Ny dataoverføringsavtale mellom EU og USA? – dette bør du vite

Artikkel

Siden Schrems II-dommen ble avsagt for to år siden, har det vært stor usikkerhet knyttet til hvordan og når offentlig sektor kan benytte amerikanske skytjenester. Kan man bruke amerikanske skytjenester og samtidig ivareta integriteten til EU- og EØS-borgere? I mars i år kunngjorde EU og USA at de har kommet til prinsipiell enighet om regulering av datastrømmene over Atlanteren. Så hva gjelder egentlig nå, og hvordan bør man tenke fremover? Rakeel Khawar, Data Protection Officer i Iver, og Johan Christensson, grunnlegger av Cleura, forklarer i denne artikkelen hva som skjer, og hva det innebærer for organisasjoner i offentlig sektor.

På tross av GDPR og personvernlovgivningen som har vært gjeldende siden 2018, har det vært stor usikkerhet om hva som egentlig gjelder for bruk av amerikanske skytjenester i offentlig sektor. For å forstå hvorfor, må man se på bakgrunnen for dagens situasjon, mener Rakeel Khawar, Data Protection Officer i Iver:

– Det har lenge vært en ambisjon om en transatlantisk avtale, men tidligere avtaler har ikke vært juridisk holdbare.

Den første dataoverføringsavtalen mellom USA og EU, Safe Harbour, ble i 2015 erklært ugyldig av EU-domstolen. Varsleren Edward Snowden avslørte nemlig at justismyndighetene i USA kunne få tak i informasjon uten tillatelse fra eieren av informasjonen.

– Konklusjonen av saken som kalles Schrems I, konkluderte med at data som ligger på amerikanske servere, kan bli tilgjengelige for amerikansk etterretningstjeneste, og at dette er i strid med EUs regler om vern av privatliv, sier Rakeel Khawar. 

Etter Schrems I måtte dataoverføringsavtalen mellom kontinentene fornyes, og resultatet var en ny overføringsmekanisme: Privacy Shield. Men også denne ble erklært ugyldig av EU-domstolen etter at det i Schrems II-saken ble kjent at Facebook i Irland hadde overført europeiske personopplysninger til USA.

Retten til vern av individets privatliv er en grunnleggende rettighet i EU, og forvaltningsretten strekker seg langt for å beskytte integriteten til EU- og EØS-borgere.

– Personvernforordningen undergraver ikke dette prinsippet – noe som dommene i Schrems I- og II-sakene tydelig viser, sier Rakeel Khawar.

 

Ny avtale om dataoverføring i mars 2022 – hva har endret seg?

Nå befinner vi oss i en situasjon der EU og USA igjen vurderer å inngå en avtale for å skape forutsetninger for bedre fungerende datastrømmer mellom kontinentene. Den 25. mars kunngjorde den amerikanske presidenten, Joe Biden, sammen med EU-kommisjonens leder, Ursula von der Leyen, at det er prinsipiell enighet om en ny avtale.

– Den felles uttalelsen fra USA og EU viser at de har ambisjoner om å finne en løsning på problemet. Men for at avtalen skal bli juridisk holdbar, må man gjøre endringer i amerikansk lovgivning. Inntil det er gjort, er den juridiske situasjonen uendret, sier Rakeel Khawar, Data Protection Officer i Iver.

Johan Christensson, grunnlegger av Cleura, utdyper:

– Foreløpig har ingenting endret seg. Vi vet at USA og EU ønsker å finne en felles løsning, og at det jobbes for å komme videre. Men det har ikke skjedd noe annet enn at man offisielt jobber for å oppnå enighet i håp om å inngå en form for avtale. Amerikanske skytjenester kan fortsatt ikke garantere at europeiske personopplysninger ikke blir utlevert til tredjeland – så dette er noe alle europeiske organisasjoner må forholde seg til.

 

Hva betyr usikkerheten om amerikanske skytjenester for digitaliseringen i offentlig sektor?

I debatten om usikkerhet knyttet til bruk av amerikanske skytjenester i offentlig sektor hevdes det ofte at den strenge lovgivningen påvirker sektorens digitaliseringsgrad negativt. Johan Christensson forklarer:

– Det har vært vanskelig for mange å forstå hva som gjelder, og det har i stor grad vært opp til organisasjonene selv å vurdere situasjonen. En slik usikkerhet fører selvsagt til at man avventer før man investerer i digitalisering. Det er imidlertid viktig å huske at digitaliseringen i offentlig sektor ikke stopper opp selv om man ikke kan bruke amerikanske skytjenester til enkelte typer data. Det er mange europeiske alternativer man kan benytte seg av. Dessuten finnes det gode Multi Cloud-løsninger der man ut fra en kartlegging av hvilke data man behandler, kan plassere de ulike datatypene i riktig sky og på den måten sikre regeletterlevelse.

 

Hvordan bør offentlig sektor forholde seg til amerikanske skytjenester før en fungerende avtale er på plass?

– Investeringer i infrastruktur planlegges og foretas ofte på lang sikt – og derfor må man innen offentlig sektor se etter løsninger som støtter den digitaliseringen man vil gjøre, og som sikrer samsvar og regeletterlevelse på sikt. Ingen organisasjon, aller minst i offentlig sektor, har råd til å få sine tekniske valg erklært ugyldige for tredje gang. Man må ganske enkelt sørge for at den infrastrukturen man bygger har så høy samsvarsgrad at den vil tåle lovendringer og nye lover – eller at den geopolitiske situasjonen endrer seg. Det sistnevnte perspektivet har blitt stadig viktigere, og organisasjoner ser et stadig større behov for å «hente hjem» data på grunn av endringene i verdenssituasjonen, avslutter Johan Christensson.

Koder: Forretningsløsninger Cyber Security