-
En ny, midlertid forskrift sier at Storbritannia ikke skal regnes som et tredjeland etter personopplysningsloven. Dermed kan man fritt overføre personopplysninger til Storbritannia på samme måte som man kan innad i EØS.
-
Mandag 21. desember lanserte Folkehelseinstituttet (FHI) den nye appen Smittestopp. - Personvernet er så langt vi kan se ivaretatt, sier Bjørn Erik Thon.
-
Onsdag 16. desember arrangerte vi et digitalt informasjonsmøte om sandkassa, der det ble stilt mange relevante spørsmål fra de ca. 60 deltagerne.
-
Justis- og beredskapsdepartementet har foreslått en hjemmel for å registrere personer som ankommer Norge fra et område som medfører karanteneplikt. Vi har i vårt høringssvar særlig kommentarer til formålsangivelsen og til metodene for utlevering av data fra den reisende.
-
Datatilsynet har kome med høyringssvar til eit forslag frå Justis- og beredskapsdepartementet der det er foreslått utvida tilgang til deling av informasjon i forvaltninga. Forslaget har etter vår vurdering fleire svakheiter.
-
Flere kommuner har tatt i bruk Google sine løsninger i grunnskolen. Datatilsynet har på bakgrunn av bekymring hos flere foresatte sett nærmere på tre kommuner som har tatt i bruk Google Chromebook og G Suite for Education. Det ble avdekket betydelige mangler og kommunene har nå fått varsel om irettesettelse.
-
Onsdag den 25. november sendte Opinion AS ut en epost til alle personvernombud i Norge på vegne av Datatilsynet. Vi skulle gjerne hatt flere svar og oppfordrer deg som er personvernombud om å svare dersom du ikke allerede har gjort det.
-
Høgskolen i Innlandet (HINN) er et av få studiesteder som tilbyr deltidsstudier i personvern. Studiet skal gi deltakerne en grunnleggende kompetanse om personvernregelverket slik at de blir kvalifisert for å bidra til å etterleve lovgivningen i sine virksomheter.
-
Datatilsynet har sendt Norges idrettsforbund (NIF) et varsel om overtredelsesgebyr på 2,5 millioner kroner. Bakgrunnen for saken er at personopplysninger om 3,2 millioner nordmenn ble liggende tilgjengelig på nett i 87 dager etter en feil i forbindelse med test av en skyløsning.
-
Vi har gitt en irettesettelse til Telenor Norge AS for manglende personopplysningssikkerhet i talepostkassefunksjonen, og for manglende avviksmelding til Datatilsynet.
-
Den 31. desember 2020 opphører Brexit-overgangsperioden. Det betyr blant annet at alle som overfører personopplysninger til Storbritannia etter denne datoen må følge reglene om overføring av personopplysninger til tredjeland.
-
Datatilsynet har gjennom en brevkontroll bedt Ordr AS om å redegjøre for tjenesten sin. Dette blir blant annet gjort for å avklare hvordan ansvaret etter personvernregelverket ivaretas hos en aktør som tilbyr kontaktløs bestilling og betaling, samt hos serveringsstedene som bruker tjenesten.
-
Datatilsynet har vedtatt å gi Indre Østfold kommune et overtredelsesgebyr på 200 000 kroner for brudd på konfidensialitet. Personopplysninger som skulle vært skjermet ble gjort tilgjengelig for uvedkommende.
-
Arendal kommune har likevel rettslig grunnlag for å behandle personopplysninger i kartleggingsverktøyet Spekter, men må utarbeide rutiner for bruk av undersøkelsen og sørge for at eleven får oppfylt sine rettigheter etter personvernregelverket. Det slår Personvernnemnda fast.
-
Datatilsynet har gitt Tolldirektoratet eit endeleg vedtak om overtredelsesgebyr på 400.000 kroner. Gebyret er nedjustert i forhold til varselet som vart gitt i 2019. Saka gjeld innsamling og bruk av opplysningar frå kamera utan lov.
-
Regjeringa har varsla at kapitla om tilrettelagt innhenting i den nye etterretningstenestelova ikkje trer i kraft 1. januar 2021 som planlagt. Datatilsynet er nøgde med den foreløpige avgjerda.
