Mange virksomheter bruker i dag skylagring uten å tenke særlig over hvor dataene faktisk befinner seg juridisk. Schrems II-dommen fra EU-domstolen har gjort dette spørsmålet langt viktigere. Dommen påvirker spesielt bruken av amerikanske skytjenester som Microsoft 365, Google Workspace og lignende plattformer.
For virksomheter som håndterer persondata kan konsekvensene være betydelige. Schrems II handler nemlig ikke bare om hvor data lagres fysisk, men om hvilke lover som gjelder for selskapet som kontrollerer infrastrukturen.
Kort forklart: hva er Schrems II?
Schrems II er en dom fra EU-domstolen i 2020 som handlet om overføring av persondata fra EU/EØS til USA.
Bakgrunnen var at den østerrikske personvernaktivisten Max Schrems utfordret lovligheten av at europeiske data ble lagret hos amerikanske selskaper. Problemet var ikke selve lagringen, men at amerikansk lovgivning kan gi myndigheter tilgang til data.
EU-domstolen konkluderte med at avtalen «Privacy Shield» ikke ga europeiske borgere tilstrekkelig beskyttelse. Resultatet var at hele ordningen ble erklært ugyldig.
Dette fikk store konsekvenser for mange selskaper som baserte seg på amerikanske skyløsninger.
Hvorfor påvirker dette skylagring?
De fleste moderne skytjenester leveres av globale selskaper. Mange av dem er amerikanske, selv om datasentrene kan ligge i Europa.
Schrems II gjorde én ting tydelig:
Det er ikke bare hvor data lagres som er viktig – men hvilket land leverandøren juridisk tilhører.
Amerikanske selskaper er underlagt amerikansk lovgivning. Dette kan innebære at amerikanske myndigheter i enkelte tilfeller kan kreve tilgang til data.
For europeiske virksomheter kan dette komme i konflikt med personvernregelverket i EU.
Hva betyr dette for virksomheter i praksis?
Etter Schrems II kan ikke virksomheter ukritisk lagre persondata hos leverandører utenfor EU/EØS.
I stedet må man gjøre en vurdering av risikoen ved dataoverføring. Dette kalles ofte en Transfer Impact Assessment (TIA).
En slik vurdering ser blant annet på:
- hvor data lagres
- hvem som kontrollerer infrastrukturen
- hvilke lover leverandøren er underlagt
- om myndigheter i andre land kan kreve tilgang
For mange virksomheter betyr dette mer juridisk og teknisk arbeid før man velger en skyløsning.
Data i Europa er ikke alltid nok
Et vanlig argument fra store skyleverandører er at data lagres i europeiske datasentre.
Selv om dette kan redusere risiko, løser det ikke nødvendigvis hele problemet.
Hvis leverandøren er et amerikansk selskap kan amerikansk lovgivning fortsatt gjelde. Det betyr at data i teorien kan bli utlevert til amerikanske myndigheter.
Dette er en av grunnene til at debatten om datasuverenitet har blitt mer aktuell de siste årene.
Konsekvenser for valg av skyløsning
Schrems II betyr ikke at amerikanske skytjenester er ulovlige å bruke. Mange virksomheter bruker dem fortsatt.
Men dommen har gjort at flere organisasjoner vurderer alternativer.
Typiske strategier inkluderer:
For noen virksomheter kan dette gi bedre kontroll over både data og infrastruktur.
Hvis du vil forstå mer om hvordan slike løsninger fungerer, kan du lese self-hosted skylagring – hva betyr det egentlig.
Et eksempel: samarbeidsplattformer
Samarbeidsverktøy er et godt eksempel på hvordan Schrems II påvirker teknologivalg.
Mange bedrifter bruker løsninger som Microsoft 365 eller Google Workspace for dokumenter, e-post og samarbeid.
Disse plattformene er svært funksjonsrike og enkle å ta i bruk, men de drives av amerikanske selskaper.
Derfor har enkelte virksomheter begynt å se på alternative løsninger som gir mer kontroll over infrastrukturen.
Du kan lese mer om dette i sammenligningen Nextcloud vs Microsoft 365 og Nextcloud vs Google Drive.
Handler egentlig om kontroll
Til syvende og sist handler Schrems II om ett spørsmål:
Hvem kontrollerer dataene dine?
For mange virksomheter er ikke dette bare et juridisk spørsmål, men også et strategisk valg. Infrastruktur, leverandøravhengighet og datakontroll kan påvirke både sikkerhet og fleksibilitet over tid.
Hvis du vil forstå bakgrunnen for hele denne problemstillingen, bør du lese hovedartikkelen hvem kontrollerer egentlig dataene dine.
Oppsummert
Schrems II har gjort at virksomheter må tenke mer gjennom hvordan skylagring brukes.
Det viktigste dommen har tydeliggjort er at lagringssted alene ikke avgjør hvem som har tilgang til data. Jurisdiksjonen til leverandøren spiller også en avgjørende rolle.
For virksomheter som håndterer persondata betyr dette at valg av skyløsning ikke bare er et teknologivalg, men også et spørsmål om juridisk kontroll og risikovurdering.
