# Reelt vs. tilsynelatende personvern: spørsmålene man bør stille seg

> Cuadernos Lacre
> https://solo2.net/nb/notisboeker/articulos/arkitektonisk-kontra-deklarativt-personvern.html

Operativ syntese av syklus 2: spørsmålene som skiller en tjeneste med arkitektonisk personvern fra en med deklarativt personvern. Et spørreskjema for den europeiske fagpersonen før vedkommende tar i bruk et digitalt verktøy for sensitive data.

---

> For å forstå hverandre: To tjenester med samme juridiske merknad kan oppføre seg svært forskjellig. Den ene beskytter ved teknisk utforming. Den andre beskytter ved kontraktsmessig løfte. Forskjellen kan ikke leses i merknaden — den oppdages ved å stille de konkrete spørsmålene. Svarenes kvalitet sier like mye om produktet som deres eget innhold.

## Forskjellen mellom arkitektonisk og deklarativt personvern

I løpet av de syv foregående artiklene i denne syklusen har vi beveget oss gjennom ulike lag av samme tema. Retten om internasjonale overføringer med Schrems II. Den matematiske ideen om den kryptografiske hashen som forsegler hver Cuaderno. Det arkitektoniske valget av kill switch og den institusjonelle fangsten som nesten alltid følger den. Mekanismen i ende-til-ende-krypteringen og det operative spørsmålet om hvor nøklene befinner seg. Tilpasningen av insentivene etter forretningsmodellen. Den selvsuverene kryptografiske identiteten. Self-hosting som forholdsmessig strategi. Hver artikkel tok for seg én vinkel. Denne, den siste i syklusen, samler dem i et spørreskjema.

Distinksjonen det er verdt å huske er enkel: det finnes tjenester hvis personvern er *arkitektonisk* og det finnes tjenester hvis personvern er *deklarativt*. Det første er innebygd i den tekniske utformingen: visse brudd på personvernforpliktelsen er teknisk vanskelige eller umulige fordi arkitekturen ikke tillater dem. Det andre er nedfelt i teksten i den juridiske merknaden: visse brudd ville være kontraktsmessig sanksjonerbare hvis de inntreffer, men teknisk hindrer ingenting dem. Begge modellene kan oppfylle GDPR; men den ene beskytter ved konstruksjon og den andre beskytter ved løfte, og forskjellen er operativt enorm.

Spørsmålene som følger er utformet for å skille det ene tilfellet fra det andre. Det er ikke avanserte tekniske spørsmål. Det er spørsmålene som enhver ærlig leverandør kan besvare i sin offentlige dokumentasjon. Svarets kvalitet og presisjon sier like mye om produktet som svaret selv. Spørsmålene grupperes i seks lag; det er greit å stille dem alle før man tar tjenesten i bruk for sensitive data, ikke bare de som det første instinktet identifiserer.

## Lag 1: arkitektur

La oss fastsette et begrep før vi går videre. Med *operatør* mener vi selskapet som leverer tjenesten: enheten som kontrollerer serverne og programvaren, ikke en bestemt person. Med det avklart er det grunnleggende arkitektoniske spørsmålet: hva gjør operatøren med innholdet mellom avsender og mottaker? Det finnes tre mulige svar, og det er verdt å kunne skille dem fra hverandre, for alle tre markedsføres iblant med liknende ordbruk.

Det utfyllende spørsmålet — allerede formulert i Cuaderno om kryptering — er: hvem har de kryptografiske nøklene som gjør det mulig å lese innholdet? Hvis brukeren har dem og bare brukeren, er krypteringen reell. Hvis operatøren i tillegg har dem i noen form — selv under navnet «kontogjenoppretting» eller «synkronisering mellom enheter» —, er krypteringen nominell. Spørsmålet tillater ikke et ærlig mellomsvar.

