Schrems II-domen 2020 innebär att den som för över personaluppgifter från Europa till USA riskerar att bryta mot GRPR. Samtidigt ökar cyberhoten och IT-säkerhet stiger på agendorna.
Det här ses som ett digitaliseringshinder av många svenska organisationer som vill dra nytta av fördelarna med amerikanska molnplattformar som IBM, Google, Microsoft och AWS. Inte minst inom offentlig sektor.
Men vad är det som gäller egentligen? Och finns det en lösning?
Vi tar det från början.
Den 16 juli 2020 kom EU-domstolens dom i det så kallade Schrems II-målet. Domstolen slog fast att det så kallade Privacy Shield-avtalet mellan EU och USA inte gav tillräckligt skydd för personuppgifter som förs över till USA.Det innebär att det inte längre är tillåtet för personuppgiftsansvariga inom EU att med Privacy Shield som grund överföra personuppgifter till mottagare i USA.
Upprinnelsen till målet, som egentligen heter C-311/18, var att österrikaren Maximilian Schrems anmälde Facebook till den irländska dataskyddsmyndigheten IDPC. Han ansåg att företaget inte hade rätt överföra hans persondata till USA. Detta eftersom Facebook som amerikanskt bolag omfattas av FISA (Foreign Intelligence Surveillance Act), som ger amerikanska myndigheter rätt att inhämta EU-personuppgifter även om det strider mot GDPR och EU:s grundläggande rättigheter. Målet togs upp av EU-domstolen som gav Schrems rätt. Domen, känd som Schrems II, slog fast att det avtal som företag använde för transatlantisk dataöverföring, Safe Harbour, inte var giltigt. Safe Harbour ersattes 2016 med dataskyddsavtalet Privacy Shield och gav den transatlantiska datatrafiken fri lejd några år tills Maximilian Schrems slog till igen, den här gången ute efter att sänka Privacy Shield. Det lyckades och Schrems II var ett faktum. (Källa: Ny Teknik).
EU-domstolen kom dock fram till att så kallade standardavtalsklausuler (SCC, Standard Contractual Clauses) fortfarande kan användas i affärsavtal vid överföring till länder utanför EU och EES, men att det då kan behövas ytterligare skyddsåtgärder. EU:s senaste standardavtalsklausuler anger bland annat skyldigheter för personuppgiftsansvariga och parten som tar emot uppgifterna och hur tvister ska lösas. Skyddsåtgärderna innebär att företag måste försäkra sig om att dataskyddet i mottagarlandets – ”tredje land” utanför EU och EES - är likvärdigt med EU:s dataskydd. De behöver därför göra en riskbedömning av bland annat dataflödet, molnleverantörens tillgång till uppgifterna och mottagarlandets lagstiftning. (Källa: Integritetsskyddsmyndigheten, IMY).
Den europeiska dataskyddsstyrelsen som verkar för att medlemsländerna tillämpar dataskyddsreglerna på samma sätt har ännu inte antagit de slutliga rekommendationerna för Schrems II. Ett beslut om huruvida Facebook förbjuds föra över EU-personuppgifter till USA väntas under 2021. Ett beslut med uppenbar risk för dominoeffekt, eftersom Schrems II gäller alla företag som behandlar EU-personuppgifter i tredje land, inklusive svenska företag och organisationer som använder amerikanska bolags molntjänster.
Frågan är amerikanska myndigheter som National Security Agency (NSA), har rätt att kräva ut data om EU-medborgare om den lagras av ett amerikanskt företag. Och kan de kräva ut data även om hårdvaran den lagras på befinner sig på EU:s territorium?
I Tyskland har en av landets dataskyddsmyndigheter beslutat att en tysk förläggares användning av amerikanska Mailchimp som levererar e-posttjänster strider mot GDPR, med motiveringen att förläggaren inte gjort någon bedömning av huruvida det krävdes något tekniskt tillägg till standardavtalsklausulen.
