11 Lagringssted og informasjonssikkerhet
11.1 Gjeldende rett
I dag er hver enkelt tilbyder behandlingsansvarlig etter personopplysningsloven § 2 nr. 4 for data lagret for fakturerings- og administrasjonsformål. Tilbyderen kan velge å lagre data fysisk hos seg selv, eller benytte en databehandler for ekstern lagring. Valg av lagringsløsning påvirker imidlertid ikke behandlingsansvaret, og det er tilbyderen selv som er ansvarlig for etterlevelse av personopplysningsregelverket, herunder sikring, og bruk og sletting av de lagrede dataene i henhold til gjeldende regelverk. Lagrede data skal sikres i samsvar med personopplysningsloven § 13 og personopplysningsforskriften kapittel 2 om informasjonssikkerhet.
11.2 Høringsnotatets forslag
Datalagringsdirektivet presiserer at man bør unngå å lagre data mer enn én gang, men utover dette legger direktivet ikke noen føringer på hvordan lagringen skal foregå, med unntak av minimumsbestemmelser om datasikkerhet.
I 2006 fikk departementene utredet kostnadene knyttet til ulike lagringsmodeller, jf. kapittel 16.3. Utredningen var avgrenset til kostnader knyttet til lagring av data fremkommet ved bruk av fasttelefoni, mobiltelefoni og internettaksess. To hovedmodeller har blitt utredet: lagring hos tilbyder og lagring i en sentral database. Departementene har også sett på ulike mellomløsninger som for eksempel valgfri lagring i sentral base og kjøp av lagringskapasitet hos selskaper som har dette som sitt spesialfelt. Det er viktig å understreke at betingelsene og vilkårene for å få tilgang til dataene vil være de samme uavhengig av hvor lagringen eventuelt skal skje.
Departementene foreslo i høringsnotatet at data fortsatt skal lagres hos tilbyderne, og at data skal hentes ut av tilbyderne. I høringsnotatet forutsatte departementene at det settes opp egne lagringsløsninger for data som lagres for myndighetenes formål og at disse holdes atskilt fra forretningsmessige data. Det ble redegjort for lagringsløsninger hvor tilbyderne er pliktige til å overføre data til en sentral database, med bakgrunn i en antakelse om at en slik løsning vil kunne ha mange fordeler knyttet til forenkling av den praktiske prosessen for politiet, samt fordeler når det gjelder sikkerhet og kontroll. En mellomløsning er at myndighetene etablerer en sentral database som det er frivillig for tilbyderne å knytte seg til. En annen mellomløsning er å legge opp til at bransjen selv etablerer en sentral database. En slik base vil kunne være særlig aktuell for de små tilbyderne for å redusere kostnadene knyttet til lagring.
Ut fra personvernmessige vurderinger er det betenkelig å samle alle data på ett sted. En slik samling av store mengder personopplysninger kan i seg selv utgjøre en ekstra personvernrisiko. Selv om det vil være en forutsetning med tilstrekkelig sikkerhet for at data ikke blir brukt til andre formål enn hva som var formålet med lagringen, er det alltid en fare for utilsiktet utlevering eller misbruk, og skadepotensialet er større jo mer informasjon som er samlet på ett sted. Departementene gikk derfor i høringsnotatet ikke inn for en sentral lagringsløsning, men utelukket ikke at små tilbydere kan gå sammen om en felles lagringsløsning.
11.3 Høringsinstansenes syn
Høringsinstansene er delt i synet på lagringssted. Alle høringsinstansene står imidlertid samlet bak synspunktet om at dataene må underlegges tilfredsstillende sikring. Mange høringsinstanser peker på at det er knyttet store sikkerhetsutfordringer til at så store mengder data skal lagres og håndteres av så mange personer som datalagring etter direktivet forutsetter. Dette er en gjennomgående kommentar uavhengig av om høringsinstansen ellers går inn for lokal eller sentral lagring av data.
