Läget efter EU-US Data Protection Framework (DPF)

Med anledning av EU-kommissionens senaste beslut om dataöverföringar till amerikanska molntjänst­leverantörer i juli 2023 finns anledning att återigen se över de förändrade omständigheterna.

Amelia Andersdotter

Amelia Andersdotter

Risk & Compliance Manager

EU-kommissionens senaste beslut om dataöverföringar till USA har återigen satt fokus på de rättsliga och tekniska utmaningar som europeiska organisationer.

I två tidigare white papers, 20181 och 20202, har Safespring gått igenom det rättsliga och tekniska läget för organisationer som planerar sin IT-infrastruktur.

Med anledning av EU-kommissionens senaste beslut om dataöverföringar till amerikanska molnleverantörer i juli 20233 finns anledning att återigen se över de förändrade omständigheterna.

I huvudsak förblir rekommendationerna samma. Vi har i vissa delar uppdaterat språket och tagit bort rekommendationer som hänvisar till gamla dataöverförings­beslut. Infrastruktur­planering är ingen ny aktivitet; grundstenarna i det som utgör ett ansvarsfullt grepp om infrastruktur för en överskådlig tid framöver är desamma idag som för femtio år sedan, eller trettio eller fem. Det handlar om att ge sin verksamhet möjligheter att undvika inlåsningar till enskilda leverantörer, att kunna förutsäga och i bästa fall minimera kostnader och underhållskostnader. Både den enskilda verksamheten, Sverige och Europa behöver i ökad utsträckning verka för rådighet över de delar av infrastrukturen som ska vara stabila och fungera, och de delar som ska möjliggöra flexiblitet, förändring och innovation.

Som anmärkts av andra än Safespring finns egentligen få anledningar att tro att förändringarna i nya data­överförings­beslutet innebär “väsentligen samma skydd” som europeisk rätt.

Amelia Andersdotter

Bakgrund

Europeiska dataöverförings­beslut

Den 10 juli 2023 offentliggjorde EU-kommissionen sitt senaste beslut med avseende på rättslig säkerhet vid överföring av personuppgifter till aktörer som lyder under amerikansk rätt: EU-US Data Protection Framework (DPF). Detta är en uppföljare till besluten Safe Harbor och Privacy Shield som tidigare förklarats ogiltiga av EU-domstolen. Till grund för EU-US DPF ligger förhandlingar mellan EU:s medlemsländer och EU-kommissionen, å ena sidan, och EU-kommissionen och federala myndigheter i USA, å andra sidan. Förhandlingarna har resulterat i en överenskommelse mellan USA och EU som ligger i ett appendix till beslutet.

Bland nyheterna i EU-US DPF ingår hänvisningar till viktiga begrepp i europeisk dataskyddsrätt: proportionalitet,4 nödvändighet5 och berättigade intressen6. Den tidigare ombudsmanna­funktionen har delats upp i nya funktioner: en Civil Liberties Protection Officer7 och en Data Protection Review Court8.

Som anmärkts av andra än Safespring finns egentligen få anledningar att tro att dessa förändringar innebär “väsentligen samma skydd”9. Proportionalitet, nödvändighet och berättigade intressen är inte absoluta, utan relativa begrepp. Om utgångspunkten är att amerikanska säkerhetsintressen, till exempel sådant som riskerar att påverka amerikansk ekonomi, amerikanska företag eller amerikanska medborgare, står överordnade andra intressen, kan det vara både nödvändigt och proportionerligt att inskränka europeiska medborgares rättigheter enligt amerikansk rätt.

EU-domstolens invändning mot den tidigare ombudsmanna­funktionen var inte heller grundad i att titeln ombudsman är felaktig, utan i de befogenheter ombudsmannen tilldelats. Domstolsfunktionen ses inte av EU-domstolen som en förvaltnings­myndighet vars uppdrag flexibelt kan styras utifrån politiska direktiv, utan som en egen och separat funktion friställd från övriga politiskt styrda verksamheter. Även Europeiska dataskydds­ombudsmannen, EDPS, har i ett avgörande mot EU-kommissionen fastslagit att man, utifrån EU-domstolens avgöranden, måste slutleda att bara europeiska myndigheter får bemäktigas göra hemliga anspråk på tillgång till skyddad data10.

Utifrån det perspektivet kommer EU-domstolen vid en rättslig prövning sannolikt inte kunna göra något annat än att underkänna även EU-US DPF. Det behöver inte ta lång tid. Safe Harbor-beslutet underkändes efter 15 år, och Privacy Shield-beslutet efter fyra år. Nya rättsliga möjligheter för europeiska medborgare att försvara sina rättigheter i domstol har avsevärt kortat sträckan mellan förmodat olagligt beslut och rättslig prövning i EU-domstolen. Även om rättvisans kvarnar fortfarande mal långsamt, menar vi på Safespring att de inte längre kan förmodas mala långsammare än tidshorisonten för planering av IT-infrastruktur.

Svensk lagstiftning

Det är inte bara den europeiska rätten som spelar roll för svenska verksamheter som planerar sin IT-infrastruktur. Även svensk lagstiftning i form av säkerhetsskyddslagen och offentlighets- och sekretesslagen spelar in. Det kan till exempel röra tolkningen av begrepp så som “att röja [en sekretessklassad uppgift]”, “direktåtkomst”, eller skillnaden mellan ett utlämnande och teknisk bearbetning. Idag är det oklart om och hur regeringen gör skillnad mellan den situation att olika myndigheter samarbetar om IT-drift (samordning) och att en enskild myndighet avtalar med en privat aktör att tillhandahålla IT-drift (utkontraktering)[^11].

