Etterlevelse og kommunikasjon med ledelsen

Hvilke redskaper kan personvernombudet benytte for at virksomheten skal etterleve personvernforordningen? Dette er tema for medlemsmøtet i Personvernombudene 5. september.

Innlederne gir tips til hvordan internkontrollen kan planlegges og dokumenteres. Vi ser på årsrapporten som en måte å sette søkelyset på PVOs arbeid. Ledelsen gir sitt perspektiv på kommunikasjonen. Vi får innsikt i hvordan forventningene kan avklares i kommunikasjonen mellom PVO og ledelse.

Program mandag 5. september 2022 kl 13 – 15

13.00: Velkommen, styreleder Nils G. Indahl
13.05 – 13.35 Hvordan kan PVO bidra til virksomhetens internkontroll? Veronica Jarnskjold Buer, avdelingsdirektør teknologi, Datatilsynet
13.35 – 14.05 Paneldiskusjon om personvernombudets rapportering til ledelsen. Hvem rapporteres det til? Kan årsrapporten være et virkemiddel? 
Deltakere: Morten Haug Frøyen (PVO Oslo kommune), Eirin Oda Lauvset (PVO Asker kommune), Nils G. Indahl (PVO Den norske kirke) og Tonje Orseth (PVO Telenor ASA).

Pause

14.15 – 14.40 En leders perspektiv: Tanker og råd rundt personvernombudets ledelseskommunikasjon. Trond Skjellerud, konserndirektør i Elvia
14.40 – 15.00 Hvordan nå frem til ledelsen? Utfordringer og muligheter. Monika Wendleby, forfatter og partner i konsulentfirmaet Passacon AB, Stockholm
15.00 Slutt

Møtet er åpent for alle medlemmer i Foreningen Personvernombudene. Vil du bli medlem? Klikk her.

Monika Wendleby

Bli med på vårt første fysiske medlemsmøte

13. juni inviterer Datatilsynet foreningens medlemmer til sommeravslutning med sterkt faglig innhold. Arrangementet foregår i Datatilsynets nye lokaler i Barcode i Oslo, og det blir mulig å møte en rekke av de ansatte og høre nytt fra deres arbeidsområde.

Program for medlemsmøtet mandag 13. juni 2022 kl 12.30 – 15.30 (fysisk i Trelastgata 3, Storsalen i 2. etg, eller via Zoom):

12.30-12.50: Fremmøte og registrering for de som møter opp fysisk i Trelastgata 3

13.00-13.10: Velkommen og litt praktisk informasjon v/styreleder Nils G. Indahl og personvernombudskoordinator i Datatilsynet Ove Skåra.
13.10-13.30: Vi er Datatilsynet og har et lite jubileum å feire sammen med dere! v/konstituert direktør Janne Stang Dahl.

Janne Stang Dahl er konstituert direktør i Datatilsynet. I tillegg til å spandere en lett lunsj, har hun lovet en faglig overraskelse til deltakerne.

Program (forsettelse)
13.30-13.45: Det utfordrende arbeidslivet. Erfaringer fra saksbehandling, nytt og kommende veiledningsmateriell v/seksjonssjef Ylva Marrable.
13.45-14.00: Hvordan forsvarer Datatilsynet at vi gir gebyr til offentlige virksomheter som allerede har lidd store økonomiske tap som følge av avvik? v/seksjonssjef Camilla Nervik

14.00-14.20: Pause 

14.20-14.35: Siste fra internasjonal seksjon: Nytt fra EDPB og vår deltakelse i ulike undergrupper, nytt transatlantisk rammeverk om overføring personopplysninger mellom Europa og USA, og kanskje også litt om Schrems? v/juridisk rådgiver Jasmin Omer.
14.35-14.50: Atferdsnormer og sertifisering er mekanismer som har til hensikt å fremme etterlevelse av personvernforordningen. Vi tar en kort kikk på disse verktøyene og gir en status på arbeidet med akkreditering og sertifisering, v/fagdirektør Kristine Stenbro.
14.50-15.05: Hei, du møter blant andre meg når du ringer Datatilsynets veiledningstjeneste. Litt om oss og en oppsummering av et par veiledere vi har utarbeidet i det siste. v/ juridisk konsulent Habiba Ismail Abdulrhman.
15.05-15.15: Personvernombudene og Datatilsynet. Vi har en strategi! v/Ove Skåra
15.15-15.30: Spørsmål, oppsummering og avslutning 

15.30 og deretter: De av oss som har tid og anledning forsetter samværet på Barcode Street Food i smme hus, for egen tid og regning. 

