Problemet med at europeiske persondata ikke kan deles med amerikanske selskaper, får langtrekkende konsekvenser.

Etter at det østerrikske datatilsynet sist uke også inkluderte IP-adresser, nettleserparametre og pseudonymisert cookie-informasjon til analyseformål i definisjonen av personopplysninger, er det mange som får problemer.

Nå haster det med å finne et alternativ til Google Analytics

Selv om Google analytics kan erstattes, er det verre å finne erstatninger for verdens største nettskyløsning Amazons AWS eller Microsofts Azure som brukes til å drifte norske nettløsninger.

Svært mange norske selskaper bruker også kundebehandlingstjenester (CRM) fra for eksempel Salesforce som også er knyttet opp til skyen i USA.

Seksjonssjef i Datatilsynet Tobias Judin bekrefter at Salesforces-bruk kan bli rammet av det samme regelverket som Google analytics, så lenge dataene sendes til USA, noe Salesforce har gjort til nå.

– Konsekvensene er så enorme dersom alle skal føye seg etter denne dommen. Veldig mange tjenester i både offentlig og privat sektor er knyttet opp til nettskyen i USA. Skal vi bare skru av internett? Alle skjønner at det er helt utopia.

Det sier Fredrik Syversen i IKT-Norge. Han peker på helsevesenet som et ekstremt tilfelle.

– Jeg antar at myndighetene ikke mener at vi bare skal koble fra alt av løsninger som for eksempel sykehusene bruker.

Pauset helseanalyseplattformen

Nylig pauset Direktoratet for e-helse den såkalte helseanalyseplattformen med Schrems II-dommen som begrunnelse. Ifølge direktoratet har det ikke latt seg gjøre å sikre at norske helsedata, som altså er persondata, ikke er tilgjengelige for amerikanske myndigheter dersom løsningen driftes på Microsoft Azures skytjeneste.

Utsettelsen kom som en skuffelse på helsetech-miljøet som forsøker å bygge et økosystem rundt helsedata og som har ventet lenge på tilgang.

GDPR kan bli veldig dyrt hvis startups tenker på det for sent: Her er tipsene som kan redde deg fra gigantbøtene

Kryptering kan være en løsning

I en kronikk i Dagens Medisin skriver gründerne i Ledidi Einar Martin Aandahl og Christian Landmark at tekniske løsninger som oppfyller kravene i GDPR til beskyttelse av helseopplysninger i skytjenester, nylig ble anerkjent av EUs organ for datasikkerhet.

De viser til at teknologien konfidensiell prosessering beskytter dataene når de er i bruk, og kombinert med konvensjonell kryptering av data under transport og lagring og sikker håndtering av krypteringsnøklene, blir dataene helt utilgjengelig for skyleverandøren.

EU-organet ENISA har i sine retningslinjer at teknologien oppfyller kravene til beskyttelse når skytjenester blir benyttet som kritisk infrastruktur eller til prosessering av sensitive data.

Gründerne mener det betyr at det er teknisk mulig å beskytte personopplysninger i skyen i tråd med EUs regelverk, men de peker på at det både kan bli dyrere og mer komplisert.

Både Amazon og Microsoft skal tilby denne typen kryptering, men tar ekstra betalt.

Seksjonsleder Tobias Judin i Datatilsynet skriver i en epost til Shifter at dette kan være en løsning, og at teknologien ser lovende ut.

– Imidlertid har hverken vi eller EDPB (European Data Protection Board) undersøkt det i dybden, så derfor er det ikke mulig å gi et klart svar.

Fortsatt uavklart rettslig

Syversen har fulgt Schrems-saken siden den første dommen som opphevet Safe Harbor-avtalen i 2015. Han er frustrert over at saken har pågått i så mange år uten noen skikkelig avklaring på hva som faktisk er lovlig.

– Det er ingen tvil om dommene og heller ikke hva Datatilsynet mener i saken, men fortsatt er det ikke prøvd rettslig i Norge så vidt jeg vet, og da er det en del som fortsatt er uavklart, mener han.

Syversen anbefaler egne medlemmer å gjøre en konkret vurdering.

– Det er det viktigste, og så har man i hvert fall anerkjent at det er en utfordring og gjort det som kan forventes før det eventuelt blir snakk om rettslige skritt, sier han.

– Ellers er det lite man kan gjøre annet enn å vente på en avklaring. Realiteten og teorien går bare ikke hånd i hånd her.

Personvernkommisjonen har frem til sommeren

I dag møtes personvernkommisjonen som ble opprettet i 2020 av Solberg-regjeringen. Direktør Finn Myrstad i Forbrukerrådet sitter i kommisjonen. Han skriver på LinkedIn at kommisjonen har bare frem til sommeren med å ferdigstille en NOU som skal gi råd om hvordan Norge skal gripe fatt utfordringene på personvernfronten de neste årene.

– De neste månedene trenger vi mer offentlig debatt rundt viktige problemstillinger, skriver Myrstad.