I juli 2020 avsa EU-domstolen en avgjørelse («Schrems II-avgjørelsen») som medførte at Privacy Shield ikke lenger er lovlig grunnlag for overføring av personopplysninger til USA. I dommen ble det også gitt føringer på hvordan andre overføringsgrunnlag som EUs standardbestemmelser («EC Standard Contract Clauses» eller «SCC») og bindende overføringsregler («Binding Coporate Rules» eller «BCR») skal benyttes.

Som en følge av avgjørelsen har vi gjennomgått avtaler vi har med underleverandører som vil kunne overføre personopplysninger til USA eller som er amerikanske. Vi benytter kun Twilio (SendGrid) som underleverandør hvor det overføres personopplysninger til USA eller som er amerikansk. Twilio er underlagt bestemmelsene i amerikansk lovverk som ble behandlet i ovennevnte avgjørelse (som Section 702 FISA og EO 12333).

For overføring til USA ved bruk av Twilio, benyttes SCC og BCR som grunnlag. Vi benytter derfor IKKE Privacy Shield som overføringsgrunnlag til USA i noen sammenheng. Ingen av Twilios underleverandører benytter heller Privacy Shield som overføringsgrunnlag, og overføringsgrunnlag hvilket i disse tilfelle ikke vil være nødvendig siden underleverandørene er lokalisert i USA. Det skjer derfor ingen videreoverføring til andre tredjeland av Twilio. Twilios underleverandører (underdatabehandlere) er inntatt her: https://www.twilio.com/legal/sub-processors.

Etter avgjørelsen fra domstolen skal det foretas en vurdering av tiltak som skal iverksettes om SCC eller BCR benyttes som grunnlag. Vi har derfor vært i kontakt med Twilio som har iverksatt tiltak for å sikre data ved kryptering for data i transitt og for data som er lagret. Ytterligere tiltak som er iverksatt finnes her: https://www.twilio.com/security og https://www.twilio.com/legal/security-overview. Twillio er SOC2 og ISO 27001 sertifisert for informasjonssikkerhet, og vi kan fremskaffe dokumentasjon knyttet til informasjonssikkerhet som SOC 2 Type II-rapport, siste oppdaterte sikkerhetsrapport og annet. Se også mer informasjon her: https://support.twilio.com/hc/en-us/articles/360051805394-Measures-Twilio-Takes-to-Safeguard-the-Privacy-of-Customer-Personal-Data.

Twilio brukes bare for utsendelser av e-poster fra MailMojo. For dette, så er det i følge Twilio bare e-postadressene til mottakerne som er tilgjengelig for Twilio i en begrenset periode fra tidspunktet på utsendelsen. Innholdet i epostene har vi fått bekreftet er kryptert. I tillegg så kan dere begrense de personopplysninger dere legger inn i innholdet e-postene om dere ønsker.

Twilio har også informert oss om at de vurderer å sette opp datasentre innenfor EØS etter hvert, men vi vurderer også å erstatte Twilio med en leverandør innenfor EØS. Det vil avhenge av at vi finner en leverandør med tilstrekkelig funksjonalitet og kan levere like god informasjonssikkerhet som Twilio.

Det er kommet veiledning for hvilke tiltak som skal iverksettes fra EU, som vi må gjennomgå nærmere. Det skal også komme veiledninger fra Datatilsynet eller andre. Vi vil følge slike veiledninger for å sikre at vi opererer innenfor regelverket og på en sikker måte for våre kunder, og iverkesette eventuelle tiltak i samarbeid med våre kunder.

Dette er informasjon til dere behandlingsansvarlig for at dere skal kunne vurdere å bruke tjenesten med underleverandører som Twilio. Om dere har tilbakemelding på ovennevnte, så er det bare å ta kontakt.

Fant du svaret?