JUSS OG SAMFUNN

Manglende DPIA er ikke hovedproblemet

− Vi frykter at mange virksomheter nå setter i gang en unødvendig ressurskrevende prosess, skriver Cecilie Rønnevik og Christine Ask Ottesen i dette innlegget.

Er det ikke mulig å etterleve de alminnelige vilkårene ved bruk av den aktuelle skytjenesten, må du se etter alternativer, ikke gjøre en DPIA, mener Christine Ask Ottesen (t.v.) og Cecilie Rønnevik.
Er det ikke mulig å etterleve de alminnelige vilkårene ved bruk av den aktuelle skytjenesten, må du se etter alternativer, ikke gjøre en DPIA, mener Christine Ask Ottesen (t.v.) og Cecilie Rønnevik. Foto: PWC
Cecilie Rønnevik, direktør/advokat og personvernekspert i PwC Christine Ask Ottesen, partner/advokat og personvernekspert i PwC
2. feb. 2023 - 13:00

17. januar 2023 publiserte det europeiske personvernrådet (EDPB) en rapport om det offentliges bruk av skytjenester.

Der skriver EDPB at det å ta i bruk skytjenester utløser en plikt til å gjennomføre en personvernkonsekvensvurdering (DPIA).

Vi mener det ikke er manglende DPIA som er hovedproblemet ved bruk av skytjenester og at EDPBs uttalelse om DPIA bør nyanseres .

Dette er saken

Personopplysningsloven slår fast at dersom en type behandling «vil medføre høy risiko» for personvernet, må den behandlingsansvarlige gjøre en vurdering av konsekvensene for personvernet før behandlingen starter (GDPR artikkel 35).

En slik vurdering kalles DPIA (Data Protection Impact Assessment) i personvernkretser.

Midt i januar publiserte EDPB en rapport fra et koordinert tilsyn der 22 ulike europeiske datatilsyn har sett nærmere på bruken av skytjenester i offentlig sektor.

I rapporten la de frem sine råd for hva du bør gjøre om du bruker skytjenester.

Blant rådene var en sterk anbefaling om å gjennomføre en DPIA, eller i det minste vurdere om det skal gjøres og dokumentere vurderingen.

− Offentlige virksomheter som bruker skyleverandører, og som ikke har gjennomført en DPIA, bør innen kort tid vurdere om de bør gjennomføre en DPIA og dokumentere denne vurderingen, skrev EDPB i rapporten.

Risikoen kan vurderes konkret

GDPR pålegger en plikt til å gjøre en DPIA kun dersom en planlagt behandling av personopplysninger medfører en så høy risiko for å krenke individers personvern eller andre menneskerettigheter at det å oppfylle de alminnelige bestemmelsene i GDPR ikke gir tilstrekkelig vern.

Formålet med en DPIA er å identifisere hvilke ytterligere tiltak eller begrensninger som kan iverksettes for å få risikoen ned til det akseptable. Dersom det viser seg ikke å være mulig, må man gjennomføre en forhåndskonsultasjon med Datatilsynet eller legge planene på is. 

Vi må kunne legge til grunn at de alminnelige bestemmelsene i GDPR sikrer et tilstrekkelig beskyttelsesnivå i de aller fleste tilfeller hvor personopplysninger behandles, og at en DPIA er nødvendig bare rent unntaksvis.

Det gjelder også ved bruk av skytjenester.

Når man skal vurdere risikoen, bør man derfor tas hensyn til de øvrige vilkårene i GDPR. Dersom disse gir godt nok vern, tatt i betraktning behandlingens art og omfang, hvem de registrerte er og hvilken kontekst behandlingen skjer i, er det ikke nødvendig å gjøre en DPIA. 

En behandlingsrettet tilnærming

Man kan forstå EDPBs veileder slik at det er selve skytjenesten som skal være gjenstand for en DPIA. Det er imidlertid vår erfaring at en DPIA ikke bør ta utgangspunkt i en teknisk løsning eller et informasjonssystem, men en eller flere konkrete behandlingsaktiviteter 

Mange behandlinger med høy risiko blir gjennomført i en kombinasjon av flere systemer. En DPIA bør derfor ikke begrenses til ett eller flere av de systemene som benyttes.

I mange systemer er det mer enn én type behandling, som hver for seg innebærer svært ulik risiko. Det gjelder typisk for mange skytjenester.

En systemrettet tilnærming kan i slike tilfeller innebære at man gjør en mer omfattende DPIA enn det som er nødvendig og formålstjenlig.

Vi anbefaler derfor en behandlingsrettet tilnærming hvor man kun inkluderer de av behandlingsaktivitetene som rent faktisk innebærer en høy risiko. Her er det nok å ta av når man ønsker å ta i bruk skytjenester. 

Nye behandlinger oppstår

Når man tar i bruk skytjenester, er det sannsynlig at man innfører flere nye behandlingsaktiviteter. Det er for eksempel vanlig å la skytjenesteleverandører behandle personopplysningene i tjenesten for egne forretningsformål. Dette kan innebære at personopplysningene viderebehandles, og potensielt leveres ut til tjenesteleverandøren, uten at det finnes rettslig grunnlag i GDPR. Utleveringen kan også være i strid med lovpålagt taushetsplikt. 

Artikkelen fortsetter etter annonsen
annonse
Innovasjon Norge
Store muligheter for norsk design i USA
Store muligheter for norsk design i USA

Det er også vanlig å tillate skytjenesteleverandøren å benytte databehandlere i såkalte tredjeland, land utenfor EU som ikke nødvendigvis forholder seg til GDPR.

Da øker risikoen for at personopplysningene overføres i strid med vilkårene i GDPR, til land hvor beskyttelsesnivået ikke er tilfredsstillende. Selv om man avtaler at personopplysningene ikke skal eksporteres, er det en sannsynlighet for at tjenesteleverandøren overfører og leverer ut data basert på plikter som er pålagt dem etter det landets rett.

Ovennevnte behandlinger kan opplagt innebære en høy risiko for de registrertes rettigheter og friheter og bør i så fall være gjenstand for en DPIA. 

Hovedproblemet er ordinær etterlevelse

Det å etterleve de alminnelige vilkårene i GDPR er krevende, særlig når det gjelder videre behandlinger, utleveringer og overføringer.

De fleste vet nå hvor problematisk det er å finne et egnet overføringsgrunnlag i kjølvannet av Schrems II-dommen. Og som EDPB selv påpeker, er det særlig for offentlige virksomheter nærmest umulig å finne rettslig grunnlag for denne typen videre behandling og utlevering. Her skaper også lovbestemt taushetsplikt ekstra utfordringer. 

Manglende etterlevelse av de alminnelige vilkårene i GDPR kan imidlertid ikke løses gjennom en DPIA, som tar sikte på å finne ytterligere tiltak eller begrensninger ut over det som kreves i alle tilfeller.

Vi frykter at mange virksomheter nå setter i gang en unødvendig ressurskrevende prosess,

Før man gjør en DPIA, bør man vurdere om det er mulig å etterleve de alminnelige vilkårene ved bruk av den aktuelle skytjenesten, eller om det uansett er nødvendig å se etter alternative løsninger. 

Portrettbilder av Guro Storlien Evensen, klyngeleder i Norwegian Cybersecurity Cluster, Sigrun Hansen Bock, styreleder i Norwegian Cybersecurity Cluster og sikkerhetsdirektør i Tietoevry, samt Trond Solberg, styremedlem i Norwegian Cybersecurity Cluster og CEO i Defendable.
Les også

Derfor er NSM viktig for norsk sikkerhet

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.