Personvern
Overføring av personopplysninger til tredjeland
EU-domstolens avgjørelse i den såkalte Schrems II-saken har gitt både advokater og virksomheter mye å snakke om og ta tak i når det gjelder overføring av personopplysninger til tredjeland, herunder bruk av skytjenester fra de store tjenesteleverandørene. Dommen vil nok også prege både de faglige diskusjonene og hvilke tiltak virksomhetene må ha fokus på i 2021, samt føre til økt oppmerksomhet rundt beskyttelsesnivået i såkalte tredjeland, altså land utenfor EU/EØS. For virksomheter som overfører personopplysninger til tredjeland vil situasjonen antakeligvis fremstå som både kompleks og usikker i overskuelig fremtid.
Det er verdt å få med seg at det europeiske personvernsrådet, EDPB, allerede har kommet med anbefalinger om hvordan man i lys av Schrems II dommen skal forholde seg til overføringer til tredjeland, og alle som overfører eller planlegger å overføre personopplysninger til land utenfor EØS bør sette seg inn i denne. Forhåpentligvis vil det også komme ytterligere avklaringer om hvilke risikoer og tiltak som å må vurderes ved overføring av personopplysninger til konkrete tredjeland i de mest praktiske scenarioer, eksempelvis i forbindelse med bruk av skytjenester.
I tillegg vil de nye Standard Contractual Clauses (SCC) komme i endelig versjon innen kort tid. Det er imidlertid ingen grunn til å tro at det vil være store endringer fra utkastet som ble presentert i høst. De nye SCC er spesifikt utformet for overføringer til tredjeland i lys av Schrems II, og vil i overskuelig fremtid være det mest aktuelle grunnlaget for overføring av personopplysninger til ikke-godkjente tredjeland som USA, forutsatt at det etter en konkret vurdering er tilstrekkelig beskyttelse for personopplysningene. Virksomheter må påse at eventuelle overføringer med grunnlag i SCC skjer under de nye SCC så snart de er vedtatt, og med de krav som følger både av Schrems II og de nye SCC er det lite tyder på at denne øvelsen kommer til å være «plankekjøring».
Vi vil også få en avklaring rundt om Storbritannia etter Brexit får status som godkjent tredjeland under GDPR. Her er det varslet en avklaring i løpet av første halvår. Foreløpig gjelder det en overgangsordning som gjør at norske virksomheter – i hvert fall inntil videre – kan overføre personoppysninger til Storbritannia som tidligere.
Med maktskifte i USA er det muligens også større sjanse for en mer føderal tilnærming til personvern i USA, selv om det ikke er grunn til å tro at dette vil endre bekymringene rundt blant annet overvåkning og overføring av personopplysninger til USA noe særlig. Det fremstår uansett som lite sannsynlig at vi i løpet av 2021 vil få noe mer enn indikasjoner på hva fremtiden vil kunne bringe her, og en avklaring her står neppe øverst på agendaen til påtroppende president.
De nye SCC er spesifikt utformet for overføringer til tredjeland i lys av Schrems II, og vil i overskuelig fremtid være det mest aktuelle grunnlaget for overføring av personopplysninger til ikke-godkjente tredjeland som USA, forutsatt at det etter en konkret vurdering er tilstrekkelig beskyttelse for personopplysningene.
Personvern vs etterretning
Schrems II viste tydelig at det kan være et spenningsforhold mellom individenes personvern og myndighetenes ønske om etterretningsaktivitet for å ivareta nasjonale sikkerhetsinteresser. I lys av de noe mindre omtalte avgjørelsene fra EU-domstolen fra oktober 2020, som slo fast at generell masselagring av teledata vil være i strid med GDPR, er det grunn til å tro at forholdet mellom etterretningsaktivitet, nasjonal sikkerhet og individenes personvern vil være gjenstand for diskusjoner og potensiell friksjon også i 2021.
