Minstemål for å bestå EUs personvernkrav


I dag vet nesten alle at EUs nye personvernregler (GDPR) trer i kraft om litt mer enn et år. Rådgivere og eksperter av ymse slag roper «ulv». Det kan fremstå som nesten umulig å etterfølge kravene, ikke minst fordi en fornuftig prioritering kan virke som rene tryllekunsten. Men, det er ikke umulig.

Mange av mine klienter jobber hardt for å få sine bedrifter nogenlunde compliant - stammeordet for å overholde relevante regler.

Mange av mine klienter jobber hardt for å få sine bedrifter nogenlunde compliant.  Etterspørselen etter vår kompetanse har endret seg. Vi har advokater utplassert for å hjelpe til fordi kapasiteten internt ikke finnes. Noen steder finnes heller ikke kompetansen fullt ut.

Det er stadige diskusjoner om ansvarsbegrensninger i avtaler mellom databehandler og behandlingsansvarlig for erstatningsansvar - for ikke å snakke om diskusjoner om slike begrensninger egentlig står seg rettslig i GDPR-verden. Og når noen skal bruke skyløsninger står compliance høyt på agendaen fordi man vet at feil her kan trigge de største økonomiske straffene. Verden var ikke slik for et par år siden. Alle var ikke opptatt av personvern da. Kanskje er ikke alle det nå heller, men det virker slik innimellom.

Risikerer store gebyrer
Driveren bak dette er, som kjent, dessverre muligheten for at Datatilsynene kan ilegge veldig store gebyrer etter det nye regelverket. Det hadde vært hyggelig å kunne skrive at driveren er at alle er blitt veldig mye mer opptatt av personvern, men det ville nok ikke vært sant.

En like stor årsak er at behandlingsansvarlig og databehandler er solidarisk ansvarlig for eventuelle erstatningssøksmål fra de registrerte - igjen er penger og fare for tap i fokus. Det blir enda verre av at grupper av registrerte kan gå sammen i gruppesøksmål mot den de mener er mest søkegod av behandlingsansvarlig og databehandler. Ikke lett å være liten databehandler med stor kunde, da. Solidaransvar er ingen spøk. Har man store kunder og mange registrerte er det all grunn til å se nøye på avtalene sine og på om man har definert sine egne tjenester på en god nok måte.

Viktig å forberede seg
Det nesten alle bedrifter må gjøre er å lage en plan. De største bedriftene har begynt med sin plan for lenge siden, men det store flertallet av bedrifter har til gode å identifisere hvilke handlinger de må gjennom for å minimalisere risiko for tap og ikke minst for å øke valgbarheten som foretrukken avtalepart også etter mai 2018 når reglene trer i kraft.

Hva skal så en slik plan inneholde? Det avhenger jo selvfølgelig av hvilken type virksomhet man bedriver. En bedrift med mange ansatte og bare bedrifter som kunder har et ganske annerledes behov enn en tjenesteleverandør som f eks selger driftstjenester til andre, kanskje større selskaper med private kunder eller mange ansatte.

Det aller viktigste er å finne ut om - eller hvor - bedriften behandler store mengder informasjon om privatpersoner og legge innsatsen der.   

Når man vet på hvilke områder man har personopplysninger, må man aller først kartlegge hvilke opplysninger man har, hvem som har tilgang, hvor lenge de lagres, om de ligger i skyløsninger, om opplysningene kan aksesseres fra personell som er lokalisert utenfor EU, hva som er hjemmelen for bruken, etc. Basert på GDPR og andre utspill fra EU, og på hva vi ser skjer i markedet, har vi laget lister over hva som må kartlegges. Det interessante fra et brukerperspektiv er at hva som etterspørres i både databehandleravtaler og intern kontrolldokumentasjon utvides uke for uke. Det er en skokk tekniske og juridiske rådgivere i inn- og utland som arbeider med feltet for tiden og oppfinnsomheten i hva man skal etterspørre hos leverandører og hva man skal sikre seg mot synes ikke å avta. Så da må man vite hvilke spørsmål fra kunder som faktisk er relevante og hva man kan si ligger utenfor scope til GDPR-compliance.

