Erfaringene med personvernkonsekvensvurderinger

Simen Sommerfeldt vil innlede om personvernkonsekvensvurderinger på Personvernombudenes årsmøte 4. mars.

Eva Jarbekk og Simen Sommerfeldt er i ferd med å skrive en ny utgave av boken «Personvern og GDPR i praksis». Han jobber nå med oppdatering av delen som handler om personvernkonsekvensvurderinger.

I den forbindelse arrangerte forfatterne en workshop med mange av de meste erfarne folkene i Norge for å høste erfaringer og råd om arbeidet. Simen vil gi en oppsummering av dette, og dermed et frempek på et viktig kapittel i boken.

Det holdes ordinær generalforsamling i Foreningen Personvernombudene  mandag 4. mars 2024 klokken 13.00 (i Teams). Innkallelse er sendt til medlemmenes registrerte e-postadresse.

Program for dagen 
Kl 13.00 – 13.30 Faglig tema. Simen Sommerfeldt: Personvernvurderinger og DPIA etter PVF art 32 og 35
Kl 13.30 – 14.30 Generalforsamling

Vil du bli medlem av foreningen? Klikk her.

Er du medlem og interessert i å bli styremedlem, varamedlem, eller gjøre en annen innsats for foreningen? Vi trenger blant annet folk som kan WordPress, medlemmer som kan skrive høringsuttalelser, og folk som kan hjelpe til praktisk på samlinger. Erik Horn er leder av valgkomiteen og han kan kontaktes på e-postadressen erik.horn@gapsolutions.no . Øvrige medlemmer av valgkomiteen er Ane Haarseth og Morten Haug Frøyen.

Personvernombudets første 100 dager

Vi inviterer til årets første medlemsmøte mandag 5. februar 2024 kl 13 – 15. Tema for møtet er Personvernombudets første 100 dager. Hvordan arbeide risikobasert. Erfarne personvernombud vil dele sine erfaringer og diskutere personvernombudets rolle i organisasjonen.

Guro Gidske (bildet til høyre) har gjennomført sine første 100 dager som nytt personvernombud både i 2018 og i 2023 og vil dele sine erfaringer med å komme igang med personvernarbeidet i en ny organisasjon.

  • Hvordan etablerer du rollen som personvernombud?
  • Hvilket lag er du på?

Guro Gidske er fulltids personvernombud ved Høyskolen Kristiania. Hun har lang og bred erfaring med endringsledelse, organisasjonsutvikling og digitalisering innenfor en rekke forvaltningsområder i offentlig sektor.

Program for medlemsmøtet mandag 5. februar 2024 (i Teams)

13.00 – 13.05 Velkommen
13.05 – 13.35 Monika Wendleby (jurist, ledelseskonsulent og forfatter): 
Personvernombudet og håndtering av risiko ifølge GDPR
13.35 – 13.50 Britt Eva Bjerkvik Haaland, Sopra Steria: Hvordan bli en del av bandet isteden for å sitte i publikum
13.50 – 14.05 Guro Gidske, PVO på Høyskolen Kristiania: Mine første 100 dager
14.05 – 14.15 Pause
14.15 – 14.30 Styret: Tips og råd til nye og gamle personvernombud. Ordstyrer: Stian D. Kringlebotn (PVO, Agder fylkeskommune og AKT).
14.30 – 14.55 Panelsamtale Personvernombudets rolle og arbeid. Ordstyrer: Nils G. Indahl (PVO i Den norske kirke). Paneldeltakere: Ove Skåra (Datatilsynet), Guro Gidske (Høyskolen Kristiania), Cathrine Lødrup (Coop Norge), Stian D. Kringlebotn (Agder fylkeskommune og AKT).
14.55 – 15.00 Avslutning

Møtet er åpent for alle medlemmer i Foreningen Personvernombudene. Lenke til møtet blir sendt til medlemmets registerte e-postadresse. Vil du bli medlem? Klikk her.

Tilsynet med 98 norske kommuner

Hva skjer i en norsk kommune når Datatilsynet sender ut et tilsynsbrev? Det er tema for medlemsmøtet 6. november i Foreningen Personvernombudene.

