Nyhetsbrev om nasjonal DPIA for Google Workspace for Education

TIA for Taiwan er publisert! 

Hei !

Nå er tredjelandsvurderingen vår av Taiwan endelig ferdig! Vi har publisert den her. 

En del av DPIA-prosjektet har vært å gjøre tredjelandsvurderinger, eller Transfer Impact Assessments (TIA) for de landene som kan overføre personopplysninger til hvis du bruker Google Workspace for Education. 

Og nå er vi ferdig med en av dem. 

Hva har vi lært som du også kan få noe ut av?

Hvis vi skal oppsummere lærdommene fra denne TIAen er det dette: 

1 Det å gjøre en TIA innebærer at du må lese deg opp på og lete etter informasjon om lover i tredjeland.

Det er en er en ensom og kjip prosess. 

Vi skulle ønske det var noen hyggeligere måte å si dette på, men sannheten er at starten av en TIA er veldig kjip. Du vil bruke masse tid på å lete etter informasjon som kan være relevant, men som ikke nødvendigvis er det. 

Du famler i blinde. Det er ekstra kjipt å ikke vite om det du gjør vil føre til noe produktivt. 

Og når du vet det, kan du sette opp arbeidet slik at det ikke blir så kjipt. For oss har det vært avgjørende å kjøpe bistand fra noen som er mer eksperter enn det vi er (Kvale Advokatfirma). Dette for å ha noen å sparre med som kan fortelle oss at vi ikke er 110% på jordet. 

Vi har også bak inn pauser i arbeidet vårt. For når det er stressende å lese seg opp på ting som du ikke vet om kommer til å bli en del av TIAen, trenger du pauser. Dette kan være i form av andre arbeidsoppgaver. F.eks. skrive en artikkel eller forberede et foredrag. Eller det kan rett og slett være en pause.   

2 Du trenger ikke involvere eksperter i tredjelandet, så lenge du klarer du redusere usikkerhet.

Det å gjøre en TIA, betyr at du vurderer lover i et annet land. Det er mye usikkerhet knyttet til det. Som norsk jurist eller personvernrådgiver kan du ikke være sikker på at du gjør en riktig vurdering. 

Både fordi det er lover du må oversette fra et fremmedspråk til norsk, og fordi det er lover som eksisterer i en rettstradisjon som gjør det vanskelig for deg å tolke dem. 

Da vi var ferdig med Taiwan-vurderingen, hadde vi en teori om at vi ikke hadde trengt å gå runden om lokale eksperter fra Taiwan for å få vurderingen vår bekreftet. Vi var rett og slett så trygge på vurderingen, at om vi ikke hadde hatt ressurser til det, ville vi ha stoppet vurderingen uten å involvere taiwanske jurister. 

Dette hadde vi rett i. De taiwanske ekspertene bekreftet at vi hadde truffet godt på vurderingen. Og når vi sier «vi» er det i all hovedsak Ola Høyer, jurist i Bergen kommune vi snakker om. Det er HAN som er hjernen bak denne vurderingen. 

Men det er vanskelig å vite at vi har hatt rett i vurderingene våre før en lokal ekspert har sett på den. 

3 Det finnes ingen magisk formel for å redusere usikkerhet, men klare ramme og grundige vurderinger vil hjelpe

Arbeidet med å identifisere og vurdere gjeldende rett i et tredjeland, er per definisjon usikkert. Og dette er spesielt sant hvis man går utenom lokal ekspertise eller utelukker at man selv er ekspert!

Ola snakket en gang med en erfaren konsulent om temaet. Han var nysgjerrig på hvordan han kunne effektivisere eget arbeid, og spurte litt flåsete om konsulenten hadde noen råd når det gjaldt usikkerhet i konklusjoner og hvor langt en må strekke seg i disse vurderingene. 

«Finn ut hvor mye penger kunden er villig til å bruke» sa konsulenten kontant. 

I øyeblikket klarte ikke Ola å skjønne hva konsulenten mente. Det hele fortonet seg som en klassisk replikk fra en businessorientert konsulent. Men i ettertid forsto han at poenget ikke bare var solid – det var også beskrivende for hva slags oppgave man egentlig tar på seg når man skal gjøre en TIA. 

Det er nærmest ingen grenser for hvor dypt man kan dykke ned i utenlandsk lovgivning. Det hele koker ned til et spørsmål om ressurser og et spørsmål om hvor langt kunden eller du er villig til å gå.

For å redusere usikkerhet i konklusjonene er det dermed viktig å 1) etablere klare rammer, og 2) gjøre grundige vurderinger.

Hva mener vi med dette? 