Hva er personopplysninger?
Et beslektet og viktig tema er å ha et realistisk forhold til hva som er personopplysninger. Mange tar feil og tror at krypterte opplysninger, pseudonymiserte opplysninger eller aggregerte opplysninger ikke er personopplysninger fordi det skal mye til for å finne individet bak, ofte er det jo nesten umulig. Det er som regel en feil konklusjon. GDPR legger opp til at selv om det skal mye til for å «bakveisidentifisere» et individ, så er det en personopplysning. Også veldig mange typer metadata er personopplysninger. Tenk beacons, loggdata, IP-adresser, pc-innstillinger og webbrowsere fra tredjeparter, og så videre.. Det kan bli dyrt å ta feil der.

Et annet viktig punkt handler om internkontrolldokumentasjon. Det er interessant at nå ber kjøpere av ulike tjenester om detaljert informasjon om tjenesteleverandørens internkontrolldokumentasjon før de er villige til å undertegne en avtale. For eksempel er det mange tjenesteleverandør som nå må dokumentere at de har en rutine for sletting av personopplysninger etter endt kontraktsforhold - helst med bekreftet sletting. Det er ikke alle som klarer å dokumentere sletting slik. Et annet spørsmål som stadig dukker opp nå er segmentering av data. Kan man samle ulike kunders data i samme database og hva slags logisk segmentering er godt nok? Og har man mulighet til å oversende kopi av revisjonsrapporter på hhv personvern og informasjonssikkerhet? Svaret på det siste kan fort avhenge av hvilke underleverandører en tjeneste baserer seg på - det er ikke åpenbart at et stort utenlandsk softwareselskap oversender slikt.

Et annet viktig punkt er den helt nye bestemmelsen om dataportabilitet. Dette handler ikke om noen ting som vi har i dag. Fra mai neste år, skal de aller fleste individer som er registrert et sted, kunne kreve opplysningene utlevert til seg i et maskinlesbart format og automatisk overført til en annen leverandør. Den juridiske utfordringen rundt dette er fort å finne ut om det virkelig gjelder ens klient (eller om noen av unntakene kan bruke), mens det kostnadsdrivende elementet er å få programmert de nødvendige endringene i systemet.

Det er mange ting å ta tak i. Trøsten er at dersom man har oversikt over hvilke opplysninger man forvalter og behandler, har oversikt over hvor de er og hvem som har tilgang, en riktig bruk av skytjenester, et fornuftig internkontrollsystem samt en realistisk oppfatning av øvrige særkrav i GDPR så ligger man veldig bra an. Det er ikke umulig og kan vise seg å bli et riktig bra konkurransefortrinn fremover i forhold til både private og offentlige kunder.

Gruppesøksmål i Norge og amerikanske tilstander?

Hand banging gavel on sounding block

Licensed from: Wavebreakmedia / yayimages.com

Fra og med mai neste år, når EUs nye personvernforordning (GDPR) trer i kraft, kan grupper av enkeltpersoner saksøke virksomheter som har håndtert deres personopplysninger i strid med loven. Dermed øker sannsynligheten for at noen orker å ta fighten dramatisk.

Det som kan oppleves som en uforsvarlig sakskostnad for en enkeltsak for en enkeltperson, lar seg lett forsvare dersom man samlet kan behandle 100, 500 eller 3000 enkeltpersoner som føler seg krenket. Samtidig innføres et solidaransvar for denne type søksmål som kan trekke inn underleverandører.

I USA har dette eksistert lenge, også for brudd på personvern. Helt nylig inngikk en stor, men ganske alminnelig klesbutikk, Neiman Marcus, forlik på 1,6 millioner dollar som følge av et gruppesøksmål fra kunder da noen av deres kredittkortopplysninger var kommet på avveie. Saken har vært mye omtalt i personvernfora utenlands, men ikke i Norge. Hva kan skje i Norge fremover? Et blikk på situasjonen i Danmark er illustrerende. Der gir brudd som omfatter enkle personopplysninger ofte en relativt standardiserte erstatninger på mellom 5.000 og 25.000 kroner avhengig av typen opplysninger og om det er sensitive personopplysninger involvert. EU planlegger standardiserte erstatningsbeløp for brudd på GDPR. Nivået kjenner vi ikke enda, men det er fullt mulig at det vil tilsvare dagens praksis i Danmark. Og, man vil altså slippe å gå til Datatilsynet for å fremme et slikt krav. Det holder å gå til en advokat. Da skal det ikke så mange individer til før man fort kommer opp i store beløp.

