Datatilsynet på Sikkerhetsfestivalen

Sikkerhetsfestivalen 2025 arrangeres 25.-27. august på Lillehammer. Vi deltar som samarbeidspartner og bidrar i et eget spor som løfter frem ulike perspektiver på personvern. 

Sikkerhetsfestivalen er Norges største og viktigste møteplass for cybersikkerhet, og er en samlende arena for alle med interesse og ansvar for cyber, IKT og informasjonssikkerhet. Folk fra samfunns- og næringsliv, akademia og politikk samles for å diskutere, lære og inspirere hverandre.

Sikkerhetsfestivalen arrangeres i samarbeid mellom en rekke virksomheter og organisasjoner som jobber med sikkerhet i Norge – og nok en gang er Datatilsynet stolt samarbeidspartner.

Årets program tar opp en lang rekke aktuelle problemstillinger og er fullspekket med lærerike foredrag innenfor et bredt spekter av temaer og problemstillinger. Les mer om festivalen (sikkerhetsfestivalen.no).

Tirsdag 26. august – Privacy & Data Protection

Vi bistår med å arrangere sporet Privacy & Data Protection. Dette vil finne sted midt i hjertet av festivalen – i Holbøsalen på Kulturhuset. Her blir det flere foredrag fra oss i Datatilsynet selv og fra utvalgte virksomheter hvor vi ser ulike problemstillinger og temaer fra et personvernperspektiv.

Hvordan personvern påvirkes av geopolitiske spenninger, ansiktsgjenkjenningsteknologi, behandling av sensitive data med lokal kunstig intelligens og hvordan GDPR og den nye Digitalsikkerhetsloven henger sammen er bare noen av temaene som tas opp under festivalen.

Det fullstendige programmet i Datatilsynets spor er:

  • 09.00 - 09.30: Data i handelskrigens skuddlinje

    Har data og personopplysninger havnet i handelskrigens skuddlinje etter Trump? Hva er status for bruk av tech-gigantenes systemer og løsninger, inkludert overføring av personopplysninger til USA nå? Hva kan og må norske bedrifter gjøre nå? 

    Ved Erlend Bakken, Personvernombud i TV2

  •  

    09.45 - 10.15: Nytt fra Datatilsynet angående internasjonalt arbeid, inkludert overføringer til USA

    Oppdatering fra internasjonal seksjon i Datatilsynet om nye veiledere, saker og overføring av personopplysninger til USA.

    Ved Anna Kristin Ulfarsdottir, juridisk fagdirektør, Datatilsynet

  • 10.45 - 11.15: No behandlingsansvarlig is an island

    Som dataansvarlig er man helt avhenging av godt samarbeid med databehandlere. I komplekse verdikjeder er det like viktig med godt samarbeid med andre dataansvarlige. F.eks. Hvem har ansvar for hva? Hvem gjør hva? Hvem prater med hvem? I tillegg må man ha dialog med andre aktører i kjeden og med de registrerte. Dette gir et sammensatt aktør- og samarbeidsbilde. I foredraget deler Petter og Aasta sine erfaringer som forvaltere av dataansvaret for Kjernejournal og Reseptformidleren.

    Ved Aasta Hetland, seniorrådgiver, Helsedirektoratet og Petter Ludvig Andersen, seniorrådgiver Helsedirektoratet

  • 11.30 - 12.00: Commercially sourced intelligence: Friend or foe?

    They say that spy is the world’s second oldest profession. Today, commercial datasets provide surveillance and tracing abilities at unprecedented levels and private vendors hold data collection and analysis capabilities to rival nation state actors. Low cost, adaptability, richness and velocity offer an attractive patch for information-hungry intelligence organizations.

    The rise of commercially sourced intelligence (CSINT) has significant implications for both privacy and cybersecurity. As a small and highly digitalized country in an increasingly volatile world, Norway must both harness the benefits of CSINT, and defend against its misuse. To do so, we must build a bridge between the technological trends that drive these developments, and the impacts of CSINT on democratic legitimacy and accountability.

