Bør vi tillate fri flyt av data?
Vi har denne måneden opplevd at Helse Sør-Øst har mistet kontrollen på sine pasientdata. Vi spør oss om vi bør regulere hvilke land vi kan eksportere sensitive opplysninger til.
Donald Trump har i en av sine presidentordre sagt følgende:
Agencies shall, to the extent consistent with applicable law, ensure that their privacy policies exclude persons who are not United States citizens or lawful permanent residents from the protections of the Privacy Act regarding personally identifiable information.
Det er et rimelig kraftig angrep på personvernet til andre borgere enn USAs egne. Max Schrems som tidligere har vunnet en sak mot Facebook om det samme ber nå det irske "Datatilsynet" om å stoppe all overføring av data til USA fordi det eksisterer sterk tvil om Privacy Shield er i stand til å beskytte europeiske borgeres rettigheter i tilstrekkelig grad.
Dette leder oss over til det mer grunnleggende spørsmålet, skal myndighetene få lov til å bestemme hvor i verden data kan oppbevares?
Dette er ikke et spørsmål om outsourcing eller ikke, men rett og slett et spørsmål om i hvilke land vi kan håndheve våre reguleringer av data. Litt som på samme måte som vi ikke utleverer mennesker til land der den utleverte står i fare for å få sine menneskerettigheter brudt, burde ikke det samme også gjelde for våre data? Når dataene er ute har vi ingen muligheter til å putte dem tilbake rett og slett fordi vi ikke kontrollerer andre lands rettsystemer. Jeg er derfor tilhenger av at man bør vurdere hvilke land man lagrer data i. Noen data er høysensitive og bør antakeligvis ikke eksporteres i det hele tatt, andre data kan eksporteres, men bare til land som har godt personvern, eksempelvis EU, mens i siste instans har vi data som ikke har noen slike implikasjoner og bør kunne eksporteres fritt.
Et relatert spørsmål som jeg ikke skal gå inn på nå, men håper å komme inn på senere er hvorvidt det er greit at norske kommuner bruker skytjenester som lagrer data i utlandet.