Torsdag 15. september 2022 var en merkedag for oss som bryr oss om personvernet – og for alle andre også, fordi personvernspørsmål av denne sorten påvirker oss alle. Hvorfor det? Jo, den dagen endret Microsoft databehandleravtalen sin – for alle kunder. Hurra!
Norsk Helsenett SF har som nasjonal tjenesteleverandør fått store oppgaver innen digitalisering av helsesektoren, og vi har høye ambisjoner om at tjenestene våre skal ha godt personvern.
Og det skulle bare mangle, for vi har fått ansvar for å behandle opplysninger om nær sagt alle nordmenn gjennom blant annet nasjonale e-helsetjenestene helsenorge.no, e-resept, kjernejournal og flere andre IKT-løsninger som bidrar til bedre helsetjenester.
_logo.svg.png){kind=logo}
En ting vi har jobbet veldig mye med etter Schrems II-dommen er mulighetene for å bruke skytjenester. Det er fortsatt lovlig å bruke skytjenester når vi har gyldig overføringsgrunnlag, men dommen førte til at det nå er hver enkelt virksomhet som må vurdere om personvernet blir godt nok ivaretatt hos leverandøren i et eventuelt tredjeland, i stedet for at vi kan basere oss på en forhåndsgodkjenning av sertifiserte leverandører i USA. Vi jobber derfor med konkrete vurderinger med hensyn til det tekniske, organisatoriske og det juridiske – i tråd med Datatilsynets veiledning.
«De store skyleverandørene får man aldri gjort noe med, det er take it – or leave it» har vært en gjengs oppfatning når det gjelder kontraktsvilkår. Det har vi utfordret!
Tre utfordringer til Microsoft
Over en periode på mer enn ett og et halvt år har vi jobbet med Microsoft i Norge, Europa og USA for å få giganten til å spille på lag med oss.
«Oss» i denne sammenhengen er også andre virksomheter i offentlig sektor, det vil si Skatteetaten, Digitaliseringsdirektoratet, Direktoratet for økonomistyring (DFØ) med Markedsplassen for sky, Helsedirektoratet og ikke minst Direktoratet for e-helse som vi har hatt et godt og tett samarbeid med.
Derfor kan du fortsatt ikke logge inn med norsk eID i utlandet
Utfordring 1: Gi oss mer informasjon!
Først var vi tydelige på at Microsoft måtte komme på banen med «Schrems-informasjon» – det vil si den typen informasjon som vi behandlingsansvarlige virksomheter trenger for å kunne vurdere om vi kan bruke skytjenestene fra amerikansk leverandør, spesielt sett opp mot overføring av personopplysninger ut av EU/EØS.
Vi vet at mange etterspurte dette. Som utvalgt kunde kom vi til bordet og fikk forklart behovet for Microsoftjuristene i California. Microsoft svarte med en informasjonspakke i et White Paper i november 2021. Vi kunne ønsket oss enda mer informasjon, men dette er et godt skritt i riktig retning.
Utfordring 2: Flytt tjenester til Europa!
Deretter var vi, på linje med mange andre kunder, tydelige på at det var behov for å flytte en del tjenester til EU/EØS for å unngå overføringssituasjoner. Det innebærer at selve lagringen i tjenestene skjer i EU/EØS. Men også tjenester der det kan være muligheter for tilgang for leverandøren fra EU-territorium (blant annet supporttjenester) bør utføres i EU/EØS, i stedet for fra tredjeland.
Også her kom vi til bordet og fikk forklart behovet. Allerede i mai fjor sa Microsoft at de skal flytte tjenester, og kalte det EU Data Boundary. I henhold til den informasjonen vi har nå skjer dette i løpet av 2022. Om og når de kommer helt i mål gjenstår å se, men vi skriver oktober, og det er som kjent håp i hengende snøre.
Utfordring 3: Gi oss en bedre databehandleravtale!
Bedre personvern i form av endringer i databehandleravtalen, er den tredje tingen som faller på plass: I den nye databehandleravtalen viser Microsoft at de har forstått mye av hva som gjorde det spesielt usikkert for oss som kunder.
