Schrems II nettside: Slik påvirkes norske bedrifter

Bruker du Google Analytics, Meta Pixel eller amerikanske skytjenester på nettsiden din? Da påvirker Schrems II deg direkte. Dommen fra EU-domstolen ugyldiggjorde Privacy Shield-avtalen og stiller strenge krav til hvordan norske nettsider håndterer personopplysninger som overføres til USA.

Kort oppsummert: Schrems II betyr at du som nettsideeier må ha et gyldig juridisk grunnlag for å overføre personopplysninger til amerikanske tjenester. Uten riktige tiltak risikerer du bøter på opptil 20 millioner euro eller 4 % av global omsetning.

Hva er Schrems II-dommen?

Schrems II er en dom avsagt av EU-domstolen i juli 2020. Dommen slo fast at Privacy Shield-avtalen mellom EU/EØS og USA ikke ga tilstrekkelig beskyttelse for personopplysninger. Den er oppkalt etter den østerrikske personvernaktivisten Max Schrems, som brakte saken for retten.

Norge er del av EØS og omfattes fullt ut av GDPR. Det betyr at alle norske virksomheter med en nettside må forholde seg til konsekvensene av dommen. Du trenger et gyldig overføringsgrunnlag dersom du sender personopplysninger til amerikanske selskaper. De vanligste alternativene er standardkontraktsklausuler (SCCs) kombinert med en risikovurdering, kalt Transfer Impact Assessment (TIA).

Schrems II nettside: Hvordan påvirker dommen deg?

Dersom du driver en nettside med norske besøkende, er du ansvarlig for å sikre at personopplysninger behandles i tråd med GDPR. Schrems II påvirker din nettside direkte hvis du bruker verktøy som overfører data til USA.

Eksempler på tjenester som er berørt:

  • Google Analytics (GA4) samler inn brukerdata som kan havne på amerikanske servere
  • Meta Pixel og Facebook-annonsering overfører sporingsinformasjon til USA
  • Mailchimp og andre amerikanske e-postplattformer lagrer kontaktlister i USA
  • Cloudflare og CDN-tjenester med amerikansk eierskap behandler trafikkinformasjon
  • AWS, Azure og Google Cloud brukes til hosting av mange norske nettsider

Datatilsynet i Norge har vært tydelige: Du er ansvarlig for all databehandling som skjer via nettsiden din. Flere europeiske datatilsyn har allerede ilagt bøter for ulovlig bruk av amerikanske analyseverktøy. For å komme i gang med en trygg digital tilstedeværelse kan du registrere et .no-domene hos Feno og bygge nettsiden din på norsk infrastruktur fra start.

Slik gjør du nettsiden din Schrems II-kompatibel

Her er en konkret fremgangsmåte for å sikre at nettsiden din følger reglene:

  1. Kartlegg dataflyten: Gå gjennom alle tredjepartstjenester på nettsiden din. Hvilke overfører personopplysninger ut av EØS?
  2. Vurder europeiske alternativer: Finnes det norske eller europeiske tjenester som kan erstatte de amerikanske? Matomo eller Plausible i stedet for Google Analytics, europeisk hosting i stedet for AWS.
  3. Gjennomfør en TIA: For tjenester du ikke kan erstatte, gjennomfør en Transfer Impact Assessment. Dokumenter risikoen og de ekstra tiltakene du iverksetter.
  4. Oppdater kontraktsklausuler: Sørg for at du bruker de oppdaterte SCCs fra EU-kommisjonen (2021-versjonen) med alle leverandører som overfører data til USA.
  5. Implementer tekniske tiltak: Bruk kryptering, pseudonymisering og dataminimering der det er mulig.
  6. Oppdater personvernerklæringen: Informer brukerne om hvilke overføringer som skjer, til hvilke land, og på hvilket juridisk grunnlag.

