Idet jeg lander i Tel Aviv, får jeg en melding: Du bør ikke dra til Jerusalem i morgen, for det har vært et terrorangrep der. Jeg fikk også råd om å holde meg unna Tel Aviv sentrum lørdag kveld av hensyn til store demonstrasjoner. Starten på reisen kunne vært bedre.

Det er en turbulent tid i Israel – landet har hatt fem valg i løpet av de fire siste årene. Den nyeste regjeringen har blitt karakterisert som den mest høyrevridde i landets historie, hvor de religiøst-konservative partiene har fått stor makt. Et eksempel illustrerer poenget: Sikkerhetsministeren er kjent for å ha hengt opp et portrett av terroristen Baruch Goldstein i stua og for å ha sparket en transkvinne under en Pride-parade i 2008. Mange tror regjeringen vil gi ultraortodoks jødedom en større rolle i Israel, og den vurderer utvidelse av israelske bosettinger på Vestbredden.

Den nye regjeringen foreslår dessuten store juridiske reformer. Israel har ingen grunnlov, og derfor har domstolene tatt en rolle i å føre kontroll med at nye lover respekterer enkelte grunnleggende rettigheter. Dette har ikke falt i like god jord hos alle. Regjeringen ønsker nå større innflytelse over hvem som blir utnevnt som dommere, og den ønsker at det israelske parlamentet skal kunne overstyre domstolene ved alminnelig flertall. Med andre ord, selv om israelsk høyesterett skulle komme frem til at en ny lov strider mot grunnleggende rettigheter, kan 61 av de 120 folkevalgte i parlamentet likevel tvinge den gjennom.

Hva har dette med personopplysninger å gjøre?

Demokrati og personvern

Jeg dro til Israel for å snakke om såkalte adekvansbeslutninger. Litt forenklet er en adekvansbeslutninger en slags «godkjenning» av land som beskytter personopplysninger tilsvarende godt som Europa. Vi kan relativt fritt overføre personopplysninger fra EØS til land med adekvansbeslutninger, noe som gjør det mye lettere for virksomheter i disse landene å delta på det europeiske markedet.

Det er EU-kommisjonen som gir adekvansbeslutninger, etter innspill fra blant andre Personvernrådet (EDPB). For å få en adekvansbeslutning, er det mange ting som må på plass. Man må for eksempel ha gode personvernregler, myndighetenes inngrep i privatsfæren må være forholdsmessige, og man må ha tilgang til effektive og uavhengige rettsmidler dersom myndighetene går for langt. Mye av vurderingen handler altså om grunnleggende rettsstatsprinsipper.

Israel er blant landene som har en adekvansbeslutning. Spørsmålet nå er om de foreslåtte reformene vil innebære at adekvansbeslutningen må trekkes tilbake siden domstolenes uavhengighet er under press.

Penga styrer?

I Israel pågår det nå en diskusjon om hva som er mest demokratisk. Regjeringen peker på at det er mer demokratisk at de folkevalgte i parlamentet bestemmer enn at utpekte dommer gjør det. Opposisjonen fremholder at demokrati er mer enn flertallsstyre og at maktfordeling og menneskerettigheter er ufravikelige demokratiske grunnelementer.

Det er neppe tilfeldig at de største demonstrasjonene mot reformene finner sted i Tel Aviv. Dette er en moderne, tolerant og mangfoldig storby som skiller seg ut i regionen. En venn sa det slik: Israel har en befolkning på ni millioner, men «alle» homofile bor i Tel Aviv. Å gi det regjerende flertallet vide fullmakter kan være dårlig nytt for de moderate og sekulære, for kvinner, skeive og palestinere.

Demonstrantene har imidlertid én ting på sine side: Økonomien.

Dersom reformene går gjennom, og dersom regjeringen fortsetter sin harde linje på Vestbredden, kan det føre til at Israels kredittrating nedvurderes. Dette kan igjen påvirke israelsk økonomi negativt. Det vakte dessuten oppsikt når gründeren av en israelsk tech-enhjørning varslet at hun vil flytte firmaets midler fra landet som svar på reformene. Teknologisektoren er en viktig del av Israels økonomi.

