3/17/2021

Shifter Academy: GDPR i digital markedsføring

Denne episoden av Shifter-podcasten handler om GDPR og hvordan man kan forholde seg til det i digital markedsføring. Frodo Elton Haug, en advokat som spesialiserer seg på markedsføringsrett, forklarer kompleksiteten i GDPR og hvordan det er viktig for å beskytte personopplysninger. Han gir råd om hvordan man kan være GDPR-compliant, og understreker viktigheten av samtykke, åpenhet og databehandleravtaler.

00:01

Frodo Elton Haug forklarer viktigheten av GDPR og essensielle prinsipper for korrekt håndtering av personopplysninger i denne episoden.

26:07

GDPR og e-privacy-forordningen reiser spørsmål om samtykke og håndtering av cookies, med ulikt syn fra tilsynsmyndigheter.

Transcript

Hei og velkommen til Skifters podcast. I dag skal vi snakke om det vi helst vil unngå å tenke på, men som likevel er superviktig, nemlig hvordan vi skal forholde oss til GDPR. Og hvem i landet er bedre til å snakke om dette tema enn Frodo Elton Haug, tidligere juridisk direktør i Forbrukerrådet og nå advokat i Grandal Haug, som spesialiserer seg på markedsføringsrett. Velkommen Frodo. Takk skal du ha. Du skal også gjennomføre et kurs på Schiffer Academy om GDPR, og jeg skal legge inn en lenke i show notes for de av dere som er interessert i det. Kanskje til og med det er en liten rabattkode der. Men du Frode, hva er egentlig GDPR, og hvordan er det bra for andre enn advokater? GDPR er jo en relativt komplisert forordning som EU vedtok for noen år siden. En forordning som stiller opp hvilke regler som skal gjelde for behandling av personopplysninger. Når jeg sier relativt komplisert, så er det fordi dette her er noe som så mange hadde litt trøbbel med å forstå før forordningen Tråd i kraft. Det skjedde jo i mai 2018. Og så ser vi at det er masse spørsmål i forbindelse med de her reglene nå i ettertid. Det er fortsatt litt vanskelig og komplisert å forstå. Og det er jo nettopp derfor vi har tenkt å prøve å hjelpe til ved å tilby dette her kurset. Ja, for nå etter at det er innført, så er det uklart på noen punkter, og finnes det en fasit? Eller er det uklart på noen punkter, og det er tvilstilfeller, og det faktisk ikke finnes en fasit? Nei, dessverre så er det jo slik med de her reglene som med veldig mange andre lover at vi mangler fasiten. Du har Du har jo loven, du har jo teksten i loven. Den finner man jo da på norsk hvis man blar seg frem til personopplysningsloven på lovdata. Og så har du hele GDPR, hele forordningen der i norsk språkdrakt. Og når man begynner å lese etter det her, så vil man jo fort se at det er ganske mange kompliserte begreper. Mye av det er forklart. Men hvis du begynner å få litt grep om hva dette her betyr, altså ordbruken og så videre, så vil man etter hvert se at man da har en god del prinsipp som skal gjelde ved behandling av personopplysninger, og hva ligger i disse her prinsipper, personvernprinsipper, det er kanskje litt vanskeligere å få tak på, for de er litt mer sånn runde da, det skal være lovlig og rettfølgelig, rettferdig, gjennomsiktig behandling av personopplysninger og så videre, litt sånne ting. Så da må du inn og begynne å få noen flere knagger for å henge dette her på, for å forstå det da. Ja, kan vi kjapt gå gjennom disse prinsippene? Ja, vi kan jo begynne med det jeg nevnte. For å behandle personopplysninger så må du ha et lovlig, altså det må skje på lovlig vis, rett og slett. Det er jo derfor vi har fått disse reglene, og det har jo selvsagt sammenheng med den digitale utviklingen. Vi har jo gått ifra å si at man hadde personopplysninger i et arkiv på nivåer, kun tilgjengelig for de som hadde fysisk tilgang til det arkivet, for å ta det eksempelig. En bedriftskundearkiv for eksempel. Og så mer og mer over i digital form. Først mer lokale lagring, kun tilgang for de som hadde tilgang lokalt, og så etter hvert flytter ting seg ut på nett og i skyen. Og Da er det klart at det er viktig, og det er derfor dette regelsettet her, regler for hvordan du behandler personopplysninger, har vokst og blitt større og større i løpet av de siste årene. Flere og flere prinsipper for at man har fått en endre virkelighet av den digitale utviklingen. Så det her at det skal