Personvernombudets rolle under tilsyn fra Datatilsynet er tema når Tonje Orseth, personvernombud i Telenor ASA, innleder på foreningens generalforsamling 10. mars.
Deretter følger en samtale med Inger Cock-Olsen, personvernombud i Østre Toten kommune, som var utsatt for et dataangrep i 2021.
Hun ble ansatt som rådgiver innenfor helse, omsorg og velferd i Østre Toten kommune i januar 2021 og ble utpekt til personvernombud samme måned.
Inger Cock-Olsen, Østre Toten kommune
Klokken 14 starter selve generalforsamlingen.
Dagsorden for generalforsamlingen kl 14 – 15 a) Valg av møteleder. b) Styrets beretning om Foreningens aktiviteter i det foregående året. c) Styret legger frem regnskapet. d) Styret legger frem forslag til budsjett. e) Innkomne forslag behandles. f) Valg av leder for en 2-årig periode. Gjenvalg kan finne sted. g) Valg av styremedlemmer og varamedlemmer for inntil en 2-årig periode. Gjenvalg kan finne sted. h) Eventuelt.
Hvordan følger du opp dine databehandlere? Dette er tema for Hanne Pernille Gulbrandsens innlegg på Personvernombudenes medlemsmøte 7. februar.
Hanna Pernille Gulb
Gulbrandsen ser på tredjeparts risikostyring: Hvordan sikrer du at dine leverandører behandler dine personopplysninger slik du ønsker?
Hun er partner i Deloitte Advokatfirma, hvor hun hovedsakelig arbeider med personvern.
Siden 2001 har Gulbrandsen hatt fokus på personvern og informasjonssikkerhet. Hun arbeider i skjæringspunktet mellom juss og teknologi og er opptatt av at jussen er et verktøy som skal fungere godt med andre fagområder.
Fagdirektør Camilla Nervik fra Datatilsynet tar utgangspunkt i veiledningen fra Det europeiske personvernråd, som handler om hvordan ansvaret fordeles mellom behandlingsansvarlig og databehandler. Hun vil gi norske eksempler på hvordan behandlingsansvaret kan plasseres.
Program for medlemsmøtet mandag 7. februar 2022 kl 13 – 15 online
13:00 Velkommen, styreleder Nils G. Indahl 13:05 Advokat Jan Sandtrø: Utarbeidelse av databehandleravtale – maler og bestemmelser 13:35 Hanne Pernille Gulbrandsen, partner i Deloitte Advokatfirma: Tredjeparts risikostyring – hvordan sørge for tilstrekkelig oppfølging av dine databehandlere? 14:00 – 14.10 Pause og beinstrekk 14:10 Fagdirektør Camilla Nervik, Datatilsynet: Hvordan plasseres behandlingsansvaret? 14:25 Nils G. Indahl, personvernombud, Den norske kirke: Felles behandlingsansvar som alternativ til databehandleravtale 14:40 Dialog mellom Nervik og Indahl. Mulighet for å stille spørsmål. 15:00 Slutt
Møtet er åpent for medlemmer av Foreningen Personvernombudene. Lenke til møtet (i Teams) sendes til medlemmene før møtet. Du kan melde deg inn i foreningen her.
Databehandleravtalen er det viktigste redskapet for å instruere leverandører om hvordan organisasjonens personopplysninger skal behandles. På medlemsmøtet 7. februar ser vi på databehandleravtaler og hvordan disse kan følges opp av den behandlingsansvarlige.
Advokat Jan Sandtrø ser på hvilke maler og bestemmelser du kan bruke når du skal utforme en databehandleravtale.
Sandtrø er en uavhengig advokat som bistår klienter innenfor krysningsfeltet mellom juss og teknologi. Han har vært juridisk direktør i ett større teknologiselskap og har lang erfaring og omfattende ekspertise innenfor personvern og kontrakter for programvare og leveranser.
Fagdirektør Camilla Nervik fra Datatilsynet tar utgangspunkt i veiledningen fra Det europeiske personvernråd, som handler om hvordan ansvaret fordeles mellom behandlingsansvarlig og databehandler. Hun vil gi norske eksempler på hvordan behandlingsansvaret kan plasseres.
