Under de senaste åren har offentlig sektor försökt landa i en legal konsensus kring överföring av personuppgifter till tredje land. Ofta i termer av ”kan vi använda en molntjänsteleverantör i vår verksamhet?”. Löser president Bidens nya ”verkställande order” den legala utmaningen med amerikanska molntjänsteleverantörer för offentlig sektor?
Under de senaste åren har offentlig sektor försökt landa i en legal konsensus kring överföring av personuppgifter till tredje land. Ofta i termer av ”kan vi använda en molntjänsteleverantör i vår verksamhet?”. Löser president Bidens nya ”verkställande order” den legala utmaningen med amerikanska molntjänsteleverantörer för offentlig sektor?
Den 7 oktober 2022 undertecknade den amerikanska presidenten Joe Biden en verkställande order om att implementera ett ramverk för dataöverföring mellan EU och USA med avsikt att ge ett nytt säkerhetsskydd gentemot amerikansk underrättelseinsamling.
Ordern syftar till att ge amerikanska företag möjligheten att kunna ansluta sig till USA:s Data Privacy Framework och att EU ska erkänna ramverket som ett tillräckligt skydd för personuppgiftshantering genom att efterleva en detaljerad uppsättning av integritetskrav. Därmed är antagandet att USA säkerställer en faktisk och adekvat skyddsnivå för personuppgifter som överförs mellan europeiska organisationer och amerikanska företag.
Den verkställande ordern grundar sig i amerikansk lagstiftning och adresserar den amerikanska regeringens åtaganden. Enligt ordern åtar den amerikanska regeringen att:
Förbättra skyddsåtgärder och övervakning av USA:s signalspaningsverksamhet
Införa en ny rättelsemekanism för drabbade individer
Införa interna procedurkrav för hantering av personuppgifter
Uppdatera integritetsprinciperna, som företag måste följa för att bli certifierade enligt ramverk, från de som tillämpades under den gamla Privacy Shield-mekanismen
USA är ökända för övervakningsskandaler av sin omvärld och allierade. Utan det nya tillägget regelverket för gränsöverskridande flöden av personuppgifter försvåras digitaliseringen av offentliga tjänster i Europa. Gränsöverskridande flöden av personuppgifter skapar ofta konflikter mellan grundläggande rättigheter och tillsynsmyndigheternas behörighet i tredjeländer som USA. Med tanke på att amerikanska företag erbjuder de mest populära molnbaserade tjänsterna, bidrar det till en ännu större problematik.
I Sverige har detta resulterat i ett nödläge, framför allt inom offentlig sektor, där myndigheter har förlorat sin förmåga att kunna flytta över sin verksamhet till amerikanska molnbaserade tjänster, eftersom känsliga personuppgifter om svenska medborgare skulle kunna överföras till amerikansk underrättelsetjänst eller organisation för brottsbekämpning utan svensk domstolsprövning, vilket är olagligt enligt svensk lag.
Organisationen None of your Business (NOYB), med Max Schrems i täten, framhåller att det finns luckor i den nya verkställande ordern och bedömer att den verkställande ordern sannolikt inte kommer uppfylla EU-lagstiftningen. Organisationen har dessutom redan proklamerat att de kommer att överklaga även denna överenskommelse då de grundläggande problemen som fick Privacy Shield att ogiltigförklaras förra gången fortfarande kvarstår.
Så hur ska offentlig sektor förhålla sig till den nya överenskommelsen när den väl träder i kraft?
Det kan konstateras att det förstås vore bra för alla om data kunde överföras mellan EU och USA på ett säkert sätt som följer GDPR– och en hållbar lösning är önskvärd, inte minst för den offentliga sektorn i Sverige. Dock kan vi med största sannolikhet räkna med att NOYB kommer att ta upp även denna överenskommelse till EU-domstol, och det är inte helt osannolikt att det leder till en Schrems III som häver möjligheterna till överföring till USA även denna gång.
Utifrån detta anser vi det vara rimligt att även fortsättningsvis beakta stor försiktighet när det gäller överföring av personuppgifter till USA för offentlig verksamhet. Att vidta åtgärder enligt GDPR som stärker det faktiskt skyddet för den personuppgiftsbehandling som ändå måste ske i amerikanska molntjänster kommer vara en bestående del i säkerhetsarbetet under en lång tid framöver.
Svaret från oss på Midagon är ”Nej”. President Bidens ”verkställande order” ger inte fritt spelrum att börja nyttja amerikanska molntjänster utan först betänka GDPR- och redan befintliga säkerhetsaspekter. Den förändrar ingenting i sak. Detta gäller både för den privata och offentliga sektorn.
Har du fler frågor? Kontakta oss på Midagon så hjälper vi dig.
Ett projekt där målet är att implementera ett nytt ERP-system är ett av de mest omfattande förändringar ett företag kan ...
Läs bloggen
Med de stora volymerna av information och data som dagligen genereras, och den ökade användningen av molntjänster, ökar hotet av ...
Läs bloggen
Vad finns det för risker med att inte utföra en behovsanalys i er IT-transformation? Och hur kan en väl utförd ...
Läs bloggen
