I skyggen av Schrems

Konsekvensene av Schrems 2-dommen kan oppleves frustrerende og komplekse, men de juridiske, kontraktuelle og organisatoriske konsekvensene av Schrems 2-dommen vil forhåpentligvis gi bedre vern av personopplysninger.

Dommen vil uten tvil få langsiktige politiske og rettslige virkninger, i tillegg til muligheter for økt konkurranse fra Europeiske leverandører.

Hva er det som nå gjemmer seg «i skyggen av Schrems»?

Det siste året har det vært et ekstremt fokus på overføringer av personopplysninger ut av EU/EØS. Fokuset har vært rettet mot tredjelands personvernlovgivning og myndigheters mulighet for overvåkning og tilgang til personopplysninger. Ikke-europeiske leverandører har mistet eksisterende og potensielle kunder, utelukkende basert på landet de er lokalisert i, eller hvor deres eierselskap er hjemmehørende.

Leverandørene som kundene nå har vendt ryggen mot var kanskje de leverandørene som både kunne by på det beste produktet og i tillegg hadde den beste sikkerheten. Sikkerhet vil i denne forbindelse være forhold som kryptering, pseudonymisering, evne til å sikre konfidensialitet, integritet og tilgjengelighet, hindre utilsiktet eller ulovlig tap av data osv.

I skyggen av Schrems frykter vi at det nå gjemmer seg et glemt fokus på slike forhold ved valg og bruk av IT-leverandører.

Schrems II-dommen har trolig innskrenket myndigheters tilgang til personopplysninger. Dette kan likevel være en mager trøst dersom det samtidig medfører at kundene velger leverandører i EU uten å være tilstrekkelig oppmerksomme på om disse kan levere det samme nivået knyttet til sikkerhet og andre relevante forhold i en risikovurdering. Selv om det er liten tvil om at myndigheters uproporsjonale innhenting og bruk av personopplysninger har en negativ konsekvens for personvernvernet, så kan det være like negativt, eller verre, dersom personopplysninger kommer på avveie og i hendene på kriminelle gjennom hacking av leverandører med for svak sikkerhet.

Vi tror og håper at ingen ukritisk velger leverandører uten nødvendig sikkerhet. Når antallet leverandører som kan velges blir redusert, tid og ressurser går med til «Schrems-vurderinger» og nye IT-løsninger må på plass, så kan likevel ikke denne risikoen utelukkes. I tillegg er det ikke usannsynlig at allerede valgte leverandører nå gis mindre oppmerksomhet, som også kan utgjøre en risiko for personvernet.

Vårt budskap er at det er viktig å gjennomføre gode risikovurderinger ved valg av leverandører, ut over vurdering av overføringsgrunnlag. Selv om en leverandør er lokalisert i EU og underlagt GPDR, så er det ikke garantert at det er en leverandør du ønsker å gi ansvaret for dine og andres personopplysninger til.