Er det trygt for nettselskapene å lagre data utenfor EU?

Norske nettselskap forvalter kritisk infrastruktur, men likevel lagres store mengder sensitive data på servere utenfor Europa, ofte uten at det er et bevisst valg.

Datatilsynet er tydelig: overføring av personopplysninger til land utenfor EØS er ulovlig med mindre virksomheten har identifisert et gyldig overføringsgrunnlag – og at dette grunnlaget faktisk fungerer i praksis. Det holder ikke å ha en avtale på papiret.

Når data havner utenfor Europa

Konsekvensene er godt kjent i juridiske og sikkerhetsfaglige miljøer, men trolig sjelden diskutert i styrerommene til nettselskaper:

• Myndigheter i andre land kan kreve innsyn i data lagret på deres territorium

• Databehandleravtaler som ikke dekker tredjelandsoverføringer gir ikke reell beskyttelse

• Datatilsynet kan ilegge bøter – uavhengig av om bruddet var tilsiktet

• Tilliten fra kunder kan lide når slike saker blir offentlige

Dette kommer i tillegg til et trusselbilde som bare blir mer krevende. Nasjonal sikkerhetsmyndighet (NSM) oppfordrer norske virksomheter til å ha tydelige beredskapsplaner og gjennomføre forebyggende, risikoreduserende tiltak – og understreker at den politiske sikkerhetssituasjonen gjør dette mer presserende enn noen gang.

En mer ansvarlig tilnærming

I AIREL har vi valgt å flytte alle data til Europa. Det betyr at data behandlet gjennom vår plattform aldri forlater EØS-området – verken i drift, sikkerhetskopiering eller vedlikehold.