21/02/22
Schrems II-dommen har efterladt en berettiget bekymring hos virksomheder og organisationer, som benytter eller overvejer at benytte særligt amerikanske cloud-leverandører. Der er fortsat mange gode forretnings- og sikkerhedsmæssige grunde til at benytte cloud. Derfor giver vi i denne artikel eksempler på konkrete værktøjer og elementer, som man kan inddrage i arbejdet med at overholde databeskyttelsesreglerne og samtidig benytte amerikanske cloud-leverandører.
På baggrund af Schrems II-dommen udsendte Det Europæiske Databeskyttelsesråd (”EDPB”) sine endelige anbefalinger til, hvordan organisationer skal håndtere de krav, som dommen medfører.
Bekymringerne og udfordringerne blev dog ikke mindre af disse anbefalinger, da de stiller komplekse juridiske og tekniske krav til de organisationer, som fortsat ønsker at anvende amerikanske cloud-leverandører. Samtidig har flere offentlige myndigheder i hele EU på det seneste vurderet lovligheden af overførslerne vidt forskelligt.
Bemærk, at Datatilsynet er på vej med en ny cloud-vejledning, som vi håber kan bidrage til større afklaring. Det følger PwC naturligvis op på, så snart vejledningen er publiceret.
PwC har i en tidligere artikel analyseret EDPB’s anbefalinger. Anbefalingerne indeholder en trin for trin-guide (også kaldet en ”Transfer Impact Assessment” eller ”TIA”). Alle organisationer, som benytter fx en amerikansk cloud-leverandør, bør følge EDPB’s anbefalinger og trin for trin-guide. Vi vil i det følgende give dig gode råd til at følge guiden, og dermed konkrete råd til organisationens TIA.
Første skridt er at identificere organisationens overførsler til tredjelande – og dermed skabe overblik.
Tag udgangspunkt i det eksisterende materiale, som organisationen allerede har udarbejdet – fx i form af kortlægninger, art. 30-fortegnelser, oplysningspligter og systemoversigter.
For hver overførsel skal det afklares:
Dernæst skal der udfærdiges en personrisikovurdering af overførslerne. Langt de fleste organisationer, myndigheder og virksomheder har allerede foretaget it-risikovurderinger af systemerne. Det følger af GDPR, at organisationer imidlertid skal foretage personrisikovurderinger, hvor risikoen for de registrerede inddrages – og altså ikke kun for organisationen selv.
PwC har udviklet en operationel og velafprøvet metode og et værktøj til brug for kortlægninger og personrisikovurderinger. Du er velkommen til at kontakte os, hvis du vil høre mere om dette.
Når der overføres personoplysninger til et tredjeland, skal der – uanset om det er en databehandler eller en dataansvarlig – findes et lovligt grundlag i GDPR for overførslen. Det vil i langt størstedelen af tilfældene være EU’s standardkontrakter, som kan findes på kommissionens hjemmeside.
Kontrakterne skal tages i brug senest den 27. december 2022 for alle organisationens overførsler. Vi har tidligere skrevet en artikel om lovgrundlagene, som du kan læse her.
Herefter skal det vurderes, om tredjelandets beskyttelsesniveau er på niveau med EU’s. Der skal både foretages vurdering af lovgivningen og af praksis.
Langt de fleste organisationer benytter eller overvejer at benytte amerikanske cloud-leverandører. EU-Domstolen tog i Schrems II-dommen specifikt stilling til databeskyttelsesniveauet i USA.
Det er derfor PwC’s vurdering, at der ikke er grund til at bruge unødige ressourcer på at foretage selvstændige vurderinger af beskyttelsesniveauet i USA. Det skyldes, at Section 702 i US Foreign Intelligence Surveillance Act (“FISA 702”) giver USA’s efterretningstjeneste vid adgang til at overvåge oplysninger opbevaret af amerikanske tele- og internetudbydere, uanset hvor oplysningerne befinder sig fysisk – herunder også i europæiske datacentre.
Den amerikanske lovgivning er således ifølge EU-Domstolen og EDPB ”problematisk”, og det kan ingen risikovurderinger ændre på.
Selvom landets (fx USA’s) lovgivning er ”problematisk”, giver EDPB dog mulighed for, at organisationer kan vurdere, om den ”problematiske” lovgivning i praksis vil blive anvendt på overførslerne. Hvis organisationen vurderer, at den har ”no reason to believe”, at FISA 702 finder anvendelse på den konkrete overførsel, kan der ske overførsel af personoplysninger uden at skulle gennemføre supplerende foranstaltninger (trin 4). Det kræver dog, at organisationen – i samarbejde med den modtagende organisation – er i stand til at påvise og dokumentere, at den ”problematiske” lovgivning (FISA 702) ikke i praksis bliver fortolket og/eller anvendt således, at den dækker organisationens eller den modtagende organisations (fx cloud-leverandørens) overførsel personoplysninger.