være lovlig, den behandlingen, det sier seg jo selv. Og så fyller jo regelverket ut og beskriver hva som skal til for at du behandler personopplysninger på lovlig sett. Så det er jo et grunnleggende prinsipp, og noe annet som er viktig er jo dette med gjennomsiktighet, som man sier. Det skal være tydelig for deg og meg, hvis vi gir personopplysninger til en virksomhet, hva er det som skjer? Hva gir jeg frem av opplysninger nå, og hva er det som skjer videre, eller kan skje videre med de opplysningene? Så den biten er jo også veldig viktig, at man er informert og vet hva som skjer. Bare før du går videre, er det nok at man vet hva som skjer? Fordi ofte når jeg skal melde meg på et nyhetsbrev eller noe så er det på en måte ferdig utfylt. Det er ferdig klikken utfylt på at jeg faktisk vil mot hva som skal skje. Men er det ikke noe med at det må skje aktivt? Jo, det er jo et viktig prinsipp her. Det går jo på dette med at man skal ha lovlig grunnlag for å behandle personopplysninger. For der er det slik at man har i personopplysningsloven GDPR, så har du seks mulige grunnlag for å kunne behandle personopplysninger. Da funker det på den måten at hvis ingen av de andre fem er på plass, så er det samtykke som gjelder. For enkelte typer behandling av personopplysninger, for eksempel i forbindelse med markedsføring, så er kravet samtykke. hovedregelen at da må det innhentes samtykke. Og det er akkurat det som er situasjonen hvis du har et nyhetsbrev, handler på en nettbutikk, inngår en avtale, og så får du det spørsmålet ønsker du å motta, nyhetsbrev med markedsføring fra den virksomheten. da er kravet samtykke. Det er en sånn, skal vi si, særregel som gjelder der, og så sier GDPR en god del om hva som skal til for at et samtykke er innhentet lovlig. Det er ganske detaljert, det er flere krav der som gjelder, og det er jo krav som vi går detaljert inn på i det her kurset for Skifterakademiet da. Hei, er du en CEO eller CTO i et vekstselskap og trenger flere utviklere? Da vet du at det er ganske krevende å finne dyktige utviklere i Norge. Men håpet er heldigvis ikke ute. Cefalo er et norsk outsourcing-selskap som har klart å bli en av de aller beste arbeidsgiverne for seniorutviklere i Bangladesh. Cefalos spesialitet er å rekruttere og bygge langsiktig utviklingsteam sammen med den norske kunden. Og det å ha faste utviklere gjennom Cefalo skal i praksis oppleves som å ha egen ansatte. Så er du interessert i å høre mer om å ha eksterne utviklere, så vil Cefalo gjerne ta en veldig hyggelig prat med deg. Så sjekk ut cefalo.no, altså C-E-F-A-L-O.no. Ja, så du nevnte dette med gjennomsiktighet som siste punkt, eller som det var det siste du snakket om i forhold til prinsipper. En ting er at det skal være lovlig, og nummer to at det skal være gjennomsiktig. Det sier seg selv at det skal være synlig, som du var inne på, hva dette skal bli brukt til, hvilke andre prinsipper er det som er viktige? Ja, og det går jo direkte inn i det. Hvis du skal innvente et samtykke, for eksempel ta den situasjonen, så skal du gi klar og tydelig informasjon om hva de opplysningene skal brukes til, hva skjer etter at du har gitt det samtykket. Og da har du for eksempel et prinsipp som går på formårsbegrensning. Hvis man har sagt at her er formålet med å bruke dine personopplysninger, at vi sender deg et nyhetsbrev en gang i uka på e-post, Ok, så er det det som er sett rammen for hva det er som de personoppvisningene dine kan brukes til. Hvis man senere ser at det kanskje kunne vært greit å dele de opplysningene med en tredje part, kanskje vi også kan bruke det i en annen sammenheng. Litt sånne dukker opp nye spørsmål, nye ting. Man ser at dette her kunne vært interessant, ok, da må man gå tilbake til den samtykkeerklæringen, så jeg har faktisk personen hit, det samtykket dette, er det beskrivet som et av formålene med innhenting av personopplysninger, at man skal kunne bruke de på den og den og den måten. Så det er jo selvsagt viktig å ha et øye på, særlig hvis du har en forretningsmodell der ting utvikler seg, så får du en sånn mulig formårsglidning der man går fra noe over i noe annet. Og så får vi forståelsen på at ok, er dette her innenfor det som vi opprinnelig avtalte? Er