, uten at dette er nødvendig for at militærpolitiet kan utføre sine oppgaver.
-
Torsdag 4. februar arrangerte Datatilsynet sin tredje rundbordskonferanse om personvern i skolen. Tema var som tidligere sentrale aktørers strategiske arbeid for å ivareta personopplysningssikkerheten til elever i grunn- og videregående skole i Norge, og det er grunn til en viss optimisme.
-
Datatilsynet krev 200 000 kroner i gebyr frå Cyberbook AS for ulovleg automatisk vidaresending av e-posten til ein tidlegare tilsett.
-
Det europeiske personvernrådet (EDPB) har vedtatt retningslinjer om avvikshåndtering med eksempler på hva som er avvik etter personvernregelverket.
-
Datatilsynet varsler gebyr på 100 millioner kroner til datingappen Grindr for brudd på samtykkekravene i personvernforordningen (GDPR).
-
I høringen er det foreslått at det skal innføres en plikt for tilbydere av ekomtjenester til å lagre IP-adresser, slik at politiet kan få tilgang til IP-adressene for å forebygge og etterforske kriminelle handlinger.
-
Datatilsynet har gjeve Aquateknikk AS eit gebyr på 100 000 kroner for å ha kredittvurdert ein privatperson utan rettsleg grunnlag.
-
- Det er eit tydeleg teikn på at det skjer mykje spennande KI-innovasjon i Norge, og at det er eit ønske om å verne personvernet på ein god måte, seier Kari Laumann. Ho er prosjektleiar for Datatilsynets ferske tilbod, ei regulatorisk sandkasse for ansvarleg kunstig intelligens.
-
Også personvernet har blitt påvirket av pandemien. Både digital smittesporing og vaksinepass reiser viktige spørsmål om personlig frihet og hensynet til resten av samfunnet.
-
Datatilsynet har fattet vedtak om overtredelsesgebyr på 400 000 kroner til Coop Finnmark SA. Saken gjelder ulovlig deling av et kameraopptak fra en butikk.
-
Vi har ansatt Veronica Jarnskjold Buer som ny avdelingsdirektør for Teknologi, analyse og sikkerhet. Hun kommer fra stillingen som fagdirektør i Datatilsynet, og har bred erfaring med teknologi, samfunn og ledelse.
-
Datatilsynet krev eit gebyr på 75 000 kroner frå Gveik AS for å ha gjennomført ei kredittvurdering utan rettsleg grunn.
-
Datatilsynet har vedteke at Lindstrand Trading AS får eit gebyr på 100 000 kroner for til saman fire kredittvurderingar av enkeltpersonar og enkeltpersonføretak utan rettsleg grunnlag.
-
Datatilsynet har sendt Innovasjon Norge et varsel om overtredelsesgebyr på 1 million kroner. Saken gjelder fire kredittvurderinger av en enkeltperson og hans enkeltpersonforetak uten behandlingsgrunnlag.
-
En ny, midlertid forskrift sier at Storbritannia ikke skal regnes som et tredjeland etter personopplysningsloven. Dermed kan man fritt overføre personopplysninger til Storbritannia på samme måte som man kan innad i EØS.
-
Mandag 21. desember lanserte Folkehelseinstituttet (FHI) den nye appen Smittestopp. - Personvernet er så langt vi kan se ivaretatt, sier Bjørn Erik Thon.
-
Onsdag 16. desember arrangerte vi et digitalt informasjonsmøte om sandkassa, der det ble stilt mange relevante spørsmål fra de ca. 60 deltagerne.
-
Justis- og beredskapsdepartementet har foreslått en hjemmel for å registrere personer som ankommer Norge fra et område som medfører karanteneplikt. Vi har i vårt høringssvar særlig kommentarer til formålsangivelsen og til metodene for utlevering av data fra den reisende.
-
Datatilsynet har kome med høyringssvar til eit forslag frå Justis- og beredskapsdepartementet der det er foreslått utvida tilgang til deling av informasjon i forvaltninga. Forslaget har etter vår vurdering fleire svakheiter.
