Dataportabilitet

https://www.datatilsynet.no/rettigheter-og-plikter/den-registrertes-rettigheter/rett-til-dataportabilitet/

Retten til dataportabilitet er en rettighet som skal styrke kontrollen din over egne personopplysninger. Dette gjør at kan du få utlevert personopplysninger om deg selv og gjenbruke dem som du vil på tvers av ulike systemer og tjenester.

Retten til dataportabilitet innebærer:

Med retten til dataportabilitet kan du få utlevert personopplysninger om deg og gjenbruke disse som du vil på tvers av ulike systemer og tjenester.

Dataportabilitet skal gjøre det lettere å bytte tjenesteleverandør. Du skal enkelt kunne ta med deg opplysningene dine til den leverandøren som tilbyr de beste vilkårene.

Opplysningene skal utleveres i et maskinlesbart og vanlig brukt filformat. Du kan kreve at personopplysningene dine overføres direkte til den nye tjenesteleverandøren når dette er teknisk mulig.

Med retten til dataportabilitet kan du flytte persondata fra en tjenesteleverandør til en annen på en trygg og sikker måte.

Din rett til dataportabilitet gjelder kun hvis opplysningene du ønsker utlevert er samlet inn på bakgrunn av samtykke eller kontrakt.

Rettigheten gjelder kun opplysninger som du selv har gitt til virksomheten. Dette gjelder for eksempel opplysninger som du bevist og aktivt har gitt fra deg, for eksempel i forbindelse med opprettelse av en brukerkonto. Det gjelder også opplysninger som er samlet inn fra deg gjennom aktiv bruk av en tjeneste, for eksempel data om dine løpeturer (puls, tid, lokasjon) samlet inn fra deg når du bruker en treningsapp.

Personopplysninger som tjenesteleverandøren ikke har samlet inn direkte fra deg, er ikke omfattet av denne retten. Dette gjelder blant annet opplysninger som tjenesteleverandøren har utledet basert på din aktive bruk av tjenesten. Dette er ikke opplysninger som er avgitt direkte av deg, men som virksomheten selv har opprettet basert på analyse av din bruk av tjenesten.

Du har krav på å få dataene utlevert så raskt som mulig, og senest innen en måned.

Opplysningene skal sendes til deg kryptert. Du bør sende opplysningene videre på samme måte som du fikk dem.

Virksomheten må kunne fastslå din identitet før de utleverer opplysningene dine til deg.

Virksomheter har ikke lov til å ta gebyr for å imøtekomme kravet om dataportabilitet

 

 

 

 

 

 

Bilder på nett (1)

https://slettmeg.no/bilder-pa-nett/

Enhver som publiserer bilder på nettet må forholde seg til personopplysningslovens og åndsverklovens bestemmelser, samt det ulovfestede personvernet. Det innebærer at man i utgangspunktet ikke kan publisere et bilde av en person uten samtykke av den avbildede. Det er den som har publisert bildene som eventuelt må bevise at et frivillig, uttrykkelig og informert samtykke virkelig foreligger.

Situasjonsbilder kan offentliggjøres uten samtykke fra de avbildede så lenge bildene er harmløse og ikke krenkende for de som er avbildet. Situasjonsbilder kan defineres som bilder der selve situasjonen eller aktiviteten er det egentlige formålet med bildet. Akkurat hvem som er med på bildet er da mindre viktig enn hovedinnholdet i bildet. Eksempler på dette kan være en gruppe mennesker på en konsert, et idrettsarrangement, 17. mai-tog, eller hendelser som har allmenn interesse. Det gjelder også unntak fra samtykkekravet der avbildningen har aktuell og allmenn interesse, men her er grensen for det lovlige vanskelig. Det som imidlertid er sikkert er at kjente personer har mindre vern enn andre, men også kjente personer har et vern.

 

 

Bilder på nett (2)

https://www.datatilsynet.no/personvern-pa-ulike-omrader/internett-og-apper/bilder-pa-nett/

Når du skal publisere eller dele bilder eller film der personer er motivet, må du tenke gjennom om det du gjør er lovlig. Som en hovedregel, kan det for eksempel være lurt å alltid be om samtykke først.

Hvis det oppstår en konflikt, er det den som har delt bildene eller filmen som må bevise at et gyldig samtykke virkelig er gitt.

Bilder eller film av personer

Bilder som viser en eller flere bestemte personer, altså bilder der de enkelte personene er hovedmotivet kalles også portrettbilder. Dersom du skal publisere slike bilder på nett eller dele dem med andre (selv om det er i lukkede grupper), må du ha samtykke fra den eller de som er avbildet før bildet publiseres. Dette gjelder i den avbildedes levetid og 15 år etter utløpet av personens dødsår. Det gjelder også film/video, og det gjelder enten du selv har tatt bildene eller bare videreformidler dem.

Dersom det gjelder bilder av barn eller andre personer som ikke kan gi gyldig samtykke selv, må foresatte gi samtykke på disse sine vegne.

Klassebilder er også definert som portrettbilder siden det er personene som er hovedmotivet. Hvis en skole ønsker å publisere klassebilder på sine hjemmesider, kan dette bare gjøres dersom det er innhentet et godkjent samtykke.

Les mer om samtykke for skoler, barnehager og andre virksomheters bruk av bilder av barn.

Samtykke skal hentes inn FØR bildet eller filmen deles. Deler du familiebilder eller festbilder av omgangskretsen med andre, må du derfor ha samtykke fra alle som kan identifiseres på bildene. Dette gjelder selvsagt uansett om bildene publiseres på en hjemmeside, på en blogg, på sosiale medier eller andre nettsider. Det gjelder også om bildene deles i åpne eller lukkede grupper (slik som Facebook-grupper med flere medlemmer), og det gjelder direktestreaming selv om ingenting lagres. Brudd på disse reglene kan være straffbart.

 

 

 

 

 

 

Identitetskrenkelse

https://slettmeg.no/straffbart-pa-internett/

Det er straffbart å bruke en annen persons identitet eller en identitet som er lett å forveksle med en annes identitet for å oppnå  uberrettiget vinning eller påføre en annen tap eller ulempe. Det kan f.eks gjelde opprettelse av en falsk profil på internett. 10. desember 2010 trådde en ny bestemmelse i staffeloven om identitetskrenkelse i kraft.

https://lovdata.no/dokument/NL/lov/2005-05-20-28/

§ 202.Identitetskrenkelse
Med bot eller fengsel inntil 2 år straffes den som uberettiget setter seg i besittelse av en annens identitetsbevis, eller opptrer med en annens identitet eller med en identitet som er lett å forveksle med en annens identitet, med forsett om å

a. oppnå en uberettiget vinning for seg eller en annen, eller
b. påføre en annen tap eller ulempe.
0 Tilføyd ved lov 19 juni 2009 nr. 74.

 

 

 

 

 

 

Hacking

https://slettmeg.no/straffbart-pa-internett/

Det er straffbart å uberettiget skaffe seg adgang til data eller programutrustning som er lagret eller som overføres ved elektroniske eller andre tekniske hjelpemidler. Straffen er bøter eller fengsel inntil 6 måneder eller begge deler. Hacking er dermed omfattet av denne straffebestemmelsen. Dersom hackingen er utført for å skaffe noen en uberettiget vinning, eller gjerningspersonen har voldt skade ved å skaffe seg eller bruke opplysningene vedkommende har fått gjennom hackingen, heves strafferammen til fengsel i inntil 2 år.

https://lovdata.no/dokument/NL/lov/2005-05-20-28/

§ 201.Uberettiget befatning med tilgangsdata, dataprogram mv.
Med bot eller fengsel inntil 1 år straffes den som med forsett om å begå en straffbar handling uberettiget fremstiller, anskaffer, besitter eller gjør tilgjengelig for en annen

a. passord eller andre opplysninger som kan gi tilgang til databasert informasjon eller datasystem, eller
b. dataprogram eller annet som er særlig egnet som middel til å begå straffbare handlinger som retter seg mot databasert informasjon eller datasystem. På samme måte straffes den som uten forsett om å begå en straffbar handling besitter et selvspredende dataprogram, og besittelsen skyldes uberettiget fremstilling eller anskaffelse av programmet.
0 Tilføyd ved lov 19 juni 2009 nr. 74.

https://lovdata.no/dokument/NL/lov/2005-05-20-28/

§ 204.Innbrudd i datasystem
Med bot eller fengsel inntil 2 år straffes den som ved å bryte en beskyttelse eller ved annen uberettiget fremgangsmåte skaffer seg tilgang til datasystem eller del av det.

0 Tilføyd ved lov 19 juni 2009 nr. 74.

https://lovdata.no/dokument/NL/lov/2005-05-20-28/

§ 205.Krenkelse av retten til privat kommunikasjon
Med bot eller fengsel inntil 2 år straffes den som uberettiget

a. og ved bruk av teknisk hjelpemiddel hemmelig avlytter eller gjør hemmelig opptak av telefonsamtale eller annen kommunikasjon mellom andre, eller av forhandlinger i lukket møte som han ikke selv deltar i, eller som han uberettiget har skaffet seg tilgang til,
b. bryter en beskyttelse eller på annen uberettiget måte skaffer seg tilgang til informasjon som overføres ved elektroniske eller andre tekniske hjelpemidler,
c. åpner brev eller annen lukket skriftlig meddelelse som er adressert til en annen, eller på annen måte skaffer seg uberettiget tilgang til innholdet, eller
d. hindrer eller forsinker adressatens mottak av en meddelelse ved å skjule, endre, forvanske, ødelegge eller holde meddelelsen tilbake.
0 Tilføyd ved lov 19 juni 2009 nr. 74.