Vid analyser av försörjningskedjor kan det uppstå frågor i vilken utsträckning kunden behöver säkerställa att underleverantörer av supporttjänster har eller har haft problematiska medborgarskap. Exempelvis när en balkansk service-tekniker i Tjeckien tillhandahåller systemadministrativa supporttjänster för ett myndighetssystem i Sverige[^12]. I vissa fall blir kraven så strikta att en säkerhetsgranskning måste genomföras för all personal som hanterar IT-systemet där svenskt medborgarskap är ett krav för att alls få granskas.

Vid bedömningen av oklarheter kring tolkning av svensk lagstiftning behöver kunden ofta först ta reda på om den är samhällsviktig verksamhet i den mening som avses i svensk, nationell säkerhetspolitik[^13]. Ett kommunalt elnät kan till exempel vara lokalt samhällsviktigt, men inte nationellt samhällsviktigt. Statliga myndigheter är många gånger nationellt samhällsviktiga.

Den svenska lagstiftningens inverkan på infrastruktur­planering handlar framför allt om administrativ rådighet.

Standardisering, öppen källkod och certifiering

En viktig utveckling i den europeiska rätten är att allt starkare tonvikt läggs vid industrinormer, standarder och certifieringar. Detta gäller exempelvis i NIS2-direktivet, men ännu tydligare i lagar som AI Act och Cyber Resilience Act.

Standardisering och certifiering inom IT-industrin är inget nytt. Apparater för generering av kryptografiska signaturer har till exempel standardiserats sedan 1990-talet. Tänk exempelvis bankdosor, kortläsare, chippen på biometriska pass och ID-kort, och dylika applikationer. Även för programvara finns kvalitetsstandarder: de så kallade Common Criteria och FIPS används i Nordamerika för att testa implementationer av säkerhetsfunktioner. I EU finns inga dylika regionomfattande initiativ eller standarder.

Den vanligaste kritiken mot certifieringsprogram för programvara är att certifierings­cyklerna är långa och dyra för leverantörer att ta sig igenom. Det minskar incitamentet att upptäcka, analysera och åtgärda säkerhetsproblem efter att certifieringen är klar, trots att ingen befintlig certifiering garanterar felfria produkter (och det är i fallet programvara inte ens möjligt).

I allmänhet blir det allt vanligare att inom en viss industri samarbetar kring gemensamt utvecklade, öppna applikations­gränssnitt (API:er). Exempelvis OpenRAN, som är en mängd gränssnitt för hantering av mobilnätsutrustning, består av öppen källkods­applikationer som var och en av mobilnätoperatörerna kan bidra till, ändra i sina egna nät, eller implementera “as is” för att säkerställa högsta nivå av interoperabilitet med andra mobilnät. Motsvarande gränssnittsmängder finns för molntjänster, hantering av sakernas internet, gränssnitt för elektronik i bilar, med mera. Öppen källkod har blivit det snabbaste sättet att garantera största mängd digital samverkan.

Att källkoden är öppen minskar möjligheterna för leverantörer och implementatörer att dölja säkerhetsfel som upptäcks efter eventuell certifiering. Det skapar också möjlighet för samhällelig styrning av resurser som går in i de konsortier som ansvarar för gränssnitts­utvecklingen. Hur exakt styrningen kommer utvecklas återstår att se, men som synes finns både säkerhetsskäl och samverkansskäl att orientera sig mot öppen källkodslösningar.

Rekommendationer

Etablera den tidshorisont ni vill jobba på

Skapa förutsättningar för enkel migration

Personuppgiftsskydd

Säkerhet

Hantering av försörjningskedjan

Källförteckning


  1. Safespring. (2018). Cloud Act White Paper. Hämtad från safespring.com ↩︎

  2. Safespring. (2020). Schrems II White Paper. Hämtad från safespring.com ↩︎

  3. Europeiska kommissionen. (2023). C(2023) 4745 final. Hämtad från commission.europa.eu ↩︎

  4. Europeiska kommissionen. (2023). C(2023) 4745 final, Rec. 131. Europeiska unionens stadga för grundläggande rättigheter, Artikel 52.1. ↩︎

  5. Europeiska kommissionen. (2023). C(2023) 4745 final, Rec. 138. Europeiska unionens stadga för grundläggande rättigheter, Artikel 52.1. ↩︎

  6. Europeiska kommissionen. (2023). C(2023) 4745 final, Rec. 134-135. Dataskydds­förordningen (GDPR), 679/2016, Artikel 6.1.f. ↩︎

  7. Europeiska kommissionen. (2023). C(2023) 4745 final, Rec. 126↩︎

  8. Europeiska kommissionen. (2023). C(2023) 4745 final, Rec. 184↩︎

  9. noyb. (2023, 10 juli). European Commission gives EU-US data transfers third round at CJEU. Hämtad från noyb.eu ↩︎

  10. Europeiska dataskydds­ombudsmannen. (2024). EDPS/2024/05. European Commission’s use of Microsoft 365 infringes data protection law for EU institutions and bodies. Hämtad från edps.europa.eu ↩︎