Et eventuelt bortfall av landets adekvansbeslutning vil det neppe gjøre israelsk økonomi noen tjenester, det heller.

Ut av hjemmekontorvinduet ser jeg en myk ås formet gjennom sikkert millioner av år (forbehold: jeg er ikke geolog). Så skifter jeg fokus til PC-skjermen og ser en taggete epostinnboks formet av et år med Schrems II-dommen. «Skal vi slutte med digitalisering?» «Er det ikke bedre å dele data med amerikanerne hvis det gir oss bedre sikkerhet mot ondsinnede hackere?» «I can haz risikovurdering?!»

Spørsmålene er mange. Forhåpentligvis kan den nye veilederen vår pense tanken inn på rett spor. Dessuten har vi allerede noen planer for hvordan vi kan gjøre neste versjon av veilederen bedre og mer til hjelp. Uansett håper vi det er nyttig at all informasjonen vår om tredjelandsoverføringer er samlet på ett sted og at informasjonen er oppdatert.

Veilederen finner du her: Overføring av personopplysninger ut av EØS | Datatilsynet

Hva er greia?

Schrems II-dommen er en dom fra EU-domstolen. Dommen handler om mange ting, men det mest sentrale er at det skal mer til for å overføre personopplysninger ut av EØS nå enn før. I tillegg til å ha papirarbeidet på plass, må virksomheter vurdere beskyttelsesnivået for personopplysninger i landene som data flyter til. Hvis beskyttelsesnivået i praksis er lavere enn i EØS, må man iverksette ytterligere tiltak hvis mulig eller la være å overføre.

Mange har nok håpet at man kan ha en risikobasert tilnærming til tredjelandsoverføringer. Det dommen sier, er imidlertid at man må foreta en helthetsvurdering. En helhetsvurdering kan gi handlingsrom, men det er ikke det samme som en risikovurdering.

Som min gamle kjemilærer pleide å si: «If you’re not confused, you’re not paying attention.»

Europeisk enhet

Veilederen vår er i tråd med anbefalingene til Det europeiske personvernrådet, eller EDPB. Ett av hovedmålene med GDPR er at vi skal tolke regelverket likt i hele Europa. Det er nettopp dette som er EDPBs oppgave: Å sørge for at tilsynsmyndighetene i EØS håndhever loven på samme måte. At vi skal tolke EU-lover likt som i Europa er også en sentral forutsetning i EØS-avtalen. Derfor er vi lojale mot EDPB.

Veiledere er av natur bare veiledende. Samtidig er veilederne fra Datatilsynet og EDPB uttrykk for hvordan vi vil tolke lover og dommer når vi kommer på tilsyn, enten saken er grenseoverskridende eller ikke. Hvis man med vilje viker fra disse veilederne, må man også være forberedt på at man kan bli ilagt forbud og sanksjoner. Hvis man tar noen snarveier, er det fort gjort å gå feil og ende opp tilbake der man begynte. Med andre ord tar man en risiko hvis man velger sin egen vei.

Menneskerettigheter til besvær

Når vi skal forstå Schrems II-dommen, er det viktig å huske at den handler om menneskerettigheter. Å opprettholde menneskerettigheter er nesten alltid vanskelig og ofte litt vondt. EU-domstolen mener at vi har tolket GDPR feil frem til nå. Vi har gjort oss veldig avhengige av ting vi nå må endre eller kutte ut. Hvis ikke bryter vi personvernet.

Norske og europeiske virksomheter sliter med å finne gode alternativer til dagens løsninger. Ofte tilbyr store, amerikanske tjenester bedre informasjonssikkerhet enn de små, europeiske. Derfor føler mange at man må velge mellom pest eller kolera (eventuelt pesto eller cola, sier Tobias, som ikke liker noen av delene).