Møtet er åpent for alle medlemmer i Foreningen Personvernombudene. Vil du bli medlem? Klikk her. 

Påmeldingsfrist fysisk deltakelse: På grunn av adgangskort og matbestilling må du som skal delta fysisk hos Datatilsynet i Trelastgata 3 i Oslo melde deg på innen onsdag 8. juni klokken 23.00. Påmeldingslenke blir sendt ut til medlemmene om kort tid.

Det blir også mulig å følge møtet på Zoom. Det blir sendt ut en lenke til medlemmene før møtet starter.

Alternativer til Google Analytics

Datatilsynene i Østerrike og Frankrike har forbudt bruken av Google Analytics og det foregår en diskusjon i Det europeiske personvernråd om saken. På dette medlemsmøtet i Personvernombudene 4. april diskuterer vi om analysedata kan brukes lovlig i Europa. Vi ser på alternativer til GA, spesielt den franske tjenesten Matomo.

Hedvig Myklebust, konsulent, i Bouvet AS, kommer inn på ulike verktøyer for webanalyse:

  • Hvorfor GA har blir valgt av det store flertall av brukere frem til nå? 
  • Hvordan kan en behandlingsansvarlig fortsette å gjøre webanalyse til tross for disse utfordringene? 
  • Hvilke forskjellige verktøy anbefaler vi å vurdere, og hvilke fordeler og ulemper har de ? 

    Stefan Koning fra Mist Analytics ser spesielt på den franske tjenesten Matomo, som anbefales som et sikkert europeisk alternativ til Google Analytics.

    De grunnleggende utfordringene rundt GDPR og Google Analytics er tema for Tobias Judin, leder av internasjonal seksjon i Datatilsynet.
Hedvig Myklebust, Bouvet AS

Christine Stousland, advokatfirmaet Bull, ser på i hvilke praktiske tilfeller samtykke kan være et relevant overføringsgrunnlag ved overføring av persopplysninger til USA.

Program mandag 4. april 2022 kl 13 – 15 

13:00 Velkommen, styreleder Nils G. Indahl
13:10 Tobias Judin, seksjonssjef, internasjonal seksjon, DatatilsyneHt: De grunnleggende utfordringene ved Google Analytics
13:35 Hedvig Myklebust, konsulent, Bouvet AS: Kan Google Analytics benyttes samtidig som personvernet ivaretas?
14:00 – 14.10 Pause og beinstrekk 
14:10 Stefan Koning, Mist Analytics: How may Matomo replace Google Analytics in practice?
14:30 Christine Stousland, senioradvokat, advokatfirmaet Bull: Vil bruk av Google Analytics fortsatt være lovlig i Europa dersom den registrerte samtykker til overføring av personopplysninger til USA?
14:50 Spørsmål og konklusjon
15:00 Slutt

Møtet er åpent for alle medlemmer i Foreningen Personvernombudene. Vil du bli medlem? Klikk her.

Databehandleravtalen må følges opp

Hvordan følger du opp dine databehandlere? Dette er tema for Hanne Pernille Gulbrandsens innlegg på Personvernombudenes medlemsmøte 7. februar.

Hanna Pernille Gulb

Gulbrandsen ser på tredjeparts risikostyring: Hvordan sikrer du at dine leverandører behandler dine personopplysninger slik du ønsker?

Hun er partner i Deloitte Advokatfirma, hvor hun hovedsakelig arbeider med personvern.

Siden 2001 har Gulbrandsen hatt fokus på personvern og informasjonssikkerhet. Hun arbeider i skjæringspunktet mellom juss og teknologi og er opptatt av at jussen er et verktøy som skal fungere godt med andre fagområder.

Fagdirektør Camilla Nervik fra Datatilsynet tar utgangspunkt i veiledningen fra Det europeiske personvernråd, som handler om hvordan ansvaret fordeles mellom behandlingsansvarlig og databehandler. Hun vil gi norske eksempler på hvordan behandlingsansvaret kan plasseres.

