I en era präglad av ständigt utvecklande dataskyddsföreskrifter och implikationerna av Schrems II-rättsfallet står datahanteringsvärlden inför en turbulent tid. Denna bloggpost utforskar effekterna av Schrems II-rättsfallet och ger insikter om hur organisationer kan navigera komplexiteten i datatransfer, särskilt mellan EU och USA. Vi granskar de missuppfattningar som omger detta rättsfall, den amerikanska CLOUD Act och de praktiska lösningar som kan säkerställa dataskydd och efterlevnad i denna utmanande miljö.

Turbulent inledning

Vi har onekligen haft en turbulent tid i olika diskussionsforum och support chattar. Även i många förhandlingar har dialogen varit uppskruvad några oktaver sedan Schrems II-domen kom på plats, vilket den gjorde den 16 juli 2020. Domen innebar bl a att Privacy Shield överenskommelsen ogiltigförklarades med USA. Innebörden och tolkningen av denna dom har hos många sammanfattats som om att “nu är allt förbi”, alla amerikanska system ska överbord och gamla hederliga on-premises system måste dammas av.

Schrems lägger sig som en våt filt över framtida utvecklingsmöjligheter där några högröstade tar kommandot över sans och balans. Vi ser en stor snöbollseffekt vars ursprungliga anstiftaren, österrikaren Max Schrems, drog igång genom sin anmälan till Europadomstolen 2015.

Vi menar att vi måste sluta skrämmas med Schrems. Det är en grov misstolkning att den har sådana effekter som många vill låta påskina och utöver det finns flera tekniska lösningar att använda. “Much ado about nothing” kanske, njae visst har den implikationer men inte så långtgående som många ibland vill tro. Efter de nya riktlinjer och klargöranden som publicerades 18 november 2021 så har läget också ljusnat betydligt.

Vi vill alltså utropa ett “SITT NED I BÅTEN!”

Först kort om bakgrunden

GDPR (General Data Privacy Regulation), lagstiftningen om datasäkerhet kring personuppgifter, som gäller inom EU styr hur vi måste hantera data kopplad till fysiska personer. Data får inte hanteras utanför EU… MEN i GDPR finns dock angivet ett antal länder utanför EU där man accepterar att data hanteras. Detta eftersom det anses finnas lagstiftning på plats i dessa länder som i samma utsträckning som i EU ger individer möjlighet till rättssäkerhet. Där ingår t ex länder som Argentina, Nya Zeeland, Israel, Uruguay mfl.

Ett tag ingick även USA som ett land där man genom en särskild överenskommelse, Privacy Shield, skulle uppnå samma rättsstatus som inom EU. Överenskommelsen möjliggjorde för internationella organisationer att på ett enklare sätt hantera och flytta data mellan länder inom EU och USA. Detta satte dock Schrems II-domen stopp för. Schrems II-domen tydliggjorde att Privacy Shield inte gav det omfattande skydd, d v s adekvat skyddsnivå, som GDPR kräver och är därför inte tillämplig.

Det innebär att det inte längre finns någon giltig generell överenskommelse att luta sig mot vid överföring av personuppgifter mellan EU och USA och därmed är det inte heller lagligt att överföra uppgifter dit om överföringen inte kan stödjas på någon annan grund i dataskyddsförordningen (GDPR).

Är det så enkelt alltså, att resultatet innebär att vi då måste backa ur mängder av tekniklösningar?

Observera nyckelmeningen i stycket ovanför, “om överföringen inte kan stödjas på någon annan grund i dataskyddsförordningen (GDPR)”. Det är just här som lösningen för företag finns. GDPR ger nämligen möjlighet att genom avtalstillägg överenskomma om att data överförs till s k 3e land utanför EU om man på annat sätt kan säkerställa säkerheten, tekniskt och legalt.

Det finns mer att läsa om hur det går till och i avtalsupplägget använder man sig av artikel 46 i GDPR och dess hänvisning till standardklausulernas bilaga1. Det låter kanske som ordvrängeri men är inte speciellt krångligt. Rekommendationen är att du tar upp frågan med jurist för att bringa klarhet i frågan om det är relevant för dig att hantera data som Personupgiftsägare eller biträde utanför EU. Klausulen möjliggör ett normalt förfarande i hanteringen av data.

