KOMMENTARER

The Privacy Shield – ikke kødd med dataene

KOMMENTAR: Et velfungerende Privacy Shield er avgjørende for digitaliseringen av Norge og Europa, mener Torgeir Waterhouse.

Privacy Shields logo kan minne om plakaten til en dårlig actionfilm, men vi trenger et velfungerende Privacy Shield om vi skal lykkes med å digitalisere Norge og Europa, skriver Torgeir Waterhouse.
Privacy Shields logo kan minne om plakaten til en dårlig actionfilm, men vi trenger et velfungerende Privacy Shield om vi skal lykkes med å digitalisere Norge og Europa, skriver Torgeir Waterhouse.
Torgeir Waterhouse
4. feb. 2016 - 13:55

Denne kommentaren gir uttrykk for skribentens meninger.

 

Torgeir Waterhouse er direktør internett og nye medier IKT-Norge, og president Norwegian IPv6 Forum.
Torgeir Waterhouse er direktør for internett og nye medier i IKT-Norge, og president i Norwegian IPv6 Forum.
Egentlig ventet vi på Safe Harbour 2, men vi fikk Privacy Shield. Det høres ut som dårlige actionfilmer. For de eldste av oss, den typen som gikk rett på video, I 2016 den typen som kanskje går rett på Netflix.

Privacy Shield er selvsagt ikke en film. Det er et avtaleverk mellom USA og EU som har vært under arbeid noen år (*) for å erstatte det ca 15 år gamle Safe Harbour, og dermed overta plassen som et av de juridiske grunnlagene for utveksling av data mellom EU og USA.

I tillegg har vi også Binding Corporate Rules & Model Contracts som virker på det samme området.

EU kommisjonen har til og med gitt The Shield (blant venner) en klein grafisk profil som ville passet perfekt på en filmplakat.

Viktig rammeverk

I virkeligheten er Privacy Shield et av viktigste juridiske rammeverkene vi får fra EU, og en av bærebjelkene for digitalisering av hele det norske samfunnet, digitalt indre marked, industri 4.0 osv.

Hvorfor? Fordi å lykkes med personvern og informasjonssikkerhet er et premiss for å lykkes med et digitalisert samfunn.

Derfor skal The Shield skal sikre tilstrekkelig beskyttelse av data fra EU- (og EØS-) land når dataene oppbevares, behandles osv. i eller fra USA. Det er selvsagt ikke et mål eller kriterium i seg selv at data behandles i eller fra USA, men i praksis ser vi at data av ulike årsaker blir behandlet på tvers av landegrenser.

Et avgjørende poeng er selvsagt at, som med all vellykket digitalisering, tjenesteutvikler, -eier og -bruker har mulighet til å velge den beste løsningen.

Tjenester vi alle bruker hver dag, vil bli berørt. Det kan faktisk handle om noe så enkelt som at vi sender en mail eller melding til arbeidsgiveren vår eller barnas skole, og sier at «jeg er syk i dag» eller «barnet mitt er sykt i dag».

Plottet er presentert

Det er mer som minner om en dårlig actionfilm, foreløpig har vi bare fått traileren. Myndighetene har hintet om hva The Shield skal gjøre for oss med actionheltkreftene. De sier The Shield «will protect the fundamental rights of Europeans where their data is transferred to the United States and ensure legal certainty for businesses». Noen tror derfor at alt er i orden mellom EU og USA, og at helten The Shield har vunnet frem.

De grønne i Europaparlamentet pirker i planene og kaller dem «a sellout of the fundamental EU right to data protection». Det har selvsagt vært samtaler med myndigheter fra flere land, bransje, advokater og IKT-Norge osv. om hva som skjer, og hvilke krav vi skal til stille til de involverte.

Det er altså nå den neste delen av historien skal starte. Vi har fått plottet presentert, og vi får se det utfolde seg i løpet av noen få uker. Vi vet noe om hva vi skal gjennom før helten, The Shield, samler trådene og skal sikre dataene våre.

Skal The Shield lykkes er det en del scener som må gå The Shields vei.

Grunnlaget for suksess

De øverste myndighetene i både EU og USA må fortsatt ta dette på største alvor. Vi snakker om det nødvendige grunnlaget for at datahåndtering skal lykkes.

For eksempel må brukerenes behov for at dataene er beskyttet uavhengig av geografi ivaretas. Det handler blant annet om at myndighetene i både USA og EU tar på tilstrekkelig alvor at regelverkene har betydelige forskjeller, men at vi likevel må finne en måte å behandle data forsvarlig på.

