Bladene på trærne har fått vakre, fine høstfarger. Høsten er endelig her og vi er nå i oktober måned. For oss er det et sikkert høsttegn at vi også er inne i sikkerhetsmåneden. I Knowit er vi nå inne i cloud-måneden, eller "cloudtober" som vi kaller det, og det er ikke tilfeldig at dette sammenfaller med den nasjonale sikkerhetsmåneden. I det moderne IT-landskapet kommer vi ikke unna verken sikkerhet eller sky, og man er nødt til å se disse i sammenheng. Spesielt sikkerhet og sky i kombinasjon med personvern er noe som opptar mange, og her ser vi at mye fortsatt er i endring. For oss som jobber med personvern og informasjonssikkerhet er det ikke mulig å diskutere amerikanske skytjenester uten å nevne hvilke overordnede føringer som er aktuelle. Vi bringer en kort oversikt over de nyeste bitene i dette puslespillet og forklarer hva det betyr for deg.
Nasjonal sikkerhetsmåned er en årlig kampanje som avholdes i oktober måned. Kampanjen har til formål å øke kompetansen og bevisstheten hos næringslivet, det offentlige og media innen internettsikkerhet. Målet er å bidra til en sikrere digital hverdag for alle.
Bilde: Unsplash
Forfattere av innlegget: Frida Strøm Anthonisen & Rolf Rander Næss
For å behandle personopplysninger i skytjenester forsvarlig er det viktig å gjøre dette i tråd med generelle personvernkrav som stilles av personvernforordningen og personopplysningsloven med forskrifter og eventuelle virksomhetsspesifikke personvernkrav. En utfordring mange virksomheter nå må forholde seg til ved bruk av amerikanske skytjenester er den mye omtalte Schrems ll-dommen.
Den 16. juli 2020 ble Schrems ll-dommen avsagt. Max Schrems klaget på at Facebook overførte personopplysningene om han ulovlig til USA. Dommen gjorde Privacy Shield-avtalen ugyldig og resulterte i strengere krav ved overføring av personopplysninger til land utenfor EU/EØS. Begrunnelsen var at USAs lovgivning gir amerikanske myndigheter vide hjemler til å behandle personopplysninger. Regelverket i USA strider mot de rettigheter og friheter vi har etter det europeiske personvernregelverket, herunder også den grunnleggende retten til et privatliv. Utgangspunktet er dermed at virksomheter ikke kan overføre personopplysninger til USA ved å benytte amerikanske skyleverandører med mindre personopplysningene er tilstrekkelig sikret.
I mai 2021 gikk det europeiske datatilsynet (EDPS) ut med en pressemelding[1] hvor de uttalte at de gransker EU-institusjonene sin bruk av de amerikanske skytjenestene Amazon Web Services (AWS) og EU-kommisjonens bruk av Microsoft Office 365. Bakgrunnen for granskningen er Schrems ll-dommen. Målet med granskningen å vurdere om EU-institusjonenes bruk av skytjenesten er i samsvar med Schrems II-dommen ved bruk av skytjenester levert av Amazon Web Services og Microsoft under "Cloud II-kontraktene" når data overføres til land utenfor EU, spesielt til USA. Videre er målet ved å granske bruken av Microsoft Office 365 å verifisere at EU-kommisjonens bruk er i samsvar med anbefalingene som tidligere ble gitt av det europeiske personvernrådet (EDPS) om bruk av Microsofts produkter og tjenester. Vi vil følge spent med på utfallet av granskningen. Utfallet av granskningen vil kunne være av betydning for andre virksomheter som benytter AWS og Microsoft 365.
I juni 2021 publiserte det europeiske personvernrådet (EDPB) endelig versjon av en veileder[2] som er ment å hjelpe virksomheter med å innrette seg etter dommen. I veilederen er det seks steg samt tiltak for å sikre personopplysninger som de anbefaler at virksomheter følger for å innrette seg etter Schrems ll-dommen. Omtrent samtidig ble også de mye omtalt og nye standardkontraktene[3] (SCC-er) vedtatt av EU-kommisjonen. Disse er nå utformet slik at de baserer seg på kravene til etter personvernforordningen, i motsetning til de tidligere SCC-ene som var basert på personverndirektivet. Ifølge Datatilsynet er også SCC-er å anse som det mest brukte overføringsgrunnlaget. Dersom virksomheter baserer overføringer på de tidligere SCC-ene har de frem til 27. desember neste år til å erstatte dem. Etter denne datoen vi de gamle SCC-ene ikke lenger være gyldige.
I september 2021 oppdaterte det norske datatilsynet informasjonen om rådene de gir på sine nettsider[4] om overføring av personopplysninger ut av EU/EØS til tredjeland. Vi ser også at informasjonen det norske Datatilsynet gir er i tråd med anbefalingene som fremgår av veiledningene fra det europeiske personvernrådet (EDPB).
Virksomheter som vurderer å overføre personopplysninger ut av EU/EØS bør sette seg inn i de nye kravene og være klar over hvilke krav og dermed hvilke føringer som settes for skytjenesten i lys av Schrems ll-dommen. I tillegg bør virksomhetene gjennomføre en grundig helhetsvurdering basert på de risikoene som aktualiseres og ta stilling til om overføringen er i tråd med kravene. Virksomheter som benytter SCC-er som overføringsgrunnlag i dag bør lage en plan slik at de får påsett at de går over de nye SCC-ene innen fristen. Vi anbefaler også virksomheter å følge med på utviklingen på området.
Har du spørsmål relatert til Cloud, personvern eller sikkerhet? Kontakt gjerne noen av våre eksperter!
Kilder:
[1] https://edps.europa.eu/press-publications/press-news/press-releases/2021/edps-opens-two-investigations-following-schrems_en
[2] https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012020-measures-supplement-transfer_en
[3] https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en
[4] https://www.datatilsynet.no/rettigheter-og-plikter/virksomhetenes-plikter/overforing-av-personopplysninger-ut-av-eos/