Privacy Shield

GDPR och CLOUD Act – regelverk att förhålla dig till i din molnstrategi

Den europeiska och amerikanska lagstiftningen gällande personuppgiftshantering och individens rätt till sin egen data är inte alltid enkla eller kompatibla med varandra. Det ökar risken för juridiska utmaningar där enskilda, europeiska bolag lätt hamnar i kläm vid användandet av amerikanska molntjänster.

Privacy Shield

GDPR fokuserar på individens rätt

GDPR:s främsta uppgift är att säkerställa alla EU-medborgares rättsliga dataskydd samt individens rätt till sitt privatliv och kontrollen över sin egen data. Det syftar också till att reglera hur personuppgifter får överföras inom och utanför EU. Dessa regler påverkar alla organisationer som på något sätt lagrar och hanterar personuppgifter i sina system, framförallt om lagring sker i molntjänster som ägs av utomeuropeiska företag.

Vad gäller vid överföring av data inom och utanför EU?

Det är fritt fram att överföra personuppgifter och data mellan alla länder inom EU (gäller även EES-länderna). Om du däremot vill föra över och lagra uppgifter utanför EU, exempelvis i USA, krävs vissa förutsättningar för att detta ska vara tillåtet. Det kan vara följande:

EU-kommissionen bedömer att landet uppfyller s.k. adekvat skyddsnivå. Lista på godkända länder finns hos Datainspektionen här.
Man har upprättat särskilda bindande företagsbestämmelser (BCR, Binding Corporate Rules) eller standardavtalsklausuler (SCC) som säkerställer godkänd skyddsnivå. Dessutom ska organisationen säkerställa att det inte finns en annan lag som trumfar ovan bestämmelser eller klausuler, exempelvis den amerikanska lagen Cloud Act
Andra situationer kan också vara tillåtna, men dessa bedöms i enskilda fall.

Privacy Shield som grund finns inte längre vid överföring av data till USA

Regelverken kring hantering av personuppgifter har funnits några år och hittills har de stora amerikanska molntjänstleverantörerna lutat sig mot det så kallade Privacy Shield-avtalet. Sedan EU-domstolen ogiltigförklarade Privacy Shield är det inte längre tillåtet att överföra personuppgifter till USA med detta avtal som grund. Det är nu upp till varje enskild verksamhet att göra en bedömning om tillräckligt skydd finns för att garantera att kraven i GDPR efterlevs.

Kryptering av data kan vara ett sådant skydd för organisationen, men viktigt att tänka på är att bevisbördan ligger på den enskilda verksamheten här. Det är alltså den enskilda verksamheten som måste kunna garantera att ingen extern organisation (så som exempelvis NSA) har knäckt aktuella krypteringsnivåer. En garanti som är extremt svår, om inte helt omöjlig, att ge för enskilda organisationer.

CLOUD Act tvingar amerikanska bolag att lämna ut dina personuppgifter

CLOUD Act (Clarifying Lawful Overseas Use of Data Act) innebär att amerikanska myndigheter, vid misstanke om brott, har rätt att begära ut personuppgifter och annan data från amerikanska molntjänstleverantörer, även om denna data lagras utanför USA, t.ex. inom EU. Det spelar alltså ingen roll i vilket land som servrarna där datan lagras befinner sig i. Så länge bolaget som äger servrarna är registrerat som ett amerikanskt bolag så lyder de under CLOUD Act. CLOUD Act öppnar även upp för andra länder, som ingått ett datadelningsavtal med USA, att begära ut data från amerikanska bolag utan att kongress eller domstolar får vetskap om det.

