Steg 1: Risiko må vurderes uavhengig av om du overfører personopplysninger til tredjeland [Utkast til ny versjon]

1         Innledning

Behandlingsansvarlig skal gjøre risikovurderinger ved valg av databehandler med utgangspunkt i sin konkrete behandling av personopplysninger, jf. artikkel 24, jf. 32, jf. 28 nr. 1. Slike vurderinger må gjennomføres uavhengig av om det overføres personopplysninger i henhold til personvernforordningens kapittel V.

Risikoen for etterretning er en risiko som det kan være relevant å vurdere etter artikkel 24, 32 og 28 nr.1. I det følgende vil vi utdype det nærmere innholdet i disse bestemmelsene. Deretter vil vi veilede om hvordan risiko for etterretning kan vurderes i en personvernkontekst.

2         Personvernforordningens artikkel 24

Artikkel 24 er den første bestemmelsen i kapittel IV om behandlingsansvarlig og databehandler, og den første bestemmelsen i avsnitt 1 om «Generelle forpliktelser» og den har tittelen «Den behandlingsansvarliges ansvar».

Artikkel 24 gir et utgangspunkt for hvordan den behandlingsansvarlige ivareta sine forpliktelser etter personvernforordningen. Bestemmelsen oppstiller en relativ forpliktelse. Behandlingsansvarlige skal tilpasse tiltakene til den konkrete behandlingen og skal på bakgrunn av flere momenter, herunder risiko, «gjennomføre egnede tekniske og organisatoriske innhold for å sikre og påvise at behandlingen skal utføres i samsvar med denne forordning». For visse behandlinger kan momentene innledningsvis i artikkel 24, tilsi at den behandlingsansvarlige bare behøver å iverksette begrensede tiltak. For andre behandlinger kan momentene tilsi at det kreves omfattende tiltak fra den behandlingsansvarlige.

Det er ingen ting ved artikkel 24 i seg selv som tyder på at den skal leses isolert. Ordlyd og plassering tyder på at den skal ha «horisontal anvendelse» i personvernforordningen – altså gjelde som et utgangspunkt for den behandlingsansvarliges forpliktelser også etter de andre bestemmelsene. Dette understøttes av at deler av ordlyden sammenfaller med bestemmelser som artikkel 25 og 32. Tilnærmingen i artikkel 24, at tiltak skal tilpasses behandlingen, synes også å komme til uttrykk i andre bestemmelser slik som artikkel 12 som benytter formuleringen «egnede tiltak».

3         Personvernforordningen artikkel 32

En viktig vurdering ved anskaffelser og bruk av digitale tjenester, slik som skytjenester, er om tjenesten i tilstrekkelig grad ivaretar informasjonssikkerheten. Ved bruk av digitale tjenester er det alltid en risiko for informasjonssikkerhetsbrudd. Hvor stor denne risikoen avhenger av flere faktorer slik som sårbarheter og trusselbilde. Informasjonssikkerhet er bredere enn personopplysningssikkerhet. Når det behandles personopplysninger i tjenesten, vil et imidlertid brudd på informasjonssikkerheten kunne medføre brudd på personopplysningssikkerheten.

På et overordnet nivå er det et prinsipp etter forordningens artikkel 5 nr. 1 bokstav f at personopplysninger skal «behandles på en måte som sikrer tilstrekkelig sikkerhet for personopplysningene». Artikkel 32 er utgangspunktet for personopplysningssikkerhet i personvernforordningen og utfyller prinsippet i artikkel 5.

Av personvernforordningens artikkel 32 fremgår det at den behandlingsansvarlige og databehandleren skal gjennomføre «egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen».

Når ordlyden i 32 nr. 1 bruker ordet «risikoen» omfatter dette ikke bare en spesifikk risiko. Ordet «risiko» kan defineres med svært mange detaljeringsgrader. En risiko kan bestå av en rekke «delrisikoer». Eksempelvis vil «risikoen for personopplysningsikkerhetsbrudd» kunne bero på mange spesifikke vurderinger slik som «risikoen for uautorisert tilgang til databaser». Dette understøttes videre av ordlyden i artikkel 32 nr. 2 hvor ordet «risikoene» benyttes i flertall. Artikkel 32 gir altså anvisning på en bred vurdering hvor det akseptable sikkerhetsnivået er det som er «egnet med hensyn til risikoen» og hvor «risikoen» må vurderes bredt og konkret.

Innledningsvis i artikkel 32 nr. 1, og i nr. 2 pekes det på en rekke forhold som vil ha betydning for hvordan risikoen fastsettes. Videre peker artikkel 32 nr. 1 på flere tekniske og organisatoriske tiltak som vil ha betydning for hvordan risikoen kan reduserers til et akseptabelt nivå. Dette er likevel ikke uttømmende.

Uautorisert tilgang til personopplysningene fra andre lands myndigheter vil være en uønsket hendelse og et brudd på konfidensialitetshensynet, og kan vurderes som en risiko etter artikkel 32. Da vurderes også denne uønskede hendelsen opp mot andre uønskede hendelser, og den behandlingsansvarlige og databehandleren prioriterer tiltak deretter.

Etter artikkel 32 kan det aksepteres en risiko og behandlingen kan likevel være i henhold til personvernforordningen. For visse typer systemer og for visse typer behandlinger av personopplysninger kan uautorisert tilgang fra amerikanske myndigheter være den sentrale risikoen, men i mange sammenhenger er ikke dette den sentrale risikoen. Dette kan eksemplifiseres med følgende:

Ved bruk av en digital tjeneste i EU/EØS kan det gjøres følgende vurdering for en gitt behandling av personopplysninger:

• Risikoen for russisk etterretning er av størrelse 8, kinesisk etterretning er av størrelse 15, amerikansk etterretning er av størrelse 3
• Risikoen for løsepengevirus ("ransomware") er av størrelse 30
• Virksomheten velger dermed å prioritere tiltak som sikrer mot risikoen for løsepengevirus , dernest tiltak mot kinesisk etterretning.

