Overføring av personopplysninger ved supporttjenester

Her skriver vi om viktige sider ved supporttjenester som påvirker hvordan din virksomhet kan håndtere spørsmål om overføring av personopplysninger til tredjeland i supporttjenester, og eventuelle begrensninger i muligheten for overføring.

Hvor er jeg i veiledningen?
Figur som viser en oversikt over veiledningen
Denne figuren viser hvordan vi ser for oss at sidene i veiledningen henger sammen. Leter du etter en spesifikk side, finner du den ved å følge sidene i veiledningen, eller under vår oversikt nederst på hovedsiden.

1. Hva er support og hvorfor har det betydning i sammenheng med overføring?

Bruk av skytjenester kan reise spørsmålet om det vil overføres personopplysninger når leverandøren leverer drifts- eller supporttjenester fra et tredjeland. All den tid det skjer en EU/EØS-grenseoverskridende flyt av personopplysninger, vil dette være en overføring. I denne delen omtaler vi bare supporttjenester med fjerntilgangsmulighet til personopplysninger, siden det ofte er en tilleggstjeneste. Driftstjenester fra tredjeland må vurderes på lik linje med andre overføringer til tredjeland som kan forekomme i tjenesten, og vi omtaler ikke dette videre her. Du kan lese mer om dette i Hjelp til å vurdere personvernrisikoen for etterretning.

Vi presiserer at vi kjenner få eksempler der det er nødvendig for supportpersonell å ha tilgang til personopplysninger i et supporttilfelle. Derimot trenger supportpersonell ofte administratortilganger for å løse tekniske spørsmål, og da har de i praksis også potensiell tilgang til personopplysninger som lagres eller på annen måte behandles av kunden i tjenesten. Om supportpersonell i tredjeland da eksempelvis får opp personopplysninger på sin skjerm, eller personopplysninger er med i et datasett som behandles av supportpersonell i tredjeland, vil det i praksis skje en overføring.

Vi ønsker her å belyse ulike sider ved bruk av supporttjenester.

2. Avtalen beskriver supportytelsen

Avtalen vil i sitt ordinære løp normalt forutsette at leverandøren av tjenesten forplikter seg til et visst driftsnivå som inkluderer det å yte support. Leverandøren vil gi brukerstøtte forbundet med ulike hendelser som kan oppstå knyttet til drift av systemene og databehandling. Brukerstøtte kan omfatte retting av feilmeldinger, bistand med ulike avvik, besvarelse av tekniske spørsmål, brukerveiledning, mv. Avtalen vil ofte avgrense brukerstøtten materielt, ved å beskrive hvilke områder, produkter og bistandsnivå som gis, og tidspunktet når støtten kan forventes. Store skyleverandører vil gjerne bruke egne ensidig utformede avtalevilkår hvor brukerstøtten er nærmere avgrenset.

Eksempler på dette er bl.a. Microsofts standard databehandleravtale «Tillegg om databeskyttelse for produkter og tjenester fra Microsoft» som definerer «tekniske støttetjenester» som «faglige tjenester» som «hjelper kunden med å identifisere og løse problemer som påvirker produkter», eller Google Cloud Terms som bl.a. beskriver brukerstøttetjenester som systemoppdateringer, og bistand med ulike henvendelser.

I Microsofts databehandleravtale nevnes det for eksempel at support kan medføre tilgjengeliggjøring av «faglig tjenestedata» som inkluderer «alle data, herunder tekst-, lyd-, video, bildefiler eller programvare» som innhentes i forbindelse med brukerstøtteoppdraget. Google Cloud tar også høyde for at kunden vil kunne utlevere diagnostikkinformasjon og «account details and the information that Customer provides to Google for the purpose of obtaining TSS».

