Det er ikke likegyldig i hvilke land dataene lagres

Stadig flere virksomheter tar i bruk skytjenester til å behandle og lagre virksomhetens data. Hvis dataene inneholder informasjon som reguleres av personopplysningsloven, stilles det en rekke krav, inkludert hvilke land dataene kan overføres til.

Del
!
Artikkelen er over ett år gammel og innholdet kan derfor være utdatert

Typiske eksempler på nettskytjenester er SkyDrive, iCloud, Google Drive, Dropbox og norske Jottacloud. Dette er leverandører som tilbyr lagring av data på servere som er plassert i store serverparker.  I tillegg tilbyr mange system- og programvareleverandører ulike skytjenester. At programmene kan kjøres online i nettleseren byr på mange fordeler, ikke minst for små og mellomstore bedrifter, som på denne måten får tilgang til systemer det ellers hadde vært krevende å kjøre og vedlikeholde på servere i egne lokaler. Hvis dataene som behandles eller lagres ikke omfattes av personopplysningsloven, eller andre regler, er det i all hovedsak opp til virksomhetene selv å bestemme sikkerhetsnivå, samt hvordan og hvor dataene fysisk skal være lagret.  Hvis dataene omfattes av personopplysningsloven, er det derimot en rekke vilkår og krav som må oppfylles. Blant annet stilles det krav til hvordan personopplysningene kan anvendes, som for eksempel at de bare kan nyttes til uttrykkelig angitte formål som er saklig begrunnet i den behandlingsansvarliges virksomhet. 

Krav til sikkerhet

I tillegg til grunnkravene setter loven krav til blant annet informasjonssikkerhet, dokumentasjon og internkontroll.  I utgangspunktet er personalregistre, som bare inneholder ikke-sensitive opplysninger, unntatt fra både konsesjons- og meldeplikt, så lenge registrene har personaladministrasjon som formål. Behandlingen av dataene må imidlertid følge de øvrige reglene i personopplysningsloven.  - Virksomhetene er som behandlingsansvarlige juridisk ansvarlige for at kravene i regelverket oppfylles og etterleves. Dette gjelder også når databehandlingen settes ut til en ekstern databehandler, sier Jørgen Skorstad, juridisk seniorrådgiver i Datatilsynet. 

I hvilke land kan skydataene lagres?

Når det gjelder data som omfattes av personopplysningsloven settes det klare krav når det gjelder å sende denne typen personopplysninger ut av landet. I loven heter det blant annet at: «Personopplysninger kan bare overføres til stater som sikrer en forsvarlig behandling av opplysningene.»  - I praksis kan persondata overføres til land innenfor EU/EØS, siden disse landene baserer seg på samme regelverk som Norge, opplyser Skorstad. I tillegg er enkelte land godkjent av EU som trygge mottakerstater. 

Datatilsynet kan via en egen svartjeneste gi råd både til privatpersoner og virksomheter, men de er ikke noe godkjenningsorgan for skytjenesteleverandører. Det betyr at hver enkelt virksomhet selv må gjøre en risikovurdering av sin bruk av skyleverandører.  Skorstad understreker at det er hvilket land serverne fysisk er plassert i som er avgjørende for om kravene oppfylles eller ikke. Det er med andre ord ikke nok at databehandleren er registrert eller har kontorer innenfor EU/EØS-området. 

EU skrotet Safe Harbour

Hvor dataene lagres har fått særlig aktualitet den siste tiden. I 2000 fattet EU-kommisjonen et vedtak om at virksomheter kunne overføre personopplysninger til USA så lenge mottakeren gjennom selvsertifisering forpliktet seg til å behandle mottatte personopplysninger i henhold til EU/EØS-kravene. 6. oktober i år opphevet imidlertid EU-kommisjonen denne avtalen, som har gått under navnet Safe Harbour. For øyeblikket er det derfor usikkerhet med hensyn til om personopplysninger i fremtiden kan overføres fra virksomheter innen EU/EØS-området til Safe Harbour-sertifiserte virksomheter i USA på samme måte som før dommen i EU-domstolen.  - EU har signalisert at de innen 31. januar 2016 vil tydeliggjøre hvordan de skal forholde seg til den nye situasjonen som har oppstått, sier Skorstad, som opplyser at det også i dag er mulig å overføre personopplysninger til land som ikke er forhåndsgodkjente av EU/EØS.  - Dette kan gjøres ved at den behandlingsansvarlige benytter seg av en av to standardkontrakter utformet av EU. Den ene, som omhandler overføring av data til behandlingsansvarlig i utlandet, krever samtykke fra Datatilsynet, mens den andre som omhandler overføring av data fra en behandlingsansvarlig i Norge til databehandler i utlandet, kun krever at det gis melding til oss, sier Skorstad.

Hva skjer hvis leverandøren går konkurs?

Også ved skylagring av data som ikke omfattes av personopplysningsloven er det viktig å gjennomførerisikovurderinger og få på plass en god databehandleravtale. Slike avtaler bør også ta for seg dataportabilitet. Det vil si muligheten forat dataene kan overføres til en ny tjenesteleverandør,hvis virksomhetenønsker det.