det andre ting som er viktige prinsipper? Ja, det er jo for eksempel dette her at man samler inn de opplysningene man trenger for formålet. unngå å samle inn mer enn det som er nødvendig. Det er jo et viktig prinsipp som gjelder innenfor sånn som jo er uttrykt i GDPR. Og så er det ting som at, og det er litt mer sånn sjøsakte ting, som at personopplysning, at det skal være riktig opplysning du sitter med, derfor er det mange som har rutiner for å sjekke innimellom Ser du kanskje når du logger inn på nettbanken innimellom, så får du spørsmål om du har riktige opplysninger om deg. Sørg for at det er oppdatert. Og så er det dette med at man skal kunne få rett av de slette opplysningene. Hvis man for eksempel har hatt en kunde, kunden avslutter kundforholdet, forsvinner ut, ok, da... må man også lette de personopplysningene om den kunden etter et visst tid. Så det er en del sånne prinsipper som er viktige å ha helt under huden når du går i gang med å behandle personopplysning. Men er dette, hvis man følger noen enkle grunnregler, er det greit å forholde seg til da? Så lenge man føler litt sånn... og noen enkle grunnregler som du har vært inne på nå. Er du da innenfor? Jeg skulle ønske at jeg kunne si ja på det spørsmålet, men dessverre er det nok svaret nei. Det er jo selvsagt viktig. Man vil kunne komme et godt søke på vei og anbefale absolutt at det her å sette seg inn i de grunnleggende prinsippene for behandling av personopplysninger er absolutt verdt. å gjøre det, men så får du spørsmålet hvordan skal det gjennomføres i praksis? Og det er jo der det ofte kan bli oppstå mer i sånn, når man sitter og klør seg litt i huet, hvordan skal vi kunne få til dette her i praksis? For du har jo også prinsipper om at personopplysninger skal beskyttes, og det vet vi, og det er jo bare noe nok å lese på nett en tilfell i dag, så vil du jo finne saker om at det her er det. Lekker du ut personopplysninger? Offentlige virksomheter har jo skoler og så videre. Trenger bare ta en sikk på praksis fra datatilsynet. Det er flere som er i lagt gebyrer nettopp på grunn av det. Det har ikke klart å verne personopplysningen godt nok i sine systemer. Så det er jo en helt sånn konkret ting som man må ha godt grep om. Ofte er det sånn at man bruker tjenester som lagrer disse opplysningene for deg. For eksempel et mailprogram. Ofte sier du at det er GDPR-compliant tjenester. Og da skal man stole på det. Man må vel kunne gjøre det. Eller må man gjøre noe utover det? Ja, absolutt. Og det som er mekanismen der er jo at de som lagrer og behandler personopplysninger som du samler inn, der må du ha en databehandlereavtale. Og der finnes det jo sånne standarder på det som da regulerer ansvaret i tilfelle hvis det går gærent. ok, hvem skal ta den smellen, for å si det sånn. Så det reguleres jo gjennom de databehandlereavtalen, så det er i hvert fall råd nummer en, sørge for å ha oversikt hvis man benytter seg av tredjeparter som lager personopplysninger, så må du ha oversikt over det, og så må du ha avtaler på plass med de personene Apropos personopplysninger, hva er personopplysninger? Anonymiserte data er vel ikke personopplysninger, er det? Nei. Det er grunnleggende. Det er delvis definert i GDPR og dette her. Den definisjonen som det pekes på der er at det må være opplysninger om enten som identifiserer en person, altså en fysisk person. Man må kunne knytte dette til en fysisk person og gjøre det mulig å identifisere den ved hjelp av de opplysningene. Men da er det jo det som er utføringen ofte i den digitale hverdagen som vi lever i, er jo da den muligheten for å bruke sammenstillinger av opplysninger, så selv om man i utgangspunktet kanskje ikke hadde en opplysning som identifiserte vedkommende, så hvis man sammenstiller det med andre opplysninger som er tilgjengelige for den aktøren, så begynner du å kunne pinpointe hvem dette er. dreier seg om og så videre. Som en utgangspunkt er anonymiserte opplysninger uten mulighet for å identifisere hvilke personer det dreier seg om. Det er jo mer over i kategorien metadata som jo også er spørsmålet om hvordan man skal regulere som vil bli regulert i en ny forordning som snart vil bli vedtatt i EU. Ok, så kommer enda mer