Cloud Act strider mot bestämmelserna i GDPR

Innehållet i Cloud Act går stick i stäv mot själva syftet med bestämmelserna i GDPR. Även om EU visserligen har ett intresse av ett internationellt rättskipande samarbete så måste all utlämning av data som lagras inom EU ske i enlighet med GDPR för att vara laglig. I praktiken innebär detta att överföring endast får ske om det grundar sig på ett specifikt avtal om ömsesidig rättslig hjälp, s.k. MLAT-avtal (Mutual Legal Assistance Treaty). Det är något som CLOUD Act helt enkelt inte tar hänsyn till.

5 faktorer som påverkar er Cloud compliance

Typ av molntjänst.

Valet av molntjänst, alltså privat, publikt eller hybrida moln, spelar roll gällande compliance och hantering av data. Säkerställ att du känner till regelverket väl och vet vilka viktiga compliance-frågor som påverkar valet av er tilltänkta lösning.

Typ av data som lagras.

Av säkerhets- och compliance-skäl är det viktigt att se över vilken typ av data som ska lagras i molnstjänsten. Känslig data kan vara aktuell att se över ett varv till innan du väljer att flytta upp detta i ett publikt moln. Här kan ett privat moln vara ett bättre alternativ.

Säkerhet hos leverantören.

Säkerställ att er tilltänkta molnstjänstleverantör uppfyller nödvändiga certifieringar för compliance, t.ex. ISO 27001. Gå även igenom i detalj hur leverantören jobbar för att garantera säkerhet för er data, hur de jobbar med back-up, samt er rätt att genomföra en översyn av säkerhet och compliance som de bygger upp kring er data.

Krishantering.

Säkerställ att leverantören har en krisberedskapsplan som varnar ifall något fel skulle inträffa med er data.

Nationell och internationell lag.

Skaffa bra koll på vilka dataskyddslagar som gäller i det landet där er data kommer att lagras, exempelvis GDPR inom EU, samt om det finns andra lagar som riskerar att trumfa de nationella lagarna, exempelvis Cloud Act.

Läs mer om hur personuppgifter bör hanteras i molnet för uppnå Cloud Compliance, det vill säga säkerställa efterlevnad av regelverket.

Ladda ner vårt Whitepaper

Namn*
Förnamn Efternamn
Företag*
Email*
Score 25
Samtycke*
Jag godkänner integritetspolicyn.

Privacy Shield faller– vad innebär det för företag som redan lagrar data i amerikanska moln?

Cloud-experten Victor Souza:

”Det enda som kan användas för att reglera överföring av data från EU till USA nu är en s.k. SCC (Standard Contractual Clauses). På kort sikt bör man genomföra en noggrann kartläggning över var man lagrar persondata idag, vilka företag som har tillgång till den datan och sedan säkerställa att dessa täcks av en SCC. På lång sikt bör man hitta en mer hållbar lösning för datalagring. Den juridiska maktkamp som pågår mellan USA och EU kommer förmodligen inte att ta slut inom de närmsta åren.”

Läs hela intervjun med Victor Souza här.

Viktiga aspekter när du planerar att flytta er IT-infrastruktur till molnet

Med tanke på det svåra och komplexa juridiska läget mellan EU och USA rekommenderar vi att ha dessa punkter i åtanke när du planerar molnresan. Allt för att inte hamna i kläm mellan dessa regelverk.

Välj en europeisk molntjänstleverantör som har sina servrar inom EU. Då kan du vara trygg i att er datalagring uppfyller krav på personuppgiftsskydd enligt GDPR. Du behöver heller inte oroa dig över att Cloud Act kan tvinga leverantören att lämna ut era uppgifter till ett tredjepartsland. Viktiga aspekter för att säkerställa efterlevnad av GDPR.
Om ni planerar att lagra informationen utanför EU, välj en infrastruktur som är lätt att flytta över till en annan leverantör ifall det juridiska läget snabbt skulle förändras, exempelvis nu när Privacy Shields upphörde. Att låsa in sig i långa avtal med leverantörer utanför EU, eller att bygga sin infrastruktur på leverantörsspecifik funktionalitet kan få svåra konsekvenser om läget förändras.