Program for medlemsmøtet mandag 7. februar 2022 kl 13 – 15 online

13:00 Velkommen, styreleder Nils G. Indahl
13:05 Advokat Jan Sandtrø: Utarbeidelse av databehandleravtale – maler og bestemmelser
13:35 Hanne Pernille Gulbrandsen, partner i Deloitte Advokatfirma: Tredjeparts risikostyring – hvordan sørge for tilstrekkelig oppfølging av dine databehandlere?
14:00 – 14.10 Pause og beinstrekk
14:10 Fagdirektør Camilla Nervik, Datatilsynet: Hvordan plasseres behandlingsansvaret?
14:25 Nils G. Indahl, personvernombud, Den norske kirke: Felles behandlingsansvar som alternativ til databehandleravtale
14:40 Dialog mellom Nervik og Indahl. Mulighet for å stille spørsmål.
15:00 Slutt

Møtet er åpent for medlemmer av Foreningen Personvernombudene. Lenke til møtet (i Teams) sendes til medlemmene før møtet. Du kan melde deg inn i foreningen her.

Databehandleravtalen – en av organisasjonens viktigste redskaper

Databehandleravtalen er det viktigste redskapet for å instruere leverandører om hvordan organisasjonens personopplysninger skal behandles. På medlemsmøtet 7. februar ser vi på databehandleravtaler og hvordan disse kan følges opp av den behandlingsansvarlige.


Advokat Jan Sandtrø ser på hvilke maler og bestemmelser du kan bruke når du skal utforme en databehandleravtale.

Sandtrø er en uavhengig advokat som bistår klienter innenfor krysningsfeltet mellom juss og teknologi. Han har vært juridisk direktør i ett større teknologiselskap og har lang erfaring og omfattende ekspertise innenfor personvern og kontrakter for programvare og leveranser.

Fagdirektør Camilla Nervik fra Datatilsynet tar utgangspunkt i veiledningen fra Det europeiske personvernråd, som handler om hvordan ansvaret fordeles mellom behandlingsansvarlig og databehandler. Hun vil gi norske eksempler på hvordan behandlingsansvaret kan plasseres.

Program for medlemsmøtet mandag 7. februar 2022 kl 13 – 15 online

13:00 Velkommen, styreleder Nils G. Indahl
13:05 Advokat Jan Sandtrø: Utarbeidelse av databehandleravtale – maler og bestemmelser
13:35 Hanne Pernille Gulbrandsen, partner i Deloitte Advokatfirma: Tredjeparts risikostyring – hvordan sørge for tilstrekkelig oppfølging av dine databehandlere?
14:00 – 14.10 Pause og beinstrekk
14:10 Fagdirektør Camilla Nervik, Datatilsynet: Hvordan plasseres behandlingsansvaret?
14:25 Nils G. Indahl, personvernombud, Den norske kirke: Felles behandlingsansvar som alternativ til databehandleravtale
14:40 Dialog mellom Nervik og Indahl. Mulighet for å stille spørsmål.
15:00 Slutt

Møtet er åpent for medlemmer av Foreningen Personvernombudene. Lenke til møtet (i Teams) sendes til medlemmene før møtet. Du kan melde deg inn i foreningen her.

Hva trenger du i behandlingsprotokollen – og hva er kjekt å ha?

Behandlingsprotokollen er en av de sentrale redskapene i personvernforordningen. Det er tema for Personvernombudenes medlemsmøte mandag 22. november kl 13 – 15, hvor vi settes fokus på Hvordan kan vi bruke behandlingsprotokollen i personvernarbeidet?

– Det finnes ikke et universalverktøy som passer for alle organisasjoner. Isteden vil jeg fokusere på noen underliggende prinsipper som du bør tenke på når din organisasjon velger en arbeidsmetode og tilhørende verktøy, sier Mathias Wikström, personvernombud i Telenor Sverige.

Wickström benytter informasjon fra Sharepoint og eksisterende systemer sammen med rapportverktøy som behandlingsprotokoll. Han vil gå igjennom den funksjonaliteten og de mulighetene som ligger i disse programmene.

Ifølge PVF artikkel 30 skal både behandlingsansvarlig og databehandler føre en protokoll som minst skal inneholde et minimum av opplysninger. Mange organisasjoner bruker protokollen som styringsredskap – og noen kommuner mener at den skal være offentlig.

