Skal du ut i skyen?

Innsikt

Skal du ut i skyen?

Flere forvaltningsorganer kommer til å benytte seg av skyløsninger i tiden fremover. Dette bør du ha med i kontrakten.

Artikkelen på 15 sekunder: Denne artikkelen tar for seg utfordringer ved bruk av skytjenester i forvaltningsorganer, og gjennomgår ulike forholdsregler som bør tas for å ivareta personvernet ved bruk av slike tjenester. Det er særlig viktig å velge anerkjente og effektive skyleverandører som er i stand til å iverksette tiltak for å møte alle krav etter personopplysningsloven.

 

Datatilsynet varslet i 2011 at Narvik kommunes bruk av nettskytjenester måtte opphøre. Året etter tok Datatilsynet en ny vurdering av kommunenes bruk av nettskytjenester og konkluderte med at kommunene kunne fortsette å bruke tjenesten. Skyløsninger blir brukt av flere forvaltningsorganer som helsesektoren og kommunene, og markedsutviklingen gir oss grunn til å regne med at også flere forvaltningsorganer i nærmeste fremtid vil følge etter. I denne artikkelen vil vi ta for oss forholdsregler det kan være lurt å innta i enhver skyløsnings-kontrakt, blant annet vilkår og betingelser for behandlingen av personlige data i skyene.

Hva er skytjenester?

Skytjenesten tilbyr en rekke dataressurser gjennom et nettverk. I stedet for å anskaffe, drive og vedlikeholde egne IT-tjenester, kan en skytjeneste-kunde (skykunde) outsource disse IT-funksjonene til leverandøren av skytjenester (skyleverandøren). Skykunden nyter fordelene av rask levering av data og enorm lagringskapasitet, og får tilgang til den nyeste teknologiske infrastrukturen og IT-ressurser av høy kvalitet. Skykunden får alle disse fordelene uten å måtte opprettholde en egen IT-avdeling. Virksomheter som benytter seg av skytjenester, som inkluderer behandling av personopplysninger, vil komme i en databehandlersituasjon, hvor en tredjepart behandler personopplysninger på deres vegne.

Databehandlingsavtale

Dersom en kommune bruker skytjenester, har kommunen en såkalt databehandlersituasjon. Da vil det etter personopplysningsloven være påkrevet at skykunden og skyleverandøren har en databehandlingsavtale for skytjenester. Formålet er å sikre at behandlingen av personopplysninger i skyen er i overensstemmelse med de rettslige krav etter personvernretten. Slike avtaler kan være selvstendige avtaler, eller være integrert i skytjenestekontrakten. Datatilsynet i Norge har en egen mal utarbeidet for slike avtaler. Malen er imidlertid ikke bindende. Partene kan utarbeide kontrakten på egen hånd, tilpasset sine kontraktsforhold, så lenge de oppfyller kravene i personopplysningslovgivningen.

Kontraktuelle forholdsregler

Det kan være vanskelig å sikre samsvar mellom personvernlovgivningen og skytjenester. Skyløsningen består av mange sjikt og komponenter, og har spesielle egenskaper som kan vanskeliggjøre anvendelsen av prinsipper og regler for databeskyttelse. Utfordrende kan det også være at nettskyleverandørene ønsker å gjøre bruk av deres egne standardavtaler som kan komme i konflikt med både norsk og europeisk personvernlovgivning. Vi gir her en generell guide til hovedpunktene som bør med i en databehandleravtale:

1. Kontroll

Skykunden må ha kjennskap til når personopplysninger flyttes, hvor de blir lagret, hvem som har tilgang og hvilke sikkerhetstiltak som gjelder. Skykunden bør være berettiget til å endre metoden for databehandling dersom det dukker opp nye forhold, eller dersom en lovendring krever det.

2. Transparens

Skykunden må ha gjennomsiktige og lett tilgjengelige retningslinjer for behandlingen av personopplysninger og for utøvelsen av brukernes rettigheter. Skykunden må som behandlingsansvarlig gi informasjon om formålet med databehandlingen, identiteten til databehandleren, hvor dataene befinner seg og hvordan de kan utøve rettighetene de har når personopplysninger befinner seg i eller behandles i skyen. Hvis skytjenesten innebærer bruk av underleverandører eller underleverandører til disse, skal skyleverandøren informere skykunden om alle underleverandører og disses underleverandører som er involvert i skytjenesten. Vilkårene i avtalene med disse underleverandørene må være i samsvar med skytjenestekontrakten mellom skykunden og skyleverandøren. Vilkår vedrørende oppfyllelsen av rettslige krav som er i databehandleravtaler må inkluderes tilsvarende i alle underleverandørkontrakter.

