Senaste inläggen

:

Av Svenn Dybvik - Söndag 24 mars 20:24

Nasjonalt cyberkrimsenter (NC3)

https://www.politiet.no/om-politiet/organisasjonen/sarorganene/kripos/kripos-hovedarbeidsomrader/nasjonalt-cyberkrimsenter/


NC3 er det nasjonale senteret for forebygging, avdekking og bekjempelse av trusler og kriminalitet i det digitale rom. Senteret utvikler metoder og gir bistand til politidistriktene samt etterforsker egne saker innen cyberkriminalitet.


Nasjonalt cyberkrimsenter er et nasjonalt kunnskaps- og kompetansesenter innen teknologirelaterte politioppgaver med omlag 150 medarbeidere. Det vil ha en tverrfaglig kompetanseprofil med hovedvekt på politifaglig og teknologisk kompetanse.

 

Cyberkrimsenteret vil være en vesentlig bidragsyter til trygghet for norske innbyggere og virksomheter i det digitale rom. Hovedoppgaver er å bekjempe cyberkriminalitet gjennom etterretning, metodeutvikling, forebygging, etterforskning, sikring av digitale spor samt patruljering på nett. Senteret vil spille en viktig rolle i å fremme informasjonsdeling og samvirke mellom private og statlige sikkerhetsaktører nasjonalt og internasjonalt. Målet er å være nasjonalt og internasjonalt ledende innen avdekking og bekjempelse av trusler og kriminalitet i det digitale rom.

 

Virksomheten ved cyberkrimsenteret ledes av Olav Skard og er organisert i seks seksjoner:


  • Seksjon for inntak
    • Avsnitt for innhenting og vurdering
    • Avsnitt for digital innsats
  • Seksjon for tilstedeværelse på nett
  • Seksjon for etterforskningsbistand
    • Avsnitt for internettrelatert etterforskningsstøtte
    • Avsnitt for bistandslaboratoriet
  • Seksjon for elektroniske spor
    • Avsnitt for metodeutvikling
    • Avsnitt for elektronikklaboratoriet
  • Seksjon for internettrelaterte overgrep
    • Avsnitt for innledende etterforskning
    • Avsnitt for forebygging, ID og fagutvikling
  • Seksjon for datakriminalitet







 

 

 

 

 

https://www.ncsc.se/aktuellt/incidentkoordinering-rad-och-rekommendationer/

 

Incidentkoordinering, råd och rekommendationer

Nationellt cybersäkerhetscenter är en plattform för samverkan mellan myndigheter, privata och offentliga aktörer på cybersäkerhetsområdet. De senaste dagarnas händelser aktualiserar frågan kring ett av dessa samverkansområden, nämligen incidentkoordinering.

 

Natten mellan 19–20 januari skedde en uppmärksammad it-säkerhetsincident hos en it-leverantör. När en stor leverantör drabbas av den här typen av angrepp kan effekten bli stor då många verksamheter drabbas på samma gång. Det blir ett avbrott i den leverantörskedja som många är beroende av.

Vid den här typen av händelse är NCSC:s roll att samordna arbete mellan centermyndigheterna samt andra berörda aktörer. Inom ramen för centret finns särskilda arbetsgrupper och informationsrutiner upprättade som syftar till att skyndsamt besvara informationsbehov, koordinera kontakter samt ge råd och stöd till drabbade organisationer. Så har också skett med anledning av den senaste tidens händelser.

Vid ett cyberangrepp väljer angriparna metod utifrån motiv och drivkrafter. En av dessa metoder är utpressningsangrepp.

 

https://www.cert.se/tema/ransomware/







Råd och rekommendationer

  • Arbeta systematiskt med cybersäkerhet. Det är viktigt att ständigt bevaka och regelbundet uppdatera sina system. Ju bättre man känner sin egen it-miljö, desto lättare kan man upptäcka avvikelser, som kan vara tecken på skadlig aktivitet.
  • Uppdatera system. Det är viktigt att laga de säkerhetsbrister och sårbarheter som rapporteras av olika leverantörer. Genomför säkerhetsuppdateringar och undersöka era system efter indikationer på intrång. Detta gäller såväl nya som äldre sårbarheter, då även de kan vara föremål för utnyttjande. 
  • Kontinuitetsplanering och plan B. Det gäller också att ha planering för vad man gör i en situation när system ligger nere, oavsett bakomliggande orsak.
  • Kontaktvägar till leverantörer. En annan viktig förberedande åtgärd är att se till att ha aktuella kontaktvägar till de leverantörer som kan behöva involveras i en incidenthantering. Gärna också till verksamheter i den digitala leveranskedjan för att underlätta informationsflödet om ett avbrott inträffar.

 

 

 

 

 

Läs mer om rekommenderade säkerhetsåtgärder

 

 

 

 

 

 

https://www.ncsc.se/aktuellt/ncsc-cyberkonferens-om-incidenthantering-2023/

Filmat material från NCSC konferens om incidenthantering 2023

Den 5 december samlades ca 400 personer i centrala Stockholm för att prata incidenthantering utifrån ett helhetsperspektiv. Nu finns möjlighet att återuppleva flera av föredragen igen här på NCSC webbplats.

 

Ambitionen med 2023 års konferens var att samla flera perspektiv på incidenthantering i ett och samma program för att öka den allmänna medvetenheten om riskerna och vad vi kan göra för att ska minimera skadorna av en attack.

Bland deltagarna fanns bland annat representanter från regeringskansliet, myndigheter, kommuner, regioner, IT-konsultbolag, finans-, energi- och telekomsektorn.

Det fanns också gott om tid till erfarenhetsutbyte och nätverkande. Inte minst med centrets ingående myndigheter som fanns med som utställare under konferensen, vilket var mycket uppskattat. Stort tack till alla som var med och bidrog till en bra dag!

 

 

 

 

 

 

Från cybersäkerhet till business resiliens – hur samhällsviktiga funktioner kan stärka sin motståndskraft mot cyberattacker

Den ständigt växande attackytan gör oss mer utsatta och istället för att endast bygga fler, tjockare och högre murar behöver vi investera i en bredd av åtgärder. SEB, Handelsbanken och Swedbank berättar om hur man kan öka sin motståndskraft mot cyberhot genom att förstärka förmågor över hela säkerhets- och resiliens området. Den tekniska utvecklingen erbjuder många effektiva lösningar men vi måste också fokusera på människan som är den viktigaste pusselbiten i ett starkt cyberförsvar.

Talare: Sam Graflund Wallentin, Swedbank; Christine Dovander, SEB; Fredrik Malmström, Handelsbanken

https://www.ncsc.se/aktuellt/ncsc-cyberkonferens-om-incidenthantering-2023/

 

 

 

 

 

 

Cyber Pearl Harbor, digital bombs & binary bullets - myt vs. empirisk verklighet

Det finns många sätt att försöka översätta internets komplexitet till lättbegriplig information. Detta har inte minst gällt kommunikation om cyberkrigföring. Men hur väl stämmer dessa beskrivningar med den empiriska verkligheten? Och vad kan konsekvenserna bli av att vår situationsförståelse formas av metaforer? Detta är frågor som kommer att tas upp i denna föreläsning.

Talare: Dr. Sarah Backman, Försvarshögskolan

https://www.ncsc.se/aktuellt/ncsc-cyberkonferens-om-incidenthantering-2023/

 

 

 

 

 

 

När cyberattacken kom - insikter och lärdomar från ett allvarligt dataintrång

I slutet av november 2022 drabbades Norrköpings kommun av en allvarlig cyberattack som hotade kommunens hela IT-miljö. Två professionella hacker-grupperingar tog sig in, kommunen gick upp i stabsläge och vidtog drastiska åtgärder för att ta sig ur krisen. Niklas Ohrmér berättar hur kommunen lyckades avvärja hotet genom modiga beslut, agilt krisarbete, en kultur och ett ledarskap som höll i en krissituation. Ta del av vad kommunen lärt sig och vilket åtgärdspaket som togs fram för att ytterligare förstärka skydd, reaktionsförmåga och resiliens.

Talare: Niklas Ohrmér, Norrköpings kommun

https://www.ncsc.se/aktuellt/ncsc-cyberkonferens-om-incidenthantering-2023/

 

 

 

 

 

 

Cyber Defense Reinvented: Ukraine’s Battle-Proven Framework for Resilient Cybersecurity

In a world beset by daily adversaries and ruthless cyberattacks, organizations often

lack the resources and expertise to respond effectively. Join Yegor Aushev and Ole Dubnov, architects of Ukraine’s Cyber Defence, as they unveils Ukraine’s battle-tested incident response framework which aims to rapidly enhance cyber resilience for all organizations, regardless of their resources. Discover the power of true cyber resilience through effective interoperability, engaging the entire organization in the incident response process.

Talare: Yegor Aushev (remotely from Kyiv) and Ole Dubnov, Cyber Unit Technologies

https://www.ncsc.se/aktuellt/ncsc-cyberkonferens-om-incidenthantering-2023/

 

 

 

 

 

 

https://www.ncsc.se/aktuellt/fran-kartlaggning-till-angrepp/

Från kartläggning till angrepp

Hur går det till när en hotaktör planerar och genomför ett angrepp i cyberdomänen? Vilka metoder används och vilka typer av hotaktörer finns? Det är några av de frågor som diskuteras i NCSC senaste studioprogram där vi bland annat tittar närmare på det som brukar kallas Cyber Kill Chain - en modell för att just beskriva hur ett cyberangrepp går till.

 

Kill chain är från början ett militärt begrepp som stegvis beskriver strukturen i en attack. Modellen utvecklades sedan av företaget Lockheed Martin till att också innefatta cyberområdet.

Fredrik Börjesson från Must berättar också mer om cyberhoten, aktörerna och om några av de metoder som används vid ett cyberangrepp.

Läs mer om sårbarheter, hotaktörer och rekommenderade säkerhetsåtgärder i NCSC rapporter.

Läs mer om Lockheed Martins Cyber Kill Chain på deras webbsida.

 

 

 

 

 

 

https://www.ncsc.se/om-centret/cybersakerhet-inom-ncsc/

Cybersäkerhet ur olika infallsvinklar

Nationellt cybersäkerhetscenter är en plattform för samverkan mellan myndigheter på cybersäkerhetsområdet. Syftet är att stärka befintlig samverkan för effektivare resultat. Nationellt cybersäkerhetscenter är också en plattform för samverkan och informationsutbyte mellan privata och offentliga aktörer inom cybersäkerhetsområdet.

 

Försvarsmakten, Försvarets radioanstalt, Myndigheten för Samhällsskydd och beredskap och Säkerhetspolisen har fått i uppdrag av regeringen att fördjupa samverkan inom cybersäkerhetsområdet genom NCSC. Myndigheterna ska ha nära samverkan med Försvarets materielverk, Polismyndigheten och Post- och telestyrelsen som ska ges möjlighet att medverka i cybercentrets verksamhet.

 

De myndigheter som utgör NCSC arbetar med cybersäkerhet med delvis olika metoder, infallsvinklar och målgrupper. Här nedan hittar du kort information och länkar till en del av det som respektive myndighet bidrar med inom ramen för NCSC.

 

 

 

 

 

 

Försvarsmakten

Försvarsmaktens cyberförsvar är en integrerad del i det militära försvaret och utgör en militärstrategisk resurs som dimensioneras för att möta angrepp från de mest kvalificerade aktörerna.

Cyberförsvaret har förmåga att genomföra offensiva och defensiva cyberoperationer samt att upptäcka, identifiera och avvärja hot mot digitala informationssystem och elektroniska kommunikationstjänster.

Försvarsmakten har en ledande roll i Sveriges cyberförsvar och ansvarar för Sveriges offensiva cyberförsvarsförmåga. Samarbetet med andra myndigheter, internationella samverkanspartner och civila aktörer är väsentligt för att kunna hantera den komplexa operationsmiljön och dess höga grad av uppkoppling.

Läs mer om Försvarsmaktens cyberförsvar

 

 

 

 

 

 

Försvarets radioanstalt (FRA)

FRA arbetar med signalspaning och cyberförsvar. FRA är en civil myndighet under Försvarsdepartementet.

FRA bidrar till att skydda Sverige och svenska intressen. Det sker genom att ge uppdragsgivare underrättelser om utländska förhållanden av betydelse för svensk utrikes-, säkerhets- och försvarspolitik. Det sker också genom arbete med Sveriges cyberförsvar och genom skydd av de mest samhällsviktiga informationssystemen.

Läs mer om FRA:s arbete med cyberförsvar

Läs mer om FRA:s verksamhetsområden och uppdragsgivare







Myndigheten för samhällsskydd och beredskap (MSB)

MSB:s uppdrag inom området cyber- och informationssäkerhet är att analysera och bedöma omvärldsutvecklingen, vara regelgivande inom området, lämna råd och stöd i förebyggande arbete till andra statliga myndigheter, kommuner, regioner, företag och organisationer.


Inom myndigheten finns Sveriges nationella CSIRT – som omvärldsbevakar, sprider råd och fakta om sårbarheter i IT-system – och servar IT-funkioner i samhället att förebygga och hantera IT-incidenter i ett allriskperspektiv. MSB tar emot, sammanställer och analyserar inrapporterade IT-incidenter och utvecklar tjänster till samhället.

Läs mer om MSBs arbete med informations- och cybersäkerhet.

Läs mer om CERT-SE.

 

 

 

 

 

 

Säkerhetspolisen

Cyberförmåga och möjlighet att verka i den digitala miljön är avgörande inom Säkerhetspolisens samtliga verksamhetsområden. Effekterna av ett cyberangrepp kan få stora konsekvenser för samhällsviktiga funktioner och kritiska it-system, och de direkta och indirekta kostnaderna för cyberangrepp beräknas till miljardbelopp.


För Säkerhetspolisen handlar det om att upprätthålla en hög cyberförmåga för att möta dagens hotaktörer. Detta gör vi internt, och i nära samverkan med en rad andra myndigheter, inte minst inom ramen för NCSC.


Säkerhetspolisen arbetar även med frågor kopplade till informationssäkerhet inom ramen för säkerhetsskyddslagstiftningen. Informationssäkerhet ska förebygga att säkerhetsskyddsklassificerade uppgifter obehörigen röjs, ändras, görs otillgängliga eller förstörs. Informationssäkerhet ska också förebygga annan skadlig inverkan på uppgifter och informationssystem som gäller säkerhetskänslig verksamhet. Kopplat till säkerhetsskyddslagstiftningen ger Säkerhetspolisen ut vägledningar till verksamhetsutövare, bland annat om informationssäkerhet.

https://sakerhetspolisen.se/verksamheten/cybersakerhet.html

https://sakerhetspolisen.se/verksamheten/sakerhetsskydd/sakerhetsskyddsatgarder/informationssakerhet.html

https://sakerhetspolisen.se/verksamheten/sakerhetsskydd/vagledningar-sakerhetsskydd.html

 

 

 

 

 

 

The National Cyber Security Centre

https://www.ncsc.gov.uk/


AI and cyber security: what you need to know

NATO

(Cognitive Warfare)

https://www.act.nato.int/activities/cognitive-warfare/


Designed to modify perceptions of reality, whole-of-society manipulation has become a new norm, with human cognition shaping to be a critical realm of warfare.

 

Cognitive Warfare focuses on attacking and degrading rationality, which can lead to exploitation of vulnerabilities and systemic weakening. However, this becomes increasingly complex as non-military targets are involved. An example: Russian social media and public information operations targeted much of the international community in an attempt to label Ukraine as being at fault. Through a combination of communication technologies, fake news stories, and perceptions manipulation, Russia aims to influence public opinion, as well as decay public trust towards open information sources. These narratives have extensive reach, and often involve both offensive and defensive posturing.

China, as a strategic competitor for NATO, describes Cognitive Warfare as the use of public opinion, psychological operations, and legal influence to achieve victory. Combat psychology has significant impact on the warfighter’s ability to function; Intelligent Psychological Monitoring System, a recent smart sensor bracelets developed by China, focuses on recording facial information, emotional changes, and psychological states of soldiers to determine their combat status. Outside of the battlefield, influence can also affect law, rule-of-order, and civil constructs. This inclusion of “Lawfare” and the targeting of broader community sentiment has significant impact, since so many civilians and non-combatants are potentially exposed.


Allied Command Transformation manages the Cognitive Warfare Exploratory Concept, which is part of the larger Warfare Development Agenda. Synchronization of adversarial effects against emotional and subconscious domains are increasing; understanding frameworks, definitions, impacts, and risks enables better political decision making, military capability development, and overall Alliance-wide security. Allied Command Transformation educates, collaborates, protects, and shapes NATO forces on the topic of Cognitive Warfare, providing guidance on awareness, civil-military cooperation, societal resilience, and data sharing for the Alliance’s current and future security considerations.







Cognitive Warfare: Strengthening and Defending the Mind

https://www.act.nato.int/article/cognitive-warfare-strengthening-and-defending-the-mind/

What does Cognitive Warfare really mean?

 

Cognitive, deriving from cognition, is the mental action or process of understanding, encompassing all aspects of intellectual function, including the sub-conscious and emotional aspects that drive a majority of human decision-making. Warfare, as the “experience” of war, originally referred to common activities and characteristics of armed conflict between states, governments, or entities. In the modern landscape, there is less clarity on stakeholders, as varying degrees of organizational, cultural, and social involvement are becoming more commonplace, as well as proxy extension of national interest.


Together, these two words paint a definition of Cognitive Warfare: the activities conducted in synchronization with other instruments of power, to affect attitudes and behaviours by influencing, protecting, and/or disrupting individual and group cognitions to gain an advantage. These activities vary greatly, and may encompass supporting or conflicting cultural or personalized components – social psychology, Game Theory, and ethics are all contributing factors. However, activities of modern warfare do not necessarily carry a kinetic component or directly tangible outcomes, such as territorial or resource acquisition – as with other hybrid threats, our adversaries conduct Cognitive Warfare throughout the continuum of conflict, and aim to stay in the ‘Gray Zone’ below the threshold of armed conflict.


An ongoing example: Russia launched a kinetic, military invasion of Ukraine, reinforced with non-kinetic activities such as targeted propaganda, disinformation campaigns, and support from its partners. Some of these non-kinetic, Cognitive Warfare activities are obvious and direct: receivers of Russian aligned disinformation experience deterioration in their ability to identify fact from fiction, decaying their mental resilience, and with potential long-term impact, such as loss of trust in media.


Other instances are not as clear: China leverages official and party-aligned influence to manipulate and control their domestic information environment, which results in cognitive biases development. A secondary effect presents: other nation’s citizens also develop cognitive biases towards Chinese mainland citizens and their collective disconnect with external information, which produces two fundamentally opposed perceptions of reality. This form of “us vs. them” polarization can lead to increasing marginalization and exclusion of populations, as well as emotional exploitation, which contributes to China’s Cognitive Warfare strategy.


Cognitive Warfare integrates cyber, information, psychological, and social engineering capabilities. These activities, conducted in synchronization with other Instruments of Power, can affect attitudes and behaviour by influencing, protecting, or disrupting individual and group cognition to gain advantage over an adversary. Multidisciplinary experts at Allied Command Transformation are developing concepts aimed at protecting the Alliance against the threat of Cognitive Warfare – NATO will Educate, Collaborate, Protect, and Shape to equip nations to protect their core democratic values.







kognitiv krigføring

https://www.ffi.no/aktuelt/nyheter/kjemiske-stoffer-og-kognitiv-krigforing

https://www.ffi.no/aktuelt/podkaster/kort-forklart-hva-er-kognitiv-krigforing


https://www.ffi.no/aktuelt/nyheter/ny-ffi-rapport-avdekker-falske-nettaviser

https://www.ffi.no/aktuelt/kronikker/gjor-neppe-norge-mer-robust-mot-pavirkningsoperasjoner

:

Av Svenn Dybvik - Lördag 23 mars 20:24

NATO releases first ever quantum strategy

https://www.nato.int/cps/en/natohq/news_221601.htm?selectedLocale=en


Quantum technologies are getting closer to revolutionizing the world of innovation and can be game-changers for security, including modern warfare. Ensuring that the Alliance is ''quantum-ready'' is the aim of NATO’s first-ever quantum strategy that was approved by NATO Foreign Ministers on 28 November. On Wednesday (17 January 2024), NATO released a summary of the strategy.


The strategy outlines how quantum can be applied to defence and security in areas such as sensing, imaging, precise positioning, navigation and timing, improve the detection of submarines, and upgrade and secure data communications using quantum resistant cryptography. 

Many of these technologies are already used in the private sector and have become the subject of strategic competition. NATO’s quantum strategy helps foster and guide NATO’s cooperation with industry to develop a transatlantic quantum technologies ecosystem, while preparing NATO to defend itself against the malicious use of quantum technologies.

Quantum is one of the technological areas that NATO Allies have prioritized due to their implications for defence and security. These include artificial intelligence, data and computing, autonomy, biotechnology and human enhancements, hypersonic technologies, energy and propulsion, novel materials, next-generation communications networks and space.