Svenska Integritetsskyddsmyndigheten (IMY) har inlett granskningar av sex svenska företag som Schrems organisation Noyb lämnat klagomål mot.
Fler europeiska länder har gått ihop kring Gaia-X i ett samarbete med molnleverantörerna med målet att etablera ett europeiskt moln och ett digitalt ekosystem med målet att efterleva GDPR fullt ut. Dess svenska hub leds av City Network, Netnod och Ericsson.
För att förstå situationen och hitta en klok väg framåt krävs två olika perspektiv: ett juridiskt och affärsstrategiskt samt ett säkerhetstekniskt.
Vad säger molnleverantörerna om det juridiska?
Microsofts juridiska chef Brad Smith försäkrade i en artikel sina Azure, Microsoft 365- och Dynamics 365-kunder att företaget kommer att efterleva GDPR genom att all data behandlas och lagras inom EU. Han tillkännagav företagets avsikt att investera i datacenter i en rad EU-länder, och att försvara sina kunders data mot ”otillbörlig access” från alla myndigheter i världen.
Samtidigt är ju det som är ”otillbörlig tillgång till data” av en myndighet inom EU inte nödvändigtvis otillbörlig tillgång till data enligt amerikansk lagstiftning, som Microsoft också har att följa.
IBM har varit tydliga med att de bara behöver leva upp till varje lands lokala lagar och inte behöver underkasta sig granskningar av USA-myndigheter. Medan Google, Microsoft och AWS från början har byggt sin affär och sina system på konsumenter, används IBM Cloud bara av företag och myndigheter som generellt sett lagrar affärsdata som kan anses vara mindre intressant att övervaka än stora mängder data om privatpersoner.
IBM konstaterar att man hittills bara har tagit emot en begäran att få tillgång till data om en Europeisk företagskund baserat på amerikanska Cloud Act. Den gången lämnade inte IBM ut någon data med hänvisning till GDPR, och hävdade att den amerikanska regeringens inte hade rätt att tvinga IBM-bolag att lämna ut kunddata.
Så har vi det tekniska perspektivet. Schrems II säger ju som sagt att standardklausulerna (SCC) skulle kunna användas förutsatt att man vidtar vissa skyddsåtgärder.
Framför handlar det om kryptering. Data under överföring eller data i vila på en server är något Microsoft Cloud, IBM Cloud, Google Cloud och AWS Cloud klarar av att kryptera. Utmaningen är istället kryptering av data under användning, alltså processas i minnet, något som dessutom har en tendens att försämra systemets prestanda.
Här finns det olika alternativa säkerhetslösningar:
Keep your own key är en etablerad teknologi som låter företag behålla kontrollen över sina egna krypteringsnycklar, så att det bara är de själva som kontrollerar accessen till sin egen data. All kryptering baseras på nycklar, och hur säker krypteringen är beror på hur nycklarna hanteras. Detta brukar kallas operationell säkerhet (operational assurance) och förutsätter dels effektiva processer och dokumentation, dels att de följs.
Hybridmoln innebär att en organisation kan dra nytta av nya molntjänster även om man lagrar data on-prem eller kombinerar on-prem med det publika molnet. Antingen sköter man dem själv eller låter en molnleverantör sköta dem.
EU-baserade tjänster innebär helt enkelt att organisationens data lagras och processas inom EU:s gränser och att lokal personal uppdaterar och sköter molntjänsterna. Detta är något många internationella företag åtminstone tidigare har sett som ett sätt att säkerställa GDPR-efterlevnad.
Confidentiality Computing, en teknologi utvecklad av IBM, innebär att data krypteras genom hela dess livscykel, inklusive när den processas i minnet, utan att tappa prestanda.
Teknisk säkerhet (technical assurance) uppnås genom att systemet eller produkten själv förhindrar säkerhetsincidenter. IBM:s Confidentiality Computing löser detta bland annat genom att IBM helt enkelt inte har access till kundens data och därför inte skulle kunna lämna över den till en amerikansk domstol om de frågade efter den.
