Det har knyttet seg stor usikkerhet til hvorvidt skytjenester levert fra land utenfor EU/EØS er lovlige. Det springende punktet har vært hva som skal til for at norske og europeiske selskap kan fortsette å bruke skytjenester levert fra eksempelvis USA eller India.
EUs nye veiledning for lovlig bruk av skyløsninger omfatter seks steg som europeiske dataeksportører oppfordres til å følge. Inndelingen i enkelte trinn er i seg selv ikke overraskende, men innholdet i noen av dem er verdt å bruke litt tid på.
Her ser vi i korte trekk på hvordan det fjerde steget - «to identify and adopt supplementary measures» - skal brukes på avtaler om skytjenester.
«Ytterligere tiltak»
Det å implementere slike «ytterligere tiltak» er bare relevant dersom et selskap har kommet til at den valgte overføringsmekanismen (typisk EU Standard Contractual Clauses (SCC)) i seg selv ikke er tilstrekkelig for at de overførte personopplysningene beskyttes tilsvarende som i EU. Det vil gjelde svært mange land, som av tekniske og kommersielle grunner er en del av leveransekjeden i skytjenester. Typisk kan et lands lovgivning eller praktisering av personvern undergrave europeisk beskyttelse av personopplysningene i den mekanismen som er valgt for overføringen.
Ovenstående er i fullt samsvar med Schrems II- dommen fra i sommer. Dommen sa klart at overføringsmekanismen SCC i seg selv ikke er en automatisk garanti for at personopplysningene som er overført til USA beskyttes tilsvarende som i EU, og at ytterligere tiltak derfor må vurderes.
Den nye veilederen sier noe viktig: Hvis et selskap implementerer adekvate ytterligere tiltak, så kan selskapet overføre personopplysningene til tredjeland (som i prinsippet inkluderer USA). Hvis relevante tiltak ikke tas, enten fordi det ikke er mulig eller man ikke prioriterer det, så kan man ikke starte overføring eller må eventuelt stanse pågående overføringer. Det har en temmelig stor konsekvens for allerede inngåtte avtaler om skytjenester.
Må vurderes i hvert tilfelle
Hvilke tiltak som er adekvate i det konkrete tilfelle, må avgjøres på en «case-by-case»-basis (jf. avsnitt 46 i veilederen). «Ytterligere tiltak» er bredt definert, og omfatter i prinsippet kontraktuelle, tekniske eller organisatoriske tiltak (jf. avsnitt 47 og 48 i veilederen).
Det er interessant å se at EU gir uttrykk for å ha størst tiltro til de tekniske tiltakene: «Indeed there will be situations where only technical measures might impede or render ineffective access by public authorities in third countries to personal data, in particular for surveillance purposes.»
I veiledningens Appendix 2, drøfter EU ulike eksempler på aktuelle tekniske tiltak. Det listes for det første opp ulike eksempler på scenarioer («Use Case» 1-5) hvor EU mener det er mulig å implementere tekniske tiltak som potensielt kan medføre tilstrekkelig beskyttelse, og som derfor kvalifiserer som adekvate «ytterligere tiltak». EU lister deretter opp 2 eksempler («Use Case» 6-7) hvor det etter deres syn ikke er mulig å implementere adekvate og tekniske «ytterligere tiltak».
Vilkår
For kunder og leverandører av skytjenester, vil vi mene at særlig «Use Case 1: Data storage for backup and other purposes that do not require access to data in the clear» og «Use Case 6: Transfer to cloud services providers or other processors which require access to data in the clear», er relevante og praktiske.
For «Use Case 1», står det at en dataeksportør kan bruke en leverandør («hosting service provider») av lagringstjenester for backup-formål i tredjeland, dersom flere vilkår er oppfylt. Opplysningene må blant annet strengt krypteres før overføring, krypteringsalgoritmen må være robust/«state-of the art» og ikke minst må krypteringsnøkkelen fullt ut være under dataeksportørens kontroll (eller andre tiltrodde enheter). Eksempelet forutsetter at behandlingen av personopplysningene som foretas av dataimportøren ikke krever tilgang til «data in the clear», altså at skyleverandøren ikke har tilgang til ukrypterte, «rå» personopplysninger.
Tilsvarende vurderinger ligger bak «Use Case 2: Transfer of pseudonymised Data», hvor EU påpeker at også pseudonymisering kan være et adekvat teknisk tiltak, hvis nøkkelen for å oppheve pseudonymiseringen ene og alene er under dataeksportørens kontroll (eller andre tiltrodde enheter).
«Use Case 1» retter seg konkret mot lagring i tredjeland, men vår vurdering er at det samme må gjelde dersom lagringen under ellers like forutsetninger skjer i EU hos en leverandør som tilbyr service døgnet rundt gjennom bruk av fjernaksess fra personell i tredjeland.
«Use Case 1» har sitt motstykke i «Use Case 6» på den måten at sistnevnte scenario gjelder når dataimportøren vil ha tilgang til «data in the clear», altså at skyleverandøren har tilgang til ukrypterte, «rå» personopplysninger. Som nevnt av oss i gårsdagens artikkel i Digi, skriver EU at de ikke kan se noen tekniske tiltak som kan motvirke dette og de kan derfor ikke godkjenne overføring til en leverandør av skytjenester som må ha tilgang til ukrypterte personopplysninger for å utføre tjenesten – såfremt overvåkningsnivået i mottakerlandet ikke er i tråd med grunnleggende europeiske rettigheter.
Teknologiutvikling kan gi endring
EU presiserer også at dersom leverandøren må ha tilgang til ukrypterte personopplysninger, så hjelper det ikke med transport-kryptering eller «at-rest»-kryptering. Det er egentlig en selvfølge.
Samtidig skriver EU at de ikke utelukker at «further technological development may offer measures that achieve the intended business purposes, without requiring access in the clear» (vår understrekning). Oss bekjent, finnes det teknikker for å kunne endre krypterte data, men dette er ikke alminnelig teknologi foreløpig.
«Use Case 1» og «Use Case 6» er relativt konkrete eksempler, og man skal utvise en viss varsomhet ved å trekke generelle slutninger fra dem. Likevel fremstår det helt klart at «vinnerne» er skyleverandører som kan dokumentere at de har avtalemessige, tekniske og organisatoriske tiltak på plass. De kan ikke ha tilgang til ukrypterte, «rå» personopplysninger, pseudonymisering bør inn og krypteringsnøkkelen må oppbevares hos kunden. Tilsvarende er «taperne» leverandører som tviholder på tradisjonelle modeller uten å ta jobben med å innføre tilstrekkelige tiltak, eventuelt at man forsøker med enkle tekniske justeringer men ikke treffer blink, med den konsekvens at skytjenesten fortsatt er ulovlig.
Det er nok mulig å hoppe bukk over hele Schrems II-problematikken dersom skyleverandøren man ønsker å bruke, kan tilby lokal eller regional infrastruktur (uten tilgang fra land utenfor EU). Men, i dagens situasjon hvor internasjonale aktører ofte tilbyr support og service 24/7 fra ulike regioner i land utenfor EU, må man se på hva som skal til for å sette opp tiltak som gjør løsningen lovlig. Vi hører at dette er tema i mange styrerom fremover, og det er bra. Selv om veilederen pt er et utkast, er det liten grunn til å tro at den blir vesentlig endret når høringsfristen går ut om to uker.