Del 1: Tilsyn

09.00 - 09.30

Datatilsynets tilsynsarbeid

Datatilsynet har igjen tatt opp sitt tilsynsarbeid, hvordan kan du være forberedt?

09.30 - 10.00

Når Datatilsynet kommer på tilsyn - hvordan gikk det?

I 2023 utførte Datatilsynet tilsyn med 93 kommuner og 5 fylkeskommuner i Norge på personvern. Tilsynsarbeidet ble gjennomført i to faser. Den første fasen består av en brevkontroll hvor 93 kommuner og fem fylkeskommuner som ble kontaktet med spørsmål om etterlevelse av konkrete plikter som følger av personvernregelverket.

I den andre fasen kom Datatilsynet med bakgrunn av svarene de mottok i brevkontrollene, på stedlige tilsyn.

Namsos kommune fikk tilsyn fra Datatilsynet på Personvern i 2023. I dette foredraget blir det vist hvilke krav Datatilsynet stilte og hvordan dette ble løst fra kommunens side.  Namsos kommune trekker frem noen viktige poeng for at prosjektet ble vellykket og tidsplan overholdt.

10.00 - 10.30

Leverandørtilsyn

Blir man tatt i mot med åpne armer når man varsler en stedlig 2 dagers sikkerhetsrevisjon? PVO i IKT Agder deler erfaringer fra leverandørtilsyn. 

Del 2: Personvernombudets rolle og hendelseshåndtering

11.00 - 11.30

Skal du bryte personvernregelverket, sørg for at det påvirker mange registrerte

Temaet er erstatning for ikke-økonomisk tap ved brudd på personvernregelverket og vil ta utgangspunkt i dommen LB-2022-46509 (Janne Cecilie Thorenfeldt mot NAV) hvor foredragsholder var advokat i saken. Thorenfeldt var både ansatt og bruker i NAV og gikk til sak mot egen arbeidsgiver etter at kolleger hadde fått innsyn i helseopplysninger om henne. Retten kom til at det hadde skjedd brudd på GDPR art. 32, men at det ikke var rett til erstatning. Retten uttaler i dommen at "De overtredelser lagmannsretten har konstatert er generelle svikt i NAVs rutiner som har rammet A på lik linje med andre brukere" og det er dette foredraget vil fokusere mest på - utsagnet er ikke i overensstemmelse med tidligere rettspraksis, og det er svært interessant dersom dette får stå som gjeldende rett.

11.30 - 12.00

Organisering av PVO rollen og personvernarbeidet

I dette foredraget vil Personvernobudet i Akershus Universitetssykehus dele sine erfaringer og hvordan hun som personvernombud har opplevd forslag til omorganisering av personvernombudsrollen i foretaksgruppen

12.00 - 12.30

600.000 fødselsnummer på avveie - Hva gjør man? 

Vinteren 2024 hadde Feide en hendelse som medførte at 600.000 fødselsnummer kom på avveie. I ette foredraget vil Øyind Straume gjennomgå hendelsen og vise hvordan hendelsen ble håndtert på ulike områder i virksomheten, hvordan håndteringsteamet ble sammensatt og hvilke vurdering og avveininger håndteringsteamet satt oppi.

Del 3: DPIA og metode for tredjepartsvurderinger

13.30 - 14.00

David mot Goliat

Erfaringer fra KS' nasjonale DPIA-prosjekt av Google Workspace for Education. KS har sammen med en rekke kommuner gjort en DPIA av Google Workspace for Education. Vi ønsker å dele våre erfaringer fra arbeidet, herunder hvilke strategiske valg vi gjorde for å rigge en nasjonal paraply-DPIA, anbefalingene våre og hvilke personvernproblemstillinger du som bruker tjenester fra store leverandører bør være oppmerksom på når du skal gjøre tilsvarende vurderinger.

14.00 - 14.30 

Hvordan gjøre en landevurdering (TIA)? En enkel forklaring der du lærer det en gang for alle! 

I det nasjonale DPIA-prosjektet for Google har vi de siste månedene jobbet med en krevende, men spennende oppgave: å vurdere personvernet i ulike tredjeland. Vi har etter mye om og men brukt EDPBs veileder om «European Essential Guarantees» for å vurdere om personopplysningene i Google kan overføres trygt utenfor EU/EØS. I dette foredraget vil jeg dele vår fremgangsmåte og de verdifulle erfaringene vi har gjort oss. Kom og lær hvordan vi har navigert oss i dette komplekse juridiske landskap for å beskytte personvernet på tvers av grenser!

Del 4: Behandlingen av personopplysninger 

15.00 - 15.30 

Personvern og forskning i skolesektoren

Bergen kommune, herunder Etat for skole, mottar mange henvendelser om muligheten for å forske i grunnskolen. Som et ledd i kvalitetssikring i bergensskolen har vi valgt å strukturere mottak og vurdering av disse. Dette for å ivareta elevenes og de ansattes personvern i tillegg til forskningsetikken. Aktuelle problemstillinger i arbeidet: inntakskriterier, systemkriterier, nivå, kommunikasjon og ramme.

15.30 - 16.00

Felles behandlingsansvar: personvern i komplekse organisasjoner

Mange virksomheter har et behandlingsansvar sammen med en annen behandlingsansvarlig uten å være klar over det. Samtidig er PVF artikkel 26 løsningen på mange komplekse organisasjoners utfordringer. En avtale om felles behandlingsansvar kan klargjøre de respektive enhetenes ansvar, sikre de registrertes rettigheter og erstatte et nett av tverrgående databehandleravtaler.

16.00 - 16.30

Samtykke i kunstig intelligensens tidsalder: En illusjon?

Kunstig intelligens utfordrer tradisjonelle oppfatninger av samtykke som behandlingsgrunnlag. Vi vil diskutere hvorfor samtykke kan være et problematisk behandlingsgrunnlag når det gjelder diverse bruk KI, og hvilke konsekvenser dette kan ha for behandlingen av personopplysninger og personvernet. Vi vil også se på tilgrensende fallgruver som formålsbegrensninger og se på hvordan både behandlingsansvarlige og registrerte kan navigere i dette komplekse landskapet.