I dette eksempelet kan behandlingen være i henhold til artikkel 32. Så fremt sikkerhetsnivået er "egnet med hensyn til risikoen" kan det aksepteres en risiko for etterretning.

4         Personvernforordningen artikkel 28 nr. 1

4.1        En samlet risikovurdering etter artikkel 28 nr.1?

Personvernforordningens artikkel 28 regulerer bruken av databehandlere. Av bestemmelsens første ledd følger det at behandlingsansvarlige kun skal bruke databehandlere som «gir tilstrekkelige garantier for at de vil gjennomføre egnede tekniske og organisatoriske tiltak som sikrer at behandlingen oppfyller kravene i denne forordning og vern av den registrertes rettigheter».

Artikkel 28 nr. 1 oppstiller etter ordlyden separate vilkår som må være oppfylt for at valg av databehandler skjer i henhold til personvernforordningen. Vilkårene henger imidlertid tett sammen og det kan være vanskelig å vurdere vilkårene separat.

Ved bruk av «egnede tekniske og organisatoriske tiltak», legger ordlyden opp til en konkret og skjønnsmessig vurdering av de tiltakene som databehandleren vil gjennomføre. Tiltakene skal sikre at «behandlingen oppfyller kravene i denne forordning og vern av den registrertes rettigheter».

Vurderingen av hva som er «egnede tekniske og organisatoriske tiltak skal etter ordlyden baseres på de «tilstrekkelige garantier» som er gitt av databehandleren. I «tilstrekkelig» ligger det en konkret og skjønnsmessig vurdering av garantiene som databehandleren gir. Ordlyden indikerer en øvre grense. Garantiene behøver ikke å være perfekte, det holder at garantiene er «tilstrekkelige». Samtidig gir bruk av ordet «tilstrekkelig» også uttrykk for en minimumsgrense.

EDPB sine retningslinjer for valg av databehandler gir uttrykk for at vurderingen etter artikkel 28 nr. 1 er en slags risikovurdering.

“The controller’s assessment of whether the guarantees are sufficient is a form of risk assessment, which will greatly depend on the type of processing entrusted to the processor and needs to be made on a case-by-case basis, taking into account the nature, scope, context and purposes of processing as well as the risks for the rights and freedoms of natural persons. As a consequence, the EDPB cannot provide an exhaustive list of the documents or actions that the processor needs to show or demonstrate in any given scenario, as this largely depends on the specific circumstances of the processing.”[vår kursivering]

EDPB i retningslinjer for valg av databehandler avsnitt 96

Datatilsynet gir også uttrykk for at bestemmelsen er en slags risikovurdering. Datatilsynet utdyper imidlertid ikke nærmere hva som ligger i en slik risikovurdering.

Det er gode grunner til at de skjønnsmessige vilkårene i artikkel 28 nr. 1 gir uttrykk for en risikovurdering. Det er alltid risikoer ved behandling av personopplysninger. Bruk av en databehandler kan påvirke denne risikoen. Den kan både øke den samlede risikoen, men også redusere den. Et eksempel på økning av risiko er at bruk av en databehandler innfører flere personer i prosessen, personer som vil kunne gjør feil. Eksempel på redusert risiko vil være der hvor databehandleren er mer egnet enn den behandlingsansvarlige til å gjennomføre en viss oppgave.

En behandlingsansvarlig som engasjerer en databehandler, kan aldri være sikker på at databehandleren gjør alt riktig. Den behandlingsansvarlige kan kun få "tilstrekkelige garantier".

4.2       Hva menes med "kravene i denne forordning" og "vern av den registrertes rettigheter?

Når artikkel 28 nr. 1 peker på både «oppfyller kravene i denne forordning» og «vern av den registrertes rettigheter» er det etter ordlyden to ting som må være sikret.

Utgangspunktet må være at «kravene i denne forordning» skal sikre den «registrertes rettigheter». Dermed er det nærliggende å tro at så lenge kravene i forordningen er ivaretatt er også den registrertes rettigheter ivaretatt. Ordlyden peker imidlertid tydelig på at dette er to separate vilkår. En mulig begrunnelse for det kan være at visse krav i personvernforordningen kun indirekte verner om den registrertes rettigheter. For en behandlingsansvarlig som skal engasjere en databehandler er det ikke tilstrekkelig at "alt ser fint ut på papiret". Den behandlingsansvarlige må i tillegg å fått Personvernforordningens artikkel 28 regulerer bruken av databehandlere. Av bestemmelsens første ledd følger det at behandlingsansvarlige kun skal bruke databehandlere som «gir tilstrekkelige garantier for at [databehandleren] vil gjennomføre egnede tekniske og organisatoriske tiltak som sikrer [...] vern av den registrertes rettigheter».

Gir ikke alltid personvernforordningen et tilstrekkelig vern?

En tilnærming som personvernforordningen legger opp til i artikkel 28 nr. 1 åpner for mange vanskelige vurderinger. I sin ytterste konsekvens, kan dette bety at en behandlingsansvarlige må være varsom med å benytte databehandlere som også overfører til land som har gyldige adekvansbeslutninger fordi eksempelvis etterretningsrisikoen der er for høy. Dette åpner for noen krevende rettslige spørsmål. Innad i EU/EØS er det eksempelvis forbudt å begrense dataflyten, jf. artikkel 1 nr. 3

5         Risikoen for at databehandleren overfører personopplysninger til tredjeland

Det kan kun benyttes databehandlere som har gitt «tilstrekkelige garantier» for at de vil gjennomføre «egnede organisatoriske og tekniske tiltak» for å sikre at behandlingen oppfyller kravene i personvernforordningen og for å verne den registrertes rettigheter for øvrig. Dette er en slags risikovurdering, for den behandlingsansvarlige kan aldri være sikker på at det ikke skjer feil hos databehandleren.

