Bruk av skytjenester
– Hvilke spørsmål bør virksomhetene stille seg selv?
Bruk av skytjenester utløser en rekke personvernrettslige plikter. Det er virksomheten som tar i bruk skytjenestene som er behandlingsansvarlig, og som har hovedansvaret for å etterleve personvernregelverket.
Det danske datatilsynet har publisert et spørreskjema som de selv bruker ved tilsyn med private og offentlige aktørers bruk av skytjenester. Spørsmålene dekker sentrale personvernrettslige forpliktelser, og kan derfor fungere som et utgangspunkt for etterlevelse av personvernregelverket også for norske virksomheter.
Det er grunn til å tro at det norske datatilsynet vil stille lignende spørsmål dersom de skulle føre tilsyn med samme eller tilgrensende temaer. I denne artikkelen vil vi derfor med utgangspunkt i spørreskjemaet til det danske datatilsynet oppsummere de viktigste forpliktelsene som den behandlingsansvarlige må overholde i forbindelse med bruk skytjenester.
Hva er skytjenester?
Skytjenester er kort forklart databaserte tjenester som leveres fra eksterne servere via internett. Dette kan være alt fra helt standardiserte produkter som brukes av mange til løsninger som er skreddersydd for den enkelte virksomheten.
De vanligste tjenestemodellene er:
Programvare som en tjeneste (software as a service - SaaS), hvor kunden benytter leverandørens ferdigutviklede nettbaserte applikasjoner. Leverandøren har ansvaret for drift og vedlikehold, og kundens kontroll over applikasjoner, nettverk, operasjonssystemer og lagringsmuligheter er svært begrenset.
Plattform som en tjeneste (platform as a service – PaaS), hvor kunden benytter leverandørens infrastruktur og eventuelle tilhørende verktøy og funksjoner. Her kan kunden implementere egne eller kjøpte applikasjoner. Kunden har kontroll over implementerte applikasjonene og innstillinger, men har ikke kontroll over nettverk, servere, operativsystemer eller lagringsmuligheter.
Infrastruktur som en tjeneste (infratructure as a service – IaaS), hvor kunden kjøper ren infrastruktur og implementerer all software, herunder operativsystemer og applikasjoner. Kunden har kontroll over applikasjoner, nettverk, servere, operativsystemer og lagringsmuligheter, og står selv for drift og vedlikehold.
Viktigheten av risikovurderinger
Allerede før man går til anskaffelse av en skytjeneste stiller personvernregelverket krav til den behandlingsansvarlige. GDPR krever at den behandlingsansvarlige foretar en risikovurdering av tjenesten. I dette ligger blant annet at den behandlingsansvarlige må vite hvilke personopplysninger som skal behandles i tjenesten, hvilke tiltak som er implementert for å oppnå tilfredsstillende informasjonssikkerhet, hvilke leverandører og underleverandører som får tilgang til personopplysningene og om personopplysningene vil bli behandlet i land utenfor EØS.
Risikovurderinger er også et sentralt element i spørreskjemaet til det danske datatilsynet. Tilsynet ber blant annet den behandlingsansvarlige redegjøre for om det er gjennomført en risikovurdering av skytjenesten før tjenesten er tatt i bruk og om eventuelle rutiner for gjennomføring av risikovurderinger. Det stilles spørsmål både til risikovurdering av selve skytjenesten og av leverandøren.
Screening av leverandøren
Leverandøren av skytjenester vil normalt behandle kundens personopplysninger som en databehandler. Det følger av GDPR artikkel 28(1) at den behandlingsansvarlige kun kan bruke databehandlere som gir tilstrekkelige garantier for at de vil behandle personopplysningene i tråd med personvernregelverket. For å forsikre seg om at dette er tilfellet, må den behandlingsansvarlige foreta en screening (risikovurdering) av leverandøren. GDPR legger ingen føringer for hvordan denne screeningen skal gjennomføres. I spørreskjemaet finnes imidlertid en viss veiledning. Den behandlingsansvarlige blir blant annet bedt om å svare på om følgende er hensyntatt i screeningen:
Om leverandøren behandler kundens personopplysninger for egne formål
Om det er inngått databehandleravtale med leverandøren som oppfyller kravene i GDPR
Om leverandøren har etablert et egnet sikkerhetsnivå, i lys av den aktuelle behandlingsaktiviteten
Kartlegging av alle underdatabehandlere og rutiner for å sørge for at nødvendige (under)databehandleravtaler er på plass
Leverandørens rutiner for risikovurderinger av underdatabehandlere for å sikre at også disse har etablert et egnet sikkerhetsnivå.
