logo
KompetansePersonvern og cybersikkerhet

Personvern og cybersikkerhet

Digital kriminalitet er en stor trussel mot kritiske samfunnsfunksjoner, bedrifter og enkeltmennesker. Myndighetene i EU og i Norge svarer på trusselen med stadig nye og strengere regelverk. Cybersikkerhet og personvern har derfor blitt et område hvor komplisert juss møter tilsvarende komplisert teknologi – og der feil kan få alvorlige konsekvenser for både drift og omdømme.

I Arntzen Grette bistår vi virksomheter med å forstå, forankre og dokumentere etterlevelse i et regulatorisk landskap som stadig utvides – og skjerpes. Vi har særlig erfaring med regelverk som personvernforordningen (GDPR), Digitalsikkerhetsloven og DORA-loven, og kombinerer juridisk ekspertise med teknologisk og kommersiell forståelse. I tillegg gir vi råd om cybersikkerhet og informasjonssikkerhet som del av virksomhetsstyring, risikohåndtering og regulatoriske forventninger.

Vi jobber tett med personvernombud, ledelse og teknologimiljøer i saker som involverer internasjonal dataflyt, komplekse leverandørkjeder, compliance-rammeverk, informasjonssikkerhet og myndighetsprosesser. Særlig bistår vi virksomheter i skjæringspunktet mellom teknologi, personvern og selskapskritiske prosesser, enten det handler om digitale plattformer, oppkjøp, konsernstruktur eller regulatoriske inngrep.

Vi har blant annet bistått:

  • Bufdir og Bufetat med komplekst personvernprosjekt over to år, knyttet til behandling av sensitive personopplysninger om sårbare grupper.
  • Kritisk infrastruktur/energiforsyning: Vi har bistått virksomheter innen kritisk infrastruktur i forbindelse med granskning etter større personvernbrudd, inkludert intervjuer, dokumentgjennomgang, styringsvurderinger og bidrag til eksterne granskningsrapporter, samt etablering av forbedrede personvern- og sikkerhetsrutiner.
  • Finans/internasjonale finansielle tjenester: Vi har bistått ledende finansinstitusjoner med lokal tilpasning av globale personvernrammeverk, herunder BCR-er, HR- og screeningprosesser, nasjonale krav til samtykke- og transparensmekanismer og implementering av personvern i multinasjonale IT- og HR-plattformer.
  • KYC/AI-drevet finansteknologi: Vi har bistått leverandører av AI-baserte KYC- og compliance-løsninger med GDPR-implementering, dokumentasjon (DPIA, TIA, LIA og DPA), håndtering av overføringer til tredjeland, samt løpende personvernrettslig rådgivning.
  • FinTech/digital betaling og finansinfrastruktur: Vi har bistått leverandører av betalings-, fakturerings- og finansielle infrastrukturtjenester med DORA-relatert rådgivning, herunder forhandling av Financial Services Annexes, regulatoriske tilpasninger og teknisk-juridiske vurderinger av ICT- og cybersikkerhetskrav.
Kontaktpersoner
Trine Hammervold
Trine Hammervold
trh@arntzen.no
Peter Lenda
Peter Lenda
pele@arntzen.no
Møt teamet

Aktuelt

Se alle
0/0

20. oktober 2025

EU-domstolen: Pseudonymiserte data er ikke alltid personopplysninger

EU-domstolen har nylig avsagt en prinsipielt viktig dom i en sak mellom European Data Protection Supervisor («EDPS») og Single Resolution Board («SRB») (sak C-413/23 P), som kan få stor betydning for vurdering av personopplysningsbegrepet i forbindelse med pseudonymiserte data. Dommen klargjør når pseudonymiserte data ikke lenger skal anses som personopplysninger, og hvilke momenter som er styrende for vurderingen. Avklaringene kan få stor betydning for virksomheter omfattet av GDPR. I dette nyhetsbrevet ser vi nærmere på hvilke konkrete avklaringer – samt hvilke praktiske konsekvenser – dommen fører med seg.

20. januar 2025

Ny ekomlov fra 1. januar 2025 — Hva betyr det for deg og din virksomhet?

Den nye ekomloven trådte i kraft 1. januar 2025 og skjerper kravene til sikkerhet, personvern og konkurransevilkår i en stadig mer digitalisert hverdag. Hva betyr dette for din virksomhet? Vi gir deg en oversikt over de viktigste endringene og praktiske tiltak for å møte de nye kravene.

