logo
AktueltAktuelt i mai: Nyheter innen IKT, kunstig intelligens og personvernrett

Aktuelt i mai: Nyheter innen IKT, kunstig intelligens og personvernrett

Mai står for tur og det er på tide å se tilbake på de siste måneders IKT- og personvernnyheter. Denne artikkelen har samlet et knippe interessante saker. Det viser at virksomheter må ha fokus og dokumentere sine vurderinger hvis de overfører personopplysninger utenfor EU/EØS, vurdere vern av sine forretningshemmeligheter opp mot bruk av personopplysninger, vurdere nøye hvis de tenker å bruke kunders opplysninger til å trene sine KI-løsninger og IKT-virksomheter som leverer til finansbransjen må få øynene opp for DORA og eksplorere sine sikkerhetsplikter.

TikTok med megabot på 530 MEUR for brudd på GDPR

ByteDance, eierselskapet til TikTok, har fått et overtredelsesgebyr på hele 530 millioner euro fra det irske datatilsynet (DPC) etter en omfattende granskning av selskapets overføring av personopplysninger fra brukere i EØS til Kina. DPC konkluderte med at TikTok brøt GDPR på to sentrale områder; for det første ved at TikTok ikke kunne garantere samme beskyttelsesnivå som etter GDPR for brukeres personvern ved overføring av personopplysninger til Kina. For det andre var TikToks personvernerklæring om slike overføringer mangelfull, blant annet ved at det ikke ble opplyst hvilke land dataene ble overført til, eller hvordan behandlingen foregikk. TikTok har fått seks måneder på seg til å bringe behandlingen i samsvar med GDPR, og risikerer forbud mot overføring av personopplysninger til Kina dersom dette ikke skjer. Saken understreker viktigheten av å ivareta personvernet ved overføring av data til tredjeland, og spesielt når tredjelandet har lovgivning som tillater innsyn i personopplysninger.

Kan kravet til behandlingsprotokoll bli lempet for mindre virksomheter?

En viktig nyhet er at det finnes et forenklingsønske i Europa. EDPB (European Data Protection Board) og EDPS (European Data Protection Supervisor) har sendt et felles brev til EU-kommisjonen hvor de gir foreløpig støtte til et forslag om å forenkle kravet til behandlingsprotokoll etter GDPR artikkel 30. Forslaget innebærer at unntaket fra plikten til å føre protokoll, som i dag gjelder virksomheter med færre enn 250 ansatte, utvides til å omfatte selskaper og organisasjoner med opptil 500 ansatte. Samtidig foreslås det at unntaket ikke skal gjelde dersom behandlingen sannsynligvis medfører høy risiko for de registrertes rettigheter og friheter. EDPB og EDPS understreker viktigheten av å beholde en risikobasert tilnærming, slik at også små virksomheter må føre protokoll ved høy risiko. De ber om at Kommisjonen gjennomfører en grundig analyse av hvor mange virksomheter som vil omfattes av forenklingen, og hvilken effekt dette vil ha på personvernet, for å sikre en rimelig balanse mellom forenklingshensyn og beskyttelse av personopplysninger. Vi kan håpe at det kommer klarere regler for hva slags kontroll som da er forventet av virksomheter under 500 ansatte for sin behandling av personopplysninger. For det kravet synes ikke å forsvinne.

Ny EU-dom om forretningshemmeligheter og informasjonsplikten etter GDPR

EU-domstolen (CJEU) avsa 27. februar 2025 en interessant dom (C-203/22, Dun & Bradstreet Austria) om krav til åpenhet og informasjonsplikt rundt algoritmer og personvern etter GDPR art. 12 og 15. Dette ble vurdert opp mot art. 2 av direktivet for vern av forretningshemmeligheter (som Norge har implementert i lov om vern av forretningshemmeligheter).

