<img height="1" width="1" style="display:none;" alt="" src="https://dc.ads.linkedin.com/collect/?pid=614121&amp;fmt=gif">
Kontakt oss

GDPR og utviklere utenfor EU. Hva må du tenke på?

Er du blant dem som tror at du ikke kan bruke utviklere utenfor EU grunnet GDPR? Denne artikkelen er til deg.

Personvernforordningen (GDPR) gjør det fullt mulig å eksportere data utenfor EU. Du må bare følge et tydelig rammeverk og ha de riktige avtalene på plass før du starter. Dette skal vi lose deg gjennom nedenfor.

Personvernforordningen, også kalt GDPR (etter general data protection regulation), trådte i kraft i mai 2018. Forordningen gir forbrukeren mer makt, og arbeidet med å overholde regelverket er lagt på selskaper og organisasjoner. Dette har skapt hodebry for flere virksomheter. Mye for noen, og litt mindre for andre.

I Cefalo har vi arbeidet med forordningen siden før den kom, og vi kan bekrefte at det er helt innenfor lovverket å benytte seg av utviklere utenfor EU – hvis ikke hadde vi ikke hatt en forretningsidé å leve av.

 

Du må ha en databehandleravtale

GDPR er et felles lovverk for behandling av persondata, som gjelder for hele EU-området – inklusive EØS. Det gjør det enkelt å utveksle persondata mellom ulike land med samme regelverk. Skal du derimot eksportere data til land utenfor EU, må du trå mer varsomt. Utenfor EU er det andre regler som gjelder, og mange land har helt klart dårligere rammer enn GDPR krever innenfor EU.

Engasjerer du et selskap til å behandle data for deg, må du ha en databehandleravtale. Befinner databehandleren seg utenfor EU, er det flere krav til hva avtalen må inneholde enn om denne er innenfor EU. Husk å beskrive hva dere skal – og ikke skal – gjøre med dataene som behandles.

Databehandleravtalen er kun nødvendig hvis det er persondata involvert og utviklere utenfor EU har tilgang på disse. Avtalen stiller krav til både dataeksportøren og dataimportøren. Det er eksportørens ansvar å passe på at den de engasjerer er et selskap som er i stand til å ivareta behovene innenfor gjeldende regelverk.

Vil du vite i detalj hvordan personopplysninger kan overføres ut av EU/EØS anbefaler vi Datatilsynets guide om emnet.

 

Områder med tilstrekkelig beskyttelsesnivå

Noen land og områder utenfor EU trenger du ikke egne avtaler for. Disse er forhåndsgodkjent av EU-kommisjonen til å holde et høyt nok nivå til at de ivaretar personvernet på en tilsvarende måte som land i EU/EØS. Legg merke til at USA ble fjernet fra denne listen etter Schrems II-dommen i 2020. Mer om det litt senere.

Du finner en oppdatert liste over forhåndsgodkjente land og områder hos Datatilsynet.

 

SCC – det viktige vedlegget

Er du i en situasjon der du skal eksportere ut av EU, så har du – for å sikre personvernet også utenfor EU – et krav om at databehandleravtalen skal inneholde et vedlegg som heter Standard Contractual Clauses (forkortes til SCC). Vedlegget beskriver loven i kontraktsform, og er lagt opp på denne måten for at begge parter skal være forpliktet gjennom avtalen. Siden én av partene er utenfor EU gjelder ikke loven for denne parten, men i kontraktsform er begge partene forpliktet til å følge EUs regelverk.

 

Hva med Schrems II-dommen?

Schrems II-dommen fra 2020 fastslo i all vesentlighet to ting. Den fjernet USA fra listen over forhåndsgodkjente land som er utenfor EU, men som ikke trenger SCC-vedlegget. Nedgraderingen skjedde fordi landet har to lover som gjør at myndighetene kan kreve å få utlevert data (og myndighetene har jo ikke signert noen SCC-avtale).

USA pleide å være på den forhåndsgodkjente listen under det såkalte Privacy Shield Framework. Schrems II ugyldiggjorde dette rammeverket, noe som betyr at dataoverføringer til USA nå må behandles på samme måte som dataoverføringer til Kina, Russland eller Pakistan.

Dommen fastslo også at SCC i prinsippet er helt fine, gyldige og gode avtaler – men at det nødvendigvis ikke er nok. Myndighetene i landet der importøren befinner seg har ikke forpliktet seg til å følge kontrakten som er inngått. Schrems II-dommen fører altså til at du som dataeksportør plikter å undersøke hvordan myndighetene kan be om data. Og hvis det er tilfellet at myndighetene kan gå inn og overta data, så må det gjøres viktige tilleggstiltak.

  • Tekniske, juridiske og organisatoriske tilleggstiltak. Datatilsynet nevner blant annet kryptering av data, gode rutiner for tilgangskontroll, at de som har tilgang til persondata må ha det på individnivå, og at det må være gode systemer for tilgangskontroll. Alt som gjøres skal logges, slik at man i ettertid kan se hvem som har vært inne og gjort endringer.

  • Organisatoriske tilleggstiltak. Herunder inngår opplæring av ansatte, rapportering av avvik, at egen kontaktperson opprettes, at databehandleren forplikter seg til gjennom avtalen å bestride eventuelt krav fra myndighetene, og at eventuelle krav skal umiddelbart varsles til klienten.

For oss i Cefalo er det en del av vår policy at data aldri lastes ned til utviklerne våre i Bangladesh.

 

Hvordan gjør vi det hos oss?

I Cefalo har vi kontraktsmaler der alle disse punktene er hensyntatt. I malene fylles alle opplysninger ut. Dette er noe vi må gjøre før selve arbeidet starter. Her beskriver vi hva slags databehandling vi gjør, hvilke persondata det er snakk om og hva gjør vi med dataene på kundens (altså dine) vegne. Vi ivaretar deg som kunde hele veien.

Vi går i fellesskap gjennom sikkerhetsrutinene, og dokumenterer disse, men hver enkelt kunde må selv styre tilgangene (siden vi ikke laster dem ned). Vi bidrar også med å lage en liste over forbedringer som må på plass (hvis det er noen). De fleste av våre kunder har god oversikt over dette fra før, gitt at sikkerhet og risiko ikke har blitt slurvet med.

145.mp4.00_00_02_10.Still001


Hva med sensitive persondata?

I utgangspunktet er det forbudt å lagre/behandle visse kategorier av personopplysninger. Mange omtaler disse opplysningstypene som sensitive personopplysninger. Dette er data som sier noe om:

  • Rasemessig eller etnisk opprinnelse
  • Politisk oppfatning
  • Religion
  • Filosofisk overbevisning
  • Fagforeningsmedlemskap
  • Genetiske opplysninger
  • Biometriske opplysninger med det formål å entydig identifisere noen
  • Helseopplysninger
  • Opplysninger om seksuelle forhold
  • Opplysninger om seksuell legning

Dette er data som Cefalos kunder normalt ikke har. Det finnes flere unntak og forbehold i forbindelse med sensitive personopplysninger, og Datatilsynet har god oversikt over disse.

cefalo-prikker-horis
Er du nysgjerrig på ekstern utvikling? Vi tar gjerne en hyggelig prat med deg på telefon, møte eller video.

Kontakt oss

Tom Handegård

Skrevet av Tom Handegård

CTO & Co-founder, Cefalo.

Hold deg oppdatert

Abonner på bloggen og få en samling av våre nyeste bloggposter på e-post.

Sign up to our blog