FAQ: Spørgsmål og svar om databehandleraftalen

I forbindelse med udsendelsen den 15. december 2020 af standarddatabehandleraftalen mellem bibliotekskommunerne som dataansvarlig og Det Digitale Folkebibliotek som databehandler om behandling af personoplysninger i folkebibliotekernes brugergrænseflader mv., har vi modtaget en række spørgsmål, der har haft mere principiel karakter eller i det væsentlige har omhandlet de samme emner. Vi har derfor valgt at samle spørgsmålene og vores svar på dem i denne FAQ.

Hvis der er spørgsmål til databehandleraftalen, som ikke omhandles i FAQ’en, kan GDPR-teamet i sekretariatet kontaktes på mailadressen kontakt@detdigitalefolkebibliotek.dk.  

Du kan navigere i FAQ'en ved at klikke på nedenstånde spørgsmål:

  1. Hvorfor er databehandleraftalens pkt. 1 ændret i forhold til Datatilsynets skabelon?
     
  2. Hvorfor har Det Digitale Folkebibliotek ændret på bilagsstrukturen i Datatilsynets skabelon?
     
  3. Hvorfor er virksomheden Publizon A/S, der varetager administrative opgaver vedrørende udlånsordningen eReolen, ikke underdatabehandler for Det Digitale Folkebibliotek, men i stedet en selvstændig databehandler for kommunen?
     
  4. Hvad mener Det Digitale Folkebibliotek er konsekvenserne af EU-dommen (C-311/18) i ”Schrems II-sagen” for brug af amerikansk ejede hosting-leverandører, herunder især i forhold Det Digitale Folkebiblioteks løsninger som beskrevet i databehandleraftalen?   
     
  5. Hvorfor vælger Det Digitale Folkebibliotek fortsat at benytte underdatabehandlere, der er amerikansk ejede?  
     
  6. Strider Det Digitale Folkebiblioteks brug af amerikansk ejede hosting-leverandører imod KL’s anbefaling fra den 20. oktober 2020, om at kommunerne bør forholde sig afventende, og at det frarådes at indgå nye aftaler om tredjelandsoverførsler?
     
  7. Skal det betragtes som en tredjelandsoverførsel, hvis det ikke af hosting-leverandøren kan garanteres, at der ikke sker tredjelandsoverførsel?
     
  8. Benytter Det Digitale Folkebibliotek SCC som overførselsgrundlag, når der benyttes amerikanskejede hosting-leverandører som Google og Microsoft?
     
  9. Vurderer det Digitale Folkebibliotek, at Schrems II-dommen er et udtryk for et forbud mod at benytte amerikanskejede hosting-løsninger som fx Microsoft og Google?
     
  10. Er GUID personhenførbart, og hvis ikke, er det så forklaringen på it-revisionens vurdering af, at der ikke sker tredjelandsoverførsler (jf. kontrolmål G på side 25 i revisionserklæringen)?
     
  11. Kan en bibliotekskommune godt underskrive databehandleraftalen og senere tage et tvivlsspørgsmål op vedrørende behandlingen af personoplysninger med henblik på en ændring af databehandleraftalen?

1. Hvorfor er databehandleraftalens pkt. 1 ændret i forhold til Datatilsynets skabelon?

Databehandleraftalens pkt. 1 svarer i Datatilsynets skabelon (Datatilsynets ”Standardkontrakt-bestemmelser”) til ”præamblen” i pkt. 2, der naturligvis kan og skal tilpasses efter de konkrete omstændigheder, og ikke bare skrives af. Databehandleraftalens pkt. 1 har overskriften ”Baggrund og forudsætninger” i stedet for ”Præambel” i Datatilsynets skabelon i pkt. 2. Men indholdet i alle underpunkterne til Datatilsynets præambel er medtaget, dog at der i visse af underpunkterne er tilføjet yderligere udsagn om baggrunden og forudsætningerne for indgåelse af databehandleraftalen. Der er således ikke tale om indholdsmæssige ændringer af præamblen i Datatilsynets skabelon.  

