EUs personvernråd (EDPB) får hard medfart for en fersk rapport om det offentliges bruk av skytjenester i et debtattinnlegg publisert 2. februar av personvernadvokatene Cecilie Rønnevik og Christine Ask Ottesen. I rapporten skriver EDPB at det å ta i bruk skytjenester, utløser en plikt til å gjennomføre en personvernkonsekvensvurdering (DPIA). Rønnevik og Ottesen utfordrer denne anbefalingen og mener at fravær av DPIA ikke er problemet ved bruk av skytjenester.
Dette er vi i BDO helt enig i. Hovedproblemet hos norske virksomheter er ikke fravær av gjennomføring av DPIA-er, men manglende ordinær etterlevelse av forordningen. Vi mener imidlertid også at det er et vel så stort problem at virksomheter ikke har tilstrekkelig bevissthet rundt risikoene ved bruk av skytjenester og blant annet setter for mye lit til skytjenestenes standardinnstillinger.
En dokumentbasert tilnærming til skysikkerhet
Stadig flere virksomheter ser på muligheten for å sette ut hele eller deler av sin IT-portefølje til en ekstern skytjenesteleverandør. Særlig offentlige virksomheter kan nyte godt av fordelene skytjenester fører med seg, som reduserte kostnader ved utsatt IT-drift, større kapasitet for datalagring og økt sikkerhet i form av at skyleverandøren stiller med bedre kompetanse og ressurser enn virksomheten selv.
Skytjenester er samtidig assosiert med nye former for risiko, som mer overskuddsinformasjon som behandles for skyleverandørens egne formål, stor usikkerhet knyttet til geografisk lokasjon for databehandlingen og en uoversiktlig kjede av underleverandører. For å bistå virksomheter med å få kontroll på skytjenestene sine, redusere risiko og etterleve GDPR, anbefaler EDPB virksomheter å gjennomføre en DPIA. Etter GDPR art. 35 trenger man imidlertid ikke å gjennomføre en DPIA med mindre databehandlingen utgjør en «høy risiko» for enkeltpersoners rettigheter og friheter etter GDPR.
Det er mange problemer med EDPBs tilnærming til skysikkerhet:
- For det første vil en DPIA for mange virksomheter være en svært tidkrevende øvelse som tar mye kapasitet og ressurser fra offentlige virksomheter som allerede dras mellom ulike prioriteringer. Når databehandlingen i skytjenesten ikke nødvendigvis utgjør en «høy» risiko for de registrerte, vil øvelsen med å gjennomføre en DPIA ofte være helt unødvendig.
- For det andre vil en slik klar anbefaling om å gjennomføre DPIA for enhver bruk av skytjenester kunne ende opp med å bli en dokumentbasert tilnærming til skysikkerhet og etterlevelse av GDPR. Istedenfor å legge til grunn en risikobasert tilnærming for virksomhetenes arbeid med godt personvern, vil mange virksomheter bli mest opptatt av å ha et dokument de kan vise til Datatilsynet.
- Sist, men ikke minst tar slike vurderinger ofte fokuset bort fra det generelle personvernarbeidet i virksomheten. Mens virksomhetene er mest opptatt av å gjennomføre DPIA-er, bør virksomheter heller prioritere å sikre de alminnelige kravene til etterlevelse av GDPR, som å fastsette formål, identifisere lovlig behandlingsgrunnlag, gjennomføre risikovurderinger og kartlegge dataflyt og leverandørkjeder.
Standarden er ikke alltid sikker
Slik BDO forstår det, vil ikke det å implementere skytjenester medføre en høy risiko i seg selv. Den største risikoen knytter seg til hvordan og i hvilken sammenheng virksomheten implementerer, konfigurerer og bruker skytjenesten. Her erfarer vi at mange virksomheter kommer til kort og stoler blindt på skyleverandørens evne til å sikre virksomhetens verdier.
I tillegg til å sikre generell etterlevelse av GDPR og gjennomføre gode risikovurderinger, er det helt avgjørende for god skysikkerhet og et godt personvern å konfigurere skytjenestens sikkerhetsinnstillinger. La oss ta Microsoft 365 og SharePoint Online som eksempel.
Standardinnstillingen til SharePoint Online er satt til at informasjon kan deles med alle, også til mottakere som ikke krever innlogging. En slik innstilling vil imidlertid ofte kunne medføre at en organisasjon blir unødvendig sårbar for uautorisert tilgang til sensitiv informasjon. Med standardinnstillingene til Microsoft 365 vil også virksomheter kunne gjøre seg sårbare overfor mangelfull tilgangsstyring. Dette ettersom gjestebrukere som standardinnstilling kan invitere nye gjestebrukere uten krav om godkjenning fra virksomheten først.
Selv om EDPBs nye rapport kommer med mange velmente råd og anbefalinger for virksomheter som vil sikre godt personvern i skyen, opplever vi i BDO at EDPB ikke treffer helt der skoen trykker. Et godt personvern i skyen krever ikke alltid gjennomføring av DPIA. Vår anbefaling er heller å prioritere arbeid med å sikre generell etterlevelse av GDPR og samtidig ta en kikk på skytjenestens sikkerhetsinnstillinger.
Dansk samarbeid om retningslinjer for ansvarlig bruk av KI-assistenter