Program for medlemsmøtet mandag 7. februar 2022 kl 13 – 15 online
13:00 Velkommen, styreleder Nils G. Indahl 13:05 Advokat Jan Sandtrø: Utarbeidelse av databehandleravtale – maler og bestemmelser 13:35 Hanne Pernille Gulbrandsen, partner i Deloitte Advokatfirma: Tredjeparts risikostyring – hvordan sørge for tilstrekkelig oppfølging av dine databehandlere? 14:00 – 14.10 Pause og beinstrekk 14:10 Fagdirektør Camilla Nervik, Datatilsynet: Hvordan plasseres behandlingsansvaret? 14:25 Nils G. Indahl, personvernombud, Den norske kirke: Felles behandlingsansvar som alternativ til databehandleravtale 14:40 Dialog mellom Nervik og Indahl. Mulighet for å stille spørsmål. 15:00 Slutt
Møtet er åpent for medlemmer av Foreningen Personvernombudene. Lenke til møtet (i Teams) sendes til medlemmene før møtet. Du kan melde deg inn i foreningen her.
Kan du bruke skytjenester hvis de overfører personopplysninger utenfor EØS-området? Møt Google, Amazon og Microsoft på medlemsmøtet 31. januar (på Teams).
Tobias Judin, sjef for internasjonal seksjon, deltar som representant for Datatilsynet i Norge.
På møtet deltar representanter fra de skandinaviske tilsynsmyndighetene: Datatilsynet i Danmark og Norge, og IMY (Integritetsskyddsmyndigheten) i Sverige. Møtet skjer på Teams kl 13 – 16.
Deltakelse er gratis for medlemmer av Foreningen Personvernombudene. Program og tilmelding finnes på denne lenken:
Forum för Dataskydd inviterer til webinar med David Törngren, rättschef hos Integritetsskyddsmyndigheten (den svenske tilsynsmyndigheten) kl 16 – 19. Dessuten deltar Jaap-Henk Hoepman, forfatter av boken Privacy is Hard and Seven Other Myths. Deltakelse er gratis for Personvernombudenes medlemmer og påmelding skjer her: https://dpforum.se/ev (du må lage en brukerkonto på kampanjesiden og velge ”biljett” og ”medlem digitalt”.)
Jaap-Henk Hoepman
Samme dag kl 12 – 14.15 inviterer Norsk forening for Europarett til webinar i forbindelse med deres årsmøte. Tema er skyldkravet ved utmåling av straffegebyr til virksomheter. Møtet er gratis for Personvernombudenes medlemmer. Zoom-lenke og informasjon finner du her: https://europarett.no/2021/12/13/arsmote-om-eos-forvaltningsrett/
Administrative Fines – the Concept of Guilt as an Obstacle to Efficient Enforcement of EEA law? Germany): Experiences from recent case law on administrative fines under the GDPR and the guilty concept under German law
12.30–12.50 Knut Høivik (Visedirektør, juridisk avdeling i Equinor ASA): Highlights from his recent investigation and report to the Ministry of Justice ’ hearing, with respect to the guilty concept of corporate criminal liability and administrative fines (webpage for the pending public hearing of the report: «Høring – Utredning om foretaksstraff og korrupsjon«)
Hvordan kommuniserer personvernombudet klart med ledelsen og får ressurser til å utføre sitt arbeid? Dette er tema for webinaret 1. desember.
– Vi er heldige som er to som arbeider med personvern i Olav Thon-gruppen, sier Anders Fehn Olsen. Han er et av de to personvernombudene som vil dele sine erfaringer på webinaret. Han har vært ansatt som PVO siden i sommer, men har tidligere arbeidet med personvern i Visma DraftIt.
– Den siste tiden har vi besøkt de forskjellige avdelingene og deres behandling av personopplysninger. Dessuten vil vi at de blir kjent med oss, hva vi gjør – og formidle at terskelen er lav for å bruke oss, sier Anders Fehn Olsen.
Fehn Olsen har en stillingsbeskrivelse og rapporterer til HMS-sjef og HR-direktør. Han har dessuten en gjennomgang med konsernledelsen hvert kvartal.
