Ved bruk av skytjenester som databehandler må du sikre at personopplysningssikkerheten er tilstrekkelig ivaretatt. Dette må gjøres uavhengig av om du overfører personopplysninger. Risikoen for etterretning er en av mange typer risiko det kan være relevant å ta med i en vurdering av personopplysningssikkerhet.
Hvor er jeg i veiledningen?
1 Innledning
En svært viktig vurdering ved anskaffelser og bruk av digitale tjenester, slik som skytjenester, er om tjenesten i tilstrekkelig grad ivaretar informasjonssikkerheten. Ved bruk av digitale tjenester er det alltid en risiko for informasjonssikkerhetsbrudd. Hvor stor denne risikoen avhenger av flere faktorer slik som sårbarheter og trusselbilde. Informasjonssikkerhet er bredere enn personopplysningssikkerhet. Når det behandles personopplysninger i tjenesten, vil et imidlertid brudd på informasjonssikkerheten kunne medføre brudd på personopplysningssikkerheten.
På et overordnet nivå er det et prinsipp etter forordningens artikkel 5 nr. 1 bokstav f at personopplysninger skal «behandles på en måte som sikrer tilstrekkelig sikkerhet for personopplysningene». Artikkel 32 er utgangspunktet for personopplysningssikkerhet i personvernforordningen og utfyller prinsippet i artikkel 5. Kravene til sikkerhet ved behandlingen får videre betydning ved valg av databehandler, jf. artikkel 28 nr. 1.
For deg som behandlingsansvarlig er det akseptable sikkerhetsnivået det som er «egnet med hensyn til risikoen», jf. pvf. Art. 32. Ved valg av databehandler kan en behandlingsansvarlig kun benytte en databehandler som har gitt «tilstrekkelige garantier» for at de vil gjennomføre «egnede organisatoriske og tekniske tiltak», jf. pvf. Art 28. Dette må du sikre uavhengig av om du overfører personopplysninger eller ikke.
Risikoen for etterretning er en risiko som det kan være relevant å vurdere etter artikkel 32, jf. 28 nr.1. Disse bestemmelsene gir dessuten gode rammer for å vurdere denne risikoen, da de gir en helhetlig tilnærming til personopplysningssikkerhetsvurderingen. Arbeidsgruppen vil i det videre utdype det nærmere innholdet artikkel 32 og artikkel 28 nr. 1, samt knytte noen korte kommentarer til artikkel 24.
2 Personvernforordningen artikkel 32
Av personvernforordningens artikkel 32 fremgår det at den behandlingsansvarlige og databehandleren skal gjennomføre «egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen».
Når ordlyden i 32 nr. 1 bruker ordet «risikoen» omfatter dette ikke bare en spesifikk risiko. Ordet «risiko» kan defineres med svært mange detaljeringsgrader. En risiko kan bestå av en rekke «delrisikoer». Eksempelvis vil «risikoen for personopplysningsikkerhetsbrudd» kunne bero på mange spesifikke vurderinger slik som «risikoen for uautorisert tilgang til databaser». Dette understøttes videre av ordlyden i artikkel 32 nr. 2 hvor ordet «risikoene» benyttes i flertall. Artikkel 32 gir altså anvisning på en bred vurdering hvor det akseptable sikkerhetsnivået er det som er «egnet med hensyn til risikoen» og hvor «risikoen» må vurderes bredt og konkret.
Innledningsvis i artikkel 32 nr. 1, og i nr. 2 pekes det på en rekke forhold som vil ha betydning for hvordan risikoen fastsettes. Videre peker artikkel 32 nr. 1 på flere tekniske og organisatoriske tiltak som vil ha betydning for hvordan risikoen kan reduserers til et akseptabelt nivå. Dette er likevel ikke uttømmende.
Risikoen for etterretning vil være en av flere risikoer som må vurderes for løsningen. I noen sammenhenger vil dette kunne være en svært enkel øvelse, i andre en mer kompleks vurdering. Arbeidsgruppen har utarbeidet en metodikk for denne risikovurderingen. Fordi en slik risikovurdering må sees i sammenheng med andre rettslige rammer, omtales den her i punkt 3.
3 Personvernforordningen artikkel 28 nr. 1
Personvernforordningens artikkel 28 regulerer bruken av databehandlere. Av bestemmelsens første ledd følger det at behandlingsansvarlige kun skal bruke databehandlere som «gir tilstrekkelige garantier for at de vil gjennomføre egnede tekniske og organisatoriske tiltak som sikrer at behandlingen oppfyller kravene i denne forordning og vern av den registrertes rettigheter».
3.1 «Egnede tekniske og organisatoriske tiltak»
Ved bruk av «egnede tekniske og organisatoriske tiltak», legger ordlyden opp til en konkret og skjønnsmessig vurdering av de tiltakene som databehandleren vil gjennomføre. Tiltakene skal sikre at «behandlingen oppfyller kravene i denne forordning og vern av den registrertes rettigheter». For spørsmålet om risikoen for etterretning er det dermed særlig relevant å se den i sammenheng med personvernforordningens artikkel 32 som gir uttrykk for sikkerhet ved behandlingen.
