Bakgrunnen er den mye omtalte Schrems II-dommen fra EU-domstolen sommeren 2020 som oppstiller skjerpede krav til overføring av personopplysninger ut av EØS. Dommen underkjente Privacy Shield-avtalen mellom EU og USA fordi den ikke ga godt nok vern mot amerikansk masseovervåkning og etterretning. Imidlertid kan norske virksomheter, på linje med foretak i andre EØS-land, fortsatt benytte den såkalte EUs standardavtale som dataoverføringsgrunnlag. Man må da først godtgjøre at tredjelands etterretningslovgivning ikke er til hinder for etterlevelse av avtalens vilkår.
Datatilsynets veiledning følger felles uttalelser fra de europeiske datatilsynsmyndighetene og forutsetter en omfattende og ofte krevende vurdering som virksomhetene selv må foreta. Datatilsynet har i tillegg oppstilt ytterligere krav på ett punkt, nemlig hvor det ikke overføres personopplysninger, men der leverandøren likevel er underlagt problematisk etterretningslovgivning. Dette er et relevant tema for mange skytjenester hvor datasenter ofte er avtalt i EØS, men hvor leverandøren for eksempel har morselskap i USA. Hvis leverandøren da tar forbehold om datautlevering i tilfelle av pålegg fra tredjelands myndigheter, krever Datatilsynet et eget rettslig grunnlag. For svært mange virksomheter som benytter skytjenester, kan dette kravet – som etter det vi kjenner til er særegent for Norge – i praksis by på mest hodebry for lovlig bruk av skytjenester. Problemet er særlig at Datatilsynet ikke har gitt noen veiledning om hva som kan utgjøre et slikt rettslig grunnlag.
Utfordringene og forvirringen rundt krav til skytjenester stopper imidlertid ikke her. I midten av september publiserte Digitaliseringsdirektoratet (Digdir) og Direktoratet for forvaltning- og økonomistyring (DFØ) en ny omfattende veileder om bruk av skytjenester i offentlig sektor. Arbeidet har vært på oppdrag fra “Skate”, det offisielle rådgivende organet til Kommunal- og distriksministeren. Veilederen er da også gjort tilgjengelig på DFØs offisielle nettsider vedrørende offentlige anskaffelser (“markedsplassen for skytjenester”). Intensjonen var å lette arbeidet med de krevende vurderingene, men har i stedet skapt stor forvirring.
Selv om Digdir og DFØ sier at veilederen følger datatilsynsmyndighetenes tilnærming, er det åpenbart at flere av de sentrale vurderingstemaene er annerledes. Dagen etter at veilederen ble publisert rykket da også Datatilsynet og Digdir ut med felles uttalelse hvor de beklaget usikkerheten som har oppstått og at man ville se på behovet for justeringer. Nå, to måneder senere, kan det se ut som Digdir og DFØ står på sitt og fastholder blant annet at man kan ha en mer risikobasert tilnærming. Vi oppfatter her at de mener Datatilsynets tolkning er for streng, og denne avstanden mellom myndighetene bidrar til stadig økt forvirring.
Datatilsynet på sin side har vært tydelig på at de vil praktisere og håndheve reglene i tråd med egen veileder. All den tid Datatilsynet er tilsynsmyndighet, og med mindre man er villig til å stå løpet ut med klagesaker og domstolsbehandling, fremstår det inntil videre tryggest å forholde seg lojalt til Datatilsynets veiledning.
Denne artikkelen ble første gang publisert i Finansavisen, 5. desember 2022.
Her kan du også se presentasjonen fra vårt frokostseminar og paneldebatt med Datatilsynet og Digdir, 30. november 2022: