Ny vejledning om cloudservices: Datatilsynet offentliggjorde i marts 2022 en vejledning om brug af cloudservices.
Cloudservices er en meget udbredt løsning for virksomheder til outsourcing af IT-opgaver. En cloudservice er defineret som en IT-model til levering af standardiserede IT-ressourcer på servere, der tilgås via web. Begrebet ”cloudservice” er dermed en meget bred samlebetegnelse, der rummer både forskellige services, herunder Infrastructure as a Service (IaaS), Platform as a Service (PaaS) og Software as a Service (SaaS).
Den ny vejledning om cloudservices er først og fremmest udarbejdet til dataansvarlige, der ønsker at gøre brug af cloudservices, men vejledningen er i høj grad også relevant for cloudleverandører eller databehandlere, som anvender cloudleverandører som underdatabehandlere, der vil være skarpere på at levere deres standardiserede ydelser i overensstemmelse med databeskyttelsesreglerne.
Når det kommer til brugen af clouds, er der særligt tre databeskyttelsesretlige spørgsmål, som ofte volder problemer:
- Brugen af databehandlere og underdatabehandlere
- Behandlingssikkerhed
- Overførsel af personoplysninger til tredjelande
Datatilsynet inddrager derfor flere af Datatilsynets øvrige vejledninger den ny vejledning om cloudservices, herunder blandt andet vejledning om dataansvarlige og databehandlere, vejledning om tilsyn med databehandlere og vejledning om overførsel af personoplysninger til tredjelande.
Køreplan for lovlig brug af clouds
Den nye vejledning om cloudservices indeholder blandt andet en køreplan for, hvad der skal til, før clouds lovligt kan anvendes til opbevaring af persondata. Køreplanen kan opsummeres i følgende tre punkter:
- Kend dine services
- Kend dine cloudleverandører
- Tilsyn med cloudleverandøren og eventuelle underleverandører
1. Kend dine services
Som det første skridt på vejen mod lovlig brug af clouds skal du som dataansvarlig kende dine behandlingsaktiviteter og de services, du påtænker at få fra en cloudleverandør.
Du skal først og fremmest foretage en risikovurdering af databeskyttelsen, hvor du forholder dig til, hvilke risici dine behandlingsaktiviteter medfører for de registrerede. I den sammenhæng skal du også forholde dig til, hvordan outsourcing af behandlingen/en behandlingsaktivitet til en cloudleverandør påvirker denne risikovurdering. Er der fx større risiko for, at oplysningspligten ikke bliver overholdt over for de registrerede, eller bliver der indsamlet flere personoplysninger hos cloudleverandøren end forventet?
Datatilsynet gør i den forbindelse særligt opmærksom på, at der ved indsamling af metadata kan være tale om ulovlig indsamling af personoplysninger hos cloudleverandøren. Du skal derfor som dataansvarlig være bevidst om, hvorvidt databehandleren indsamler metadata til egne formål eller forbeholder sig retten til at gøre dette, fx for at kunne finjustere og forbedre databehandlerens services. En sådan indsamling vil udgøre en behandling til egne formål, hvorved cloudleverandøren er selvstændig dataansvarlig, og som dataansvarlig bærer du som udgangspunkt ansvaret for, at der er hjemmel til videregivelsen.
Det er desuden vigtigt at have for øje, at jo flere services, der er varetaget af cloudleverandøren, desto flere områder vil der være, hvor du som dataansvarlig pga. cloudleverandørens standardvilkår ikke har mulighed for at tilpasse løsningen efter risikovurderingen.
Det næste skridt er, at der skal foretages en risikovurdering af behandlingssikkerheden. Du skal som dataansvarlig afdække, hvad cloudleverandørens niveau for behandlingssikkerhed er samt vurdere tilstrækkeligheden heraf i forhold til de services, du får fra cloudleverandøren. Her er det vigtigt at forholde sig til, i hvilket omfang du har mulighed for at kræve, at databehandleren etablerer yderligere foranstaltninger, såfremt deres sikkerhedsniveau ikke er tilstrækkeligt.
2. Kend dine cloudleverandører
Det andet punkt i køreplanen for lovlig brug af clouds er, at du som dataansvarlig skal kende dine cloudleverandører.
Du har ansvaret for at vælge en cloudleverandør, hvor behandling af personoplysninger kan ske lovligt. Her skal man for hver cloudleverandør indgå en databehandleraftale og sikre sig, at cloudleverandøren overholder persondataforordningen.
Særligt ved brug af cloudleverandører som databehandler, er det vigtigt at vurdere, om instruksen fra den dataansvarlige bliver overholdt, og om cloudleverandøren behandler personoplysningerne til egne formål. Det bemærkes her, at det er et brud på persondatasikkerheden hos den dataansvarlige, hvis databehandleren handler i strid med eller uden for instruks.
Hvis databehandleraftalen indeholder et generelt forbehold om, at cloudleverandøren må behandle data til egne formål, indebærer dette, at cloudleverandøren er selvstændig dataansvarlig for alle videregivne personoplysninger, uagtet at der reelt kun behandles visse typer af personoplysninger til egne formål.
3. Tilsyn med cloudleverandøren og eventuelle underleverandører
Du har som dataansvarlig en pligt til at føre tilsyn med dine databehandlere. Du skal påse, at behandlingen af de personoplysninger, du overlader til dine databehandlere, sker forsvarligt. Det gælder også, når du benytter en cloudleverandør som databehandler.
Jo større risiko, der er knyttet til behandlingen hos databehandleren, des mere intenst og hyppigt skal tilsynet være. Her gentager vejledningen om clouds nogle af de momenter, der kan indgå i denne vurdering. En nærmere beskrivelse af, hvordan du fører tilsyn med dine databehandlere, kan du finde i Datatilsynets vejledning om tilsyn med databehandlere.
