Som et ledende advokatfirma innen teknologi og media er vi opptatt av å benytte de mest aktuelle kanalene for å dele kunnskap og diskutere fag og teknologiske fremskritt. Vi har derfor besluttet å flytte nyhetstjenesten Simnews til vårt nettsted svw.no. Her vil du kunne finne alle tidligere (link til gamle) og nye artikler. Nye artikler får du også tilgang til ved å følge oss på LinkedIn.

Meld deg også gjerne på vårt nyhetsbrev, så vil du fortsette å få siste nytt om teknologi og media rett i lommen.

Takk for følget så langt – og velkommen inn på nye sider!

Hilsen Teknologi og medieteamet i Simonsen Vogt Wiig

Bakgrunnen for EUs personvernreform er at dagens regelverk betraktes som utdatert i møte med nye personvernutfordringer knyttet til for eksempel sosiale medier, Big Data, skytjenester og økende flyt av opplysninger over landegrensene. En utfordring med dagens regelverk er at det er blitt implementert og praktisert forskjellig i medlemslandene.

Siktemålet med forordningen er å få på plass mer ensartede regler og praksis i EØS-området gjennom én lovtekst og mer ensartet praktisering. Forordningen viderefører mange av dagens prinsipper, men innebærer på mange områder nye og strengere regler:

• Virkeområdet for reglene utvides til blant annet å gjelde virksomheter utenfor EØS som tilbyr varer eller tjenester i EØS
• Internasjonale virksomheter skal kunne forholde seg til ett Datatilsyn
• Økte krav til å dokumentere behandlingen av personopplysninger og gjennomføre vurderinger av personvernkonsekvenser
• Krav til innebygd personvern og sikkerhetstiltak
• Det blir obligatorisk for offentlige og mange private virksomheter å utnevne personvernombud
• Borgere får nye rettigheter, blant annet «dataportabilitet» og «rett til å bli glemt»
• Skjerpede krav til bruk av samtykke og klar og tydelig informasjon om behandlingen
• Skjerpede sanksjoner der Datatilsynene gis kompetanse til å ilegge overtredelsesgebyr på opp til 4 % av virksomheters globale omsetning

Les pressemelding fra EU-kommisjonen her.

Internettplattformer utfordrer dagens regelverk. Plattformene favner alt fra søkemotortjenester til sosiale medier og strømmetjenester for film og musikk. Kjennetegnet for plattformene er at virksomheten benytter internett til å skape interaksjon mellom brukergrupper for på denne måten å generere verdier. Eksempler på nettplattformer er Google, Finn.no, Facebook og Spotify.

EU sendte i høst ut en offentlig spørreundersøkelse om det rettslige rammeverket for internettplattformer. Spørreundersøkelsen er en del av EUs digitale agenda som er et omfattende strategiarbeid for teknologisektoren som ble initiert i mars 2010 og løper til 2020.

EU-kommisjonen vil skaffe seg et bedre bilde av hvordan internettplattformene innvirker på sosiale og økonomiske forhold. Kommisjonen vil blant annet se nærmere på plattformenes brukervilkår, hvordan informasjon om brukerne blir håndtert og rollen som såkalte nettmellomledd spiller ved bekjempelse av ulovlig innhold på internett. Kommisjonen er særlig opptatt av hvordan internettplattformene ivaretar brukernes behov for informasjon om tjenesten, og i hvilken grad det er mulig for brukere å skifte fra en plattform til en annen plattform.

I forrige uke offentliggjorde Kommunal- og moderniseringsdepartementet (KMD) Norges svar på spørreundersøkelsen. Departementet gir uttrykk for en avventende holdning med tanke på regelverksendringer. KMD fremholder at plattformene varierer med hensyn til hvilken forretningsmodell de er basert på og hvilke produkter og tjenester som tilbys, og at det derfor i første omgang er nødvendig å se på hvordan lovverket virker inn på de ulike plattformtypene før man eventuelt går inn for nye, særskilte reguleringer. Norge gir imidlertid sin støtte til utviklingen av en felleseuropeisk standard for skytjenester.

Departementet peker for øvrig på noen utfordringer som gjelder generelt i møte med internettplattformer. For det første mener KMD at plattformene med fordel kan bli mer transparente, det vil si at brukerne av plattformen må få bedre informasjon om tjenesten og hvordan personlige opplysninger blir brukt. Det er særlig tjenesteplattformer og plattformer som benytter underleverandører som bør bli bedre på å gi brukerne informasjon.

Departementet mener også det er behov for retningslinjer eller reguleringer som sikrer teknisk samspill mellom plattformer, slik at brukerne lettere kan velge mellom ulike tilbydere og for å styrke konkurransen plattformene imellom. Slik det er i dag, kan et bytte innebære så store utfordringer for brukeren at det gjør det for ressurskrevende og dermed ulønnsomt å bytte til en annen tilbyder.

Departementet er av den klare oppfatning at verken plattformtilbydere eller såkalte nettmellomledd (typisk nettverksleverandører) bør ha ansvaret for ulovlig innhold fra tredjeparter. Departementet begrunner dette med at et slikt ansvar vil føre til økt sensur av innhold på internett, noe som representerer en alvorlig trussel mot ytringsfriheten.

Kronikken er skrevet av partner Espen Tøndel, og ble første gang publisert i Finansavisen 15.02.16.

Den nye såkalte Privacy Shield-avtalen kan være redningen for de mange selskapene som tidligere støttet seg på Safe Harbor når de som ledd i sin virksomhet i USA behandler opplysninger om europeiske borgere. Den nye avtalen innebærer blant annet at selskaper som vil benytte seg av ordningen må underlegge seg krav om regelmessig revisjon og tilsyn med sin behandling av personopplysninger. Amerikanske myndigheter har også måttet akseptere at deres tilgang til opplysningene om EU-borgere skal skje på klare vilkår selv om de befinner seg på servere i USA.

Selskaper som Microsoft, Amazon og Google er eksempler på leverandører av IT-tjenester og cloudløsninger som innebærer at store mengder av data daglig «flyter» på tvers av landegrenser. Løsningene innebærer gjerne at personopplysninger som kan knyttes til EU-borgere tidvis befinner seg på servere i datasentre i USA. De samme selskapene har siden i fjor høst, hvor EU-domstolen underkjente Safe Harbor, klødd seg i hodet og hatt store utfordringer med å få EUs standardavtaler til å passe for sitt leveranseoppsett. Standardavtalene har vært den eneste reelle redning for at selskapene fortsatt kan levere sine tjenester til kunder i Norge og resten av landene i EØS-området uten å komme på kant med den strenge europeiske personvern lovgivningen. En utfordring med standardavtalene er at de er svært rigide og passer dårlig for komplekse IT-leveranser med flere underleverandører og tjenester som håndteres i flere ledd.

Om det nye Privacy Shield vil stå seg og løse floken for amerikanskbaserte IT-leverandører gjenstår fortsatt å se. Flere detaljer må fortsatt på plass og EU-kommisjonen skal de neste ukene utarbeide et erklæring som forsikrer at avtalen gir den nødvendige beskyttelse. Også flere forhold må på plass på amerikansk side og det kan ikke ses bort fra risikoen for at den ikke har den nødvendige politiske støtte i USA som tradisjonelt har et syn på personvern som står langt fra europeiske personvernprinsipper. For nærmere informasjon om innholdet i Privacy Shield-avtalen, se: http://europa.eu/rapid/press-release_IP-16-216_es.htm

EU har vedtatt en forordning med regler for å sikre såkalt «nettnøytralitet». Reglene har til hensikt å sikre at Internett fortsatt kan forbli en åpen og ikke-diskriminerende plattform for alle former for kommunikasjon og innholdsdistribusjon – eller som det heter i formålsartikkelen: «This Regulation establishes common rules to safeguard equal and non-discriminatory treatment of traffic in the provision of internet access services and related end-users’ rights.»

