ArcGIS Online og Geodata Online i lys av Schrems II-dommen

EU-domstolen avsa torsdag 16. juli 2020 en prinsipielt viktig dom med potensielt vidtgående konsekvenser for alle som benytter seg av cloud-tjenester eller har outsourcet driften av IT-løsninger.

I kjølvannet av dette har mange av våre kunder behov for å avklare hva dette betyr for dem og deres bruk av ArcGIS Online fra Esri og data og tjenester fra Geodata Online.

Outsourcing eller bruk av slike tjenester innebærer ofte overføring av personopplysninger til land utenfor EØS (inkludert dersom noen har tilgang til personopplysningene fra slike land). Dommen innebærer at dersom grunnlaget for overføringen er EU-US Privacy Shield, avtalen mellom EU og USA som skulle sikre trygg overføring av personopplysninger fra EU til USA, er overføringen nå ulovlig fordi lovgivningen i USA ikke sikrer at personopplysninger som overføres blir underlagt det beskyttelsesnivået man har i EØS-området.

Nedenfor følger noen ofte spurte spørsmål og svar rundt dette temaet:

Hva er overføringsgrunnlaget for ArcGIS Online og har Schrems II noen implikasjoner for dette?

Esri har i etterkant av Schrems II-dommen i juli oppdatert sin ArcGIS Online Data Processing Addendum (7. oktober 2020, https://www.esri.com/content/dam/esrisites/en-us/media/legal/gdpr-data-processing-addendums/data-process-addend.pdf ). Esri har pga Schrems II gått fra å tidligere basere seg på Privacy Shield ved overføring av personopplysninger til tredjeland til å benytte EUs Standard Contractual Clauses med tillegg (Appendix I og II) for å best mulig adressere Schrems II. Med andre ord, databehandleravtalen mellom dere som kunde og Esri er IKKE basert på Privacy Shield som er sentral i Schrems II-dommen.

Lagres data utenfor EU/EØS området ved bruk av ArcGIS Online?

Ja, med mindre dere har opprettet en ArcGIS Online konto spesifikt for Europe (https://resource.esriuk.com/blog/european-data-hosting-for-new-arcgis-online-accounts/ ), så vil data lagres i USA. Alle som ble ArcGIS Online-kunder før 1. april har data knyttet til sin konto lokalisert i USA.

Hvilke implikasjoner og andre råd har dere for vår bruk av ArcGIS Online i lys av Schrems II?

Geodata AS vil understreke at det er dere som kunde som har full kontroll over hvilke personopplysninger som blir lagret i ArcGIS Online og bør ha en bevisst holdning til hva som lagres der fremfor i deres interne GIS-infrastruktur. Som et ledd i deres GDPR-tiltak må dere gjøre datakartlegging og ha oversikt over hvilke eventuelle personopplysninger dere lagrer i ArcGIS Online. Hvert datasett bør vurderes mtp risiko og konsekvens for personene det lagres data om. I lys av Schrems II bør dere vurdere spesielt om det er risiko og konsekvens knyttet til personopplysningene for overlevering til amerikanske myndigheter. Hvis deres interne datakartlegging og risikoanalyse skulle avdekke forhold som skulle tilsi at risikoen ved å lagre de aktuelle datasettene ikke er akseptabel i forhold til at dataene er lagret i USA og med et selskap underlagt amerikansk lov som underleverandør («sub-processor»), bør man vurdere å lagre disse dataene i en egen intern GIS-infrastruktur fremfor gjennom ArcGIS Online løsningen fra Esri. Ta gjerne kontakt slik at vi sammen kan vurdere tekniske og organisatoriske løsninger på dette.

Hvordan kan vi utnytte Esris ArcGIS Online løsning i kombinasjon med personopplysninger lagret på egne interne servere?