På webinaret 1. desember vil også Katarina E. Eidssen, personvernombud i Lødingen kommune, dele sine erfaringer. Webinaret arrangeres av Datatilsynet i samarbeid med Foreningen Personvernombudene og er åpent for alle som ønsker å delta
Anders Fehn Olsen, PVO i Olav Thon Gruppen
Program for webinar 1. desember 2021 klokken 9.15 til 10.30 på Zoom:
Velkommen ved avdelingsdirektør Veronica Jarnskold Buer
Om personvernombudsrollen ved Datatilsynet personvernombudskoordinator Ove Skåra
Hvem er personvernombudene? Hvordan opplever de sine arbeidsvilkår og etterlevelsen av personvernregelverket? Presentasjon av hovedfunnene fra Personvernombudsundersøkelsen v/seniorrådgiver Magnus Mühlbradt
Kommentarer fra Katarina E. Eidssen, personvernombud i Lødingen kommune og Anders Fehn Olsen, personvernombud for Olav Thon-gruppen
Behandlingsprotokollen er en av de sentrale redskapene i personvernforordningen. Det er tema for Personvernombudenes medlemsmøte mandag 22. november kl 13 – 15, hvor vi settes fokus på Hvordan kan vi bruke behandlingsprotokollen i personvernarbeidet?
– Det finnes ikke et universalverktøy som passer for alle organisasjoner. Isteden vil jeg fokusere på noen underliggende prinsipper som du bør tenke på når din organisasjon velger en arbeidsmetode og tilhørende verktøy, sier Mathias Wikström, personvernombud i Telenor Sverige.
Wickström benytter informasjon fra Sharepoint og eksisterende systemer sammen med rapportverktøy som behandlingsprotokoll. Han vil gå igjennom den funksjonaliteten og de mulighetene som ligger i disse programmene.
Ifølge PVF artikkel 30 skal både behandlingsansvarlig og databehandler føre en protokoll som minst skal inneholde et minimum av opplysninger. Mange organisasjoner bruker protokollen som styringsredskap – og noen kommuner mener at den skal være offentlig.
Mathias Wikström (foto: Stina Stjernkvist/TT)
Program for medlemsmøtet mandag 22. november kl 13 – 15 online: 13:00 Velkommen, styreleder Nils G. Indahl 13:05 Mathias Wikström, personvernombud Telenor Sverige: Bruk og valg verktøy, inkl demo/screenshots. Protokollen som organisasjonsverktøy. 13:35 Anders Fehn Olsen, personvernombud i Olav Thon Gruppen: Presentasjon av behandlingsprotokollen i DraftIt og hvordan Olav Thon Gruppen jobber med den, inkludert noen tanker rundt bruk av IT-systemer til behandlingsprotokoll. 14:05 – 14.15 Pause 14:15 Paneldiskusjon med temaet: Behandlingsprotokollen som styringsverktøy Deltakere: Mathias Wikström, personvernombud Telenor Sverige Anders Fehn Olsen, personvernombud Olav Thon Gruppen Knut Joar Eggen, personvernombud Sarpsborg Kommune Hallvard Müller, rådgiver personvern og informasjonssikkerhet, Styrmand AS Moderator: Tonje Orseth, advoktatfullmektig og personvernombud i Telenor Asa 15:00 Slutt
Medlemsmøtene er åpne for alle medlemmer av Foreningen Personvernombudene. Er du ikke medlem ennå? Klikk her for å melde deg inn.
Personvernombudet forvalter en europeisk rettsakt – personvernforordningen – og skal gi råd om europeisk personvernlovgivning i Norge. Tema for medlemsmøtet 18. oktober er: Når gjelder unionsretten i Norge – og hva betyr det for norske personvernombud?
Ólafur Jóhannes Einarsson er registrator ved EFTA-domstolen i Luxembourg, domstolen som tolker unionsretten for Norge, Island og Liechtenstein. I sitt foredrag (som holdes på engelsk) vil han komme innom følgende områder:
Prosedyren for å henvise norske rettssaker for en “opinion” i EFTA-domstolen
EØS’ rettspraksis når det gjelder personvern
Hvilken status har grunnleggende rettigheter i EØS-avtalen og hvilken betydning har charteret om grunnleggende rettigheter i EØS-retten?
