Oppdatering fra arbeidsgruppe for oppfølging av Schrems II-dommen


Arbeidsgruppen for oppfølging av Schrems II-dommen hadde sitt andre arbeidsmøte 28. januar, kartlegging av leverandører og tjenester er godt i gang.

Foto: Shutterstock

Arbeidsgruppen har så langt arbeidet med kartlegging av tjenester som kan være berørt av Schrems II-dommen, og hvor gruppen bør foreta en felles vurdering og anbefaling til sektoren. 

Kartlegging godt i gang

Gruppen har hittil kartlagt 38 tjenester som de skal se nærmere på. Dette er i hovedsak fellestjenester i universitets- og høyskolesektoren. Videre arbeid med kartleggingen fortsetter frem til neste møte 18. februar.  

Arbeidsgruppen ble enige om å sette i gang dialogen med de største leverandørene og til leverandørene av de mest virksomhetskritiske tjenestene for utdanningsområdet. Gruppen prioriterte følgende tjenester/ leverandører som skal kontaktes i løpet av uke 5: 

  • Microsoft som leverandør av Office 365 
  • Amazon Web Services 
  • Google Analytics i bibliotekstjenester 
  • Canvas 
  • Digital eksamen 

Se oversikt over de 38 tjenestene som er kartlagt

  • Amazon AWS
  • Arbeidslivsportalen
  • Bird
  • Bookit LAB
  • Boost.AI Chat/chabot
  • Box skylagringstjeneste
  • Canvas
  • DFØ
  • Digital Eksamen
  • DLR - Digitale LæringsRessurser
  • Dokumentasjonsforvaltning Public 360 - Tieto
  • Dropbox
  • Edvarda (Unit behandlingsansvarlig) 
  • Feide
  • Futrelearn
  • Google Analytics
  • Google Cloud
  • Google Cloud Platform
  • IBM cloud
  • ID-porten
  • Intranett - Unit
  • Jobb Norge
  • Leganto
  • Libstaffer
  • Mailchimp
  • Microsoft Azure
  • MOOC
  • MS Windows
  • Office 365 (avrop på rammeavtale LSP)
  • Office 365 (rammeavtale LSP)
  • Oracle Cloud
  • Oria
  • Padlet
  • Peergrade
  • Postens signering
  • Slack
  • Sway
  • Yammer

    Hensikten med dialogen med leverandørene er å få klarhet i hvilken type overføring som finner sted, om leverandøren omfattes av overvåkingslover (E.O. 12333 og FISA 702), samt finne ut om det er aktuelt å iverksette supplerende beskyttelsestiltak for å sikre tilstrekkelig beskyttelsesnivå for personopplysninger som behandles i løsningen. Arbeidsgruppen vil i sitt arbeid ta utgangspunkt i “case-by case analysis” slik at man får gjort konkrete vurderinger av den enkelte tjeneste, i tråd med veiledning fra European Data Protection Board (EDPB).  

    Resultatene fra den første runden med dialogen med leverandørene diskuteres på arbeidsgruppemøte 18. februar.  

    Arbeidsgruppen legger vekt på Datatilsynets tolkning av dommen og veiledninger lagt ut på deres nettsider

    Type og grad av tilgang til personopplysninger kommer til å stå sentralt i den videre vurderingen av om tjenesten kan fortsatt brukes i tråd med GDPR, og hvilke tiltak bør iverksettes. 

    Arbeidsgruppen anbefaler at etterlevelse av GDPR settes som må-krav i nye anskaffelsesprosesser. 

     


    Share: Share to LinkedIn Share to Facebook Share by mail Share to Twitter