Vi forstår godt at de fleste virksomhetene ikke er i mål ennå og at omstilling tar tid. Det viktigste for oss er at man er godt i gang med vurderingene og at man i alle fall har plukket lavthengende frukt. Det er nok naturlig å se på Schrems II som et noe mer langsiktig prosjekt. Kanskje kan Schrems II-dommen gi grobunn for mer europeisk innovasjon på sikt? Kanskje vil dette bidra til å opprettholde høy tillit til digitale tjenester i Europa? Helt sikkert er det at presset som europeiske virksomheter legger på amerikanske leverandører, har nådd Det hvite hus. Ryktene vil ha det til at amerikanske myndigheter nå ønsker en politisk avtale med EU om å få på plass en ordning for overføring av personopplysninger til USA innen året er omme.

Mange har dratt seg i håret i frustrasjon over hvor vag GDPR kan være. Dagen man slutter å dra seg i håret over GDPR er dagen man ikke har mer hår igjen. Til gjengjeld kan vi ta på tupeene våre i et ganske fritt samfunn der vi kan mene, interagere, stemme og leve som vi vil.

Denne typen smarte reklameskilt kan potensielt overvåke oss. Det er fullt mulig å bygge inn ansiktsgjenkjenning i disse skiltene, og i så fall kan de spore bevegelsene våre over tid og sted. Dessuten er det en smal sak å analysere etnisiteten til de forbipasserende hvis man ønsker det. Ingen av delene er lov uten samtykke, og det er vanskelig å se for seg at dette er noe folk vil si ja til. Heldigvis kjenner vi ikke til at norske bedrifter bruker smarte reklameskilt til å spore folk eller analysere etnisitet.

Tvert imot er det flere virksomheter som jobber med å gjøre denne typen reklameskilt mest mulig personvernvennlig. Det fortjener de ros for. For eksempel har vi snakket med en bedrift som utfører ansiktsanalyse i sanntid og ikke lagrer noen personopplysninger i etterkant. Systemet kan analysere alder, kjønn og ansiktsuttrykk, men det er ikke i stand til å utføre ansiktsgjenkjenning, og dermed kan det ikke kjenne igjen personer over tid og sted.

Er da alt greit?

I bås

Overvåking er ikke den eneste problemstillingen knyttet til slike reklameskilt – eller målrettet reklame generelt, for den delen.

For noen år siden var det noen som prøvde seg med et smart reklameskilt på Oslo S. Når kvinner gikk forbi skiltet, viste det reklame for pizza, salat og dressing. Når menn gikk forbi, ble salaten fjernet fra reklamen. Begrunnelsen var at menn statistisk sett spiste mindre salat og at det dermed ikke var så relevant for menn å se reklame for salat.

Dette eksempelet illustrerer to ting. For det første går målrettet markedsføring ofte ut på å sette oss i bås. For å forenkle virkeligheten blir vi gjerne gruppert sammen med andre som man antar likner på oss. For menn som spiser sunt er kanskje ikke det så artig å bli satt i bås med salathatere.

For det andre risikerer man å forsterke stereotypier. Dersom menn kun ser reklame for mat uten salat, kan det føre til at de spiser mindre salat enn de ellers ville gjort. Dermed blir antakelsen en selvoppfyllende profeti. Å spise usunt er selvsagt alvorlig og et folkehelseproblem, men konsekvensene kan fort bli enda verre hvis det for eksempel er snakk om politisk reklame.

Gjennom 2010-tallet har stadig mer av våre bevegelser på nett blitt observert, samlet inn, analysert og delt. Det er viktig at overvåkingsøkonomien ikke tar over den fysiske sfæren også. Det må være mulig å legge fra seg personprofilene sine slik at man kan ferdes fritt og bli behandlet som et helt og sammensatt menneske.

