Ha din Plan B att flytta från amerikanska molntjänster - hälsar dataskydds­myndigheter i Europa

Sammanfattning 2025 att dela personuppgifter från EU till USA:

1. Med Trump 2.0 är inte Data Privacy Framework nödvändigtvis giltigt längre: Med den pågående nedmonteringen av fundamenten bakom Data Privacy Framework från 2023, den partipolitiskt oberoende tillsynsmyndigheten US Privacy and Civil Liberties Board (PCLOB), finns inte längre en trovärdig instans i USA för EU-medborgare att bevaka sina GDPR-rättigheter.
2. Europeiska värderingar och digitala suveränitet: Europa har värderingar som skiljer sig åt från USA:s, särskilt när det gäller integritet och dataskydd. I Europa är det ofta viktigt att värna dessa värderingar och precis som USA vill vi säkerställa vår digitala suveränitet genom att använda leverantörer som lyder under våra regelverk. Ännu mer nu när USA tar tydlig ställning för mindre demokratiska värderingar och inte vill vänslas med oss i Europa.
3. Komplexitet och risker med amerikanska molntjänster: Användandet av amerikanska molntjänster innebär risker, bland annat möjligheten för hemliga utlämnanden av data till amerikanska myndigheter. Det är svårt att ha god kontroll över villkor och säkerhet hos dessa tjänster.

Genvägar i texten:

• Bakgrund
  • Historielektion från det senaste debaklet
• Vad står vi för i Europa? Vad är europeiska värderingar?
• Skådespelet från big tech
  • Menar big tech att de inte har kontroll eller åtkomst till mjukvara de själva skapat?
  • Vad är det för villkor ni accepterat för molntjänsten?
• Vad säger våra dataskydds­myndigheter 2025?
• Digital suveränitet och rådighet
• Läs mer om dataskydd, GDPR och digital suveränitet

Bakgrund

Vi i EU har fått chansen ett flertal gånger att begripa relationen till USA som stat och de företag som lyder under USA:s lagar. Edward Snowdens hjältestatus är inte riktigt densamma nu tolv år efter hans avslöjande om det globala massövervakningsprogrammet PRISM, men avslöjandet är intressant oavsett vad man anser om Snowden som person.

“PRISM collects stored internet communications based on demands made to internet companies such as Google LLC and Apple under Section 702 of the FISA Amendments Act of 2008 to turn over any data that match court-approved search terms.”
– PRISM (Wikipedia)

I Europa har vi tvingats lära oss saker som USA tycker de får göra mot oss trots att vi såg oss som allierade - FISA Section702 och CLOUDact. FISA betyder att man spionerar på ”vänner” och CLOUDact förklarar att man ”klargör”, eller gör det otvetydigt, att man tycker sig ha rätt till "Lawful Overseas Use of Data”. Alltså att på andra sidan havet lagligen kan hämta in data.

Vi har från våra egna inom EU fått betryggande namn på hur vi viker ner oss för USA:s teknikdominans och vår ovilja att stå upp för vårt digitala oberoende. Som Safe Harbor, Privacy Shield och nu senast Trans-Atlantic Data Privacy Framework (DPF). Parterna vill påskina att det är en ”trygg hamn”, har en ”sköld för integritet” och nu senast ett ”ramverk för transatlantisk integritet”. Allt är tyvärr trams och snarare ett tecken på det upplevda beroendet till primärt Microsoft-tjänster som EU-länder har. Så här uttryckte EU-kommissionens ordförande det för snart två år sedan:

“We adopted our adequacy decision for the EU-US Data Privacy Framework, following the agreement I had reached with @POTUS last year.
I welcome the important commitments taken by the US.
So that citizens can trust that their data is safe and so we can deepen economic ties."
– Ursula von der Leyen, ordförande i EU-kommissionen (Twitter, juli 2023)

Nog skulle det vara en plötslig omställning för organisationer att information, oavsett text, kalkyler, eller presentationer, inte nödvändigtvis kräver att du startar upp en Office-app. Att ingen av oss behöver Sharepoint för att dela dokument kan framstå revolutionärt för vissa byråkrater.

Ursula, och många andra inom EU, har visat tydliga europeiska värderingar på senare tid när Trump bekänner färg som autokrat.

Ovanstående tweet om EU:s uppgörelse med USA kanske främst är ett tecken på diplomati. Men nog är det rollen av den ständiga förloraren som EU accepterar i relation till USA.
Som utvecklare verkar det fullt görbart att byta ut alla Microsoft-tjänster och appar om man bara har förmågan att prioritera vad som är viktigt. Personligen klarar jag mig gott med Markdown som format. Oavsett om det nu omvandlas till presentationer, tabeller för kalkyler eller andra dokument. Min bok om webbanalys från 2016 skrevs i Markdown, för övrigt. Praktiskt av flera anledningar.
Bland annat för hur innehåll konverteras till HTML.

