Bøter til NAV og Google, overvåkning mot overgrep og Norkart-lekkasje

Personvern-nytt er tilbake med de viktigste nyhetene fra måneden som gikk.

📸: Darya Tryfanava / Unsplash
📸: Darya Tryfanava / Unsplash Vis mer

Godt overstått mai!

Høydepunktet i mai er feiringen av grunnloven. Rett etter at gjengen på Eidsvoll skrev ned noen tanker om ytringsfrihet, og friheten til å melde deg inn i et politisk parti, så fastslo de vår rett til et privatliv i grunnlovens §102, og den retten er på alle måter verdt å feire, også over 200 år senere!

«Flere (inkludert undertegnede) har tatt til orde for at denne hendelsen må forandre modellen for kredittsjekk.»

Norkart-lekkasjen

Månedens store nyhet har selvsagt vært at Norkart har mistet informasjon om 3,3 millioner nordmenn da en kopi av eiendomsregisteret ble liggende åpent tilgjengelig på internett. Dette kom av en feilkonfigurert brannmur som gjorde det mulig å hente ut alle dataene i databasen til systemet for søk i eiendomsdata.

Alle som noen gang har eid en bolig i Norge er dermed rammet, og Norkart gikk tidlig ut og anbefalte alle som kunne være rammet om å sperre seg for kredittsjekk. Dette førte til en enorm pågang hos kredittsjekkselskapene, og spesielt løsningen til Experian knelte og lå nede i lengre tid.

Dette har også gjort det klart at det er veldig vanskelig å sperre seg for kredittsjekk, når man må innom 4 ulike selskaper. Det vil når ny kredittopplysningslov kommer på plass, bli fritt frem for flere aktører å starte denne typen virksomhet, uten å melde den inn. På bakgrunn av dette har Datatilsynet tidligere anbefalt at det opprettes et felles sperreregister.

Flere (inkludert undertegnede) har tatt til orde for at denne hendelsen må forandre modellen for kredittsjekk, f.eks. slik at man selv må godkjenne den enkelte kredittsjekken på forhånd.

EU-Parlamentet foreslår ny lov mot bilder av seksuell utnyttelse av barn — går i samme felle som mange andre før dem

Amerikanerne har mange ganger forsøkt seg på å innføre ulike lover som skal pålegge ulike IT-tilbydere å scanne brukergenerert innhold for å se etter overgrepsmateriale. Felles for de fleste av disse forslagene er at de i praksis ender opp med å forby full ende-til-ende-kryptering.

I Europa har vi stort sett vært forskånet fra denne typen forslag — frem til nå.

EU har nå lagt frem et forslag til ny lov for å hindre seksuelt misbruk av barn, som vil pålegge tjenestetilbydere å oppdage og rapportere om mulig overgrepsmateriale. Den eneste praktiske måten å gjennomføre dette på vil være å enten gjennomføre en sjekk av alle meldinger lokalt på enheten til hver bruker, eller fjerne ende-til-ende krypteringen, og gjøre dette sentralt.

Uansett vil dette gjøre at innholdet i personlig kommunikasjon vil bli gjenstand for overvåkning fra myndighetene.

EU hevder selv at dette skal kunne implementeres uten å gå på akkord med personvernet til brukerne. Det er mange som er skeptiske til dette, og det er også et åpent spørsmål om denne typen lovgivning faktisk bidrar til å redusere faren for overgrep mot barn.

NAV har fått varsel om gebyr på 5 millioner etter publisering av CV-er

I 2021 oppdaget NAV at alle arbeidsgivere med tilgang til nettstedet arbeidsplassen.no kunne se CV-ene til alle arbeidssøkere som brukte tjenesten. Nesten 2 millioner personer ble berørt av denne informasjonslekkasjen.

Situasjonen har blitt forverret av at NAV har krevd at alle arbeidssøkere må oppgi en CV som må tilgjengeliggjøres på nettstedet, noe de senere har konkludert med at de ikke har hatt lov til å kreve.

Datatilsynet har nå varslet NAV om at de vil ilegge dem et gebyr på 5 millioner kroner. NAV har varslet at de ikke vil klage på avgjørelsen.

Google får 10 millioner euro i bot — sletting er for vanskelig, og informasjonen ble sendt ut av EU

Det spanske datatilsynet har ilagt Google 10 millioner euro i bot for å ikke ha gode nok rutiner rundt sletting av data. De mener at det er for vanskelig for en bruker å finne frem til skjemaet for å kreve sletting etter artikkel 17.

I tillegg sender Google resultatet av mange av sletteforespørslene til “The Lumen Project”, som drives av Harvard. Dette medfører at personinformasjonen som kreves slettet blir sendt ut av EU. Lumen skal anonymisere informasjonen før den tilgjengeliggjøres for forskning, men datatilsynet mener rutinene deres for dette også er for dårlige.

Saken har også reist en del fin-juridiske spørsmål rundt jurisdiksjon mellom europeiske datatilsyn, og hvilke av Googles mange selskaper som er den reelle kontrolleren for informasjon i de ulike systemene. En god anledning for å nerde personvernjuss. 🤓

Da gjenstår det bare å ønske alle en flott og personvernvennlig juni! 😎