content/nb-no/images/repository/isc/2021/internet-laws-1.jpg

Hva er internettlovgivning?

Internettlovgivning – noen ganger kalt cyberlover – viser til de juridiske prinsippene og forskriftene som styrer bruken av Internett. Internettlover er ikke alltid klare og enkle, fordi:

  • Internett er relativt nytt og i stadig utvikling, noe som betyr at juridiske rammer kan ha vanskelig for å følge med.
  • Internettlover inkorporerer og anvender ofte prinsipper fra forskjellige juridiske felt – for eksempel personvernlover eller kontraktslover – som har eksistert før Internett og kan være åpne for tolkning.
  • Det er ingen enkelt lov som regulerer personvern på nettet. I stedet gjelder et lappeteppe av lover, både føderale og delstatlige. I tillegg kan forskjellige jurisdiksjoner rundt om i verden ha forskjellige tolkninger på hvordan de bruker lover om personvern på Internett.

EU har en overordnet personvernlov kjent som GDPR – General Data Protection Regulation. Derimot har ikke USA noen sentral lov om personvern på Internett på føderalt nivå. I stedet er det flere vertikalt fokuserte føderale personvernlover og flere forbrukerorienterte personvernlover blant de forskjellige delstatene. Denne oversikten ser på noen av de kritiske internettsikkerhetslovene du bør vite om.

US Privacy Act fra 1974

Selv om den eksisterte før Internett, er Privacy Act fra 1974 uten tvil grunnlaget for mange lover som dekker data og personvern på Internett i USA. Loven ble vedtatt med tanke på mengden personopplysninger som finnes i databaser hos amerikanske myndigheter. Loven dekket:

  • Amerikanske statsborgeres rett til å få tilgang til data som beholdes av offentlige myndigheter og retten til en kopi av disse dataene.
  • Borgernes rett til å rette opp eventuelle informasjonsfeil.
  • Behovet for at myndighetene bare skal samle inn minste mengde nødvendig informasjon som er relevant og nødvendig for å oppnå formålene.
  • Begrensning av tilgang til data bare til personer som trenger å vite om dem.
  • Begrensning av informasjonsdeling mellom føderale (og ikke-føderale) myndigheter – dvs. bare tillatt under visse betingelser.

Imidlertid endret oppfinnelsen av Internett definisjonen av personvern og gjorde det nødvendig å vedta nye datasikkerhetslover om elektronisk kommunikasjon.

Federal Trade Commission Act

Federal Trade Commission Act fra 1914 etablerte USAs føderale handelskommisjon og ble utformet for å forby urettferdige konkurransemetoder, handlinger eller praksis som påvirker handel.

Selv om FTC ikke i dag eksplisitt regulerer hvilken informasjon som skal inkluderes i retningslinjene for personvern på nettstedet, bruker den sin myndighet til å utstede forskrifter, håndheve personvernlover og beskytte forbrukere. For eksempel kan FTC handle mot organisasjoner som:

  • Ikke følger en publisert personvernerklæring.
  • Overfører personlig informasjon på en måte som ikke er skissert på riktig måte i en personvernerklæring.
  • Lager unøyaktige personvern- og sikkerhetserklæringer til forbrukere og retningslinjer for personvern. 
  • Ikke implementer og vedlikehold rimelige datasikkerhetstiltak.
  • Ikke følger de selvregulerende prinsippene som kan gjelde for organisasjonens bransje.

FTC spiller en rolle i internettregulering, ikke minst fordi de undersøker villedende fremstillinger fra ledende teknologiselskaper og sosiale medier om personvernet til forbrukerdataene de samler inn. For eksempel har FTC tidligere undersøkt klager mot Facebook for bruken av kundedata.

Children’s Online Privacy Protection Act

Children's Online Privacy Protection Act fra 1998 – også kjent som COPPA – er en amerikansk føderal lov. Målet er å gi foreldre kontroll over hvilken informasjon som samles inn fra de små barna deres på nettet. COPPA gjelder for de som driver kommersielle nettsteder og elektroniske tjenester (inkludert mobilapper og Tingenes internett-enheter) rettet mot barn under 13 år, som samler inn personlig informasjon fra barn.

Noen av COPPAs viktigste krav innbefatter:

  • Nettsteder, apper og nettverktøy rettet mot barn under 13 år må gi beskjed og innhente samtykke fra foreldre før de samler inn informasjon fra barn.
  • De må ha en klar og omfattende personvernpolicy.
  • De må beskytte all informasjon de innhenter fra barn.

