Ingen «trygg havn» - hva så?

Det slo ned som en bombe da EUs rettssystem tidligere i høst bestemte at Safe Harbour-avtalen mellom EU og USA ikke lenger var gyldig. Denne avtalen dannet grunnlaget for at amerikanske nettjenester kunne lagre og behandle persondata for sine europeiske kunder, på en måte som er i henhold til EU/EØS-lovgivningen på området.

Dette avtaleverket kjente altså EU-domstolen ugyldig, og fra samme stund ble det ulovlig å overføre persondata fra EU/EØS-området til USA under avtaler som er basert på Safe Harbour-avtalen.

Det er lett å tro at dette betyr kroken på døra for at mange amerikanske nettjenester kan ha europeiske kunder. En katastrofe for amerikanerne, og en tilsvarende gullkantet mulighet for europeiske tilbydere av skytjenester? Slett ikke, viser det seg.

110 norske Safe Harbour-brukere

For ikke lenge siden kunngjorde Datatilsynet at de ville sende ut et brev til 110 norske virksomheter som overfører personopplysninger til USA, under kontrakter regulert av Safe Harbour-avtalen. Denne utsendelsen gikk til alle virksomheter som de siste tre årene har meldt inn til Datatilsynet at de eksporterer data på disse vilkårene.

Computerworld har fått en kopi av denne listen, og kan ved selvsyn fastslå at den i all hovedsak består av norske filialer av internasjonale selskap. I tillegg finner vi noen svært få helnorske virksomheter, og etpar norske utdanningsinstitusjoner.

Med tanke på det vi vet om norske skytjenestebrukere de siste årene, er det noen aktører som tilsynelatende glimrer med sitt fravær: Hvor er kommunene? I særdeleshet, hvor er Moss og Narvik kommune, de som var først ute med å ta i bruk skytjenestene til henholdsvis Microsoft og Google i offentlig forvaltning? Vi ringte Per Jakobsen, it-sjef i Narvik kommune, for å høre om hvordan hans bruk av internasjonale skytjenester har endret seg etter Safe Harbour-kjennelsen:

- Vi har ikke fått noen brev fra Datatilsynet i denne sammenhengen, svarer Jakobsen. Ikke har han gjort noen endringer i it-driften sin heller.

EU model clauses

- Heldigvis finnes det flere mekanismer enn Safe Harbour. EU har utviklet «model clauses», og Google har noe de kaller «data processing amendments» i tillegg. Dette er kontraktsvilkår som er en tilnærming til Model clauses. I sin helhet er dette en tilpasning til kravene EU har satt, uavhengig av Safe Harbour, forklarer Jakobsen.

- Dette betyr at vi reguleres gjennom et annet avtaleverk, og har ikke hatt noe avhengighetsforhold til Safe Harbour-avtalen, legger han til.

Så telegramversjonen av dette, er altså at Narvik kommune ikke har gjort noe som helst etter Safe Harbour-kjennelsen?

- Det er riktig, svarer Jakobsen.

Dette er heller ingen ny avtale som Narvik kommune har tegnet med Google, så den har ingen ting med den nyeste EU-kjennelsen å gjøre. Jakobsen mener å huske at avtalen de har med Google nå, kom i 2013, over et år etter at Datatilsynet krevde at Narvik kommune ikke skulle bruke Google Apps, på grunn av problemene med personvern. Jakobsen mener også at denne avtalen ikke er unik for Narvik kommune:

- Dette tror jeg Google tilbyr til alle kunder. Alle Google Apps-kunder kan velge selv om de vil tilslutte seg dette eller ikke. Safe Harbour har vært der helt fra begynnelsen av, som et tillegg, men vi har ikke vært avhengig av det, sier han.

I tillegg viser et raskt søk på Microsofts nettsider om sine skytjenester at også Microsoft tilbyr kontrakter som er basert på EU model clauses i stedet for Safe Harbour.

Ingen nyhet

EU model clauses, EUs modellavtaler eller standardkontrakter, er ingen nyhet. Selve Safe Harbour-avtalen ble inngått i 2000, etter at EU hadde vedtatt et databeskyttelsesdirektiv tilbake i 1995. Allerede i 2001 kom den første standardavtalen om dataoverføring ut fra EU/EØS-området. Et alternativ til denne avtalen ble så publisert i 2004, og det er disse to kontraktformularene som utgjør EU model clauses idag.

Datatilsynet har naturligvis masser av informasjon om emnet, og det finnes mange og gode forklaringer på hvordan en virksomhet skal forholde seg nå. Datatilsynet har også publisert både dansk- og engelskspråklige utgaver av EUs standardkontrakter, på sine nettsider. Disse finner du om du søker på «overføring av personopplysninger til utlandet» på tilsynets hjemmeside.