I en paneldiskusjon vil fagpersoner belyse hvordan kommunene reagerte og hva andre organisasjoner kan lære av prosessen.

Fra Datatilsynets nettside https://www.datatilsynet.no/aktuelt/aktuelle-nyheter-2023/tilsyn-i-kommuner-og-fylkeskommuner/

Program for medlemsmøtet mandag 6. november 2023

13.00 – 13.05 Velkommen

13.05 – 13.45 Paneldiskusjon (med spørsmål): Hvilken virkning har Datatilsynets tilsynsbrev på en kommunal organisasjon? Nils G. Indahl (moderator, PVO i Den norske kirke), Stian D. Kringlebotn (PVO i Agder fylkeskommune), Harald Torbjørnsen (daglig leder i KiNS, foreningen Kommunal Informasjonssikkerhet), Ole-Bjørn Nordland (tidligere PVO i Trondheim kommune)
13.45 – 14.10 Tonje Orseth (PVO i Telenor ASA) og Nils G. Indahl: Spørsmål som tilsynsmyndighetene stiller ved tilsyn med PVO-funksjonen
14.10 – 14.20 Beinstrekk
14.20 – 14.45 Ida Thorsrud (personvernjurist) og Christian Sørbye Larsen (prosjektleder): Nasjonal DPIA av Google Workspace for Education
14.45 – 15.00 Nils G. Indahl, styreleder: Samarbeid med europeiske søsterforeninger i EFDPO. Sertifisering av personvernombud etter ISO 17024

Møtet er åpent for alle medlemmer i Foreningen Personvernombudene. Vil du bli medlem? Klikk her.

Når journalistisk formål er unntatt fra PVF

Ytringsfrihet er en grunnleggende rettighet som alle kan utøve, også den som er ansatt i offentlig eller privat virksomhet. PVF art 85 fastsetter at personopplysninger med journalistisk formål er unntatt fra personvernforordningen.

På medlemsmøtet 8. mai vil juristen Sadia Drost fra det svenske datatilsynet, IMY, fortelle om det journalistiske unntaket. IMY har laget et juridisk notat der de gir eksempler på behandling av personopplysninger som har journalistisk formål.

– Jeg kommer til å snakke om IMYs notat (rättsliga ställningstagande), om bakgrunnen for det, og noen viktige konklusjoner. Jeg kommer også til å redegjøre mer spesifikt for den såkalte Ramsbro-dommen fra svensk høyesterett, og domstolens konklusjon i spørsmålet om journalistisk unntak, sier Sadia Drost (bildet til høyre).

Hvert land skal lovgi for å sikre journalistisk frihet, men grensen kommer trolig også til å bli satt av EU-domstolen i fremtidige avgjørelser.

I Sverige kan en utgiver få et såkalt utgiverbevis, noe som gjør at databaser med personopplysninger kan hevde at de har journalistisk formål.
I Sverige kan en utgiver få et såkalt utgiverbevis, noe som gjør at databaser med personopplysninger kan hevde at de har journalistisk formål.

Norsk-svensk personvernordliste

Program for medlemsmøtet mandag 8. mai 2023

13.00 Velkommen

13.05 Sadia Dost, jurist, Integritetsskyddsmyndigheten: Ytringsfrihet som grunnleggende rettighet. Journalistisk unntak og svensk rettspraksis.

13.30 Anders Obrestad, seniorrådgiver, Datatilsynet: Forskjellen mellom journalistisk virksomhet i den gamle og nye personopplysningsloven

13.55  Benstrekk

14.05 Personvernombud Nils G. Indahl (tidligere journalistlærer): Hva er kravene for å kvalifisere som journalistikk?

14.20  Seksjonssjef Camilla Nervik og senioringeniør Eirik Gulbrandsen, Datatilsynet: Første runde – tilsynet med 100 norske kommuner

15.00  Slutt

Møtet er åpent for alle medlemmer i Foreningen Personvernombudene. Vil du bli medlem? Klikk her.

