Norsk statligt skytjeneste?
Debatten om sikkerheten til amerikanske skytjenester har vært aktuell siden i sommer.
Den 16. juli opphevet EU-domstolen dataoverføringsavtalen “Privacy Shield” i den såkalte “Schrems II”-dommen. Domstolen slo også fast at USA ikke er et sikkert tredjeland. For mange bedrifter har dette ført til at det har blitt vanskeligere å bruke skytjenester fra amerikanske leverandører.
Fredric Wallsten har lang erfaring fra arbeid med disse spørsmålene i sin rolle som administrerende direktør for den norske skytjenesteleverandøren Safespring.
Fredric, hva innebærer det for bedriftene at Privacy Shield ble opphevet nå i sommer?
Uten en gyldig dataoverføringsavtale blir det vanskeligere å finne et såkalt rettslig grunnlag for å overføre opplysninger. Dessuten har EU-domstolen funnet at USAs nasjonale lovgivning ikke beskytter europeiske borgere. Det medfører flere konsekvenser enn mange sikkert er klar over. Domstolen finner jo blant annet at det er leverandørens tilholdssted, og ikke maskinvarens geografiske plassering, som er avgjørende for beskyttelsesnivået.
Dette gjør det langt vanskeligere å bruke skytjenester fra leverandører som er underlagt amerikansk lov, selv om de har datasenter i Norge, Sverige eller Europa. Hvis amerikanske myndigheter kan fremsette krav mot leverandøren på en bindende måte, bør det i praksis være vanskelig for en aktør i EØS å bruke leverandørens tjenester.
Har dommen andre konsekvenser?
Mange bedrifter er jo akkurat nå gjenstand for brudd på GDPR og risikerer bøter. EU-domstolen slo også fast at tilsynsmyndighetene har plikt til å agere mot dataoverføring når det ikke er mulig å fastslå likeverdig beskyttelse i mottakerlandet. I Irland utredes det nå hva dette innebærer i praksis.
Bransjen snakker om Standard Contractual Clauses og Binding Corporate Rules, kan de brukes?
Nja, det er viktig å være klar over at Privacy Shield var en avtale mellom jurisdiksjoner, mens SCC er en avtale mellom selskaper. SCC er et sett av standardklausuler som regulerer dataoverføring til tredjeland mellom partene. Men hvis motpartens tilholdssted er i USA, er det umulig for motparten å leve opp til kravene fra EU uten ytterligere tiltak, fordi USAs nasjonale spionlover medfører at EU diskvalifiserer landet som tredjeland. Blant disse lovene er for eksempel FISA 702a, EO12333 og eventuelt CLOUD Act. Lovgivningen gjør det altså ikke mulig for motparten i USA å oppfylle de europeiske databeskyttelseskravene.
Hva mener du at bedriftene skal gjøre nå?
Gå gjennom alle databehandleravtaler samt eventuelle databehandleravtaler hos underleverandørene, kartlegg selskapets eksponering. Det som er særlig viktig å avdekke, er tjenester som er underlagt amerikansk lovgivning, slik at bedriftene i neste fase kan prioritere disse og finne alternativer. Dette er behandlingsansvarliges ansvar. Det kan også være lurt å identifisere personopplysninger som ikke tilhører ens egen organisasjon, men for eksempel kundene.
Hvilket råd vil du gi til brukere av skytjenester som er underlagt amerikansk lovgivning?
Ager før tilsynsmyndigheten kommer. Hvis man er slik stilt at man behandler personopplysninger hos en leverandør som er underlagt amerikansk lov, blir man nødt til å iverksette tiltak. Hvis man aktivt har påbegynt dette arbeidet, bør jo dette utgjøre formildende omstendigheter som burde gjenspeiles i eventuelle straffetiltak.
Hva er de konkrete alternativene, er kryptering en løsning?
En del hevder det. Men DPA i Hamburg har fattet et vedtak om at kryptering av data i en amerikansk skytjeneste bare kan anses som OK hvis nøklene behandles sikkert. Dette utelukker selvsagt at de behandles i den samme skytjenesten og fører dermed til at nesten all praktisk bruk er utelukket. Dette er egentlig ikke et teknisk, men et juridisk problem. Det er ikke Microsoft, AWS, Google med flere som er skurkene, men USA har gitt sin egen administrasjon ubegrenset makt over alle data de kan få tilgang til. Dette er uforenlig med europeisk lovgivning, og det må komme en endring i USAs lover før det blir mulig å komme til ny enighet.
Hva kommer til å skje i fremtiden?
Haha, det skulle jeg ønske jeg kunne svare på. Det eneste vi kan være sikre på er at det vil komme nye lover, nye direktiver og nye anbefalinger. De som har valgt en leverandør som i dag er underlagt amerikansk lov, og som er bundet og nå må flytte, har problemer. Det blir dyre migrasjonsprosjekter. De som har en arkitektur og design som tillater at man kan flytte mellom ulike leverandører, kan enkelt tilpasse seg nye forutsetninger.
En diskusjon som har oppstått her i Norge, er om staten skal bygge en egen skytjeneste, hva tror du om det?
I utgangspunktet er det nok en god idé. Det finnes nok en rekke applikasjoner og data som det kanskje passer best at staten behandler selv. Imidlertid tror jeg mange gjør det lett for seg selv, siden teknologi er abstrakt, og generaliserer grovt når det gjelder IT-systemer og applikasjoner.
Jeg tror verken staten eller noen enkeltleverandør kan produsere det mangfoldet av tjenester det er behov for, både innen infrastruktur, plattformer og applikasjoner. Derfor ville det være ekstremt uheldig om det ble valgt proprietære løsninger som fører til utestengelse fra resten av markedet. Da tror jeg staten risikerer å miste mye av innovasjonskraften man oppnår med moderne skytjenester. Det er derfor svært viktig å velge løsninger som baserer seg på åpne standarder, standardiserte API-er og standardiserte filformater.
Det må finnes en forutsigbar og standardisert måte å interagere med resten av markedet på, slik at det er mulig å utnytte hele potensialet av den innovasjonen markedet kan bidra med. Det finnes europeiske initiativer, f.eks. GAIA-X, som det blir interessant å følge med på. Nettopp GAIA-X handler om felles infrastruktur som, hvis den lykkes, kan bli en slik plattform for standardisert utveksling av tjenester.