Använder ditt företag Teams, Outlook och Google Analytics? Då kan det riskera att bli det första svenska företag som sanktioneras för överträdelser enligt dataskyddsförordningen och Schrems II-domen.
De fällande domarna i Europa duggar allt tätare och svenska organisationer letar intensivt efter alternativ till amerikanska molntjänster. Meta kontrar med hot om att stänga ned Facebook och Instagram i EU/EES-länderna.
Det är hög tid att ta Schrems II på allvar och få koll på läget.
Vi tar det från början.
Vad är Schrems II?
16 juli 2020 slog EU-domstolen fast att det så kallade Privacy Shield-avtalet mellan EU/EES och USA inte gav tillräckligt skydd för personuppgifter som förs över till USA.
Klubbslaget ekar fortfarande och det är ingen överdrift att säga att världen håller andan. För Schrems II-målet kan komma att få större inverkan på företag och organisationer än de flesta hade kunnat drömma om.
Domen innebär i korthet att det i de flesta fall inte längre är tillåtet att överföra personuppgifter från EU/EES till USA, eller rättare sagt till organisationer som lyder under amerikansk lag. Det beror på att amerikanska organisationer omfattas av FISA (Foreign Intelligence Surveillance Act), Cloud Act och Executive Order 12333. Dessa lagar ger nämligen amerikanska myndigheter rätt att inhämta personuppgifter om icke-amerikanska medborgare, även om det strider mot dataskyddsförordningen GDPR (General Data Protection Regulation) – och därmed EU:s grundläggande rättigheter.
(En not innan vi fortsätter: jag kommer för enkelhets skull att skriva EU ibland, och menar då EU och EES – EES är Island, Liechtenstein och Norge).
Enligt EU:s dataskyddsförordning är den som behandlar uppgifter om kunder och andra personer i ett EU-land ansvarig för att skydda deras integritet. Därför vore det en tydlig överträdelse av regelverket och därför en kränkning av individens fri och rättigheter om en myndighet skulle ha obegränsad tillgång till dessa personuppgifter. Och så är tyvärr fallet om de behandlas hos en amerikansk molnleverantör – som IBM, Google, Microsoft och AWS.
Något så vanligt som Microsoft 365 är alltså i många fall olagligt. Inte konstigt att det seglat upp som ett massivt digitaliseringshinder för svenska organisationer. Det så lovande digitala molnet har förvandlats till ett åskmoln.
Hur kunde vi hamna här?
Först och främst gäller det att förstå att Schrems II handlar om dataskydd, vilket inte ska förväxlas med informationssäkerhet. Informationssäkerhet handlar om att skydda en organisations unika information. Dataskydd handlar om att skydda individens fri– och rättigheter och går tillbaka ända till FN:s deklaration om mänskliga rättigheter, där det talas om ”rätt till privatliv,” som ligger till grund för EU:s stadgar inom området. Med det sagt kan dålig informationssäkerhet, till exempel på grund av bristande kryptering eller lösenord, ge upphov till bristande dataskydd.
En rad världshändelser har sedan bäddat för dagens kris. Edward Snowden avslöjade den amerikanska underrättelsetjänsten National Security Agency:s (NSA) massövervakning av medborgare (i samma liga som Kina, Sovjet och flera autokratier). Cambridge Analytica–skandalen briserade när konsultföretaget hade använt Facebooks medlemsdata för att påverka stora befolkningsgrupper på uppdrag av kampanjer för Trump och Brexit. Och idag har kriget i Ukraina och ökande informationshot gjort det ännu mer angeläget att försvara våra demokratiers digitala suveränitet.
Och så österrikaren Maximilian Schrems som anmälde Facebook till den irländska dataskyddsmyndigheten IDPC för integritetsbrott. EU–domstolen gav honom rätt genom att slå fast att det avtal som företag använde för transatlantisk dataöverföring, Safe Harbour, inte var giltigt (Schrems I–domen). Dataskyddsavtalet Safe Harbour ersattes sen med Privacy Shield, men Maximilian lyckades sänka även detta avtal. Schrems II var ett faktum.
Vad innebär Schrems II–domen för dig?