regulering rundt dette. Ja, det er vanskelig regulering. Ja, det var noen akademikere som hadde kjørt en test på GDPR, en test av hvor mange års høyere utdannelse måtte man ha for å forstå fullt ut teksten i GDPR, og da kom opp et svar at man måtte ha cirka 48 år. års høyere akademisk utdannelse for å kunne klare å forstå alt det. Så det er klart det er komplisert og den forhøydingen jeg nevnte nå, den nye regelverket er jo da den her e-privacy, kommunikasjonsvern forhøydingen, som mange også kaller for cookie-loven, for den regulerer jo å bruke cookies da. Men så er det tillegg da metadata, kommunikasjonsdata og direkte markedsføring, så dette her med nyhetsbrev på e-post, sms'er og så videre. der vil du få en oppdatert regulering i løpet av de nærmeste årene, der du har de samme skyhøye gebyrer som du har i GDPR og så videre. Det blir verre. Ja, vi forstår. Det er jo sikkert bra for forbruker, men det er jo verre enn å ikke forholde seg til det for en et lite selskap, en liten startup, eller hva det måtte være. Etablerte selskaper, de har penger til å ansette advokater og være compliant, men det er ikke alle som har råd til det. Hva kan man kunne gjøre for å være innenfor? Hvis du ikke har noen særlig penger og du har et lite selskap, hvilke prinsipper kan du følge på egenhånd slik at du er innenfor? Ja, Nei, altså det finnes jo heldigvis, jeg bare sier det da, at akkurat det du peker på der, det er jo et poeng som mange har reist. Altså her er det jo et sett med regler som er, dette her er kompliserte greier, men det skilles jo på ingen måte mellom store og små virksomheter. Det er de samme kravene som gjelder for alle, til en viss grad da, så det er litt sånn rundt personvernombud og så videre. Men i store deler er dette noe som alle må sette seg inn i hvis du behandler personopplysninger. Og det er jo klart at det rammer litt ulikt, for å si det sånn. Så det er jo et utgangspunkt. så er det jo heldigvis slik at det er jo mekanismer som er innbygd både i forordningen og som man kan bruke for å få informasjon, og de nasjonale datatilsynene er jo sånn opplegget er at de har veiledningsplikt, så det gir jo, det er jo publisert masse veiledning, for eksempel på datatilsynet sine hjemmesider her, og hos andre europeiske datatilsynsmyndigheter. Så finnes det en sånn overordnet organ som heter European Data Protection Board, som også publiserer sine veiledninger da. Men det er jo klart at det kan være litt vanskelig å trenge helt gjennom hva som står i de dokumentene her, men det er i hvert fall prøvd, man har i hvert fall stat og tilsyn, så kan jeg begrense meg til å prate om de som jeg kjenner best. Prøvd så godt man kan å formulere dette her på et språk som skal være mulig å forstå for andre enn de som har gått fem, seks, sju år på ljusen. Ja, men Ja, men bare sånn veldig enkelt. Hvis du driver et lidselskap, du har en liten e-postliste med brukere, du har kanskje et CRM-system med noen personopplysninger på kunder, så fremt det CRM-systemet er GDPR-compliant. Du har en sånn databehandleravtale med det selskapet. Det skjer automatisk, vil jeg tro. For å bruke det så må du ha den avtalen. Det samme med mailprogrammet. Når du samler inn personopplysninger, så samler du inn kun det du trenger, og du har full åpenhet rundt hva de personopplysningene skal bli brukt til. Hvis du følger de reglene der, er det ikke innenfor da? Ja. Det skulle jo tro utgangspunktet at du er. Og så er det bare de tingene som vi ser hvis du går rundt og kikker litt på hva det er saker datatrusiner har hatt behandling de siste årene, hva det er saker som dukker opp rundt om i Europa. Altså at det Ting går gærent. Plutselig så er de personopplysningene tilgjengelige på nett. Det er noen som har klart å trenge seg inn, og så får du den der spørsmålet med, nei, plutselig så var det litt trøblet å overføre personopplysninger til USA uten å gå inn på den saken med den slags avgjørelse fra EU-domstolen. Og så blir det en issue. Det er det som slår meg mest med GDPR, at Det er hele tiden en mulig bump in the road rett rundt hjørnet. Det er veldig få regelsetter jeg har vært borte i hvert fall, hvor du fort kan få en så ubehagelig overraskelse som akkurat det som går på GDPR. Det