Med både sommerferie og august lagt bak oss ser vi fremover mot en spennende høst!
Ny giv, ny prosjekter, og ny utfordringer.
Sommeren har i alle fall ikke gitt oss mindre å ta tak i på personvernfronten, så det er bare å gjøre seg klar til å gå høsten i møte med enda mer personvern!
Ny kredittopplysningslov har trådt i kraft
Uten større fanfare — og med lite forvarsel — trådte den nye kredittopplysningsloven i kraft 1. juli.
Dette gjør at overgangsordningen der det var krav til konsesjon for å drive med kredittsjekk har falt bort, og at det nå er “fritt frem” for å starte selskaper som utfører kredittsjekk.
Som jeg har skrevet om tidligere er det mye som er galt med modellen for kredittsjekk i dag, og dessverre ser det ikke ut til at dette har blitt adressert i den nye loven eller forskriften. Spesielt mangelen på et sentralt sperreregister gjør at det nå vil bli svært krevende å effektivt sperre seg mot kredittsjekk.
Datatilsynet vil bøtelegge Meta for overføring av data om deg til USA
Datatilsynet ber om at Meta bøtelegges
I juli sendte det norske Datatilsynet et brev til irske personvernmyndigheter, etter at de sendte ut et utkast til en avgjørelse i en sak mot Meta og deres behandling og overføring av personopplysninger.
Datatilsynet argumenterer i brevet for at det er viktig at Meta ikke bare får kritikk og forbud mot overføringene, men også må bøtelegges for å skape et insentiv til å faktisk følge reglene.
Det danske datatilsynet tar grep mot dårlig sikkerhet i IT-løsninger
I en rekke avgjørelser de siste månedene har det danske datatilsynet gått etter bedrifter som ikke har implementert tilstrekkelige sikkerhetsmekanismer i systemene sine.
I én sak konkluderte de med at “alle sannsynlige feilscenarioer forventes testet i utviklingsfasen”, mens de i en annen holdt et selskap ansvarlig for et hackerangrep fordi de ikke hadde oppdatert salgsplattformen sin til siste versjon. I en tredje sak har det blitt foreslått en bot på en halv million kroner til et advokatselskap som ikke hadde sikret innloggingsløsningen sin med tofaktorautentisering.
Alle disse sakene peker på en relativt streng forståelse av Artikkel 32, og viser at alle organisasjoner som har IT-systemer vil bli holdt ansvarlige dersom disse ikke aktivt forvaltes og sikres.
Historien om Smittestopp, fra innsida: - Personvern handler om tekniske valg
Chromebooks og G-Suite forbys ved dansk skole
I en travel sommer for det danske datatilsynet har de også forbydd bruken av Chromebooks og Googles G-Suite ved et dansk skoledistrikt.
Bruken av disse tjenestene førte til overføring av personopplysninger til Google. Datatilsynet påpekte en rekke mangler, blant annet var det ikke gjennomført risikovurdering, man var ikke i stand til å demonstrere at behandlingen var lovlig eller at GDPR ble etterlevd.
Det ble i tillegg reist spørsmål ved om personopplysninger ble ulovlig overført til tredjeland i henhold til Schrems-II dommen.
Tredjepartscookies forblir i Chrome til 2024
Det har lenge vært snakk om at Chrome skulle droppe støtte for tredjepartscookies. Det vil gjøre det vanskeligere å spore brukere på tvers av nettet, men også stikke kjepper i hjulene for Googles egne tjenester for analyse og annonser. Nå har Google igjen annonsert at denne endringen skyves på, og tidligst vil skje andre halvår 2024.