Hur förblir LoopMe GDPR-kompatibel efter Schrems II-domen?
LoopMe-systemet är en molntjänst som körs via Amazon Web Services (AWS) servrar, placerade i Sverige. Ibland får vi frågor om det verkligen är förenligt med GDPR att använda sig av en underleverantör med huvudkontor i USA. I denna artikel kommer vi därför beskriva hur vi arbetar för att efterleva kraven enligt GDPR, även efter Schrems II-domen.
Den 16 juli 2020 utfärdade Europeiska unionens domstol (CJEU) Schrems II-domen med betydande konsekvenser för användning av molntjänster. Samtliga globala molntjänster, även LoopMe, blev tvungna att omvärdera hela sin uppsättning av funktioner för att hantera integritetsfrågor då Privacy Shield-ramverket plötsligt blev ogiltigt. Det är viktigt att påpeka att det är nästan omöjligt att leverera skalbara digitala produkter internationellt till ett konkurrenskraftigt pris om du inte anammar moderna molntjänster, vilket oundvikligen kommer att resultera i att du behöver anlita leverantörer som Amazon, Microsoft eller Google.
Slutet på Privacy Shield och upprättande av standardavtalsklausuler (SCC)
EU-domstolens dom ogiltigförklarade plötsligt de tidigare gällande Privacy Shield-avtalet och fastställde att ev. överföring av personuppgifter till en leverantör med säte i USA var olaglig om inte en giltig Standard Contractual Clause (SCC) fanns på plats.
SCC är en uppsättning standardbestämmelser definierade och godkända av EU-kommissionen som kan användas för att möjliggöra överföring av personuppgifter mellan molntjänstleverantör och dess underleverantörer.
När SCC trädde i kraft rekommenderade European Data Protection Board (EDPB) att molntjänstleverantörer inför kompletterande säkerhetsåtgärder. Den viktigaste säkerhetsåtgärden är att kryptera all personlig identifierbar information (PII).
Våra åtgärder för att säkerställa LoopMe's efterlevnad av GDPR (före Schrems II-domen)
I vårt förberedande arbete inför att GDPR skulle träda i kraft den 25 maj 2018 vidtog LoopMe-teamet en rad åtgärder för att möta de nya kraven, som t ex:
- att varje gruppägare anger syftet med att använda LoopMe och hur länge looparna kommer att sparas i molnet
- att gruppägare kan exportera samtliga loopar, kommentarer och metadata ur en LoopMe-grupp i form av en CSV-fil
- att gruppägare enkelt kan ta bort medlemmar ur en grupp och att medlemmens samtliga loopar raderas automatiskt
- att varje användare alltid kan ta del av vår sekretesspolicy samt de lagringsinställningar som gruppägaren har angett.
- att varje användare kan se vilken data som vi samlat om hen som LoopMe-användare
- att varje användare kan få hjälp att exportera all data som är kopplad till sitt användarkonto i en CSV-fil när som helst, efter förfrågan
- att varje användare när som helst kan uppdatera sina LoopMe-kontoinställningar för att korrigera sin kontoinformation
- att varje användare kan radera sitt konto helt och hållet och därmed radera all data som är kopplad till användarkontot
Vill du läsa mer om våra åtgärder, läs mer här.
Våra åtgärder för att säkerställa LoopMe's efterlevnad av GDPR (efter Schrems II-domen)
LoopMe-teamet har gjort en hel del för att hantera den nya situationen som uppstod i samband med domstolsbeslutet (Schrems II, 16 juli 2020) för att fortsättningsvis kunna använda oss av servrar ägda av Amazon Web Services (AWS) och samtidigt kunna säkerställa en efterlevnad av GDPR.
Efter EU-domstolens dom C-311/18 "Schrems II", samt de efteföljande rekommendationerna från European Data Protection Board (EDPB), genomförde LoopMe-teamet en intern riskbedömning av LoopMes dataflöden samt en åtgärdsplan. Målet var att minska risken för tredje parts åtkomst till data som samlas in och lagras av LoopMe-tjänsten.
Följande skyddsåtgärder har genomförts:
- Vårt Data Processing Agreement (DPA) med Amazon Web Services (AWS) har uppdaterats så att det möter de nya kraven
- Vi har infört kryptering av samtliga data hanterade av AWS (AWS)
- Samtliga data hålls krypterade både under överföring och vila (lagring)
Vår bedömning är att vi nu uppfyller alla de krav som ställs på en molnleverantör.
Vi har valt Amazon som leverantör av serverdrift då vi bedömer att detta ger den allra säkraste och stabilaste driftformen för våra kunder. Amazon är idag internationellt ledande inom serverdrift och håller en mycket hög nivå när det gäller det så viktiga stabilitets- och säkerhetsarbetet.
Personuppgifter sparade i LoopMe överförs aldrig till USA, inte i något användarfall. Våra AWS-servrar har redan från start befunnit sig i Europa (i Tyskland under 2016 - 2018 och i Sverige sedan hösten 2018). Alla personuppgifter sparas idag i Sverige i krypterad form.
