Webperf
I veckan meddelade den österrikiska motsvarigheten till Integritetsskyddsmyndigheten att den riskbaserade metoden till överföring av personuppgifter inte funkar.
Sammanfattning:
- Information som samlas in i Google Analytics är åtkomligt för amerikanska NSA.
- GDPR ger ingen legitimitet till någon riskbaserad metod. Konceptet är lanserat av IT-branschen självt.
Det är alltså överföring till tredje land det här handlar om, vilket enkelt förklarat är liktydigt med USA-baserade företag som Google, Microsoft, Apple med flera. Även om det är dessa företags molntjänster som har en fysisk plats inom EU. För oss som jobbar med webbutveckling i en eller annan form har Google Analytics paraderats som exemplet på denna fråga.
Detta gäller förstås inte bara USA utan alla länder som inte har ett så kallat adequacy decision, vilket finns för några länder och företag och ges av Europeiska kommissionen. Att vi ofta pratar om just USA är för att deras företag har en nära på total marknadsdominans i Sverige.
Det här nya beskedet bör inte komma som någon överraskning. Det är snart två år sedan som den andra Schrems-domen avgjordes av EU-domstolen. För andra gången konstaterades det att vi inte kan anförtro amerikanska företag med EU-invånares uppgifter eftersom de inte kan garantera det skydd vi har rätt till enligt EU:s stadgar och direktiv, på grund av amerikansk underrättelselagstiftning.
Amerikansk lagen FISA 702 krockar med våra rättigheter
Många integritetsivrare har länge hävdat att det är principiellt omöjligt att alls göra en informerad riskbedömning och pekar på den amerikanska lagen FISA 702.
”Foreign Intelligence Surveillance Act (“FISA”) är en amerikansk lag som introducerades 1978 och som har uppdaterats flera gånger sedan 11 september-attackerna. FISA reglerar insamling av ”foreign intelligence information” för ändamål som är relaterade till nationell säkerhet. Metoderna som får användas av amerikanska myndigheter i detta syfte är bland annat avlyssning av kommunikation och tillgång till data som lagras i molntjänster.”
– Kunskap: Vad är Foreign Intelligence Surveillance Act (FISA)? (Techlaw, 2020)
Om det inte vore för att EU-invånares integritet saknar skydd i USA:s lagstiftning vore inte det här ett problem. Men än så länge har inte heller alla amerikaner ett sånt här skydd, så det är inte något som är riktat mot oss icke-amerikaner. USA har bara en annan syn på integritet, men med delstater som Kalifornien som har börjat skydda konsumenters integritet. Se CCPA.
Privacy Shield 2.0 löser … inget?
Därför kan inte USA eller deras IT-jättar få ett adequacy decision av EU. Så vad det utannonserade tredje försöket till avtal, Privacy Shield 2.0, mellan EU och USA ska göra åt det är högst oklart. De som helst vill fortsätta med befintliga molntjänster jublade förstås över denna nyhet tidigare i år när president Biden och EU-kommissionens ordförande Ursula von der Leyen körde en pressträff för att berätta om ett nytt samförstånd. Andra undrade mer kring vilken fundamental skillnad ännu ett avtal skulle kunna göra.
Och som Pierre Mesure skrev här på Webperf för några veckor sedan kan man fråga sig varför vi ska vänta på Privacy Shield 2.0? Vad är det vi väntar på då? Skjuter man inte bara upp det oundvikliga ännu en gång med tanke på att Max Schrems och noyb garanterat kommer ta detta tredje försök till ny prövning i EU-domstolen.
Min privata reflektion kring det här med molntjänster man inte har örnkoll på är om de verkligen är så bra att det är värt all den vånda det innebär. Jag tycker ju inte det och var själv drivande i att göra en storstädning av tredjeparter på Västra Götalandsregionen 2015-2016 för våra webbplatser. Det var väldigt skönt att ordentligt slamma igen dörren till den GDPR-diskussion för de verktyg jag själv jobbade med.