Självklart kräver det att man tekniskt har säkerställt hög skyddsnivå men jag anser att det är ett grundläggande krav oavsett.

Skrämsel med Schrems, del 2

Några har fått för sig att Schrems omöjliggör lagring hos amerikanska leverantörer som Microsoft (Azure), Amazon och Google. Just för att Privacy Shield inte gäller skulle man inte kunna lagra någon data på dessa servrar även om de är placerade inom EU. Detta eftersom de i grunden är amerikanska bolag. Här blandar man bort korten ordentligt och det blir ett skrämselskott som ger dåligt samvete redan vid användning av Outlook, Office365, lagringstjänster, mobilhantering (ja finns det någon leverantör inom EU överhuvudtaget vad gäller mobil).
 

Det man egentligen syftar på är en annan lagstiftning som genomfördes i USA den 23 mars 2018, “Clarifying Lawful Overseas Use of Data Act (US CLOUD act 8), med syfte att undanröja tidigare hinder i den amerikanska lagstiftningen för amerikanska IT-bolag att lämna ut persondata när amerikanska myndigheter kräver det, oavsett geografisk och fysisk plats där denna data befinner sig. Syftet var brottsbekämpning och gav också omvänt andra länder kvalifikationer att begära ut data från amerikanska bolag i samma syfte.
 

US Cloud Act är förstås problematisk eftersom amerikansk myndighet skulle kunna kräva att t ex Microsoft, Amazon eller Google lämnar ut data som du lagrar där genom att helt enkelt ansöka om det i amerikansk domstol. Med en dom skulle de amerikanske molntjänsteleverantörerna eventuellt vara tvungna att lämna ut data.

Men  det finns det som motsäger att de skulle göra det.

EU komissionen har tittat närmare på Cloud Act och menar att Personuppgiftsägare och Personuppgiftsbiträde inte får lämna ut data till amerikansk myndighet även om warrant presenterats. Det skulle utgöra brott mot GDPR att göra det. Det innebär alltså att det finns konflikt mellan amerikansk och europeisk lagstiftning då molnbolagen oftast har ett europeiskt bolag som man gör lagringsavtalet med. Som europeiskt bolag lyder man under europeisk lag. EDPB ser ur det perspektivet “mycket begränsade möjligheter för en personuppgiftsansvarig i EU att följa en direktbegäran från amerikansk myndighet”. På det följer att avtal med Microsoft, Google och Amazon inte torde vara något problem alls då det är europeiska entiteter man sluter avtal med.

I det förtydligande från EU man gjorde den 18 november 2021, Guidelines 05/2021 on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR, framgår det också numer att ett passivt hot, ex en möjlig amerikansk myndighetsutövning, inte är ett brott mot GDPR. Här gör man också många andra förtydligande om vad som inte är ett brott. T ex att en anställd reser utanför EU och ansluter till en DB som står inne i EU anses inte som ett brott mot GDPR utan det krävs att en processor, dvs behandlare, används utanför EU för att det ska anses som en transferering.

Här bör du också fråga dig tre saker;

• Hur sannolikt är det, dvs vilken typ av data hanteras och vad är sannolikheten att just denna data skulle begäras ut.
• Om data skulle begäras ut, vilken potentiell skada skulle det kunna medföra för individer/kunder.
• Hur kan du skydda data så att den blir värdelös för någon som begär ut den utan ditt medgivande.

Ofta anser jag att de första två punkterna är väsentligt överdrivna, d v s data är inte av något större intresse för en amerikansk myndighet. Men givetvis är det en sak som måste avgöras av var och en genom en riskbedömning. Däremot kan den sista punkten, den om säkerhet, väsentligt undanröja viljan att inhämta data eftersom kostnaden att dekryptera den är alltför stor för att motsvara en eventuell vinst.

Här är det värt att notera att för att en “warrant” ska utfärdas av domstol i USA krävs förenklat att det föreligger stark misstanke om att ett konkret brott har begåtts. Det innebär att amerikanska myndigheter inte kan använda Cloud Act för att ge sig ut på ”fishing expeditions” och tråla efter bevis om kriminell aktivitet i största allmänhet”.

Är då allt kring Schrems och Privacy Shield nonsens?