Historielektion från det senaste debaklet

Medan vi hade Joe Biden i Vita huset skulle de ”helt plötsligt”, som NOYB uttryckte det, lösa problemet för oss i EU efter tre års fortsatt skickande av personuppgifter till USA-baserade företags molntjänster.

“Soon thereafter, Joe Biden and Ursula von der Leyen met on 25 March 2022. The same day, the two have suddenly "solved" what the lawyers were unable to solve and presented an "agreement in principle", a one pager which in essence contained two "tricks" that should calm the public.”
– European Commission gives EU-US data transfers third round at CJEU (NOYB, 2023)

Vad står vi för i Europa? Vad är europeiska värderingar?

Vi blir mobbade, och vi mobbar oss själva internt, för att EU reglerar medan andra ”innoverar”.

Men att värna vissa grundläggande värderingar är nog rätt viktigt. Europa har en annan erfarenhet än USA. Som stat betraktat är USA en självsäker unge på dagis. Tyskland däremot, som ett uppenbart exempel, har desto mer erfarenheter om baksidorna av ett övervakningssamhälle och hur staten är ett hot mot individens högst rimliga friheter.

Vissa av dessa lärdomar finns reglerade på olika nivåer. De jag tenderar att ta upp när jag föreläser om digital analys är främst nedan exempel.

EU:s stadgar, artikel 7:

“Respekt för privatlivet och familjelivet
Var och en har rätt till respekt för sitt privatliv och familjeliv, sin bostad och sina kommunikationer.”

Och artikel 8 av EU-stadgan:

“Skydd av personuppgifter

1. Var och en har rätt till skydd av de personuppgifter som rör honom eller henne.
2. Dessa uppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem.
3. En oberoende myndighet ska kontrollera att dessa regler efterlevs.”

– Europeiska unionens stadga om de grundläggande rättigheterna

Om man vill lyfta nivån från EU till FN kan man se vissa likheter i artikel 12:

“Ingen får utsättas för godtyckligt ingripande i fråga om privatliv, familj, hem eller korrespondens[…]”
– artikel 12, FN:s konventioner om mänskliga rättigheter

Att vi i Sverige följer Europa och EU är kanske inte så förvånande. Vår regeringsform är rätt tydlig. Sen kan vi käbbla i Sverige om vi tycker Ylva Johansson och Chat Control är ett självmord för europeiska värderingar eller ej, men det är åtminstone idioti inom EU med diverse lobbyister och annat vi kan stänga ner ifall vi vill.

Så här lyder vår svenska grundlag – regeringsformen:

“[…] var och en gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden.”
– grundlagen, regeringsformen 2 kapitlet 6 paragrafen

Skådespelet från big tech

Det ena betryggande namnet efter det andra kommer också från USA:s IT-företag. Amazon har AWS European Sovereign Cloud och vill berätta så här hur trygg man kan vara: ”a new, independent cloud for Europe, designed to help public sector organisations and customers in highly regulated industries meet their evolving sovereignty needs”.

Microsofts Sverige har Circle of Trust, vilket beskrivs som Microsoft Sveriges digitala evenemang kring ämnen som cybersäkerhet, regelefterlevnad och om man kan man lita på molnet. Jag litar på att de anser sina egna molntjänster som trygga för svenska myndigheter.

Microsoft har förstås förklarat att de har en gräns mellan EU och omvärlden när man är kund hos dem – What is the EU Data Boundary? Det låter ju tryggt, eller? Microsoft-lösningen kommenteras av The Register:

“Microsoft is the latest hyperscaler to announce a major data residency scheme with great fanfare - without offering any guarantees of sovereignty. True data sovereignty ensures data is only ever subject to the jurisdiction in which it is stored and processed. Data residency, however, concerns where the data is stored geographically. With data residency, the data can be subject to the laws of a third country depending on where the cloud provider is headquartered.”
– Microsoft unveils finalized EU Data Boundary (The Register, mars 2025)

Samla gamla goding att göra en stor sak av att man har sina datacenter i ett EU-land gör även Google som stolt berättar att man nu har en svensk ”molnregion”.