3.2 «Tilstrekkelige garantier»
Vurderingen av hva som er «egnede tekniske og organisatoriske tiltak skal etter ordlyden baseres på de «tilstrekkelige garantier» som er gitt av databehandleren. I «tilstrekkelig» ligger det en konkret og skjønnsmessig vurdering av garantiene som databehandleren gir. Ordlyden indikerer en øvre grense. Garantiene behøver ikke å være perfekte, det holder at garantiene er «tilstrekkelige». Samtidig gir bruk av ordet «tilstrekkelig» også uttrykk for en minimumsgrense.
3.3 En samlet vurdering etter artikkel 28 nr.1?
Artikkel 28 nr. 1 oppstiller etter ordlyden separate vilkår som må være oppfylt for at valg av databehandler skjer i henhold til personvernforordningen. Vilkårene henger imidlertid tett sammen og det kan være vanskelig å vurdere vilkårene separat.
EDPB sine retningslinjer for valg av databehandler gir uttrykk for at vurderingen etter artikkel 28 nr. 1 er en slags risikovurdering. I avsnitt 96 uttaler EDPB:
“The controller’s assessment of whether the guarantees are sufficient is a form of risk assessment, which will greatly depend on the type of processing entrusted to the processor and needs to be made on a case-by-case basis, taking into account the nature, scope, context and purposes of processing as well as the risks for the rights and freedoms of natural persons. As a consequence, the EDPB cannot provide an exhaustive list of the documents or actions that the processor needs to show or demonstrate in any given scenario, as this largely depends on the specific circumstances of the processing.”[vår kursivering]
Datatilsynet gir også uttrykk for at bestemmelsen er en slags risikovurdering. Det utdypes imidlertid ikke nærmere hva som ligger i en slik risikovurdering.
4 Personvernforordningens artikkel 24
Personvernforordningens artikkel 24 regulerer den behandlingsansvarliges ansvar. Den oppstiller blant annet i nr. 1 en plikt til internkontroll. Bestemmelsen vil etter omstendighetene kunne være relevant ved vurderingen av den behandlingsansvarliges ansvar. Den legger imidlertid opp til en bred og skjønnsmessig vurdering som etter sin ordlyd i stor grad sammenfaller med vurderingene som skal gjøres etter artikkel 32 og 28 nr. 1. Arbeidsgruppen vurderer derfor ikke artikkel 24 selvstendig i denne sammenhengen.
5 Oppsummering og konklusjon
Med utgangspunkt i artikkel 32 skal den behandlingsansvarlige og databehandleren sørge for tilstrekkelig sikkerhet ved behandlingen. Hva som er tilstrekkelig sikkerhet, må gjøres på bakgrunn av en bred vurdering hvor det akseptable sikkerhetsnivået er det som er «egnet med hensyn til risikoen» og hvor «risikoen» må vurderes bredt og konkret. Ved valg av databehandler kan en behandlingsansvarlig kun benytte en databehandlere som har gitt «tilstrekkelige garantier» for at de vil gjennomføre «egnede organisatoriske og tekniske tiltak», i samsvar med artikkel 28 nr. 1. Dette er en slags risikovurdering, og bør sees i sammenheng med risikovurderingen etter artikkel 32.
Hvilket risikonivå som er akseptabelt med hensyn til risikoen for innhenting av personopplysninger til etterretningsformål, må altså vurderes konkret. Det vil alltid være en risiko. En behandlingsansvarlig kan derfor ikke legge til grunn at kun eksistensen av en risiko for etterretning er uakseptabel. Størrelsen på risikoen er avgjørende. Videre må den sees i sammenheng med øvrige risikoer. Ofte vil det dessverre være slik at løsninger og tiltak som er sikre mot noen typer risiko, har sårbarheter og svakheter som medfører andre typer risiko. Arbeidsgruppen vil sterkt fremheve dette poenget – en behandlingsansvarlige må ikke være så bekymret for risikoen for tredjelands etterretning at den behandlingsansvarlige velger løsninger som innfører større og mer reelle risikoer for den registrertes rettigheter. Den behandlingsansvarlige må gjøre gode risikovurderinger for sin konkrete behandling.
Hva som er et akseptabelt risikonivå, må sees i sammenheng med vernenivået den registrerte har krav på i henhold til menneskerettslige forpliktelser. For spørsmålet om risikoen for tredjelands etterretning ved bruk av tjenester i EU/EØS er dette et komplisert spørsmål og arbeidsgruppen har ingen klare konklusjoner.
Det kan være svært krevende å vurdere risikoen for etterretning som en del av vurderingen etter artikkel 32, jf. 28 nr. 1. Arbeidsgruppen har derfor utarbeidet ytterligere veiledning for å gi støtte til deg som skal gjennomføre slike vurderinger.
Kontakt
Har du spørsmål eller tilbakemeldinger? Ta kontakt med oss!
E-post: markedsplassen [at] dfo.no (markedsplassen[at]dfo[dot]no)