Denne veiledningen redegjør for reglene for overføring av personopplysninger til USA etter at EU-kommisjonen 10. juli 2023 fattet adekvansbeslutning vedrørende EU-U.S. Data Privacy Framework (EU-U.S. DPF). Adekvansbeslutningen innebærer at Europakommisjonen har vurdert at det er tilstrekkelig beskyttelsesnivå for personopplysninger som overføres til amerikanske virksomheter som har selvsertifisert seg under EU-U.S. DPF.
1. INNLEDNING
I veiledningen finnes informasjon om hvilke krav som gjelder for å overføre personopplysninger til virksomheter i USA som har selvsertifisert seg iht. EU-U.S. DPF, og hvilke krav som gjelder for å overføre til amerikanske virksomheter som ikke er selvsertifisert i henhold til det nye rammeverket. Se også Datatilsynets sider for ytterligere informasjon.
Vi minner om at det etter EUs personvernforordning (GDPR) i utgangspunktet er forbudt å overføre personopplysninger ut av EØS. Det er kun tillatt å overføre personopplysninger ut av EØS dersom virksomheten har et overføringsgrunnlag som gir et tilstrekkelig vern, jf. personvernforordningen kapittel V. Det finnes flere alternative overføringsgrunnlag, for eksempel en adekvansbeslutning, Europakommisjonens standardavtale for overføring til tredjeland (SCC) eller bindende virksomhetsregler (BCR).
Adekvansbeslutninger
Adekvansbeslutninger er beslutninger som vedtas av Europakommisjonen i henhold til personvernforordningen artikkel 45 og som går ut på at et land, en sektor, eller utvalgte virksomheter i det aktuelle landet (for eksempel ved hjelp av sertifisering) gir et tilstrekkelig godt beskyttelsesnivå. Det innebærer at overføringer i henhold til adekvansbeslutningen er forhåndsgodkjent av EU-kommisjonen.
Standard Contractual Clauses (SCC)
Europakommisjonens standardavtale for overføring til tredjeland (SCC) er standard personvernbestemmelser vedtatt av Europakommisjonen i henhold til personvernforordningens artikkel 46 nr. 2 c som går ut på at partene i avtalen har gitt nødvendige garantier og at de registrerte har håndhevbare rettigheter og effektive rettsmidler. Overføringer til tredjeland kan skje på grunnlag av SCC så fremt det ikke foreligger problematisk lovgivning eller praksis i tredjelandet som hindrer partene å etterleve forpliktelsene i SCC.
Binding Corporate Rules (BCR)
Bindende virksomhetsregler (BCR) er virksomhetsregler som er godkjent av datatilsynsmyndighetene i henhold til personvernforordningen artikkel 47. Virksomhetsreglene skal være rettslig bindende for konsernselskapene og gi håndhevbare rettigheter til berørte registrerte. Overføring av personopplysninger fra konsernselskaper innenfor EØS til konsernselskaper utenfor EØS kan skje på grunnlag av BCR så fremt det ikke foreligger problematisk lovgivning eller praksis i tredjelandet som hindrer partene i å etterleve BCR. BCR for behandlingsansvarlig (BCR-C) gjelder overføring av personopplysninger som selskapene i konsernet behandler som behandlingsansvarlig, mens BCR for databehandler (BCR-P) gjelder overføring av personopplysninger som selskapene i konsernet behandler i rolle som databehandler (ev. underdatabehandler).
Der det er relevant henviser denne veiledningen til de seks stegene for å vurdere lovligheten av overføringer til tredjeland som oppstilles i Personvernrådets veileder om krav til overføring av personopplysninger. Se også Datatilsynets veileder hvor de bruker fem steg.
I veiledningen forutsetter vi at din virksomhet allerede har konkludert med at det skjer en overføring av personopplysninger til USA (Steg 1).
Neste steg er da å identifisere et grunnlag for å overføre personopplysningene til USA (Steg 2).
2. ER VIRKSOMHETEN OMFATTET AV EU-U.S. DPF?
EU-U.S. DPF gjelder ikke for alle virksomheter i USA. Adekvansbeslutningen kommer kun til anvendelse for amerikanske virksomheter som ved selvsertifisering til det amerikanske handelsdepartementets "International Trade Administration" (ITA) har forpliktet seg til å overholde prinsippene i EU-U.S. DPF.
