En saga om molnet:
CLOUD Act, Privacy Shield & Schrems II

Följ med på en episk historia genom GDPR, CLOUD Act, Privacy Shield och Schrems II. I "En saga om molnet" kan du läsa om hur kryptering skyddar dig mot CLOUD Act i molnet.

Varför är molnet så attraktivt? Kort och gott: Det är smidigt. Det sparar pengar på IT-resurser, det är mer tillgängligt, du slipper underhåll av servrar, det underlättar samarbete inom er organisation – ja, det finns många fördelar med att existera i molnet. Efter att Schrems II-domen fastslog att Privacy Shield inte längre utgjorde en adekvat skyddsnivå för att upprätthålla GDPR, känner sig många dock osäkra när det kommer till molnet.

Den största anledningen till domens utslag var den amerikanska lagen CLOUD Act. Denna tillåter amerikanska myndigheter att få tillgång till data som lagras i USA-baserade molntjänster. Detta står i direkt kontrast till GDPR som värnar om individers integritet.

Säkerhet är viktigt och bör vara första prioritet för alla organisationer. Samtidigt går det inte att undgå att Schrems II-domen saktade ner digitaliseringen för många europeiska organisationer. Därmed har fler nya frågor väckts: Går det existera i molnet på ett säkert sätt? Vad är CLOUD Act och kan ett krypterat dataskydd hålla personuppgifter säkra från amerikanska myndigheter? I detta whitepaper diskuterar vi just detta.

En saga om molnet

Vad är Schrems II? Hur påverkar Cloud Act lagring av data i molnet? Vad händer nu när Privacy Shield inte längre är en tillräcklig grund för att lagra data i amerikanska molntjänster? Det är många frågor som kretsar kring molnet – låt oss därför börja med en liten historielektion där vi reder ut tidslinjen. 

Det var en gång... Schrems I

Max Schrems

Max Schrems. Bron: The Irish Times

Maximilian Schrems är en österrikisk advokat och aktivist som länge har granskat Facebooks datahantering. Som du säkert vet är Facebook ett amerikanskt företag, men deras europeiska huvudkvarter ligger på Irland. Därför överlämnade Facebook tidigare data obehindrat mellan just Irland och USA. Under 2013 bevisade samtidigt visselblåsaren Edward Snowden att Facebook var involverade i USA:s PRISM mass surveilance program.

Schrems menade att detta massövervakningssystem stred emot EU:s datalagar och därför anmälde han Facebook till den irländska dataskyddsmyndigheten under samma år. 

Rättsfallet hamnade till slut i EU-domstolen och Schrems fick rätt. Avtalet Safe Harbor, som använts fram tills dess för transatlantisk dataöverföring, utgjorde inte ett tillräckligt högt skydd för att data skulle kunna fortsätta att delas på detta sätt. Domen kom att kallas Schrems I efter den österrikiske advokaten och snipp snapp snut så var den delen av sagan slut.


Schrems II: Privacy Shield och Cloud Act 

Vad är väl en saga utan en uppföljare? Låt oss prata om del två i historien – Schrems II: Återkomsten. Där vi avslutade del ett, upphävdes avtalet Safe Harbor och i dess ställe skapades handelsavtalet Privacy Shield. Detta var en mekanism för självcertifiering som innebar att amerikanska företag kunde intyga att de uppfyllde vissa krav, genom att anmäla sig till det amerikanska handelsdepartementet.

EU-kommissionen hade tidigare beslutat att Privacy Shield utgjorde en adekvat skyddsnivå för att behandla personuppgifter. Under sommaren 2020 omprövades dock avtalet efter att Schrems återigen gjort en anmälan. Han menade att Privacy Shield inte var ett bättre skydd än Safe Harbor.

Domstolen dömde i Schrems fördel även i detta fall. Anledningen var till stor del den amerikanska lagen CLOUD Act som infördes 2018. Denna tillåter USA:s myndigheter att begära ut data som är lagrade hos amerikanska molnleverantörer, vilket strider mot GDPR. 

Denna dom fick då namnet C-311/18, men är mer känd som Schrems II... Även om  vi personligen tycker att Schrems II: Återkomsten hade haft en liten mer dramatisk klang.

gavel SW1 (1)

Konsekvenserna?

Schrems II saktade ner digitaliseringen för de organisationer som redan hade gått över till molnet eller som planerade att göra det. Frågan blev då, går det att vara GDPR-följsam i molnet eller måste vi lagra våra data på ett annat sätt?

Vad säger European Data Protection Board?

Med allt detta i åtanke, vad säger egentligen GDPR kring lagring av data i ett tredje land eller hos en amerikansk molnleverantör? European Data Protection Board (EDPB) har satt upp ett antal kriterier för hur detta ska se ut: 

1. Personliga uppgifter måste krypteras innan de skickas.

2. Krypteringsalgoritmen som används måste hålla en hög standard och vara robust nog för att kunna stå emot krypteringanalyser från myndigheter i mottagarlandet. 

3. Krypteringens styrka måste ta hänsyn till under vilken tidsperiod de krypterade uppgifternas sekretess ska bevaras.

4. Krypteringsalgoritmen måste implementeras fläckfritt av regelbundet underhållen mjukvara och verifieras av, till exempel, certifiering.

5. Krypteringsnycklarna måste hanteras på ett tillförlitligt sätt.

6. Endast dataexportören och behöriga mottagare får ha tillgång till krypteringsnycklarna. De måste befinna sig inom EES eller i ett tredje land där en tillräckligt hög skyddsnivå upprätthålls, enligt artikel 45 i GDPR.

lock (1)

Perfekt – klart och tydligt 

Hur förhåller vi oss då till dessa regler? Svaret ligger, som EDPB nämner, i krypteringen och hanteringen av krypteringsnycklar.