-
Flere kommuner har tatt i bruk Google sine løsninger i grunnskolen. Datatilsynet har på bakgrunn av bekymring hos flere foresatte sett nærmere på tre kommuner som har tatt i bruk Google Chromebook og G Suite for Education. Det ble avdekket betydelige mangler og kommunene har nå fått varsel om irettesettelse.
-
Onsdag den 25. november sendte Opinion AS ut en epost til alle personvernombud i Norge på vegne av Datatilsynet. Vi skulle gjerne hatt flere svar og oppfordrer deg som er personvernombud om å svare dersom du ikke allerede har gjort det.
-
Høgskolen i Innlandet (HINN) er et av få studiesteder som tilbyr deltidsstudier i personvern. Studiet skal gi deltakerne en grunnleggende kompetanse om personvernregelverket slik at de blir kvalifisert for å bidra til å etterleve lovgivningen i sine virksomheter.
-
Datatilsynet har sendt Norges idrettsforbund (NIF) et varsel om overtredelsesgebyr på 2,5 millioner kroner. Bakgrunnen for saken er at personopplysninger om 3,2 millioner nordmenn ble liggende tilgjengelig på nett i 87 dager etter en feil i forbindelse med test av en skyløsning.
-
Vi har gitt en irettesettelse til Telenor Norge AS for manglende personopplysningssikkerhet i talepostkassefunksjonen, og for manglende avviksmelding til Datatilsynet.
-
Den 31. desember 2020 opphører Brexit-overgangsperioden. Det betyr blant annet at alle som overfører personopplysninger til Storbritannia etter denne datoen må følge reglene om overføring av personopplysninger til tredjeland.
-
Datatilsynet har gjennom en brevkontroll bedt Ordr AS om å redegjøre for tjenesten sin. Dette blir blant annet gjort for å avklare hvordan ansvaret etter personvernregelverket ivaretas hos en aktør som tilbyr kontaktløs bestilling og betaling, samt hos serveringsstedene som bruker tjenesten.
-
Datatilsynet har vedtatt å gi Indre Østfold kommune et overtredelsesgebyr på 200 000 kroner for brudd på konfidensialitet. Personopplysninger som skulle vært skjermet ble gjort tilgjengelig for uvedkommende.
-
Arendal kommune har likevel rettslig grunnlag for å behandle personopplysninger i kartleggingsverktøyet Spekter, men må utarbeide rutiner for bruk av undersøkelsen og sørge for at eleven får oppfylt sine rettigheter etter personvernregelverket. Det slår Personvernnemnda fast.
-
Datatilsynet har gitt Tolldirektoratet eit endeleg vedtak om overtredelsesgebyr på 400.000 kroner. Gebyret er nedjustert i forhold til varselet som vart gitt i 2019. Saka gjeld innsamling og bruk av opplysningar frå kamera utan lov.
-
Regjeringa har varsla at kapitla om tilrettelagt innhenting i den nye etterretningstenestelova ikkje trer i kraft 1. januar 2021 som planlagt. Datatilsynet er nøgde med den foreløpige avgjerda.
-
Mandag la Helse- og omsorgskomiteen fram sin innstilling om endringer i helseregisterloven m.m. om tilgjengeliggjøring av helseopplysninger og andre helsedata. Datatilsynet var kritiske til forslagene i høringsrunden, og fremholder bekymringen til innstillingen som nå er lagt frem.
-
Det europeiske personvernrådet (EDPB) har vedtatt mer utfyllende veiledning om Schrems II-dommen. Alle som overfører eller planlegger å overføre personopplysninger til land utenfor EØS, bør lese veiledningen.
-
Er det mulig å utvikle kunstig intelligens og praktisere dataminimering samtidig? Hvor forklarbar må egentlig en algoritme være? Og hvordan kan vi sørge for at kunstig intelligens tar rettferdige avgjørelser? Vi markerer åpningen av sandkassen for kunstig intelligens og håper du vil følge med.
-
Datatilsynet i Norge har ledet Det europeiske personvernrådets (EDPB) arbeid med å utarbeide retningslinjer for innebygd personvern og personvern som standardinnstilling. Retningslinjene er nå endelig vedtatt av rådet etter å ha vært ute på offentlig høring.
