Oppfølging av Schrems II i Digitaliseringsdirektoratet og Altinn

EU-domstolen avsa 16. juli 2020 en prinsipiell avgjørelse om overføring av personopplysninger til USA. Avgjørelsen kalles “Schrems II" etter den østerrikske personvernaktivisten Max Schrems som klaget til det irske datatilsynet for å stoppe overføringen av personopplysninger mellom Facebook Irland og Facebook Inc. i USA. Han begrunnet dette med at personopplysningene hans ikke var godt nok beskyttet i USA.


EUs personvernforordning 

EUs personvernforordning (GDPR) gjelder for hele EØS-området. Når personopplysninger ønskes overført til et land utenfor EØS, gjelder spesielle krav til overføringen - slik at beskyttelsesnivået ikke skal undergraves. Både behandlingsansvarlige og databehandlere har ansvar for at eventuelle overføringer skjer i tråd med regelverket.

Dersom personopplysninger skal overføres til land utenfor EØS, må man ha et overføringsgrunnlag i henhold til kapittel V i GDPR. Noen tredjeland er anerkjent for å ha et tilstrekkelig nivå for vern av personopplysninger, men dette inkluderer nå ikke USA. Dermed må det sikres et godt nok beskyttelsesnivå for personopplysningene ved å bruke enten såkalte Standard Contractual Clauses, Binding Corporate Rules eller godkjente atferdsnormer eller sertifiseringsmekanismer.

Selv om det brukes et godkjent overføringsgrunnlag, vil amerikanske overvåkingslover innebære at beskyttelsesnivået ved overføring av personopplysninger ikke er tilsvarende som i EØS. Det må derfor iverksettes “ytterligere tiltak” for å beskytte personopplysningene, som kan være svært utfordrende eller umulig å få til i praksis. I så fall kan ikke overføring av personopplysninger til USA finne sted.

Cloud Act

Bruk av amerikanske skyleverandører som bare lagrer personopplysninger i Norge eller EØS rammes også. Den amerikanske skyleverandørens morselskap i USA vil være underlagt amerikansk lovgivning, som for eksempel den såkalte “Cloud Act”. Denne kan gjøre at skyleverandøren må utlevere data lagret i EØS til amerikanske myndigheter.

Når EU-domstolen sier at beskyttelsesnivået for personopplysninger ikke er godt nok i USA, medfører dette at man må iverksette “ytterligere tiltak” som veier opp for dette, og sikrer et europeisk beskyttelsesnivå i praksis – selv om personopplysningene overføres, eller står i fare for å utleveres dit.

Det europeiske personvernråde

Det europeiske personvernrådet (EDPB) har nå lagt ut på høring anbefalinger om hvordan man identifiserer og iverksetter “ytterligere tiltak” for å sikre et tilsvarende beskyttelsesnivå som i EØS:

Vi anbefaler at man holder seg oppdatert på Datatilsynet sine nettsider.

Oppfølging i Digitaliseringsdirektoratet

Digitaliseringsdirektoratet er i gang med vurderinger av hvilke konsekvenser dette kan innebære og vi har jobbet en tid med problemstillingene. Veiledere fra det europeiske personvernrådet (EDPB) og dialog med leverandørene er blant det vi tar med oss i våre vurderinger, samt at vi vil trekke nytte av Datatilsynets faglige vurderinger.

Digitaliseringsdirektoratet har ikke fattet beslutninger som gjør at vi kommer til å «flytte hjem» løsninger som er i sky på nåværende tidspunkt.

Digitaliseringsdirektoratet jobber videre med problemstillingene og vil i det videre arbeidet dele mer informasjon om saken.

Hva betyr dette for Altinn 3

Altinn II er i dag driftet i bedriftsdatasentre i Norge. Altinn 3 utvikles som åpen kildekode på GitHub, og kjører i Microsoft Azure, noe også tjenestene vil gjøre. Vi har valgt datasenter i Norge og EØS.

Foreløpig er det få tjenester i drift som innbefatter behandling av personopplysninger. Vi i Altinn følger med på utviklingen og deltar i arbeidet i Digitaliseringsdirektoratet med problemstillingene. Altinn jobber også kontinuerlig med vurderinger av personvernkonsekvenser (DPIA) og risiko- og sårbarhetsanalyser.

Videre utvikling av Altinn 3 og tjenesteeiernes tjenester vil fortsette som før. Vi har ved utviklingen av 3 hatt fokus på å unngå bindinger til én leverandør. Løsningen utvikles derfor basert på kontainer-teknologi, for å være enkel å flytte til andre leverandører, for eksempel andre skyløsninger eller “on-prem"-løsninger.

Våre tjenesteeiere kan derfor føle seg trygge på at utviklingen av tjenester de gjør i Altinn 3 ikke vil være bortkastet, selv om det skulle bli slik at vi ikke kan benytte amerikanske skyleverandører i fremtiden. Plattformen og tjenestene vil kunne flyttes til en annen godkjent driftstjeneste. Altinn og Digitaliseringsdirektoratet vurderer løpende alternative driftstjenester.

Har du flere spørsmål? Send oss en mail på tjenesteeier@altinn.no