Norsk domene og norsk infrastruktur: Et tryggere valg

En av de enkleste måtene å redusere Schrems II-risikoen på er å velge norsk infrastruktur der det er mulig. Ved å bruke et .no-domene og norske tjenester minimerer du mengden personopplysninger som krysser landegrenser.

Et .no-domene signaliserer tillit og norsk tilhørighet overfor besøkende. I en tid der personvern og datasikkerhet står høyt på agendaen, er dette et tydelig konkurransefortrinn. Som norsk domeneregistrar tilbyr Feno:

  • .no-domener fra kun 99 kr/året med transparent prising
  • 100 % norsk eierskap og norsk kundeservice
  • Moderne kontrollpanel for DNS og navneserveradministrasjon
  • Ingen skjulte gebyrer eller overraskelser ved fornyelse

Ved å velge norske leverandører for domene, hosting og analyseverktøy bygger du en nettside som er enklere å holde i samsvar med GDPR og Schrems II.

Data Privacy Framework: Løser det Schrems II?

I 2023 ble EU-US Data Privacy Framework (DPF) vedtatt som en ny avtale for dataoverføring mellom EU og USA. Mange lurer på om dette gjør Schrems II irrelevant.

Svaret er: delvis, men med forbehold. DPF gir et nytt overføringsgrunnlag for selskaper som er sertifisert under rammeverket. Likevel advarer personverneksperter om at også denne avtalen kan bli utfordret i retten. Etter valget i USA i 2024 og politiske endringer i amerikanske overvåkningslover er usikkerheten fortsatt stor.

Vår anbefaling er å ikke stole utelukkende på DPF. Bruk europeiske og norske alternativer der det er praktisk mulig, og ha en reserveplan dersom rammeverket faller bort.

Vanlige spørsmål om Schrems II og nettsider

Gjelder Schrems II for små bedrifter og personlige nettsider?

Ja. GDPR gjelder for alle som behandler personopplysninger, uavhengig av bedriftens størrelse. Selv en enkel nettside med et kontaktskjema eller Google Analytics er berørt. I praksis er det mindre sannsynlig at Datatilsynet prioriterer de aller minste aktørene, men du bør likevel ta grep for å overholde regelverket.

Kan jeg fortsatt bruke Google Analytics etter Schrems II?

Det er mulig, men du må gjennomføre en risikovurdering og dokumentere at du har et lovlig overføringsgrunnlag. Google har gjort tilpasninger med GA4 og tilbyr datalagring i EU, men selskapet er fortsatt underlagt amerikansk lovgivning (FISA 702). Mange norske bedrifter velger europeiske alternativer som Matomo eller Plausible for å unngå problemstillingen helt.

Hva risikerer jeg ved brudd på Schrems II?

Brudd på GDPR kan medføre bøter på opptil 20 millioner euro eller 4 % av global omsetning. I tillegg kan Datatilsynet pålegge deg å stoppe dataoverføringen umiddelbart. Flere europeiske datatilsyn, blant annet i Østerrike, Frankrike og Italia, har allerede fattet vedtak mot nettsider som brukte Google Analytics uten tilstrekkelig grunnlag.

Oppsummering

Schrems II har gjort det viktigere enn noensinne å ta bevisste valg om tjenestene du bruker på nettsiden din. Ved å kartlegge dataflyten, vurdere norske og europeiske alternativer, og bygge på trygg infrastruktur, reduserer du risikoen betydelig.

Start med det enkleste grepet: Sikre ditt .no-domene hos Feno i dag og ta kontroll over din digitale tilstedeværelse med en 100 % norskeid domeneregistrar. Domener fra kun 99 kr/året, helt uten skjulte kostnader.

Registrer ditt .no-domene i dag

Sikre deg det perfekte domenenavnet for din bedrift eller prosjekt. Enkel registrering og administrasjon.

  • Norsk domeneforhandler
  • Enkel DNS-administrasjon
  • Konkurransedyktige priser
Kom i gang

Du vil kanskje også like dette