2. Hvorfor har Det Digitale Folkebibliotek ændret på bilagsstrukturen i Datatilsynets skabelon?

I forhold til Datatilsynets bilagsstruktur har Det Digitale Folkebibliotek byttet om på bilag A og bilag B. Vi følger den struktur, at først kommer bilag A med de anvendte underdatabehandlere, dernæst bilag B med beskrivelsen af behandling af personoplysninger i de respektive services og tjenester (og ikke hos de anvendte underdatabehandlere i rækkefølge) og til sidst bilag C med instruksen for behandling af personoplysninger i de omhandlede services og tjenester. Det har vi gjort, dels fordi der på den måde sættes fokus på de omhandlede services og tjenester, hvori behandlingen af personoplysninger foretages, og dels fordi vi herved undgår mange gentagelser, idet vi har en række brugergrænseflader mv. og flere (af de samme) underdatabehandlere. Datatilsynets bilagsstruktur er mest egnet til en mere enstrenget databehandlerkonstruktion med ét system, én dataansvarlig og én databehandler med én eller få underdatabehandlere.

3. Hvorfor er virksomheden Publizon A/S, der varetager administrative opgaver vedrørende udlånsordningen eReolen, ikke underdatabehandler for Det Digitale Folkebibliotek, men i stedet en selvstændig databehandler for kommunen?

Publizon A/S er aftalemæssigt ikke Det Digitale Folkebiblioteks administrator af udlånsordningen eReolen, men i udgangspunktet forlagenes. Publizon A/S har både aftaler med de respektive forlag, der stiller deres ophavsretligt beskyttede værker i form af e-bøger og netlydbøger til rådighed for bibliotekerne og brugerne, samt med de enkelte bibliotekskommuner om deres brug af e-bøger og net-lydbøger i udlånsordningen. Det er for det andet Publizon A/S, som foretager afregning over for forlagene og over for de enkelte bibliotekskommuner for de foretagne udlån, hvorfor Publizon A/S behandler diverse personoplysninger om de enkelte bibliotekskommuners brugere, bl.a. med henblik på denne afregning og regnskabsaflæggelsen herfor. Dette formål med behandlingen af de omfattede personoplysninger er imidlertid ikke i sig selv afgørende for, om Publizon A/S må antages at have status som (selvstændig) databehandler eller som underdatabehandler (for Det Digitale Folkebibliotek) eller eventuelt som selvstændig dataansvarlig, som de nødvendige personoplysninger (måske med hjemmel i en databehandleraftale) videregives til. Men det er i hvert fald et hensyn, der må inddrages i en vurdering af dataansvarets placering og fordeling samt dets nærmere (saglige) organisering.    

Det er på nuværende tidspunkt vores opfattelse, at der er god grund til, at Publizon A/S selvstændigt har en databehandleraftale med de enkelte bibliotekskommuner, men der er samtidig også grund til at spørge til dataansvarets nærmere placering og fordeling i it-biblioteksinfrastrukturen, herunder i forhold til Publizon A/S, sådan at det fx undgås, at der indgås mere eller mindre overflødige databehandleraftaler. Vi har derfor også i Det Digitale Folkebibliotek besluttet i 2021 at foretage en kortlægning og vurdering af dataansvaret, ikke kun i forhold til udveksling af oplysninger i de brugergrænseflader, som vi nu pr. 1. januar 2021 har overtaget det juridiske og økonomiske ansvar for, men også i forhold til it-biblioteksinfrastrukturen helt generelt, og herunder med hensyn til den del af it-biblioteksinfrastrukturen, der henhører under KOMBIT som databehandler og DBC som underdatabehandler.

4. Hvad mener Det Digitale Folkebibliotek er konsekvenserne af EU-dommen (C-311/18) i ”Schrems II-sagen” for brug af amerikansk ejede hosting-leverandører, herunder især i forhold Det Digitale Folkebiblioteks løsninger som beskrevet i databehandleraftalen?   

Af EU-dommen i Schrems II-sagen kan man med sikkerhed udlede den konsekvens, at der ikke fra tidspunktet for domsafsigelsen må foretages overførsel af personoplysninger til USA under den såkaldte ”Privacy Shield-ordning”, idet EU-domstolen ved sin dom har erklæret dette overførselsgrundlag for ugyldigt.