er jo sikkert for deg at personopplysningene og persondata, det Det er så mye av det, og det er så mange muligheter for at ting kan gå litt gærent. Det som er skummelt er at du får en bot fra datatilsynet, som har ansvar for å innlegge den boten. Hvis du gjør de grepene du kan for å sikre det, og du vet hva du gjør, og så har du et mailprogram, kanskje du har fått en breach i sitt system, så er det ikke sånn at de er kjipe. Når du i god tro, så kommer de ikke etter deg og gir deg en bot. Det er vel ikke sånn det er? Nei, det er jo klart at det vi har i norsk rett som datasyndere bruker er det som heter overtredelsesgebyr. Og det kan jo sammenlignes med bøter. Det forutsetter at det regnes som en straff. Så da ligger det jo en forutsetning der at det skal skje noe som er kritikkverdig da. Men det som du ser da, hvis du ser på den typen saker som straffes med brøter, ikke bare i Norge, men rundt omkring i Europa for brudd på GDPR, så er det liksom de to største kategoriene, det er dette her at man har ikke helt klart å beskytte og verne personopplysninger godt nok, sånn at du har fått en data bridge. Det er liksom en kategori. Og så er det dette her at man har belaget seg på et behandlingsgrunnlag som viser seg å ikke helt holde mål. Man tenker for eksempel at her har vi en avtale med våre kunder, med våre brukere, som gjør at vi kan behandle personopplysninger, sånn og sånn. Og så viser det seg at den avtalen var ikke god nok. Her skulle man hatt et samtykke innhent av det i samsvar med de kraver som gjelder for samtykke. Det er typiske saker som dukker opp rundt omkring. Må man da bevise at man har hentet sin samtykke? Ja, den dokumentasjonsplikten vil jo ligge hos virksomheten. Sånne saker oppstår typisk enten fordi det dukker opp klagerapporter, det kan være medieoppslag og så videre. Og det er jo litt tilfeldig, jeg må jo si det, at det er jo fort litt tilfeldig hvilke saker som ender opp med å koste i form av overtredelsesgebyr. Datatilsynet går jo aktivt ut av føretilsynet og oppstår og da pinpointer man opp områder som er som man ser på som problematiske potensielt, men så er det jo litt tilfelle det som dukker opp i boksen, inboxen av klager og så videre fra publikum. Hva slags bot kan man få da? Hva er størrelsesordenen på boten? Nå skjønner jeg at det er sånn hvor lang er en planke spørsmål? Hva kan man regne med som et lite selskap? Nei, men altså det kan jo Jeg går litt nærmere inn på det kurset hvor de nivåene ligger på bøter, men fra noen hundre tusen. Og så er det jo helt opp til den mest ekstreme, den her Grindr-saken som jo nylig var i media. Der datastusynet varslet den dating-appen, det er jo en amerikansk app, varslet om årtelsesgebyr på 100 millioner kroner. Sånn avslutningsvis, hvis du bare skal gi ett, to eller tre råd på hvordan man kommer veldig langt i å være compliant, hva gjør man da? Hvis du er sikker på at du behandler personopplysninger, det kan jo være et spørsmål i seg selv. Er disse opplysningene vi sitter med, er det personopplysninger, er det metadata, hva er det for noe? Ok, men avklare noe av det da, og så må Må du begynne å kikke på behandlingsgrunnlag? Hva er behandlingsgrunnlaget for de opplysningene som du har? Er det lov som sier at du skal sammenligne og ha de opplysningene? Eller er det nødvendig for å gjennomføre en avtale du har med kunden din, for eksempel? Ja, nei, hvis svaret der er nei, da er det fort og en situasjon der du må innvente et samtykke. Da får du samtykke. Da må du utforme en erklæring der og innhente gjennom en aktiv handling at du krysser av i boksen og så videre, og så får du informasjon om hva det samtykke går på. Hvis du gjør det og lagrer dette, har den dokumentasjonen tilgjengelig, Så forhåpentligvis vil ting kunne gå veldig vel. Så er det jo en del andre spørsmål som oppstår. Hvis du for eksempel ønsker å bruke cookies, det har vi ikke pratet om her, det er noe som vi også skal si litt om på kurset. Det er en ganske uoversiktlig rettslig situasjon som denne nye e-privacy-forordningen skal ordne opp i. Hva er det hva som gjelder der, hvis du har cookies og baserer deg på det for å samle inn opplysninger. Så det får vi ta senere. Men i hvert fall da, samtykke og ha et ordentlig