Quantum technologies are already part of NATO’s innovation efforts. Six of the 44 companies selected to join NATO’s Defence Innovation Accelerator for the North Atlantic (DIANA)’s programme are specialised in quantum. Their innovations are expected to help progress in the areas of next-generation cryptography, develop high-speed lasers to improve satellite connectivity, and deploy quantum-enhanced 3-D imaging sensors in challenging undersea environments. DIANA also anticipates quantum technologies forming a key part of solutions to its future challenge programme. 

Building on its new strategy, NATO will now start work to establish a Transatlantic Quantum Community to engage with government, industry and academia from across the innovation ecosystems.







Summary of NATO’s Quantum Technologies Strategy

https://www.nato.int/cps/en/natohq/official_texts_221777.htm

 


Introduction

  1. Recent advancements in quantum technologies are bringing us closer to a profound shift for science and technology – one that will have far-reaching implications for our economies, security and defence. These technologies could revolutionise sensing; imaging; precise positioning, navigation and timing; communications; computing; modelling; simulation; and information science. Quantum technologies have potentially revolutionary and disruptive implications, which can degrade the Alliance’s ability to deter and defend. Quantum technologies are therefore an element of strategic competition.
     
  2. Quantum technologies have the potential to offer capabilities in computing, communications and situational awareness that are unparalleled to technology currently available to the Alliance and that could constitute a significant strategic advantage. However, quantum technologies can equally enable our strategic competitors and potential adversaries.

 

Strategic Vision: A Quantum-ready Alliance

  1. To become a quantum-ready Alliance, NATO and Allies will foster the development of a secure, resilient and competitive quantum ecosystem that is able to respond to the fast pace of technological competition in the quantum industry. This requires coherence in investment, cooperation among Allies in technology development opportunities, development and protection of skilled workforce, and increased situational awareness as well as information sharing. It will also require development and deployment of critical enabling technologies that quantum technologies require. It is equally important to deter and defend our own systems and networks against quantum-enabled and other attacks.
     
  2. To achieve the strategic ambition of becoming a quantum-ready Alliance, NATO and Allies will harness quantum technologies in support of the Alliance’s core tasks, driving toward the following desired outcomes:
  • Allies and NATO have identified the most promising military and dual-use quantum applications, experiments, and integration of quantum technologies that meet defence planning and capability development requirements;
  • NATO has developed, adopted and implemented frameworks, policies and standards for both software and hardware to enhance interoperability;
  • Allies have cooperated in the development of quantum technologies with a view to maintain NATO’s technological edge and Allies’ abilities in the field;
  • NATO has identified, understood and capitalised on evolving quantum technologies advancements, including with enabling technologies and in convergence with other EDTs;
  • NATO has a Transatlantic Quantum Community to strategically engage with government, industry and academia from across our innovation ecosystems;
  • NATO has transitioned its cryptographic systems to quantum-safe cryptography;
  • Relevant quantum strategies, policies and action plans are dynamically updated and executed; and
  • Allies have become aware of, and act to prevent, on a voluntary basis, adversarial investments and interference into our quantum ecosystems, which can include, on a national basis, the examination of relevant supply chains.
  1. Further, NATO will provide the leading transatlantic forum for quantum technologies in defence and security, helping to continuously build on our shared understanding, and leveraging the potential of quantum technologies while safeguarding against its adversarial use.

 

Fostering a Quantum-Ready Alliance

  1. Allies and NATO must urgently accelerate the development of quantum technologies that can augment our capabilities, as well as prevent the formation of new capability gaps in a world where peer competitors adopt quantum technologies themselves. Given the dual-use nature of quantum technologies, this advantage can only be achieved if done in close cooperation with Allied quantum ecosystems. Allies and NATO must adopt a ‘learn-by-doing’ approach to integrating quantum technologies considerations in the implementation of our operational concepts, defence planning cycles, capability development cycles, and standardisation efforts.
     
  2. As DIANA and the NATO Innovation Fund (NIF) become fully operational, their deep-tech activities will also inform NATO’s strategic approach to quantum technologies and reinforce NATO’s engagement with the Allied quantum ecosystem.
     
  3. The convergence between quantum technologies and other EDTs brings important defence and security implications, and potential military applications and capabilities. Examples include using quantum sensors to improve space-based data collection and to enable positioning, navigation and timing capabilities without having to rely on Global Navigation Satellite Systems.
     
  4. NATO recognises that one of the most critical resources in the pursuit of quantum advantage is talent, which will be a critical determinant of the Alliance’s future trajectory in this domain. As quantum technologies gain traction, so will the demand for experts with advanced degrees in the field.

 

Responsible Innovation

  1. While quantum technologies have less obvious ethical implications relative to other EDTs such as AI, autonomy or biotechnology and human enhancement, Allies and NATO are nevertheless committed to instituting a responsible approach to quantum technologies innovation. This will cover three main areas: links to data privacy, anticipation of international norms development, and sustainability considerations.
     
  2. NATO committees will also serve as platforms for Allies to exchange and cohere views on burgeoning quantum-related norms in international security, as they develop. Allies will exchange views at NATO, in line with this Strategy, and in light of other international fora.
     
  3. To inform a comprehensive treatment of the risks and opportunities of the field of quantum technologies, the Data and AI Review Board (DARB) can offer its advice on the implications of developments in data and AI for quantum technologies.

 

A Transatlantic Quantum Community

  1. A quantum-ready Alliance requires, first and foremost, a closer cooperation among Allies, and a resilient quantum ecosystem that extends beyond availability of appropriate funding. Successful scale up and adoption of quantum technologies also depends on availability of enabling technologies and effective links between new research breakthroughs and engineering methods. Quantum technologies are particularly reliant on enabling technologies. For example, quantum computers require precise metrology tools, secure manufacturing capabilities of specialised manufacturing and cryogenics.
     
  2. End users and defence industry leaders play a crucial role in translating promising quantum technologies use cases into capabilities at scale. NATO is uniquely positioned to broker opportunities made possible by EDTs with industry, governments, and end users. The fast pace of development of quantum technologies calls for a coherent approach to this type of coordination and alignment among Allies, which will be provided by the establishment of a Transatlantic Quantum Community.

 

Protecting the Alliance from the Quantum Threat

  1. Quantum technologies have a double-edged impact on cyber security and defence, benefitting both the defensive as well as the offensive side. If fully adopted, functional quantum technologies would allow private and public actors in the Alliance to better protect their data and communications in a way that is fast and reliable. A quantum-ready Alliance will be better able to detect and block potential incursions in cyberspace.
     
  2. A functional quantum computer would also have the ability to break current cryptographic protocols.
     
  3. Today, post-quantum cryptography is an important approach to secure communications against quantum-enabled attacks. In the future, further improvements could allow quantum key distribution to also contribute to secure communications.
     
  4. Through NATO committees and bodies Allies can support each other, and the NATO Enterprise, in the development and implementation of post-quantum cryptography and quantum key distribution to enhance the quantum-resilience of our networks. NATO will continue to support research into the transition to quantum-safe communications across air, space, cyber, land and maritime domains.
     
  5. Strategic competitors and potential adversaries may also leverage disinformation opportunities within Allied societies by creating public distrust of the military use of quantum technologies. Allies will seek to prevent and counter any such efforts through the use of strategic communications. NATO will support Allies as required.

 

OFFICIAL TEXTS

 

 

 

Topics







Using quantum technologies to make communications secure

https://www.nato.int/cps/en/natohq/news_207634.htm


Innovative projects led by scientists in NATO and partner countries are breaking new ground to harness the power of quantum to make communications impossible to intercept and hack. The application of these quantum technologies in the security and defence sectors could help to future-proof the transmission of information, protecting it from increasingly advanced hacking systems and contributing to NATO’s efforts to maintain its technological edge.


NATO Science for Peace and Security (SPS) Programme research and development projects have been examining the security-related applications of quantum technologies, addressing their three main fields: computing, sensing and communications. Quantum computing and sensing are improving the abilities of computer and remote measurement technologies to levels that they are not traditionally able to achieve. In the field of quantum communications, SPS activities are showing the most promising results. These projects develop systems for the encryption and secure transmission of information using quantum key distribution (QKD) and post-quantum cryptography (PQC). Through these techniques, they respond to rising security concerns related to new technologies – such as quantum computers, which can decipher secret communications – by preventing unauthorised access.

 

Testing quantum key distribution (QKD)

QKD is a quantum communication method to share decryption keys. In this system, an encrypted message is sent over traditional networks, while the keys to decrypt the information are transmitted through quantum means. This way, only the intended recipient can decode the message, making any eavesdropping impossible. By applying this method, an SPS project succeeded in connecting Italy and Malta with a prototypical QKD link using submarine optical fibre cables for the first time.

 

Another SPS-supported research initiative investigated QKD techniques to send cryptographic keys from one endpoint to another, which was located hundreds of kilometres away. Meanwhile, researchers at a university in the Czech Republic are studying the application of QKD technology on a 5G network to explore its potential to enhance cyber security in future communication systems.

 


Demonstrating post-quantum cryptography (PQC)

Unlike QKD, which uses physical quantum properties to protect information, PQC uses cryptography and mathematical functions as an alternative approach to secure communications. An international group of scientists supported by SPS recently demonstrated that, using PQC, it is possible to securely transmit information without the possibility of decryption by a hacker, even one who has a quantum computer. Through a secure protocol, five research groups based in Malta, Slovakia, Spain, the United States and NATO Headquarters in Brussels, Belgium, succeeded in communicating in a completely secure space, free from the risk of intrusion.

 

NATO’s new Strategic Concept, agreed by Allies at the 2022 Madrid Summit, recognises the critical role of technology, and in particular, emerging and disruptive technologies (EDTs), in shaping the future of the Alliance. To explore the potential and risks associated with EDTs, the SPS Programme is supporting research activities that address technological trends in EDTs, like artificial intelligence, autonomy, bioengineering, and especially quantum technologies. Future SPS activities investigating quantum will look at how to integrate both QKD and PQC to secure information infrastructure in the best and most holistic way for the Alliance.







Introduction to Quantum Computing in Fluid Dynamics

 

 

STO-EN-AVT-377 

 

Published 11/27/2023 
Author(s) Multiple 
STOPublicationType Educational Notes RDP 
Publication Reference STO-EN-AVT-377 
DOI 10.14339/STO-EN-AVT-377 
ISBN ISBN 978-92-837-2405-6 
STOPublisher STO 
Access Open Access 
STOKeywords

 

 


Type
Open Menu
Name
Open Menu
Title
Open Menu
Published
 
Access
 
$EN-AVT-377-Cover.pdf$EN-AVT-377-CoverCover Pages11/27/2023Open Access
EN-AVT-377-01.pdfEN-AVT-377-01An Introduction to Algorithms in Quantum Computation of Fluid Dynamics5/17/2022Open Access
EN-AVT-377-02.pdfEN-AVT-377-02Grover’s Algorithm & Quantum Monte Carlo Integration5/17/2022Open Access
EN-AVT-377-05.pdfEN-AVT-377-05Key Challenges & Prospects for Quantum Computational Fluid Dynamics5/17/2022Open Access
EN-AVT-377-06.pdfEN-AVT-377-06Quantum Linear PDE Solution Methods5/17/2022Open Access
EN-AVT-377-07.pdfEN-AVT-377-07Quantum Lattice-Based Modelling & Future Developments5/17/2022Open Access
EN-AVT-377-08.pdfEN-AVT-377-08Classical Lattice-Boltzmann Methods for fluid dynamics5/17/2022Open Access
EN-AVT-377-09.pdfEN-AVT-377-09Towards quantum lattice-Boltzmann methods5/17/2022Open Access






:

Av Svenn Dybvik - Söndag 17 mars 20:24

https://nsm.no/aktuelt/risiko-2024-nasjonal-sikkerhet-er-et-felles-ansvar

Risiko 2024: Nasjonal sikkerhet er et felles ansvar


Norsk næringsliv spiller nå en større rolle for nasjonal sikkerhet. Slik verden er nå må norske virksomheter tenke sikkerhet i alt de gjør, fra ansettelser og anskaffelser til eierskifte, oppfordrer NSM i årets risikovurdering. 


Når truslene endrer seg, må vår forståelse av hvilke verdier som er viktige for oss og hvordan de skal beskyttes også gjøre det.


- Vi ser nå at bedrifter og personer som tidligere sjeldent har vært involvert i arbeidet med nasjonal sikkerhet blir sentrale, forteller NSM-direktør Lars Christian Aamodt, og nevner blant annet virksomheter innenfor petroleum- og kraftsektoren, elektronisk kommunikasjon og marinteknologi, datasenterbransjen, og forskning og utdanning.

Utviklingen viser at mindre bedrifter og virksomheter som er leverandører til større virksomheter blir mål. Spionasje, cyberoperasjoner, sikkerhetstruende oppkjøp, rekruttering av innsidere og påvirkningsoperasjoner er noen av virkemidlene som benyttes mot norske virksomheter, og som må forhindres, avdekkes og håndteres.


- Vi må forebygge før krisene oppstår. Vi bør bruke tiden fremover til å forberede oss enda bedre. Vi må være i stand til å takle det som måtte komme. Det krever bevissthet, prioritering av ressurser og fokus, understreker Aamodt.



Konsentrasjonsrisiko


Den samlede, nasjonale avhengigheten til land som utgjør en sikkerhetstrussel mot Norge, er en betydelig sårbarhet for nasjonale sikkerhetsinteresser. Norges avhengighetsforhold til Kina er en sårbarhet som kan utnyttes av kinesiske styresmakter, advarer NSM.


Både utenlandske oppkjøp og investeringer i norske selskap må i større grad ses i sammenheng med nasjonal sikkerhet. Det finnes en rekke eksempler på kinesiske oppkjøp og investeringer i utenlandske selskaper med kompetanse og teknologi som er av relevans for Kinas forsvarsmodernisering.


- Vi må ha større fokus på sikkerhetstruende økonomisk virkemiddelbruk. I noen tilfeller er det enklere å kjøpe seg inn i norske virksomheter fremfor å bryte seg inn, sier Aamodt.


Innsidere

Cybersikkerheten i Norge er inne i en god utvikling. Det gjelder særlig i de største virksomhetene. Systematisk og forebyggende sikkerhetsarbeid lønner seg, men ikke la dette bli en sovepute, oppfordrer Aamodt.

- Når en dør lukkes, forsøker trusselaktører å finne en annen. Verdien av en innsider øker. Det ble avslørt en rekke innsidere i flere vestlige land i 2022 og 2023. Det vil være naivt å tro at det ikke finnes innsidere i betrodde stillinger også her i Norge, sier Aamodt.


Den årlige risikovurderingen «Risiko» fra NSM skal gi norske virksomheter bedre forutsetninger til å se eget sikkerhetsarbeid i en større sammenheng. For 2024 anbefaler NSM norske virksomheter blant annet å beskytte seg bedre digitalt, og å tenke sikkerhet i ansettelser, anskaffelser og ved eierskapsskifter. I Risiko 2024 deler NSM konkrete råd og tiltak.


    Last ned rapporten: Risiko 2024







https://nsm.no/aktuelt/sikkerhetskonferansen-2024

Sikkerhetskonferansen 2024

 

Bedre situasjonsforståelse, ny kunnskap og erfaringsutveksling er tre stikkord når NSMs årlige konferanse går av stabelen i Oslo 13. og 14. mars.

 

Etterretningstjenesten trekker frem at Norge står overfor et mer alvorlig trusselbilde enn på flere tiår. Scenarioer som for få år siden virket utenkelige, er i dag realistiske. NSM har tidligere understreket at det er viktig at alle er sikkerhetsbevisste på trusler knyttet til dagens sikkerhetspolitiske utfordringer.

- Den enkelte virksomhet og privat næringsliv har fått større betydning for nasjonal sikkerhet enn tidligere. Derfor er jeg veldig glad for at både Posten Bring og DSS deltar på konferansen, og deler egne erfaringer fra to alvorlige sikkerhetshendelser foregående år. Det bidrar til et oppdatert situasjonsbilde, som er nødvendig for å forebygge nye hendelser, sier NSMs direktør Lars Christian Aamodt.

 

Avhengighet

Kina blir tema i flere paneler. Selv om Russland utgjør den største etterretningstrusselen mot Norge i 2024, vurderes trusselen fra Kina som betydelig og skjerpet, ifølge PST. Basert på årets trusselvurderinger, vurderer NSM at det totale kinesiske fotavtrykket i Norge utgjør en betydelig risiko for nasjonal sikkerhet. 

- Norges avhengighetsforhold til Kina er en sårbarhet som kan utnyttes av kinesiske styresmakter. Anskaffelser må sees i sammenheng med konsentrasjonsrisiko, og sikkerhetstruende økonomisk virkemiddelbruk må forhindres, oppfordrer Aamodt.

 

Påvirkning

2024 er et supervalg år globalt. I løpet av året skal over 60 land og EU, som til sammen representerer nærmere halvparten av verdens befolkning, holde valg. Sju av verdens ti største land skal velge nye ledere. Påvirkning og desinformasjon er en stor trussel mot demokratier. 

- Påvirkning er så mye mer enn falske nyheter. Det kan være enkelthendelser eller aksjoner, flyktningstrømmer, økonomiske virkemidler, sabotasje, og det kan være sann informasjon brukt som et virkemiddel for å skape polarisering, forteller Aamodt. 

Hvorfor kan Norge være interessant for trusselaktører? Stemmer det at vi liten grad har opplevd påvirkning i Norge? Kan det være at vi ikke har sett ting i rette lys? 

- Dette er spørsmål vi vil forsøke å svare på. Norge er god til å håndtere hendelser, men det er ikke nødvendigvis nok i denne sammenhengen. Vi må forstå hendelsene som oppstår – for å kunne forebygge, begrense eller forhindre påvirkningsforsøk mot befolkningen så vel som myndighetene. Derfor har NSM foreslått at det nasjonale samvirket mot påvirkningsoperasjoner må koordineres av én enhet, avslutter Aamodt.

 

Alt om årets konferanse: nsm.no/sikkerhetskonferansen







https://www.personvernbloggen.no/2024/02/01/personverndagen-2024-oppsummert-kunstig-intelligens-moter-personvern/

 

Nylig gikk den 12. markeringen av den internasjonale personverndagen av stabelen i regi av Teknologirådet og Datatilsynet. Etter både fysisk og digitalt oppmøte å dømme, er årets tema brennhett.

2023 har vært et sammenhengende gjennombrudd for generativ kunstig intelligens, og «KI-generert» er årets nyord. Verktøyene er både artige og nyttige, men utfordrer også personvernet. Vi markerte dagen med et arrangement om tematikken, og løfter her frem noen høydepunkter fra dagen.

 

Hva skjedde i 2023?

Med Open AI ble generativ KI allemannseie og representerer denne generasjonens viktigste teknologigjennombrudd. Mange mener at hemmeligheten bak suksessen ligger i at modellen oppleves menneskelig når du bruker den. Det ligger dessuten stor variasjon av muligheter i store språkmodeller, fra å lage chatbots og programmeringskode til å skape kunst og oversette tekster, for å nevne noe.

Denne kraftige teknologien har også noen skyggesider knyttet til de enorme datamengdene modellen er trent på, slik som manglende åpenhet og potensial for misbruk av ondsinnede aktører. Som konsekvens krevde 1000 eksperter et midlertidig forbud, og idet italienske datatilsynet påla OpenAI om å stanse all behandling av data fra italienske brukere, kunne direktør i Datatilsynet, Line Coll, fortelle.

Av andre saker med stor betydning i 2023 trakk Line frem følgende:

  • EU-U.S Data Privacy Framework: Et nytt avtaleverk som gjør det mulig å overføre personopplysning mellom EU og USA.   
  • Meta-saken: Datatilsynet fattet et vedtak om at Metas behandling av personopplysninger for adferdsbasert markedsføring var ulovlig på Facebook og Instagram.
  • Barns personvern neglisjeres: Amazon fikk bot for å lagre taledata gjennom Alexa og klokker som primært brukes av barn. TikTok fikk bot for ikke å ha godt nok personvern for mindreårige. I Norge har strømming av barneidrett vært en het potet.

 

Trender i 2024

Direktør i Teknologirådet, Tore Tennøe, gikk gjennom noen trender og forsøkte å se inn i personvernets umiddelbare fremtid. Det knyttes blant annet stor interesse til bruken av ansiktsgjenkjenningsteknologi i tiden fremover, som for eksempel under OL i Paris. Skal man kunne gjenkjenne ansikter, eller bare posisjoner og mistenkelige objekter? Diskusjonen aktualiserer etterretningsbehov mot retten til privatliv.

AI Act er nylig vedtatt, og blir et avgjørende rammeverk for utviklingen av KI fremover, også med hensyn til bruken av biometri, som i ansikts- og følelsesgjenkjenningsteknologi.

2024 markerer antakeligvis begynnelsen på slutten på den opprinnelige overvåkingsteknologien – informasjonskapselen. Google vil kutte det ut i sin nettleser Chrome i løpet av 2024.

Nysgjerrig på å se dypere inn i spåkula? Se opptaket! (link nederst i dette blogginnlegget).