Det betyder for det første, at der ikke på grundlag af Privacy Shield-ordningen kan overføres personoplysninger omfattet af databeskyttelsesordningen, til en databehandler eller en under-databehandler, som behandler personoplysningerne i USA. Det betyder for det andet, at hvis det ikke har været aftalt med en amerikansk ejet hosting-leverandør, hvor personoplysninger behandles, men hosting-leverandøren har været omfattet af Privacy Shield, der derfor har kunnet betragtes som gyldig hjemmel til overførsel og behandling af personoplysninger i USA, må det undersøges, om der faktisk løbende eller lejlighedsvist foretages overførsel af personoplysninger til USA, og det må aftales, at personoplysningerne behandles i Europa. Hvis der fortsat vil blive foretaget overførsel af personoplysninger til USA, skal der lovligt kunne anvendes et andet overførselsgrundlag i stedet for den bortfaldne Privacy Shield-ordning. Ellers er der ikke andre muligheder, end at aftalen med den amerikanske hosting-leverandør bringes til ophør.

Schrems II-dommen findes ikke at have nogen direkte konsekvens for brug af amerikanske hosting-leverandører i Det Digitale Folkebiblioteks løsninger. Men det er indlysende, at dommen har den indirekte konsekvens, at der med dommen mere generelt er sat fokus på de risici, der er forbundet med at anvende amerikansk ejede, globale hosting-leverandører.

Der må ikke finde og finder heller ikke tredjelandsoverførsel sted i de af Det Digitale Folkebibliotek anvendte hosting-løsninger Azure samt Cloud og Firebase hos henholdsvis Microsoft og Google, idet de omhandlede personoplysninger opbevares i Europa. Dette er således også, hvad vi har oplyst i databehandleraftalen i instruksbilag C.2.5 og C.2.6 og desuden til it-revisionen i forbindelse med udfærdigelse af en ISAE 3000-erklæring vedrørende Det Digitale Folkebiblioteks behandling af personoplysninger for de dataansvarlige bibliotekskommuner. IT-revisionen har i ISAE-3000-erklæringen (Kontrolmål G, side 25) [ASR(DF1] med adresse til brug af hosting-løsningen Microsoft Azure til vores oplysninger om, at der ikke overføres personoplysninger til tredjelande, anført, at dette findes sandsynliggjort på baggrund af de af it-revisionen foretagne testhandlinger.

Vi erkender imidlertid, at der kan være en risiko for overførsel af personoplysninger til USA, uanset aftale med hosting-leverandøren om, at personoplysningerne skal opbevares i Europa. Det er den risiko, vi åbent gør opmærksom på i instruksbilag C.2.5 og C.2.6 på baggrund af den efter Schrems II-dommens øgede fokus på brug af amerikansk ejede hosting-leverandører og her foretager vurdering af. Det er vigtigt at påpege, at den risiko altid vil være til stede, uanset hosting-leverandørens garanti mod overførsel til USA og andre tredjelande, brug af SCC etc. Problemet er, at man i USA undertiden tillægger sin lovgivning eksterritorial virkning, fx sådan at data, der opbevares i Europa hos et amerikansk selskab eller et amerikansk ejet, men europæisk registreret, datterselskab på begæring kan udleveres til amerikanske myndigheder. Som det også fremgår af Schrems II-sagen, binder garantier, SCC-vilkår etc. kun aftaleparterne, og ikke det pågældende tredjelands myndigheder, og der kan derfor ikke gives nogen sikker garanti for, at der ikke kan ske overførsel af personoplysninger til USA.

Ud fra forholdene vedrørende behandling af personoplysninger ved opbevaring i de omhandlede hosting-løsninger (fx at der primært anvendes GUID og ellers stærk kryptering, og at der er tale om almindelige personoplysninger) er det vurderingen som anført i bilag C.2.5 og C.2.6, at risikoen for den registrerede ved foretagelse af uberettiget tredjelandsoverførsel er minimal.  

