Koordinering av arbeidet med Schrems II-dommen

Schrems II skaper utfordringer og usikkerhet for virksomheter i deres digitaliseringsarbeid. Utfordringene er like for mange virksomheter. Derfor er det satt i gang et felles koordineringsarbeid på området. Arbeidet ledes av Nasjonalt ressurssenter for deling av data i Digitaliseringsdirektoratet.

Om Schrems II-dommen

Den 16. juli 2020 avsa EU-domstolen en prinsipiell dom om overføring av personopplysninger til USA, ofte kalt Schrems II-dommen. Kjernen i saken var forholdet mellom europeisk personvernlovgivning og amerikanske overvåkingslover når personopplysninger blir overført fra Europa til USA. Du kan lese mer om dommen på Datatilsynets nettsider.

Om koordineringsarbeidet

Spørsmålene etter Schrems II-dommen er mange og kompliserte. Koordineringsgruppen deler erfaringer og sørger for at virksomhetene tilnærmer seg like utfordringer likt. De juridiske og praktiske utfordringene offentlige virksomheter står overfor er i stor grad like. Derfor har det en stor ressursmessig verdi at arbeidet med dommen skjer koordinert, slik at ikke de enkelte virksomhetene må gjøre det samme arbeidet parallelt.

Den 16. desember konkluderte Skates arbeidsutvalg med at de ønsket en koordineringsgruppe i arbeidet med Schrems II-dommen. Skates arbeidsutvalg understøtter Skate og består av representanter fra Skatevirksomhetene. Skate er et er et strategisk samarbeidsråd for digitalisering av offentlig sektor.

Koordineringsgruppen består av representanter fra en rekke offentlige virksomheter. Nasjonalt ressurssenter for deling av data i Digitaliseringsdirektoratet leder koordineringsarbeidet.

  • Arkivverket
  • Brønnøysundregistrene
  • Direktoratet for E-helse
  • Halden kommune
  • Kartverket
  • KS
  • NAV
  • Skatteetaten
  • Unit
  • Digitaliseringsdirektoratet
  • Nasjonal sikkerhetsmyndighet
  • Helsedirektoratet
  • Norsk Helsenett
  • Direktoratet for forvaltning og økonomistyring
  • Lånekassen
  • Statens vegvesen
  • Utlendingsdirektoratet
  • Departementenes sikkerhets- og serviceorganisasjon
  • Sarpsborg kommune
  • Barne-, ungdoms- og familiedirektoratet
  • Utlendingsnemda
  • Norges Bank
  • Miljødirektoratet
  • Statens pensjonskasse
  • Direktoratet for samfunnssikkerhet og beredskap
  • Statistisk sentralbyrå
  • Direktoratet for høyere utdanning og kompetanse
  • Patentstyret
  • Tolletaten
  • NRK

Hva arbeider koordineringsgruppen med?

Våren 2021 var det særlig usikkerhet rundt de rettslige spørsmålene som ble diskutert, dommen var komplisert og ga uklare føringer. Gjennom koordineringsarbeidet har virksomhetene utvekslet erfaringer og fått foredrag fra bl.a. Datatilsynet, NSM, Gartner og Digitaliseringsdirektoratet.

I løpet av juni 2021 kom det flere rettskilder som bidro til å klargjøre de juridiske utgangspunktene. Den 4. juni kunngjorde EU-kommisjonen nye standard personvernbestemmelser for overføring til tredjeland (Standard Contractual Clauses, SCC). I slutten av juni publiserte Det europeiske personvernrådet sin endelige veiledning. Datatilsynet publiserte september 2021 oppdatert veiledning på deres nettsider.

Den 13. oktober 2021 konkluderte SKATE med at koordineringsarbeidet for Schrems II i offentlig sektor skal fortsette. Selv om den rettslige situasjonen i større grad er avklart enn det som var situasjonen våren 2021, gir rettskildene anvisning på komplekse vurderinger. For mange er det krevende å gjøre disse vurderingene i sine virksomheter. Dette gjelder særlig for små offentlige virksomheter. Koordineringsarbeidet skal derfor velge ut problemstillinger som berører mange og tilnærme seg disse i fellesskap. Dette gir grundige juridiske vurderinger og en god bruk av det offentliges ressurser i en komplisert sak.

Arbeidet skal lede til eksempler på god praksis som andre offentlige virksomheter kan se hen til i sine egne vurderinger av tilsvarende problemstillinger.

Arbeidet ledes av Digdir og DFØ. Skate-virksomhetene skal bidra med faglige ressurser. Fra og med januar er koordineringsarbeidet delt opp i et sekretariat og tre arbeidsgrupper. Ønsker du å komme i kontakt med koordineringsarbeidet kan du henvende deg til KA@dfo.no.

