logoRevisjon og regnskap

Logg på for å laste ned PDF
Selskapsrett

Advokatfullmektig

Cato Løwer

Arntzen de Besche

Advokat

Espen Sandvik

Partner Arntzen de Besche

Cloud computing:

Rettslige utfordringer ved bruk av nettskyen

Temaet for denne artikkelen er det rettslige rammeverket for nettskyen, og hvilke juridiske utfordringer en virksomhet må være oppmerksom på når den vurderer bruk av nettskyen.

Et stadig vanligere fenomen er at private og offentlige virksomheter tar «nettskyen» i bruk for å dekke sine IT-behov. Nettskyen – eller cloud computing – er eksterne serverparker tilknyttet internett som tilbyr datalagring av informasjon, dataprosessering og programvare til private og offentlige virksomheter.* Veilederen til Datatilsynet, side 4 (www.datatilsynet.no). Privatpersoner kan også bruke nettskyen, men vi går ikke inn på de rettslige problemstillingene som oppstår for dem. Fordelene med nettskyen er blant annet at virksomheten ikke trenger å foreta store investeringer i IT-infrastruktur, at virksomheten lettere får tilgang til den seneste programvaren på markedet, og at mye komplisert IT-arbeid blir overlatt til nettskyleverandøren. Til tross for disse fordelene har enkelte uttrykt skepsis til nettskyen, særlig med tanke på virksomhetskritiske data og funksjoner. Det er først og fremst faren for at informasjon vil komme på avveie, eksempelvis ved hacking eller en uredelig ansatt hos nettskyleverandøren, som kan tale mot nettskyen. Et annet aspekt ved nettskyen er den kontrollutfordringen som ligger i at data ikke bare lagres eksternt hos en tjenesteleverandør, men også kan flyttes fra sted til sted og fra land til land. Dette gjøres av hensyn til mest mulig hensiktsmessig utnyttelse av leverandørens lagringskapasitet. Konsekvensen er at eier av dataene ofte ikke vet hvor i verden dataene befinner seg.

Nettskyens mange fordeler gjør at den uansett er kommet for å bli, og vil utgjøre en sentral del av IT-løsningene til svært mange virksomheter i tiden fremover. EU-kommisjonen vedtok i september 2012 en strategi for «Unleashing the Potential of Cloud Computing in Europe», der økt bruk av nettskyen ble uttalt som en målsetning. Dette vil ifølge kommisjonen kunne føre til økt produktivitet, vekst og sysselsetting i Europa. Kommisjonen viser også til mulige miljøeffekter ved bruk av nettskyen i form av redusert energiforbruk, og undersøkelser fra USA, som tilsier at amerikanske selskaper kan spare USD 12 milliarder årlig i energikostnader ved å gå over til bruk av nettskyen.

Hvilke krav stiller personopplysningsloven til nettskyen?* Hvis det er tale om helseopplysninger, er det også viktig å undersøke reglene i helseregisterloven.

Hvorfor personopplysningsloven er relevant

Personopplysningsloven vil være relevant for nettskybruk av to årsaker: dels begrenser loven adgangen til overhodet å behandle personopplysninger, dels stiller den krav til hvordan personopplysningene skal behandles. Med behandling av personopplysninger menes både innsamling, lagring, utlevering og overføring av slike opplysninger, jf. lovens § 2 nr. 2 og § 3 første ledd bokstav a. Bruk av nettskyen kan innebære både overføring og lagring av personopplysninger, og faller derfor inn under lovens virkeområde. Begrepet «personopplysning» er svært vidt, og dekker alle «opplysninger og vurderinger som kan knyttes til en enkeltperson», jf. § 2 nr. 1. I praksis vil svært mye av den informasjonen som lagres i nettskyen, inneholde en eller flere personopplysninger. Typiske eksempler er kundedata og informasjon om virksomhetens ansatte. De personvernrettslige aspektene ved nettskyen må derfor vurderes før personopplysningene overføres til nettskyen.

Ansvarsfordelingen mellom nettsky­kunden og nettskyleverandøren

I personopplysningslovens terminologi vil nettskykunden anses som «behandlingsansvarlig», mens nettskyleverandøren normalt anses som «databehandler», jf. § 2 nr. 4 og 5. Et viktig poeng i denne sammenhengen er at nettskykunden ikke blir fritatt for sitt ansvar ved å inngå en avtale med nettskyleverandøren. Hovedansvaret for overholdelse av personopplysningsloven ligger fortsatt hos nettskykunden. Dette betyr at nettskykunden risikerer å havne i ansvar som følge av at nettskyleverandørenikke overholder personopplysningsloven. Straffansvar og erstatningsansvar utenfor kontrakt vil imidlertid forutsette at nettskykunden selv har vært uaktsom.* Personopplysningsloven §§ 48 og 49. Det vil som den klare hovedregel ikke være tilfellet dersom valget av databehandleren (nettskyleverandøren) er forsvarlig, og det foreligger en avtale som tilfredsstiller kravene i personopplysningsloven (blant annet med hensyn til sikringstiltak, jf. punktet «Kravet til sikringstiltak» nedenfor). Hvis nettsky­leverandøren opptrer som en kontraktsmedhjelper for nettskykunden overfor sistnevntes kontraktsparter, vil imidlertid nettskykunden identifiseres med sin underleverandørs (nettskyleverandørens) feil etter alminnelige kontraktsrettslige prinsipper.

