Oppfølging av Schrems II i Digitaliseringsdirektoratet og Altinn

EU-domstolen avsa 16. juli 2020 en prinsipiell avgjørelse om overføring av personopplysninger til USA. Avgjørelsen kalles “Schrems II" etter den østerrikske personvernaktivisten Max Schrems som klaget til det irske datatilsynet for å stoppe overføringen av personopplysninger mellom Facebook Irland og Facebook Inc. i USA. Han begrunnet dette med at personopplysningene hans ikke var godt nok beskyttet i USA.


EUs personvernforordning 

EUs personvernforordning (GDPR) gjelder for hele EØS-området. Når personopplysninger ønskes overført til et land utenfor EØS, gjelder spesielle krav til overføringen - slik at beskyttelsesnivået ikke skal undergraves. Både behandlingsansvarlige og databehandlere har ansvar for at eventuelle overføringer skjer i tråd med regelverket.

Dersom personopplysninger skal overføres til land utenfor EØS, må man ha et overføringsgrunnlag i henhold til kapittel V i GDPR. Noen tredjeland er anerkjent for å ha et tilstrekkelig nivå for vern av personopplysninger, men dette inkluderer nå ikke USA. Dermed må det sikres et godt nok beskyttelsesnivå for personopplysningene ved å bruke enten såkalte Standard Contractual Clauses, Binding Corporate Rules eller godkjente atferdsnormer eller sertifiseringsmekanismer.

Selv om det brukes et godkjent overføringsgrunnlag, vil amerikanske overvåkingslover innebære at beskyttelsesnivået ved overføring av personopplysninger ikke er tilsvarende som i EØS. Det må derfor iverksettes “ytterligere tiltak” for å beskytte personopplysningene, som kan være svært utfordrende eller umulig å få til i praksis. I så fall kan ikke overføring av personopplysninger til USA finne sted.

Cloud Act

Bruk av amerikanske skyleverandører som bare lagrer personopplysninger i Norge eller EØS rammes også. Den amerikanske skyleverandørens morselskap i USA vil være underlagt amerikansk lovgivning, som for eksempel den såkalte “Cloud Act”. Denne kan gjøre at skyleverandøren må utlevere data lagret i EØS til amerikanske myndigheter.

Når EU-domstolen sier at beskyttelsesnivået for personopplysninger ikke er godt nok i USA, medfører dette at man må iverksette “ytterligere tiltak” som veier opp for dette, og sikrer et europeisk beskyttelsesnivå i praksis – selv om personopplysningene overføres, eller står i fare for å utleveres dit.

Det europeiske personvernråde

Det europeiske personvernrådet (EDPB) har nå lagt ut på høring anbefalinger om hvordan man identifiserer og iverksetter “ytterligere tiltak” for å sikre et tilsvarende beskyttelsesnivå som i EØS:

Vi anbefaler at man holder seg oppdatert på Datatilsynet sine nettsider.

Oppfølging i Digitaliseringsdirektoratet

Digitaliseringsdirektoratet er i gang med vurderinger av hvilke konsekvenser dette kan innebære og vi har jobbet en tid med problemstillingene. Veiledere fra det europeiske personvernrådet (EDPB) og dialog med leverandørene er blant det vi tar med oss i våre vurderinger, samt at vi vil trekke nytte av Datatilsynets faglige vurderinger.

Digitaliseringsdirektoratet har ikke fattet beslutninger som gjør at vi kommer til å «flytte hjem» løsninger som er i sky på nåværende tidspunkt.

Digitaliseringsdirektoratet jobber videre med problemstillingene og vil i det videre arbeidet dele mer informasjon om saken.

Hva betyr dette for Altinn 3

Altinn II er i dag driftet i bedriftsdatasentre i Norge. Altinn 3 utvikles som åpen kildekode på GitHub, og kjører i Microsoft Azure, noe også tjenestene vil gjøre. Vi har valgt datasenter i Norge og EØS.

Foreløpig er det få tjenester i drift som innbefatter behandling av personopplysninger. Vi i Altinn følger med på utviklingen og deltar i arbeidet i Digitaliseringsdirektoratet med problemstillingene. Altinn jobber også kontinuerlig med vurderinger av personvernkonsekvenser (DPIA) og risiko- og sårbarhetsanalyser.

Realiseringen av Altinn 3 fortsetter som før i påvente av en avklaring av rettssituasjonen etter Schrems II. Et sentralt teknologivalg ved etableringen av Altinn 3 har vært at den skal være kontainer-basert. Hensikten er at det skal være mulig å flytte løsningen til andre plattformer. For tiden reviderer vi løsningen for å kartlegge kompleksitet og risiko ved en flytting til alternative plattformer.

Det er vårt mål at plattformen og tjenestene skal kunne flyttes til en annen plattform ved behov, at vi har kompetanse til å gjennomføre en slik prosess, og at vi skal kunne bistå tjenesteeierne i denne forbindelse. Selv om Schrems II kan bety utsatt lansering av enkelte tjenester på Altinn 3, kan utviklingen av tjenestene fortsette. Dette fordi den kontainerbaserte løsningen medfører at tjenestene som utvikles i liten grad vil måtte endres ved bytte av driftsplattform. Flytting av Altinn-infrastrukturen og tjenestene til et alternativt miljø vil dog alltid medføre konfigurasjons- og testarbeid.

Har du flere spørsmål? Send oss en mail på tjenesteeier@altinn.no