Internet Society ble stiftet 25 år siden! Siden starten har foreningen arbeidet med økt tilgang, standarder og policy og mye mer. Vi feirer disse 25 årene med kake og kaffe på Norid sitt kontor i Oslo! Alle medlemmer er invitert, og det er gratis å melde seg inn!
Detaljer om tid og sted, samt påmelding finnes på vår facebook event.
Den 25. mai 2018 blir General Data Protection Regulation (GDPR) innført i hele EU. Det er snakk om en europeisk forordning om personvern som kommer til å omdefinere forholdet til personlige opplysninger, både på brukersiden og for tjeneste-leverandøren. Som internett-bruker mener vi at dette blir til en stor forbedring av personvernet i Norge.
GDPR er på mange måter ikke noe nytt. Forordningen bygger på eksisterende lover og retningslinjer, men er mer omfattende. Dette gjelder både selve definisjonen av personopplysninger, de påbudte prosedyrene for å håndtere dem, og rettighetene som sluttbrukere vil få. Omfanget av loven blir mye større, og ventes å ha større effekt enn tidligere lovgivning. Det er flere grunner til dette; for det første kommer GDPR til å tre i kraft uendret i de fleste europeiske land, og for det andre vil prinsippene gjelde personlige opplysninger til alle europeere, uavhengig av hvor leverandøren er basert. Samtidig er det en lang rekke muligheter for nasjonale unntak og egen regulering av offentlig sektor.
Siden “alle europeere” er en så stor brukerbase, som representerer en betydelig omsetning, vil de fleste leverandører ønske å forholde seg til GDPR for å beholde tilgangen til markedet, uavhengig av hvor personvernet er regulert lokalt hos dem.
Her bør det nevnes at det er flere punkter der forordningen viser muskler. Om en leverandør bryter loven risikerer de større straffer enn noensinne. Høyeste tak for sanksjoner er i størrelsesorden 20 millioner Euro eller 4% av selskapets globale omsetning, det som er høyest. Til sammenligning kan Datatilsynet idag gi i pålegg inntil 10 ganger grunnbeløpet i folketrygden (omtrent 930.000 norske kroner). Så kan vel hende at dette blir tatt på alvor.
GDPR definerer beskyttelse av personvern som en grunnleggende rettighet for alle europeiske borgere.
Det er individet som eier sine personopplysninger. Når man har gitt samtykke til at data er samlet inn og behandles kan man også endre eller trekke dette samtykket. De fleste internett-brukere kan i dag si de i løpet av livet sitt har gitt samtykke til håndtering av sine personopplysninger, men at formålet for dette ofte ikke har vært krystallklar. Her vil vi kunne stille radikale nye forventninger til tjeneste-leverandørene. Mer om dette senere.
GDPR definerer også personopplysninger som all informasjon som kan knyttes til eller identifisere et individ: navn, telefonnummer, bilde, kredittkortnummer, epost-adresse, o.a.. Inkludert i begrepet er også metadata, eller digitale spor som kan lede tilbake til identiteten vår. Vi snakker også om utledede data som kan brukes til å profilere oss i markedsføringsøyemed.
Men det er også en kjent effekt av digital profilering at om man samler nok metadata om et individ, vet man ganske nøyaktig hvem personen er, driver med, befinner seg til enhver tid, og hvem personen treffer regelmessig. Man kan få en fullstendig oversikt av privatlivet til subjektet. Derfor er det også viktig å tenke på “profilen vår” som personopplysninger.
Det skal altså bli lettere å forstå hva man gir samtykke til. Det er ikke lenger greit å bli vist en lang juridisk tekst, gjerne forhåndsutfylt med “jeg samtykker”. Den spartanske løsningen “ved å bruke denne tjenesten, gir du automatisk samtykke til håndtering av din personlig data” er heller ikke grei.
For at samtykket skal gis i samsvar med GDPR er det nødvendig å fylle ut et skjema som er så enkel at til og med et barn eller en eldre person må kunne forstå det. Skjemaet bør spesifikt be om samtykke til:
Leverandøren av tjenesten kan ikke beholde data i et lengre periode enn det som er rimelig til formålet av innsamlingen, og kan ikke bruke opplysningene til noe annet enn det som har blitt spesifisert som formål i skjemaet.
Dersom skjemaet er forhåndsutfylt skal det være med de alternativene som gir mest personvern. Enkle ikoner eller grafikk skal brukes, for eksempel for å understreke alvorligheten av et punkt. Samtykket kan endres eller trekkes når som helst, og det skal være like lett å gjøre det som å gi det.
Det finnes også situasjoner der data kan brukes uten samtykke, for eksempel hvis man blir bedt om å gi informasjon til politiet eller eller andre som har et lovgrunnlag for det. Det er også andre unntak der GDPR ikke gjelder, f.eks. nasjonal sikkerhet, krav i regnskapsloven, fordi det er snakk om historisk eller vitenskapelig informasjon, eller for å redde liv til subjektet eller andre.