Saken gjaldt et kredittvurderingsselskap som ga en negativ score til en kunde basert på automatisert behandling, noe som førte til avslag på mobilabonnement. Domstolen slo fast at enkeltpersoner har rett til en forklaring på automatiserte avgjørelser som har rettslige eller lignende konsekvenser. Forklaringen skal være forståelig, tilgjengelig og gi innsikt i prinsippene og prosedyrene bak avgjørelsen – ikke bare tekniske detaljer eller matematiske formler. Samtidig fastslo domstolen at hensynet til forretningshemmeligheter ikke kan brukes som et generelt avslag på innsyn. Nasjonale domstoler og tilsynsmyndigheter kan kreve innsyn i beskyttet informasjon for å vurdere om, og i hvilken grad, deler av forretningshemmeligheter skal utleveres til den registrerte.

Dommen kan få betydning for virksomheter som bruker KI og automatiserte avgjørelser, og stiller krav til at de må kunne forklare algoritmenes logikk på en enkel måte – uten å skjule seg bak forretningshemmeligheter. Dette vil kreve nye rutiner og økt åpenhet fra mange aktører. Det interessante her er at domstolens avgjørelse kan tyde på at innhold og format på forklaringen og åpenheten henger tett sammen. Det peker på en nedre og en øvre grense for hvilken informasjon som skal deles med den registrerte, slik at balansen mot forretningshemmeligheter opprettholdes:

  • Nedre grense: Informasjonen må i det minste gjøre det mulig for den registrerte å forstå prinsippene og prosessen for hvordan algoritmen fungerer, slik at vedkommende kan vurdere lovligheten av behandlingen og utøve sine øvrige rettigheter (rett til retting, rett til å bli glemt, osv.). EU-domstolen slår fast at algoritmens kompleksitet ikke fritar den behandlingsansvarlige fra å «forenkle» forklaringen til et språk alle kan forstå. For profilering, som kredittvurdering, la domstolen til at det kan være tilstrekkelig for en nasjonal domstol å kun informere den registrerte om i hvilken grad en endring i de personopplysningene som er tatt i betraktning, ville ha ført til et annet resultat.
  • Øvre grense: Den behandlingsansvarlige kan ikke begrave den registrerte i komplekse matematiske formler og teknisk dokumentasjon. EU-domstolen krever at den behandlingsansvarlige finner enkle måter å forklare den registrerte begrunnelsen for, eller kriteriene som er lagt til grunn for, den automatiserte avgjørelsen. Dette illustreres tydelig av domstolens formulering om innholdet i informasjonen («prosedyre og prinsipper») og formatet («kortfattet, transparent, forståelig og lett tilgjengelig»).

For den enkelte virksomhet blir nå spørsmålet: Hvis IT-løsningen din behandler personopplysninger, enten med eller uten KI-komponenter, hvordan skal du møte kravet til åpenhet og forklare tilstrekkelig enkelt, men tilstrekkelig konkret, hvordan beslutninger tas?

Datatilsynets årsrapport for 2024er ute: antall saker og varsler øker

Så har vi fått Datatilsynets årsrapport for 2024. Den måler temperaturen på personvernet. Årsrapport for 2024 viser en økning i antall saker. I løpet av året ble det behandlet 4 736 nye saker, en økning fra 4 204 året før. Antall klager fra privatpersoner steg kraftig, fra 591 i 2023 til 902 i 2024, noe som tilsvarer en økning på 53 prosent. Det ble også varslet flere brudd på personopplysningssikkerheten: Datatilsynet mottok 3 191 avviksmeldinger, opp 13 prosent fra året før. Når det gjelder vedtak, fattet Datatilsynet totalt 384 vedtak i 2024, mot 303 året før. Av disse var 44 vedtak om korrigerende tiltak og sanksjoner, inkludert overtredelsesgebyr og pålegg. Økningen i både antall saker, meldte brudd og vedtak understreker et økende trykk på Datatilsynets arbeid, og viser at personvern er et stadig viktigere tema i samfunnet.