 

 

 

 

 

 

Dokumentforfalskning/bruk av falskt dokument

https://slettmeg.no/straffbart-pa-internett/

Hvis noen har forfalsket en signatur for å skaffe seg tilgang på facebook konto eller annet, så er det straffbart eventuelt ved å sende/levere inn et slikt dokument og dermed ha brukt dokumentet. Straffen for å benytte et falsk dokument er bøter eller fengsel i opptil 2 år. Dette står i straffelovens § 361.

https://lovdata.no/dokument/NL/lov/2005-05-20-28/

§ 361.Dokumentfalsk
Med bot eller fengsel inntil 2 år straffes den som

a. ettergjør eller forfalsker et dokument, eller anskaffer et ettergjort eller forfalsket dokument med forsett om bruke det eller la det fremstå som ekte eller uforfalsket,
b. rettsstridig bruker et dokument som nevnt i bokstav a og lar det fremstå som ekte eller uforfalsket, eller
c. utsteder et dokument og uriktig tillegger seg en stilling som er av vesentlig betydning for dokumentets bevisverdi, og lar dokumentet fremstå som riktig.
Med dokument menes i dette kapittel en informasjonsbærer som gjelder et rettsforhold eller ellers egner seg som bevis for et rettsforhold.

0 Tilføyd ved lov 19 juni 2009 nr. 74.

https://lovdata.no/dokument/NL/lov/2005-05-20-28/

§ 362.Mindre dokumentfalsk

Når straffverdigheten er liten, straffes dokumentfalsk med bot. Ved denne avgjørelsen skal det særlig legges vekt på

a.hvilken verdi handlingen gjelder,

b.om den har hatt til følge skade eller uleilighet for noen,

c.i hvilken utstrekning den er resultat av planlegging.

0Tilføyd ved lov 19 juni 2009 nr. 74.

🔗

§ 363.Dokumentødeleggelse mv.

https://www.datatilsynet.no/rettigheter-og-plikter/personvernprinsippene/

Personvernprinsippene

Personopplysningsloven inneholder både rettigheter og plikter. Felles for alle reglene er at de bygger på noen grunnleggende prinsipper. Alle som behandler personopplysninger må opptre i samsvar med disse prinsippene.

Prinsippene gir på ulike måter uttrykk for at behandling av personopplysninger skal skje på en måte som i størst mulig grad sikrer forutsigbarhet og forholdsmessighet for enkeltmennesket.

Her er en kort gjennomgang av personvernprinsippene:

Lovlig, rettferdig og gjennomsiktig

At behandlingen av personopplysninger må være lovlig innebærer først og fremst at det må finnes et rettslig grunnlag for en planlagt behandling av personopplysninger. Personvernforordningen har en liste over rettslige grunnlag og minst ett av disse må være oppfylt for at behandlingen skal være lovlig. Prinsippet om lovlighet kan også sies å inkludere alle de øvrige prinsippene og reglene for behandling av personopplysninger som en behandlingsansvarlig må oppfylle.

At behandlingen av personopplysninger må skje rettferdig betyr at den skal gjøres i respekt for de registrertes interesser og rimelige forventninger. Behandlingen skal være forståelig for de registrerte og ikke foregå på skjulte eller manipulerende måter. Gjennomsiktig betyr i denne sammenheng at bruken av personopplysninger skal være oversiktlig og forutsigbar for den opplysningene gjelder. Gjennomsiktighet bidrar til å skape tillit og det setter enkeltpersonen i stand til å bruke sine rettigheter og ivareta sine interesser.

Formålsbegrensning

Personopplysninger skal kun behandles for spesifikke, uttrykkelige, angitte og legitime formål. Det betyr at ethvert formål med behandling av personopplysninger skal identifiseres og beskrives presist. Alle formål skal være forklart på en måte som gjør at alle berørte har samme forståelse av hva personopplysningene skal brukes til. At formålet skal være legitimt innebærer at det i tillegg til å ha et rettslig grunnlag også skal være i samsvar med øvrige etiske og rettslige samfunnsnormer. Personopplysninger kan ikke gjenbrukes til formål som er uforenelig med det opprinnelige formålet.

Dataminimering

Prinsippet om dataminimering innebærer å begrense mengden innsamlede personopplysninger til det som er nødvendig for å realisere formålet med innsamlingen. Dersom personopplysninger ikke er nødvendige for å oppnå formålet, skal man heller ikke samle dem inn.

Riktighet

Personopplysninger som behandles skal være korrekte, og skal om nødvendig oppdateres. Dette betyr at den behandlingsansvarlige må sørge for å straks slette eller rette personopplysninger som er uriktige ut i fra de formålene de er samlet inn for.

Lagringsbegrensning

Prinsippet om lagringsbegrensning innebærer at personopplysninger skal slettes eller anonymiseres når de ikke lenger er nødvendige for formålet de ble innhentet for.

Integritet og konfidensialitet

Personopplysninger skal behandles slik at opplysningenes integritet, konfidensialitet og tilgjengelighet beskyttes. Dette betyr at den behandlingsansvarlige må sørge for å iverksette tiltak mot utilsiktet og ulovlig ødeleggelse, tap og endringer av personopplysninger.

Ansvarlighet

Prinsippet om ansvarlighet understreker ansvaret for å opptre i samsvar med reglene for behandling av personopplysninger. Dette ansvaret ligger på alle virksomheter som behandler personopplysninger. Det er ikke nok å bare ha ansvar – man må vise at man tar ansvar. Det betyr at virksomheten må kunne dokumentere at den har gjennomført tiltak for å etterleve personvernforordningen. Virksomheten må opptre proaktivt og etablere alle nødvendige organisatoriske og tekniske tiltak for å sikre at regelverket etterleves til enhver tid.

 

 

 

 

 

 

https://lod.lovdata.no/journal/2023/2/m-994/Ny_rettspraksis_om_definisjonen_av_personopplysninger

Ny rettspraksis om definisjonen av personopplysninger

 

Vilkårene for at det skal foreligge en personopplysning

"Domstolen la til grunn at to kumulative vilkår må være oppfylt for at det skal foreligge personopplysninger som definert i GDPR:

For det første må det være snakk om en opplysning om en fysisk person(på engelsk: «related to»). Vilkåret er oppfylt dersom opplysningens innhold knytter seg til en person, men også dersom formålet knytter seg til en person eller dersom resultatet av bruken vil ha innvirkning på en person.

Det er interessant å merke seg at domstolen slo fast at noens meninger kan være personopplysninger,

For det andre, må de fysiske personene som opplysningene handler om være identifiserte eller identifiserbare."

 

 

 

 

 

 

https://www.datatilsynet.no/rettigheter-og-plikter/personvernprinsippene/grunnleggende-personvernprinsipper/

Grunnleggende personvernprinsipper

Reglene for behandling av personopplysninger bygger på noen grunnleggende prinsipper. Alle som behandler personopplysninger må opptre i samsvar med disse prinsippene. Denne veilederen er en utredning av personvernprinsippene slik de er beskrevet i personvernforordningens artikkel 5. Veilederen baserer seg også på artikkel 6 og 9.

Lovlig, rettferdig og gjennomsiktig

Behandling av personopplysninger må være lovlig

Det må finnes et rettslig grunnlag for den behandlingen en virksomhet ønsker å gjøre. Forordningens artikkel 6 regulerer i hvilke tilfeller det skal anses lovlig å behandle personopplysninger. Minst ett av vilkårene i denne bestemmelsen må være oppfylt for at behandlingen er tillatt. Dersom det behandles sensitive personopplysninger må i tillegg minst ett av vilkårene i artikkel 9 være oppfylt.

Eksempler på tiltak for å oppnå lovlighet

• Tiltak som sørger for at behandlingen ikke går ut over det rettslige grunnlaget. Hvis behandlingen er basert på samtykke bør det for eksempel etableres tiltak for å kontrollere hva det er gitt samtykke til og settes tekniske sperrer for all behandling som går ut over dette.

• Sørge for å skille mellom hvilke opplysninger som er nødvendig å behandle for å levere tjenesten, og hvilke andre opplysninger det kan være valgfritt å oppgi for å få tilgang til utvidede tjenester.

• Behandling av personopplysninger må skje rettferdig

• Behandlingen av personopplysninger skal gjøres i respekt for de registrertes interesser og rimelige forventninger. Behandlingen skal dessuten være gjennomsiktig og forståelig for de registrerte, den skal ikke foregå på fordekte eller manipulerende måter.

Eksempler på tiltak for å oppnå rettferdighet

• Tiltak som sørger for å ivareta rettigheter og friheter for de registrerte etter personvernregelverket og andre grunnleggende rettigheter. Eksempler på andre rettigheter er ytringsfrihet, tankefrihet, bevegelsesfrihet, likhet for loven, retten til frihet, samvittighet og religionsfrihet.

• Tiltak som gjør resultater fra automatiserte avgjørelser forutsigbare og forståelige. For eksempel åpenhet om profilering og hvilke opplysninger som er avgjørende for at enkeltpersoner blir delt inn i ulike kategorier.

Behandling av personopplysninger skal være gjennomsiktig

• Behandling av personopplysninger skal være oversiktlig og forutsigbar for den registrerte. Den det behandles opplysninger om skal være informert om dette.

• Gjennomsiktighet bidrar til å skape tillit og det setter den registrerte i stand til å bruke sine rettigheter og ivareta sine interesser.

Eksempler på tiltak for å oppnå lovlighet

• Ha funksjonalitet for interaksjon mellom behandlingsansvarlig og den registrerte, slik at det gjøres enkelt for den registrerte å tilegne seg informasjon om hvordan personopplysningene behandles.

• Ha funksjonalitet for å gi informasjon om hvilke opplysninger som behandles, hva de brukes til og mulighet for de registrerte til å gjøre seg kjent med sine rettigheter og hvordan de skal utøve disse.

• Ha en personvernerklæring på virksomhetens nettsider med generell informasjon om virksomhetenes personvernpolicy.

Formålsbegrensning
Personopplysninger skal kun behandles for spesifikke, uttrykkelige, angitte og legitime formål
Ethvert formål med behandling av personopplysninger skal identifiseres og beskrives presist. Alle formål skal være forklart på en måte som gjør at alle berørte har samme entydige forståelse av hva personopplysningene skal brukes til. At formålet skal være legitimt innebærer at det i tillegg til å ha et rettslig grunnlag også skal være i samsvar med øvrige etiske og rettslige samfunnsnormer.