Domstolene må være fornøyd, det er politikere som lager regelverket, men den endelige godkjenningen eller avvisningen kommer fra domstolene.

The Privacy Shield er etterfølgeren til Safe Harbour, og vi kan ikke ta sjansen på at Privacy Shield blir avvist slik Safe Harbour ble, enten det er nasjonalt i ECJ eller i Strasbourg.

Myndigheter og bransje må lykkes med å skape tillit til håndtering av dataene. Det betyr at vi i bransjen skal fortsette å gi god informasjon om tjenestene. Samtidig er det avgjørende at relevante myndigheter står samlet om å finne en løsning slik at the Shield skal fungere.

Tidligere har jo endel myndigheter i Norge skapt usikkerhet med å rykke ut i mediene og skape usikkerhet og frykt ved bruk av tjenester før lovlighet er vært tilstrekkelig vurdert.

For mange it-aktører og kundene deres kan det være faktisk større risiko forbundet med myndigheter som henger dem ut for formalistiske mangler som ikke påvirker den reelle sikkerheten enn at risikoen for reelle mangler i sikkerheten.

Må gis tilstrekkelig kraft

Det samme grunnlaget for tillit til prosessen og The Shield må vi kunne forvente at Europaparlamentet bidrar til.

Uavhengig av om han har et poeng eller ikke, må det være en betydelig for prosessen når talsperson for personvern Jan Philipp Albrecht fra de grønne sier: «It seems clear that this new framework will also be challenged in the European Court of Justice, as it is clear that it does not fulfil the conditions of the court's ruling».

Sitatet fremstår forøvring som en bestilling på å ta The Shield til domstolen, og det kommer nok til å skje også uten innspill eller hjelp fra Albrecht.

Det vil være en fallitterklæring og et stort problem om myndighetene i EU og USA ikke har lykkes med å gi The Shield tilstrekkelig kraft til å sørge for den beskyttelsen den skal gi. Det bekrefter også Article 29 Working Party som sier den skal «examine whether the provisions respect the powers of data protection authorities as laid down in Article 28 of Directive 95/46/EC»

Det fullstendige rammeverket må legges frem så raskt som mulig, og det må ikke være tvil om at det er dekkende, slik at data kan plasseres, behandles, osv. hos tjenester og leverandører som støtter kravene Privacy Shield stiller.

Fullt fokus og ingen skjulte agendaer

Skal The Shield lykkes må arbeidet til alle relevante myndigheter samkjøres.

Ingen avsporinger, ingen egne eller skjulte agendaer, ingen omkamper, men fullt fokus på å få det nødvendige rammeverket på plass, slik at infrastruktur, digital tjenesteprodusksjon og internett slik vi kjenner i dag både kan fortsette, og ikke minst utvikles videre.

Myndighetene må også delta tydelig i den offentlige debatten. De må gi tilstrekkelig informasjon, og bidra til å sikre reell tillit til at dataene vil være sikret.

Det er lett å se for seg en debatt preget av særinteresser og egne agendaer, kanskje bare en egen agenda om medieoppmerksomhet. Derfor er det avgjørende at The Shield gir den sikkerhet vi trenger, og at myndighetene tar et aktivt ansvar for å holde debatten opplyst.

Alternativet er at vi både kan få svekket tillit og et svekket rammeverk preget av særinteresser og unødvendige, støydempende tiltak.

Vi forventer enkle løsninger

The Privacy Shield skal sikre data. Hvordan det tas imot, og om det lykkes, ser vi starten av om noen få uker. Vi stiller med store forventninger og krav til alle relevante myndigheter i USA, EU og Norge.

Ikke bare forventer vi en løsning som er så enkel som mulig å benytte, vi forventer også en løsning som i minst mulig grad gjør det nødvendig med kostbare juridiske prosesser hver gang noen skal i gang med lagring eller prosessering av data.

Skal vi lykkes med å digitalisere Norge (og Europa) har vi ikke noe valg: Vi må ha et velfungerende Privacy Shield som gir tilstrekkelig sikring av dataene, og vi må ha det så raskt som mulig.

(* ) Det er en utbredt misforståelse at arbeidet med Privacy Shield kom nærmest panikkartet i gang på grunn av dommen i ECJ, arbeidet hadde pågått lenge. Dommen la selvsagt et ekstra press på arbeidet i og med at det eksisterende grunnlaget for datautveksling plutselig var kjent ulovlig.

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.