NTNU, Kripos, NHO, NITO, TEKNA, Norsk Narkotikapolitiforening og Politiets fellesforbund mener alle at lokal lagring av data hos den enkelte tilbyder vil representere en større sikkerhetsrisiko enn ett sentralt lagringssted, og går derfor inn for sentral lagring av data. Det er imidlertid ulik oppfatning blant disse om hvorvidt den sentrale databasen bør eies av staten eller av tilbyderne i fellesskap. Kripos påpeker at en sentralisert lagring med sanntidskryptering vil redusere de personvernmessige betenkelighetene til et absolutt minimum, og at kun ett kontaktpunkt vil innebære en betydelig ressursbesparelse for politiet ved uthenting av data og sikre raskere tilgang. Kripos mener at en kryptert lagringsløsning (sanntidskryptering av alle lagrede data) vil øke sikkerheten rundt de lagrede dataene i meget stor grad. Ved å velge sentral lagring vil myndighetene ha bedre mulighet til å påvirke valg av løsning slik at sikkerhetshensyn bedre kan ivaretas og tillegges større vekt enn kostnader og ordinær drift. Kripos er ikke enig i at lokal lagring gir bedre sikkerhet for at dataene ikke brukes til andre formål enn de er ment for, eller at det gir større sikkerhet mot utilsiktet utlevering. Tvert i mot mener Kripos at en sentral lagring der dataene er kryptert ivaretar disse hensynene best.
Kripos uttaler:
«Ett lagringssted som er uavhengig av tilbyderne vil medføre en åpenbart bedre sikkerhet mot at uvedkommende får kunnskap om de etterforskningsskritt politiet har iverksatt. Lekkasje av slik informasjon kan selvsagt både skje forsettlig fra noen som ser seg tjent med det, men kan også skje uforvarende eller ved en tilfeldighet. Det kan uansett være til stor skade for etterforskningen. At 230 tilbydere skal ekspedere slike henvendelser fra politiet medfører en åpenbart større risiko for slike lekkasjer. Det finnes flere eksempler på at problemstillingen er reell».
Kripos uttaler videre:
«Høringsnotatet støtter seg til Datatilsynets innvendig mot sentralisert lagring når det gjelder den personvernrisiko dette medfører. Dette resonnementet synes utelukkende å basere seg på skadepotensialet ved et sikkerhetsbrudd, og i liten grad sannsynligheten for selve bruddet. Skadepotensialet ved enkeltbrudd er åpenbart større om alle data lagres på ett sted.
Likevel har ikke høringsnotatet drøftet denne problemstillingen opp mot en løsning med sanntidskryptering av data, se pkt. 4.1. Som nevnt tidligere er ikke en kryptert lagringsløsning omhandlet i høringsnotatet eller i de forutgående utredningene. Kripos finner dette merkelig da en kryptert løsning vil øke sikkerheten rundt de lagrede data i meget stor grad.
Kripos anbefaler en kryptert lagringsløsning. Men skulle man av ukjente årsaker velge en ukryptert løsning, så er faren for at flere sikkerhetsbrudd inntreffer like åpenbart større om man overlater lagring og utlevering til et stadig økende antall tilbydere».
Også Politidirektoratet støtter sentral lagring fordi direktoratet mener dette vil sikre lik lagringspraksis hos alle tilbyderne, og bidra til at hensynet til personvern og annen lovgivning blir ivaretatt. Direktoratet forutsetter at det ikke er politiet selv som skal foreta lagringen.
Det nasjonale statsadvokatembetet mener datalagringens legitimitet best ivaretas ved lagring utenfor politiet, dvs. hos en av de store tilbyderne eller en uavhengig instans. De mener den sikreste ordningen vil være lagring hos én aktør fordi dette vil forenkle innhenting samtidig som sentral datalagring gir klar ansvarsplassering mht. hvem som er behandlingsansvarlig, og forenkler kontroll og tilsyn. Sentral lagring gjør det mulig å ta i bruk personvernfremmende teknologi for å beskytte alle dataene på et godt nivå. Det nasjonale statsadvokatembetet mener sentral lagring må antas å være enklest, rimeligst og best oppfylle formålet med datalagring, og savner en vurdering av om bruk av personvernfremmende teknologi vil styrke en slik løsning.
NAST uttaler:
«NAST mener at datalagringens legitimitet best ivaretas ved at dataene lagres hos en aktør utenfor politiet, og lagringen må skje under så betryggende forhold som mulig. NAST antar at den sikreste og ryddigste ordningen er å lagre alle dataene hos én aktør. For politiet vil det forenkle innhenting av opplysningene. Det ligger ikke noe sikkerhetselement i at politiet som i dag, må henvende seg til forskjellige tilbydere. Det bare forsinker etterforskingen. Sentral datalagring gir klar ansvarsplassering mht. hvem som er den behandlingsansvarlige, forenkler kontroll og tilsyn med ordningen og oppfyller formålet på beste måte.