    In Sikkerhetsfestivalen we will also discuss new (unpublished) research on how commercial sources may be tampered with or sabotaged.

    Ved Tor E. Bjørstad, Security consultant and Ph.d, mnemonic AS og Vivi Ringnes Berrefjord, Leder Cyberprogrammet ved Institutt for forsvarsstudier og doktorgradsstipendiat ved Universitetet i Oslo

  • 13.15 - 13.45: PimEyes – For your eyes only?

    In 2017, a Polish start-up called PimEyes effectively abolished your right to anonymity by launching a facial recognition search engine. Using biometric identification, the website can find any publicly available picture of you on the internet. The tool is so powerful that it helped apprehend a German terrorist who had been wanted for 30 years. While the company claims to help users safeguard their online identity, the technology can just as easily be exploited for stalking or discrimination.

    The EU has long been concerned about the risks of such technology and has adopted strict data protection rules to limit its use. However, given the serious invasion of privacy it represents, this raises a fundamental question—should it be used at all? A new EU law, the AI Act, recently introduced a prohibition on similar technology. Yet, it remains to be seen how this restriction will be interpreted and applied to PimEyes.

    Ved Tereza Duchoňová, Consultant, EY

  • 14.00 - 14.30: Lokale LLM-er på warp-hastighet: PoC på hvordan man kan sikre sensitive data med lokal KI-maskin

    Bli med på en reise inn i Sikt sitt nye våpen: en lokal LLM-maskin som holder sensitive data trygt innenfor husets fire vegger! Asbjørn Reglund Thorsen og Matija Puzar tar deg med bak kulissene for å avsløre hvordan vi har bygget, konfigurert og satt i drift en kraftig maskin for å kjøre egne store språkmodeller – uten datalekkasjer. Vi deler historien om å bruke løsningen til å knuse passordhasher, lage smarte AI-agenter mot vårt interne API, og teste ulike LLM-er i et kontrollert miljø. Med humor, praktiske eksempler og nerdete entusiasme viser vi hvordan Sikt tar sikkerhet og innovasjon til neste nivå – perfekt for sikkerhetsentusiaster som vil lære, le og bli inspirert!

    Ved Asbjørn Reglund Thorsen, CISO, penetrasjonstester og KI entusiast og Matija Puzar, Sikkerhetsekspert og kreativ problemløser

  • 15.00 - 15.30: The Dynamic Duo: Personopplysningsloven (GDPR) og den nye Digitalsikkerhetsloven (NIS)

    Digitalsikkerhetsloven (DSL) trer i kraft i Norge 1. oktober 2025 og er på mange måter "GDPR for informasjonssikkerhet". DSL er basert på NIS, og innfører på samme måte som GDPR og personvern lovkrav til et høyt felles nivå for sikkerhet i nettverks- og informasjonssystemer i hele Unionen. Vi ser litt nærmere på DSL og spesielt hvordan den forholder seg til GDPR, samt initiativene i Norge for å samordne hvordan lovverket for personvern og sikkerhet spiller på lag sammen på tvers av sektorer og bransjer.

    Ved Eirik Gulbrandsen, spesialrådgiver, Datatilsynet

  • 15.45 - 16.15: Pensjonskassen simulerer tilsyn fra Datatilsynet

    Å simulere et tilsyn er en skjerpende og engasjerende måte å gjennomføre etterlevelseskontroller på erfarer vi. Du vil få høre om hvordan vi i Statens pensjonskasse gjennomførte et simulert brevtilsyn fra Datatilsynet. Vi deler av våre erfaringer på godt og vondt!

    Ved Gry-Helen Henriksen, Personvernombud i Statens pensjonskasse og Ingeborg Hermansen, Fagansvarlig innebygd personvern, Statens pensjonskasse