Denne delen av GDPR er høyst relevant for alle virksomheter som har et stort antall personer registrert i sine servere. Vi hører jevnlig om brudd på personvernreglene som involverer store antall pasienter, kunder eller ansatte. Det er jo ikke bare kunder som kan fremme denne type søksmål; det samme vil ansatte eller pasienter kunne gjøre.

Enda mer dramatisk blir det av at EU har innført et solidaransvar for denne type erstatningssøksmål mellom den som er behandlingsansvarlig og de som er databehandlere.  Hvis det f.eks. har skjedd en lekkasje hos en driftsleverandør, kan den som rammes velge om de vil saksøke driftsleverandøren eller om de vil saksøke den som er behandlingsansvarlig.

Så langt i GDPR-diskusjonen har det vært mye snakk om bøter. Det er selvfølgelig relevant, men erstatningsaspektet er minst like relevant. Erstatningssøksmål av denne type krever ikke at Datatilsynet har kapasitet til å utrede eventuelle brudd; det krever bare at bruddene blir kjent og at noen ber en advokat ta søksmålet.

I mellomtiden har jeg flere underleverandører blant mine klienter som nå er temmelig nøyaktige og spesifikke med hvilket ansvar de påtar seg i sine databehandleravtaler. Det er det god grunn til. Og ute i det store Europa snakker gruppesøksmålsadvokater med personvernadvokater. Slik kan det bli her på berget også.

Smarte bygg og person-opplysninger

business building
Licensed from: peus / yayimages.com


Jeg har nylig arbeidet med flere saker som omhandler kontorlokaler og personopplysninger. Mange vil lure på hva personopplysninger og personvern har å gjøre med fast eiendom. Fast eiendom dreier seg jo om kvadratmetere, vedlikehold og rengjøring. Er personopplysninger virkelig relevant for utleie av kontorlokaler? Svaret er ja.

Utleier har blitt innholdsleverandør

I tillegg til kvadratmetere, rengjøring og vedlikehold, tilbyr utleier i økende grad resepsjonstjenester, adgangskontroll, besøkendekontroll, vakttjenester etc. Utleier blir ofte en «innholdsleverandør» . Dette tar man selvfølgelig betalt for som en tjeneste, gjerne innbakt i husleien. For å videreføre eksempelet - stadig flere snakker om smarte bygg. Det kommer nå forretningsbygg som allokerer parkeringsplasser til ansatte basert på hvor mange møter de har i og utenfor kontorlokalene. Noen snakker om datasystemer som allokerer kontorplass til ansatte basert på om de har inne- eller utemøter. Mulighetene for å effektivisere og styre en arbeidsplass blir stadig flere. Alle disse tjenestene genererer personopplysninger som lagres i systemene.

Fra leietakers ståsted, må man forholde seg til at man har både ansatte og besøkende. Begge kategorier er opptatt av sitt personvern. Opplysninger om ansatte og besøkende registreres svært ofte i systemene som utleier tilbyr. Avhengig av hvor avanserte systemene er, vil et større eller mindre antall opplysninger registreres. I sum registreres i alle fall stadig flere opplysninger. Når vi tar i bruk «big data» og avansert bruksanalyse via analytics-verktøy, forsterkes behovet for kontroll.

Leietaker må stille krav

Som en naturlig konsekvens av dette må leietakere stille, og stiller i økende grad, krav til hvordan opplysningene om egne ansatte og besøkende skal behandles. Og de vil, og må, ha en oversikt over hva som skjer. Det er ikke så rart, for dette er leietaker pålagt å ha oversikt over. Både etter eksisterende lovgivning og etter de nye EU-personvernreglene.

Historisk har nok denne type IT-systemer hatt mindre fokus enn f.eks. kundelojalitetsprogrammer og helsesystemer hvor man forstår at det lagres sensitive data. Nå er det en gryende forståelse for at hvem som besøker en bestemt type bedrift, eller hvilke ansatte som kommer og går på ukurante tider, også kan være personopplysninger som har stor verdi med tilhørende risiko for misbruk.