Vad innebär en riskbaserad metod?
“The [Österrikes dataskyddsmyndighet] has finally exposed the “risk-based approach” for data transfers for what it is: a clumsy attempt to soften the clear case law of the CJEU. The relevant articles on data transfers do not uses the word ”risk” a single time.”
– Marco Blocher, dataskyddsjurist hos noyb
I Sverige har vi de senaste åren rekommenderats att var och en behöver göra sin egen riskbedömning. Detta av intresseorganisationer och företag i branschen. En del har kritiserat denna rekommendation med att många av organisationerna är så små att de inte har en chans att själva göra bedömningen. Eller att det helt faller utanför deras egen kompetens.
Den riskbaserade modellen går ut på att bedöma hur stor risken är att uppgifterna kommer på villovägar. Om det är låg eller kanske hög risk. Dessa eventuella risker kan man då försöka hantera och ett tag tänkte många att låg risk kunde hanteras med standardavtalsklausuler (SCC - Standard Contractual Clauses).
Går det att bedöma risk när övertramp är hemliga?
Du som har följt GDPR-debatten ett tag har säkert noterat uttalanden från kommuner i stil med att Microsofts molntjänster har en ”juridisk låg risk” när frågan tagits till sin spets. Kruxet är bara att molntjänstleverantörerna har munkavle och får inte berätta om när de lämnat ut den data din organisation har i deras tjänst.
Apropå vem som klarar av att ens göra den juridiska eller tekniska bedömningen tar jag gärna Bjurholms kommun i Västerbotten som exempel. Hela den kommunen har ungefär lika många invånare som jag har kollegor inom IT i den västsvenska region där jag jobbar. Hur i hela friden ska Bjurholm kunna göra denna riskbedömning själva? Och varför ska de ens? Det är inte så att de lyder under en annan lagstiftning än alla andra 289 kommuner i Sverige. En lagstiftning som dels dikterar vilken verksamhet en kommun ska bedriva, dels vilket skydd invånarna kan räkna med inom exempelvis personlig integritet.
Varför har inte SKR (Sveriges kommuner och regioner), som är den intresseorganisation som bevakar bl.a. Bjurholms intressen, klivit fram och gjort det här enkelt för sina medlemmarsorganisationer?
Ta nu tag i digitaliseringen - på riktigt!
Jag förstår att det känns jobbigt att behöva ta tag i sin IT och digitalisering med ett annat förhållningssätt. Att man inte längre skulle kunna hantera IT och digitalisering som en inköpsfråga utan blir tvungen att göra grovgörat själv är kanske inte det som lockar många idag.
”[…] digitalisation within the public sector, however, neither in Sweden nor Norway. Here, Sweden came bottom of the OECD ranking of 2019.”
– Digitalisation within the public sector must be improved ( Jan Gulliksen, 2021)
Men jag föreslår ändå att det är dags att släppa den där berömda sargen. Ta tag i digitaliseringen. På riktigt! Särskilt inom offentlig sektor kan det nästan bara bli bättre. Åtminstone enligt OECD:s jämförelse 2019 verkar inte vårt beroende till befintliga molntjänster ha tjänat oss särskilt väl!
Mer om GDPR, Schrems-domarna och personlig integritet
- UPDATE on noyb’s 101 complaints: Austrian DPA rejects “risk based approach” for data transfers to third countries (noyb, maj 2022)
- No Risk Base for you; No Google Analytics for you; No transfers for you: DSB Austria on GA (Odia Kagan, Linkedin, maj 2022)
- Adequacy decisions (European Commission)
- Google Analytics olagligt i Frankrike - inte kompatibel med GDPR (Webperf)
- Ska vi invänta Schrems 3 innan vi skärper oss kring integritet? (Webperf)
- Integritetsskyddsmyndighetens frågor till de som använder Google Analytics (Webperf)
- Ska vi vänta på Privacy Shield 2.0? (Webperf)
