Flere nyheter om IT-avtaler

Flere nyheter om IT-avtaler
Peter Nordbeck, advokat, Advokatfirman Delphi.

På slutten av fjoråret var det enda flere viktige nyheter for IT-avtaler. Jeg tenker på:

  • EU-kommisjonen har utarbeidet et utkast til et tilstrekkelig beskyttelsesnivå for «EU-US Data Privacy Framework»,
  • Microsoft kunngjør at de tar det første skrittet mot «EUs datagrense».

Nedenfor beskriver jeg kort hva det er.

Tilstrekkelig beskyttelsesnivå for «EU-US Data Privacy Framework»
I min siste ekspertkommentar skrev jeg om president Bidens executive order om å innføre det nye rammeverket for overføring av personopplysninger mellom EU og USA, «EU-US data privacy framework».

Samtidig arbeidet EU-kommisjonen med å utvikle et forslag til et tilstrekkelig beskyttelsesnivå for det nye rammeverket. Forslaget ble lagt frem 13. desember 2022.

Forordningen er et resultat av prinsippavtalen som ble oppnådd mellom EU-kommisjonen og USA i mars 2022 om å finne en erstatning for Privacy Shield, avvist av EU-domstolen i den såkalte Schrems II-saken.

Kommisjonen skriver blant annet følgende om sitt forslag i en pressemelding:

«Beslutningsutkastet konkluderte med at USA sikrer et tilstrekkelig beskyttelsesnivå for personopplysninger overført fra EU til amerikanske selskaper.»

Kommisjonens forslag er sendt til European Data Protection Board (EDPB) for kommentarer. Deretter vil godkjenning innhentes fra representanter for EUs medlemsland og Europaparlamentet vil ha rett til å kommentere forslaget før det endelig vedtas av Kommisjonen.

Det blir spennende å se hvordan forslaget blir mottatt, blant annet av EDPB. Max Schrems organisasjon, noyb, er ikke uventet sterkt kritisk til forslaget og skriver bl.a.

«Ettersom utkastet til vedtak er basert på den velkjente kjennelsen, ser jeg ikke hvordan dette kan overleve en anke til domstolen.»

Hvis EU-kommisjonen vedtar en beslutning om tilstrekkelig beskyttelsesnivå, vil personopplysninger være fritt overførbare til amerikanske selskaper som har sluttet seg til det nye rammeverket.

Til slutt har kommisjonen kunngjort at den vil gjennomføre en regelmessig gjennomgang av «EU-US data privacy framework», muligens bygge på tidligere erfaringer med Privacy Shield. Første gjennomgang må skje innen ett år etter adopsjon. Målet med gjennomgangen er å undersøke om relevant lovgivning i USA er fullt implementert og fungerer i praksis.

Første trinn i «Microsoft EU Data Boundary».
Microsoft har kunngjort at med virkning fra 1. januar 2023 har de startet den første fasen av utrullingen av sin «EU Data Boundary-løsning» til offentlig sektor og kommersielle kunder innenfor EU og EFTA (Island, Liechtenstein, Norge og Sveits).

Hva betyr Microsofts «EU-datagrense»?
I et nøtteskall kan det beskrives som at Microsoft utvider mulighetene for sine kunder til å lagre og behandle personopplysninger innenfor EU/EØS og reduserer dataflyten til land utenfor EU/EØS. Initiativet kan sies å være en inntreden i diskusjonene om overføring av personopplysninger til tredjeland etter Schrems II-dommen.

I et veikart publisert av Microsoft er implementeringen beskrevet mer detaljert.

Fase 1som derfor startet 1. januar i år, inkluderer kundedata for Microsoft 365, Dynamics 365, Power Platform og de fleste Azure-tjenester innen EU og EFTA.

I Fase 2«EU Data Boundary» vil også inkludere pseudonymiserte data generert gjennom din bruk av Microsoft-tjenester (for eksempel metadata). Slike data vil kun bli lagret og behandlet innenfor EU og EFTA. Det er uklart når fase 2 forventes å starte.

Fase 3Til slutt gjelder det støttedataene. Microsoft planlegger å legge til muligheten til å behandle og lagre data mottatt i forbindelse med teknisk støtteytelse innenfor «EUs datagrense» innen midten av 2024. Samtidig skriver Microsoft at selskapets underleverandører (utenfor EU/EØS) fortsatt kan behov for å ha tilgang til personopplysninger som lagres og behandles innenfor «EUs datagrense». Levering av slike data vil kun skje via sikker fjerntilkobling.

I tillegg vil Microsoft utvide støttestab innen EU og planlegger å la kunder få tilgang til førstekontaktsstøtte innen EU mot et gebyr.

