Demo Testa Begär offert Kontakta mig
21oktober
Schrems II-domen & cybersäkerhetsprodukter
Schrems II-domen diskvalificerar USA för överföring och hantering av personuppgifter från länder inom EU. Men hur påverkar domen cybersäkerhetsprodukter? Produkter som många gånger hanterar långt mer känslig data i jämförelse med personuppgifter. Det kan t.ex. vara data som visar vilka svagheter en svensk myndighet har i sina interna och affärskritiska system. I orätta händer kan den i värsta fall innebära en risk för rikets säkerhet.
Av: Lydia Meneses Ämnen: Främmande makter, GDPR, Spionage, Schrems II

Privacy Shield ogiltigförklarat

Privacy Shield är ett ramverk för självcertifiering för amerikanska företag som innebär att företag i USA kan anmäla sig till det amerikanska handelsdepartementet (Department of Commerce) och meddela att de uppfyller de krav som ställs i Privacy Shield. Enligt ett beslut från EU-kommissionen har det varit tillåtet för personuppgiftsansvariga i EU att överföra personuppgifter till mottagare som har anslutit sig till Privacy Shield.

Den 16 juli 2020 meddelade EU-domstolen dom i det så kallade Schrems II-målet. Domstolen slår fast att Privacy Shield-avtalet mellan EU och USA inte ger ett tillräckligt skydd för personuppgifter när dessa förs över till USA. Ogiltigförklarandet av Privacy Shield innebär att det inte längre är tillåtet för personuppgiftsansvariga i EU att med Privacy Shield som grund överföra personuppgifter till mottagare i USA. 

En tydlig markering från EU

”Domen är en tydlig markering från EU att USA inte uppfyller kraven på hantering av personuppgifter. Således kan vi med sunt förnuft konstatera att alla uppgifter som kan anses lika känsliga eller känsligare än personuppgifter inte bör överföras till USA med störta möjlige försiktighet framöver för att säkerställa att den inte riskerar hamna i orätta händer.” säger Stefan Thelberg, VD på Holm Security.

Även data som lagras utanför USA berörs

Cloud Act är en ny amerikansk lagstiftning som antogs i mars 2018 som är en förlängning av Stored Communications Act (SCA) som antogs 1986. 

Lagen ger amerikanska myndigheter rätt att begära ut data från amerikanska molntjänstleverantörer – oavsett var data finns lagrad rent geografisk. Det är alltså oväsentligt var själva servrarna som data lagras på står. Om ett amerikanskt företag äger servrarna och tjänsten är de tvungna att lyda under Cloud Act, även om kunderna och kundernas data befinner sig i en annan jurisdiktion.

Cybersäkerhetsprodukter

De absolut flesta cybersäkerhetsprodukter hanterar och lagrar mycket känslig data. Det kan t.ex. vara data om allvarliga sårbarheter i ett lokalt nätverk hos en europeisk myndighet. Denna data skulle kunna användas av främmande makter för spionage eller sabotage. 

Värt att notera att även om leverantörer inte är amerikansk, men produkten tillhandahålls genom infrastruktur i t.ex. AWS eller Google, vilket är mycket vanligt så finns samma problem då datan är under kontroll av amerikanska myndigheter.

Schrems II-domen riktar in sig på personuppgifter, men domen visar tydligt på riskerna på de generella problemen med att överföra och lagra känslig data hos en amerikansk aktör. Därmed så påverkas molnbaserade cybersäkerhetsprodukter i allra högsta grad och riskerna måste beaktas noggrant.


Frågor & svar 

Stefan Thelberg svarar på frågor om Schrems II-domen.

Om data lagras utanför USA – är det fortfarande i strid med EU:s regelverk?

Ja, det kvittar om personuppgifter lagras rent fysiskt i USA eller om den är under kontroll av ett amerikanskt företag i annan del av världen. 

Kan t.ex. AWS och Azure användas? 

Många amerikanska leverantörer har infrastruktur och lagrar data i AWS, Azure, Google Cloud och liknande tjänster. Så snart lagring av personuppgifter sker i dessa tjänster är den inte längre säker och därmed strider de mot EU:s regelverk.

Kan on-premise-produkter från en amerikansk leverantör anses vara säkra?

De flesta produkter, även om de installeras i t.ex. ett lokalt datacenter inom EU, har ofta anslutningar ut mot internet för t.ex. programvaruuppdateringar, support och diagnostik. Då dessa anslutningar finns förlorar man som kund kontrollen över vilken data som kommuniceras ut från produkten. Att som kund säkerställa att personuppgifter, eller annan känslig data, inte kommuniceras ut är ofta omöjligt.

Hur påverkas organisationer utanför EU, såsom Norge?

Eftersom Norge anammar samma regelverk som inom EU gällande personuppgifter så är USA diskvalificerat även för norska organisationer. Vad kan vi förvänta oss i framtiden i frågan? EU har satt ner foten ordentligt denna gång. Det är tydligt att man nu kommer ställa högre krav på USA framöver och det är inte omöjligt att USA måste ändra sina lokala lagar, såsom Cloud Act, innan EU upphäver sin diskvalificering. Detta blir högst troligen en utdragen process.

Varför har detta inte uppmärksammats mer?

En anledning är att amerikanske aktörer inte vill begränsa marknadens reaktion på kort sikt. Det är också svårt för många organisationer att agera på domen, då de t.ex. har hela sin infrastruktur i Azure eller AWS.

About the author
Lydia har tidigare marknadsföringserfarenhet från spel- och konsultindustrin. Lydia har tidigare arbetat vid Nielsen Media Research och har en examen i medie- och kommunikationsvetenskap från Linköpings universitet

Lydia Meneses
+46 (0)705-50 74 40
lydia.meneses@holmsecurity.com