NRK har denne uken rapportert om et kritisk feilgrep fra Helse Sør Øst, som planlegger å lagre sensitive pasientdata i en amerikansk skyløsning. Og hvis du tror at dette høres ut som en skummel utvikling, har du helt rett!
Tilbake i 2013 ble Microsoft faktisk tvunget til å utlevere data som var lagret i Irland til amerikanske myndigheter. Saken ble prøvd i det amerikanske rettsvesenet og endte til slutt opp som en anke til amerikansk høyesterett, der både EU, Storbritannia, Irland og FN var blant de 289 som deltok som amicus curiae (en som har rett til å sende et skriv til retten for å forsvare allmenne interesser, uten selv å være part i saken).
Elektronisk Forpost Norge (EFN) var også med, fordi vi mente det var helt uakseptabelt at amerikanske myndigheter skulle kunne tvinge fram uthenting av data som ikke hadde noen relasjon til USA. Som vanlig glimret norske myndigheter med sitt fravær.
Schrems II
Dessverre ble saken avvist. Årsaken var at amerikanske myndigheter innførte CLOUD-act, som kort oppsummert sier at amerikanske myndigheter kan pålegge amerikanske selskaper å utlevere data som er lagret hvor som helst i verden. Vi sa allerede da ifra om at innføringen av CLOUD-act ville føre til at amerikanske selskaper ikke kunne behandle data for europeere.
I 2020 fikk vi rett, da Max Schrems, grunnleggeren av én av våre søsterorganisasjoner – NOYB, vant fram i en dom kalt Schrems II. Privacy Shield, som tillot utveksling av data mellom Europa og USA, ble kjent ugyldig.
I fjor signerte den amerikanske presidenten et såkalt presidentdekret, som er et forsøk på å si noe slikt som at selv om vi har lov til å hente ut data, så lover vi at vi skal ikke gjøre det. Det er vanskelig å feste for mye tiltro til dette. USA er et sterkt splittet land, og et presidentdekret trenger ikke overleve et valg. Vi er derfor ganske sikre på at en ny overføringsavtale basert på dette dekretet på nytt vil bli kjent ugyldig.
Nasjonal sikkerhet
Men la oss anta at en slik dataoverføring kan gjøres lovlig. Hva så med nasjonal sikkerhet? Tenk deg en finansminister med en form for nervesykdom, som han ikke har fortalt noen om. Dette er potensielt opplysninger av nasjonal interesse som vi ikke kan dele.
Vi vet allerede at USA ikke hadde noen problemer med å overvåke 122 statsledere, deriblant allierte. Vi kan vanskelig se for oss at en AP-ledet regjering vil anbefale alle statsråder å gå til private klinikker fordi man ikke kan risikere å dele potensielt sensitive helseopplysninger. Så som et minimum må alle opplysninger om personer med samfunnskritiske oppgaver lagres slik at de ikke kan være gjenstand for innsyn fra fremmed lands myndighet.
Så for å oppsummere: Vi tror dette er en særdeles dårlig løsning som både vil svekke vår nasjonale sikkerhet og sannsynligvis vil bli kjent ulovlig om kort tid. Det er på tide at våre ledere tar både personvern og nasjonal sikkerhet på alvor og ikke hodeløst deler våre sensitive data.
– Vår bransje er medskyldig