Mathias Wikström (foto: Stina Stjernkvist/TT)

Program for medlemsmøtet mandag 22. november kl 13 – 15 online:

13:00 Velkommen, styreleder Nils G. Indahl
13:05 Mathias Wikström, personvernombud Telenor Sverige: Bruk og valg verktøy, inkl demo/screenshots. Protokollen som organisasjonsverktøy. 
13:35 Anders Fehn Olsen, personvernombud i Olav Thon Gruppen: Presentasjon av behandlingsprotokollen i DraftIt og hvordan Olav Thon Gruppen jobber med den, inkludert noen tanker rundt bruk av IT-systemer til behandlingsprotokoll.
14:05 – 14.15 Pause
14:15 Paneldiskusjon med temaet: Behandlingsprotokollen som styringsverktøy
Deltakere:
Mathias Wikström, personvernombud Telenor Sverige
Anders Fehn Olsen, personvernombud Olav Thon Gruppen
Knut Joar Eggen, personvernombud Sarpsborg Kommune
Hallvard Müller, rådgiver personvern og informasjonssikkerhet, Styrmand AS
Moderator: Tonje Orseth, advoktatfullmektig og personvernombud i Telenor Asa
15:00 Slutt

Medlemsmøtene er åpne for alle medlemmer av Foreningen Personvernombudene. Er du ikke medlem ennå? Klikk her for å melde deg inn.

Personversaker kan avgjøres på europeisk nivå

– Dersom en norsk retten er usikker på hvordan GDPR skal tolkes, kan den henvise saker til EFTA-domstolen. Det er veldig lav terskel for å gjøre det, sier Elin Mathisen.

Tolkningen av unionsretten i Norge er tema for Foreningen Personvernombudenes medlemsmøte 18. oktober er: Når gjelder unionsretten i Norge – og hva betyr det for norske personvernombud?

Elin Mathisen er en av de få norske juristene som har hatt en sak i EFTA-domstolen. Hva du bør tenke på når du går til EFTA-domstolen? er tittelen på hennes foredrag.

Mathisen er advokat og leder advokatfirmaet Berngaards teknologiavdeling. Hun har bistått store offentlige virksomheter i deres digitaliseringsprosjekter, og bistår i tillegg også private virksomheter og leverandører i spørsmål knyttet til IT-kontrakter og personvern. Elin er personvernombud i Ringerike kommune.

Les mer om medlemsmøtet her:
https://pvo.no/2021/10/medlemsmote-18-oktober/

Medlemsmøte 18. oktober kl 13 – 15.30: Når gjelder EU-retten i Norge?

Personvernombudet forvalter en europeisk rettsakt – personvernforordningen – og skal gi råd om europeisk personvernlovgivning i Norge. Tema for medlemsmøtet 18. oktober er: Når gjelder unionsretten i Norge – og hva betyr det for norske personvernombud?

Ólafur Jóhannes Einarsson er registrator ved EFTA-domstolen i Luxembourg, domstolen som tolker unionsretten for Norge, Island og Liechtenstein. I sitt foredrag (som holdes på engelsk) vil han komme innom følgende områder:

  • Prosedyren for å henvise norske rettssaker for en “opinion” i EFTA-domstolen
  • EØS’ rettspraksis når det gjelder personvern
  • Hvilken status har grunnleggende rettigheter i EØS-avtalen og hvilken betydning har charteret om grunnleggende rettigheter i EØS-retten?

Einarsson er jurist fra Universitetet i Reykjavik og har en mastergrad fra St Johns College, Oxford. Han har vært registrar ved EFTA-domstolen siden 1. september 2018.

Norsk jurist som har hatt saker i EFTA-domstolen

Elin Mathisen er en av de få norske juristene som har hatt en sak i EFTA-domstolen. Hva du bør tenke på når du går til EFTA-domstolen? er tittelen på hennes foredrag.

Mathisen er advokat og leder advokatfirmaet Berngaards teknologiavdeling. Hun har bistått store offentlige virksomheter i deres digitaliseringsprosjekter, og bistår i tillegg også private virksomheter og leverandører i spørsmål knyttet til IT-kontrakter og personvern. Elin er personvernombud i Ringerike kommune.

