Konsekvenser av Schrems II for Uninetts tjeneste Feide

Konsekvenser av Schrems II for Uninetts tjeneste Feide

Den nylig avsagte Schrems II-dommen om overføring av personopplysninger til tredjeland utenfor EU/EØS har konsekvenser for flere av Uninett sine tjenester, deriblant Feide. Vi kartlegger nå konsekvensene på et helhetlig nivå. European Data Protection Board (EDPB) har på bakgrunn av dommen laget nye veiledere for overføring av personopplysninger. Disse veilederne er nå ute på høring, og Uninett vil starte arbeidet med å identifisere og gjennomføre videre tiltak for Feide-infrastruktur når EDPB har konkludert.

Uninett har i flere år benyttet amerikanske Amazon Web Services sine tjenester for deler av Feide-infrastrukturen. Vår avtale med Amazon er inngått via GEANT sin felles-europeiske avtale for skytjenester, og vi prosesserer og lagrer personopplysninger i datasentre innenfor EU

Feide-rekord: 200 millioner innlogginger på ett år

Grunnlaget for overføring av personopplysninger i GEANT-avtalen er ikke basert på Privacy Shield-avtalen som omtales i Schrems II-dommen. Vårt overføringsgrunnlag for Feide-data er derimot basert på EUs standardkontrakt (SCC). Hvilke konsekvenser dette har for Feide-infrastruktur jobber vi nå aktitvt med å kartlegge. Vi har løpende dialog med Amazon og følger prosessen i EU tett.



Felles IAM og Schrems II-dommen

Blogg: Privacy Shield-avtalen opphevet - hva nå?
 

Veiledere fra European Data Protection Board

EDPB viser til seks steg som virksomheter må gjennom for å kunne overføre personopplysninger til et tredjeland.   

  • Fremskaffe oversikt over overføringene.  
  • Fremskaffe oversikt over overføringsgrunnlag.  

  • Vurdere om det er forhold hos mottakeren som medfører at personopplysningene ikke er undergitt det samme vernet som GDPR krever.  

  • Identifisere og iverksette ytterliggere tiltak.  

  • Konsultere Datatilsynet (om nødvendig).  

  • Evaluere om overføringen oppfyller kravene med jevne mellomrom. 


Unit- Direktoratet for IKT og fellestjenester i høyere utdanning og forskning ble i et møte i Digitaliseringsstyret 19. november bedt om å koordinere sektorens kartlegging av Schrems II-konsekvenser. Mer informasjon om dette ligger på Units nettsider