Når organisationer skal vurdere, om FISA 702 finder anvendelse i praksis, skal det vurderes:
1) Om den modtagende organisation i tredjelandet er en ”electronic communication service provider”
Det skal bemærkes, at amerikansk lovgivning definerer begrebet bredt, og amerikanske domstole har fortolket definitionen til også at omfatte virksomheder, som blot stiller arbejdsmail til deres medarbejdere til rådighed. Det er PwC’s vurdering, at det er forbundet med stor usikkerhed at lægge vægt på det forhold, at den modtagende organisation ikke er omfattet af begrebet.
2) Om der er en såkaldt ”selector” tilknyttet de personoplysninger, som overføres (fx e-mailadresse og telefonnummer)
Såfremt organisationen alene overfører ustrukturerede personoplysninger (fx billeder eller videoer), som ikke indeholder ”selectors” – fx e-mailadresse, telefonnummer, ip-adresse eller anden type af kommunikation med en specifik personidentifikator – kan dette udgøre ét argument i den samlede vurdering af, om FISA 702 i praksis vil finde anvendelse på organisationens overførsler til USA. Organisationen kan foretage denne vurdering på baggrund af kortlægningen fra trin 1.
3) Hvad oplysningernes mulige relevans er for ”foreign intelligence”
Det skal vurderes, hvad risikoen er for, at de konkrete personoplysninger formodes at have relevans og betydning for den amerikanske nationale sikkerhed, herunder fx om oplysningerne kan have relevans for terror mv.
Det følger af EDPB’s vejledning om supplerende foranstaltninger, at organisationen (eventuelt med hjælp fra den modtagende organisation) igennem sin vurdering (TIA) skal have demonstreret og dokumenteret, at den relevante ”problematiske” lovgivning ikke i praksis fortolkes og/eller anvendes til at omfatte den konkrete overførsel eller den modtagne organisation. I den forbindelse skal organisationer også inddrage erfaringer fra andre aktører (cloud-leverandører), som opererer inden for samme sektor og/eller lignende typer af overførsler samt yderligere relevante kilder.
Organisationens egen vurdering af oplysningernes relevans for amerikanske efterretningstjenester kan således ikke stå alene og skal demonstreres og dokumenteres sammen med og på baggrund af objektiv, uafhængig og transparent information, fx rapporter fra The Privacy and Civil Liberties Oversight Board og retspraksis. Til EDPB’s vejledning om supplerende foranstaltninger er der i Annex 3 en liste over mulige kilder, som organisationer kan trække på, når de skal vurdere tredjelandets beskyttelsesniveau.
Såfremt leverandøren er placeret i et andet tredjeland end USA, fx Indien eller Kina, har PwC – med hjælp fra PwC’s globale samarbejde med andre PwC kontorer – udfærdiget vurderinger af databeskyttelsesniveauet i en lang række lande, herunder de nævnte.
Derudover har fx det franske datatilsyn, CNIL, udarbejdet en oversigt over databeskyttelseslovgivninger i det meste af verden, som kan udgøre et supplement til organisationens vurdering af tredjelandets beskyttelsesniveau.
Hvis organisationen i trin 3 vurderer, at overførslen også i praksis vil være omfattet af ”problematisk” lovgivning, som fx FISA 702, skal der implementeres passende supplerende foranstaltninger, der kan hæve databeskyttelsesniveauet.
EDPB kommer i vejledningen om tredjelandsoverførsler med forslag til tekniske, organisatoriske og kontraktmæssige foranstaltninger, som organisationer kan implementere for at skabe et tilstrækkeligt beskyttelsesniveau.
Følgende er eksempler på henholdsvis en kontraktuel og en teknisk foranstaltning:
I Datatilsynets afgørelse af 17. november 2021 lægger tilsynet vægt på, at
”AWS, der benyttes som underdatabehandler til behandlingen af personoplysninger til statistiske formål, ved aftale og offentligt har givet garanti for, at der ikke sker overførsel af oplysninger til lande uden for EU, og at behandlingen derfor sker under Siteimproves kontrollerede rammer.”
Derudover anfører EDPB i vejledningen, at organisationer netop kan lægge vægt på den reelle praksis og brancheindsigt – og ikke kun lovgivning.
Datatilsynets begrundelse skal tages med forbehold, da det af afgørelsen fremgår, at tilsynet ikke har efterprøvet forholdet nærmere. Derudover er det svært at forestille sig, at Datatilsynet vil – og kan – opretholde en sådan ”praksis” i konkrete vurderinger af lovligheden af tredjelandsoverførsler, særligt set i lyset af de seneste afgørelser fra tilsynsmyndighederne i Frankrig og Østrig vedrørende Google Analytics.
PwC anbefaler dog, at organisationen anmoder sin amerikanske leverandør, fx Amazon eller Microsoft, om en skriftlig og aftalt garanti om, at de pågældende personoplysninger, der overføres, ikke udleveres til amerikanske myndigheder, og at der således de facto ikke er adgang for disse myndigheder.