Plikten til å inngå databehandleravtale med nettskyleverandøren

Nettskytjenester vil i praksis reguleres i en avtale, jf. punktet om «Det kontraktsrettslige forholdet til nettskyleverandøren» nedenfor. Hvis nettskytjenesten innbefatter lagring av personopplysninger, vil en slik avtale også være en nødvendighet av regulatoriske årsaker. Personopplysnings­loven krever at behandlingsansvarlig (nettskykunden) og databehandleren (nettskyleverandøren) inngår en avtale om hvordan personopplysningene skal behandles. Plikten til å inngå en databehandleravtale fremgår ikke direkte av loven, men følger forutsetningsvis av personopplysningsloven § 15 første ledd. Bestemmelsen sier at databehandleren ikke kan «behandle personopplysninger på annen måte enn det som er skriftlig avtalt med den behandlingsansvarlige».

En rekke forhold må nedfelles i databehandleravtalen. Datatilsynet har skrevet en veileder om hvilke minimumskrav som skal være med i en databehandleravtale.* datatilsynet.no/Sikkerhet-internkontroll/Databehandleravtale/ Her nevnes noen hovedpunkter: formålet med bruken av personopplysningene skal være beskrevet, hvorvidt opplysningene skal oppbevares som et arkiv eller også bearbeides, om opplysningene skal slettes eller tilbakeføres etter at kontraktsperioden løper ut og at databehandleren plikter å holde personopplysningene adskilt fra den resterende informasjonen han besitter.

Personopplysningsloven § 15 første ledd sier videre at opplysningene heller ikke kan «overlates til noen andre for lagring eller bearbeidelse» uten en databehandleravtale. Hvis det er aktuelt at nettsky­leverandøren skal benytte underleverandører, må avtalen derfor eksplisitt bemyndige nettskyleverandøren til dette.

Plikten til å nedfelle forhold som nevnt i databehandleravtalen må sees i sammenheng med personopplysningsloven § 14. Bestemmelsen forplikter den behandlingsansvarlige til å «etablere og holde vedlike planlagte og systematiske tiltak som er nødvendige for å oppfylle kravene» i personopplysningsloven og dens forskrifter. I praksis fungerer databehandleravtalen som en instruks fra nettskykunden til nettskyleverandøren for å sikre at kravene i personopplysningsloven overholdes.

Et annet viktig element i databehandleravtaler er kravet til sikringstiltak. Personopplysningsloven § 15 annet ledd sier at databehandleravtalen skal forplikte databehandleren (nettskyleverandøren) til «å gjennomføre slike sikringstiltak som følger av § 13».

Kravet til sikringstiltak

Ifølge personopplysningsloven § 13 første ledd skal den behandlingsansvarlige og databehandleren «gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger». Personopplysningsforskriften kapittel 2 inneholder en nærmere utdyping av kravene til informasjonssikkerhet. Reglene er forholdsvis omfattende, og får også anvendelse ved behandling av personopplysninger i nettskyen. Det stilles blant annet krav til at det skal foretas en risikovurdering for å klargjøre sannsynligheten for og konsekvensene av et sikkerhetsbrudd (§ 2–4), at det jevnlig skal foretas sikkerhetsrevisjon av bruk av informasjonssystemet (§ 2–5), at det skal treffes tiltak som sikrer konfidensialitet (§ 2–11), at det skal treffes tiltak for å sikre tilgang til personopplysninger hvor tilgjengelighet er nødvendig (§ 2–12) og at det skal foreligge sikkerhetstiltak som skal hindre ­uautorisert bruk av informasjonssystemet (§ 2–14).

Kapittel 2 om informasjonssikkerhet bygger på et forholdsmessighetsprinsipp. De planlagte og systematiske tiltakene som treffes i medhold av forskriften, skal «stå i forhold til sannsynligheten for og konsekvens av sikkerhetsbrudd», jf. § 2–1. Hvilke tiltak som er nødvendig i det enkelte tilfellet, må bero på en konkret vurdering. Dette vil blant annet bero på hva slags personopplysninger som behandles, herunder om det gjelder sensitive opplysninger.