 

Kan man trene språkmodeller med data fra nettet?

I utviklingen av Open AI ble det brukt enorme mengder data fra en stor variasjon av kilder. Selskapet er sparsomme med å fortelle hvor de har hentet data fra. Tore viste imidlertid en analyse av et snapshot som viste kilder som sosiale medier, nettsider, elektroniske bøker, et valgregister og personlige blogger. Både Google og Open AI har fått søksmål mot seg grunnet denne typen praksis.

Det sentrale i en personvernsammenheng er at man må ha et lovlig behandlingsgrunnlag for å kunne behandle personopplysninger. Vi diskuterte behandlingsgrunnlaget «berettiget interesse», og i hvilken grad dette kan brukes til å innhente data. Det er flere saker knyttet til dette i Europa nå.

Behandlingsgrunnlag er altså nøkkelen, også til andre modeller innen ulike domener som for eksempel finans, utdanning og helse. Dataene får stadig nye formål, og utfordrer eksempelvis både pasientenes og de ansattes rett til personvern. Her er det noen utfordringer. Skal man spørre om samtykke igjen? Hva gjør man med de som sier nei? Bør man heller anonymisere eller bruke syntetiske data?

 

Kunstig intelligens og personvern i den virkelige verden

Eivind Arntsen er advokat og leder av Juridisk ABC, en tjeneste basert på generativ KI som skal gjøre det enklere for arbeidsgivere å manøvrere riktig innenfor arbeidsrett. De ønsker å tilpasse tjenesten med å gi den tilgang til dommer og lovtekst, noe som utgjør deres primære utfordring. Juridisk ABC er for øvrig ett av fire prosjekter i Datatilsynets regulatoriske sandkasse våren 2024.

Umair M. Imam er sjef for data og KI i Ruter, og har erfaring med å bruke KI i et titalls prosjekter i Ruter. De bruker for eksempel generativ KI for å analysere klager. Brukere deler ofte data om seg selv i disse klagene, noe Ruter løser ved hjelp av en algoritme som «gjemmer» persondataene.

Julie Lødrup er førstesekretær i LO, og benyttet anledningen til å løfte frem prinsippet om arbeidstakeres rett til medbestemmelse. Den fungerer stort sett godt på alle felt i det norske arbeidslivet, unntatt ett: digitalisering. Hun mener dette skyldes at både arbeidsgivere og arbeidstakere anser teknologi generelt, og kanskje KI spesielt, som noe vanskelig og som kun angår teknologene. De som skal bruke teknologien bør involveres. Hun fremhevet også utfordringen med at teknologien som anskaffes ofte er laget i land med andre arbeidsmodeller som ikke er like opptatt av arbeideres rettigheter. Om programvaren har funksjonalitet som gjør det mulig å overvåke de ansatte, kan det være lett for arbeidsgiver å la seg friste.

 

Er politikken tilpasset terrenget?

På fjorårets personverndag ble en nasjonal personvernpolitikk diskutert, og i år fulgte vi opp med siste status i politikken. I løpet av sommeren 2024 skal en ny digitaliseringsstrategi og en ny personvernstrategi være ferdig, og de to skal henge tett sammen, fortalte statssekretær Gunn Karin Gjul (Ap). For å unngå at denne politikken ender opp med kun strategier og lite handling, ønsker Grunde Almeland (V) en mer demokratisk forankret stortingsmelding på temaet.   

En annen stor sak er KI-forordningen (AI Act), som vil treffe stortinget gjennom lovgivning. Gjul orienterte om at dette er EØS-relevant, og at myndighetene er i gang med dette arbeidet allerede. Det er ikke bestemt hvordan dette skal organiseres, og Digitaliserings- og forvaltningsdepartementet har gitt DFØ i oppdrag å utrede mulige organisatoriske systemer som algoritmetilsyn, overordnet tilsyn og rapporteringsordninger.

Avslutningsvis spurte Tore, på vegne av en venn, om det er greit å ha en KI-kjæreste. Panelet var enige om at det måtte være opp til den enkelte, men med ett premiss: at leverandøren av KI-kjæresten opererer innenfor loven. Og det skal vi hjelpe dem med, rundet Line av med. 

Se opptak av hele arrangementet på Datatilsynets nettsider.

 

 

 

 

 

 

https://nsm.no/aktuelt/oppdatering-av-stotteverktoy-for-ikt-sikkerhet


Oppdatering av støtteverktøy for IKT-sikkerhet


Koblingen mellom støtteverktøyet til NSMs grunnprinsipper for IKT-sikkerhet og ISO/IEC 27002:2022 er oppdatert. 


NSMs grunnprinsipper for IKT-sikkerhet gir veiledning for å beskytte informasjonssystemer, data og tjenester mot uautorisert tilgang, skade eller misbruk.

NSM samler sikkerhetstiltakene for grunnprinsippene et støtteverktøy, i form av et regneark. Støtteverktøyet inneholder blant annet prioritering av sikkerhetstiltak og kobling mot ISO/IEC 27002 på tiltaksnivå. ISO/IEC 27002 ble i 2022 oppdatert med nye tiltaksbeskrivelser sett i lys av den teknologiske utviklingen. Støtteverktøyet er nå oppdatert for å dekke de nye tiltakene i ISO/IEC 27002:2022. Den nye versjonen av støtteverktøyet er tilgjengelig på nettsidene til NSM.

Koblingen mellom NSMs grunnprinsipper for IKT-sikkerhet og ISO/IEC 27002 skal gjøre det enklere å se sammenhengen mellom de to rammeverkene. NSMs grunnprinsipper for IKT-sikkerhet brukes allerede av mange norske virksomheter. ISO/IEC 27002 er en internasjonal standard for informasjonssikkerhet som brukes av virksomheter både i Norge og i utlandet. 

Støtteverktøyet kan brukes av virksomheter som ønsker å hente inspirasjon fra flere rammeverk, standarder eller beste praksis for å velge tiltak for å sikre sine IKT-systemer. Det kan også være til hjelp i forbindelse med gjennomganger og revisjoner.

Koblingen til den tidligere utgaven av ISO-standarden (ISO/IEC 27002:2013) er fortsatt tilgjengelig i støtteverktøyet i en egen fane bakerst i regnearket.

 

 

 

 

 

 

https://nsm.no/fagomrader/digital-sikkerhet/rad-og-anbefalinger-innenfor-digital-sikkerhet/grunnprinsipper-ikt

Grunnprinsipper for IKT-sikkerhet

Grunnprinsippene for IKT-sikkerhet gir råd for å beskytte informasjonssystemer, data og tjenester mot uautorisert tilgang, skade eller misbruk.

Bruk grunnprinsippene til å løfte sikkerhetsnivået i din virksomhet – og den enkeltes sikkerhetskompetanse. Grunnprinsippene er relevante for alle norske virksomheter, både i offentlig og privat sektor. Virksomheter som er ansvarlige for samfunnskritiske funksjoner bør benytte prinsippene. 

Grunnprinsippene består av 21 prinsipper, fordelt på fire kategorier. I web utgaven kan du enkelt velge å gå inn på de ulike prinsippene via menyen på venstre side (se kapitler øverst i mobilversjon). 

 

Støtteressurser

NSM tilbyr en rekke ressurser som støtte i arbeidet med å iverksette grunnprinsippene for IKT-sikkerhet. Vi har samlet alle ressursene under. 

Alle sikkerhetstiltakene i grunnprinsippene er samlet i et eget regneark fra NSM. Dette regnearket inneholder blant annet en prioritering av alle sikkerhetstiltak og kobling til ISO/IEC 27002 på tiltaksnivå. (Koblingen ble desember 2023 oppdatert til også å dekke ISO 27002:2022.)

Regnearket kan benyttes av virksomheter som ønsker å bruke prinsippene aktivt i eget sikkerhetsarbeid. Dere kan benytte det slik det måtte passe dere best. Det er også mulig å legge til egne tiltak. 

 

Risikovurdering 

NSM har utarbeidet en egen beskrivelse for risikovurdering av (ugraderte) IKT-systemer. Dette verktøyet kan benyttes enten det gjelder informasjonssystem (IKT), industrielle kontrollsystemer (OT) eller andre støttesystemer som inngår i porteføljen for IKT-systemer. Det er også utarbeidet et eget regneark som kan brukes som mal til å gjennomføre risikovurderinger. 

 

Ofte stilte spørsmål

NSM har samlet en rekke spørsmål til grunnprinsippene på en egen side. Se om spørsmålene du sitter med, allerede er besvart der. 

Grunnprinsippene for IKT-sikkerhet ble utgitt først i august 2017 (versjon 1.0) Prinsippene videreutvikles med jevne mellomrom. Nyeste versjon er navngitt grunnprinsippene for IKT—sikkerhet 2.0 Denne versjonen kom i april 2020. Tidligere versjoner er fortsatt tilgjengelig for de virksomhetene som har innført disse. 

 

Kurs

NSM tilbyr digitalt e-læringskurs i grunnprinsippene for IKT-sikkerhet. Kurset er tilgjengelig via NSMs kurssenter. 

E-læringskurset er på til sammen tre timer, og det er mulig å pause underveis. Kurset inneholder både tekst og korte videoer. Alle som fullfører kurset, får kursbevis. Kurset er relevant for en bred målgruppe, fra ledere og sikkerhetsansvarlige til ansatte.

 

Andre virksomheters støtteverktøy for grunnprinsippene

NSM setter pris på at andre virksomheter også har publisert støtteressurser til NSMs grunnprinsipper. NSM har dessverre ikke anledning til å gjennomgå og kvalitetssikre alle detaljer i de refererte støtteressursene. Spørsmål om innhold og bruk av det enkelte produkt kan derfor rettes direkte til utstedende virksomhet. Siste øverst: 

  • Det norske sikkerhetsselskapet Mnemonic har publisert en kobling mellom grunnprinsippene og NIST CSF. De har også laget en engelsk utgave av denne koblingen. 
  • Direktoratet for e-helse har publisert en kobling mellom grunnprinsippene og «Normen»
  • DNV (Det Norske Veritas) og forsikringsselskapet Gjensidige har publisert et verktøy «Cyber Modenhetsvurdering» for at virksomheter kan måle sin sikkerhet opp mot NSMs grunnprinsipper. 
  • Noregs vassdrags- og energidirektorat (NVE) har gitt en veiledning i sikring av AMS, med referanser til NSMs grunnprinsipper. 
  • SINTEF og petroleumstilsynet laget en rapport om i hvilken grad grunnprinsippene passer for behovene til industrielle IKT-systemer.

 

 

 

 

 

 

https://nsm.no/aktuelt/ti-sarbarheter-gar-igjen-i-norske-ikt-systemer

Ti sårbarheter går igjen i norske IKT-systemer

Svake passord er og forblir norske virksomheters mest sårbare punkter. Det viser NSMs inntrengingstester over tre år. 

Selv om programvare, nettverk, brukere og virksomheter blir sikrere, ser NSM de samme sårbarhetene gå igjen år etter år. 

Passord som er lette å gjette, er en kritisk sårbarhet. Når passordet er kjent, kan testerne ofte operere som den ansatte. Slik skaffer de seg tilgang til andre tjenester i systemene, sikrer seg høye brukerrettigheter eller kompromitterer til og med virksomhetens domeneadministrator.

- Den digitale motstandskraften i det norske samfunnet må opp. Enkle sikkerhetstiltak kan lukke disse sårbarhetene, men det må prioriteres – også av ledelsen, sier Geir Arild Engh-Hellesvik, avdelingsdirektør, forsvar mot avanserte digitale trusler i NSM. 

Samtidig som det må stilles tydeligere krav til kompetanse og teknologi i norsk forvaltning og næringsliv, jobber NSM sammen med andre land og myndigheter for å legge press på produsenter slik at sikkerhet blir innebygd – og påslått som standard. 

- Leverandørene må bidra til å gjøre digital sikkerhet mindre krevende for brukere av digitale tjenester og produkter. Det er helt nødvendig for at små og mellomstore bedrifter og norske kommuner skal være i stand til å sikre egen digital infrastruktur, sier Engh-Hellesvik.

NSMs inntrengingstestere utfører tester etter anmodning fra virksomheter som er underlagt sikkerhetsloven fordi de forvalter nasjonale sikkerhetsinteresser. Praktiske undersøkelser av logiske, tekniske, menneskelige, administrative og fysiske forhold bidrar til å avsløre sårbarheter og forbedringspunkter.






Økt sikkerhet for kritisk infrastruktur på norsk sokkel

https://nkom.no/aktuelt/okt-sikkerhet-for-kritisk-infrastruktur-pa-norsk-sokkel

 

 

Ny nasjonal digitaliseringsstrategi

https://www.regjeringen.no/no/tema/statlig-forvaltning/it-politikk/ny-nasjonal-digitaliseringsstrategi/id2982892/

Regjeringa har starta arbeidet med ein ny nasjonal digitaliseringsstrategi. Strategien skal mellom anna stake ut kursen for vidare digitalisering av offentleg sektor, legge betre til rette for næringsretta digitalisering og ta opp viktige samfunnsspørsmål. Målet er sterkare samordning og utvikling av ein heilskapleg politikk som går på tvers av offentleg og privat sektor. Strategien skal etter planen vere klar i 2024.

:

Av Svenn Dybvik - Lördag 16 mars 20:24

 

Et dypdykk i juridiske spørsmål

Sammendrag:

 

Et tema av høy aktualitet, men som er viet beskjeden oppmerksomhet er eierskap til data, herunder hva dette eierskapet omfatter juridisk og når et eierskap inntreffer eller opphører. Tematikken spenner over flere rettsområder, og inneholder flere komplekse og til dels uløste problemstillinger. Samtidig er det viktig å understreke at rettskildebildet er i rask endring, grunnet en enda raskere teknologisk og politisk utvikling. Artikkelen er et forsøk på å samle de ulike trådene for å kunne gi en helhetlig fremstilling av hvordan eierskap i dag er regulert av en rekke ulike horisontale- og vertikale regelverk, samt gjennom avtale.

 

Nøkkelord: EU/EØS-rett, GDPR, data, eierskap, immaterialrett, avtaler

 

1. Innledning

Dataøkonomien i Norge i dag er beregnet å være verdt 150 milliarder kroner. Det er ventet at denne vil kunne dobles inn mot 2030, til 300 milliarder kroner.(1) Disse økonomiske gevinstene er ventet realisert gjennom økt innovasjon, samt bedre produkter og tjenester for alle borgere i EU. De forventede verdiene som dataøkonomien er ventet å ha, har gjort spørsmålet om eierskap til data et prioritert punkt på dagsordenen for EU, den enkelte stat, næringsdrivende og ikke minst forbrukere. Dette er noe av bakgrunnen for at EU lanserte en datastrategi i 2020 hvor det legges opp til en langt mer omfattende regulering av datadeling enn det som er tilfelle i dag. Målsettingen med denne datastrategien som består av en rekke reguleringer og tiltak er å gjøre det mulig for data å bevege seg fritt innen EU/EØS-­området, på tvers av sektorer.(2)

Artikkelen er et forsøk på å samle de ulike trådene for å kunne gi en helhetlig fremstilling av hvordan eierskap i dag er regulert av en rekke ulike horisontale- og vertikale regelverk, samt gjennom avtale.

I denne artikkelen vil jeg gi en kortfattet redegjørelse for de mest relevante europeiske og nasjonale reglene som regulerer eierskap til data i dag. I forlengelsen av dette vil jeg gå nærmere inn på de rettslige utgangspunktene knyttet til eierskap til data, hva dette eierskapet omfatter og når et eierskap inntreffer eller opphører. Tematikken spenner over flere rettsområder, og inneholder flere komplekse og til dels uløste problemstillinger. Samtidig er det viktig å understreke at rettskildebildet er i rask endring, grunnet en enda raskere teknologisk og politisk utvikling. Det avgrenses med andre ord mot reguleringer fra EU som ikke har tredd i kraft enda og utgjør en del av EUs datadelingsstrategi.

 

2. Eierskap til data gjennom lov

2.1 Rettskildebildet

Det eksisterer ingen allmenngyldig legaldefinisjon av uttrykket «data». Regjeringen har i en stortingsmelding definert data som «enhver fysisk representasjon av opplysninger, viten, meninger og lignende, og kan være både ustrukturerte og strukturerte. Data danner grunnlag for informasjon. Det er ikke alltid et tydelig skille mellom data og informasjon».(3) Denne vide forståelsen av uttrykket «data» bidrar til å gjøre rettskildebildet uoversiktlig, særlig i lys av at det ikke eksisterer en særskilt lov som regulerer rettighetene til data. Data kan likevel ha beskyttelse ved at det inngår i noe som har beskyttelse etter annen lovgivning. Dette er blant annet tilfelle i immaterialretten hvor data nyter vern etter åndsverkloven dersom det kommer til uttrykk i en tekst, et bilde eller en database, eller patentloven dersom det er en del av et patent eller forretningshemmelighetsloven dersom det inngår i en forretningshemmelighet. Person­opp­lysningsloven (GDPR), konkurranseloven og sikkerhetsloven regulerer også hvordan data kan brukes og deles, og evt. hvilke rettigheter man har i egenskap av å være eier av dataene.(4)

Et eierskap til data kan best beskrives som en rett til å besitte, bruke, kopiere, endre, og dele data med andre, med enkelte unntak og begrensninger. Eieren har som regel en eksklusiv rett til å gi eller nekte andre tilgang til dataene. Avhengig av hvorvidt eierskapet bygger på lov eller avtale vil det imidlertid kunne eksistere visse rettslige skranker for hvordan eieren kan forvalte dataene. Råderetten til en eier vil dermed bero på det konkrete rettslige grunnlaget for eierskapet.

 

2.2 Opphavsretten – eierskap til data

Det er flere regler i immaterialretten som gir rettigheter til data, samlinger av data eller oppfinnelser som bygger på data. Flere av disse reglene som gir rettigheter til data eller datasamlinger er nedfelt i åndsverkloven (åvl.), og kan få betydning for bruk og deling av data.(5)

Etter åndsverklovens bestemmelser er det i utgangspunktet opphaveren av frembringelsen som får vern. Åndsverkloven bruker ikke uttrykket «eier», men ettersom opphaveren i utgangspunktet råder som en eier, må det være nærliggende å kunne likestille disse begrepene. Dette utgangspunktet gjelder likevel ikke for mange av de frembringelsene som blir til i regi av arbeidsforhold, hvor det er avtalt at rettighetene tilfaller arbeidsgiver. Arbeidstakere som overdrar rettigheter, vil likevel ha enkelte rettigheter i behold etter lov om arbeidstakeroppfinnelser.(6) Arbeidstakere vil også være pålagt begrensninger knyttet til å dele informasjonen eller dataene, der dette kan forringe mulighetene for patentering eller utnyttelse av oppfinnelsen, jf. arbeidstakeroppfinnelsesloven § 6 annet ledd.

Data eller samlinger av data kan få opphavsrettslig vern etter åvl. § 2 annet ledd, forutsatt at innsamlingen og struktureringen av dataene eller databasen er uttrykk for en individuell, skapende innsats. Vernet innebærer at opphaveren gis enerett til å framstille eksemplarer av verket og gjøre det tilgjengelig for allmennheten. I praksis oppfyller de færreste datasett eller databaser kravet til verkshøyde i åvl. § 2. Mer vanlig er nok at data som fremstiller en tekst eller lydfil oppfyller kravet til verkshøyde i åvl. § 2, og at man snakker om eierskap i forlengelsen av dette.(7) Det aller vanligste er nok imidlertid eierskap og vern av databaser.

 

2.3 Eierskap til databaser

I likhet med vern etter åvl. § 2 må en opphavers vern for databaser etter åvl. § 24, som gjennomfører EUs databasedirektiv kunne likestilles med eierskap.(8) I databasedirektivets artikkel 1 defineres en database som «en samling av selvstendige verk, data eller annet materiale som er strukturert systematisk eller metodisk, og som er tilgjengelig individuelt ved bruk av elektroniske eller andre midler». En samling av industridata eller persondata vil således kunne utgjøre en database. Mens rettigheter i åndsverksloven normalt etableres ved at et selvstendig verk oppfyller kravet til verkshøyde, er databasevernet forbeholdt samlinger av data. Databasevernet gir med andre ord ikke vern for enkeltdata eller rådata som inngår i databasen, men databasen som en helhet.

I likhet med vern etter åvl. § 2 må en opphavers vern for databaser etter åvl. § 24, som gjennomfører EUs databasedirektiv kunne likestilles med eierskap.

Dersom vilkårene i åvl. § 24 første ledd er oppfylt, har opphaveren «enerett til å råde over hele eller vesentlige deler av databasens innhold ved uttrekk fra eller gjenbruk av databasen». Eneretten innebærer en rett til å forby andre å kopiere eller gjøre databasen, eller vesentlige deler av den, tilgjengelig for allmennheten. Lovens vilkår er at innsamling, kontroll eller presentasjon av innholdet i databasen innebærer en «vesentlig investering». Eneretten er ikke ubegrenset; opphaveren må akseptere en viss form for bruk av databasen, jf. åvl. §§ 41 fjerde ledd og 24 første og annet ledd. Eneretten berører ikke rettighetshavere til materiale i databasen, og får heller ikke betydning for regler som for eksempel regulerer behandlingen av persondata eller skjermingsverdig informasjon etter sikkerhetsloven. I den foreslåtte datastyringsforordningen, fremgår det at databasevernet ikke gjelder data som er frembrakt ved bruk av et produkt eller en relatert tjeneste, jf. Artikkel 35. Det er ikke avklart hvorvidt forordningen vil gjennomføres i norsk rett, men undertegnede antar dette som overveiende sannsynlig.


