Experten om dataskyddslagstiftningen: ”Väldigt märklig situation”
Molntjänster
Carolina Brånby är expert på digital policy hos Svenskt Näringsliv. Hon tycker att den nuvarande dataskyddslagstiftningen kring amerikanska molntjänster är allt för otydlig.
Problemen har varit kända länge, men har växt sedan juli 2020 när Privacy Shield-avtalet mellan EU och USA ogiltigförklarades genom Schrems II-domen.
Någonting är fel
Läs vidare – starta din prenumeration
- Tillgång till vår digitala Premium-tjänst om professionell kommunikation.
- Nischade nyhetsbrev för Professional och Contact Center.
- Få tillgång till alla avsnitt i vår utbildnings-tv om Teams-telefoni, SD-Wan och Chattbotar.
- Sex papperstidningar om året med tydligt fokus på Telekom-branschens viktigaste frågor.
– Vi vet faktiskt inte om det som är allmänt vedertaget bruk på våra arbetsplatser där alla använder tjänster som Teams, skulle hålla juridiskt om det blev testat. Det är förstås en märklig situation, säger Carolina Brånby, expert på digital policy hos Svenskt Näringsliv.
Stora delar av den offentliga sektorn i Sverige har gjort bedömningen att de inte kan använda exempelvis Teams utan att komma i konflikt med GDPR. Brånby tror inte att samma strikta tolkning av regelverket görs ute i näringslivet.
– Jag tror enskilda företagare har svårt att se hur det kan bli en tredjelandsöverföring när de använder en tjänst som Teams och Microsoft har servrarna stående i Europa.
Brånby tycker frågan dessutom har en geopolitisk aspekt, som hon tror spelar roll för företagen i deras val av tjänsteleverantör. Efter EU-domarna Schrems I och Schrems II går juridiken och säkerhetstänket inte ihop enligt digital policy-experten.
– USA är ändå ett land som vi vill samarbeta med. I synnerhet i dessa tider. Vi är nog inte lika intresserade av verktyg med koppling till icke demokratiska länder. Vi står nära amerikanerna och vi vet att de har en otroligt hög kompetens i frågor som rör exempelvis it-säkerhet.
Hot mot Sveriges konkurrenskraft
Hon vill inte uttala sig om vilken molntjänstleverantör Svenskt Näringsliv själva använder.
– Men jag kan säga att det jag får höra ute hos företagen är att valet faller på de amerikanska leverantörerna, helt enkelt eftersom de är bäst i användandet. Sverige är ett exportberoende land och våra företag behöver förstås använda internationellt gångbara tjänster.
Har du någon generell rekommendation om hur företag ska tänka kring de här frågorna?
– Det skulle väl vara att noggrann när man gör sina risk- och sårbarhetsanalyser, men det tror jag att den absoluta majoriteten är. Däremot när det kommer till just Teams blir det lite speciellt eftersom man inte själv gör en aktiv överföring.
Carolina Brånby tror att folk i allmänhet överskattar hur ofta Cloud Act används.
– Det sker inte stup i kvarten. Nyligen pratade vi med en av de största it-leverantörerna och de hade då inte någon förfrågan om att lämna ut data till sin regering. De sa att det är extremt ovanligt. Dessutom kan kunden välja att ha krypteringsnyckeln så utlämnande av data först kan ske efter kundens medverkan.
Svårt att göra rätt
I december presenterade EU-kommissionen utkastet till EU-U.S. Data Privacy Framework. När och om förslaget till ett nytt transatlantiskt ramverk antas kommer frågan förhoppningsvis bli utagerad.
– När det väl blir antaget kommer det att ta bort en otrolig börda för företagen. De företag som identifierat att de gör överföringar till USA, säger att de i princip har slutat med det på grund av de höga kraven och sanktionerna.
Men det är inte bara för de stora företagen som dataskyddslagstiftningen vållar problem.
– De större företagen som har bolagsjurister som så gott som dagligen sliter sitt hår över de här frågorna. Medan de mindre företagen som inte har juridisk kompetens in house lever i en tid när det är extremt svårt att göra rätt, säger Carolina Brånby.