I praksis må vurderingen av sikkerhetstiltakene ved bruk av nettskyen gjøres på bakgrunn av de opplysninger nettskyleverandøren gir om sine systemer og rutiner med tanke på sikkerhet. Dersom opplysningene fra nettskyleverandøren ikke gir grunnlag for en slik vurdering, må ytterligere informasjon etterspørres.

Plikten til å informere om bruken av nettskyen

Personopplysninger kan innhentes direkte fra den opplysningene angår, eller fra andre kilder. Dersom personopplysningene innhentes fra den opplysningene angår, krever personopplysningsloven § 19 at vedkommende gis nærmere informasjon om bruken av personopplysningene. Den registrerte skal informeres om navn og adresse på den behandlingsansvarlige og dennes eventuelle representant, formålet med behandlinger, hvorvidt opplysningene vil bli utlevert og hvem som er mottaker, at det er frivillig å gi fra seg opplysningene og at den regist­rerte skal bli gitt den informasjonen som gjør vedkommende i stand til å bruke rettighetene etter personopplysningsloven på best mulig måte.

Varsel er ikke nødvendig «dersom det er på det rene at den registrerte allerede kjenner til informasjonen», jf. § 19 annet ledd. «På det rene» betyr at den registrerte må ha faktisk kjennskap til informasjonen; det er ikke tilstrekkelig at han «antas å ha» eller «burde ha» kjennskap til informasjonen.

Begrensninger i adgangen til å overføre personopplysninger til utlandet

Svært ofte vil nettskyens servere befinne seg utenfor Norge. Dette innebærer at personopplysninger føres ut av landet, enten som del av hovedlagringen, eller i forbindelse med back-up løsninger.

Utgangspunktet er at overføring av personopplysninger til utlandet ikke er tillatt, med mindre det er til land som «sikrer en forsvarlig behandling av opplysningene», jf. § 29 første ledd. Det omfatter alle landene i EU/EØS, samt noen få godkjente «tredjeland», som blant annet Argentina, Canada og Sveits. USA anses i sin alminnelighet ikke for å ha et tilfredsstillende beskyttelsesnivå. Gjennom den såkalte «Safe Harbor»-ordningen kan personopplysninger likevel overføres til virksomheter i USA som er «Safe Harbor-sertifisert».

Personopplysningsloven § 30 oppstiller enkelte unntak fra kravet i § 29 om at mottakerstaten må sikre en forsvarlig behandling av personopplysningene. Overføring til land med dårligere beskyttelse av personvernet er blant annet tillatt hvis den registrerte samtykker.* Et problem med å anvende samtykke-unntaket er at arbeidet med å skaffe de nødvendige samtykker kan være kostnadskrevende. Det kan formodentlig løses ved at ansettelses- og kundeavtalene eksplisitt angir at personopplysninger kan bli overført til en nettsky. Et slikt samtykke må være frivillig, uttrykkelig og informert,* Personopplysninglovens § 2 nr. 7. hvilket blant annet innebærer at vedkommende må gis tilstrekkelig informasjon om overføringen til å forstå hva han samtykker til. Det er verdt å merke seg at det ikke er nettskykunden som skal gi et slikt samtykke, men den personopplysningene gjelder. En virksomhet må derfor ha tilstrekkelige rutiner og systemer for å innhente de nødvendige samtykker fra sine kunder, ansatte osv.

SIKRER FORSVARLIG BEHANDLING: Overføring av personopplysninger til utlandet er i utrgangspunktet ikke er tillatt, med mindre det er til land som «sikrer en forsvarlig behandling av opplysningene».

Overføring av data til en databehandler (nettskyleverandør) utenfor EU/EØS og godkjente tredjeland er dessuten tillatt dersom behandlingsansvarlig/oppdragsgiver og databehandler/nettskyleverandøren har inngått EUs standardkontrakt for overføring inntatt i kommisjonsbeslutning 2010/87/EU datert 5. februar 2010, jf. personopplysningsforskriften § 6–3. Denne avtalen kan inngås som en del av avtaleverket mellom oppdragsgiver og nettskyleverandør. Den behandlingsansvarlige må varsle Datatilsynet om overføringen ved innsending av utfylt og signert standardkontrakt. Overføringen til nettskyen i utlandet kan først finne sted når slikt varsel er sendt.

Det må understrekes at de spesifikke reglene om overføring til utlandet kommer i tillegg til de generelle betingelsene som gjelder for enhver databehandling. Behandlingen (overføringen til utlandet/bruken av nettskyen) må ha et saklig begrunnet formål og et gyldig behandlingsgrunnlag, jf. personopplysningsloven §§ 8, 9 og 11.