Selv om loven oppsto i Internetts tidlige dager, har den blitt spesielt relevant i en tid med sosiale medier og programmatisk annonsering. Et sentralt spørsmål med COPPA er i hvilken grad et nettsted er «rettet» mot barn under 13 år. I USA vurderer Federal Trade Commission nettsteder basert på forskjellige kriterier, inkludert:

  • Emne
  • Innhold
  • Bruk av animerte figurer
  • Bruk av barneorienterte aktiviteter eller insentiver
  • Alder på modeller
  • Barnekjendiser eller kjendiser som appellerer til barn
  • Annonsering på nettstedet som er rettet mot barn

Noen nettsteder eller tjenester viser brukerne etter alder, så de trenger ikke å overholde COPPA-forskriftene. For eksempel har mange sosiale nettverk, hvis forretningsmodell er basert på å samle inn og tjene penger på brukerdata, satt 13 som en minimumsalder for registrerte brukere.

Et annet spørsmål som COPPA stiller, er hva «innsamling av personlig informasjon» betyr. Å samle inn navn, adresser og fotografier faller i denne kategorien. Men mindre åpenbare er atferdsannonser – det vil si annonser som sporer brukeratferd på tvers av nettsteder og apper – som også utgjør innsamling av personlig informasjon under COPPA. Selv om en tredjepartsleverandør viser disse atferdsannonsene, er nettstedseieren ansvarlig for dem hvis de vises på et nettsted som er rettet mot barn. Gitt at atferdsannonser utgjør en så stor del av Internetts økosystem, har dette betydelige implikasjoner for nettsteder rettet mot barn.

Children's Online Privacy Protection Act er utformet for å beskytte barn under 13 år fra å få samlet inn personlig informasjon på Internett. Bildet viser en ung jente som bruker en laptop for fjernundervisning.

California Consumer Privacy Act

California Consumer Privacy Act eller CCPA ble vedtatt i 2018. Målet var å ta opp forbrukernes personvern for innbyggere i California ved å utvide forbrukernes personvernbeskyttelse til Internett. CCPA regnes som den mest omfattende internettfokuserte personvernlovgivningen i USA, uten tilsvarende på føderalt nivå.

I likhet med EUs GDPR gir den forbrukerne rett til å få tilgang til dataene sine, sammen med retten til å når som helst slette og reservere seg mot databehandling. CCPA skiller seg imidlertid fra GDPR ved at GDPR gir forbrukerne en rett til å korrigere eller rette opp uriktige personopplysninger, mens CCPA ikke gjør det. GDPR krever også eksplisitt samtykke når forbrukerne overleverer dataene sine. Derimot spesifiserer CCPA bare at en personvernerklæring er tilgjengelig på nettsteder som informerer forbrukere om at de har rett til å velge bort visse typer datainnsamling. Andre funksjoner i CCPA innbefatter:

  • Forbrukere har rett til å få tilgang til dataene sine gjennom en forespørsel om registrert tilgang.
  • Bedrifter kan ikke selge forbrukernes personlige informasjon uten å gi en nettvarsel og gi dem en mulighet til å reservere seg mot det.
  • Forbrukerne har en begrenset søksmålsrett hvis de blir utsatt for et databrudd.
  • Statsadvokaten har en mer generell mulighet til å saksøke selskaper på vegne av innbyggere.

CCPA har en bred definisjon av personlig informasjon: «informasjon som identifiserer, relaterer til, beskriver, er i stand til å være assosiert med, eller med rimelighet kan knyttes, direkte eller indirekte, til en bestemt forbruker eller husstand». Dette ligner GDPRs ekspansive syn på personopplysninger.

Personvernforordningen

EUs Personvernforordning – GDPR – trådte i kraft i 2018. Det er et juridisk rammeverk som setter retningslinjer for innsamling og behandling av personopplysninger fra personer som bor i EU. GDPR gjelder uavhengig av hvor nettsteder er basert, noe som betyr at det bør overholdes av alle nettsteder som tiltrekker seg europeiske besøkende. GDPR regnes som en av de strengeste datasikkerhetslovene i verden.

GDPR spesifiserer at nettstedbrukerne må varsles om dataene et nettsted samler inn, og brukerne må uttrykkelig gi samtykke til datainnsamlingen. Dette er årsaken til at mange nettsteder har popup-vinduer som ber brukerne om å godta informasjonskapsler – det vil si små filer som inneholder personlig informasjon som nettstedinnstillinger og preferanser – blir samlet inn.

Noen av nøkkelfunksjonene i GDPR innbefatter:

  • Forbrukere har rett til å vite hvordan dataene deres samles inn og brukes.
  • Forbrukerne kan spørre nettsteder om hvilken informasjon som er samlet inn om dem (uten å betale gebyr).
  • Hvis det er feil i forbrukernes data, kan de be om at de blir rettet.
  • Forbrukere kan be om at dataene deres blir slettet fra arkivene.
  • Forbrukerne har rett til å nekte databehandling – for eksempel til markedsføringsformål.
  • Nettsteder må varsle brukere hvis dataene deres er blitt kompromitterte eller brutt.

