DATASIKKERHET
Ny avtale om overføring av data mellom USA og EU: – Risikoen er lavere nå
Politiske ledere i EU og USA har etter to år med forhandlinger presentert en prinsippavtale som skal sørge for tryggere datastrømmer over Atlanteren. Langt fra alle lar seg imponere.
Før helgen presenterte Europakommisjonens president Ursula von der Leyen og USAs president Joe Biden i en felles uttalelse en ny prinsippavtale, som skal løse mange av flokene som oppsto etter den såkalte Schrems II-dommen fra 2020.
Denne dommen innebærer at virksomheter som eksporterer personopplysninger fra Europa og Storbritannia til tredjeland, deriblant USA, må utføre omfattende kartlegging av disse overføringene og detaljerte vurderinger av de juridiske og praktiske risikoene for overvåkning fra offentlige myndigheter i landene der mottaker befinner seg.
I den nye avtaleteksten står det blant annet at USA forplikter seg til å innføre reformer som er mer «proporsjonal» når det kommer til overvåkning for å opprettholde nasjonens sikkerhet.
LES OGSÅ: Nå haster det med å finne et alternativ til Google Analytics
– Gir et trygt fundament
Mads W. Egseth er konsulent i CIO Advisory i KPMG og har fulgt utviklingen innen europeisk personvernlovgivning tett. Han mener at dette er en god dag for både personvern og transatlantisk samarbeid.
– Det har endelig vært en utvikling på området. Nå har nødvendig overføringsgrunnlag for å sende den typen persondata som har vært et hinder helt siden Privacy Shield-avtalen ble gjort ugyldig for to år siden, kommet på plass.
– Risikoen er lavere nå. Vi forventer at spesielt offentlig sektor, eksempelvis helsesektoren, som har vært tilbakeholdne med å gå inn på dataprosjekter hvor norske persondata må prosesseres i USA, nå vil se på muligheten for å finne trygge skyløsninger, sier han.
Det er ikke bare offentlige virksomheter som har vært påvirket. Alle som bruker Google analytics eller andre dataløsninger hvor persondata sendes til USA, har blitt anbefalt at Datatilsynet om å finne alternativer.
– All prosessering av personsensitive data har vært påvirket. At EU og USA nå har kommet frem til en avtale gir et trygt fundament for å gjenoppta den type arbeid som krever prosessering utenfor Norges grenser gjennom EØS-avtalen.
Egseth er klar på at den endelige kontraktsspråket fortsatt ikke er utformet, så det gjenstår å se hva de faktiske endringene blir.
– Men oppsummert blir det antagelig mye av det tilsvarende man hadde før Privacy Shield ble opphevet, men med utvidede juridiske sikkerhetsmekanismer.
Ønsker seg avtale om null spionasje
Flere aktører peker derimot på svakheter ved avtalen. Blant dem er Maximillian Schrems, juristen og Internettaktivisten som er primus motor i mange av rettssakene i EU, som har utfordret teknologigiantene så vel som myndighetene.
I en uttalelse lagt ut av hans ideelle organisasjon Noyb («none of your business»), peker Schrems først og fremst på at det ikke foreligger en konkret juridisk tekst knyttet til prinsippavtalen ennå.
Han spår at det fortsatt vil ta flere måneder før en slik tekst er på plass.
– Det er beklagelig at EU og USA ikke har brukt denne situasjonen til å bli enige om en «ingen spionasje»-avtale, med grunnleggende garantier likesinnede demokratier imellom. Kunder og bedrifter står overfor flere år med juridisk usikkerhet, mener Schrems.
Etter Schrems II-dommen har blant annet det norske bompengeselskapet Ferde fått en bot på fem millioner kroner for ulovlig overføring av personopplysninger om norske bilister til Kina.
LES OGSÅ: EUs nye, knallharde linje rammer de aller største tech-selskapene
Kan stoppe dataoverføringer
Ifølge en rapport fra januar utarbeidet av advokatfirmaet DLA Piper, skaper Schrems II-dommen ikke bare en risiko for bøter og erstatningskrav, den truer også med å stoppe overføringer av personopplysninger.
– Trusselen om å stoppe overføring av personopplysninger er potensielt mye mer skadelig og kostbar enn trusselen om bøter og erstatningskrav. Fokuset på overføringer og det betydelige arbeidet som kreves for å oppnå compliance betyr uunngåelig at organisasjoner har mindre tid, penger og ressurser til å fokusere på andre personvernrisikoer, sa leder DLA Pipers norske faggruppe for personvern og datasikkerhet, Petter Bjerke, da rapporten ble lansert.