Nå har vi snudd kalenderbladet til 2024 og går inn i et nytt år med nye personvernutfordringer. I fjor senket flere skuldrene etter at vi fikk det transatlantiske rammeverket for overføring av personopplysninger mellom USA og EU. Samtidig har fokuset skiftet til kunstig intelligens.
Personvern er imidlertid mer enn kunstig intelligens, og regelverket er i stadig utvikling. I anledning den nylige personverndagen ser vi på fire viktige personverntrender som vil forme 2024.
Standarden for godt personvern
GDPR inneholder personvernprinsipper og standarder som krever at virksomheten tar hensyn til den teknologiske utviklingen. Hva dette betyr i praksis, er ikke konkretisert i regelverket, og det vil endre seg med tiden. Det kan bety at en løsning som var god nok i 2018, ikke holder mål i 2024.
Heldigvis gir den teknologiske utviklingen nye muligheter. Med såkalte Privacy Enhancing Technologies kan man bruke personopplysninger i større grad, uten at det går på bekostning av personvernet. Aktører som Meta og Google benytter allerede av denne teknologien for å beskytte kundeopplysninger før dataene analyseres og deles med samarbeidspartnere.
Generativ kunstig intelligens, og særlig språkmodeller som Chat GPT og Googles Bard, kan gjøre arbeidet med etterlevelse lettere. Et sentralt krav i GDPR handler om dokumentasjon. Virksomheter som allerede har god kontroll på personopplysningene og et godt styringssystem, kan spare tid og heve kvaliteten ved å bruke språkmodeller til å automatisere personvernpolicyer, behandlingsprotokoller og risikovurderinger.
Eniro eksponerte nordmenns fødselsdatoer på Gule sider
Brukeren i sentrum
Hvert år velger det europeiske personvernrådet (EDPB) et tema for en felleseuropeisk tilsynsaktivitet. I år skal retten til innsyn i artikkel 15 i GDPR legges under lupen. Det norske datatilsynet deltar ikke, men norske virksomheter som leverer tjenester i EU, kan merke økt tilsynsfokus hos sine kunder fordi leverandører også har plikt til å bistå og legge til rette for innsyn.
Åpenhet om behandling av personopplysninger var i søkelyset i 2023 og vil fortsatt være det i 2024. Manglende åpenhet var en viktig faktor da Meta ble ilagt bøter for Facebook og Instagram på 210 og 180 millioner euro, og en del av begrunnelsen da Datatilsynet ga Sats en bot på ti millioner kroner. Virksomheter som bruker ny teknologi og retter seg mot forbrukere, bør ha åpenhet høyt på agendaen i 2024.
Brukertesting og gode tverrfaglige team som kombinerer personvern-, design- og IT-kompetanse, er viktige virkemidler for å unngå å trå feil både når det gjelder åpenhet og innsyn.
Hårnålssvinger i EU-domstolen?
Avgjørelser i EU-domstolen kan få dramatisk betydning for arbeidet med personvern og være kostnadsdrivende hvis man ikke er forberedt. Et kjent eksempel er Schrems-II dommen fra 2020, som gjorde at grunnlaget for overføringer til USA måtte revurderes.
I 2024 skal EU-domstolen ta stilling til flere grunnleggende personvernspørsmål. Et viktig tema er skillet mellom personopplysninger og anonyme data. Når et datasett er anonymisert, gjelder ikke reglene i GDPR. En lavere terskel for anonymisering kan derfor gjøre det lettere å etterleve regelverket.
_logo.svg.png){kind=logo}
Erstatning for ikke-materielle skader som følge av et GDPR-brudd, er et annet viktige tema for domstolen i 2024. Dersom domstolen i større grad åpner for erstatning for ikke-materielle skader, kan det bli flere krav fra enkeltpersoner og vanskelige bevisspørsmål.
.jpg)
20 milliarder kroner i bøter for brudd på personvernregler i fjor
Overføring av personopplysninger
Til tross for geopolitisk uro ser det ut til at overføring av personopplysninger blir enklere til visse land i 2024. EU-kommisjonen startet året med å bekrefte adekvansbeslutningen for 11 land, inkludert Canada og Sveits. Det vil si at personopplysninger fremdeles fritt kan overføres dit.
Ifølge Gartner vil 75 prosent av verdens befolkning være omfattet av personvernregelverk i løpet av 2024. Mange av de nye regelverkene er inspirert av GDPR. Det legger til rette for flere adekvansbeslutninger fra EU-kommisjonen, eller i det minste enklere vurderinger av overføringer. Ett eksempel er Brasil, som kan få en adekvansbeslutning allerede i 2024 som følge av nytt nasjonalt personvernregelverk.
Samtidig utfordres det nye transatlantiske rammeverket for overføring i domstolene. Det er ikke umulig at vi får en Schrems-III avgjørelse allerede ved utgangen av 2024. Derfor er det viktig å ha kontroll på internasjonale overføringer og vurdere alternativer.
2024 – et spennende personvernår
Med et personvernslandskap i rask endring kommer 2024 til å bli nok et spennende år for personverninteresserte. Fra viktige avgjørelser i EU-domstolen til håndtering av innsynsforespørsler, blir det stadig tydeligere at personvern ikke bare handler om å følge regelverket, men også om å forstå og tilpasse seg samspillet mellom teknologi, regelverk og mennesker.
Grindr tok ikke staten til retten for å forsvare brukernes rettigheter
