Luulitko GDPR-sopan olevan syöty?

Frends Technology, Antti Toivanen12.9.2022

Viimeisen kahdentoista kuukauden aikana yli 11 ruotsalaista kaupunkia ja kuntaa ovat siirtyneet pois amerikkalaisomisteisesta pilvestä. Google Analytics todettiin laittomaksi. Jopa Googlen fonttien käyttö kiellettiin, kun nekin lähettävät käyttäjän IP-osoitteen Googlelle. Muutama vuosi aiemmin Itävaltalainen juristin Maximilian Schrems haastoi Facebookin ja Metan oikeuteen tietojen luovuttamisesta edelleen. Hän voitti ja syntyi Schrems II nimellä kulkeva oikeuden päätös, jolla on kauaskantoisia seurauksia. Meta uhkailee jo uhkaa vetäytyä kokonaan Euroopasta.
Mistä tässä kaikessa on kyse? Yhdysvaltain ja EU:n välillä on ollut jo vuosikymmeniä erilaisia sopimuksia henkilötietojen käsittelystä. Big Tech -yrityksen, kuten Google ja Facebook perustavat liiketoimintansa ihmisten käyttäytymisen seuraamiseen ja sen maailman parhaan ja kohdistetuimman mainoksen tekemiseen. Vuonna 2018 Donald Trump allekirjoitti lain nimeltä CLOUD ACT, jolla yhdysvaltalaisviranomaiset pääsevät myös EU:n alueella olevien yritysten dataan jos vain ne ovat yhdysvaltalaisomisteisia. Schrems osoitti, etä Big Tech yritykset luovuttavat dataa edelleen GDPR:n vastaisesti. Tällä hetkellä hampaissa ovat Meta ja Google, koska on pilvialustojen kuten Azure ja AWS vuoro? Pelkästään tämä riski on aiheuttanut Ruotsissa kuntien ja kaupunkien muuttovirran EU-omisteiseen pilveen, sillä ei kaupunki voi kysyä kaupunkilaiselta ”Saanko tallettaa datasi?”. Se on kaupungin velvoite ja pakko.
Erilaiset yksityisyyden suojaa EU:n ja Yhdysvaltain välillä ratkovat sopimukset ovat vuoden 2015 jälkeen murtuneet: ensin Safe Harbour vuonna 2015 ja nyt Privacy Shield 2020 Schrems II päätöksellä. Tätä kirjoittaessa jälleen uutta Privacy Shieldiä rakennettaan Yhdysvaltain ja EU:n välille. Sen pitävyyten ei yksityisyydensuoja-asiantuntijat usko. Se ei ratkaise fundamentaalia ristiriitaa siitä, saako yhdysvaltalaisviranomaisille luovuttaa edelleen henkilötietoja.
Vielä pilvialustoja ei itsessään ole tuomittu, kyse on riskistä. Riskin kokoluokka on vaan sellainen, että sitä on vaikea edes ymmärtää – se on luokkaa ”kaikki uusiksi”.

Integraatioalustatoimittajana asia koskettaa erityisesti meitä. Integraatioiden ja rajapintojen kautta kun kaupungit henkilötietoja – mukaan lukien potilastietoja – liikuttelevat. Frends integraatioalustan saakin tätä nykyä Eurooppalaisomisteisessa pilvestä, jossa ei yllämainittua GDPR-riskiä lepäile.

Jos aihe kiinnostaa, ota yhteyttä osoitteessa www.frends.com