Företag, föreningar och kommuner borde se GDPR som ett stöd och en vägledning, inte ett hinder. Trots det är det många som väntar ut Schrems II-domens efterspel för att inte behöva göra något. Andra försöker komma runt GDPR på olika sätt. Men man får glömma inte bort vem GDPR ska skydda – organisationens viktigaste tillgångar; kunderna, medlemmarna och invånarna.

Bild: Dooffy

Visst kan det vara jobbigt att ändra på invanda gamla beteenden, eller att flytta hem hela it-driften från USA till EU. Extra jobbigt känns det kanske eftersom det inte verkar finnas några definitiva svar efter Schrems II om vad som verkligen gäller.

Men GDPR och Schrems II-domen har båda kommit av en anledning – att skydda kundernas, medlemmarnas och invånarnas personuppgifter och integritet. Och vad är ett företag utan kunder? Vad är föreningen utan medlemmar? Vad är kommunen utan invånare? Att skydda företagets, föreningens eller kommunens viktigaste tillgångar borde stå i främsta fokus. Istället verkar det vara något som många försöker komma runt.

Även om det kan finnas en del frågetecken om vad som gäller efter Schrems II, rekommenderar både IMY¹² och EDPB (European Data Protection Board) att extra skyddsåtgärder vidtas om personuppgifter överförs till tredje land. Sådana extra skyddsåtgärder är kryptering eller anonymisering. Här är det också viktigt att tänka på att det endast är avsändaren som ska ha tillgång till krypteringsnycklarna. Krypteringen hjälper inte om exempelvis molnleverantören sitter på nycklarna.

Många verkar dock ha missat poängen med Schrems II, vilket är att skydda personuppgifterna från omvärldens underrättelsetjänster. GDPR handlar om säkerhet och skydd för personuppgifterna. Men Schrems II-domen handlar istället om att USA:s underrättelsetjänster kan ta del av information genom USA:s lagstiftning, bland annat FISA 702. Det handlar inte om hur god säkerhet molnleverantören har.

Så här skriver IMY på sin webbsida om Schrems II:

[…] kan behövas ytterligare skyddsåtgärder. Så är fallet om mottagarlandet genom sin lagstiftning eller praxis inte kan anses tillförsäkra en i allt väsentligt likvärdig skyddsnivå för uppgifterna som inom EU och EES.

Helsingborgs Dagblad rapporterade den siste mars i år om att Helsingborgs Stad inför Microsoft 365. I artikeln säger stadens digitaliseringsdirektör Martin Güll att man i praktiken får ett säkrare system. Och det är förmodligen en korrekt bedömning. Men USA:s underrättelsetjänster kan fortfarande begära ut data från systemen, dessutom utan att någon kommer få reda på att så har skett. Här spelar säkerheten i systemet således ingen roll. Det här handlar om den lagliga rätt som utländska underrättelsetjänster har att begära ut information. Här kan inga säkerhetsmekanismer skydda – bortsett från end-to-end kryptering.

Medan man i Helsingborg implementerar Microsoft 365, förbjuder man Chrome-datorer i danska skolor för att slippa Google Workspace. Det rapporterar ComputerSweden. Även Nederländerna har infört restriktioner gällande Googles tjänster, rapporterar Bleeping Computer. Redan 2019 bannlystes Microsofts, Googles och Apples molntjänster från skolor i Tyskland. Detta rapporterade Naked Security om i juli 2019.

Man kanske ställer sig frågande vad för användning utländska underrättelsetjänster möjligen kan ha av informationen? Men här får vi inte vara naiva. Utländska underrättelsetjänster är självklart intresserade av information från kommuner, landsting och företag med skyddsvärd information. Men det slutar inte här. Även mindre företag och föreningar kan vara av intresse i helt andra syften. I spåren av Edward Snowdens avslöjanden finns även det man kan kallar för SEXINT³ (Sexual Intelligence) som syftar till att kartlägga en persons porr- och sexvanor i syfte att bedriva utpressning.

Så se till att hålla personuppgifterna inom EU. Du vill inte vara den som står med byxorna nere – bokstavligt talat – när läckan har skett. Bara det faktum att utländska underrättelsetjänster bedriver SEXINT, och därmed också utpressning, borde avskräcka även den minsta föreningen från att skicka personuppgifter till USA. Tänk på att GDPR även talar om personuppgifter som är extra skyddsvärda. Detta är uppgifter om personers hälsa, ekonomiska förhållanden och sist men inte minst – sexuella preferenser.