Einarsson er jurist fra Universitetet i Reykjavik og har en mastergrad fra St Johns College, Oxford. Han har vært registrar ved EFTA-domstolen siden 1. september 2018.
Norsk jurist som har hatt saker i EFTA-domstolen
Elin Mathisen er en av de få norske juristene som har hatt en sak i EFTA-domstolen. Hva du bør tenke på når du går til EFTA-domstolen? er tittelen på hennes foredrag.
Mathisen er advokat og leder advokatfirmaet Berngaards teknologiavdeling. Hun har bistått store offentlige virksomheter i deres digitaliseringsprosjekter, og bistår i tillegg også private virksomheter og leverandører i spørsmål knyttet til IT-kontrakter og personvern. Elin er personvernombud i Ringerike kommune.
Ólafur Jóhannes Einarsson
Program for medlemsmøtet 18. oktober 2021
13:00 Velkommen
13:05 Olafur Johannes Einarsson, registrator ved EFTA-domstolen: Personvern og EØS
13:45 Elin Mathisen, personvernombud i Ringerike kommune/partner i advokatfirmaet Berngaard: Hva du bør tenke på når du går til EFTA-domstolen?
14:05 Paneldiskusjon: Hvorfor henviser ikke norske domstoler saker til EFTA-domstolen? Deltakere: Elin Mathisen (Advokatfirmaet Berngaard), Tobias Judin (Datatilsynet), Olafur Johannes Einarsson(EFTA-domstolen, Luxembourg).
14:45 Hallstein Husand, fagdirektør, Datatilsynet: Når Datatilsynet kommer på tilsyn. Presentasjon av ny metode for tilsynsvirksomheten høsten 2021.
15:30 Slutt
Det var meningen at møtet skulle være fysisk, men dessverre ble møtelokalet stengt for renovering. Vi kommer derfor tilbake med en ny dato for et møte i Datatilsynets nye lokaler.
Møtet er åpent for alle medlemmer av Foreningen Personvernombudene. En Teams-lenke blir sendt ut til medlemmene mandag morgen.
Noen personer fra foreningens styre og Datatilsynet kommer til å samles i Oslo sentrum (i Kirkens Hus, Rådhusgata 1-3) under medlemsmøtet. Vi har en håndfull plasser til disposisjon. Dersom du ønsker å delta fysisk, send et e-brev på denne siden: https://pvo.no/kontakt/ så vil vi bekrefte din deltakelse.
Det svenske Skatteverket har besluttet å ikke benytte Teams til videomøter og samarbeid på grunn av faren for amerikansk overvåkning. På vårt medlemsmøte vil Skatteverkets IT-strateg Daniel Melin fortelle mer om hvilke vurderinger som ligger bak denne avgjørelsen.
Er det greit å bruke amerikanske leverandører til videomøter etter Schrems II?
Microsoft Teams er for mange virksomheter et viktig arbeidsverktøy. Det svenske Skatteverket har besluttet å ikke benytte Teams til videomøter og annet samarbeid. De ser nå etter andre alternativer.
Tidlig på sommeren 2021 publiserte Det europeiske personvernrådet (EDPB) sin reviderte utgave av veilederen for supplerende beskyttelsestiltak («Recommendations on supplementary measures»). Den skal hjelpe virksomheter med å overholde kravene til overføring av personopplysninger til tredjeland etter Schrems II-avgjørelsen. Det store spørsmålet mange nå stiller seg, er om det nå er åpnet for en mer risikobasert tilnærming?
Tobias Judin, leder for Internasjonal seksjon i Datatilsynet, vil fortelle oss hva som er de viktigste endringene i den endelige veilederen fra Personvernrådet. Vi vil også få en presentasjon av Datatilsynets rykende ferske veileder for overføring av opplysninger til tredjeland.
Risikovurderinger i NAV Hva er forskjellen på risikoanalyse, som alle må gjøre, og personvernkonsekvensvurdering (DPIA), som alle ikke alltid må gjøre? Anders Holt, personvernombud i NAV, gir oss et innblikk i NAVs DPIA-prosess.
