Er våre data trygge hos amerikanske tech-giganter?

Mange selskaper har allerede lagt store deler av driften sin til aktører som Microsoft og Google. Det betyr at alt fra kundedata og interne dokumenter til e-poster og samarbeidsverktøy lagres og behandles i leverandørenes datasentre, ofte utenfor Norges grenser. 

Når dataene ikke lenger ligger på egne servere, blir både rettigheter, ansvar og sikkerhet mer komplisert å avklare. Parallelt med denne utviklingen vokser de juridiske dilemmaene, særlig knyttet til de mange nye EU-reglene og usikkerheten rundt hvordan de skal forstås og etterleves.

– Trump vant valget og sikkerhetseksperter advarer nå mot å bruke amerikanske teknologigiganter. Hva gjør vi nå? Har vi gode europeiske alternativer, eller skal vi bare håpe på at dette går bra?

Dette spørsmålet stilte administrerende direktør i SpareBank 1 Utvikling, Espen Kjølberg, til paneldeltakerne i debatten «I lomma på amerikanske tech-selskaper: Er det et problem?», under Arendalsuka.

Må skille mellom dataene

Partner og leder for avdelingen for teknologi og digitalisering i Thommessen, Espen Werring, trakk linjene mellom de regulatoriske kravene, de praktiske utfordringene og det han mener er kjernepunktet; å håndtere risiko differensiert og risikobasert, fremfor å behandle skyen som et spørsmål om «alt eller ingenting».

– Det er ikke svart-hvitt. Man må være spisset og målrettet i bruken av skytjenester. På noen områder kan mindre sensitive data ligge trygt i skyen, mens andre tilfeller krever en langt mer forsiktig tilnærming.

– Derfor er man nødt til å analysere hvordan tjenestene er bygget opp, og hvem som faktisk kan få tilgang. Hvis vurderingen tilsier at det ikke holder, bør man skille ut disse dataene og finne en annen løsning, sa han.

Til syvende og sist har USA tilgang

Werring trakk frem at dagens rammeverk for overføring av data mellom EU og USA bygger på selvsertifisering, der amerikanske selskaper forplikter seg til å følge visse krav.

Tidligere har to slike rammeverk, Safe Harbor og Privacy Shield, blitt underkjent av EU-domstolen i de såkalte Schrems-dommene. 

Begrunnelsen var at amerikanske etterretningsmyndigheter har svært vide fullmakter til innsyn, uten at europeiske borgere har samme rettigheter og klagemuligheter. Dermed ble beskyttelsen av persondata vurdert som utilstrekkelig.

Nå er en tredje versjon i kraft, EU-US Data Privacy Framework, men også denne møter skepsis. 

– Sannsynligheten for at også den tredje versjonen blir underkjent, er absolutt til stede. Ettersom amerikanske myndigheter gjennom rammeverket i siste instans kan få tilgang til dataene, er det ikke utenkelig at EU-domstolen også vil underkjenne denne ordningen hvis de får spørsmålet på sitt bord, sa Werring.

For omfattende til å ha full oversikt

For de fleste virksomheter er det nærmest umulig å ha full oversikt over de stadig mer omfattende og komplekse EU-reglene, mener han.

– Regelverkene fra EU er ekstremt omfattende, og det finnes lite praksis å støtte seg på. Når man skal tolke bestemmelser og gjøre konkrete subsumsjoner, blir det derfor krevende. Virksomheter bør ha en risikobasert tilnærming, og identifisere hvilke områder som er viktigst å prioritere.

– Regel­etterlevelse er viktig, men enda viktigere er forretningskontinuitet og omdømmerisiko. Det er der konsekvensene virkelig merkes. Likevel er det slik at hvis man etterlever reglene, vil man stort sett også sikre forretningskontinuitet og redusere omdømmerisiko. Disse tingene går hånd i hånd, understreket Werring.

Et samarbeid bygget på tillit

Til tross for et stort omfang av regler som kan virke overveldende, advarte Thommessen-partneren mot «regelfatigue» – at virksomheter rett og slett gir opp å følge med fordi materialet er så massivt.

– Advokatenes rolle er å forenkle og forklare hva reglene innebærer, slik at klientene kan gjøre de tingene de må gjøre – uten å miste oversikten. Det er krevende, men helt nødvendig.

I panelet var også statssekretær Gunn Karin Gjul (Ap), som rettet oppmerksomheten mot de sikkerhetspolitiske konsekvensene av avhengigheten til amerikanske teknologigiganter.

– Ingen er uenige i at vi er for avhengige av amerikanske teknologiselskaper, men er det trygt? Spør du forsvarssjefen, er svaret ja. USA er vår nærmeste allierte, og vi deler all sikkerhetspolitisk informasjon med amerikanske myndigheter. Fra det ståstedet er de en nær samarbeidspartner, sa hun.

Regulering vil hindre amerikansk monopol

Ifølge Gjul utgjør det uforutsigbare politiske klimaet i USA et stort problem, både for næringslivet og fordi Norge har gjort seg avhengig av amerikanske teknologiselskaper. Hun understreket derfor at offentlige etater må gjøre grundige risikovurderinger og vurdere alternativer dersom risikoen blir for høy.

Samtidig forsvarte hun bølgen av EU-reguleringer.

– Det er vår rolle å være offensive på regulering. Noen er negative og mener at vi i Europa regulerer på en måte som stanser næringsutvikling og innovasjon, i motsetning til USA og Kina. Jeg mener derimot at regulering, slik som Digital Markets Act, er svært viktig for å sikre at markedet ikke blir kjørt over av de største aktørene.

– De store teknologiselskapene fungerer som portvoktere både når det gjelder demokratiske spørsmål, som sosiale medier, og fordi de har markedsplasser hvor de fremmer egne økonomiske interesser. Derfor er det viktig å få på plass regulering som hindrer at de misbruker fortrinnene sine og bygger monopoler.

Microsoft: Ingen utlevering av offentlige kundedata

David Hansen, leder for Microsofts enhet for storkunder i offentlig sektor, ønsket å nyansere bildet, og pekte på Norges innflytelse i de store amerikanske selskapene.

– Alle ser hvor de største selskapene har sitt hovedsete – det er USA. Likevel må man ikke glemme at det er et informasjonshegemoni som har opprettholdt den vestlige allianse i verden, siden andre verdenskrig. Alt dette har aldri USA klart å skape alene, sa Hansen.

Han beskriver sky-teknologi som det mest avanserte uttrykket for denne ideen – å være best på å håndtere informasjon for å treffe beslutninger, fra militære strategier til daglig forretningsdrift. Norge er, ifølge Hansen, helt sentrale i dette samspillet.

– I Norge i dag jobber det over 750 mennesker i Microsoft, og knapt to hundre er selgere. Alle andre er ansatt i Microsofts verdensomspennende ingeniørorganisasjon som lager de tjenestene innen KI som vi alle bruker, sa han.

Når det gjelder risikoen for at data kan komme i amerikanske myndigheters hender, svarte Hansen at selskapet har organisert seg slik at dette ikke er mulig for offentlige kunder i Europa.

– Vi garanterer og har aldri opplevd at vi har måttet utlevere virksomhetsdata fra europeiske kunder i offentlig sektor. Vi har dokumentert selv at vi har gjort det for virksomheter i privat sektor, fordi det har vært rettslig grunnlag for det, sa Hansen, og viste til et eksempel hvor Microsoft avslørte ulovlig våpeneksport i et selskap som var registrert innen landbruksvirksomhet.