2. Carl Christian Grøndahl
o 2008 Master om mobilisering i sosiale
medier
o 2009 Konsulent, Fjord Norge
o 2009-2011 Prosjektleder sosiale medier,
Synlighet AS
o 2009 Startet og drev kampanje-
organisasjonen Stopp Datalagringsdirektivet
o 2012 Konsulent i Bouvet Kundeopplevelse
14. Ta ansvar – tenk på kunden først
o Compliance er et arbeid som involverer alle på arbeidsplassen
o Ta ansvar for at dine samarbeidspartnere også er compliant
• Tredjeparter som Google, Facebook, Mailchimp, HubSpot
o Husk... dersom du følger dagens lovverk er ikke veien så lang
o Det er et kontinuerlig arbeid som skal være fokus hver dag
etter mai 2018
o Dersom man leter godt nok kan det alltid finnes avvik/feil
15. Vi må fokusere på mulighetsrommet
"Det er irriterende når
jeg får reklame som jeg
ikke er interessert I"
"Jeg liker ikke når
reklamen "følger
etter meg"
Nye
muligheter
18. Og utfordringene med dagens praksis
• Nyhetsbrev
• Remarketing
• Målrettet facebookannonsering
• Dataoverflod
• Hyppige endringer i markedsaktiviteter
• Lange og uklare samtykketekster
• Vanskelig avmelding
• Datainnsamling uten tanke på behandlingsgrunnlag
• Tidvis ukritisk deling/salg av data
• Slurvete målretting
• Spesielt mot utsatte målgrupper
• Forhåndstickede bokser
41. o General Data Protection Regulation: Bygger videre på et EU-direktiv fra 95, gammelt og laget før første Iphone kom – trengs
oppdatering
o Retten til et privatliv er en menneskerett.
o I 2016 hadde vi fire enheter, i 2020 er det anslått at man har 8, om ikke mer mener Torgeir (kanskje 10 gangern)
o Forordningen har som hensikt å gi forbrukerne mer kontroll over hva som lagres av data, hvem som lagrer dem, hva de bruker
dem til og hvem de deler det med
o Forbruker må gi et AKTIVT samtykke for at vi skal kunne bruke dataene. Dersom de sier at vi kan bruke dataene kreves
transparens. Det må gis tydelig beskjed som kunden kan forstå om hva dataene skal brukes til, hvem de skal deles med og hvor
lenge de skal lagres. De har også rett til å bli glemt der data skal slettes.
Fra MFO
42. o Hvem har egentlig ansvar og hvordan blir ansvarsfordelingen?
o Dette er en prosess, det handler om å lykkes med gdpr og være compliant ikke bare på «dommedagen» men hver dag etter
det
o Vi snakker om en endring i markedet og bruken som blir mer digital. Hvert hjem kommer til å ha utrolig mange devicer koblet
til hjemme, man må bare definere devicer riktig. Kan være lyspærer koblet til nett så vel som nettbrett.
o Regulering er en strengere form en directive – altså REGEL. EU ønsker å gjøre noe for menneskene i Europa. Hvor befinner
dataene seg
o Under 18: Har sluppet unna markedsføring mot barn. Markedsføring mot de under 18 med å skylde på dekke om at man ikke
vet går ikke lenger
o 13 år kan få samtykke til en del deling av data men mest sannsynlig ikke sensitive data.
o Dette komme pga alle datalekkasjene som har vært i Norge og andre land
• Æ
• Ashley Madison
• Yahoo
• Uber: Betalte noen for å ikke snakke om det
• Norges Idrettsforbund: Obligatorisk å ha profiler men det er ikke lukket info.