3. Hvordan supporttjenester ytes

Supporttjenester vil kunne ytes på flere forskjellige måter og ev. overføring av informasjon som kan omfatte personopplysninger kan skje i større eller mindre grad avhengig av det konkrete behovet for support. Det kan være nødvendig å behandle personopplysninger i forbindelse med oppdraget ut fra ulike hensyn som gjør at følgende typer kan behandles:

  • Arbeidsrelaterte personopplysninger knyttet til selve supportoppdraget: kontaktinformasjon om kundens personell som håndterer en hendelse. Les mer om dette her.
  • Metadata knyttet til drift eller bruk av tjenesten
  • Kundens innholdsdata som behandles i tjenesten med personopplysninger

Det betyr at den enkelte supporttjenesten som kjøpes må vurderes mht. hvilke personopplysninger som kan være aktuelle for overføring, hvor slike personopplysninger overføres til og de tiltakene som ev. beskytter overføringen.

3.1 Tilgangstyper

Supporttjenester kan ytes på veldig ulike måter. Fra kundens side kan det gis større eller mindre direkte tilgang, og det kan være større eller mindre innslag av kundens medvirkning til ev. tilgang til personopplysninger:

  • Leverandøren kan ha stående tilgang med fjernaksess til tekniske miljøer hos kunden, og kan dermed ha tilgang til personopplysninger i datasystemer, datamaskiner, eller programvaremiljøet til kunden. God praksis her vil være at dette ikke benyttes uten lokal kontroll.
  • Personopplysninger kan inngå i informasjonen som overføres til leverandøren. Leverandøren vil da behandle dem i sitt eget supportsystem. God praksis her vil være at både kunden og leverandøren har vurdert og iverksatt dataminimering og definert sletterutiner.

3.2 Tidsaspekter

For å håndtere hendelser knyttet til virksomhetskritiske tjenester kan kunden være avhengig av leverandørens supporttjenester hele døgnet. Et slikt behov for supporttjenester vil påvirke hvor brukerstøtten ytes fra.

Avhengig av hvordan supporttjenesten ytes og hvordan kunden har bestemt seg for å bruke den kan dette innebære at supportressursene som bistår kunden i Norge utfører support fra et tredjeland som ligger i en annen tidssone. Det kan medføre overføring av personopplysninger til ikke-godkjente tredjeland.

Overføringen må i så fall skje i henhold til reglene for overføring til dette landet. Her kan du lese mer om reglene for overføring.

Dersom det ikke handler om virksomhetskritiske tjenester kan kunden i mange tilfeller tåle å vente noe lenger på support, og sette opp interne retningslinjer for når og hvordan supporttjenester i så fall skal brukes for å unngå overføringssituasjoner.

4. Virksomhetens valg om å tillate overføring i supporttilfeller eller ikke

Når en virksomhet vurderer å bruke skytjenester bør det kartlegges hvilke mulige lokasjoner dataene kan formidles til i forbindelse med support. Virksomheten må skaffe informasjon fra leverandøren om hvordan tjenesten leveres og ev. planlegge for situasjoner der brukerstøtten må gis fra ikke-godkjente tredjeland, og dermed hvilke tiltak som bør iverksettes for å hindre/kontrollere utlevering.  

Virksomheten kan i en del tilfeller organisere behovet for support i den enkelte tjeneste slik at det i størst mulig grad hindrer muligheten for overføring av personopplysninger. Dette vil virke inn på mulighetene for tilgang til personopplysninger for supportpersonell under en supporthendelse.

Eksempler på mulige tiltak for å hindre/kontrollere overføring:

