Sedan Schrems II- domen föll för två år sedan har osäkerheten kopplat till hur och när amerikanska molntjänster kan användas inom offentlig sektor varit stor. Går det att använda amerikanska molntjänster och samtidigt värna EU-medborgarnas integritet? I mars i år annonserade EU och USA att man nått en ny principöverenskommelse om hur dataflödet över atlanten ska regleras. Så vad gäller egentligen nu, och hur ska man tänka framåt? Rakeel Khawar, Data Protection Officer på Iver och Johan Christensson, grundare av Cleura, reder i den här artikeln ut betydelsen av det som sker och vad det innebär för organisationer inom offentlig sektor.
Trots GDPR och den datalagstiftning som drivits igenom sedan 2018 är osäkerheten kring vad som egentligen gäller när det kommer till användandet av amerikanska molntjänster, inom främst offentlig sektor, stor. För att förstå varför behöver man titta på de skeenden som lett fram till dagens situation menar Rakeel Khawar, Data Protection Officer på Iver;
– Ambitionen om ett transatlantiskt avtal har funnits länge men tidigare avtal har inte hållit juridiskt.
Det första dataöverföringsavtalet mellan EU och USA, Safe Harbour, ogiltigförklarades 2015 av Europadomstolen med anledning av att visselblåsaren Edward Snowden kunnat avslöja att utredningsmyndigheter i USA kunde få tag i information utan tillstånd ifrån informationsägaren.
– Slutsatsen av det rättsfallet som kallas Schrems I blev antagandet att data som ligger på amerikanska servrar kan bli tillgänglig för den amerikanska underrättelsetjänsten och att detta strider mot EUs konstitutionella lagar om individens rätt till skydd av privatliv, säger Rakeel Khawar.
Dataöverföringsavtalet mellan kontinenterna behövde efter Schrems I förnyas och svaret blev en ny principöverenskommelse – Privacy shield. Men även detta avtal ogiltigförklarades av Europadomstolen efter att det i domslutet i fallet Schrems II blivit känt att Facebook Irland överfört europeiska persondata till USA.
Rätten till skydd av individens privatliv är en grundläggande rättighet inom EU. Detta framgår av den Europeiska stadgan om mänskliga rättigheter, en lag som sträcker sig vida för att skydda EU-medborgares integritet.
– Dataskyddsförordningen undergräver inte denna princip – något som blivit tydligt i och med domsluten i fallen Schrems I och II, säger Rakeel Khawar.
Ny överenskommelse kring dataöverföring i mars 2022 – vad har förändrats?
Nu befinner vi oss i ett läge där EU och USA återigen tittar på att ta fram ett avtal för att skapa förutsättningar för ett bättre fungerande dataflöde mellan kontinenterna. Den 25e mars annonserade den amerikanska presidenten Joe Biden tillsammans med EU-kommissionens ordförande Ursula von der Leyen att man tagit fram en ny principöverenskommelse om ett nytt avtal.
– Det gemensamma uttalandet från USA och EU visar på en ambition om att hitta en lösning på problemet. Men för att få fram ett avtal som håller juridiskt kommer man att behöva göra förändringar i amerikansk lagstiftning. Tills detta åstadkommits är vi kvar i samma läge juridiskt, säger Rakeel Khawar, Data Protection Officer på Iver.
Johan Christensson, grundare av Cleura, utvecklar;
– I dagsläget har ingenting förändrats i praktiken. Vi vet om att USA och EU vill hitta en gemensam lösning och att det finns krafter som jobbar för att komma framåt. Men inget har skett utöver att man officiellt jobbar för en överenskommelse med förhoppningen om att nå någon form av avtal. Amerikanska molntjänster kan fortfarande inte garantera att europeiska persondata inte lämnas ut till tredje land – så detta är något alla europeiska organisationer måste förhålla sig till.
Vad innebär denna osäkerhet för digitaliseringen i offentlig sektor?
I debatten kring den osäkerhet som finns kopplat till användningen av amerikanska molntjänster inom offentlig sektor lyfts inte sällan argumentet att den strikta lagstiftningen har en negativ påverkan på digitaliseringsgraden inom sektorn. Johan Christensson förklarar;
– Det har varit svårt för många att förstå vad som gäller, och i mångt och mycket har det legat på organisationer att själva göra sin egen bedömning. En sådan osäkerhet innebär självklart att man kan bli avvaktande i de investeringar man vill göra kopplat till digitalisering. Det är dock viktigt att komma ihåg att digitaliseringen i offentlig sektor inte stannar av för att man inte kan använda amerikanska molntjänster för en viss typ av data. Det finns många europeiska alternativ man kan använda sig av. Dessutom finns bra Multi Cloud-lösningar där man utifrån en kartläggning av det data man hanterar kan lägga rätt data i rätt moln och på så sätt säkerställa regelefterlevnad.
Hur bör organisationer förhålla sig till amerikanska molntjänster innan ett avtal finns på plats?
– Investeringar inom infrastruktur planeras och sker oftast på lång sikt – och därför behöver man inom offentlig sektor se sig om efter lösningar som stödjer den digitaliseringsresa man vill göra och där compliance och regelefterlevnad fungerar för det längre perspektivet. Ingen organisation, allra minst inom det offentliga, har råd att få sina tekniska val ogiltigförklarade en tredje gång. Man behöver helt enkelt se till att den infrastruktur man bygger har en så pass hög compliance-grad att den klarar av lagändringar, att det tillkommer nya lagar – eller att det geopolitiska världsläget förändras. Det senare perspektivet har blivit allt viktigare och organisationer ser ett allt större behov av att ”hämta hem” data givet det förändrade världsläget, avslutar Johan Christensson.
Taggar:
Verksamhetsutveckling
Cyber Security