-
Datatilsynet har vedtatt et overtredelsesgebyr på 750 000 kroner til Sykehuset Østfold HF. Bakgrunnen er at sykehuset i perioden 2013-2019 lagret rapportuttrekk fra pasientjournal utenfor sikker sone. Saken startet med en avviksmelding fra sykehuset.
-
Datatilsynet vedtok tidligere i høst et overtredelsesgebyr til Bergen kommune fordi personopplysninger i kommunikasjonssystemet mellom skole og hjem ikke var godt nok sikret. Vi har nå påpekt overfor Vigilo at også de må ta ansvar for kommunikasjonssvikten mellom selskapet og kommunen.
-
EU-domstolen har avsagt to dommer som konkluderer med at generell og udifferensiert innsamling av teledata i bulk er i strid med kommunikasjonsvernsdirektivet. Dommene har betydning for den planlagte massinnsamlingen av kommunikasjonsdata i ny lov om etteretningstjenesten, som ikke kan innføres slik det er vedtatt av Stortinget.
-
I oktober 2020 arrangeres nasjonal sikkerhetsmåned for 10 gang i Norge. Målet med Nasjonal sikkerhetsmåned er å bidra til en sikrere digital hverdag for virksomheter og befolkningen. Datatilsynet deltar i flere arrangementer relatert til informasjonssikkerhet.
-
Datatilsynet har gitt Odin Flissenter AS et overtredelsesgebyr på 150 000 kroner for å ha kredittvurdert et enkeltpersonforetak uten rettslig grunnlag.
-
Datatilsynet har gitt innspel til ny pengespellov frå Kulturdepartementet. Vi meiner risikospelarar ikkje berre treng eit vern mot å spele for mykje, spelarane treng også eit tydeleg vern mot at opplysningane om spelemønsteret deira kjem i feil hender.
-
I desember skal Datatilsynet lansere en sandkasse for ansvarlig kunstig intelligens (KI). Før vi setter i gang ønsker vi å høre fra aktører som jobber med, eller har interesse for, kunstig intelligens for å få innspill til hvordan sandkassen bør innrettes for å oppleves mest mulig relevant og nyttig.
-
Regjeringen har besluttet å avvikle Smittestopp-appen. Folkehelseinstituttet (FHI) får i oppdrag å anskaffe en ny app, kun for smittesporing, basert på det internasjonale rammeverket fra Google og Apple.
-
Næringslivets sikkerhetsråd (NSR) har kartlagt sikkerhetstilstanden hos over 1600 virksomheter i privat og offentlig sektor. Mørketallsundersøkelsen gir et innblikk i norske virksomheters holdninger knyttet til digital sikkerhet, kunnskap, forebygging og beredskap.
-
Vi mottar jevnlig henvendelser fra virksomheter som har spørsmål om besøksregistrering i forbindelse med smittesporing – både fra steder som ønsker å registrere besøkende og tilbydere av tjenester for registrering. Her er litt generell veiledning i hvilke personvernregler som gjelder i forbindelse med slik registrering.
-
Datatilsynet har sendt ut brev til flere aktører som benytter eller er involvert leveringen av lokasjonsbasert SMS-varsling, for å undersøke hvordan disse tjenestene fungerer og hvordan ansvaret etter personvernregelverket er fordelt mellom partene.
-
Forskningsstiftelsen Simula, som utviklet Smittestopp for Folkehelseinstituttet (FHI), har nylig publisert en rapport som sammenligner alternative løsninger for digital smittesporing.
-
Det europeiske personvernrådet (EDPB) har vedtatt retningslinjer om behandlingsansvar og databehandlere samt målretting på sosiale medier. Dessuten har EDPB lagt en plan for det videre arbeidet med Schrems II-dommen.
-
Datatilsynet har no gitt Bergen kommune eit endeleg vedtak om overtredelsesgebyr på 3 millionar kroner. Personopplysningar i kommunikasjonssystemet mellom skule og heim var ikkje godt nok sikra.