3. Spesifisering av formål og begrensninger

Personopplysninger skal samles inn etter spesifiserte, eksplisitte og lovlige formål, og kun behandles i samsvar med det opprinnelige formål bak innsamlingen av data. Behandlingen av personopplysningene skal være tilstrekkelig, relevant og ikke overgå det som er nødvendig etter formålet med behandlingen. De personopplysningene som skal behandles må være nøyaktige, oppdaterte og skal ikke lagres lenger enn det som er nødvendig ut fra formålet med behandlingen. Skyleverandøren kan verken beholde eller benytte seg av personopplysningene for egne formål. Personopplysningene skal slettes eller returneres ved oppsigelse eller avslutning av skykontrakten. Dette er en stor utfordring med hensyn til overflødig data, flere kopier og backup-rutiner.

4. Konfidensialitet

Dataoverføring og lagring i skyer skal være i overensstemmelse med krav til personvern og konfidensialitet. Skyleverandøren skal behandle personopplysninger kun etter anmodning og på instruks fra skykunden. Skyleverandøren skal kun benytte personopplysninger i forbindelse med leveringen av tjenester og ikke gjøre annen bruk av opplysningene uten at det foreligger lovlig behandlingsgrunnlag.

5. Tilgjengelighet og integritet

Skyleverandøren skal sørge for rettidig og pålitelig tilgang til personopplysninger. Data skal gjøres tilgjengelig kostnadsfritt i rimelige tidsintervaller uten overdrevne forsinkelser. Skyleverandøren må opprettholde dataintegritet. Data må forbli autentisk uten å ha blitt skadelig eller uheldig endret under bearbeiding, lagring eller overføring.

6. Sikkerhetstiltak

Skyleverandøren skal ta nødvendige tekniske og organisatoriske forholdsregler for å beskytte personopplysninger mot uheldig, eller ulovlig, ødeleggelse eller tap. Skyleverandøren skal gjennomføre tiltak for å hindre enhver form av ulovlig behandling av informasjon eller uautorisert tilgang eller utlevering. De samme sikkerhetstiltakene må opprettholdes av alle underleverandører eller mellommenn skyleverandøren benytter seg av.

7. Spesifikt behandlingssted

Skyleverandøren kan bli pålagt å behandle personopplysninger innenfor et avgrenset geografisk område. Dette er ikke alltid like lett å etterkomme, ettersom skytjenesten ofte kan benytte seg av datasentre, servere eller annen IT-infrastruktur som ligger i mange forskjellige land. Der grenseoverskridende overføring er uunngåelig, må skyleverandøren gi en liste over tredjeparter som kan komme til å få tilgang til lagret data, i hvilke jurisdiksjoner, og garantere lovligheten av slike overføringer. Skyleverandører må også sikre at behandling av personopplysninger i tredjeland utføres i et system med innbygde mekanismer som forebygger og avdekker ulovlig bruk, ødeleggelse og/eller tap av personopplysninger.

Som en regel, skal personopplysninger ikke bli flyttet til andre land med mindre "tilstrekkelig beskyttelse" er gitt i samsvar med den beskyttelse som er gitt innenfor EU. I den nylig avsagte safe harbour-saken Maximillian Schrems v. Data Protection Commissioner (Schrems), fastslår EU-domstolen at det må foreligge tilnærmet identisk beskyttelsesgrad i tredjeland som i EU-stater selv om enkelte mindre forskjeller kan tillates. EU-domstolen fastslår at safe harbour-prinsippet som tillater generell
overføring av informasjon om EU-borgere av virksomheter til USA ikke lenger kan gjøres gjeldende. Uttalelsen berører mange skyleverandører i markedet, som Google, Facebook, Apple og Microsoft. Disse leverandørene kan ikke lenger basere seg på egenerklæringer om at de oppfyller EU-krav etter safe harbour-prinsippet. I stedet, må garantier/forpliktelser inntas i kontraktsklausuler som tillater dataoverføring for områder utenfor Europa for hver enkelt skytjeneste. Skykunder som allerede mottar tjenester fra aktører som baserer seg på Safe-Harbor-prinsippet må gjennomgå sine kontrakter for å forsikre seg om de føringer og krav som gis i Schrems-dommen møtes.

Kommuner i skyen

Norske kommuner kan benytte seg av skytjenester, men må følge kravene i personopplysningslovgivningen. Det er essensielt å velge anerkjente og effektive skyleverandører som er i stand til å iverksette tiltak for å møte alle krav. Bestemmelsene i kontrakten om kontroll, transparens, formålsspesifikasjon og begrensninger, konfidensialitet, tilgjengelighet og integritet, og sikkerhetstiltak skal være i samsvar med grunnleggende prinsipper for personvern og databeskyttelse. Klare og tydelige formuleringer i disse bestemmelsene i databehandleravtalene er derfor essensielt for å sikre tilstrekkelig beskyttelse av personopplysninger som behandles i skyen.  

Skrevet av:
Ole Marius Bachke

Denne artikkelen er en del av Kommunalt Innblikk - et magasin hvor vi ønsker vi å formidle ny kunnskap, nye synspunkter og oversikt over dagsaktuelle temaer som gjelder din kommune og ditt lederansvar.

 

Den 5. utgaven av magasinet, som denne saken er hentet fra, omhandler behandling og sikring av personopplysninger. Du finner resten av artiklene her.

Var denne siden nyttig?