-
Mandag la Helse- og omsorgskomiteen fram sin innstilling om endringer i helseregisterloven m.m. om tilgjengeliggjøring av helseopplysninger og andre helsedata. Datatilsynet var kritiske til forslagene i høringsrunden, og fremholder bekymringen til innstillingen som nå er lagt frem.
-
Det europeiske personvernrådet (EDPB) har vedtatt mer utfyllende veiledning om Schrems II-dommen. Alle som overfører eller planlegger å overføre personopplysninger til land utenfor EØS, bør lese veiledningen.
-
Er det mulig å utvikle kunstig intelligens og praktisere dataminimering samtidig? Hvor forklarbar må egentlig en algoritme være? Og hvordan kan vi sørge for at kunstig intelligens tar rettferdige avgjørelser? Vi markerer åpningen av sandkassen for kunstig intelligens og håper du vil følge med.
-
Datatilsynet i Norge har ledet Det europeiske personvernrådets (EDPB) arbeid med å utarbeide retningslinjer for innebygd personvern og personvern som standardinnstilling. Retningslinjene er nå endelig vedtatt av rådet etter å ha vært ute på offentlig høring.
-
Datatilsynet har vedtatt et overtredelsesgebyr på 750 000 kroner til Sykehuset Østfold HF. Bakgrunnen er at sykehuset i perioden 2013-2019 lagret rapportuttrekk fra pasientjournal utenfor sikker sone. Saken startet med en avviksmelding fra sykehuset.
-
Datatilsynet vedtok tidligere i høst et overtredelsesgebyr til Bergen kommune fordi personopplysninger i kommunikasjonssystemet mellom skole og hjem ikke var godt nok sikret. Vi har nå påpekt overfor Vigilo at også de må ta ansvar for kommunikasjonssvikten mellom selskapet og kommunen.
-
EU-domstolen har avsagt to dommer som konkluderer med at generell og udifferensiert innsamling av teledata i bulk er i strid med kommunikasjonsvernsdirektivet. Dommene har betydning for den planlagte massinnsamlingen av kommunikasjonsdata i ny lov om etteretningstjenesten, som ikke kan innføres slik det er vedtatt av Stortinget.
-
I oktober 2020 arrangeres nasjonal sikkerhetsmåned for 10 gang i Norge. Målet med Nasjonal sikkerhetsmåned er å bidra til en sikrere digital hverdag for virksomheter og befolkningen. Datatilsynet deltar i flere arrangementer relatert til informasjonssikkerhet.
-
Datatilsynet har gitt Odin Flissenter AS et overtredelsesgebyr på 150 000 kroner for å ha kredittvurdert et enkeltpersonforetak uten rettslig grunnlag.
-
Datatilsynet har gitt innspel til ny pengespellov frå Kulturdepartementet. Vi meiner risikospelarar ikkje berre treng eit vern mot å spele for mykje, spelarane treng også eit tydeleg vern mot at opplysningane om spelemønsteret deira kjem i feil hender.
-
I desember skal Datatilsynet lansere en sandkasse for ansvarlig kunstig intelligens (KI). Før vi setter i gang ønsker vi å høre fra aktører som jobber med, eller har interesse for, kunstig intelligens for å få innspill til hvordan sandkassen bør innrettes for å oppleves mest mulig relevant og nyttig.
-
Regjeringen har besluttet å avvikle Smittestopp-appen. Folkehelseinstituttet (FHI) får i oppdrag å anskaffe en ny app, kun for smittesporing, basert på det internasjonale rammeverket fra Google og Apple.
-
Næringslivets sikkerhetsråd (NSR) har kartlagt sikkerhetstilstanden hos over 1600 virksomheter i privat og offentlig sektor. Mørketallsundersøkelsen gir et innblikk i norske virksomheters holdninger knyttet til digital sikkerhet, kunnskap, forebygging og beredskap.
-
Datatilsynet har sendt ut brev til flere aktører som benytter eller er involvert leveringen av lokasjonsbasert SMS-varsling, for å undersøke hvordan disse tjenestene fungerer og hvordan ansvaret etter personvernregelverket er fordelt mellom partene.