-
Datatilsynet mottok den 23. august ei avviksmelding frå Sykehuset Innlandet. Dei skildra der at det har skjedd eit datainnbrot i fleire av sjukehuset sine datasystem. Saka er nå no teke opp til behandling.
-
Datatilsynet har for første gang etter at personvernforordningen trådte i kraft i 2018, godkjent bindende virksomhetsregler for en virksomhet.
-
Datatilsynet har sendt varsel om irettesetting til Bodø Kommunale Pensjonskasse (BKP). Varselet er gitt med bakgrunn i opplysningar om at BKP har sendt statistikk som inneheld identifiserbare helseopplysningar om sine forsikringstakarar til Bodø kommune.
-
Datatilsynet har gitt Statens vegvesen et overtredelsesgebyr på 400 000 kroner for å ha behandlet personopplysninger til formål som er uforenlige med det opprinnelige formålet, og for ikke å ha slettet kameraopptak etter 7 dager.
-
Datatilsynet har utlyst en konkurranse for å løfte frem gode eksempler på praktisk bruk av innebygd personvern i tekniske løsninger.
-
Datatilsynet inviterer alle som har utviklet en løsning, applikasjon eller et system i tråd med kravene til innebygd personvern til å delta i konkurransen "Innebygd personvern i praksis". Vi har også en egen kategori for studenter, der premien er et stipend på 20 000 kr.
-
Datatilsynet har i vinter gjennomført en personvernundersøkelse blant befolkningen. Funnene viser en gjennomgående følelse av mangel på kontroll, varierende grad av tillit og tydelige tegn på nedkjøling.
-
Det europeiske personvernrådet (EDPB) har nylig vedtatt retningslinjer om forholdet mellom personvernforordningen (GDPR) og EUs andre betalingstjenestedirektiv (PSD2). Retningslinjene er sendt på offentlig høring frem til 16. september 2020.
-
Datatilsynet mener IBO har behandlet personopplysninger på en urettferdig måte og at årets IB-karakterer er ukorrekte. Vi har derfor sendt IBO et forhåndsvarsel om at vi vil pålegge dem å fastsette karakterene på nytt.
-
I Schrems II-dommen kommer EU-domstolen med tilleggskrav for overføring av personopplysninger til land utenfor EØS (tredjeland). Det vil si at det ikke lenger er tilstrekkelig å bruke et gyldig overføringsgrunnlag slik som EU-kommisjonens standardbestemmelser eller bindende konsernregler (BCR).
-
Den siste uken har flere medier skrevet om videregåendeelever på IB-linjen som fikk lavere karakterer enn de trodde, blant annet basert på historiske data om tidligere elever. Karaktersettingen reiser flere spørsmål etter personvernregelverket. Datatilsynet har derfor åpnet sak.
-
EU-domstolen har avsagt en ny, prinsipiell dom om overføring av personopplysninger til USA, gjerne kalt Schrems II-dommen, der Privacy Shield er kjent ugyldig. Kjernen i saken er forholdet mellom europeisk personvern og amerikanske overvåkingslover når personopplysninger blir overført fra Europa til USA.
-
Datatilsynet har vedtatt et overtredelsesgebyr på 500 000 kroner til Rælingen kommune. Gebyret blir gitt etter at helseopplysninger om barn på tilrettelagt avdeling ble behandlet i den digitale læringsplattformen Showbie.
-
Etter at Arendalsuka ble avlyst, mistet vi årets største møteplass for politikk, organisasjons- og næringsliv. DN har derfor laget en alternativ arena 11.-13. august for debatt og viktige samtaler. Datatilsynet deltar med en egen sesjon om elevers personvern.
-
Datatilsynet mottok i mai 2020 en melding om brudd på personopplysningssikkerheten (avviksmelding) fra Universitetssykehuset i Nord-Norge HF (UNN). Vi ble der varslet om at det ved publisering av postlister hadde blitt lagt ut feil dokument, og har nå bedt om en redegjørelse.
-
Datatilsynet har send krav om redegjørelse til Oslo Universitetssykehus HF (OUS) i forbindelse med at taushetsbelagte opplysninger om pasienter skal ha vært offentligjort via offentlig postjournal over en periode på tre år.