blikk på når er det du trenger å innvente samtykke og hvordan gjør du det, er kanskje det aller viktigste rådet da, i tillegg til dette her med det tekniske, at man har data på andre avtaler, lager det på en trygg måte og så videre. Bare veldig kort om cookies. Ofte så vet man jo ikke hvem personen man har, eller hvilke personer man gir en cookie til. Det vil si at man har ikke identifisert dem basert på cookieen. La oss si du kjører retargeting da, til at noen går på nettsiden din, og så kan du retargete dem på Facebook for eksempel da. Men du vet jo ikke hvem de er, så du har jo ikke noen personopplysninger. Det er ikke omfattet av GDPR da, er det? Nei, da er du utenfor GDPR, men da har du reglene i Ekom-loven. Der er det et regelverk, og der er det krav om samtykke og så videre. For å plassere cookies på ditt device, så har du et samtykke-krav som gjelder alt i utgangspunktet, bortsett fra nødvendige tukke i stedet for at tjenesten eller nettsiden skal fungere. Så er det litt sånn uenighet. Det er jo ganske spesielt at du har to myndigheter. Nasjonal kommunikasjonsmyndighet i Lillesand, NKOM, som håndterer det her Ekom-loven. de mener at samtykke kan gis på litt sånn innstillinger i nettleserne, at det må kanskje være godt nok, mens datatilsynet er jo på den vanlige linja med skal vi si, få en boks og huke av og så videre. Og så bølger det der, så det er en litt sånn umulig situasjon å forholde seg til, egentlig, men får jo en klargjøring etter hvert gjennom nytt regelverk fra EU. Etter denne samtalen med deg nå, så bare blir jeg enda mer skeptisk til GDPR og alt det greiene der. Kan du si noe positivt om GDPR? Ja, det er jo helt klart en nødvendig oppgjørelse oppjustering av de regler som gjelder behandling av personopplysninger når man ser hvor viktig det er i både den digitale økonomien men også bare for at vi som enkeltindivider skal kunne ha Men tillit og bruke tjenester, få levert tjenester fra det offentlige, bruke tjenester fra private aktører og så videre, så er det helt sentralt. Så det er helt åpenbart at du må ha noen regler der. Og så er det mange som har stilt spørsmål om at det måtte være så komplisert som det EU kom opp med her. Kan vi klare å gjøre det litt enklere? Så det, men ja, det vil bli det i fremtiden. Nå er det som det er, men jeg antar at selv du mener at det kunne ikke sikkert vært litt enklere for å gjøre det greit. Eller på den andre siden ikke, for du lever jo av at det er vanskelig, kanskje? At folk trenger hjelp etter det her? Nei, nå har jeg jobbet 20 år hos forbruker i Tilsynet, så jeg har jo selvsagt hatt hatt mange, skal vi si rådgivningssamtaler, vi hadde jo veiledningsplikt på samme måte som hos statsutstyret, så jeg har hatt mange samtaler der jeg er veiledende og egenstrivene om hva slags regler som gjelder for markedsføring, blant annet digital markedsføring, og har jo sett at det er et område der det er veldig mange spørsmål, og litt komplisert. Det er ganske mange andre regelser som er mye enklere enn det her. Yes, nei, men det er greit å få med seg disse tingene her, Frode. Som nevnt så kjører du, vi skal jo ha et webinar med deg på skifter som er helt gratis, så det må dere gjerne melde dere på. Ellers, tusen hjertelig takk for din tid og din innspill til hvordan man skal kunne forholde seg til GDPR. Jeg ble jo litt klokere, litt mer pessimistisk. Samtidig så føler jeg jo litt at Hvis man handler i god tro, prøver så godt man kan, så må det vel være sånn. All right. Det er jeg i håp. Helt klart. Yes. Takk skal du ha, Frode, og lykke til. Hei, er du en CEO eller CTO i et vekstselskap og trenger flere utviklere? Da vet du at det er ganske krevende å finne dyktige utviklere i Norge. Men håpet er heldigvis ikke ute. Cefalo er et norsk outsourcing-selskap som har klart å bli en av de aller beste arbeidsgiverne for seniorutviklere i Bangladesh. Cefalos spesialitet er å rekruttere og bygge langsiktig utviklingsteam sammen med den norske kunden. Og det å ha faste utviklere gjennom Cefalo skal i praksis oppleves som å ha egen ansatte. Så er du interessert i å høre mer om å ha eksterne utviklere, så vil Cefalo gjerne ta en veldig hyggelig prat med deg. Så sjekk ut cefalo.no, altså C-E-F-A-L-O.no.