Arbeidet med KI-forordningen medfører nye stillinger i NKOM

Arbeidet med KI-regelverk i Norge har heldigvis fått noen nye bein å stå på. NKOM får nå fire nye stillinger til KI og for å trygge bruken av internett. Det følger av det reviderte nasjonalbudsjettet som foreslår at fire nye stillinger opprettes i NKOM knyttet til arbeidet med lov om kunstig intelligens og arbeid med å trygge bruken av internett. Dette er både viktig for å skape tilstrekkelig kompetanse hos offentlige myndigheter, men også for å sikre at vi får gode forarbeider. Lykke til NKOM.

Tyske forbrukermyndigheter forsøker å stoppe Metas AI-trening

Meta varslet i april at de fra 27. mai ønsker å bruke alle innlegg og bilder som europeiske brukere har delt på Facebook og Instagram til å trene sine kunstige intelligens-modeller. Dette har vakt sterke reaksjoner, særlig fra tyske forbrukermyndigheter i Nordrhein-Westfalen, som har sendt en formell klage til Meta og krever at planene stanses. Forbrukerorganisasjonen mener at Metas praksis bryter med europeisk personvernlovgivning, blant annet fordi selskapet kun viser til «berettiget interesse» og lar brukerne reservere seg gjennom et opt-out-system. Ifølge forbrukervernet er dette ikke tilstrekkelig, spesielt når det kan være snakk om sensitive personopplysninger. De mener at brukerne i stedet må gi et aktivt samtykke før dataene kan brukes til KI-trening. Forbrukerorganisasjonen, slik som også Datatilsynet gjør, oppfordrer alle som ikke ønsker at deres data skal brukes, til å protestere før fristen 27. mai. Saken illustrerer hvor viktig det er å følge med på hvordan teknologigiganter bruker personopplysninger i utviklingen av ny teknologi og her KI.

DORA kommer

Stortinget voterte i går (15.5.2025) over implementeringen av DORA, eller som det pent heter på norsk: Lov om digital operasjonell motstandsdyktighet i finanssektoren, og med endringer i hvitvaskingsloven for å gjennomføre DORA-forordning 2023/1113. Ikke overraskende gikk lovforslaget enstemmig gjennom i Stortinget. Da må vi regne med at DORA kommer om kort tid.

IT-kontraktsdommen (TOSL-2024-3824) anket

Kanskje ikke helt overraskende, men tingrettsdommen i saken mellom Accigo og Cyviz, er blitt anket. Så får vi se om dette er en type dom som snur fullstendig fra tingretten til lagmannsretten. Forutsatt selvfølgelig at partene ikke inngår forlik før den tid.

En litt annen type IKT-dom om frister

Så har vi fått en litt mindre dom fra Frostating lagmannsrett (LF-2024-195938) hvor retten forkastet IBMs anke i tvisten mot Hemit, Helse Midt-Norge og St. Olavs Hospital om erstatningskrav etter leveranse av en digital sertifikatløsning til Helseplattformen. IBM mente at motpartenes krav var tapt fordi de ikke hadde reist søksmål innen en kontraktsfestet 90-dagers frist etter en ekspertavgjørelse. Lagmannsretten slo fast at det var tilstrekkelig at Hemit varslet IBM om videre forfølgelse av kravet innen fristen, og at det ikke var krav om å ta ut stevning eller innlede voldgiftssak. Saken kan dermed behandles videre i domstolene. Da er det bare å vente på neste IKT-dom.

Google Automated Discounts kan gi brudd på prisreglene

Til slutt i dag; Forbrukertilsynet har vurdert Googles prisverktøy, Google Automated Discounts (GAD), som lar nettbutikker tilby dynamiske rabatter kun synlige for kunder som søker via Google. GAD-priser vises sammen med en overstrøket pris, men denne reflekterer ikke nødvendigvis den laveste prisen brukt de siste 30 dagene, slik prisopplysningsforskriften § 9a krever. Siden GAD-priser blir tilgjengelige for opptil 90 % av brukerne etter tre dager, regnes de som allment tilgjengelige, og reglene for salgsmarkedsføring gjelder. Forbrukertilsynet mener derfor at bruk av GAD kan føre til ulovlig markedsføring og risiko for overtredelsesgebyr eller tvangsmulkt.

Kontaktpersoner