Eneretten etter åvl. § 24 omfatter også «gjentatt og systematisk uttrekk eller gjenbruk av uvesentlige deler» av databasen, dersom dette utgjør «handlinger som skader den normale bruken av databasen eller urimelig tilsidesetter fremstillerens legitime interesser», jf. § 24 annet ledd. Annet ledd begrenser mulighetene for uttrekk fra databasen som ikke er vernet etter første ledd, hvor intensjonen er å gjenskape hele eller vesentlige deler av databasen.

Kravet til vesentlige investeringer oppstiller en høy terskel og det oppstår derfor ofte tvil om hvorvidt vilkåret er oppfylt. Formålet med databasevernet er å verne om investeringene til sammenstillingen, herunder utgifter til innsamlingen, kontrollen eller presentasjonen. Dette betyr at investeringer knyttet til produksjon av data for eksempel ikke er vernet etter databasevernet. Spørsmål om samlinger av industridata er vernet etter databasevernet, må ta utgangspunkt i hvor store investeringer som har gått inn i databasen og hva disse investeringene er brukt til. I praksis kan dette by på en rekke utfordringer, særlig der data­basen er skapt sammen med andre.

Databasevernet er forbeholdt den som gjør den vesentlige investeringen, normalt et selskap. Dersom flere selskaper samarbeider om å investere i frembringelsen av en database, kan rettighetene til databasen oppstå i sameie mellom dem. Åndsverkloven inneholder ingen reguleringer av hvordan rettighetene til en database kan utnyttes i sameie, og det vanlige er at dette reguleres i en avtale. Det er videre verdt å merke seg at, i likhet med data vernet etter åvl. § 2, kan en kun få et databasevern for en database som en selveier enten ved frembringelse eller avtale. Adgangen til å avtale seg til eierskap, gir anledning til å overdra eierskapet til data eller en database som nyter vern etter åndverkloven. Et alternativ til overdragelse som ofte benyttes i praksis, er tildeling av en bruksrett (lisens eller frivillighetserklæring) til dataene.

I den foreslåtte datastyringsforordningen, fremgår det at databasevernet ikke gjelder data som er frembrakt ved bruk av et produkt eller en relatert tjeneste, jf. Artikkel 35.

 

2.4 Lisenser og frivillighetserklæringer

Den ikke-fungible karakteren som data innehar, kombinert med ofte uoversiktlige verdikjeder, kan gi utfordringer knyttet til å identifisere hvilke forpliktelser som medfølger dataene. Disse utfordringene løses i praksis ofte ved bruk av lisenser som angir hvilke forpliktelser og rettigheter som gjelder ved bruk av de aktuelle dataene. Lisensen som knyttes til dataene, er en avtale mellom datatilbyderen, og datakonsummenten. Lisensen regulerer eventuelle vilkår for bruken av dataene, som for eksempel at de kun skal brukes til forskning, eller at den som har fremstilt datasettet, skal krediteres. En lisens benyttes ofte der dataene er undergitt rettslige delingsbegrensninger i lov, for eksempel åndsverkloven, eller dersom bruken av dataene er begrenset av avtaler eller samtykke. Hensikten med dette er at datakonsummenten skal få en oversikt over hvilke betingelser som gjelder ved bruk av det aktuelle datasettet ved å lese lisensen.

Lisensmodellen innebærer på mange måter et større ansvar for datakonsummenten som nå, til enhver tid, har tilgang på informasjon om hvilke rettigheter og forpliktelser som følger dataene. En fordel ved denne formen for datadeling er at lisensen vil følge dataene, noe som betyr at en tredjepart som får dataene overdratt til seg, med eller uten samtykke, vil kunne enkelt se hvilke rettigheter og plikter som gjelder knyttet til de aktuelle dataene. Noe som vil redusere risikoen for rettsmangler ved bruk eller ulovlig overdragelser, sammenlignet med alminnelige avtaler, hvor avtalens innhold ofte ikke er synlig for en godtroende tredjepart. Det forutsettes at en aktør som laster ned data merket med en lisens, aksepterer lisensvilkårene ved nedlastning, forutsatt at vilkårene er lovlige. En lisens er med andre ord en avtaletype som kan gjøres gjeldende ovenfor en tredjepart.

I enkelte tilfeller benyttes en lisens til å gi avkall på eventuelle rettigheter til dataene. Dette gjøres som regel for å tilrettelegge for utstrakt deling og bruk. Det er ikke anledning til å fravike eller begrense krav eller begrensninger som følger av lov i en lisens. Det samme gjelder tredjeparters rettigheter til dataene.

En av de mest benyttede lisensene ved deling av data er Creative Commons Attribution 4.0 International (CC BY 4.0) Denne lisensen gir datakonsummenten rett til å kopiere og videredistribuere data, samt bearbeide disse for ethvert kommersielt eller ikke kommersielt formål, så lenge ufravikelig lovgivning ikke sperrer for det. Det medfølger også en plikt til å kreditere opphaveren.

Lisensmodellen innebærer på mange måter et større ansvar for datakonsummenten som nå, til enhver tid, har tilgang på informasjon om hvilke rettigheter og forpliktelser som følger dataene.

Det er vanlig å også bruke uttrykket lisens om erklæringer uten bruksbegrensninger. I litteraturen omtaler vi slike erklæringer som frigivelseserklæringer, såkalt Dedication to Public Domain på engelsk. De mest brukte frigivelseserklæringene er Public Domain Mark (PDM) og Creative Commons 0 (CC0). PDM brukes for å dokumentere at det ikke er noen kjente rettigheter tilknyttet dataene, mens CC0 brukes for å formidle at datatilbyderen gir avkall på alle eventuelle opphavsrettigheter, med unntak av de som er preseptoriske. Det kan fremstå rart at en datatilbyder fraskriver seg eventuelle rettigheter ved bruk av en lisens. Dette er derimot helt vanlig, ettersom en datatilbyder ofte har en egeninteresse i at flest mulig tar i bruk dataene som deles.

Dersom dataene ikke er knyttet til en lisens, kan det foreligge usikkerhet rundt hvilke rettigheter og eventuelle begrensninger som gjelder for dataene som deles. Bruk av lisens kan med andre ord gi en avklaring av den rettslige statusen og risikoen til dataene som deles. Det er flere fallgruver ved mangel på lisens eller valg av feil lisens, blant dem er at delingen vil kunne begrenses unødvendig, lisensen kan hindre kommersialisering eller videredistribusjon og at det foreligger uklarhet rundt eierskap.(9)

 

3. Eierskap til data gjennom avtale

3.1 Overordnet

Utenfor lovreglenes anvendelsesområde gjelder det alminnelig handle- og avtalefrihet. I dag er deling av data mellom private aktører langt mindre lovregulert enn deling av data fra det offentlige.(10) Det er enkelte regler som pålegger det private å dele data, slik som betalingstjenestedirektivet (PSD2), men dette tilhører unntakene.(11) Mellom private aktører er utgangspunktet avtalefrihet. Avtalefriheten omfatter som regel når data skal deles, på hvilke vilkår deling skal skje, eierskap til verdiskapning av dataene som deles og fordeling av eventuelt ansvar ved feil eller mangler ved de delte dataene. Avtaler som regulerer datadeling, kan med andre ord ha vidt forskjellige formål. Avtalefriheten begrenses av ufravikelig lovgivning og det er eksempelvis ikke adgang til å avtale seg vekk ifra reglene om behandling av personopplysninger, nasjonal sikkerhet eller konkurransereglene. På immaterialrettens område foreligger det et visst handlingsrom til å inngå avtaler som fraviker lovens utgangspunkt og overdra immaterielle rettigheter. Avtalelovens regler om ugyldighet gir rammene for hva som lovlig kan avtales.

Der to eller flere aktører inngår en avtale om deling av data, kan det være flere behov som ønskes regulert ved avtale. Enkelte aktører er opptatt av eiendomsretten til data som sådan, hvilket kan medføre utfordringer ved gjenbruk til nye eller endrede formål, mens andre er mer opptatt av tilgang til verdiskapning eller nye data som kommer som et resultat av delingen. Avtaleregulering av eierskap til data reiser flere rekke krevende juridiske spørsmål – særlig i verdikjeder hvor det er mange aktører og datakilder involvert. En datadelingsprosess består ofte av flere ledd som innsamling, sammenstilling, berikelse, lagring og analyser og trening av maskinlæringsalgoritmer basert på data. Det er dermed ikke uvanlig at det oppstår uenighet om eierskap til både de opprinnelige data, og de som skapes i en datadelingsprosess. De ulike eierinteressene, dersom de har blitt kommunisert til de øvrige avtalepartene, kan også være styrende for hvordan en eventuell avtale skal tolkes og forståes.

Den juridiske kompleksiteten ved avtaleregulering av datadeling antas å ha en avskrekkende effekt på aktører som ønsker å dele data. Uten avtale står imidlertid en datatilbyder uten mulighet til å beholde en viss grad av kontroll over dataene, og eventuelt gevinstene, ettersom verdien i de fleste tilfeller, først og fremst skapes hos mottakeren. Andre problemstillinger som kan aktualiseres, er forholdet til tredjeparter som ikke er bundet av en eventuell datadelingsavtale.

Dersom en aktør ønsker å tre inn i rollen som datatilbyder er vedkommende avhengig av å ha rettslig adgang til å dele dataene som ønskes delt. En slik adgang forutsetter at de aktuelle dataene ikke er underlagt noen negative avtalerettslige forpliktelser eller er omfattet av lovgivning som forbyr deling av selve dataene eller informasjonen som inngår i dem.

 

3.2 Eierskap gjennom besittelse

En av de mest brukte avtalene blant offentlige og private aktører i Norge på IT-feltet er Statens Standardavtaler (SSA). Grunnet det økte fokuset på data og verdiskapning knyttet til data, har DFØ som forvalter og vedlikeholder SSA inntatt bestemmelser i flere av de nyeste avtalene som regulerer data som kontraktsmessig gode. I SSA-L fra 2018 punkt 7.2 følger det at (forfatters understrekninger):

«Kunden beholder eiendomsrett til alle data som overlates til Leverandøren for behandling, og som lagres eller prosesseres ved hjelp av tjenestene under denne avtalen. Det samme gjelder resultatet av Leverandørens behandling av slike data.»

Ordlyden i punkt 7.2 første setning presiserer at dataene eies av kunden, uavhengig av hvorvidt de overføres eller tilgjengeliggjøres for avtaleparten. Mer interessant er nok kanskje andre setning som viser til at eiendomsretten omfatter også resultatet av Leverandørens behandling av dataene. Utgangspunktet i SSA-L er med andre ord at dataene og ethvert resultat av prosessering under avtalen vil tilfalle kunden. Avtalen inneholder ingen nærmere beskrivelse av hva et slikt «resultat» kan bestå i. Men en naturlig språklig forståelse tilsier en vid tolkning, hvor det også er naturlig å innfortolke data som er skapt ved kundens bruk av løsningen.

Det er viktig å merke seg at SSA og andre standardavtaler kan fravikes ved endringsbilag eller andre endringsmekanismer. Det er med andre ord anledning til å avtale seg vekk fra avtalenes utgangspunkt på dette området. Samtidig mener jeg at SSA-L avtalens ordlyd når det gjelder eierskap til data, gir uttrykk for et generelt avtalerettslig utgangspunkt når det gjelder eierskap til data. Dette utgangspunktet er at den som besitterdataene også er den som eier dataene, og at data som skapes basert på grunndataene, basert på eierens bruk skal tilfalle eieren. En slik tolkning harmonerer også med utgangspunktet i artikkel 35 i den foreslåtte datastyringsforordningen.(12)

I praksis kan det være utfordrende å anvende synspunktet om at besittelse tilsvarer eierskap overfor en tredjepart, med bakgrunn i at en avtale kun er bindende mellom avtalepartene. Særlig aktuelt er dette da data er en ikke-fungible ytelse, som mer eller mindre eksisterer i ubegrenset omfang, noe som betyr at det er ingen begrensninger som hindrer andre fra å skape eller innhente de samme dataene. Motsetningsvis, vil data hvor eierskap er ervervet ved lov, stå sterkere. Eksempelvis vil vernet data etter åndsverksloven innebære en enerettfor skaperen som begrenser andres adgang til å få vern for tilsvarende frembringelse.

Det kan også være andre aspekter ved dataene som legger begrensninger for råderetten og muligheten til å overdra dataene. Det skilles ofte mellom data om identifiserbare og ikke-identifiserbare personer («personopplysninger»), data beskyttet av immaterielle rettigheter eller andre eiendomsrettigheter, data underlagt hemmelighold eller taushetsplikt (forretningshemmeligheter, know-how, etc.) og for eksempel industri data. Hvordan dataene som ønskes delt kan kategoriseres vil også kunne være styrende for hvordan de aktuelle dataene kan forvaltes. Rekkevidden av eierens råderett vil med andre ord bero på hvilkedata som ønskes delt.

 

4. Regelverk som begrenser råderetten til eier

4.1 Data som inneholder personopplysninger

4.1.1 Innledning

EUs personvernforordning gir plikter til dem som behandler data som inneholder personopplysninger, samt rettigheter til de opplysningene angår.(13) Personvernforordningens artikkel 4 nr. 1 definerer personopplysninger som enhver opplysning som kan, direkte eller indirekte, knyttes til en fysisk person. Vernet av personopplysninger gitt i GDPR følger dataene dit de går, og ved overføring av personopplysninger utenfor EU/EØS-området må vernet av opplysninger være likt eller tilsvarende vernet de har innenfor EU/EØS.(14)

Når det gjelder deling og bruk av data, går det et viktig skille mellom data som inneholder personopplysninger, og data som ikke kan knyttes til enkeltpersoner. For datasett som inneholder både personopplysninger og andre opplysninger, vil GDPR kun gjelde for den delen som inneholder personopplysninger. Grensedragningen mellom personopplysninger og andre opplysninger er tidvis vanskelig. Vurderingen av hvorvidt opplysninger anses som personopplysninger beror på en konkret vurdering med bakgrunn i praksis fra EU-domstolen. Hvis personopplysningene og andre data er uløselig knyttet sammen, antar forfatteren at GDPR gjelder for hele datasettet. Dette må nok gjelde selv om personopplysningene kun utgjør en liten andel av datasettet. Noe annet ville innebåret en uthuling av den enkeltes rett til personvern.

Data som inneholder personopplysninger deles frivillig daglig. Medieaktører som Schibsted, NRK, plattformaktører og apper som Google, Facebook og Instagram, tilbyr gratis tjenester i bytte mot brukernes registrering og bruk av tjenestene. Samtidig innhenter nevnte aktører samtykke til bruk og deling av personopplysninger til formål som for eksempel markedsføring.

Dersom en datatilbyder ønsker å dele data som inneholder personopplysninger knyttet til borgere i EU-/EØS-området vil reglene i GDPR gi føringer for behandlingen av personopplysninger, herunder begrensninger knyttet til deling av data.(15)

 

4.1.2 Krav om behandlingsgrunnlag for å dele, motta og bruke personopplysninger

Dersom en eier skal kunne dele data som inneholder personopplysninger med en annen part, er det i utgangspunktet tre til fire krav som må være oppfylt etter personvernforordningen. For det første må den som behandler personopplysninger ha et lovlig «behandlingsgrunnlag», jf. GDPR artikkel 6 nr. 1. Et slikt behandlingsgrunnlag kan være et samtykke eller et rettslig grunnlag i nasjonal rett, jf. GDPR artikkel 6 nr. 1 bokstav a eller c. For det andre må det foreligge et ekstra behandlingsgrunnlag etter GDPR artikkel 9 nr. 2, dersom dataene som ønskes delt inneholder særlige kategorier av personopplysninger. For det tredje må datatilbyderen ha et behandlingsgrunnlag for å dele eller utlevere datasett som inneholder personopplysninger. Det fjerde og siste kravet er at mottakeren av et datasett ha et behandlingsgrunnlag til å motta data og behandle dem videre til et konkret, forhåndsangitt formål.

De store globale plattformene – Google, Facebook, Amazon – utvikler tjenester ved å samle inn data som inneholder personopplysninger om brukere, og ta de i bruk. Både lang fartstid og forretningsmodell, har resultert i at disse aktørene har akkumulert omfattende mengder data. Det eksisterer med andre ord ulikheter i behovet for å samle inn data fra andre aktører i datadelingsøkosystemet. De største aktørene trenger som oftest kun behandlingsgrunnlag for å ha/behandle dataene selv. Mens mindre aktører er mer avhengig av å dele data seg imellom, ettersom de ikke har tilgang på like omfattende datamengder. Dette konkurransefortrinnet for de store bidrar til å øke forskjellene ytterligere mellom store og små datadrevne virksomheter.

Det er i utgangspunktet ikke anledning til å gjøre unntak fra GDPR, bortsett fra på de områdene hvor forordningen selv spesifiserer dette. Dette betyr at det kan være andre bestemmelser i GDPR eller særlovgivning (med hjemmel i GDPR) som utvider eller innskrenker adgangen til å dele data. Et eksempel er artikkel 89 som gjør unntak fra kravet om behandlingsgrunnlag som oppstilles i artikkel 6 og 9.(16)

 

4.2 Begrensninger i konkurranselovens §§ 10 og 11

Konkurranseretten regulerer aktørenes opptreden i markedet for å sikre et velfungerende marked hvor forbrukerne får lavere priser, bedre utvalg og bedre produkter som følge av reell konkurranse mellom markedsaktørene. De mest aktuelle bestemmelsene i konkurranseloven knyttet til overføring av data, er forbudet mot konkurransebegrensende samarbeid i konkurranseloven § 10 og forbudet mot utilbørlig utnyttelse av dominerende markedsstilling i lovens § 11.(17)

Forbudet mot utilbørlig utnyttelse av dominerende markedsstilling har preget de europeiske diskusjonene om datadeling de siste årene. Bakgrunnen for dette er at et knippe større amerikanske aktører har fått tilgang på omfattende mengder data som gir store konkurransefortrinn. Disse dataene deles ikke med mindre aktører og har dermed en skadende effekt på konkurransen. Flere av de varslede reguleringene fra EU er en respons på denne utviklingen, og har som formål å stimulere til økt dataoverføring mellom selskaper og sikre økt tilgang til data særlig for små- og mellomstore virksomheter.

Ved overføring av data mellom virksomheter er det særlig grunn til å være oppmerksom på konkurranselovens § 10 om konkurransebegrensende samarbeid.

Ved overføring av data mellom virksomheter er det særlig grunn til å være oppmerksom på konkurranselovens § 10 om konkurransebegrensende samarbeid. Bestemmelsen inneholder et forbud mot enhver avtale eller beslutning mellom virksomheter som har til formål eller virkning å hindre, innskrenke eller vri konkurransen. Etter forbudet er det tilstrekkelig at virkningen av delingen av data skader konkurransen. Det er med andre ord ikke ansvarsbefriende, at virkningen ikke var en planlagt eller uttalt målsetning. Samtidig må det understrekes at mange former for datadeling er gunstig for konkurransen i markedet. Markedsaktører må dermed foreta konkrete vurderinger ved spørsmål om en eiers rett til deling begrenses av forbudet i lovens § 10.

EU-kommisjonens rapport «Competition Policy In The Digital Era» identifiserer særlig fire områder hvor deling av data kan få negative konkurransemessige konsekvenser. Det første område er sammenslutninger hvor data deles internt.(18) Slike samarbeid kan virke ekskluderende og heve terskelen for innpass i markedet for aktører som ikke er en del av sammenslutningen. Dersom et samarbeid fører til at andre aktører nektes tilgang til markedet, er det problematisk sett opp mot konkurranselovens § 10.

Det andre området som identifiseres som særlig utfordrende er deling av markedssensitive opplysninger, som prisinformasjon eller produksjonskapasitet. Deling av slike data mellom foretak, kan medføre pristilpasning eller annen samordning av opptreden som er skadelig for konkurransen og som rammes av konkurranselovens § 10.

Det tredje området som identifiseres som problematisk, er deling av data som kan resultere i at det er mindre attraktivt for tredjeparter å utvikle egne data og bruke disse. En slik utvikling vil kunne medføre at enkelte selskaper blir avhengige av data fra andre selskaper, og får svekket konkurranseevne over tid. Avtalevilkår som pålegger et selskap å lisensiere data fra et annet selskap eller sperrer for muligheter til å utvikle egne data og bruke disse, vil kunne komme konflikt med både konkurranselovens §§ 10 og 11.