Prinsipielt mener NAST at spørsmål om datasikkerheten hos tilbyderne ikke bør være noe argument ved valg av lagringssted. Som enhver annen forretningsdrivende må tilbyder behandle sine data profesjonelt og i samsvar med lovverket. Men hvis det virkelig er slik at man må påregne at bransjen ikke kan håndtere dataene forsvarlig, styrkes jo argumentet for sentral datalagring. Det frigjør også ressurser som i dag går med hos tilbyderne til å betjene politiets utleveringsbegjæringer. Ved sentral lagring er det også mulig å ta i bruk personvernøkende teknologi for å beskytte alle dataene på et godt nivå. NAST savner en vurdering i høringsbrevet om bruk av slik teknologi ville styrke forslaget om sentral datalagring. Det må anses å være enklest, rimeligst og best oppfylle formålet med datalagring».
NAV påpeker at gruppen tilbydere er svært lite homogen, og at kanskje ikke alle vil klare å iverksette fullgode mekanismer for sikring av dataene. Mange av tilbyderne av elektroniske kommunikasjonsnett og -tjenester påpeker at tilbydere som er etablert i flere EU-/EØS-land bør ha muligheten til å samlokalisere lagring av data fra tilbyderne i de ulike landene. Riksadvokaten setter som en absolutt forutsetning for innføring av lagringsbestemmelser at det etableres systemer som sørger for at innsamlede data ikke kommer på avveie, men uttaler seg for øvrig ikke om lagringsstedet.
NorSIS, Norges Televisjon, NetCom, Telenor, Akademikerne, IKT-Norge, Politijuristene, HSH, ITAKT, Altibox, TDC, GET, Teknologirådet og Forsvarergruppen av 1977 går alle inn for at tilbyderne selv skal velge lagringsløsning. De peker på den store sikkerhetsrisikoen som er knyttet til å samle alle data i en sentral database. Flere av disse peker også på at sentral lagring forsterker faren for andre personvernulemper, som formålsglidning, dobbeltlagring og uønsket kobling av data. Post- og teletilsynet går, av kostnadshensyn, også inn for at den enkelte tilbyder selv skal få velge lagringsløsning. Av sikkerhetshensyn går tilsynet primært inn for at data skal lagres i Norge.
IKT-Norge uttaler:
«IKT-Norge støtter høringsnotatets forslag om at det skal være valgfritt for selskapene om de ønsker å lagre data lokalt eller om de ønsker å gå sammen om en felles lagringsløsning. Det er imidlertid viktig at samlokalisert lagring må skje i regi av selskapene selv fremfor en myndighetskontrollert lagringsløsning. IKT-Norge støtter at selskaper som opererer i flere land må kunne samlokalisere. IKT-Norge mener at følgende krav fra høringsnotatet viser at dette direktivet ikke bidrar til harmonisering: ‘Tilbydere som ønsker å lagre data i en sentral database i EU må sørge for at data fra de ulike medlemslandene er fysisk adskilte, sånn at hvert enkelt medlemslands lover og regler når det gjelder lagringstid, vilkår for uthenting m.m. kan ivaretas’. Et slikt krav er etter IKT-Norges mening urimelig. IKT-Norge forutsetter videre at valg av lagringssted ikke vil ha implikasjoner for hvem som eventuelt skal bære kostnadene forbundet med lagringsplikten.»
Teknologirådet uttaler:
«Sentral lagring medfører sammenstilling av data fra ulike kilder. Den tyske forfatningsdomstolen besluttet i mars 2010 at den tyske implementeringen av datalagringsdirektivet er i strid med grunnloven. I sin begrunnelse går retten igjennom hvilke kriterier som må være til stede for at datalagring skal kunne aksepteres. En av faktorene som trekkes fram er nettopp viktigheten av at lagringen foretas av operatørene og ikke direkte av myndighetene. Dette betyr at dataene ikke er koblet sammen allerede gjennom lagringen (for eksempel ved ulike kundeforhold for mobiltelefoni, fasttelefoni og Internett), og medfører i mindre grad at lagringen kan oppleves som en totalkartlegging av alle borgernes kommunikasjonsaktiviteter».
NorSIS uttaler:
«NorSIS støtter at det ikke velges en sentral datalagringsløsning, slik at alle egg ikke havner i samme kurv. Når det er sagt, er noen av tilbyderne så store at deres datalagring vil innbefatte svært store datamengder, med persondata. NorSIS poengterer igjen viktigheten av å sette krav til sikring av data, tilgangskontroll og tilsyn av data slik at disse blir behandlet etter gjeldende lover og regler».
