Ordningen som har lagt til rette for dataoverføring til USA siden 2000 kan ikke lenger brukes. Dette kan hindre norsk næringsliv å benytte sikre og effektive skytjenester.
Østerrikeren Max Schrems gikk til sak for å forby at Facebook Irland skulle kunne overføre hans personlige data til USA. Overføringene var basert på at selskapet var Safe Harbor-sertifisert. Schrems ønsket ikke at hans persondata skulle være eksponert for amerikansk etterretning.
Problemene med Safe Harbor avtalen var at den ikke åpnet for å saksøke en Safe Harbor sertifisert tjeneste dersom den brøt med personvernkravene. I tillegg er personvernkriteriene svakere for Safe Harbour enn hva det europeiske lovverket krever. Dette kunne til og med være konkurransevridende fordi europeiske tjenester måtte forholde seg til et mer krevende europeisk personvernlovverk.
Så spørsmålet mange stiller seg nå er hva skal norske bedrifter gjøre? Den opplagte muligheten er å benytte lagring i EØS land. Det kan nok likevel være enklere sagt enn gjort. I mange tilfeller er kostnadene høyere, og det kan medføre store byttekostnader. Mange av tjenesteleverandørene som virksomheten trenger er gjerne også amerikanske. Et annet alternativ er å be om samtykke fra de personene som man skal lagre dataene til. Dette må i så tilfelle gjøres for alle som har personopplysninger lagret. Dette kan fort bli en omfattende øvelse. Et tredje alternativ er å bruke EU sin standardavtale. Det å lage en slik avtale riktig er svært krevende. Hver avtale må også sendes inn til eller godkjennes av Datatilsynet.
NorSIS er en organisasjon som gir råd om sikkerhet. Når vi ser at rådene blir så krevende at virksomhetene ikke klarer å gjennomføre de, så reager de enten ved å ignorere pålegget eller ved å omgå det. Begge deler er uheldig for personvernet og bedriftens evne til å motstå cybertrusler. Kostnadene blir også større.
Vi kan ikke forvente at små og mellomstore virksomheter i Norge skal besitte den kompetansen som kreves for gjøre dette på god og sikker måte.
Nå må myndighetene komme frem til en ny ordning som gjør at norske bedrifter kan benytte seg av skytjenester uten at de må være drevne jurister. Dette må gjøres på en slik måte at personvernet ivaretas, og virksomhetene må kunne stole på at tjenesten de benytter er sertifisert for å håndtere opplysningene på lovlig vis. Vi imøteser snarest et ”Safe Harbor 2” som er oppgradert slik at det ivaretar personvernet , og lar norske virksomheter benytte effektive og sikre skytjenester –og det haster.