Det stormer i USA. Samtidig er norsk infrastruktur, både offentlig og privat, ofte bygget opp rundt amerikansk programvare.
Å bli totalt uavhengig av amerikanske tek-selskaper er kanskje urealistisk, men mange kjenner nok på at norske og europeiske leverandører føles tryggere. Det gjelder dobbelt for systemer som inneholder sensitive personopplysninger.
Hvor bekymret burde vi egentlig være?
Advokat Jan Sandtrø jobber i krysningsfeltet mellom juss og teknologi, og står bak nettsiden sandtro.no hvor han jevnlig publiserer nyhetsbrev om temaet. Han advarer mot å ta alt amerikanske leverandører sier for god fisk:
– Hvis ikke de har teknisk tilgang på dataene dine, er du sikret på personvernsiden. Men om det bare er det juridiske som stopper dem, er det mye usikkerhet involvert.
Mange leverandører lover «ingen tilgang», men et løfte er ikke alltid vanntett, dersom myndighetene banker på døra.
– Den bekreftelsen kan bli litt hul, hvis de en dag likevel blir pålagt å overlevere data til amerikanske myndigheter. Selv kryptering betyr lite hvis ikke det kun er du som sitter på nøkkelen, sier Sandtrø.
Biden-regjeringen innførte i 2022 Data Privacy Framework (DPF), for å overholde Europas GDPR-krav. Den erstattet Privacy Shield som utløp i 2020. I realiteten var det altså ulovlig å overføre data til USA i to år.
– Ingen gjorde noe fordi vi var så avhengige av USA, men Datatilsynet har sagt at dersom DPF faller bort, så kommer de til å håndheve forbudet. Da er det viktig å ha en reell exit-strategi, sier Sandtrø.
Norske virksomheter bør ta risikoen på alvor, i og med at Donald Trump har truet med å oppheve alle Bidens presidentordre, som DPF faller innunder.
Hva skjer dersom du plutselig står uten juridisk grunnlag for å bruke skytjenestene dine?
Skal du være forberedt, gjelder det å få oversikt over nåværende situasjon, og ha en plan for hva du eventuelt må gjøre. En sjekkliste for den årvåkne leder, kan være:
Flere norske leverandører har allerede bygget løsninger der både eierskap, drift og support er forankret i Norge og Europa. Disse vil naturligvis være det aller tryggeste valget.
Sandtrø oppfordrer til å holde hodet kaldt, selv om det er mer konflikt mellom Europa og USA enn tidligere, og USA i praksis har kontroll på mye av norsk infrastruktur:
– At amerikanske myndigheter skrur av tjenestene anser jeg som lite sannsynlig. Da er leverandørende døde i markedet. Reelle krav om å utlevere data er nok også usannsynlige, men avhengig av kontekst. Lite ville nok stoppet dem hvis Bin Laden bodde på Grorud.
Samtidig handler risikovurdering ikke bare om sannsynlighet, men om hvor store konsekvensene kan bli. Dette er en avveining norske virksomheter må gjøre selv.
Én ting er i hvert fall sikkert:
– Amerikanske myndigheter har krevd passasjerlister fra sentrale systemer, og nå skal de vel også få biometriske data som fingeravtrykk. Vi beveger oss sakte men sikkert mot et overvåkningssamfunn, sier Sandtrø.
Som med det meste annet, må endringen komme basert på etterspørsel. Som en liten aktør i et globalt perspektiv, opplever vi i Pureservice at flere virksomheter nå aktivt leter etter nordiske eller europeiske alternativer til de amerikanske plattformene.
Det handler ikke om å være imot amerikansk teknologi, men å være bevisst på hvor data lagres og hvilken jurisdiksjon de er underlagt. Spesielt gjelder det organisasjoner som håndterer sensitive eller forretningskritiske opplysninger.
Service management-systemer faller ofte innunder den kategorien, siden de lagrer mye operasjonell informasjon om virksomheten – fra interne prosesser til teknisk infrastruktur.
Da er det viktig at det finnes lokale alternativer på markedet, for dem som prioriterer nærhet til leverandør, europeisk regelverk, og tydelig kontroll på datalagringen.
Hvis du ønsker å vite mer, eller vil snakke med ansvarlig for sikkerhet i Pureservice, kan du enten lese mer på våre sider eller ta kontakt med sikkerhetsansvarlig Jørn Erik.