ICJ-Norge peker i sin høringsuttalelse på faren for lekkasjer og/eller tyveri av data, uavhengig av sikringskrav. De peker også på de betydelige utfordringene som er knyttet til at tilbyderne kan kjøpe lagringstjenester i andre EØS-land hvor norske myndigheter har liten eller ingen innvirkning på sikkerhets- og tilgangsreglene, og mener disse problemstillingene ikke er tilstrekkelig belyst i høringsnotatet.
Økokrim uttaler seg ikke direkte om valg av lagringssted, men gir på generelt grunnlag uttrykk for at forslaget i høringsnotatet, om at tilbyderne selv skal kunne velge lagringssted, med dagens teknologi vil kunne danne grunnlag for et sikkert system. Heller ikke PST kommenterer valg av lagringssted spesielt, men synes i sine øvrige kommentarer å legge til grunn at data skal lagres lokalt hos tilbyder.
Datatilsynet har i sin høringsuttalelse uttalt at spørsmålet om implementering av direktivet først og fremst er et prinsipielt spørsmål og at det derfor er av underordnet betydning hvordan direktivet implementeres med tanke på lagringstid og lagringssted, men viser generelt til uttalelser fra de europeiske personvernmyndighetene (Artikkel 29-gruppen) hvor man har oppstilt konkrete krav til sikkerhetsforanstaltninger for datalagringen, og presiserer at disse må legges til grunn for en eventuell implementering. Artikkel 29-gruppens krav til sikkerhetsforanstaltninger forutsetter lokal lagring og krever at data lagret i henhold til datalagringsdirektivet skilles logisk fra data lagret for tilbydernes administrasjons- og faktureringsformål og at de omgis med tilstrekkelig sikkerhet, for eksempel ved at de krypteres.
11.4 Departementets vurdering
11.4.1 Informasjonssikkerhet
Departementet går inn for at det skal være opp til den enkelte tilbyder å velge lagringsløsning. Departementet har særlig vektlagt personvernmessige hensyn når det ikke foreslås å etablere en sentral lagringsløsning. Dette utelukker imidlertid ikke at små tilbydere kan gå sammen om en felles lagringsløsning. I tillegg til personvernmessige vurderinger har departementet også vurdert kostnader samt sikkerhetsmessige og konkurransemessige aspekter. Departementet mener informasjonssikkerheten kan ivaretas på en tilfredsstillende måte ved lokal lagring, og at sikkerheten ikke nødvendigvis blir bedre ivaretatt i en sentral database.
En sentral database vil innebære en samling av store mengder personopplysninger, noe som i seg selv kan utgjøre en stor personvernrisiko. Jo mer informasjon som er samlet på ett sted, jo større er skadepotensialet ved eventuelt misbruk eller uautorisert tilgang til dataene. En sentral base vil være mer sårbar for uautorisert tilgang og misbruk enn om dataene lagres lokalt. Samtidig vil en sentral base kunne gjøre det vanskeligere å forhindre formålsglidning over tid. Hvis store mengder personopplysninger skal samles på ett sted, bør det være særlig tungtveiende grunner for det, noe departementet ikke kan se er tilfellet her.
Datatilsynet har gitt uttrykk for at det kan oppstå tvil om behandlingsansvaret dersom data samles i en sentral database. Det vil være umulig for tilbyderne å beholde behandlingsansvaret med de plikter og det ansvar som ligger til denne funksjonen. Eventuelt må ansvaret tillegges en offentlig myndighet. Etter departementets vurdering er det heller ingen offentlig instans som utpeker seg som naturlig behandlingsansvarlig for en database som inneholder data om elektronisk kommunikasjon. Det er videre uklart i hvilken grad en tredjepart faktisk vil kunne oppfylle de forpliktelser som ligger til en behandlingsansvarlig, siden det vil gjelde opplysninger som denne parten har svært liten innflytelse over og kontroll med.
Departementet mener hensynet til trusselen om misbruk, det store skadepotensialet ved evt. sikkerhetsbrudd samt usikkerhet om behandlingsansvaret, er tungtveiende argumenter mot å etablere en sentral lagringsløsning.
Departementet ser at en sentral base vil kunne forenkle den praktiske prosessen for politiet med å få tilgang til data ved at de kan forholde seg til én virksomhet i stedet for et stort antall tilbydere. Departementet mener imidlertid det må være mulig å finne løsninger som forenkler den praktiske prosessen både for politiet og tilbyderne også ved en løsning med desentralisert lagring.