Ólafur Jóhannes Einarsson

Program for medlemsmøtet 18. oktober 2021

13:00 Velkommen

13:05 Olafur Johannes Einarsson, registrator ved EFTA-domstolen: Personvern og EØS

13:45 Elin Mathisen, personvernombud i Ringerike kommune/partner i advokatfirmaet Berngaard: Hva du bør tenke på når du går til EFTA-domstolen?

14:05 Paneldiskusjon: Hvorfor henviser ikke norske domstoler saker til EFTA-domstolen?
Deltakere: Elin Mathisen (Advokatfirmaet Berngaard), Tobias Judin (Datatilsynet), Olafur Johannes Einarsson (EFTA-domstolen, Luxembourg).

14:45 Hallstein Husand, fagdirektør, Datatilsynet: Når Datatilsynet kommer på tilsyn. Presentasjon av ny metode for tilsynsvirksomheten høsten 2021.

15:30 Slutt

Det var meningen at møtet skulle være fysisk, men dessverre ble møtelokalet stengt for renovering. Vi kommer derfor tilbake med en ny dato for et møte i Datatilsynets nye lokaler.

Møtet er åpent for alle medlemmer av Foreningen Personvernombudene. En Teams-lenke blir sendt ut til medlemmene mandag morgen.

Noen personer fra foreningens styre og Datatilsynet kommer til å samles i Oslo sentrum (i Kirkens Hus, Rådhusgata 1-3) under medlemsmøtet. Vi har en håndfull plasser til disposisjon. Dersom du ønsker å delta fysisk, send et e-brev på denne siden: https://pvo.no/kontakt/ så vil vi bekrefte din deltakelse.

Medlemsmøte 20. september: Skatteverket tør ikke bruke Teams

Det svenske Skatteverket har besluttet å ikke benytte Teams til videomøter og samarbeid på grunn av faren for amerikansk overvåkning. På vårt medlemsmøte vil Skatteverkets IT-strateg Daniel Melin fortelle mer om hvilke vurderinger som ligger bak denne avgjørelsen.

Er det greit å bruke amerikanske leverandører til videomøter etter Schrems II? 

Microsoft Teams er for mange virksomheter et viktig arbeidsverktøy. Det svenske Skatteverket har besluttet å ikke benytte Teams til videomøter og annet samarbeid. De ser nå etter andre alternativer.

Tidlig på sommeren 2021 publiserte Det europeiske personvernrådet (EDPB) sin reviderte utgave av veilederen for supplerende beskyttelsestiltak («Recommendations on supplementary measures»). Den skal hjelpe virksomheter med å overholde kravene til overføring av personopplysninger til tredjeland etter Schrems II-avgjørelsen. Det store spørsmålet mange nå stiller seg, er om det nå er åpnet for en mer risikobasert tilnærming?

Tobias Judin, leder for Internasjonal seksjon i Datatilsynet, vil fortelle oss hva som er de viktigste endringene i den endelige veilederen fra Personvernrådet. Vi vil også få en presentasjon av Datatilsynets rykende ferske veileder for overføring av opplysninger til tredjeland.

Risikovurderinger i NAV Hva er forskjellen på risikoanalyse, som alle må gjøre, og personvernkonsekvensvurdering (DPIA), som alle ikke alltid må gjøre? Anders Holt, personvernombud i NAV, gir oss et innblikk i NAVs DPIA-prosess.

Program for medlemsmøte 20. september 2021

13:00  Velkommen
13:05 – 13:55  Hva er de viktigste endringene i den endelige veilederen fra Personvernrådet (EDPB)?   Fagdirektør og leder for internasjonal seksjon i Datatilsynet Tobias Judin
13:55 – 14:20  Hvorfor ønsker ikke det svenske Skatteverket å ta i bruk Microsoft Teams som følge av Shrems II-avgjørelsen? Daniel Melin, strateg i IT-avdelingens analyseenhet, Skatteverket
14:20 – 14:45  Risikovurderinger og DPIA prosessen i NAVAnders Holt, personvernombudet i NAV 
14:40 – 15:00  Spørsmål og avslutning

Medlemsmøtet er åpent for alle medlemmer av Foreningen Personvernombudene. Er du ikke medlem ennå? Klikk her for å melde deg inn.

1 2