Eksempler på tiltak

• Tiltak som gjør at det eksplisitt blir tatt stilling til hva slags prosessering av personopplysninger som er innenfor de angitte formål, og hva som ikke er det. Etablering av tekniske sperrer mot prosessering som ikke er innenfor formålet, for eksempel utlevering.
• Tiltak som sikrer at det som standard kun behandles opplysninger til det som er forutsatt fra starten.
• Tiltak som sikrer at det som standard kun behandles personopplysninger som er nødvendig for hvert spesifikke formål med behandlingen.
• Personopplysninger kan ikke gjenbrukes til formål som er uforenelig med det opprinnelige
• Personopplysninger kan gjenbrukes til nye formål, dersom det nye formålet er forenelig med det opprinnelige formålet som personopplysningene ble samlet inn for, og det foreligger et rettslig grunnlag for den nye behandlingen. Dersom behandlingen ikke er forenelig med det opprinnelige formålet, kan personopplysningene bare behandles dersom de registrerte har samtykket til viderebehandlingen, eller behandlingen er hjemlet i lovgivning med formål å ivareta hensynene i artikkel 23 nr. 1.

Sentrale momenter i vurderingen av om en behandling er uforenelig med det opprinnelige formål er:

• om det er forbindelse mellom opprinnelig og nytt formål

• i hvilken sammenheng opplysningene er samlet inn

• personopplysningenes art, for eksempel om det behandles sensitive personopplysninger
• mulige konsekvenser av den tiltenkte viderebehandlingen

• om opplysningene blir beskyttet ved hjelp av for eksempel kryptering eller pseudonymisering

Eksempler på tiltak

• Tiltak som sørger for å identifisere gjenbruk av personopplysninger som ikke er forutsatt fra innsamlingstidspunktet.

• Tiltak for å gjøre en vurdering av om gjenbruksformål er uforenelig med opprinnelige formål.

• Tiltak for å stoppe behandling av personopplysninger som har formål som er uforenelige med opprinnelig formål.

Merk: Gjenbruk av personopplysninger til arkivformål i allmenhetens interesse, vitenskapelige eller historiske forskningsformål eller til statistiske formål er ikke uforenelig med opprinnelig formål dersom behandlingen er underlagt nødvendige garantier.

Eksempler på tiltak

• Tekniske og organisatoriske tiltak for å sikre at det ikke behandles mer opplysninger enn nødvendig (dataminimering).

• Tekniske tiltak for å gjennomføre pseudonymisering når formålet kan oppfylles på denne måten.

• Tekniske tiltak for å gjennomføre anonymisering når formålet kan oppfylles på denne måten.

Dataminimering
Prinsippet om dataminimering innebærer å begrense mengden personopplysninger som hentes inn og behandles til det som er nødvendig for å oppnå formålet.

Dersom identitetsopplysninger eller personopplysninger ikke er nødvendige for å oppnå formålet, taler dataminimalitetsprinsippet for å ikke samle dem inn eller behandle dem på annen måte. Dataminimalitetsprinsippet kan også være relevant i vurderingen av hvor stort antall personer som skal registreres i et datasett.

Eksempler på tiltak
Det kan gjennomføres tiltak for å:

• ta stilling til om formålet med behandlingen med rimelighet kan oppfylles på annen måte enn å behandle personopplysninger. I så fall skal det ikke behandles personopplysninger.

• sikre at det kun samles inn og brukes relevante og nødvendige personopplysninger. For eksempel kan en kart-applikasjon som viser veien fra A til B ha behov for å vite hvor den registrerte befinner seg når appen er i bruk, men den trenger ikke å vite hvem som bruker appen eller ha tilgang til kontakter eller bilder lagret på telefonen.

• sikre at det ikke innhentes eller på annen måte behandles personopplysninger om flere personer enn nødvendig. Dette kan være relevant for forskning hvor det må tas stilling til hva som er nødvendig antall deltakere, utvalg/kontrollutvalg for å sikre god nok representasjon.

Riktighet

Personopplysninger som behandles skal være korrekte. Opplysningene skal også oppdateres hvis det er nødvendig.

Dette betyr at behandlingsansvarlig må sørge for å straks slette eller rette personopplysninger som er uriktige med hensyn til de formål de behandles for.

Eksempler på tiltak

Tiltak for å sørge for at personopplysningene er korrekte og oppdaterte. For eksempel kan løsningen regelmessig varsle brukere om at de må kontrollere sine personopplysninger. Mange banker gjør dette ved innlogging til for eksempel nettbank.

Tiltak for å sikre at personopplysninger som er uriktige med hensyn til formålene de behandles for, straks slettes eller korrigeres.

Dersom back-up brukes for gjenoppretting av data må også disse gjennomgås med hensyn til nødvendig korrigering.

Lagringsbegrensning

Prinsippet om lagringsbegrensning innebærer at personopplysninger skal lagres slik at de slettes eller anonymiseres når de ikke lengre er nødvendige for formålet de ble innhentet for.

Eksempel på tiltak

Tiltak for å sikre at tidsrommet for lagring av personopplysninger ikke er lengre enn nødvendig. Den behandlingsansvarlige bør innføre tidsfrister for sletting eller periodisk gjennomgang for å sikre at personopplysninger ikke oppbevares lengre enn nødvendig.

Integritet og konfidensialitet

Personopplysninger skal behandles slik at opplysningenes integritet og konfidensialitet beskyttes.

Eksempler på tiltak

• Behandlingen skal ha tiltak mot uautorisert utlevering og tilgang til personopplysninger.
• Behandlingen skal ha tiltak mot utilsiktet og ulovlig ødeleggelse, tap og endringer av personopplysninger.
• Behandlingen skal som standard sørge for at personopplysninger er tilgjengelige for autoriserte personer når det er nødvendig.
• Behandlingen skal som standard sikre at personopplysninger ikke gjøres tilgjengelig for et ubegrenset antall mennesker uten den berørte personens medvirkning.
• Behandlingen skal ha tiltak for å spore endringer som gjøres i systemet og for å kunne håndtere sikkerhetsbrudd.
• Behandlingen skal ha tiltak for å sikre at systemene som behandler personopplysninger er robuste mot for eksempel sårbarheter, angrep og uhell.

Se for øvrig sjekklisten for «Krav» i veiledningen vår om programvareutvikling med innebygd personvern:

Last ned sjekklisten for kravsetting (pdf)

Ansvarlighet

Prinsippet om ansvarlighet understreker den behandlingsansvarliges ansvar for å opptre i samsvar med reglene for behandling av personopplysninger.

Det er ikke nok å bare ha ansvaret – man må vise at man tar ansvaret.

Den behandlingsansvarlige må opptre proaktivt og etablere alle nødvendige organisatoriske og tekniske tiltak for å sikre at regelverket etterleves til enhver tid. Virksomheten må også kunne vise at den faktisk opptrer i samsvar med reglene.

 

 

 

 

 

 

Personopplysningsloven (utdrag)

https://lovdata.no/dokument/NL/lov/2018-06-15-38/*#*

https://lovdata.no/dokument/NL/lov/2018-06-15-38/KAPITTEL_gdpr-3-4#KAPITTEL_gdpr-3-4

https://lovdata.no/dokument/NL/lov/2018-06-15-38/KAPITTEL_gdpr-3-3#KAPITTEL_gdpr-3-3

https://lovdata.no/dokument/NL/lov/2018-06-15-38/KAPITTEL_gdpr-3-2#KAPITTEL_gdpr-3-2

Lov om behandling av personopplysninger (personopplysningsloven)

EUROPAPARLAMENTS- OG RÅDSFORORDNING (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF (generell personvernforordning) [PVF, GDPR]

KAPITTEL III Den registrertes rettigheter

Avsnitt 2 Informasjon og innsyn i personopplysninger

Artikkel 13.Informasjon som skal gis ved innsamling av personopplysninger fra den registrerte

1. Når personopplysninger om en registrert samles inn fra den registrerte, skal den behandlingsansvarlige på tidspunktet for innsamlingen av personopplysningene gi den registrerte følgende informasjon:

a.identiteten og kontaktopplysningene til den behandlingsansvarlige og eventuelt den behandlingsansvarliges representant,

b.kontaktopplysningene til personvernombudet, dersom dette er relevant,

c.formålene med den tiltenkte behandlingen av personopplysningene samt det rettslige grunnlaget for behandlingen,

d.dersom behandlingen er basert på artikkel 6 nr. 1 bokstav f), de berettigede interessene som forfølges av den behandlingsansvarlige eller en tredjepart,

e.eventuelle mottakere eller kategorier av mottakere av personopplysningene,

f.dersom det er relevant, det faktum at den behandlingsansvarlige akter å overføre personopplysninger til en tredjestat eller en internasjonal organisasjon og om hvorvidt Kommisjonen har truffet en beslutning om tilstrekkelig beskyttelsesnivå eller ikke, eller når det gjelder overføringene nevnt i artikkel 46 eller 47 eller artikkel 49 nr. 1 annet ledd, en henvisning til nødvendige eller passende garantier, hvordan man får tak i et eksemplar av dem, eller hvor de er gjort tilgjengelig.

2. I tillegg til informasjonen nevnt i nr. 1 skal den behandlingsansvarlige på tidspunktet for innsamling av personopplysninger gi den registrerte følgende ytterligere informasjon som er nødvendig for å sikre en rettferdig og åpen behandling:

a.det tidsrom personopplysningene vil bli lagret, eller dersom dette ikke er mulig, kriteriene som brukes for å fastsette dette tidsrommet,

b.retten til å anmode den behandlingsansvarlige om innsyn i og retting eller sletting av personopplysninger eller begrensning av behandlingen som gjelder den registrerte, eller til å protestere mot behandlingen samt retten til dataportabilitet,

c.dersom behandlingen er basert på artikkel 6 nr. 1 bokstav a) eller artikkel 9 nr. 2 bokstav a), retten til når som helst å trekke tilbake et samtykke uten at det påvirker lovligheten av en behandling basert på et samtykke før samtykket trekkes tilbake,

d.retten til å klage til en tilsynsmyndighet,

e.om det foreligger et lovfestet eller avtalefestet krav om å gi personopplysninger eller et krav som er nødvendig for å inngå en avtale, samt om den registrerte har plikt til å gi personopplysningene og om mulige konsekvenser dersom vedkommende ikke gjør det,

f.forekomsten av automatiserte avgjørelser, herunder profilering, som nevnt i artikkel 22 nr. 1 og 4, og, i det minste i nevnte tilfeller, relevant informasjon om den underliggende logikken samt om betydningen og de forventede konsekvensene av en slik behandling for den registrerte.

