Kort om arbeidet og resultatene

Veiledningen er kompleks og omfattende. Målgruppen er personer i offentlige virksomheter som har kunnskap om regelverket for personvern og kjenner til problemstillinger knyttet til bruk av skytjenester, særlig i kjølvannet av Schrems II-dommen.

Personvern og tredjelands etterretning

Ved bruk av digitale tjenester er det alltid en risiko for informasjonssikkerhetsbrudd. Hvor stor denne risikoen er avhenger av flere faktorer, slik som sårbarheter og trusselbilde. Når personopplysninger behandles i tjenesten, vil et brudd på informasjonssikkerheten kunne medføre brudd på personopplysningssikkerheten.

Risikoen for innhenting til etterretningsformål er bare en av mange risikoer ved bruk av digitale tjenester. Denne risikoen har imidlertid fått et stort fokus etter Schrems II. I veiledningens steg 1 får du hjelp med noen av personvernforordningens bestemmelser for vurdering av risiko. Videre får du hjelp med å vurdere risikoen for etterretning i en personvernsammenheng.

Schrems II gjaldt forholdet mellom personvernofordningens regler for overføring av personopplysninger og amerikansk etterretningslovgivning. Vurderingen som må foretas etter Schrems II er komplekse og omfattende, men gjelder kun dersom du overfører personopplysninger. I steg 2 får du hjelp til hvordan disse vurderingene skal foretas.

For avgjøre om du overfører personopplysninger må du vite hva en overføring er og om det du eller er din databehandler/underdatabehandler som overfører. Kun der hvor du selv overfører personopplysninger, er det du som skal foreta vurderingene som beskrives i veilederens steg 2. Dersom det er din databehandler eller underdatabehandler som overfører, har du likevel forpliktelser ved valg og oppfølging av databehandleren, samt plikt til å ivareta informasjonssikkerheten. Disse forpliktelsene beskrives i steg 1.

Er dette en fasit for offentlig sektor?

Nei, dette er ikke en fasit. Det vi skriver her er våre vurderinger og anbefalinger til andre virksomheter som har de samme problemstillingene.

Leser du noe du mener er feil eller har du innspill? Da vil vi gjerne høre fra deg, slik at vi kan oppdatere tekstene og sørge for at vi hjelper hverandre med de vanskelige spørsmålene. Send oss tilbakemelding til KA@dfo.no

Hva med skytjenesteavtalene?

Ved siden av de viktige vurderingen knyttet til personvernrisiko og etterretning har vi selve skytjenesteavtalene. Disse regulerer hvordan personopplysningene skal behandles i skytjenesten. Når du tar i bruk en stor global skytjeneste er det ofte leverandørens standardvilkår som legges til grunn, og din virksomhet kan ha liten påvirkningsmulighet. I denne delen av veiledningen ser vi særlig på instruksjonsmyndigheten og forbehold i standardvilkårene om utlevering til tredjelands myndigheter.

Forbehold om utlevering i skytjenesteavtaler

Er forbeholdet en instruks om utlevering fra meg? [Teksten som denne knappen lenker til er uendret siden første publisering. Lenken er ikke aktivert i testutgaven]

Les mer her

Instruksjonsmyndighet

Kan den begrenses, og i så fall hvordan? [Teksten som denne knappen lenker til er uendret siden første publisering. Lenken er ikke aktivert i testutgaven]

Les mer her

Annen nyttig veiledning

Om denne veilederen

Denne veilederen ble opprinnelig publisert den 15. september 2022. Veilederen som da ble publisert var skrevet av fagpersoner fra flere offentlige virksomheter for å løse et oppdrag fra SKATE. Arbeidet var ledet av Digdir og DFØ.

Den nåværende versjonen av veilederen bygger tungt på den opprinnelige veiledere, men er tilpasset og revidert i henhold til innspill som har kommet i løpet av høsten 2022. Revisjonene er gjort av Digdir og Markedsplassen for Skytjenester. Veiledningen vil forvaltes videre av Markedsplassen for skytjenester i DFØ med støtte fra Digitaliseringsdirektoratet.