Hva skjer med GDPR under Trump?
Med Donald Trump tilbake som president i USA, er det økende bekymring i Europa for fremtiden til EU–US Data Privacy Framework (DPF) – det nåværende rettsgrunnlaget for overføring av personopplysninger fra EU/EØS til USA.
Selv om DPF ble etablert for å sikre tilstrekkelig beskyttelse av europeiske borgeres data, har Trumps administrasjon iverksatt tiltak som kan undergrave denne beskyttelsen og dermed sette overføringsgrunnlaget i fare.
Hva er problemet?
-
Politiske signaler om reversering av tidligere tiltak
Trumps administrasjon har uttrykt intensjon om å gjennomgå og potensielt oppheve flere av forgjengerens direktiver, inkludert Executive Order 14086, som var sentral for å etablere DPF. Dette skaper usikkerhet om USA fortsatt vil opprettholde de nødvendige beskyttelsestiltakene for europeiske data. -
Svekkelse av tilsynsorganer
Et av de første tiltakene under Trumps nye periode var å fjerne alle medlemmer tilknyttet Demokratene fra Privacy and Civil Liberties Oversight Board (PCLOB), et uavhengig tilsynsorgan som overvåker amerikansk etterretningsvirksomhet og er en viktig del av DPFs kontrollmekanismer. Uten et fungerende PCLOB er det tvil om hvorvidt europeiske borgere har tilstrekkelig rettsvern i USA. Det stilles tvil om PCLOB allerede er ute av stand til å oppfylle sitt mandat og at vilkårene for DPF allerede er brutt. -
Økt europeisk skepsis og regulatorisk press
Flere europeiske land, inkludert Tyskland, Nederland, Danmark og Norge, har uttrykt bekymring for DPFs fremtid og oppfordrer til redusert avhengighet av amerikanske skytjenester. Dette signaliserer en mulig politisk vilje til å trekke tilbake tilliten til DPF som overføringsgrunnlag. -
Risikabelt rettsgrunnlag for markedsførere og teknologiselskaper
Hvis DPF blir kjent ugyldig, vil selskaper som bruker amerikanske plattformer som Google Analytics, Meta Ads eller amerikanske CRM-systemer, kunne stå uten lovlig grunnlag for dataoverføring. Dette kan føre til bøter, kampanjesuspensjoner og tap av kundetillit.
Hva bør norske virksomheter gjøre nå?
CoreTrek anbefaler å gjennomføre noen tiltak som setter deg i stand til å vurdere ditt firmas eksponering og tilhørende risikoprofil. Vi tror ikke at det er noen akutt fare for at europeiske selskaper ikke lenger kan benytte Google, Microsoft, LinkedIn, Facebook og tilsvarende løsninger. De økonomiske interessene på begge sider at Atlanteren er så store at det skal mye til at det ikke raskt vil etableres praktiske løsninger om en krise skulle oppstå. Vi forventer likevel at det med jevne mellomrom vil oppstå uro knyttet til disse forholdene.
Derfor mener vi at det er fornuftig å gjøre noen konkrete vurderinger og etablere en handlingsplan. Dette kan oppsummeres i følgende punkter:
-
Kartlegg dataflyt: Identifiser hvilke systemer og tjenester du benytter i dag og som innebærer overføring av personopplysninger til USA.
-
Implementer EU-baserte løsninger: Når du skal oppgradere eksisterende eller velge nye løsninger, bør du overveie å bytte til europeiske leverandører for skytjenester, analyseverktøy og CRM-systemer slik at du i fremtiden kan unngå overføringsproblematikken. Det finnes mange gode europeiske alternativer.
-
Hold deg oppdatert: Følg med på utviklingen i både EU og USA, spesielt eventuelle rettsavgjørelser eller politiske endringer som kan påvirke dataoverføringer. CoreTrek følger løpende med på disse forholdene og vi vil varsle våre kunder dersom det oppstår forhold som er av betydning på dette området.
På denne måten kan du sikre at dere forblir i samsvar med GDPR og unngår potensielle forstyrrelser i den operative driften.