For å overføre personopplysninger til USA må det derfor sjekkes om virksomheten det skal overføres personopplysninger til er omfattet av EU-U.S. DPF. Dette sikres ved å følge sjekklisten nedenfor:
i) Sjekk at virksomheten er sertifisert for EU-U.S. DPF
Først må det undersøkes om virksomheten man ønsker å overføre personopplysninger til fremgår av listen over sertifiserte virksomheter, som er tilgjengelig her: Participant Search (dataprivacyframework.gov)
Sertifiseringen kan også omfatte datterselskaper av virksomheten, og virksomheten skal ved sertifiseringen opplyse om eventuelle andre selskap sertifiseringen gjelder. Datterselskap eller andre virksomheter som omfattes av sertifiseringen kommer ikke opp ved søk på datterselskapet i lisen. For å undersøke om sertifiseringen også dekker det aktuelle datterselskapet må man derfor gå via morselskapets sertifisering. Dette finner man ved å gå inn på den aktuelle virksomhet (morselskapet) og se om de har oppført “Other Covered U.S. Entities and U.S. Subsidiaries” under “Participation".
ii) Sjekk at sertifiseringen om EU-U.S. DPF-forpliktelsen er aktiv
EU-U.S. DPF ordningen pålegger de sertifiserte virksomhetene å foreta årlige re-sertifiseringer.
ITA oppdaterer fortløpende listen over sertifiserte virksomheter med nye virksomheter som sertifiserer seg og virksomheter som har foretatt årlig re-sertifisering for overholdelse av EU-U.S. DPF-ordningen.
Dersom det skjer endringer, for eksempel at en virksomhet frivillig trekker seg fra EU-U.S. DPF-ordningen, unnlater å fullføre årlige re-sertifisering, eller vedvarende unnlater å overholde forpliktelsene, blir sertifiseringen satt som inaktiv.
Informasjon om når virksomheten ble sertifisert og frist for re-sertifisering finnes under "Participation" på oversikten når man har søkt opp og trykker deg inn på aktuelle virksomhet.
iii) Sjekk at sertifiseringen dekker personopplysninger som skal overføres
Virksomhetens sertifisering kan gjelde HR og/eller ikke-HR personopplysninger. Det finnes informasjon om sertifiseringen gjelder HR og/eller ikke-HR personopplysninger på oversiktssiden under "Covered Data".
Ulike typer personopplysninger
HR-opplysninger omfatter personopplysninger en virksomhets ansatte, nåværende eller tidligere som er innsamlet i forbindelse med ansettelsesforholdet.
Ikke-HR personopplysninger omfatter alle øvrige personopplysninger.
Overføring av ansattopplysninger fra en virksomhet i EØS til en sertifisert virksomhet i USA (enten morselskap, datterselskap eller en tjenesteleverandør) vil være omfattet av EU-U.S. DPF. I henhold til Supplemental Principle 9 vedr. "Human Resources Data" vil innsamling og behandling av arbeidsrelaterte personopplysninger være underlagt nasjonal lovgivning i landet de ble samlet inn og eventuelle vilkår eller begrensninger som gjelder for overføring av opplysningene må respekteres.
Dersom ansattopplysningene som overføres til USA bare skal brukes i forbindelse med ansettelsesforholdet, vil virksomheten i EØS fremdeles ha hovedansvaret for personopplysningene overfor den ansatte. Eventuelle klager fra den ansatte skal rettes til datatilsynsmyndigheten i EØS-landet der personen er ansatt. Dette gjelder også dersom den amerikanske virksomheten som har mottatt opplysningene er ansvarlig for den påståtte feilhåndteringen. Amerikanske virksomheter som ønsker at slike overføringer skal dekkes av EU-U.S. DPF må derfor forplikte seg til å samarbeide med tilsynsmyndighetene og overholde pålegg fra kompetente datatilsynsmyndigheter i EØS i slike tilfeller.
Amerikanske virksomheter som har mottatt arbeidsrelaterte opplysninger fra EU under EU-U.S. DPF kan bare overføre opplysningene til tredjeparter eller bruke opplysningene til andre formål i henhold til "Notice and Choice"-prinsippene. Dette innebærer at de berørte personene må bli varslet og gis mulighet til å velge om slik overføring skal skje. Dette vil for eksempel gjelde dersom den amerikanske virksomheten har til hensikt å bruke personopplysninger som er samlet inn i forbindelse med ansettelsesforholdet for ikke-ansettelsesrelaterte formål, for eksempel markedsføring.
