Interaktiv Säkerhets guider

Därför ska du hosta din visselblåsarlösning i Sverige

När det kommer till visselblåsning är en av grundstenarna trovärdighet. Man hanterar ofta känslig information, både uppgifter om anställda och om företaget. Frågan om skyddet för den enskildes integritet har blivit ännu mera aktuellt i och med dataskyddsförordningen GDPR samt ogiltigförklarandet av Privacy Shield (mer om detta nedan). Externa aktörer får under inga omständigheter kunna begära ut informationen i visselblåsarärenden. Därför är det viktigare än någonsin att se till att hosta din visselblåsarlösning i Sverige, eller annat land inom EU/EES.

I den här artikeln ska vi gå igenom vad Privacy Shield och Schrems II-domen inneburit för svenska och europeiska företag, och vad som är viktigt att tänka på när man i Sverige väljer en visselblåsarlösning som ska hantera och lagra personuppgifter.

Vilken data räknar man som personuppgifter?

Som personuppgifter räknar man all information om en identifierad eller identifierbar person, bland annat:

  • Namn och adress
  • Id-kortsnummer och passnummer
  • Inkomst och löneuppgifter
  • Kulturell profil
  • IP-adress

Som en särskilt skyddsvärd kategori av personuppgifter räknar man bland annat uppgifter om: Etnicitet, sexualitet, politiska och religiösa övertygelser, hälso- och sjukvårdsuppgifter, genetiska och biometriska uppgifter samt information om sociala förhållanden och sådant som rör någons privata sfär.

Genom dataskyddsförordningen GDPR har medlemsstaterna inom EU/EES-området samma skydd för personuppgifter. Därför kan man fritt överföra personuppgifter inom området. Eftersom det inte finns motsvarande regler utanför EU/EES är reglerna för att överföra personuppgifter till tredje land mycket strikta och det är tillåtet endast i vissa specifika fall.

Vad innebär Privacy Shield?

Privacy Shield är en självcertifiering i USA där amerikanska företag kan intyga att de uppfyller vissa krav. EU har tidigare godkänt att Privacy Shield-ramverket säkerställer en adekvat skyddsnivå och utgör en giltig grund för överföring av personuppgifter till USA.

Men vid en närmare granskning av EU-domstolen (Schrems II) erbjöd dock Privacy Shield inte ett tillräckligt rättsskydd mot övervaknings- och underrättelseprogram. Dessa möjliggör för amerikanska myndigheter att begära åtkomst till EU-medborgarnas personuppgifter.

Vad är Schrems II och hur påverkar domen företag i Sverige?

Tidigare har europeiska företag kunnat använda till exempel amerikanska molntjänster utan att behöva ta ställning till att de personuppgifter man samlade in via tjänsterna hamnade hos företag i USA. Det var möjligt genom överenskommelsen Privacy Shield som amerikanska företag kunde ansluta sig till.

Men i juli 2020 slog EU-domstolen fast att Privacy Shield-avtalet mellan EU och USA inte ger ett tillräckligt skydd. Domen kom att kallas Schrems II efter den österrikiske dataskyddsaktivisten Maximilian Schrems som väckte talan i ärendet till Irlands dataskyddsmyndighet. Schrems godkände inte att Facebook överförde hans personuppgifter till USA, där uppgifterna inte hade tillräckligt skydd mot underrättelseverksamhet. Domen slog fast att man ska tillämpa EU:s dataskyddsförordning också när kommersiella aktörer överför personuppgifter till tredje land. Därmed blev det olagligt att föra över personuppgifter till USA eller något annat tredjeland om det inte finns grund för överföringen i GDPR.

Fram tills dess hade över 5 000 amerikanska företag, bland annat Facebook, använt sig av Privacy Shield för att kunna ta emot personuppgifter från EU.

Vad räknas som överföring till ”tredje land”?

Alla länder utanför EU/EES-området räknar man i det här sammanhanget som tredje land. Som huvudregel får man inte föra över personuppgifter till tredje land. Hit ingår också att anlita en leverantör i tredje land för att behandla eller lagra personuppgifter.

Skyddet för europeiska medborgare enligt GDPR ska alltså gälla även när man överför personuppgifter till länder utanför EU. Din organisation får endast exportera uppgifter till tredje land om något av följande kriterier är uppfyllt:

  • Man har säkerställt att landet har tillräckligt bra uppgiftsskydd enligt EU:s bedömning.
  • Ni ordnar själva tillräckliga garantier, till exempel specifika bestämmelser i avtalet med en utomeuropeisk part (se nedan angående EU:s standardavtalsklausuler).
  • Ni har särskilda skäl/undantag – till exempel att den berörda personen har gett sitt samtycke.

EU:s standardavtalsklausuler

I Schrems II- domen betonar man att skyddsnivån i GDPR för fysiska personer inte får undergrävas. Därför får man inte överföra personuppgifter till länder som man inte anser har en skyddsnivå för personuppgifter likvärdig med den som EU garanterar sina medborgare.  Överföring är tillåtet endast i det fall mottagarlandet har motsvarande skyddsnivå och man vidtar tillräckliga skyddsåtgärder som till exempel standardavtalsklausuler.

I juni 2021 antog EU-kommissionen en ny uppsättning standardavtalsklausuler som ska göra det lättare att följa Schrems II-domen. Dock kan man behöva komplettera klausulerna med ytterligare skyddsåtgärder för att leva upp till kraven. Dessa är att i allt väsentligt upprätthålla samma nivå av skydd för grundläggande fri- och rättigheter som råder inom EU. Detta är något den personuppgiftsansvarige ska avgöra från fall till fall.

