Behöver vi en norsk statlig molntjänst?

Norsk statlig molntjänst?

Den 16 juli upphävde EU-domstolen dataöverföringsavtalet “Privacy Shield” i den så kallade “Schrems II”-domen. Domstolen slog också fast att USA inte är ett säkert tredjeland. För många företag har detta gjort det svårare att använda molntjänster från amerikanska leverantörer.

Fredric Wallsten har lång erfarenhet av att arbeta med dessa frågor i sin roll som vd för den norska molntjänsteleverantören Safespring.

Fredric, vad innebär det för företagen att Privacy Shield upphävdes nu i somras?

Utan ett giltigt dataöverföringsavtal blir det svårare att hitta en så kallad rättslig grund för att överföra uppgifter. Dessutom har EU-domstolen funnit att USA:s nationella lagstiftning inte skyddar europeiska medborgare. Det medför fler konsekvenser än många säkert är medvetna om. Domstolen slår bland annat fast att det är leverantörens hemvist, och inte hårdvarans geografiska placering, som är avgörande för skyddsnivån.

Detta gör det betydligt svårare att använda molntjänster från leverantörer som lyder under amerikansk lag, även om de har datacenter i Norge, Sverige eller Europa. Om amerikanska myndigheter kan framställa bindande krav mot leverantören bör det i praktiken vara svårt för en aktör inom EES att använda leverantörens tjänster.

Har domen andra konsekvenser?

Många företag är just nu i strid med GDPR och riskerar böter. EU-domstolen slog också fast att tillsynsmyndigheterna har en skyldighet att agera mot dataöverföring när det inte går att fastställa en likvärdig skyddsnivå i mottagarlandet. I Irland utreds nu vad detta innebär i praktiken.

Branschen talar om Standard Contractual Clauses och Binding Corporate Rules, kan de användas?

Nja, det är viktigt att vara medveten om att Privacy Shield var ett avtal mellan jurisdiktioner, medan SCC är ett avtal mellan företag. SCC är en uppsättning standardklausuler som reglerar dataöverföring till tredjeland mellan parterna. Men om motpartens hemvist är i USA är det omöjligt för motparten att leva upp till EU:s krav utan ytterligare åtgärder, eftersom USA:s nationella spionlagar gör att EU diskvalificerar landet som tredjeland. Bland dessa lagar finns till exempel FISA 702a, EO12333 och eventuellt CLOUD Act. Lagstiftningen gör det alltså inte möjligt för en motpart i USA att uppfylla de europeiska dataskyddskraven.

Vad anser du att företagen ska göra nu?

Gå igenom alla personuppgiftsbiträdesavtal samt eventuella sådana hos underleverantörerna, och kartlägg företagets exponering. Det som är särskilt viktigt att identifiera är tjänster som lyder under amerikansk lagstiftning, så att företagen i nästa fas kan prioritera dem och hitta alternativ. Detta är den personuppgiftsansvariges ansvar. Det kan också vara klokt att identifiera personuppgifter som inte tillhör den egna organisationen, utan till exempel kunderna.

Vilket råd vill du ge till användare av molntjänster som lyder under amerikansk lagstiftning?

Agera innan tillsynsmyndigheten kommer. Om man befinner sig i den situationen att man behandlar personuppgifter hos en leverantör som lyder under amerikansk lag, måste man vidta åtgärder. Om man aktivt har påbörjat detta arbete bör det utgöra förmildrande omständigheter som bör återspeglas i eventuella sanktioner.

Vilka är de konkreta alternativen, är kryptering en lösning?

Vissa hävdar det. Men dataskyddsmyndigheten i Hamburg har fattat ett beslut om att kryptering av data i en amerikansk molntjänst bara kan anses okej om nycklarna hanteras säkert. Detta utesluter förstås att de hanteras i samma molntjänst och innebär därmed att nästan all praktisk användning är utesluten. Detta är egentligen inte ett tekniskt utan ett juridiskt problem. Det är inte Microsoft, AWS, Google med flera som är skurkarna, utan USA har gett sin egen administration obegränsad makt över all data de kan få tillgång till. Detta är oförenligt med europeisk lagstiftning, och det måste ske en ändring i USA:s lagar innan det blir möjligt att nå en ny överenskommelse.

Vad kommer att hända i framtiden?

Haha, det önskar jag att jag kunde svara på. Det enda vi kan vara säkra på är att det kommer nya lagar, nya direktiv och nya rekommendationer. De som har valt en leverantör som i dag lyder under amerikansk lag och som nu är låsta och måste flytta har problem. Det blir dyra migrationsprojekt. De som har en arkitektur och design som tillåter att man kan flytta mellan olika leverantörer kan enkelt anpassa sig till nya förutsättningar.

En diskussion som har uppstått här i Norge är om staten ska bygga en egen molntjänst, vad tror du om det?

I grunden är det nog en bra idé. Det finns säkert en rad applikationer och data som det kanske passar bäst att staten hanterar själv. Jag tror dock att många gör det lätt för sig eftersom teknik är abstrakt, och generaliserar grovt när det gäller IT-system och applikationer.

Jag tror varken staten eller någon enskild leverantör kan producera den mångfald av tjänster som behövs, både inom infrastruktur, plattformar och applikationer. Därför vore det extremt olyckligt om man valde proprietära lösningar som leder till utestängning från resten av marknaden. Då tror jag att staten riskerar att förlora mycket av den innovationskraft man uppnår med moderna molntjänster. Det är därför mycket viktigt att välja lösningar som baserar sig på öppna standarder, standardiserade API:er och standardiserade filformat.

Det måste finnas ett förutsägbart och standardiserat sätt att interagera med resten av marknaden, så att det är möjligt att utnyttja hela potentialen i den innovation som marknaden kan bidra med. Det finns europeiska initiativ, t.ex. GAIA-X, som blir intressanta att följa. Just GAIA-X handlar om gemensam infrastruktur som, om den lyckas, kan bli en sådan plattform för standardiserat utbyte av tjänster.