Europeiske datatilsynsmyndigheter er på krigsstien mot amerikansk etterretning og gigantene Facebook, Google, Microsoft og Amazon. Europeiske bedrifter som ønsker å bruke vanlige IT-tjenester levert av ikke-europeiske leverandører, havner i kryssilden som følge av stadig strengere tolkninger av GDPR.
EU-domstolen avsa i sommer den såkalte Schrems II-dommen, hvor Privacy Shield-avtalen mellom EU og USA ble ugyldiggjort. Bakgrunnen for avgjørelsen er amerikanske myndigheters massive overvåkningsprogrammer, som gjør at europeiske borgeres personvern trues når deres personopplysninger blir behandlet av amerikanske selskaper. Spørsmålet dette reiser for europeiske bedrifter er hvordan de kan bruke de beste IT-tjenestene verden har, uten at det går på bekostning av personvernet.
Domstolen oppstilte samtidig flere vanskelige vilkår for europeiske virksomheter som bruker eller ønsker å bruke IT-tjenester fra ikke-europeiske leverandører (selv om en bruker europeiske datasentre). Oppgaven domstolen sier at alle bedrifter må løse, er å hindre utenlandsk etterretning i å få tilgang til personopplysninger som bedriftene overlater til sine leverandører. Avgjørelsen, som er skrevet så komplisert som bare EU-domstolen kan skrive, har ført til krav om at europeiske datatilsynsmyndigheter må følge opp med veiledning om hvordan bedrifter skal kunne overholde kravene som stilles.
Overordnet veiledning kom heldigvis med en gang, også fra det norske Datatilsynet. Nå har det europeiske Personvernrådet imidlertid publisert en omfattende veileder for hva europeiske bedrifter må gjøre for å ikke bryte GDPR når de tar i bruk tjenester fra ikke-europeiske leverandører.
Den gode nyheten er at veiledningen er ganske praktisk og forståelig. Det gis en steg-for-steg veiledning i hva man som bedrift må gjøre for å unngå bryte GDPR. Den dårlige nyheten er at kravene er nær umulig å oppfylle for flere IT-tjenester som er vanlige i dag. Det er også viktig å påpeke at Personvernrådet ikke har lovgivningsmyndighet. Deres veiledning er en anbefaling av tiltak basert på tolkning av GDPR og Schrems II-saken.
De første kravene det veiledes om er at en må ha full oversikt over alle sammenhenger hvor man overlater personopplysninger til leverandører som leverer tjenester fra utenfor EU/EØS, og man må ha de personvernrettslige formalitetene på plass for overføring av personopplysninger. Dette kan virke enkelt, men er utfordrende for bedrifter med flere hundre IT-tjenester – særlig når man tar i betraktning at man også må vite hvilke underleverandører som er involvert til enhver tid.
Det neste kravet er at en må vurdere hvorvidt lovgivningen i landet man overfører personopplysninger til, har samme beskyttelsesnivå for personvernet som vi har i Europa. Dette innebærer blant annet at man må sette seg inn i landets overvåkningslovgivning og hvilke rettssikkerhetsgarantier landet har. Som alle skjønner er dette en nær umulig oppgave for de fleste bedrifter. Dette bøtes noe på ved at Personvernrådet gir veiledning i hvordan en skal gjøre vurderingen, og at EU-domstolen allerede har sagt at USA ikke oppfyller kravene.
For de landene som ikke har fullgod lovgivning, blir utfordringen å vurdere om man kan bøte på dette med tekniske, organisatoriske og juridiske tiltak for å sikre lovligheten. Personvernrådet oppstiller typeeksempler, og drøfter hvordan man kan løse disse ved for eksempel krypteringsteknologi.
Et forhold Personvernrådet sier er irrelevant, er hvorvidt man mener dataene det er snakk om er interessante for amerikanske myndigheter eller ikke. Et brudd er et brudd, selv om det ikke er snakk om sensitive opplysninger eller lignende.
Personvernrådet skriver også at de for noen problemer ikke ser noen lovlig løsning. Et viktig eksempel er der det er nødvendig med overføring av personopplysninger i klartekst for at leverandøren skal kunne gjøre jobben sin, som for eksempel ved en amerikansk skytjeneste. Tjenester som er avhengig av at leverandøren har tilgang til opplysningene uten at de er kryptert, pseudonymisert eller anonymisert, vil ifølge Personvernrådet være ulovlig. Dette kan by på store problemer for europeiske virksomheter som er avhengig av slike tjenester.
Siste ord er neppe sagt i saken, og forhåpentlig vil det komme både tekniske, juridiske og politiske løsninger. Å sitte stille i båten er likevel ikke en løsning for bedrifter som vil unngå risikoen for heftige bøter fra datatilsynsmyndighetene. Den kanskje største risikoen er at både bedriftskunder og enkeltpersoner vil være skeptiske dersom bedriften ikke kan vise at den har iverksatt tiltak. Særlig bedrifter som selger tjenester basert på infrastruktur fra de store sky-leverandørene vil få kritiske spørsmål om de oppfyller kravene som nå stilles. Vår anbefaling er at alle setter i verk tiltak basert på veiledningen vi nå har fått fra Personvernrådet.