Bruken av forordning (Regulation EU 2015/2120) betyr at den nye nettnøytralitetsreguleringen vil bli harmonisert i de ulike EU-landene. Frem til i dag har dette ikke vært tilfellet. Enkelte EU-land har allerede vedtatt lover og regler for å sikre nettnøytralitet. Andre land har brukt mykere virkemidler, mens atter andre har avventet å gjøre noe som helst for å sikre nettnøytralitet.

I Norge har man frem til i dag ikke hatt egne lovregler for å sikre nettnøytralitet. Myndighetene og aktørene har isteden gått sammen om å utforme retningslinjer for nettnøytralitet som de fleste i bransjen har sluttet seg til. Erfaringen så langt synes å være at bransjen har respektert disse retningslinjene i praksis, og det har således ikke vært behov for å vedta egne lovregler for nettnøytralitet.

De nye nettnøytralitetsreglene fra EU må kunne sies å være et kompromiss i den forstand at unntaksadgangen kan synes å være relativt vid. Hovedregelen er at internettilbyderne skal behandle all trafikk over Internett likt, og i denne sammenheng ikke forskjellsbehandle, begrense eller påvirke kommunikasjonen ut fra hvem som er avsender eller mottaker, hvilke tjenester det er snakk om, eller hvilket utstyr som benyttes, jf. artikkel 3 (3).

Fra denne hovedregelen gjøres det to unntak. Det første unntaket er ikke kontroversielt. Dette går ut på at internettilbyderen skal ha anledning til å iverksette såkalte rimelige trafikkstyringstiltak dersom dette er nødvendig av hensyn til etterlevelse av øvrig lovgivning, av hensyn til å sikre nettverksintegritet og sikkerhet, og for å unngå at det oppstår køer og forsinkelser i trafikkavviklingen på Internett. Internettilbyders bruk av trafikkstyringstiltak skal imidlertid være transparent, ikke-diskriminerende og forholdsmessig. Videre skal bruken være begrunnet ut fra tekniske og kvalitetsmessige hensyn, og ikke ut fra kommersielle hensyn, og tiltakene skal ikke vare lengre enn nødvendig.

Det andre unntaket er derimot omdiskutert, og går kort fortalt ut på at internettilbyder også skal ha anledning til å tilby andre IP-baserte tjenester ved siden av internettilgangen som pga. sitt innhold, eller for å kunne bli levert med en viss minstekvalitet, har behov for å bli optimalisert, jf. artikkel 3 (5). Det er en forutsetning for leveranse av slike optimaliserte tjenester at det er tilstrekkelig kapasitet tilgjengelig til at tjenesten kan bli levert i parallell med ordinære internettilgang til sluttbruker, og det understrekes i forordningen at slike andre tjenester ikke skal tilbys som en erstatning for ordinær internettilgang.

Det er fra flere hold gitt uttrykk for bekymring for at bredbåndstilbyderne vil utnytte denne sistnevnte unntaksmuligheten. I nettnøytralitetsreglene legges det opp at nasjonale tilsynsmyndigheter – her til lands Nasjonal kommunikasjonsmyndighet – skal overvåke og sikre at bredbåndstilbyderne ikke leverer tjenester med forbedret internettkvalitet i et slikt omfang nettnøytraliteten påvirkes. Hvorvidt Nasjonal kommunikasjonsmyndighet med en slik unntaksmulighet klarer å sikre at Internett fortsatt kan forbli en åpen og ikke-diskriminerende plattform for alle former for kommunikasjon og innholdsdistribusjon, gjenstår å se. Uansett, også på Internett blir det nå slik at aller er like, men noen er likere enn andre.

Artikkelen er skrevet av partner Tor Stokke, og ble første gang publisert i Finansavisen mandag 1. februar 2016.

Behovet for grundige vurderinger av informasjonssikkerhet har blitt mer fremtredende med den teknologiske utviklingen i samfunnet. Stadig større avhengighet av og behov for effektiv informasjonshåndtering i virksomhetene stiller større krav til konfidensialitet, integritet og tilgjengelighet rundt systemene som håndterer informasjonen. Informasjonssikkerhet bør derfor være gjenstand for en grundig vurdering fra selskapsledelsens side, og ikke være ansett utelukkende som en oppgave IT-avdelingen settes til å håndtere alene. Informasjonssikkerhet vil komme til å bli en viktig differensiator i fremtiden for hvilke selskaper som lykkes og hvilke som ikke lykkes.

Konsekvensene av ikke å ha en strategisk tilnærming til informasjonssikkerhet kan bli store økonomisk sett. Det er særlig tre forhold det vil være viktig å ta høyde for.

Den første er ny personopplysningsforordning. Virksomheter må ha en strategisk tilnærming til hvordan personopplysninger behandles. Dette gjelder både bruk, lagring, overføring til eksterne leverandører etc. Industrien som er knyttet til «Big Data» er særlig utsatt her. Slik informasjon representerer en stor verdi både for virksomheten og i uvedkommendes hender. Forslaget til ny personvernforordning legger opp til bøtesanksjoner som vil kunne få betydelig påvirkning på virksomhetens finansielle stilling, og ledelsen bør av den grunn være involvert i beslutninger knyttet til håndtering av slike data. I tillegg vil brudd på personopplysningsregelverket kunne medføre en betydelig omdømmerisiko som vil kunne medføre store inntektstap for en virksomhet.

Den andre som bør nevnes er nye krav fra forsikringsbransjen.  På bakgrunn av endret risikobilde er det sannsynlig at forsikringsbransjen vil stille strengere krav til sine bedriftskunder. Tap av data vil sjelden være omfattet av bedrifters ansvarsforsikringer. I den grad det skulle være omfattet, vil slike tap kunne være store og uoversiktlige og av den grunn kunne få stor innvirkning på forsikringsselskapenes balanse. Som et eksempel på dette kan nevnes cyberangrepet mot det amerikanske livsforsikringsselskapet Anthem. Hackere kom seg inn i IT-systemene til Anthem og fikk tilgang til informasjon som personnummer, ansattinformasjon, navn, adresser, kontoopplysninger, helseopplysninger og lønn mv tilknyttet 80 millioner kunder.  I følge Financial Times dekket Anthems cyberforsikring kostnader opp til 150 MUSD, mens kostnadene knyttet til kun å tette sikkerhetshull og informere kunder var alene beregnet til ca. 120 MUSD. Beløpet omfattet ikke søksmål fra kunder, opprettelse av kredittkort i kundenes navn etc. Dette innebærer en betydelig risiko knyttet til både forsikringsselskapenes evne til å bære slike tap over tid og virksomhetenes evne til å dekke tap i tilfelle forsikringene ikke dekker tap relatert til informasjonssikkerhet. I de senere årene har selskaper som AIG og AON utviklet såkalte cyberforsikringer som gir delvis kostnadsdekning i tilfelle cyberangrep. I følge AON vil forsikringspremien være avhengig av virksomhetens interne retningslinjer knyttet til informasjonssikkerhet.

Den tredje faktoren ligger i at informasjonen som virksomhetene forvalter har en betydelig kommersiell verdi hva enten dette er børssensitiv informasjon som finansielle data, innkjøpsavtaler, produksjonsmetoder, kundedata, kildekoder eller andres forretningshemmeligheter beskyttet under konfidensialitetsavtaler. Spredning av slik informasjon ville kunne medføre store tap for selskapet gjennom tap av inntekter, kunder etc., og informasjonen vil ha en verdi for andre gjennom misbruk ved for eksempel kjøp av aksjer, utnyttelse av prisinformasjon, kopiering av produkter, programvare etc.

Risiko knyttet til bruk av underleverandører vil også kunne medføre fare for informasjonssikkerheten. I Nasjonal Sikkerhetsmyndighets («NSM») rapport «Risiko 2015» fremheves det at trusselaktører som regel vil velge den letteste veien inn. Ved å gå mot leverandørledd med lavere sikkerhetsbevissthet vil målselskapet bli lettere tilgjengelig for trusselaktøren.

