Offentlige aktører og skytjenester

Vaar har vurdert de store skytjenesteleverandørenes vilkår opp mot GDPR

The General Data Protection Regulation – bedre kjent som «GDPR» – har siden forordningen trådte i kraft i Norge 20. juli 2018 nødvendiggjort store endringer for norske virksomheter, både offentlige og private. Offentlige aktører må som følge av krav til egen behandling av personopplysninger, også stille krav til leverandører av skytjenester.

Vi ser et økende behov og ønske blant offentlige aktører for å ta i bruk skytjenester. I denne forbindelse er det viktig at disse kundene foretar en grundig vurdering av standardavtalene til skytjenesteleverandøren opp mot egne krav og forventninger. Sentrale spørsmål i vurderingen bør være ivaretakelse av kravene til personvern og sikkerhet.

Vaar har nettopp gjennomgått standardavtalene fra de store, internasjonale skytjenesteleverandørene i forbindelse med kjøp av skytjenester for en stor offentlige aktører. I lys av GDPR har de delene av vilkårene som berører personvern og personvernrettslige forhold vært i fokus. Vaar har funnet at der GDPR tillater det, går standardavtalene i leverandørenes favør. Det vil si at Vaar har avdekket forhold i standardavtalene som avviker fra de typiske kravene i en databehandleravtale utarbeidet av behandlingsansvarlig, uten at disse forholdene nødvendigvis er i strid med GDPR.

Vår erfaring viser at standardavtalene er omfattende og har en kompleksitet som gjør de vanskelig tilgjengelig for kundene. Leverandørene har et forbedringspotensiale med hensyn til å tilrettelegge informasjonen og standardavtalene for kunden på en hensiktsmessig måte. Leverandørene kan med fordel tilegne seg en bedre forståelse for de krav offentlige aktører må stille til leverandører før de kan ta i bruk skytjenester. Til tross for dette viser gjennomgangen at leverandørene i all hovedsak overholder GDPR, og viktigheten av informasjonssikkerhet og personvern synliggjøres i standardavtalene.

Skytjenestene er bygd opp slik at leverandøren tilgjengeliggjør sin teknologi og skytjeneste for kunden, uten noen befatning med kundens bruk. Kunden bestemmer selv hvordan skytjenesten skal benyttes og hvilket innhold som legges inn i tjenesten.

Ingen av de avdekte forholdene er til hinder for inngåelse av standardavtaler eller bruk av skytjenester, da skytjenesteleverandørene i alle tilfeller må forholde seg til GDPR på samme måte som offentlige aktører. Gjennomgangen og vurderingene har imidlertid vist at det er flere forhold i standardavtalene som kundene bør være oppmerksomme på:

  • En gjenganger er reguleringer hvor det fremgår at leverandøren kan bruke tekniske data fra kunden som også kan omfatte personopplysninger til eget formål.
  • Standardavtalene legger også opp til at skytjenesteleverandøren fritt kan engasjere underdatabehandlere. Standardavtalen medfører en generell godkjenning av underdatabehandlere, der offentlige aktører automatisk godkjenner nye underdatabehandlere. En slik generell godkjennelse avviker fra den databehandleravtalen som typisk er brukt av offentlige aktører, som stiller krav om forhåndsgodkjennelse av underdatabehandlere.
  • Overføring av personopplysninger til tredjeland, herunder særlig behandling som midlertidig lagring, kan etter standardavtalene skje utenfor EU/EØS. Dette er i mange tilfeller en naturlig følge av skytjenestenes natur siden de har en global leveranseplattform.
  • Skytjenester er i stadig utvikling og endrer seg raskt. Dette kan være problematisk både med hensyn til dynamiske og statiske avtaler. Hovedproblemet med statiske avtaler er at de ikke hensyntar den raske utviklingen. Når det gjelder dynamiske avtaler som endrer seg underveis i avtaleforholdet stilles det større krav til oppfølging fra kunden.

Til tross for ovennevnte forhold har skytjenesteleverandørene innført omfattende rutiner for ivareta kvalitet i tjenestene som tilbys. Dette innebærer blant annet utarbeidelse og i innføring av sikkerhetstiltak som: logisk og fysisk sikkerhet, tilgangsstyring, varsling ved sikkerhetsbrudd, revisjon av underdatabehandlere, standardklausuler for overføring til tredjeland, internasjonale sikkerhetssertifiseringer og årlige tredjepartsrevisjoner. Selv om kundens revisjonsadgang er begrenset, tilgjengeliggjøres informasjonen for kunden.

Det kan være utfordrende for kunder å få gjennomslag for endringer overfor de store skytjenesteleverandørene. Etter vårt syn virker det hensiktsmessig at skytjenesteleverandørene selv styrer revisjonsadgangen og bruken av underleverandører. Dette fordi skytjenesteleverandørene har de beste forutsetningene og initiativ til å sikre kvalitet i både tredjepartsrevisjoner og bruk av underdatabehandlere.

Offentlige aktører og andre kunder bør forut for avtaleinngåelsen foreta en grundig gjennomgang av standardavtalene og utarbeide en personvernkonsekvensvurdering for bruk av skytjenester. I hvilket omfang skytjenestene skal tas i bruk, beror på utfallet av personkonsekvensvurderingen og kundens interne krav til sikkerhet. Kunden bør i som ledd i dette arbeidet sette sammen et team med riktig kompetanse med blant annet: juridisk personell med kompetanse på personvern og særlovgivning, IT- og sikkerhetsarkitekter samt fagteknisk personell.

Uavhengig av det ovennevnte må kunden oppfylle sine forpliktelser som behandlingsansvarlig. Typisk vil dette omfatte tilstrekkelig dokumentasjon på:

  • internkontroll,
  • lovpålagte sikkerhets- og risikovurderinger inkludert risikoreduserende tiltak,
  • DPIA, og
  • retningslinjer og rutiner.

Vaar er et forretningsorientert advokatfirma med spisskompetanse på IT, personvern og offentlige anskaffelser. Vi bistår både offentlige og private virksomheter innenfor alle spørsmål knyttet til nevnte rettsområder.

Relaterte artikler