Att det är i de flesta fall olagligt att överföra personuppgifter från EU till amerikanska plattformar som Google och Microsoft har fått allt fler svenska företag att leta efter möjliga lösningar som kan leva upp till GDPR.

Men vad finns det egentligen för alternativ?

 

Amerikanska molntjänster

Stora molnplattformar som Microsoft 365 ger dig tillgång till ett stort uppdaterat tjänsteutbud, flexibel pay-for-use betalning, hög tillgänglighet och – faktiskt – hög upplevd informationssäkerhet och IT-säkerhet. De står för trygg backup, robust kryptering och uppdaterade strategier mot säkerhetshot där man frekvent provar att hacka sig själv.

Perfekt – om det inte vore för Schrems II-domen.

Vad säger leverantörerna själva?

2021 försäkrade Microsofts juridiska chef Brad Smith i en artikel sina Azure-, Microsoft 365- och Dynamics 365-kunder att företaget minsann kommer att efterleva GDPR. Detta ska ske genom att all data behandlas och lagras inom EU:s gränser. Microsoft ska investera i datacenter inom EU med lokal personal och försvara sina kunders data mot ”otillbörlig access” från myndigheter. Detta är något många internationella företag länge har sett som en work-around som säkrar GDPR-efterlevnaden.

IBM hävdar att de bara behöver leva upp till varje lands lokala lagar, och inte måste underkasta sig granskningar av USA:s myndigheter. De menar att medan Google, Microsoft och AWS från början har byggt sin affärsmodell och sina system för konsumenter, används IBM Cloud bara av företag och myndigheter som generellt sett lagrar affärsdata som kan anses vara mindre intressant att övervaka än stora mängder data om privatpersoner.

Men vad säger GDPR?

Enligt EU/EES:s dataskyddsförordning är överföringar bara tillåtna om det tredje landet har bedömts ha ”adekvat skyddsnivå”, vilket i dagsläget inte inkluderar USA, eller om lämpliga skyddsåtgärder vidtagits. För multinationella koncerner kan sådana åtgärder vara att ta fram bindande företagsbestämmelser som måste godkännas av en tillsynsmyndighet inom EU/EES. För de flesta företag återstår dock så kallade standardavtalsklausuler, som kräver att företaget har försäkrat sig om att dataskyddet i mottagarlandets är likvärdigt med EU:s dataskydd.

Grundproblemet är snarare juridiskt än tekniskt, eftersom den stora stötestenen just är amerikansk lag. Alla organisationer som lyder under denna, till exempel Microsoft, är skyldiga att tillmötesgå en amerikansk myndighet som begär tillgång till personuppgifter om utländska medborgare.

Därför letar många efter alternativ till de stora amerikanska molnleverantörerna, inte minst inom offentlig sektor, och det är intressant även för privata företag.

schrems-lagar

eSams samarbetsplattform

eSam är ett svenskt medlemsdrivet program för samverkan mellan 35 offentliga verksamheter, myndigheter och regioner. De har tagit fram produkter för en digital samarbetsplattform som ger ”lämpliga och lagliga alternativ för offentlig sektor”.

En av dem som anslutit sig till eSam, Stockholms stad, beslutade i januari 2022 efter en utredning att Microsoft 365 och ”liknande tjänster” inte bör införas hos deras förvaltningar och bolag, eftersom leverantörer av sådana molntjänster inte garanterar tillräckligt skydd för personuppgifter.

eSam har utvärderat och rekommenderat en lång rad framför allt europeiska alternativ till de amerikanska. Ett exempel är Compliant Office som görs av tjeckiska IceWarp. IceWarp, som kan driftas i egen regi eller köpas som molntjänst, liknar Microsoft 365, Google Workspace och Nextcloud.