Microsoft har tidligere oplyst[2], at ”Microsoft does not provide, and has never provided, EU public sector customer’s personal data to any government. Moreover, outside of the United States, Microsoft does not provide, and has never provided, EU enterprise customer’s personal data to a jurisdiction that was not the same as that in which the enterprise was located in response to government demands for data”.
Det er vigtigt at slå fast, at disse ”garantier” og ”løfter” – som indgår i den samlede TIA-vurdering – ikke i sig selv er tilstrækkelige til at gøre overførslen lovlig, men det er den næstbedste dokumenterede tilgang, hvor man som organisation forsøger at ”gøre, hvad man kan”.
Det er ikke tilstrækkeligt med hverken AWS’ ”garanti” eller Microsofts ”løfte”, da disse ikke forpligter amerikanske efterretningstjenester, men alene aftaleparterne, dvs. Microsoft/AWS og kunden.
En af de tekniske supplerende foranstaltninger, som EDPB peger på, er effektiv kryptering. Cloud-leverandører har typisk flere lag af state-of-the-art kryptering i deres standardopsætning.
Uanset om cloud-leverandørernes standardopsætning af krypteringen er en kombination af både kryptering på transportlaget og data-at-rest, er det imidlertid ikke tilstrækkeligt, hvis de amerikanske efterretningstjenester fortsat kan få udleveret krypteringsnøglerne, når de er i besiddelse hos fx en amerikansk cloud-leverandør.
En effektiv kryptering, som lever op til EDPB’s anbefalinger, kræver derfor, at organisationen – eller en betroet tredjepart i EU – selv håndterer krypteringsnøglerne inden for EU (eller i et ”sikkert” tredjeland), og at de ikke kan udleveres til fx de amerikanske efterretningstjenester.
Cloud-leverandører stiller typisk krypteringsnøgler til rådighed til services direkte hos cloud-leverandøren via deres key management-værktøjer. Både AWS og Azure stiller key management-værktøjer til rådighed, som anvender FIPS 140-2 Level 3-validerede hardwarekrypteringsmetoder. Organisationen skal derfor vurdere, om denne krypteringsmetode vil give tilstrækkelig sikkerhed.
Hvis organisationen ikke vurderer, at denne krypteringsmetode er tilstrækkeligt sikker, kan organisationen i stedet benytte sig af tredjeparts key management-værktøjer, som kan hostes af organisationen selv eller af en betroet tredjepart i EU (eller i et ”sikkert” tredjeland) og dermed benytte sig af ”Bring Your Own Key” (BOYK), dvs. eksternt hostet HSM.
Nogle SaaS-løsninger, fx Office 365, understøtter ikke udskiftning af transportcertifikatet, idet de gør brug af en shared infrastruktur til at levere data, og organisationen kan derfor ikke skifte den af cloud-leverandøren udlevererede kryptering i transportlaget.
Herefter skal organisationen reelt tage de formelle og processuelle skridt, som følger af de supplerende foranstaltninger, der blev identificeret i trin 4.
Dette indebærer, at organisationen skal implementere de tiltag, som man har lovet sig selv og sin organisation samt de registrerede (fx ens ansatte eller kunder), som man overfører personoplysninger om.
Derudover skal organisationen sikre, at de supplerende foranstaltninger, som blev identificeret ovenfor – fx kryptering – ikke er modstridende med det overførselsgrundlag, man valgte at benytte i trin 3 (typisk de nævnte standardkontrakter), og at foranstaltningerne reelt sikrer, at det beskyttelsesniveau, der garanteres i GDPR, ikke undermineres.
Foranstaltningerne må fx ikke hindre de registrerede i at få indsigt i deres personoplysninger.
EDPB anbefaler, at organisationer kontinuerligt og med passende intervaller foretager en revurdering af beskyttelsesniveauet for de data, der overføres til tredjelande, og at det overvåges, om der har været eller vil være en udvikling, der kan påvirke beskyttelsesniveauet.
Den danske dataansvarlige bør derfor – som en del af fx et årshjul – foretage en revurdering af sine tredjelandsoverførsler, med henblik på at vurdere om der har været en udvikling, der kan påvirke databeskyttelsesniveauet. Det skal i den forbindelse fx påses, om de personoplysninger, der overføres, har ændret karakter, jf. punkterne ovenfor i trin 1.
PwC har udviklet et årshjul, som kan anvendes til den løbende revurdering af beskyttelsesniveauet. Du er velkommen til at kontakte os, hvis du vil høre mere om dette.
Har du brug for hjælp, er du velkommen til at kontakte PwC’s Technology & Security-afdeling.
PwC’s Privacy & Data Protection (GDPR)-team er en del af PwC’s Technology & Security-afdeling, som tæller op mod 200 konsulenter. Vi har derfor adgang til en lang række specialister inden for bl.a. cyber- og informationssikkerhed og kan bistå med rådgivning og vejledning – fra juridisk og forretningsmæssig rådgivning til teknisk rådgivning – dvs. igennem alle seks trin i processen.