FØLG MED: Etter Safe Harbour gjelder det andre regler for virksomheters data, og nye regler følger.

FØLG MED: Simen Sommerfelt og Eva Jarbekk sier at etter Safe Harbour gjelder det andre regler for virksomheters data, og nye regler følger. (Foto: Toralv Østvang)

– Vokt personvernet

Du må vite hvor dine data befinner seg, og du må spesielt vite hvor sensitive data er lagret. Heretter må du dokumentere det.

Eva Jarbekk, partner i advokatfirmaet Føyen Torkildsen og Simen Sommerfeldt, rådgiver og teknologisjef hos Bouvet i Oslo, reagerte på forrige ukes oppslag i Computerworld. De synes ikke vi fikk frem hva EU-dommen om Safe Harbour medfører. De to jobber blant annet med personvern og sikkerhet hos kunder.

– Når det gjelder Safe Harbour er det mange som ikke skjønner hva som skjer. At Safe Harbour ikke gjelder lenger, er en påminnelse om hva som vil skje fremover med personvernet, mener de.

Simen Sommerfeldt hevder i en presentasjon at "om 1½ år vet du mer enn meg". Med det mener han å si at det er omfattende endringer på gang når det gjelder personvern og informasjonsteknologi, som ikke er klart definerte ennå, og at veldig mange profesjoner innen IT må sette seg inn idet.

Jarbekk og Sommerfeldt viser til Eirik Newth som sier at politikken strever med å ta igjen teknologien.

Mye bedre kontroll

– Innen 2018 må alle som håndterer personsensitive data ha en mye bedre kontroll over opplysningene enn i dag, sier Jarbekk. Og legger til at de færreste virksomheter har forstått hva dette betyr. Det var med Snowden-saken det viste seg hvor mye EU er på etterskudd.

– Det er av økonomiske grunner helt essensielt for bedrifter å overholde personvernet fremover og sikre at data ikke kommer i feil hender. Du risikerer enorme bøter. Heldigvis er det en massiv oppmerksomhet på dette i Europa nå, sier Jarbekk.

– Regelverket vil bli tre ganger så stort som dagens og det er ikke spesielt lesevennlig. Datatilsynet vil få stor makt, mye større enn i dag. Dette betyr mye større forpliktelse også hos dataleverandørene. Datasentre vil også måtte vise en helt annen kontroll over data enn i dag seg. Dette vil også prege nye offentlige anbudsregler, hvor personvernet og måten det håndteres på vil bli tillagt stor vekt. "Privacy by design", fortsetter hun.

Kort tid igjen

– Vi har kort tid på oss frem til 2018. Dette er disruptivt, altså banebrytende for skyen. Vi kan oppleve at skymarkedet i en periode blir delt i to. Den ene er USA-basert, den andre europeisk. Bruker du kun norske skytjenester som ikke har utenlandske underleverandører er det ok, sier Sommerfeldt.

– At det er blitt vanskeligere å ha persondata i USA gir forretningsmuligheter for norske og europeiske leverandører. Det er viktig å forstå at det ikke bare er data i seg selv som må sikres mot overføring til USA. Du kan heller ikke benytte driftspersonell stasjonert i USA, de må være lokalisert i Europa, sier Jarbekk.

– Safe Harbour er død. Det jobbes med et Safe Harbour 2.0, men vi vet ikke hvor lang tid det vil ta og om innholdet vil være godt nok for EU. Mye av problemet er at NSA kopierer så mye informasjon og at, og det finnes ikke rett til innsyn for Europa i USA.

– Obama jobber hardt for en ny lov som skal være akseptabel for Europa, men han har kort frist til januar 2016. Det er mye usikkerhet. Frem til da kan europeiske bedrifter benytte seg av modellavtaler, men disse må undertegnes av både kunde og leverandør. Når leverandøren bruker underleverandører, er det spesielle avtalemekanismer som må til for at det skal være lovlig å bruke dem, mye avhengig av om leverandøren er lokalisert i eller utenfor EU. Alle virksomheter må vite fra hvilke land deres personopplysninger kan aksesseres, fortsetter Jarbekk.

Kan ikke endres

– Modellavtalene må sendes inn til Datatilsynet i signert stand og kan ikke endres. Dersom de endres må hele avtalen rett og slett godkjennes hos Datatilsynet, noe som vil ta mye lengre tid. Dette er ikke alltid veldig praktisk, selv om det er godt personvern, mener Jarbekk.