3. Dersom den behandlingsansvarlige har til hensikt å viderebehandle personopplysningene for et annet formål enn det opplysningene ble samlet inn for, skal den behandlingsansvarlige før nevnte viderebehandling gi den registrerte informasjon om nevnte andre formål og annen nødvendig informasjon som nevnt i nr. 2.

4. Nr. 1, 2 og 3 får ikke anvendelse dersom og i den grad den registrerte allerede har informasjonen.

Artikkel 14.Informasjon som skal gis dersom personopplysninger ikke er blitt samlet inn fra den registrerte

1. Dersom personopplysninger ikke er blitt samlet inn fra den registrerte, skal den behandlingsansvarlige gi den registrerte følgende informasjon:

a.identiteten og kontaktopplysningene til den behandlingsansvarlige og eventuelt den behandlingsansvarliges representant,

b.kontaktopplysningene til personvernombudet, dersom dette er relevant,

c.formålene med den tiltenkte behandlingen av personopplysningene samt det rettslige grunnlaget for behandlingen,

d. de berørte kategoriene av personopplysninger,

e.eventuelle mottakere eller kategorier av mottakere av personopplysningene,

f.dersom det er relevant, at den behandlingsansvarlige har til hensikt å overføre personopplysninger til en mottaker i en tredjestat eller en internasjonal organisasjon og om hvorvidt Kommisjonen har truffet en beslutning om tilstrekkelig beskyttelsesnivå eller ikke, eller, når det gjelder overføringene nevnt i artikkel 46 eller 47 eller artikkel 49 nr. 1 annet ledd, en henvisning til nødvendige eller passende garantier, hvordan man får tak i et eksemplar av dem eller hvor de er gjort tilgjengelig.

2. I tillegg til informasjonen nevnt i nr. 1 skal den behandlingsansvarlige gi den registrerte følgende informasjon som er nødvendig for å sikre den registrerte en rettferdig og åpen behandling:

a.det tidsrom personopplysningene vil bli lagret, eller dersom dette ikke er mulig, kriteriene som brukes for å fastsette dette tidsrommet,

b.dersom behandlingen er basert på artikkel 6 nr. 1 bokstav f), de berettigede interessene som forfølges av den behandlingsansvarlige eller en tredjepart,

c.retten til å anmode den behandlingsansvarlige om innsyn i og retting eller sletting av personopplysninger eller begrensning av behandlingen som gjelder den registrerte, og til å protestere mot behandlingen samt retten til dataportabilitet,

d.dersom behandlingen er basert på artikkel 6 nr. 1 bokstav a) eller artikkel 9 nr. 2 bokstav a), retten til når som helst å trekke tilbake et samtykke uten at det påvirker lovligheten av en behandling basert på et samtykke før samtykket trekkes tilbake,

e.retten til å klage til en tilsynsmyndighet,

f.fra hvilken kilde personopplysningene stammer fra, og, dersom det er relevant, om de stammer fra offentlig tilgjengelige kilder,

g.forekomsten av automatiserte avgjørelser, herunder profilering, som nevnt i artikkel 22 nr. 1 og 4, og, i det minste i nevnte tilfeller, relevant informasjon om den underliggende logikken samt om betydningen og de forventede konsekvensene av en slik behandling for den registrerte.

3. Den behandlingsansvarlige skal gi informasjonen nevnt i nr. 1 og 2

a.innen en rimelig frist etter at personopplysningene er samlet inn, men senest innen én måned, idet det tas hensyn til de særlige forholdene som personopplysningene er behandlet under,

b.dersom personopplysningene skal brukes til å kommunisere med den registrerte, senest på tidspunktet for den første kommunikasjonen med vedkommende, eller

c.dersom det er planlagt at personopplysningene skal utleveres til en annen mottaker, senest når personopplysningene første gang utleveres.

4. Dersom den behandlingsansvarlige har til hensikt å viderebehandle personopplysningene for et annet formål enn det opplysningene ble samlet inn for, skal den behandlingsansvarlige før nevnte viderebehandling gi den registrerte informasjon om nevnte andre formål og annen relevant informasjon som nevnt i nr. 2.

5. Nr. 1-4 får ikke anvendelse dersom og i den grad

a.den registrerte allerede har informasjonen,

b.det viser seg umulig å gi nevnte informasjon eller det vil innebære en uforholdsmessig stor innsats, særlig i forbindelse med behandling for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål i henhold til vilkårene og garantiene nevnt i artikkel 89 nr. 1, eller i den grad forpliktelsen nevnt i nr. 1 i denne artikkel sannsynligvis vil gjøre det umulig eller i alvorlig grad vil hindre at målene med nevnte behandling nås. I slike tilfeller skal den behandlingsansvarlige treffe egnede tiltak for å verne den registrertes rettigheter og friheter og berettigede interesser, herunder gjøre informasjonen offentlig tilgjengelig,

c.innsamling eller utlevering er uttrykkelig fastsatt i unionsretten eller medlemsstatenes nasjonale rett som den behandlingsansvarlige er underlagt, og som inneholder egnede tiltak for å verne den registrertes berettigede interesser, eller

d.dersom personopplysningene må holdes konfidensielle som følge av taushetsplikt i henhold til unionsretten eller medlemsstatenes nasjonale rett, herunder en lovfestet taushetsplikt.

Artikkel 15.Den registrertes rett til innsyn

1. Den registrerte skal ha rett til å få den behandlingsansvarliges bekreftelse på om personopplysninger om vedkommende behandles, og, dersom dette er tilfellet, innsyn i personopplysningene og følgende informasjon:

a.formålene med behandlingen,

b. de berørte kategoriene av personopplysninger,

c.mottakerne eller kategoriene av mottakere som personopplysningene er blitt eller vil bli utlevert til, særlig mottakere i tredjestater eller internasjonale organisasjoner,

d.dersom det er mulig, hvor lenge det forventes at personopplysningene vil bli lagret, eller, dersom dette ikke er mulig, kriteriene som brukes for å fastsette denne perioden,

e.retten til å anmode den behandlingsansvarlige om retting eller sletting av personopplysninger eller begrensning av behandlingen av personopplysninger som gjelder den registrerte, eller til å protestere mot nevnte behandling,

f.retten til å klage til en tilsynsmyndighet,

g.dersom personopplysningene ikke er samlet inn fra den registrerte, all tilgjengelig informasjon om hvor personopplysningene stammer fra,

h.forekomsten av automatiserte avgjørelser, herunder profilering, som nevnt i artikkel 22 nr. 1 og 4, og, i det minste i nevnte tilfeller, relevant informasjon om den underliggende logikken samt om betydningen og de forventede konsekvensene av en slik behandling for den registrerte.

2. Dersom personopplysningene overføres til en tredjestat eller til en internasjonal organisasjon, skal den registrerte ha rett til å bli underrettet om de nødvendige garantiene i henhold til artikkel 46 i forbindelse med overføringen.

3. Den behandlingsansvarlige skal gjøre tilgjengelig en kopi av personopplysningene som behandles. Dersom den registrerte anmoder om flere kopier, kan den behandlingsansvarlige kreve et rimelig gebyr basert på administrasjonskostnadene. Dersom den registrerte inngir anmodningen elektronisk, og med mindre den registrerte anmoder om noe annet, skal informasjonen gis i en vanlig elektronisk form.

4. Retten til å motta en kopi nevnt i nr. 3 skal ikke ha negativ innvirkning på andres rettigheter og friheter.

Personopplysningsloven (utdrag)

https://lovdata.no/dokument/NL/lov/2018-06-15-38/*#*

https://lovdata.no/dokument/NL/lov/2018-06-15-38/KAPITTEL_gdpr-3-4#KAPITTEL_gdpr-3-4

https://lovdata.no/dokument/NL/lov/2018-06-15-38/KAPITTEL_gdpr-3-3#KAPITTEL_gdpr-3-3

https://lovdata.no/dokument/NL/lov/2018-06-15-38/KAPITTEL_gdpr-3-2#KAPITTEL_gdpr-3-2

Lov om behandling av personopplysninger (personopplysningsloven)

EUROPAPARLAMENTS- OG RÅDSFORORDNING (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF (generell personvernforordning) [PVF, GDPR]

KAPITTEL III Den registrertes rettigheter

Avsnitt 3 Retting og sletting

Artikkel 16.Rett til retting

Den registrerte skal ha rett til å få uriktige personopplysninger om seg selv rettet av den behandlingsansvarlige uten ugrunnet opphold. Idet det tas hensyn til formålene med behandlingen skal den registrerte ha rett til å få ufullstendige personopplysninger komplettert, herunder ved å framlegge en supplerende erklæring.

Artikkel 17.Rett til sletting («rett til å bli glemt»)

1. Den registrerte skal ha rett til å få personopplysninger om seg selv slettet av den behandlingsansvarlige uten ugrunnet opphold, og den behandlingsansvarlige skal ha plikt til å slette personopplysninger uten ugrunnet opphold dersom et av de følgende forhold gjør seg gjeldende:

a.personopplysningene er ikke lenger nødvendige for formålet som de ble samlet inn eller behandlet for,

b.den registrerte trekker tilbake samtykket som ligger til grunn for behandlingen, i henhold til artikkel 6 nr. 1 bokstav a) eller artikkel 9 nr. 2 bokstav a), og det ikke finnes noe annet rettslig grunnlag for behandlingen,

c.den registrerte protesterer mot behandlingen i henhold til artikkel 21 nr. 1, og det ikke finnes mer tungtveiende berettigede grunner til behandlingen, eller den registrerte protesterer mot behandlingen i henhold til artikkel 21 nr. 2,

d.personopplysningene er blitt behandlet ulovlig,

e.personopplysningene må slettes for å oppfylle en rettslig forpliktelse i unionsretten eller medlemsstatenes nasjonale rett som den behandlingsansvarlige er underlagt,

f.personopplysningene er blitt samlet inn i forbindelse med tilbud om informasjonssamfunnstjenester som nevnt i artikkel 8 nr. 1.