“Den nya molnregionen ska uppfylla alla krav på datalagring och digital suveränitet, vilket ska låta svenska organisationer använda Google Clouds tjänster samtidigt som de har full kontroll över var deras data lagras.”
– Nu öppnar Google Clouds svenska molnregion (ComputerSweden, mars 2025)

Nu är dock USA:s lagstiftning extraterritoriell. Kort förklarat; det är strunt samma var på jordklotet data lagras - det räcker med att IT-bolaget blir ålagda att lämna ut uppgifterna. Och bolagen får inte nödvändigtvis berätta om det för sina drabbade kunder.

Menar big tech att de inte har kontroll eller åtkomst till mjukvara de själva skapat?

När teknikbolagen menar att de har skarpa gränser mellan USA och EU blir man förstås nyfiken. Är det verkligen möjligt att erbjuda mjukvara och molninfrastruktur globalt utan åtkomst?

En försök till att handskas med detta framkom när Uppdrag Granskning tog sig en titt på hur journalsystem upphandlats i södra Sverige. En av regionerna hade fått ett papper av Cerner Sverige AB att regionen skulle tillfrågas först ifall USA-baserade myndigheter ville kräva ut patientuppgifter. Digitaliseringsminister Anders Ygeman var inte imponerad.
→ Miljardavtalet i vården kan stoppas – patientuppgifter på amerikanskägda servrar (SVT, 2021)

I USA finns National Security Letter (NSL). En NSL är en hemlig rättslig åtgärd som kan kräva att företag överlämnar information till amerikanska myndigheter, ofta med en sekretessorder som förbjuder mottagaren att diskutera eller avslöja existensen av NSL.

Därför krävs det en hel del för att vara säker på att man undviker utlämnande av data:

1. Finns det någon anställd med administratörsrättigheter till servrar inom EU:s datagräns som är skyldig att följa en NSL?
2. Anställd som rapporterar till en chef som skulle vara skyldig att följa ett NSL?
3. Kan de som erbjuder mjukvaran i molntjänsten (läs Microsoft, Google, med flera) förändra mjukvaran de erbjuder för att komma åt data även inom EU:s gränser?

Administratörer har ofta tillgång till känslig information och kan utföra kritiska åtgärder på servrar, vilket gör deras roll särskilt känslig i detta sammanhang. Om en administratör är underställd en chef som är skyldig att följa en NSL, kan detta leda till att EU-data hamnar under USA:s jurisdiktion, vilket skulle strida mot EU:s dataskyddsregler. Detta skapar en konflikt mellan USA:s krav och EU:s dataskyddsregler, vilket kan leda till komplexa juridiska och etiska frågor för företaget och de anställda.

De två första punkterna kan leverantörerna försöka undvika genom att implementera strikta åtgärder för att säkerställa att anställda inom EU inte är underställda chefer som kan vara skyldiga att följa NSL. Detta kan innebära att ha en tydlig uppdelning av ansvar och rapporteringslinjer baserat på geografisk plats.

Men även om detta är på plats, det vill säga att det är helt oberoende personer som driftar saker inom EU, återstår frågan om kontrollen över mjukvaran som hamnar på de här EU-baserade servrarna. Utan insyn i mjukvaran och ett omfattande kartläggningsarbete av sina leverantörer och deras underleverantörer kommer man inte veta detta. Och även om det fanns insyn, exempelvis för att mjukvaran är open-source, skulle det kräva antingen en oberoende granskare eller ett stort arbete för varje kund att se att man får opåverkad mjukvara i tjänsten man hyr.

Vad är det för villkor ni accepterat för molntjänsten?

Samtidigt har det i flera år påtalats att det är nära på omöjligt att som kund till dessa företag ha en översikt kring vilka villkor som gäller från stund till annan. Alltså de där villkoren man accepterar som en del i tjänsten. Samma villkor som leverantörerna uttryckligen tar sig rätten att ändra när de själva vill.

Exempelvis om man kollar Microsofts villkor för sina molntjänster:

“Changes to and Availability of the Online Services
Microsoft may make commercially reasonable changes to each Online Service from time to time. Microsoft may modify or terminate an Online Service in any country where Microsoft is subject to a government regulation, obligation or other requirement that (1) is not generally applicable to businesses operating there, (2) presents a hardship for Microsoft to continue operating the Online Service without modification, and/or (3) causes Microsoft to believe these terms or the Online Service may conflict with any such requirement or obligation. If Microsoft terminates an Online Service for regulatory reasons, Customers will receive a credit for any amount paid in advance for the period after termination.”
– Microsoft Product Terms

Det går helt enkelt inte att vara passiv i sin relation till dessa molntjänster och leverantörer. Särskilt inte nu när USA som stat signalerar att de inte vill vara vänskapliga med oss i EU.

Vad säger våra dataskydds­myndigheter 2025?