Virksomheter bør etablere en solid strategi for informasjonssikkerhet. Dette innebærer blant annet adressering av virksomhetens risiko knyttet til informasjonssikkerhet for ulike typer av informasjon. Strategien må også omfatte system, ansatte og fysisk sikring, og den må oppdateres jevnlig i takt med virksomhetens utvikling. Det må også settes internt fokus på å sikre opplæring og etterlevelse hos de ansatte.
Artikkelen er skrevet av senioradvokat Nicolai Halbo, og ble første gang publisert i Finansavisen 25.01.16.

En elektronisk signatur (eID) er en samlebetegnelse på ulike teknikker som kan benyttes til å «signere» digital informasjon, på samme måte som en håndskreven underskrift på et papirdokument. I Norge har vi allerede hatt et regelverk om eID i over 15 år. Gjeldende Lov om elektronisk signatur (esignaturloven) bygger på et EU direktiv fra 1999 (Direktiv om elektroniske signaturer).

De felleseuropeiske reglene har imidlertid så langt ikke hatt ønsket effekt, og kanskje særlig i Norge har vi kommet betydelige kortere enn det som mange håpet eller forutså da reglene ble utarbeidet rett før årtusenskiftet. Bruken av elektroniske signaturer har vært vesentlig lavere enn forventet og en del nyere teknologi ser ut til allerede å ha løpt fra regelverket. Mange av dagens elektroniske tjenester, som er helt avhengig av befolkningens tillit til sikker identifisering og kommunikasjon, faller utenfor esignaturloven. Det er derfor positivt at det endelig er tatt initiativ til ny regulering på dette området.

Et nytt eID regelverk ble kort tid før jul sendt på høring fra Nærings- og (fiskeridepartementet. Forslaget skal gjennomføre den nye eIDAS-forordningen som gjelder for både eID og andre såkalte tillitstjenester («Electronic Identification and Trust Services»). Høringen har imidlertid fått ufortjent liten oppmerksomhet. Med lovforslaget legges det opp til et helt nytt regelsett som opprinnelig var ment å skulle tre i kraft allerede fra 1. juli 2016. Lovgivningsprosessen er imidlertid forsinket og det fremstår som mer sannsynlig at nye og tidssvarende regler, samt avvikling av gjeldende esignaturlov, ikke vil være på plass før i begynnelsen av 2017. Enkelte sentrale forskrifter vil ut fra høringsnotatet også måtte påregnes å komme enda senere.

Det nye regelverket er innholdsmessig todelt. Den første delen retter seg hovedsakelig mot offentlige myndigheter og skal legge til rette for gjensidig aksept av løsninger for elektronisk identifikasjon på tvers av landegrensene innen EU. Medlemslandene gis mulighet til å notifisere sine eID-løsninger som deretter, under visse forutsetninger, skal gjensidig anerkjennes. Gjennom EØS-avtalen skal også norske privatpersoner og -bedrifter gis mulighet for å bruke sin nasjonale eID for å få tilgang til elektroniske tjenester fra offentlige myndigheter i andre fellesskapsland som tilbyr pålogging med eID.

EUs nye tillitsmerker

Den andre delen av det nye regelverket fokuserer på såkalte tillitstjenester og innebærer en viktig utvidelse av regelverket. Eksempler på nye tillitstjenester, som ikke omfattes av dagens esignaturlov, men som nå fanges opp, er elektroniske segl, tidsstemplingstjenester. Dette er elektronisk registrerte leveringstjenester og sertifikater for sikker websideidentifisering. Det nye regelverket bygger på et prinsipp om gjensidig anerkjennelse av slike tillittstjenester mellom land der tjenestene har oppnådd en kvalifisert godkjennelse. Det etableres tett kontroll med tillittstjenestene og kvalifiserte tjenester kan også anvende det nye EU-tillittsmerket.

Mange spørsmål er imidlertid fortsatt uløste fra myndighetenes side. Blant annet gjelder dagens esignaturregler også for virksomheter som har etablert et lukket system hvor de ansatte ved elektronisk kommunikasjon seg imellom benytter bedriftens egen sertifikatløsning. En slik nasjonal regelanvendelse er trolig uforenelig med den nye forordningen, og det må avklares om og eventuelt hvordan reglene kan videreføres. Heller ikke gjeldende ordning, hvor noen utstedere av sertifikater for elektroniske signaturer kan basere seg på selvdeklarering, ser ut til å etterleve de nye EU-kravene. Spørsmålet gjenstår derfor om, og eventuelt hvordan, selvdeklareringsordningen kan tilpasses eller må avvikles. Disse og flere viktige spørsmål er ikke tatt stilling til i høringsnotatet.

Ved startskuddet til 2016 kan det se ut til at myndighetene forter seg sakte. Selv om det er å håpe at nyåret bringer med seg en del avklaringer, må det tilsynelatende utvises større tålmodighet før Norge kan sies å ha nådd eID målet.

Artikkelen er skrevet av senioradvokat Malin Tønseth, og ble første gang publisert i Finansavisen 18.01.16.

Kurset holdes onsdag 27. januar i samarbeid med JUS. Mer informasjon om kurset og boken finner du her.

Bakgrunnen for reformen er at dagens regelverk, som bygger på EUs personverndirektiv fra 1995, betraktes som utdatert i møte med nye personvernutfordringer knyttet til for eksempel sosiale medier, stordata, skytjenester og økende flyt av opplysninger over landegrensene. For internasjonale virksomheter er det en særlig utfordring at dagens direktiv er blitt implementert og praktisert forskjellig i medlemslandene.

Med den nye personvernforordningen er formålet å fjerne slike hindre for internasjonal handel og innovasjon gjennom én felles lovtekst og mer ensartet praktisering i medlemslandene. For virksomheter med tilstedeværelse i flere land er det også store fordeler knyttet til at det etter forordningen vil være tilstrekkelig å forholde seg til ett datatilsyn («one stop shop»). Denne endringen alene er anslått å innebære besparelser på 2,3 milliarder Euro.

Forordningen vil få store konsekvenser for norske og internasjonale virksomheter. Når datatilsynsmyndighetene nå gis hjemmel til å gi bøter tilsvarende 4 prosent av overtrederens globale omsetning vil spørsmål knyttet til personvern og sikkerhet i større grad bli et anliggende for virksomheters ledelse og styre. Det er også verdt å merke at virkeområdet for reglene er blitt vesentlig utvidet, slik at de også gjelder for virksomheter etablert utenfor EØS som overvåker eller tilbyr varer eller tjenester til EU-borgere.

Selv om forordningen i stor grad viderefører dagens grunnprinsipper, er det viktig å merke seg at de nye reglene innebærer økte krav til blant annet dokumentasjon, gjennomføring av risiko- og konsekvensutredninger og krav til innføring av personvernombud. Et viktig hensyn bak reglene er å unngå unødvendige og byråkratiske tiltak som gir liten personverngevinst. Eksempelvis vil små og mellomstore bedrifter være unntatt regler om konsekvensutredning og personvernombud hvis personvernrisikoen er begrenset.

For den enkelte borger og forbruker innebærer forordningen en styrking av personvernet gjennom økte krav til klar og tydelig informasjon om informasjonsbehandlingen. I tillegg innføres det nye rettigheter knyttet til dataportabilitiet, rett til å få opplysninger slettet og til å få informasjon om sikkerhetsbrudd.

Forordningen inneholder også enkelte innovative bestemmelser om innebygd personvern og personvern «by default», som går ut på at selve løsningsdesignet skal bidra til å fremme personvernet. Dette innebærer at forordningen også går lenger enn tidligere i å stille krav til virksomheter som utvikler teknologi og løsninger for behandling av personopplysninger.

Gjennom enighet om ny personvernforordning har EU nok en gang satt en ny og høy standard for personvern og informasjonssikkerhet. Et bakteppe som ganske sikkert har virket motiverende for indignerte politikere, er Snowden-avsløringene og manglende vern mot amerikansk masseovervåking. Personvernforordningen føyer seg forøvrig inn i en positiv rettsutvikling de senere årene der EU-domstolen har funnet datalagringsdirektivet og Safe Harbor-avtalen om flyt av personopplysninger som stridende mot grunnleggende rettighetene i EUs charter.

