SKYTJENESTER

Endrer EU retningslinjene for amerikanske skytjenester?

De aller fleste har fått med seg at den såkalte Schrems II – dommen innebærer hindringer for bruk av populære skytjenester. Det har vært hektisk aktivitet rundt dette hos mange gjennom vinteren.

Advokat Eva Jarbekk, Advokatfirmaet Schjødt har GDPR og skytjenester som et av sine spesialområder.
Advokat Eva Jarbekk, Advokatfirmaet Schjødt har GDPR og skytjenester som et av sine spesialområder. Foto: Erlend Tangeraas Lygre/Schjødt
Advokat Eva Jarbekk, Advokatfirmaet Schjødt
5. mars 2021 - 17:00

Mange kunder har stilt spørsmål til leverandørene sine om hvordan leverandørene har tenkt å håndtere situasjonen. Som ekstern rådgiver, må det være lov å si at svarene ofte har vist varierende forståelse for kundenes problemer. Mange har faktisk unnlatt å inngå nye kontrakter for skytjenester og europeiske leverandører har blitt foretrukket. Både kunder og leverandører grubler over hvordan de skal løse situasjonen.

I tillegg til prinsippene i selve dommen, er mye av årsaken til utfordringene å finne i EUs utkast til retningslinjer for overføring av personopplysninger til land utenfor EU. Retningslinjene er strenge, veldig strenge. Litt upresist sagt, betyr retningslinjene at det er vanskelig å bruke mange amerikanske skyleverandører hvis leverandøren har tilgang til ukrypterte personopplysninger, og det har de fleste. Men disse retningslinjene er et utkast, og ingen har egentlig visst hvordan den endelige versjonen ville bli. EU har kjørt en høringsrunde på utkastet. Ikke overraskende, har mange skytjenesteleverandører spilt inn kommentarer. De rammes jo hardt av reglene.

Risiko og forholdsregler

Mange høringsinnspill understreker at GDPR er bygget på en risikobasert tilnærming til personvern. Jo større personvernrisiko, jo mer forsiktig må man være. Og omvendt – hvis det er en ganske liten personvernrisiko, så kan man tillate mer. Dette skulle da tilsi at "enkle" personopplysninger kan legges i skytjenester, selv om skytjenesten vurderes å ikke ha et solid personvern.

Samtidig viser en juridisk analyse av både ordlyden i GDPR, og Schrems II - dommen, at det neppe skal foretas en risikobasert tilnærming. Spørsmålet man må besvare før en overføring til land utenfor EU, er nemlig om mottakerlandet har tilsvarende personvernlovgivning som EU. Og svaret på et slikt spørsmål er ikke risikobasert, det er i alle fall ikke naturlig å forstå det slik. Enten er lovgivningen i mottakerlandet like god som i EU, eller så er den ikke det. En binær tilnærming, altså.

La oss ta et eksempel: I Europa har europeere mulighet for å klage til retten på eventuell overvåking. Det er en del av våre menneskerettigheter. Skjer overvåkingen i et annet land, i en stat der vi ikke er gitt slike klagemuligheter, så har vi ingen å klage til. Da er ikke menneskerettighetene ivaretatt på samme måte. (Dette var noe av problemet med USA i Schrems II-dommen.) Man kan ikke klage "litt" til retten.

Vent hvis du kan

Dersom retningslinjene fra EU endres, vil man likevel kunne ta en risikobasert tilnærming til hvilke skytjenester som kan brukes. Men da oppstår noen nye vurderingstemaer. Kundene vil få et stort ansvar for å vurdere om opplysningenes karakter tilsier at de kan sendes til det aktuelle landet utenfor EU. Og kundene må ta stilling til når slik overføring vil være en for stor personverntrussel. Det betyr at skytjenester må håndteres på en annen måte enn i dag.

Ulike personopplysninger vil måtte behandles forskjellig og det er ikke sikkert at dette blir enkelt for kundene. For mer sensitive opplysninger om helse og økonomi, kan det fremdeles bli en utfordring å bruke mange skytjenester. For enklere opplysninger, for eksempel i en tjeneste som Mailchimp, kan mulighetene øke betraktelig. 

EU diskuterer nå hvordan dette skal løses i de endelige retningslinjene for overføring av personopplysninger til tredjeland. Skal man tillate en risikobasert tilnærming? Ryktet sier at det er litt ulik forståelse av dette i ulike medlemslandene. Noen lands datatilsyn har i løpet av vinteren vært klokkeklare på at en risikobasert tilnærming ikke er lovlig. Ryktet sier også at diskusjonene i EU pågår for fullt og at man kanskje nærmer seg en konklusjon. Den som kunne vært flue på veggen der - de må ha noen en spennende diskusjoner om menneskerettigheter kontra kommersielle interesser. Det er viktige prinsipper som diskuteres.

Et råd på veien kan være at det kan være lurt å vente noen uker dersom man i dag vurderer å inngå en ny avtale om skytjenester – hvis man har mulighet til å vente. Det kan det tenkes at vi får en avklaring på hva som er de sentrale vurderingstemaene i løpet av kort tid.

 

En Opera-ansatt kom i skade for å laste opp kunders personopplysninger i Chat GPT.
Les også

Opera-ansatt delte VPN-abonnenters persondata med Chat GPT

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.