Läs mer om överföringar till tredje land hos IMY (svenska integritetsskyddsmyndigheten).

Kan amerikanska bolag behandla personuppgifter på europeiska servrar?

Förutom det uppenbart opraktiska och olönsamma i att skapa två parallella strukturer så är det inte någon garanti för att de amerikanska bolagen ska kunna kringgå amerikansk lagstiftning. Detta oavsett vad molnbolagen själva hävdar. Stora amerikanska bolag omfattas av FISA (Foreign Intelligence Surveillance Act). Det är en underrättelselag som ger amerikanska myndigheter rätt att kräva ut europeiska personuppgifter även om företagets hårdvara finns på EU-territorium.

Bland annat Brad Smith, juridisk chef på Microsoft, har försäkrat bolagets kunder som använder Azure och Microsoft 365 om att företaget ska efterleva GDPR och behandla samt lagra all data inom EU. Aktivisten Maximilian Schrems har en annan tolkning: All data är fortfarande underordnad FISA-lagen och måste lämnas ut till amerikanska myndigheter när de efterfrågar den.

Även flera svenska leverantörer har tidigare konstaterat att det inte räcker med att servrarna står inom EU:s gränser. Schrems har för övrigt grundat den icke-vinstdrivande organisationen None Of Your Business (Noyb). Organisationen ska agera vakthund vad gäller efterlevnad av GDPR och annan potentiell integritetskränkande databehandling. IMY har också inlett granskningar efter att Noyb lämnat sex klagomål mot svenska företag.

Finns det hållbara långsiktiga lösningar för överföring av personuppgifter?

I dagsläget finns det ingen heltäckande lösning för att på laglig väg behandla personuppgifter i USA eller något annat tredje land. Inte heller standardavtalsklausulerna är tillräckliga i sig. I varje enskilt fall måste personuppgiftsansvariga avgöra om det krävs tekniska eller andra tillägg till klausulerna.

Det finns planer på skapandet av ett europeiskt moln och digitalt ekosystem. Det ska kunna konkurrera med Amazons och Microsofts motsvarigheter, men arbetet ligger ännu i startgroparna. Idag är den bästa lösningen för företag och organisationer som behandlar personuppgifter att välja en europeisk leverantör, som garanterar att man lagrar all data på servrar inom EU/EES och som därtill uppfyller alla övriga krav i GDPR.

Därför ska du hosta din visselblåsarlösning i Sverige

Som vi kan se finns det en risk att dataöverföringen är olaglig om man använder tjänster som lagrar eller skickar personuppgifter till USA (till exempel genom olika molntjänster). Det gäller också om överföringen sker via en underleverantör. Ur integritetsperspektiv är det oroväckande att många tjänster behandlar data på ett sätt som inte garanterar användarnas personliga integritet. Det är viktigt att både offentliga och privata organisationer är medvetna om vilken data man samlar in och vart den tar vägen.

Visselblåsarlösning med lagring av personuppgifter i Sverige – säkerheten är A och O

Om du är osäker på i vilken miljö din tjänsteleverantör hanterar organisationens data behöver ni se över behandlingen, eftersom det inte längre finns en laglig grund för behandling av personuppgifter i tredje land. Det finns många fördelar med att välja en svensk leverantör för hosting, inte minst om man vill vara säker på att uppfylla kraven i dataskyddsförordningen.

Interaktiv Säkerhet har redan länge samarbetat med Glesys kring hosting av visselblåsarlösningar i Sverige. Glesys är ett skandinaviskt bolag med toppmoderna och säkra datacenter i Falkenberg, Stockholm och finländska Uleåborg. Med en certifiering enligt ISO 27001, europastandarden för ledningssystem för informationssäkerhet, visar man att man uppfyller alla säkerhetskrav inom konfidentialitet, riktighet och tillgänglighet, samt aktuella lagar och GDPR.

Interaktiv Säkerhets vision är att leverera det säkraste och mest användarvänliga visselblåsarsystemet på marknaden. Tack vare samarbetet med Glesys kan Interaktiv erbjuda en komplett, säker visselblåsarlösning där alla känsliga data lagras på svenska servrar – i Sverige.

Har du frågor om artikeln eller andra funderingar, kontakta oss så berättar vi gärna mer.

Dela artikeln
INTERAKTIV SÄKERHET GUIDER

Vad vill du läsa om nu…

Gromning på sociala medier: Guide för föräldrar

Som förälder kan du göra en hel del för att förebygga att ditt barn råkar illa ut. Du kan också stärka och hjälpa om barnet blivit utsatt.

Så gör du om du utsätts för trakasserier på sociala medier

Vi har samlat våra bästa tips på vad du ska göra om du utsätts för näthat och trakasserier på sociala medier.

Implementera visselblåsarsystem i Sverige: 6 tips

Läs våra 6 tips om processen med att implementera ett visselblåsarsystem som medarbetarna vågar lita på.

Hur hanterar man näthat och trakasserier?

Rör man sig på nätet idag är det tyvärr vanligt att bli utsatt för det vi med ett samlingsnamn kallar för näthat.

Så kan du ta bort ditt konto på TikTok

Om du känner dig klar med TikTok kan du välja mellan att ta bort ditt konto för alltid eller inaktivera det för en viss tid.

Checklista: Så väljer du ett bra visselblåsarsystem

Läs vår checklista för hur du väljer ett bra externt visselblåsarsystem innan du fattar ditt beslut.

Interaktiv Säkerhet