eSam har gjort en ingående och ovanligt tekniskt konkret beskrivning av Zoom X och även vad man generellt anser ska krävas för att en tjänst innehåll ska vara “skyddad” från en leverantör i tredje land. Det fastslås några intressanta generella saker:
1. Det konstateras att om en leverantör i tredje land har åtkomst till informationen är det att betrakta som en överföring även om leverantören faktiskt inte har informationen på sina servrar. Från ett IT-säkerhetsperspektiv är det uppenbart, att om man faktiskt ska strypa åtkomsten måste man titta på vilka som har tillgång till informationen och inte bara var informationen lagras. Lite som att låsa in julklapparna men sedan släppa in barnen.
eSam hänvisar här till EDPB 01/2020: §10, fotnot 23: “Please note that remote access by an entity from a third country to data located in the EEA is also considered a transfer.”
2. Om kryptering ska kunna användas som skydd för informationen relativt tredjelandsleverantören måste personuppgiftsansvarige ha full kontroll över nycklarna över hela nycklarnas livscykel. Även här tycks det självklart från ett IT-säkerhetsperspektiv, att eftersom vi enligt GDPR anser tredjelandsleverantören vara en risk så behöver vi skydda informationen från leverantören i hela informationens livscykel och om vi krypterar information behöver vi skydda den på motsvarande sätt. Annars blir det lite som att gömma husnyckeln under dörrmattan men skriva en lapp på dörren som berättar var den är.
Även här hänvisar eSam till EDPB. För information i vila, EDPB 01/2020, §84, 6: “the keys are retained solely under the control of the data exporter, or by an entity trusted by the exporter in the EEA or under a jurisdiction offering an essentially equivalent level of protection to that guaranteed within the EEA”.
För information i rörelse EDPB 01/2020, §90, 8: “the keys are reliably managed (generated, administered, stored, if relevant, linked to the identity of the intended recipient, and revoked), by the exporter or by an entity trusted by the exporter under a jurisdiction offering an essentially equivalent level of protection, then the EDPB considers that transport encryption, if needed in combination with end-to-end content encryption, provides an effective supplementary measure.”
Notera att rapporten hänvisar till GDPR som gäller för samtliga juridiska personer inom EU, så den gäller inte bara i Sverige och den gäller inte bara offentlig sektor. Däremot är frågan extra etiskt brännande inom offentlig sektor, eftersom man där lagrar medborgares information utan att dessa kunnat ge sitt samtycke till lagringen.
Vad ska man då som beställarorganisation ta med sig av detta? Som beställare, bör ni helt enkelt stämma av följande med en leverantör där ni önskar lagra personuppgifter:
1. Informationen ska självklart lagras inom EU.
2. Hårdvaran (och samtliga mjukvarulager däremellan) ska ägas av en aktör som har säte i EU. Tänk på att kontrollera moderbolagets säte i en företagsstruktur.
3. Samtliga underleverantörer med åtkomst till informationen, liksom deras moderbolag, ska också vara aktörer med säte i EU.
4. Kryptering kan användas som skydd för information som lagras på annat sätt än vad som anges ovan, men då krävs att nycklarna till krypteringen hanteras enligt punkterna 1-3, det vill säga med lagring, hårdvara, personal etc från aktörer inom EU. Med “hantering” menas att nycklarna inte någonsin exponeras för någon som inte uppfyller detta krav.
Och kom ihåg, det är ni som personuppgiftsansvariga som i första hand ansvarar för att detta görs lagenligt.
Länkar:
Rapporten i sin helhet
EDBP 01/2020
Magnus Hübner
Product Owner, Compodium