Leietaker stiller oftere krav til at utleier gir en oversikt over hvilke systemer som brukes og hvilke underleverandører som benyttes i IKT-systemene. Det er altså viktig å ha oversikt over verdikjeden av opplysninger som man forvalter.

Det er også vanlig, pga personvernlovgivning, å stille krav til at opplysningene ikke tas ut av EU/EØS. Det siste kan være en utfordring da flere gode leverandører bruker underliggende tjenester som ligger i land nettopp utenfor EU/EØS. Som utleier må du kunne gi denne type informasjon - i tillegg til mye annen informasjon. Blant annet må man kunne vise at man har et internkontrollsystem som omfatter de aktuelle systemene.

Nytt EU-regelverk om personvernopplysninger

Fremover kommer vi til å se et langt større antall såkalte databehandleravtaler som beskriver disse ansvarsforholdene og hvordan utleierne kan opptre og behandle leietakernes informasjon. Ett element i disse avtalene vil ganske sikkert bli ansvarsfordeling og erstatningsbegrensning samt plikt til å underrette leietakere raskt dersom det skulle skje avvik. Det nye regelverket fra EU om personopplysninger tvinger dette frem.

Et beslektet område er eiendomsforvaltere som ofte har detaljert informasjon om beboere, deres særlige behov og informasjon om tvister mellom beboere.  Ved siden av at dette er strengt lovregulert, er det klart det er viktig hvordan slike data behandles - og at dette er i fokus både fra sameier og de som er beboere. Forvaltere må ha god oversikt og bli tydelige på hvor lenge hvilke personopplysninger lagres, hvem som har tilgang, hvem opplysninger deles med og hvilke underleverandører som benyttes.

Hvordan kan man anbefale et digitalt grenseforsvar i Norge?

Lysne II-rapporten anbefaler et digitalt grenseforsvar (DGF) i Norge. Anbefalingen om å innføre et DGF har utløst en offentlig debatt, og det var også noe av hovedpoenget med rapporten. Dersom regjeringen går videre med arbeidet og det kommer et lovforslag, vil det sikkert utløse en ny runde med debatt. Her går jeg inn på fakta som har vært avgjørende for meg da jeg satt i utvalget.

Generic stock photo shows a woman's hands using a laptop keyboard. PRESS ASSOCIATION Photo. Picture date: Tuesday August 6, 2013. Photo credit should read: Dominic Lipinski/PA Wire

Et digitalt Norge må ha et digitalt forsvar
Det er mange grunner til å si nei til et DGF. Etter å ha gjennomgått den teknologiske virkeligheten i Norge i dag, var det likevel til slutt ikke mulig å overse en viktig grunn til å si ja: Digitaliseringen av Norge. Digitaliseringen av Norge kommer ikke til å stoppe, tvert imot arbeides det iherdig både i privat og offentlig sektor for at den skal fortsette og forsterkes slik at vi blir mer effektive og konkurransedyktige.

Vi må ha et cyberforsvar mot ondsinnede angrep og hendelser over nettet. Slike hendelser har potensielt like stor ødeleggende og drepende effekt som tradisjonelle terrorangrep.  Det dreier seg om angrep på grunnleggende tjenester i landet som kan medføre store tap av liv, helse og også ikke minst demokrati dersom de lykkes. Hva gjelder angrep over internett er det vanskelig å tenke seg alternativer til et forsvar på nett. Spissformulert kan man si at vårt digitaliserte demokrati er avhengig av en viss overvåkning. Særlig nå.

Teknologiske forviklinger
Dersom man aksepterer at cybertrusler gjør en viss overvåkning nødvendig, må man ta stilling til hva som er teknisk mulig. Her er det noen interessante misforståelser i debatten. Flere har sagt at man ikke skal ha «bulk-lagring», men at man kanskje kan akseptere «rettede» søk eller uthenting i datastrømmen. Rett og slett fiske ut det man er interessert i og la alt annet fare forbi uten å ha tilgang til eller se på det. At ingen skal kunne se på alt. Det hadde vært fint. Problemet er bare at det ikke er teknisk mulig.

