Därför är konsekvenserna av Schrems II så obehagliga

Taggar i artikeln

Schrems II
Arman Borghem, molnstrateg på Skatteverket.Arman Borghem, molnstrateg på Skatteverket.
Arman Borghem, molnstrateg på Skatteverket.
Publicerad
Uppdaterad

Det finns ett ”före” och ett ”efter” Schrems II, och det är ingen underdrift att säga att många historiskt undvikit att ta itu med frågan på allvar. Det menar Arman Borghem, molnstrateg på Skatteverket.

Realtid.se

Schrems II-domen innebär, förenklat, att det är olagligt att föra över personuppgifter till USA, om man inte har tillräckligt goda skäl. Konsekvenserna är enorma: Exempelvis kunde Realtid häromdagen avslöja att Stockholms stad stoppar molntjänsten Microsoft 365.

– Det är verkligen en spännande utveckling där vi ser att fler och fler börjar ta itu med de lite mer långsiktiga konsekvenserna av rättsläget, säger Arman Borghem till Realtid.

Stockholms stads agerande tillhör dock undantagen. Mer vanligt är att både leverantörer och kunder undviker att ta tag i frågan.

Annons

– Troligen är det därför vi idag har ett så stort glapp mellan kundernas krav och leverantörernas utbud. Marknaden rör sig visserligen åt rätt håll, men på många områden har kunderna svårt att hitta lagliga, lämpliga och funktionsmässigt attraktiva lösningar, säger Arman Borghem.

Arman Borghem arbetade tidigare på Statens inköpscentral vid Kammarkollegiet, men är sedan snart ett år tillbaka molnstrateg på Skatteverket. Han har skrivit nedanstående text om varför konsekvenserna av Schrems II är så obehagliga för så många leverantörer och kunder. Han vill dock betona att han skrivit texten i egenskap av privatperson och att Skatteverket inte står för innehållet.

Här redogör han kortfattat för de olika turer som omgärdat frågan om amerikansk övervakning i förhållande till det rättighetsskydd som EU-reglerna kräver. Texten publicerades först på hans LinkedIn-sida:

Annons

 

Vad hände fram till Schrems II?

De flesta som arbetar med digitalisering upplever nog precis som jag ett tydligt ”före” och ”efter” Schrems II. Ibland kan det rentav kännas som att Schrems II slog ned som en blixt från klar himmel. Så var det förstås inte. En ledtråd finns givetvis redan i namnet, men det hela började faktiskt långt före Schrems I.

I den här artikeln redogör jag kortfattat för de olika turer som omgärdat frågan om amerikansk övervakning i förhållande till det rättighetsskydd som EU-reglerna kräver.

Annons

Den som läser inser snart att problematiken varit känd länge. Samtidigt är det nog ingen underdrift att säga att leverantörer och kunder historiskt undvikit att ta itu med frågan på allvar.

Troligen är det därför vi idag har ett så stort glapp mellan kundernas krav och leverantörernas utbud. Marknaden rör sig visserligen åt rätt håll, men på många områden har kunderna svårt att hitta lagliga, lämpliga och funktionsmässigt attraktiva lösningar.

En fråga som väcks hos mig är: vad hade hänt om kunderna ställt krav på lagliga lösningar från allra första början?

Kort sagt: vad hände fram till Schrems II?

Varje kund befinner sig ju inte i ett vakuum. De teknikinvesteringar som leverantörerna gjort de senaste decennierna har varit beroende av en befintlig och förmodat växande efterfrågan. Leverantörernas investeringar har också haft betydande inslag av s.k. first-mover advantage, skalfördelar och nätverkseffekter.

Genom att kunder åsidosatt vissa krav och premierat befintliga marknadsaktörer har dessa aktörers positioner befästs. De har i sin tur lättare kunnat attrahera kapital och växa, år efter år i en snöbollseffekt.

Vem förväntar sig då att någon investerar i alternativen? Vem är intresserad av det kunderna uppenbarligen inte efterfrågar?

Efter dataskyddsförordningens ikraftträdande och Schrems II kanske man kan säga att rättsstatens hjul sakteligen börjat mala på riktigt. Inte minst till följd av bredare medvetenhet hos allmänheten och att tillsynsmyndigheternas status och aktivitetsnivå växlat upp. En viss skandal om utkontraktering i annat land har säkert också spelat sin roll.

När rättsläget tidigare ignorerats har det nu börjat sjunka in och ifrågasätts allt mindre.

Det är nu lätt att inse att den som köpt en lösning som inte lagligen kan användas, särskilt en dyr eller tekniskt svårlämnad lösning, befinner sig i en väldigt jobbig situation. Då är det inte alltid så lätt att hålla känslorna i styr. Vilket man också bör ha förståelse för.

Jag har sett åtminstone tre olika inriktningar:

  • Laga efter läge. Se sanningen i vitögat, tydliggör en ändrad färdriktning och att det nu finns en efterfrågan på alternativ på marknaden. Värdesätt det långsiktiga behovet av en hållbar digitalisering.
  • Stick huvudet i sanden. Låtsas som att det olagliga är lagligt. Håll tummarna, jättehårt.
  • Inse att det finns ett problem men ändra inte köpbeteende. Fortsätt befästa befintliga leverantörers position – och undergräv som en konsekvens av det efterfrågan på alternativ. Ägna inte tid till självrannsakan utan beskriv problemet som vagt juridiskt eller lagtekniskt. Kräv att någon annan (vem som helst) ska göra det olagliga lagligt. Molntjänster har funnits i knappt två decennier och digitaliseringen är visserligen bara i sin linda, men visst är katastrofen ett faktum om vi inte får köpa från samma leverantörer under resten av världshistorien?

