Oppfølging av Schrems II i Digitaliseringsdirektoratet og Altinn
EU-domstolen avsa 16. juli 2020 en prinsipiell avgjørelse om overføring av personopplysninger til USA. Avgjørelsen kalles “Schrems II" etter den østerrikske personvernaktivisten Max Schrems som klaget til det irske datatilsynet for å stoppe overføringen av personopplysninger mellom Facebook Irland og Facebook Inc. i USA. Han begrunnet dette med at personopplysningene hans ikke var godt nok beskyttet i USA.
EUs personvernforordning
EUs personvernforordning (GDPR) gjelder for hele EØS-området. Når personopplysninger ønskes overført til et land utenfor EØS, gjelder spesielle krav til overføringen - slik at beskyttelsesnivået ikke skal undergraves. Både behandlingsansvarlige og databehandlere har ansvar for at eventuelle overføringer skjer i tråd med regelverket.
Dersom personopplysninger skal overføres til land utenfor EØS, må man ha et overføringsgrunnlag i henhold til kapittel V i GDPR. Noen tredjeland er anerkjent for å ha et tilstrekkelig nivå for vern av personopplysninger, men dette inkluderer nå ikke USA. Dermed må det sikres et godt nok beskyttelsesnivå for personopplysningene ved å bruke enten såkalte Standard Contractual Clauses, Binding Corporate Rules eller godkjente atferdsnormer eller sertifiseringsmekanismer.
Selv om det brukes et godkjent overføringsgrunnlag, vil amerikanske overvåkingslover innebære at beskyttelsesnivået ved overføring av personopplysninger ikke er tilsvarende som i EØS. Det må derfor iverksettes “ytterligere tiltak” for å beskytte personopplysningene, som kan være svært utfordrende eller umulig å få til i praksis. I så fall kan ikke overføring av personopplysninger til USA finne sted.
Amerikanske skytjenester
Bruk av amerikanske skyleverandører som bare lagrer personopplysninger i Norge eller EØS rammes også. Den amerikanske skyleverandørens morselskap i USA vil være underlagt amerikansk lovgivning. Denne kan gjøre at skyleverandøren må utlevere data lagret i EØS til amerikanske myndigheter.
Når EU-domstolen sier at beskyttelsesnivået for personopplysninger ikke er godt nok i USA, medfører dette at man må iverksette “ytterligere tiltak” som veier opp for dette, og sikrer et europeisk beskyttelsesnivå i praksis – selv om personopplysningene overføres, eller står i fare for å utleveres dit.
Det europeiske personvernråde
Det europeiske personvernrådet (EDPB) har nå lagt ut på høring anbefalinger om hvordan man identifiserer og iverksetter “ytterligere tiltak” for å sikre et tilsvarende beskyttelsesnivå som i EØS:
- European Data Protection Board Recommendations 01/2020
- European Data Protection Board Recommendations 02/2020
Vi anbefaler at man holder seg oppdatert på Datatilsynet sine nettsider.
Oppfølging i Digitaliseringsdirektoratet
Digitaliseringsdirektoratet er i gang med vurderinger av hvilke konsekvenser dette kan innebære og vi har jobbet en tid med problemstillingene. Veiledere fra det europeiske personvernrådet (EDPB) og dialog med leverandørene er blant det vi tar med oss i våre vurderinger, samt at vi vil trekke nytte av Datatilsynets faglige vurderinger.
Digitaliseringsdirektoratet har ikke fattet beslutninger som gjør at vi kommer til å «flytte hjem» løsninger som er i sky på nåværende tidspunkt.
Digitaliseringsdirektoratet har ledet arbeidet med å utarbeide en veiledning for offentlig sektors bruk av skytjenester etter Schrems II, og Altinn følger veiledningen.
Hva betyr dette for Altinn 3
Altinn II er i dag driftet i bedriftsdatasentre i Norge. Altinn 3 utvikles som åpen kildekode på GitHub, og kjører i Microsoft Azure, noe også tjenestene vil gjøre. Vi har valgt datasenter i Norge og EØS.
Vi i Altinn følger med på utviklingen og deltar i arbeidet i Digitaliseringsdirektoratet med problemstillingene. Altinn jobber også kontinuerlig med vurderinger av personvernkonsekvenser (DPIA) og risiko- og sårbarhetsanalyser.
Realiseringen av Altinn 3 fortsetter som før i påvente av en avklaring av rettssituasjonen etter Schrems II.
Har du flere spørsmål? Send oss en mail på tjenesteeier@altinn.no