Veiledning for offentlig sektors bruk av skytjenester etter Schrems II

Veiledning for offentlig sektors bruk av skytjenester etter Schrems II

Ved anskaffelser og bruk av skytjenester er det mange krevende personvernvurderinger som må foretas. Koordineringsarbeidet har på oppdrag fra SKATE nedsatt en arbeidsgruppe som skal gi veiledning til flere av disse vurderingene. På denne siden finner du arbeidsgruppens resultater.

Kort om arbeidet og resultatene

Veiledningen er kompleks og omfattende. Målgruppen er personer i offentlige virksomheter som har kunnskap om regelverket for personvern og kjenner til problemstillinger knyttet til bruk av skytjenester, særlig i kjølvannet av Schrems II-dommen.

Veikart

Kjernen i Schrems II

Forholdet mellom europeisk personvernlovgivning og amerikansk etterretningslovgivning var kjernen i Schrems II. Gode vurderinger av risikoen for at andre lands etterretningsmyndigheter får tilgang til personopplysninger er noe mange sliter med. Arbeidsgruppen har derfor fokusert på dette. Vi har gått gjennom jussens rammer for slike vurderinger ved bruk av skytjenester. Vi har sett både på bruk av skytjenester som innebærer en overføring og bruk av skytjenester med region i EU/EØS. Vi har også laget veiledning for å hjelpe deg når du faktisk skal foreta denne vurderingen.

Man som speider utover mens han svever blant skyer, stående på en pil som peker fremover.
Er dette en fasit for offentlig sektor?

Nei, dette er ikke en fasit. Det vi skriver her er våre vurderinger og anbefalinger til andre virksomheter som har de samme problemstillingene.

Leser du noe du mener er feil eller har du innspill? Da vil vi gjerne høre fra deg, slik at vi kan oppdatere tekstene og sørge for at vi hjelper hverandre med de vanskelige spørsmålene. Send oss tilbakemelding til KA@dfo.no

Hva med skytjenesteavtalene?

Ved siden av de viktige vurderingen knyttet til personvernrisiko og etterretning har vi selve skytjenesteavtalene. Disse regulerer hvordan personopplysningene skal behandles i skytjenesten. Når du tar i bruk en stor global skytjeneste er det ofte leverandørens standardvilkår som legges til grunn, og din virksomhet kan ha liten påvirkningsmulighet. I denne delen av veiledningen tar vi for oss ansvarlighetsprinsippet som en overordnet rettslig ramme og vi ser på typiske avtalevilkår som arbeidsgruppen vet flere synes er vanskelige. Vi ser særlig på instruksjonsmyndigheten og forbehold i standardvilkårene om utlevering til tredjelands myndigheter.

Annen nyttig veiledning

Om arbeidsgruppen

Veiledningen du finner på disse sidene er skrevet av fagpersoner i flere offentlige virksomheter som ønsket å gå sammen for å finne svar på de vanskelige spørsmålene. Ikke alle deltakerne har skrevet eller gitt innspill til all veiledningen. Veiledningen er heller ikke forankret i virksomhetene.

Arbeidet har vært ledet av Digdir og DFØ.

Veiledningen vil forvaltes videre av Markedsplassen for skytjenester i DFØ.

Mandat og virksomheter i arbeidsgruppen

SKATE-virksomhetene fikk høsten 2021 et mandat fra SKATE.

Koordineringsarbeidet har jobbet siden 2021. For å svare ut mandatet fra SKATE har noen av virksomhetene fra koordineringsarbeidet jobbet sammen i en arbeidsgruppe. Det er arbeidsgruppen som har utarbeidet denne veiledningen og her har representanter fra følgende virksomheter deltatt:

  • Digitaliseringsdirektoratet
  • Direktoratet for forvaltning og økonomistyring
  • Skatteetaten
  • NAV
  • Norsk Helsenett
  • Direktoratet for E-helse
  • Helsedirektoratet
  • Lånekassen
  • Kartverket
  • Politidirektoratet

I tillegg til disse virksomhetene har arbeidsgruppen fått innspill fra flere andre offentlige virksomheter.

Fullstendig oversikt over alle sidene i veiledningen

Leter du etter en spesifikk side? Her finner du en oversikt over alle sidene i veilederen. Boksene her leder til de samme tekstene du finner ved å følge lenkene over.

Oppsummeringssiden

Sider om risiko for innhenting til etterretningsformål og bruk av skytjenester

Sider om skytjenesteavtaler

Kontakt

Gi oss tilbakemelding!

Har du spørsmål eller tilbakemeldinger? Ta kontakt med oss!

E-post: markedsplassen [at] dfo.no (markedsplassen[at]dfo[dot]no)

Fant du det du lette etter?

Nei

Det beklager vi!

Tilbakemeldingen din er anonym og vil ikke bli besvart. Vi bruker den til å forbedre nettsidene. Hvis du vil ha svar fra oss, ta kontakt på telefon, e-post eller kundesenter på nett.