I henhold til datalagringsdirektivet er det ikke et krav at dataene skal lagres fysisk atskilt fra tilbyders øvrige data, men det skal etableres hensiktsmessige tekniske og organisatoriske anordninger for å ivareta datasikkerheten. Både Datatilsynet og ekomtilbyderne har gitt uttrykk for at de er enige i Artikkel 29-gruppens anbefaling om at det ved innføring av en eventuell lagringsplikt bør etableres et logisk skille mellom dataene avhengig av dataenes formål. Departementet vurderer det som avgjørende for å kunne kontrollere bruken av data som lagres i henhold til datalagringsdirektivet, at det stilles vilkår om et logisk skille mellom data til fakturerings- og administrasjonsformål på den ene siden, og data til kriminalitetsbekjempende formål på den andre siden. Dette innebærer ikke at data må lagres på to forskjellige steder, men at tilbyderne må ha mekanismer som styrer tilgangen til data avhengig av lagringsformål. Departementet går inn for at det innføres en plikt for tilbyderne til å sørge for lagringsløsninger som ivaretar sikkerheten rundt data lagret i henhold til datalagringsdirektivet. Departementet legger til grunn at etablering av tilstrekkelige sikkerhetsrutiner og -systemer er både teknisk og administrativt uproblematisk, men at det vil kreve en viss investering i lagringsløsninger for tilbyderne.
Departementet går inn for at data skal lagres på en måte som sikrer at data ikke er tilgjengelige for andre enn relevant myndighet når rettens avgjørelse foreligger. Det må være et vilkår at data lagret for kriminalitetsbekjempende formål ikke skal være tilgjengelige for annet personell hos tilbyder enn de få som har tjenstlig behov.
Flere av høringsinstansene som har argumentert for sentral lagring, begrunner dette bl.a. med at det vil være enklere å sørge for tilstrekkelig sikkerhet. I henhold til datalagringsdirektivet, skal data som lagres for kriminalitetsbekjempelse være av samme kvalitet og nyte godt av samme beskyttelse og sikkerhetsforanstaltninger som øvrige data generert i det elektroniske kommunikasjonsnettet. Ansvaret for datasikkerhet og vern av personopplysninger om den enkelte bruker av elektronisk kommunikasjon, vil etter forslaget ligge hos den enkelte tilbyder, jf. personopplysningsloven § 13 og personopplysningsforskriften kapittel 2 og forslag til ny paragraf § 2-7 a i ekomloven.
Det er tilbyderne som med utgangspunkt i personopplysningsloven med forskrifter må foreta en trusselvurdering for å fastslå hvilke sikringstiltak som er nødvendige, og iverksette sikringstiltak i samsvar med konklusjonene fra en slik risikovurdering. En rekke ulike mekanismer for informasjonssikkerhet kan integreres i IKT-løsninger. Både sikringstiltak for å beskytte dataenes tilgjengelighet, konfidensialitet og integritet og kontroll og beskyttelse mot uautorisert eller ulovlig lagring, behandling, tilgjengeliggjøring og utlevering, kan være aktuelt å vurdere. Dette innebærer blant annet at det kan vurderes å fastsette bestemmelser som skal sikre at dataene er tilgjengelige når det er saklig behov for dem, at de ikke er tilgjengelige for andre enn de som har tjenstlig behov, at de ikke kan endres/manipuleres, samt at dataene er tilstrekkelig beskyttet mot utenforståendes tilgang. Departementet mener at informasjonssikkerheten i tilstrekkelig grad kan ivaretas ved en desentralisert lagringsløsning, også hos de tilbyderne som per i dag ikke har noe system for lagring.
Departementet har vurdert hvorvidt det bør innføres et krav om kryptering. De fleste høringsinstansene antyder at det bør stilles krav om kryptering ved sentral lagring, men temaet er i liten grad berørt når det gjelder lokal lagring. Departementet er i tvil om hvorvidt kryptering, etter en forholdsmessighetsvurdering, vil være et nødvendig sikringstiltak selv om det må betraktes som personvernfremmende. Departementet mener at spørsmålet om kryptering bør avgjøres av den enkelte tilbyder etter en konkret vurdering, og eventuelt etter nærmere kriterier som forutsettes fastsatt i forskrift.
