Nytt adekvansbeslut ger inte grönt ljus för amerikanska molntjänster i EU – ladda ner vår rapport

Så kom det till sist, EU-kommissionens nya beslut om adekvat skyddsnivå, baserat på ramverket Data Privacy Framework. Många organisationer frågar sig givetvis om det nu är grönt ljus att använda amerikanska molntjänstleverantörer.

Vi bedömer att svaret fortsatt är nej.

Ladda ner vår djupgående rapport där vi tittar på adekvansbeslutets påverkan och varför det fortsatt är problem med att anlita amerikanska molntjänstleverantörer. Tipsa gärna de i din organisation som du tror kan finna det intressant, exempelvis dataskyddsjurister, dataskyddsombud samt de som arbetar med anskaffning av molntjänster och SaaS-lösningar.

Vad din organisation behöver veta om adekvansbeslutet

Till att börja med förväntar vi oss att EU-domstolen ogiltigförklarar det nya adekvansbeslutet inom ett par år. Grunden det står på är vittrande och kommer förr eller senare att rämna. Det vore därför ett strategiskt felsteg att förlita sig på adekvansbeslutet för digitala satsningar av någon betydelse.

Den här rapporten handlar dock om något viktigare. Nämligen vad adekvansbeslutet egentligen kan – och inte kan – användas till. Vi hoppas därmed reda ut en del frågetecken och förebygga missförstånd. 

Adekvansbeslutet löser nämligen inte problemet med att amerikanska underrättelsemyndigheter kan tvinga amerikanska molntjänstleverantörer i EU att lämna ut personuppgifter.

Adekvansbeslutet kan inte heller användas för sådana överföringar från EU till amerikanska underrättelsemyndigheter. Att denna extraterritoriella åtkomst finns kvar innebär fortsatta problem i relation till EU-lagstiftningen.

Vi bedömer därför att organisationer som omfattas av GDPR även fortsatt är i princip förhindrade att hantera personuppgifter hos amerikanska molntjänstleverantörer i EU. Här är nyckelpunkterna för vad du behöver veta

1. Adekvansbeslutet möjliggör endast överföringar av personuppgifter från EU till självcertifierade mottagare i USA. Det möjliggör inte överföringar till USA generellt.

2. Överföringar från EU till amerikanska underrättelsemyndigheter kan inte ske med stöd av adekvansbeslutet. Amerikanska underrättelsemyndigheter är inte självcertifierade mottagare. Sådana utlämnanden till amerikanska myndigheter är dessutom i princip förbjudna enligt andra regler i GDPR. Adekvansbeslutet gör alltså ingen skillnad i dessa situationer.

3. En organisation som behandlar personuppgifter i EU måste säkerställa den skyddsnivå med rättigheter som EU:s rättighetsstadga och GDPR kräver. EU-stadgans skyddsnivå omfattar bland annat rätten till tillgång till personuppgifter, rättelse av felaktiga personuppgifter samt en effektiv domstolsprövning. Vi menar att dessa rättigheter fortfarande inte kan utövas på ett effektivt sätt av den som vill få sin sak prövad i USA.

4. GDPR har flera regler som skyddar personuppgifter mot tredjelands lagstiftning. Vi menar att amerikanska molntjänstleverantörer inte kan garantera att de uppfyller dessa regler. Tvärt om innebär deras besked att de låter amerikansk lagstiftning gå före GDPR. Vi menar därför att de amerikanska molntjänstleverantörerna inte ger de garantier som krävs för att kunna anlitas som personuppgiftsbiträden.

5. EU-domstolen har klargjort att skyddsnivån med rättigheter i EU omfattar alla personuppgifter oavsett om de är känsliga, oavsett hur uppgifterna används och oavsett om berörda personer fått utstå någon olägenhet.

6. EU-domstolen bedömde i Schrems II att ett effektivt skydd för personuppgifter inte kunde säkerställas när lagstiftningen i tredjeland tillät tredjelandets myndigheter att göra ingrepp i personers rättigheter. Rättighetsskyddet kunde inte säkerställas redan i detta skede, det behövde alltså inte ha skett något faktiskt utlämnande till amerikanska myndigheter eller ens vara sannolikt att så skulle ske. Vi menar att detta tydliggör den skyddsnivå som måste säkerställas inom EU, innebärande att när sådan lagstiftning i tredjeland tillåter att personuppgifter i EU kan lämnas ut till tredjelandet så kan skyddsnivån inom EU i princip inte längre säkerställas.

7. Slutsatsen blir därmed att om en organisation exponerar personuppgifter i EU för amerikansk lagstiftning, som tillåter ingrepp i individers rättigheter, så kan organisationen inte säkerställa en tillräcklig skyddsnivå för personuppgifterna i EU.

8. GDPR samt EU-domstolens syn på tredjelands lagstiftning borde i de flesta fall utesluta användning av amerikanska molntjänstleverantörer med behandling i EU. Amerikansk lagstiftning tillåter nämligen amerikanska myndigheter att kräva ut personuppgifter hos amerikanska molntjänstleverantörer i EU, på ett sätt som vi bedömer strider mot GDPR och undergräver EU:s skyddsnivå. Adekvansbeslutet förändrar inte detta.

9. Kryptering i molnet föreslås ibland som lösning. Vi har emellertid inte sett något fall där en amerikansk molntjänstleverantör visat hur de krypterar uppgifter på ett sätt där kunden är i full kontroll, och där molntjänstleverantören inte har någon teknisk möjlighet att dekryptera uppgifterna, utan att kunden också drabbas av en eller flera av följande:

   • Krypteringen omfattar endast en delmängd av de uppgifter som behöver hanteras i molnet.
   • Reducerad prestanda och funktionalitet eftersom det blir svårt eller omöjligt att bearbeta information i molnet samt söka efter, dela och samarbeta kring information.
   • Högre licenskostnad.
   • Administrativ hantering av krypteringen samt tillhörande säkerhetsrisker.
   • Ökade krav på medarbetare gällande i vilka system och digitala verktyg de får hantera information, krav som är svåra att upprätthålla fullt ut.
     
     

10. Av dessa rättsliga, ekonomiska och praktiska skäl är molntjänster med verklig datasuveränitet, utan exponering mot amerikansk lagstiftning, fortsatt det mest attraktiva alternativet.