Den röda tråden bland de föreslagna lösningarna, när de levereras som en tjänst, är att de driftas inom EU/EES och ägs av företag vars lagliga hemvist är länder som godkänts för tredjeplandsöverföringar (undantag görs för produkter som står hos användarföretaget, så kallade on-premlösningar, exempelvis Cisco Meeting). Att de flesta vanliga svenska IT-användare kanske aldrig har hört talas om dem gör dem inte nödvändigtvis sämre.

Kryptering

Enligt standardklausulerna skulle överföringar till ett tredje land kunna vara lagliga i vissa fall,  förutsatt att man vidtar vissa skyddsåtgärder som kompenserar för den otillräckliga dataskyddsnivån. Säker kryptering är i så fall ett måste i sådana skyddsåtgärder, men är inte möjligt om informationen behandlas i klartext hos leverantören, som när det gäller Microsoft 365. Som personuppgiftsansvarig ska du också beakta vilken teknisk förmåga myndigheterna i mottagarlandets har att ta del av skyddad information. Vilka krypteringar kan NSA knäcka 2022, 2025 eller 2032?

De största molnleverantörerna är bra på att kryptera data som lagras på en server. När data används, alltså processas, är kryptering en större utmaning och kan försämra systemens prestanda. Här finns det en rad olika lösningar.

Keep your own key är en teknologi som låter företag behålla kontrollen över sina egna krypteringsnycklar, så att det bara är de själva som kontrollerar accessen till sin egen data. Hur säker krypteringen är beror på hur krypteringsnycklarna hanteras, vilket kallas operationell säkerhet (operational assurance). Detta förutsätter dokumentation och effektiva processer samt att dessa följs.

En annan variant är att ta backup på datan i Sverige och skicka den krypterad till USA. Det är dock svårt at leva upp till säkerhetskraven som ställs på denna lösning, om man inte är insatt i den amerikanska underrättelsetjänstens metoder för att läsa skyddad information.

Teknisk säkerhet (technical assurance) betyder att systemet själv förhindrar säkerhetsincidenter. Ett exempel på detta är IBM:s teknologi Confidentiality Computing som gör att data krypteras genom hela livscykeln, inklusive när den processas i minnet, utan att tappa prestanda. Det betyder enligt IBM att de helt enkelt inte har access till kundens data och rent tekniskt därför inte skulle kunna lämna över den till en amerikansk domstol om de frågade efter den.

Pseudonymisering av data är en teknik som ersätter det som identifierar personuppgifter med en pseudonym, till exempel ett fiktivt personnummer, som är svårt att koppla till personen. För att koppla ihop pseudonym och person krävs information med namn och tillhörarande pseudonymer som bara den personuppgiftsansvarige har tillgång till.

 

schrems-kryptering

EU-baserad molnleverantör

Ett europeiskt företag som lagrar personuppgifter på egna servrar och system i Europa regleras av GDPR och inte amerikansk lag. Det betyder att det faktiskt är möjligt att efterleva regelverket om du använder en europeisk molntjänst.

Lokal lagring på företaget

Om du tillhör en organisation i ett EU/EES-land – till exempel en svensk organisation – och lagrar data i ert eget datacenter (on-prem), kan ni också behandla och lagra personuppgifter i enlighet med GDPR. Många drar samtidigt delvis nytta av molntjänster, en lösning känd som hybridmoln, men för att efterleva GDPR behöver alltså företaget som levererar molntjänsterna vara baserat i ett land med adekvat skyddsnivå, som ett EU/EES-land.

Sammanfattningsvis måste du som personuppgiftsansvarig se till att din organisations IT-säkerhet, informationssäkerhet och dataskydd följer GDPR:s krav. En lätthackad, EU-baserad lösning bryter mot GDPR, men det gör en tekniskt säker amerikansk molntjänst också. En tekniskt säker plattform som drivs av ett svenskt företag skulle däremot kunna klara biffen.

 

Patrik Jonasson, vice VD och expert dataskydd (GDPR), informationssäkerhet och IT-säkerhet,  IT-Säkerhetsbolaget

 

Källor:

IMY

IAPP

IBM