5. Hvorfor vælger Det Digitale Folkebibliotek fortsat at benytte underdatabehandlere, der er amerikansk ejede? 

Vi er i foreningen Det Digitale Folkebibliotek, også i rollen som databehandler for samtlige bibliotekskommuner, alene interesserede i at stille services og tjenester til rådighed i overensstemmelse med bibliotekskommunernes behov og ønsker. Det er bibliotekskommunerne selv, som både ejer og finansierer foreningen, og kun generalforsamlingsvalgte repræsentanter for bibliotekskommunerne indgår i foreningens øverste ledelse bestyrelsen. Vi har således ingen ”egeninteresse”, ”leverandørinteresse” eller lignende i bestemte løsninger.  

Vi har selvsagt overvejet og har indgående drøftet med vores leverandører, herunder ITK under Aarhus Kommune, om der kan anvendes blot nogenlunde lige så egnede rent europæiske hosting-løsninger som de valgte amerikanske ejede, og vurderingen er, at det kan der for tiden ikke.  

De løsninger i form af brugergrænseflader, som Det Digitale Folkebibliotek driver og udvikler, er fælles for alle bibliotekskommuner, hvorfor det er vanskeligt for Det Digitale Folkebibliotek at ændre på løsningerne i forhold til den enkelte selvstændigt dataansvarlige bibliotekskommune, og for den enkelte bibliotekskommune at fravælge dem. Der er dog hidtil ingen bibliotekskommuner, som har stillet krav om, at aftaler med de omhandlede hosting-leverandører bringes til ophør på grund af risikoen for en uberettiget overførsel af personoplysninger til USA.

Men hvis en række bibliotekskommuner som dataansvarlige i fremtiden måtte finde, at det uanset vores risikovurdering og det i øvrigt af os anførte, ikke er forsvarligt at anvende amerikansk ejede hosting-leverandører, må Det Digitale Folkebibliotek som databehandler undergivet de dataansvarlige bibliotekskommuners instruks, bringe de bestående aftaler med de omhandlede hosting-leverandører til ophør og vælge nogle ringere og givetvis også meget dyrere løsninger. I så fald må det dog påhvile de pågældende bibliotekskommuner at give instruks om, hvilke hosting-løsninger der i stedet skal anvendes.       

Vi er løbende opmærksomme på udviklingen i retstilstanden for behandling af personoplysninger, og vil straks informere bibliotekskommunerne, hvis der i regi af EU eller Datatilsynet gives udmeldinger, der medfører, at den mellem de enkelte bibliotekskommuner og Det Digitale Folkebibliotek indgåede databehandleraftale må ændres.

6. Strider Det Digitale Folkebiblioteks brug af amerikansk ejede hosting-leverandører imod KL’s anbefaling fra den 20. oktober 2020, om at kommunerne bør forholde sig afventende, og at det frarådes at indgå nye aftaler om tredjelandsoverførsler?

Det Digitale Folkebibliotek er helt enige i KL's anbefaling, om at kommunerne efter Schrems II-dommen bør forholde sig afventende, og at det frarådes at indgå nye aftaler om tredjelandsoverførsel. Der foretages ingen tredjelandsoverførsel i Det Digitale Folkebiblioteks løsninger. Men selv hvis dette var tilfældet, strider Det Digitale Folkebiblioteks brug af amerikanske hosting-leverandører ikke imod KL’s anbefaling.  

Der er ikke og bliver ikke indgået nogen ny aftale hverken mellem kommunen og en underleverandør eller mellem kommunen som dataansvarlig og kommunens databehandler (Det Digitale Folkebibliotek) om brug af nye amerikanske hosting-leverandører med risiko for uberettiget videregivelse af personoplysninger ved tredjelandsoverførsel. Det Digitale Folkebibliotek har overtaget løbende aftaler med amerikanske hosting-leverandører fra Danskernes Digitale Bibliotek (DDB) og med hensyn til brugergrænsefladerne i udlånsordningen eReolen fra Aarhus og Københavns bibliotekskommuner. Der er således tale om gamle, fortsatte, og ikke nye, aftaler om brug af amerikanske hosting-leverandører. Det Digitale Folkebiblioteks brug af amerikanske hosting-leverandører strider derfor ikke imod KL’s anbefaling af 20. oktober 2020.   

7. Skal det betragtes som en tredjelandsoverførsel, hvis det ikke af hosting-leverandøren kan garanteres, at der ikke sker tredjelandsoverførsel?

