SCHREMS II – Nå er det alvor!

6,5 millioner portugisere rakk å oppgi sensitive personopplysninger i den obligatoriske folketellingen 2021 før CNPD (National Data Protection Commission) ga INE (National Institute of Statistics) en frist på 12 timer til å få sikkerheten på plass eller stoppe innsamlingen. Personopplysninger fra hele Portugals befolkning sto i fare for å bli overført til USA, eller andre tredjeland, uten et tilsvarende nivå av databeskyttelse som innenfor EU.

Bakgrunnen for beslutningen om å stoppe undersøkelsen kom etter at CNPD mottok flere klager om at innbyggerne var forpliktet til å oppgi personopplysninger og at personopplysningene ble sendt til USA.

CNPD avdekket at INE brukte selskapet Cloudfare Inc. til å drifte undersøkelsen. Cloudflare er et California-basert selskap som på grunn av tjenestene de tilbyr, er direkte underlagt amerikansk overvåkingslovgivning. Loven pålegger selskaper som Cloudflare en juridisk forpliktelse til å gi amerikanske myndigheter ubegrenset tilgang til til de personopplysningene de har i sin besittelse eller varetekt - uten å kunne informere kundene om det. Cloudflare er av de største nettverkene som opererer på internett og folk bruker Cloudflare tjenester for å øke sikkerheten og ytelsen til deres nettsteder og tjenester.

Schrems II-dommen slår fast at slik lovgivning innebærer en uforholdsmessig innblanding i de registrertes grunnleggende rettigheter og at de registrerte ikke er garantert et tilsvarende nivå av databeskyttelse som innenfor EU. Videre sier Schrems II at nasjonale databeskyttelsesmyndigheter er forpliktet til å stanse, eller forby, dataoverføring selv der det foreligger kontrakter basert på EU-kommisjonens underlag, hvis det ikke er noen garanti for at disse kan respekteres i tredjelandet.

I kontrakten INE inngikk med Cloudflare fremgikk det at personopplysninger kunne bli overført til hvilken som helst av de 200 serverne som brukes av Cloudflare og at Cloudflare var autorisert til å bruke underleverandører i tredjeland. Valgene INE da gjorde, ved å bruke Cloudflare, betød at personopplysningene kunne bli behandlet i USA og andre land i Cloudflares nettverk (for eksempel Sør-Afrika, Kina, India, Jordan, Mexico, Russland og Singapore). I tillegg til overføringen av personopplysningene påpeker CNPD en rekke andre svakheter rundt bruken av Cloudflare. Blant annet godtok INE bruk av Cloudflares egne krypteringssertifikater, i stedet for kryptering ved hjelp av INEs egne private og offentlige nøkler. Noe som gir Cloudflare fullstendig kontroll over sikkerhetsprotokollen.

Les også: Schrems II stiller krav til kontroll av verdikjeden

Nedstengningen av folketellingen kan være et varsel om en hardere linje mot brudd på Personvernforordningen. Persondata blir i økende grad brukt som valuta, og selv om myndighetene kan ilegge store bøter, er det likevel enorme økonomiske incentiver for å bryte med de grunnleggende personvernrettighetene. Den kalkylen endres fort hvis alternativet er å måtte stenge.

Schrems II nedlastbar guide

 

Trygg behandling av personopplysninger

Iconfirm er en sikker plattform for behandling av personopplysninger. Som spesialist følger vi utviklingen av personvernregelverket tett. Detaljer og nyanser innarbeides løpende i vår teknologi. En av kjernefunksjonene i løsningen er muligheten til å styre behandlingen av personidentifikatorer slik at nødvendige beskyttelsesnivåer oppfylles.

Personidentifikatorer

  • Pseudonymisering og delt behandling.
  • Innebygd personvern som standardinnstilling
  • Stor fleksibilitet hvor hver klient kan definere hvilke personidentifikatorer som behandles for hvilke kategorier av registrerte, formål og i hvilke underliggende systemer

Sikker lagring

  • Løsningen er designet for særlig sikker behandling av sensitive opplysninger
  • Sikkerhet innarbeidet i kode og logikk
  • Hver organisasjon har egen krypteringsnøkkel som igjen lagres kryptert
  • Kan integreres for bruk i andre løsninger for effektivt innebygd personvern

Les mer om Iconfirm Schrems II løsning