Datalokasjon

Ingress: 
Universitetet eller høyskolen må skaffe seg informasjon om hvor leverandøren har sine datasentre. Institusjonen må fremskaffe tilsvarende informasjon om hvor eventuelle underleverandører med tilgang til institusjonens opplysninger befinner seg.
Brødtekst: 

Informasjon om datalokasjon må fremskaffes før institusjonen tar skytjenesten i bruk. Dette fordi datalokasjon har betydning for hvilke avtaler det kan være nødvendig å inngå med leverandøren.

Personopplysninger

De mest omfattende reglene om datalokasjon finnes i personopplysningsloven med forskrift. Med bakgrunn i disse reglene, bør institusjonen stille og besvare følgende spørsmål om datalokasjon før skytjenesten tas i bruk:

  • Vil personopplysninger bare overføres til lokasjoner i Norge eller til andre land innenfor EU/EØS?
  • Vil personopplysninger overføres til EU-godkjente mottakerland utenfor EU/EØS?  

  • Vil personopplysninger overføres til land utenfor EU/EØS som ikke står på EUs liste over godkjente mottakerland?  

  • Vil personopplysninger overføres til leverandører i USA som har sluttet seg til dataoverføringsordningen mellom EU og USA («EU-US Privacy Shield»)?

  • Vil personopplysninger overføres til leverandører i USA som ikke står på listen over amerikanske selskaper som har sluttet seg til dataoverføringsordningen mellom EU og USA?

Hvordan svarene på disse spørsmålene påvirker hvilke avtaler som det kan være nødvendig å inngå med leverandøren, drøftes nærmere i avtalefasen.

Andre krav til datalokasjon

I tillegg til reglene om datalokasjon i personopplysningsloven med forskrift, finnes det enkelte slike regler i andre lovverk. Dette gjelder arkivloven og bokføringsloven.

  • Arkivloven: Hovedregelen i arkivloven er at det ikke er tillatt å sette ut drift av arkivdatabaser til skytjenester hvor selve databasen befinner seg i utlandet. Det samme gjelder for sikkerhetskopi av arkivdatabasen. Riksarkivaren kan gi samtykke til bruk av arkivdatabaser plassert i utlandet, men slikt samtykke er ikke gitt mht. skytjenester. Reglene om lagring i utlandet omfatter alle typer arkivverdig materiale, for eksempel årsberetninger, regnskapsdata, virksomhetsplaner, avtaler, forskningsrapporter, eksamensoppgaver, masteroppgaver eller avhandlinger. Det gjøres oppmerksom på at forslag til ny forskrift om offentlige arkiv inneholder nye regler om lagring av arkivmateriale i utlandet. Dersom forslaget vedtas, vil slik lagring bli lovlig på visse vilkår.

  • Bokføringsloven: Det er som hovedregel ikke lov å oppbevare regnskapspliktig materiale permanent hos skytjenester dersom opplysningene lagres på datamaskiner i utlandet. Permanent oppbevaring av regnskapsmateriale i utlandet kan likevel skje dersom opplysningene lagres på datamaskiner i Danmark, Finland, Island eller Sverige. Skattedirektoratet skal varsles dersom regnskapsmateriale lagres permanent i disse landene.

 

Selvvalgt datalokasjon

Universitetet eller høyskolen bør undersøke om leverandøren av skytjenesten tilbyr muligheter for selvvalgt datalokasjon. Dette innebærer at institusjonen kan bestemme hvor (byer, land eller regioner) opplysningene vil bli overført til og lagret.

Selvvalgt datalokasjon vil være spesielt relevant dersom skytjenesten er ment å behandle opplysningstyper som omfattes av særskilte lokasjonsregler, for eksempel personopplysninger eller arkivverdig dokumentasjon.

Ved avtaleinngåelse bør institusjonen forsikre seg om at leverandøren forplikter seg til kun å anvende datalokasjoner valgt av institusjonen.