I kjølvannet av Schrems II har det vært mye snakk om risikoen for at en databehandler overfører personopplysninger. Dette er imidlertid en litt upresis beskrivelse av risiko, for her det er flere risikoer selv om de til en viss grad er overlappende:

• Risikoen for at en databehandler overfører personopplysninger på en måte som ikke er i tråd med kapittel V i personvernforordningen.
• Risikoen for at en databehandler utleverer personopplysninger til tredjelands etterretningsmyndigheter.

En overføring av personopplysninger er uproblematisk så lenge den er i tråd med personvernforordningen. Det er imidlertid alltid en risiko for at en databehandler overfører personopplysninger i strid med personvernforordningen, på samme måte som det alltid er en risiko for at en ansatt hos databehandleren gjør noe feil. Etter artikkel 28 nr. 1 vil denne risikoen være akseptabel dersom den behandlingsansvarlige har fått "tilstrekkelige garantier" for at databehandleren vil gjennomføre "egnede tekniske og organisatoriske tiltak" som sikrer at behandlingen oppfyller kravene i denne forordning og vern av den registrertes rettigheter

Det er hensiktsmessig å skille risikoen for etterretning fra risikoen for en overføring. Etterretning skjer uansett om det overføres personopplysninger. Eksempelvis er det diskutert om visse typer etteretningslovgivning kan ha ekstraterritoriell virkning. Overføring av personopplysninger kan riktignok åpne for nye typer etterretning, men det beror på en konkret vurdering hvorvidt dette er tilfellet. Et tilfelle hvor risikoen for etterretning er nokså tett knyttet til overføringen er bulkinnsamling av personopplysninger in-transit.

Ved å skille risikoen for overføring kan en gjøre en realistisk vurdering av om risikoen for etterretning er av en slik størrelse at den ikke kan aksepteres for den konkrete behandlingen. Med utgangspunkt i artikkel 28 nr. 1 kan spørsmålet være om den behandlingsansvarlige har "tilstrekkelige garantier" for at databehandleren har egnede organisatoriske og tekniske tiltak for å sikre at behandlingen oppfyller kravene i personvernforordningen og for å verne av den registrertes rettigheter for øvrig. Da kan risikoen for tredjelands etterretning enten vurderes som et ledd i «oppfyller kravene i denne forordning» og knytte dette til artikkel 32, eller selvstendig i forbindelse med «vern av den registrertes rettigheter». I neste punkt kan du lese utfyllende veiledning til hvordan risikoen for etterretning kan vurderes.

I vurderingen av risiko for overføring og risiko for etterretning ved valg av databehandler, kan det oppstå spørsmål om hva som kan vektlegges. Eksempelvis kan det være usikkerhet rundt hvordan forbehold i i en avtale skal forstås. Dette kan du lese mer om her:

6         Hvordan vurdere risiko for etterretning ved valg av databehandler?  

6.1        Innledning

Vi skal her se på risikoen for innhenting til etterretningsformål. Dette er bare en av mange risikoer som må vurderes. Det er viktig å påpeke at man aldri kan oppnå en situasjon hvor det ikke gjenstår noe risiko, så lenge man benytter seg av digitale tjenester.

Veiledningen for risikovurderingen bygger på Vurdering av risiko | Digdir, som igjen er basert på ISO31000. Innledningsvis i en risikovurdering bør det gjøres en foranalyse. For generell veiledning om dette temaet kan du lese Vurdering av risiko | Digdir. Deretter identifiserer vi noen særlige risikoer som igjen er gjenstand for en analysering og så en evaluering. Dette er en iterativ prosess.

Veiledningen på denne siden bør sees i sammenheng med din virksomhets øvrige personvern- og informasjonssikkerhetsvurderinger. Har deres virksomhet en metode for vurderinger av informasjonssikkerhet, bør den fortsatt benyttes. Her har vi betraktninger som kan tas med når dere anvender deres metode. Veiledningen vi presenterer her er ikke uttømmende og kan fint sees i sammenheng med andre veiledninger.

Annen relevant veiledning

For den første delen av vår veiledning, vil vi trekke frem:

• Digitaliseringsdirektoratet sin Vurdering av risiko | Digdir
• NSM sin Sky, tjenesteutsetting og sikkerhet - Nasjonal sikkerhetsmyndighet (nsm.no).
• ENISA (European Union Agency for Cybersecurity) har også utarbeidet veiledning som peker på sentrale informasjonssikkerhetsfordeler- og risikoer ved bruk av skytjenester. Selv om den er fra 2009 er mye av innholdet fremdels relevant i dag.

6.2        Identifisering av risiko

Etterretning er et sammensatt og komplisert tema. Det er ikke en enkelt risiko. For å forstå hvilken risiko du må vurdere for din løsning, må du vurdere relevante trusler, sårbarheter og konsekvenser. I forarbeidene til etterretningstjenesteloven kapittel 3 beskrives noen av de truslene en ser mot norske interesser. I foranalyse til vurdering av etterretningsrisiko er det grunnleggende å sikre seg en god oversikt på hvilken type personopplysninger som enten overføres til, eller er tilgjengelige fra, tredjeland i hele leverandørkjeden.

Vi legger til grunn at alle skytjenesteleverandører er underlagt etterretning. Andre lands etterretningslovgivning og annen sikkerhetslovgivning gir ikke et fullstendig bilde på hva utenlandske aktører kan forsøke. Fra et teoretisk ståsted kan vi oppstille fire steder for mulig innhenting til etterretningsformål ved bruk av skytjenester:

• Kundens datasentre
• Grunnleggende internett-infrastruktur, slik som fiberkabler
• Kommunikasjonshubber
• Leverandørens datasentre

På alle disse fire stedene kan en tenke seg innhenting som er både målrettet innhenting og masseinnhenting ("bulkinnsamling"), og denne innhentingen kan både gjelde metadata og innholdsdata. Innhentingen kan skje etter krav i medhold av lovgivning, og den kan også skje ved at ulike aktører har skaffet teknisk tilgang "hacking".

