Noen databehandlere er så store at de trenger å være i en egen kategori

Photo by Patrick Tomasso on Unsplash

Det er ikke ofte jeg tenker på hvordan et regelverk burde være. Jobben min går i aller størst grad ut på å uttale meg om hvordan regelverket ER, hvordan det skal tolkes eller hvilke muligheter som finnes.

Men jeg har tenkt på hvordan GDPR kan forbedres en stund. Det er flere ting jeg kunne ha sagt om detaljene og småting som kan justeres. Men hvis jeg skal koke det ned til én stor ting som jeg ønsker meg, blir det dette:

De aller største tech-gigantene som leverer tjenester og er databehandler bør settes i en egen kategori og pålegges særlige plikter som reflekterer det ekstremt asymmetriske maktforholdet mellom behandlingsansvarlige og databehandler. 

La meg forklare!

Et asymmetrisk maktforhold

Jeg jobber for tiden med en nasjonal DPIA hvor KS sammen med en håndfull kommuner gjør en DPIA av Google Workspace for Education i skolen.

Du som har jobbet med DPIAer av tjenester levert av store leverandører (f.eks. Amazon, Google, Microsoft eller Apple), vet at det er notorisk vanskelig å gjøre.

Du vet jo f.eks. ikke hvordan disse selskapene har jobbet med innebygd personvern i de produktene som tilbys på markedet, men det er like fullt ditt ansvar å vurdere det. Og hvordan skal du finne ut av det?

Vel, først prøver du å lete opp informasjonen på hjemmesidene til leverandøren. De har gjerne en del etterlevelsesdokumentasjon som personvernerklæringer, databehandleravtaler og ISO 27 001-sertifiseringer.

Men det er ikke sikkert du finner begrunnelsene hvor hvorfor tjenesten er designet på den måten den er, og at leverandøren virkelig har ivaretatt innebygd personvern.

Da må du snakke med leverandøren. Eller rettere sagt, du PRØVER å ta kontakt med leverandøren. Det er ikke sikkert du får et svar. Mest sannsynlig får du ikke et svar. Eller så får du et BS-svar à la «det finner du på hjemmesiden» eller «we are compliant», og da er du basically like langt.

Det du da ender opp med å gjøre, er det jeg kaller å gå baklengs inn i fulgekassa. Med det mener jeg at du prøver å begrunne på hvilken måte personvernrettighetene og prinsippene er ivaretatt i løsningen, HELT UTEN at du kjenner til designprosessen!

Og det er ganske sjukt, men her er vi.

Da GDPR ble laget, visste lovgiver at det var et asymetrisk maktforhold mellom noen store leverandører / databehandlere og den behandlingsansvarlige. Og som et resultat inneholder GDPR flere krav for databehandler enn tidligere lovgivning. 

Men det er ikke nok. Min mening er at noen databehandler må pålegges ekstra krav. Krav som gjør det mulig for den behandlingsansvarlige å ivareta SINE plikter.

Sikre at vi løser de store utfordringene

Jeg har tenkt mye på hva utfordringene i dette personvernlandskapet jeg beveger meg i er. Hva er det vi sliter med, gang på gang, i de leverandørkjedene vi forholder oss til?

Det jeg kommer tilbake til, gang på gang, er at vi lykkes ikke med personvern med mindre de to-tre plattformene som sammen har monopol.

Ja, jeg snakker om Google og Microsoft. For de to selskapene er basically et duopol på markedet for digitale kontortjenester, du kan enten bruke Google Workspace eller Microsoft Office.

Og det betyr etter min mening at vi må regulere dem særskilt. Eller sagt på en annen måte, vi må regulere disse store plattformene særskilt.

Jammen, jammen, sier du kanskje. Men la meg stoppe deg og si en ting til før du kommer med noen innvendinger.

Vi har nå president for å lage egne kategorier som pålegger de aller største selskapene egne plikter:

EUs Digital Service Act gjelder veldig store online plattformer. I regelverket pålegges de egne plikter for å beskytte oss som brukere mot misinformasjon, skadelig innhold og for å gi brukere bedre digitale rettigheter.

Hva betyr dette?

Jo, at vi må restrukturere GDPR. Det er behov for en helt egen kategori for databehandlere som er så store, at behandlingsansvarlige «må» bruke dem.

Og hvis jeg kan ønske meg noe, er det at de pålegges krav som gjør det mulig for de behandlingsansvarlige ivareta SINE plikter.

Det jeg ønsker meg er at de pålegges å lage etterlevelsesdokumentasjon som skal publiseres offentlig, f.eks. på innebygd personvern. Og så vil jeg at de må lage en behandlingsprotokoll per tjeneste, som de også plikter å publisere.

Og at det skal være TYDELIG hvilket avtaleverk som regulerer de forskjellige tjenestene, for der er det en LANG vei å gå.

Og egne sanksjonsmuligheter slik at det blir lettere for datatilsyn å håndheve personvern – også overfor store aktører.

Og så er det sikkert andre ting som jeg ønsker meg, men som jeg ikke kommer på!

Denne bloggposten er basert på nyhetsbrevet mitt om personvern. Driver du med personvern og kunne tenke deg støtte i form av et ukentlig nyhetsbrev? Meld deg på her!