Europakommisjonen forklarer GDPR i detalj på sitt offisielle nettsted. Det har vært noen iøynefallende straffer tildelt store selskaper for brudd på GDPR – inkludert en bot på 57 millioner dollar til Google fordi viktig informasjon ble skjult da brukerne konfigurerte nye Android-telefoner, noe som betyr at brukerne ikke visste hvilke retningslinjer for datainnsamling de godtok, og en bot på 28 millioner dollar til British Airways da 500 000 kundebestillingsrekorder ble stjålet i et angrep.

Health Insurance Portability and Accountability Act

Health Insurance Portability and Accountability Act fra 1996 – HIPAA – er en amerikansk føderal lov med fokus på helseforsikringsregulering, inkludert seksjoner om personvern og sikkerhet. Den forhindrer helsepersonell, bedrifter og folk som jobber med dem fra å utlevere forbrukernes helseinformasjon uten deres tillatelse.

Når folk snakker om HIPAA, refererer de vanligvis til personvernregelbestemmelsen som ble opprettet i 2003. Denne regelen ble delvis introdusert fordi den amerikanske kongressen anerkjente at Internett gjorde brudd på helsepersonvern mer sannsynlig. HIPAAs personvernregel gir forbrukerne rett til å kontrollere sine helseopplysninger, slik at de kan fortelle helsepersonell hva de skal dele.

Imidlertid beskytter HIPAA bare helseinformasjon som lagres av bestemte typer helsepersonell. For eksempel dekkes vanligvis ikke helseopplysninger på aktivitetsarmbånd av HIPAA. Genetiske data du legger inn på nettsteder som Ancestry.com, dekkes heller ikke av HIPAA. Andre lover eller avtaler som personvernerklæringer som kreves på mange apper, kan beskytte denne informasjonen, men HIPAA gjør det ikke.

Gramm-Leach-Bliley Act

Gramm-Leach-Bliley Act (GLBA) – også kjent som Financial Services Modernization Act fra 1999 – er en bank- og finanslov som inneholder elementer om datapersonvern og sikkerhet. Beskyttelsen av personopplysninger bygger på tidligere lovgivning om forbrukerdata, for eksempel Fair Credit Reporting Act (FCRA).

I hovedsak beskytter GLBA ikke-offentlig personlig informasjon, som er definert som all «informasjon samlet inn om en person i forbindelse med å tilby et finansielt produkt eller en tjeneste, med mindre denne informasjonen er offentlig tilgjengelig på annen måte». «Offentlig tilgjengelig» betyr eiendomsregistre eller boliglånsinformasjon som kan være offentlig tilgjengelig.

GLBA Safeguards Rule krever at datainnsamlere beskytter personlig informasjon og oppretter datasikkerhetssystemer i passende størrelse. Med andre ord trenger store nasjonale banker mer sofistikerte sikkerhetstiltak enn for eksempel en lokal kredittforening.

Regelen krever at bedrifter tester regelmessig. Videre må de iverksette sikkerhetstiltak i den daglige driften, for eksempel gjennomføre bakgrunnskontroller av medarbeidere og etablere handlingsplaner for brudd ved angrep.

GLBA gjør påskudd ulovlig. Med påskudd refereres det til at noen får feilaktig tilgang til ikke-offentlig informasjon. Begrepet er ofte assosiert med hacking innen sosial manipulasjon – for eksempel når noen utgir seg som leder eller politimyndighet for å innhente informasjon. Phishing-svindel, som noen ganger innebærer å lage falske nettsteder som lurer folk til å røpe privat informasjon, er et annet eksempel på påskudd. GLBA krever at finansinstitusjoner etablerer tiltak som forhindrer påskudd som en del av sine sikkerhetsopplegg.

Personvernlover på Internett: Konklusjon

Ulike jurisdiksjoner rundt om i verden har sine egne lover om personvern på Internett og datasikkerhet. For eksempel har Brasil Lei Geral de Proteção de Dados (LGPD), mens Canada har Consumer Privacy Protection Act (CPPA), som begge stort sett ligner EUs GDPR eller Californias CCPA.

I USA er det ingen omfattende føderal lov som styrer personvern. Internettregulering er et komplekst lappeteppe av sektorspesifikke og mediespesifikke lover, inkludert lover og forskrifter som tar for seg telekommunikasjon, helseinformasjon, kredittinformasjon, finansinstitusjoner og markedsføring. 

En av de beste måtene å beskytte personvernet og datasikkerheten din på er å bruke en omfattende antivirusløsning. Et produkt som Kaspersky Total Security blokkerer vanlige og komplekse trusler som virus, skadelig programvare, løsepengevirus, spionprogrammer og de nyeste hackeraktivitetene.

Relaterte artikler:

Hva er noen av lovene når det gjelder Internett og datasikkerhet?

Hva er internettlovgivning? Lover om personvern på Internett og internettregulering innbefatter Children's Online Privacy Protection Act, California Consumer Privacy Act og mer.
Kaspersky Logo