Alltsedan 2020, då Schrems II-domen ogiltigförklarade adekvansbeslutet Privacy Shield har företag och myndigheter brottats med problemet att använda amerikanska leverantörer av tjänster där personuppgifter överförs. Nu i juli 2023 fattade EU-kommissionen äntligen ett nytt adekvansbeslut, Data Privacy Framework. Så nu är det väl grönt ljus att använda amerikanska molntjänstleverantörer igen … eller?
Det nya adekvansbeslutet innebär att överföringar av personuppgifter kan ske till godkända organisationer på Data Privacy Framework (DPF)-listan (Participant Search (dataprivacyframework.gov)) utan att behöva krångla med standardavtalsklausuler eller ytterligare skyddsåtgärder. Med på listan finns idag de största molntjänstleverantörerna (Google, Amazon och Microsoft) och Meta (Facebook, Instagram och Whatsapp). Så nu är väl allt frid och fröjd … eller?
Vad var problemet?
Det som gjorde att Privacy Shield-beslutet ogiltigförklarades var främst att amerikanska myndigheter kunde begära åtkomst till EU-medborgares personuppgifter hos amerikanska bolag, utöver vad som är nödvändigt och proportionerligt enligt GDPR, samt att USA inte kunde garantera EU-medborgare rätten till rättslig säkerhet och personlig integritet.
Kan man lita på det nya beslutet?
När nu EU-kommissionen presenterar det nya beslutet betonar de att dessa brister är lösta. Först och främst begränsas amerikanska myndigheters totala tillgång till personuppgifter, till vad som är nödvändigt och proportionerligt. För att en organisation ska hamna på DPF-listan måste följa de integritetsskyldigheter som finns (som att radera information när den inte längre behövs samt att skydda uppgifterna när de delas med en tredje part). Till sist har nu privatpersoner i EU fått tillgång till en oavhängig och opartisk prövningsmekanism. Då är det väl bara att köra … eller?
Sakta i backarna. Det är nu det är dags att plocka fram popcornen, för ingenting är klart innan CJEU (Court of Justice of the European Union) har sagt sitt, och Max Schrems (österrikisk dataskyddsadvokat) håller som bäst på att förbereda ett överklagande. Det innebär att vi inte kan lita på det här beslutet innan det prövats i domstolen, vilket kan ta ytterligare ett eller två år.
Osäkerhetsfaktorer
Viktigt att poängtera är att EU-kommissionen alltså inte fattat ett beslut om att landet USA har en tillräckligt hög skyddsnivå. Man har i stället instiftat en process där amerikanska företag kan självcertifiera sin efterlevnad av reglerna i DPF, vilket ska man får överföra personuppgifter från EU till dem.
Men en av anledningarna till att Privacy Shield upphävdes var den amerikanska lagen FISA 702 som ger myndigheterna rätt att ta del av information hos amerikanska bolag, även om det handlar om information från medborgare i EU. Det är viktigt att veta att det inte har skett några förändringar i den lagen, utan att det nya avtalet bygger på att Biden har utfärdat en presidentorder, en order som i sin tur kan ogiltigförklaras av Högsta domstolen eller nästa president.
Ytterligare en osäkerhet är om EU-medborgare verkligen har de rättigheter i USA som GDPR kräver. Det är oklart om domstolen som inrättats för det här ändamålet lever upp till kraven, eftersom den bara är en uppgradering av det tidigare ombudsmanna-systemet som avvisades av EU-domstolen. Schrems tvivlar dessutom på att USA:s massövervakning kommer att förändras i praktiken, eftersom det i överenskommelsen inte definierats vad orden ”nödvändig” och ”proportionell” innebär.
Man kan tycka att Schrems ägnar sig åt konspirationsteorier, men han har haft rätt två gånger förut. 2Secures rekommendation är därför att se det nya adekvansbeslutet som en respit för er organisation men vänta på EU-domstolens utlåtande innan ni tar några långsiktiga beslut som inbegriper amerikanska leverantörer.
Rekommendationer
- Addera potentiell risk
Om ditt företag väljer att använda en amerikansk leverantör av molnlösningar behöver ni ha med det som en risk i ert systematiska informationssäkerhetsarbete - Se över och kartlägg utsatta delar.
Som en del i riskstrategin bör ni sedan se över hur ni hanterar den här risken, för att säkerställa portabilitet (flyttbarhet) och redundans. Här ingår också att arbeta med informationsklassning, så att ni vet vilka delar av er information som kan komma att drabbas. - Räkna med omedelbar påverkan
När EU-kommissionens beslut kommer gäller det omedelbart, och om det blir avslag så måste ni genast sluta överföra personuppgifter till amerikanska leverantörer för att uppfylla GDPR. För när EU-kommissionens beslut kommer gäller det omedelbart, och om det blir avslag så måste ni genast sluta överföra personuppgifter till amerikanska leverantörer för att uppfylla GDPR.
Vill du veta mer om dataskydd och GDPR och hur det kan komma att påverka din verksamhet?
Hör av dig till din kontakt på 2Secure eller mejla din fråga till info@2secure.se