Det finnes altså flere mulige risikoer for innhenting til etterretningsformål. I kjølvannet av Schrems II fokuserer vi i denne veiledningen likevel på to former for risiko. Den første er bulkinnsamling in-transit. Den andre er lovpålagt utlevering av data om spesifikke personer, virksomheter eller annet av interesse.

6.2.1        Risiko for bulkinnsamling in-transit

Med bulkinnsamling "in-transit" mener vi her et lands systematiske innhenting av all grenseoverskridende internettrafikk. Dette kalles av og til tilrettelagt innhenting og/eller digital masseovervåkning. En slik innhenting av opplysninger forutsetter at det skjer en overføring til det landet som har et system for slik bulkinnsamling.

Ved innhenting av slike store mengder data er det ofte bruk av disse dataene for videre analyse og profilering som er formålet. Det betyr at det må være data som kan være av verdi når man samler store mengder og setter det sammen til et helhetlig datasett. Dette har vi sett eksempler på fra privat næringsliv, når man bruker data på denne måten for å for eksempel drive med målrettet reklame.

I etterretningsøyemed vil dette derimot i større grad brukes for å bedrive masseovervåkning. Dette kan for eksempel igjen brukes for å kunne avdekke kriminelle eller terrororganisasjoners arbeid, politiske svingninger i samfunnet, og sosiale uroligheter. Det er også land som bruker dette for å begrense rettigheter til visse grupper.

6.2.2        Risiko for utlevering av data

Med utlevering av data sikter vi til den type innhenting til etterretningsformål hvor et lands myndigheter med utgangspunkt i lovgivning krever at en aktør skal utlevere data til myndighetene. I denne sammenhengen er det aktuelle at en skytjenesteleverandør blir pålagt å utlevere data.

Ved utlevering av data om enkeltpersoner, virksomheter eller annet av interesse, snakker vi ofte om innhenting til etterretningsformål basert på en eller flere indikatorer. Ofte vil slik innhenting baserer seg på eksisterende informasjon, og tradisjonelt er tanken at innhentingen skal underbygge en mistanke. For denne typen risiko er det snakk om en mer begrenset mengde data som blir hentet ut og gjerne om spesifikke personer eller virksomheter, slik at man kan få de dataene som trengs for å underbygge en mistanke. Denne typen innhenting skiller derfor fra bulkinnsamlingen in-transit ved at den i større grad er målrettet.

6.3        Analysering av konsekvens

6.3.1        Utgangspunktet

Ved vurderingen av konsekvens forsøker vi å estimere alvorlighetsgraden på konsekvensen for den registrerte dersom opplysningene blir samlet inn av etterretning.

Personvernforordningen gjelder for all behandling av personopplysninger i henhold til pvf. artikkel 2 nr. 1, jf. artikkel 4 nr. 1 og nr. 2. Personvern reguleres også av Grunnlovens § 102 og EMK artikkel 8.  En slik regulering betyr at lovgiver mener at personopplysninger er viktige og skal ha et vern. Samtidig er ikke personvern en absolutt rettighet. Dette kommer tydelig til uttrykk i EMK artikkel 8, men også i personvernforordningens fortale avsnitt 4.

Lovreguleringen tilsier at konsekvensen av at etterretning samler inn opplysningene, alltid vil være av en viss størrelse. Hvor stor denne størrelsen er, må vurderes konkret. For noen opplysninger og i visse kontekster vil konsekvensen av at opplysninger blir samlet inn kunne ha store konsekvenser. For andre typer opplysninger og i andre kontekster, kan konsekvensen være mindre. Ved vurderingen av konsekvens må også annet relevant regelverk vurderes, slik som reglene for taushetsplikt og reglene for offentlighet.

6.3.2        Særlig om konsekvens ved bulkinnsamling in-transit

Det finnes flere dommer som viser at bulkinnsamling av informasjon utgjør et stort inngrep i retten til privatliv. Rettspraksis fra EMD, slik som Centrum for Rättvisa og Big Brother Watch viser eksempelvis at bulkinnsamling av informasjon kan krenke denne rettigheten når slik innsamling ikke er supplert med tilstrekkelige garantier. Vidtrekkende bulkinnsamling etter amerikansk etterretningslovgivning er også en viktig del av bakteppet for vurderingene etter Schrems II (avsnitt 179 flg.).

Bulkinnsamling er krevende i en vurdering av konsekvens ettersom den utgjør et inngrep for mange mennesker på én gang. Fra et samfunnsnivå utgjør bulkinnsamling av data et stort inngrep. Konsekvensen for den enkelte er derimot avhengig av flere faktorer. Dette belyses videre nedenfor.

6.3.2.1         Metadata eller innholdsdata

Det er en forskjell på om det er innholdsdata eller metadata som samles inn. Litt forenklet tilsvarer innholdsdata informasjonen inne i en konvolutt, eksempelvis brev og bilder. Metadata tilsvarer derimot informasjonen utenpå konvolutten, eksempelvis avsender, mottaker, tidspunkt.

Systemer for bulkinnsamling fokuserer hovedsakelig på metadataen i internettrafikken. Dette skyldes blant annet at det finnes svært gode metoder for å kryptere innholdsdata «in-transit», slik som sikkerhetsprotokollen TLS som ofte brukes for å kryptere webbsider (https). Slik kryptering blir stadig vanligere og er standard for offentlige aktører. Riktig bruk av slik kryptering medfører at innholdsdata in-transit ikke kan leses av andre enn mottakeren. Etterretningsmyndigheter som samler opp krypterte innholdsdata vil derfor ikke kunne nyttiggjøre seg av noen opplysninger i innholdsdata, med mindre de får tilgang til krypteringsnøkkelen. Dette gjelder også for de mest avanserte etterretningstjenestene.

