Annonse
Amerikanske selskap samler inn en mengde sensitiv informasjon fra sine brukere.
Amerikanske selskap samler inn en mengde sensitiv informasjon fra sine brukere. Lovforslaget som skal få amerikanerne til å følge europeisk lov slaktes av fagpersoner. Foto: NTB scanpix / Reuters

Nytt lovforslag om dataoverføring og personvern slaktes

Etter forhandlinger i Brussel denne uken kom partene fra USA og EU til enighet om et nytt lovforslag for å sikre flyten av dataoverføringer mellom kontinentene, samtidig som personvernet skal ivaretas. Også Norge omfattes av EUs lovgivning om dataoverføring og digitalt personvern.

Siden siste kvartal i 2015 har det vært opp til hver enkelt EU-nasjon og deres lovgivning å regulere datatrafikken, etter at den europeiske unions domstol skrotet det såkalte "safe harbor"-programmet fra 2000. Vrakingen av den gamle avtalen kom blant annet som følge av Edward Snowdens avsløringene om amerikansk masseovervåkning.

Snowden selv har uttrykt sin misnøye med den nye "US EU Privacy Shield"-avtalen, ved å linke til borger- og menneskerettsorganisasjonen European Digital Rights (EDRi), og deres kritiske omtale av avtalen på Twitter.

It's not a "Privacy Shield," it's an accountability shield. Never seen a policy agreement so universally criticized. https://t.co/VxXxxkIEPR

– Det har ikke vært lovløst, men det har heller ikke vært regulert, sier fagdirektør for digitale tjenester i Forbrukerrådet, Finn Myrstad.

Han forteller at en ny avtale har vært svært etterlengtet, men at enigheten som ble nådd i Brussel er langt fra god nok. Han har flere av verdens fremste eksperter på datasikkerhet på sin side. Myrstad er også medlem av Trans Atlantic Consumer Dialogue (TACP), som er en paraplyorganisasjon for en rekke store forburkerråd og mindre aktivistorganisasjoner fra Europa og USA.

Finn Myrstad, fagdirektør digitale tjenester i Forbrukerrådet er skeptisk til det nye lovforslaget.
Kjell Håkon Larsen

Finn Myrstad, fagdirektør digitale tjenester i Forbrukerrådet er skeptisk til det nye lovforslaget. FOTO: KJELL HÅKON LARSEN 

Allerede i 1999 gikk de ut og advarte mot dette rammeverket. Bakgrunnen for det var at myndighetene til å håndheve eurpeiske ledere er fullstendig overgitt til amerikanske myndigheter.

– Og inntrykket etter den nye avtalen er det samme, at europeisk side har resignert?

– Ja, det er helt riktig. Europeiske datatilsyn har ikke mulighet til å gå til sak mot amerikanske selskaper slik rammeverket er i dag. Forbrukere har ikke muligheten til å klage saken sin inn til for eksempel Datatilsynet i Norge - da må de bare si "beklager, dette har vi ikke myndighet til å gjøre, du må gå til amerikanske myndigheter." (...) Det er viktig med et strengere rammeverk. Og håndhevinga på amerikansk side har vært en spøk, nesten ikke-eksisterende.

– Ingen juridisk garanti

Den nye avtalen ble halt i land på overtid, 2. februar. Den opprinnelige fristen for forhandlerne var 1. februar.

Mye kan tyde på at lovforslaget som nå skal behandles politisk er en nødløsning, og at de europeiske forhandlerne har resignert fra sitt prinispielle standpunkt, som var å stå bak EU-domstolens kjennelse fra 2015.

Etter en foreløpig vurdering av avtalen, konkluderte den østerikske juristen og internettaktivisten Max Schrems på følgende vis:

 Det ser ut som EU har prøvd å få så så mye som mulig. Dette er også første gang vi ser litt bevegelse på amerikansk side, etter alle brev og anrop fra europeiske politikere som ble så godt som ignorert. (...) Kun dømt ut ifra 'overskriftene' vi kjenner så langt, er jeg ikke sikker på at dette systemet vil stå testen foran domstolen. Det vil åpenbart være folk som vil utfordre dette - og, avhengig av den ferdige utformingen, er det godt mulig at jeg blir en av dem.

Selv-sertifisering og regulering

Han påpeker blant annet så godt som fraværende regulering av innsamling og bruk av personsensitiv informasjon i USA.

– Med all respekt, men et par brev fra en avtroppende Obama-administrasjon er på ingen måte et juridisk grunnlag som garanterer de fundamentale rettighetene til 500 millioner europeiske brukere på sikt, når det er tydelige amerikanske lover som tillater masseovervåkning.

Max Schrems (t.v.) er svært kritisk til den nye avtalen.
NTB scanpix / AFP

Max Schrems (t.v.) er svært kritisk til den nye avtalen. Foto: NTB Scanpix

Den storstilte innsamlingen av sensitiv data i USA er godt kjent, men europeiske aktører kan gjøre lite med det. De seneste åra har blant annet Frankrike saksøkt Google, men dette stryker såvidt overflaten, mener Myrstad i Forbrukerrådet.

– Vi har sett en form for aktivisme hos de europeiske datatilsyna de siste fire-fem åra. Det nederlandske og franske datatilsynet har kjørt rettsak mot Facebook og Google. Så man har sett en form for aktivisme for å tvinge de store selskapene til å følge europeisk lov, sier Myrstad, og legger til:

– Men det er bare toppen av isberget. Det er jo veldig mange selskaper som mottar veldig mye personlig informasjon, og hadde de vært i Norge hadde de aldri kunne fungert.

I USA er det selv-sertifisering av selskapene, når det gjelder innhenting av data. Det betyr at selskaper kan sette seg opp på en liste, og hvis de er på lista kan de hente data i Europa.

– Men det er egentlig bare en erklæring: "vi følger europeisk lov". Det har ikke vært noen kontrollmekanismer for å sjekke om det faktisk skjedde.

I følge den nye avtalen skal det opprettes en egen ombudsmann i det amerikanske utenriksdepartementet, som skal ta seg av klager og forespørsler fra EUs organer for datasikkerhet. Dette er kun et av mange elementer europeiske datatilsyn og aktivistgrupper ikke tror vil fungere.

Blant dem er administrerende direktør i EDRi, Joe McNamee:

– Keiseren prøver på nye klær. Dagens (tirsdag 2. februar, journ. anm.) kunngjøring betyr at europeiske borgere og selskap på begge sider av atlanteren står foran en utvidet periode med usikkerhet, mens de venter på at denne midlertidige løsningen feiler, slår han fast.

Annonse
Annonse