{{item.title}}
{{item.text}}
{{item.title}}
{{item.text}}
22/06/21
Bruk av skytjenester kommer fremdeles til å være utfordrende fremover ifølge EDPBs oppdaterte veileder.
Det europeiske personvernrådet (EDPB) har sluppet endelig veileder for håndtering av Schrems II-dommen. Vi oppsummerer de viktigste endringene og hva din virksomhet bør være oppmerksom på.
Mange virksomheter har hatt utfordringer med å forene den risikobaserte tilnærmingen som personvernforordningen legger opp til med de relativt strenge kravene i veilederen. Spørsmålet har vært om virksomheten kan akseptere risikoen forbundet med overføringen selv om ikke alle tekniske tiltak i veilederen er implementert i en gitt situasjon. Den endelige veilederen gir ikke noe klart svar på dette, og det blir derfor interessant å se i hvilken utstrekning europeiske tilsynsmyndigheter vil slå ned på virksomheter som velger en slik risikobasert tilnærming.
Blant annet IAPP (International Association of Privacy Professionals) har tatt til orde for at at man kan legge til grunn en form for risikobasert vurdering i Schrems II-vurderingene. IAPP bygger på at man kan legge til grunn kilder som for eksempel “transparency reports”.
IAPP sitt resonnement er at man kan bruke slike kilder i vurderingen av hvor høy risikoen er for utlevering av dataene til lokale myndigheter.
Legitimeringen av denne typen kilder antyder i følge IAPP indirekte til at man etter omstendighetene kan akseptere enn teoretisk sett høy risiko, hvis man ser at sannsynligheten for utlevering er lav basert på tidligere praksis, eller at utleveringen typisk ikke gjelder innholdsdata, i den forståelse at innholdsdata gjerne bidrar til at risikoen kan bli høy. Kildene man bruker for å avklare denne praksisen skal være relevante, objektive, pålitelige, verifiserbare og tilgjengelige. EDPB har gitt ut en liste over typiske kilder man kan bruke her. Det er m.a.o. klare rammer for de risikobaserte vurderingene man kan gjøre.
Les mer om veilederen: «Veileder fra EDPB: Hvordan skal man forholde seg til Schrems II?»
En gjennomgående kilde til kritikk blant høringsinnspillene var at kravene til tekniske sikkerhetstiltak var upraktiske, om ikke umulige, å implementere. Eksempelvis er kravet til ekstern nøkkelhåndtering ved bruk av skyløsninger vanskelig å implementere i praksis og flere har fremhevet at ekstern nøkkelhåndtering utsetter dataene for langt høyere risiko enn om skyleverandøren håndterer nøklene.
Kravene til tekniske sikkerhetstiltak har i det store og det hele endret seg lite mellom utkastet og endelig versjon av veilederen. De syv «use case»-situasjonene er de samme, og elementene som må på plass for å sikre et tilstrekkelig beskyttelsesnivå er også stort sett uendret.
Dette betyr i utgangspunktet at det fortsatt vil være vanskelig å ta i bruk skytjenester innenfor et akseptabelt risikonivå. Samtidig ser vi en liten endring i hvilke elementer man kan ta i betraktning for å forstå risikobildet, og dette kan potensielt medføre at det faktisk blir noe enklere for norske virksomheter å forsvare bruk av skyløsninger. Mer om dette nedenfor.
Mange virksomheter får tilsendt såkalte «transparency reports» og lignende fra sine leverandører i land utenfor EU/EØS. Rapportene viser typisk til antall innsyns- og utleveringskrav fra lokale myndigheter. Her peker ofte leverandøren på at et svært begrenset omfang av personopplysninger har blitt utlevert til lokale myndigheter, og at det derfor ikke er noen grunn til bekymring hva gjelder beskyttelsen av de overførte personopplysningene.
Tidligere har det vært usikkerhet knyttet til om og i hvilken utstrekning man kan legge vekt på slike rapporter. En nyvinning i veilederen er at det åpnes for nettopp å kunne legge vekt på om dataimportøren tidligere har mottatt innsyns-/utleveringskrav fra offentlige myndigheter. Slike rapporter tjener gjerne til kundens fordel, ettersom rapportene kan bidra til å justere risikonivået ned fra et antatt høyt nivå, til et realistisk sett lavere nivå.
Les også: «Nye SCCs skal sikre personopplysninger som overføres til tredjeland»
En av de viktigste endringene i den endelige veilederen er at det skal legges større vekt på praksis fra offentlige myndigheter i vurderingen av om de overførte personopplysningene har et tilstrekkelig beskyttelsesnivå. Dette betyr for eksempel at en virksomhet kan vurdere om lokale etterretningstjenester i praksis overvåker data som lagres i eller overføres til landet.
Flere har stilt spørsmål ved om man må gjennomføre nye risikovurderinger basert på utkastet til veilederen. Etter vår vurdering er ikke dette nødvendig, men det kan være grunn til å revurdere risikonivået man har identifisert ved overføringene. Dette gjelder særlig som følge av at kildegrunnlaget for risikovurderingene ser noe annerledes ut.
Den endelige veilederen fører ikke med seg de store endringene for hvilke krav som stilles til Schrems II-vurderingene. Virksomheter må fremdeles kartlegge overføringer av personopplysninger og gjennomføre vurderinger i henhold til sekstrinnsprosessen skissert i veilederen fra EDPB. Bruk av skytjenester kommer fremdeles til å være utfordrende.
Når det er sagt, vil virksomheten få et bredere vurderingsgrunnlag. Dette er fordelaktig ettersom de «nye» vurderingskildene gir rom for å bruke praksis hos lokale etterretningsmyndigheter og konkrete tall fra leverandørene i større grad. Flere leverandører kan vise til at det nærmest ikke har skjedd noen utlevering av data til lokale myndigheter på flere år, og kanskje kan dette gi et grunnlag for å forsvare den uunngåelige risikoen som følger med overføring av personopplysninger til et tredjeland.
Ta gjerne kontakt med oss om du lurer på hvordan din virksomhet skal forholde seg til den nye veilederen.