我们之前曾告诉过您有关 挪威数据保护局的Datatilsynet(Norwegian DPA)发现Google Analytics(分析)违反了该国的数据保护法。面对现实,挪威DPA现在决定推迟分别由纳尔维克市和莫斯市政府使用Google和Microsoft的云计算服务的禁令。挪威DPA最初得出的结论是,Google Apps和Microsoft 365无法遵守《挪威数据保护法》,因为市政当局失去了对Google和Microsoft通过其云计算服务处理的个人数据的存储和访问限制的控制权。挪威DPA的主要担忧是未能根据《个人数据法》第15条建立有效的数据处理协议,该协议不符合第13条的信息安全要求,并且不遵守有关个人转移的规定国外数据,请参阅第29节。挪威DPA还担心,即使在“安全港”计划内,《美国爱国者法案》也对保护个人隐私构成了挑战。

现在,挪威DPA确信Google和Microsoft已提高了其云计算安全性,并且在安全港制度下存储在EU / EEA和美国的数据受到适当保护措施的保护。监管政策的这种根本逆转表明,DPA鉴于其日益普及,正在重新评估云计算的重要性。但是,在挪威使用云计算服务将以严格的先决条件为条件:

  • 必须事先进行彻底的风险和漏洞分析。
  • 企业必须已经按照挪威法规建立了令人满意的数据处理器协议。市政当局将负责确保符合法定要求。
  • 云计算服务的使用必须定期进行审核。独立的第三方必须代表市政当局进行安全审核,以确保遵守数据处理器协议。
  • 数据处理器协议必须得到执行,供应商’的一般隐私政策必须符合该协议。
  • 关于个人数据的传输;除非被转移到的国家/地区已被欧盟委员会批准为安全目的地,否则转移必须受标准协议规范。