Overføring av personopplysninger ut av EØS

Eksempelsaker

Datatilsynet opplever at dersom man gjør de riktige vurderingene, er det er mulig å få på plass gode løsninger som også kan overholde personvernregelverket. Nedenfor ønsker vi å dele noen lærdommer fra veiledningsmøter.

Datatilsynet har hatt flere veiledningsmøter om overføringsproblematikk med aktører som bruker skytjenester. Datatilsynet har ikke myndighet til å forhåndsgodkjenne løsninger, men vi kan gi råd om hvilke tiltak som skal til for å følge regelverket og hvordan vurderinger kan gjennomføres.

Vestre Viken helseforetak: Pseudonymisering som effektivt tiltak

Vestre Viken HF ønsket å ta i bruk en løsning for hjemmedialyse. Løsningen var utarbeidet slik at helsepersonell kunne følge med på og justere behandlingen fra sykehusene via en skytjeneste. Løsningen ville medføre en rekke fordeler for både sykehus og pasienter som kunne gjennomføre behandlingen hjemme.

Leverandøren av løsningen, samt skytjenesten der løsningen var installert, var begge underlagt tredjelands lovgivning. I utgangspunktet skulle personopplysninger behandles innenfor EØS, men i visse tilfeller ville support ytes fra tredjeland. Dessuten var det en mulighet for at leverandørene ville motta utleveringsbegjæringer fra myndigheter i ikke-adekvate tredjeland.

Datatilsynet uttalte at i supporttilfellene ville Vestre Viken HF trolig være behandlingsansvarlig for eventuelle overføringer til tredjeland og dermed direkte underlagt reglene i personvernforordningen kapittel V. Derfor var det nødvendig å vurdere overføringsgrunnlag og ytterligere tiltak (se del 1–6 i denne veiledningen). Det var også nødvendig å vurdere tiltak for å forhindre at leverandørene skulle overføre personopplysninger til tredjelands myndigheter ulovlig selv om dataene befant seg i EØS (se del 7 i veiledningen).

Som tiltak så Vestre Viken HF for seg å pseudonymisere personopplysningene i løsningen med et eksisterende pasientpseudonym i kombinasjon med pasientens initialer. Datatilsynet uttalte at pasientpseudonymet kunne egne seg fordi koblingsnøkkelen var under helseforetakets kontroll og ikke var tilgjengelig for tredjelands myndigheter. Vi frarådet imidlertid å kombinere pasientpseudonymet med initialer, siden initialer i noen tilfeller kunne øke identifiserbarheten og potensielt gjøre det mulig å omgå pseudonymiseringen.

I dette tilfellet hadde Vestre Viken HF vurdert slik at det ikke var mulig å identifisere pasienten kun basert på en sammenstilling av personopplysningene som ble lagret i løsningen. Da kan pseudonymisering være et effektivt tiltak.

Med disse rådene på veien hadde ikke Datatilsynet innvendinger mot at Vestre Viken HF gikk videre med prosjektet.

Sikt: Ikke grunn til å tro at problematisk lovgivning får anvendelse i praksis

Sikt er kunnskapssektorens tjenesteleverandør. De tok kontakt med Datatilsynet i forbindelse med utarbeidelse av en felles løsning for identitets- og tilgangsstyring for sektoren. Denne løsningen skulle bli levert av amerikanske leverandører i amerikanskeid sky, og leverandørens ansatte i USA hadde behov for å se personopplysninger i klartekst for å drifte løsningen. På tidspunktet hadde ikke USA en adekvansbeslutning eller «godkjenning» som område med tilstrekkelig beskyttelsesnivå.

Veiledningsforespørselen omfattet flere temaer, men her har vi valgt å fokusere på hvordan Sikt vurderte den amerikanske etterretningsloven FISA 702. I utgangspunktet var Sikts leverandører underlagt FISA 702. Loven var identifisert som problematisk og uproporsjonal.

FISA 702 har i teorien et vidt virkeområde. Samtidig har EDPB uttalt i anbefalingene sine at man ikke trenger å iverksette tiltak mot en problematisk tredjelandslov dersom det ikke er grunn til å tro at loven får anvendelse på den aktuelle behandlingen av personopplysninger i praksis.

Sikt spurte hva Datatilsynet mener med at dette er en «binær» vurdering – det er jo vanskelig å være helt sikker på om loven får anvendelse. Datatilsynet klargjorde at enten er det «grunn til å tro», eller så er det «ikke grunn til tro». Ordlyden i EDPBs retningslinjer tilsier ikke at man må være 100 % sikker, men at konklusjonen må trekkes med en viss sannsynlighetsovervekt og på bakgrunn av grundige vurderinger. Vurderingen står på om det er grunn til å tro at loven får anvendelse i det konkrete tilfellet, ikke om det er grunn til å tro at myndighetene vil benytte seg av innsynsmuligheten i tilfeller hvor loven får anvendelse.

For å vurdere om det var grunn til å tro at FISA 702 ville få anvendelse på Sikts data, hadde Sikt spurt flere leverandører i markedet om de i praksis hadde mottatt utleveringsbegjæringer fra amerikanske myndigheter, noe de ikke hadde. EDPB åpner for at dette kan være ett av flere elementer i vurderingen så lenge man spør flere leverandører.

Sikt hadde også vurdert lovens ordlyd og dokumentasjon fra amerikanske myndigheter, selv om dette i seg selv ikke ga fullstendige svar. Sikt hadde videre undersøkt øvrig informasjon fra andre kilder og eksperter om hvordan loven tolkes og praktiseres.

På bakgrunn av dette mente Sikt at det var avgjørende etter FISA 702 om de aktuelle personopplysningene kunne sies å være innenfor leverandørens «possession, custody or control». Det vil igjen si at på hvilken måte leverandøren har tilgang til personopplysningene kan få betydning. Ikke enhver teoretisk mulighet for at en leverandør kan skaffe seg adgang til personopplysningene trenger å være relevant.

Videre mente Sikt at man må vurdere hvorvidt personopplysningene er innhold i kommunikasjon eller metadata om kommunikasjon (til sammen kalt «contents of communications») til eller fra en fysisk person av interesse («target»). Sikt mente at den aktuelle kommunikasjonen mellom to systemer ville falle utenfor FISA 702 fordi hverken avsender eller mottaker kunne være et «target».

Der det var snakk om kommunikasjon til fysiske personer, vurderte Sikt tilsvarende om systemet ville inneholde «contents of communications». Her var det relevant at det aktuelle systemet bare ville inneholde hvorvidt et varsel var blitt sendt, mens e-postadresse og innhold i e-post ville bli håndtert av et annet, separat system.

På bakgrunn av vurderingene kom Sikt frem til at de kunne gå videre med systemet selv om det ville innebære at leverandøren i USA fikk adgang til personopplysninger i klartekst. Sikt ville imidlertid iverksette avtalemessige tilleggstiltak likevel.

Datatilsynet har ikke godkjent Sikts vurdering av FISA 702. Datatilsynet bekreftet imidlertid at det er handlingsrom i personvernregelverket til å vurdere hvordan problematisk lovgivning fungerer i praksis. Videre uttalte Datatilsynet at Sikts presentasjon i veiledningsmøtet tydet på grundige og metodisk gode vurderinger. Datatilsynet hadde ikke innvendinger til hvordan vurderingene var blitt gjennomført.

Sikt er villig til å dele analysen sin med andre. Hvis dette er interessant, kan man ta kontakt med Sikts personvernombud (sikt.no).