Blogg
Max Schrems: därför är amerikanska moln fortfarande en risk för offentlig sektor
När Max Schrems äntrade scenen på eFörvaltningsdagarna blev det snabbt tydligt varför han fortsatt är en av Europas mest inflytelserika röster inom dataskydd. Som juristen bakom Schrems I och II, fallen som fällde Safe Harbour och Privacy Shield, har han förändrat hela spelplanen för hur EU ser på internationella dataflöden och de molnlösningar vi bygger vår digitala vardag på.
Hans keynote “Schrems III or Trump I? What’s next?” satte ord på något många inom offentlig sektor redan anat: lagstiftning, geopolitik och molntjänster har blivit frågor som är sammanvävda. Och den verkligheten påverkar varje organisation som hanterar känslig data.
Servern spelar mindre roll än många tror
En av Schrems tydligaste poänger var skillnaden mellan plats och jurisdiktion. GDPR skyddar personer inom EU, men amerikanska lagar, som FISA 702, kan ändå ge amerikanska myndigheter åtkomst till data hos företag med amerikansk koppling. Detta oavsett var servrarna står.
Det innebär att lagring ”inom EU” inte är en garanti i sig, om leverantören samtidigt omfattas av amerikansk lagstiftning.
Max Schrems kallar det sovereignty washing
Schrems var särskilt kritisk till hur vissa globala molnleverantörer marknadsför ”suveräna” eller ”EU-regionala” lösningar. Den typen av erbjudanden kan skapa en känsla av trygghet, men om företaget är amerikanskt kvarstår samma juridiska risk. Han kallar fenomenet sovereignty washing. Ungefär som man pratar om green washing eller pink washing, det vill säga när löften om suveränitet låter bra i marknadsföringen, men inte håller juridiskt.
Det här sätter fingret på något avgörande: beslut som fattas i Washington kan i praktiken påverka tjänster som används av offentlig sektor här hemma, utan att vare sig Sverige eller EU har varit en del av processen. När en global leverantör lyder under amerikansk lag kan både nationell data och kritisk funktionalitet påverkas, helt utanför våra egna regelverk.
Tredjelandsriskerna kvarstår
En annan central del av föredraget handlade om GDPR och de mekanismer som ofta nämns som lösningen på tredjelandsöverföringar, som SCCs och BCRs. Schrems var här tydlig. Så länge leverantören är amerikansk går FISA 702 före, oavsett avtal, kryptering eller europeiska boundarylösningar.
Det innebär att även de nya ramverken inte förändrar grundrisken.
Samtidigt arbetar hans organisation redan med underlag för ett potentiellt Schrems III. Tidsplanen påverkas av andra rättsprocesser, men Schrems menar att stora delar av dagens EU–USA-överföringar kan komma att prövas igen.
Med andra ord: osäkerheten kommer att leva kvar under lång tid framöver.
Schrems påminner oss om att digital suveränitet handlar om mer än teknik. Det handlar om att kunna garantera stabilitet, tillit och förutsägbarhet i vardagen. Där blir valet av en svensk molntjänst en viktig del av helheten.
Prenumerera gärna på Sitevisions nyhetsbrev
Du får stenkoll på nya funktioner i Sitevision, vad som händer hos oss och en hel bunt med tips. Tanken? Att göra ditt jobb med webben smart, smidigt och skoj.
Taggar
Dela
CMS för
intranät
Öka engagemanget och stärk arbetsplatskulturen med ett socialt intranät.
CMS för
webbplatser
Skapa engagerande webbplatser med den digitala upplevelsen i fokus från start till mål.