En slik datastrøm som det er tale om i disse tilfellene er komplisert, og består blant annet av en rekke tekniske metadata som ligger rundt innholdet som formidles. Disse metadataene endres ofte av tjenesteleverandørene av tekniske årsaker. For å kunne følge kommunikasjonen fra en viss app, signatur eller adresse, må man bruke metadata. For å kunne finne riktige metadata må man følge med på hvordan leverandøren «tuner» metadataene fortløpende. Det betyr at noen må kunne se de tekniske innstillingene i hele datastrømmen for å kunne justere silingskriteriene etter nye innstillinger hos leverandørene. Og da er det også mulig å se innhold dersom man skulle ønske det. Det er ikke mulig å ha en fullstendig rettet uthenting. Noen må kunne se på alt, om enn i så kort periode som overhodet mulig.

E-tjenesten skal ha honnør for å muliggjøre en veldig åpen fremstilling av hvordan slike søk skjer. Kanskje kan denne innsikten, åpne for og medvirke til at man får en litt annerledes og mer realistisk diskusjon også i andre land.  Det er lett å være enig i at en «rettet siling» hadde vært det aller beste, men når det ikke er mulig må man sørge for at innsynet er så begrenset som mulig. Det er ikke plass til å gå inn på detaljene om dette i et enkelt innlegg, men rapporten anbefaler at bulk-tilgangen er svært snever med høy grad av tidsbegrensning og ekstern kontroll.

Demokrati og chilling effect
Samtidig må man ta inn over seg at overvåkning kan medføre det mange kaller en chilling effect, altså at personer justerer sin adferd på nettet med en mulig konsekvens at demokratiet ikke får en like fri diskusjon. Det er negativt. Foreløpig er det vanskelig å anslå omfanget av en chilling effect, fordi det ikke er mange undersøkelser på området. Flere av undersøkelsene som finnes viser ikke de helt store utslagene. Men det forskes på dette og det er bra. Uansett, i lys av nyhetene som nå kommer om påvirkning av presidentvalget i USA, må man også innse at fravær av digital kontroll også kan ha en negativ konsekvens for demokratiet. Demokrati og fri meningsutveksling, frie valg, er det viktigste vi har. 

Et argument som stadig kommer opp i DGF-debattene er at faren for terror øker. Noe statistikk viser at det faktisk dør færre i Vest-Europa på grunn av terror nå enn i slutten på forrige århundre. Dette må isolert sett være et sterkt argument mot DGF og all annen overvåkning. Det er mulig å stanse diskusjonen om terror der og si at intet DGF kan vurderes før dagens situasjon er langt verre enn hva den var før. Men, skal man se en sak fra flere sider, så er det grunn til bekymre seg over at tallene på drepte i Vest-Europa nå stiger ganske mye og at arten av terror som nå sees er annerledes enn i forrige århundre. Jeg tror det blir feil å se helt bort fra at også ikke cyber-basert terror kan motvirkes og oppklares ved et DGF såfremt det settes stramme grenser for hvordan, slik vi har foreslått.

Noen debattanter har antydet at utvalget mener at DGF bør tillates fordi lignende systemer finnes i land rundt oss. Det er naturligvis ikke slik at fordi andre land har overvåkningsregimer, må Norge ha det. Men andre lands overvåkningsregimer rammer intern-norsk kommunikasjon. Det er ikke alle som er klar over dette. Om man sender en mail fra en adresse i Norge til en adresse i Norge, så vil den svært ofte fanges opp av utenlandsk etterretning likevel fordi den rutes gjennom land som har slik overvåkning. Det betyr at norske borgeres kommunikasjon ikke er særlig mye mindre overvåket om Norge ikke har en egen kontroll. For meg er dette ikke noe argument i noen retning - bortsett fra at det er relativt naivt å tro at vi ikke blir overvåket om Norge unnlater å innføre DGF. En annen ting er at det er relevant i forhold til studier av chilling effect - fordi vår intern-norske kommunikasjon er allerede overvåket av andre land. Chilling effect er vel ikke bare interessant i forhold til hva som skjer hos norske myndigheter.

