Personvernlovgivningen i Europa har en lang historie og er bygget på menneskerettighetene. «Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin korrespondanse», står det i artikkel 8 i den europeiske menneskerettighetskonvensjon, som igjen bygger på artikkel 12 i FN’s menneskerettighetskonvensjon.
Juristene har brukt sitt viktigste verktøy, lovteksten i GDPR, til å sikre at denne menneskerettigheten også skal omfatte borgernes digitale arena.
Europeiske jurister har sydd på dette praktplagget over lang tid, i demokratisk ånd innenfor EU-rammeverket, og resultatet har blitt en lov som gir borgerne høy grad av beskyttelse.
Syltynn tråd
Utfordringen er at tråden som ble brukt, er syltynn.
En rettighet har ingen verdi dersom den ikke kan iverksettes i borgerens praktiske liv.
Edward Snowden lekket i 2013 dokumentasjon som viser at store amerikanske internettselskaper, som Facebook, Google, Apple og Microsoft, er informanter til amerikansk overvåkingsprogram, noe Wikileaks omtaler som en «snikende dannelse av en overvåkningsstat».
I kjølvannet av dette tok Max Schrems allerede som ung juriststudent konsekvensen av dette og startet en rekke rettsprosesser for å belyse det. Han var det lille barnet som først ropte at keiseren ikke hadde noen klær på seg. I lang tid har EU-juristene vevd kapittel V i GDPR, som i den reelle verden har lite substans.
Tråden er dessverre så tynn at den er tilnærmet usynlig. Den digitale infrastrukturen består av så mange lag og er så kompleks at det er urealistisk å etterleve disse kravene i den virkelige verden, så lenge ikke den teknologiske utviklingen, altså tråden det veves med, har tilstrekkelig kvalitet.
Vanskelig å etterprøve
Elektronisk behandling av data gjøres av prosessorer der de største produsentene, Intel og Ryzen, begge er private amerikanske selskaper som ikke deler detaljer om hvordan teknologien er designet. Prosessoren har direkte tilgang til datamaskinens minne og disker, der informasjonen som vi ønsker å beskytte, ligger.
For at prosessoren skal kunne behandle data slik vi ønsker, må den styres av et operativsystem. Også her er i praksis alle leverandører amerikanske, med Microsoft og Apple i spissen, som heller ikke har åpen kildekode.
Dermed er det vanskelig å etterprøve om de er tilliten verdig når de gjennom operativsystemet har direkte tilgang til alt som befinner seg i minne og disk og samtidig kan styre nettverkskortet, som kan videresende dette til hele verden.
Kryptering brukes i stort omfang for å «sikre» at brukeren får en «privat» kanal på internett, for eksempel mot nettbanken, men også her er i praksis alle sertifikatutstederne amerikanske selskaper, som dermed sitter på alle krypteringsnøklene.
Mer enn servernes fysiske lokasjon
Etter Schrems-dommene i EU har hovedfokuset vært på at serverens fysiske lokasjon, og de som har tilgang til serverne, må være lokalisert i EU eller gi tilstrekkelige garantier.
Det er her EU-keiserens nakenhet inntreffer. Keiseren har ønsket vakre klær, i form av et digitalisert samfunn med personvern, og hans betrodde embetsmenn har trodd på løgnen om at det er mulig å få til det ved å etablere et regelverk.
Problemet er at dette regelverket kun lar seg etterleve dersom EU selv hadde hatt teknologibedrifter som var på høyde med de amerikanske i hele verdikjeden, fra prosessor, via operativsystem og software til sertifikatutstedere og datasentre.
Først når dette er på plass er det en reell mulighet for å kunne gi borgerne de rettighetene de har gjennom konvensjonene. Det er en stor ydmykelse for EU å erkjenne denne nakenheten, så derfor velger de å fortsette å insistere på at lovverket kan gi borgerne et reelt vern.
I praksis tvinger de embetsverket til å gjenta narrativet om at klærne er de vakreste som noen gang har vært laget.
Behandlingsansvarlige i Europa bruker for tiden enorme ressurser på å vurdere og dokumentere om og hvordan vi kan fortsette å bruke hele eller deler av verdikjeden fra de amerikanske digitale tjenestene, som vi har gjort oss fullstendig avhengige av.
EU bør derfor umiddelbart erkjenne at vi er nakne. Nøden bør få EU til å rette fokuset mot å lære å spinne, altså bygge opp Europa som et teknologi-kontinent. Det vil ta noen år. Mens vi jobber med å ta igjen amerikanernes teknologiforsprang, er vi helt avhengige av å benytte deres teknologi, enten vi liker det eller ikke.
Lojalitets-skvis
Norge har vedtatt en ambisiøs læreplan, der digital kompetanse er en grunnleggende ferdighet og programmering inngår som kompetansemål på alle trinn. I tillegg har vi en nasjonal digitaliseringsstrategi for grunnopplæringen.
Dette er viktig, fordi våre barn må forstå og beherske teknologien for at de skal kunne leve med den og videreutvikle den i framtiden.
Derfor er det en uholdbar effekt av Schrems-dommene at de beste verktøyene til å lære våre barn denne kompetansen, blir lite tilgjengelige for elevene hvis leverandørens verdikjede har relasjoner til USA.
Et eksempel er Scratch, som er et av de beste verktøyene til å lære barn programmering. Scratch er utviklet av MIT, et av de viktigste teknologiuniversitetene, og dataene behandles i USA.
Skal vi la Schrems-dommene bremse kompetansebyggingen i påvente av at regelverket blir tilpasset virkeligheten, eller skal fokus flyttes til alle de andre delene av personopplysningsloven som sikrer et reelt godt personvern for de registrerte?
Utdanningssektoren står i en vanskelig lojalitetsskvis der de må balansere sitt primære samfunnsoppdrag, å gi elevene den best mulige opplæringen, mot det fargerike kapittel V i GDPR, som med sine finurlige mønstre og artikler prøver å beskytte personvernet mot etterretningen i land vi ikke har tillit til.
Selv ekspertgruppene i EU bruker år på å bestemme hvilke land som kan anses som trygge, og da har de ikke engang tatt stilling til konkrete teknologier eller leverandører. I dag har kommuner, fylkeskommuner og skoleeier for private skoler ansvaret for å vurdere hele den nevnte verdikjeden i hver enkelt applikasjon. Antall aktuelle applikasjoner er enormt og voksende.
For å kunne gi barna våre best mulig personvern, noe de har krav på, bør det innføres nasjonale eller europeiske ordninger for å gjøre disse vurderingene av ekspertgrupper med riktig kompetanse. Dette vil gi mye bedre personvern og samfunnsøkonomi enn hvis alle landets kommuner må gjøre dette hver for seg.
Schrems 2: Vi trenger kloke valg, ikke ytterligere tiltak