“USA:s president har nyligen avskedat flera av PCLOB:s ledamöter, och som ett resultat av detta finns det endast en ledamot kvar då denna text publiceras. Det betyder att PCLOB just nu inte är beslutför. Detta har skapat frågetecken kring om och i så fall hur EU-kommissionens beslut om adekvat skyddsnivå kan komma att påverkas.”
– Överföring av personuppgifter till USA, vad gäller? (Integritetsskyddsmyndigheten, mars 2025)

Om du vill ha det från norska Datatilsynet eller danska Datatilsynet har de kommit fram till liknande slutsatser.

“Det har aldrig været vigtigere at have en reel plan B til at kunne frigøre sig af de her tjenester.”
– Allan Frank, jurist och IT-säkerhetsspecialist på danska Datatilsynet

→ Datatilsynet advarer: Trump kan trække tæppet væk under danske virksomheders cloud (Version2, januari 2025)

Digital suveränitet och rådighet

En annan aspekt är hur mycket självbestämmande och rådighet man har över den teknik man valt ut. Två advokater på Kahn Pedersen har skrivit en debattartikel om det orimliga inflytande teknikjättarna har över svenska staten, ifall det vill sig illa.

“Myndigheter och samhälls­viktiga verksamheter som accepterar amerikanska it-bolags standard­villkor ger ifrån sig en on/off-knapp till delar av den svenska stats­förvaltningen.”
– ”It-avtal en risk för svensk beredskap” (Svenska Dagbladet, mars 2025)

Så, vilka alternativ finns det till de USA-baserade teknikjättarna? Du kan bland annat kolla in den praktiska sammanställningen med europeiska alternativ på nedan webbplats.
→ European alternatives for digital products

På Webperf finns sedan länge en kategori för bra molntjänster. Och vi har förstås även svenska bolag som påtalat detta länge. Bland annat Cleura, vars grundare Johan Christenson uttalat sig nyligen:

“Jobbar man dessutom som it-chef i en stat eller kommun, då har man en skyldighet å medborgarnas vägnar att tänka lite bredare och göra andra tekniska val än vad som oftast är enklast, att köpa in fler tjänster från stora amerikanska it-leverantörer. Det handlar om att bygga en tryggare framtid för Sverige och Europa – samtidigt som man skapar bättre konkurrenskraft.”
– Efter hoten från USA: ”Europa måste ha egen molnkapacitet” (NyTeknik, mars 2025)

Den stora grejen för de flesta är nog bara att samla sig, bilda sig en uppfattning och bestämma sig ifall det är dags att agera eller inte. Gissa om jag tycker det är dags nu..?!

Och jag verkar inte direkt ensam.
→ ”Digital självständighet är en akut säkerhetsfråga för Europa”

Läs mer om dataskydd, GDPR och digital suveränitet

Det finns förstås mycket skrivet om det här ämnet sedan tidigare.

• Norge: Datatilsynet svarar på frågor om överföringar till USA (Techlaw, mars 2025)
• Trumps USA ändrar spelplanen – nu måste svenska cio:er sprida riskerna (ComputerSweden, mars 2025)
• Vårt beroende av amerikanska tjänster är inte bara en GDPR-fråga (Computer Sweden, mars 2025)
• Världen: Trump riskerar lamslå tillsynsmyndighet vilket kan påverka EU-US Data Privacy Framework (Techlaw, januari 2025)
• US Cloud soon illegal? Trump punches first hole in EU-US Data Deal (NOYB, januari 2025)
• Deafening Commission silence with no credible EU-US data oversight left (Euractiv, mars 2025)
• European Commission gives EU-US data transfers third round at CJEU att Schrems och NOYB tycker Data Privacy Framework är ännu en eftergift (NOYB, 2023)

Följande har skrivits på Webperf.

• Om Trump skrotar EO 14086 under 2025 - är du förberedd? (Webperf, 2024)
• Förslag på datapakt mellan EU-USA gick igenom kommitté i EU-kommissionen (Webperf, 2023)
• DPF: eSam ger inte grönt ljus för amerikanska molntjänster (nu heller) (Webperf, 2023)
• Slutspanat på EU-invånare när Biden har signerat order om Trans-Atlantic Data Privacy Framework? (Webperf, 2022)
• Ska vi invänta Schrems 3 innan vi skärper oss kring integritet? (Webperf, 2021)

Generellt nyttig läsning finns nedan.

• Permanent Record (autobiography) – autobiografin om Edward Snowden är intressant även när hans gloria falnat
• Chat Control 2.0 – ett farligt lagförslag om massövervakning (DFRI)
• Cover Your Tracks är en tjänst från EFF (Electronic Frontier Foundation) där du kan förstå hur mycket data din webbläsare läcker om dig