Tydelig juridisk argumentasjon opp mot personvernregelverket og vår rolle som ansvarlig behandlingsansvarlig, har etter møtet med Microsoft legal gitt frukter i form av at det nå er mye tydeligere at Microsoft ikke kan bruke kundenes data til egne formål (det skulle jo bare mangle at en databehandler ikke forsyner seg av kilden…).
Slik den tidligere ordlyden i databehandleravtalen lød, var dette såpass usikkert at det ble en juridisk risiko. Vår kunde og samarbeidspartner Direktoratet for e-helse vektet dette så høyt at det førte til stans i det store Helseanalyseplattformprosjektet. Åpenbart kunne verken vi kunder eller Microsoft leve med det. «Dere har fått gjennomslag», sier Microsoft Norge til oss!
Kjernen av Schrems: utleveringsmuligheten
I tillegg har Microsoft gjort endringer i ordlyden for det som gjelder muligheten for utlevering til amerikanske etterretningsmyndigheter. Vi ønsker oss jo at de ikke skal utlevere, men alle land har etterretning.
I valget mellom pest eller kolera mener vi at det tross alt er bedre at de synliggjør hvordan de håndterer utleveringskrav enn at det forbigås i stillhet, for utleveringskrav kommer nok – uavhengig av hva som står i en avtale.
Hvis de først må utlevere, skisserer avtalen hvordan de vil forholde seg. Her skal de varsle oss og rute forespørslene videre til oss som virksomheter – så langt de kan. Ved at avtalen nå viser til hva som er nødvendig og proporsjonalt i et demokratisk samfunn ser de ut til å legge seg tett opp mot ordlyden i EUs standard personvernbestemmelser og hva vi nå hører om den nye avtalen mellom EU og USA som skal erstatte Privacy Shield.
I dialogen har vi også fått Microsoft til å svare på om det har kommet utleveringsforespørsler fra etterretning overfor europeiske kunder i offentlig sektor. Senest i januar i år bekreftet de status: i White Paperet gjør de rede for utleveringspraksis, og at de fram til publisering ikke hadde gjort noen utleveringer som gjaldt kunder som oss. Vi har nå i oktober fulgt opp med spørsmål om dette fortsatt er status. Her må vi så klart jevnlig forsikre oss om at informasjonen fortsatt gjelder, men det faktum at de går ut med informasjonen kan jo tale for at etterretningen kanskje ikke er så mye ute etter den typen informasjon vi har?
Man får ingenting, med mindre man spør
Hvordan har vi fått til dette, som kanskje mange andre også har prøvd på – eller i alle fall ønsket seg? Man får ingenting med mindre man spør, kan man litt flåsete si, eller sagt på en annen måte: å akseptere at teknologigigantene ikke vil endre seg, er ikke veien å gå!
Vi må etterspørre stadig bedre personvern, at det er innebygd, at dokumentasjonen er god, og at kontrakten gir god personvernbalanse. Da blir det lettere å være en ansvarlig behandlingsansvarlig.
Men, det er viktig hvordan man spør også: som personvernombud har jeg fristilt meg fra NHNs kommersielle avtaleforhold og lagt frem våre behov ved hjelp av saklig personvernargumentasjon.
«What's in it for me?», heter det, og for Microsoft er det jo for eksempel grunnleggende å kunne beholde kundene. Når vi snakker med Microsoft vektlegger de også det faktum at vi har fått til et samarbeid blant store offentlige kunder (med blant annet virksomhetene på helsesiden, men også Skatteetaten og Markedsplass for skytjenester i DFØ).
Det har bidratt til at vi har fått en stemme som er blitt lyttet til når det gjelder å nå frem til ledelse og premissgivere for tjenesteutforming og kontrakter hos teknologigiganten Microsoft. Dette har sprunget ut av SKATE-samarbeidet (SKATE er et strategisk samarbeidsråd og rådgivende organ til Digitaliseringsdirektoratet og kommunal- og distriktsministeren).
Dialogen fortsetter med Microsoft og de andre teknologigigantene gjennom oss og i samarbeid med Markedsplass for skytjenester i DFØ.
Så er det viktig til slutt å akseptere at Ting Tar Tid. Vi gir oss ikke, er tydelige, vi skynder oss langsomt og har tro på at det nytter å stå på for et enda bedre personvern!
«Alle» vil bruke KI – så å si ingen har nok penger, folk eller kunnskap