Utgangspunktet er at opplysninger kan være personopplysninger selv om personen ennå ikke er identifisert. Det er tilstrekkelig at det er opplysninger om en «identifiserbar» person, jf. pvf. artikkel 4 nr. 1. Metadata om internettrafikk kan derfor inneholde personopplysninger, selv om disse ofte ikke i seg selv er sensitive. Metadata kan imidlertid gi uttrykk for bruksmønstre. Det kan være mulig å se hvilke nettsider og tjenester en person benytter, og det kan være mulig å se lokasjon.

En forutsetning for at disse konsekvensene utspiller seg er imidlertid at avsenderens IP-adresse er slik at det er mulig å knytte den til en person. Både statiske og dynamiske IP-adresser kan anses som personopplysninger, men hvorvidt det er mulig for tredjelands etterretning å knytte denne IP-adressen til en spesifikk person avhenger av flere faktorer:

• Om det er en dynamisk eller statisk IP-adresse – dynamiske IP-adresser er vanskeligere å knytte til en enkeltperson
• For en dynamisk IP-adresse, vil og kan tredjelands etterretning sammenholde de innsamlede IP-adressene med internettleverandører (ISPer) sine registre for tildeling av IP-adresser
• Vil og kan tredjelands etterretning sammenholde de innsamlede IP-adressene med en virksomhets registre for hvordan offentlig IP-adresser med portnummer samsvarer med private IP-adresser (NAT-registre).

6.3.2.2         Omfang og varighet

Tredjelands etterretning får ikke automatisk en oversikt over internettaktivitetene til spesifikke personer ved innsamling av metadata. Etterretningsmyndighetene kan være avhengige av å sammenholde informasjonen de har samlet inn med ytterligere opplysninger.

Jo mer metadata en etterretningsmyndighet har samlet inn om en person, jo større oversikt over en persons internettaktiviteter vil det være mulig å skaffe seg dersom de først identifiserer personen. Dette innebærer at varighet er et viktig element ved konsekvensen av bulkinnsamling for enkelte personer. Lengre innsamlingsperiode innebærer mer data. Etterretningslovgivning kan gi en indikasjon på varigheten i bulkinnsamlingsprogrammer.

6.3.2.3         Oppsummert om konsekvens ved bulkinnsamling in-transit

Vi legger til grunn at bulkinnsamling in-transit fokuserer på innhenting av metadata. Utgangspunktet er at metadata kan være personopplysninger selv om personen ennå ikke er identifisert. Det er tilstrekkelig at det er opplysninger om en «identifiserbar» person, jf. pvf. artikkel 4 nr. 1.

Konsekvensen av at metadata blir samlet inn beror på flere omstendigheter, slik som omfang og varighet. Fordi informasjonen kan gi uttrykk for bruksmønstre og lokasjon kan potensielt konsekvensen være stor. Hvorvidt denne konsekvensen realiseres beror imidlertid på om det er sannsynlig at innsamlede metadata vil knyttes til individer. Dette behandles sammen med øvrige spørsmål om sannsynlighet i punkt [referanse] .

6.4        Analysering av sannsynlighet

6.4.1        Utgangspunktet

Etter at konsekvensen er estimert, er det nødvendig å se på sannsynligheten. Spørsmålet er dermed hvor sannsynlig det er at tredjelands etterretning vil få tilgang til opplysningene.

Vi legger til grunn at alle skytjenesteleverandører er underlagt etterretning. Det vil derfor alltid være en viss sannsynlighet for at etterretningsmyndigheter kan få tilgang til opplysninger fra en skytjenesteleverandør. Det avgjørende er graden av sannsynlighet for handling. Dette henger sammen med flere faktorer slik som, verdi, motivasjon, kapasitet og hvor lett det er å få tak i opplysningene.

Dersom det er vanskelig å få tak i opplysningene via skytjenesten, kan sannsynligheten være lav, se boks med eksempel under punkt [referanse] . Dette kan blant annet være fordi det finnes andre måter å få tak i informasjonen på. Dette kan illustreres med følgende retoriske spørsmål:

Hvor sannsynlig er det at tredjelands etterretningsmyndigheter vil gå via et kommersielt selskap sine servere i EU/EØS for å hente ut opplysninger som er offentlig tilgjengelig eller kan utleveres etter innsynsbegjæring basert på offentliglova? Etter vårt syn er denne sannsynligheten liten.

Hva med EDPBs uttalelser om "objektiv informasjon"?

En vanlig innvending mot risikovurderinger, herunder vurderinger av sannsynlighet og konsekvens, er at EDPB på side 19 i deres retningslinjer uttaler at informasjonen skal være objektiv og at:

"Objective information: is information that is supported by empirical evidence based on knowledge
gained from the past, not assumptions about potential events and risks."

EDPBs retningslinjer side 19

Det er imidlertid viktig å understreke at EDPBs uttalelser ikke gjelder generelt for risikovurderinger etter artikkel 32, 28 nr. 1 eller artikkel 24, men for vurderinger etter personvernforordningens artikkel 46 i kjølvannet av Schrems II. For risikovurderinger etter artikkel 32, 28 nr. 1 og 24 må det kunne legges til grunn at det er anledning til å gjøre antakelser om potensielle hendelser og risikoer. Uten dette vil det tvert i mot ikke være mulig å gjøre tilstrekkelige risikovurderinger. En forutsetning er imidlertid at antakelsene i risikovurderingen skjer på en faglig forsvarlig måte.

For spørsmålet om risiko kan vektlegges i en vurdering etter artikkel 46, jf. Schrems II vises det til "Hva må jeg gjøre hvis jeg overfører personopplysninger?"