-
Forskningsstiftelsen Simula, som utviklet Smittestopp for Folkehelseinstituttet (FHI), har nylig publisert en rapport som sammenligner alternative løsninger for digital smittesporing.
-
Det europeiske personvernrådet (EDPB) har vedtatt retningslinjer om behandlingsansvar og databehandlere samt målretting på sosiale medier. Dessuten har EDPB lagt en plan for det videre arbeidet med Schrems II-dommen.
-
Datatilsynet har no gitt Bergen kommune eit endeleg vedtak om overtredelsesgebyr på 3 millionar kroner. Personopplysningar i kommunikasjonssystemet mellom skule og heim var ikkje godt nok sikra.
-
Datatilsynet mottok den 23. august ei avviksmelding frå Sykehuset Innlandet. Dei skildra der at det har skjedd eit datainnbrot i fleire av sjukehuset sine datasystem. Saka er nå no teke opp til behandling.
-
Datatilsynet har for første gang etter at personvernforordningen trådte i kraft i 2018, godkjent bindende virksomhetsregler for en virksomhet.
-
Datatilsynet har sendt varsel om irettesetting til Bodø Kommunale Pensjonskasse (BKP). Varselet er gitt med bakgrunn i opplysningar om at BKP har sendt statistikk som inneheld identifiserbare helseopplysningar om sine forsikringstakarar til Bodø kommune.
-
Datatilsynet har gitt Statens vegvesen et overtredelsesgebyr på 400 000 kroner for å ha behandlet personopplysninger til formål som er uforenlige med det opprinnelige formålet, og for ikke å ha slettet kameraopptak etter 7 dager.
-
Datatilsynet har utlyst en konkurranse for å løfte frem gode eksempler på praktisk bruk av innebygd personvern i tekniske løsninger.
-
Datatilsynet inviterer alle som har utviklet en løsning, applikasjon eller et system i tråd med kravene til innebygd personvern til å delta i konkurransen "Innebygd personvern i praksis". Vi har også en egen kategori for studenter, der premien er et stipend på 20 000 kr.
-
Datatilsynet har i vinter gjennomført en personvernundersøkelse blant befolkningen. Funnene viser en gjennomgående følelse av mangel på kontroll, varierende grad av tillit og tydelige tegn på nedkjøling.
-
Det europeiske personvernrådet (EDPB) har nylig vedtatt retningslinjer om forholdet mellom personvernforordningen (GDPR) og EUs andre betalingstjenestedirektiv (PSD2). Retningslinjene er sendt på offentlig høring frem til 16. september 2020.
-
Datatilsynet mener IBO har behandlet personopplysninger på en urettferdig måte og at årets IB-karakterer er ukorrekte. Vi har derfor sendt IBO et forhåndsvarsel om at vi vil pålegge dem å fastsette karakterene på nytt.
-
Den siste uken har flere medier skrevet om videregåendeelever på IB-linjen som fikk lavere karakterer enn de trodde, blant annet basert på historiske data om tidligere elever. Karaktersettingen reiser flere spørsmål etter personvernregelverket. Datatilsynet har derfor åpnet sak.
-
EU-domstolen har avsagt en ny, prinsipiell dom om overføring av personopplysninger til USA, gjerne kalt Schrems II-dommen, der Privacy Shield er kjent ugyldig. Kjernen i saken er forholdet mellom europeisk personvern og amerikanske overvåkingslover når personopplysninger blir overført fra Europa til USA.
-
Datatilsynet har vedtatt et overtredelsesgebyr på 500 000 kroner til Rælingen kommune. Gebyret blir gitt etter at helseopplysninger om barn på tilrettelagt avdeling ble behandlet i den digitale læringsplattformen Showbie.
-
Etter at Arendalsuka ble avlyst, mistet vi årets største møteplass for politikk, organisasjons- og næringsliv. DN har derfor laget en alternativ arena 11.-13. august for debatt og viktige samtaler. Datatilsynet deltar med en egen sesjon om elevers personvern.