Leverandørens rutiner for å dokumentere at underdatabehandlerne har et egnet sikkerhetsnivå
Leverandørens rutiner for å bistå den behandlingsansvarlige med håndtering av de registrertes rettigheter
Leverandørens rutiner for varsling og bistand ved eventuelle sikkerhetsbrudd
Muligheter for sikkerhetsrevisjoner av leverandøren
Om leverandøren er i stand til å overholde plikten til å slette eller tilbakelevere personopplysningene ved opphør av avtalen
Overføringer av tredjeland i strid med den behandlingsansvarliges instrukser
Merk at valg av tjenestemodell påvirker risikovurderingen den behandlingsansvarlige må gjennomføre. Jo flere oppgaver som settes ut til leverandøren, desto grundigere må risikovurderingen være.
Plikt til å revidere leverandøren av skytjenestene
Selv om man har foretatt en forsvarlig risikovurdering av skytjenesteleverandøren og konkludert med at leverandøren gir slike tilstrekkelige garantier som loven krever, opphører ikke plikten til å forsikre seg om at personopplysningene behandles forsvarlig i skytjenesten. Et nyttig virkemiddel i den forbindelse er sikkerhetsrevisjoner. Den behandlingsansvarlige har plikt til å sørge for at databehandleravtalen gir rett til revisjon av skytjenesteleverandøren.
I spørreskjemaet stiller det danske datatilsynet flere spørsmål om utøvelse revisjonsretten. Herunder må den behandlingsansvarlige redegjøre for om det er etablert rutiner for gjennomføring av sikkerhetsrevisjoner, og om disse inneholder retningslinjer for hyppigheten av slike revisjoner, håndtering av eventuelle avvik og terminering av avtalen ved større avvik, samt kontroll av leverandørens etterlevelse av personvernregelverket ved eventuelle lovendringer. Disse spørsmålene viser blant annet at datatilsynet forventer at man med jevne mellomrom faktisk gjennomfører sikkerhetsrevisjoner, særlig der behandlingens art og omfang tilsier høy personvernrisiko. I tillegg vil nok også valg av tjenestemodell kunne påvirke hyppigheten og omfanget av slike personvernrevisjoner.
Overføring av personopplysninger til tredjeland
Mange eksterne serverparker befinner seg utenfor EØS. Etter EU-domstolens avgjørelse i Schrems II-saken og etterfølgende veiledere fra the European Data Protection Board (EDPB) stilles skjerpede krav for at en overføring av personopplysninger til et tredjeland skal være lovlig. Det danske datatilsynet stiller en rekke spørsmål knyttet til eventuelle internasjonale dataoverføringer for å kontrollere at retningslinjene til EDPB er fulgt opp. Nærmere bestemt, må den behandlingsansvarlige redegjøre for sine kartlegginger av slike overføringer og tilhørende rutiner. I tillegg stilles blant annet spørsmål om overføringsgrunnlag, vurderinger av beskyttelsesnivået i tredjelandet og eventuelle ytterligere beskyttelsestiltak.
Viktigheten av rutiner
Gjennomgående i spørreskjemaet er at det danske datatilsynet stiller spørsmål om den behandlingsansvarliges dokumenterte interne personvernrutiner og -prosedyrer. De påpeker samtidig at det ikke gjelder et absolutt krav om å etablere slike rutiner og prosedyrer, men at dette er et nyttig redskap ved bruk av skyløsninger.
Det stemmer at ikke alle virksomheter/behandlingsansvarlige må ha formaliserte interne rutiner. Dette følger forutsetningsvis av GDPR artikkel 24(2), som viser til at den behandlingsansvarliges tekniske og organisatoriske tiltak skal omfatte egnede retningslinjer dersom det står i et rimelig forhold til behandlingsaktivitetene. Mange virksomheter vil imidlertid ha behandlingsaktiviteter av en slik art og omfang at det nettopp er et krav om formaliserte retningslinjer og rutiner for å sikre at personvernet ivaretas. Uten slike rutiner vil det dessuten være utfordrende å dokumentere etterlevelse av personvernregelverket i tråd med ansvarlighetsprinsippet i GDPR artikkel 5(2).
Oppsummering
Kort oppsummert, stilles det strenge krav til risikovurderinger og oppfølging av leverandøren når man tar i bruk en skytjeneste. Som nevnt innledningsvis, er det grunn til å tro at det norske datatilsynet vil stille lignende spørsmål ved eventuelle tilsyn. Selv om spørreskjemaet er spesifikt rettet mot skytjenester, er forpliktelsene som spørsmålene gjelder generelle, og kommer til anvendelse ved kjøp av de fleste tjenester som innebærer behandling av personopplysninger. Spørreskjemaet kan derfor fungere som en nyttig sjekkliste i videre compliance-arbeid.