Skyddar krypterade dataskydd mot CLOUD Act?

Säker kommunikation utan kryptering fungerar helt enkelt inte. Varför? Utan kryptering är din information öppen för vem som helst. Testar man handtaget kommer man att komma in och se alla dina värdefulla data utan problem.

Syftet med kryptering är att koda din information på ett sätt som gör att endast behöriga har tillgång. Det låter rätt enkelt eller hur? Det blir dock lite mer komplicerat – anledningen är att det finns många olika typer av kryptering. För att kunna följa GDPR är det därför viktigt att ditt dataskydd använder sig av kryptering som är effektivt mot CLOUD Act.

Cloud Act

CLOUD Act är en lag som innebär att amerikanska myndigheter (med brottsmisstanke och en husrannsakansorder) har rätt att komma åt dina data om du använder dig av en molnleverantör som är baserad i USA. Detta gäller oberoende av vart data faktiskt lagras. Om din molnleverantör är ett amerikanskt baserat företag, spelar det ingen roll om informationen existerar i Europa. För att skydda er mot CLOUD Act behöver ni därför ett dataskydd som använder sig av kryptering med zero knowledge.

Zero Knowledge

"Jaha, men vad betyder det?" tänker du då. Zero knowledge innebär att INGEN, förutom den behöriga mottagaren, har tillgång till kryptonycklarna – inte ens leverantören själv. 

 

Zero knowledge-kryptering förhindrar alltså inte en tredje part från att få tillgång till dina data. Däremot hindrar den en tredje part från att få tillgång till informationen på ett meningsfullt sätt: Allt de kan se är krypterade uppgifter eftersom de inte har tillgång till kryptonycklarna.

 

Med andra ord: Med zero knowledge-kryptering kan amerikanska myndigheter fortfarande få tillgång till er information, men de kan inte läsa av den. 

Skyddar därför krypterade dataskydd mot CLOUD Act?

Vi låter GDPR- och datasäkerhetsexperten Alexander Hanff summera saken.

"Absolut, ur det perspektiv att det (dataskyddet) gör datan oläslig eller värdelös."

Cloud Act vs GDPR: Kan man vara GDPR-följsam i molnet?

Innebär Schrems II att organisationer som använder sig av amerikanska molnleverantörer (Microsoft, Amazon, Google etc.) bryter mot GDPR? Vad kan du lagra i molnet? Är det möjligt att få det bästa av två världar: fördelarna med molnlösningar och tillräcklig informationssäkerhet för att uppfylla GDPR?

Se vårt webinar med GDPR- och dataskyddsexperten Alexander Hanff.

Se vårt webinar GRATIS
Webinar - CloudAct vs GdPR - June 2021-thumb

Vad ska jag tänka på när jag väljer ett krypterat dataskydd?

Låt oss göra det enkelt för oss och summera saken. Molnet erbjuder ett förenklat, billigare och smidigare sätt att arbeta på, men det är viktigt att ni använder det på ett säkert sätt som följer GDPR. Därför behöver ni ett krypterat dataskydd. När ni väljer bland leverantörer för dessa, tänk då på:

Medvetenhet

Fråga leverantören hur de hanterar sina kryptonycklar. Vad för typ av kryptering använder de sig av? Är de medvetna om eventuella framtida risker med denna typ av kryptering? Hänger de med i utvecklingen av teknologin?

Hantering av kryptonycklar

Din leverantör bör använda sig av stark kryptering med zero knowledge. På detta sätt kan ingen förutom behöriga ta del av era data på ett meningsfullt sätt. Därmed är ni både GDPR-följsamma och skyddade från CLOUD Act. 

Vad ska jag tänka på när jag väljer ett krypterat dataskydd?

Smartlockr och kryptering

Sist, men absolut inte minst, kommer vi till Smartlockr. Hur hanterar vi era data? SmartLockrs lösning för säker e-post använder sig av end-to-end-kryptering med zero knowledge.

Product

End-to-end-kryptering

När ni skickar säker e-post med Smartlockr är HELA e-postmeddelandet krypterat: Det vill säga, både meddelandet i sig och eventuella bilagor. Detta gäller genom hela processen. 

Tidigare var det vanligt att fokus låg på att säkra uppkopplingen mellan sändaren och mottagaren, när det kom till säker kommunikation. Detta innebar att om någon fick tillgång till e-postmeddelandet under själva sändingsfasen, fanns det en stor risk att informationen i meddelandet kunde exponeras.  End-to-end-kryptering betyder att hela meddelandet är krypterat innan, under tiden och efter att du har skickat det.

Zero knowledge

Som tidigare diskuterat innebär zero knowledge att kryptonycklarna förvaras separat från leverantören. Endast de behöriga mottagarna har tillgång till nycklarna. Detta betyder att om en tredje part skulle få tillgång till ditt e-postmeddelande eller en bilaga, är informationen inte användbar för dem. Detta eftersom datan är krypterad och därmed oläslig. 

encryption

Upplev hur enkelt säker e-post kan vara

Få en gratis konsultation
  • Följer integritetslagar som dataskyddsförordningen (GDPR)
  • Användarvänlig från början till slut: Ett dataskydd som faktiskt används!
  • Höj medvetenheten kring datasäkerhet bland dina kollegor och gör dem till ditt främsta försvar mot dataläckor.
  • Helt integrerat med er arbetsprocess och arbetsmiljö. Fungerar på stationära och bärbara datorer, surfplattor och mobiltelefoner.
  • Behåll kontrollen över er data! Blockera när som helst ett e-postmeddelande, mottagare och/eller bilagor om du behöver.