I modsætning til EU-dommen i Schrems II-sagen er der i Det Digitale Folkebiblioteks anvendte hosting-løsninger Microsoft Azure og Google Cloud Solution og Firebase til behandling af oplysninger ikke tale om nogen tredjelandsoverførsel. Når Det Digitale Folkebiblioteks (danske) underdatabehandlere fx opretter serverkapacitet i en hosting-løsning, vælges det som ufravigelig standardprocedure, at oplysningerne opbevares i Europa, og dette dokumenteres over for os.

Vi erkender imidlertid, at der består en risiko for, at der kan finde en tredjelandsoverførsel sted, hvorfor vi foretager en vurdering af denne risiko principielt på linje med en vurdering af risikoen for et sikkerhedsbrud bestående i en uberettiget videregivelse af oplysninger.

Der gives dog ikke i Microsofts og Googles aftalevilkår for de anvendte hosting-løsninger nogen sikker garanti for, at en tredjelandsoverførsel aldrig vil kunne finde sted. Uanset om en garanti er nok så generel og altomfattende, vil den aldrig kunne give fuld sikkerhed imod en tredjelandsoverførsel. Det skyldes, at en garanti ligesom andre aftalevilkår alene kan binde aftaleparterne, men ikke det pågældende tredjelands myndigheder.   

Med et eksempel fra vilkårene for ”Microsoft Online Services – Tillæg om databeskyttelse, sidst opdateret 21. juli 2020”, hvor det i den danske version i afsnittet om ”Videregivelse af behandlede data” anføres:   

”Microsoft hverken videregiver eller giver adgang til Behandlede data til ordensmagten, medmindre det er påkrævet af lovgivningen. Hvis en politimyndighed kontakter Microsoft med en fordring om Behandlede data, vil Microsoft forsøge at få politimyndigheden til at udbede kundedataene direkte fra Kunden. Hvis vi er nødsaget til at videregive eller give adgang til Behandlede data til ordensmagten, underretter Microsoft straks Kunden og sender en kopi af kravet, medmindre vi er juridisk forhindret i at gøre det.”

Microsoft garanterer således straks at underrette kunden, hvis Microsoft er nødt til at videregive eller give adgang til behandlede data til myndighederne, sådan at kunden straks kan ophæve aftalen eller suspendere behandling af data. Men denne garanti viser sig imidlertid kun at være et, endog meget ubestemt, udgangspunkt, idet der samtidig tages det ret omfattende forbehold, at garantien kun gælder, medmindre Microsoft ”er juridisk forhindret i at gøre det”. Denne forhindring kan netop følge af tredjelandets lovgivning.

Vi har i Det Digitale Folkebiblioteks GDPR-team meget nøje analyseret EU-dommen i Schrems II-sagen og sammenholdt denne og vores analyse med de dog meget omtrentligt redegørelser for dommens konsekvenser, der er givet af diverse danske og internationale advokatfirmaer. Vi finder ikke, at det af dommen skulle kunne udledes, at der skal gives ubetinget og sikker garanti for, at en tredjelandsoverførsel af personoplysninger aldrig vil kunne finde sted, idet det ellers må lægges til grund, at der sker en tredjelandsoverførsel.

Det fremgår af den i december 2020 afgivne ISAE-3000-erklæring, at it-revisionen er bekendt med Det Digitale Folkebiblioteks brug af Microsoft som hosting-leverandør i løsningen Azure, og der tages ikke i revisionserklæringen noget forbehold om tredjelandsoverførsel.  

Læs mere og hent erklæringen her. 

8. Benytter Det Digitale Folkebibliotek SCC som overførselsgrundlag, når der benyttes amerikanskejede hosting-leverandører som Google og Microsoft?

Der foretages ingen overførsel af personoplysninger til tredjelande uden for EU/EØS i de anvendte hosting-løsninger hos Google og Microsoft, hvorfor der derfor heller ikke skal foreligge noget overførselsgrundlag herfor, idet personoplysningerne i løsningerne opbevares i Europa, jf. databehandleraftalens bilag C.2.5 og C.3.5. Det Digitale Folkebibliotek erkender imidlertid, at der består en risiko for tredjelandsoverførsel i løsningerne, hvorfor vi har foretaget en risikovurdering heraf som beskrevet sammesteds.