Dette har også betydning for lovgivningen i Norge, der den nye etterretningstjenesteloven trådte i kraft ved nyttår. De foreslåtte (og vedtatte) kapitlene om tilrettelagt innhenting av grenseoverskridende kommunikasjon anses imidlertid potensielt å være i strid med EU-domstolens avgjørelser, og kapitlenes ikrafttreden er derfor utsatt i påvente av en gjennomgang og sannsynlig revisjon.
Andre trender
Vi spår at bruken av kunstig intelligens i forbindelse med behandling av personopplysninger vil få økt fokus fra EU i 2021.
Koronapandemien har også vist at personvernet kan støte mot andre samfunnsinteresser i noen situasjoner, og mange vil nok hevde at personvern har fått en uforholdsmessig sterk posisjon. Det blir spennende å se om det blir noen debatt om dette, og hvilken retning det i så fall bærer.
EDPB har nylig også kommet med et utkast til nyttige avklaringer rundt konseptene behandlingsansvarlig og databehandler, som vi trolig vil få i endelig format i løpet av kort tid. EDPB er også i ferd med å klarlegge nærmere hva som ligger i begrepet «berettiget interesse», samt andre avklaringer knyttet til GDPR, som vi sannsynligvis vil høre mer om i løpet av året som kommer.
Elektronisk kommunikasjon
Ny stortingsmelding om elektronisk kommunikasjon
Regjeringens politikk og ambisjoner for sektoren for elektronisk kommunikasjon fremgår av Nasjonal plan for elektronisk kommunikasjon som ble presentert i stortingsmeldingen «Digital agenda for Norge», som nå er noen år gammel.
Det er imidlertid ventet en ny stortingsmelding om elektronisk kommunikasjon, som blant annet vil utdype og videreutvikle viktige elementer i den digitale agendaen. Konkurransesituasjonen innen ekomsektoren, mobil- og bredbåndsdekning, neste generasjons mobilnett (5G), klima- og miljørelaterte spørsmål, og sikkerhet og robusthet i nett og tjenester, er blant de sentrale temaene som forventes omtalt i den nye stortingsmeldingen som er ventet i løpet av 2021.
Kommunikasjonsvern og bruk av cookies
Vi kan håpe at EU endelig får landet kommunikasjonsvernforordningen, også kjent som ePrivacy forordningen, som opprinnelig skulle trådt i kraft samtidig med GDPR, men som har blitt utsatt gjentatte ganger.
Forordningen regulerer blant annet bruk av «cookies» på nettsteder, og en endelig avklaring her er nok etterlengtet og vil få betydning både for mange virksomheter og ikke minst for brukerne av nettsteder.
Et nytt utkast til forordningstekst ble publisert 5. januar 2021, der foreslås det ytterligere forenkling av teksten og en større harmonisering med GDPR. Dessuten åpnes det i større grad enn i forrige forslag for å behandle metadata fra elektroniske kommunikasjonstjenester, og for å benytte informasjon fra terminal- og sluttbrukerutstyr til andre formål enn de opprinnelig ble innhentet.
Masselagring av teledata
Spørsmål om masselagring av teledata ved grenseoverskridende kommunikasjon vil også være en aktuell problemstilling i året som kommer og skape utfordringer for personvernet, se egen omtale ovenfor.
Digitale tjenester
Skytjenester
Bruken av skytjenester vil med stor sannsynlighet fortsette å øke, og skyløsningene blir stadig bedre både fra et teknologisk og et regulatorisk perspektiv. Blant annet har flere av de store skyleverandørene etablert, eller er i ferd med å etablere, datasentre i Norge. Dette vil potensielt også kunne åpne for bruk av skytjenester i situasjoner der det er regulatorisk pålegg om at den aktuelle funksjonen skal være i Norge.
