Konsekvenser av Schrems II for Uninetts tjeneste Feide
Skrevet av Mari Prestvik
Uninett har i flere år benyttet amerikanske Amazon Web Services sine tjenester for deler av Feide-infrastrukturen. Vår avtale med Amazon er inngått via GEANT sin felles-europeiske avtale for skytjenester, og vi prosesserer og lagrer personopplysninger i datasentre innenfor EU
Feide-rekord: 200 millioner innlogginger på ett år
Grunnlaget for overføring av personopplysninger i GEANT-avtalen er ikke basert på Privacy Shield-avtalen som omtales i Schrems II-dommen. Vårt overføringsgrunnlag for Feide-data er derimot basert på EUs standardkontrakt (SCC). Hvilke konsekvenser dette har for Feide-infrastruktur jobber vi nå aktitvt med å kartlegge. Vi har løpende dialog med Amazon og følger prosessen i EU tett.
Felles IAM og Schrems II-dommen
Blogg: Privacy Shield-avtalen opphevet - hva nå?
Veiledere fra European Data Protection Board
EDPB viser til seks steg som virksomheter må gjennom for å kunne overføre personopplysninger til et tredjeland.
- Fremskaffe oversikt over overføringene.
-
Fremskaffe oversikt over overføringsgrunnlag.
-
Vurdere om det er forhold hos mottakeren som medfører at personopplysningene ikke er undergitt det samme vernet som GDPR krever.
-
Identifisere og iverksette ytterliggere tiltak.
-
Konsultere Datatilsynet (om nødvendig).
-
Evaluere om overføringen oppfyller kravene med jevne mellomrom.
Unit- Direktoratet for IKT og fellestjenester i høyere utdanning og forskning ble i et møte i Digitaliseringsstyret 19. november bedt om å koordinere sektorens kartlegging av Schrems II-konsekvenser. Mer informasjon om dette ligger på Units nettsider