Schrems II

EU gransker seg selv etter Schrems II, kan gi etterlengtet klarhet

EUs eget datatilsyn åpner gransking av EUs etterfølgelse av Schrems II-dommen. Granskingen vil legge føringer for norske innkjøpere og kan få store økonomiske konsekvenser for amerikanske selskap.

EU åpnet denne uka granskning av om egen bruk av amerikanske skytjenester er i tråd med Schrems II
EU åpnet denne uka granskning av om egen bruk av amerikanske skytjenester er i tråd med Schrems II (Illustrasjonsfoto: Oliver Hoffmann)

EUs eget datatilsyn åpner gransking av EUs etterfølgelse av Schrems II-dommen. Granskingen vil legge føringer for norske innkjøpere og kan få store økonomiske konsekvenser for amerikanske selskap.

Hei, dette er en Ekstra-sak som noen har delt med deg.
Lyst til å lese mer? Få fri tilgang for kun 235,- i måneden.
Bli Ekstra-abonnent »

Torsdag åpnet EUs datatilsyn (EDPS) formelt en gransking av EUs egen bruk av Amazon web services og Microsoft Office 365. Slik vil de sikre at fremtidig bruk av amerikanske skytjenester i Europa er i henhold til EUs egne regler for personvern etter den såkalte Schrems II-dommen.

Dommen har skapt usikkerhet og ført til protester fra store internasjonale aktører.

Granskingen kan gi etterlengtet klarhet for norske innkjøpere, men kan også føre til store tap for amerikanske selskaper.

Strenge og uklare regler for overføring av data til amerikanskeide selskaper

Dersom persondata skal overføres til land utenfor EU, må mottakerlandet følge de samme reglene for beskyttelse av personopplysninger som EU. Slik skal europeiske borgere være trygge på at deres rettigheter ikke undergraves dersom dataene brukes eller lagres et annet sted i verden. Europeiske regler for GDPR står imidlertid i motsetning til en rekke andre lands  lover for overvåking.

Schrems II-dommen fra juli 2020 dykket ned i motsetningen mellom EUs regelverk for personvern, og amerikanske myndigheters rettigheter til overvåking. Konklusjonen ble at gjeldende ordninger for overføring av europeiske data til USA, ikke var tilstrekkelig til å sikre europeernes rettigheter til personvern.

Dommen sådde tvil om hvorvidt amerikanske skytjenester i det hele tatt kan brukes i Europa og Norge.

Stor usikkerhet blant norske innkjøpere

Dommen har skapt usikkerhet i påvente av klarere retningslinjer fra EU.

Norske innkjøpere av skytjenester må selv sørge for at beskyttelsesnivået i praksis er like godt som om leverandøren satt i Europa. Det innebærer at man må sette seg inn i EU-reglene og i  overvåkingslover i land utenfor EU.

Portrettfoto av advokat Jan Sandtrø
Teknologi-advokat Jan Sandtrø ser frem til avklaringer etter forvirringen rundt Schrems II Foto: (c) 2015 Calle Huth

– Det har vært veldig vanskelig å gi klare råd om dette, sier Jan Sandtrø, uavhengig advokat med teknologirett og personvern som sitt fagfelt, til Digi.no.

Han forteller om uklare regler, og endringer som skjer raskt.

– Dommen ga lite veiledning, og EUs personvernråd forvirret situasjonen ytterligere med sitt utkast til veileder.

Mange opplever det som vrient å anskaffe, implementere og forvalte skytjenester, bekreftet Direktoratet for forvaltning og økonomistyring under åpningen av Norges markedsplass for skytjenester onsdag.

Skal granske egen bruk av Microsoft office 365 og Amazon Web Services

EUs eget datatilsyn starter nå granskingen som skal vurdere om deres egen bruk av to amerikanske tjenester er innenfor regelverket.

Bruken av Amazons skytjenester og Microsoft office 365 innebærer at store mengder persondata flyter mellom Europa og USA. Persondata defineres av EU som alle data om personer, som navn, telefonnummer og e-post, men også IP-adresser, fotografier og innhold i meldinger.

EUs datatilsyn har vurdert egne kontrakter for skytjenester, som ble signert før Schrems II-dommen, som de mener trenger ytterligere gransking.

– Jeg er klar over at både Amazon og Microsoft har igangsatt tiltak som skal gjøre at de oppfyller kravene i dommen, men er usikker på om disse tiltakene er tilstrekkelige, skriver lederen for EUs datatilsyn, Wojciech Wiewiórowski i pressemeldingen fra EU.

Ikke nok å flytte datasentre til Europa?

I dette ligger blant annet spørsmålet om hvorvidt det å flytte datasentre til Europa eller lage europeiske datterselskap er tilstrekkelig for å oppfylle kravene.

Microsoft har for eksempel lovet sine Europeiske kunder at deres data skal lagres i Europa, men de kan ikke garantere mot utlevering.

– Amerikansk overvåkningslovgivning har trolig også betydning for amerikanske selskap som opererer innenfor EØS, men som er kontrollert av amerikansk morselskap, sier Sandtrø.

Konklusjonen vil ikke bare legge sterke føringer for norske innkjøpere, den kan også føre til store tap for amerikanske selskaper, og tilsvarende fordeler for europeiske leverandører.

Dersom granskingen finner europeisk bruk av Amazon web services og Microsoft office 365 ulovlig, vil de få store konsekvenser.

– Dette har vært et politisk spill mellom EU og USA, hvor EU har kastet brukerne av amerikanske leverandører under bussen, sier Sandtrø.

Les også

Kommentarer (0)

Kommentarer (0)
Til toppen