EU-kommisjonen vedtok i juli 2023 Data Privacy Framework (DPF) for å sikre lovlige dataoverføringer til USA. EU og USAs dataoverføringsavtale hviler utelukkende på Bidens presidentordre, som betyr at den lett kan oppheves av nye regjeringer, skriver digi.no
– Dette kan gjøre avtalen ugyldig og dataoverføringer mellom EU og USA ulovlige, advarer personvernorganisasjonen NOYB med Max Schrems i spissen i et intervju med digi.no
– EU har manøvrert seg selv og europeiske virksomheter inn i en juridisk vanskelig situasjon, der mange selskaper risikerer å miste tilgang til amerikanske skytjenester som Google, Amazon og Microsoft, sier Schrems.
F24 og datalagring
– En eventuell opphevelse av dataoverføringsavtalen mellom EU og USA vil imidlertid ikke få noen betydning for F24s kunder, sier Sæterbø.
– F24 Nordics drifter CIM fra våre egne servere, i sikre datasentre i Norge i henhold til anbefalinger fra NSM. Det er vi den eneste leverandøren av beredskapsløsninger i det norske markedet som gjør. Vi er er ISO27001-sertifisert, våre datasentre er geografisk separerte og utelukkende driftet av norske underleverandører.
– Når tjenester og systemer helt eller delvis leveres eller driftes fra utlandet, er de de utenfor norsk kontroll. Da kan vi som samfunn være sårbare. Derfor har vi valgt å drifte løsningene for alle våre kunder i egne datasentre, i Norge, slik også NSM anbefaler, sier Sæterbø.
Mister oversikt over data som fraktes ut av landet
I Norge stilles det klare krav til personopplysninger som sendes ut av landet. I Personopplysningsloven heter det at: «Personopplysninger kan bare overføres til stater som sikrer en forsvarlig behandling av opplysningene». I praksis betyr det at persondata kan overføres til land innenfor EU/EØS, siden disse landene baserer seg på samme regelverk som Norge. (Lov om behandling av personopplysninger (personopplysningsloven) – Lovdata)
– Dersom du eksempelvis bruker en tjeneste for beredskap og krisehåndtering som driftes i Norge, men med en leverandør som eies av et selskap som ikke er begrenset av EUs direktiver, vil det påvirke hvem som har tilgang på dine data. Det samme er tilfelle om du bruker en skylagringstjeneste som ikke er bundet av EUs direktiver. For lovgivningen i landet der skylagringstjenesten hører hjemme kan ha stor betydning for hvem som har tilgang på dine data. Da er det ikke sikkert at din virksomhet overholder regler for personvern og GDPR, selv om du har valgt det som i utgangspunktet er en norsk leverandør. Det er med andre ord viktig å ha oversikt over hvor data blir lagret, hvor data blir prosessert og hvor tjenester blir levert fra, sier Sæterbø.
“Samfunnskritisk IKT bør leveres fra datasenter i Norge.”
Lars Strand, fagdirektør i Nasjonal sikkerhetsmyndighet
Sæterbø viser også til den siste temarapporten som Nasjonal sikkerhetsmyndighet (NSM) publiserte i oktober 2023 om nasjonal kontroll av IKT-tjenester. Deres konklusjon er klar: «NSM er bekymret for at suverenitet og politisk handlefrihet kan bli utfordret dersom norske virksomheter ikke forbedrer den nasjonale kontrollen av viktige norske IKT-tjenester.» (Nasjonal kontroll av IKT-tjenester.pdf (nsm.no)
“NSM er bekymret for at suverenitet og politisk handlefrihet kan bli utfordret dersom norske virksomheter ikke forbedrer den nasjonale kontrollen av viktige norske IKT-tjenester.”
NASJONAL KONTROLL AV IKT-TJENESTER, PST
– Det NSM viser til, er at det kan være mange fordeler med bruk av utenlandske skytjenester, men samtidig kan slik bruk gjøre at tjenestene er utilgjengelige i en kritisk situasjon, sier Sæterbø.
I en kronikk i Finansavisen november 2021 påpekte Lars Strand, fagdirektør i Nasjonal sikkerhetsmyndighet (NSM), betydningen av hvor beredskapsdata lagres:
– Digitale løsninger som er sentrale i beredskap og krisehåndtering, må kunne tåle flere samtidige driftsproblemer. De bør også være mer robuste og tilgjengelige enn vanlige kommersielle løsninger, fordi de skal fungere i situasjoner hvor mye annet er utilgjengelig. Det bør etableres fysisk og logisk redundans i underliggende infrastruktur, i datasentrene og i den enkelte digitale løsning. Slik kan vi sikre en høy grad av tillit til leveransene. I beredskapsplanlegging bør det derfor legges vekt på fra hvilke datasentre de digitale løsningene leveres, slik at alternative produksjonskapasiteter er kjent, etablerte og tilgjengelige. (Samfunnskritisk IKT bør leveres fra datasenter i Norge, NSM.no)
Jan Terje Sæterbø
Jan Terje Sæterbø er sikkerhetsleder i F24 Nordics. Han har vært med på å designe løsninger for digital krisehåndtering helt fra slutten av 1990-tallet og har ledet implementeringen av slike løsninger for en rekke både nasjonale og internasjonale aktører. Han har bakgrunn fra forsvaret og har mange års erfaring fra IT-bransjen både som leder og prosjektleder. Han har en bachelorutdannelse i beredskap og krisehåndtering fra Høgskolen i Innlandet og en master i kriseledelse og beredskap fra Nord Universitet.
Gratis e-bøker
Synes du det er vanskelig å komme i gang med ROS-analyse og beredskapsplanlegging, eller har du behov for å vite mer om hvordan du skal sikre god beredskap, varsling og krisekommunikasjon?
Våre gratis e-bøker gir deg en rekke gode råd og tips.