Det fjerde og siste området som er utfordrende er hvordan sikre tilgang til data på en rettferdig, rimelig og ikke-diskriminerende måte. En datatilbyder risikerer å komme i konflikt med konkurranselovens §§ 10 eller 11, dersom de ikke er oppmerksom på kravet til likebehandling ved spørsmål om tilgang på data.

Konkurranselovens § 10 speiler et tilsvarende forbud i EØS-avtalens artikkel 53 og TEUV artikkel 101, mens § 11 speiler EØS-avtalens artikkel 54. Reglene gjelder med andre ord all overføring av data i EU-/EØS-området. I praksis innebærer reglene at markedsaktører som ønsker å dele data, må foreta en vurdering av hvorvidt den konkrete delingen rammes av konkurranseloven, for eksempel §§ 10 og 11. Dersom en overføring rammes av forbudet og det ikke foreligger et unntak som kommer til anvendelse, vil aktørene være nødt til å avstå fra å dele de aktuelle dataene, eller i enkelte tilfeller være pålagt å gjennomføre overføringen der dette er nødvendig for å overholde forbudet.

Konkurranseretten utgjør et vesentlig element i vurderingen av om data kan, og ikke minst bør deles. De fleste overføringer kan tilpasses slik at de ikke rammes av konkurranselovens forbud, men i enkelte tilfeller vil slike tilpassinger kunne medføre at overføringen også resulterer i en eller flere uønskede konsekvenser.

 

4.3 Data av nasjonal interesse etter sikkerhetsloven

Sikkerhetsloven har som formål å sikre nasjonale sikkerhetsinteresser og forebygge sikkerhetstruende virksomhet, jf. sikkerhetsloven § 1–1.(19) Loven gjelder for statlige, fylkeskommunale og kommunale organer, jf. § 1–2. Nasjonale sikkerhetsinteresser omfatter overordnede sikkerhetspolitiske interesser knyttet til blant annet de øverste statsorganers virksomhet, forsvar, sikkerhet og beredskap, forholdet til andre stater, økonomisk stabilitet, samfunnets grunnleggende funksjonalitet og befolkningens grunnleggende sikkerhet, jf. § 1–5. I forbindelse med deling av data kan det aktualiseres spørsmål om dataene som ønskes delt er beskyttet etter sikkerhetsloven. Dersom dette er tilfellet, kan bestemmelsene i sikkerhetsloven gi begrensninger for deling og bruk av dataene.

Etter sikkerhetsloven § 5–1 kan informasjon anses som skjermingsverdig «dersom det kan skade nasjonale sikkerhetsinteresser at informasjonen blir kjent for uvedkommende, går tapt, blir endret eller blir utilgjengelig». Begrepet «informasjon» skal forståes vidt i henhold til forarbeidene til sikkerhetsloven, og det er av underordnet betydning hvordan informasjonen er tilvirket og hvilken form informasjonen har.(20) Det er lite tvilsomt at data er omfattet av begrepet informasjon i sikkerhetsloven § 5–1.

Dette betyr at dersom det kan få skadefølger for nasjonale sikkerhetsinteresser at data eller informasjonen i dataene blir kjent for uvedkommende, må informasjonens konfidensialitet, integritet og tilgjengelighet beskyttes. Dette kan blant annet innebære at informasjonen skal sikkerhetsgraderes og at adgang til dataene vil kunne forutsette tilstrekkelig sikkerhetsklarering. Sikkerhetsloven kan med andre ord begrense en eiers adgang til å selge eller overføre data.

 

5. Avsluttende betraktninger

Kombinasjonen av horisontale- og vertikale regelverk, ufravikelige- og fravikelige regler og ulik praksis knyttet til hvordan data kan og bør reguleres i en avtale, gjør spørsmålet om eierskap til data utfordrende. De faktiske forholdene: verdikjeder med flere aktører, datakilder, algoritmer og ikke minst interesser bidrar til å øke denne kompleksiteten.

Basert på gjennomgangen i denne artikkelen, kan følgende tilnærming til spørsmål om datadeling oppstilles. For det første vil en eiers råderett til data bero på hvilke rettigheter og begrensninger som kan utledes fra gjeldende lovgivning. Den kan både være tale om horisontal lovgivning som gjelder på tvers av sektor og rettsområde, eller vertikal lovgivning som regulerer bestemte kategorier data, for eksempel helsedata. Begge typer lovgivning kan oppstille rettigheter og begrensninger knyttet til de aktuelle dataene. Utover begrensningene i eventuell lovgivning, vil partene stå fri til å avtale vilkår og betingelser for delingen og bruk av av de aktuelle dataene, såfremt disse er innenfor avtalerettens rammer.

Fokuset i denne artikkelen har vært å redegjøre for når et eierskap til data inntreffer eller opphører, og hva et slikt eierskap innebærer. Den fragmenterte rettstilstanden innebærer at svaret på disse spørsmålene vil bero på hvorvidt de aktuelle dataene er regulert i lovgivning og/eller avtale. Det er imidlertid viktig å understreke at selve kompleksiteten knyttet til datadeling, materialiserer seg først når data skal avtalereguleres. Det er særlige tre utfordringer som ofte oversees på kontraktsstadiet og som kan gjøre nevneverdig skade når de materialiserer seg.

For det første vil en datadelingsavtale kun oppstille rettigheter og plikter for avtalepartene. En datatilbyder vil dermed ikke kunne gjøre en datadelingsavtale gjeldende ovenfor tredjeparter. I praksis betyr det at en datatilbyder står uten mulighet til å kreve erstatning eller gjøre gjeldende andre misligholdsbeføyelser av en tredjepart som på uberettiget grunnlag, får tilgang til dataene eller misbruker dataene. Dette forutsetter naturligvis at datatilbyder ikke har rettigheter etter øvrige regelverk; åndsverkloven, lov om forretningshemmeligheter mv. Dette betyr at en datatilbyder bør sørge for å ha en mekanisme på plass, utenom datadelingsavtalen, som vil kunne beskytte dataene fra utnyttelse av en tredjepart. I praksis vil ofte kryptering kombinert med tilgangsnøkler benyttes der det er tale om viktige data.

For det andre kan fraværet av en rettslig legaldefinisjon medføre tolkningstvil, egne vidtrekkende tolkninger eller uenighet. Eksempelvis vil avtalepartene kunne ha vidt forskjellige definisjoner av uttrykkene «data» eller «eierskap». Noe som vil kunne resultere i en rekke uforutsette utfordringer eller utilsiktede konsekvenser. Datadelingsavtaler krever med andre ord presise angivelser av de forholdene som avtalen tar sikte på å regulere, i mangel av legaldefinisjoner og etablerte bransjedefinisjoner.

For det tredje må det utvises varsomhet knyttet til bruk av forbud eller restriktive klausuler i en datadelingsavtale, ettersom disse vil kunne etter sitt innhold utgjøre en begrensning på avtalens oppfyllelse.

Deling og bruk av data er ikke et fenomen begrenset til bestemte land, næringer eller sektorer. Videre kan det være vidt forskjellige behov og interesser som skal ivaretas og store forskjeller mellom de ulike verdikjedene, både når det gjelder datakilder og aktører. Det er derfor vanskelig å kommunisere gode juridiske råd som kan anvendes på tvers av næring eller sektor. Denne artikkelen er et ydmykt forsøk i den retning, men det må understrekes at det er stor bredde i hva som defineres som data, og det er dermed mange rettsregler som kan få betydning for både eierskap, deling og bruk av data. Reglenes fragmenterte karakter gir uklare kontaktflater og en grobunn for vanskelige og sammensatte rettsspørsmål. Dette kombinert med at det skal navigeres i EU-lovgivning, nasjonal lovgivning og kontrakter, bidrar til å øke den juridiske usikkerhet for den enkelte som skal vurdere hva de kan og ikke kan gjøre med data. I tillegg til denne usikkerheten, foreligger det en risiko for at en aktør deler data på en slik måte at de havner i ansvar – enten ved at delingen skjer på ulovlig vis eller ved at dataene inkriminerer datatilbyderen i et eller flere lovbrudd. Disse to forholdene i sum – juridisk usikkerhet og risiko – innebærer at det bør utvises en viss form for varsomhet ved deling av data og at slik deling ikke bør skje ukritisk.

 

https://lod.lovdata.no/article/2023/12/Et%20dypdykk%20i%20juridiske%20spørsmål

:

Av Svenn Dybvik - Söndag 10 mars 20:24

Arbeidet med en FN-konvensjon om cyber­kriminalitet

 

1. Innledning

Cyberkriminalitet er straffbare handlinger som er begått i cyberspace, og må som andre straffbare handlinger etterforskes og pådømmes både nasjonalt og internasjonalt. Den teknologiske utvikling i cyberspace har vært så hurtig og overveldende at samfunnet har problemer med å tilpasse lovgivning, kontroll- og sikkerhetstiltak. Nye former for internasjonale lovtiltak med sikte på å forebygge og bekjempe cyberkriminalitet er nødvendig og må føre til tiltak på FN-nivå. Det er et sterkt behov for et effektivt internasjonalt samarbeid i forebygging og etterforsking av globale cyberangrep og annen cyberkriminalitet og sikring av elektroniske bevis i slike saker.

Formålet med en FN-konvensjon bør være å harmonisere landenes straffelovgivning om cyberkriminalitet. Utviklingen av alvorlige cyberangrep mot enkeltlandenes kritiske informasjonsinfrastruktur har vist nødvendigheten av å etablere standarder for straffebestemmelser i internasjonale regelverk. Konvensjonen må verne om fundamentale rettigheter innen personvern og menneskerettigheter og være i overensstemmelse med forpliktelsene i internasjonale lovverk om menneskerettigheter. Forebyggende virkemidler, etterforsking, påtale og domstolsbehandling må baseres på lovgivning og være under domstolskontroll. De rettighetene som har et vern offline, må også få et tilsvarende vern online.

Utviklingen av alvorlige globale cyberangrep og annen grenseoverskridende cyberkriminalitet har ført til at få personer har blitt etterforsket og pådømt for slike handlinger. Angrepene på Stortinget i 2020 og 2021 viser hvordan situasjonen har blitt. Internasjonal koordinering og samarbeid er nødvendig for å etterforske og påtale global cyberkriminalitet. For å forebygge lignende angrep som på Kongressen i USA i andre land, bør det vedtas prinsipper for cybersikkerhet og cyberkriminalitet på FN-nivå.

Formålet med en FN-konvensjon bør være å harmonisere landenes straffelovgivning om cyberkriminalitet. Utviklingen av alvorlige cyberangrep mot enkeltlandenes kritiske informasjonsinfrastruktur har vist nødvendigheten av å etablere standarder for straffebestemmelser i internasjonale regelverk.

En FN-konvensjon om cyberkriminalitet er nødvendig for å oppnå globale standarder for sikkerhet, fred og rettsikkerhet i cyberspace. Generalforsamlingen i FN hadde fra år 2000 vedtatt en rekke resolusjoner, og deltatt i den globale utvikling for regulering av cyberspace. FN-organisasjoner, slik som International Telecommunication Union (ITU) i Geneve, og United Nations Office for Drug and Crime (UNODC) i Wien, ble også ledende organisasjoner i denne utviklingen. Det er nødvendig at FN igjen etablerer globale rammeverk og retningslinjer for cyberspace og styrker cybersikkerheten, rettssikkerheten og samarbeidet mellom alle nasjoner.

Utviklingen av globale IT-selskaper slik som Google, Facebook, Apple, Amazon og Microsoft har vært så altomfattende at disse private globale selskapene nå styrer utviklingen av cyberspace uten nasjonale eller globale reguleringer og retningslinjer. Det kan anføres at disse globale selskapene er blitt ledende organisasjoner for styringen av Internet Governance i stedet for FN-institusjonene. Puss futen på dem, skrev Aftenposten allerede 6. februar 2018 og viste til at Google, Facebook, Apple og Amazon tappet Norge for enorme verdier. Et alternativ til FN finnes ikke!

 

Prinsippet om Staters suverenitet får også anvendelse i cyberspace. Enkeltstatene har suverenitet med hensyn til all cyber infrastruktur, personer, og cyber aktiviteter innenfor sitt eget territorium. Land over hele verden er nå blitt klar over at cyberspace må bli regulert for å beskytte enkeltlandenes suverenitet, de nasjonale informasjon infrastrukturer, og landenes innbyggere. Søking etter en global felles løsning for lovregulering, og en felles forståelse for behovet for dialoger om cybersikkerhet og cyberkriminalitet har vært i fokus for enkeltlandenes ledere og lovgivere.

Prinsippet om Staters suverenitet for også anvendelse i cyberspace. Enkelt­statene har suverenitet med hensyn til all cyber infrastruktur, personer, og cyber aktiviteter innenfor sitt eget territorium.

INTERPOL søker å etablere en global koordinering i etterforsking av cyberkriminalitet, og støtter etterforskingen for politimyndigheter i alle sine 195 medlemsland.

Flere enn 125 land har signert eller ratifisert forskjellige konvensjoner, deklarasjoner, retningslinjer, og avtaler om cyberkriminalitet, og det har medført en meget fragmentert situasjon i verden.

Er det mulig å oppnå global enighet om en FN-konvensjon for cyberkriminalitet? Basert også på mange av artiklene i Europarådets Budapest konvensjon og forslag fra flere medlemsland i FN?

 

2. Vedtak i FN

Generalforsamlingen i FN Third Committee in its Seventy-third session, vedtok 2. november 2018 en resolusjon(1) om Countering the Use of Information and Communication Technologies for Criminal Purposes. Resolusjonen ble vedtatt av 85 land, mens 55 land stemte imot, og 29 land avsto fra å stemme. Resolusjonen omfattet blant annet følgende:

1. Requests the Secretary-General to seek the views of Member States on the challenges they face in countering the use of information and communications technologies for criminal purposes and to present a report based on those views for consideration by the General Assembly at its seventy-fourth session.

Bakgrunnen for utredning og forslag om en FN-konvensjon var et initiativ fra Russland i 2017, som ble støttet av Cambodia, Belarus, Kina, Iran, Myanmar, Nicaragua, Syria og Venezuela.(2)

Generalforsamlingen i FN vedtok 25. november 2019 den andre resolusjon(3)om Countering the use of information and communications technologies for criminal purposes. Resolusjonen ble vedtatt av 88 land, mens 58 land stemte imot, og 34 land avsto fra å stemme. Resolusjonen omfattet blant annet følgende:

Reaffirming the importance of respect for human rights and fundamental freedoms in the use of information and communications technologies:

3. Also decides that the ad hoc committee shall convene a three-day organizational session in August 2020, in New York, in order to agree on an outline and modalities for its further activities, to be submitted to the General Assembly at its seventy-fifth session for its consideration and approval.

Generalforsamlingen i FN vedtok den tredje resolusjonen den 27. desember 2019(4) om Countering the use of information and communications technologies for criminal purposes. Denne gang ble resolusjonen vedtatt av 79 land, mens 60 land stemte imot, og 30 land avsto fra å stemme.

FN etablerte deretter en Ad Hoc-komite som skulle utarbeide et forslag til konvensjon. Sekretariatet ble vedtatt å være i UNODC i Wien. Generalforsamlingen i FN besluttet den 6. august 2020 at som følge av den globale situasjonen som koronaviruset (covid-19) skapte, måtte møtet i 2020 utsettes. Møtet til drøftelse av grunnlaget og fremdriften for Ad Hoc-komiteen skulle berammes så snart situasjonen tillot det, men ikke senere enn 1. mars 2021. Møtet ble 15. januar 2021 ytterligere utsatt til 10.–12. mai 2021.(5)

 

3. Arbeidet i Ad Hoc-komiteen

Ad Hoc-komiteen begynte sitt arbeid i 2021. Det er hittil gjennomført seks møter, Sessions, fra januar 2022 og frem til august 2023 med deltakelse av FNs medlemsland og inviterte eksterne deltakere. I samme periode er det gjennomført fem internasjonale konsultasjoner mellom medlemslandene og de eksterne organisasjoner som var oppnevnt som deltakere i Ad Hoc-komiteen, Intersessional Consultations. Den avsluttende session, Concluding Session, skal gjennomføres 29. Januar–9. februar 2024.

Det første forslag om en FN-konvensjon ble utarbeidet 7. november 2022 og skulle drøftes på de enkelte Sessions av medlemslandene og de eksterne deltakere. Den første Session ble holdt 28. februar–11. mars 2022. Etter den femte Session i april 2023 utarbeidet Ad Hoc komiteen den 29. mai 2023 et nytt forslag om en konvensjon med 67 Artikler.(6)

Jeg ble 20. januar 2022 oppnevnt av FN som en Civil society delegate in the United Nations Ad Hoc Committee, som den eneste Civil Society representant fra de nordiske land. Jeg skrev flere innspill, contributionsfor sessions. Mitt første innspill var 19. april 2022:(7)Proposal for a United Nations Convention on Cybercrime. Det andre innspill var 2. januar 2023:(8)

A Proposal for a United Nations Convention on Cybercrime. Det tredje ble også avgitt 2. januar 2023(9) og jeg foreslo da at Ad Hoc-komiteen skulle drøfte forslag om ytterligere Artikler som kunne inntas i FN-konvensjonen og nevnte:

Grooming or procuring of a child for sexual purposes through a computer system, Encouragement of or coercion to suicide, Cyberattacks on critical communications and information infrastructures, Ransomware attack, Smart technology, Online child sexual abuse and sexual exploitation, Nonconsensual dissemination of intimate images, Identity Theft.

Det fjerde innspill gjorde jeg 3. juli 2023, og sendte et forslag til Ad Hoc-sekretariatet:(10)Proposal for a United Nations Convention on Cybercrime – Report from a Civil Society Delegate. Det femte innspill inneholdt det samme forslaget som det fjerde med enkelte tillegg, og ble sent den 15. november 2023.

 

4. Mitt forslag til FN konvesjon om cyberkriminalitet

Betegnelsen «cybercrime» er blitt brukt i alle globale diskusjoner de siste 15–20 år. Vi er ikke vant med betegnelser som the use of information and communications technologies for criminal purposes. I uttalelsene fra medlemsland i FN synes det å være flertall for at konvensjonen burde ha en tittel som inneholder betegnelsen cybercrime.

Jeg kan ikke anbefale forslaget fra sekretariatet i Ad Hoc-komiteen av 29. mai 2023 om en FN konvensjon, og har derfor utarbeidet mitt eget forslag til en FN konvensjon om cyberkriminalitet. Mitt forslag inneholder muligheter for enighet i den polariserte globale situasjonen for lovtiltak mot cyberkriminalitet, og bygger derfor også på Budapest konvensjonen.

Mitt forslag inneholder muligheter for enighet i den polariserte globale situasjonen for lovtiltak mot cyberkriminalitet, og bygger derfor også på Budapest konvensjonen.

4.1 FN konvensjonen om cyberkriminalitet må bli basert på mange artikler i Budapest konvensjon og forslag fra medlemsland

Europarådets konvensjon om cyberkriminalitet av 2001, også betegnet som Budapest konvensjonen, ble åpnet for signering den 23. november 2001.(11) Konvensjonen er ratifisert av 68 land, med 23 land utenfor Europa (november 2023). Brasil er det siste land som hittil har ratifisert konvensjonen den 30. november 2022. Konvensjonen er signert, men ikke ratifisert av 2 land.

Som formann i en arbeidsgruppe for FN organet International Telecommunications Union (ITU) i Geneve i 2007–2008 uttalte jeg i en Global Cybersecurity Agenda (GCA) Chairman Report (2008):(12)

We considered the Budapest Convention as an example of legal measures realized as a regional initiative, and that countries should complete its ratification, or consider the possibility of acceding to the Convention. Other countries should, or may want to, use the Convention as a guideline, or as a reference for developing their internal legislation, by implementing the standards and principles it contains, in accordance with their own legal systems and practice.

Det er antatt at 106 land har brukt konvensjonen som en referanse ved utviklingen av sin straffelovgivning ved å vedta konvensjonens standarder og prinsipper. Konvensjonen har gitt sin redegjørelse av innholdet i en Explanatory Report. Konvensjonen fikk sin andre Additional Report som ble vedtatt 23. november 2023, i forbindelse med konvensjonens 20 års jubileum.

Jeg foreslår at forslaget til FN konvensjon om cyberkriminalitet i kapitlene I–IV skal inneholde 22 Artikler fra Budapest konvensjonen. Forslaget til konvensjon bør også inneholde tre Artikler fra medlemslandene, to Artikler fra INTERPOL, en Artikkel fra et Universitet, og en Artikkel fra forfatteren av denne rapport. Det bør også diskuteres ytterligere Artikler.

 

4.2 Additional Protocol

Jeg foreslår at forslaget om FN-konvensjon fra Ad Hoc-sekretariatet ikke skal omfatte kapitlene V–IX (Artiklene 35–67). Disse Artikler har ikke betydning for innholdet i konvensjonen, og bør eventuelt bli omhandlet i en Additional Report med egen signering og ratifikasjon, slik som til Budapest konvensjonen. Innholdet i Artiklene i disse kapitler angår statlige saksbehandlinger og angår ikke substantive bestemmelser i straffeloven eller bestemmelser i straffeprosessloven. Det blir også veldig mange Artikler når man søker etter en global enighet om en konvensjon for cyberkriminalitet. Innholdet i en slik Additional Protocol bør også drøftes med INTERPOL, fordi denne globale organisasjonen kan koordinere innholdet i de fleste Artikler i kapitlene V–IX.