Vi nævner i databehandleraftalen, at SCC gælder for løsningerne, hvilket også særskilt er meldt ud af både Microsoft og Google. Heri ligger imidlertid ikke, at det er aftalt, at der må overføres oplysninger i medfør af SCC. Vi er bare tilfredse med, at SCC gælder for løsningerne, idet der gælder sikkerhedsforskrifter mv. svarende til databeskyttelsesforordningens krav.

9. Vurderer det Digitale Folkebibliotek, at Schrems II-dommen er et udtryk for et forbud mod at benytte amerikanskejede hosting-løsninger som fx Microsoft og Google?

Vi er selvsagt opmærksomme på, at der med dommen er sat fokus på amerikansk ejede hosting-løsninger, hvilket vi netop også har taget højde for med den givne risikovurdering. Men vi er samtidig også opmærksomme på, at retsstillingen efter Schrems II-dommen ikke kan udlægges som et forbud imod at anvende disse hosting-løsninger.

Under hensyn til den usikkerhed om anvendelse af amerikansk ejede hosting-leverandører, der er en følge af EU-domstolens underkendelse af Privacy Shield-ordningen som gyldigt retsgrundlag for overførsel til USA i Schrems II-sagen, vil vi her nærmere redegøre for vores brug af amerikanske hosting-leverandører i sammenligning med forholdene i Schrems II-sagen:        

I EU-dommen C-311/18 (Schrems II) var faktum, at der ubestridt faktisk havde fundet en tredjelandsoverførsel af personoplysninger sted, hvilket tydeligst ses af præmis 74, hvor det udtales, at Facebook Ireland i sagen havde anerkendt, at selskabet overførte personoplysninger om sine brugere med bopæl i Unionen til Facebook Inc., og at en stor del af disse overførsler, hvis lovlighed var bestridt, blev foretaget på grundlag af standardbestemmelserne om databeskyttelse i bilaget til afgørelsen om standardkontraktbestemmelser. EU-dommen angik således ikke et spørgsmål om en hypotetisk risiko for, at en overførsel af personoplysninger kunne finde sted fra Europa til USA. Det fremgår eksplicit af dommen, at standardkontraktbestemmelserne (”SCC’er”) ikke kan binde myndighederne i modtagerlandet for tredjelandsoverførslen (importlandet), idet de kun binder parterne. Dommen opretholder standardkontraktbestemmelserne, men synes i generelle vendinger at opstille et krav om, at der, formentlig i tillæg til standardkontraktbestemmelserne, ved en tredjelandsoverførsel fra gang til gang skal foretages en granskning af det pågældende tredjelands lovgivning og træffes yderligere foranstaltninger. Herved opstår der tvivl om, hvorvidt SCC fortsat kan anvendes i forhold til en tredjelandsoverførsel til USA, når Privacy Shield samtidig underkendes, fordi amerikansk lovgivning ikke yder retssikkerhedsgarantier, der i det væsentlige svarer til retssikkerhedsgarantierne i Unionens lovgivning, ligesom der ikke dommen gives nogen vejledning om, hvordan og på hvilket niveau et givet tredjelands lovgivning skal undersøges, eller hvilke yderligere foranstaltninger der kan eller skal træffes.

Med det efter EU-dommen i Schrems II-sagen øgede fokus på tredjelandsoverførsler og risikoen herfor overses efter vores opfattelse et væsentligt aspekt af problemet. I mellemtiden, efter at Schrems II-sagen blev indledt, er der bl.a. i amerikansk lovgivning blevet gennemført den såkaldte CLOUD Act, hvorefter amerikanske selskaber på begæring af amerikanske myndigheder er forpligtede til at udlevere personoplysninger, uanset om oplysningerne opbevares uden for USA og er undergivet andre landes jurisdiktion, fx hos et datterselskab i Europa. Pointen er derfor, at der også for europæisk registrerede og domicilerede, men amerikanske ejede, selskaber består en risiko for en tredjelandsoverførsel, sådan som det for tiden forholder sig med amerikansk lovgivning. Risikoen består uanset parternes aftale, givne garantier, anvendelse af SCC etc. Det hjælper derfor ikke, hvis Det Digitale Folkebibliotek fx i stedet for en aftale med Microsoft Corp. indgår aftale om den samme hosting-løsning (Azure) med Microsoft Ireland, der er et europæisk registreret selskab med domicil i Europa.

