17. januar 2023 publiserte det europeiske personvernrådet (EDPB) en rapport om det offentliges bruk av skytjenester.
Der skriver EDPB at det å ta i bruk skytjenester utløser en plikt til å gjennomføre en personvernkonsekvensvurdering (DPIA).
Vi mener det ikke er manglende DPIA som er hovedproblemet ved bruk av skytjenester og at EDPBs uttalelse om DPIA bør nyanseres .
Risikoen kan vurderes konkret
GDPR pålegger en plikt til å gjøre en DPIA kun dersom en planlagt behandling av personopplysninger medfører en så høy risiko for å krenke individers personvern eller andre menneskerettigheter at det å oppfylle de alminnelige bestemmelsene i GDPR ikke gir tilstrekkelig vern.
Formålet med en DPIA er å identifisere hvilke ytterligere tiltak eller begrensninger som kan iverksettes for å få risikoen ned til det akseptable. Dersom det viser seg ikke å være mulig, må man gjennomføre en forhåndskonsultasjon med Datatilsynet eller legge planene på is.
Vi må kunne legge til grunn at de alminnelige bestemmelsene i GDPR sikrer et tilstrekkelig beskyttelsesnivå i de aller fleste tilfeller hvor personopplysninger behandles, og at en DPIA er nødvendig bare rent unntaksvis.
Det gjelder også ved bruk av skytjenester.
Når man skal vurdere risikoen, bør man derfor tas hensyn til de øvrige vilkårene i GDPR. Dersom disse gir godt nok vern, tatt i betraktning behandlingens art og omfang, hvem de registrerte er og hvilken kontekst behandlingen skjer i, er det ikke nødvendig å gjøre en DPIA.
En behandlingsrettet tilnærming
Man kan forstå EDPBs veileder slik at det er selve skytjenesten som skal være gjenstand for en DPIA. Det er imidlertid vår erfaring at en DPIA ikke bør ta utgangspunkt i en teknisk løsning eller et informasjonssystem, men en eller flere konkrete behandlingsaktiviteter
Mange behandlinger med høy risiko blir gjennomført i en kombinasjon av flere systemer. En DPIA bør derfor ikke begrenses til ett eller flere av de systemene som benyttes.
I mange systemer er det mer enn én type behandling, som hver for seg innebærer svært ulik risiko. Det gjelder typisk for mange skytjenester.
En systemrettet tilnærming kan i slike tilfeller innebære at man gjør en mer omfattende DPIA enn det som er nødvendig og formålstjenlig.
Vi anbefaler derfor en behandlingsrettet tilnærming hvor man kun inkluderer de av behandlingsaktivitetene som rent faktisk innebærer en høy risiko. Her er det nok å ta av når man ønsker å ta i bruk skytjenester.
Nye behandlinger oppstår
Når man tar i bruk skytjenester, er det sannsynlig at man innfører flere nye behandlingsaktiviteter. Det er for eksempel vanlig å la skytjenesteleverandører behandle personopplysningene i tjenesten for egne forretningsformål. Dette kan innebære at personopplysningene viderebehandles, og potensielt leveres ut til tjenesteleverandøren, uten at det finnes rettslig grunnlag i GDPR. Utleveringen kan også være i strid med lovpålagt taushetsplikt.
Det er også vanlig å tillate skytjenesteleverandøren å benytte databehandlere i såkalte tredjeland, land utenfor EU som ikke nødvendigvis forholder seg til GDPR.
Da øker risikoen for at personopplysningene overføres i strid med vilkårene i GDPR, til land hvor beskyttelsesnivået ikke er tilfredsstillende. Selv om man avtaler at personopplysningene ikke skal eksporteres, er det en sannsynlighet for at tjenesteleverandøren overfører og leverer ut data basert på plikter som er pålagt dem etter det landets rett.
Ovennevnte behandlinger kan opplagt innebære en høy risiko for de registrertes rettigheter og friheter og bør i så fall være gjenstand for en DPIA.
Hovedproblemet er ordinær etterlevelse
Det å etterleve de alminnelige vilkårene i GDPR er krevende, særlig når det gjelder videre behandlinger, utleveringer og overføringer.
De fleste vet nå hvor problematisk det er å finne et egnet overføringsgrunnlag i kjølvannet av Schrems II-dommen. Og som EDPB selv påpeker, er det særlig for offentlige virksomheter nærmest umulig å finne rettslig grunnlag for denne typen videre behandling og utlevering. Her skaper også lovbestemt taushetsplikt ekstra utfordringer.
Manglende etterlevelse av de alminnelige vilkårene i GDPR kan imidlertid ikke løses gjennom en DPIA, som tar sikte på å finne ytterligere tiltak eller begrensninger ut over det som kreves i alle tilfeller.
Vi frykter at mange virksomheter nå setter i gang en unødvendig ressurskrevende prosess,
Før man gjør en DPIA, bør man vurdere om det er mulig å etterleve de alminnelige vilkårene ved bruk av den aktuelle skytjenesten, eller om det uansett er nødvendig å se etter alternative løsninger.
Tror du IT-leverandøren din vil redde deg? Tro igjen