stadig større datamengder i sanntid, og dermed treffe informerte og raske beslutninger i komplekse spørsmål” • Mange bruksområder – Forskning, helse, samferdsel, miljø, sikkerhet, kriminalitetsbekjempelse, markedsføring mv – Økt treffsikkerhet mht. relevans, tid og sted (Amazon, Google, Facebook mv.) – Teknologi og datakraft blir stadig billigere og mer tilgjengelig • Personvernaspektene avhenger bl.a. av formålet – Identifisere generelle trender og korrelasjoner (anonyme opplysninger/gruppenivå) – Beslutninger som direkte gjelder enkeltpersoner (individnivå) 2
loven – Datatilsynet vil kunne stoppe virksomheten og ilegge sanksjoner • Sikre kommersielt handlingsrom – Innenfor rammene av regelverk og brukernes forventninger • Konkurransefortrinn – Forbrukere vil velge leverandører/tjenester de har tillit til • Forvaltning av virksomhetens verdier – Bruksverdi: operasjonell drift og forretningsutvikling – Aksjonerærverdi: verdsettelse ved transaksjoner side 3
Markedsføringsloven og annen særlovgivning • Forslag til ny EU-forordning • Begreper: – Personopplysning: opplysninger og vurderinger som kan knyttes til enkeltperson – Behandlingsansvarlig: bestemmer formål og hjelpemidler – Databehandler: behandler personopplysninger på vegne av behandlingsansvarlig – Den registrerte: den opplysningene gjelder side 4
(identifiserbar) enkeltperson” – Også indirekte identifisering omfattes – Vurdere hvilke ressurser det er rimelig å ta i betraktning (behandlingsansvarlig og andre) • Europeiske datatilsyn (Artikkel 29-gruppen) – IP-adresse er personopplysning – Identifiserbar = kan skille en person fra andre (trenger ikke nødvendigvis kjenne navn) – Mulighet for mer lemplige regler ved begrenset identifiserbarhet • Viktig med tiltak som sikrer bakveisidentifisering! 6
Gjenbruk til nye uforenlige formål krever samtykke • GPS/Avfallsservice-avgjørelsen (januar 2013) – Kontroll av ansatte uforenlig med det opprinnelig formålet • Big Data: maksimal utnyttelse av opplysninger til nye formål 7
henvendelser/avgjørelser på bakgrunn av personprofiler • Innsynsrett – Generelt – Individuelt i egne opplysninger – Innsyn i logikken bak automatiserte avgjørelser 8
e-markedsføring – (henvendelser på el. kommunikasjon basert på profilering, sporing, lokasjon mv) • Viktig å innhente samtykke ved avtaleinngåelse eller annen kundekontakt • Samtykket skal være frivillig, informert og utrykkelig • Avveininger: – Bredt samtykke eller flere samtykker? – Formålsangivelse: Hva skal opplysningene brukes til nå og i fremtiden? – Hvem skal ha tilgang? Konsern? Samarbeidspartnere? – Hva synes brukerne er greit? 9
ansvar) – Mål og strategi – Oversikt over behandlinger • Gjennomførende dokumentasjon – Krav til vurdering ved ny eller endret behandling – Krav til klare avtaler med leverandører – Praktiske rutiner • Kontrollerende aktiviteter – Rapportering/avvikshåndtering – Egenkontroll/revisjon – Ledelsens gjennomgang Styrende Gjennomførende Kontrollerende
”tilfredsstillende informasjonssikkerhet” • Konsekvensvurdering vedr. personvern – Utredningsinstruksen – vesentlige personvernkonsekvenser – EU-forslag vedr. ”Privacy Impact Assessment” • Personvernøkende teknologi – Dataminimalitet (begrenset innsamling, bruk av anonymiserte data, sletting) – Autentisering av andre forhold enn identitet (for eksempel roller og egenskaper) – Transparens og brukerkontroll (do not track, støtte for informerte valg mv)
fremfor å reparere 2. Gjør personvern til standardinnstilling 3. Bygg personvern inn i designet 4. Skap full funksjonalitet: Både-og, ikke enten-eller 5. Ivareta informasjonssikkerhet fra start til slutt 6. Vis åpenhet 7. Respekter brukerens personvern 12
evry
vanstee
marktimemedia
marcduiker
tammyeverts
jacobian
pedronauck
csswizardry
bkeepers
wjessup
jlugia
tenderlove
dougneiner