Vi vil påstå at de standardavtalene for skytjenester som i dag finnes ikke har lykkes med å møte behovet for egnede avtaler for skytjenester, men både Direktoratet for forvaltning (DFØ) og Dataforeningen satser på å lansere nye standardavtaler for skytjenester i løpet av våren. En av hovedmålsetningene for begge har vært å tilnærme seg forholdet til standardvilkårene på en bedre måte, særlig i offentlige anskaffelser. Det gjenstår å se hvordan de endelige avtalene blir, men mest sannsynlig vil dette kunne innebære en forenkling og forbedring sammenlignet med dagens situasjon. Forhåpentligvis vil man også da minske risikoen for at standardvilkårene diskvalifiserer leverandører i situasjoner hvor dette ikke er ønskelig, eller at leverandører blir sittende med en udekket og etter manges syn urimelig risiko knyttet til standard skytjenester.
I tillegg er det fra myndighets hold luftet tanker om en nasjonal nettsky, blant annet for å ivareta de spesielle behov samfunnskritiske aktører har. Det er også lansert konkrete planer om en markedsplass for skytjenester, som skal gi oversikt over tilbudet i markedet, gi tilgang til avtaler og annen prosessstøtte i anskaffelser av skytjenester. Vi kommenterte tidligere disse tiltakene her.
Forbrukerkjøpslov for digitale ytelser
Regjeringen foreslo i desember 2020 en egen forbrukerkjøpslov for digitale ytelser, som blant annet har regler om hvilke krav forbrukeren kan stille til den digitale ytelsen, og forbrukerens rettigheter når ytelsen har mangler eller er forsinket. Loven vil være ufravikelig til ugunst for forbrukerne, og for leverandører av digitale ytelser vil det nok være hensiktsmessig allerede nå å undersøke hva lovforslaget vil bety for standard tjenestevilkår mv.
Økt fokus på plattformaktørenes markedsmakt
Plattformaktørenes markedsmakt og roller er i søkelyset både hos norske og utenlandske konkurransemyndigheter, og både i EU og i USA iverksettes det ulike skritt mot aktører som Apple, Google, Facebook og Amazon. I desember 2020 publiserte EU kommisjonen forslag til regulering av digitale tjenester og digitale markeder, og vi har også sett at private aktører utfordrer plattformaktørenes forretningsmodeller, der det mest kjente eksempelet er Epic Games’ søksmål mot Apple og Google knyttet til Fortnite.
Problemstillingene rundt digitale plattformer og markeder er imidlertid ikke begrenset til «BigTech», og er også aktuelle i Norge: I departementets tildelingsbrev til Konkurransetilsynets for 2021 sies det at oppfølgning av konkurransen i digitale markeder skal gis høy prioritet, og inngrepet mot Nettbil-oppkjøpet er et eksempel på hvordan det norske Konkurransetilsynet vil agere for å sikre slik konkurranse.
Digitale plattformer opptrer gjerne i to- og flersidige markeder og markeder preget av store nettverkseffekter. Dette reiser nye spørsmål om hvordan konkurransereglene skal anvendes på plattformaktører. Konkurransetilsynet har i den forbindelse sammen med de øvrige nordiske konkurransemyndigheter utgitt en rapport om digitale plattformer og fremtidig konkurransepolitikk.
Vi vil utvilsomt høre mer om disse sakene i året som kommer.
IKT Prosjekter
Store prosjekter drevet av offentlige incentiver
Mange større IKT-prosjekter er i gang eller på trappene i Norge, og i 2020 så vi blant annet en del spennende diskusjoner i media knyttet til AKSOM prosjektet for felles journalføring og samhandling i kommunene, og hvordan dette prosjektet best skulle organiseres.
Det offentlige har varslet økt aktivitet og pengebruk på offentlige prosjekter for å stimulere økonomien i kjølvannet av koronapandemien, og i så fall vil det mest sannsynlig føre til en økning i offentlige anbudskonkurranser knyttet til ulike IKT-prosjekter.
Tvister
Saken mellom Statens Vegvesen og IBM i det såkalte Gridgut-prosjektet er antakeligvis den mest omfattende saken vi har hatt for ordinære norske domstoler innen IKT-prosjekter. Statens Vegvesen tapte første runde i Oslo tingrett, men dommen er anket og vi får se hva som skjer videre. Det er imidlertid lite sannsynlig at vi vil få en avgjørelse fra Borgarting lagmannsrett i 2021.