Indre sjeleliv og kjønnsidentitet

«Smil for et godt tilbud.» Reklameskiltet foran deg fanger oppmerksomheten din. Idet du gliser, får du en knall-deal på fiskepinner. Dette er en artig gimmick som de færreste vil reagere på.

Analyse av ansiktsuttrykk kan imidlertid være problematisk. Markedsføringen kan potensielt være tilpasset til eller spille på sinnsstemningen til tilskueren. Dersom den som ser reklamen, ikke vet om at dette skjer, gir det markedsførerne svært stor makt til å påvirke underbevisstheten vår. Hvor går grensen mellom markedsføring og manipulasjon?

Dessuten er våre indre tanker og sjeleliv en privatsak. Vi velger selv om vi vil dele hva vi føler, og bedrifter kan ikke fritt ta for seg og tjene penger på denne informasjonen. Tenk deg at idet du går forbi et reklameskilt, endres teksten: «Vi ser at du er trist. Prøv vår nye krillolje!» Med ett vet alle rundt deg at du ikke føler deg på topp. Etter hvert som ansiktsanalysene blir bedre, kan de fange opp ubevisste bekymringsrynker som andre ikke nødvendigvis legger merke til.

Analyse av kjønn er også en viktig problemstilling. Analysene er ikke 100 % nøyaktige, og det kan være sårt dersom man som mann stadig får reklame rettet mot kvinner eller omvendt. Dette kan potensielt bli et særlig problem for transpersoner. Retten til privatliv er nært knyttet til retten til identitet. Kjønnsidentitet, som for øvrig også kan være flytende eller ikke-binær, er mye mer enn benstrukturen i ansiktet.

GDPR gjelder

Ansiktsanalyse er mulig fordi en form for kamera fanger opp omgivelsene. I brøkdelen av et sekund eksisterer et digitalt bilde av deg, som så analyseres og deretter (forhåpentligvis) slettes. I den brøkdelen av et sekund behandler systemet personopplysninger. Derfor gjelder personopplysningsloven og personvernforordningen (GDPR) for smarte reklameskilt.

Aktører som bruker smarte reklameskilt må derfor – blant annet – sørge for at de har tilstrekkelig rettslig grunnlag for å behandle personopplysninger. Noen datatilsyn i Europa har uttalt seg om hvorvidt bestemte reklameskiltløsninger kan baseres på en såkalt interesseavveiing eller om de krever gyldig samtykke fra alle forbipasserende. Det sistnevnte alternativet vil si at skiltene i praksis er ulovlige, siden det ikke vil være mulig å få samtykke fra alle som tilfeldigvis går forbi skiltene. Vi mener at man ikke kan si ja eller nei til en bestemt teknologi generelt. I stedet må man ta stilling til hvordan teknologien brukes i et konkret tilfelle og hvordan den påvirker rettighetene og frihetene til den enkelte.

Aktørene må også sørge for at de behandler personopplysninger på en rettferdig og åpen måte. For det første innebærer dette tydelig skilting. For det andre kan det innebære at aktørene må fortelle på et overordnet nivå om hvordan de bruker opplysninger om folk til å tilpasse markedsføring.

Det er også viktig å vareta den enkeltes rettigheter. I tråd med plikten til innebygget personvern er det for sent å tenke på dette når systemet er ferdig laget – hvordan rettighetene kan varetas må være fokus fra dag én i utviklingen. Hvordan kan for eksempel slike reklameskilt vareta den enkeltes rett til å protestere mot behandling av personopplysninger? Man kan ikke kreve at folk må ta store omveier om skiltene dersom de ikke ønsker målrettet markedsføring. Her er det teknologien som må tilpasse seg våre rettigheter, og ikke omvendt.

Designed to serve mankind?

Behandling av personopplysninger bør ha som formål å tjene menneskeheten. Det følger av personvernforordningen (GDPR) fortalepunkt 4. Er stadig mer analyse for målrettet markedsføring i menneskehetens interesse?