## Lag 2: forretningsmodell

Spørsmålet om forretningsmodellen betyr like mye som det arkitektoniske spørsmålet, og av samme vesentlige grunn: insentiver frembringer over tid systematisk ulike produkter, selv med identisk uttalte formål. Hvordan tjener operatøren penger i dag? En enkelt kilde, to, en blanding? Hvis finansieringen omfatter reklame eller monetisering av data, hvilke data monetiseres da og på hvilket rettsgrunnlag i GDPR skjer det? Dekker formålet som uttales i den juridiske merknaden de tredjepartsdataene som fagpersonen har til hensikt å betro tjenesten?

Og spørsmålet av andre orden, ikke alltid formulert: hvordan er operatørens finansielle situasjon på tre til fem års sikt? Et selskap i venturekapitalfasen opererer under et annet press enn et selskap med stabil lønnsomhet. Endringen av finansieringsmodellen er gjentatte ganger øyeblikket der den implisitte kontrakten med brukerne skrives om uten forhandling.

## Lag 3: jurisdiksjon

For den europeiske fagpersonen er spørsmålet om jurisdiksjon ikke retorisk. I hvilken jurisdiksjon er operatøren registrert? I hvilket land befinner serverne som behandler dataene seg fysisk? Er svaret på de to foregående spørsmålene det samme eller forskjellig, og hvis det avviker, hvilken lovgivning gjelder? En europeisk region drevet av et amerikansk selskap er, med hensyn til Schrems II, ikke et europeisk svar: selskapet er underlagt FISA 702 uavhengig av hvor serverne befinner seg.

Det utfyllende operative spørsmålet er: hvis det i morgen kom en etterretningsordre som er gyldig i operatørens jurisdiksjon og som krevde utlevering av dataene mine eller klientenes mine, hva ville da skje? Hvis det ærlige svaret begynner med «selskapet ville være forpliktet til å utlevere dem», beskytter ikke tjenesten mot den ordren uansett hvor mye reklamen antyder det motsatte. Hvis det ærlige svaret begynner med «selskapet kunne ikke utlevere dem fordi det ikke har dem i klartekst», beskytter tjenesten virkelig; og forskjellen avhenger nesten fullstendig av de to første lagene, ikke av personvernerklæringens kvalitet.

## Lag 4: operatør og kill switch

Hvilken teknisk kapasitet beholder operatøren til å suspendere, blokkere, slette eller forringe tjenesten på avstand? Spørsmålet er ikke paranoid: det er operativt. De digitale plattformene har gjentatte ganger utøvd denne kapasiteten de siste årene, noen ganger på eget initiativ, andre ganger etter ordre fra regjeringer, andre ganger etter eierskifter eller policyendringer. Hvis kapasiteten finnes, er det greit å vite under hvilke kontraktsmessig uttalte forutsetninger den utøves, og å reservere en margin for de uuttalte forutsetningene som de siste årenes praksis har vist å være like relevante: uventet rettskjennelse, internasjonal sanksjon, endring av selskapsstyre, oppkjøp av en enhet med en annen policy.

Søsterspørsmålet er det om kontinuitetsplanen: hvis operatøren utøvde kapasiteten mot fagpersonen — uansett grunn, rettferdig eller ikke —, hvor mye driftstid ville fortsatt være tilgjengelig, hvilken prosedyre for eksport av data finnes det, og til hvilken alternativ leverandør kunne man migrere? Hvis svaret begynner med «det burde ikke skje», er det ikke et operativt svar; det er et løfte.

## Lag 5: identitet og tilgang

Hvem kontrollerer påloggingsopplysningene til tjenesten? Hvis operatøren kan tilbakestille brukerens tilgang uten brukerens medvirkning — en prosedyre som vanligvis kalles «kontogjenoppretting» —, er operatøren teknisk sett kontoens forvalter og kan også overdra den til den som ber om det via egnet prosedyre. Hvis operatøren ikke kan tilbakestille tilgangen fordi identiteten ligger kryptografisk på brukerens enhet, kan operatøren heller ikke overdra den, ikke engang etter ordre. Begge modaliteter er legitime avhengig av konteksten; men, igjen, de er forskjellige, og det er greit å vite hvilken man tar i bruk.

