Spørsmålet dukker opp i en samtale om digitale plattformer i internasjonale prosjekter:
«Mange ønsker å bruke enkle, tilgjengelige tjenester som Facebook, Messenger og WhatsApp. Vi slår stadig fast at det ikke er forenlig med personvern o.l. Hvorfor ikke egentlig?»
Det korte svaret er at data i de nevnte tjenestene går via USA.
USA har et lovverk som åpner for at myndighetene når som helst kan be om tilgang til data som sendes til USA, eller som behandles av et amerikansk selskap.
Uten at den som eier personopplysningene har tilstrekkelige muligheter til å ivareta egne rettigheter.
Dette strider mot GDPR, som skal beskytte data nettopp mot denne typen innsyn fra for eksempel myndigheter.
Derfor kan ikke vi ved USN (som er omfattet av GDPR) basere oss på løsninger som sender data gjennom USA.
Det er faktisk lovstridig å gjøre det.
USN har derfor løsninger med amerikanske programmer (Zoom, Canvas, Teams osv.) som vi kun kan bruke når databehandlingen ikke strider mot GDPR, altså holder europeisk nivå.
Løsningene skal sikre dette ved at programmene kjøres på egne eller andres GDPR-godkjente servere i Europa, som ikke sender data via USA.
I tillegg til at det faktisk er ulovlig å bruke usikre (men populære) app’er i jobbsammenheng, kommer at brukere på noen av disse app’ene er utsatt for reklame; at data brukere legger igjen kan brukes til målrettet reklame eller selges til andre selskaper; at plattformene kan ha bestemmelser som sier at de faktisk overtar opphavsretten til alt innhold som publiseres på plattformen; og så videre.
Som kollega Paal Are Solberg, personvernombud ved USN, legger til:
Det er verdt å vurdere om vi ønsker å assosieres med denne forretningsvirksomheten i det hele tatt, da den krenker folks rettigheter.
GDPR er en ganske enkel forkortelse, det står for «General Data Protection Regulation». Dette er et europeisk lovverk som beskytter dataene våre, rett og slett.
Og hvis du i ditt stille sinn tenker at GDPR er en barriere for enkle, smidige digitale løsninger:
Tenk heller på GDPR som et gjerde.
Hvis data du har ansvar for er sauer, og stater og multinasjonale selskaper er ulver, da ønsker du å gjerde inn sauene dine.
Dette gjerdet er GDPR.
Kanskje er det ikke så synlig for oss om dataene blir behandlet riktig eller ikke.
Kanskje vet vi ikke helt hva våre data er verdt.
Den dagen vi blir klar over det, kan være dagen dataene er tatt fra oss, og da er det kanskje for sent?
Les mer
- Nettside om GDPR, personvern og medieopptak (USN eDU)
- Min presentasjon om sikre digitale verktøy, i webinar om DIKUs Eurasiaprosjekt 13.11.20:
Digital tools across borders: Important factors and some alternatives (PDF)