6.4.2        Etterretningslovgivningen og statistikk fra leverandører

Et lands etterretningslovgivning kan si noe om hvorvidt et lands myndigheter kan få tilgang til opplysninger fra en skytjenesteleverandør. Dersom lovgivningen åpner for dette tilsier det at det er en viss sannsynlighet for at opplysninger kan utleveres. Fordi mange benytter skytjenesteleverandører som er underlagt amerikansk etterretningslovgivning, omtaler vi amerikansk etterretningslovgivning mer utfyllende her:

Flere leverandører viser til statistikk som indikerer hvor ofte de har etterkommet krav om utlevering av personopplysninger. Slik statistikk kan ytterligere belyse hvor stor sannsynligheten er for at leverandører utleverer opplysninger fra offentlige virksomheter. EU-kommisjonen gir uttrykk for at det kan legges vekt på informasjon som kan si noe om hvor ofte tredjelands myndigheter har bedt om og fått tilgang til opplysninger hos mottaker ved vurderinger av mulige «safeguards» for å sikre at SCC gir et beskyttelsesnivå som er «essentially equivalent», se note 12 i section III i SCC. Datatilsynet omhandler dette i sin veiledning om Tilleggskrav (Schrems II), steg 3. Det danske datatilsynet omhandler også “Ad anvendelse av loven i praksis” i kapitel 3.5 i sin Vejledning om cloud.

Det kan være grunn til å spørre seg om slik statistikk gir et fullstendig bilde på antall utleveringsbegjæringer. Etterretning skjer i stor grad i hemmelighet, blant annet for å begrense muligheten for at etterretningsmålene tilpasser seg metodebruken. Vi har ikke muligheten til å estimere hvor mange utleveringsbegjæringer som skjer i hemmelighet. Det varierer mellom rettssystemene hvor stor åpenhet som er pålagt for, eller tillatt om, etterretningstjenesten virkemiddelbruk. Eksempelvis beskriver den norske etterretningstjenesteloven de sentrale virkemidlene for e-tjenesten, men det er ingen lovpålagte krav til rapportering om den konkrete bruken av virkemidlene; EOS-utvalgets kontrollvirksomhet skal hindre at virkemiddelbruken går for langt.

For tjenester i USA er lovverket ganske tydelig på at også hemmeligholdte utleveringer kan inngå i statistikken som leverandørene rapporterer. Her er metodebruk tillatt rapportert om på overordnet nivå, dvs. at hver aktør kan halvårlig rapportere om størrelselsorden for antall pålegg den har blitt utsatt for (i grupper på 250/500/1000), jf. 50 USC Chapter 36 Section 1874. Se også i denne sammenhengen brev fra «Deputy Attorney General» til flere store tech-selskaper sendt den 27. januar 2014.

6.4.3        Sannsynlighet for bulkinnsamling

Forutsatt at tilstrekkelig «in-transit»-kryptering er implementert, kan systemer for bulkinnsamling normalt bare nyttiggjøre seg av metadata om internettrafikken. Vi mener det er to typer spørsmål som kan stilles ved sannsynligheten for bulkinnsamling av metadata. Det første spørsmålet er hva som er sannsynligheten for at metadata vil bli samlet opp. Det andre spørsmålet er hva som er sannsynligheten for at disse dataene vil bli knyttet til enkeltindivider.

For spørsmålet om hva som er sannsynligheten for at metadata vil bli samlet opp, kan det legges til grunn at systemer for bulkinnsamling samler inn all metadata fra grenseoverskridende internettrafikk. Det betyr at dersom et land har et slikt system, er det stor sannsynlighet for at metadata om internettrafikk vil bli samlet inn ved overføring av personopplysninger til dette landet. Vi understreker at mange land driver med bulkinnsamling av data.

For spørsmålet om hva som er sannsynligheten for at disse dataene vil bli knyttet til enkeltindivider, er dette mer usikkert. Som det er påpekt [referanse], kan en tredjelands etterretningstjeneste være avhengig av ytterligere informasjon for å knytte informasjonen til enkeltindivider. Utgangspunktet er at metadata kan være personopplysninger selv om personen ennå ikke er identifisert. Det er tilstrekkelig at det er opplysninger om en «identifiserbar» person, jf. pvf. artikkel 4 nr. 1. Vi forutsetter at dersom mange etterretningsmyndigheter som ønsker å knytte metadataene til en person ved bruk av ytterligere informasjon, vil kunne få til dette. Spørsmålet i denne sammenhengen er imidlertid hvor sannsynlig det er at tredjelands etterretning kommer til å innhente denne ytterligere informasjonen og gjøre denne koblingen for de personene som metadataene representerer. Denne sannsynligheten vil måtte vurderes konkret. Vi kan bare anta at følgende parameter vil kunne ha betydning:

• Er det grunn til at det et lands etterretningsmyndigheter skulle ønske å kartlegge aktivitetene til den eller de aktuelle personene?
• Hvor krevende arbeid er det for landets etterretningsmyndigheter å hente ut supplerende informasjon for å koble metadataen til et individ?

6.5        Evaluering av risikoen

6.5.1        Utgangspunktet

Ved å sammenholde konsekvens og sannsynlighet vil virksomheten ha en viss oversikt over størrelsen på risikoen. Spørsmålet blir deretter om denne risikoen kan aksepteres. Dette må løses med utgangspunkt i relevante bestemmelser slik som artikkel 32, 28 nr. 1 og 24. I denne vurderingen av om risikoen kan aksepteres er det sentralt å se på forholdet til andre risikoer, tiltak som kan redusere risikoen og kostnader. Dette belyses i det følgende.

6.5.2        Forholdet til andre risikoer

Ofte vil det dessverre være slik at løsninger og tiltak som er sikre mot noen typer risiko, har sårbarheter og svakheter som medfører andre typer risiko. Vi vil sterkt fremheve dette poenget – en behandlingsansvarlig må ikke være så redd for risikoen for et bestemt tredjelands etterretning at den behandlingsansvarlige velger løsninger som innfører større og mer reelle risikoer for den registrertes rettigheter.