IBM brukar understryka att deras system lever upp till nivå 4 enligt säkerhetsstandarden FIPS 140-2 - den högsta möjliga. Den tekniska säkerheten lär ha varit en förutsättning för att Schweiziska fintech-företag som hanterar kryptovalutor har valt att använda just IBM Cloud.
Molnet är svårt att undvika när en vanlig Windows Update görs via en molnserver hos Microsoft – även om man tillhör en myndighet eller ett offentligt bolag. Många sitter fast i on-prem-lösningar men vill kunna använda molnet vid trafiktoppar och effektivera arbetet med hjälp av nya molntjänster. Andra kör på med vissa molntjänster ändå i en slags gråzon och hoppas på det bästa.
Men det finns bättre alternativ.
Microsoft har lanserat paketet Molndesign för Offentlig Sektor (MSMD); en sammanställning av verktyg, blueprints, policies, rapporter och utbildningar för offentlig sektor i Sverige. Det syftar till att förenkla säker användning av Microsoft Azure och efterlevnad av GDRP, OSL och säkerhetsskyddslagen inom offentlig sektor.
Men Schrems II försvinner ju inte för det.
Det tas fram lokala alternativ till de stora amerikanska molnleverantörerna.
Försäkringskassan håller med hjälp av en svensk konsultfirma på att utveckla en egen molnlösning som minst sex myndigheter är på väg att anslutas till.
Många svenska universitet och högskolor som tidigare hade gammal infrastruktur och egna datacenter har valt att uppgradera sin IT-infrastruktur genom att köpa in molntjänster från de stora publika molnleverantörerna i USA. Nu har många dragit i handbromsen för att kunna hålla sin data inom EU. Affärskritisk data blir kvar i egna datacenter eller privata molntjänster på svensk eller europeisk mark.
Open Clouds for Research Environments, OCRE, är ett EU-projekt med den primära målsättningen att ge forskningssamfundet tillgång till molntjänster genom att erbjuda IaaS, PaaS och SaaS. 91 svenska organisationer är anslutna till OCRE, däribland universitetsnätverket Sunet. Genom att köpa molnprodukter via OCRE:s globala ramavtal framtaget av franska GÉANT får de snabbt tillgång till dem utan att behöva upphandla dem själva.
Men det finns onekligen fördelar med att välja en av de dominerande molnjättarna – enkel tillgång till ett stort utbud av de senaste produkterna till exempel.
Även om det här känns snårigt och komplext, finns en framtid i molnet för myndigheter och offentliga bolag trots Schrems II:
Gör en bedömning av vilken säkerhet som faktiskt krävs för de olika typerna av data ni hanterar. Vilken data är känslig ur GDPR-synpunkt? Schrems II och GDPR gäller ju till exempel bara för personuppgifter.
Ta reda på om den känsliga datan kräver teknisk säkerhet (technical assurance) som IBM:s Confidential Computing tillhandahåller, eller räcker det med operationell säkerhet?
Minska säkerhetsrisken genom en stegvis migration till molnet istället för att flytta allt på en gång. Börja med en app eller en tjänst.
Statistiken indikerar att risken för att bli fälld för brott mot amerikansk säkerhetslag är ytterst liten, åtminstone för IBM:s kunder.
Oavsett vilken leverantör du väljer, följ rättsläget via Integritetsskyddsmyndigheten.
Här kan du läsa mer om cybersäkerhet och hur vi kan hjälpa dig inom offentlig sektor att göra molnet säkrare. Har du frågor är du välkommen att höra av dig till oss!
Här kan du läsa mer om cybersäkerhet och hur vi kan hjälpa dig inom offentlig sektor att göra molnet säkrare. Har du frågor är du välkommen att höra av dig till oss!