  • Retningslinjer om bruk av supporttjenester:
    • Virksomheten kan bestemme at den ikke skal benytte supporttjenester i det hele tatt hvis tjenesten ikke er virksomhetskritisk,
    • Virksomheten kan bestemme at den bare skal benytte supporttjenester som ytes innenfor vanlig arbeidstid i Norge for å unngå avtalt overføring av personopplysninger til tredjeland
    • Virksomheten kan bygge egen kompetanse internt for så langt som mulig unngå å bruke supporttjenester (forutsetter en viss størrelse på fagmiljø og kompetanse internt)
    • Virksomheten kan begrense hvem som kan be om support og sikre at personellet har god kunnskap om utleveringsproblematikk
  • Retningslinjer om geografisk begrensning:
    • Virksomheten velger å organisere sin bruk av supporttjenester slik at support kan ytes innenfor EU/EØS
    • Virksomheten kan bestemme at den ikke skal benytte supporttjenester som ytes fra tredjeland
  • Retningslinjer om tilgangsbegrensning:
    • Virksomheten kan bestemme at eksterne ikke skal ha stående tilgang til informasjon i tjenesten
    • Virksomheten kan begrense utvalget av informasjon som supportpersonell får tilgang til
  • Virksomheten kan begrense hvilken type informasjon personellet får tilgang til
    • Virksomheten viser frem informasjon om hendelsen for supportpersonellet, men gir ikke direkte tilgang til opplysningene eller systemet og har retningslinjer for at ingen eller minst mulig av personopplysninger skal vises frem
    • Virksomheten logger selv hvem som får tilgang og hva som gjøres, ev. logges det på leverandørens side og virksomheten kan få tilgang til denne loggen
    • Virksomheten velger å avgrense tidsrommet for support og bruker bare support innenfor ordinær arbeidstid for å unngå ev. overføring til tredjeland
  • Opplæring av virksomhetens personell:
    • virksomhetens ansatte som bruker supporttjenester, må instrueres om virksomhetens retningslinjer for bruk av supporttjenester
    • Virksomhetens ansatte må få tilstrekkelig opplæring til å forstå om det skjer en overføring av personopplysninger og hvordan dette kan unngås

Avhengig av hvor virksomhetskritisk skytjenesten er kan det være at virksomheten ikke kommer unna at personopplysninger som for eksempel arbeidsrelaterte opplysninger overføres ved bruk av supporttjenesten. Da gjelder de generelle vurderingene mht. lovlighet av overføringen og virksomheten bør sikre at supportavtalen også omfatter SCC.

5. Relevansen av personopplysninger hentet ut gjennom supporttjenester for etterretningsformål

Arbeidsgruppen forstår det slik at det i mange tilfeller ikke er behov for å overføre personopplysninger til tredjeland i forbindelse med supporttjenester, utover nødvendige kontaktopplysninger. Dersom leverandøren ikke har en stående tilgang til tjenesten der det behandles personopplysninger vil kunden kunne begrense den tilgjengelige informasjonen (herunder personopplysninger). Utvalget av informasjon og personopplysninger som vil være tilgjengelig for supportpersonell i tredjeland i det enkelte supporttilfellet vil da være tilfeldig, og høre til en enkelt hendelse. Det vil derfor vanligvis være vanskelig å systematisk hente ut personopplysninger til etterretning fra den tilgjengelige informasjonen fra hendelsen.

6. Overføring i forbindelse med supporttjenester er som hovedregel ikke problematisk med hensyn til tredjelands etterretning

Arbeidsgruppent mener det i mange situasjoner vil være uproblematisk å tillate support-tjenester innenfor rammen av de tiltakene som er beskrevet, men dette må alltid vurderes konkret. En helhetsvurdering innenfor disse rammene tilsier at risikoen for at tredjelands etterretningsmyndigheter vil benytte overføringen i forbindelse med support-tjenester til å hente inn opplysninger ofte vil være lav. Inngrepet det eventuelt ville utgjøre i den registrertes rettigheter er derfor av en slik art at eksisterende rettsikkerhetsmekanismer er tilstrekkelige til å sørge for at rettighetene til den registrerte ikke blir krenket. I disse vurderingen kan følgende være relevant:


Oppdatert: 12. september 2023

Kontakt

Gi oss tilbakemelding!

Markedsplassen er under utvikling. Har du spørsmål eller tilbakemeldinger? Ta kontakt med oss!

E-post: markedsplassen [at] dfo.no (markedsplassen[at]dfo[dot]no)

Fant du det du lette etter?

Nei

Det beklager vi!

Tilbakemeldingen din er anonym og vil ikke bli besvart. Vi bruker den til å forbedre nettsidene. Hvis du vil ha svar fra oss, ta kontakt på telefon, e-post eller kundesenter på nett.