Påverkas du av Cloud Act och Schrems II

tisdag, september 28, 2021 Informationssökning

För många, såväl företag som privat är det sedan länge naturligt att lagra personuppgifter och andra uppgifter hos Google, Facebook, Amazon, Microsoft Azure osv. Det vill säga hos någon av alla de amerikanska molntjänster som erbjuds. Men det dök nyligen upp en artikel om att – Tunga myndigheter nobbar Teams av säkerhetsskäl.

Artikeln från SVT beskrev hur myndigheter som Arbetsförmedlingen, Skatteverket och andra myndigheter säger nej till att arbeta i Microsoft Teams. Detta eftersom personuppgifter om användarna nämligen lagras på server/servers i USA.

Med detta som bakgrund vaknade ett intresse för området, då det är högaktuellt för såväl företag som privatpersoner.

IT-system i molnet (cloud) används av alla

Alla företag oavsett storlek lever idag i en tid med hög förändringstakt, där allt fler processer digitaliseras och automatiseras. En tid som ställer höga krav på flexibilitet, digitalt informationsutbyte med både kunder och leverantörer samt fortlöpande krav på effektivisering och kostnadsbesparingar.

Det innebär att företag kontinuerligt letar efter effektivare sätt att hantera sin verksamhet och sina affärsprocesser. Där det till exempel är vanligt att det föråldrade affärssystemet ska bytas ut, till ett mer modernt affärssystem i molnet (cloud). Allt för att öka möjligheterna till bättre produktivitet och samarbete vilket innebär bättre lönsamhet.

Med ovan som bakgrund har intresset för olika moln- och cloudtjänster för alla typer av IT-system ökat, bland annat för det vi på Systemstöd levererar – affärssystem. För de flesta bolag innebär alla molntjänster (till exempel affärssystem i molnet) många fördelar. Det är lösningar och IT-system som innebär lägre kostnader för egen hårdvara och interna IT-resurser, det är mer flexibelt och har ofta en högre säkerhet jämfört med egen IT-drift.

Sammantaget innebär det att idag använder i stort sett alla företag, oavsett storlek och bransch, molntjänster i någon form där företagsinformation och personuppgifter lagras.

Påverkas du av USA:s Cloud Act och Schrems II

Påverkas du av Cloud Act?

Stod det i rubriken på ett mailutskick jag nyligen fick i min inkorg som väckte mitt intresse för frågan och detta blogginlägg. I mailet tog man upp hur vanligt det är idag att lagra information och personuppgifter hos olika amerikanska molntjänster, men att det med ökad medvetenhet om integritet och förändrade lagkrav inte längre är lika självklart.

Där varningen var att om du lagrar information och personuppgifter hos en amerikansk molnleverantör kan du påverkas av Cloud Act.

Cloud Act är en amerikansk lag kan ge amerikanska myndigheter (till exempel CIA och NSA) tillgång till data som lagras på amerikanskägda servrar. Detta oavsett var servrarna befinner sig geografiskt, det vill säga Europa, USA eller Asien spelar ingen roll

Denna lag – Cloud Act – ger således amerikanska myndigheter möjlighet att i vissa fall begära ut data om europeiska medborgare om det föreligger misstanke om brott. Där Cloud Act är i motsats dataskyddsförordningens (GDPR) intentioner och för med sig att EU-medborgares integritet inte kan skyddas.

Med stöd av Cloud Act kan amerikanska myndigheter vända sig till domstol och begära att en så kallad warrant om att överlämna data lagrad utanför USA:s territorium ska utfärdas.

De IT-tjänster som omfattas av Cloud Act är ”electronic communication services” och ”remote computing services”. Det innebär att alla leverantörer av olika typer av digitala och elektroniska kommunikations- och molntjänster omfattas av lagen.

Men för att den amerikanska domstolen ska utfärda denna warrant till amerikanska myndigheter krävs att det föreligger mycket stark misstanke om att konkret brott har begåtts. Så en amerikansk myndighet kan inte kan använda Cloud Act i största allmänhet, för att leta efter bevis på kriminell aktivitet.

Microsoft påstår att endast fåtal av deras företagskunder varit föremål för begäran om tillgång till data enligt ovan från amerikanska myndigheter som till exempel CIA och NSA .

Med vad är då Schrems II?

Innan Schrems II domen hade företag i alla EU-länder kunnat använda tjänster som till exempel Facebook och Google Analytics utan att behöva bekymra över att de olika personuppgifter som samlades in fördes över till amerikanska bolag. Så länge det amerikanska bolaget som tog emot personuppgifterna var anslutet till Privacy Shield avtalet var det lugnt.

Men den 16 juli, 2020 lämnade EU-domstolen sin dom i det så kallade Schrems II-målet. Namnet kommer från österrikaren Maximilian ”Max” Schrems som är aktivist och advokat som under tio år retat gallfeber på Facebook. Frågan handlade om Facebook fick lämna ut användaren Max Schrems personuppgifter till USA.

Där EU-domstolen slog fast att Privacy Shield avtalet mellan EU och USA inte gav ett tillräckligt skydd för EU-medborgares integritet i USA, när personuppgifter förs över till USA.

Ogiltigförklarandet av Privacy Shield innebar således att det inte längre är tillåtet för personuppgiftsansvariga i EU att (med Privacy Shield som grund) föra över personuppgifter till mottagare i USA. Om du inte kan stödja överföringen på någon annan grund i GDPR. Där reglerna för tredjelandsöverföring är mycket strikta i GDPR. Domen medförde med andra ord att överföring av personuppgifter till USA kraftigt begränsades. Till saken hör att drygt 5 000 amerikanska företag som Google, Facebook, Microsoft och Amazon hade förlitat sig på Privacy Shield avtalet för att kunna ta emot personuppgifter från EU.

Sedan Schrems II domen kom har många företag i EU blivit anmälda till olika tillsynsmyndigheter, för att de fortsatt att föra över personuppgifter till USA genom användning av applikationer som till exempel Google Analytics och Facebook Connect. Svenska Datainspektionen har inlett granskning av till exempel Coop Sverige AB (coop.se), Dagens industri AB (di.se), Tele2 Sverige AB (tele2.se) och CDONS finska domän.

Tolkning av Schrems II

Tolkningen av Schrems II och slutliga rekommendationer som ska användas som vägvisare i tillämpningen har ännu inte antagits av den europeiska dataskyddsstyrelsen (EDPB, European Data Protection Board). EDPB är ett oberoende organ som ska bidra till en enhetlig tillämpning av dataskyddsreglerna hos EU:s medlemsländer de.