Kommer det ett Schrems III?
De stora molnleverantörerna och deras tillhörande kommersiella ekosystem är eld och lågor över det “agreement in principle” som slutits mellan EU-kommissionen och USA:s Department of Commerce angående informationsöverföring. Det kallas “Privacy Shield 2.0” eftersom “Trans-Atlantic Data Privacy Framework” inte lämpar sig så bra för rubriker. Frågan är: Kan vi hoppas på någon faktisk förändring? Det vill säga, kan vi hoppas på en väg för drift av system med känslig information i amerikanska molntjänster som fungerar i enlighet med svensk och europeisk lagstiftning (GDPR, men även Offentlighets- och sekretesslagen för offentliga aktörer)?
Låt oss först konstatera att det vore fördelaktigt för många i Europa om sådan dataöverföring vore möjlig. Tjänsterna fungerar väl, är populära i våra samhällen och har på många sätt en hög säkerhetsnivå. Problemen med amerikanska molntjänster handlar om integritetsfrågan och att släppa kontrollen över känslig information i händerna på aktörer utanför europeiska lagar. Det handlar dels om personlig integritet, det vill säga att skydda vår information, dels om digital suveränitet, det vill säga i vad mån Sverige och EU blir sårbara av att släppa kontrollen över informationen i andras händer.
Vad har hänt hittills?
Safe Harbour var EU-kommissionens första försök att få till fungerande informationsutbyte med USA, vilket invaliderades av “Schrems I”, som var en rättsprocess startad av juristen Max Schrems. Nästa steg var Privacy Shield, som på motsvarande sätt initierades av EU-kommissionen och US Department och Commerce och som invaliderades i “Schrems II”, som var ytterligare en rättsprocess av Max Schrems. Så, nu har EU-kommissionen och US Department of Commerce kommit överens igen, men i slutändan är det EU-domstolen som bestämmer vad som är lagligt och inte. Så, vad talar för att det går bättre den här gången?
Det enda jag kan se som skulle kunna vara annorlunda är att amerikanska presidenten verkar inblandad på ett annat sätt än tidigare gånger. Med tanke på vad Donald Trump gjorde med presidentorder under förra mandatperioden så kan nog de flesta av oss överraskas av presidentens legala möjligheter även framöver.
Har vi en lösning?
En möjlig väg skulle i teorin kunna vara att USA kommer med ett “paket” med presidentorder som handlar om en uppfyllelse av FISA 702 etc, kopplat till just amerikanska molntjänster med europeiska kunder. EU-kommissionen måste å sin sida komma med ett “paket” av föreslagna förändringar i GDPR, som måste godkännas av bland annat EU-parlamentet. Givet en sådan händelseutveckling skulle det, åtminstone i fantasin, kunna räcka till att vi faktiskt skulle kunna nå en riktig lösning, som inte bara bygger på att lägga ut dimridåer. Joe Biden verkar förvisso mån om det transatlantiska samarbetet och det vore märkligt om han inte uppvaktats av de amerikanska molnleverantörerna i frågan. Samtidigt torde många frågor vara viktigare från den amerikanska sidan.
Imy har även kommit med information om Trans-Atlantic Data Privacy Framework. Det bekräftar egentligen bara det vi redan vet, det vill säga att inget har ändrats i praktiken gällande datalagring sedan detta “agreement in principle” skrivits och att långa förhandlingar återstår mellan EU och USA innan en lösning eventuellt kan finnas på plats.
Att hävda att “vi har en lösning” är alltså än så länge långt ifrån verkligheten. Man kan ha olika åsikter om utsikterna för att nå en lösning, men legalt har ingenting ändrats av den här grundläggande överenskommelsen. Försiktighet är ett rimligt råd.
Magnus Hübner
Product Owner, Compodium