Merk at teksten nedenfor er ikke oppdatert siden 22. september 2022, og innholdet kan være endret som følge av endringer i regelverket eller annet. For oppdatert informasjon, les eller abonner på mine nyhetsbrev.
Bruk av skytjenester, spesielt med amerikanske leverandører, og overføring av personopplysninger til eller bruk av tjenester fra land utenfor EØS er vel den største hodepinen innenfor personvern og GDPR for tiden etter Schrems II-dommen falt. Disse utfordringene viser både GDPRs store styrke og svakheter.
Mange sliter med at man helst ikke skal bruke tjenester fra amerikanske leverandører eller tjenester som medfører overføring/tilgang til personopplysninger fra land utenfor EØS. Samtidig er det få eller ingen reelle alternativer til enkelte tjenester, så man gjør det beste man kan med risikovurderinger og ekstra tiltak. Og egentlig så er det ikke helt innenfor fremdeles, men hva skal man gjøre?
Så man tørster etter klarhet, og tiden går sakte til det nye Privacy Framework kanskje kommer (siste oppdatering er at det trolig kommer iløpet av Q1 2023).
Et lite lyspunkt kom da Digitaliseringsdirektoratet (Digdir) og Direktoratet for Forvaltning og økonomistyring (DFØ) publiserte offentlig sektors veiledning for lovlig anskaffelse og bruk av skytjenester i forrige uke. Bakgrunnen for veilederen var at en mer praktisk veiledning har vært etterspurt, og Digdir og DFØ hadde på oppdrag fra det rådgivende organet Skate, tatt «stafettpinnen videre fra Datatilsynet for å gi ytterligere veiledning».
Men allerede dagen etter meldte Datatilsynet og Digdir i felles uttalelse at veilederen hadde skapt usikkerhet. Det kan også tyde på at Datatilsynet ikke er enig i de vurderinger som er gjort i veilederen fra Digdir, og forholdet til Datatilsynets veileder var uklart. Hva Datatilsynet ikke er enig/uenig i, er imidlertid ikke klart så det er usikkert da om man kan basere seg på noe i veilederen fra Digdir til det kommer ytterligere avklaringer.
Det hører til historien at Datatilsynet var kritiske til veilederen fra starten av, og at Datatilsynets tidligere direktør tidligere har uttalt at det var «uønsket at Digdir eller andre hadde en egen forståelse av handlingsrommet i Schrems II-dommen». Samtidig har Digdir vært i dialog med Datatilsynet om veilederen.
Dessverre gjør vel dette forsøket på å gjøre situasjonen klarere snarere det motsatte, ved at situasjonen er enda mer uavklart… Dette er absolutt ikke en akseptabel situasjon for virksomheter som har behov for skytjenester i sin virksomhet!