Säkerhet 2021.07.02

Schrems II Privacy är en utmaning

Allt fler organisationer använder molntjänster för sin databehandling och särskilt då från amerikanska leverantörer, exempelvis Microsoft, Google och Amazon. Vid behandlingen av datat kan, beroende på tjänst, olika typer av persondata komma att överföras till länder utanför EU/EES (s.k tredjeländer). Detta är okej förutsatt att man har en legal grund för överföringen. När det gäller legal grund för dataöverföring till USA har amerikanska företag tidigare kunnat använda den så kallade EU-US Privacy Shield-överenskommelsen, men den ogiltigförklarades av EU-domstolen i juli 2020 i den så kallade Schrems II-domen.

Efter EU-domstolens ogiltigförklarande av EU-US Privacy Shield bytte flertalet leverantörer omgående i stället till Standard Contractual Clauses (”SCCs”) som legal grund. SCCs giltighet är dock inte självklar eftersom USA kan anses sakna grundläggande rättigheter som beskrivs i EU-stadgan om de grundläggande rättigheterna (artikel 7, 8 och 47). Bristerna beror på att amerikanska myndigheter med lagstöd (t.ex. CLOUD Act, FISA 702 och EO 12333), kan kräva ut information på ett sätt som inte är förenligt med dessa grundläggande rättigheter som finns inom EU. Schrems II-domen behandlade även SCCs giltighet men EU-domstolens utlåtande lämnar utrymme för tolkning, där många (exempelvis Microsoft) menar att EU-domstolen fortsatt godkänner SCCs, medan en del andra menar att eftersom de nämnda grundläggande rättigheterna inte tillgodoses i USA så spelar SCCs ingen roll. Sammanfattningsvis blev rättsläget för de organisationer som har avtal med amerikanska molntjänstleverantörer osäkert.

Cirka 4 månader efter domen, i november 2020, publicerade Europeiska Dataskyddsstyrelsen (EDPB) förslag på rekommendationer på åtgärder man kan vidta för att för råda bot på den osäkerhet som uppstod. Detta förslag på rekommendationer var ute på publik konsultation fram till 2020-12-21, där alla som ville fick komma med synpunkter. EDPB:s förslag på rekommendationer tolkades och diskuterades flitigt, många ansåg att de var för strikta och inte erbjöd några bra lösningar på problematiken med tredjelandsöverföringar. Under samma period var även nya SCCs under framtagande av EU-kommissionen (det är alltså inte EDPB som ansvarar för dessa). Under denna osäkra period var Advanias rekommendation att man skulle avvakta med att upphandla molnlösningar från icke EU/EES-leverantörer, exempelvis Microsoft, åtminstone tills EDPB publicerat slutversionen på sina rekommendationer och de hunnit tolkas och bedömas. Om man redan hade molnlösningar implementerade var Advanias rekommendation att se över dessa genom att göra så kallade konsekvensbedömningar, så att eventuella risker kunde upptäckas.

Nutid: vad är status idag?

Nya SCCs publicerades av EU-kommissionen 2021-06-04 och EDPB, som sedan december 2020 analyserat synpunkterna som kommit in, offentliggjorde sin slutversion på rekommendationerna 2021-06-21.

EDPB:s förslags-rekommendationer från november förbjöd i princip riskanalyser helt men i slutversionen har EDPB på sätt och vis öppnat mer för att riskanalyser får göras, särskilt kopplat till sannolikheten för att en myndighet ska begära ut information med FISA 702 som stöd. Emellertid ställer EDPB högra krav på en sådan bedömning. EDPB har i slutversionen förstärkt sin förteckning (se Annex 3) över förslag på lämpliga källor för att bedöma rättsläget i tredjelandet. Samtidigt ställs höga krav på hur denna bedömning ska genomföras och dokumenteras vilket i praktiken kommer innebära stora utmaningar för i varje fall små- och medelstora organisationer (SMEs) som ofta har begränsade juridiska resurser (SMEs utgör cirka 70 % av de organisationer som anslutit sig till Privacy Shield).

Vi på Advania, likt många andra som följt debatten sedan EDPB publicerade sina förslagsrekommendationer, hade inte gissat att slutversionen av rekommendationerna skulle innehålla något revolutionerande som sopade bort alla hinder, och med facit i hand var denna gissning korrekt. Slutversionen av EDPBs rekommendationer kommer för många organisationer fortfarande innebära ett betungande tolknings- och analysarbete i synnerhet som de stora molnleverantörerna inte är särskilt meddelsamma i de enskilda kundfallen, vilket är precis det de skulle behöva vara för att respektive kund ska kunna få sitt kundspecifika underlag för bedömning av eventuella överföringar. Exempelvis skulle statistik på FISA 702-begäran från USA-myndigheter specifikt för Sverige kunna vara till stor nytta, vilket Advania efterfrågat av molnleverantörer, men sådan statistik har inte gått att få.

EDPB har alltså i sin slutversion öppnat i varje fall något mer för att göra riskanalyser och Advania rekommenderar att man gör detta. I detta osäkra läge där fortfarande rättspraxis inte hunnit i kapp är det viktigt att kunna visa upp att man i varje fall har gjort någonting, och då är riskanalyser lämpliga åtgärder.

Ett tillvägagångssätt som Advania föreslår är att dela upp arbetet eller ”skiva elefanten”, och att i första hand analysera internt hur ni använder den aktuella molnlösningen i dagsläget. Exempelvis gällande M365: vilka appar används? Tillåts tredjepartsappar? Är allt upplåst för alla typer av användare? Kan vem som helst skapa ett nytt Team? Kan vem som helst bjuda in gäster? Är funktionen att spela in ett Teams-möte upplåst för alla? Hur bra uppstyrd är SharePoint som fillagringsyta, exempelvis när det gäller olika behörigheter? Vilka personuppgifter laddas upp i M365-plattformen Dessa frågor kan man besvara, och styra upp, innan man behöver jaga Microsoft för att diskutera eventuella överföringar.

Det andra som vi rekommenderar är att titta på de lösningar som bland annat Advania tillhandahåller idag som inte lägger mer ansvar och belastning på användarna utan med hjälp av automatiseringar säkerställer att organisationen följer uppsatta policys och riktlinjer, dvs att man kan anonymisera eller kryptera data i transit eller i lagring utan att förändra nuvarande användarupplevelse. Slutligen så finns vi här med kompetensstöd om ni känner er osäkra och vi kan bistå inom samtliga områden kring denna utmaning. Tveka inte att ta kontakt med oss för ett första samtal hur just du och din organisation ska agera.

Behöver du stöd i säkerhetsarbetet?

Vi hjälper dig att skydda din verksamhet proaktivt. Läs mer om våra erbjudanden inom Säkerhet →

Kontakta mig

Business Area Manager Security

Mårten Möller

Relaterat innehåll

Säkerhet
2024.10.17

Gör en insats för din digitala beredskap

Det har pratats mycket om hur man stärker sin motståndskraft inför en eventuell kris i samhället, och då tänker vi mest på omfattande påverkan som strömavbrott eller naturkatastrofer. Minst lika viktigt är att ha en digital...