Program for medlemsmøte 20. september 2021
13:00Velkommen 13:05 – 13:55Hva er de viktigste endringene i den endelige veilederen fra Personvernrådet (EDPB)? Fagdirektør og leder for internasjonal seksjon i Datatilsynet Tobias Judin 13:55 – 14:20Hvorfor ønsker ikke det svenske Skatteverket å ta i bruk Microsoft Teams som følge av Shrems II-avgjørelsen?Daniel Melin, strateg i IT-avdelingens analyseenhet, Skatteverket 14:20 – 14:45Risikovurderinger og DPIA prosessen i NAV. Anders Holt, personvernombudet i NAV 14:40 – 15:00Spørsmål og avslutning
Medlemsmøtet er åpent for alle medlemmer av Foreningen Personvernombudene. Er du ikke medlem ennå? Klikk her for å melde deg inn.
Hvordan behandler Datatilsynet meldingene om brudd på personopplysningssikkerheten?
Hva forventer Datatilsynet av avviksmeldingene – beskrivelse av årsak, risiko og tiltak?
Hva bør PVOs rolle være i håndteringen av avvikene og ved rapporteringen til Datatilsynet?
Dette er blant temaene representanter for Datatilsynet vil belyse når Personvernombudene inviterer til medlemsmøte 7. juni 2021 kl 13 – 15 i Teams.
Camilla Nervik
Blant innlederne er fagdirektør Camilla Nervik. Hun leder seksjon for offentlige tjenester i Datatilsynet.
På medlemsmøtet vil hun si mer om hvordan Datatilsynet håndterer rapporterte brudd, og hva som forventes av aviksmeldingene.
Fagdirektør Ove Skåra er Datatilsynets personvernombud og kontaktperson for andre personvernombud. I 2020 ble det sendt inn litt over 2 000 meldinger om brudd på personopplysningssikkerheten fra norske virksomheter til Datatilsynet. Mange av avvikene som meldes inn gjelder tilfeller der personopplysninger blir sendt til feil mottaker.
– Mange e-postprogrammer har dårlig visning av mottakerens e-postadresse. Hva kan organisasjoner gjøre for å sikre at post kommer til riktig mottaker?
– En ting vi har gjort i Datatilsynet var å fjerne muligheten for autofullfør av eposten, slik at når jeg skal sende en epost til min gode kollega Nils, så ender den ikke hos Nils i Den norske kirke. Uten å være teknolog og sikkerhetsmenneske vil jeg tro at det også er annen funksjonalitet som kan aktiveres i epostprogrammet, for eksempel gir et advarende pling før man sender avgårde en epost med beskyttelsesverdig innhold, sier Ove Skåra.
– Spiller det noen rolle om den som henvender seg – den registrerte – starter kommunikasjonen ved å bruke en usikker e-postadresse, og forventer å få svar til denne?
– Dersom det er snakk om ikke-kryptert epost med særlige kategorier opplysninger, eller opplysninger om straffbare forhold, er det ikke slik at mottakeren kan «samtykke seg bort fra» sikker kommunikasjon. Den behandlingsansvarlige må fortsatt etterleve personvernforordningens artikkel 5 (1) (f) og artikkel 32 ved å iverksette egnede tekniske og organisatoriske tiltak for å oppnå et egnet sikkerhetsnivå. For offentlig forvalting gjelder i tillegg eForvaltningsforskriften som stiller krav til forvaltningens bruk av elektronisk kommunikasjon, sier Ove Skåra.
Programmet for medlemsmøtet ser slik ut:
13:00Velkommen 13:05 – 13:55 Hvordan følger Datatilsynet opp meldingene virksomhetene sender inn? Til å belyse dette har vi fått med oss fagdirektør og seksjonssjef Camilla Nervik, og fagdirektør og personvernombud Ove Skåra. 13:55 – 14:05 Benstrekk 14:05 – 14:30 Postlistesaken – fra ris til ROS. Ole Henrik Førland, personvernombud i Asker kommune 14:30 – 14:45 Avviksbehandling i finanssektoren. Pål Magne Ånestad, personvernombud i Lindorff AS 14:40 – 15:00 Spørsmål og avslutning
Medlemsmøtet er åpent for alle medlemmer av Foreningen Personvernombudene. Er du ikke medlem ennå? Klikk her for å melde deg inn.