Klare rammer

Det er ofte stor overlapp mellom overvåknings- og etterretningslovgivning og nasjonal strafferett/straffeprosess. Dersom tredjelandet kriminaliserer handlinger som ellers er straffefrie i EU, vil slike grunnleggende ulikheter selvsagt måtte adresseres i en TIA. 

Men selv om straffelovgivningen er relevant i en TIA, vil det sjeldent være nødvendig å redegjøre for det fullstendige strafferettslige landskapet. Dersom den nasjonale strafferetten ikke er radikalt ulik den europeiske, og overføringen ikke involverer flyt av data som potensielt er kriminalisert i EU, er det prosjektets syn at det ikke er nødvendig å gjøre store utredninger av nasjonal straffelov.

Strafferett er et komplisert anliggende i ethvert land man ser på. Og skulle ambisjonen være å tilegne seg kunnskap man ellers ikke har anledning til å skaffe, kan dette heller være et fritidsprosjekt.

Poenget er at det ikke er hensiktsmessig å legge størsteparten av innsatsen her dersom det strengt tatt ikke er nødvendig. 

Grundige vurderinger 
For å konkludere uten bistand fra lokal ekspertise er grundighet svært viktig i vurderingene. Det er dessverre ingen vei utenom. 

De problematiske lovene må leses nøye og forstås i lys av øvrige rettskilder som er tilgjengelig. Dette krever innsats og tålmodighet. 

Hvordan? 

Vi har laget en prosedyre / smørbrødliste / Standard Operational Procedure (SOP) som du kan ta utgangspunkt i, les den her. 

Hvordan jobber vi med TIAer? Her kan du høre på oss snakke om hvordan vi jobber med dette
Det er flere ting som gjør det vanskelig å gjøre TIAer. Du må vurdere lovene i det landet utenfor EU/EØS som du overfører personopplysninger til opp mot den europiske rettsikkerhetsstandarden (fire garantier). Det er bade vanskelig fordi de er skrevet på et språk vi ikke mestrer. Men også fordi de er stressende.  

Vi har hatt en LinkedIn live om denne metoden som du kan ta en titt på her. 

Rebecca skal snakke om dette under personvern dagene i Trondheim 17. og 18. september 2024. Sjekk ut programmet her https://eyd.tech/personverndagene/program-1#Program_dag_2 og brukt rabattkoden «INVITED20» når du melder deg på for å få 20% rabatt. 

Får du ikke med deg Personverndagene? Ola og Ida skal snakke om tredjelandsvurderinger fredag 18.10.24 fra kl. 12.00 til 13.00 på SkoleSec sin «Samling rundt leirbålet». 

Dette er en møterekke på Teams som du kan inviteres til via Outlook, så svar på denne e-posten for å bli invitert, eller logg deg på møtet fredag 18.10 via denne linken.

Jeg ønsker deg en riktig god, personvernvennlig helg!

Vennlig hilsen 

Ida Thorsrud

prosjektleder nasjonal DPIA

Ps. Fikk du ikke med deg panelsamtalen vår under Arendalsuka? Nå har KiNS publisert den! Du kan se på den her. Ja, det er et opptak som er publisert på YouTube. Ja, jeg ser ironien i det gitt anbefalingen i den nasjonale DPIAen! Ja, du har lov til å le!

KS er kommunesektorens organisasjon og representerer alle
norske kommuner og fylkeskommuner.

Jeg ønsker ikke å motta flere nyhetsbrev 

Har du gått glipp av noen nyhetsbrev? Se en fullstendig oversikt her!

Newsletter: Progress on the National DPIA for Google Workspace for Education

TIA for Taiwan is Published! 

Hi !

Our third-country assessment (Transfer Impact Assessment, TIA) of Taiwan is finally complete! We have published it here.

Part of the DPIA project has been conducting third-country assessments or Transfer Impact Assessments (TIA) for the countries that can transfer personal data if you use Google Workspace for Education. 
And now, one of them is complete. 

What have we learned that you can also benefit from? 

If we were to summarize the lessons from this TIA, they would be:

1 Conducting a TIA involves researching and seeking information on laws in third countries. It is a lonely and tedious process.

 
We wish there were a nicer way to say this, but the truth is that the start of a TIA is very tough. You will spend a lot of time searching for information that may be relevant but is not necessarily so. 

You fumble in the dark. It's particularly tough not knowing whether what you're doing will lead to anything productive. 

And once you know this, you can set up the work so it's not so tough. For us, it has been crucial to hire assistance from those who are more expert than we are (Kvale Law Firm), to have someone to spar with who can tell us that we're not completely off base. 