I utgangspunktet så lagrer Esri kun informasjon om en autentisert brukers navn og epost-adresse og ingen annen tilhørende informasjon. Vi anbefaler derfor at dere benytter single-sign on gjennom Active Directory Federation Services (ADFS) eller lignende tjeneste og på denne måten lagres ikke en brukers passord i systemet. For de datasett man som en konsekvens av risikoanalysen har lagret i egen GIS-infrastruktur og eksponert utad som tjenester, vil man arkitekturmessig fortsatt kunne sy sammen sømløse løsninger til brukerne. Man sikrer da kontroll over personopplysningene på norsk jord og i egen infrastruktur. Man vil fortsatt kunne benytte ArcGIS Onlines rike funksjonalitet til å tilby løsninger som kombinerer kartografi, analyser og rike visualisering med datakilder fra mange steder, inkludert datasett med lav risiko lagret i ArcGIS Online, og datasett med høyere personvernrisiko lagret på dine interne servere.

Er Esri underlagt overvåkingslover eller andre lover som gir myndighetene i tredjeland uforholdsmessig stor adgang til dataene?

Esri, vår leverandør av programvare, er et amerikansk selskap basert i Redlands, California og er underlagt de amerikanske lovene Foreign Intelligence Surveillance Act (FISA) Section 702, også kjent som 50 USC § 1881, Executive Order 12333 (E.O. 1 2333). Samtidig skal det understrekes at i deres Privacy Statement at data ikke vil utleveres til amerikanske myndigheter med mindre det foreligger en rettsordre («subpoena, judicial or administrative order») og de vil umiddelbart informere kunder skriftlig hvis noe slikt skulle foreligge.

Benytter Esri andre underleverandører i sin leveranse av ArcGIS Online-tjenesten hvor data og/eller infrastruktur er lagret utenfor EU/EØS?

Esri benytter Microsoft Azure som underleverandør ifm leveranse av deres SaaS-løsning ArcGIS Online og hvor data og infrastruktur er lokalisert i USA. Microsoft benytter også SCC og IKKE Privacy Shield som overføringsgrunnlag i sin lagring av data.

Vi benytter karttjenester og data fra Geodata Online. Har Schrems II noen implikasjoner på dette?

Geodata benytter Amazon Web Services som underleverandør for å levere karttjenester og data. Data lagres enten i et datasenter i Dublin eller Stockholm og overføres ikke til tredje land utenfor EU/EØS. Ved bruk av standard karttjenester og data fra Geodata Online behandler vi ikke data på vegne av kundene og vi lagrer kun brukernavn og passord med det formål å autentisere tilgang til tjenesten. Her er det ikke en databehandleravtale mellom kunden og Geodata, og bruken av dataene er regulert i en egen avtale om betingelser for bruk. Schrems II-dommen har ingen implikasjoner for dette.

Vi har en løsning driftet av Geodata gjennom deres skydrifts-tjeneste og lagrer data som en del av løsningen. Det er etablert en databehandleravtale mellom oss og Geodata. Hvilke implikasjoner har dette i lys av Schrems II?

Geodata benytter Amazon Web Services som underleverandør for å levere sine skydriftstjenester. Data lagres enten i et datasenter i Dublin eller Stockholm. Amazon Web Services data processing addendum (https://d1.awsstatic.com/legal/aws-gdpr/AWS_GDPR_DPA.pdf) benytter SCC og ikke Privacy Shield som overføringsgrunnlag. Se for øvrig https://aws.amazon.com/blogs/security/customer-update-aws-and-the-eu-us-privacy-shield/ . Som kunde kan du i utgangspunktet fortsette å benytte løsningen levert igjennom Geodatas skydriftstjenester. Hvis deres interne datakartlegging og risikoanalyse skulle avdekke forhold som skulle tilsi at risikoen ved å lagre de aktuelle datasettene ikke er akseptabel i forhold til at datasenteret er eid av et amerikansk selskap (selv om dataene er lagret i EU/EØS), så ber vi dere ta kontakt slik at vi sammen kan vurdere tekniske og organisatoriske løsninger på dette.