Har ni redan påbörjat en flytt till en mer molnbaserad miljö?

Många organisationer har redan påbörjat resan mot en molnbaserad IT-miljö. Om det inte redan är gjort så är det isåfall hög tid att:

kartlägga var er data kommer att lagras (inom eller utanför EU)
säkerställa att korrekta avtal finns på plats som godkänner flytt av personuppgifter till eventuellt tredjepartsland
kartlägga vilka nationella lagar (även utanför EU) som kan tänkas påverka hanteringen av er information, t.ex. Cloud Act.

Se även till att göra en riskanalys med en sannolikhetsbedömning och konsekvensanalys som viktar eventuella scenarier som kan ha negativ påverkan på er molnstrategi. Lägg upp en plan för hur ni hanterar dessa risker ifall de inträffar.

Boka konsultation med en Cloud Architect.

Namn*
Förnamn Efternamn
Företag*
Email*
Fråga till Cloud Architect
Samtycke*
Jag godkänner integritetspolicyn.

Cookie	Varaktighet	Beskrivning
_livechat	2 år	Http: Används för att dölja användarens personliga anpassning av LiveChat.
CASID	Session	Http: Används för användarens personliga anpassning av LiveChat.
cookielawinfo-checkbox-advertisement	11 månader	Http: Denna cookie ställs in av GDPR Cookie Consent plugin. Cookien används för att lagra användarens samtycke till kakorna i kategorin ”Advertisement”.
cookielawinfo-checkbox-analytics	11 månader	Http: Denna cookie ställs in av GDPR Cookie Consent plugin. Cookien används för att lagra användarens samtycke till kakorna i kategorin ”Analytics".
cookielawinfo-checkbox-functional	11 månader	Http: Denna cookie ställs in av GDPR Cookie Consent plugin. Cookien används för att lagra användarens samtycke till kakorna i kategorin ”Functional”.
cookielawinfo-checkbox-necessary	11 månader	Http: Denna cookie ställs in av GDPR Cookie Consent plugin. Cookien används för att lagra användarens samtycke till kakorna i kategorin ”Necessary”.
cookielawinfo-checkbox-others	11 månader	Http: Denna cookie ställs in av GDPR Cookie Consent plugin. Cookien används för att lagra användarens samtycke till kakorna i kategorin ”Övriga".
cookielawinfo-checkbox-performance	11 månader	Http: Denna cookie ställs in av GDPR Cookie Consent plugin. Cookien används för att lagra användarens samtycke till kakorna i kategorin ”Performance”.
NID	6 månader	Google: Lagrar cookies för att upptäcka om användaren är en robot eller inte (säkerställa säkerheten).
nQ_cookieId	12 månader	Http: Ställer in ett unikt ID för en specifik besökare. Detta ID kan användas för att känna igen besökaren vid återinträde och genomföra val av preferenser. Cookien tillåter också webbplatsen att spåra besökaren på flera webbplatser för marknadsföringsändamål.
nQ_userVisitId	24 timmar	Http: Ställer in ett unikt ID för en viss besökare. Detta ID kan användas för att känna igen besökaren vid återinträde och genomföra val av preferenser. Cookien tillåter också webbplatsen att spåra besökaren på flera webbplatser för marknadsföringsändamål.
viewed_cookie_policy	11 månader	Http: Cookien ställs in av plugin-programmet plugin för GDPR-cookie och används för att lagra huruvida användaren har godkänt användningen av cookies eller inte. Den lagrar inga personuppgifter.