-
Datatilsynet mottok i mai 2020 en melding om brudd på personopplysningssikkerheten (avviksmelding) fra Universitetssykehuset i Nord-Norge HF (UNN). Vi ble der varslet om at det ved publisering av postlister hadde blitt lagt ut feil dokument, og har nå bedt om en redegjørelse.
-
Datatilsynet har send krav om redegjørelse til Oslo Universitetssykehus HF (OUS) i forbindelse med at taushetsbelagte opplysninger om pasienter skal ha vært offentligjort via offentlig postjournal over en periode på tre år.
-
Datatilsynet har vedtatt et midlertidig forbud mot å behandle personopplysninger knyttet til appen Smittestopp. Som varslet tidligere, mener vi at Smittestopp ikke kan anses som et forholdsmessig inngrep i brukernes grunnleggende personvernrettigheter.
-
Datatilsynet har sendt Odin Flissenter et varsel om pålegg og overtredelsesgebyr på 300 000 kroner. Saken gjelder kredittvurderingen av et enkeltpersonsforetak uten behandlingsgrunnlag.
-
Folkehelseinstituttet (FHI) har uttalt seg innen fristen til Datatilsynets varsel om midlertidig forbud mot behandling av personopplysninger knyttet til appen Smittestopp.
-
Regjeringen har i dag den 23. juni oppnevnt et utvalg som skal vurdere personvernets stilling i Norge. Sjefredaktør og konsernsjef John Arne Moen vil lede personvernkommisjonen, som skal levere sin utredning innen 1. desember 2021.
-
Datatilsynet har varslet Folkehelseinstituttet (FHI) om at vi vil legge ned et midlertidig forbud mot å behandle personopplysninger tilknyttet appen. FHI stanser nå bruken av Smittestopp midlertidig.
-
I ei hastehøyring foreslo Arbeids- og velferdsdepartementet ei forskrift for å effektivisere NAV si sakshandsaming i samband med covid-19-pandemien. I den endelege forskrifta har departementet tatt omsyn til fleire av innspela våre.
-
Vinneren av innebygd personvernprisen 2019 er NAV med bidraget "Gjør test til en fest! Løsning for syntetiske testdata". Vinnerne av studentprisen var i år OsloMET og studentene bak bacheloroppgaven "Anonymization as a Service".
-
World Citizen Report er en tjeneste for selvrapportering av symptomer på covid-19. Formålet med tjenesten er å lage et globalt register som skal overleveres til nasjonale helsemyndigheter, samt å lage statistikk. Vi har sendt selskapet som står bak, ME DATA AS, et brev med krav om redegjørelse.
-
Sbankens systemer gir automatisk alle etternavn stor forbokstav, men nekter å rette opp når en enkeltperson gir beskjed om hvordan deres navn skrives. Datatilsynet pålegger nå Sbanken å rette en enkeltperson sine personopplysninger, slik personen har rett til etter personvernforordningen.
-
Norges energi- og vassdragsdirektorat (NVE) har lagt fram et forslag om endringer i reglene om personkontroll ved ansettelser. Dette innebærer blant annet at personell som skal ha tilgang til klassifiserte anlegg og systemer må legge frem politiattest og skal kredittsjekkes.
-
Vi varsler vedtak om irettesettelse mot Telenor Norge AS for manglende personopplysningssikkerhet i talepostkassefunksjonen, og for manglende avviksmelding til Datatilsynet.
-
Tidligere denne måneden avslørte NRK hvordan det britiske selskapet Tamoco selger nordmenns lokasjonsdata. Datatilsynet har diskutert videre oppfølging med kollegaer i Europa, og nå har det britiske datatilsynet bekreftet at de vil se på saken.
-
Vi har fått den gode nyheten om at regjeringen har tildelt Datatilsynet ekstra midler for å starte arbeidet med å opprette en regulatorisk sandkasse. Vi går derfor nå i gang med vår storsatsing for å bidra til utviklingen av gode løsninger for kunstig intelligens.
-
Regjeringen har lagt frem forslag til ny etterretningstjenestelov (e-lov). Vi har sendt inn et høringsinnspill som skal presenteres i Stortinget 28. mai, og mener fortsatt at forslaget ikke burde gjennomføres.