Helsingørgate – hvordan du gjør et tilsyn verst mulig

Det danske Datatilsynet har avgjort at Helsingør kommune inntil videre ikke kan bruke Chromebook i sine skoler. Noe av det mest interessante med saken er at kommunen gjennom sin håndtering trolig fikk et grundigere tilsyn og flere saksjoner.

Rie Aleksandra Walle fra NoTies Consulting orienterer om helsingørsaken på Personvernombudenes medlemsmøte 17. oktober. Hun kommer til å gjennomgå noen læringspunkter rundt sjekk og oppfølging av databehandlere.

Kristian Kjennerud fra Sparebank 1 Utvikling kommer også til å dele erfaringer med leverandøroppfælging.

Haakon Hertzberg vil dele høydepunkter fra Personvernkommisjonens rapport, som kom i slutten av september.

Rie Aleksandra Walle, NoTies Consulting (Foto: Krister Vangen)

Program for medlemsmøtet 17. oktober kl 13.00 – 15.30:

13:00 – 13:10 Velkommen ved styreleder Nils G. Indahl og styremedlem Hanne Kristine Steen Lindstad

13:10 – 13:40 Innledning om leverandøroppfølging ved Sparebank 1. Christian Kjennerud, Sparebank 1 Utvikling

13:40 – 14:00 Cromebook-saken fra Helsingør kommune. Rie Aleksandra Walle, NoTies Consulting

14:00 – 14:30 Pause og mingling med lett servering

14:30 – 15:00 Høydepunkter fra Personvernkommisjonens rapport – med hovedvekt på behovet for en ny personvernpolitikk. Haakon Hertzberg, medlem i Personvernkommisjonen og avdelingsdirektør i NAV 

15:00 – 15:20 Spørsmål og diskusjon

15:20 –15:30 Avslutning

Etter møtet går vi sammen til After Work med personvernkollegaer. Møtet er åpent for alle medlemmer i Foreningen Personvernombudene. Vil du bli medlem? Klikk her.

Påmelding for fysisk deltakelse: På grunn av adgangskort og matbestilling må du melde deg på innen søndag 16. oktober klokken 22.00 på følgende lenke: https://app.checkin.no/event/48498/medlemsmote-hos-sparebank-1-utvikling
Det er plass til maks 94 deltakere, så vær raskt ute om du vil sikre deg plass.

Det er også mulig å delta i møtet digitalt og møtelenke er sendt ut til medlemmenes registrerte e-postadresse.

Medlemsmøte 20. september: Skatteverket tør ikke bruke Teams

Det svenske Skatteverket har besluttet å ikke benytte Teams til videomøter og samarbeid på grunn av faren for amerikansk overvåkning. På vårt medlemsmøte vil Skatteverkets IT-strateg Daniel Melin fortelle mer om hvilke vurderinger som ligger bak denne avgjørelsen.

Er det greit å bruke amerikanske leverandører til videomøter etter Schrems II? 

Microsoft Teams er for mange virksomheter et viktig arbeidsverktøy. Det svenske Skatteverket har besluttet å ikke benytte Teams til videomøter og annet samarbeid. De ser nå etter andre alternativer.

Tidlig på sommeren 2021 publiserte Det europeiske personvernrådet (EDPB) sin reviderte utgave av veilederen for supplerende beskyttelsestiltak («Recommendations on supplementary measures»). Den skal hjelpe virksomheter med å overholde kravene til overføring av personopplysninger til tredjeland etter Schrems II-avgjørelsen. Det store spørsmålet mange nå stiller seg, er om det nå er åpnet for en mer risikobasert tilnærming?

Tobias Judin, leder for Internasjonal seksjon i Datatilsynet, vil fortelle oss hva som er de viktigste endringene i den endelige veilederen fra Personvernrådet. Vi vil også få en presentasjon av Datatilsynets rykende ferske veileder for overføring av opplysninger til tredjeland.

Risikovurderinger i NAV Hva er forskjellen på risikoanalyse, som alle må gjøre, og personvernkonsekvensvurdering (DPIA), som alle ikke alltid må gjøre? Anders Holt, personvernombud i NAV, gir oss et innblikk i NAVs DPIA-prosess.