Personuppgiftsansvarig – den organisation som bestämmer ändamål och medel för en behandling är alltså skyldig att säkerställa att dataskyddsförordningen efterlevs. I praktiken brukar det vara en person i ledningsgruppen som ansvarar för att detta görs. EU–domstolen har slagit fast att vissa länder utanför EU/EES har ”adekvat skyddsnivå” och därför är godkända att göra så kallade tredjelandsöverföringar av personuppgifter till. Bland dem hittar du länder som Japan, Sydkorea och Storbritannien, men USA står tyvärr står inte med på listan, just därför att amerikansk lag inte respekterar EU–medborgares integritet i tillräcklig utsträckning. Därför faller det på den personuppgiftsansvariga att genom tekniska och organisatoriska åtgärder kompensera för bristerna. Vilket inte är det enklaste, och i vissa fall omöjligt.
Det räcker med att din kunddata behandlas av ett amerikanskt företag, inklusive dotterbolag, för att bryta mot GDPR. Det duger inte att hänvisa till att Microsofts eller Azures datacenter befinner sig på europeisk mark. NSA har ändå rätt att kräva ut personuppgifter om EU–medborgare med hänvisning till amerikansk lag.
Om ditt företag åker dit i en granskning skulle det förutom negativ publicering riskera sanktionsavgifter och eventuella skadestånd.
Det är alltså av goda skäl många svenska organisationer i detta nu ser över hur de hanterar sina personuppgifter.
Vad händer nu?
Det rör på sig i Europa, och nu också i Sverige.
Schrems organisation Noyb har lämnat klagomål mot 101 företag som de anser bryter mot Schrems II–domen för att de använder Google Analytics. I januari 2022 kom den österrikiska dataskyddsmyndigheten vid en granskning fram till att användande av Google Analytics mycket riktigt strider mot GDPR och därför kan få långtgående konsekvenser. Myndigheten konstaterade bland annat att tekniska lösningar som pseudonymiserar IP–adresser inte är tillräckliga för att förhindra att personer återidentifieras i tredje land.
Och på tal om Google så dömde en domstol i München nyligen en webbplatsoperatör att betala 100 euro i skadestånd för att ha överfört användarnas personuppgifter – i det här fallet deras IP–adresser – till Google via deras teckensnittsbibliotek utan deras medgivande.
Mark Zuckerbergs paraplybolag Meta hotar i sin Q4–rapport för 2021 att stänga ned Facebook inom EU. Utan ett avtal med EU om dataöverföring kan de komma att dra in tjänster som Facebook och Instagram.
Den svenska Integritetsskyddsmyndigheten (IMY) har inlett granskningar av sex svenska företag som Noyb lämnat in klagomål på.
I januari 2022 kom en utredning fram till att Microsoft 365 inte bör användas i Stockholms stads förvaltningar och bolag, eftersom skyddet av känsliga personuppgifter inte kan garanteras.
eSam, ett program för samverkan mellan 35 svenska myndigheter, undersöker en digital samarbetsplattform och ”lämpliga och lagliga alternativ för offentlig sektor”. eSam har utvärderat en rad europeiska alternativ till de amerikanska molntjänsterna. Läs mer om möjliga lösningar.
EU och USA ska enligt uppgift sedan Schrems II–domen arbetat för att ta fram ett nytt ramverk för dataöverföringar, men inget nytt har hittills framkommit.
Frågor att ställa om ditt företags dataskydd
Det största risken är alltså att inte göra någonting alls. Här är några vanliga invändningar mot att ta Schrems II–domen på allvar och hur du kan bemöta dem.
”Uppgifterna lagras på en server på Irland.” Det hjälper inte om servern tillhör ett amerikanskt företag.
”Microsoft har jättehög säkerhet.” Det är visserligen sant, men Schrems II–domen handlar ytterst inte om IT–säkerhet utan om juridik och politik.
”Det kostar ju inte pengar än.” Domarna faller som du sett redan i andra EU–länder, och IMY:s granskning pågår just nu i Sverige.
”Ingen vet vad vi använder.” Det tar 10 sekunder att kolla om en webbplats använder Google Analytics om man vet hur man gör.
”Det är omöjligt, det kan inte hända.” Som du just läst: det händer.
”Varför gör ingen annan något?” Många, inte minst kommuner, myndigheter och banker och deras leverantörer står under press och organiserar sig kring alternativa tjänster.
Dramat utspelar sig fortfarande och det gäller läsa på och följa med i det som händer. Håll gärna ett öga på imy.se. Nu kan vara den bästa tiden att se över ert dataskydd.
Patrik Jonasson, vice VD och expert dataskydd (GDPR), informationssäkerhet och IT–säkerhet, IT–Säkerhetsbolaget
Ladda ned vår guide om dataskydd efter Schrems II-domen.
Källor:
IMY
IAPP
Sweclockers
eSam
NyTeknik