Siden jeg foreslår at innholdet i en FN konvensjon om cyberkriminalitet ikke skal omfatte kapitlene V–IX, men at innholdet i stedet blir utviklet i en Additional Report, bør konvensjonens Artikler om Reservation og Declaration bli tilføyet i mitt forslag kapittel IV, i Artiklene 38 og 39 basert på Budapest konvensjonen.

 

4.3 Prinsippene om statlig suverenitet gjelder også i cyberspace

I de senere årene er det særlig rapporten The Tallinn Manual 2.0(13)on the International Law Applicable to Cyber Operations som drøfter de grunnleggende prinsippene om statlig suverenitet. Innholdet er globalpolitisk nøytralt, og representerer ikke lovreguleringen i noen land eller internasjonale organisasjoner. Rapporten ble publisert av Cambridge University Press i februar 2017.Innholdet i rapporten representerer ekspertenes personlige faglige oppfatning. Bestemmelsene i Tallinn Manual 2.0 omfatter slike emner som suverenitet, statlig ansvar, menneskerettigheter og lovgivning for sjø, luftfart og himmelrommet.

The Tallinn Manual 2.0 er et uavhengig akademisk forskningsprosjekt som ble gjennomført av en internasjonal ekspertgruppe etter invitasjon av NATO Cooperative Cyber Defence Center of Excellence. Prinsippene om den nasjonale suvereniteten i cyberspace har dette innholdet:

Rule 1: The principle of State sovereignty applies in cyberspace.

Rule 2: A State enjoys sovereign authority with regard to the cyber infrastructure, persons, and cyber activities located within its territory, subject to its international legal obligations. Rule 3: A State is free to conduct cyber activities in its international relations, subject to any contrary rule of international law binding on it.

Rule 4: A State must not conduct cyber operations that violate the sovereignty of another State.

Prinsippet om den nasjonale suvereniteten i cyberspace gjelder også for Norge. Norge har som andre stater rett til å regulere all aktivitet i den digitale infrastrukturen i cyberspace som er lokalisert på eller fra norsk territorium.

Høyesterett har i en avgjørelse i HR-2019-610-A(14) en referanse til Tallinn Manual 2.0. Saken omhandlet spørsmålet om politiet har tilgang til datamateriale som et selskap basert i Norge hadde lagret på servere i utlandet «i skyen». Førstvoterende uttaler blant annet:

For så vidt gjelder internasjonal litteratur begrenser jeg meg til å vise til «Tallinn Manual 2.0 on the International Law Applicable to Cyber Operations» fra 2017. Manualen er utarbeidet med deltakelse fra en rekke internasjonale eksperter etter invitasjon fra «the NATO Cooperative Cyber Defence Centre of Excellence». Under den forklarende teksten til «Rule 11 – Extraterritorial enforcement jurisdiction» fremheves at det kan være vanskeligåavgjøre jurisdiksjonsspørsmål «inthe cyber context», se avsnitt 12. Jeg oppfatter rapporten slik at ekspertene – i favør avågodta territorial jurisdiksjon – blant annet legger vekt påom det aktuelle materialet «ismeant to be accessible from the State concerned», se avsnitt 13, og om tilgang tilmaterialet kan oppnås vedåanvende statens tvangsjurisdiksjon overfor rettssubjekter som befinner seg i landet, se avsnitt 16 og 17.

Prinsippene om statlig suverenitet er også omhandlet i andre FN-konvensjoner, som UNTOC og UNCAC, og det bør også henvises til disse.

 

4.4 INTERPOL har en global rolle

INTERPOL(15) har siden the First Interpol Training Seminar for Investigators of Computer Crime, in Saint-Cloud, Paris, December 7–11, 1981(16)vært den ledende internasjonale politiorganisasjon i den globale forebygging og etterforsking av cyberkriminalitet.

INTERPOL har sitt hovedkvarter i Lyon, Frankrike. INTERPOL tilrettelegger den globale koordinering i etterforsking av cyberkriminalitet og tilbyr global støtte og bistand til politimyndigheter i alle sine 195 medlemsland. INTERPOL er en uavhengig internasjonal organisasjon som søker å tilrettelegge og gi den best mulige gjensidige støtte mellom de enkelte lands politimyndigheter innenfor rammen av landenes lovgivning, og den internasjonale deklarasjon om menneskerettigheter (the Universal Declaration of Human Rights).

INTERPOL gir også medlemslandene støtte i teknikk, analyser, trening, og nettverk i etterforskingen av cyberkriminalitet, og i tillegg forskning på utviklingen av den globale cyberkriminalitet. INTERPOL har etablert et globalt 24/7 kommunikasjonssystem, hvor INTERPOL samler, lagrer, analyserer, og deler opplysninger om cyberkriminalitet med alle sine medlemsland. INTERPOL har også inngått samarbeidsavtaler med andre globale organisasjoner og den private sektor.(17)

Som følge av det nøytrale og internasjonalt godkjente nettverk, har INTERPOL muligheten for å være en global tilbyder av et stort antall tjenester, plattformer, og virkemidler i kampen mot cyberkriminalitet. Siden nasjonale og regionale tiltak ikke lenger er tilstrekkelig, vil INTERPOL være den organisasjon som tilrettelegger det internasjonale samarbeidet som en nøytral sammenkobler.

Artikler som angår den globale koordinering fra INTERPOL bør vedtas i en FN-konvensjon om cyberkriminalitet. INTERPOL er ikke nevnt i forslagene til FN-konvensjon som er publisert av Ad Hoc-sekretariatet. Jeg foreslår at en FN-konvensjon skal inneholde tre Artikler som omhandler INTERPOL.

 

5. Lovlig tilgang til data som lagres eller kommuniseres

Et økende problem i mange land er politimyndighetenes manglende muligheter å få lovlig tilgang til data som lagres eller kommuniseres. Alle tilbydere av Internett skulle etterkomme en begjæring om tilgang når det foreligger et pålegg fra en domstol, og kunnskap om data er nødvendig for en etterforsking eller offentlig sikkerhet.

Justisdepartementet i USA arrangerte 4. oktober 2019 en konferanse som ble betegnet som Lawful Access Summit.(18)Temaet for konferansen var Warrant-proof encryption. Formålet med konferansen var å diskutere at IT-selskapene skulle åpne sine krypteringer for politietterforsking, og et problem ble fremhevet: Have encryption schemes turned Internet into a lawless space?

Direktøren for FBI Christopher Wray uttalte på konferansen blant annet følgende:

I can tell you that police chief after police chief, sheriff after sheriff, our closest foreign partners and other key professionals are raising this issue with growing concern and urgency. They keep telling us that their work is too often blocked by encryption schemes that don’t provide for lawful access. So, while we’re big believers in privacy and security, we also have a duty to protect the American people.

Et forslag om rettslige tiltak mot bruk av kryptering kan også følge anbefalingene som allerede i 1995 ble vedtatt av Europarådet:(19)

Legal measures should be considered to minimize the negative effects of the use of cryptography on the investigation of criminal offences, without affecting its legitimate use more than is strictly necessary.

EU har 16. februar 2023 publisert: Law Enforcement – Operational Needs for Lawful Access to Communications (LEON):(20)

LEON is the outcome of work undertaken by Swedish law enforcement agencies, in close co-operation with law enforcement representatives in EU Member States, North America and Australia. The aim is to identify and describe the law enforcement needs for lawful access to communications content, content related data and subscriber information.

As discussed at the informal meeting of JHA-Council on 26–27 January 2023, the Presidency recognizes the need for a broad discussion on EU-action to enhancing and improving the access to data, electronic evidence and information for law enforcement purposes and judicial purposes.

 

6. Kriminalitet ved bruk av kunstig intelligens (KI/AI)

Europol har 27. mars 2023 publisert opplysninger om nye trusler fra cyberkriminalitet ved bruk av teknologien for kunstig intelligens (Artificial Intelligence (AI)),(21) som ChatGPT og lignende tjenester.

Følgende tre grupper av kriminalitet er blant de mest bekymringsfulle for Europol:

  • Fraud and social engineering: ChatGPT’s ability to draft highly realistic text makes it a useful tool for phishing purposes. The ability to re-produce language patterns can be used to impersonate the style of speech of specific individuals or groups. This capability can be abused at scale to mislead potential victims into placing their trust in the hands of criminal actors.

  • Disinformation: ChatGPT excels at producing authentic sounding text at speed and scale. This makes the model ideal for propaganda and disinformation purposes, as it allows users to generate and spread messages reflecting a specific narrative with relatively little effort.

  • Cybercrime: In addition to generating human-like language, ChatGPT is capable of producing code in a number of different programming languages. For a potential criminal with little technical knowledge, this is an invaluable resource to produce malicious code.

INTERPOL har også i juni 2023 publisert The Toolkit for Responsible AI Innovation in Law Enforcement (AI Toolkit), som vil være en hjelp for politimyndigheter når det gjelder bruk av AI.(22)

EU utarbeider i 2023 forslag om en AI Act – Regulatory framework proposal on artificial intelligence.(23)

Det første verdensomspennende toppmøtet om kunstig intelligens AI Safety Summit 2023,(24) ble holdt i Bletchley Park, Buckinghamshire, England, 1–2. november 2023. Det var 27 land, i tillegg til EU, som deltok på møtet, og undertegnet en erklæring.(25) Norge ble ikke invitert.

Europol har 27. mars 2023 publisert opplysninger om nye trusler fra cyberkriminalitet ved bruk av teknologien for kunstig intelligens (Artificial Intelligence (AI)), som ChatGPT og lignende tjenester.

I Norge har Kripos 21. august 2023 publisert en rapport om kunstig intelligens og kriminalitet: Generativ kunstig intelligens vil føre til mer cyberkriminalitet.(26) Nasjonal Sikkerhetsmyndighet (NSM) har også publisert sine råd i oktober 2023.(27)

Jeg foreslo for Ad Hoc komiteen i juni 2023 at komiteen skulle etablere en ekspertgruppe som kunne avgi en Report on the Criminal use ofChatGPT, med forslag om reguleringstiltak. Utviklingen av tiltak om reguleringer av Artificial Intelligence i andre internasjonale organisasjoner bør følges nøye. Særlig gjelder det EU, G-7 gruppen av medlemsland, Europol, og Senatet i USA.

Forslaget ble ikke etterkommet.

Artificial Intelligence and Law ble allerede utredet internasjonalt i 1990 årene. Professor Jon Bing og jeg etablerte sammen forskning og utredninger om bruk av ArtificialIntelligence and Law – Rettslige beslutningsstøttesystemer, på Institutt for rettsinformatikk (IRI) i 1990-årene. Vi deltok på flere internasjonale konferanser, som arrangører, foredragsholdere eller deltakere. Jeg deltok på Technology Renaissance Courts Conference som var en global konferanse for domstoler i alle land, og ble arrangert i Singapore i september 1996. Mitt viktigste minne fra konferansen var at deltagerne i konferansesalen fikk en hilsen fra høyesterettsjustitiarius Carsten Smith, Norge, som ikke hadde anledning til å delta. Hans hilsen ble vist oss på en storskjerm med blant annet følgende uttalelse:(28)

We must never forget that the main element in the judicial process is the human element – combined with the touch of the heart – to balance conflicting interests.

The Seventh International Conference on Artificial Intelligence and Law (ICAIL-99) ble holdt på Universitetet i Oslo i juni 1999. Etter konferansen ble Jon Bing og jeg enige om å avslutte vår forskning, etter å ha lyttet til rådene fra Carsten Smith.

Vi bør også i dag lytte til rådene fra høyesterettsjustitiarius Carsten Smith, som ble avgitt på en internasjonal konferanse for domstoler i Singapore i september 1996. Regulering eller forbud mot bruk av AI-systemer bør vurderes innført både i tvistemålsloven og i straffeprosessloven.

 

https://lod.lovdata.no/article/2023/12/Arbeidet%20med%20en%20FN%20konvensjon%20om%20cyberkriminalitet

:

Av Svenn Dybvik - Lördag 9 mars 20:24

Datatilsynet mener det kreves et nytt rettslig grunnlag for behandling av personopplysninger for nye og forenelige formål – tar tilsynet feil?

 

1. Introduksjon av problemstillingen – forholdet mellom personvernforordningen artikkel 6 nr. 1 og artikkel 6 nr. 4

Innovasjon, effektivisering og datadeling er i vinden både nasjonalt og i EU om dagen. Kunstig intelligens (KI) er på alles lepper og krever bruk av data for trening og vedlikehold.

Personvernforordningen (GDPR) er ett av mange regelverk som treffer dette landskapet og setter grenser for hvordan personopplysninger kan brukes til å utvikle KI. Som Datatilsynets sandkasse for kunstig intelligens har vist, er det ofte snakk om å gjenbruke personopplysninger som virksomheten allerede besitter.(1) Man skal for eksempel effektivisere saksbehandling, få ny innsikt i eksisterende data eller tilby en ny tjeneste.

Et sentralt spørsmål som dukker opp i denne forbindelse er forholdet mellom prinsippet om formålsbegrensning i personvernforordningen artikkel 5 nr. 1 bokstav b og lovlighetsprinsippet i bokstav a.

Når man skal bruke personopplysninger en virksomhet allerede har til et nytt formål: kreves det da et nytt behandlingsgrunnlag?

Det følger av formålsbegrensningsprinsippet i personvernforordningen artikkel 5 nr. 1 bokstav b) at personopplysninger kun skal «…samles inn for spesifikke, uttrykkelig angitte og berettigede formål og ikke viderebehandles på en måte som er uforenlig med disse formålene».

Et sentralt spørsmål som dukker opp i denne forbindelse er forholdet mellom prinsippet om formålsbegrensning i personvernforordningen artikkel 5 nr. 1 bokstav b og lovlighetsprinsippet i bokstav a.

I henhold til artikkel 6 nr. 1 er en behandling av personopplysninger bare lovlig dersom ett av vilkårene i 6 nr. 1 bokstav a til f er oppfylt. Artikkel 6 nr. 1 er et utslag av lovlighetsprinsippet jf. artikkel 5 nr. 1 bokstav a.

Artikkel 6 nr. 4 sier at dersom det skal foretas en behandling for et annet formål enn hva personopplysningene ble innsamlet for så skal det i utgangspunktet vurderes om dette er forenlig med formålet som de ble samlet inn for jf. formålsprinsippet/formålsbegrensning, artikkel 5 nr. 1 bokstav b.

Personopplysninger skal i utgangspunktet kun behandles for det spesifikt angitte formålet de opprinnelig er samlet inn for. Personvernforordningen artikkel 6 nr. 4 åpner imidlertid for at man kan gjennomføre behandling for andre formål enn det opprinnelige dersom den nye behandlingen, ofte omtalt som viderebehandling, har et formål som etter en konkret vurdering kan anses forenlig med det opprinnelige.

Formålsbegrensningsprinsippet er et av de grunnleggende personvernprinsippene og kan dateres tilbake til 1980 og OECDs retningslinjer innen personvern.(2) Det er ikke uenighet om at formålsbegrensningsprinsippet er et grunnleggende utgangspunkt i personvernretten og at uforenlige formål kun er tillatt dersom det følger av lov eller den registrerte har samtykket til dette. Det ser imidlertid ut til at det foreligger ulike oppfatninger av rettstilstanden når det gjelder om det er krav om nytt behandlingsgrunnlag ved viderebehandling av personopplysninger til nye formål eller om viderebehandling til forenlige formål kan hjemles i det opprinnelige behandlingsgrunnlaget.

Blant mange jurister er den klare oppfatning at dersom en behandlingsansvarlig skal behandle personopplysninger for et nytt formål, og dette nye formålet anses å være forenlig med det opprinnelige formålet etter en vurdering etter artikkel 6 nr. 4, er det ikke nødvendig å ha et eget behandlingsgrunnlag etter artikkel 6 nr. 1. Kravet til lovlighet er etter denne oppfatningen oppfylt dersom man har bestått forenlighetsvurderingen som artikkel 6 nr. 4 legger opp til

Kravene til forenlighet følger av personvernforordningens fortalepunkt 50 og artikkel 6 nr. 4.

Behandling av personopplysninger for andre formål enn de formål personopplysningene opprinnelig ble samlet inn for, bør bare være tillatt dersom behandlingen er forenlig med formålene som personopplysningene opprinnelig ble samlet inn for. I et slikt tilfelle kreves det ikke et annet rettslig grunnlag enn det som ligger til grunn for innsamlingen av personopplysninger(vår uthevning)

Denne oppfatningen kan forankres både i fortalepunkt 50 og juridisk teori, blant annet den norske kommentarutgaven fra Skullerud m.fl(3)

Datatilsynet er imidlertid av en annen oppfatning. I vedtak 20/01626-7 (vedtak om overtredelsesgebyr mot NIF) bemerker Datatilsynet følgende:

For behandling av personopplysninger for et annet formål enn det som personopplysningene ble samlet inn for, er det to kumulative krav i personvernforordningen. For det første kreves det, som ved all behandling av personopplysninger, at behandlingen har et rettslig grunnlag i artikkel 6 nr. 1 for å være lovlig. I tillegg kreves det at det nye formålet med behandlingen av personopplysninger er forenelig med formålet personopplysningene ble samlet inn for, jf. artikkel 6 nr. 4. Det er et unntak fra dette vilkåret dersom den nye behandlingen bygger på den registrertes samtykke eller har hjemmel i lov, men det er klart at dette unntaket ikke kommer til anvendelse i denne saken

Datatilsynet legger følgelig til grunn at dersom en behandlingsansvarlig skal behandle personopplysninger for et nytt og forenlig formål må man i tillegg ha et nytt behandlingsgrunnlag i artikkel 6 nr. 1. Datatilsynets oppfatning er at forenlighetsvurderingen i seg selv ikke kan etablere slik lovlighet.

Denne artikkelen har to formål. For det første ønsker vi å gjøre kjent Datatilsynet sitt syn på forholdet mellom artikkel 6 nr. 1 og artikkel 6 nr. 4 da vår erfaring tilsier at mange ikke er kjent med dette. For det andre ønsker vi å gi innsikt i bakgrunnen for de to alternative standpunktene og med dette legge grunnlag for en videre diskusjon som kan bidra til avklaring av rettstilstanden.

 

2. Forenlighetsvurderingen

Artikkel 6 nr. 4 legger opp til en konkret og helhetlig vurdering, der alle vurderingstemaer nevnt i bestemmelsens bokstav a)–e) kan være av betydning. Vurderingstemaene skal imidlertid ikke anses som kumulative vilkår. Dette omtales ofte som forenlighetsvurderingen eller kompatibilitetstesten.

Etter personverndirektivet(4) var det også tydelig at personopplysninger ikke skulle behandles til uforenlige formål. Vurderingstemaer for å fastslå hva som skulle til for at formål ble ansett forenlig var imidlertid verken angitt i direktiv-teksten eller direktivets fortale. For veiledning til gjennomføring av forenlighetsvurderingen, utstedte artikkel 29-gruppen i 2013 sin «Opinion on the purpose limitation principle (WP 203)(5).

Etter bokstav a) må den behandlingsansvarlige vurdere «enhver forbindelse mellom formålene som personopplysningene er blitt samlet inn for, og formålene med den tiltenkte viderebehandlingen». Det følger av dette at den behandlingsansvarlige må vurdere om viderebehandlingen var mer eller mindre implisert i den opprinnelige, eller fremstår som et «logisk neste steg», eller om det kun er en delvis eller ikke-eksisterende kobling mellom formålene. Det følger av WP 203 at i begge tilfeller kan formålet anses forenlig, men jo større avstand mellom formålene jo mer utfordrende blir det å legge til grunn at det foreligger forenlighet.

Etter bokstav b) må den behandlingsansvarlige vurdere «i hvilken sammenheng personopplysningene er blitt samlet inn…» og i den sammenheng særlig se hen «…til forholdet mellom de registrerte og den behandlingsansvarlige». Dette momentet innebærer at en nærmere sammenheng formålene imellom vil trekke klarere i retning av forenelighet. Spennet går etter artikkel 29-gruppens tolkning mellom behandling som er «mer eller mindre implisert» i det opprinnelige formålet, eller i lys av det opprinnelige formålet fremstår som et «logisk neste steg», til tilfeller hvor det kun er en «delvis eller ikke-eksisterende» sammenheng med det opprinnelige formålet. Vurderingen tar utgangspunkt i de faktiske omstendighetene og hvordan et gitt formål «i alminnelighet oppfattes».

Den behandlingsansvarlige skal også vurdere «personopplysningenes art, især om særlige kategorier av personopplysninger «…eller om personopplysninger om straffedommer og lovovertredelser behandles», «de mulige konsekvensene av den tiltenkte viderebehandlingen for de registrerte» og «om det foreligger nødvendige garantier, som kan omfatte kryptering eller pseudonymisering». Forenlighets­vurderingen eller kompatabilitets­testen som den også kalles, er med andre ord svært omfattende. Hvis det nye formålet består denne testen, betyr det at formålet er forenlig.