Norske og internasjonale virksomheter bør allerede nå begynne å forberede seg på det nye regimet. Et første skritt vil være å etablere internkontroll og skaffe seg oversikt over egen behandling av personopplysninger i henhold til norske regler som langt på vei er i tråd med forordningens dokumentasjonskrav. På dataintensive områder vil satsing på innebygd personvern og sikre og transparente tjenester kunne innebære et konkurransefortrinn i kampen om kundenes tillit. De nye reglene ventes formelt vedtatt av Europaparlamentet tidlig 2016 med virkning også i Norge fra 2018.

Artikkelen er skrevet av Thomas Olsen, og ble første gang publisert i Dagens Næringsliv 24.12.15. Olsen er senioradvokat i Simonsen Vogt Wiig, og leder for Advokatforeningens lovutvalg for ikt og personvern.

På dette fire timers-kurset får du konkrete råd og eksempler som er av praktisk betydning i arbeidet med personopplysninger og håndtering innenfor regelverkets krav. Eksemplene hentes fra utvalgte temaer i «Personvernhåndboken» som utgjør en del av kursmaterialet. Boken er et praktisk arbeidsverktøy om virksomhetens behandling av personopplysninger som lanseres samme dag som kurset.

Kurset retter seg mot jurister og andre med arbeidsoppgaver knyttet til behandling av personopplysninger som ønsker bedre forståelse for personvernregelverket og hvordan man praktisk kan gå frem for å håndtere de vanligste problemstillingene knyttet til håndtering av personopplysninger i virksomheten.. Kurset vil også belyse hvordan virksomheter allerede nå kan starte forberedelsene med etterlevelse av kommende regler.

Kurset holdes i samarbeid med JUS og Gyldendal. For påmelding og mer informasjon om program for dagen, se her.

For å sikre næringsliv og borgere i hele landet et tilfredsstillende tilbud om kommunikasjonstjenester, har Staten ved Samferdselsdepartementet inngått avtale med Telenor om såkalte leveringspliktige tjenester. Avtalen som ble inngått i 2004 krever at det på steder med fast helårlig bosetting eller næringsvirksomhet skal gis tilbud som gjør det mulig for enhver «å foreta og motta nasjonale og internasjonale telefonsamtaler, sende og motta telefaks, samt foreta oppkobling mot internett».

Reguleringen av leveringspliktige tjenester skriver seg tilbake fra 90-tallet da telemarkedene ble liberalisert, og det oppstod behov for å sikre alle innbyggere et tilfredsstillende kommunikasjonstilbud til en overkommelig pris.

Mye har forandret seg siden 2004. Teknologiutviklingen er bakgrunnen for at Nasjonal kommunikasjonsmyndighet (Nkom) i en rapport til Samferdselsdepartementet har sett nærmere på «Leveringspliktige elektroniske kommunikasjonstjenester for tiden fremover, telefonitjenester og bredbånd».

Nkom foreslår blant annet at de leveringspliktige tjenestene bør utvides til å omfatte bredbåndsforbindelse med 4 mbit/s nedlastingshastighet og 1 mbit/s opplastingshastighet, omtalt som «grunnleggende bredbånd». Begrunnelsen er at bredbånd har stor betydning for bosetting i alle deler av landet, og for å sikre at det ikke oppstår digitale klasseskiller. Digitaliseringen av samfunnet gjør tilgang til Internett stadig viktigere for næringslivet og folk flest.

Dette vil imidlertid koste penger. I overkant av 99.000 husstander mangler i dag grunnleggende bredbånd i Nkoms definisjon. Rapporten anslår at det vil koste rundt 50.000 kroner pr. husstand, tilsammen cirka 5 milliarder kroner, å ta alle disse opp til nivået for leveringsplikten.

Rapporten er uklar på hvor pengene skal hentes fra, hvem det er som skal gis i oppdrag å tilby tjenestene, og om tiltaket er samfunnsøkonomisk lønnsomt. Nkom peker på at det kan opprettes et fond der tilbyderne i markedet betaler gebyr avhengig av antall kunder (en ny «sektoravgift»), at det kan etableres en særskilt statsstøtteordning, eller ved en kombinasjon, der tilbydere konkurrerer om oppdraget å tilby leveringspliktige tjenester.

Samferdselsdepartementet har i høst gjennomført en høring av rapporten, men har foreløpig ikke tatt stilling til forslagene.

Det er ikke vanskelig å slutte seg til begrunnelsen for å inkludere grunnleggende bredbånd i leveringsplikten. Men er det god bruk av ressurser å bruke 5 milliarder kroner på sikre et begrenset antall husstander bredbånd av en bestemt type?

Nkom legger til grunn at de som ikke har bredbånd i dag ikke vil få dette kommersielt. Sett i lys av siste års storstilte utbygging av fiberbasert bredbånd landet over, samt den landsdekkende utbyggingen i disse dager av mobilt bredbånd (4G/LTE), fremstår ikke dette som en opplagt konklusjon. Telenor har uttalt at de har som mål å dekke 99,7 prosent av befolkningen med sitt 4G-nett, mens TeliaSonera er konsesjonsforpliktet til å bygge minimum 98 prosents befolkningsdekning. Teknologi- og markedsutviklingen skjer raskt, og kapasiteten og bredbåndskvaliteten i de mobile bredbåndsnettene må antas å øke betraktelig fremover, og etter hvert som ytterligere frekvenser avsettes til formålet.

Til en rapport fra konsulentselskapet Nexia til Samferdselsdepartementet om «Bredbåndsdekning 2015», har departementets pressemelding til overskrift: «Fortsatt god vekst i bredbåndsdekningen». Det vises til at om lag 79 prosent av husstandene kan få bredbånd med hastighet på minimum 30 mbit/s, og at dekningen for hastigheter opp til 10 mbit/s er tilnærmet 100 prosent.

Er forskjellen mellom det som etter hvert uansett vil bli oppnådd og forslaget til leveringspliktige tjenester verdt 5 milliarder? Vi får se hva Samferdselsdepartementet kommer frem til.

Artikkelen er skrevet av partner Tor Stokke, og ble første gang publisert i Finansavisen 14.12.15.

I situasjoner som denne må det foretas noen vanskelige valg. Heving er ofte et tap for begge parter. Om ikke heving blir utfallet, så må partene klare å kontrollere følelsene – som ikke sjeldent grenser til sinne, og sette seg ned og reforhandle avtalen de har inngått. Det må avtales nye milepælsdatoer, nye governancestrukturer, ofte er det nødvendig å bytte ut prosjektledelsen på begge sider, nye testprosedyrer, nye og mer realistiske akseptansekriterier, aksept av milepæler med avtalte rettelister osv. Partene må med andre ord klare å komme til enighet om hvordan de kan få leveransen til å fungere etter formålet, for om det stopper opp fører det til ytterligere store overskridelser som igjen vil påføre partene ytterligere tap.

En «restrukturering» av avtalen kan langt på vei være hensiktsmessig for begge. Man vet på dette tidspunktet langt mer enn da man startet og kan nyttiggjøre seg dette.

Den grunnleggende innvendingen er dels at man oppmuntrer til at leverandører tar sjanser, det man kan kalle predatorteknikken (skriv under og kjemp derfra). Leverandøren kan ikke være ansvarsfri. Poenget er imidlertid at å være for tøff straffer deg selv.

Det er avgjørende at partene klarer å bli enige om hva som er «godt nok» (i hvert fall initielt). Når alternativet er «havari» vil dette som regel fremstå som naturlig og fornuftig. Videre må kunden innse at prosjekt fortsatt er kundens prosjekt selv om leverandøren skal levere løsningen, og at det er helt avgjørende at kunden også tar sin del av ansvaret for å bidra til fremdrift, selv om det ikke fremkommer uttrykkelig av avtalen. I situasjoner som dette kan advokater fremstå som dårlige rådgivere for sine klienter, dersom det kun pekes på kontraktens ordlyd og tolkning av denne. Om det skal lykkes partene å unngå «havari» krever det at begge parter må svelge en del kameler, og om det ikke er villighet til dette på begge sider vil det være svært krevende å finne en løsning for å oppnå en vellykket leveranse.