-
Datatilsynet har vedtatt et midlertidig forbud mot å behandle personopplysninger knyttet til appen Smittestopp. Som varslet tidligere, mener vi at Smittestopp ikke kan anses som et forholdsmessig inngrep i brukernes grunnleggende personvernrettigheter.
-
Datatilsynet har sendt Odin Flissenter et varsel om pålegg og overtredelsesgebyr på 300 000 kroner. Saken gjelder kredittvurderingen av et enkeltpersonsforetak uten behandlingsgrunnlag.
-
Folkehelseinstituttet (FHI) har uttalt seg innen fristen til Datatilsynets varsel om midlertidig forbud mot behandling av personopplysninger knyttet til appen Smittestopp.
-
Regjeringen har i dag den 23. juni oppnevnt et utvalg som skal vurdere personvernets stilling i Norge. Sjefredaktør og konsernsjef John Arne Moen vil lede personvernkommisjonen, som skal levere sin utredning innen 1. desember 2021.
-
Datatilsynet har sendt Aquateknikk AS et varsel om pålegg og overtredelsesgebyr på 300 000 kroner. Saken gjelder Aquateknikks kredittvurdering av en enkeltperson uten behandlingsgrunnlag.
-
Datatilsynet har varslet Folkehelseinstituttet (FHI) om at vi vil legge ned et midlertidig forbud mot å behandle personopplysninger tilknyttet appen. FHI stanser nå bruken av Smittestopp midlertidig.
-
I ei hastehøyring foreslo Arbeids- og velferdsdepartementet ei forskrift for å effektivisere NAV si sakshandsaming i samband med covid-19-pandemien. I den endelege forskrifta har departementet tatt omsyn til fleire av innspela våre.
-
Vinneren av innebygd personvernprisen 2019 er NAV med bidraget "Gjør test til en fest! Løsning for syntetiske testdata". Vinnerne av studentprisen var i år OsloMET og studentene bak bacheloroppgaven "Anonymization as a Service".
-
World Citizen Report er en tjeneste for selvrapportering av symptomer på covid-19. Formålet med tjenesten er å lage et globalt register som skal overleveres til nasjonale helsemyndigheter, samt å lage statistikk. Vi har sendt selskapet som står bak, ME DATA AS, et brev med krav om redegjørelse.
-
Sbankens systemer gir automatisk alle etternavn stor forbokstav, men nekter å rette opp når en enkeltperson gir beskjed om hvordan deres navn skrives. Datatilsynet pålegger nå Sbanken å rette en enkeltperson sine personopplysninger, slik personen har rett til etter personvernforordningen.
-
Norges energi- og vassdragsdirektorat (NVE) har lagt fram et forslag om endringer i reglene om personkontroll ved ansettelser. Dette innebærer blant annet at personell som skal ha tilgang til klassifiserte anlegg og systemer må legge frem politiattest og skal kredittsjekkes.
-
Vi varsler vedtak om irettesettelse mot Telenor Norge AS for manglende personopplysningssikkerhet i talepostkassefunksjonen, og for manglende avviksmelding til Datatilsynet.
-
Tidligere denne måneden avslørte NRK hvordan det britiske selskapet Tamoco selger nordmenns lokasjonsdata. Datatilsynet har diskutert videre oppfølging med kollegaer i Europa, og nå har det britiske datatilsynet bekreftet at de vil se på saken.
-
Vi har fått den gode nyheten om at regjeringen har tildelt Datatilsynet ekstra midler for å starte arbeidet med å opprette en regulatorisk sandkasse. Vi går derfor nå i gang med vår storsatsing for å bidra til utviklingen av gode løsninger for kunstig intelligens.
-
Regjeringen har lagt frem forslag til ny etterretningstjenestelov (e-lov). Vi har sendt inn et høringsinnspill som skal presenteres i Stortinget 28. mai, og mener fortsatt at forslaget ikke burde gjennomføres.
-
Datatilsynet har sendt Bergen kommune et varsel om overtredelsesgebyr på 3 millioner kroner. Personopplysninger i skolens kommunikasjonssystem mellom skole og hjem var ikke tilstrekkelig sikret.
