EU–USA Data Privacy Framework (TADPF) trådte i kraft 10. juli 2023, da EU-kommisjonen vedtok Implementing Decision (EU) 2023/1795. TADPF er ment å etablere et rettslig grunnlag for transatlantiske dataoverføringer, slik at europeiske selskaper på en sikker måte kan benytte skytjenester fra amerikanske leverandører som er sertifisert under det nye rammeverket.
Det er imidlertid knyttet usikkerhet til TADPFs fremtid.
Nylig fjernet Trump-administrasjonen tre medlemmer fra Privacy and Civil Liberties Oversight Board (PCLOB) – et organ som har som oppgave å overvåke amerikanske myndigheters overholdelse av personvernforpliktelsene i TADPF. Denne politiske innblandingen kan svekke rammeverkets troverdighet og øke risikoen for at EU-domstolen igjen vil underkjenne avtalen.
Dette setter norske og europeiske virksomheter i en krevende situasjon.
Mange virksomheter antar at de er tilstrekkelig beskyttet så lenge dataene lagres fysisk i Europa. Spørsmålet er om situasjonen er så enkel.
Flere av de største skytjenestene, som AWS, Microsoft Azure og Google Cloud, har datasentre lokalisert i Europa. Utfordringen er at disse likevel er underlagt amerikansk lovgivning, noe som potensielt betyr at de kan bli tvunget til å utlevere data til amerikanske myndigheter – selv om serverne fysisk befinner seg i EU.
Lover som skaper bekymring:
- Section 702 gir amerikanske etterretningsorganisasjoner mulighet til å innhente data fra amerikanske selskaper, uavhengig av hvor i verden dataene er lokalisert.
- Executive Order (EO) 12333 åpner for omfattende overvåking utenfor USA, ofte uten krav om rettslig godkjenning.
Med andre ord: Den fysiske plasseringen av serveren er av mindre betydning dersom selskapet som eier den, er underlagt amerikansk lovgivning.
Mange er avhengige av de store amerikanske skyleverandørene, da de tilbyr en kapasitet som få andre i verden kan matche.
Ende-til-ende-kryptering kan være en del av løsningen, ettersom kun avsender og mottaker har tilgang til nøklene, og leverandøren dermed ikke kan dekryptere dataene. Pseudonymisering av data og begrenset bruk av personopplysninger bør også prioriteres. Spørsmålet er om disse tiltakene gir tilstrekkelig sikkerhet.
Det blir interessant å følge med på hvilke valg norske bedrifter tar fremover, og hvilke anbefalinger Datatilsynet vil gi.