Gjennomgang av punktlisten gir svar på om EU-U.S. DPF gjelder for virksomheten det ønskes å overføre personopplysninger til. Nedenfor ser vi nærmere på hva som må gjøre for å overføre personopplysninger til amerikanske virksomheter som er sertifisert (punkt 3) og ikke-sertifiserte virksomheter (punkt 4).
3. OVERFØRING TIL EN VIRKSOMHET SOM ER EU-U.S. DPF-SERTIFISERT
Dersom den amerikanske virksomheten man overfører til er sertifisert og oppført på listen nevnt over trenger man ikke å vurdere andre overføringsgrunnlag (steg 2), vurdere beskyttelsesnivå (steg 3) eller iverksette tilleggstiltak (steg 4 og 5). Dette er fordi EU-kommisjonen allerede har konkludert med at rammeverket som er implementert i USA gir tilstrekkelig vern for overføringer til sertifiserte virksomheter i USA. Det kan dermed lovlig overføre personopplysninger til den sertifiserte amerikanske virksomheten.
Husk imidlertid på at EU-U.S. DPF kun er et overføringsgrunnlag for å sikre lovlig overføring til USA i henhold til personvernforordningen kapittel V.
Øvrige regler i personvernforordningen for behandling av personopplysninger må også være ivaretatt, herunder behandlingsgrunnlag for utlevering til en behandlingsansvarlig virksomhet eller databehandleravtale dersom virksomheten man skal overføre til er en databehandler.
Det er viktig å være oppmerksom på at EU-U.S. DPF oppstiller krav som gjelder for det tilfelle at den sertifiserte virksomheten i USA skal kunne videreoverføre personopplysningene den mottar under EU-U.S. DPF. Et praktisk eksempel er der en EU-U.S. DPF-sertifisert databehandler i USA videreoverfører personopplysningene til en underbehandler som er etablert i USA eller et annet tredjeland utenfor EØS.
For å overføre personopplysninger til en tredjepart, må en selvsertifisert virksomhet først forplikte seg til å inngå en kontrakt med tredjeparten som innebærer at slike personopplysninger kun vil bli behandlet for et begrenset og spesifisert formål, at tredjeparten vil gi samme nivå av beskyttelse som EU-U.S. DPF-prinsippene, og at tredjeparten vil varsle organisasjonen hvis den kommer til den konklusjon at den ikke lenger kan oppfylle denne forpliktelsen. Ved overføring til USA basert på EU-U.S. DPF kan det derfor være viktig å få avklart om det vil skje videreoverføring og i så fall å påse at forpliktelsene i prinsippet "3 Accountabilty for Onward Transfer" og Supplemental Principle "10 Obligatory Contracts for Onward Transfers" er oppfylt.
4. OVERFØRING TIL EN VIRKSOMHET SOM IKKE ER EU-U.S. DPF-SERTIFISERT
Dersom virksomheten det ønskes overført personopplysninger til ikke er sertifisert, er det ikke mulig å bruke adekvansbeslutningen EU-U.S. DPF som overføringsgrunnlag. Da må et av de andre overføringsgrunnlagene benyttes (steg 2).
Som nevnt innledningsvis i veilederen vil alternative overføringsgrunnlag være BCR eller SCC. Ved valg av SCC som overføringsgrunnlag, må man være oppmerksom på å velge riktig modul 1 til 4 i standardavtalen som Europakommisjonen har utarbeidet. Hvilken modul i SCC som skal benyttes avhenger av hvilke roller (behandlingsansvarlig eller databehandler) virksomheten i EØS og virksomheten i USA har knyttet til behandling av personopplysningene.
Ved bruk av BCR eller SCC må det vurderes om overføringsgrunnlaget gir effektivt vern i lys av lovgivningen og praksisen i USA som kommer til anvendelse for overføringen. Etter å ha verifisert at det foreligger et gyldig overføringsgrunnlag, må man i tillegg gå videre og vurdere beskyttelsesnivå (steg 3) og ev. behov for å iverksette tilleggstiltak (steg 4 og 5).
