– Norske firmaer bør ha en plan B, med leverandører i andre land enn USA

Tilsynsorganet for datautvekslingsavtalen med USA er satt ut av spill. Mer kan skje fort, og eksperter råder norske selskaper til å ha både en plan B, C og D.

Tobias Judin og Jan Sandtrø anbefaler norske selskaper å ha en løsning klar for hva de skal gjøre om datautvekslings-avtalene med USA blir ulovlige. Det kan nemlig skje fort, om Donald Trump signerer ordre. 📸: Ilja C. Hendel / Calle Huth / AFP / NTB
Tobias Judin og Jan Sandtrø anbefaler norske selskaper å ha en løsning klar for hva de skal gjøre om datautvekslings-avtalene med USA blir ulovlige. Det kan nemlig skje fort, om Donald Trump signerer ordre. 📸: Ilja C. Hendel / Calle Huth / AFP / NTB Vis mer

Det er ikke til å komme utenom at det har skjedd mye i USA på bare få uker etter at Donald Trump tok over som president.

  • Etter valgseieren sa Tobias Judin i Datatilsynet og Hans Kristian Henriksen i Bekk at Trumps periode kunne bli usikker for norsk teknologibransje.
  • IKT Norge advarte i januar om en mulig bølge av endringer.

Teknologiadvokat Jan Sandtrø mener nå at datautvekslingsavtalen mellom USA og Europa nå er i ferd med å bli satt under press.

En ordre kan endre alt

Sandtrø viser til at Trump har varslet at han er klar for å endre eller sette til side presidentordrer fra Joe Bidens periode ved makten.

  • Han påpeker at hvis Trump endrer presidentordre 14086, som er grunnlaget for Data Privacy Framework (DPF), så vil det få betydning for 2.800 bedrifter, hvor flere er blant de mest sentrale leverandørene av tjenester til Europa.
  • DPF er også en sentral del av ordningen, som kom på plass etter Schrems 2-dommen. Denne satte nye rammer for hvilke krav som gjelder når europeiske data blir overført utenfor EU- og EØS-land.

– Det såkalte «Project 2025» som synes å være Trumps veikart, nevner imidlertid ikke denne ordren, så det er uklart om dette vil omfattes, sier Sandtrø til kode24, men legger til:

– Så uberegnelig som Trump er, og i en åpenbar konflikt med Europa og resten verden, er det ikke utenkelig at det vil komme en ordre som setter også DPF i fare.

Kan utfordre avtalen, etterhvert

En endring som Trump derimot har gjennomført, er å fjerne medlemmer fra tilsynsorganet «Privacy and Civil Liberties Oversight Board» (PCLOB).

– Foreløpig er vi ikke veldig bekymret, sier Datatilsynets seksjonssjef Tobias Judin til kode24.

Noe av årsaken er at de regner med at det vil bli utnevnt nye medlemmer.

– For det andre forstår vi det slik at PCLOB kan utføre enkelte av oppgavene sine i mellomtiden, selv om organet ikke er fulltallig. Dette blir først et problem dersom det trekker ut i lang tid å få på plass nye medlemmer av PCLOB.

– Dersom PCLOB er satt ut av spill over lang tid, kan det potensielt utfordre overføringsavtalen, men som sagt er vi ikke der ennå, presiserer han.

Sandtrø påpeker at det ikke har vært klaget inn eller vurdert noen saker i PCLOB, men at det likevel er et viktig sikkerhetsnett. Han er derimot mer bekymret for utsiktene.

– Følgene av dette og andre ting Trump gjør, kan være at EU-kommisjonen finner selv at det ikke er trygt å overføre på grunnlag av DPF.

Utrygt forhold

Sandtrø viser til at EU-kommisjonen er under press fra politikere i EU, som opplever forholdet til USA som utrygt. Disse vil da verne om EU-borgeres data.

– Vi har også sett at amerikanske virksomheter utnytter data om blant annet EU-borgere rått, som Meta og Google, og disse er nå Trumps medløpere, sier han.

– De endringene som Trump gjør i PCLOB, vil kunne føre til at DPF ikke lenger blir ansett som tilstrekkelig grunnlag for overføring. Men det vil tiden vise.

