EU–USA Data Privacy Framework (TADPF) trådte i kraft 10. juli 2023, da EU-kommisjonen vedtok Implementing Decision (EU) 2023/1795. TADPF skulle gi et rettslig grunnlag for transatlantiske dataoverføringer, slik at europeiske selskaper trygt kunne benytte skytjenester fra amerikanske leverandører sertifisert under det nye rammeverket.

Nå står imidlertid TADPF i fare.

For bare et par uker siden sparket Trump-administrasjonen tre medlemmer fra Privacy and Civil Liberties Oversight Board (PCLOB) – organet som skulle overvåke at amerikanske myndigheter faktisk respekterer personvernforpliktelsene i TADPF. Denne politiske innblandingen svekker rammeverkets troverdighet og øker risikoen for at EU-domstolen nok en gang vil underkjenne avtalen.

Dette setter norske og europeiske virksomheter i en vanskelig situasjon.

Mange virksomheter tror de er trygge så lenge dataene lagres fysisk i Europa. Men er det virkelig så enkelt?

Flere av de største skytjenestene, som AWS, Microsoft Azure og Google Cloud, har europeiske datasentre. Problemet? De er likevel underlagt amerikansk lovgivning, noe som betyr at de kan bli tvunget til å utlevere data til amerikanske myndigheter – selv om serverne fysisk står i EU.

Lovene som skaper bekymring:

• Section 702 gir amerikanske etterretningsorganisasjoner mulighet til å innhente data fra amerikanske selskaper, uansett hvor i verden dataene befinner seg
• Executive Order (EO) 12333 åpner for omfattende overvåking utenfor USA, ofte uten krav om rettslig godkjenning

Med andre ord: Den fysiske plasseringen av serveren spiller liten rolle hvis selskapet som eier den, er underlagt amerikansk lovgivning.

Vi er avhengige av de store amerikanske skyleverandørene, siden de har en kapasitet som få andre i verden kan matche.

Ende-til-ende-kryptering kan være en del av løsningen, da kun avsender og mottaker har nøklene, og leverandøren dermed ikke kan dekryptere dataene. Pseudonymisering av data og begrenset bruk av personopplysninger bør være prioritert. Gir disse tiltakene god nok sikkerhet?

Det blir spennende å se hva norske bedrifter velger å gjøre framover, og hvilke anbefalinger Datatilsynet vil komme med.