Et eksempel på dette gis i kommentarutgaven til personvernforordningen hvor det i forholdet mellom konfidensialitet, integritet og tilgjengelighet sies følgende:

«Disse faktorene må ofte veies mot hverandre. I for eksempel helsesektoren er det avgjørende at pasientopplysninger ikke kommer på avveie, men det er minst like viktig at opplysningene er tilgjengelige når de er nødvendige for å gi helsehjelp.»

Tredjelands etterretningstilgang til opplysningene vil være et konfidensialitetsbrudd. Dersom det benyttes en løsning som sikrer tilgjengelighet på bekostning av konfidensialitet, kan det, avhengig av de konkrete omstendighetene, være en riktig avveining.

6.5.3        Tiltak som reduserer risikoen

Risikoen kan reduseres gjennom ulike typer tiltak. Disse tiltakene kan være bygd opp av tekniske, juridiske eller organisatoriske mekanismer, og gjerne ved en kombinasjon av disse. Tiltak reduserer oftest sannsynlighet, men kan i noen tilfeller også påvirke konsekvensen.

Mange av de tiltakene som bidrar til å ta ned etterretningsrisiko er de samme som bidrar til å ta ned sikkerhetsrisiko. Her kan eksempelvis tiltak som kontroll på systemer og dataflyt, pseudonymisering, sletterutiner, tilgangsstyring og monitorering nevnes. For helhetlig veiledning rundt slike tiltak henvises til NSMs grunnprinsipper for IKT-sikkerhet. Dette punktet fokuserer imidlertid på et antall tiltak som ofte diskuteres og vurderes i forbindelse med etterretningsrisiko.

6.5.3.1         Kryptering

I store norske leksikon er kryptering definert som «å omforme data slik at de ikke kan leses eller endres av noen som urettmessig får tilgang til de. Dette gjøres vanligvis ved bruk av en kjent krypteringsalgoritme og en hemmelig krypteringsnøkkel.»

Her ser vi særlig kryptering for å sikre konfidensialitet i de forskjellige fasene av dataflyten. Fasene er transport ("in-transit"), lagring ("at-rest") og behandling ("in-use/processing"). Generelt for alle disse fasene, påpeker er det viktig å benytte anerkjente protokoller og standarder innenfor kryptografi for å sikre tilstrekkelig konfidensialitet. Vi viser i den forbindelse til NSMs kryptografiske anbefalinger.

Selv ved bruk av anerkjente protokoller og standarder, vil det aldri være varige garantier. Et gitt sett med sikkerhetsparametre vil svekkes i styrke over tid og må derfor alltid være gjenstand for risikovurdering. Man må også forstå hvordan nøklene håndteres for å forstå hvem krypteringen beskytter mot innsyn fra. Sett fra etterretningsperspektivet har kryptering i de forskjellige fasene varierende effekt på konfidensialiteten.

6.5.3.1.1        Kryptering ved transport

Risikoen for tilgang til personopplysninger fra innholdsdata fra tapping/avlytting av kommunikasjonslinjer vil kunne reduseres i særdeles stor grad ved tilstrekkelig transportlagskryptering.

For dataflyt som går mellom en skyleverandørs datasentre/regioner over såkalte "backbone"-nettverk, vil det normalt ligge flere lag med kryptering som beskytter mot tapping/avlytting. For de enkleste formene for transportlagssikkerhet vil det kanskje være mulig å se for seg at etterretningsmyndighetene kan kreve utlevering av nøkler fra skyleverandøren for å få mulighet til å lese data i klartekst. Anerkjente protokollversjoner slik som TLS 1.2 og TLS 1.3 har imidlertid egenskaper som i tilstrekkelige grad sikrer transportlaget. Dette omfatter blant annet gode chiper-suiter, herunder at nøklene som beskytter transporten bare er kortlevde/sesjonsbaserte nøkler (ephemeral keys) hvilket bidrar til (perfect) forward secrecy.

Tilstrekkelig transportkryptering må kunne anses som et så grunnleggende sikkerhetstiltak at for de fleste tjenester skal dette allerede være på plass i henhold til artikkel 25 og artikkel 32. Særlig gjelder dette dataflyt hvor man kommuniserer direkte med tjenester i tredjeland over åpent internett.

Ved tilstrekkelig transportlagskryptering er det, selv om ikke all lagring og behandling skjer i datasentre i EU/EØS, særdeles liten risiko for at man ved oppsamling av informasjon direkte fra nettverket (typisk «bulkinnsamling») vil kunne få tilgang til personopplysninger i innholdsdata. Krypterte personopplysninger er også personopplysninger, men med bruk av anerkjent kryptografi vil beskyttelsen mot masseinnsamling av personopplysninger i innholdsdata via avlytting/tapping være tilstrekkelig slik det er beskrevet i dette punktet. En slik beskyttelsen forutsetter imidlertid at leverandøren ikke legger til rette for tapping ved samarbeid med myndighetene.

6.5.3.1.2        Kryptering ved lagring

Det finnes flere konsepter for kryptering og nøkkelhåndtering når informasjonen ligger lagret ("at-rest").

På det grunnleggende nivået støtter mange sktyjenesteleverandører en innebygd kryptering hvor skyleverandøren administrerer nøklene (platform managed keys/provider managed keys). En slik kryptering ved lagring beskytter lite mot innsynsmulighet fra leverandøren og eventuelle utleveringskrav denne måtte få. Det kan imidlertid bidra til at kundedata ikke kommer på avveie eller utenfor kontroll ved tilgang til underliggende infrastruktur. Et eksempel på dette er ved avhending av lagringsmedier. Videre gjør også en slik type grunnleggende kryptering at data lett kan dekrypteres for nødvendig prosessering hos skyleverandøren.

Skytjenesteleverandørene støtter også ofte nøkkelhåndtering hvor kunden selv utsteder nøkler og tar dem med inn på skyplattformen (bring-your-own-key/BYOK). Selv om det legges opp til at kunden selv har stor kontroll over nøkler ved hjelp av tilgangsstyring og monitorering, er dette kontrollmekanismer som er i leverandørens regi.  For å kunne benytte de ønskede tjenestene i skytjenesten, må skytjenesteleverandøren gis tilstrekkelig tilgang til nøklene. Det vil derfor ikke alene sørge for en sikring mot den aktuelle skytjenesteleverandøren.

