Sedan Schrems II-domen 2020 är det i princip omöjligt för svenska företag och organisationer att använda amerikanska molntjänster. Domen innebär att överföringar av personuppgifter till USA bryter mot GDPR. Förra året tillkännagav USA:s president Biden och Europeiska kommissionens ordförande von der Leyen att de i princip kommit till en ny överenskommelse, ett avtal som fick smeknamnet Privacy Shield 2.0. Privacy Shield, som ogiltigförklarades 2020 var en överenskommelse mellan USA och EU som möjliggjorde att överföra personuppgifter mellan länderna.
Men är verkligen Privacy Shield 2.0 lösningen på problemet? Det är något som undersökts i en mastersuppsats inom informationssäkerhet på Stockholms universitet våren 2022. Forskningsfrågan var om den offentliga sektorn kan använda amerikanska molnleverantörer efter Schrems II-domen, men också hur de kan förbereda sig inför nästa dataöverföringsavtal mellan USA och EU.
Vad är problemet?
Vi har en mycket omfattande integritets- och säkerhetslag inom EU – den allmänna dataskyddsförordningen (GDPR). Andra länder har inte samma starka skydd och för dessa överföringar finns det strikta regler som avgör om en överföring av personuppgifter får ske utan ytterligare skydd, men USA är inte ett av dem.
Vad är det för fel på USA?
Anledningen till att USA inte godkänts är att de har lagar som ger deras myndigheter rätt att ta del av personuppgifter som finns hos amerikanska företag. Det här blev tydligt i och med Schrems II, fallet där juristen Maximillian Schrems lämnade in ett klagomål mot Facebook i USA. Domstolen höll med Schrems och ogiltigförklarade Privacy Shield.
Privacy Shield 2.0
För att ett nytt avtal ska fungera måste det i princip lösa de problem som ogiltigförklarade Privacy Shield:
- Övervakningen från amerikanska myndigheter måste begränsas till vad som är nödvändigt och proportionerligt enligt GDPR.
- Icke-amerikaner måste ha tillgång till rättvisa på ett sätt som uppfyller kraven i GDPR.
De IT-jurister och säkerhetschefer som intervjuades för uppsatsen var rätt pessimistiska. De ser avtalet som en politisk åtgärd, och att det enda som verkligen skulle lösa problemet är om USA ändrar sina lagar.
Är lösningen inom räckhåll?
Vad kan då verksamheter göra för att förbereda sig och sin information för en osäker framtid? Svaret är att arbeta systematiskt med informationssäkerhetsarbete.
Vad som framkom i intervjuerna var ett systematiskt arbetssätt, med grunderna från MSB:s Metodstöd och ISO 27000. Det är också det sätt att arbeta som vi förordar:
- Identifiera och analysera
- Utforma
- Använda
- Följ upp och förbättra
Amerikanska molntjänster är utmärkt att använda för viss information. Men för att veta vilken information behöver en organisation genomföra en dataklassificering och riskhantering.
Just nu finns inga klara besked att se fram mot, men klart är att med kontroll över er information är ni så väl rustade som är möjligt att vara för en framtid ingen vet så mycket om.
Här kan du hämta vårt white paper ”Schrems II” och också ta del av våra övriga white paper.
Behöver du hjälp med dataklassificering och riskhantering eller vill veta mer om vårt affärsområde Informationssäkerhet?
Kontakta Erik Baumgardt