Det ventes også dom fra Eidsivating lagmannsrett i ankesaken mellom Felleskjøpet Agri og Infor. Saken har versert for domstolene i mange år, og i løpet av ankeprosessen har vi blant annet fått nyttige avklaringer knyttet til fremleggelse av digitale bevis. Det vil bli spennende å se om tingrettens knusende dom mot Infor opprettholdes, og ikke minst om vi gjennom lagmannsrettens dom får mer prinsipielle uttalelser knyttet til gjennomføringen av IKT-prosjekter og hva som utgjør grov uaktsomhet eller forsett.
Digital sikkerhet
Økende fokus på digital sikkerhet
Digital sikkerhet blir stadig viktigere og mer relevant for et økende antall virksomheter, både som et aspekt av personopplysningssikkerheten og for å styre generell samfunns- og virksomhetsrisiko knyttet til økende bruk av digitale løsninger. I 2021 vil denne trenden antakeligvis fortsette, og det vil trolig også komme flere regulatoriske endringer på dette området.
Ny lov om IKT sikkerhet
En ny lov om IKT sikkerhet for samfunnskritisk virksomhet og offentlig forvaltning, som gjennomfører det såkalte «NIS-direktivet»i norsk rett, har lenge vært varslet, og vi ville bli overrasket om det ikke kommer et endelig lovforslag i 2021. Den nye loven vil gjelde for flere virksomheter enn de som i dag er omfattet av sektorspesifikk sikkerhetslovgivning, og vil blant annet omfatte leverandører av digitale tjenester av en viss samfunnsmessig betydning.
Samtidig har EU jobbet med en oppdatering av NIS-direktivet, og det nylig foreslåtte «NIS 2.0»-direktivet ser ut til å føre med seg strengere krav, utvidet virkeområde, samt at skillet mellom ulike kategorier tjenestetilbydere erstattes med en mer verdibasert tilnærming for den enkelte virksomhet. Det er ikke klart hvordan dette vil påvirke det norske lovgivningsarbeidet knyttet til implementeringen av «NIS 1.0».
EU arbeider også med en sertifiseringsordning for digitale produkter, tjenester og prosesser, med tanke på å skape like vilkår knyttet til blant annet sikkerhetskrav, og som vil være relevant også for norske virksomheter.
Lov om forretningshemmeligheter
Det er videre verdt å merke seg at ny lov om forretningshemmeligheter trådte i kraft fra nyttår. Loven innebærer et økt vern av forretningshemmeligheter i Norge, og gjennomfører det såkalte «Trade Secrets Directive» fra EU.
Virksomheter og individer risikerer etter loven straffeansvar dersom man røper forretningshemmeligheter som er betrodd av tredjepart, og det vil være naturlig å hensynta lovens bestemmelser både ved utformingen av konfidensialitetsavtaler eller -bestemmelser, og ved vurderingen av hvilke digitale sikkerhetstiltak som er nødvendige for den enkelte virksomhet.
Regulatoriske sandkasser
Norske myndigheter har iverksatt flere prosjekter med «regulatoriske sandkasser, særlig innenfor personvern og finansregulatoriske områder, og det vil antakeligvis iverksettes flere i 2021.
Formålet med regulatoriske sandkasser er å bidra til økt teknologisk innovasjon, og gi nye aktører og forretningsmodeller mulighet til å prøve seg, innenfor områder der slike tiltak ellers kunne være krevende å få til grunnet regulatoriske restriksjoner. Innenfor gitte rammer, og i samarbeid med tilsynsmyndighetene, har virksomheter da mulighet til å prøve ut nye produkter, teknologier, og tjenester i det som kalles en «regulatorisk sandkasse».
Bruk av kunstig intelligens vil trolig være blant det mest aktuelle områder for regulatoriske sandkasser i tiden fremover, og det blir spennende å se hvilke prosjekter som får prøve seg i denne sammenheng.