Hva er alternativene?
Da vi skulle utarbeide vår anbefaling i utvalget, så vi også på hva alternativene til et DGF er. Noen av de som nå debatterer har sagt at det ikke er deres ansvar å ta stilling til alternativer. Det er lite ansvarlig. Dersom vi ikke har et grenseforsvar, må norske bedrifter og offentlige virksomheter forsvare seg på en annen måte mot cyberangrep. Kanskje ved hjelp av flere private aktører eller ved å legge tilsvarende funksjoner til andre offentlige myndigheter. Det er langt fra sikkert at en slik løsning gir bedre kontroll og mindre overvåkning, mindre chilling effect eller mindre fare for formålsutglidning.

Nye dommer
Til slutt noen ord om de nye dommene om menneskerettigheter og overvåkning. Det er flere av dem, og det vil komme enda flere. I debatten sammenligner noen DGF med Datalagringsdirektivet (DLD). Det blir feil. Det DGF som er foreslått er vesensforskjellig fra DLD. Det er også vesensforskjellig fra de overvåkningsregimer som praktiseres i andre land i Europa og som vil bli prøvet for retten fremover.

Åpenheten fra E-tjenesten rundt hvordan DGF kan settes opp er imponerende. Sikkerhetstiltakene rundt det DGF vi har foreslått er mye sterkere enn hva vi er kjent med finnes noe annet sted. Hva DGF skal kunne brukes til er svært snevert og snevrere enn noe sammenlignbart land. Lovteksten et DGF skal bygge på er ikke skrevet, og kan skrives så konkret at selv om faren for formålsutglidning ikke kan fjernes, så kan den gjøres liten ved hjelp av god lovteknikk. Uansett er hva som vil bli akseptert av en menneskerettighetsdomstol et sammensatt og komplisert spørsmål. Jeg vil mene at det ikke er opplagt at dommene så langt forhindrer enhver form for et DGF og jeg blir jo litt overrasket når noen debattanter er skråsikre på at det ikke kan skje. Av og til kan man lure på om også dommerne har forstått det teknologiske faktum. Har domstolen i Tele2-avgjørelsen forstått om det teknologisk sett er mulig å programmere rettede søk uten å la programmererne studere hvordan de dataene det skal søkes i ser ut?

Facebook-nyhet: Ulovlig for norske bedrifter?



Det finnes mange nyttige amerikanske dataprogrammer og tjenester som vi ønsker å bruke i Norge. Aller helst på lovlig måte. Workplace (facebook@work), Amazon, Salesforce, Dropbox og HotJar er bare noen av disse. Problemet er at lovgivningen på personvern i USA og Europa - også Norge - er forskjellige på viktige prinsipielle områder.

Flere av disse store selskapene hemmeligholder også hvilke avtaleendringer som er nødvendige for at en norsk bedrift skal kunne bruke de lovlig. For norske bedrifter og privatpersoner er det problematisk. 

Nye og strengere personvernregler
Mange dataprogrammer bruker personopplysninger. Men et dataprogram vil som oftest også lage nye personopplysninger. Slike logger er «nye» personopplysninger som lages av systemet hver gang det er i bruk, og kan si noe om brukeratferd: hvilke ansatte som bruker systemet, på hvilken måte, hvor effektivt etc. Men dette innlegget skal likevel handle om noe annet enn bruk, og misbruk, av loggdata.

Hvis man legger til grunn at et datasystem inneholder personopplysninger, så vet de fleste at man må ta hensyn til personopplysningsloven. Mange har også fått med seg at EU har vedtatt nye og strengere personvernregler som trer i kraft (også i Norge) i mai 2018. Når man skal bruke et amerikansk datasystem, så er det derfor kjekt at reglene om personvern er ivaretatt på riktig måte. Særlig fordi brudd på nettopp disse personvernreglene er blant de bruddene med høyest økonomiske sanksjoner i det nye regelverket. 

Det kan fort bli dyrt. Og det er her det blir utfordringer med en del amerikanske leverandører. Fordi det i amerikansk tradisjon ikke er vanlig å anse loggdata (eller metadata) som personopplysninger.

Ta Facebook som eksempel. De har introdusert sitt facebook@work, eller Workplace, som de kaller det nå. Det er et kult system som fungerer fint som et moderne intranett. Mange bedrifter ønsker nå å ta det i bruk, ettersom det er lett å lære ? og ligner på det Facebook vi lenge har brukt som privatpersoner.