Dette blogginnlegget bygger på et innlegg jeg holdt på CPDP-konferansen i Brussel i januar. https://www.cpdpconferences.org/

Dokumentene avslørte at etterretningsmyndighetene hadde tatt i bruk mer vidtrekkende og inngripende virkemidler enn de fleste hadde kunnet forestille seg, og at programmene var verdensomspennende. Glenn Greenwald, tidligere advokat, en av Snowdens betrodde medhjelpere og nå journalist i Washington Post, skriver:

«Det dokumentarkivet som Edward Snowden hadde samlet, var forbløffende både i størrelse og i rekkevidde. Selv om jeg hadde skrevet om farene ved USAs hemmelige overvåkning i årevis, opplevde jeg de rene og skjære dimensjonene til overvåkningssystemet som genuint rystende, ikke minst fordi det åpenbart var blitt innført så å si uten demokratisk kontroll, åpenhet eller begrensninger».

Fra «Overvåket – Edward Snowden, NSA og overvåkningsstaten», Cappelen Damm 2014

Avsløringene fikk også rettslige konsekvenser. En av de viktigste kom i fjor, med EU-domstolens avgjørelse i Safe Harbour-saken. Saken gjaldt Facebooks behandling av personopplysninger om tjenestens brukere i Europa. Alle Facebook-brukere som bor i Europa har nemlig på papiret inngått en brukeravtale med Facebook Irland. Til tross for dette, viste det seg at all informasjon generert av europeiske Facebook-brukere har blitt overført til Facebook Inc.s servere i USA. Overføring av personopplysninger til land utenfor EU og EØS er bare tillatt under gitte, strenge vilkår, fordi det rettsvernet som personopplysningene våre nyter godt av i Europa, forsvinner når dataene havner et annet sted.

Ikke bare kom EU-domstolen til at disse dataoverføringene var ulovlige, men den underkjente likegodt hele den rettslige beslutningen som i sin tid innførte Safe Harbour-prinsippene. Dermed forsvant det viktigste rettslige grunnlaget for overføring av personopplysninger til USA, og med ett ble en mengde dataoverføringer ulovlige over natten.

Det var personvernaktivisten Maximillian Schrems som initierte saken. Han ville ha en slutt på at Facebook Irland sendte hans personopplysninger til USA, hvor han mente at verken lovgivning eller eksisterende praksis ga noe tilfredsstillende vern om hans personlige informasjon. Schrems henviste i den forbindelse til Snowdens avsløringer om de amerikanske etterretningstjenesters aktiviteter, og det samme gjør generaladvokat Yves Bot i sin innstilling til domstolen.

EU-domstolens konklusjoner var med andre ord en direkte konsekvens av Snowdens avsløringer, og Schrems’ initiativer via europeiske rettslige kanaler. Avgjørelsen er svært viktig, fordi Safe Harbour-beslutningen hadde vært det mest brukte rettslige grunnlaget for overføring av personlige opplysninger fra Europa til USA i over femten år. Nå er både private virksomheter og offentlige myndigheter i villrede med tanke på hva som vil skje videre. En delegasjon av EU-byråkrater er for tiden i USA for å forhandle videre om Privacy Shield, som skal være Safe Harbour-beslutningens arvtager, etter at EUs ekspertorgan i personvernspørsmål, Artikkel 29-gruppen, tidligere i vår ga en klar anbefaling til EU-kommisjonen om at det avtaleutkastet som det hadde fått til vurdering, ikke holdt mål i lys av våre grunnleggende individuelle rettigheter.

