Koordinering av arbeidet med Schrems II-dommen

Schrems II skaper utfordringer og usikkerhet for virksomheter i deres digitaliseringsarbeid. Utfordringene er like for mange virksomheter. Derfor er det satt i gang et felles koordineringsarbeid på området. Arbeidet ledes av Nasjonalt ressurssenter for deling av data i Digitaliseringsdirektoratet.

Om Schrems II-dommen

Den 16. juli 2020 avsa EU-domstolen en prinsipiell dom om overføring av personopplysninger til USA, ofte kalt Schrems II-dommen. Kjernen i saken var forholdet mellom europeisk personvernlovgivning og amerikanske overvåkingslover når personopplysninger blir overført fra Europa til USA. Du kan lese mer om dommen på Datatilsynets nettsider.

Om koordineringsarbeidet

Spørsmålene etter Schrems II-dommen er mange og kompliserte. Koordineringsgruppen deler erfaringer og sørger for at virksomhetene tilnærmer seg like utfordringer likt. De juridiske og praktiske utfordringene offentlige virksomheter står overfor er i stor grad like. Derfor har det en stor ressursmessig verdi at arbeidet med dommen skjer koordinert, slik at ikke de enkelte virksomhetene må gjøre det samme arbeidet parallelt.

Den 16. desember konkluderte Skates arbeidsutvalg med at de ønsket en koordineringsgruppe i arbeidet med Schrems II-dommen. Skates arbeidsutvalg understøtter Skate og består av representanter fra Skatevirksomhetene. Skate er et er et strategisk samarbeidsråd for digitalisering av offentlig sektor. Du kan lese mer om Skate her.

Koordineringsgruppen består av representanter fra en rekke offentlige virksomheter. Nasjonalt ressurssenter for deling av data i Digitaliseringsdirektoratet leder koordineringsarbeidet.

  • Arkivverket
  • Brønnøysundregistrene
  • Direktoratet for E-helse
  • Halden kommune
  • Kartverket
  • KS
  • NAV
  • Skatteetaten
  • Unit
  • Digitaliseringsdirektoratet
  • Nasjonal sikkerhetsmyndighet
  • Helsedirektoratet
  • Norsk Helsenett
  • Direktoratet for forvaltning og økonomistyring
  • Lånekassen
  • Statens vegvesen
  • Utlendingsdirektoratet
  • Departementenes sikkerhets- og serviceorganisasjon
  • Sarpsborg kommune
  • Barne-, ungdoms- og familiedirektoratet
  • Utlendingsnemda
  • Norges Bank
  • Miljødirektoratet
  • Statens pensjonskasse
  • Direktoratet for samfunnssikkerhet og beredskap
  • Statistisk sentralbyrå
  • Direktoratet for høyere utdanning og kompetanse

Hva arbeider koordineringsgruppen med?

Koordineringsgruppen hadde sitt første møte den 26. januar 2021. I begynnelsen har koordineringsgruppen arbeidet med å identifisere felles utfordringer og å diskutere disse. Gruppen arbeider videre med å få felles informasjon fra de store skytjenesteleverandørene. Gruppen har også dialog med både Datatilsynet og Kommunal- og moderniseringsdepartementet.

Oppsummering av møtene

Koordineringsgruppens første møte var et oppstartsmøte. Her diskuterte vi hvordan arbeidet skal skje videre. Nasjonalt ressurssenter for deling av data hadde forslag til arbeid og mål for koordineringsgruppen. Det var behov for å identifisere felles utfordringer som koordineringsgruppen skulle jobbe videre med. Videre var det et behov for samlet informasjon til og fra Datatilsynet, departementer og leverandører av tekniske løsninger.

Det ble også foreslått at erfaringsutvekslingen i koordineringsgruppen og dialogen med andre aktører kunne lede til en skriftlig veiledning. Denne skriftlige veiledningen vil kunne være til nytte for andre aktører med de samme problemstillingene. Det ble ikke forslått nøyaktig hvordan veiledningen skulle utformes. Dette må avklares når utfordringene er identifisert.

Det var ingen innvendinger til forslagene. Etter møtet skulle ressurssenteret sende ut en spørreundersøkelse for å få oversikt over utfordringene. Videre diskusjoner i møtet indikerte at det var stor usikkerhet rundt når en hadde gjort nok. Det ble også tydelig at regionvalg i skytjenester ville være en aktuell utfordring.

I møtet presenterte Nasjonalt ressurssenter for deling av data kort resultatene fra spørreundersøkelsen. Utfordringene knyttet seg først og fremst til skytjenester. Det var to problemstillinger som tydelig gjaldt for flere og måtte diskuteres nærmere.

For det første var det usikkerhet rundt Det europeiske personvernrådets syn på at det ikke kan tas en «risikobasert tilnærming». Dette er vanskelig å se i sammenheng med andre risikovurderinger, tiltak og alternativer.