4.1. Vurdering av beskyttelsesnivået (steg 3)
Både SCC og BCR innebærer i utgangspunktet forpliktelser som gir tilstrekkelig vern for personopplysningene som overføres. Det må imidlertid undersøkes om det finnes lovgivning og praksis i mottakerlandet som gjør at det likevel ikke vil være mulig for partene å overholde forpliktelsene. Som det fremgår nedenfor, stiller både SCC og BCR krav til at virksomheten som skal overføre personopplysningene ut av EØS har foretatt dokumenterte vurderinger av beskyttelsesnivået.
Utdrag fra SCC Clause 14
"The Parties warrant that they have no reason to believe that the laws and practices in the third country of destination applicable to the processing of the personal data by the data importer, including any requirements to disclose personal data or measures authorising access by public authorities, prevent the data importer from fulfilling its obligations under these Clauses. This is based on the understanding that laws and practices that respect the essence of the fundamental rights and freedoms and do not exceed what is necessary and proportionate in a democratic society to safeguard one of the objectives listed in Article 23(1) of Regulation (EU) 2016/679, are not in contradiction with these Clauses. (…)"
Lignende formuleringer er også inntatt i Personvernrådets krav til BCR-C (for behandlingsansvarlig) som virksomheter med slik BCR må ha på plass innen 2024. Det forventes at Personvernrådet vil stille tilsvarende krav til BCR-P (for databehandler).
Utdrag fra Personvernrådets krav til BCR-C, punkt 5.4.1
"The BCR-C shall contain a clear commitment that BCR members will use the BCR-C as a tool for transfers only where they have assessed that the law and practices in the third country of destination applicable to the processing of the personal data by the BCR member acting as data importer, including any requirements to disclose personal data or measures authorising access by public authorities, do not prevent it from fulfilling its obligations under these BCR-C. The BCR-C should further specify that this is based on the understanding that laws and practices that respect the essence of the fundamental rights and freedoms, and do not exceed what is necessary and proportionate in a democratic society to safeguard one of the objectives listed in Article 23(1) GDPR, are not in contradiction with the BCR-C. (…)"
Slik det kommer til uttrykk i SCC og BCR-C, gjengitt ovenfor, er vurderingstemaet om det er noen grunn til å tro at virksomheten ikke vil være i stand til å etterleve forpliktelsene i lys av etterretningslovgivning og praksis som kommer til anvendelse for de aktuelle overføringene. Utgangspunktet for vurderingen er om virksomheten det ønskes å overføre personopplysninger til er underlagt problematisk lovgivning og praksis som gir tredjelands myndigheter uforholdsmessig vid tilgang til personopplysningene som overføres.
Hvilke omstendigheter som kan være av betydning i vurderingen fremgår av BCR-C punkt 5.4.1 og SCC clause 14, og er også gjengitt av Datatilsynet:
- formålet med behandlingen og overføringen (for eksempel formål knyttet til markedsføring, HR, lagring, teknisk støtte og kliniske studier)
- typen aktører involvert (offentlige/private, behandlingsansvarlige/databehandlere)
- den aktuelle sektoren (for eksempel adtech, telekom, finans, journalistikk og helse)
- kategorien personopplysninger (for eksempel kan tredjelandet ha særlover knyttet til mindreårige)
- hvorvidt dataene lagres i tredjeland eller hvorvidt det vil være fjerntilgang til data lagret i EØS
- dataformat (klartekst, pseudonymisert eller kryptert)
- muligheten for videreoverføring til nye tredjeland
4.2. EU-U.S. DPFs betydning for vurdering av beskyttelsesnivået
Med hensyn til vurderingen nevnt over er det viktig å merke seg at EU-kommisjonen i sin adekvansvurdering vedrørende EU-U.S. DPF har vurdert at relevante amerikanske lover er proporsjonale og nødvendige og gir et tilstrekkelig vern. På denne bakgrunn har Datatilsynet på sine nettsider uttalt at virksomheter kan basere seg på Europakommisjonens vurdering av overføringer, også med hensyn til ikke-sertifiserte virksomheter. Dette forutsetter at den amerikanske mottakeren ikke er bundet av ekstraordinære regler som innebærer større grad av åpenhet og overvåking sammenlignet med hva som gjelder for vanlige amerikanske virksomheter.