Mentioned in the episode

GDPR

EU-forordning om behandling av personopplysninger, komplekst regelverk.

Frodo Elton Haug

Advokat som spesialiserer seg på markedsføringsrett og tidligere juridisk direktør i Forbrukerrådet.

Forbrukerrådet

Norsk forbrukerorganisasjon.

Grandal Haug

Advokatfirma Frodo Elton Haug jobber i.

Shifter Academy

Plattform for online-kurs om digital markedsføring.

Cefalo

Norsk outsourcing-selskap som rekrutterer utviklere i Bangladesh.

Bangladesh

Land Cefalo rekrutterer utviklere fra.

Ekom-loven

Norsk lov som regulerer elektronisk kommunikasjon.

Datatilsynet

Norsk tilsynsorgan for personopplysninger.

European Data Protection Board

Europeisk organ som gir veiledning om GDPR.

E-privacy-forordningen

EU-forordning som regulerer personvern i elektronisk kommunikasjon, ofte kalt 'cookie-loven'.

Grindr

Dating-app som fikk et overtredelsesgebyr fra Datatilsynet.

Nasjonal kommunikasjonsmyndighet (NKOM)

Norsk myndighet som håndterer Ekom-loven.

Lillesand

Sted NKOM holder til.

CRM-system

System for å administrere kundeforhold, kan inneholde personopplysninger.

Små tekstfiler som lagrer informasjon om brukere på nettsider.

Retargeting

Markedsføringsteknikk som bruker cookies for å vise annonser til brukere som har besøkt en nettside tidligere.

Facebook

Sosiale medier-plattform.

Metadata

Data om data, kan brukes til å identifisere personer indirekte.

Personvernombud

Person som er ansvarlig for å overvåke personvern i en organisasjon.

Databehandleravtale

Avtale mellom en virksomhet som samler inn personopplysninger og en tredjepart som behandler dem.

Data breach

Når personopplysninger lekker ut.

Overtredelsesgebyr

Bot som Datatilsynet kan ilegge for brudd på GDPR.

EU-domstolen

Domstol som har avgjort saker om overføring av personopplysninger til USA.

Behandlingsgrunnlag

Lovlig grunnlag for å behandle personopplysninger.

Samtykkeerklæring

Dokument som beskriver hva et samtykke til behandling av personopplysninger omfatter.

Nødvendige cookies

Cookies som er nødvendige for at en nettside skal fungere.