Det hører med til sjeldenheten at det det kun er en part som er å klandre for overskridelsene i de store komplekse IT- prosjektene, og det er derfor som regel ikke selvsagt hvem som vil vinne frem i en eventuell tvist. Det vil derfor ofte innebære en betydelig prosessrisiko for begge parter om tvisten ender i retten, samt at det vil ta lang tid før en endelig avgjørelse foreligger.

«Anger management» er her helt avgjørende for å ta de rette beslutningene som bidrar til at prosjektet blir levert, og at både kunde- og leverandørsiden lykkes med sine bestrebelser.

Artikkelen er skrevet av senioradvokat Nicolai Halbo, og ble første gang publisert i Finansavisen 7.12.15.

Etter norsk personvernlovgivning stilles krav om risikovurdering av alle IT-løsninger som skal behandle persondata. Det finnes videre særkrav innen konkrete sektorer og områder. For å vite om løsningen kan tas i bruk, er det derfor viktig å orientere seg om det regulatoriske landskapet som gjelder for den enkelte bedriften.

Særlig innen områder hvor det benyttes kritisk IT-infrastruktur, eller når løsningen i betydelig omfang skal håndtere data av sensitiv karakter, må bedriften orientere seg grundig om regelverket. Eksempler på foretak som er underlagt særlige krav til IT-sikkerhet er finansforetak som omfattes av IKT-forskriften og helseforetak som må følge Norm for informasjonssikkerhet i helsesektoren (Normen). I tillegg til finans- og helsesektoren er også energisektoren et område hvor det gjelder særlige krav til sikkerhet.

Når bedriften skal vurdere sikkerheten i forbindelse med utsetting av IT-tjenester må det som ledd i den lovpliktige risikovurdering tas høyde for alle uønskede hendelser som kan tenkes å inntreffe og som anses for relevante innen området. Sannsynligheten for at slike hendelser forekommer, og ikke minst konsekvensene dersom dette skjer, må vurderes konkret.

Bedriften kan imidlertid ikke nøye seg med å se hen til systemsikkerhet og risikoen som er forbundet med rent IT-tekniske hendelser. Også personellrisiko og fysisk risiko er viktige faktorer som etter kravene til risikovurdering må inngå.

Aktører i typiske lavkostland, som India og Kina, og også land i Øst-Europa, er gjerne attraktive leverandører i utkontrakterings-sammenheng. Når det kommer til systemsikkerhet vil mange løsninger som innebærer bruk av ressurser fra slike lavkostland trolig fremstå som minst like forsvarlige som andre løsninger. Faren for korrupsjon og myndighetsmisbruk er imidlertid også viktige momenter. Risikovurderingen må derfor, i tillegg til vurdering av personellrisiko, fysisk risiko og systemrisiko, inneholde en vurdering av «landrisiko», hvor risikoen ved de konstitusjonelle og politiske forhold i landet er det sentrale.

Også utenom lavkostland-tilfellene vil det imidlertid kunne være behov for en konkret vurdering av landrisiko. Dette gjelder særlig ved utkontraktering som innebærer behandling av sensitive data i stort monn. Etter EU-domstolens avgjørelse i den såkalte Safe Harbor-saken har Datatilsynet pekt på at norske bedrifter må foreta en konkret landrisikovurdering før amerikanske IT-tjenester eventuelt tas i bruk. Tilsynet har derved tilsynelatende gitt USA et stempel som «usikkert» i personvernsammenheng. Det er imidlertid ikke dermed sagt at IT-tjenester fra USA ikke kan tas i bruk. Det vil være å trekke det alt for langt. Poenget er at risikovurderingen må ta høyde for hva slags data man overfører, hvor store mengder av data, og hva som er akseptabel risiko for den enkelte virksomhet. For eksempel er det trolig krevende å ta i bruk løsninger med lagring eller behandling av betydelige mengder helsedata i USA. For løsninger som håndterer sensitive data av mindre betydelig omfang, eller hvor det i hovedsak behandles mer trivielle data, vil spørsmålet om landrisikoen i USA antakelig være helt uproblematisk.

Artikkelen er skrevet av senioradvokat Malin Tønseth, og ble første gang publisert i Finansavisen 30.11.15.

Det har de siste årene i Norge pågått opphetede diskusjoner rundt hva som menes med «videresending» i dagens medievirkelighet. Det er liten tvil om at begrepet ble utviklet og inntatt i loven på en tid der kringkasterne selv sto for utsendelse av tv- og radiosignaler via det analoge bakkenettet. Kabelnettene kunne da ved hjelp av en enkelt antenne ta ned og videresende signalet i kabelnett slik at sendingene nådde et større publikum enn bare mottakerne som var tilknyttet bakkenettet. Det var f.eks. slik SVTs sendinger ble gjort tilgjengelig for nordmenn. Lovgiverne så det som ønskelig at nordiske kanaler ble gjort tilgjengelig, og etablerte en løsning hvor kabelnettene betalte rettighetshaverne, representert ved organisasjonen Norwaco, for videresendingen av slike kringkastingssendinger.

I dagens medievirkelighet er dette annerledes. Kringkasterne eier ikke lenger sine egne kringkastingsnett. I stedet er det distributører som etter avtale med kringkaster sørger for utsendelsen. Kringkasterne sender signalene på en lukket linje til distributøren, som så sender sendingene ut til sine abonnementer. Spørsmålet som har vært debattert er om kabelnettene i en slik situasjon fortsatt kan sies å foreta en «videresending» av tv-sendinger selv om signalene mottas via en lukket linje, eller om slik distribusjon skal anses som en del av kringkasterens primærsending.

I norsk rett har disse spørsmålene vært oppe til behandling i flere rettssaker. Det kan vises til både TOSLO-2010-172932-2 (RiksTV) og LB-2014-58127 (Get) der det ble slått fast at henholdsvis hverken RiksTV eller Get foretar videresending i åndsverklovens forstand. Mens RiksTV-saken er rettskraftig, er Get-saken anket inn for Høyesterett og saken skal behandles i løpet av første halvår 2016.

Timingen er derfor god når EU-domstolen den 19. november avsa dom i sak C-325/14 SBS Belgium NV mot Belgische Vereniging van Auteurs, Componisten en Uitgevers (SABAM). Det prejudisielle spørsmålet domstolen var bedt om å ta stilling til i denne saken var om kringkasteren SBS Belgium NV foretar en overføring til allmennheten i InfoSoc-direktivets (direktiv 2001/29) artikkel 3 (1) forstand, ved overføringen av de programbærende signalene i lukket linje fra SBS Belgium NV til distributørene.

Domstolen konstaterte først at begrepet som benyttes i InfoSoc-direktivets artikkel 3 (1), «overføring til almenheden», består av to kumulative kriterier: (i) det må skje en overføring og (ii) overføringen må skje til en allmennhet (se premiss 15).

Etter EU-domstolens syn var det ikke tvilsomt at overføringen fra kringkasteren til distributørene var en overføring i direktivets forstand, uavhengig av om denne overføringen er skjedd ved satellitt, kabel eller xDSL-linje, og uavhengig av om slike overføringer ble foretatt parallelt til ulike distributører eller ei (se premiss 18 og 19).

Domstolen var videre av det syn at denne overføringen til distributører ikke var skjedd til en allmennhet ettersom overføringen var skjedd til individuelle og bestemte leverandører (se premiss 23). Domstolen konstaterte at allmennheten som tv-sendingene ble gjort tilgjengelig for, var abonnentene til den enkelte distributør (premiss 28).

