Diskusjonen om å «forlate skyen» starter ofte med et feil bilde: én stor beslutning, én stor migrering og en sluttstrek. I praksis ligger risikoen i avhengighetene som følger med bruken: lover og regler, tekniske bindinger og det som må til for å holde driften i gang, fra leverandørkjeder og støtteapparat til styring av tilgang. Konsekvensen er enkel: Når rammene endrer seg, eller en kritisk tjeneste svikter, kan du miste tilgang til systemer du er avhengig av for å drive virksomheten.
Derfor peker Datatilsynet i veiledningen om overføringer til USA på et råd som er vanskelig å komme utenom: Virksomheter bør ha en utgangsstrategi for hva de gjør dersom de ikke lenger kan benytte leverandører som eies fra, eller befinner seg i USA. Med andre ord: en plan for å kunne behandle personopplysninger lovlig og holde driften i gang dersom rammene endrer seg brått.
Datatilsynet peker også på at dersom EUs adekvansbeslutning for EU–USA Data Privacy Framework (DPF) skulle oppheves, vil det trolig ikke komme en komfortabel overgangsperiode. Tilsvarende gjelder dersom Standard Contractual Clauses (SCC) ikke lenger er tilstrekkelig overføringsgrunnlag for bestemte behandlinger, selv med supplerende tiltak. Det kan komme signaler i forkant, men beredskapen bør ikke baseres på at du får god tid.
Dette premisset gir en mer praktisk konklusjon enn «alt eller ingenting»: Du trenger ikke en full exit nå. Du trenger trinnvise utganger for det som kan stoppe deg. For mange betyr det å sikre noen få, men avgjørende funksjoner: identitet og tilgang, logging og revisjonsspor og nøkkelhåndtering.
Feil premiss
For det første er ikke problemet et absolutt forbud mot amerikansk teknologi. Det avgjørende er hvilke behandlinger det gjelder, hvilket overføringsgrunnlag som brukes, og hvilke supplerende tiltak som kreves for å sikre et beskyttelsesnivå som i praksis holder EU/EØS-standard. Etter Schrems II ble Privacy Shield kjent ugyldig. SCC kunne brukes videre, men bare dersom virksomheter gjør risikovurderinger og innfører supplerende tiltak der det er nødvendig. Poenget er ikke at alt blir ulovlig, men at enkelte behandlinger krever mer kontroll og dokumentasjon enn mange er rigget for.
For det andre er dagens rammeverk mer avklart enn i 2020, men ikke risikofritt. EU vedtok DPF-adekvans 10. juli 2023, og søksmålet i sak T-553/23 (Latombe v. Kommisjonen) ble avvist 3. september 2025. Det betyr ikke at debatten er over. Poenget i Datatilsynets råd er nettopp at rettstilstanden kan endre seg raskt og at virksomheter må planlegge for det.
For det tredje handler exit ikke bare om juss, men om drift. Hvis du i praksis ikke kan opprettholde autentisering, nøkkelhåndtering, logging eller administrativ tilgang ved bortfall, hjelper det lite å ha en teoretisk migreringsplan. Hvis ansatte ikke kan logge inn, stopper alt fra lønn og saksbehandling til kundeservice og beredskap. Delvise utganger er derfor like mye beredskap og styring som flytting.
Tre risikoscenarier
- Overføringsgrunnlaget endrer seg, og du får kort tid. En pragmatisk respons er å kartlegge hvilke behandlinger som faktisk er avhengige av overføringer eller tredjelandsbindinger og gjøre de mest sensitive delene i stand til å fungere med minst mulig slik binding. Målet er ikke å flytte «alt», men å unngå panikk og driftsstans ved å sikre at det mest sårbare kan kjøres med redusert eksponering.
- Myndighetstilgang via leverandør. US CLOUD Act kan pålegge amerikanske selskaper å utlevere data de kontrollerer, også når data er lagret i Europa. Samtidig er en viktig nyansering at europeiske personvernmyndigheter har pekt på at dette ikke i seg selv autoriserer systematisk eller vilkårlig masseinnsamling, men gjelder målrettede forespørsler innen prosessuelle rammer. Den praktiske konsekvensen er likevel den samme: Du bør redusere hva leverandøren faktisk kan eksponere og hvor ofte leverandøren må inn i miljøet. Kryptering «in transit» og «at rest», kontroll på nøkkelhåndtering og tydelige supplerende tiltak er ikke pynt, men sentrale virkemidler når du skal vurdere om en løsning er forsvarlig.
- Operasjonell avhengighet i styringslaget. Hvis identitet og tilgang faller bort, eller du mister evnen til å logge, ettergå hendelser og dokumentere kontroll, får du et driftsproblem og et styringsproblem samtidig. Delvis utgang her betyr strengt kontrollerte nødtilganger, sikring av kritiske logger og revisjonsspor uten total avhengighet av én leverandør, og faktisk testing av gjenoppretting. Dette er beredskap som må øves, ikke bare beskrives.
Først risiko, ikke leverandør
En ryddig måte å jobbe på, er å starte med det som faktisk utløser risiko, og la tiltakene følge scenariene.
Avgrens hvilke data og prosesser som har høyest konsekvens ved bortfall eller ulovlig overføring. Skill mellom «viktig» og «kritisk». Kritisk betyr at virksomheten stopper, bryter lovkrav eller mister nødvendig kontroll ved endring. Lag deretter en konkret utgangsstrategi per scenario, med tekniske og organisatoriske grep, og behandle dette som en levende disiplin: Oppdater vurderingene, kontroller at tiltakene virker, øv på nødtilgang og gjenoppretting, og sørg for at det som står på papiret, også fungerer i praksis.
Raske endringer
Å planlegge for en full exit kan gi en følelse av kontroll, men ender ofte i stillstand fordi omfanget blir urealistisk.
En bedre strategi er å gjøre virksomheten robust mot scenariene som faktisk kan stoppe deg: brå endringer i overføringsgrunnlag, leverandørstyrt eksponering ved myndighetskrav og svikt i innlogging, tilgang og kontroll. Det er dette Datatilsynets råd i praksis peker mot: En konkret utgangsstrategi for når rammene endrer seg, og en plan som tar høyde for at endring kan komme raskt.
Selv luftmåleren kan avsløre en hjemmefest: : Derfor er roboter i hjemmet perfekte verktøy for overvåkere