Participants

Guest

Frode Elton Haug

Host

Ukjent

Similar

10/5/2017

Shifter

Telenors smarte nett, Googles hardware og Ikea som satser på tjenester

Telenor lanserer en plattform for å gjøre "dumme" mobilnett smarte. Google lanserte en rekke nye hardware-produkter på onsdag, og Ikea kjøpte opp tjenesten Task Rabbit. Mats Staugaard, tidligere redaktør av Mac1 og daglig leder i Kickback diskuterer disse temaene med fast gjest Salvador Baille og journalist Lucas Weldeghebriel. Og ja, vi gir deg også en kort oversikt på GDPR og hva det vil bety for alle andre enn Facebook og Google. I studio: Salvador Baille, daglig leder i Intelis. Mats Staugaard, daglig leder i Kickback Lucas Weldeghebriel, journalist i Shifter Kjære lytter. Gi oss tilbakemelding på denne episoden. Enten til [email protected], eller skriv en anmeldelse på iTunes 😊 Det hjelper oss å nå ut til flere. Hosted on Acast. See acast.com/privacy for more information.

11/18/2016

Shifter

Kjartan Slette i Unacast om å være pappa og å bygge et globalt tech-selskap samtidig.

I podcasten er Unacast-gründer Kjartan Slette innom valget i USA, om å være pappa samtidig som man bygger et globalt tech-selskap, om hvordan han havnet i tech, bakgrunnen fra musikkbransjen og Wimp/Tidal, hvorfor de ansatte kan ta så mye fri de vil, samt mye mer. –Er Unacast en hype? –Det er noe vi har blitt møtt med helt siden starten. Jeg tror det har noe med at man så tydelig har eksponert seg fra dag én, og noe med en bedrift og en posisjon som først og fremst er kommersiell. Vi driver ikke med kreftsyke barn eller læring, sier Kjartan Slette, gründer av Unacast. Han avslører samtidig en liten nyhet. Vær kul og rate oss på iTunes! Schibsted Vekst er ukens sponsor. Er du en gründer med en god idé, så ta kontakt med [email protected] Hosted on Acast. See acast.com/privacy for more information.

4/12/2018

Shifter

Er GDPR et «helvete»?

Denne episoden er for deg som "hater" snakket om GDPR og har lyst på et mer edruelig forhold til det.Torgeir Waterhouse fra IKT Norge er sammen med Salvador Baille ukens gjester i Shifters podcast.Er GDPR et helvete som mange konsulenter nå skor seg på, eller er det faktisk bra for både bedrifter og kunder?Ting vi diskuterer: - Hvordan skal du forholde deg til GDPR? - Hva har egentlig blitt gjort feil i Facebook/Cambridge Analytica-skandalen - GDPR og maskinlæring - Hvordan forholder de unge seg til dataAbonner gjerne på podcasten, eller fortell dine smarte venner om den, og rate oss på itunes!! Hosted on Acast. See acast.com/privacy for more information.

1/2/2019

Teknisk sett

Episode 168 - En ny grunnmur for helsedata

Norge var tidlig ute med å digitalisere helsevesenet på 90-tallet. Men så har vi sakket litt akterut og vi lider av at det er så mange ulike systemer i bruk. Noe er gjort, men mye gjenstår. Helst skal det bli færre og mer moderne systemer, men de som finnes må også snakke sammen. De må kunne utveksle data og ha en felles terminologi. Ikke bare for at IT-systemene skal virke sammen, men for at data skal kunne presenteres for både leger og folk flest som vil lese sine journaler. Skal dette lykkes må vi bygge en felles grunnmur, en digital infrastruktur, som omfatter alle de 17 000 ulike store og små aktørene i helse-Norge. Det er ingen liten eller billig oppgave. I dag snakker vi med Inga Nordberg, divisjonsdirektør i Direktoratet for e-helse.

Shifter Academy: GDPR i digital markedsføring

Transcript

Mentioned in the episode

Participants

Sponsors

Similar

Telenors smarte nett, Googles hardware og Ikea som satser på tjenester

Kjartan Slette i Unacast om å være pappa og å bygge et globalt tech-selskap samtidig.

Er GDPR et «helvete»?

Episode 168 - En ny grunnmur for helsedata

Telenors smarte nett, Googles hardware og Ikea som satser på tjenester

Kjartan Slette i Unacast om å være pappa og å bygge et globalt tech-selskap samtidig.

Er GDPR et «helvete»?

Episode 168 - En ny grunnmur for helsedata