For å sikre seg mot sin egen leverandør, må krypteringen foregå utenfor skyplattformen og nøklene må holdes utenom leverandørens besittelse. Dette kan eksempelvis være en on-prem-løsning (hold-your-own-key/HYOK og double key encryption/DKE). Dette vil sørge for at etterretningsrisikoen er minimal. Det vil imidlertid betraktelig redusere funksjonaliteten i skytjenestene. Ved behandling av personopplysninger av sensitiv art, kan dette brukes for å sikre spesifikke dokumenter og informasjon. Utover dette vil slik kryptering resultere i en tjeneste med lite funksjonalitet og høy kompleksitet. Dette kan igjen medføre en stor operativ risiko.

6.5.3.1.3        Kryptering ved behandling

For kryptering ved bruk eller behandling av data ("in-use", "in-processing"), er det lite teknologi som er allment tilgjengelig i dag.

Visse typer behandling av data som ikke trenger å dekrypteres kan gjøres ved hjelp av "homomorfisk kryptering", men dette har imidlertid veldig begrensede bruksområder og tillater bare noen få behandlingsoperasjoner.

Det finnes også diverse teknologier for å skjerme nøkler og data i den perioden de er dekryptert og skal behandles ved hjelp av tilpasset maskinvare (Confidential Computing). Dette er også teknologi som begrenser bruksområdene en god del, men dette videreutvikles stadig.

Selv om det finnes verifiseringsmekanismer for denne typen infrastruktur, er det fremdeles teknologi og tiltak som i stor grad er i skyleverandørens regi.

6.5.3.1.4        Kryptering oppsummert

Transportkryptering (data in-transit) vil ha veldig god effekt i å beskytte fra masseinnsamling via tapping av internett/backbone-kabler, selv der hvor personopplysningene faktisk overføres til tredjeland/USA.

De fleste typer kryptering under lagring og under prosessering ved bruk av skytjenester er begrenset av at det er tiltak i regi av skyleverandøren. Det har dermed begrenset verdi for å skjerme kundedata fra leverandørens innsyn.

Kryptering av data under lagring hvor nøklene holdes unna skyleverandørens besittelse og sikrer at data aldri opptrer i klartekst i leverandørens infrastruktur, vil alene gi tilstrekkelige garantier mot innsyn. Det begrenser imidlertid i stor grad bruksområdene i skytjenestene. I den grad dette benyttes vil det trolig kun være aktuelt for de meste sensitive delene av informasjonen som skal behandles.

For mer informasjon om kryptering ved bruk av skytjenester henviser vi til NSMs ofte stilte spørsmål.

6.5.3.2         Geografisk plassering i EU/EØS

Dersom skytjenesteleverandøren kan levere sine tjenester kun fra datasentre/regioner innenfor EU/EØS, vil dette sørge for at kommunikasjon med tjenestene og overføringene av personopplysninger holdes unna kommunikasjonslinjer som er under tredjelandets myndigheters kontroll. Dette vil redusere eksponeringen for potensiell bulkinnsamling in-transit fra tredjelands etterretning. Dette reguleres typisk ved at leverandøren tilbyr avtaler hvor lagring av data er satt til en spesifikk region, som EU/EØS.

I forbindelse med feilsøking, drift og vedlikehold på tjenester og infrastruktur vil skytjenesteleverandøren typisk kunne flytte fragmenter av kundedata ut av den geografiske plasseringen som kunden har konfigurert og bestemt, hvis dette må utføres av personell som sitter utenfor EU/EØS. Derfor er det også viktig å være bevisst på fra hvor slikt arbeid utføres av leverandøren eller deres underleverandører. Dette gjelder uansett om det er en europeisk leverandør eller leverandør fra et tredjeland og reguleres også ofte via avtaler.

6.5.3.3         Øvrige tiltak og garantier

Hvis leverandøren gir garantier om å benytte alle tilgjengelige rettsmidler for å beskytte kundedata mot utlevering, kan dette ha en viss effekt i å redusere etterretningsrisikoen. En amerikansk leverandør vil kunne utfordre utleveringskrav fra myndighetene via såkalte "national security letters" og eventuelle taushetskrav ("gag orders") rundt disse. "National Security Letters" er ikke en rettsordre, så det at leverandøren garanterer en rettslig prøving av utleveringskravet vil sørge for en prøving av at de amerikanske myndighetene ikke går utover hjemlene og at kravet bare vil omhandle informasjon som faktisk angår nasjonens sikkerhet.

6.5.3.4         Eksempel på hvordan tiltak kan påvirke etterretningsrisiko

Hvordan etterretningsrisiko påvirkes av forskjellige tiltak vil være svært avhengig hvilken type informasjon som skal behandles og hvordan skytjenesten er satt opp. Under er imidlertid et eksempel på et skjematisk bilde over hvordan forskjellige tiltak kan påvirke etterretningsrisiko ved bruk av en skytjeneste fra et USA-eid selskap. Bildet illustrerer også at ulike tiltak i forskjellig grad påvirker risiko for masseovervåking og risiko for utlevering (etter et FISA 702-pålegg). Rekkefølge på tiltakene gir en indikasjon på hvilke tiltak som ofte vurderes først.

6.5.4        Kostnader

Det fremgår av personvernforordningens artikkel 32 at økonomiske hensyn kan vektlegges. Hva som er tilstrekkelige sikkerhetstiltak, må vurderes opp mot kostnaden. Dette innebærer at kostnadene må stå i forhold til risikoen. Hvis risikoen er svært høy, tilsier det at risikoreduserende tiltak bør iverksettes nærmest uavhengig av kostnaden. Hvis risikoen er lav, behøver en ikke iverksette svært fordyrende tiltak.

---