Noen refleksjoner
Microsoft tilbyr allerede lagring av sovende personopplysninger (kundedata) innenfor EU i dag, inkludert Sverige. At selskapet nå har annonsert lanseringen av «EU Data Boundary» representerer nok et steg mot å forenkle behandlingen av personopplysninger i forhold til Microsofts skytjenester.

Samtidig er lanseringen i en tidlig fase og mange detaljer er ennå ikke kjent. Den store utfordringen kan nok betraktes som støttedata. Også i fremtiden, som kunngjort av Microsoft, kan støttepersonell (fra Microsoft eller dets underleverandører) ha behov for å få tilgang til personopplysninger om kunder fra land utenfor EU/EØS, for eksempel under andrenivåstøtte eller tredjelinje.

Vi kan forvente at det vil komme mer informasjon fra Microsoft som klargjør områdene de har informert så langt med brede penselstrøk. Det vil bli interessant å se hvor komplett «EU-datagrensen» til syvende og sist blir, for eksempel med tanke på støttedata.

Peter Nordbeck
Advokat, Delphi Advokatfirma

Lance Hawkins

"Henivne sosiale medier-nerd. Matelsker. Ond kommunikator. Ivrig ølspesialist. Hardcore bacon-banebryter. Faller mye ned."

Related Posts

Grensekommunenes klage: Åpne grensen | SVT Nyheter

Grensekommunenes klage: Åpne grensen | SVT Nyheter

I midten av mars ble grensen stengt og stengingen ble utvidet i flere etapper. Det har blitt et mareritt for alle selskaper som lever av innkommende nordmenn. – Situasjonen er ganske tøff, spesielt i grensehandelen som har tapt 90-95 %, sier Daniel Schützer, sosialdemokratisk rådmann i Årjäng. Påvirker nordmennene Ifølge Daniel Schützer har de sammen med de andre

Ny norsk lov krever svar på batteriråvarer

Ny norsk lov krever svar på batteriråvarer

Etter flere år Etter granskingsarbeid har norske myndigheter nå vedtatt en ny åpenhetslov som pålegger selskaper å holde styr på leverandørkjedene sine og informere kunder om det. Dette har blant annet Motor magazine rapportert ovenfor. Loven bygger på prinsippene om såkalt menneskerettighetsdue diligence, som legger ansvar på selskaper for å iverksette tiltak for å sikre at deres virksomhet

Nyheter – Byggematerialer | Byggematerialer Sverige

Nyheter – Byggematerialer | Byggematerialer Sverige

Håkon G. Kristiansen, strategisk direktør i Mestergruppen, og Thorbjørn Theie, administrerende direktør i VVS Norge. Nyheter 13. mai 2022 Tekst: Emma Sellbrink Foto: Mestergruppen AS Mestergruppen AS med XL-Bygg, Bolist og Järnia-kjedene i Sverige, kjøper VVS Norge AS, som driver innen rørlegger-, varme- og vanningsanlegg. Mestergruppen, som i dag har rundt 1000 medlemsbedrifter innen kjeder som opererer innen

Veidekke Bostad bytter navn | Byggeverdenen

Veidekke Bostad bytter navn | Byggeverdenen

Nyheter 26. august 2019 Foto: Veidekke Fra 1. september endrer Veidekke Bostad navn til Veidekke Eiendom, med sikte på å styrke båndene til Norge. Selskapet planlegger også å ekspandere inn i det svenske markedet med opprettelse av egen resultatenhet for borettslag og næringseiendommer med massivtresnekkerarbeid. Veidekke Bostad ble grunnlagt i 1997 og har vokst til å bli et

Atomstrøm i Norge og Danmark

Atomstrøm i Norge og Danmark

Det er grunn for Sverige å undersøke muligheten for å medfinansiere utbyggingen av kjernekraft sammen med Norge og Danmark. Dette skriver Næringsøkonomisk råd i en fersk rapport der atomspørsmålet står sentralt. Rapporten belyser forutsetningene for ny atomenergi og mulighetene for å finansiere den. Danmark og Norge er tradisjonelt sett for kjernekraft. I Danmark var holdningen så negativ at

Reguleringsbyrder og byråkrati setter en stopper for oppdrett av den mest miljøvennlige laksen i verden

Reguleringsbyrder og byråkrati setter en stopper for oppdrett av den mest miljøvennlige laksen i verden

Den mest miljøvennlige laksefarmen i verden utvikles i Sotenäs kommune, en liten kommune på vestkysten. I tre år har de motiverte gründerne bak Smögenlax testet lakseoppdrett på land sammen med ledende forskere fra Göteborgs universitet og Sveriges Lantbruksuniversitet. Alle tillatelser gjelder for dette miljøprosjektet bortsett fra den siste, miljøtillatelsen. Da det ble søkt om miljøtillatelse til et større

Legg att eit svar

Epostadressa di blir ikkje synleg. Påkravde felt er merka *