Annonseringen av the Privacy Shield forrige uke kom noe overraskende på de fleste, ikke at den skulle komme, men at den kom den kvelden. Dermed kommer selvsagt også diskusjonene noe plutselig og uforberedt, noe flere av kommentarene også bærer preg av.

The Privacy Shield USA og EUs nye avtaleverk som sammen med Binding Corporate Rules & Model Contracts er et avalternativene for å regulere lagring og behandling av data fra EU- og EØS-land i USA. Safe Harbour, som Privacy Shield erstatter, har hatt en sentral funksjon når de internasjonale cloudleverandørene og små spesialiserte tjenesteleverandører har trukket norske kunder.

Noen har ment at nå er alt på plass og det er tilbake til business as usual, og at dermed kan vi fortsette der det stoppet når Safe Harbour ble erklært ugyldig av ECJ i 2015. Andre, som feks De grønne i Europaparlamentet, har ment at dette umulig kan løse utfordringene, kaller the Privacy Shield en «sellout of the fundamental EU right to data protection» og at også den vil bli forbudt av (en) domstol(en).

Alt selvsagt uten å kjenne innholdet i rammeverket og hvilke justeringer som er gjort/skal gjøres i lovverket i USA (som dette i stor grad handler om for EU- og EØSlandene). Det vi egentlig vet foreløpig er 5, blant flere, helt enkle ting:

  • vi må lykkes med personvern og informasjonssikkerhet for å lykkes med et digitalisert samfunn
  • at pressemeldingen om the Privacy Shield sier den: «will protect the fundamental rights of Europeans where their data is transferred to the United States and ensure legal certainty for businesses»
  • og at det tar noen uker før vi får se det reelle innholdet i the Privacy Shield
  • at det er folk som står klare til få prøvet the Pivacy Shield for retten
  • krtikken som er fremsatt gjør at det fremstår helt åpent om den nødvendige sikkerheten og tilliten kan sikres og i hvilken grad data vil bli lagret utenfor EU og EØS

Er det en pakke for de store leverandørene? skal offentlige data ut av landet? Hvem har tilgang til dataene? Kan vi ikke selv velge hvor data lagres, behandles? etc. Det er mange spørsmål og diskusjoner som har kommet, og det vil komme mange flere.

Om offentlige data skal ut av landet eller ikke er en sak for den ansvarlige myndigheten som forvalter dataene. Selvsagt innenfor rammene av Norsk lov. Det vil alltid være den som forvalter dataene som må ta beslutningen om hvordan dataene skal lagres og behandles, og uansett må vi vente til (den endelige) avtalen gjøre tilgjengelig for offentligeheten om noen uker. Vi vet helt enkelt ikke konkret hva som kommer utover det vi kan lese i pressemeldingen.

Foreløpig er det altså venting som gjelder. I utgangspunktet er alt som før, dvs the Privacy Shield er myndighetene i USA og EU sitt forsøk på å gjenopprette både lovlighet av og tillit til lagring og behandling av data fra EU (og EØS) land. Noen avgjørende faktorer er om the Privacy Shield svarer på det dommen mot Safe Harbour problematiserte, og hvordan Artikel 29 gruppen vurderer avtalen når den legges frem, gruppen har sagt at den må ivareta at:

  • Processing should be based on clear, precise and accessible rules: this means that anyone who is reasonably informed should be able to foresee what might happen with her/his data where they are transferred;
  • Necessity and proportionality with regard to the legitimate objectives pursued need to be demonstrated: a balance needs to be found between the objective for which the data are collected and accessed (generally national security) and the rights of the individual;
  • An independent oversight mechanism should exist, that is both effective and impartial: this can either be a judge or another independent body, as long as it has sufficient ability to carry out the necessary checks;
  • Effective remedies need to be available to the individual: anyone should have the right to defend her/his rights before an independent body

Safe Harbour hadde som funksjon å sikre et lovgrunnlag for enkelt å kunne lagre og behandle data i USA på tross av lovverk som i utgangspunktet er veldig forskjellige i ca 15 år. Det tok slutt, og nå gjenstår det helt enkelt å se hva som blir utfallet av den videre prosessen. Det som er sikkert er at utfallet vil gjøre et solid avtrykk på og være et premiss for videre digitalisering av både Norge og Europa. Det vil avgjøre om og hvor data lagres utenfor landet, det vil påvirke om og hvilke ikke-europeiske tjenester som kan brukes og det vil påvirke markedet for både datasenter og tjenester drevet i og fra Norge.