Overførsler til tredjelande
Mange cloudleverandører har hjemsted uden for EU/EØS eller benytter underleverandører, som har hjemsted udenfor EU/EØS. Når man anvender en cloudleverandør, som har hjemsted uden for EU/EØS betyder det, at man overfører personoplysningerne til det pågældende tredjeland, hvilket stiller en række krav til såvel dig som dataansvarlig/databehandler som til cloudleverandøren.
Du skal som dataansvarlig kende dine overførsler til tredjelande og grundlaget herfor. Derudover skal du vurdere, om det pågældende overførselsgrundlag reelt er effektivt til at beskytte de overførte personoplysninger.
Hvis ikke beskyttelsesniveauet i tredjelandet i det væsentligste svarer til beskyttelsesniveauet i EU/EØS, skal der etableres supplerende foranstaltninger. Hertil bemærker Datatilsynet, at fordi der er tale om en meget vanskelig vurdering, så bør man anlægge en ”worst case scenario”-strategi, og alle usikre tredjelande skal derfor anses for at have et utilstrækkeligt beskyttelsesniveau.
Det følger af Schrems II-afgørelsen og Det Europæiske Databeskyttelsesråds efterfølgende anbefalinger om supplerende foranstaltninger, at man er nødt til at vurdere beskyttelsesniveauet og om nødvendigt etablere supplerende foranstaltninger, når overførselsgrundlaget ikke beskytter de overførte personoplysninger tilstrækkeligt. Du kan her læse mere om Schrems II og anbefalingerne om supplerende foranstaltninger.
Det er udgangspunktet efter Schrems-II afgørelsen, at beskyttelsesniveauet i USA ikke er tilstrækkeligt. Dette skyldes primært den amerikanske Foreign Intelligence Surveillance Act (FISA) sektion 702, som giver amerikanske efterretningstjenester mulighed for at indsamle personoplysninger hos bl.a. cloudleverandører. Ved brug af cloudleverandører i USA er man derfor nødt til enten at dokumentere, at de personoplysninger, man overfører, ikke kan klassificeres som ”foreign intelligence information”, eller at cloudleverandøren ikke tidligere har fået en udleveringsanmodning om lignende data.
Som udgangspunkt er det derfor nødvendigt at etablere supplerende foranstaltninger, når der overføres personoplysninger til USA, fx ved at sikre, at personoplysningerne er krypterede uden at den amerikanske leverandør har adgang til krypteringsnøglerne.
Datatilsynet understreger i vejledningen om cloud, at de supplerende foranstaltninger skal være tekniske, før de er effektive. Det drejer sig navnlig om implementering af kryptering, hvor krypteringsnøglen befinder sig hos en tredjepart inden for EU/EØS.
Hvis cloudleverandøren i USA er nødt til at have adgang til de overførte personoplysninger i klartekst, kan det på nuværende tidspunkt som helt klart udgangspunkt ikke anses for lovligt, da der så ikke findes supplerende tekniske foranstaltninger, der sikrer et tilstrækkeligt beskyttelsesniveau.
Brug af cloudleverandører etableret i EU/EØS men med amerikanske moderselskaber
Når cloudleverandører, som udelukkende behandler personoplysninger inden for EU/EØS og heller ikke benytter underleverandører i tredjelande, behandler oplysninger på dine vegne, er der ikke tale om overførsel af personoplysningerne til tredjeland, fordi personoplysningerne geografisk ikke bliver overført til et tredjeland.
Dette gælder også, selvom cloudleverandøren har et moderselskab i et tredjeland. I USA medfører den amerikanske ”CLOUD Act” imidlertid, at et europæisk datterselskab kan blive mødt med en anmodning om udlevering af europæiske data til de amerikanske efterretningstjenester, fordi moderselskabet er amerikansk.
Hvis cloudleverandøren imødekommer en sådan udleveringsanmodning, vil det udgøre en utilsigtet overførsel, hvor cloudleverandøren handler uden for instruks. Som dataansvarlig er du ansvarlig for, at de personoplysninger, cloudleverandøren behandler på dine vegne, ikke gøres tilgængelige for uvedkommende. En utilsigtet overførsel udgør derfor et brud på behandlingssikkerheden.
Datatilsynet har i en konkret forespørgsel fra KOMBIT uddybet, at hvis en databehandleraftale med en cloudleverandør indeholder et forbehold for cloudleverandøren om, at denne kan blive mødt med en udleveringsanmodning og på baggrund heraf udlevere personoplysninger til et tredjeland, vil en sådan udlevering af personoplysninger udgøre en del af instruksen fra den dataansvarlige og det vil dermed være den dataansvarlige, som er ansvarlig for, at overførslen er lovlig.
Der vil i så tilfælde ikke være tale om en utilsigtet overførsel, men netop en tilsigtet overførsel, der kræver iagttagelse af persondataforordningens regler om overførsel af personoplysninger til tredjelande i kapitel V. Du kan her læse Datatilsynets svar til KOMBIT.
Som dataansvarlig er man derfor nødt til at overveje, om brugen af cloudleverandører med moderselskab i et tredjeland nødvendiggør yderligere supplerende foranstaltninger, så risikoen for utilsigtede overførsler mitigeres, selvom der ikke er tale om overførsel af personoplysninger til et usikkert tredjeland.
Vi følger udviklingen om brugen af clouds tæt og vil løbende holde jer opdateret med de seneste nyheder.
Har du spørgsmål til vejledningen om clouds eller den nye vejledning om cloudservices i øvrigt, er du også altid velkommen til at kontakte CLEMENS’ eksperter i persondataret.