-
Datatilsynet har sendt Bergen kommune et varsel om overtredelsesgebyr på 3 millioner kroner. Personopplysninger i skolens kommunikasjonssystem mellom skole og hjem var ikke tilstrekkelig sikret.
-
Datatilsynet følger opp kontrollen av appen Smittestopp. Vi ber nå Folkehelseinstituttet (FHI) om å redegjøre for flere forhold, blant annet om evalueringer de har gjort av nytteverdien av appen.
-
Datatilsynet har mottatt avviksmeldinger fra fylkeskommunene i Agder, Trøndelag og Innlandet angående sårbarheten som er avdekket i programvaren Conexus.
-
Datatilsynet har besluttet å åpne sak mot gentestingsselskapet MyHeritage etter å ha mottatt en rapport om selskapet fra Forbrukerrådet. Ifølge rapporten er informasjonen som blir gitt brukerne av tjenesten så uklar at det strider mot personvernforordningen.
-
Forslaget fra Kommunal- og moderniseringsdepartementet (KMD) har etter vår vurdering en svakhet ved at forholdet til personvernforordningen og kravene den stiller ikke er kommentert.
-
Kommentarfeltløsningen samlet inn personopplysninger om norske borgere uten å informere om det. Det amerikanske selskapet visste ikke at Norge er omfattet av personvernforordningen.
-
Datatilsynet har varslet Folkehelseinstituttet (FHI) om vedtak om pålegg knyttet til appen Smittestopp. Bakgrunnen er at vi mener det er mangler ved FHIs behandlingsprotokoll og risiko- og sårbarhetsanalysen som er gjort i forbindelse med app-løsningen.
-
NRK avslørte i helgen hvordan det britiske selskapet Tamoco selger bevegelsene til et stort antall nordmenn. Datatilsynet ser svært alvorlig på dette og følger saken videre.
-
Europakommisjonen har skrevet en veiledning om personopplysningsvern i forbindelse med utviklingen av nye apper som brukes i bekjempelsen av koronaviruset. Dette er den norske oversettelsen av pressemeldingen og veiledningen.
-
Utviklingen av slike apper, og innbyggernes bruk av dem, kan ha stor betydning for håndteringen av viruset. Det kan spille en viktig rolle i strategier for letting av tiltak som begrenser bevegelsesfriheten ved å supplere andre tiltak, slik som økt testkapasitet.
-
Appen Smittestopp er nå lastet ned av svært mange, og Datatilsynet følger med på utviklingen. Det er enighet om at måten å registrere folks bevegelser på slik det gjøres i appen, er et inngrep i den enkeltes personvern. Vi har derfor valgt å føre kontroll med appen.
-
Regjeringens nye etterretningstjenestelov innebærer både rettslige og faktiske utfordringer for personvernet.
-
Datatilsynet mener forslagene har omfattende konsekvenser for personopplysningsvernet. Det er avgjørende at tiltakene er nødvendige og forholdsmessige, også i en unntakssituasjon. Den mest inngripende delen av forslaget bør etter vår mening ikke innføres i sin nåværende form.
-
Regjeringen legger onsdag fram sitt forslag til ny etterretningstjenestelov.
-
EUs medlemsland, med støtte av EU-kommisjonen, har utviklet en verktøykasse for bruk av mobilapplikasjoner for kontaktsporing og varslingstiltak for håndtering av koronapandemien. Dette er en del av en felles koordinert tilnærming for å støtte gradvis letting av tiltak som begrenser bevegelsesfriheten.
-
Folkehelseinstituttet har lansert appen Smittestopp. Datatilsynet er positive til at det brukes applikasjoner og annen type teknologi for å bekjempe pandemien – og i siste instans bidra til å redde liv. Vi har samtidig understreket at alle personverninngripende tiltak må være nødvendige, egnede og forholdsmessige.
-
Datatilsynet mener det er viktig at trafikanter får klar og tydelig informasjon om den nye betalingsordningen.
