Motvirker Schrems II sin hensikt?
Personvern er viktig. Vi ser at personvernet og individets rettigheter er under press, og et godt personvern er et viktig virkemiddel om vi ønsker å ivareta vårt demokratiske styresett.
Maximilian Schrems er personvernets rockestjerne, og hans kamp for dine og mine rettigheter er av uvurderlig betydning. En av fruktene av hans innsats er de to dommene I EU Domstolen, Schrems I og Schrems II.
I et personvernperspektiv skiller man i liten grad på hvorfor opplysninger er lekket ut, men på konsekvensen.
Skal man ivareta personvernet etter personvern-lovgivingen og forskriften, så er det et par klare plikter man har. Det viktigste man gjør er en risikovurdering, og i noen tilfelle en full personvernkonsekvensanalyse. Enkelt sagt, risiko kan defineres slik: sannsynligheten for en uønsket hendelse veid opp mot personvernkonsekvensen. Personvernkonsekvensanalyse er en vurdering av antall registrerte, sensitiveten av opplysningene som behandles og konsekvensen for den enkelte.
I et personvernperspektiv skiller man i liten grad på hvorfor opplysninger er lekket ut, men på konsekvensen. Schrems II har generert en enorm fokus på spesielt amerikanske myndigheters teoretiske mulighet for å tilrane seg eller å tvinge ansatte hos de amerikanske skyleverandørene til å hacke sin egen sky, for å hente ut data. En risiko som ofte framstår som uproporsjonal. Dette spesielt i lys av infrastrukturtjenester, fra en av de store skyleverandørene som Azure, Oracle eller AWS. Det brukes enorme summer i vurdering av dette, gjerne i form av kostbar juridisk bistand.
Denne problemstillingen blir ofte festbremsen for utrulling av nye digitale tjenester. Paradokset er at vurderingen av egne ansatte, egen tilgangskontroll, oppsett av sky fra organisasjonens ståsted, ofte tillegges for liten vekt. Dette samtidig som tilliten til egne ressurser og kompetanse er høy. Det er allment kjent at lekkasjer av personopplysninger, ved bruk av en av de store skyleverandørene, nettopp er på kundesiden. Et annet paradoks er at ved å flytte til sky, bedres sikkerhetsnivået for de aller fleste organisasjoner, sammenliknet med eget datasenter. AWS, Azure, Oracle med flere investerer betydelig i sikkerhet, de er avhengige av markedets tilitt. Misbrukes denne, er de fort dalende stjerner.
Man har selvsagt rett og plikt til å gjøre en grundig evaluering av skyleverandøren sin, men det er noe ubalansert og til dels ensidig fokus på Schrems II. Dette har en tendens til å ta fokus og ressurser fra de områdene som har størst effekt på å få et godt innebygd personvern. Sannsynligheten for at russere forkledd som brasilianere har for vide rettigheter i mange norske datasystemer er nok dessverre for stor. Behandling av personopplysninger i en eller annen variant vil alltid medføre risiko, og oppgaven er å balansere den risikoen, og sette inn passende tiltak der risikoen er størst.
Personvern er ikke sikkerhet, men godt personvern fordrer god sikkerhet. Det er en kontinuerlig forbedringsprosess, hvor risiko, prioriteringer og vurderinger må dokumenteres og følges opp.
