Den 11. mai handlet «Litt klokere»-møtet om Schrems II-dommen. Schrems II vil ha konsekvenser for hvordan du og jeg tenker personvern. Nøyaktig hvilke konsekvenser er det få forunt å ha den totale oversikten over.
Som innleder til møtet inviterte tilt.work Eva Jarbekk, advokaten som vet mer enn de fleste om personvern og datasikkerhet.
Denne artikkelen er ment som en omformulert, redigert, og ikke uttømmende, oppsummering av Litt klokere-møtet. Se også video i saken.
Nytt fagnettverk om personvern
Interessen rundt tematikken har vært stor, og vi i tilt.work lanserer i disse dager vårt første fagnettverk, nettopp om personvern og datasikkerhet. Som medlem blir du en del av et unikt nettverk av likesinnede profesjonelle som er opptatt av GDPR, personvern og compliance. Med Eva Jarbekk som fasilitator og nettverksleder blir du fortløpende oppdatert om nye krav og forordninger fra nasjonale og overnasjonale myndigheter.
Early bird-tilbud ved påmelding innen 1. juli. En forsmak kan du få allerede i morgen, 22. juni. Da har vi et nytt Litt klokere-møte om personvern og IT-sikkerhet.
Temaene på Litt klokere-møtet
Samtalene under Litt klokere-møtet 11. mai kretset rundt flere tema etter Schrems II. Noen av dem var:
- Microsofts uttalelse om at alle europeiske data skal være på servere i Europa. Hvilke konsekvenser har det? Betyr det at amerikanske myndigheter ikke kan kreve data fra Microsoft i Europa?
- Forskjellen mellom Norge og Sverige i bruk av for eksempel Teams.
- Hva med epost som en skytjeneste? Hva sier Schrems II om det?
- Kan en leverandør, for eksempel Microsoft, definere seg bort fra databehandlerrollen?
Data fra Europa skal forbli i Europa
Tidlig i mai lovet Microsoft-sjef Brad Smith at all skybasert informasjon fra europeiske kunder skal lagres på europeisk jord, ikke i USA. Forpliktelsen skal tre i kraft innen utgangen av 2022. (Les også: Microsoft må bygge om Azure for å oppfylle løftet… (krever abonnement))
Men har det egentlig noe å si? Selskapet er fortsatt amerikansk, så hva er da kriteriet for at informasjon ikke skal bli utlevert?
– Uttalelsen fra Brad Smith er interessant fordi det i min verden er første gang jeg hører eller leser at Microsoft er så tydelige på at de ikke kan beskytte oss mot utleveringsbegjæringer fra amerikanske myndigheter, sa Eva Jarbekk i møtet.
Underlegges Microsoft, eller et annet amerikansk selskap, en utleveringsbegjæring etter FISA 702 eller eo 12333 kan de godt protestere, men selskapene kan ikke være garantist for at utleveringen ikke vil skje. Den som orker å lese alle vilkår på kryss og tvers, vil kunne se at mange tjenester i Microsoft faktisk forutsetter direkte overføringer til USA.
Den demokratiske utfordring
At utlevering av data under visse kriterer bør kunne skje, og at myndigheter skal ha anledning til å overvåke det som skjer på nettet, er til en viss grad ønskelig. Også i et demokratisk samfunn finnes det lover og regler som setter grenser for personvernet. Internett er ikke et rettstomt rom hvor alle kan gjøre som de vil. Vi må leve med at både nordmenn, europeere og amerikanere er underlagt lover og regler som vi må følge.
Uenigheten mellom EU og USA handler om rettsmidlene som finnes for individet til selv å bestride overvåking.
Problemet melder seg i det øyeblikk man ikke får vite at amerikanske styresmakter har kommet med en utleveringsbegjæring rettet mot ditt selskap. Noen av disse begjæringene er underlagt det amerikanerne kaller en gag-order. Det innebærer at Microsoft, eller andre amerikanske leverandører, ikke har lov til å fortelle til kunden eller andre om begjæringen.
Det er her Schrems II-dommen kommer inn. Det handler i bunn og grunn om demokratiske verdier, og demokratiet er skjørt. Schrems II fastslår at dersom myndighetene krever å få utlevert dine data, har du en rett til å vite om det. Og du har en rett til å protestere. Denne protestretten har ikke europeere i USA, antagelig heller ikke i India, og ikke i Kina.
Look to Sweden
Hva så med skytjenester, hvilke alternativer finnes egentlig? Majoriteten av de store skytjenesteleverandørene i verden har hovedkontor i USA, en del har det i Kina og noen ganske få i Europa. Hvilke servere og applikasjoner skal man egentlig bytte til – om man vurderer å bytte?