-
I slutten av mars ble det vedtatt en forskrift som åpner for å etablere et automatisert sporingssystem basert på sporing av mobiltelefon og nedlastet applikasjon (app). Det er Folkehelseinstituttet, i samarbeid med andre aktører, som utvikler appen som kan bidra til å redusere tiden som brukes på smitteoppsporing.
-
Forslaget innebærer blant annet endringer i reglene om behandling av personopplysninger som gjøres for å forhindre og avdekke hvitvasking.
-
Datatilsynet har varslet en butikk under Coop Finnmark SA om overtredelsesgebyr på 400 000 kroner. Saken gjelder utlevering av kameraopptak med barn involvert.
-
Datatilsynet har sendt varsel til Rælingen kommune om et overtredelsesgebyr på 800 000 kroner. Varselet kommer etter at helseopplysninger om barn med fysisk og psykisk funksjonshemming ble behandlet i den digitale læringsplattformen Showbie.
-
Vi skal kåre vinnere av fjorårets konkurranse om innebygd personvern, og i den anledning inviterte vi til et åpent frokostseminar i tillegg til prisutdeling og presentasjon av finalistene. Arrangementet er nå avlyst da det kan gi grunnlag for smittespredning.
-
Datatilsynet har varslet Statens vegvesen om pålegg og overtredelsesgebyr på fire millioner kroner. Saken gjelder manglende sletting av passeringsopplysninger i bomringen.
-
Mange kirker ønsker å strømme gudstjenester offentlig. Vår anbefaling er at kameraene som kirken er ansvarlig for, plasseres slik at det ikke er mulig å identifisere publikum.
-
Forbrukertilsynet og Datatilsynet har laget en veileder der vi går gjennom det viktigste du som utvikler, markedsfører eller tilbyder av digitale tjenester må vite om reglene for forbruker- og personvern. Veilederen ble lansert på et frokostseminar torsdag 13. februar.
-
E-poster som inneholder usanne påstander om at noen har hacket pc-en, og at du for eksempel har blitt filmet mens du har sett på porno, er blitt svært vanlig. Det er derfor viktig med kunnskap om hvordan du håndterer dette når du får slike eposter.
-
Datatilsynet mener virksomheters bruk av MyAnalytics medfører et krav om at virksomheten gjør en vurdering av personvernkonsekvenser i henhold til artikkel 35, herunder lovgrunnlaget for den typen innsamling.
-
Fra og med 1. februar 2020 er ikke lenger Storbritannia medlem av EU. I en overgangsperiode ut 2020 vil imidlertid Storbritannia behandles som et EU-land.
-
Personopplysninger har blitt store penger i den digitale økonomien, og dette gjør at forbruker- og personvern glir over i hverandre. Forbrukertilsynet og Datatilsynet lanserer en ny veileder om det viktigste du må vite om regelverket, og inviterer til frokostseminar 13. februar.
-
Torsdag 16. januar samlet Datatilsynet nok en gang representanter fra offentlig og privat sektor til et rundebordsmøte. Tema var utfordringer rundt flyten av og sikkerheten rundt barn og unges personopplysninger i barnehage og skole, og var en oppfølging av et tilsvarende møte i mars 2019.
-
Kommunal- og moderniseringsdepartementet (KMD) lanserte tirsdag 14. januar en strategi for kunstig intelligens (KI). KI er en teknologi som vil få stor betydning for samfunnsutviklingen, og som innebærer mange gode muligheter, men også store utfordringer.
-
Datatilsynet har mottatt en klage fra Forbrukerrådet mot Grindr, en dating-app der homofile er målgruppen. Forbrukerrådet har også klaget inn flere av selskapene som mottar data fra Grindr. Ifølge klagen deler denne annonseindustrien (adtech) data om brukernes legning og lokasjon ulovlig.
-
I anledning den internasjonale Safer Internet Day 2020, inviterte Utdanningsdirektoratet, Norsk senter for informasjonssikring (NorSIS) og Datatilsynet til seminar om digital håndteringskompetanse 11. februar.
-
Datatilsynet i Danmark har vedtatt en standard databehandleravtale som også kan brukes av norske virksomheter. Databehandleravtalen er tilgjengelig på både dansk og engelsk.