EU offentliggjorde i går den endelige versjonen av sine retningslinjer for overføring av personopplysninger til land utenfor EØS. Dette er en grunnpilar i vurderingen av hva som er en lovlig skytjeneste. Det er godt dette skjedde i årets lyseste uke, for som vanlig er det er mye å lese og sette seg inn i. Ja, det blir risikobasert. Ja, det er en rekke vilkår man må ta stilling til. Og ja, ikke alle kriterier er klare.
Utkastet fra ifjor skapte mye debatt og uklarhet knyttet til hva som faktisk må gjøres for at overføringer av personopplysninger til tredjeland skal være lovlig. Om den nye versjonen gir alle avklaringer som mange har ønsket seg, er tvilsomt. Mye er likt som i forrige versjon: De samme seks steg i "roadmap" gjelder, kontraktuelle og organisatoriske tiltak kan ikke alene kompensere for problematisk lovgivning, anbefalte tekniske tiltak som kryptering er de samme osv.
Den viktigste nyvinningen og det mange har lobbet for, gjelder det tredje steget om vurderingen av tredjelandets regulering og praktisering av personvern. Det vil nå bli mulig med en risikobasert tilnærming, men hva som er akseptabelt risikonivå er ikke helt åpenbart.
Begrepet dataeksportør må man legge rett inn i vokabularet fremover. Det er alle oss som sender personopplysninger ut av EU, det gjelder de som er kundene til de store skyleverandørene. Etter EDPBs anvisninger, må den aktuelle dataeksportøren ikke bare EU vurdere tredjelandets lovgivning og forpliktelser etter traktater om menneskerettigheter, men også myndighetenes faktiske praktisering av personvern. Mye å ta tak i der altså, men vi antar at det vil utkrystallisere seg noen gjengse vurderinger man kan bruke for dette. Akkurat det løser seg nok. Rent praktisk er det grunn til å minne om at man også må ta inn eventuell overføring fra en databehandler til en underdatabeandler. Dette er særdeles praktisk. Og overføringer til USA kan ikke nødvendigvis håndteres på samme måte som overføringer til for eksempel India.
I den nye veilederens avsnitt 43 står en viktig presisering. Der beskrives flere ulike situasjoner som kan oppstå dersom mottakerlandets personvernregime er problematisk. Det angis at dataeksportøren da har flere valg. Dataeksportøren kan:
- Stanse overføringen
- Implementere ytterligere tiltak, eller
- Fortsette overføring uten å implementere ytterligere tiltak, vel å merke "if you consider that you have no reason to believe that relevant and problematic legislation will be applied, in practice, to your transferred data and/or importer"
Det er ikke så mange som har lyst å benytte alternativ 1. Det er 2 og 3 som er mest relevante.
Amerikanske skytjenester: Risiko må ha betydning når man overfører sensitive data
Av relevante tiltak under punkt 2, vil kryptering være spesielt praktisk. Fremover kommer vi til å måtte forholde oss til ulike krypteringsalternativer og deres konsekvenser for hvilke tjenester som er kan brukes. Jo bedre kryptert, jo lettere å overføre. Men samtidig er det vanskelig for en leverandør å for eksempel scanne for virus hvis de ikke har nøkkelen som kan låse opp krypterte data. Så hvilke tjenester man kan bruke, står i sammenheng med hvilken krypteringsløsning man velger.
Dette er spesielt viktig ettersom retningslinjene har beholdt det mye omtalte "Case 6" i hovedsak uendret fra utkastet. Der står det fremdeles at EU har vansker med å se hvordan man kan bruke en skyløsning der leverandøren har tilgang til "data in the clear", altså ukrypterte data, når leverandøren er i et land der beskyttelsesnivået ikke er godt nok. Samtidig inneholder Case 6 en passus som kan tyde på at det er de reelle tjenester som er avtalt som skal vurderes, og ikke andre hypotetiske tjenester. Det kan igjen få den betydning at helt hypotetiske tilgangsmuligheter ikke teller så sterkt. Noen har sagt at Case 6 er spikeren i kista for SaaS. Det trenger ikke å bli slik, men det kan tenkes man må ha et mer bevisst forhold til hvilke funksjoner man ønsker å beytte i en SaaS-leveranse. Dessuten kan implementering av såkalt splittet prosessering mellom aktører i flere jurisdiksjoner også være et relevant tiltak. Dette er nærmere beskrevet i "Case 5" fra veilederen. Komplisert? Ja, men blandingen av juss og teknologi er fascinerende også.
Alternativ 3 vil være en fristende mulighet for mange. Også dette er en risikobasert tilnærming. Men terskelen er høy for å kunne bruke den. Dataeksportøren må ifølge EDPB gjøre en grundig vurdering som skal kunne dokumenteres: "You will need to have demonstrated and documented through your assessment, where appropriate in collaboration with the importer, that the law is not interpreted and/or applied in practice so as to cover your transferred data and importer, also taking into account the experience of other actors operating within the same sector and/or related to similar transferred personal data and the additional sources of information [...]."
EDPB understreker også alvoret i sitt "executive summary" slik: "You should conduct this assessment with due diligence and document it thoroughly. Your competent supervisory and/or judicial authorities may request it and hold you accountable for any decision you take on that basis."
I denne sammenhengen er det greit å vite at EU, via European Data Protection Supervisor, har startet granskinger av sin egen bruk av tjenester fra Amazon Web Services og Microsoft O365. Det er rimelig å tro at konklusjonen på dette arbeidet vil bli sentralt for hva som er akseptabelt for andre aktører også. Dette arbeidet ble startet i mai 2021, vi gjetter på at det ikke er tilfeldig at dette skjer nært i tid med disse nye retninglinjene.
EUs veileder for overføring av personopplysninger henger tett sammen med EUs nye Standard Contractual Clauses som ble publisert 4. juni. Det er i høyeste grad en bevegelig rettssituasjon på området. Vi er fremdeles i tenkeboksen på hvordan mye av dette skal praktiseres. Sammen utgjør disse EU-dokumentene viktige og rykende ferske utgangspunkter for virksomheter som overfører, eller vurderer overføring, av personopplysninger til tredjeland. De vil garantert være gjenstand for mange tolkninger fremover. Man venter også på en FAQ knyttet til den nye SCC om tredjeland fordi den mangler avgjørende klargjøring på når den skal brukes. Se mer om dette her. For mange av oss starter arbeidet nå med å lage en verktøykasser med sjekklister og maler for virksomheter som vil helst vil følge spillereglene.
Kanskje du ikke trenger SCC’en?