Når er koordineringsarbeidet ferdig?

Koordineringsarbeidet er ferdig i løpet av våren 2022.

Oppsummering av møtene

Koordineringsgruppens første møte var et oppstartsmøte. Her diskuterte vi hvordan arbeidet skal skje videre. Nasjonalt ressurssenter for deling av data hadde forslag til arbeid og mål for koordineringsgruppen. Det var behov for å identifisere felles utfordringer som koordineringsgruppen skulle jobbe videre med. Videre var det et behov for samlet informasjon til og fra Datatilsynet, departementer og leverandører av tekniske løsninger.

Det ble også foreslått at erfaringsutvekslingen i koordineringsgruppen og dialogen med andre aktører kunne lede til en skriftlig veiledning. Denne skriftlige veiledningen vil kunne være til nytte for andre aktører med de samme problemstillingene. Det ble ikke forslått nøyaktig hvordan veiledningen skulle utformes. Dette må avklares når utfordringene er identifisert.

Det var ingen innvendinger til forslagene. Etter møtet skulle ressurssenteret sende ut en spørreundersøkelse for å få oversikt over utfordringene. Videre diskusjoner i møtet indikerte at det var stor usikkerhet rundt når en hadde gjort nok. Det ble også tydelig at regionvalg i skytjenester ville være en aktuell utfordring.

I møtet presenterte Nasjonalt ressurssenter for deling av data kort resultatene fra spørreundersøkelsen. Utfordringene knyttet seg først og fremst til skytjenester. Det var to problemstillinger som tydelig gjaldt for flere og måtte diskuteres nærmere.

For det første var det usikkerhet rundt Det europeiske personvernrådets syn på at det ikke kan tas en «risikobasert tilnærming». Dette er vanskelig å se i sammenheng med andre risikovurderinger, tiltak og alternativer.

For det andre var det usikkerhet rundt regionvalg i skytjenestene. Fra et rettslig perspektiv er det mye som tyder på at overføringsbestemmelsene i personvernforordningen ikke gjelder dersom en har valgt regionen for skytjenesten til å være i EU/EØS. Datatilsynet tar også dette utgangspunktet. Mange skulle imidlertid ønske at dette var tydeligere behandlet. Fra et teknisk perspektiv er regionvalg i skytjenester langt mer komplisert enn fra det rettslige perspektivet. Sett i lys av personvernrådets syn på at det ikke er adgang til en «risikobasert tilnærming», er det vanskelig å vite om region i EU/EØS er tilstrekkelig.

I den første delen av møtet presenterte Digitaliseringsdirektoratet v/Altinn og de nasjonale fellesløsningene hvordan de har tilnærmet seg Schrems II i sine løsninger.

I den andre delen av møtet presenterte Datatilsynet noe veiledning rundt Schrems II og hvordan det arbeides med på et europeisk nivå.

Møtet hadde to deler. I den første delen diskuterte vi hvorvidt det var mulig å lage en form for skriftlig veiledning for etterlevelsen av Schrems II. Det vil ikke være en veiledning som kan svare på hva som er rett og galt. Det vil være forslag til tiltak og tilnærminger.

I del to av møtet delte Astrid Solhaug fra Nasjonalt ressurssenter for deling av data noen erfaringer fra forhandlingene rundt Privacy Shield. Dette kunne gi noen indikasjoner på de pågående forhandlingene mellom EU og USA. Videre diskuterte vi utformingen av et felles brev til departementene som skal gi informasjon om det pågående koordineringsarbeidet.

I etterkant av møtet, har vi fått en oppdatering på den pågående politiske prosessen mellom EU og USA. Du kan lese mer om dette her.

Tema for møtet var et innlegg fra NSM ved senioringeniør John Bothner. Innlegget beskrev tekniske sider ved regionvalg i skytjenestene og hvorvidt kryptering kan fungere som et tiltak.

Når det gjaldt regionvalg, snakket Bothner om de ulike lagene i en skytjeneste og hvordan disse kan driftes fra ulike land. Basert på det, kan det være mulig å si noe om hvem som kan få teknisk tilgang til opplysningene.

Når det gjaldt kryptering, snakket Bothner om hvorvidt kryptering er et hensiktsmessig tiltak ved bruk av skytjenester dersom en ønsker å sikre konfidensialitet. Leverandøren vil ha teknisk mulighet til å lese krypteringsnøkler og dermed kundens opplysninger. Dette gjelder også kundegenererte nøkler. Hovedpoenget til Bothner var derfor at man må ha høy tillit til leverandørene og landene disse opererer i ved bruken av slike skytjenester. Du kan lese mer om dette på NSM sine nettsider.

