Ja, kanskje det. Men det er lurt å vite hva man avtaler. Schrems II og konsekvenser for bruk av skytjenester opptar mange og skaper debatt. Det er forståelig. Mange brukere av slike tjenester opplever stor usikkerhet. EU kommer til å avklare dette snart.
Som kjent for mange, diskuterer EUs Personvernråd i disse dager hvordan Schrems II – avgjørelsen skal forstås og hva som skal gjelde videre for bla skytjenester. Forståelsen de ga uttrykk for før jul, var streng og førte i praksis til at mange skytjenester er ulovlige å bruke. Mange har argumentert for en mykere forståelse, der det ikke er avgjørende om personopplysninger overføres til USA (ev. andre lignende land) eller ikke. Dette kan oppnås gjennom en såkalt risikobasert tilnærming der man ser på «hvor farlig er det» om utenlandske myndigheter eventuelt får tilgang til personopplysningene. Om en slik risikobasert tilnærming er lovlig, er det mange meninger om, men det er mange som ønsker seg det.
Personvernrådet avgjør
Personvernrådet er et uavhengig organ og det er vanskelig å spå hva de vil komme med av anbefalinger. Ikke engang det norske Datatilsynet har stemmerett i Personvernrådets prosesser, selv om vi har en representant der. Samtidig legger Datatilsynet nesten alltid Personvernrådets anbefalinger til grunn for sine egne vedtak. Hva jeg selv måtte mene om hva som er hensiktsmessig og lovlig, spiller liten rolle. Brukerne av skytjenester må forholde seg til hva Personvernrådet konkluderer med. Kanskje lander Personvernrådet på at de mener en slik risikobasert tilnærming er riktig. Eller kanskje ikke.
Hva skal man råde brukere av skytjenester til, mens vi venter på hva Personvernrådet mener? Ove Vanebo og Marianne Gjerstad mener i en kommentar den 22. april at en risikobasert tilnærming kan være fornuftig. Jeg mener det er klokt å ta høyde for at det er Personvernrådet som avgjør hva som vil bli akseptert av Datatilsynsmyndighetene. Det er også klokt å skape fleksibilitet i avtalene.
Dersom Personvernrådet holder fast på sine opprinnelige synspunkter, kan de som i dag inngår avtaler basert på «risikoaksept» måtte finne nye løsninger. Litt avhengig av kontekst.
Det kan også tenkes at Personvernrådet anbefaler en risikobasert fremgangsmåte, men at de er strenge med hensyn til hva som er akseptabel risiko. Dette vil også medføre at mange kan måtte revurdere avtaler som er inngått. Hvordan de eventuelt definerer akseptabel risiko kommer til å bli svært sentralt. Vil det bli akseptabelt å overføre sensitive, særlige kategorier av personopplysninger? Hva med økonomiske opplysninger?
Frustrerende situasjon
Også på krypteringsområdet er det lov å håpe på klargjøring fra Personvernrådet. Vil de kreve at personopplysninger gjøres «uleselige» både i transitt, «at rest» og eventuelt mens data endres? Og hva skal eventuelt til – holder det med at krypteringsnøkkelen oppbevares av en tredjepart?
Usikkerheten om hva Personvernrådet konkluderer med, tilsier i alle fall at mange av dem som inngår skyavtaler i dag bør ta høyde for at de kan komme til å måtte gjøre om på avtalene. Et viktig moment er at leverandørene bør påta seg å levere en «compliant» løsning når det blir klart hva som kreves. Hvis det er mulig å bli enige om noe slikt. Hvis man ikke kan avtale dette, må man vurdere ulike løsninger for å kunne komme ut av avtalene dersom det blir nødvendig. Kostnadene for en eventuell «roll-back» er også noe man bør vurdere.
Situasjonen er frustrerende for rådgivere, for cloudleverandører og for cloudkunder. Og ikke alle kan vente med å inngå nye avtaler til man vet hva EU konkluderer med. Hvis man ikke kan vente, er det viktig for alle parter å lage en fleksibel avtale der mulige fremtidige lovkrav hensyntas på en god måte. Og om litt kommer nok EU med en avklaring. Om vi er heldige, blir det ikke for mange nye følgespørsmål.