Den 6 oktober så gav EU-domstolen hela molnvärlden en käftsmäll som heter duga. I ett svep ogiltigförklarades den överenskommelse som EU-kommissionen gjort med Amerikanska exportmyndigheten, kallad Safe Harbor. Detta ramverk är en samling uppsatta regler som amerikanska bolag frivilligt kan välja att följa för att på så sätt uppnå kraven i den personuppgiftslagstiftning som finns i Europa. För att förenkla flödet av data mellan Europa och USA så godkände helt enkelt EU-kommissionen Safe Harbor-ramverket år 2000, vilket gjorde att tjänsteföretag i USA kunde ta in europeiska kunder, men ha databehandlingen lokaliserad till USA.
Under 2013 så kom en rad avslöjanden fram som visade på de amerikanska underrättelsetjänsternas storskaliga trålning av data, både till, mellan och i de amerikanska tjänsteföretagens datanät. I samma veva anmälde en österrikisk juridikstudent Facebook för att de behandlade hans personliga data i USA och inte bara i Europa. Ärendet gick genom rättsfallskvarnarna och hamnade i EU-domstolen som, med underlag av EU-kommissionens egna rapporter i efterdyningarna till Snowden, avgjorde att Safe Harbor inte kan åberopas av tjänsteleverantörer, just för att underrättelsetjänsterna (t.ex. NSA) så tydligt struntat i personlig integritet och sålunda ska inte personlig data per automatik kunna överföras till USA. Anledningen är just att insamlingen av personlig data från underrättelsernas sida gått överstyr i storlek, omfattning och helt utan insyn eller möjlighet till överklagan för europeiska medborgare.
Jaha, så vad händer nu? Måste Amazon, Microsoft, Google, Apple och alla de andra amerikanska tjänsteleverantörerna sluta att erbjuda europeiska kunder sina tjänster? Egentligen är det så, men som du säkert märkte (eller inte märkte) så hände ingenting. Världen, tjänsterna och data fortsatte att snurra precis som innan. Och det är inte så konstigt. Samma dag som EU-domstolen offentliggjorde sin dom, så gick EU-kommissionen ut med pressmeddelanden att ”fortsätt som tidigare”. Man har redan nu påbörjat ett arbete att förhandla fram nya regler för att säkerställa ett tillräckligt skydd mot att personuppgifter som överförs till USA blir föremål för myndighetsövervakning, samt att arbetet med den nya dataskyddsförordningen fortsätter. Det finns också andra ramverk som tjänsteföretag utanför EU kan åberopa, t.ex. EU’s standardklausuler (2010/87/EU). Därmed kommer Eu-domstolens beslut lägga mer arbete på varje enskilt medlemslands datatillsynsman; i Sverige är det Datainspektionen. Dessa kommer nu få kravet att vid behov studera och följa upp de enskilda tjänsteavtalen som upprättas mellan leverantör och kund, eftersom hänvisning till Safe Harbor inte längre går att åberopa.
Nu ska det tilläggas att EU är minst lika goda kålsupare, bara att man kanske inte har den typ av rapportering i vår media. Tänk bara på vad det lagstiftningskomplex som sammanfattningsvis kallas för FRA-lagen ger för utrymme och befogenhet för vår underrättelsetjänst att avlyssna trafik som passerar över den svenska gränsen. Samma sak gäller alla de andra europeiska underrättelsetjänsterna i olika grad. Skillnaden är nog bara det att de europeiska underrättelsetjänsterna inte har samma ekonomiska och tekniska förutsättningar som de i USA.
Oavsett vem som lyssnar på vem och vad så måste du som informationsägare se till att du skyddar ditt data. Oavsett vad som lovas i tjänsteföretagens avtalstexter så är tjänsteföretagens datalager och kommunikationskanaler som godis för den som vill snoka. Det finns en uppsjö av skydd som går att tillämpa, kryptering är ett sätt. Se till att själv äga de nycklar som används för krypteringen. Om det är så att data måste lämnas ut, så blir resultatet att du i alla fall får reda på när det sker eftersom det med största sannolikhet kommer en begäran (eller stark önskan) om att få ta del av nycklarna. Se också till att den information du är riktigt rädd om hanteras på ett sätt som på alla sätt minskar risken för intrång, avlyssning, förstörelse eller ändring. Ibland kan det innebära egen förvaltning, ibland att den förvaras helt offline. Det viktiga som jag vill få fram är att oavsett tjänsteleverantör, svensk, europeisk, amerikansk eller indisk, så är data som behandlas online, i molnet eller i delad miljö, utsatt för risker som du måste ha skydd emot.
Carl Önne