We've also built in breaks in our work. When it's stressful to read up on things you don't know if will be part of the TIA, you need breaks. This can be in the form of other work tasks, such as writing an article or preparing a lecture. Or it can simply be a break.

2 You don't need to involve experts from the third country as long as you manage to reduce uncertainty

 
Conducting a TIA means assessing laws in another country. There's a lot of uncertainty involved. As a Norwegian lawyer or privacy advisor, you cannot be sure that you are making a correct assessment. 

This is because the laws must be translated from a foreign language to Norwegian, and because they exist in a legal tradition that makes it difficult for you to interpret them. 

When we finished the assessment for Taiwan, we had a theory that we wouldn't have needed to consult local experts from Taiwan to have our assessment confirmed. We were simply so confident in the assessment, that if we hadn't had the resources, we would have stopped the assessment without involving Taiwanese lawyers. 

We were right. The Taiwanese experts confirmed that we had made a good assessment.

And when we say "we," we are primarily talking about Ola Høyer, a lawyer in Bergen municipality. He is the brain behind this assessment. 

But it's hard to know we were right in our assessments until a local expert has reviewed it.

3 There is no magic formula to reduce uncertainty, but clear frameworks and thorough assessments will help 

The task of identifying and assessing applicable law in a third country is inherently uncertain. And this is especially true if one bypasses local expertise or excludes oneself as an expert! 

Ola once spoke with an experienced consultant about this topic. He was curious about how he could make his own work more efficient and asked somewhat flippantly if the consultant had any advice regarding uncertainty in conclusions and how far one must go in these assessments. 

"Find out how much money the customer is willing to spend," the consultant said bluntly. 

At the moment, Ola didn't understand what the consultant meant. It all seemed like a typical line from a business-oriented consultant. But later, he realized that the point was not only solid—it was also descriptive of the kind of task one actually takes on when conducting a TIA. 

There are virtually no limits to how deeply one can delve into foreign legislation. It all boils down to a question of resources and how far the customer or you are willing to go. 

To reduce uncertainty in conclusions, it is thus important to 1) establish clear frameworks, and 2) conduct thorough assessments. 

What do we mean by this? 

Clear Frameworks 

There is often significant overlap between surveillance and intelligence legislation and national criminal law/procedure. If a third country criminalizes actions that are otherwise lawful in the EU, such fundamental differences must naturally be addressed in a TIA. 

Even though criminal law is relevant in a TIA, it is seldom necessary to account for the complete criminal legal landscape. If the national criminal law is not radically different from the European, and the transfer does not involve the flow of data that is potentially criminalized in the EU, the project's view is that it is not necessary to conduct extensive investigations of national criminal law. 

Criminal law is a complicated affair in any country one looks at. And if the ambition is to acquire knowledge one otherwise would not have access to, this might rather be a hobby project. 

The point is that it is not practical to put most of the effort here if it is strictly not necessary. 

Thorough Assessments 
To conclude without assistance from local expertise, thoroughness is very important in the assessments. Unfortunately, there is no way around it. 

The problematic laws must be read carefully and understood in light of other available legal sources. This requires effort and patience. 

How? 

We have created a procedure / checklist / Standard Operational Procedure (SOP) that you can base your work on, and you can read it here.

How do we work with TIAs? 
Here you can listen to us talk about how we work with this on a LinkedIn Live we have previously had.

Rebecca will talk about this at the Privacy Days in Trondheim on September 17 and 18, 2024. Check out the program here https://eyd.tech/personverndagene/program-1#Program_dag_2  and use the discount code "INVITED20" when you register to get a 20% discount. 

Can't make it to the Privacy Days? Ola and Ida will talk about third-country assessments on Friday, 18.10.24 from 12:00 to 13:00 at SkoleSec's "Gathering Around the Campfire." 

This is a series of meetings on Teams that you can be invited to via Outlook, so reply to this email to be invited, or log into the meeting on Friday 18.10 via this link. 

I wish you a wonderful, privacy-friendly week-end!

Best regards,

Ida Thorsrud

Project manager national DPIA

This newsletter was translated from Norwegian to English with assistance from ChatGPT by OpenAI. While it guided our translation, we made independent editorial choices. Any discrepancies result from this combined approach.

Ps. Did you miss our panel discussion during Arendalsuka? KiNS has published it! You can watch it here on YouTube. Yes, it's a recording that has been published on YouTube. Yes, I see the irony in it given the recommendation in the national DPIA! Yes, you are allowed to laugh!

KS is The Norwegian Assosiation of Local and Regional Authorities

Jeg ønsker ikke å motta flere nyhetsbrev 

Har du gått glipp av noen nyhetsbrev? Se en fullstendig oversikt her!