Vaar har vurdert de store skytjenesteleverandørenes vilkår opp mot GDPR
The General Data Protection Regulation – bedre kjent som «GDPR» – har siden forordningen trådte i kraft i Norge 20. juli 2018 nødvendiggjort store endringer for norske virksomheter, både offentlige og private. Offentlige aktører må som følge av krav til egen behandling av personopplysninger, også stille krav til leverandører av skytjenester.
Vi ser et økende behov og ønske blant offentlige aktører for å ta i bruk skytjenester. I denne forbindelse er det viktig at disse kundene foretar en grundig vurdering av standardavtalene til skytjenesteleverandøren opp mot egne krav og forventninger. Sentrale spørsmål i vurderingen bør være ivaretakelse av kravene til personvern og sikkerhet.
Til tross for ovennevnte forhold har skytjenesteleverandørene innført omfattende rutiner for ivareta kvalitet i tjenestene som tilbys. Dette innebærer blant annet utarbeidelse og i innføring av sikkerhetstiltak som: logisk og fysisk sikkerhet, tilgangsstyring, varsling ved sikkerhetsbrudd, revisjon av underdatabehandlere, standardklausuler for overføring til tredjeland, internasjonale sikkerhetssertifiseringer og årlige tredjepartsrevisjoner. Selv om kundens revisjonsadgang er begrenset, tilgjengeliggjøres informasjonen for kunden.
Skytjenestene er bygd opp slik at leverandøren tilgjengeliggjør sin teknologi og skytjeneste for kunden, uten noen befatning med kundens bruk. Kunden bestemmer selv hvordan skytjenesten skal benyttes og hvilket innhold som legges inn i tjenesten.
Ingen av de avdekte forholdene er til hinder for inngåelse av standardavtaler eller bruk av skytjenester, da skytjenesteleverandørene i alle tilfeller må forholde seg til GDPR på samme måte som offentlige aktører. Gjennomgangen og vurderingene har imidlertid vist at det er flere forhold i standardavtalene som kundene bør være oppmerksomme på:
Til tross for ovennevnte forhold har skytjenesteleverandørene innført omfattende rutiner for ivareta kvalitet i tjenestene som tilbys. Dette innebærer blant annet utarbeidelse og i innføring av sikkerhetstiltak som: logisk og fysisk sikkerhet, tilgangsstyring, varsling ved sikkerhetsbrudd, revisjon av underdatabehandlere, standardklausuler for overføring til tredjeland, internasjonale sikkerhetssertifiseringer og årlige tredjepartsrevisjoner. Selv om kundens revisjonsadgang er begrenset, tilgjengeliggjøres informasjonen for kunden.
Det kan være utfordrende for kunder å få gjennomslag for endringer overfor de store skytjenesteleverandørene. Etter vårt syn virker det hensiktsmessig at skytjenesteleverandørene selv styrer revisjonsadgangen og bruken av underleverandører. Dette fordi skytjenesteleverandørene har de beste forutsetningene og initiativ til å sikre kvalitet i både tredjepartsrevisjoner og bruk av underdatabehandlere.
Offentlige aktører og andre kunder bør forut for avtaleinngåelsen foreta en grundig gjennomgang av standardavtalene og utarbeide en personvernkonsekvensvurdering for bruk av skytjenester. I hvilket omfang skytjenestene skal tas i bruk, beror på utfallet av personkonsekvensvurderingen og kundens interne krav til sikkerhet. Kunden bør i som ledd i dette arbeidet sette sammen et team med riktig kompetanse med blant annet: juridisk personell med kompetanse på personvern og særlovgivning, IT- og sikkerhetsarkitekter samt fagteknisk personell.
Uavhengig av det ovennevnte må kunden oppfylle sine forpliktelser som behandlingsansvarlig. Typisk vil dette omfatte tilstrekkelig dokumentasjon på:
Vaar er et forretningsorientert advokatfirma med spisskompetanse på IT, personvern og offentlige anskaffelser. Vi bistår både offentlige og private virksomheter innenfor alle spørsmål knyttet til nevnte rettsområder.