Hva skjer med fagpersonens data hvis fagpersonen mister tilgangen? Finnes det gjenopprettingsmekanismer — for konto, fil, økt — som er avhengige av operatøren? Er disse mekanismene forenlige med bransjens fagetikk hvis operatøren tvinges til å bruke dem?

## Lag 6: fremtid

Dette siste laget blir ofte forsømt fordi det krever projeksjon. Hva ville skje hvis tjenesten ble kjøpt opp av et annet selskap? Nesten alle oppkjøp medfører en revisjon av tjenestevilkårene i de påfølgende månedene. Hva ville skje hvis de regulatoriske kravene endret seg? Den europeiske retten har økt forpliktelsene til fjerning og blokkering siden 2022, ikke redusert dem. Hva ville skje hvis operatøren forsvant? En betydelig del av skytjenestene har ingen dokumentert exit-plan for scenarioet der operatøren legger ned; fagpersonen oppdager problemet når det ikke lenger er tid til å forberede det.

Det finnes en formulering det er verdt å huske for dette laget: arkitekturer som er mindre avhengige av operatøren er mer motstandsdyktige mot endringer hos operatøren. Self-hosting i alle sine modaliteter, den selvsuverene kryptografiske identiteten, kommunikasjonen uten server imellom — alt dette reduserer den fremtidige risikoflaten gjennom prosedyren med å redusere den nåværende avhengighetsflaten. De eliminerer den ikke; de reduserer den.

## Forskjellen mellom struktur og løfte

Hvis vi måtte destillere syklusen til én eneste setning, ville det være denne: de strukturelle svarene består selv om operatøren, forvaltningen eller lovgivningen endrer seg; svarene per løfte består så lenge den som lover kan og vil opprettholde dem. Begge kan være riktige i det øyeblikket de aksepteres. Bare det ene av de to holder uavhengig av tidens gang og omstendighetenes endring.

Dette betyr ikke at hver fagperson må kreve strukturelle svar av alle tjenestene vedkommende tar i bruk. Forholdsmessigheten forblir legitim: et regneark for intern bokføring trenger ikke det samme svaret som en pasients journal. Det betyr imidlertid at profesjonalitet består i å vite hvilken slags svar man har akseptert i hvert enkelt tilfelle, og i bevisst å ha besluttet at den slags svar er forholdsmessig med den konkrete dataen.

## Spørreskjemaet, ordnet

Tolv konkrete spørsmål som sammenfatter syklusen, ordnet slik at svaret på hvert enkelt informerer det neste:

1. Passerer innholdet gjennom en server hos operatøren? Hvis ja: i klartekst, kryptert med operatørens nøkler, eller kryptert med nøkler som utelukkende tilhører brukeren?
2. Hvis ende-til-ende-kryptering påberopes, hvor befinner de kryptografiske nøklene seg? Kjenner til eller bevarer operatøren noen del av dem i noen form, inkludert «gjenoppretting»?
3. Hvilke metadata genererer og bevarer tjenesten? Hvor lenge? For hvem er de synlige?
4. Hvordan finansieres operatøren? Hvis finansieringen omfatter reklame eller monetisering av data, dekker det uttalte formålet da tredjeparts data betrodd av fagpersonen?
5. Hvordan er operatørens finansielle situasjon på tre til fem års sikt? Finnes det faktorer som antyder en forestående modellendring (forestående børsnotering, finansieringsrunde som er i ferd med å ta slutt, sannsynlig oppkjøp)?
6. I hvilken jurisdiksjon er operatøren registrert? I hvilket land befinner serverne seg fysisk? Hvis de avviker, hvilken nasjonal lovgivning gjelder da for behandlingen?
7. Hva ville skje hvis en etterretningsordre som er gyldig i operatørens jurisdiksjon krevde utlevering av dataene mine? Ville selskapet teknisk kunne etterkomme den?
8. Hvilken teknisk kapasitet beholder operatøren til å suspendere, blokkere eller slette tjenesten? Under hvilke kontraktsmessige forutsetninger? Under hvilke historisk dokumenterte ikke-kontraktsmessige forutsetninger?
9. Hvilken exit-plan finnes hvis operatøren utøvde denne kapasiteten mot meg, rettferdig eller urettferdig? Finnes det en dokumentert prosedyre for eksport av data til en alternativ leverandør?
10. Hvem kontrollerer påloggingsopplysningene? Kan operatøren tilbakestille dem uten min medvirkning? Beskytter det meg eller utsetter det meg?
11. Finnes det et europeisk, selvhostet eller serverløst alternativ for denne konkrete funksjonen? Hva er dens reelle kostnad sammenlignet med den vurderte risikoen?
12. Hvis dagens beslutning om fem år ble undersøkt av en inspektør, en revisor eller en kunde rammet av et brudd, ville det nåværende valget da være forsvarlig med de argumentene som er tilgjengelige i dag, eller ville det kreve en unnskyldning for ikke å ha stilt rimelige spørsmål?