2. Dersom den behandlingsansvarlige har offentliggjort personopplysningene og i henhold til nr. 1 har plikt til å slette personopplysningene, skal vedkommende, idet det tas hensyn til tilgjengelig teknologi og gjennomføringskostnadene, treffe rimelige tiltak, herunder tekniske tiltak, for å underrette behandlingsansvarlige som behandler personopplysningene, om at den registrerte har anmodet om at nevnte behandlingsansvarlige skal slette alle lenker til, kopier eller reproduksjoner av nevnte personopplysninger.

3. Nr. 1 og 2 får ikke anvendelse dersom nevnte behandling er nødvendig

a.for å utøve retten til ytrings- og informasjonsfrihet,

b.for å oppfylle en rettslig forpliktelse som krever behandling i henhold til unionsretten eller medlemsstatenes nasjonale rett som den behandlingsansvarlige er underlagt, eller for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt,

c.av hensyn til allmennhetens interesse på området folkehelse i samsvar med artikkel 9 nr. 2 bokstav h) og i) og artikkel 9 nr. 3,

d.for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål i samsvar med artikkel 89 nr. 1 i den grad rettigheten nevnt i nr. 1 sannsynligvis vil gjøre det umulig eller i alvorlig grad vil hindre at målene med nevnte behandling nås, eller

e.for å fastsette, gjøre gjeldende eller forsvare rettskrav.

Artikkel 18.Rett til begrensning av behandling

1. Den registrerte skal ha rett til å kreve av den behandlingsansvarlige at behandlingen begrenses dersom et av de følgende forhold gjør seg gjeldende:

a.den registrerte bestrider riktigheten av personopplysningene, i en periode som gjør det mulig for den behandlingsansvarlige å kontrollere riktigheten av personopplysningene,

b.behandlingen er ulovlig og den registrerte motsetter seg sletting av personopplysningene og isteden anmoder om at bruken av personopplysningene begrenses,

c.den behandlingsansvarlige ikke lenger trenger personopplysningene til formålet med behandlingen, men den registrerte har behov for disse for å fastsette, gjøre gjeldende eller forsvare rettskrav,

d.den registrerte har protestert mot behandling i henhold til artikkel 21 nr. 1 i påvente av kontrollen av om hvorvidt den behandlingsansvarliges berettigede grunner går foran den registrertes.

2. Dersom behandlingen er blitt begrenset i henhold til nr. 1, skal slike personopplysninger, bortsett fra lagring, bare behandles med den registrertes samtykke eller for å fastsette, gjøre gjeldende eller forsvare rettskrav eller for å verne en annen fysisk eller juridisk persons rettigheter eller av hensyn til viktige allmenne interesser i Unionen eller en medlemsstat.

3. En registrert som har oppnådd begrensning av behandlingen i henhold til nr. 1, skal underrettes av den behandlingsansvarlige før nevnte begrensning av behandlingen oppheves.

Artikkel 19.Underretningsplikt i forbindelse med retting eller sletting av personopplysninger eller begrensning av behandling

Den behandlingsansvarlige skal underrette enhver mottaker som har fått utlevert personopplysninger, om enhver retting eller sletting av personopplysninger eller begrensning av behandlingen utført i samsvar med artikkel 16, artikkel 17 nr. 1 og artikkel 18, med mindre dette viser seg å være umulig eller innebærer en uforholdsmessig stor innsats. Den behandlingsansvarlige skal underrette den registrerte om nevnte mottakere dersom den registrerte anmoder om det.

Artikkel 20.Rett til dataportabilitet

1. Den registrerte skal ha rett til å motta personopplysninger om seg selv som vedkommende har gitt til en behandlingsansvarlig, i et strukturert, alminnelig anvendt og maskinlesbart format og skal ha rett til å overføre nevnte opplysninger til en annen behandlingsansvarlig uten at den behandlingsansvarlige som personopplysningene er gitt til, hindrer dette, dersom

a.behandlingen er basert på samtykke i henhold til artikkel 6 nr. 1 bokstav a) eller artikkel 9 nr. 2 bokstav a) eller en avtale i henhold til artikkel 6 nr. 1 bokstav b), og

b.behandlingen utføres automatisk.

2. Når den registrerte utøver sin rett til dataportabilitet i henhold til nr. 1, skal vedkommende, når det er teknisk mulig, ha rett til å få overført personopplysningene direkte fra en behandlingsansvarlig til en annen.

3. Utøvelse av rettigheten nevnt i nr. 1 i denne artikkel berører ikke artikkel 17. Nevnte rettighet får ikke anvendelse på behandling som er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt.

4. Rettigheten nevnt i nr. 1 skal ikke ha negativ innvirkning på andres rettigheter og friheter.

 

 

 

 

 

 

Personopplysningsloven (utdrag)

https://lovdata.no/dokument/NL/lov/2018-06-15-38/*#*

https://lovdata.no/dokument/NL/lov/2018-06-15-38/KAPITTEL_gdpr-3-4#KAPITTEL_gdpr-3-4

https://lovdata.no/dokument/NL/lov/2018-06-15-38/KAPITTEL_gdpr-3-3#KAPITTEL_gdpr-3-3

https://lovdata.no/dokument/NL/lov/2018-06-15-38/KAPITTEL_gdpr-3-2#KAPITTEL_gdpr-3-2

Lov om behandling av personopplysninger (personopplysningsloven)

EUROPAPARLAMENTS- OG RÅDSFORORDNING (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF (generell personvernforordning) [PVF, GDPR]

KAPITTEL III Den registrertes rettigheter

Avsnitt 4 Rett til å protestere og automatiserte individuelle avgjørelser

Artikkel 21.Rett til å protestere

1. Den registrerte skal til enhver tid, av grunner knyttet til vedkommendes særlige situasjon, ha rett til å protestere mot behandling av personopplysninger om vedkommende, og som har grunnlag i artikkel 6 nr. 1 bokstav e) eller f), herunder profilering med grunnlag i nevnte bestemmelser. Den behandlingsansvarlige skal ikke lenger behandle personopplysningene, med mindre vedkommende kan påvise at det foreligger tvingende berettigede grunner for behandlingen som går foran den registrertes interesser, rettigheter og friheter, eller for å fastsette, gjøre gjeldende eller forsvare rettskrav.

2. Dersom personopplysninger behandles med henblikk på direkte markedsføring, skal den registrerte til enhver tid ha rett til å protestere mot behandling av personopplysninger som angår vedkommende, til slik markedsføring, herunder profilering i den grad dette er knyttet til direkte markedsføring.

3. Dersom den registrerte protesterer mot behandling med henblikk på direkte markedsføring, skal personopplysningene ikke lenger behandles for slike formål.

4. Senest på tidspunktet for den første kommunikasjonen med den registrerte skal vedkommende uttrykkelig gjøres oppmerksom på rettigheten nevnt i nr. 1 og 2, og informasjon om nevnte rettighet skal framlegges på en klar måte og atskilt fra annen informasjon.

5. I forbindelse med bruk av informasjonssamfunnstjenester og uten hensyn til direktiv 2002/58/EF kan den registrerte utøve sin rett til å protestere ved hjelp av automatiserte midler ved bruk av tekniske spesifikasjoner.

6. Dersom personopplysninger behandles for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål i henhold til artikkel 89 nr. 1, har den registrerte, av grunner knyttet til vedkommendes særlige situasjon, rett til å protestere mot behandling av personopplysninger om vedkommende, med mindre behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse.

Artikkel 22.Automatiserte individuelle avgjørelser, herunder profilering

1. Den registrerte skal ha rett til ikke å være gjenstand for en avgjørelse som utelukkende er basert på automatisert behandling, herunder profilering, som har rettsvirkning for eller på tilsvarende måte i betydelig grad påvirker vedkommende.

2. Nr. 1 får ikke anvendelse dersom avgjørelsen

a.er nødvendig for å inngå eller oppfylle en avtale mellom den registrerte og en behandlingsansvarlig,

b.er tillatt i henhold til unionsretten eller medlemsstatenes nasjonale rett som den behandlingsansvarlige er underlagt, og der det også er fastsatt egnede tiltak for å verne den registrertes rettigheter, friheter og berettigede interesser, eller

c.er basert på den registrertes uttrykkelige samtykke.

3. I tilfellene nevnt i nr. 2 bokstav a) og c) skal den behandlingsansvarlige gjennomføre egnede tiltak for å verne den registrertes rettigheter og friheter og berettigede interesser, i det minste retten til menneskelig inngripen fra den behandlingsansvarlige, til å uttrykke sine synspunkter og til å bestride avgjørelsen.

4. Avgjørelsene nevnt i nr. 2 skal ikke bygge på særlige kategorier av personopplysninger nevnt i artikkel 9 nr. 1, med mindre artikkel 9 nr. 2 bokstav a) eller g) får anvendelse og det er innført egnede tiltak for å verne den registrertes rettigheter, friheter og berettigede interesser.

https://nettvett.no/veiledninger/sikkerhet-i-virksomheter/sikkerhetsledelse/

https://nettvett.no/veiledninger/

 

 

https://nettvett.no/personvern/

Verdt å vite om personvern

 

https://www.datatilsynet.no/personvern-pa-ulike-omrader/internett-og-apper/rad-for-analyse-og-sporing-pa-nettsted/ 

Åndsverkloven skal sikre inntekter til kunstnere og opphavere, og er vår viktigste kulturlov.