Etter Bothners innlegg hadde vi en lengere diskusjon i koordineringsgruppen. Innlegget og den påfølgende diskusjonen understreket at teknologien på dette området er svært kompleks. Det er vanskelig for virksomhetene å anvende en del av de teoretiske juridiske utgangspunktene fra eksisterende veiledning i vurderinger av så kompleks teknologi.

Målet med møtet var å ta en "fot i bakken". Vi diskuterte statusen i koordineringsarbeidet og veien fremover. Regelmessige møter med innlegg og diskusjon har bidratt til erfaringsutveksling og kompetanseheving. Det ble diskutert at det fremover ville være ønskelig å prioritere forsøket på å finne forslag til konkrete tiltak og tilnærminger. Det var imidlertid mange synspunkter på hvordan dette kunne gjøres.

Som koordinerende virksomhet, ønsket Nasjonalt ressurssenter at de deltakende virksomhetene skulle dele sine juridiske og tekniske vurderinger etter Schrems II. Deretter ville ressurssenteret forsøke å sammenstille dette til en mer konkret veiledning. Flere virksomheter understreket imidlertid at de ikke var ferdig i sitt interne arbeid, og det ville kunne ta tid før eventuelle forslag til tiltak kunne deles.

For å prioritere arbeidet med tiltak, ble det foreslått at møtene fremover ikke skulle skje med jevne intervaller, men ved behov.

Møtet var ikke et tradisjonelt møte, men et innlegg fra Gartner ved analytiker Bart Willemsen. Her fikk virksomhetene høre noen strategiske betraktninger rundt etterlevelsen av Schrems II.

Møtet var det siste av de regelmessige møtene i koordineringsarbeidet. Det er ikke satt en dato for neste møte, men det vil bli gjennomført ved behov.

I møtet presenterte Digdir ved Nasjonalt ressurssenter for deling av data noen synspunkter på selve dommen. En god forståelse av dommen gjør det lettere å lese EDPB sin veiledning. I etterkant av møtet har EDPB kommet med en endelig versjon av sin veiledning.

I møtet ble det også diskutert en plan for eventuell publisering av Digdirs juridiske vurderinger av Schrems II-dommen.

Orientering om status på juridiske vurderingene

Digdir gjorde rede for status på de juridiske vurderingene som ble utarbeidet i koordineringsgruppen våren 2021 og at Digdir hadde besluttet å ikke publisere disse.

Forslag til videre arbeid

Digdir orienterte videre om saken for Skate den 13. oktober. Mange deltagere ga sin tilslutning til det som ble foreslått. Digdir informerte om at det ville bli kalt inn til et nytt møte etter Skate-saken. Referat fra Skate-saken finnes her.

Presentasjon av verktøy fra DFØ

DFØ presenterte et utkast til et veiledningsverktøy som kan hjelpe virksomhetene å foreta stegene i prosessen i etterlevelse av Schrems II. Deltagende virksomheter uttrykte sin støtte og takk for initiativet og ga tilbakemelding på innholdet i verktøyet. Det ble påpekt at det vil være viktig med god veiledning på de konkrete vurderingsmomentene. Flere meldte seg på for å være med på en brukertest. DFØ vil komme tilbake til gruppen når de har kommet videre i prosessen.

Den 13. oktober behandlet Skate en sak om koordineringsarbeidet. Skate sin konklusjon gir nødvendig mandat for arbeidet videre.

I første delen av møtet presenterte Digdir v/Jens Osberg Skate-saken og veien videre for koordineringsarbeidet. Koordineringsarbeidet i 2021 bestod av ti møter med fokus på erfaringsutveksling. For å svare på Skates mandat vil koordineringsarbeidet våren 2022 jobbe mer systematisk med problemstillingene. Dette innebærer at koordineringsarbeidet deles inn i et sekretariat og tre arbeidsgrupper. Digdir og DFØ skal sammen lede sekretariatet og arbeidsgruppene.

I den andre delen av møtet presenterte DFØ v/Sverre Stoltz Markedsplassen for Skytjenester (MPS) og hvordan MPS sitt arbeid kan sees i sammenheng med koordineringsarbeidet. Videre ble det presentert noen strategiske betraktninger rundt arbeidet.

I den tredje delen av møtet presenterte DFØ v/Cathrine Lund sekretariatet, DFØ v/Sverre Stoltz presenterte gruppen for analyse, Digdir v/Jens Osberg presenterte den juridiske gruppen og DFØ v/Per Jakobsen presenterte gruppen for informasjonssikkerhet. For alle gruppene ble det presentert tentativ fremdriftsplan og forslag til problemstillinger som gruppene skal arbeide med.

Til slutt var det satt av tid til spørsmål fra deltakerne.