Max Schrems: Personvern på papiret – men hvor er gjennomføringen?

I en Masterclass med Europas mest kjente personvernjurist, Max Schrems (NOYB), fikk vi presentert et dystert bilde:

• Kun 1,3 % av anmeldte saker ender i dom.

• I Irland henlegges 99,9 % av sakene.

• Mindre enn 1 % av bøtene blir betalt.

• Behandlingstiden er ofte over 10 år.

Schrems er Europas ledende Personvernjurist og leder selskapet NOYB (“None Of Your Business”) noyb.eu 

NOYB tar utgangspunkt i at personvern er en menneskerett og anmelder brudd på personvernreglene. Han har anmeldt alle de store Big Tech-selskapene og det har medført store bøter.  Likevel: personvern er forankret i EUs charter. Fremover kan det bli en viktig test på om EU faktisk setter handling bak ordene – ikke minst i møte med press fra USA.

Exit-strategi fra USA-baserte skyløsninger

Kommer vi dit at vi ikke lenger har et gyldig juridisk grunnlag for å bruke amerikanske skyløsninger? Hva er sannsynligheten for at dette kan skje? Sannsynligheten er lav, kanskje bare 0,5% eller enda lavere. Det er to situasjoner som kan gi et slikt resultat:

• EU-domstolen kan erklære at dagens juridiske grunnlag for å bruke USA-baserte skyløsninger er ugyldig. Det kan faktisk være slik at grunnlaget allerede er ugyldig, men ingen har foreløpig løftet saken til domstolsnivå. 

• Trump kan beslutte at big tech-selskapene ikke lenger kan tilby sine tjenester til EU/EØS-land. Dette har allerede skjedd, og Microsoft tilbyr ikke lenger sine tjenester i land som Kuba, Iran, Sudan og Syria.

Men, hvilken risiko utgjør dette i virkeligheten? Et eksempel som ble trukket frem, er om man er et helseforetak og benytter USA-baserte løsninger. Er da 0,5% lav risiko? Hva om helseopplysningene ikke lenger er tilgjengelig? Her må hvert enkelt selskap gjøre seg sine egne vurderinger og lage sine strategier. 

Data Spaces – deling på EUs premisser

Data spaces (eller "datarom" på norsk) er et konsept fra EUs datastrategi som handler om å skape trygge og tillitsbaserte økosystemer for datadeling.I stedet for å samle all data på ett sentralt sted, lar data spaces aktører beholde kontrollen over sine egne data og kun dele dem når det er nødvendig.

Det blir interessant å følge utviklingen på dette området og vi kommer tilbake med mer informasjon når vi ser hvordan dette vil fungere i praksis.

Sikkerhet i fokus

I en verden med et økende trusselbilde øker kravene til sikkerhet. Sikkerhet og personvern henger tett sammen. Sikkerhet var derfor en integrert del av mange av presentasjonene på Personverndagene. Her er noen stikkord som oppsummerer rådene som ble gitt:

Arbeidsmiljø: Et godt arbeidsmiljø er grunnlaget for god sikkerhet. Et godt arbeidsmiljø er preget av gjensidig tillit, noe som igjen legger grunnlaget for en god rapporteringskultur. 

Innkjøp: Dårlige innkjøpsrutiner gir dårlig sikkerhet. Pris trumfer ofte kvalitet. Er sikkerhet et vurderingskriterie når det skal gjøres innkjøp av ting som kan påvirke virksomhetens sikkerhet? Det er summen av mange dårlige innkjøp som gir dårlig sikkerhet. 

Identifiser dine svakheter: Ingen kan være best på alt. Finn ut hvor dine svakheter ligger. Beslutt hvilke tiltak som bør gjennomføres og gjør en god jobb med disse. 

Zero Trust strategi: Dette er en tilnærming til Cybersikkerhet som baserer seg på prinsippet “Aldri stol på, alltid verifiser”. Man kan ikke automatisk stole på noe, hverken maskinvare, programvare eller ansatte. Elementer kan kan bruke for å gjennomføre denne strategien er:

• Flerfaktorautentisering

• Endepunktssikkerhet

• Identitetsstyring

• Kontinuerlig overvåkning og logging

• Strenge oppgraderingsrutiner. Alltid være på siste versjoner. 

Er kinesiske biler rullende overvåkningsplattformer?

Et forskningsprosjekt ved USN stilte det ubehagelige spørsmålet: Kan moderne elbiler brukes som overvåkingsplattformer – eller til og med stoppes på kommando? Svaret var ja.

Bilen som ble testet er online 24/7 med 2-veiskommunikasjon. Uavhengig av om bilen ble brukt eller ikke, foregikk det en uavbrutt kommunikasjon. Innholdet var kryptert, så det var ikke mulig å avsløre innholdet. Det som er sikkert, er at det løpende overføres programvare som oppdaterer alle bilens IT-systemer. Dermed er det også mulig å programmere en eller flere biler til eksempelvis å ikke fungere etter et angitt tidspunkt. 

Bilens mange kameraer overfører løpende bilder til en server. I det aktuelle tilfellet ble et enormt bildemateriale overført til kameraprodusenten. 

Testen av en NIO ES8 avslørte:

• Kontinuerlig kommunikasjon mellom bil og server, 24/7.

• Kameraer som overfører store mengder bilder.

• En ung norsk hacker klarte å ta kontroll over både programvareoppdateringer og bildestrøm.

Disse systemene brukes i prinsippet av alle som produserer moderne biler, altså ikke bare kineserne. Teknisk sett er ikke kinesiske biler mer utsatt enn andre biler. 

Studien avslørte store sikkerhetsrisikoer knyttet til moderne biler. Om noen ser seg tjent med å utnytte dette er en annen sak. Hackingen er forøvrig på forskriftsmessig måte meldt inn til de rette organer, noe som forhåpentligvis øker sikkerheten noen hakk. Bilen som ble testet var forøvrig en NIO ES8, en bil som er utbredt i taxi-næringen.