I går kom EU, via European Data Protection Board (EDPB), med en etterlengtet veiledning på personopplysninger i land utenfor EU som konsekvens av den mye omtalte Schrems II-avgjørelsen.
Veiledningen gir en detaljert oversikt over datatilsynenes forventninger til hvordan organisasjoner skal håndtere overføring av personopplysninger til land utenfor EU. Den er relevant for skytjenesteleverandører, for de som bygger tjenester på skytjenester, for konsern med internasjonale overføringer, for privat sektor og for offentlig sektor, ja - stort sett gjelder den oss alle.
Dette er også viktig for verdisetting av selskaper. Selskaper som har orden i dette, kan verdsettes høyere enn selskaper som ikke er følger reglene.
Andre land har dårligere personvern
Hovedproblemstillingen er at EU mener at mange land utenfor EU har dårligere personvern enn EU, ofte fordi andre lands overvåkning av kommunikasjon er større enn i EU. EU sier at bedrifter må iverksette ekstra sikkerhetstiltak som gjør slik overvåkning ikke kan skje. Det betyr at man må vite noe om hvordan overvåkningen skjer, slik at man kan vurdere hvilke tekniske eller avtalemessige tiltak som kan avhjelpe. Dette er ingen enkel vurdering og den må faktisk gjøres i forhold til hver eneste kontrakt som gjelder det EU mener skal defineres som en overføring.
Veiledningen består av to hoveddeler. Først angis det en rekke anbefalinger om supplerende tekniske, organisasjonsmessige og avtalebaserte tiltak som skal øke beskyttelsen sammenlignet med hva som er vanlig i mange skyavtaler i dag. Denne delen er i praksis en kokebok på hvordan man skal gå frem og fortjener større oppmerksomhet enn hva det er plass til her.
Deretter følger anbefalinger for hvordan man skal ta stilling til om overvåkningsnivået i et tredjeland er i tråd med grunnleggende europeiske rettigheter. Akkurat for tjenester fra USA er dette en noe enklere vurdering, fordi EU-domstolen i SchremsII-dommen allerede har slått fast at overvåkningsnivået i USA er for høyt. Men vurderingen må gjøres også for andre tredjeland som er i bruk. For skytjenester vil dette ofte gjelde både India og Sri Lanka.
Utkast
Veiledningen er et utkast, som alle kan kommentere på frem til den 30. november. Det er ingen grunn til å tro at det vil bli gjort vesentlige endringer i den, så bedriftene bør allerede nå innrette seg etter den. De vurderinger som skal gjøres er omfattende, og vi kommer tilbake med en egen artikkel om dette. Her er først noen innledende kommentarer til hva konsekvensene er.
EU angir flere typetilfeller som de, litt upresist gjengitt, klassifiserer som OK eller ikke OK for overføring til et tredjeland som de mener har et for høyt overvåkingsnivå.
Det er hyggelig å lese at de eksplisitt skriver at pseudonymisering kan være et tiltak som gjør at en overføring kan tillates. Det er en rekke vilkår knyttet til dette, for eksempel at det identifiserende elementet ikke skal være tilgjengelig i tredjelandet. Dette er likevel svært praktisk i mange tilfeller. Vi har arbeidet med flere tilfeller innen helsesektoren der dette vil kunne være aktuelt.
Et annet eksempel de nevner, kan være vanskelig for mange bedrifter: De skriver at de ikke ser hvilke tekniske tiltak som kan iverksettes slik at de kan godkjenne overføring til en cloudleverandør som har tilgang til ukrypterte data. Det har selvfølgelig stor betydning for svært mange skytjenester, både leverandører og brukere av skytjenester. For denne gruppen blir det spesielt viktig å vurdere hvilke andre avtalemessige tiltak man kan sette i verk.
Konserninterne overføringer
Et tredje eksempel de tar opp, viser at EU er tydelig på at bestemmelsene også gjelder konserninterne overføringer. De fleste internasjonale konsern overfører opplysninger om sine ansatte. Også for konserninterne overføringer må man altså vurdere hvilke sikkerhetstiltak som skal treffes.
Når EUs siktemål er at andre lands overvåkning skal reduseres til et nivå de mener er på linje med EUs, så er det neppe overraskende at de skriver at avtalevilkår som inngås mellom to private parter ikke vil binde andre lands overvåkningsmyndigheter. Det er bakgrunnen for at veiledningen også angir at avtalemessige tiltak "should be combined" med tekniske tiltak. Ordet "should" er ikke alltid entydig, betyr det "skal" eller betyr det "bør"? Veiledningen er skrevet som om det skal leses som "skal", men om man skal håpe på en avklaring i høringsrunden, så er det nettopp dette.
Konsekvensene av veiledningen er som mange har pekt på tidligere. Det å stikke hodet i sanden og håpe at dette går over, er ikke å anbefale. Rådet er helt klart: se på hvilke avtaler dere har, finn ut av hvilke overføringsgrunnlag dere bruker og finn ut hvilke tilleggstiltak dere nå gjøre. Prioriter de viktigste avtalene og kom i gang.
Reagerer på utflagging av digital postkasse – frykter snoking i våre mest sensitive personopplysninger