GDPR går mye mer i detalj om dette og andre tilfeller, så vi ønsker i det minste å gi inntrykket at forordningen gjør det vanskelig å kunne havne i en gråsone, uansett situasjon.
Vi kan når som helst be om å få utlevert alle opplysningene som har blitt samlet, enten for å korrigere eller videreføre opplysningene til en annen leverandør. Dataene må gis i et maskinlesbart standardformat som for eksempel kan brukes når man ønsker å bytte bank eller strømleverandør. Opplysningene skal alltid være korrekte og leverandøren av tjenesten må holde dem oppdaterte. Dette gjelder også kopier som er levert til tredjeparter. På samme vis, om du ber om sletting av alle opplysningene må leverandøren sørge for at også tredjepartene sletter dem. Leverandøren kan når som helst bli bedt om å bevise at opplysningene er ansvarlig håndtert i samsvar med direktivet. I tilfellet datalekkasje eller sikkerhetsbrudd, må leverandøren gi beskjed til Datatilsynet innen 72 timer, og øyeblikkelig til eiere av opplysningene om avviket.
GDPR oppfordrer leverandørene til å samle minst mulig data, og å ha god kontroll over tilgang til disse, samt rutiner for krisehåndtering. Forordningen påpeker eksplisitt at leverandøren kan unngå eller forenkle mange utfordringer ved å kryptere, anonymisere eller pseudonymisere sine data.
Persondata som ble samlet før GDPR kan håndteres i samsvar med GDPR uten å hente inn nytt samtykke dersom samtykket opprinnelig ble gitt i tråd med kravene GDPR stiller. Alle rettighetene – inkludert muligheten til å få levert ut data, korrigere, og “the right to be forgotten” (slette), skal gjelde her.
Til slutt er det verdt å understreke at bevegelsen av data ut av EU har fått noe spesielt oppmerksomhet i forordningen. Man blir bedt spesifikt å gi samtykke til akkurat dette fordi det har blitt vanlig praksis å lagre data i skytjenester utenlands, med varierende nivåer av sikkerhet og hensyn til personvern. Delvis skyldes dette også politiske forhold der data er lagret eller i landet hvor leverandøren er basert.
Vi anbefaler å lese lovteksten på Engelsk, og begynne midt i dokumentet (søk etter “Chapter II” og “Principles”) for å gjøre det lettere å komme i gang. GDPR fact sheet er også verdt å besøke. Datatilsynet har også skrevet om hva som er nytt i GDPR.
ISOC-NO sin gjesteblogger er anonym, med støtte fra styremedlemmene Salve J. Nilsen og Torgeir Waterhouse.
Oslo Tingrett har avsa en dom i 2016 som krevde at Get AS må utlevere navn og adresser på abonnenter som Copyright Collection Ltd kunne vise til hadde lastet opp filmen London has fallen. Dette har resultert i at bredbåndsabonnenter har fått brev fra det danske advokatfirmaet Njord Law Firm som oppleves truende. IKT-Norge og Forbrukerrådet har på dette brevet.
Den 10.11.2016 ble det avsagt en dom i Oslo Tingrett med konklusjonen at Get pålegges å utlevere navn og adresser på abonnenter. (Les hele dommen her i en tidsbegrenset periode: https://www.domstol.no/no/Enkelt-domstol/Oslo–tingrett/Nyheter/nyhet18jan/). Kort fortalt gjelder dommen brudd på Åndsverksloven, som ble endret i 2013 (etter mye diskusjoner rundt ned- og opplasting av Max Manus) blir tatt i bruk. Copyright Collection Ltd som har tatt saken mot Get.
Copyright Collection Ltd har samlet inn IP-adresser som har blitt brukt til ned- og opplasting av en spesifikk film (London has fallen). Ettersom IP-adresser som regel er dynamiske (endres ved hver oppkobling), trenger de altså at Get informerer om hvem av deres kunder som hadde de spesifikke IP-adressene i det gitte tidspunktet. Retten har lagt vekk på at det bes om informasjon om IP-adresser som har lastet opp filer tilhørende filmen, og at disse kundene dermed har gjort seg skyldige i å distribuere filmen.
Det blir kommentert i dommen at dette ikke er noe politiet prioriterer. Det åpnes derfor med at straffeforfølgelsen av slike opphavsrettighetssaker vil gå gjennom rettssystemet ved at overtrederne blir saksøkt.
Foreløpig er det ikke kommet noen personsaksøkinger, men Forbrukerrådet og IKT Norge har sendt et tilsvar til advokatfirmaet Njord etter at de har sendt brev som oppfattes som “truende” til flere bredbåndsabonnenter (https://www.ikt-norge.no/2017/02/ber-danske-advokater-stoppe-truende-brev-til-norske-bredbandsabonnenter/). Blant annet har Njord spurt om abonnenten har åpent trådløst nettverk, og i svarbrevet fra Forbrukerrådet og IKT Norge presiseres det blant annet at det kan være vanskelig å svare på spørsmålene uten å inkriminere seg selv, eller også å påføre abonnenten ansvar man ikke har (ved å pålegge folk å sikre nettverk slik at ingen andre potensielt kan bruke deres nett til å gjøre noe kriminelt).