Program for medlemsmøte 20. september 2021

13:00  Velkommen
13:05 – 13:55  Hva er de viktigste endringene i den endelige veilederen fra Personvernrådet (EDPB)?   Fagdirektør og leder for internasjonal seksjon i Datatilsynet Tobias Judin
13:55 – 14:20  Hvorfor ønsker ikke det svenske Skatteverket å ta i bruk Microsoft Teams som følge av Shrems II-avgjørelsen? Daniel Melin, strateg i IT-avdelingens analyseenhet, Skatteverket
14:20 – 14:45  Risikovurderinger og DPIA prosessen i NAVAnders Holt, personvernombudet i NAV 
14:40 – 15:00  Spørsmål og avslutning

Medlemsmøtet er åpent for alle medlemmer av Foreningen Personvernombudene. Er du ikke medlem ennå? Klikk her for å melde deg inn.

Truls vil utveksle kunnskap med kollegaene

Truls Jacobsen Rath er medlem nummer 200 i Personvernombudene. Han er personvernombud i forsikringsselskapet Fremtind og håper å få et større nettverk å diskutere utfordringer med, for eksempel omkring Schrems II-dommen.

– Jeg synes usikkerheten som er skapt omkring de store amerikanske aktørene er vanskelig og komplisert å håndtere. Jeg håper å lære fra kollegene og høre hvilke vurderinger andre gjør, sier Rath.

Han er 27 år og ble involvert i personvernarbeidet høstens 2018 i data governance-avdelingen i Sparebank1. Rath deltok i mange personvernprosjekter og har tilegnet seg mye av fagkunnskapen på egen hånd.

– Jeg skal være en person som ser forretningens behov samtidig som jeg er i stand til å ivareta personvernbehovene. Mye av mitt daglige arbeid består i rådgi de som jobber med kundedata. De spør om hvilke personopplysninger de kan dele internt og med eksterne partnere. De spør om behandlingsgrunnlag og vil ha hjelp med å lage databehandleravtaler.

Rath synes avvikshåndtering er et komplisert område og ser frem til medlemsmøtet 7. juni om dette temaet.

– Hvor stort må et avvik være før det skal meldes til Datatilsynet? Vi har interne rutiner og melder gjerne et avvik en gang for mye enn for lite, men det blir interessant å høre hva kollegaene har å si om dette temaet.

– Et annet tema som jeg finner spennende er kunstig intelligens, eller maskinlæring. Det er et område som jeg tror personvernombudene kommer til å beskjeftige seg med fremover, sier Truls Jacobsen Rath.

Hva arbeidslivet spør Datatilsynet om

Datatilsynets veiledning mottar en rekke henvendelser om personvern i arbeidslivet. På medlemsmøtet 12. april vil Datatilsynet gjennomgå noen av disse henvendelsene. Kaja Breivik Furuseth er juridisk seniorrådgiver i Datatilsynet og vil komme inn på følgende temaer:

  • Hva spør innringerne Datatilsynets veiledningstjeneste om når det gjelder personvern i arbeidslivet?
  • Er det forskjell på nåværende og tidligere arbeidstakere når noen klager til Datatilsynet?
  • Eksempler på avgjørelser innen personvern i arbeidslivet saker fra det siste året
  • Den nyetablerte sandkassen for ansvarlig personvern – profilering av ansatte for å gi bedre opplæring i informasjonssikkerhet

Breivik Furuseth er utdannet jurist fra Universitetet i Oslo, med spesialisering i europarett fra Universität Regensburg, Tyskland og en LL.M-grad i europeisk forretningsjuss fra Universiteit Leiden i Nederland.

Hun har tidligere arbeidet innenfor ulike fagfelter innen europarett,  kontraktsrett og forvaltningsrett og er nestleder i Norsk forening for europarett. Før Kaja kom til Datatilsynet, arbeidet hun tolv år som advokat, både i Kluge og Pacta advokatfirma og internt i Ruter As.

Hennes brede arbeidserfaring dekker også departement og domstolen og setter henne i stand til å identifisere samspillet mellom personvernreglene og tilgrensende regelverk, i tillegg til de ulike partenes interesser.