Men dommen er også svært viktig fordi den slår fast at grunnleggende individuelle rettigheter i europeisk rettstradisjon står i veien for masseovervåkning av europeiske borgere. Artikkel 29-arbeidsgruppen har analysert denne rettsavgjørelsen, og andre europeiske rettsavgjørelser om individets fundamentale rettigheter, og utledet fire garantier:

• Garanti A: et hvert inngrep i personvernet må baseres på klare, presise og tilgjengelige lovregler
• Garanti B: det er nødvendig å påvise at databehandlingen er nødvendig og proporsjonal
• Garanti C: det må finnes en uavhengig kontrollmekanisme
• Garanti D: individet skal kunne prøve lovligheten av inngrepet i sine rettigheter rettslig

At opplysninger om oss skal vernes, regnes som en grunnleggende menneskerettighet i EU. Artikkel 29-gruppen fremhever at disse garantiene må være oppfylt for at inngrep i vårt personvern skal kunne betraktes  som legitime. Dette gjelder uansett hva formålet med inngrepet er. Før vi kan gjenvinne tilliten til at våre personopplysninger blir behandlet på en forsvarlig måte i USA, er det nødvendig at amerikanske myndigheter sørger for å ivareta disse garantiene, mener arbeidsgruppen.

Disse garantiene er imidlertid ikke bare myntet på myndighetene i andre stater. Dette er allmenne prinsipper, og alle europeiske myndigheter som vurderer å innføre overvåkningstiltak mot befolkningen, må vurdere tiltakene opp mot disse garantiene. Den 8. juni skal Stortinget behandle et lovforslag fra Regjeringen om å innføre nye, skjulte tvangsmidler til kriminalitetsbekjempelsesformål (Prop. 68 L). Her finner man blant annet et forslag om å innføre dataavlesing som virkemiddel for politiet og PST. Vi forventer at Stortinget tar alle disse fire garantiene med i betraktningen når det nå skal stemme over dette lovforslaget.

EUs arbeidsgruppe for personvern, Artikkel 29-gruppen, var samlet i Brussel da enigheten mellom EU og USA var et faktum. Også vi i det norske Datatilsynet møter i denne gruppen, og vi fikk inn i møtet de første opplysningene om hva avtalen mellom EU og USA inneholdt.

Analysen av hva som ligger i denne nye enigheten vil nå starte.

Kjernespørsmålet er kanskje rett og slett: Vil EU – U.S. Privacy Shield oppfylle EUs krav?

Vil EU – U.S. Privacy Shield oppfylle de fire garantiene som Artikkel 29 mener gir et tilstrekkelig beskyttelsesnivå? Det er det avgjørende spørsmålet.

Arbeidet vil starte så snart vi ser selve avtalen mellom EU og USA. Det er vanskelig å si at alt har gått i orden uten å ha sett konkret hvilke lovnader som USA har kommet med overfor Europa.

Artikkel 29-gruppen har utformet fire grunnleggende garantier som må være oppfylt for at personvernet skal være ivaretatt av en ny avtale (min oversettelse):

1. Behandling av personopplysninger må være basert på klare og tilgjengelige regler. Dette betyr at alle som er rimelig informert skal kunne forutse hva som kan skje med hennes/hans opplysninger om de blir behandlet av statlige myndigheter inkludert overfør til andre.
2. Behandlingen må være basert på nødvendighet og forholdsmessighet for det aktuelle formålet. Det må med andre ord være balanse mellom formålet med innsamlingen og behandlingen (ofte omtalt som nasjonal sikkerhet) og rettighetene til den enkelte.
3. En uavhengig tilsynsmekanisme må være tilgjengelig og den må være upartisk og effektiv. Dette kan enten være en domstol eller en annen uavhengig instans, så lenge den har tilstrekkelig fullmakter til å gjennomføre nødvendig kontroll.
4. Det må være effektive rettsmidler tilgjengelig for den enkelte registrerte. Alle skal ha rett og mulighet til å kreve egne rettigheter hos et uavhengig organ.

Disse garantiene gjelder selvfølgelig ikke bare overføring til USA, men også alle andre tredjeland. Det vil si land utenfor EU/EØS eller land som EU mener har gode nok regler og rutiner for beskyttelse av personopplysninger.