På denne bakgrunn trakk domstolen den slutning at kringkasternes overføring av tv-signaler til distributører (før signalet distribueres til abonnentene), i utgangspunktet ikke innebærer en overføring til allmennheten i InfoSoc-direktivets artikkel 3 (1) forstand. Domstolen holdt likevel døren åpen for at distributøren i noen tilfeller kan befinne seg i en situasjon der distributøren ikke er uavhengig av kringkasteren, hvilket kan medføre at distributørens levering vil kunne sies å være av rent teknisk karakter (se premiss 32). Hvis dette er tilfellet, tilkommer det nasjonale domstoler å undersøke om distributørens abonnementer kan sies å være omfattet av den overføringen som kringkasterne foretar, med den virkning at overføringen da vil måtte anses å være foretatt overfor en allmennhet i direktivets forstand (se premiss 33).

EU-domstolens resultat fremstår å være godt i samsvar med resultatet i de norske rettsavgjørelsene. Om vi ser hen til Get-avgjørelsen, så uttalte lagmannsretten på side 10: «Etter denne gjennomgåelsen av rettskildene er det etter lagmannsrettens syn avgjørende at signalene fra TV Norge til Get ikke innebærer en offentliggjøring til allmennheten.» Samme resonnement gjenfinnes også i RiksTV-dommen.

Den andre problemstillingen som behandles i EU-domstolens avgjørelse, nemlig om distributørene må kunne sies å være tekniske hjelpemidler for kringkasterne med den virkning at det er kringkasterne som i realiteten foretar den opphavsrettslig relevante handlingen, behandles ikke særskilt av domstolene i de norske rettssakene. Domstolene synes å legge til grunn at det er kringkaster som har klareringsansvar ettersom dette følger av avtalene mellom kringkaster og distributør.

Et spørsmål som ikke behandles direkte i EU-domstolens avgjørelse er hvor eller rettere sagt med hvilken opphavsrettshaverorganisasjon rettigheter skal klareres dersom kringkaster er basert i et land og distributør i et annet land, f.eks. slik som i Get-saken der noen av de omhandlede kanalene var basert i Storbritannia men leverte signalet til kabelnett i Norge. Dette spørsmålet har ikke vært gjenstand for behandling i de norske rettssakene, men i kjølvannet av EU-domstolens avgjørelse synes det å ha oppstått et behov for avklaring av hvor klarering av rettigheter i primærsendinger skal foregå i et slikt tilfelle.

Dommen fra EU-domstolen

Den 29. oktober avsa EU-domstolen en dom som presiserer anvendelsesområdet for det såkalte databasevernet som følger av EU-direktivet om rettslig beskyttelse av databaser, og som også er relevant ved tolkningen av databasevernet i åndsverkloven.

Databasevernet begrunnes i investeringshensyn og forbyr i utgangspunktet andre enn eieren av databasen, som presumptivt har investert betydelige midler i oppbyggingen, å gjøre uttrekk fra eller gjenbruke dataene eller vesentlige deler av dataene som inngår i databasen.

Spørsmålet som ble forelagt EU-domstolen var om geografiske data fra et kart, med henblikk på tredjemanns fremstilling og salg av et annet kart, er omfattet av databasevernet. Bakgrunnen for dommen var en pågående rettstvist mellom delstaten Bayern i Tyskland, som utgir kart over området, og et tysk forlag som utgir atlas og reisebøker for sykkelinteresserte. Forlaget hadde scannet kartene som delstaten utga for deretter, ved hjelp av et grafisk program, å gjøre et uttrekk av kartinformasjon om sykkelveier- og stier i området.

Det springende punktet var om dataene som var gjenstand for uttrekk og gjenbruk var å betrakte som en database i direktivets forstand. I denne definisjonen ligger at dataene må ha en informativ verdi i seg selv. Domstolen kom til at de aktuelle dataene hadde en selvstendig informativ verdi for forlaget og derfor var vernet etter databasevernet.

Et databasevern som strekker seg langt

Dommen innebærer at systematisk strukturert informasjon, det være seg om den foreligger elektronisk eller på papir, er vernet mot at andre gjør uttrekk av og gjenbruker informasjonen, såfremt de aktuelle dataene har en selvstendig informativ verdi. Et eksempel på en database som i de aller fleste tilfeller vil være vernet, er informasjon om kundeadferd på Internett som systematisk samles inn og lagres ved hjelp av cookies.

Kommersiell utnyttelse av data i en database som først blir relevante når de sammenstilles med andre data, er i henhold til dommen ikke forbudt. Handlingsrommet her synes imidlertid å være ganske begrenset. Mens det vil være adgang til å gjenbruke enkeltopplysninger, vil man raskt være utenfor handlingsrommet når det blir tale om mer strukturerte datasett. Konklusjonen er derfor at vi ved dommen har fått en tydeliggjøring av grensene for databasevernet som strekker seg langt i å beskytte den som har gjort investeringer i databaser. Virksomheter som ønsker å gjøre uttrekk av og gjenbruke data som andre har samlet inn, må følgelig se seg godt for.

Artikkelen er skrevet av partner Espen Tøndel, og ble første gang publisert i Finansavisen 16.11.15.

BCR («Binding Corporate Rules») er et sett med interne konsernregler som sikrer lovlig håndtering og overføring av personopplysninger til konsernselskaper utenfor EØS området. Prosessen med å godkjenne BCR-rammeverket har vært ledet av det norske Datatilsynet. Etter en nøye gjennomgang har de europeiske datatilsynsmyndighetene vurdert at selskapenes konsernregler sikrer en effektiv etterlevelse av europeisk personvernlovgivning. Aker Solutions og Akastor kan dermed lovlig overføre personopplysninger på tvers av de mange land hvor selskapene opererer i tråd med norske og europeiske personvernregler.

Aker Solutions og Akastor har vært bistått av Simonsen Vogt Wiig med utvikling og godkjenning av selskapenes BCR.

Russland er ikke omfattet av EU-direktivet om behandling av personopplysninger og fastsetter egne regler i personvernrettslige spørsmål. Den nye loven rammer utenlandske foretak så vel som russiske. Loven vil imidlertid ikke ramme selskaper uten fysisk tilstedeværelse i Russland idet russiske myndigheter innrømmer å mangle jurisdiksjon over selskaper som ikke er registrert i Russland.
Loven gjør unntak for enkelte behandlinger, eksempelvis behandling av personopplysninger som har hjemmel i internasjonal overenskomst, behandling for straffeprosessuelle formål og behandling til journalistiske formål. Disse unntakene har liten betydning i kommersiell sammenheng.

Den nye loven gir russiske tilsynsmyndigheter hjemmel til å «svarteliste» nettsteder som ikke etterlever reglene, for i neste omgang å kunne blokkere tilgangen til disse nettstedene. Virksomheter som ikke innretter seg etter kravet om å lagre eksempelvis kundeopplysninger i Russland, risikerer altså å bli stengt ute fra det russiske markedet.
Overtredelser av loven kan også straffes med bøter. Bøtenivået er svært lavt, men det er fremsatt forslag om en økning. Bøter er imidlertid neppe særlig avskrekkende sammenlignet med en trussel om utestengning fra markedet.
Den nye loven lar flere sentrale spørsmål stå ubesvart. Det er blant annet uklart hvorvidt man er pliktig til å lagre data utelukkende i Russland, eller om det er adgang til å speile dataene i en utenlandsk database, eller om det sågar er tilstrekkelig å ha en back-up av dataene i Russland.
Loven strider etter alt å dømme mot allerede gjeldende russisk rett om overføring av personopplysninger til utlandet. Russiske myndigheter har uttalt at det sannsynligvis fortsatt skal være adgang til å føre opplysninger ut av landet, såfremt opplysningene først er aggregert og lagret på russiske servere, og man deretter får på plass en avtale om overføring.

Tendensen er foreløpig at selskaper med tilstedeværelse i Russland forholder seg avventende til den nye loven i påvente av klargjøringer fra russiske myndigheter i sentrale tolkningsspørsmål. Myndighetene har uttalt at sanksjoner ikke vil inntreffe i inneværende år, men virksomhetene kan neppe sitte på gjerdet altfor lenge før man risikerer sanksjoner
Man kan spørre om ikke Russland nå langt på vei bare innfører tilsvarende barrierer for sine dataoverføringer som EU. Problemstillingene synes også å reise seg parallelt i alle verdenshjørner. Som følge av den nylige EU-avgjørelsen om Safe Harbor-avtalens ugyldighet er det nå også strenge vilkår for dataoverføringer fra EU til USA.