Det er en omfattende vurdering den behandlingsansvarlige må gjennomføre og spørsmålet er hva som er gevinsten: er det begrenset til at personopplysningene ikke må samles inn på nytt dersom det foreligger et behandlingsgrunnlag for den nye behandlingen, eller innebærer det faktum at kompatibilitetstesten er bestått at også lovlighetskravet er oppfylt?

 

3. Alternativ 1: personopplysninger kan for forenlige formål viderebehandles med hjemmel i det opprinnelige behandlingsgrunnlaget

Det følger som nevnt av personvernforordningen artikkel 5 nr. 1 bokstav b) at personopplysninger kun skal «…samles inn for spesifikke, uttrykkelig angitte og berettigede formål og ikke viderebehandles på en måte som er uforenlig med disse formålene». Forenlighetsvurderingen er i dag nedfelt i artikkel 6 nr. 4 som angir at den behandlingsansvarlige må vurdere det nye formålet opp imot en rekke momenter oppstilt i bestemmelsen for å kunne fastslå om formålet er forenlig.

Dersom den behandlingsansvarlige etter gjennomføringen av denne vurderingen kommer til at det nye formålet er forenlig, er det relevante spørsmålet i denne sammenheng, om behandling til det nye formålet også er lovlig.

Det er verdt å merke seg at ulovlige eller usaklige formål aldri vil bestå forenlighetsvurderingen. Artikkel 6 nr. 4 angir imidlertid at også uforenlige formål kan gjennomføres forutsatt at de dekkes av et nytt samtykke eller at de har hjemmel i lov. Uforenlighet er med andre ord ikke det samme som et ulovlig eller usaklig formål. Det kan med dette anføres at det i personvernforordningen ikke er et totalt forbud mot uforenlige formål. Fordi bruk til slike formål avviker så mye fra det den behandlingsansvarlige opprinnelige hadde i tankene kan det imidlertid bare gjennomføres hvis innhentes et nytt samtykke eller i noen tilfeller at det foreligger hjemmel i lov.

Forenlighetsvurderingen er dessuten nedfelt i artikkel 6 som nettopp regulerer behandlingens lovlighet. En naturlig forståelse kan derfor være at når nytt formål består forenlighetsvurderingen (kompatabilitetstesten), vil dette samtidig innebære at lovlighetskravet er oppfylt. Dette fordi det nye formålet er så nært knyttet til det opprinnelige at det vil fremstå urimelig at den behandlingsansvarlige ikke skal kunne gjennomføre også behandling til dette formålet med utgangspunkt i det opprinnelige behandlingsgrunnlaget. Dette synet har også støtte i rettspraksis fra EU-domstolen, se for eksempel sak C-77/21.

Denne saken gjaldt en ungarsk leverandør av internett og TV, som brukte personopplysninger fra kundene til å tilby sine tjenester og samtidig lagret disse personopplysningene internt på en annen server med det formål å drive feilretting og sørge for tilgjengelighet til tjenesten. I denne saken viser domstolen til Generaladvokatens uttalelse i saken(6) som uttaler følgende om forbindelsen mellom lovlighetsprinsippet og formålsbegrensning:

Article 5(1)(b) of the GDPR does not contain any indication as to the conditions under which further processing for a purpose different from that of the initial collection of the data may be regarded as being compatible with the latter. Reference must be had, in that regard, to Article 6(4) of the GDPR, read in conjunction with recital 50 thereof, the content of which reflects a link between the principle of purpose limitation and the legal basis for the processing concerned.(7)

Ifølge Skullerud m.fl vil testen bidra til å avgjøre hvilke behandlingsoperasjoner som kan sies å falle inn under behandlingsformålet den behandlingsansvarlige opprinnelig fastsatte.(8) Dersom den nye behandlingen, eller behandlingsoperasjonen omfattes av det opprinnelige formålet, fremstår det også naturlig å legge til grunn at denne viderebehandlingen kan skje på grunnlag av det opprinnelige behandlingsgrunnlaget.

 

4. Alternativ 2: Forholdet mellom lovlighets- og formålsprinsippet tilsier at også behandling av personopplysninger til forenlige formål krever et eget behandlingsgrunnlag

Datatilsynet viser til at formåls- og lovlighetsprinsippet er to ulike prinsipper, som i utgangspunktet må holdes adskilt, til tross for at det er et nært forhold mellom dem.

En behandling er definert i artikkel 4 nr. 2 som:

(…) enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger, enten automatisert eller ikke, f.eks innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring

Definisjonen er veldig omfattende, og vil inkludere det meste man gjør med personopplysninger. For ett og samme formål er det derfor i utgangspunktet mulig å gjennomføre flere behandlinger av personopplysninger. Som et utgangspunkt skal enhver behandling av personopplysninger – til tross for at de er utført for samme formål – forankres i artikkel 6 nr. 1.

Det fremgår av Datatilsynets vedtak rettet mot NIF at vurderingen etter artikkel 6 nr. 4 som gjennomgått foran er en vurdering av om det nye formålet er forenlig, og dermed om hvorvidt den behandlingsansvarlige overholder prinsippet om formålsbegrensning i artikkel 5. Artikkel 6 nr. 1 knytter seg derimot til lovlighetsprinsippet og fordrer en vurdering av om de ulike behandlingsaktivitetene (som kan være utført for samme formål) har et behandlingsgrunnlag. Å forstå forenlighetsvurderingen i artikkel 6 nr. 4 som et unntak fra behovet for å vise at en behandling har et behandlingsgrunnlag blir derfor en blanding av to ulike prinsipper og vurderinger.

Imidlertid må dette nyanseres noe i lys av at definisjonen av en «behandling», og hvordan det er mulig å gruppere flere tilsynelatende selvstendige behandlingsaktiviteter sammen og betrakte dem til å være én enkelt behandling. En slik forståelse kan forankres i definisjonen av hva en «behandling» er, ettersom det vises til at én behandling kan bestå av en «(…) rekke av operasjoner som gjøres med personopplysninger (…)».

Skullerud mfl. (2019) viser som nevnt at flere operasjoner utført for samme formål kan anses til å være en enkelt behandling.(9) En slik forståelse kan være nyttig i praksis, ved at dette medfører at det ikke er nødvendig å, for eksempel, foreta en dokumentert vurdering hver eneste gang en virksomhet utfører flere behandlingsoperasjoner som har et nært, og tilnærmet sammenhengende, forhold. I et slikt tilfelle vil en samlet, dokumentert, vurdering av flere nærstående operasjoner kunne utføres samlet. Skullerud mfl. skriver videre hvordan det å knytte behandlingsbegrepet til formålet har en lang tradisjon etter personopplysningsloven av 2000.

Til tross for en nær relasjon mellom formålet til en behandling og definisjonen av en «behandling» foretar Høyesterett et klart skille mellom de to i den såkalte «avfallservice»-dommen (Rt-2013-143). I denne avgjørelsen vurderer Høyesterett forholdet mellom kravet til at behandlingen må være lovlig, og det at behandlingen av personopplysninger må være for et forenlig formål. Høyesterett konkluderer med at dette er to ulike spørsmål, og at begge må være oppfylt; behandlingen må være for et forenlig formål, og behandlingen som sådan må ha et behandlingsgrunnlag. Som ledd i denne begrunnelsen bemerker høyesterett hvordan forenlighetsvurderingen knytter seg til:

(…) et formålsprinsipp – også omtalt som finalité-prinsippet – som innebærer at innsamling av opplysninger skal skje til uttrykkelig angitte og saklige formål, og at senere behandling ikke må være uforenlig med disse formål

Følgelig er også Høyesterett tydelige på at dette er to ulike aspekter ved personopplysningsregelverket. Dette til tross for at forholdet mellom formålet til en behandling og definisjonen til hva en behandling har nær sammenheng. Personvernrådets (EDPB) forløper Artikkel 29-gruppen har tidligere kommet med uttalelser som støtter denne tolkningen(10)

 

5. Tar Datatilsynet feil?

5.1 Fortalepunkt 50)

Fortalen til personvernforordningen er ikke bindende, men den er likevel en kilde som det bør tas hensyn til der bestemmelsene skaper usikkerhet og åpner opp for flere tolkningsalternativer. Dette er også i tråd med EU-domstolens rettspraksis(11).

Datatilsynet ser imidlertid bort fra ordlyden i foretalepunkt 50 i sitt vedtak overfor NIF.

Det er visse holdepunkter for at fortalepunkt 50 ikke bør tillegges så stor vekt som en fortale vanligvis får. Bakgrunnen for dette er muligheten for at denne uttalelsen «henger igjen» fra et eldre utkast til personvernforordningen.(12) Et opprinnelig utkast av forordningen beskrev et meget bredt handlingsrom for nye behandlinger utført for nye formål, herunder at det skulle være mulig å behandle personopplysninger for nye formål såfremt de skulle utføres for en berettiget interesse. Dette skulle til og med inkludere uforenlige formål. Med en slik ordlyd fremstår det naturlig at den behandlingsansvarlige ikke skal trenge å foreta en ny vurdering etter artikkel 6 nr. 1. Denne ordlyden ble endret etter press fra, blant annet, Artikkel-29 gruppen.(13)

Artikkel 29-gruppen gir i denne anledning for øvrig en uttalelse som er egnet til å underbygge synet vårt, beskrevet i punkt 2.1 ovenfor. Artikkel 29-gruppen, i presseuttalelsen, kritiserer utkastet på, blant annet, følgende vis: «Such an approach, which conflates the notions of legal basis and further processing for compatible purpose (…)».

Det kan samtidig være at artikkel 6 nr. 4 ble justert på bakgrunn av disse innspillene, men ikke slik at artikkel 29-gruppens ståsted ivaretatt fullt ut. Det er for eksempel tydelig ut ifra ordlyden til artikkel 6 nr. 4 at uforenlige formål krever samtykke og lovhjemmel. Vi ser dessuten at EU i dag, med Kommisjonen som toneanførende part, fremhever verdien av data som sådan og i stor grad foreslår lovgivning som legger til rette for gjenbruk av data. Ved å beholde artikkel 6 nr. 4 som en del av artikkelen som regulerer lovlighet, og fortalepunkt 50 i dagens format, åpnet man for at gjenbruk for forenlige formål skulle være mulig.

EU-domstolen har imidlertid brukt fortalepunkt 50 som kilde ved tolkning av artikkel 6 nr. 4 ved flere anledninger, og har ikke oppstilt nytt grunnlag etter artikkel 6 nr. 1 som kriterium. Tvert om har EU-domstolen lagt vekt på forbindelsen mellom prinsippene om formålsbegrensning og lovlighetsprinsippet.(14)

5.2 Konsekvenser for den registrerte?

Konsekvensbetraktninger kan tale for å legge til grunn Datatilsynets syn.

Dersom en legger til grunn forståelsen i fortalen vil dette kunne medføre at det blir en større anledning til å foreta behandlinger for nye (forenlige) formål enn for det opprinnelige formålet. Dette fremstår ikke til å være i tråd med systemet til personvernforordningen. Personvernforordningen er strukturert ut fra en tanke om åpenhet og transparens ovenfor de registrerte. De registeret skal på tidspunktet for innsamlingen (dersom innsamlingen foretas direkte fra den registrerte) få informasjon om, blant annet, formålet med innsamlingen. Informasjonen som gis fra den behandlingsansvarlige vil typisk være essensiell for dens registrertes vurdering av, for eksempel, om en avtale skal inngås eller om et samtykke skal gis. Ved å kreve at behandlingene for nye formål skaloppfylle både artikkel 6 nr. 1 og artikkel 6 nr. 4, sørger man for at handlingsrommet blir mindre for behandlinger for nye formål.

I tillegg er det grunnlag for å vurdere hvilken betydning dette får for offentlige virksomheter som utøver offentlig myndighet. Det fremgår av artikkel 6 at offentlige myndigheter ikke skal ha muligheten til å benytte artikkel 6 nr. 1 bokstav f når de utfører sine oppgaver. Bakgrunnen for dette er at disse bør kunne basere seg på lovhjemmel. Imidlertid vil artikkel 6 nr. 4 være tilgjengelig for dem. Dette vil kunne føre til en utglidning der offentlige myndigheter konkluderer – etter en konkret skjønnsmessig vurdering – til at nye behandlingsaktiviteter for nye formål er akseptable, uten å vurdere artikkel 6 nr. 1 c eller e. I verste fall kan dette undergrave kravet om et supplerende rettsgrunnlag.

Samtidig vil det følge av artikkel 13 sammenholdt med artikkel 14 at den behandlingsansvarlige må informere de registrerte om det nye formålet. Den registrerte vil da kunne benytte sin rett til å protestere etter artikkel 21. Denne gjelder også for behandlinger hjemlet i artikkel 6 nr. 1 bokstav e) som

5.3 Enkelte formål er alltid forenlige

Det fremgår tydelig av artikkel 5 nr. 1 bokstav b) at enkelte formål som statistikk, arkivering, historisk eller vitenskapelig forskning alltid vil være forenlig. Det er imidlertid ikke bredt anført at denne type behandlinger skal skje uten at det foreligger et eget behandlingsgrunnlag. I norsk rett har vi dessuten fått på plass supplerende behandlingsgrunnlag for disse formålene i personopplysningsloven § 8 og § 9, hvilket kan tyde på at Stortinget er av den oppfatning at det er nødvendig med et selvstendig behandlingsgrunnlag.

 

6. Avsluttende betraktninger

Datatilsynets forståelse, til tross for å være i strid med fortalepunkt 50, sørger for at skillet mellom formålsprinsippet og lovlighetsprinsippet ivaretas. Videre vil standpunktet sikre at den behandlingsansvarlige ikke i realiteten ender opp med å få et bredere handlingsrom for behandlingsaktiviteter som er forankret i behandlinger for nye forenlige formål enn for de opprinnelige formålet.

Er det inkonsistens mellom personvernforordningens bestemmelser eller er det slik at Datatilsynet (og EDPB) ikke har tatt inn over seg lovgivers hensikt med artikkel 6 nr. 4)?

Men hva tilfører egentlig artikkel 6 nr. 4 tilfører dersom også forenlige formål der ny behandling ikke er dekket i et nytt samtykke eller et eget supplerende rettsgrunnlag, må ha et selvstendig behandlingsgrunnlag? Artikkel 6 nr. 4 fremstår å være tilnærmet uten verdi dersom det uavhengig av om formålet er uforenlig eller forenlig må foreligge et selvstendig behandlingsgrunnlag. Dette følger jo allerede av artikkel 5 nr. 1 bokstav a). En tolkning som sier at nr. 4 i artikkel 6 med overskriften Behandlingens lovlighet ikke betyr noe som helst, fremstår svært innskrenkende. EU-domstolen har som vi allerede har nevnt dessuten i sin rettspraksis ikke oppstilt nytt behandlingsgrunnlag som et tilleggskriterium ved viderebehandling.

Er det inkonsistens mellom personvernforordningens bestemmelser eller er det slik at Datatilsynet (og EDPB) ikke har tatt inn over seg lovgivers hensikt med artikkel 6 nr. 4)?

 

https://lod.lovdata.no/article/2023/12/Datatilsynet%20mener%20det%20kreves%20et%20nytt%20rettslig%20grunnlag%20for%20behandling%20av%20personopplysninger%20for%20nye%20og%20forenelige%20formål%20–%20tar%20tilsynet%20feil

:

Av Svenn Dybvik - Söndag 3 mars 20:24

https://www.datatilsynet.no/personvern-pa-ulike-omrader/internett-og-apper/personvernfremmende-teknologi/


Internett, teknologi og apper


Personvernfremmende teknologi

Personvernfremmende teknologi kan begrense innsamling av, tilgang til og lagring av personopplysninger. For virksomheter kan derfor bruk av slik teknologi være et nyttig tiltak for å møte kravet om innebygd personvern i utviklingen av et system eller en løsning. Her går vi gjennom hva dette er, med noen eksempler, bruksområder og utfordringer.



Innledning

 

Hva er personvernfremmende teknologi?

Personvernfremmende teknologi er samlebetegnelsen for teknologi som kan bidra til implementeringen av en eller flere av personvernprinsippene i et system eller løsning, og styrke personopplysningssikkerheten. Disse teknologiene er også kjent som "Privacy Enhancing Technologies" (PET). 



Hvorfor bruke personvernfremmende teknologi?

Alle virksomheter må gjennomføre en risikovurdering av løsningene de planlegger å bruke. Vurderingen skal gjennomføres før personopplysningene behandles og før løsningen eventuelt tas i bruk. Personvernfremmende teknologi kan være et tiltak for å redusere sårbarheter som blir identifisert i denne risikovurderingen. Det er forøvrig verdt å merke seg at bruken av personvernfremmende teknologi i seg selv kan utløse behovet for å gjennomføre en risikovurdering og eventuelt også en personvernkonsekvensvurdering (DPIA).

Implementering av personvernfremmende teknologi kan være et nyttig tiltak for å møte kravet om innebygd personvern i utviklingen av et system eller en løsning. Dette gjelder særlig tilfeller der personopplysninger skal overføres fra én aktør til en annen og det må begrenses hvilke opplysninger som blir delt eller eksponert.

Utviklingen av personvernfremmende teknologi er drevet frem av nyvinninger på flere områder. Dette inkluderer innovasjon innen kryptografiske metoder som har forbedret konfidensialiteten i tekniske løsninger, i tillegg til nye strukturelle tilnærminger til hvor og hvordan personopplysninger behandles i tekniske systemer.

Personvernfremmende teknologi er et område under utvikling, og flere av løsningene er i en tidlig utviklingsfase. Dette kan gi utfordringer knyttet til skalerbarhet, tilgang til teknisk støtte og kunnskap om sårbarheter.



Kravene i personvernregelverket må overholdes

Alle virksomheter som behandler personopplysninger må kjenne til og oppfylle personvernregelverket. Personvernforordningen krever at den behandlingsansvarlige har på plass organisatoriske og tekniske tiltak som sikrer at personopplysninger behandles i samsvar med personvernprinsippene slik som dataminimering, lagringsbegrensning, integritet og konfidensialitet. Det gjelder også når personvernfremmende teknologi tas i bruk.

For all behandling av personopplysninger, er det den behandlingsansvarlige som har det overordnede ansvaret for at personvernregelverket overholdes. Dette vil i praksis ofte ikke være leverandøren av løsningen, men virksomheten som tar den i bruk og som bestemmer formålet med behandlingen.

Les mer om virksomhetenes plikter



Om veiledningen

Vi vil her komme med noen eksempler på personvernfremmende teknologi og se på hvordan den kan brukes til å møte kravene i personvernforordningen. Vi vil også vise til et par praktiske erfaringer fra Datatilsynets regulatoriske sandkasse, og se på noen av utfordringene og begrensningene som kan oppstå.



Relevante veiledninger



Innholdet komplimenterer også veiledningen vår om om programvareutvikling med innebygd personvern som er rettet mot utviklere.

 

 

Eksempler og bruksområder

Vi vil her gå gjennom noen eksempler på personvernfremmende teknologi, og gi en beskrivelse av relevante juridiske og tekniske problemstillinger som teknologien kan bidra til å adressere.

(Merk at beskrivelsene ikke vil gi en fullstendig vurdering av alle aktuelle problemstillinger, da de vil variere avhengig av det konkrete bruksområdet.)

 

Differensielt personvern

Differensielt personvern ("differential privacy") er en metode for å analysere personopplysninger i et datasett uten at personene er direkte identifiserbare. Dette er hensiktsmessig når en aktør vil dele analytisk innsikt med eksterne aktører, men datagrunnlaget inneholder personopplysninger som ikke skal deles.

Ved bruk av differensielt personvern legger utvikleren bevisst til unøyaktige data som "støy" til deler av datasettet som ikke er relevante for analysen eller statistikkføringen. Dette skal sikre at analyser som deles ikke enkelt kan kobles til enkeltpersoner.

Ved å legge til nok unøyaktig informasjon, kan man oppnå en form for pseudonymisering i datagrunnlaget. En slik pseudonymisering kan bidra til å oppfylle dataminimeringsprinsippet, som vil si at bruken av personopplysninger avgrenses til det som er strengt nødvendig for å oppnå formålet. I tillegg til kan det være et sikkerhetstiltak for å redusere risiko for at enkeltpersoner identifiseres.

De tilførte unøyaktighetene medfører at informasjonen som hentes ut aldri vil være helt nøyaktig. Mindre støy i datasettet vil gi mer nøyaktige resultater, men samtidig øke sjansen for å identifisere enkeltpersoner.

 

Føderert læring

Føderert læring ("federated learning"), er en tilnærming innen maskinlæring som tar sikte på at flere deltakere kan lære av hverandres datasett uten å dele selve datasettene (som ofte kan inneholde personopplysninger). 

