Den vanskelige skyen – hva er trygt, hvem bør vi ikke stole på?

GJESTEKOMMENTAR: Digdir og Datatilsynet klarer å være uenige om å være uenige om skyløsninger. Hvordan får de til det?

Overføring av personopplysninger til land som ikke gir like godt rettslig personvern som i EU/EØS, er i utgangspunktet forbudt. Da blir amerikanske nettselskaper og lov et problem.
Publisert: Publisert:
iconKommentar
Dette er en kommentar. Kommentarer skrives av Aftenbladets kommentatorer, redaktører og gjestekommentatorer, og gir uttrykk for deres egne meninger og analyser.

Den 15. september i år publiserte Digitaliseringsdirektoratet (Digdir) sammen med Direktoratet for forvaltning og økonomistyring (DFØ) en veiledning for offentlig sektors bruk av skytjenester.

Veilederen er ment å skulle ta utgangspunkt i Datatilsynets mer generelle veiledning, men har foreløpig bidratt til å skape mye forvirring. Særlig siden Datatilsynets reaksjon har vært at Digdir og DFØs veileder skiller seg fra praksisen i Datatilsynet og Personvernrådet, mens Digdir og DFØ ser ut til å ha hevdet at den ikke gjør det.

Forvirringen har neppe blitt mindre av Digdirs nettverk for informasjons­sikkerhet for offentlig ansatte (NIFS) forrige onsdag, der det kom enda tydeligere frem at seksjonssjef i Datatilsynet, Tobias Judin, sa at «Digdirs veileder er for dem som ønsker og er forberedt på å utfordre Europas person­vern­myndig­heter i rettssystemet», – samtidig som Jens Osberg fra Digdir så ut til å hevde at Digdir og Datatilsynet ikke sto særlig langt fra hverandre.

Hva er problemet?

Overføring av personopplysninger til land som ikke gir like godt rettslig personvern som i EU/EØS, er i utgangspunktet forbudt. Riktignok med noen unntak. I tillegg kan det i noen tilfeller finnes måter å sikre at det ikke blir et problem at landet dataene overføres til ikke gir et tilstrekkelig godt rettslig vern. For eksempel hvis man sørger for at dataene ikke kommer på avveie eller eksponeres for myndighetene i det landet hvor opplysningene behandles.

Men hvis personopplysninger behandles i USA, kan myndighetene lovlig kreve å få dem utlevert uten å behøve å ha en grunn til å få dem utlevert. Hvis personopplysningene behandles i Europa, men maskinparken eller programvaren hvor opplysningene behandles eies, driftes, drives support på eller på andre måter er i befatning med et amerikanskeid selskap, kan amerikanske myndigheter også lovlig kreve å få dem utlevert.

Hvis opplysningene er kryptert og amerikanske myndigheter ønsker å få dem dekryptert, har de også tilgjengelige ressurser til det. Det finnes altså ikke egentlig noen tekniske eller organisatoriske grep som kan hindre amerikanske myndigheter i å få tak i personopplysninger som behandles av amerikanskeide selskap.

Dette ville ikke vært et problem dersom amerikanske myndigheter hadde lagt seg til en praksis som ikke var særlig inngripende i europeiske øyne. Amerikansk etterretning er imidlertid ikke veldig åpne om sin praksis, og når vi får informasjon om den praksisen, er det vanligvis fordi den har vært temmelig ugrei.

Svart-hvitt, eller …?

Man skulle tro det hele med amerikanske dataoverføringer ganske svart-hvitt. Hvis du bruker en leverandør til databehandlingen og et eller annet selskap, et eller annet sted i verdikjeden, har amerikanske eiere, så gjør du ikke ting riktig. Så er det likevel forskjell på det å ikke være helt i henhold til reglene og det å få reaksjoner på ulovlig behandling.

Det er også slik at de rettsavgjørelsene som finnes, handler om enkeltsaker, mens de reglene og veiledningene som finnes, handler om overføringer til tredjeland generelt, og ikke til USA spesielt. Så foreløpig slipper man stort sett greit unna problemet ved å si «jo da, men ingen domstol har ennå erklært at akkurat disse tiltakene ikke er gode nok enda».

Man kan jo også si at det gjelder vel for de fleste lands myndigheter at de har ressurser og evne til å få tak i stort sett den informasjonen de ønsker, og nettopp det sier Digdir og DFØ i sin veileder. Risikoen for maktmisbruk er altså til stede, uansett om opplysningene holdes i Europa eller om de overføres til andre land.

Digdir og DFØ ser altså ut til å mene at risikoen for maktmisbruk fra et lands etterretning er relativt lik for mange land, deriblant USA, og at risikoen kan minimeres på en slik måte at man for eksempel trygt kan benytte seg av tjenester fra en av de store amerikanske sky-leverandørene.

Les også

Google og Apple har hørt og skrevet ned innhold fra telefoner og smarthøyttalere

Uenigheten

Selv om ingen europeiske datatilsyn har erklært et generelt forbud mot alle amerikanske sky-leveranser, er det nok likevel her kimen til uenighet ligger. Når en europeisk myndighet innhenter opplysninger uten å begrunne dette i tungtveiende hensyn som «rikets sikkerhet» eller tilsvarende, bryter de nemlig sine egne lover. Og det får gjerne konsekvenser når det blir oppdaget.

Når USAs myndigheter gjør det, så bryter de ikke sine egne lover, og eventuelle konsekvenser går først og fremst ut over dem som er freidige nok til å varsle om det. Dette kommer i tillegg til at amerikanske myndigheter er kjent for å drive ganske utstrakt etterretning på vilkårlige grunnlag.

Svært mange virksomheter utfordrer det som i praksis ser ut til å være et generelt forbud mot bruk av de store skyleverandørene, og det er kanskje slik et fritt og innovativt marked bør operere. Digdir og DFØ har publisert en veileder som ser ut til å ville legge til rette for at offentlige aktører skal kunne gjøre det samme. Da er det nok på sin plass at Datatilsynet minner om at det kan få rettslige følger å følge et slikt råd.


Publisert: