Med Donald Trump som president i USA, kan norske bedrifter, ja bedrifter i alle de nordiske land, bli tvunget til å endre hele sin IT-infrastruktur.
I disse dager skrives det spaltekilometer på spaltekilometer i norske media om Trump. Alle peker på at valget av Trump kan gjøre det vanskeligere å navigere sikkerhetspolitisk for Norge. Men det mange kommentatorer ikke har fått med seg, er at også norsk næringsliv kan få et lite mareritt i fanget når Trump overtar styringa i januar.
Nei, her tenker man ikke på mulig handelskrig eller tollmurer, men noe så dagligdags som IT-systemene man bruker.
WAYSCloud, som er et ledende firma innen kunstig intelligens, advarte i forkant av muligheten for at Donald Trump skulle klare å vinne det amerikanske presidentvalget, om at endringer i amerikansk overvåkningslovgivning kan få alvorlige konsekvenser for nordiske bedrifter. Potensielle endringer kan undergrave Data Privacy Framework (DPF), noe som kan tvinge virksomheter til å migrere bort fra amerikanske skytjenester og endre hvordan de kommuniserer internt og tilbyr tjenester gjennom plattformer som Microsoft Azure, Google Cloud og Amazon AWS.
Alvoret i situasjonen
Etter en dom i EU-domstolen i 2020 var det i praksis ulovlig å bruke amerikanske leverandører for behandling av personopplysninger på grunn av manglende beskyttelse mot amerikansk overvåking. Innføringen av DPF sikret midlertidig at man kunne bruke sertifiserte leverandører i USA. Nå har det blitt signalisert at en ny administrasjon kan se på overvåkningslovgivningen.
Endringer kan imidlertid føre til at DPF mister sin gyldighet. Dette vil gjøre det ulovlig å overføre personopplysninger til USA basert på DPF, og bruken av Standard Contractual Clauses (SCC) kan også påvirkes. Bedrifter må da revurdere sine leverandører og finne alternativer innenfor EØS.
– Vi kan potensielt stå i en situasjon på kort tid der våre hverdagstjenester blir ulovlige, advarer Knut Michael Haugland, daglig leder i WaysCloud AS.
– Dette påvirker ikke bare intern kommunikasjon, men også hvordan vi betjener våre kunder. Alvoret kan ikke undervurderes, og bedrifter må handle nå for å sikre kontinuitet og overholdelse av lovverket.
Alt dette kan få store konsekvenser for bedrifter. De kan bli nødt til å flytte data og tjenester fra amerikanske leverandører til lokale alternativer, noe som kan være kostbart og tidkrevende. Verktøy for internkommunikasjon, som mange er avhengige av, kan bli ulovlige å bruke uten omfattende sikkerhetstiltak. Bedriftene kan også pådra seg økt risiko rent juridisk. Brudd på GDPR kan medføre betydelige bøter og skade bedriftens omdømme. I tillegg kommer det faktum, som alle som har byttet PC kan oppleve, at overgang til nye systemer kan føre til nedetid og redusert
produktivitet.
Hva betyr dette egentlig?
Mange bedrifter i Norge og resten av Norden bruker amerikanske skytjenester som Microsoft Azure, Google Cloud og Amazon AWS for å lagre data, kommunisere internt og tilby tjenester til kundene sine. Disse plattformene er viktige verktøy i hverdagen til både små og store selskaper.
Men hvis det skjer endringer i amerikansk lovgivning etter gårsdagens valg, kan disse tjenestene plutselig bli problematiske å bruke. Grunnen er at europeiske personvernlover (GDPR) stiller strenge krav til hvordan personopplysninger beskyttes. Hvis USA endrer sine lover slik at de ikke lenger oppfyller disse kravene, kan det bli ulovlig for europeiske bedrifter å overføre personopplysninger til amerikanske selskaper.
Så hva betyr dette i praksis?
Daglige verktøy kan bli ulovlige. Programvare og tjenester vi bruker for å kommunisere med kolleger og kunder kan bli ulovlige å bruke uten omfattende sikkerhetstiltak. Bedrifter må kanskje raskt finne nye løsninger for datalagring og kommunikasjon, noe som kan være både dyrt og krevende.
Overgangen til nye systemer kan føre til nedetid og redusert effektivitet, noe som kan påvirke kundeservice og bedriftens omdømme.
Ved å velge leverandører som lagrer og behandler data innenfor Europa, kan bedrifter unngå disse utfordringene. Det handler om å sikre at man følger loven og beskytter både bedriftens og kundenes informasjon, uavhengig av politiske endringer i andre land.