Norge er ett av fem testland for Facebook, i det som antakelig er tenkt å bli et verdensomspennende produkt. Andre testland i Europa er England og Frankrike. Jeg vet ikke, men jeg vil tro at det kan være av stor verdi for Facebook om de snart kan si til andre europeiske land, at systemet er godkjent i bruk i Norge. 

Facebook med unødvendig hemmelighold
De første bedriftene i Norge tok i bruk Workplace tidligere i år, og de brukte mye tid og ressurser på å forhandle frem særlige vilkår for hvordan Facebook skal kunne bruke opplysningene brukerne genererer. Særforhandlede avtaler om personvern, altså. Dette gjelder både opplysninger som de ansatte legger inn i systemet når de bruker det, men også de opplysningene systemet selv genererer når det er i bruk. Altså loggopplysninger. 

Og dette er det punktet som er virkelig spesielt når man arbeider med noen av de store amerikanske leverandørene. Vi advokater er vant til at avtaler inneholder hemmelige klausuler - det er normalt i enhver forretningsmessig sammenheng. 

Det som er uvanlig her, er at det vi eller klientene ikke kan avsløre, er hvilke endringer som må til for at Workplace skal være lovlig å bruke i Norge. Eller for å si det på moderne norsk - hvilke justeringer må til for at den norske virksomheten er compliant med norske personvernregler?

Det å hemmeligholde kommersielle, økonomiske forhold er normalt ? men å hemmeligholde hvilke endringer som skal til for at avtalen blir lovlig? Det er faktisk litt sært. Datatilsynet gjennomgikk de første særavtalene som ble inngått med Facebook og konkluderte i høst med at personvernhelheten i avtalene var god nok til å gi godkjentstempel. Men hva som ble endret, nei det er en hemmelighet. 

Nå gjelder dette ikke bare Facebook. De representerer bare én av mange amerikanske aktører som har veldig strenge taushetsbestemmelser rundt avtalene sine. Jeg synes det er underlig at informasjon om hvordan man kan overholde loven, gjøres hemmelig. Den burde heller gjøres lett tilgjengelig for alle! Samtidig viser det at eierskap og kontroll over personopplysninger nå anses så viktig at aktører ikke vil dele informasjon.

Behov for ny standardavtale
Jeg mener vi burde ha en norsk eller europeisk standardavtale for hva man skal insistere på å få avtalefestet når man skal bruke store amerikanske leverandører. Det finnes per i dag ikke. Det beste offentlige materialet vi har i Norge er Datatilsynets generelle sjekkliste for cloud-leverandører. Det er ikke noe galt med den, men den kan være så generell at noen synes den er vanskelig å anvende. På helt generelt grunnlag deler jeg her derfor noen av mine egne sjekkpunkter for enhver avtale med amerikanske leverandører. Ikke bare Facebook, altså.

Sjekkliste
Aller først, husk at en amerikansk Privacy Shield-sertifisert leverandør må akseptere grunnleggende personvernprinsipper. Det kan enten gjøres i en databehandleravtale eller i en generell avtaletekst. Under er noen av disse prinsippene:

  • Husk at loggdata og aggregerte data som regel er personopplysninger ? de kan ikke brukes fritt av leverandøren. Dersom avtalen opphører, skal alle slike data slettes hos leverandøren.
  • Husk at krypterte personopplysninger også er personopplysninger.
  • Husk at du skal ha tilgang til revisjonsrapporter om hvordan informasjonssikkerheten og personvernet er hos leverandøren. Kanskje bør du også kunne initiere en revisjon. Du må også kunne vise revisjonsrapporten til Datatilsynet.
  • Husk at avtalevilkår ikke skal kunne endres ensidig og ukritisk fra leverandøren.
  • Tenk på hva som skjer med dataene dine dersom du trenger å avslutte avtalen. Får du ut en kopi av dataene slik at du kan bruke dem videre i et annet system?
  • Og - husk at selv om personopplysningene lagres i Europa eller Norge, så gjelder reglene dersom servicepersonell lokalisert utenfor Europa eller EØS har tilgang til opplysningene.
hits