 

Ny åndsverklov trådte i kraft 1. juli 2018.

▼

https://lovdata.no/dokument/NL/lov/2018-06-15-40

Norske myndigheter har trappet opp kampen mot piratkopiering og varemerkeforfalskning.

 

Nettstedet velgekte.no skal bidra til å redusere spredning av piratkopierte og varemerkeforfalskede produkter blant forbrukere og næringsliv.

 

Opphavsretten beskytter kreativt og skapende arbeid. Beskyttelsen innebærer at rettighetshaverne selv bestemmer hvordan arbeidet skal brukes, og gjør det mulig å leve av kreativt arbeid. Ulovlig kopiering og tilgjengeliggjøring av opphavsrettslig beskyttede produkter utgjør en alvorlig trussel mot inntektsgrunnlaget til alle som jobber innenfor kreative næringer.

 

Nettstedet velgekte.no ble opprettet i 2015 av Patentstyret, Kulturdepartementet og Tollvesenet etter oppdrag fra Nærings- og fiskeridepartementet, og gir blant annet informasjon om regelverket knyttet til nedlasting og deling av digitale produkter som musikk, film og programvare.

 

Hvorfor er piratkopiering problematisk?

 

Piratkopiering og varemerkeforfalskning er bevisst etterlikning av et varemerke, et opphavsrettslig beskyttet verk, et design eller et patent.

 

Opphavsrettigheter, varemerker, design og patenter kalles "immaterielle rettigheter". Det engelske uttrykket er "intellectual property rights" (IPR). Immaterielle rettigheter gir innehaveren en enerett til å produsere, markedsføre, importere og selge produktene. Eneretten varer i en viss tidsperiode, og kan anses som en belønning for kreativ innsats.

 

Ved piratkopiering kan forbrukere bli lurt til å tro at produktet er fremstilt av den som sitter med rettigheten, for eksempel fordi varen er merket med rettighetshaverens varemerke. Forbrukerne kan også velge å kjøpe en kopivare selv om de forstår at den er falsk. Ved kjøp av en piratkopiert vare vet du ikke hva du kjøper, fordi varene er produsert utenfor varemerkeinnehaveren og myndighetenes kontroll. Piratvirksomhet omfatter også å tilby kopier og nedlastninger av opphavsrettslig beskyttede verk uten at den som sitter med rettighetene har godkjent det.

 

Piratkopi, replika, fake, vareforfalskninger, kopivarer – ordene brukes litt om hverandre i Norge. På engelsk brukes counterfeiting (varemerkeforfalskninger) om uautorisert kopiering av et originalt produkt, mens piracy brukes om ulovlig nedlastning og kopiering av verk som er beskyttet av opphavsrett, f. eks bøker, filmer, musikk og software. Det er ikke så viktig hvilket begrep man velger å bruke.

 

Piratkopiering er ulovlig. Det er blitt et samfunnsproblem som utvanner kjente merker, og gjør at de som lager ekte varer mister sine inntekter. Du vil vel ikke at din favorittdesigner skal gi opp eller at det bandet du liker best skal slutte å lage musikk? Det gjelder å støtte de som lager ekte og lovlige varer, og ikke de som bare snylter og hermer etter andre. Noen merker er nærmest blitt synonymer for trygghet og kvalitet. De har kanskje en lang historie og innehaveren av merkenavnet har brukt store summer på tekniske nyvinninger, produktsikkerhet, testing av materialer og et attraktivt design. Kopisten kommer rett inn fra sidelinjen uten å ha brukt penger på annet enn å lage en billig kopi. Dette ødelegger både ryktet og livsgrunnlaget for produsenten av det kjente merket.

 

Relevant regelverk

 

Her finner du en oversikt over relevante lover og forskrifter. Lenkene går til Lovdata.

▼

https://www.velgekte.no/fakta-og-regelverk/relevante-regelverk/

 

 

 

Hvorfor er det viktig å beskytte immaterielle rettigheter og verdier?

 

Immaterielle rettigheter sikrer kreative personer, innovatører og virksomheter avkastning for deres innsats, og er derfor en avgjørende faktor for vekst og innovasjon i Norge.

 

Ved å gi folk et insentiv til å være kreative og innovative sikrer immaterielle rettigheter økonomisk vekst som også skaper og beskytter et stort antall arbeidsplasser.

▼

https://www.velgekte.no/fakta-og-regelverk/utvalgte-sporsmal/

 

 

 

Om opphavsrett

 

Hovedregelen er at den enkelte rettighetshaver har rett til å bestemme om og hvordan åndsverket skal gjøres tilgjengelig for andre.

 

Dette innebærer at rettighetshaveren gis en enerett til å fremstille kopier (eksemplar) av verket og å gjøre det tilgjengelig for andre (allmennheten). Som hovedregel krever slik kopiering og tilgjengeliggjøring at det gis tillatelse fra rettighetshaveren. Eneretten gjelder uavhengig av hvordan kopieringen eller tilgjengeliggjøringen skjer. Bruk av verk ved hjelp av digital teknologi er omfattet.

 

 

 

Kopiering til privat bruk

 

Et eksempel på dette er adgangen til å kopiere til privat bruk, som utgjør en helt sentral avgrensning av opphavers enerett. Adgangen til slik kopiering følger naturlig av prinsippet om at opphavsrettslig regulering skal avgrenses mot handlinger som skjer innenfor det private området. Muligheten til slik kopiering gjelder imidlertid ikke dersom kilden det kopieres fra er ulovlig, for eksempel ved tilgjengeliggjøring i fildelingsnettverk uten samtykke fra rettighetshaver.

 

Normal nettlesing kan også skje uten hinder av eneretten.

 

 

 

Hensynene bak loven

 

Beskyttelsen som opphavsretten gir er bl.a begrunnet i å sikre opphavsmenn og utøvende kunstnere muligheter til å få inntekter av sitt skapende arbeid, samt at de som investerer i slikt innhold skal få betalt. En grunntanke er at opphavsrett vil stimulere til kreativitet og produksjon av nye kulturprodukter i samfunnet. Lovens vern er altså ikke bare begrunnet i hensynet til den enkelte rettighetshaver, men også i at skapende virksomhet er i samfunnets interesse.

 

 

 

Konsekvenser

 

Du kan bli straffet med bøter eller fengsel for overtredelse av åndsverkloven. I tillegg kan du komme i erstatningsansvar. Det samme gjelder hvis man medvirker til en overtredelse. Domstolene kan også forby handlinger som medfører fortsatt overtredelse av opphavsretten (forbudsdom).

 

Ved opphavsrettskrenkelser på internett, kan domstolene bestemme at en rettighetshaver som kan sannsynliggjøre krenkelse av opphavsretten fra en bestemt IP-adresse, skal få utlevert identiteten til det abonnementet som kan knyttes til krenkelsen. Dette gjør det mulig for rettighetshavere å håndheve opphavsretten også på internett.

▼

https://www.velgekte.no/nedlasting/om-opphavsrett/

si vis pacem, para iustitiam

interrobangit

☼

 

 

 

 

 

 

 

 

 

http://interrobangit.bloggplatsen.se/presentation

 

http://interrobangit.bloggplatsen.se/2024/04/27/11817408/

http://interrobangit.bloggplatsen.se/2024/04/21/11817099/

http://interrobangit.bloggplatsen.se/2024/04/20/11817030/

http://interrobangit.bloggplatsen.se/2024/04/14/11816691/

http://interrobangit.bloggplatsen.se/2024/04/13/11816630/

http://interrobangit.bloggplatsen.se/2024/04/07/11816298/

http://interrobangit.bloggplatsen.se/2024/04/06/11816229/

http://interrobangit.bloggplatsen.se/2024/03/31/11815835/

 

http://interrobangit.bloggplatsen.se/2024/03/30/11815777/

http://interrobangit.bloggplatsen.se/2024/03/24/11815431/

http://interrobangit.bloggplatsen.se/2024/03/23/11815377/

http://interrobangit.bloggplatsen.se/2024/03/17/11815023/

http://interrobangit.bloggplatsen.se/2024/03/16/11814964/

http://interrobangit.bloggplatsen.se/2024/03/10/11814616/

http://interrobangit.bloggplatsen.se/2024/03/09/11814550/

http://interrobangit.bloggplatsen.se/2024/03/03/11814215/

 

http://interrobangit.bloggplatsen.se/2024/03/02/11812481/

http://interrobangit.bloggplatsen.se/2024/02/25/11812482/

http://interrobangit.bloggplatsen.se/2024/02/24/11812483/

http://interrobangit.bloggplatsen.se/2024/02/18/11812484/

http://interrobangit.bloggplatsen.se/2024/02/17/11812485/

http://interrobangit.bloggplatsen.se/2024/02/11/11812486/

http://interrobangit.bloggplatsen.se/2024/02/10/11812487/

http://interrobangit.bloggplatsen.se/2024/02/04/11812488/

 

http://interrobangit.bloggplatsen.se/2024/02/03/11812471/

http://interrobangit.bloggplatsen.se/2024/01/28/11812472/

http://interrobangit.bloggplatsen.se/2024/01/27/11812473/

http://interrobangit.bloggplatsen.se/2024/01/21/11812474/

http://interrobangit.bloggplatsen.se/2024/01/20/11812475/

http://interrobangit.bloggplatsen.se/2024/01/14/11812476/

http://interrobangit.bloggplatsen.se/2024/01/13/11812477/

http://interrobangit.bloggplatsen.se/2024/01/07/11809673/

 

http://interrobangit.bloggplatsen.se/2023/12/31/11809080/

http://interrobangit.bloggplatsen.se/2023/12/24/11808436/

http://interrobangit.bloggplatsen.se/2023/12/17/11807843/

http://interrobangit.bloggplatsen.se/2023/12/10/11807032/

http://interrobangit.bloggplatsen.se/2023/12/03/11806437/

http://interrobangit.bloggplatsen.se/2023/11/26/11805948/

http://interrobangit.bloggplatsen.se/2023/11/19/11805462/

http://interrobangit.bloggplatsen.se/2023/11/12/11804748/

 