27. november 2024

Nytt fra Q3: Personvern

Personvern er i fokus med flere viktige oppdateringer i både europeiske og nasjonale reguleringer. Den europeiske personvernmyndigheten (EDPB) har publisert nye retningslinjer for ePrivacy-direktivet, som klargjør hvordan moderne sporingsmetoder skal håndteres. Samtidig har europeiske datatilsyn gått sammen om å oppfordre til strengere tiltak mot ulovlig dataskraping, og Meta gjør endringer i sin markedsføringsmodell etter kritikk fra både myndigheter og brukere. På nasjonalt nivå viser nylige overtredelsesgebyrer fra Datatilsynet at brudd på personopplysningssikkerhet fortsatt er et område med høy oppmerksomhet.

5. september 2024

AI Act: Den siste reguleringen i "The Big Five" har trådt i kraft!

Den 1. august 2024 trådte EUs siste store regulering, Artificial Intelligence Act (AIA), i kraft. Dette markerer fullføringen av "The Big Five" – en samling EU-reguleringer som utgjør kjernen i EUs Data Strategy. De fem reguleringene har som mål å fremme rettferdig konkurranse, øke datadeling og styrke personvern. Samtidig vil de sikre at utviklingen av digitale tjenester, særlig kunstig intelligens, skjer på en trygg og ansvarlig måte. Selv om reguleringene ennå ikke gjelder i Norge, er de forventet å bli implementert gjennom EØS-avtalen. For norske virksomheter som opererer i EU, anbefales det å starte forberedelser allerede nå.

23. mars 2022

Nyhetsbrev: Bruk av konkurrenters kjennetegn som betalte søkeord i Google

Det er få virksomheter som ikke benytter Google Ads i sin markedsføring. Tjenesten lar brukerne «kjøpe» søkeord relatert til sin virksomhet, slik at brukerens annonser vises øverst i Googles søkeresultater når brukeren søker på ordene. Men kan en virksomhet kjøpe konkurrerende virksomheters navn og kjennetegn som søkeord, for å sikre at egne annonser får bedre synlighet i søkeresultatene enn konkurrentene? Høyesterett stadfestet like før nyttår i den såkalte Bank Norwegian-saken at slik praksis ikke nødvendigvis er rettsstridig. Men det er likevel enkelte forhold man bør unngå.

1. oktober 2025

Digitalsikkerhetsloven trer i kraft 1. oktober - manglende etterlevelse kan gi milliongebyr

Fra 1. oktober trer digitalsikkerhetsloven med forskrift i kraft. Mange virksomheter vet ennå ikke om de faktisk omfattes – men konsekvensene av å overse regelverket kan bli store, både økonomisk og omdømmemessig. Digitalsikkerhetsloven stiller bindende krav til styring, risikovurderinger, dokumentasjon og ledelsesansvar for digital sikkerhet. Dette betyr at en rekke virksomheter i samfunnskritiske sektorer må ha på plass styringssystemer, sikkerhetstiltak og rutiner for varsling av hendelser. Ved mangler vil ledelsen formelt kunne holdes ansvarlig.

7. februar 2022

Nyhetsbrev: Er bruken av Google Analytics ulovlig?

Dersom virksomheten din har behov for data og statistikk om hvordan folk bruker nettstedet ditt, kan det hende du har gjort som mange andre, nemlig valgt å bruke Google Analytics til dette formålet. Etter at datatilsynet i Østerrike (DSB) 13. januar 2022 konkluderte med at bruken av Google Analytics er ulovlig, er det mange virksomheter som nå bør revurdere sin egen bruk av Google Analytics. I dette nyhetsbrevet forklarer vi hvorfor og hva du nå bør gjøre.

1. juli 2021

Nyhetsbrev: Hva vil skje med skytjenestene?

Det er liten tvil om at skytjenester har spilt en viktig rolle under korona-pandemien, som har fremtvunget digitalisering innenfor mange sektorer, også helsesektoren. Siden implementeringen av den europeiske personvernforordningen (GDPR) i 2018, har det skjedd mye innenfor personvernområdet, og da særlig innenfor temaet knyttet til overføringer og utleveringer av personopplysninger til land utenfor EU/EØS, slik som USA. Dette er altså et tema som berører alle virksomheter som eksempelvis benytter seg av de store amerikanske skytjenesteleverandørene Microsoft, Google og Amazon for lagring av personopplysninger. Med andre ord har dette betydning for de aller fleste virksomheter.