Nå har enda et land bestemt seg for at Google Analytics er ulovlig

Personvern-nytt om at Forbrukerrådet klager inn Google, Storbritannia svekker GDPR, Datatilsynet varsler SSB-kontroll, Italia bannlyser Analytics, stortingsdirektøren går av, millionbot til danske Gyldendal.

📸: <a href="https://unsplash.com/@stevenlasry?utm_source=unsplash&amp;utm_medium=referral&amp;utm_content=creditCopyText">Steven Lasry</a> / <a href="https://unsplash.com/s/photos/phone-norway?utm_source=unsplash&amp;utm_medium=referral&amp;utm_content=creditCopyText">Unsplash</a>
📸: Steven Lasry / Unsplash Vis mer

Det går med glede mot sommer og sol, men personvernverden legger seg ikke på latsiden av den grunn. Her er noen høydepunkter fra juni.

Forbrukerrådet klager inn Google til Datatilsynet

Samtidig med forbrukertilsynsmyndigheter i åtte andre land klager Forbrukerrådet inn Google for å forsøke å manipulere brukerne sine til å godta langt mer omfattende datadeling og overvåkning enn de egentlig ønsker.

Det er spesielt villedende design og dårlig språk som blir trukket frem.

Vi trenger neppe holde pusten for en avgjørelse. Forbrukerrådets forrige klage på lignende praksis har ligget i 5 år uten å ha fått noen avgjørelse. Det er Irlands Datatilsyn som er ansvarlig for å behandle klagene, og de har flere ganger blitt anklaget for å ikke ta saker mot de store teknologiselskapene seriøst, og å behandle dem for tregt.

Storbritannia starter svekkelsen av GDPR

Da Storbritannia gikk ut av EU beholdt de det nasjonale lovverket som implementerte GDPR i britisk lovgivning.

På bakgrunn av dette kom EU med en såkalt adekvansbeslutning for Storbritannia. Dette betyr at man har ansett det slik at landet har tilsvarende godt personvern som EU, og det er dermed tillat å flytte data dit på lik linje med ethvert EU-land.

Dette kan det nå komme endringer i, etter at Storbriannia har varslet at de vil “gripe fordelene med Brexit”, og fjerne krav til eksempelvis personvernombud, gjøre sporingscookies til opt-out og innføre lavere krav til risikovurderinger for bedriftene.

Dette kan bli grunnlag for EU til å nekte utvidelse av adekvansbeslutningen. Skulle det skje vil selskaper i Norge og resten av EU/EØS-området som behandler data i Storbritannia måtte flytte disse umiddelbart.

SSB vil vite hva du kjøper på butikken — Datatilsynet varsler kontroll

I mai varslet Statistisk Sentralbyrå (SSB) at de vil pålegge dagligvarebutikkene å dele såkalt bongdata. Dette gir dem i praksis en kopi av kvitteringen du får når du handler.

Sammen med data om korttransaksjonene som er koblet til handleturen kan man identifisere hvem du er, og koble dette sammen med data fra f.eks. skatteetaten. Målet er at SSB skal kunne lage bedre statistikk over nordmenns kjøpsmønstre.

Datatilsynet har nå varslet at de vil følge opp saken med SSB, og vil blant annet be SSB om å utdype de personvernvurderingene som er gjort, og hvilken kobling som vil bli gjort mot andre data.

Italia neste land i rekken som konkluderer med at Google Analytics ikke tilfredsstiller kravene i GDPR

Det kommer ikke som noen overraskelse — nok et EU-land har offentliggjort sin vurdering av bruk av Google Analytics.

Også Italia har kommet til den samme konklusjonen som Østerrike, Frankrike og Nederland: Bruk av Google Analytics tilfredsstiller ikke kravene i GDPR om overføring av persondata til tredjeland, og bruken er ikke lovlig.

Når det norske Datatilsynet kommer med en tilsvarende avgjørelse gjenstår å se.

Stortingsdirektøren går på dagen grunnet for dårlig IT-sikkerhet

En viktig del av personvern er god nok sikkerhet. Det er både relativt åpenbart, og uttrykkelig lovfestet i GDPR artikkel 32.

Dårlig personvern og dårlig sikkerhet er nå også blitt grunn for profilerte ledere til å måtte levere inn adgangskortet. Stortingsdirektør Marianne Andreassen varslet denne uken at hun går på dagen etter dataangrepet mot Stortinget i 2020.

Datatilsynets dom er knusende, og konkluderer med grov uaktsomhet fra Stortingets ledelse. Spesielt påpekes det at tofaktorautentisering ikke var påskrudd, noe som mest sannsynlig ville ha stanset angrepet. Aftenpostens Kjetil Alstadheim sa det kanskje best:

"Lærdommen til andre ledere er denne: Har du hull i IT-sikkerheten? Utsett ferien."

Data om gamle kunder gir millionbot til danske Gyldendal

Gyldendal i Danmark har fått varsel om bot på en million danske kroner for å ha lagret informasjon om 685 000 tidligere kunder, uten å ha noen rutiner for sletting.

Enkelte av dataene gjaldt kunder som sist hadde et kundeforhold for 10 år siden.

Saken er en av mange som understreker viktigheten av å ha kontroll på når data skal slettes, og å faktisk ha rutiner for å gjennomføre dette.

Så gjenstår bare å ønske en riktig god sommer 😎