– Et poeng når det gjelder modellavtaler, så er det slik at om de omfatter sensitive data om personer, så må du varsle de registrerte om at denne modellavtalen er i bruk og at opplysningene er i utlandet. Det er ikke alle som liker dette. Særlig ser vi at brukerne, kundene, er opptatt av dette.

– Jeg tør ikke tenke sky som for et halvt år siden. Det er viktig å håndtere jussen, og får du ikke eventuelle avtaler godkjent, så er du i trøbbel. CISA i USA gjør at myndigheter der skal ha tilgang til alle data. Amerikanske bedrifter sliter allerede med troverdighet, og dette gjør det ikke bedre, sier Sommerfeldt. 

– Blant annet vil det være problematisk om et system tillater pålogging til en server i Norge fra USA. Så personvern og sikkerhet bør gå fra å være et teknologisk tema til å bli et forretningsmessig tema i de fleste bedrifter nå. Leverandører må være sikret, og det er ditt ansvar, mener han.

Du må ha overblikk

– Norske leverandører med underleverandører i USA kan ikke godkjenne disse på vegne av den enkelte kunde. Det må være fullmakter på plass og dette kan bli omfattende dersom det er flere ledd med underleverandører. I dag er det dessverre slik at mange ikke har kontroll over hvilke underleverandører som har tilgang til opplysningene. Det er ikke få virksomheter som jobber intenst med å skaffe seg overblikk over dette nå. Det er en god forberedelse på hva man uansett må gjøre når det nye regelverket kommer, sier Jarbekk.

– Sikkerhet og personvern har alltid vært elefanten i rommet. Spør du i en forsamling it-ansvarlige om bedriften følger alle lover og regler og er hundre prosent sikret, får du få hender i været. Du må bruke metoder som ligner dem du finner i ISO 27000, sier Sommerfeldt. Og legger til: Jeg vil si dette er Y2K om igjen.

– Det er imidlertid ikke sikkert at bedriften håndterer personvern på riktig måte selv om den er ISO-sertifisert. Dette er det mange som misforstår, legger Jarbekk til.

– Det finnes amerikanske leverandører som er greie å bruke. Det gjelder størrelser som Microsoft og Amazon. De som er store nok håndterer dette, blant annet ved å være etablert i Europa. Det er de mindre amerikanske leverandørene med gode produkter jeg er redd for, sier Jarbekk. 

Problemer for de mindre

– Vi har allerede situasjoner der norske tjenesteleverandører ikke kan benytte mindre amerikanske selskaper fordi de ikke har europeisk tilstedeværelse og ikke klarer å akseptere modellavtalens vilkår. Kundene har et helt annet fokus på dette nå og mange tjenesteleverandører er i en skvis. For dem er det på ingen måte "business as usual" nå.

– Det er en bestemmelse i EUs modellavtaler at det ikke skal være dårligere personvern for europeiske data i USA enn i EU. Det tyske datatilsynet er forberedt på å stanse all datatrafikk fra Tyskland til USA. De glemmer visst ikke at amerikanerne avlyttet statsminister Merkels mobiltelefon. For norske virksomheter som har aktivitet i Tyskland, og det er ganske mange, er ikke dette bare en norsk problemstilling lenger, den er blitt europeisk, mener Jarbekk.

– Gråter dere ikke for deres syke mor nå og vil ha flere konsulentoppdrag?

– Egentlig er det en litt ubehagelig jobb å informere om dette: Litt á la "Nå må du drikke tranen din" Men skulle vi sikte mot å bruke saken til å selge ekstra konsulenttimer, ville det jo være veldig kortsiktig og lett å avsløre. Dette handler om å unngå å gjøre jobben to ganger. For starter man prosjekter nå og IKKE tenker på dette, må mye gjøres om igjen, svarer Sommerfeldt.

– Vi må jo si fra at når leverandører av tjenester ikke kan bruke underleverandører i USA sånn uten videre, så er det jo en skikkelig "pain-der-du-vet" for kundene og det er ingen tjent med. Mange tenker at dette bare handler om hvor serverne er plassert. Det er ikke så enkelt. De samme reglene får anvendelse hvis f eks servicepersonell stasjonert i USA har tilgang til data på europeiske servere. Det gjør at reglene får mye større nedslagsfelt, avslutter Jarbekk.