Spørsmålene venter ikke perfekte svar. De venter ærlige svar, som den ærlige operatøren vet å gi og som den mindre ærlige operatøren unngår å formulere presist. Den operative forskjellen mellom de to slags operatører, det sier vi uten dramatikk, merkes som regel ved å lese sakte de svarene de tilbyr frivillig, allerede før man må be om mer.

---

*Med denne artikkelen avslutter vi den andre syklusen av Cuadernos Lacre. Vi begynte med den redaksjonelle gjelden arvet fra Schrems II og slutter med et operativt spørreskjema. Underveis har vi beveget oss gjennom begreper — hash, kryptering, identitet — og anvendte analyser — kill switch, forretningsmodell, self-hosting. Publikasjonens uttalte redaksjonelle hensikt var ikke å overvelde leseren med den uttømmende listen over problemer, men å gi vedkommende verktøy slik at han overfor enhver ny tjeneste kan skille hvilken slags svar han aksepterer. Den distinksjonen — mellom arkitektur og løfte — er verktøyet. Resten vil hver fagperson stille til tjeneste for de dataene som han i sin praksis anser verdige spørsmålet.*

## Kilder og videre lesing

- Denne publikasjonen, syklus 2 (mai 2026) — *Schrems II, fem år senere*, *Hva SHA-256 egentlig er*, *Kill switch og institusjonell fangst*, *Ende-til-ende-kryptering, forklart på ordentlig*, *Forretningsmodellen som et tegn på tillit*, *De 24 ordene: hva en kryptografisk identitet er*, *Self-hosting som profesjonell praksis*. De syv artiklene som dette spørreskjemaet hviler på.
- Forordning (EU) 2016/679 — Den generelle personvernforordningen. Juridisk referanseramme for alle spørsmålene som spørreskjemaet reiser, særlig artikkel 5, 6, 25, 28, 32, 33 og kapittel V.
- Det europeiske personvernrådet — operative retningslinjer og uttalelser om Schrems II, internasjonale overføringer, konsekvensvurderinger og proaktiv ansvarlighet (publikasjoner 2020-2024).
- Det spanske datatilsynet — offentliggjorte sanksjoner 2022-2024 mot behandlingsansvarlige for uegnede overføringsinstrumenter eller for formelle konsekvensvurderinger uten vesentlig innhold.
- noyb.eu — Det europeiske senteret for digitale rettigheter, ledet av Maximilian Schrems. Offentlig arkiv over klager, rettsmidler og analyser om den reelle, ikke tilsynelatende etterlevelsen av de europeiske personvernreglene.

---

*Cuadernos Lacre · En utgivelse fra Menzuri Gestión S.L. · skrevet av R.Eugenio · redigert av teamet bak Solo2.*
*https://solo2.net/nb/notisboeker/*
