Uppdatering kring adekvansbeslutet i en turbulent tid

Promemorior

Säkerhet

Ledning/Styrning

Juridik

2025

ES2025-18

Beslutet om adekvat skyddsnivå från juni 2023, tillåter själva tredjelandsöverföringen av personuppgifter mellan EU och USA. Det löser inte nödvändigtvis problematiken med utländska myndigheters tillgång till uppgifter med stöd av extraterritoriell lagstiftning även när uppgifterna behandlas i EU/EES.

Sammanfattning

Ett beslut om adekvat skyddsnivå fortsätter att gälla tills det återkallas eller
upphävs av EU-kommissionen eller ogiltigförklaras av EU-domstolen. I ”Adekvansbeslut och ny sekretessbrytande bestämmelse - Grönt ljus för amerikanska
molntjänster?” som gavs ut av eSams medlemmar 2023, påmindes om den nya sekretessbrytande bestämmelsen i 10 kap. 2 a § offentlighets- och sekretesslagen (2009:400, OSL).

Tidigare fanns osäkerhet kring om uppgifter som hanterades av externa leverantörer (t.ex. molntjänster) ansågs vara "röjda" enligt OSL. Den nya bestämmelsen tydliggör att sådana uppgifter ska anses röjda, vilket innebär att sekretess gäller, men att det nu finns en uttrycklig sekretessbrytande regel som kan tillämpas. Bestämmelsens tillämplighet förutsätter att mottagaren enbart tekniskt bearbetar eller tekniskt lagrar uppgifterna, för den utlämnande myndighetens räkning. Bestämmelsen förutsätter också att det inte anses olämpligt att ett utlämnande sker.

Denna olämplighetsbedömning ska inbegripa en allsidig prövning av alla omständigheter som är relevanta i det enskilda fallet.

Det kan finnas skäl för svenska myndigheter att, med utgångspunkt i sin egen analys, överväga juridiska och säkerhetsmässiga faktorer kopplade till användningen av amerikanska molntjänster.

Detta bör myndigheter göra nu

Förändringstakten i amerikanska molntjänster är oftast omfattande och snabb, vilket
särskilt gäller

  • ägarförhållanden,
  • underleverantörer,
  • funktioner,
  • underliggande infrastruktur och dataflöden samt
  • avtal och villkor.

Myndigheten behöver säkerställa att den har förutsättningar att hålla sig uppdaterad kring förändringar som sker enligt uppräknade punkter. Detta görs med fördel med ett
tvärfunktionellt arbetssätt där ett team behöver bestå av olika expertkompetenser som t.ex. verksamhetskompetens, it-förvaltning, it-arkitektur, informationssäkerhet, cybersäkerhet, juridik m.m.

Myndigheten bör ta fram en åtgärdsplan där myndigheten bör inventera vilka leverantörer och tjänster som används och utifrån det, eventuellt uppdatera befintliga risk- och konsekvensanalyser samt justera sin plan för verksamhetskontinuitet. Genom en uppdaterad åtgärdsplan har myndigheten bättre förutsättningar att agera på/vid förändringar. På myndigheten kan detta leda till flera olika åtgärder och planerade byten av it-lösningar. Mycket av arbetet kan med fördel göras i samverkan med andra myndigheter.

Publicerad: Senast uppdaterad:
 Skriv ut
Kontakt