Hensynene bak regelverkene i EU og Russland ser imidlertid ut til å ligge langt fra hverandre. Mens EUs strenge regler for overføring ut av EØS er begrunnet i grunnleggende personvernhensyn, er Russlands motivasjon trolig å sikre tilgang til data av hensyn til etterretning og mulighet til å sensurere innhold. Muligens også for å beskytte egen IT-industri. I Russland kan etterlevelse av reglene trolig bli både teknisk krevende og kostbar for mange virksomheter.
Det store bildet er likevel at dersom andre land henger seg på med tilsvarende regulering, vil dette skape barrierer og uheldige inndelinger av nettet i soner, i en markedsutvikling som eller domineres av fleksible løsninger, hvor opplysninger i stor grad forflyttes over landegrenser.
Artikkelen er skrevet av partner Tor Stokke, og ble første gang publisert i Finansavisen 09.11.15.

Utredningen omfatter en gjennomgang av kravene som stilles til et lovlig samtykke og av UDIs samtykkepraksis. Rapporten peker blant annet på at samtykke som hovedregel vil være uegnet som behandlingsgrunnlag i UDI som følge av at direktoratet avgjør saker om tildeling av grunnleggende goder som har stor betydning for en sårbar gruppe.

Rapportens gjennomgår videre kravene som stilles til lovhjemmel for behandling av personopplysninger.  Gjennomgangen av utvalgte sentrale lovhjemler på utlendingsområdet viser at kun enkelte bestemmelser  gir eksplisitt hjemmel for å behandle personopplysninger til klart definerte og nærmere avgrensede formål.

I følge Stefanie Petterson, som leder UDIs arbeid med oppfølgning av rapporten «berører rapporten flere prinsipielle spørsmål knyttet til det rettslige grunnlag for behandling av personopplysninger i utlendingsforvaltningen, og den er et viktig utgangspunkt for UDIs videre arbeid og oppfølgning på området».

Enkel ordning for amerikanske skyleverandører. Avtalen har siden 2000 vært et praktisk verktøy for å kunne overføre personopplysninger til USA tross strenge EU-personvernregler med forbud mot overføring utenfor EØS-området. Med Safe Harbors selv-sertifiseringsløsning kunne amerikanske foretak importere data fra EU etter å ha forpliktet seg til å overholde syv grunnleggende personvernprinsipper. Så mye som 4500 USA-baserte selskaper har sertifisert seg under ordningen, herunder en lang rekke IT-leverandører, for å kunne tilby sine tjenester lovlig til europeiske foretak.

Enkel løsning for norske virksomheter. Ordningen har tilsvarende vært en mye benyttet løsning for mange norske foretak som bruker IT-tjenester fra amerikanske selskaper i sin daglige drift. Gjennom EØS-avtalen og personopplysningsloven skal alle behandlingsansvarlige foretak sørge for et lovlig grunnlag for overføring av personopplysninger utenfor EØS-området. Problemstillingen knyttet til datastrømmer over landegrenser forsterkes når virksomheten tar i bruk løsninger, herunder skyløsninger, hvor data lagres på datasentre i ulike land. Forholdet aktualiseres også når norske tjenesteleverandører har underleverandører i USA.  Tidligere kunne man sikre lovlige datastrømmer ved å benytte en Safe Harbor-sertifisert leverandør; men ikke nå lenger.

Hva betyr dette i praksis? Bedrifter som har støttet seg på skyløsninger og andre IT-tjenester fra Safe Harbor-sertifiserte leverandører står reelt uten lovlig grunnlag for den daglige datastrømmen i virksomhetens systemer.  Heretter må disse virksomheten finne et annet gyldig overføringsgrunnlag. Forbrukermyndighetene har kalt Safe Harbors kollaps en seier for individets rett til å samtykke. Men samtykke er lite praktisk og har åpenbare begrensninger som overføringsgrunnlag for mange virksomheter. I teorien betyr dette at mange norske foretak, som behandler og overfører personopplysninger om ansatte, kunder eller andre som ledd i den daglige IT-driften, er forpliktet til å stenge systemer og stoppe bruken av skyløsninger for ikke å bryte personopplysningsloven.

Ingen grunn til panikk. EU-kommisjonen har manet til ro og varslet at det snart skal komme en veileder til de nasjonale datatilsynene om håndtering av dataoverføringer til USA. Det er grunn til tro at Datatilsynet vil gi virksomhetene noe tid til å få på plass alternative overføringsgrunnlag i eksisterende avtaler før det iverksettes sanksjoner. Men inntil en veileder og eventuelt ny avtale mellom EU og USA kommer på plass er det tvilsomt om tilsynet vil akseptere nye avtaler om overføringer til USA uten at det stilles særlige rettsgarantier. På grunn av begrensninger i bruken av samtykke, blant annet i ansettelsesforhold, vil det eneste reelle alternativ for mange behandlingsansvarlige foretak være å inngå IT-avtaler basert på EUs standardavtaler.  Dette kan imidlertid være en krevende prosess og standardavtalene er langt mindre fleksible enn Safe Harbor.

Løsninger på vei? Heldigvis ser vi tegn til at amerikanske leverandører, herunder Google og Microsoft blant de største skyleverandørene, er forberedt på utfallet og har etablert et avtaleregime for sine B2B-løsninger med utgangspunkt i EU-standardavtalene. Flere leverandører tilbyr også løsninger uten datasentre i USA. Norske virksomheter som benytter USA-baserte skyløsninger, og som ønsker å forsikre seg om at datastrømmene fortsatt er lovlige, kan med fordel begynne med å undersøke om løsningen allerede er dekket inn ved at standardavtalene er riktig benyttet i avtaleoppsettet.

Artikkelen er skrevet av Malin Tønseth, og ble første gang publisert i Finansavisen 19.10.15.

Det første mange tenker på når de hører uttrykket IoT er fremtidsscenarier om førerløse biler, skip og fly, biometri som gjør alle nøkler overflødige og armbånd koplet til supercomputere som forteller om du er syk eller frisk, med forslag til behandling basert på siste oppdaterte forskning. Men man behøver ikke gå så langt for å finne eksempler på ting som kan samle informasjon og kommunisere. Allerede i dag omgir vi oss med mange slike, som Smart TV, sensorer i biler, fjernavlesing av strøm, og alarmsystemer i hus og arbeidsplasser. I en rapport som Federal Trade Commission (FTC) har fått utarbeidet om IoT, fremgår det at det i dag anslagsvis er 25 milliarder «ting» som er koblet mot Internett (telefoner og pc kommer på toppen), og at det etter all sannsynlighet vil være mer enn dobbelt så mange innen 2020.

 “With a trillion sensors embedded in the environment—all connected by computing systems, software, and services—it will be possible to hear the heartbeat of the Earth, impacting human interaction with the globe as profoundly as the Internet has revolutionized communication.”

Peter Hartwell, Senior Researcher, HP Labs

Teknologien for å få ting til å kunne samle informasjon og kommunisere er relativt billig. Bruksområdet er tilnærmet grenseløst. Enkelt sagt er alt som skal til for å koble ting mot nettet en sensor og en bitte liten radiosender som kan viderekommunisere informasjonen som samles inn.

IoT har imidlertid også noen skyggesider. Internasjonale undersøkelser har tidligere hevdet at en stor andel datainnbrudd skjer via ubeskyttede «tredjeparts»-installasjoner (fra kaffemaskiner til ventilasjonsanlegg) koplet til nettet. FTC ser også nærmere på behovet for særskilt IoT-regulering for å beskytte forbrukerne. Personvern knyttet til innsamling, bruk og oppbevaring av data fra bruk av ting koblet mot nettet, samt sikkerhetsmessige aspekter i denne sammenheng, er de sentrale spørsmålene som drøftes i rapporten, som for øvrig konkluderer med at det foreløpig er for tidlig å vedta særskilt regulering.