▪ Alle skylder på andre, «det er ikke vårt problem»
o Vi har ikke hatt databehandlingen så lenge, men nå kommer reguleringene.
o Mye av det man skal regulere har vært utenom scopet, derfor kommer også e-privacy regulation som kommer i 2019 som tar
for seg det som ligger utenfor forordnignen i dag
Torgeir Waterhouse: IKT Norge
43. o Reglene gjelder alle som behandler data for folk i Europa, ikke bare europeiske selskaper
o Myndighetene ønsker å gå fra å henge etter til å futureproofe.
o Man ønsker å si at feilbehandling av data foregår uansett
o Fokuser på artikkel 5: Dette er sjelen til GDPR – Hva de vil med dette. Det er ikke bare tekniske ting, men det handler også om
det organisatoriske. Det handler om hva dere faktisk gjør med selve jobben. Det er ikke et ansvar for ledelse, teknologi eller us,
men et ansvar for alle. Hvis det er data i bedriften så berører det alle.
o Noen nasjonale unntak: trossamfunn kan bli unntatt. Størrelse har noe å si, det er lettere å fikse hvis man er stor
o Rådene og dokumentene man skal følge kommer ikke til å være klare 25 mai og de er absolutt ikke klare i dag – dere må
begynne å lee, tenke og diskutere og forstå hva dere har av data og hvordan det etter hvert må behandles. Det handler heller
ikke bare om GDPR men også andre lovverk som for eksempel forbrukerkjøpsloven og markedsføringsloven
o GDPR er ikke PROBLEMET – det er kanskje løsningen? Det handler om å lykkes i samfunnet. Myndighetene ønsker et skifte.
Man skifter til å få en tillatelse up front til at man selv må passe på at man opererer ifølge lovverket til enhver tid. Dersom man
endrer løsningene eller hva man driver med må man revurdere dataene, behandlingsgrunnlaget og risikoen. Få inn den daglige
refleksjonen. Det handler om alle som behandler data, alle som er i kontakt med dataene.
o Personvern er ikke noe man skal dokumentere eller smøre etterpå – det handler om privacy by design. Du plikter å gjøre det
som er mest hensiktsmessig for brukeren og deres personvern – altså ikke default avhaking.
o Det gir makt tilbake til menneskene. Det handler om at det er et frivillig, fortløpende og informert samtykke
Torgeir Waterhouse: IKT Norge
44. o Hvis ikke menneskene forstår hva de samtykker til så kan de ikke gi samtykke og da får ikke vi bruke dataene
o Hvis vi ikke lykkes med GDPR kommer vi ikke til å lykkes med business modellen vi har eller på en datadreven økonomi.
o Vi må informere og være transparente dersom noe går galt. Hver person har rett til å vite dersom deres data har blitt
eksponert på noen måte, eller KANSKJE har blitt eksponert.
o Vi må selge ideen til noen om at de skal ha lyst til å ha dataen sine hos oss fordi det gir dem verdi på en måte
o Myndighetene har valgt å åpne opp for heftige gebyrer (4% av global omsetning) – kan ikke gjemmes i en global
konsernmodell – gjelder «de over» sin omsetning
o Tenk «jeg skal lykkes med å være en datadreven aktør»
o Forbrukeren gis mulighet til å bevege seg med dataene sine
o Dersom forbrukeren ønsker at du skal endre dataene deres så må man gjøre det
o Må dokumentere at data er slettet
o Det handles om tillitsbasert økonomi
o Hvordan passer vi på at alle rundt oss har tillitt til at vi behandler data på rett måte?
o Tenk risikovurdering hele tiden. Det kollektive har ansvaret
Torgeir Waterhouse: IKT Norge
46. o Hva er egentlig en personopplysning? Alt som direkte eller indirekte kan knyttes til en person, f.eks:
• Navn, telefonnummer
• Observert adferd
• Sporingsdata og ip-adresser
• Vurderinger og profiler
o En del tilfeller der data til sammen kan bli knyttet til et enkelt individ. Dersom man er usikker, behandle dataene som om det er
personopplysninger, da er man sikker på at man ikke gjør noe feil
o Hva er en behandling? Absolutt all bruk av personopplysninger: Innsamling, lagring, deling, bearbeiding, beregninger,
profileringer. Hver gang dere behandler data trengs behandlingsgrunnlag
o Den behandlingsansvarlige er den som bestemmer formålet med behandlingen av personopplysningene
o En forordning betyr at vi må ta teksten som den er. Det kan ikke endres og det må man forholde seg til.
o Prinsippene som ligger til grunn for GDPR:
• Lovlig, rettferdig og gjennomsiktig: Behandlingen dere gjør og behandlingsgrunnlaget skal være rettferdig og skal ikke krenke rettighetene. Personene skal skjønne hva dataene brukes
til og hvorfor dere trenger det
• Formålsbegrensning: Man skal bruke dataene kun til det man har sagt det skal brukes til. Hvis adresse skal brukes til frakt av en pakke kan det ikke brukes senere for å sende DM
• Dataminimalitet: Man skal lagre minst mulig data for å oppnå formålet.
