Facebook-nyhet: Ulovlig for norske bedrifter?



Det finnes mange nyttige amerikanske dataprogrammer og tjenester som vi ønsker å bruke i Norge. Aller helst på lovlig måte. Workplace (facebook@work), Amazon, Salesforce, Dropbox og HotJar er bare noen av disse. Problemet er at lovgivningen på personvern i USA og Europa - også Norge - er forskjellige på viktige prinsipielle områder.

Flere av disse store selskapene hemmeligholder også hvilke avtaleendringer som er nødvendige for at en norsk bedrift skal kunne bruke de lovlig. For norske bedrifter og privatpersoner er det problematisk. 

Nye og strengere personvernregler
Mange dataprogrammer bruker personopplysninger. Men et dataprogram vil som oftest også lage nye personopplysninger. Slike logger er «nye» personopplysninger som lages av systemet hver gang det er i bruk, og kan si noe om brukeratferd: hvilke ansatte som bruker systemet, på hvilken måte, hvor effektivt etc. Men dette innlegget skal likevel handle om noe annet enn bruk, og misbruk, av loggdata.

Hvis man legger til grunn at et datasystem inneholder personopplysninger, så vet de fleste at man må ta hensyn til personopplysningsloven. Mange har også fått med seg at EU har vedtatt nye og strengere personvernregler som trer i kraft (også i Norge) i mai 2018. Når man skal bruke et amerikansk datasystem, så er det derfor kjekt at reglene om personvern er ivaretatt på riktig måte. Særlig fordi brudd på nettopp disse personvernreglene er blant de bruddene med høyest økonomiske sanksjoner i det nye regelverket. 

Det kan fort bli dyrt. Og det er her det blir utfordringer med en del amerikanske leverandører. Fordi det i amerikansk tradisjon ikke er vanlig å anse loggdata (eller metadata) som personopplysninger.

Ta Facebook som eksempel. De har introdusert sitt facebook@work, eller Workplace, som de kaller det nå. Det er et kult system som fungerer fint som et moderne intranett. Mange bedrifter ønsker nå å ta det i bruk, ettersom det er lett å lære ? og ligner på det Facebook vi lenge har brukt som privatpersoner.

Norge er ett av fem testland for Facebook, i det som antakelig er tenkt å bli et verdensomspennende produkt. Andre testland i Europa er England og Frankrike. Jeg vet ikke, men jeg vil tro at det kan være av stor verdi for Facebook om de snart kan si til andre europeiske land, at systemet er godkjent i bruk i Norge. 

Facebook med unødvendig hemmelighold
De første bedriftene i Norge tok i bruk Workplace tidligere i år, og de brukte mye tid og ressurser på å forhandle frem særlige vilkår for hvordan Facebook skal kunne bruke opplysningene brukerne genererer. Særforhandlede avtaler om personvern, altså. Dette gjelder både opplysninger som de ansatte legger inn i systemet når de bruker det, men også de opplysningene systemet selv genererer når det er i bruk. Altså loggopplysninger. 

Og dette er det punktet som er virkelig spesielt når man arbeider med noen av de store amerikanske leverandørene. Vi advokater er vant til at avtaler inneholder hemmelige klausuler - det er normalt i enhver forretningsmessig sammenheng. 

Det som er uvanlig her, er at det vi eller klientene ikke kan avsløre, er hvilke endringer som må til for at Workplace skal være lovlig å bruke i Norge. Eller for å si det på moderne norsk - hvilke justeringer må til for at den norske virksomheten er compliant med norske personvernregler?

Det å hemmeligholde kommersielle, økonomiske forhold er normalt ? men å hemmeligholde hvilke endringer som skal til for at avtalen blir lovlig? Det er faktisk litt sært. Datatilsynet gjennomgikk de første særavtalene som ble inngått med Facebook og konkluderte i høst med at personvernhelheten i avtalene var god nok til å gi godkjentstempel. Men hva som ble endret, nei det er en hemmelighet. 

Nå gjelder dette ikke bare Facebook. De representerer bare én av mange amerikanske aktører som har veldig strenge taushetsbestemmelser rundt avtalene sine. Jeg synes det er underlig at informasjon om hvordan man kan overholde loven, gjøres hemmelig. Den burde heller gjøres lett tilgjengelig for alle! Samtidig viser det at eierskap og kontroll over personopplysninger nå anses så viktig at aktører ikke vil dele informasjon.

Behov for ny standardavtale
Jeg mener vi burde ha en norsk eller europeisk standardavtale for hva man skal insistere på å få avtalefestet når man skal bruke store amerikanske leverandører. Det finnes per i dag ikke. Det beste offentlige materialet vi har i Norge er Datatilsynets generelle sjekkliste for cloud-leverandører. Det er ikke noe galt med den, men den kan være så generell at noen synes den er vanskelig å anvende. På helt generelt grunnlag deler jeg her derfor noen av mine egne sjekkpunkter for enhver avtale med amerikanske leverandører. Ikke bare Facebook, altså.

Sjekkliste
Aller først, husk at en amerikansk Privacy Shield-sertifisert leverandør må akseptere grunnleggende personvernprinsipper. Det kan enten gjøres i en databehandleravtale eller i en generell avtaletekst. Under er noen av disse prinsippene:

  • Husk at loggdata og aggregerte data som regel er personopplysninger ? de kan ikke brukes fritt av leverandøren. Dersom avtalen opphører, skal alle slike data slettes hos leverandøren.
  • Husk at krypterte personopplysninger også er personopplysninger.
  • Husk at du skal ha tilgang til revisjonsrapporter om hvordan informasjonssikkerheten og personvernet er hos leverandøren. Kanskje bør du også kunne initiere en revisjon. Du må også kunne vise revisjonsrapporten til Datatilsynet.
  • Husk at avtalevilkår ikke skal kunne endres ensidig og ukritisk fra leverandøren.
  • Tenk på hva som skjer med dataene dine dersom du trenger å avslutte avtalen. Får du ut en kopi av dataene slik at du kan bruke dem videre i et annet system?
  • Og - husk at selv om personopplysningene lagres i Europa eller Norge, så gjelder reglene dersom servicepersonell lokalisert utenfor Europa eller EØS har tilgang til opplysningene.

Ã?n kommentar

desomskapteverden

22.12.2016 kl.18:23

Takk for et opplysende innlegg.

Skriv en ny kommentar

hits