For å følge loven og ivareta brukernes personvern, er det viktig å sørge for at vi er «compliant» dersom vi planlegger å ha personopplysninger i skya. Dette gjelder også om dataene er lagret innenfor EU. Dermed må vi forholde oss til de mekanismene som hittil har gjort det mulig: EUs modellavtaler og «Privacy Shield». Det er vanskelig nok som det er!
Og nå som Trump har sendt urovekkende signaler om at borgere utenfor USA har mindre krav på personvern, har EU svart med å si at Privacy Shield står i fare. Hva skal vi tenke da?
På toppen av det hele har vi EUs nye personvernforordning (GDPR) – som kommer allerede i mai 2018. Et viktig moment i forordningen er ansvarligheten for hvor aktører lagrer data – og det loves kraftige økonomiske sanksjoner dersom ikke alt er gjort riktig.
Vi har muligheter for effektivisering på den ene siden, og harde internasjonale realiteter på den andre
Utfordringen med amerikanske skyleverandører
USA befinner seg på utsiden av EUs liste over helt godkjente land. Det spiller ingen rolle om serveren står i EU/EØS hvis de som vedlikeholder basene sitter i USA eller Asia – det er også regnet som en overføring.
Har dere direkte avtaler med skyleverandøren?
I noen tilfeller er kunden selv direkte avtalepart med skyleverandøren. I så fall kan det være ganske rett frem å få gjort endringer i avtaleverket. Men om du f.eks. benytter Salesforce eller andre «Software-As-A-Service» løsninger, er det en tredjepart i mellom. I så fall blir det mer kronglete å få til et lovlig opplegg. Men det kan la seg gjøre ved å bruke modellavtalene til EU som grunnlag for å overføre data.
Poenget er at skyleverandøren som regel bare gir rettigheter til sin direkte avtalepart. Da får leverandørens kunde (og sluttbrukeren) et problem med å overholde sine rettigheter.
Trump-trøbbel i horisonten
For leverandører i USA som er sertifisert etter Privacy Shield, kreves at man har en avtale i tillegg til selve «skjoldet». Alt dette lar seg løse – stort sett.
Det vi ikke kan garantere er hva USA (les: Trump) gjør fremover og hvilke konsekvenser det får for de juridiske mekanismene man må bruke: Modellavtaler og Privacy Shield.
Både Modellavtalene og Privacy Shield er allerede angrepet rettslig. I tillegg skal Privacy Shield vurderes særskilt av EU-kommisjonen nå til sommeren. Da skal byråkratene i Brussel blant annet ta stilling til om overvåkningsnivået i USA er akseptabelt sett med europeiske øyne.
Selv om EU-byråkratene ønsker utveksling med USA, gjør ikke Trump det så lett for dem. Hans siste dekret om økt overvåkning skapte stor furore i Brussel, og det er sendt flere spørsmål til USA om hvordan dette er tenkt å fungere.
Irritert EU-byråkrat tok til Twitter
Ingen vet hva resultatet blir. Trump har satt de amerikanske skyleverandørene i en veldig vanskelig situasjon, samtidig som det kan skape muligheter for europeiske leverandører.
Det eneste rådet vi kan gi, er å begynne å tenke på hva du skal gjøre med sky-dataene dersom Privacy Shield og Modellavtalene skulle forsvinne som compliance-verktøy.
Om du i dag investerer i en skyløsning, bør du tenke på om du har råd til å kjøre en «rollback» med å flytte dataene til et norsk- eller europeisk-eid datasenter
Dermed er det mange “hvis” som må klaffe samtidig dersom det skal være helt greit å legge sensitive data ut i skya i dag.
Kundene av skytjenester må ta stilling til hvor stor risiko de er villige til å akseptere, da de økonomiske konsekvensene kan bli betydelige. Dialogen hører derfor hjemme hos ledelsen og i styrerommet.
Til slutt: En gammel kinesisk forbannelse lyder: «May you live in interesting times». Og det skal være visst – vi som steller med data i skya opplever ganske interessante problemstillinger om dagen