- Hva som skjer med data og funksjonalitethvis leverandøren går konkurs,eller blir kjøpt opp av et annet selskapsom skal avvikle virksomheten,bør være en del av risikovurderingen. Gode avtaler må til for å dekke dennerisikoen. Går leverandøren konkursvil du imidlertid være avhengig av ombostyret vil tre inn i avtalen og sikretilgjengelighet videre, sier Hans Christian Ellefsen i Regnskap Norge.

- Det er heller ikke slik at en avtalepasser alle. Hver enkelt virksomhetmå gjøre egne risikovurderinger av sinbruk, vurdere om sikkerheten er ivaretattog om man skal vurdere ekstra tiltaksom kan sikre dataene, for eksempelved en konkurs, sier Ellefsen.

Elektronisk oppbevaring av regnskapsmateriale

Stadig flere tjenestetilbydere oppbevarer regnskapsmateriale elektronisk.Dette kan være en ekstern regnskapsfører, eller virksomhet som tilbyr skanning og elektroniskoppbevaring av regnskapsmaterialet.  

Selv om oppbevaringen settes bort tilandre, er det uansett den bokføringspliktigesom er ansvarlig for at regnskapsmaterialetblir oppbevart i samsvar medbokføringslovens krav. Det betyr at den bokføringspliktige bør forvisse seg omhvor serveren som tilbyder av oppbevaringstjenester benytter, er plassert. Regnskapsmateriale skal som hovedregel oppbevares i Norge.

Oppbevaring kan likevel skje i utlandet i følgende tilfeller:  

•Midlertidig oppbevaring dersom bokføringen foregår i utlandet.  

•Permanent elektronisk oppbevaring i Danmark, Finland, Island og Sverige, når det er sendt melding om dette til Skatteetaten.  

•Dispensasjon til permanent elektronisk oppbevaring i utlandet. 

Ved oppbevaring i utlandet settes det uansettsom krav at:  

•Oppbevaringen ikke skal være til hinder for effektiv norsk politietterforskning.  

•Materialet skal være tilgjengelig i lesbar form og kunne skrives ut på papir fra terminal eller lignende i Norge i hele oppbevaringsperioden.  

•Skattedirektoratet informeres om hvilket regnskapsmateriale som oppbevares i utlandet, hvor det oppbevares, og hvordan kontrollmyndighetene til enhver tid kan få adgang til materialet.  

•Oppbevaringstiden som et minimum skal følge norske krav, selv om oppbevaringstiden er en annen etter det aktuelle lands lovgivning. Hvis det søkes om å oppbevare regnskapsmaterialeti andre land enn de nordiske legges det fra skattemyndighetenes side avgjørende vekt på om oppbevaringen skjer som ledd i en felles regnskapsløsning innen et konsern eller lignendesammenslutning.

Datatilsynets sjekkliste for virksomheter som skal lagre personopplysninger i skyen

På samme måte som virksomheter som lagrer data lokalt, må virksomheter som tar i bruk skytjenester sørge for at personopplysninger behandles i tråd med personvernregelverket.

For å gjøre det enklere for virksomhetene å vite hvilke aspekter de bør ta i betraktning, har Datatilsynet utviklet en veileder for skytjenester på datatilsynet.no. Her er en kortversjon:

Risiko- og sårbarhetsanalyse

  • Kartlegg alle systemer i virksomheten som inneholder personopplysninger, og grader opplysningene fra sensitive til ikke-sensitive.
  • Evaluer hva som kan gå galt, og hvilke følger det kan få om for eksempel personopplysninger kommer på avveie.
  • Lag en oversikt over sikkerhetstiltak som er iverksatt for å håndtere hendelser.
  • Vurder sikkerhetstiltakene i avtalen med leverandøren av skytjenesten og om tjenesten tilfredsstiller kravene i risikovurderingen.

Pliktig å ha databehandleravtale

Virksomheter har plikt til å ha en databehandleravtale med leverandøren av skytjenestene, og må sørge for at denne er i tråd med norsk regelverk.

Det er virksomhetens ansvar at lovens krav følges. Viktige momenter som må dekkes i avtalen er hvordan data sikkerhetskopieres og slettes, hvordan tilgangsstyringen skjer og om leverandøren kan bruke virksomhetens data til andre formål (segmentering).

Gjennomfør en revisjon av databehandleren

Bruken av skytjenester må revideres jevnlig. Det vil si at virksomheten selv, eller en uavhengig tredjepart, gjennomfører en sikkerhetsrevisjon for å sikre at databehandleravtalen følges. Dersom avtalen sier at en

tredjepart skal utføre revisjon – krev å få se rapporten fra utført revisjon.

Overføring av data må følge loven

Overføring til tredjeland: Personopplysninger kan ikke uten videre overføres til land utenfor EØS, men Datatilsynet kan forhåndsgodkjenne overføringer. I tillegg er enkelte land godkjent av EU som trygge mottakerstater.

Dataportabilitet

Sjekk om data kan overføres til ny tjenesteleverandør hvis det blir behov for det.

Sørg for sikker kommunikasjon og kryptering

  • Blir opplysningene kryptert før de lagres i nettskyen?
  • Er kommunikasjonen mellom behandlingsansvarlig, databehandler og underleverandør/datasenter kryptert?
  • Hvem sitter på krypteringsnøklene?

Sørg for nødvendig dokumentasjon

Er løsningen tilstrekkelig dokumentert slik at offentlige myndigheter kan gjennomføre en kontroll?

 

Artikkelen ble utgitt i Regnskap & Økonomi utgave 4-2015