Også EU har IoT høyt oppe på sin dagsorden. På den ene siden ønsker EU at Europa skal ligge i front når det gjelder det å ta i bruk og utvikle ny teknologi, og EU-kommisjonen har lansert flere initiativer gjennom sin nye «digitale agenda» for å sikre tilgang til høyhastighetsbredbånd, og senke barrierer for handel og kommunikasjon. På den andre siden står personvernet sterkt i EU, og på samme måte som FTC, har EU-kommisjonen sett at IoT utfordrer gjeldende regulering på personvernrettens område. I et arbeidsdokument fra EU-kommisjonen fra mai i år vises det bl.a. til at den gjeldende personvernreguleringen fra 1995 ikke holder tritt med den teknologiske utviklingen, og arbeidet med å vedta ny regulering på dette området har høy prioritet. Den kommende personvernforordning som ventes vedtatt ved årsskiftet, vil råde bot på mange av dagens svakheter, b.la. ved at det ved utvikling av ny teknologi fremover stilles klare krav til å ha på plass tiltak som sikrer innebygd personvern. Siste ord er imidlertid neppe sagt.

Artikkelen er skrevet av partner Tor Stokke, og ble første gang publisert i Finansavisen 12.10.2015.

Helseapper er ikke lenger bare leketøy for teknologientusiaster, men er i ferd med å få utbredelse i massemarkedet. Helseappene som man finner på markedet favner om et bredt spekter av bruksformål og funksjonalitet. Noen teller skritt, noen overvåker søvnmønster og hjerterytme, og andre skal avdekke utvikling av kreft. Visste du at helseapper regnes som medisinsk utstyr, dersom de har til formål å diagnostisere, forebygge, overvåke eller behandle sykdom, skade eller handikap? Og da gjelder det like strenge krav til produksjon, omsetning, markedsføring og bruk til appen, som til annet medisinsk utstyr.

For å bli betraktet som «medisinsk utstyr» må appen ha et analyseelement, dvs. funksjonalitet som tolker dataene, og gir tilbakemelding til brukeren. En app som utelukkende samler helsedata – f eks en skritteller – vil ikke være å anse som medisinsk utstyr, mens dersom den analyserer dataene og foreslår en diagnose eller behandling, er den omfattet. Det er derfor ikke så mye som skal til før reglene gjelder.

Reglene om medisinsk utstyr bygger på et EU-direktiv og er implementert i en egen lov om medisinsk utstyr fra 1995. Regelverket innebærer blant krav om registrering i et eget register hos Helsedirektoratet og krav om egenerklæring som dokumenterer at produktet oppfyller kravene og dermed kan oppnå CE-merking.

Produsenten må også foreta en risikoanalyse av produktet, og det skal etableres et system for å overvåke bruken av appen etter at den er satt i omsetning, og det er varslingsplikt ved feil. Helsetilsynet fører kontroll med bruken og kan kreve dokumentasjon av utstyrets egenskaper og virkninger. Det er også egne krav til informasjon som må følge med produktet.

I tillegg til de spesielle reglene vil helseapper også være underlagt de strenge erstatningsreglene i produktansvarsloven. Produsenten, og også den som markedsfører produktet vil som utgangspunkt være erstatningsansvarlig dersom en helseapp påfører noen en personskade, f eks gjennom en uriktig diagnose. En helseapp vil også behandle personopplysninger, og må oppfylle de generelle kravene i personopplysningsregelverket.

Regler som er laget i en annen tid og til et annet formål, kan bremse ønsket teknologiutvikling på helseområdet, og dessuten skade norske bedrifters konkurranseevne. De involverte myndighetene bør derfor samarbeide om å tilgjengeliggjøre informasjon om de relevante reglene, bistå utviklingsmiljøene med veiledning, samt vurdere handlingsrommet for en forenkling av reglene.

Artikkelen har tidligere vært publisert i Finansavisen

Det har lenge vært oppstyr rundt Safe Harbor-avtalen som siden 2000 har dannet grunnlag for overføring av personopplysninger fra land innen EU-området til amerikanske selskaper som har tilsluttet seg de syv grunnleggende prinsipper som følger av avtalen. Avtalen skal sikre at EU-borgeres personopplysninger behandles forsvarlig selv om de overføres til  USA, som har andre regler på området og som anses å gi et svakere personvern. Gjennom EØS-avtalen har også norske virksomheter hatt anledning til å støtte seg på Safe Harbor avtalen som grunnlag for overføringer av personopplysninger til USA.

Siden Snowden-avsløringene i 2013, som ga klarhet rundt at flere amerikanske myndigheter har omtrent uhindret tilgang til opplysninger som er lagret hos amerikanske selskaper, har europeiske tilsynsmyndigheter sett store svakheter ved overføringsavtalen. Med dagens EU-dom synes Safe Harbor avtalen, i sin gjeldende form, nå endelig å være skutt i senk.

Hvilke konsekvenser dommen får for Facebook sin videre håndtering av personopplysninger om EU-borgere gjenstår å se. Et annet og vel så viktig spørsmål er om de mange norske foretakene,  som har basert sin daglige virksomhet og drift på dataoverføringsavtalen, nå reelt står uten et gyldig overføringsgrunnlag og dermed opptrer i strid med norske personvernregler.

Det er mange grunner til å bytte leverandør, fra at man ønsker å heve eller si opp på grunn av mislighold, til at man strategisk ønsker en regelmessig konkurranseutsetting.

Skal man kunne bytte, må man sikre at transaksjonsomkostningene ikke er større enn at dette faktisk lar seg gjøre. Slike kostnader skriver seg dels fra systembyttet i seg selv, og dels fra påvirkningen byttet har på virksomhetens løpende drift. Det er utfordrende å «bytte hjul i fart», og det varierer sterkt hvor vellykket slike termineringsprosesser er. Erfaringen viser at enkelte leverandører håndterer exit dårlig, selv om det også er eksempler på at leverandører håndterer det profesjonelt, og evner å beholde et lengre og forretningsmessig perspektiv til tross for at de blir byttet ut. Poenget er uansett at risikoen for at problemer skal oppstå ved systembytter, både for leverandørsiden og kundesiden, er stor nok til at man på forhånd bør ha tenkt gjennom hvordan situasjonen skal løses.

En måte å se på avtaler er som et kart for håndtering av situasjoner som kan oppstå en gang i fremtiden, hvor det vil bli vanskelig å finne løsninger etter at situasjonen har oppstått. Exit-situasjoner er et godt eksempel på dette. Det er mye mer krevende å forhandle vilkår når partene befinner seg i en termineringssituasjon eller overgang til ny leverandør av andre grunner, enn ved begynnelsen av avtaleforholdet, når kontrakten inngås.

Det blir da avgjørende at avtalen regulerer forholdet mellom partene på en måte som sikrer tilfredsstillende ytelsesnivåer og en sømløs tjeneste under termineringsperioden. Det er videre viktig å sikre seg at termineringsperioden er lang nok og at den må kunne forlenges ytterligere om det skulle være behov for det. Det er ofte komplisert å bytte leverandør, og det må tas høyde for forsinkelser og utsettelser av prosessen. Forpliktelsene på leverandøren i termineringsperioden må også være så detaljerte og konkrete at de lar seg håndheve, selv om samarbeidsklimaet er vanskelig og tilliten er borte.

I selskaper som tidligere har utkontraktert, for deretter å bytte leverandør eller ta tjenesten inn igjen, har «exit management» blitt et svært viktig punkt i forhandlingene. Noen av de store internasjonale selskapene har, kloke av skade, laget egne standardbilag om exit management som vedlegges alle avtaler av en viss viktighet og størrelse. Alle som utkontrakterer bør tenke i samme retning.

Artikkelen er skrevet av senioradvokat Nicolai Halbo, og ble første gang publisert i Finansavisen 28.09.15.