http://interrobangit.bloggplatsen.se/2023/11/05/11803843/

http://interrobangit.bloggplatsen.se/2023/10/29/11802910/

http://interrobangit.bloggplatsen.se/2023/10/22/11801623/

http://interrobangit.bloggplatsen.se/2023/10/15/11800702/

http://interrobangit.bloggplatsen.se/2023/10/08/11799349/

http://interrobangit.bloggplatsen.se/2023/10/01/11797103/

http://interrobangit.bloggplatsen.se/2023/09/24/11795905/

http://interrobangit.bloggplatsen.se/2023/09/17/11795095/

 

http://interrobangit.bloggplatsen.se/2023/09/10/11794600/

http://interrobangit.bloggplatsen.se/2023/09/03/11794088/

http://interrobangit.bloggplatsen.se/2023/08/27/11793398/ 

http://interrobangit.bloggplatsen.se/2023/08/20/11792985/

http://interrobangit.bloggplatsen.se/2023/08/13/11792494/

http://interrobangit.bloggplatsen.se/2023/08/06/11791981/

http://interrobangit.bloggplatsen.se/2023/07/30/11791456/

http://interrobangit.bloggplatsen.se/2023/07/23/11790886/

 

http://interrobangit.bloggplatsen.se/2023/07/16/11790435/

http://interrobangit.bloggplatsen.se/2023/07/09/11789982/

http://interrobangit.bloggplatsen.se/2023/07/02/11789494/

http://interrobangit.bloggplatsen.se/2023/06/25/11788958/

http://interrobangit.bloggplatsen.se/2023/06/18/11788358/

http://interrobangit.bloggplatsen.se/2023/06/11/11787767/

http://interrobangit.bloggplatsen.se/2023/06/04/11787315/

http://interrobangit.bloggplatsen.se/2023/05/28/11786823/

 

http://interrobangit.bloggplatsen.se/2023/05/21/11786357/

http://interrobangit.bloggplatsen.se/2023/05/14/11785856/

http://interrobangit.bloggplatsen.se/2023/05/07/11785348/

http://interrobangit.bloggplatsen.se/2023/04/30/11784837/

http://interrobangit.bloggplatsen.se/2023/04/23/11783864/

http://interrobangit.bloggplatsen.se/2023/04/16/11782994/

http://interrobangit.bloggplatsen.se/2023/04/09/11782445/

http://interrobangit.bloggplatsen.se/2023/04/02/11810271/

 

http://interrobangit.bloggplatsen.se/2023/03/26/11811111/

http://interrobangit.bloggplatsen.se/2023/03/19/11811112/

http://interrobangit.bloggplatsen.se/2023/03/12/11811113/

http://interrobangit.bloggplatsen.se/2023/03/05/11811114/

http://interrobangit.bloggplatsen.se/2023/02/26/11811115/

http://interrobangit.bloggplatsen.se/2023/02/19/11811116/

http://interrobangit.bloggplatsen.se/2023/02/12/11811117/

http://interrobangit.bloggplatsen.se/2023/02/05/11811118/

https://www.enisa.europa.eu/publications/enisa-threat-landscape-2023

ENISA Threat Landscape 2023

This is the eleventh edition of the ENISA Threat Landscape (ETL) report, an annual report on the status of the cybersecurity threat landscape. It identifies the top threats, major trends observed with respect to threats, threat actors and attack techniques, as well as impact and motivation analysis. It also describes relevant mitigation measures. This year’s work has again been supported by ENISA’s ad hoc Working Group on Cybersecurity Threat Landscapes (CTL).

https://www.enisa.europa.eu/publications/enisa-threat-landscape-2023/@@download/fullReport

 

 

 

 

 

 

https://www.enisa.europa.eu/

Warfare and Geopolitics are Fuelling Denial-of-Service Attacks

The European Union Agency for Cybersecurity (ENISA)’s new report on the Denial-of-Service (DoS) attacks threat landscape finds 66% of DoS attacks are politically motivated.

https://www.enisa.europa.eu/news/checking-up-on-health-ransomware-accounts-for-54-of-cybersecurity-threats

Checking-up on Health: Ransomware Accounts for 54% of Cybersecurity Threats

The European Union Agency for Cybersecurity (ENISA) releases today its first cyber threat landscape for the health sector. The report found that ransomware accounts for 54% of cybersecurity threats in the health sector.

The comprehensive analysis maps and studies cyberattacks, identifying prime threats, actors, impacts, and trends for a period of over 2 years, providing valuable insights for the healthcare community and policy makers. The analysis is based on a total of 215 publicly reported incidents in the EU and neighbouring countries.

Executive Director of the European Union Agency for Cybersecurity (ENISA), Juhan Lepassaar, said: “A high common level of cybersecurity for the healthcare sector in the EU is essential to ensure health organisations can operate in the safest way. The rise of the covid-19 pandemic showed us how we critically depend on health systems. What I consider as a wake-up call confirmed we need to get a clear view of the risks, the attack surface and the vulnerabilities specific to the sector. Access to incident reporting data must therefore be facilitated to better visualise and comprehend our cyber threat environment and identify the appropriate mitigation measures we need to implement.”

The findings

The report reveals a concerning reality of the challenges faced by the EU health sector during the reporting period.

• Widespread incidents. The European health sector experienced a significant number of incidents, with healthcare providers accounting for 53% of the total incidents. Hospitals, in particular, bore the brunt, with 42% of incidents reported. Additionally, health authorities, bodies and agencies (14%), and the pharmaceutical industry (9%) were targeted.
• Ransomware and data breaches. Ransomware emerged as one of the primary threats in the health sector (54% of incidents). This trend is seen as likely to continue. Only 27% of surveyed organisations in the health sector have a dedicated ransomware defence programme. Driven by financial gain, cybercriminals extort both health organisations and patients, threatening to disclose data, personal or sensitive in nature. Patient data, including electronic health records, were the most targeted assets (30%). Alarmingly, nearly half of all incidents (46%) aimed to steal or leak health organisations' data.
• Impact and lessons learned by the COVID-19 Pandemic. It is essential to note that the reporting period coincided with a significant portion of the COVID-19 pandemic era, during which the healthcare sector became a prime target for attackers. Financially motivated threat actors, driven by the value of patient data, were responsible for the majority of attacks (53%). The pandemic saw multiple instances of data leakage from COVID-19-related systems and testing laboratories in various EU countries. Insiders and poor security practices, including misconfigurations, were identified as primary causes of these leaks. The incidents serve as a stark reminder of the importance of robust cybersecurity practices, particularly in times of urgent operational needs.
• Vulnerabilities in Healthcare Systems. Attacks on healthcare supply chains and service providers resulted in disruptions or losses to health organisations (7%). Such types of attacks are expected to remain significant in the future, given the risks posed by vulnerabilities in healthcare systems and medical devices. A recent study by ENISA revealed that healthcare organisations reported the highest number of security incidents related to vulnerabilities in software or hardware, with 80% of respondents citing vulnerabilities as the cause of more than 61% of their security incidents.
• Geopolitical Developments and DDoS Attacks. Geopolitical developments and hacktivist activity led to a surge in Distributed Denial of Service (DDoS) attacks by pro-Russian hacktivist groups against hospitals and health authorities in early 2023, accounting for 9% of total incidents. While this trend is expected to continue, the actual impact of these attacks remains relatively low.
• The incidents examined in the report had significant consequences for health organisations, primarily resulting in breaches or theft of data (43%) disrupted healthcare services (22%) and disrupted services not related to healthcare (26%). The report also highlights the financial losses incurred, with the median cost of a major security incident in the health sector estimated at €300,000 according to the ENISA NIS Investment 2022 study. 
• Patient safety emerges as a paramount concern for the health community, given potential delays in triage and treatment caused by cyber incidents.

 

 

 

 

 

 

New report from the NIS Cooperation Group

The NIS Cooperation Group releases today its report on “Threats and risk management in the health sector – Under the NIS Directive”. As a first assessment on the measures currently in place, the study sheds light on the different cybersecurity challenges in risk mitigation faced by the EU health sector. Together with relevant threat taxonomies and cyber incident data, the report discloses business continuity and mitigation recommendations to limit the likelihood and impacts of a cyber related incident.

 

Background

The ENISA threat landscape reports map the cyber threat landscape to help decision makers, policy makers and security specialists define strategies to defend citizens, organisations and cyberspace.

The report’s content is gathered from open sources such as media articles, expert opinions, intelligence reports, incident analysis and security research reports; as well as through the members of the ENISA Cyber Threat Landscapes Working Group (CTL working group).

The analysis and views of the threat landscape by ENISA is meant to be industry and vendor neutral. Information based on OSINT (Open-Source Intelligence) and the work of ENISA on Situational Awareness also helped document the analysis presented in the report.

 

Further Information

Health Threat Landscape – ENISA report 2023

ENISA topic: Health

ENISA topic: Cyber threats

CSIRT capabilities in healthcare sector – ENISA report 2021

Cloud security for healthcare services – ENISA report 2021

Procurement guidelines for cybersecurity in hospitals

 

 

 

 

 

 

References

• ENISA NIS Investment 2022 study.
• NIS Cooperation Group
• Threats and risk management in the health sector – Under the NIS Directive
• CTL working group
• Health Threat Landscape – ENISA report 2023
• ENISA topic: Health
• ENISA topic: Cyber threats
• CSIRT capabilities in healthcare sector – ENISA report 2021
• Cloud security for healthcare services – ENISA report 2021
• Procurement guidelines for cybersecurity in hospitals
• press (at) enisa.europa.eu

 

 

 

 

 

 

https://www.enisa.europa.eu/about-enisa/data-protection

▼

ENISA is committed to the protection of individuals’ privacy and data protection.

The rights to privacy and data protection are fundamental rights, set out in articles 7 and 8 of the EU Charter of Fundamental Rights.