Absolut inte. Självklart ska du säkerställa att du har rätt lagringsplats och att du säkerställt tekniskt skydd på hög nivå. Du ska också säkerställa att du har avtal med dina leverantörer som fångar upp dessa aspekter. Du bör också stämma av med en jurist.

Varför så mycket “Schrems” just nu?
Jag ser främst tre skäl till att det just nu finns så stor oro kring frågan.

• Europa ligger väsentligt efter de stora amerikanska IT-leverantörerna. Det finns helt enkelt inte något europeiskt alternativ som kan konkurrera. Frågan drivs därför hårt från svenska och europeiska dataleverantörer för att hitta en annan edge än teknik där man just nu inte klarar konkurrensen. “Följ pengarna” är en bra väg att följa om man vill utröna varför vissa parter driver frågeställningen. Och alternativen är kostsamma.
• Datasäkerhet i relation till privatlivet är en het och aktuell fråga i många sammanhang genom populära tjänster som Facebook, Twitter, LinkedIn mfl. Många vill tycka till men utan att för den skull alltid ha backning på sina ståndpunkter.
• USA konspiration har alltid varit ett populärt ämne. Samtidigt måste man konstatera att även om syftet med den amerikanska lagstiftningen var god så har man förbisett privatlivets helgd som bättre fångas i GDPR.

Hur har vi löst det på Heartpace?

Vi lagrar all information inom EU och endast inom EU och har också säkerställt att om data av någon anledning skulle lämna EU mot våra kunders begäran, att den är värdelös mot bakgrund av den insats som då skulle krävas att läsa krypteringen. Här erbjuder vi därför som grund kryptering och pseudonymisering i flera lager men också möjligheten att själv hantera deschiffreringsnycklar via AWS CloudHSM. Med dagens tillgängliga datakraft skulle det ta flera miljarder år att avkryptera sådan information som vi hanterar. Det är alltså logiskt möjligt att avkryptera men inte praktiskt, en distinktion de flesta misssar i diskussionen kring säkerhet. Heartpace arbetar förstås också under GDPR och kommer inte att lämna ut information till 3e part.

Vi erbjuder också tillägg i våra avtal om hantering i tredje land om det är nödvändigt för kund att hantera data inom och utanför EU.

Gör det här på en gång

Tänk på att det är i de enkla säkerhetsaspekterna som det vanligtvis brister. T ex i lösenordshantering, i utdelade accesser och slarv med fysiska attribut som datorer och telefoner. Fortfarande är omognaden stor och vill man uppnå ökad säkerhet ska man se till att minsta gemensamma nämnare är högre.

• Dataskyddsförordningens artiklar bl a 46
  https://www.imy.se/lagar–regler/dataskyddsforordningen/dataskyddsforordningen—fulltext/#K5 The
• Standardklausulerna
  https://eur-lex.europa.eu/ legal-content / sv / TXT /? uri = CELEX: 32010D0087
• Delphi – Kollision mellan dataskyddsförordningen (GDPR) och USA:s Cloud Act
  https://www.delphi.se/sv/tech-blog/kollision-mellan-dataskyddsforordningen- och-usas-cloud-act /
• Pod – Svensson Mattisson
  https://svenssonmattisson.podbean.com/e/panik-over-schrems-ii-domen-%E2%80%93-och-flera-fel-i-the -social-dilemma /
• Safespring whitepaper – Hur du hanterar det osäkra läget
  https : //www.safespring.com/marketing/whitepapers/Safespring_White-Paper_Att-tanka-pa-i-och-med-inforandet-av-GDPR-och-CLOUD-act.pdf
• IT Advokaterna – Vägledning om Schrems II från EDPB
  https://www.itadvokaterna.se/press/vagledning-om-schrems-ii-fran-edpb/
• EDPB – GDPR: guidelines, recommendations, best practices
  https://edpb.europa.eu / our-work-tools / general-guidance / gdpr-guidelines-recommendations-best-practices_en
• EDPB och EDPS analyserar utlämnanden under US Cloud Act https://www.imy.se/nyheter/2019/edpb-och-edps-analyserar -utlamnanden-under-us-cloud-act /
• AWS Cloud HMS – The importance of encryption
  https://aws.amazon.com/blogs/security/importance-of-encryption-and-how-aws-can-help/