Helt siden Napster har det vært hard kamp fra rettighetshavernes side for å hindre ulovlig nedlasting, noe som har ført til lovendringer i Norge. I denne dommen ser vi at det er fokus på de opplasterne, altså seeders, som er i søkelyset. Diskusjonen rundt nedlasting av filer burde dermed kanskje omgjøres til diskusjon rundt opplasting. Dette er en vesensforskjell.
ISOC Norge støtter ikke ulovlig opplasting av åndsverk. Det er problematisk å ta hver overtredelse til retten ved en saksøking. Det vil legge uforholdsmessig press på rettsvesenet, og kan i verste fall føre til at man gir første personsak en symbolsk dom, slik at denne overtrederen vil måtte stå til ansvar for alle, i håp om å skremme folk fra å gjøre disse overtredelsene. Samtidig er det rett prioritering av politiet å ikke ha fokus på slike saker, og det er riktig av rettsvesenet å ta det direkte.
Dommen mot Get viser at lover kan endres, slik at man ikke kan gjøre hva man vil på Internett. I denne omgang er det snakk om åndsverksbeskyttelse. Man må ha fokus på hvor grensene skal gå, og for hvilke overtredelser man skal oppheve personvernet. ISOC Norge ser at disse grensene vil kunne flyttes, og vi vil være med på diskusjonen rundt dette slik at grensene blir flyttet basert på kunnskap og nyvinninger innen teknologi, og ikke etter press fra de som ønsker et mindre fritt og mer sensurert Internett.
Burde man ha en diskusjon rundt hvilke strafferammer som må til før man opphever personvernet? Om neste steg blir å oppheve anonymiteten til sterke meninger er ikke steget langt for å oppheve anonymiteten til viktige samfunnskritikere. Og skal man åpne for at private aktører når som helst kan stevne bredbåndstilbydere for å få informasjon om deres kunder? I denne saken har Copyright Collection Ltd brukt et selskap for å samle inn IP-adresser etter visse kriterier. Men det er ingen formelle krav til hva som skal være disse kriteriene, og det blir opp til retten hver gang.
Det er med andre ord mange spørsmål som åpner seg ved en slik praksis som vi her ser, og som nevnt tidligere er det foreløpig ikke annet som har skjedd enn at Njord har sendt ut brev som flere bredbåndsabonnenter opplever som truende.
ISOC Norge har tidligere uttalt seg rundt problematikken rundt åndsverkbesyttelse. Den tidligere saken kan du lese her: https://nrkbeta.no/2015/09/04/kampen-mot-et-fritt-internett/
Nestleder Salve J. Nilsen ble sendt til ICANN58 i København for å knytte kontakter og generelt samle inntrykk og informasjon.
Bastiaan Goslings, Salve J. Nilsen, Olivier MJ Crépin-Leblond og Adam Peake
Tidl. styreleder i ISOC Norge, Steinar Grøtterød, og Salve J. Nilsen
Yrjö Länsipuro, Salve J. Nilsen og [uidentifisert]
Tivoli-Gardens Tambourkorps underholder under åpningssermonien
Hvis du lurer på deltagelse i ICANN At Large, ta kontakt med styret i ISOC Norge <board@isoc.no>.
The Norwegian Research Center for Computers and Law invites you to a
Tuesday Coffee Seminar, February 28. 12:15-13:15
China’s Internet Censorship, Regulatory Control, and new Cyber Security Law
Speaker: Professor Yue Liu, Executive Director of Asia Pacific Institute for Cyber Law Studies and legal consultant for mainland China, Schodt Law Firm.
Place: Universty of Oslo, Domus Nova, rom 354
<http://www.uio.no/om/finn-fram/omrader/sentrum/se10/>
Since its first Internet connection with the global computer network in 1994,
China has witnessed explosive Internet development. China replaced the United
States as the largest Internet user of the world by the end of 2008. Although
China enjoyed tremendous economic benefits from Internet development, the
Chinese government has tried to maintain tight control over the
telecommunications industry and the public Internet use, in order to protect
the internet sovereignty.
In this presentation we will review historical development of Internet use in
China and focus on China’s Internet censorship and its regulatory control.
Next, we explore the major content of the latest cyber security law of China,
and introduce the background of these regulations. Finally the characteristics
and weakness of the upcoming cybersecurity law of China will be summarized.
Read the full description of the seminar
here <http://www.jus.uio.no/ifp/om/organisasjon/seri/arrangementer/2017/tks-seminarer/28.02.17.html>.
The seminar is open for everyone, and there is no registration. We hope to see
you there!