Litt klokere-møtet konstaterer at, som så mye annet etter Schrems II-dommen, er det ingen svar med to streker under. Men vi kan kaste et blikk i retning Sverige, hvor flere offentlige myndigheter avviser å bruke Teams. De viser til at samtalene de har er sensitive, og da må de ha mer kontroll over dataene enn Teams tilbyr. Her ser vi at svensk forståelse og praksis etter Schrems-avgjørelsen er mer stringent enn i Norge.
Forskjellen er til dels historisk. Det offentlige Norge var tidlig ute og er lang fremme i bruken av skytjenester, tidligere og mer omfattende enn i andre land. Det er flere som nå tar til orde for at vi kanskje har gitt ris til egen bak. Er du først inne i en skytjeneste, er det vanskelig å komme seg ut.
Men finnes det konsekvenser?
Men hva er egentlig konsekvensene av at Privacy Shield-avtalen ikke lenger er gyldig? Får det noen konsekvenser i det hele tatt?
Frem til nå har konsekvensene vært litt ulike. Mange har unngått å inngå nye avtaler, men foreløpig har de store bøtene uteblitt. I andre land i Europa har flere Datatilsyn stoppet amerikanske skytjenester. Det siste året har også det norske datatilsynet vært langt mer frampå. Sanksjoner vil komme, ikke minst gjelder dette tredjelandsoverføringer. Tidlig i mai så vi det ved at Datatilsynet bøtela Ferde for å overføre data til Kina.
Deltakere på Litt klokere-møtet pekte også på at man avventer en Schrems II-uttalelse fra Personvernrådet, som kanskje kan være mer oppklarende. Inntil uttalelsen foreligger er det vanskelig å ta stilling til hvordan man skal forholde seg. Alternativt kan man prøve å finne en europeisk skytjeneste som kun har servere i Europa, og som ikke har databehandlere i for eksempel India eller Ukraina eller hvilket som helst tredjepartsland som ikke et godkjent.
Hva med epost?
En del av debatten på nettmøtet handlet om epost-tjenester. Mange bruker Outlook, noen bruker Gmail. Noe ligger i skyen, noe gjør ikke det. Spiller det noen rolle om man bruker Office 365, som ligger i skyen, eller om Outlook ligger på en lokal server – så lenge det uansett er Microsoft i bakgrunnen? Og hvis man skal bytte, hva skal man bytte til?
Litt klokere-møtet gir ikke fasitsvar, men noen punkter å notere seg er:
- Bruker man Office 365 og har Outlook i skyen, er man like langt.
- Bruker man krypteringstjenesten til Microsoft, som er en del av Azure, deler man både nøkkel og det som skal krypteres med Microsoft.
- Bruker man Gmail, står alle serverne i USA.
- Bruker man Google Analytics, blir all innsamlet informasjon håndtert i USA.
Det er også en grunnleggende forskjell på å installere Outlook lokalt på en exchangeserver i ditt eget datasenter og å bruke en ekstern skytjeneste. En exchangeserver på ditt datasenter er det du som styrer, mens Outlook i skyen, for eksempel via Azure, er en tjeneste du kjøper av Microsoft.
Kryptering – den gylne mulighet
Litt klokere-møtet diskuterte hvorvidt leverandører har en mulighet til å definere seg bort fra Schrems II. Kan for eksempel Microsoft si at de ikke egentlig er databehandlere fordi de aldri selv ser dataene de behandler? Og vil selskapet da kunne hevde at Schrems II ikke gjelder for dem?
Svaret på dette behøver ikke å være så komplisert. Man kan støtte seg til definisjonene i artikkel 4 i personopplysningsloven. Opererer leverandøren innenfor definisjonene, så er det behandling av data. Men noen områder vil ikke omfattes av definisjonene. I visse tilfeller kan for eksempel kryptering falle utenfor definisjonene.
– Kryptering kommer til å bli superhot. Den som klarer å lage en smart krypteringsmetode kommer til å avgjøre mye i fremtiden, mente Eva Jarbekk.
Det finnes allerede muligheter til å forsterke plattforminitiert kryptering med en egen administrert kryptering, hvor du selv holder nøkkelen. Utfordringen er at tjenesten blir langt mindre praktisk. En av fordelene ved skytjenester er den høye graden av automatisering. Selv noe så enkelt som en søkefunksjon på tvers av data i egen organisasjon, blir umulig dersom du har jerndører foran alle dataene. Da kan man rett og slett ikke levere søketjenesten. Og hvem vil ha en skytjeneste du ikke kan søke i?
Så langt finnes det ingen «Ja takk, begge deler»-løsning. Du kan ikke ha både fullgod automatisering og doble beslag samtidig.
Utfordringen er dermed gitt.