Att arbeta med LoopMe, trots amerikanskägda servrar placerade i Sverige, är fortfarande kompatibelt med GDPR och Schrems II-domen - med rätt SCC och rätt kompletterande åtgärder på plats.
Nya rättspraxis från europeiska domstolar, såväl som riktlinjer från EU-institutioner, bekräftar att våra kompletterande åtgärder uppfyller säkerhetströskeln som införs i EU:s allmänna dataskyddsförordning
Frågor och svar
F: Går det fortfarande att säkerställa full överensstämmelse med GDPR?
S: Ja absolut!
LoopMe’s underleverantör Amazon Web Services (AWS) erbjuder ett GDPR-kompatibelt datahanteringsavtal (GDPR DPA), som inkluderar de standardavtalsklausuler som krävs för att möjliggöra överföring av data utanför Europa. Detta avtal ingår i AWS Servicevillkor. Dokumentet beskriver standardavtalsklausulernas omfattning och format mellan LoopMe och AWS webbtjänster. Följaktligen kan vi förse våra kunder med dokument som bevisar en GDPR-kompatibel dataöverföring
Dessutom, även om AWS är föremål för amerikansk lag, lagrar LoopMe enbart krypterade data. Vi har en försäkran om att AWS inte kommer att följa förfrågningar som kräver att de lämnar över klienters data.
Dessutom vidtar AWS följande kompletterande organisatoriska åtgärder för att förhindra kundinnehåll från att nås av myndigheter:
- AWS ifrågasätter brottsbekämpande förfrågningar om kundinnehåll från statliga organ, oavsett om det är inom eller utanför EES, där begäran strider mot EU-lagstiftningen, är övergripande, eller där AWS på annat sätt har lämpliga skäl att göra det.
- AWS förbinder sig också att om, trots sina utmaningar, AWS någonsin tvingas av en giltig och bindande juridisk begäran att avslöja kundinnehåll, kommer AWS endast att avslöja den minsta mängd kundinnehåll som krävs för att tillgodose begäran.
- AWS kommer inte att avslöja kundinnehåll såvida det inte krävs för att följa lagen eller en bindande order från ett statligt organ.
- Om ett statligt organ skickar AWS en begäran om kundinnehåll, kommer AWS att försöka omdirigera det statliga organet för att begära detta kundinnehåll direkt från kunden.
- Slutligen, om AWS tvingas avslöja kundinnehåll till ett statligt organ, kommer AWS att ge kunderna rimligt meddelande om kravet att låta kunden begära ett skyddsbeslut eller andra lämpliga åtgärder såvida inte AWS är lagligt förbjudet att göra det.
I LoopMe används alltid kryptering under överföring och kryptering i vila för alla relevanta AWS-tjänster. Vår kommersiella relation med AWS är föremål för de strängaste reglerna vad gäller säkerhet och dataskydd, vilket säkerställer de tillräckliga skyddsåtgärder som krävs enligt lag.
F: Hur kan du säkerställa att de kompletterande åtgärderna är tillräckliga för att säkerställa efterlevnad och skydd enligt GDPR-standarder?
S: Vi har faktiskt fått ett domstolsbeslut!
Det finns en dom från 2021 från Frankrikes högsta administrativa domstol, där ett liknande fall av lagring av personuppgifter genom AWS befanns vara tillräckligt skyddande enligt EU:s allmänna dataskyddsförordningsstandarder. Domen stöder vår bedömning att de åtgärder som genomförts av LoopMe verkligen uppfyller säkerhetströskeln som införts på europeisk nivå. Det franska domstolsbeslutet tar upp juridiska och tekniska skyddsåtgärder liknande dem som implementerats av LoopMe-teamet.
Nyckelfaktorerna var följande:
- AWS erbjöd en skriftlig garanti att den skulle ifrågasätta alla allmänna åtkomstbegäranden från en offentlig myndighet – samma garanti som vi har med AWS.
- Data som hanteras inom AWS var krypterad
- Inga särskilda (känsliga) kategoridata (i detta fall: hälsodata) behandlades. LoopMe tillåter inte insamling eller bearbetning av någon känslig kategoridata.
- Data raderades efter en viss tid. Vi följer våra kunders lagringsinstruktioner på klientdata, dvs varje gruppägare anger hur länge datan ska sparas inom varje LoopMe grupp.
Nytt ramverk för transatlantiska dataflöden mellan EU och USA är på gång: Privacy Shield 2.0?
Den 25 mars 2022 tillkännagavs ett efterlängtat avtal om dataöverföringar mellan EU och USA. Även om inga detaljer har släppts när det gäller innehållet eller konsekvenserna av ett sådant dataöverföringsavtal mellan EU och USA, förväntas det leda till färre hinder för transatlantiska dataflöden och därmed underlätta den datatrafik som är så grundläggande idag.
Så snart någon detalj eller ett första utkast publiceras i frågan kommer vi att informera våra kunder i en ny artikel här på LoopMe-supporten!