I modsætning til EU-dommen i Schrems II-sagen er der i de hos os anvendte hosting-løsninger Microsoft Azure og Google Cloud Solution og Firebase til behandling af oplysninger ikke tale om nogen tredjelandsoverførsel, idet vores (danske) underdatabehandlere, fx når der oprettes serverkapacitet, som ufravigelig standardprocedure vælger, at oplysningerne opbevares i Europa, hvilket de dokumenterer over for os. Vi erkender imidlertid, at der består en risiko for, at der kan finde en tredjelandsoverførsel sted, hvorfor vi foretager en vurdering af denne risiko principielt på linje med en vurdering af risikoen for et sikkerhedsbrud bestående i en uberettiget videregivelse af oplysninger.

10. Er GUID personhenførbart, og hvis ikke, er det så forklaringen på it-revisionens vurdering af, at der ikke sker tredjelandsoverførsler (jf. kontrolmål G på side 25 i revisionserklæringen)?

Det er den ”almindelige opfattelse”, og formentlig derfor også Det Digitale Folkebiblioteks it-revisorers opfattelse, at GUID i sig selv ikke kan anses for personhenførbart på det nuværende it-teknologiske stadie. GUID må dog formentlig sammenholdt med andre data anses for at være personhenførbart, men for at kunne henføre GUID til personoplysninger i vores løsninger skal man samtidig have CPR-nr. og adgang til DBC’ databaser. Vi har derfor for nyligt indhentet en udtalelse fra DBC a/s, der tildeler GUID, som har bekræftet, at de personoplysninger, som DBC a/s behandler, udelukkende opbevares i deres datacenter i Ballerup.

Brugen af GUID udgør derfor en yderligere sikkerhedsforanstaltning, og udgør et yderligere argument for, at risikoen for at der finder en tredjelandsoverførsel sted ved brugen af Microsofts hosting-løsning, må anses for at være minimal, eftersom GUID almindeligvis ikke kan anses for at være personhenførbart. Derudover støtter det vores vurdering af, at konsekvenserne for den registrerede, hvis en tredjelandsoverførsel alligevel skulle finde sted, under alle omstændigheder er minimale.

It-revisionens bemærkninger om at Det Digitale Folkebibliotek ikke overfører personoplysninger til tredjelande, er sandsynliggjort på baggrund af revisors testhandlinger, går ikke specifikt på anvendelse af GUID. De testhandlinger, der sigtes til, er, at it-revisionen har undersøgt, om de data, der efter aftale opbevares i Europa, også befinder sig i Europa, og revisor har endvidere set på de standardvilkår, der gælder for aftalen om hosting af personoplysninger i løsningen Microsoft Azure.

Læs mere og hent erklæringen her. 

11. Kan en bibliotekskommune godt underskrive databehandleraftalen og senere tage et tvivlsspørgsmål op vedrørende behandlingen af personoplysninger med henblik på en ændring af databehandleraftalen?

Databehandleraftaler er en lidt speciel aftalemæssig konstruktion. Det følger af de persondataretlige regler, at databehandleren handler efter instruks fra den dataansvarlige, og derfor skal den dataansvarlige ifølge databehandleraftalen være berettiget til at give både generelle og konkrete instrukser til databehandleren.

Uanset at en bibliotekskommune har indgået databehandleraftalen med Det Digitale Folkebibliotek på de i databehandleraftalen fastsatte vilkår, kan bibliotekskommunen efterfølgende give Det Digitale Folkebibliotek andre instrukser om behandling af personoplysninger med den eneste begrænsning, at en instruks skal være lovlig, dvs. ikke må stride imod databeskyttelsesforordningen og den nationale databeskyttelseslov. En sådan efterfølgende instruks vil ikke være et aftalebrud, men er et udslag af en beføjelse, som bibliotekskommunen har som dataansvarlig i medfør af databeskyttelsesforordningen. 

 

GDPR