For det andre var det usikkerhet rundt regionvalg i skytjenestene. Fra et rettslig perspektiv er det mye som tyder på at overføringsbestemmelsene i personvernforordningen ikke gjelder dersom en har valgt regionen for skytjenesten til å være i EU/EØS. Datatilsynet tar også dette utgangspunktet. Mange skulle imidlertid ønske at dette var tydeligere behandlet. Fra et teknisk perspektiv er regionvalg i skytjenester langt mer komplisert enn fra det rettslige perspektivet. Sett i lys av personvernrådets syn på at det ikke er adgang til en «risikobasert tilnærming», er det vanskelig å vite om region i EU/EØS er tilstrekkelig.

I den første delen av møtet presenterte Digitaliseringsdirektoratet v/Altinn og de nasjonale fellesløsningene hvordan de har tilnærmet seg Schrems II i sine løsninger.

I den andre delen av møtet presenterte Datatilsynet noe veiledning rundt Schrems II og hvordan det arbeides med på et europeisk nivå.

Møtet hadde to deler. I den første delen diskuterte vi hvorvidt det var mulig å lage en form for skriftlig veiledning for etterlevelsen av Schrems II. Det vil ikke være en veiledning som kan svare på hva som er rett og galt. Det vil være forslag til tiltak og tilnærminger.

I del to av møtet delte Astrid Solhaug fra Nasjonalt ressurssenter for deling av data noen erfaringer fra forhandlingene rundt Privacy Shield. Dette kunne gi noen indikasjoner på de pågående forhandlingene mellom EU og USA. Videre diskuterte vi utformingen av et felles brev til departementene som skal gi informasjon om det pågående koordineringsarbeidet.

I etterkant av møtet, har vi fått en oppdatering på den pågående politiske prosessen mellom EU og USA. Du kan lese mer om dette her.

Tema for møtet var et innlegg fra NSM ved senioringeniør John Bothner. Innlegget beskrev tekniske sider ved regionvalg i skytjenestene og hvorvidt kryptering kan fungere som et tiltak.

Når det gjaldt regionvalg, snakket Bothner om de ulike lagene i en skytjeneste og hvordan disse kan driftes fra ulike land. Basert på det, kan det være mulig å si noe om hvem som kan få teknisk tilgang til opplysningene.

Når det gjaldt kryptering, snakket Bothner om hvorvidt kryptering er et hensiktsmessig tiltak ved bruk av skytjenester dersom en ønsker å sikre konfidensialitet. Leverandøren vil ha teknisk mulighet til å lese krypteringsnøkler og dermed kundens opplysninger. Dette gjelder også kundegenererte nøkler. Hovedpoenget til Bothner var derfor at man må ha høy tillit til leverandørene og landene disse opererer i ved bruken av slike skytjenester. Du kan lese mer om dette på NSM sine nettsider.

Etter Bothners innlegg hadde vi en lengere diskusjon i koordineringsgruppen. Innlegget og den påfølgende diskusjonen understreket at teknologien på dette området er svært kompleks. Det er vanskelig for virksomhetene å anvende en del av de teoretiske juridiske utgangspunktene fra eksisterende veiledning i vurderinger av så kompleks teknologi.

Målet med møtet var å ta en "fot i bakken". Vi diskuterte statusen i koordineringsarbeidet og veien fremover. Regelmessige møter med innlegg og diskusjon har bidratt til erfaringsutveksling og kompetanseheving. Det ble diskutert at det fremover ville være ønskelig å prioritere forsøket på å finne forslag til konkrete tiltak og tilnærminger. Det var imidlertid mange synspunkter på hvordan dette kunne gjøres.

Som koordinerende virksomhet, ønsket Nasjonalt ressurssenter at de deltakende virksomhetene skulle dele sine juridiske og tekniske vurderinger etter Schrems II. Deretter ville ressurssenteret forsøke å sammenstille dette til en mer konkret veiledning. Flere virksomheter understreket imidlertid at de ikke var ferdig i sitt interne arbeid, og det ville kunne ta tid før eventuelle forslag til tiltak kunne deles.

For å prioritere arbeidet med tiltak, ble det foreslått at møtene fremover ikke skulle skje med jevne intervaller, men ved behov.

Møtet var ikke et tradisjonelt møte, men et innlegg fra Gartner ved analytiker Bart Willemsen. Her fikk virksomhetene høre noen strategiske betraktninger rundt etterlevelsen av Schrems II.

Møtet var det siste av de regelmessige møtene i koordineringsarbeidet. Det er ikke satt en dato for neste møte, men det vil bli gjennomført ved behov.

I møtet presenterte Digdir ved Nasjonalt ressurssenter for deling av data noen synspunkter på selve dommen. En god forståelse av dommen gjør det lettere å lese EDPB sin veiledning. I etterkant av møtet har EDPB kommet med en endelig versjon av sin veiledning.

I møtet ble det også diskutert en plan for eventuell publisering av Digdirs juridiske vurderinger av Schrems II-dommen.

Kan min virksomhet delta i koordineringsgruppen?

Dersom du representerer en offentlig virksomhet som ønsker å delta i arbeidet kan du kontakte Jens Andresen Osberg i Nasjonalt ressurssenter for deling av data.

Kontakt