Cookie	Varaktighet	Beskrivning
_fbp	24 timmar	Facebook: Tillhandahåller och samlar besöksinformation.
_ga	2 år	Google Analytics: En bestående cookie som används för att särskilja unika användare.
_gat_gtag_UA_67004867_1	1 minut	Google Analytics: Google Tag Manager används för att begränsa begäran. Om Google Analytics distribueras via Google Tag Manager kommer denna cookie att heta _dc_gtm_ <property-id>.
_gid	24 timmar	Google Analytics: Används för att urskilja användare.
li_gc	2 år	LinkedIn: Används för att lagra gästernas samtycke om användning av cookies i icke-väsentliga syften.
li_mc	1 år	LinkedIn: Används som en tillfällig cache för att undvika att databasen söker efter medlemmars samtycke till användning av icke-väsentliga cookies och används för att ha information om samtycke på klientsidan.
lms_analytics	1 månad	LinkedIn: Används för att identifiera LinkedIn-medlemmar i utvalda länder i statistiksyfte.
SAPISID	2 år	Google: Samlar besöksinformation för videos som tillhandahålls av YouTube.
SSID	2 år	Google: Samlar besöksinformation för videos som tillhandahålls av YouTube på kartor integrerade med Google Maps.

Cookie	Varaktighet	Beskrivning
__Secure-3PAPISID	2 år	Google: Skapar en profil baserat på besökarens intressen för att visa relevanta och anpassade annonser.
__Secure-3PSID	2 år	Google: Skapar en profil baserat på besökarens intressen för att visa relevanta och anpassade annonser.
__Secure-APISID	8 månader	Google: Skapar en profil baserat på besökarens intressen för att visa relevanta och anpassade annonser.
__Secure-HSID	8 månader	Google: För att säkra digitalt signerade och krypterade data från unikt Google-ID och lagra den senaste inloggningstiden som Google använder för att identifiera besökare, förhindra bedrägeri vid användning av inloggningsuppgifter och skydda besökardata från obehöriga parter. Detta kan också användas för inriktning för att visa relevant och personligt annonseringsinnehåll.
1P_JAR	1 vecka	Google: Baserat på senaste sökningar och tidigare interaktioner visas anpassade annonser på Googles webbplatser.
AnalyticsSyncHistory	30 dagar	LinkedIn: Används för att lagra information om den tid en synkronisering ägde rum med lms_analytics-cookien för användare i utvalda länder.
ANID	1 år	Google: Lagrar cookies för att upptäcka om användaren är en robot eller inte (säkerställa säkerheten).
APISID	2 år	Google Analytcis: Anpassar Google-annonser på webbplatser baserat på senaste sökningar och interaktioner.
bcookie	2 år	LinkedIn: Cookie för webbläsaridentifiering för unik identifiering av enheter som har åtkomst till LinkedIn för att upptäcka missbruk på plattformen.
CONSENT	2 år	Google: Lagrar besökares preferenser och anpassar annonser.
datr	2 år	Facebook: Tillhandahåller och samlar besöksinformation.
DV	24 timmar	Google: Lagrar cookies för att upptäcka om användaren är en robot eller inte (säkerställa säkerheten).
fr	3 månader	Facebook: Innehåller krypterat Facebook-ID och webbläsar-ID.
HSID	2 år	Google: Säkerhetscookie för att bekräfta besökarnas äkthet, förhindra bedrägeri vid användning av inloggningsuppgifter och skydda användardata från obehörig åtkomst.
lang	Session	LinkedIn: Används för att komma ihåg en användares språkinställningar.
lidc	24 timmar	LinkedIn: För att optimera datacentervalet.
lms_ads	1 månad	LinkedIn: Används för att identifiera LinkedIn-medlemmar utanför LinkedIn i utvalda länder för annonsering.
SID	2 år	Google: Säkerhetscookie för att bekräfta besökarnas äkthet, förhindra bedrägeri vid användning av inloggningsuppgifter och skydda användardata från obehörig åtkomst.
SIDCC	1 år	Google: Används som säkerhetsåtgärd för att skydda användarnas data från obehörig åtkomst.
UserMatchHistory	30 dagar	LinkedIn: Synkronisering av LinkedIn Ads-ID.

Sök på Binero

Vi hjälper gärna till!