Bruk av skytjenester etter Snowden

Virksomheter i Norge kan fortsatt bruke skytjenester som innebærer at personopplysninger overføres til bedrifter i USA.

Forutsetningen er blant annet at den amerikanske tjenestetilbyderen er sertifisert etter Safe Harbor-prinsippene.

Datatilsynet har fått spørsmål fra flere norske virksomheter om de kan bruke amerikanske skytjenester. Behovet for å avklare spørsmålene har bakgrunn i avsløringene som kom fram i PRISM-saken.

I et brev til Telenor konkluderer Datatilsynet med at norske virksomheter fremdeles kan overføre personopplysninger til sertifiserte bedrifter i USA, uten at det bryter med personvernreglene. EU har i en beslutning fra 2000 anerkjent at den amerikanske sertifiseringsordningen Safe Harbor gir personopplysninger som eksporteres fra Europa tilstrekkelig beskyttelse. Denne beslutningen er fremdeles gyldig og rettslig bindende for Norge, i medhold av EØS-avtalen.

Skykunden har ansvaret

Det er skykunden, for eksempel en norsk kommune tar i bruk en skytjeneste som har ansvaret for å følge personopplysningsloven. Dersom skykunden velger en tjeneste som innebærer at personopplysninger overføres fra Norge til USA, må den sjekke at leverandøren er Safe Harbor-sertifisert.

Skykunden må også informere de registrerte om at opplysninger om dem blir overført til USA.

Skykunder må risikovurdere skytjenesten

Selv om regelverket ikke hindrer skykunder fra å overføre personopplysninger til Safe Harbor-sertifiserte bedrifter i USA, må de risikovurdere skytjenestene de tar i bruk. I tillegg til at leverandøren som mottar personopplysningene er Safe Harbor-sertifisert, må følgende forutsetninger være oppfylt:

  1. Skykunden må gjennomføre grundige risiko- og sårbarhetsanalyser i forkant. Ledelsen må spørre seg selv om hva som kan gå galt, og hvilke følger det i så fall kan få for personvernet til de registrerte.
  2. Skykunden må jevnlig revidere bruken av tjenestene, og gjennomføre sikkerhetsrevisjoner.

Revisjon av Safe Harbor-ordningen

EU-kommisjonen har kommet med en rekke anbefalinger til hvordan Safe Harbor-ordningen kan bedres, blant annet med utgangspunkt i PRISM-saken. EU anbefaler for eksempel at Safe Harbor-sertifiserte bedrifter informerer sine kunder om hva som skal til for at amerikanske myndigheter kan samle inn opplysninger fra skytjenesteleverandørene.

EU-kommisjonen sier også det er viktig at Safe Harbor-ordningens unntak om nasjonal sikkerhet bare brukes når det er strengt nødvendig og forholdsmessig.