Sök Logga in

Om Trump skrotar EO 14086 under 2025 - är du förberedd?

Marcus Österberg Skapad 2024-11-10, uppdaterad 2025-04-01 3 minuters läsning Nyhetsnotiser GDPR Integritetsskyddsmyndigheten Dataskydd
Flaggor för EU och USA

Trots mycket önsketänkande är vi framme vid att Trump blir amerikansk president 2025 och det blir också en republikansk majoritet i senaten. Så hur drabbar det oss i EU som ofta har amerikanska IT-leverantörer?

De organisation som förlitar sig på Data Privacy Framework (DPF) för att dela personuppgifter med USA-baserade företag har nog ingen bra magkänsla efter presidentvalets utkomst. Varför då? Jo, för att Donald Trump är tydlig med att han är rätt ointresserad av andra intressen än USA:s och sina egna.

Den tredje överenskommelsen vi i EU träffade med USA, för att dela personuppgifter, kommenterades så här av vår svenska tillsynsmyndighet 2023:

“Det nya DPF bygger till stor del på att USA antagit en ny Executive Order, EO 14086, som innehåller bestämmelser som ska bemöta de brister som EU-domstolen ansåg fanns i Privacy Shield.”
EDPB yttrar sig om EU-US Data Privacy Framework (Integritetsskyddsmyndigheten, 2023)

En sådan presidentorder är enkel att riva upp och täcker bara in intresset hos en tredjedel av de grenar amerikanska federationen styrs av. Den exekutiva.

Basen i DPF var kritiserad redan när det lanserades, bl.a. av NOYB med kommentaren att det är ”osannolikt att det följer EU-lagar”. DPF anklagades för att vara en mer eller mindre dålig kopia av Privacy Shield. Överenskommelsen Privacy Shield upphävdes i och med Schrems 2-domen 2020 i EU-domstolen. Och innan Privacy Shield hade vi Safe Harbor, som även den revs upp genom Schrems 1-domen.

På detta vis har vi i EU trånat efter amerikanska IT-företag i 10 års tid nu.

Spolar vi fram till sommaren 2023 fick USA tack vare DPF ett nytt adekvansbeslut av EU-kommissionen och det blev återigen lagligt att dela personuppgifter mellan EU och USA. Amerikanska företag kunde, praktiskt nog, certifiera sig själva och hamna på listan över betrodda DPF-företag vi i EU förmodades lita på skulle följa våra regler:
Data Privacy Framework

“Lugna ner dig Marcus, det är nog ingen fara!”

Ja, detta inlägg är FUD (Fear, Uncertainty, Doubt). Men om du inte hyser visst tvivel kring amerikanskt dataskydd vid det här laget lever du definitivt i en annan bubbla än jag gör.

Jag tänker ändå att det är på sin plats att påtala den föränderliga situation vi i Sverige kanske sitter i under början av 2025. Jag gillar att måla upp olika scenarier.

Det är vettigt att ha de olika extremerna klart för sig så man kan bilda sig en uppfattning om vad som verkar rimligt med den försiktighetsmarginal man vill ha. Allt från ett bästa-tänkbara till ett mer pessimistiskt scenario.

Det pessimistiska scenariot för dig som förlitar dig på DPF är att Trump invaliderar EO 14086 andra halvan av januari 2025. Då har du rätt kort tid på dig att agera om du vill undvika böter. Lex Uber, se nedan.

Kommer Data Privacy Framework överleva oavsett Donald Trump som president?

Nej, DPF kanske inte skulle klarat sig alldeles oavsett om nu Max Schrems och NOYB får som de vill i EU-domstolen. Men i det fall att Trump river upp Executive Order 14086 i början av 2025 så kraschar DPF ganska omgående.

Du som tror att du är trygg bland mängden av de som stannar kvar i juridisk limbo ifall DPF rivs upp borde läsa Torbjörn Ls kommentar på Linkedin angående Uber, som i Nederländerna fick retrospektiva böter på 290 miljoner EUR för perioden mellan Schrems 2 och DPF.

“For a period of over two years, Uber transferred those data to Uber's headquarters in the US, without using transfer tools. Because of this, the protection of personal data was not sufficient. The Court of Justice of the EU invalidated the Privacy Shield in 2020. According to the Court, Standard Contractual Clauses could still provide a valid basis for transferring data to countries outside the EU, but only if an equivalent level of protection can be guaranteed in practice. Because Uber no longer used Standard Contractual Clauses from August 2021, the data of drivers from the EU were insufficiently protected, according to the Dutch SA. Since the end of last year, Uber uses the successor to the Privacy Shield.”
Dutch SA imposes a fine of 290 million euro on Uber because of transfers of drivers' data to the US (European Data Protection Board, 2024)

Digital suveränitet är dessvärre på riktigt 2024.

Statlig svensk IT-drift flyttar fram positionerna

En nyhet från november är att Regeringen stärker säkerheten och kostnadseffektiviteten genom statlig it-drift. Det är en nyhet eftersom det släpptes nu men det ligger i linje med den utredning som gjorde att Försäkringskassan började drifta IT åt andra myndigheter för ett antal år sedan.

”Att myndigheter med hög cyberkompetens och betydande erfarenhet av IT-drift kan erbjuda sådana tjänster till andra myndigheter ökar både kostnadseffektiviteten och säkerheten för våra myndigheter.

Den kommande förordningen utser flera leverantörsmyndigheter, förutom Försäkringskassan utses även Trafikverket och Skatteverket.”
Erik Slottner (Linkedin, november 2023)

Mer om DPF, Schrems-domar och europeiska alternativ

Relaterat innehåll

Ironisk illustration över etikett till flaska med fejkad medicin, så kallad ormolja. (Bild av armageddon på deviantart, licens CC BY-NC-ND 3.0))

Fungerar tillgänglighets­lager? Nej!

I veckan uppmärksammades det förmodligen första företaget som säljer ”accessibility overlays” på den svenska marknaden. Så vad är då detta, och funkar de?

Priset 2025 är gjort av Emilia Linderholm och fotograf är Kjell Ekvall.

Nominerade till Web Service Award 2025

Vilka av Web Service Awards kunder uppskattas av sina webbplats-besökare? Det har Web Service Award just berättat inför det årliga priset senare i januari.