För många företag har det länge varit naturligt med överföring av personuppgifter till någon av de amerikanska molntjänsterna, men med ökad medvetenhet om integritet och förändrade lagkrav är det inte längre lika självklart. I den här artikeln, skriven av Johan Boger (tidigare säkerhetschef på GleSYS), tittar vi närmre på hur Cloud Act och Schrems II kan påverka dig.
Johan Boger, f.d. säkerhetschef, GleSYS
Hur påverkas jag av Cloud Act?
Om du använder dig av en amerikansk molnleverantör kan du komma att påverkas av Cloud Act, som mycket förenklat ger amerikanska myndigheter tillgång till data som lagras på amerikanskägda servrar, oavsett var servrarna befinner sig geografiskt.
Lagen ger amerikanska myndigheter (brottsbekämpande organ) möjligheten att i vissa fall begära ut data om europeiska medborgare, om det föreligger misstanke om brott. Det går stick i stäv med dataskyddsförordningens (GDPR) intentioner och för med sig att EU-medborgares integritet inte kan skyddas, och att säkerheten sätts på spel.
Företag och organisationer som använder sig av amerikanska molnleverantörer, direkt eller genom underleverantörer, bör se över den behandlingen och göra en konsekvensanalys. Om du är orolig att din överföring strider mot GDPR eller ditt kundlöfte om säker datahantering kan det vara värt att titta på lokala molnleverantörer. Då vet du att din data kommer hanteras enligt svensk lagstiftning. Detta gäller särskilt företag och organisationer som hanterar känsliga uppgifter – till exempel kommuner, banker, fintech- och medtech-bolag.
Cloud Act har även huvudrollen i Schrems II-domen som i princip gör det olagligt med överföring av personuppgifter till USA.
Schrems II enkelt förklarat
Den 16 juli 2020 meddelade EU-domstolen att Privacy Shield, som ersatte “Safe Harbor”, ogiltigförklaras. Domen kallas Schrems II och medför att överföring av personuppgifter till USA kraftigt begränsas. I målet slår domstolen fast att Privacy Shield är ett för svagt skydd för EU-medborgares integritet.
Bakgrunden till Schrems II-domen var att Privacy Shield inte ger tillräckliga garantier om att skyldigheterna i GDPR kommer att uppfyllas och att de registrerades rättigheter skyddas till följd av Cloud Act och andra amerikanska lagar, som t.ex. FISA 702. Rent praktiskt innebär domen att företag och organisationer som helt lutar sin överföring av personuppgifter till USA på Privacy Shield, måste se över behandlingen och hitta annan laglig grund för överföringen.
En annan fråga i domen som hamnat mer i skymundan är om EU-kommissionens standardavtalsklausuler (SCC) fortsatt ska anses giltiga. EU-domstolen slog fast att SCC fortsatt kan användas, men att nationell tillsynsmyndighet (i Sverige Integritetsskyddsmyndigheten) och personuppgiftsansvariga har en skyldighet att avbryta eller förbjuda överföring till de länder som inte kan garantera ett tillräckligt integritetsskydd. Detta har skapat en stor osäkerhet om det verkligen går att använda SCC i samband med överföring av personuppgifter till USA, där det konstaterats att enskildas integritet inte kan garanteras.
Lagra din data i Sverige
Om du vill ta tillbaka kontrollen över din data så är den bästa lösningen en svensk molnleverantör som lagrar informationen på servrar i Sverige. Då vet du att din data behandlas enligt nationella och europeiska datalagar och förordningar.
Vi erbjuder också ett flertal säkerhetstjänster, bland annat:
- Systemförvaltad VPN eller brandvägg
- Sårbarhetsskanning som tjänst
- Säkerhetsutbildning
Läs mer om hur vi arbetar med compliance och säkerhet
Läs mer om vårt suveräna moln
—
GleSYS är certifierad enligt ISO 27001 – en Europastandard för Ledningssystem för Informationssäkerhet (LIS).
Läs mer om våra certifieringar