-- Google Tag Manager (noscript) -->

GDPR totalstoppar europeisk persondata i amerikanska molntjänster – Vi har hela listan!

Schrems II? GDPR? FISA 702? CLOUD Act? Privacy Shield? Safe Harbor? Standardkontraktsklausuler? PII? Gaia-X? Vad är allt detta och hur påverkar det dig som molnkund?

Vi reder ut begreppen, ger en juridisk såväl som teknisk bakgrund samt pekar på några vägar ut ur den besvärliga sits som uppstod i och med domen i juli 2020.

Just nu sitter många interna dataavdelningar runt om i europeiska företag och myndigheter och försöker förstå vad domen faktiskt innebär. Och risken att råka ut för problem om man inte agerar är överhängande.

I korthet är problemet att europeisk GDPR och amerikanska lagar som styr underrättelseverksamheten är på kollisionskurs med varandra. Om inget görs på hög nivå så har vi de facto ett omfattande ”handelshinder” som omöjliggör mycket av den molntjänstanvändning som finns idag, vilket kräver omfattande arbete.

I korthet alltså:

  • Personuppgifter är alla data som kan kopplas till en viss individ
  • GDPR ger individer starkt integritetsskydd
  • Amerikanska lagar kräver att amerikanska IT-företag lämnar ut personuppgifter närhelst amerikansk säkerhetstjänst kräver det.
    • Det spelar ingen roll om personuppgifterna lagras utanför USA, det räcker att företaget har amerikansk majoritetsägare.
  • Det är inte bara USA som är ”osäkert” i denna aspekt, men alla de stora molnjättarna är amerikanska företag. Länder som t ex Kina är ännu värre.
  • Många europeiska företag, organisationer och myndigheter använder de amerikanska molnjättarnas tjänster, T ex Google Analytics, Salesforce, AWS, Azure, MS Teams…
  • Att lägga persondata i sådana moln är, som läget ser ut just nu, ett brott mot GDPR, eftersom integritet inte kan garanteras.
  • Brott mot GDPR kan rendera höga böter.
  • Inga enkla lösningar finns på problemet.
    • Standardklausuler minskar kanske risken – men kan överridas av de amerikanska lagarna.
    • Krypterade persondata – funkar teoretiskt men har praktiska invändningar:
      • SaaS-tjänster kan inte göra något meningsfullt på krypterade persondata.
      • Mycket svårt att visa att integriteten kan bibehållas i alla lägen med en krypterad lösning – man måste i praktiken uppfinna ett ”signalskyddssystem”. Nyckeln får ju aldrig kunna accessas från molnägarens håll.
    • Även hybrid cloud med delade data mellan ”amerikansk” och ”annan” del kan fungera, men Hybrid Cloud är alltid mer komplicerat och dyrare, samt att samma invändning gäller som för SaaS-tjänster ovan.
    • Europeiska molntjänster – fungerar men har inte alla de tjänster som vi vant oss vid. Begränsad nytta vid SaaS således, men kanske helt Ok för PaaS och IaaS.

Flera molnjättar försöker nu också att skapa varianter av sin molnlösning, t ex ”Microsoft EU Data Boundary” för att öka säkerheten för europeiska lagrade personuppgifter. I det erbjudandet säger man sig att lova att aldrig lämna ut uppgifter om det kommer begäran därom. Detta är lovvärt, men det är mycket tveksamt vad löftet egentligen är värt. Som vi ska se, så omfattas alla molnjättarna, även Microsoft, av de amerikanska reglerna för underrättelseinhämtning, och det innebär ofelbart att uppgifter måste lämnas ut, UTAN att personen ifråga meddelas detta.

Artikeln är skriven av vår konsult Fredrick Beste.

Är du intresserad av hela artikeln?

    Vill du ta del av hela artikeln

    Fyll i dina uppgifter så dyker den snart upp i din inkorg

    Jag godkänner att IP-Solutions registrerar ovanstående information för att komma i kontakt med mig, ej ur marknadsföringssyfte.
    Läs mer om vår Dataskyddspolicy

    Eller maila till rickard.nordin@ip-solutions.se