Sandtrø forteller at det da vil endre overføringsgrunnlaget til et mer usikkert grunnlag, nemlig EUs standardbetingelser for overføring.

– Så kan det være at amerikanske virksomheter etablerer nye løsninger for sikring, som Microsofts Data Boundary. Men det er uklart hvor sikre tiltak kan være mot lovgivningen i USA, utbroderer han.

Kan skje mye, raskt

– Så hva skjer dersom DPF ikke lenger blir ansett å være tilstrekkelig?

– Hvis det skulle vise seg at beskyttelsesnivået for personopplysninger i USA ikke lenger er godt nok, må EU-kommisjonen oppheve beslutningen om at vi kan overføre denne typen data til USA, forklarer Judin.

Det kan skje gjennom en vanlig prosess, som gjerne tar litt tid, men:

– EU-kommisjonen kan imidlertid også velge å gå for en hasteprosedyre, dersom det oppstår plutselige og store endringer i USA, og da kan en beslutning komme på kort tid, sier Judin.

Han fraråder bedrifter å kalkulere med noen overgangsperiode. Sandtrø er åpen for at det kan bli en slik, men sier det avhenger helt av hva det er som har forårsaket at DPF faller bort. Alternativet er praktisk umulig, mener han.

– Det har vært diskutert i EU – riktignok for mange år siden – å «kutte kablene» til USA, sier Sandtrø, og peker på at det hele kan ende i et klart forbud mot å overføre data til USA.

– Men dette er ekstremt, tilføyer han.

Ha en plan B, C og D

Judin sier at det er forhold som tyder på at det er større risiko for at avtalen ryker nå, enn det som var tilfellet før Trump tok over makta.

– Nasjonal sikkerhet er viktig for den nye administrasjonen, så det er ikke utenkelig at Trump kan ha lyst til å gi etterretningsmyndighetene større fullmakter eller svekke rettsikkerhetsgarantiene som finnes i dag, sier han.

– Samtidig er dette en avtale som også er veldig viktig for amerikansk næringsliv, så det kan også koste politisk å rokke ved den. Vi må rett og slett vente og se hvordan dette utvikler seg, slår Judin fast.

Sandtrø anbefaler også folk å sitte stille i båten, men følge situasjonen nøye og oppdatere risikovurderingene sine.

– Uansett bør man ha en plan B – kanskje også C, D eller flere – med alternative leverandører i andre land enn USA, hvis det er mulig, anbefaler han.

– Med enkelte leverandører, som Microsoft, kan det være vanskelig, men for en del andre løsninger og leverandører er det muligheter, fortsetter Sandtrø.

– En del av disse alternativene kan da være ekstra tiltak for å sikre personopplysninger som overføres til USA, som kryptering, pseudonymisering, minimering av data som overføres med mer. Dette er imidlertid tiltak som bør vurderes innført uavhengig av hva som skjer i USA.

Regjeringen: For tidlig å si

kode24 har også stilt en rekke spørsmål til regjeringen om situasjonen, og hva norske virksomheter bør foreta seg.

Disse handlet om konsekvensene av at PCLOB er satt ut av spill, om de tror på en overgangsperiode hvis avtalen ryker, og sannsynligheten for at det faktisk vil skje.

– Det er for tidlig å ha noen klar oppfatning av om, og eventuelt hvordan, endringene i amerikansk forvaltning vil kunne påvirke de gjeldende avtalene om overføring av personopplysninger fra EØS-området til USA, sier Marianne Wilhelmsen til kode24.

Hun er statssekretær i Digitaliserings- og forvaltningsdepartementet.

– Norske virksomheter som overfører personopplysninger til USA, skal alltid påse at personopplysningene gis samme beskyttelsesnivå også etter at de er overført. Personvernforordningen angir flere alternative måter å sørge for dette, og disse alternativene må norske og europeiske virksomheter forholde seg til, fortsetter Wilhelmsen.

– Personvern er en grunnleggende rettighet som vi må ivareta. Jeg er også opptatt av å bidra til forutsigbarhet for norske virksomheter. Derfor følger vi utviklingen tett, sier hun.