6,5 millioner portugisere rakk å oppgi sensitive personopplysninger i den obligatoriske folketellingen 2021 før CNPD (National Data Protection Commission) ga INE (National Institute of Statistics) en frist på 12 timer til å få sikkerheten på plass eller stoppe innsamlingen. Personopplysninger fra hele Portugals befolkning sto i fare for å bli overført til USA, eller andre tredjeland, uten et tilsvarende nivå av databeskyttelse som innenfor EU.
Bakgrunnen for beslutningen om å stoppe undersøkelsen kom etter at CNPD mottok flere klager om at innbyggerne var forpliktet til å oppgi personopplysninger og at personopplysningene ble sendt til USA.
CNPD avdekket at INE brukte selskapet Cloudfare Inc. til å drifte undersøkelsen. Cloudflare er et California-basert selskap som på grunn av tjenestene de tilbyr, er direkte underlagt amerikansk overvåkingslovgivning. Loven pålegger selskaper som Cloudflare en juridisk forpliktelse til å gi amerikanske myndigheter ubegrenset tilgang til til de personopplysningene de har i sin besittelse eller varetekt - uten å kunne informere kundene om det. Cloudflare er av de største nettverkene som opererer på internett og folk bruker Cloudflare tjenester for å øke sikkerheten og ytelsen til deres nettsteder og tjenester.
Schrems II-dommen slår fast at slik lovgivning innebærer en uforholdsmessig innblanding i de registrertes grunnleggende rettigheter og at de registrerte ikke er garantert et tilsvarende nivå av databeskyttelse som innenfor EU. Videre sier Schrems II at nasjonale databeskyttelsesmyndigheter er forpliktet til å stanse, eller forby, dataoverføring selv der det foreligger kontrakter basert på EU-kommisjonens underlag, hvis det ikke er noen garanti for at disse kan respekteres i tredjelandet.
I kontrakten INE inngikk med Cloudflare fremgikk det at personopplysninger kunne bli overført til hvilken som helst av de 200 serverne som brukes av Cloudflare og at Cloudflare var autorisert til å bruke underleverandører i tredjeland. Valgene INE da gjorde, ved å bruke Cloudflare, betød at personopplysningene kunne bli behandlet i USA og andre land i Cloudflares nettverk (for eksempel Sør-Afrika, Kina, India, Jordan, Mexico, Russland og Singapore). I tillegg til overføringen av personopplysningene påpeker CNPD en rekke andre svakheter rundt bruken av Cloudflare. Blant annet godtok INE bruk av Cloudflares egne krypteringssertifikater, i stedet for kryptering ved hjelp av INEs egne private og offentlige nøkler. Noe som gir Cloudflare fullstendig kontroll over sikkerhetsprotokollen.
Les også: Schrems II stiller krav til kontroll av verdikjeden
Nedstengningen av folketellingen kan være et varsel om en hardere linje mot brudd på Personvernforordningen. Persondata blir i økende grad brukt som valuta, og selv om myndighetene kan ilegge store bøter, er det likevel enorme økonomiske incentiver for å bryte med de grunnleggende personvernrettighetene. Den kalkylen endres fort hvis alternativet er å måtte stenge.
Iconfirm er en sikker plattform for behandling av personopplysninger. Som spesialist følger vi utviklingen av personvernregelverket tett. Detaljer og nyanser innarbeides løpende i vår teknologi. En av kjernefunksjonene i løsningen er muligheten til å styre behandlingen av personidentifikatorer slik at nødvendige beskyttelsesnivåer oppfylles.
Les mer om Iconfirm Schrems II løsning