Enigheten kom så å si innenfor den tidsramme som Artikkel 29-gruppen hadde gitt som ytre ramme for forhandlingene mellom USA og EU. Etter 31. januar var det enighet mellom datatilsynene i Europa om å starte kontroller rettet mot overføring av opplysninger til USA om det ikke ble noen avklaring på hva som kom til å skje etter Safe Harbor avtalens endelikt.

Det er nedlagt betydelig innsats fra EU og USA for å søke en løsning innen utgangen av januar 2016, og det blir interessant å se om de ha lykkes i å lage et system som er godt nok. Politisk mener EU-kommisæren for justis, forbrukersaker og likestilling, Vera Jourova, at de har det. Så får tiden vise om det er tilfellet når analysen er klar.

Kommisær Jourova forklarte noe om hva som ligger i enigheten. Jeg oppfattet at målet med forhandlingene var å se om det var mulig å kompensere for de mangler i Safe Harbor-avtalen som EU-domstolen pekte på i Schrems-saken, da Safe Harbor-avtalen ble kjent ugyldig. Blant annet pekte dommen på mangel på forutberegnelighet for hva amerikanske myndigheter kan gjøre med opplysninger som er overført til USA og mangelen på mulighet til å klage eller på annen måte angripe en innsamling og behandling av opplysningene.

På amerikansk side skal det blant annet opprettes en ombudsordning for å sikre klagemulighet for enkeltindivider. Ordningen skal ligge under det amerikanske State Department, og etter hva jeg oppfattet rett under Secretary of State for å sikre tilstrekkelig gjennomslagskraft. I tillegg vil Federal Trade Commission (FTC) kunne ta klager til behandling som tidligere. Svakheten med FTC er at de ikke er forpliktet til å ta klager opp til behandling. Det vil si at den enkelte ikke har noen effektiv klagemulighet, noe Europa mener må komme på plass.

Etterretningsorganisasjoner skal videre «prioritere å samle inn opplysninger om konkrete personer» og ikke masse-innhente opplysninger om «alle» («bulk collection»). Flere har kritisert denne formuleringen. Den sier egentlig ikke så mye om hva som kan skje med opplysningene. Det er en forbedring fra tidligere, da ingen visste noe om hva etterretningsorganisasjonene gjorde med opplysninger om ikke-amerikanere, men den er fortsatt uklar. Hvem skal for eksempel foreta vurderingen av hva som skal prioriteres? Om det er etterretningen selv, er det en klar svakhet.

Her avventer jeg den endelige konklusjonen til vi har sett hva avtalen sier – noe som tar noen uker å få skrevet ned, ifølge kommisær Jourova.

Analysen som nå skal gjøres vil også omfatte de andre rettelige grunnlagene for overføring av opplysninger til tredjeland – inkludert USA. Vil EUs standardkontrakter (Standard Contractual Clauses (SSC)) og Binding Corporate Rules (BCR) fortsatt være gyldige grunnlag for overføring av opplysninger, eller vil de måtte modifiseres i tråd med det nye Privacy Shield? Eller vil det være umulig å skape rettslige gode rammer for overføring av opplysninger til USA uten mer radikale endringer i amerikansk lovgivning?

For norske virksomheter er dette det viktigste: Frem til Artikkel 29-gruppen har sett på dette, gjelder det samme som etter at Safe Harbor-avtalen ble kjent ugyldig.

Kjernespørsmålet er kanskje rett og slett: Vil EU – U.S. Privacy Shield oppfylle EUs krav?

For norske virksomheter er dette det viktigste å vite: I tiden frem til Artikkel 29-gruppen har sett på dette, gjelder det samme som etter at Safe Harbor-avtalen ble kjent ugyldig. Standardkontrakter fra EU og binding corporate rules er fortsatt rettslige grunnlag for overføring.

Det er planlagt et ekstraordinært møte i Artikkel 29-gruppen i mars for å ta stilling til hva som skal skje videre fremover.

Kort oppsummert: Så kjedelig det enn er, er vi her nødt til å vente og se hva som blir det rettslige bildet i EU på dette området.