ENISA, as an EU Agency, is subject to the Regulation (EU) 2018/1725 on the protection of natural persons with regard to the processing of personal data by the Union institutions, bodies, offices and agencies. This Regulation has the same level and types of rules for the protection of personal data as the General Data Protection Regulation (GDPR), which is applicable to all EU Member States.

In order to function and meet its tasks and objectives, ENISA needs to collect and further process personal data of its staff members, as well as other natural persons in the context of its different activities in the areas of human resources, procurement and finance, corporate services (e.g. IT services), as well as in the context of the functioning of ENISA’s governance bodies and core operations.

What is personal data?

Personal data is any information relating to an identified or identifiable natural person. An identifiable person is one who can be identified, directly or indirectly, in particular by reference to an identifier, such as a name, an identification number, location data, an online identifier or to one or more factors specific to his or her physical, physiological, genetic, mental, economic, cultural or social identity.

Examples of personal data include: names, pictures, contact details, emails, CVs, diplomas, recommendation letters, professional & family life, bank details, transaction information, medical data, judicial & criminal records, CCTV footage, log files, IP addresses, cookies, etc.

How does ENISA process personal data?

ENISA process personal data in accordance with the principles and provisions of Regulation (EU) 2018/1725.

These provisions mandate the personal data shall be:

• processed lawfully, fairly and in a transparent manner;
• collected for specified, explicit and legitimate purposes and not further processed in a manner that is incompatible with those purposes (“purpose limitation”);
• adequate, relevant and limited to what is necessary in relation to the purposes for which they are processed (“data minimisation”);
• accurate and, where necessary, kept up to date (“accuracy”’);
• kept in a form which permits identification of data subjects for no longer than is necessary for the purposes for which the personal data are processed  (‘storage limitation’);
• processed in a manner that ensures appropriate security of the personal data, including protection against unauthorised or unlawful processing and against accidental loss, destruction or damage, using appropriate technical or organisational measures (‘integrity and confidentiality’).

ENISA adheres to its obligations under the Regulation (EU) 2018/1725 and provides for the data subjects rights under this Regulation.

Further information:

ENISA’s central register of data processing activities

Data subjects rights under Regulation (EU) 2018/1725

ENISA’s Data Protection Officer 

Data protection with regard to ENISA’s website

 

https://cybersecuritymonth.eu/

https://cybersecuritymonth.eu/press-campaign-toolbox/visual-identity/banners/ecsm-partnerstoolkit.zip

https://cybersecuritymonth.eu/smarterthanahacker

https://privacyforum.eu/

 

https://www.enisa.europa.eu/publications/pseudonymisation-techniques-and-best-practices

Pseudonymisation techniques and best practices

This report explores further the basic notions of pseudonymisation, as well as technical solutions that can support implementation in practice. Starting from a number of pseudonymisation scenarios, the report defines first the main actors that can be involved in the process of pseudonymisation along with their possible roles. It then analyses the different adversarial models and attacking techniques against pseudonymisation, such as brute force attack, dictionary search and guesswork. Moreover, it presents the main pseudonymisation techniques and policies available today.

https://www.enisa.europa.eu/publications/pseudonymisation-techniques-and-best-practices/@@download/fullReport

 

https://www.enisa.europa.eu/publications/data-pseudonymisation-advanced-techniques-and-use-cases

Data Pseudonymisation: Advanced Techniques and Use Cases

This report, building on the basic pseudonymisation techniques, examines advanced solutions for more complex scenarios that can be based on asymmetric encryption, ring signatures and group pseudonyms, chaining mode, pseudonyms based on multiple identifiers, pseudonyms with proof of knowledge and secure multi-party computation. It then applies some of these techniques in the area of healthcare to discuss possible pseudonymisation options in different example cases. Lastly, it examines the application of basic pseudonymisation techniques in common cybersecurity use cases, such as the use of telemetry and reputation systems.

https://www.enisa.europa.eu/publications/data-pseudonymisation-advanced-techniques-and-use-cases/@@download/fullReport

 

 

https://www.enisa.europa.eu/publications/engineering-personal-data-sharing

Engineering Personal Data Sharing

This report attempts to look closer at specific use cases relating to personal data sharing, primarily in the health sector, and discusses how specific technologies and considerations of implementation can support the meeting of specific data protection. After discussing some challenges in (personal) data sharing, this report demonstrates how to engineer specific technologies and techniques in order to enable privacy preserving data sharing. More specifically it discusses specific use cases for sharing data in the health sector, with the aim of demonstrating how data protection principles can be met through the proper use of technological solutions relying on advanced cryptographic techniques. Next it discusses data sharing that takes place as part of another process or service, where the data is processed through some secondary channel or entity before reaching its primary recipient. Lastly, it identifies challenges, considerations and possible architectural solutions on intervenability aspects (such as the right to erasure and the right to rectification when sharing data).

https://www.enisa.europa.eu/publications/engineering-personal-data-sharing/@@download/fullReport

 

https://www.enisa.europa.eu/news/securing-personal-data-in-the-wake-of-ai

Securing Personal Data in the Wake of AI

This year’s Annual Privacy Forum focused on pressing personal data protection challenges raised by the ever faster-paced developments witnessed today in digital technologies and legislative initiatives.

Organised by the European Union Agency for Cybersecurity (ENISA) together with the directorate general of the European Commission for communications networks, content and technology (DG Connect) and the National Institute for Research in Digital Science and Technology (INRIA), the 2023 edition of the event took place in Lyon, France.

This 11^th edition brought together a total of 26 speakers and over 400 participants both physically and remotely.

Panels of experts were given the chance to address some of the most pressing topics in relation to the securing of personal data, including:

• Emerging Technologies for personal data protection;
• Machine learning and personal data processing;
• Personal data sharing under the European Data Strategy;
• Promoting GDPR compliance and data subject rights.

European Union Agency for Cybersecurity, Executive Director Juhan Lepassaar, commented: “ENISA has been analysing AI risks for the last 5 years. To prepare for a secure and trusted AI, the safeguards need to be in place. Today AI and in particular machine learning pose great challenges to data protection and privacy. Trust is what underpins the secure adoption and maturity of these technologies. Personal data protection measures are an impactful way to gaining this trust.”

Wojciech Wiewiorowski, European Data Protection Supervisor: “It would be reductive to not look at the benefits that AI can bring to society, such as faster decision making and easy-to-use automation. However, the risks to individual rights are significant and can have a profound impact on our democracies. By proactively addressing these risks, we can harness the potential of AI while safeguarding privacy rights. It is crucial to take action now to ensure responsible and ethical implementation of AI technologies.”

Challenges and opportunities: the conference’s key take-aways

• Within the three panel discussions, regulators from EU Institutions, France, Spain and Norway together with policy makers and industry practitioners, debated on which are the data protection engineering challenges for the years to come, what is the role of Data Protection Authorities in the artificial intelligence era and the data protection prospects and contemplations when processing medical data in the post pandemic era.
• Further to these discussions, invited speakers also elaborated on the AI regulatory approaches on artificial intelligence across the two sides of the Atlantic and how Zero Knowledge Proof technique can be deployed as a privacy enhancing technique in real life applications.

The Annual Privacy Forum was co-located and organised back to back with the EDPS IPEN workshop as part of their strategic cooperation and the Memorandum of Understanding signed between ENISA and the EDPS in 2022.

 

 

Further Information

 

 

Relevant ENISA publications:

• Engineering Personal Data Sharing – ENISA report 2023
• Data Protection Engineering – ENISA report 2022
• Deploying pseudonymisation techniques
• Data Pseudonymisation: Advanced Techniques and Use Cases
• Pseudonymisation techniques and best practices
• ENISA topic – Data Protection

Other information:

• Event website
• General Data Protection Regulation
• Cybersecurity Act
• ePrivacy Regulation Proposal
• Artificial Intelligence Act Proposal
• European Digital Identity Regulation Proposal
• Directive on a high common level of cybersecurity across the Union (NIS2)

 

 

About the Annual Privacy Forum

The Annual Privacy Forum (APF) has become a renowned forum among policy-makers, researchers and industry stakeholders in the area of privacy and personal data protection who join forces to advance information security. The forum is set against the EU legislative background that is mainly, but not exclusively, comprised of the GDPR and the draft ePrivacy Regulation. The event sets the stage for new research proposals, solutions, models, applications and policies. In the last few years, the forum has also developed a deeper industry footprint to complement its original research and policy orientation.

 

 

About the European Union Agency for Cybersecurity (ENISA)

The EU Agency for Cybersecurity has been working in the area of privacy and data protection since 2014, by analysing technical solutions for the implementation of the GDPR, privacy by design and security of personal data processing. The Agency has been providing guidance on data pseudonymisation solutions to data controllers and processors since 2018.

 

Contact

For press questions and interviews, please contact press (at) enisa.europa.eu

https://www.ncsc.gov.uk/

The National Cyber Security Centre

 

https://www.ncsc.gov.uk/collection/problem-book/hardware-security

https://www.ncsc.gov.uk/collection/cloud/using-cloud-services-securely/how-to-lift-and-shift-successfully

https://www.ncsc.gov.uk/collection/defending-democracy/guidance-for-high-risk-individuals

https://www.ncsc.gov.uk/collection/guidelines-secure-ai-system-development

https://www.ncsc.gov.uk/section/information-for/individuals-families

https://www.ncsc.gov.uk/section/information-for/self-employed-sole-traders

https://www.ncsc.gov.uk/section/information-for/small-medium-sized-organisations

https://www.ncsc.gov.uk/section/information-for/large-organisations

https://www.ncsc.gov.uk/section/information-for/public-sector

https://www.ncsc.gov.uk/section/information-for/cyber-security-professionals

https://www.ncsc.gov.uk/collection/defending-democracy

 

 

 

 

 

 

Defending democracy

https://www.ncsc.gov.uk/section/information-for/individuals-families

Individuals & families

1. What is cyber security?
2. Cyber Aware and staying secure online
3. Dealing with common cyber problems
4. Protecting your data and devices
5. How to report cyber crim

What is cyber security?

https://www.ncsc.gov.uk/guidance/using-tls-to-protect-data