Marknadskrafterna bygger både på efterfrågan och utbud. Utan efterfrågan, inget utbud.

En tidslinje: Vad hände fram till Schrems II?

Den 5 juli 2000 tillsätter EU-parlamentet en kommitté som ska utreda det hemliga globala övervakningssystemet ECHELON som upprätthålls av USA, Storbritannien, Kanada, Australien och Nya Zeeland.

Den 26 juli 2000 beslutar EU-kommissionen att tillåta överföringar av personuppgifter till företag i USA som självcertifierar att de följer vissa principer. EU-kommissionens beslut bygger på en överenskommelse med det amerikanska handelsdepartementet. Självcertifiering enligt principerna i överenskommelsen ska tillförsäkra ett skydd för individers rättigheter. Överenskommelsen är dock inte bindande för amerikanska underrättelsetjänster. Den ger inte heller någon rätt till domstolsprövning för individer i EU som utsätts för otillbörlig övervakning. Överenskommelsen och dess självcertifiering kallas Safe Harbour.

Den 11 juli 2001 publicerar EU-parlamentets kommitté sin ECHELON-rapport. Drygt ett år efter rapportens publicering uttrycker kommitténs ordförande följande i EU-parlamentet: ”We concluded that an ‘Echelon’ network must exist, able to intercept and process communications, involving the United States, the United Kingdom, Canada, Australia and New Zealand. We clearly stated our concern about the low level of protection given to our individual freedoms against this threat, about the security of communications sent and received by our businesses, and even about ‘fair trade’ in the international market.
Furthermore, in this plenary, we adopted 44 recommendations intended mainly for the Council, the Commission and the Member States. My feeling is that everyone has chosen to forget this report and its conclusions. (…) I hope that, a year from now, we do not have to come once again before the Council, the Commission and the Member States, and repeat what we have said today: that little has been done and that almost everything is as it was before.”

Den 6 juni 2013 publicerar flera medier sina första artiklar baserade på Edward Snowdens läckor. Läckorna avslöjar detaljerade uppgifter om amerikansk global övervakning, inklusive hur flera amerikanska molntjänstleverantörer involverats.

Den 27 november 2013 meddelar EU-kommissionen att ”EU-medborgares personuppgifter som sänds till Förenta staterna inom ramen för Safe Harbour är åtkomliga för och kan behandlas ytterligare av amerikanska myndigheter på ett sätt som är oförenligt med de ändamål för vilka uppgifterna ursprungligen samlades in i EU och sedermera överfördes till Förenta staterna” och att ”[e]n majoritet av de amerikanska internetföretag som förefaller vara mer direkt berörda av dessa [övervaknings]program är certifierade enligt Safe Harbour-systemet”.

Den 6 oktober 2015 meddelar EU-domstolen den första Schrems-domen (Schrems I). EU-domstolen ogiltigförklarar EU-kommissionens beslut från år 2000 om att tillåta överföringar till USA baserat på Safe Harbour-överenskommelsen. EU-domstolen noterar hur överenskommelsen inte är bindande för amerikanska övervakningsmyndigheter och att individer saknar rätt till domstolsprövning vid amerikansk övervakning. Safe Harbour upphör att vara en giltig grund för överföringar av personuppgifter till USA, och förhandlingar om en ny överenskommelse inleds mellan USA och EU-kommissionen. Förhandlingarna är klara till sommaren 2016.

Den 12 juli 2016 beslutar EU-kommissionen att tillåta överföringar av personuppgifter till företag i USA som självcertifierar att de följer vissa principer. EU-kommissionens beslut bygger på en överenskommelse med det amerikanska handelsdepartementet. Självcertifiering enligt principerna i överenskommelsen ska tillförsäkra ett skydd för individers rättigheter. Överenskommelsen är dock inte bindande för amerikanska underrättelsetjänster. Den ger inte heller någon rätt till domstolsprövning för individer i EU som utsätts för otillbörlig övervakning. Överenskommelsen och dess självcertifiering kallas Privacy Shield. Max Schrems, som drev målet som ledde till den första Schrems-domen, beskriver Privacy Shield ungefär som ”Safe Harbour med pyttesmå förändringar.”

Den 16 juli 2020 meddelar EU-domstolen den andra Schrems-domen (Schrems II). EU-domstolen ogiltigförklarar EU-kommissionens beslut från år 2016 om att tillåta överföringar till USA baserat på Privacy Shield-överenskommelsen. EU-domstolen noterar hur överenskommelsen inte binder amerikanska övervakningsmyndigheter och att individer saknar rätt till domstolsprövning vid amerikansk övervakning. Privacy Shield upphör att vara en giltig grund för överföringar av personuppgifter till USA, och förhandlingar om en ny överenskommelse inleds mellan USA och EU-kommissionen.

Det finns förstås mängder av material utöver det som redogörs för ovan. Tillsynsmyndigheterna för personuppgiftsbehandling inom EU framförde sina farhågor både under EU-kommissionens förhandlingar och under de årliga uppföljningar av besluten som gjordes. År 2018 kom eSams rättsliga uttalande om problematiken med extraterritoriell lagstiftning som åsidosätter internationellt samarbete. År 2019 kom Statens inköpscentral vid Kammarkollegiets rapport som bl.a. berörde FISA s. 702 och problemen i förhållande till EU:s rättighetsskydd. Samma år, 2019, kom Försäkringskassans vitbok om molntjänster i samhällsbärande verksamhet där konflikter mellan utländsk rätt och EU-rätt berördes och vikten av att säkra Sveriges digitala suveränitet betonades. Sedan dess har ytterligare framsynt och konstruktivt arbete genomförts inte minst inom eSam.

Annons