Schrems II-domen diskvalificerar USA för överföring och hantering av personuppgifter från länder inom EU. Men hur påverkar domen cybersäkerhetsprodukter? Produkter som många gånger hanterar långt mer känslig data i jämförelse med personuppgifter. Det kan t.ex. vara data som visar vilka svagheter en svensk myndighet har i sina interna och affärskritiska system. I orätta händer kan den i värsta fall innebära en risk för rikets säkerhet.
Privacy Shield är ett ramverk för självcertifiering för amerikanska företag som innebär att företag i USA kan anmäla sig till det amerikanska handelsdepartementet (Department of Commerce) och meddela att de uppfyller de krav som ställs i Privacy Shield. Enligt ett beslut från EU-kommissionen har det varit tillåtet för personuppgiftsansvariga i EU att överföra personuppgifter till mottagare som har anslutit sig till Privacy Shield.
Den 16 juli 2020 meddelade EU-domstolen dom i det så kallade Schrems II-målet. Domstolen slår fast att Privacy Shield-avtalet mellan EU och USA inte ger ett tillräckligt skydd för personuppgifter när dessa förs över till USA. Ogiltigförklarandet av Privacy Shield innebär att det inte längre är tillåtet för personuppgiftsansvariga i EU att med Privacy Shield som grund överföra personuppgifter till mottagare i USA.
Cloud Act är en ny amerikansk lagstiftning som antogs i mars 2018 som är en förlängning av Stored Communications Act (SCA) som antogs 1986.
Lagen ger amerikanska myndigheter rätt att begära ut data från amerikanska molntjänstleverantörer – oavsett var data finns lagrad rent geografisk. Det är alltså oväsentligt var själva servrarna som data lagras på står. Om ett amerikanskt företag äger servrarna och tjänsten är de tvungna att lyda under Cloud Act, även om kunderna och kundernas data befinner sig i en annan jurisdiktion.
De absolut flesta cybersäkerhetsprodukter hanterar och lagrar mycket känslig data. Det kan t.ex. vara data om allvarliga sårbarheter i ett lokalt nätverk hos en europeisk myndighet. Denna data skulle kunna användas av främmande makter för spionage eller sabotage.
Värt att notera att även om leverantörer inte är amerikansk, men produkten tillhandahålls genom infrastruktur i t.ex. AWS eller Google, vilket är mycket vanligt så finns samma problem då datan är under kontroll av amerikanska myndigheter.
Schrems II-domen riktar in sig på personuppgifter, men domen visar tydligt på riskerna på de generella problemen med att överföra och lagra känslig data hos en amerikansk aktör. Därmed så påverkas molnbaserade cybersäkerhetsprodukter i allra högsta grad och riskerna måste beaktas noggrant.
Stefan Thelberg svarar på frågor om Schrems II-domen.
Om data lagras utanför USA – är det fortfarande i strid med EU:s regelverk?
Ja, det kvittar om personuppgifter lagras rent fysiskt i USA eller om den är under kontroll av ett amerikanskt företag i annan del av världen.
Kan t.ex. AWS och Azure användas?
Många amerikanska leverantörer har infrastruktur och lagrar data i AWS, Azure, Google Cloud och liknande tjänster. Så snart lagring av personuppgifter sker i dessa tjänster är den inte längre säker och därmed strider de mot EU:s regelverk.
Kan on-premise-produkter från en amerikansk leverantör anses vara säkra?
De flesta produkter, även om de installeras i t.ex. ett lokalt datacenter inom EU, har ofta anslutningar ut mot internet för t.ex. programvaruuppdateringar, support och diagnostik. Då dessa anslutningar finns förlorar man som kund kontrollen över vilken data som kommuniceras ut från produkten. Att som kund säkerställa att personuppgifter, eller annan känslig data, inte kommuniceras ut är ofta omöjligt.
Hur påverkas organisationer utanför EU, såsom Norge?
Eftersom Norge anammar samma regelverk som inom EU gällande personuppgifter så är USA diskvalificerat även för norska organisationer.
Vad kan vi förvänta oss i framtiden i frågan?
EU har satt ner foten ordentligt denna gång. Det är tydligt att man nu kommer ställa högre krav på USA framöver och det är inte omöjligt att USA måste ändra sina lokala lagar, framförall Foreign Intelligence Surveillance Act, 702A, Excecutive order 12333 samt troligen Cloud Act, innan EU upphäver sin diskvalificering. Detta blir högst troligen en utdragen process.
Varför har detta inte uppmärksammats mer?
En anledning är att amerikanske aktörer vill begränsa marknadens reaktion på kort sikt. Det är också svårt för många organisationer att agera på domen, då de t.ex. har hela sin infrastruktur i Azure eller AWS.
Holm Security utgör grunden i ett modernt skydd mot cyberbrottslighet.