Stöd för GDPR

Den europeiska dataskyddslagen GDPR ställer höga krav på hur data som innehåller personinformation hanteras. E-post innehåller alltid personinformation, både e-postadress och IP-adresser klassifieras som personinformation och dessa går inte att undvika i e-postmeddelanden. Är ni ett företag inom EU då måste ni leva upp till GDRP vilket t.ex. innebär att er e-post måste hanteras så att de lever upp till GDRP. All e-post ni skickar måste i alla led leva upp till GDPR, hur ni själva hanterar er e-postdata, ni ansvarar för hur era underleverantörer hanterar er e-post. Fallerar era underleverantörer är det ni som kommer att stå som ansvarig och eventuella sanktionsavgifter kommer att tilldömmas er.

I korthet går GDPR ut på att personinformation inte får röjas, inte kan röjas, för någon som inte lyder under GDPR. Det går att avtala mellan parter att data får hanteras och att den inte får röjas. Det går till exempel att avtala med ett företag utanför EU att de får hantera era personuppgifter, t.ex. e-post, men att det inte får röja dessa för 3:e part. Men, frågan är om de verkligen kan det, lova att de inte kommer att röja personuppgifter.

USA stiftade efter 9/11 lagen Patriot Act. I ett nötskal ger denna lag rätt för amerikanska myndigheter att avlyssna, ta del av och kräva ut all typ av information, som t.ex. telefonkommunikation och alla typer av datakommunikation, från hela världen, från tjänsteleverantörer som omfattas av USA:s jurisdiktion. Detta är en lag som alla amerikanska företag lyder under, oavsett vart de lagrar data. Amerikanska myndigheter kan t.ex. kräva av Microsoft/Google/Apple/Dropbox, som alla är amerkanska företag, att få ut all information som de har om en person. Gäller det en amerikansk medborgare behöver de ha ett domstolsbeslut för det, gäller det en icke-amerikansk medborgare, typ en svensk, då behövs inga domstolar, då kan de kräva ut det godtyckligt. Och, detta oavsett vart Microsoft/Google/Apple/Dropbox lagrar denna data, det spelar ingen roll om de sparar data på Irland, eller i Tyskland, eller i Sverige, de lyder ändå under amerikansk lag och måste följa den, oavsett.

För att man i europa skulle kunna använda sig av molntjänster av amerikanska företag skapade man något som heter EU–US Privacy Shield. Denna reglerade hur amerikanska företag fick hantera information som lyder under GDRP. Denna tillsammans med "EU:s standardavtalsklausuler" och bindande företagsbestämmelser gjorde att man ansåg att det var legitimt att i europa använda sig av amerikansk molntjänster. Företag och många i offentlig sektor började göra det.

Sommaren 2020 kom dock ett EU domstolsutslag som ställde allt detta på ända, den så kallade Schrems II domen. Denna dom förklarade användandet av "EU–US Privacy Shield" och standardavtalklausulerna som otillräckliga för att använda sig av amerikanska molntjänster. Domen var omedelbar, ingen respitperiod, den började gälla omedelbart sommaren 2020. I praktiken innebär det att företag inom EU inte kan använda amerikanska molntjänster om man vill leva upp till GDPR. Detta visas också av ett domstolsutslag nyligen där ett tyskt företag fälldes för att de använt det amerikanska "Mailchimp" för sina nyhetsbrev, som skickas med e-post. Det är till och med så att det anses att "Google Analytics" anses bryta mot GDPR. Flera svenska bolag har blivit anmälda efter "Schrems II" domen, för att deras webbplatser inte lever upp till GDPR, bland annat cdon.fi, synonymer.se, familjeliv.se, coop.se, di.se och tele2.se.

I eftermälet av "Schems II" domen har EU kommit ut med ett förtydligande, pressrelease 2021-05-20, genom de nya uppförandekoderna EU CLOUD CODE OF CONDUCT, GDPR Art 40,41. I ett nötskal säger denna:

EDPB’s REKOMMENDATIONER KRING SCHREMS II

”EDPB är mycket medveten om effekterna av Schrems II-beslutet för tusentals EU-företag och det viktiga ansvar det lägger på dataexportörerna. EDPB hoppas att dessa rekommendationer kan hjälpa dataexportörer att identifiera och genomföra effektiva kompletterande åtgärder där de behövs.”

EDPB-ordförande, Andrea Jelinek

I praktiken är det omöjligt att genomföra de kompletterande åtgärder som nu anges. De kan möjligen utföras för enskilda unika informationssystem som är 100% affärskritiska för ett företag, men att utföra dessa åtgärder på bred front, för t.ex. e-post, är inte (ekonomiskt) görligt. Man kan också skönja en politisk agenda från våra eu-politiker, udden är riktad mot USA och dess dominerande it-företag, och tanken som kan skönjas är att man vill se, och stödja, europeiska alternativ till de amerikanska, som till exempel GAIA X, den EU federerade IT-infrastrukturen.

Så, vad betyder då allt detta? Jo, att använda amerikanska molntjänster är vanskligt ur ett GDPR perspektiv och just den frågan kommer EU knappast att lösa i närtid då politiska incitament för det saknas.

Vad gäller då våra e-postjänster?

Alla våra e-posttjänster lagrar data inom EU och data lagras i en infrastruktur som ägs av europeiska företag. De datacenters som vi använder oss av ägs alla av europeiska (svenska och tyska) företag. All e-post lagras där. Backup av e-post lagras på samma sätt, dessutom krypterat. E-post som skickas inom eu transferas aldrig utanför eu, om inte mottagaren har satt upp det så. Vissa tilläggstjänster ägs av amerikanska bolag och vi är då tydliga med det.

Använder ni Microsoft Office 365 idag, då kan ni istället använda er av vår Exchange tjänst. Infrastrukturen för denna ägs och driftas av ett svenskt företag. Den är dyrare än O365, men ni faller inte per definition igenom pga GDPR där. Har ni inte behov av en så avancerad tjänst som MS Exhange/Outlook, då rekommenderar vi våra enkla e-postplaner. Dessa finns i en infrastruktur som ägs och hanteras av ett tyskt system och driftas av oss, ett svenskt företag.