"Hjelper de nye reglene meg om jeg vil overføre personopplysninger som ikke står på lista? (se spørsmål over)
Dersom du skal overføre personopplysninger til et land utenfor EØS som ikke har adekvansbeslutning, er det to ting du må gjøre. Først må du sikre et overføringsgrunnlag, for eksempel ved å inngå en standardkontrakt som kalles SCC-er. Deretter må du vurdere beskyttelsesnivået for personopplysninger i det aktuelle landet og eventuelt iverksette tilleggstiltak for å motvirke at overføringsgrunnlaget ditt blir undergravd av lokale lover og praksiser. Det er særlig disse vurderingene som medfører praktiske utfordringer for norske virksomheter.
EU-kommisjonen har allerede vurdert amerikansk lovgivning og praksiser i adekvansbeslutningen. Enkelt forklart mener EU-kommisjonen at disse ikke er et problem og at tilleggstiltak ikke er nødvendig. Forutsatt at virksomheten du skal overføre til, ikke er underlagt andre lover enn det vanlige, kommersielle amerikanske virksomheter er, kan du altså lene deg på EU-kommisjonens vurderinger. Dermed har de krevende vurderingene blitt forenklet, men ikke glem at du fortsatt må sikre et overføringsgrunnlag." (vår utheving).
Datatilsynets uttalelser er i samsvar med Personvernrådets uttalelse 19. juli 2023 som bekrefter at tiltakene som ble innført i USA i forbindelse med EU-U.S. DPF også gjelder ved bruk av andre overføringsgrunnlag (SCC og BCR).
Utdrag fra Personvernrådets uttalelse 19. juli 2023
"The information note clarifies that transfers based on adequacy decisions do not need to be complemented by supplementary measures. Transfers to the U.S. which are not included in the ‘Data Privacy Framework List’ require appropriate safeguards, such as standard data protection clauses or binding corporate rules. In this respect, the EDPB underlines that all the safeguards that have been put in place by the U.S. Government in the area of national security (including the redress mechanism) apply to all data transferred to the U.S., regardless of the transfer tool used."
Dette innebærer at de mer inngående vurderingene av beskyttelsesnivå i mottakerlandet og implementering av tilleggstiltak (f.eks. kryptering eller anonymisering som nevnt i Personvernrådets Steg 4) ikke vil være nødvendig for overføring til vanlige kommersielle aktører i USA. For overføringer til USA basert på BCR eller SCC vil det derfor i utgangspunktet være tilstrekkelig å undersøke om virksomheten er underlagt andre lover enn vanlig kommersielle amerikanske virksomheter.
Dersom virksomheten det skal overføres til skiller seg ut fra andre virksomheter er det grunn til å undersøke nærmere om virksomheten er underlagt særlige lover som vil undergrave vernet og som dermed vil kreve tilleggstiltak. I slike tilfeller må virksomhetene vurdere tilleggstiltak som sikrer godt nok beskyttelsesnivå (steg 4).
Ettersom EU-U.S. DPF bare dekker overføring av personopplysninger fra EØS til USA, påvirker ikke ordningen overføring av personopplysninger til andre land direkte fra EØS. Ved overføringer til andre tredjeland basert på SCC eller BCR vil det derfor være behov for å vurdere beskyttelsesnivå og ev. behov for tilleggstiltak (Steg 3 og 4 i Personvernrådets veiledning).
5. RE-EVALUER MED JEVNE MELLOMROM
Det er viktig å holde seg orientert om endringer som kan påvirke beskyttelsesnivået. Som ved andre overføringer kan endringer hos den som overfører personopplysninger eller mottaker i USA endre premissene for vurderingene som er foretatt. For eksempel kan det være at mottaker i USA ikke følger opp forpliktelsene knyttet til å være sertifisert i henhold til EU-U.S. DPF eller at det skjer videreoverføringer til nye underdatabehandlere.