I henhold til gjeldende rett, som foreslås videreført, er den enkelte tilbyder av elektroniske kommunikasjonstjenester ansvarlig for at data sikres på en betryggende måte. Tilbyderen skal gjennomføre planlagte og systematiske sikringstiltak jf. personopplysningsloven § 13. De sikringstiltak som er iverksatt, skal dokumenteres jf. personopplysningsloven § 14. Dokumentasjonen skal være tilgjengelig for Datatilsynet, og eventuelt også Personvernnemnda, på forespørsel. Dersom tilsynsmyndigheten vurderer de iverksatte sikringstiltakene som mangelfulle i forhold til den risiko behandlingen representerer, kan tilsynet fatte enkeltvedtak med pålegg om ytterligere sikring, herunder fastlegge kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger, jf. personopplysningsforskriften § 2-2. Dette innebærer at dersom Datatilsynet vurderer at en tilbyder har foretatt mangelfull risikovurdering eller sikret data for dårlig, kan tilsynet fastlegge kriterier for akseptabel risiko som vil danne utgangspunkt for iverksetting av nødvendige sikringstiltak.
Behandling av personopplysninger i ekomsektoren for kundeadministrasjon, fakturering og gjennomføring av tjenester i forbindelse med abonnentens bruk av ekomnett, er konsesjonspliktig etter personopplysningsloven § 33 jf. personopplysningsforskriften § 2-1. Det vil være naturlig også å vurdere konsesjonsplikt for behandlinger som omfatter lagringspliktige data. På denne måten kan detaljert regulering av sikring av data pålegges gjennom vilkår i konsesjon som den enkelte tilbyder må innhente. Dette gir mulighet for å pålegge et bestemt sikkerhetsnivå som den enkelte tilbyder må forholde seg til.
I tillegg til at det foreslås en forskriftshjemmel i ekomloven § 2-7 a for regler om sikring av data, inneholder også personopplysningsloven § 13 en forskriftshjemmel for regler om sikring av personopplysninger. Det kan således fastsettes konkrete bestemmelser om sikring av lagringspliktige data både med hjemmel i ekomloven og med hjemmel i personopplysningsloven. Myndighetene har altså en rekke muligheter til å pålegge konkrete sikringstiltak, dersom det ved tilsyn eller i annen sammenheng skulle fremkomme at en tilbyder har for dårlig informasjonssikkerhet.
Departementet forutsetter at både Datatilsynet og Post- og teletilsynet vil føre et aktivt tilsyn med lagring av data i henhold til lagringsplikten for å sikre at tilbyderne holder et forsvarlig nivå på informasjonssikkerheten.
11.4.2 Lagringssted
Datalagringsdirektivet legger ingen føringer for hvordan lagrede data skal hentes ut eller overføres til myndigheten, men det fremgår av artikkel 8 at data skal lagres slik at de på anmodning fra kompetent myndighet kan overføres uten unødvendig forsinkelse.
I diskusjonen om lagringssted er det ikke tatt stilling til hvorvidt den fysiske lagringen må skje i Norge. Et krav om lagring på norsk territorium vil kunne anses som en begrensning av prinsippet om fri flyt av data innenfor EØS. Dette er en utfordring i forhold til datalagringsdirektivet, særlig med tanke på at det vil kunne gjelde ulike regler i ulike land både for lagringstid, informasjonssikkerhet og vilkår for uthenting av data. Departementet påpeker imidlertid at dersom det for eksempel er ulik lagringstid i det landet tilbyderen er etablert og i det landet tilbyderen ønsker å lagre sine data, er det førstnevnte lands regler som gjelder. Tilbydere som ønsker å lagre data i en felles konserndatabase i EU, må sørge for at data fra de ulike medlemslandene lagres på en måte som gjør at hvert enkelt medlemslands lover og regler når det gjelder lagringstid, vilkår for uthenting m.m. kan ivaretas. Direktivet forutsetter at medlemsstatene bistår hverandre i gjennomføringen av tilsyn på dette området. Dersom det på noe tidspunkt skulle bli aktuelt for en tilbyder å vurdere lagring av data i et land utenfor EØS-området, vil det avgjørende være om databehandleren kan tilby tilstrekkelig beskyttelse av personopplysningene. Overføring av personopplysninger til utlandet skal meldes til Datatilsynet som eventuelt kan sette vilkår for overføringen.
Departementet mener at muligheten for å føre tilsyn og kontroll med overholdelse av vilkårene for lagring og bruk er avgjørende, uavhengig av hvor lagringen skjer. Departementet viser her til EU-kommisjonens ekspertgruppe som har laget et utkast til veileder om nettopp denne problemstillingen. Her fremgår det at det er reglene i det landet der tilbyderen er etablert som skal gjelde.