Føderert læring fungerer ved at en deltaker først laster ned den siste versjonen av en maskinlæringsalgoritme til en klientenhet, for eksempel en mobiltelefon. Deretter foretas det lokale forbedringer på algoritmen basert på dataene som finnes på klientenheten. Disse lokale modifikasjonene blir deretter sendt tilbake til en server, hvor de blir oppdatert og sammenflettet med endringer fra andre enheter. Et gjennomsnitt av endringsinformasjonen blir deretter brukt til å forbedre modellen. Den oppgraderte maskinlæringsalgoritmen kan så lastes ned av alle klientenhetene.

Denne tilnærmingen gir muligheten til å forbedre en eksisterende modell basert på et stort antall brukere, uten at de forskjellige aktørene må dele personopplysninger som ligger i datasettene deres. Dette kan være hensiktsmessig hvis virksomheten har begrensede data å trene modellene sine på, og når det ikke er hensiktsmessig eller lovlig å dele personopplysninger med eksterne.

En kjent utfordring med føderert læring er at noen modeller kan være sårbare for inversjonsangrep. Dette betyr at ondsinnede aktører kan forsøke å avlede personopplysninger basert på informasjon som sendes ut av de lokale klientenhetene.

Føderert læring kan fungere som et tiltak for å oppfylle kravene til informasjonssikkerhet. Tiltaket kan også bidra til å overholde prinsippene om konfidensialitet og integritet ved at egne datasett ikke deles med andre parter for trening av maskinlæringsmodeller.

 

Homomorfisk kryptering

Homomorfisk kryptering er en type kryptering som skal muliggjøre behandling eller analyse av krypterte opplysninger uten at de trenger å dekrypteres. Dette betyr i teorien at konfidensialiteten opprettholdes, samtidig som det er mulig å bruke datagrunnlaget.

Denne tilnærmingen kan være verdifull når virksomheter ønsker å gi eksterne aktører en meningsfull innsikt i datasett uten å avsløre personopplysninger som ligger der. For enkeltpersonene som opplysningene gjelder, kan det bety at opplysningene er beskyttet fra eksterne aktører og utilsiktet adgang.

Homomorfisk kryptering kan redusere risiko for personvernet ved utkontraktering eller ekstern lagring av data. Den kan også integreres som en viktig komponent i andre personvernfremmende teknologier, for eksempel føderert læring.

Videre kan den bidra til å minimere risiko og redusere alvorligheten av et sikkerhetsbrudd, siden personopplysningene forblir krypterte gjennom hele behandlingsforløpet. Dette betyr at data med personopplysninger er uleselige for eventuelle angripere og ikke mulig å manipulere. Teknologien kan derfor bidra til å oppfylle prinsippene om konfidensialitet og integritet. 

Som med all bruk av kryptering, er det viktig at krypteringsnøkkelen beskyttes i tilstrekkelig grad – også for å sørge for at personopplysninger ikke tapes eller ødelegges ved at det blir umulig å dekryptere datasettet. 

Det også viktig å merke seg at opplysninger det er tilgang til via homomorfisk kryptering, ikke er anonyme. Så lenge de fremdeles er for personopplysninger å regne, vil kravene i personvernregelverket gjelde.

 

Kantprosessering og lokal behandling

I motsetning til de andre teknologiene, representerer kantprosessering ("edge computing") en tilnærming til databehandling snarere enn å være en teknologi i seg selv. Ved kantprosessering utføres behandlingen av data nærmere kilden som genererer opplysningene.

Et eksempel på kantprosessering er et kamera som bruker kunstig intelligens til å analysere bilder, og som gjennomfører analysen lokalt i kamerahuset. Dette skiller seg fra annen praksis, der bildene ofte sendes videre og analysene utføres i skyen eller på en ekstern maskin. Et annet eksempel kan være behandling av data som genereres av en mobiltelefon, og der innsamlingen av opplysninger, i tillegg til analysen, utføres på selve enheten før resultatene sendes til en skyserver.

Kantprosessering kan redusere antall sårbarheter ettersom opplysningene blir behandlet på stedet der de genereres. Det muliggjør også dataminimering, ettersom kun ferdigbehandlede data blir overført.

Det er viktig å merke seg at kantprosessering eller lokal behandling ikke nødvendigvis vil påvirke hvorvidt virksomheten er behandlingsansvarlig eller databehandler. Selv om opplysningene behandles og lagres nærmere kilden, eller på en lokal enhet, har virksomheten fortsatt bestemt hvorfor en sånn behandling skal skje og hvordan. Virksomheten må derfor være oppmerksom på å fortsatt kunne være behandlingsansvarlig for dataene som behandles lokalt, selv om virksomheten ikke har direkte tilgang til dataene.

 

Nullkunnskapsbevis

Nullkunnskapsbevis ("zero-knowledge proofs"), gjør det mulig for en virksomhet eller tilbyder å bevise sannheten i et utsagn for en annen part uten å avsløre annen informasjon enn at utsagnet faktisk er sant.

Når en virksomhet autentiserer brukere, er det vanligvis nødvendig å gjøre det ved hjelp av en nøkkel som er kjent både for den som ønsker å bli autentisert og den som skal autentisere. Nullkunnskapsbevis er en tilnærming der opplysningene blir autentisert, uten at de faktiske opplysningene vises eller blir avslørt overfor motparten. Det vil si at personen som skal autentiseres må kunne bevise at de besitter kunnskap om noe hemmelig (for eksempel at en person er myndig), uten at den som autentiserer får vite hva hemmeligheten består av (for eksempel hva alderen er).

Bruk av nullkunnskapsbevis kan styrke personopplysningssikkerheten og føre til større grad av lagringsbegrensing og dataminimering ved at aktøren som autentiserer ikke behøver å selv lagre informasjonen som kreves for å autentisere.

 

Sikker flerpartsberegning

Sikker flerpartsberegning ("secure multiparty computation") er en protokoll som gjør det mulig for flere aktører å behandle opplysninger på tvers av enheter – uten at noen av aktørene har innsikt i de andres opplysninger utover det som er strengt nødvendig. Det betyr at det ikke er nødvendig med en sentral aktør som har tilgang til alle aktørenes datasett. I stedet kan de forskjellige aktørene bevare sine egne opplysninger og holde dem avskjermet.

En undervariant av sikker flerpartsberegning er "private set intersection". Denne protokollen gjør det mulig for to deltakere å finne ut hvilke data de har de har til felles i sine respektive datasett, uten å avsløre eller dele annen informasjon fra datasettene.

Bruk av sikker flerpartsberegning kan hjelpe til med å ivareta personopplysningssikkerheten ettersom fullstendige datasett ikke deles med andre deltakere. Risiko som kan oppstå ved databrudd vil kunne reduseres fordi data som deles mellom aktørene ikke lagres sammen på ett sted. Tiltaket kan også bidra til å oppfylle prinsippet om dataminimering, ettersom andre som hovedregel ikke får tilgang til personopplysninger som ikke er nødvendig til formålet deres. 

 

Tiltrodde prosesseringsområder

Tiltrodde prosesseringsområder ("trusted execution environment" (TEE)), er et kontrollert prosesseringsområde i datamaskiner eller mobiltelefoner. Disse områdene er isolert fra der programvare og programmer normalt kjøres. På dette sikre området er det mulig å kjøre kode og lagre informasjon som er isolert fra resten av enheten. Andre deler av enheten kan ikke behandle opplysninger lagret på dette området, men behandlinger på området kan benytte informasjon fra andre deler av enheten.

Bruk av tiltrodde prosesseringsområder kan være hensiktsmessig for virksomheter å bruke hvis de vil analysere opplysninger på en måte som ivaretar sikkerheten og forhindrer at andre aktører får tilgang.

Tiltaket vil kunne redusere sannsynligheten for at personopplysninger kommer på avveier, gjennom effektiv tilgangsstyring for bestemte deler av en behandling.

 

Syntetiske data

Syntetiske data er generert for å etterligne virkeligheten, uten å representere reelle personopplysninger. Prosessering av slike data i en løsning skal gi samme resultater som reelle data, og kan derfor være hensiktsmessig å benytte ved testing av løsninger hvor det ikke er nødvendig eller lovlig å bruke personopplysninger. 

Det er viktig å sørge for at det ikke er teknisk mulig å avlede reelle opplysninger basert på de syntetiske dataene. Syntetiske datasett har ofte de statistiske egenskapene til et opprinnelig datasett som inneholder personopplysninger. Produksjon av syntetiske data vil derfor som oftest kreve en behandling av reelle data for å skape en tilstrekkelig god etterligning, og behandlingen av de reelle dataene vil kreve et gyldig behandlingsgrunnlag.

Syntetiske data representerer en nyttig tilnærming for å oppfylle prinsippet om dataminimering, da tiltaket er et alternativ til å samle inn ytterligere personopplysninger kun for testformål.

Virksomheter må være bevisste på risikoene ved syntetiske data. Hvis dataene genereres fra personopplysninger som inneholder skjevheter, vil disse skjevheter føres videre. Skjevheter med potensielt uheldige konsekvenser bør derfor identifiseres og rettes, i tråd med riktighetsprinssippet i forordningen.



Eksempler på praktisk bruk av syntetiske data

Løsninger som benytter syntetiske data er allerede tilgjengelig på markedet. To av dem har vunnet Datatilsynets pris for innebygd personvern:

 

 

 

 

 

 


Erfaringer fra sandkassen


I flere av prosjektene i Datatilsynets regulatoriske sandkasse har personvernfremmende teknologi vært et sentralt tema.


Sandkassen skal stimulere til personvernvennlig innovasjon og digitalisering, og Datatilsynet samarbeider der med enkeltaktører for å hjelpe dem til å følge regelverket og utvikle løsninger med godt personvern. 

 

Føderert læring for å avdekke hvitvasking

I prosjektet "Maskinlæring uten datadeling" så Datatilsynet og teknologiselskapet Finterai nærmere på hvordan personvernregelverket skulle tolkes i forbindelse med bruk av føderert læring for antihvitvaskingsformål.

Finterai utviklet maskinlæringsteknologi for å hjelpe banker i kampen mot finansiell kriminalitet. En "utfordring" for bankene var at de ikke hadde mange nok kriminelle transaksjoner til å gjøre gode analyser på hva som faktisk skilte en mistenkelig transaksjon fra mengden. Målet til Finterai var å benytte føderert læring for å kombinere læringen fra flere bankers datasett, men uten at bankene faktisk delte data seg imellom.

En konkret lærdom fra prosjektet var at utformingen av systemarkitekturen for føderert læring kunne ha betydelig innvirkning på personvernet og sikkerheten i løsningen. Veivalg som ville medført å samle og sentralisere bankenes transaksjonsopplysninger på en sentral server, vil potensielt kunne skape en stor angrepsflate og utløse økte krav til tekniske og organisatoriske tiltak. Et viktig tiltak var derfor at Finterai ikke skulle ha tilgang til de individuelle bankenes lokale datasett med transaksjonsopplysninger for å utvikle eller drifte tjenesten. Istedenfor skulle bankene selv ha kontroll over sine datasett.

Et annet tema som ble diskutert i prosjektet, var muligheten for «modellinverteringsangrep». Slike angrep har som mål å rekonstruere data som er benyttet for treningen av løsningen, inkludert persondata. Det er i sum betydelige hindre og kostnader knyttet til denne type angrep for eksterne trusselaktører, også i kontekst av Finterais løsning.

Ettersom føderert læring er en ung teknologi, kan det være flere sårbarheter som ikke enda er avdekket, og det kan derfor være krevende å gjøre presise risikovurderinger.

Les sluttrapporten "Maskinlæring uten datadeling" 

 

Kantprosessering på for mindre inngripende sikkerhetsovervåking

Sikkerhetsselskapet Doorkeeper har hatt som mål å styrke personvernet i moderne kameraovervåkingssystemer. De ønsket å oppnå dette ved å bruke intelligent videoanalyse til å sladde identifiserende opplysninger – slik som ansikter og menneskeformer – i videostrømmen. Videre ønsket de å sørge for at færre opptak ble lagret sammenlignet med mer tradisjonelle overvåkingssystemer. Dette var derfor tema i sandkasseprosjektet.

Doorkeeper brukte kantprosessering og lokal lagring i løsningen sin, der videostrømmen ble sladdet direkte i kameraet før den ble sendt videre til en ekstern plattform ("video management system"). Mange av personopplysningene ville slik kun bli behandlet i selve kamerahuset. Opptak med personopplysninger ville bare bli sendt til den eksterne plattformen hvis en forhåndsdefinert hendelse ble detektert. I tillegg ble opptak midlertidig lagret bare i kameraet ("cache"), men disse skulle bli slettet etter et forhåndsbestemt tidsintervall (for eksempel fem minutter).

For Doorkeeper var det blant annet viktig å sørge for at sikkerheten fulgte den tekniske utviklingen, og at eventuelle sårbarheter ble adressert fortløpende. Doorkeeper måtte også sikre den fysiske innretningen av løsningen, inkludert kommunikasjonen mellom kameraet og den eksterne plattformen.

Det var også et poeng at behandlingen av personopplysninger kunne bli konfigurert til å være betydelig begrenset, noe som kunne påvirke vurderingen av det rettslige grunnlaget for overvåkingen. I situasjoner der det rettslige grunnlaget var basert på en berettiget interesse vil det at kameraovervåkingen er mindre inngripende kunne påvirke nødvendighetsvurderingen.

Les sluttrapporten "Intelligent kameraovervåking med personvern i fokus"



Utfordringer og begrensninger

Vi vil her oppsummere noen mulige utfordringer og begrensninger som virksomheter og utviklere bør ta hensyn til når de vurderer å ta i bruk personvernfremmende teknologi.

  1. Manglende modenhet
    De ulike personvernfremmende teknologiene varierer i modenhet. Det fører til at de kan være vanskelige å skalere og implementere, i tillegg til at det kan være mangelfull tilgang på teknisk støtte. Mange sårbarheter er heller ikke avdekket, noe som kan svekke personopplysningssikkerheten og ivaretagelsen av sentrale krav i personvernregelverket.
  2. Manglende kompetanse
    De fleste av teknologiene krever riktig kompetanse for å kunne brukes lovlig. Erfaringer fra den regulatoriske sandkassen viser at mange av løsningene vil måtte skreddersys den konkrete bransjen, virksomheten eller løsningen, noe som kan være utfordrende og kreve høy teknisk kompetanse.


    Manglende kompetanse kan også føre til feil i implementering og bruk, som igjen kan føre til at personvernet ikke blir ivaretatt. Hvis virksomheten selv ikke har nødvendig ekspertise, bør det vurderes å bruke en tjeneste eller leverandør som gir et passende nivå med brukerstøtte.
  3. Manglende oppdateringer
    Teknologier med kjente sårbarheter som ikke blir reparert eller oppdatert, kan være en utfordring. Hvis det ikke iverksettes tiltak for å fjerne sårbarheter, vil det føre til høyere risiko og kan medføre brudd på personvernregelverket.


    Når angripere får kjennskap til sårbarheter, vil de normalt forsøke å utnytte dem så fort som mulig. Produsentene må derfor publisere oppdateringer så fort som mulig når sårbarheter blir kjent, slik at sikkerheten kan opprettholdes.

    Det er verdt å påpeke at jo færre aktører virksomheten har i leverandørkjeden, desto færre aktører må virksomheten forholde seg til for å holde produktene oppdatert.
  4. Usikkerhet om behandlingsansvar
    Noen typer teknologi kan skape usikkerhet om hvor behandlingsansvaret ligger.


    personvernforordningen er den behandlingsansvarlige definert som den som bestemmer formålet med behandling av personopplysninger (dvs. hvorfor behandlingen skjer) og hvilke essensielle midler som skal brukes for å oppnå formålet (dvs. hvordan opplysningene skal behandles). Dette betyr i praksis at det som oftest vil være virksomheten – og ikke utvikleren – som anskaffer og tar løsningen i bruk, og som er å anse som behandlingsansvarlig.

    Visse teknologier og metoder, som kantprosessering, vil gjøre at virksomheten som tar i bruk løsningen ikke har direkte tilgang til personopplysningene som behandles. Det kan likevel være at virksomheten har behandlingsansvaret, selv om den ikke har tilgang til opplysningene. 

 

 

:

Av Svenn Dybvik - Lördag 2 mars 00:00

si vis pacem, para iustitiam


interrobangit

 

 

 

 

 

 

 

 

 


http://interrobangit.bloggplatsen.se/presentation

 

http://interrobangit.bloggplatsen.se/2024/03/02/11812481/

http://interrobangit.bloggplatsen.se/2024/02/25/11812482/

http://interrobangit.bloggplatsen.se/2024/02/24/11812483/

http://interrobangit.bloggplatsen.se/2024/02/18/11812484/

http://interrobangit.bloggplatsen.se/2024/02/17/11812485/

http://interrobangit.bloggplatsen.se/2024/02/11/11812486/

http://interrobangit.bloggplatsen.se/2024/02/10/11812487/

http://interrobangit.bloggplatsen.se/2024/02/04/11812488/

 

http://interrobangit.bloggplatsen.se/2024/02/03/11812471/

http://interrobangit.bloggplatsen.se/2024/01/28/11812472/

http://interrobangit.bloggplatsen.se/2024/01/27/11812473/

http://interrobangit.bloggplatsen.se/2024/01/21/11812474/

http://interrobangit.bloggplatsen.se/2024/01/20/11812475/

http://interrobangit.bloggplatsen.se/2024/01/14/11812476/

http://interrobangit.bloggplatsen.se/2024/01/13/11812477/

http://interrobangit.bloggplatsen.se/2024/01/07/11809673/

 

http://interrobangit.bloggplatsen.se/2023/12/31/11809080/

http://interrobangit.bloggplatsen.se/2023/12/24/11808436/

http://interrobangit.bloggplatsen.se/2023/12/17/11807843/

http://interrobangit.bloggplatsen.se/2023/12/10/11807032/

http://interrobangit.bloggplatsen.se/2023/12/03/11806437/

http://interrobangit.bloggplatsen.se/2023/11/26/11805948/

http://interrobangit.bloggplatsen.se/2023/11/19/11805462/

http://interrobangit.bloggplatsen.se/2023/11/12/11804748/

 

http://interrobangit.bloggplatsen.se/2023/11/05/11803843/

http://interrobangit.bloggplatsen.se/2023/10/29/11802910/

http://interrobangit.bloggplatsen.se/2023/10/22/11801623/

http://interrobangit.bloggplatsen.se/2023/10/15/11800702/

http://interrobangit.bloggplatsen.se/2023/10/08/11799349/

http://interrobangit.bloggplatsen.se/2023/10/01/11797103/

http://interrobangit.bloggplatsen.se/2023/09/24/11795905/

http://interrobangit.bloggplatsen.se/2023/09/17/11795095/

 

http://interrobangit.bloggplatsen.se/2023/09/10/11794600/

http://interrobangit.bloggplatsen.se/2023/09/03/11794088/

http://interrobangit.bloggplatsen.se/2023/08/27/11793398/ 

http://interrobangit.bloggplatsen.se/2023/08/20/11792985/

http://interrobangit.bloggplatsen.se/2023/08/13/11792494/

http://interrobangit.bloggplatsen.se/2023/08/06/11791981/

http://interrobangit.bloggplatsen.se/2023/07/30/11791456/

http://interrobangit.bloggplatsen.se/2023/07/23/11790886/

 

http://interrobangit.bloggplatsen.se/2023/07/16/11790435/

http://interrobangit.bloggplatsen.se/2023/07/09/11789982/

http://interrobangit.bloggplatsen.se/2023/07/02/11789494/

http://interrobangit.bloggplatsen.se/2023/06/25/11788958/

http://interrobangit.bloggplatsen.se/2023/06/18/11788358/

http://interrobangit.bloggplatsen.se/2023/06/11/11787767/

http://interrobangit.bloggplatsen.se/2023/06/04/11787315/

http://interrobangit.bloggplatsen.se/2023/05/28/11786823/

 

http://interrobangit.bloggplatsen.se/2023/05/21/11786357/

http://interrobangit.bloggplatsen.se/2023/05/14/11785856/

http://interrobangit.bloggplatsen.se/2023/05/07/11785348/

http://interrobangit.bloggplatsen.se/2023/04/30/11784837/

http://interrobangit.bloggplatsen.se/2023/04/23/11783864/

http://interrobangit.bloggplatsen.se/2023/04/16/11782994/

http://interrobangit.bloggplatsen.se/2023/04/09/11782445/

http://interrobangit.bloggplatsen.se/2023/04/02/11810271/

 

http://interrobangit.bloggplatsen.se/2023/03/26/11811111/

http://interrobangit.bloggplatsen.se/2023/03/19/11811112/

http://interrobangit.bloggplatsen.se/2023/03/12/11811113/

http://interrobangit.bloggplatsen.se/2023/03/05/11811114/

http://interrobangit.bloggplatsen.se/2023/02/26/11811115/

http://interrobangit.bloggplatsen.se/2023/02/19/11811116/

http://interrobangit.bloggplatsen.se/2023/02/12/11811117/

http://interrobangit.bloggplatsen.se/2023/02/05/11811118/

 

Skapa flashcards