Med hensyn til EU-U.S. DPF er det også særlig viktig å holde seg orientert for det tilfelle at rammeverket skulle bli prøvet for EU-domstolen. Vi minner her om at forløperne til EU-U.S. DPF, Safe Harbor og Privacy Shield, nettopp ble kjent ugyldig med den konsekvens at overføringsgrunnlaget falt bort med umiddelbar virkning. For det tilfelle at EU-U.S. DPF skulle bli kjent ugyldig, er det nærliggende at dette også vil ha konsekvenser for overføringer som er basert på SCC og BCR. Et slikt utfall vil da mest sannsynlig være begrunnet i at tiltakene USA har gjennomført i forbindelse med EU-U.S. DPF ikke gir tilstrekkelig vern og rettssikkerhetsgarantier knyttet til amerikansk etterretning. Skulle adekvansbeslutningen falle bort vil det typisk være nødvendig å benytte SCC eller BCR som overføringsgrunnlag og gjennomføre grundige vurderinger i henhold til Personvernrådets Steg 3 og 4 som i perioden før Europakommisjonen fattet adekvansbeslutning vedr. EU-U.S. DPF.
6. AVSLUTTENDE BEMERKNINGER VEDØRERENDE AVTALEREGULERING OG INTERNE RUTINER
For å sikre at overføringer til USA skjer i henhold til reglene som er redegjort for i denne veilederen kan det i noen tilfeller være hensiktsmessig å avtaleregulere visse forhold knyttet til bruk av EU-U.S. DPF som overføringsgrunnlag. Hvorvidt det er hensiktsmessig å ta inn særlige bestemmelser om bruk av EU-U.S. DPF må vurderes konkret, særlig i lys av hvorvidt den amerikanske avtaleparten vil akseptere endringer i sine standardvilkår.
I tilfeller hvor overføringen skjer til en databehandler, er det krav etter GPDR artikkel 28 nr. 3 a at databehandleravtalen regulerer bruk av underdatabehandlere og at den angir hva som er det rettslige grunnlaget for overføringen.
Utover dette (og også ved overføring til en behandlingsansvarlig) kan det være aktuelt å pålegge virksomheten i USA å gi informasjon dersom den ikke lenger er omfattet av EU-U.S. DPF eller det skulle skje andre endringer som er av betydning for overføringen. I forlengelsen av dette kan det avtales at partene forplikter seg til å samarbeide om å etablere et lovlig overføringsgrunnlag, f.eks. basert på SCC, for det tilfelle at EU-U.S. DPF ikke lenger kan benyttes som overføringsgrunnlag.
I lys av at det ikke kan utelukkes at EU-U.S. DPF i fremtiden kan bli kjent ugyldig i en eventuell rettslig prøving av EU-domstolen eller faller bort av andre grunner, bør den enkelte virksomhet vurdere om det er hensiktsmessig å etablere et annet rettslig overføringsgrunnlag, f.eks. SCC, i tillegg til EU-U.S. DPF. Dette er ikke påkrevet, men kan være aktuelt i mer langvarige kontraktsforhold for å redusere risiko for det tilfellet at EU-U.S. DPF skulle bli kjent ugyldig og falle bort.
Vi minner om at det påhviler den enkelte virksomhet å gjøre en konkret vurdering i tråd med beste praksis innen informasjonssikkerhet knyttet til konfidensialitet, dataintegritet, tilgjengelighet og andre forhold, uavhengig av om det ellers foreligger både overføringsgrunnlag og behandlingsgrunnlag.
For å sikre etterlevelse av overføringsreglene kan det også være hensiktsmessig med en intern rutine med f.eks. årlig sjekk på at vilkårene for overføring til USA er oppfylt. Det vil særlig være relevant å sjekke følgende forhold:
- For overføring basert på EU-U.S. DPF: at sertifiseringen er aktiv (merk at det kreves årlig re-sertifisering), at sertifiseringen fremdeles omfatter de aktuelle tjenestene og at det ikke er skjedd endringer mht. videreoverføringer
- For overføringer basert på SCC eller BCR: at det ikke er skjedd endringer i premissene som er lagt til grunn i vurderingen av beskyttelsesnivået (se punkt 4).
Nyttige lenker om EU-U.S.A. Data Privacy Framework
- U.S. Department of Commerce DPF Program
- European Commission: European Commission adopts new adequacy decision for safe and trusted EU-US data flows
- EDPB Opinion 5/23
- EDPB Information Note
- Datatilsynet: Nye regler for overføring av personopplysninger til USA
- Datatilsynet: Overføring av personopplysninger ut av EØS
- DFØ: Personvern etter Schrems II
Nedlasting av dokumenter
Kontakt
Har du spørsmål eller tilbakemeldinger? Ta kontakt med oss!
E-post: markedsplassen [at] dfo.no (markedsplassen[at]dfo[dot]no)