hits

desember 2016

Facebook-nyhet: Ulovlig for norske bedrifter?



Det finnes mange nyttige amerikanske dataprogrammer og tjenester som vi nsker bruke i Norge. Aller helst p lovlig mte. Workplace (facebook@work), Amazon, Salesforce, Dropbox og HotJar er bare noen av disse. Problemet er at lovgivningen p personvern i USA og Europa - ogs Norge - er forskjellige p viktige prinsipielle omrder.

Flere av disse store selskapene hemmeligholder ogs hvilke avtaleendringer som er ndvendige for at en norsk bedrift skal kunne bruke de lovlig. For norske bedrifter og privatpersoner er det problematisk. 

Nye og strengere personvernregler
Mange dataprogrammer bruker personopplysninger. Men et dataprogram vil som oftest ogs lage nye personopplysninger. Slike logger er nye personopplysninger som lages av systemet hver gang det er i bruk, og kan si noe om brukeratferd: hvilke ansatte som bruker systemet, p hvilken mte, hvor effektivt etc. Men dette innlegget skal likevel handle om noe annet enn bruk, og misbruk, av loggdata.

Hvis man legger til grunn at et datasystem inneholder personopplysninger, s vet de fleste at man m ta hensyn til personopplysningsloven. Mange har ogs ftt med seg at EU har vedtatt nye og strengere personvernregler som trer i kraft (ogs i Norge) i mai 2018. Nr man skal bruke et amerikansk datasystem, s er det derfor kjekt at reglene om personvern er ivaretatt p riktig mte. Srlig fordi brudd p nettopp disse personvernreglene er blant de bruddene med hyest konomiske sanksjoner i det nye regelverket. 

Det kan fort bli dyrt. Og det er her det blir utfordringer med en del amerikanske leverandrer. Fordi det i amerikansk tradisjon ikke er vanlig anse loggdata (eller metadata) som personopplysninger.

Ta Facebook som eksempel. De har introdusert sitt facebook@work, eller Workplace, som de kaller det n. Det er et kult system som fungerer fint som et moderne intranett. Mange bedrifter nsker n ta det i bruk, ettersom det er lett lre ? og ligner p det Facebook vi lenge har brukt som privatpersoner.

Norge er ett av fem testland for Facebook, i det som antakelig er tenkt bli et verdensomspennende produkt. Andre testland i Europa er England og Frankrike. Jeg vet ikke, men jeg vil tro at det kan vre av stor verdi for Facebook om de snart kan si til andre europeiske land, at systemet er godkjent i bruk i Norge. 

Facebook med undvendig hemmelighold
De frste bedriftene i Norge tok i bruk Workplace tidligere i r, og de brukte mye tid og ressurser p forhandle frem srlige vilkr for hvordan Facebook skal kunne bruke opplysningene brukerne genererer. Srforhandlede avtaler om personvern, alts. Dette gjelder bde opplysninger som de ansatte legger inn i systemet nr de bruker det, men ogs de opplysningene systemet selv genererer nr det er i bruk. Alts loggopplysninger. 

Og dette er det punktet som er virkelig spesielt nr man arbeider med noen av de store amerikanske leverandrene. Vi advokater er vant til at avtaler inneholder hemmelige klausuler - det er normalt i enhver forretningsmessig sammenheng. 

Det som er uvanlig her, er at det vi eller klientene ikke kan avslre, er hvilke endringer som m til for at Workplace skal vre lovlig bruke i Norge. Eller for si det p moderne norsk - hvilke justeringer m til for at den norske virksomheten er compliant med norske personvernregler?

Det hemmeligholde kommersielle, konomiske forhold er normalt ? men hemmeligholde hvilke endringer som skal til for at avtalen blir lovlig? Det er faktisk litt srt. Datatilsynet gjennomgikk de frste sravtalene som ble inngtt med Facebook og konkluderte i hst med at personvernhelheten i avtalene var god nok til gi godkjentstempel. Men hva som ble endret, nei det er en hemmelighet. 

N gjelder dette ikke bare Facebook. De representerer bare n av mange amerikanske aktrer som har veldig strenge taushetsbestemmelser rundt avtalene sine. Jeg synes det er underlig at informasjon om hvordan man kan overholde loven, gjres hemmelig. Den burde heller gjres lett tilgjengelig for alle! Samtidig viser det at eierskap og kontroll over personopplysninger n anses s viktig at aktrer ikke vil dele informasjon.

Behov for ny standardavtale
Jeg mener vi burde ha en norsk eller europeisk standardavtale for hva man skal insistere p f avtalefestet nr man skal bruke store amerikanske leverandrer. Det finnes per i dag ikke. Det beste offentlige materialet vi har i Norge er Datatilsynets generelle sjekkliste for cloud-leverandrer. Det er ikke noe galt med den, men den kan vre s generell at noen synes den er vanskelig anvende. P helt generelt grunnlag deler jeg her derfor noen av mine egne sjekkpunkter for enhver avtale med amerikanske leverandrer. Ikke bare Facebook, alts.

Sjekkliste
Aller frst, husk at en amerikansk Privacy Shield-sertifisert leverandr m akseptere grunnleggende personvernprinsipper. Det kan enten gjres i en databehandleravtale eller i en generell avtaletekst. Under er noen av disse prinsippene:

  • Husk at loggdata og aggregerte data som regel er personopplysninger ? de kan ikke brukes fritt av leverandren. Dersom avtalen opphrer, skal alle slike data slettes hos leverandren.
  • Husk at krypterte personopplysninger ogs er personopplysninger.
  • Husk at du skal ha tilgang til revisjonsrapporter om hvordan informasjonssikkerheten og personvernet er hos leverandren. Kanskje br du ogs kunne initiere en revisjon. Du m ogs kunne vise revisjonsrapporten til Datatilsynet.
  • Husk at avtalevilkr ikke skal kunne endres ensidig og ukritisk fra leverandren.
  • Tenk p hva som skjer med dataene dine dersom du trenger avslutte avtalen. Fr du ut en kopi av dataene slik at du kan bruke dem videre i et annet system?
  • Og - husk at selv om personopplysningene lagres i Europa eller Norge, s gjelder reglene dersom servicepersonell lokalisert utenfor Europa eller ES har tilgang til opplysningene.