-
Datatilsynet følger opp kontrollen av appen Smittestopp. Vi ber nå Folkehelseinstituttet (FHI) om å redegjøre for flere forhold, blant annet om evalueringer de har gjort av nytteverdien av appen.
-
Datatilsynet har mottatt avviksmeldinger fra fylkeskommunene i Agder, Trøndelag og Innlandet angående sårbarheten som er avdekket i programvaren Conexus.
-
Datatilsynet har besluttet å åpne sak mot gentestingsselskapet MyHeritage etter å ha mottatt en rapport om selskapet fra Forbrukerrådet. Ifølge rapporten er informasjonen som blir gitt brukerne av tjenesten så uklar at det strider mot personvernforordningen.
-
Forslaget fra Kommunal- og moderniseringsdepartementet (KMD) har etter vår vurdering en svakhet ved at forholdet til personvernforordningen og kravene den stiller ikke er kommentert.
-
Kommentarfeltløsningen samlet inn personopplysninger om norske borgere uten å informere om det. Det amerikanske selskapet visste ikke at Norge er omfattet av personvernforordningen.
-
Datatilsynet har varslet Folkehelseinstituttet (FHI) om vedtak om pålegg knyttet til appen Smittestopp. Bakgrunnen er at vi mener det er mangler ved FHIs behandlingsprotokoll og risiko- og sårbarhetsanalysen som er gjort i forbindelse med app-løsningen.
-
NRK avslørte i helgen hvordan det britiske selskapet Tamoco selger bevegelsene til et stort antall nordmenn. Datatilsynet ser svært alvorlig på dette og følger saken videre.
-
Appen Smittestopp er nå lastet ned av svært mange, og Datatilsynet følger med på utviklingen. Det er enighet om at måten å registrere folks bevegelser på slik det gjøres i appen, er et inngrep i den enkeltes personvern. Vi har derfor valgt å føre kontroll med appen.
-
Regjeringens nye etterretningstjenestelov innebærer både rettslige og faktiske utfordringer for personvernet.
-
Datatilsynet mener forslagene har omfattende konsekvenser for personopplysningsvernet. Det er avgjørende at tiltakene er nødvendige og forholdsmessige, også i en unntakssituasjon. Den mest inngripende delen av forslaget bør etter vår mening ikke innføres i sin nåværende form.
-
Regjeringen legger onsdag fram sitt forslag til ny etterretningstjenestelov.
-
Folkehelseinstituttet har lansert appen Smittestopp. Datatilsynet er positive til at det brukes applikasjoner og annen type teknologi for å bekjempe pandemien – og i siste instans bidra til å redde liv. Vi har samtidig understreket at alle personverninngripende tiltak må være nødvendige, egnede og forholdsmessige.
-
Datatilsynet mener det er viktig at trafikanter får klar og tydelig informasjon om den nye betalingsordningen.
-
I slutten av mars ble det vedtatt en forskrift som åpner for å etablere et automatisert sporingssystem basert på sporing av mobiltelefon og nedlastet applikasjon (app). Det er Folkehelseinstituttet, i samarbeid med andre aktører, som utvikler appen som kan bidra til å redusere tiden som brukes på smitteoppsporing.
-
Forslaget innebærer blant annet endringer i reglene om behandling av personopplysninger som gjøres for å forhindre og avdekke hvitvasking.
-
Datatilsynet har varslet en butikk under Coop Finnmark SA om overtredelsesgebyr på 400 000 kroner. Saken gjelder utlevering av kameraopptak med barn involvert.
-
Datatilsynet har sendt varsel til Rælingen kommune om et overtredelsesgebyr på 800 000 kroner. Varselet kommer etter at helseopplysninger om barn med fysisk og psykisk funksjonshemming ble behandlet i den digitale læringsplattformen Showbie.
-
Vi skal kåre vinnere av fjorårets konkurranse om innebygd personvern, og i den anledning inviterte vi til et åpent frokostseminar i tillegg til prisutdeling og presentasjon av finalistene. Arrangementet er nå avlyst da det kan gi grunnlag for smittespredning.