Forholdet mellom USA og EU når det gjelder dataflyt og personvern har lenge vært preget av juridisk usikkerhet. Med Donald Trumps retur til det hvite hus, stiller mange eksperter nå spørsmålet: Hvordan vil en ny «America First»-politikk påvirke den skjøre enigheten som i dag tillater datautveksling over Atlanteren? For norske bedrifter som bygger sine KI-løsninger på amerikanske skyplattformer, er dette ikke bare storpolitikk – det er en operasjonell risiko.
Status Quo: Et skjørt rammeverk
For å forstå fremtiden, må vi se på nåtiden. I juli 2023 vedtok EU-kommisjonen det nye EU-US Data Privacy Framework (DPF). Dette rammeverket erstattet det tidligere «Privacy Shield», som ble kjent ugyldig av EU-domstolen i den berømte Schrems II-dommen.
Kjernen i dagens avtale hviler tungt på president Bidens Executive Order 14086. Denne presidentordren innførte nye begrensninger for amerikanske etterretningstjenesters tilgang til europeiske data og etablerte en klagemekanisme for EU-borgere. Det er nettopp denne presidentordren som nå kan være i spill.
Trumps deregulering og nasjonal sikkerhet
Donald Trumps politiske plattform har historisk sett prioritert nasjonal sikkerhet og deregulering av næringslivet høyere enn internasjonalt diplomati og personvernregler. Analytikere peker på to hovedscenarioer som kan skape problemer for GDPR-etterlevelse:
1. Tilbaketrekking av Executive Order 14086
En presidentordre kan enkelt omgjøres av en sittende president. Dersom Trump-administrasjonen vurderer at begrensningene på amerikansk etterretning (CIA, NSA) hindrer nasjonal sikkerhet, kan ordren trekkes tilbake eller utvannes.
Juridisk sett vil dette være katastrofalt for Data Privacy Framework. Uten garantiene i EO 14086, vil EU-kommisjonens grunnlag for å godkjenne USA som et «trygt tredjeland» forsvinne. Dette vil nesten umiddelbart føre oss tilbake til en situasjon lignende Schrems II, hvor dataoverføring blir ulovlig uten omfattende tilleggstiltak.
2. Manglende føderal personvernlovgivning
USA mangler fortsatt en føderal personvernlov tilsvarende GDPR. Mens stater som California har innført egne lover (CCPA/CPRA), er det lite som tyder på at en republikansk ledet kongress vil prioritere streng, føderal regulering av teknologigiganter. Tvert imot har Trump signalisert et ønske om å fremme amerikansk dominans innen kunstig intelligens ved å fjerne «unødvendige byrder» for teknologiselskapene.
KI-kappløpet og «Brussels Effect»
Forholdet kompliseres ytterligere av det pågående kappløpet innen kunstig intelligens. EU har nylig innført AI Act, verdens første omfattende lovgivning for kunstig intelligens. En Trump-administrasjon vil sannsynligvis innta en mer laissez-faire holdning til KI-regulering for å sikre at amerikanske selskaper som OpenAI, Google og Microsoft beholder sitt forsprang mot Kina.
Dette skaper en ideologisk kløft: EU regulerer for sikkerhet og rettigheter, mens USA under Trump sannsynligvis vil regulere (eller deregulere) for innovasjonshastighet og markedsmakt. Dette kan føre til handelskonflikter hvor dataflyt blir brukt som forhandlingskort.
Hva betyr dette for norske bedrifter?
Norge er gjennom EØS-avtalen bundet av GDPR. Norske virksomheter er i stor grad digitalisert og avhengige av amerikanske skytjenester (AWS, Azure, Google Cloud).
«Usikkerhet er den nye normalen. Norske virksomhetsledere må ha en plan B for dataflyt, uavhengig av hvem som sitter i Det hvite hus.»
Dersom det politiske landskapet i USA fører til at DPF kollapser, vil norske bedrifter igjen måtte lene seg på Standard Contractual Clauses (SCCs) og gjennomføre krevende Transfer Impact Assessments (TIAs). Datatilsynet har tidligere vært tydelige på at man ikke kan ignorere risikoen for innsyn fra amerikanske myndigheter.
NOYB og Max Schrems venter ikke
Uavhengig av Trump, er dagens rammeverk allerede under angrep. Personvernorganisasjonen NOYB (None of Your Business), ledet av Max Schrems, har allerede varslet at de vil utfordre det nåværende rammeverket i retten. En mer aggressiv amerikansk holdning til overvåkning under Trump vil bare gi NOYB sterkere argumenter i EU-domstolen.
Konklusjon
Selv om Trump ikke direkte kan endre GDPR (som er EU-lov), kan hans handlinger i USA indirekte gjøre det umulig for selskaper å overholde loven når de sender data over Atlanteren. For norske teknologiledere og personvernombud betyr dette at man må følge nøye med på signaler fra Washington D.C. og Brussel i tiden fremover. Det politiske skiftet i USA kan raskt forvandle seg til en juridisk hodepine i Europa.
Kilder og videre lesning
- EU Commission: EU-US Data Privacy Framework - Offisiell informasjon om dagens avtale.
- NOYB: EU-US Data Transfers - Oversikt over søksmål og analyser fra Max Schrems' organisasjon.
- IAPP: Impact of a potential second Trump term - Analyse fra International Association of Privacy Professionals.
- Datatilsynet: Overføring av personopplysninger ut av EØS - Veiledning for norske virksomheter.
- The White House: Executive Order 14086 - Selve presidentordren som regulerer etterretning (Biden-administrasjonen).