Oppdatering om konsekvens og oppfølging av Schrems II-dommen

Created by Kim Bjørn Jensen
10.03.2021
3 min read

Dette er en oppfølging til blogginnlegget om samme tema fra 16.09.2020: Schrems II-dommen og Fellestjenester BYGG

Bakgrunn

Grunnen til at vi følger opp denne saken er at det er et felles ansvar for alle behandlingsansvarlige og databehandlere å sikre at behandling og evt overføring av personopplysninger skjer i tråd med regelverket. I tillegg er sentrale deler av Fellestjenester BYGG, og Fellestjenester PLAN, som kjent, bygd opp på tjenester og funksjonalitet i Microsoft Azure.

Vurdering fra Digitaliseringsdirektoratet

DiBK har hatt kontakt med Digitaliseringsdirektoratet(Digdir) og Altinn om deres vurdering av effektene av Schrems II-dommen. Det er naturlig, siden Digdir er å anse som premissgiver, i denne sammenhengen, at DiBK legger seg tett opp til deres vurderinger og følger deres anbefalinger.

Man har dels vurdert den umiddelbare betydningen av dommen generelt, dels sett på hva den betyr for løsninger som kjører i skyløsninger hos amerikanske leverandører og endelig vurdert betydningen for Altinn 3.0

Sammenfattende kan vi si at Digdir/Altinn sine vurderinger og tilnærming er i trådd med DiBK sin holdning slik den fremgår av tidligere blogginnlegg (se link ovenfor), som kort fortalt er å se tiden litt an inntil det kommer en avklaring fra Datatilsynet som vi kan forholde oss praktisk til.

Problematikk og tiltak

Problematikken er konkret at det pga sikkerhetslover i USA, som alle amerikanske skyleverandører er underlagt, ikke er mulig for dem å garantere samme personvernbeskyttelse som i EU/EØS. Det er et krav etter GDPR og dermed en forutsetning for at man som behandlingsansvarlig og databehandler kan bruke deres tjenester. Samtidig er det praktisk utfordrende å tilrettelegge ytterligere, beskyttende tiltak, som for eksempel kryptering av personopplysninger, siden krypteringsrutinen ikke kan kjøres i samme løsning og krypteringsnøkler ikke kan lagres i samme miljø som krypterte data.

I dagens versjon av Fellestjenester BYGG krypteres alltid fødselsnummer når det er i trafikk eller lagres, men det må dekrypteres når det skal brukes i prosess med Altinn, f.eks. distribusjon av nabovarsel. Kryptering/dekryptering skjer i miljøet vårt på MS Azure plattformen.

Det vurderes også om man kan velge en risikobasert tilnærming, der man ser på risikoen for den registrertes personvern knyttet til de enkelte personopplysningene som behandles. Det kan virke som en fristende løsning hvis man vurderer at risikoen som så liten, at man trygt kan fortsette med sin skytjenesteleverandør, evt. med noen tiltak.

Motforstillingen er at man som behandlingsansvarlig eller databehandler med en amerikansk leverandør ikke kan vurdere tryggheten reelt, fordi det etter amerikanske sikkerhetslover, kan forbys leverandørene å opplyse om myndighetenes brudd på personvernet. Behandlingsansvarlig er dermed ikke i en situasjon der man har kontroll. I tillegg betyr det at den registrertes rett - en menneskerett - til å få prøvd sin klage for retten ikke kan oppfylles.

Praktiske tiltak

Digdir og Altinn foreslår tre praktiske tiltak:

  1. Skaffe oversikt hvilke skytjenester og hvilke funksjoner i tjenestene man bruker i sine løsninger

  2. Skaffe oversikt over hvilke typer personopplysninger som lagres

  3. Vurdere om eksisterende databehandleravtaler er tilstrekkelige

Til punkt 2; man bør ikke kun se på hva som lagres, men hva som i det hele tatt prosesseres.

Det å ha oversikt og kontroll over data og tjenester er allerede et krav etter Personopplysningsloven som bl.a. oppfylles ved å føre en behandlingsprotokoll, etter artikkel 30 i GDPR.

Altinn-miljøet

Altinn 3.0, som er det fremtidige grunnlaget for en del offentlige fellestjenester, utvikles og driftes i Microsoft Azure-miljø i datasentre i Norge og EØS-land. Det er lagt vekt på at løsningene er leverandøruavhengige og det vurderes om man skal teste portabiliteten.

Fellestjenester BYGG er bygd for integrasjon med Altinn 2.0, men vil gradvis bli utviklet til å basere seg på integrasjon med Altinn 3.0. Fellestjenester PLAN bygger dels på Fellestjenester BYGG-plattformen dels på Altinn 3.0.
Det vurderes å være hensiktsmessig for DiBK sine Fellestjenester-løsninger å legge seg tett opp til Altinn sine valg.

Avsluttende

Som tidligere nevnt: Inntil en tydeligere avklaring kommer så avventer DiBK. Vi følger og vurderer utviklingen fortløpende og holder dere oppdatert når vi ser behov for det.

Vi oppfordrer til at dette og refererte innlegg deles med deres personvernansvarlig. Er det noen spørsmål eller kommentarer, ta gjerne kontakt via service desk.