• Korrekt og oppdatert: Dataene skal stemme med virkeligheten
• Løagringsbegrensning: Dataene skal ikke lagres lenger enn hva som er nødvendig
• Informasjonssikkerhet: Dataene må lagres sikkert
• Ansvarlighet: Man må selv vurdere om behandlingsgrunnlag er riktig, om behandlingen er lovlig osv
Gullik Gundersen: Datatilsynet
47. o Behandlingsgrunnlag: Grunnlaget for når vi har lov til å behandle opplysningner. Mange ulike behandlingsgrunnlag:
• Samtykke:
• Nødvendig for avtale
• Rettslige plikter
• Beskytte den enkeltes uttalte interesser
• Offentlige oppgaver med hjemmel i lov
• Interesseavveining
o Mange tenker at nå kommer GDPR og man må ha samtykke for alt – NEI, du må ha behandlingsgrunnlag for alt. Eks, man
trenger ikke samtykke for å få kontonummeret til de ansatte for å få lønn, det er en forutsetning for arbeidsforholdet og for å
følge loven om å utbetale lønn
o Enda strengere krav om behandlingsgrunnlag når det kommer til sensitive personopplysninger
o Samtykke: skal være frivillig, spesifikt, informert, utvetydig og skje gjennom aktiv handling. Det stiller mange krav til
samtykketekst
o Man må kunne dokumentere at samtykke er gitt
o Skal være like lett å trekke tilbake samtykke som å gi det
o Dersom man ber om innsikt i opplysningene en bedrift har lagret om seg skal dette skje innen 30 dager uten ugrunnet
opphold. Det skal komme så fort man absolutt kan sende. Som hovedregel skal det være gratis. Dersom man ikke kan gi innsyn
i dataene må man gi en forklaring og fortelle at det finnes en klagemulighet.
Gullik Gundersen: Datatilsynet
48. o Rett til informasjon (hvordan)
o Personen skal vite hva bedriften gjør med deres opplysninger. Dataene skal være kortfattet, enkelt forståelig og ikke gjemt inne
i masse tekst
o Bruke layered notices: Kort intro der kan kan dukke ned i infoen dersom man ønsker
o Bruke just in time notices: man skal hele tiden få oppdatert informasjon slik at man forstår at når man samtykker til dette så
skjer dette
o Språket skal være klart og enkelt – samler man inn opplysninger om barn så skal barna forstå at det samles info og til hva. Et
forslag kan være å bruke bilder. Muntlig info er ikke godt nok
o Hvilken informasjon skal man gi? Hvem man er, hva man samler inn av opplysninger og hvorfor man gjør det og hvor
opplysningene kommer fra? Forklar behandlingsgrunnlaget eks om det er samtykke eller om det er nødvendig for å
gjennomføre samtalen. Hvem andre vil motta opplysningene? Hvor lenge skal man beholde dem? Hvilke rettigheter har
forbruker?
o Innsynsretten: Kan få en kopi av opplysningene. De skal bli gitt til personen slik at de forstår dem.
o Innsigelsesretten: Gjelder i tre situasjoner (det dere gjør med mine opplysninger ønsker jeg ikke):
• Gjelder alltid med direkte markedsføring. Ved innsigelser MÅ den behandlingen opphøre. Man trenger ikke slette alle opplysningene men markedsføringen må
slutte
Gullik Gundersen: Datatilsynet
49. o Man har plikter:
• Personvernombud
o Avvikshåndtering: Masse avvik. Alle avvik, mm det er usannsynlig at det medfører en risiko for personens rettigheter.
Første melding må komme innen 72 timer og inkludere:
• Avvikets art
• Antall berørte
• Kategorier av og antall oppføringer
• Kontaktinfo til Personvernombud
• Beskrivelse av trolige konsekvenser
• Beskrivelse av tiltak
o Krav til varsling av de berørte
Gullik Gundersen: Datatilsynet