ARBETSOMRÅDEN

VEM ÄR JAG?

RÄTTSANALYSER

KUL FAKTA

j

skriven av joakim

}

06.02.2021

“Kommer min patientdata vara med i en terroristförfrågan?”

Det var den frågan som Mathias Ekman på Microsoft ställde rent hypotetiskt under ett seminarium om hur Molnet ska kunna användas inom sjukvården.

Först kan vi inleda med att säga att jag inte tror något illa om Mathias Ekman personligen. Hans syn på dataöverföring till USA grundar sig säkerligen på en frustration där han upplever att regelverket idag inte är anpassat till hur verkligheten ser ut. Främst verkar han dock vara trött på alla förbannade jurister som sätter käppar i hjulen.

Man ska akta sig för jurister som bedömer nånting.

Ekmans agg gentemot mitt skrå kan nog på sätt och vis förstås. Juristens lott i livet är ofta att agera stoppkloss, att bromsa upp innan beslut som riskerar att skada verksamheten fattas. Sen Schrems II har de flesta jurister jag känner till inom dataskydd enats om att dataöverföring till USA inte kan eller får göras hursomhelst.

Samtidigt hävdar molntjänsteleverantörer som Microsoft, Amazon och Google att de ändå värnar om individens personliga integritet. Faktum är att Microsofts policy sen dag ett varit att förminska betydelsen av Schrems II. Eller som Ekman uttrycker det: situationen är polariserad och Schrems sätter vissa saker på sin spets.

Juristerna har bedömt något igen och nu är läget polariserat.

För er som inte vet så kan jag berätta att Schrems II är ett avgörande från EU-domstolen som kom förra sommaren. Rättsfallet döptes efter den österrikiske juristen och dataskyddsaktivisten Max Schrems, som för tillfället driver en kampanj mot kakor.

I korthet bestämde EU-domstolen följande i Schrems II:

  1. USA är ett osäkert land att föra över personuppgifter till (det är troligen det här som är den främsta “legala situationen” som Ekman pratar om).

Det här är såklart ett enormt problem eftersom överföringar mellan USA och EU sker konstant. Men även om jag, du eller ett bolag inte aktivt för över uppgifter till USA så tar sig amerikanska underrättelsetjänster friheten att titta på data som behandlas av amerikanska bolag eller dotterbolag till amerikanska bolag. Det här gör de med stöd av en lagstiftning som kallas FISA 702 genom ett övervakningsprogram som kallas PRISM. Microsoft har varit anslutna sedan november 2007.

Det var det här Snowden pratade om innan han flyttade till Moskva.

Just FISA 702 ger den amerikanska underrättelsetjänsten NSA rätt att övervaka alla icke-amerikanska medborgare utanför USA. Det vill säga hela resten av världen. Det kan de också göra eftersom internetet finns över nästan hela världen. Med risk för att häda skulle jag gissa att internetet har blivit större än Beatles, och de i sin tur var ju större än Jesus (som bara finns i en del av världen).

Själva syftet med systemet är att skydda USA från hot mot den nationella säkerheten eller som Ekman säger:

Terrorister är i vart fall inte jurister.

Men vänta nu…

Läste inte jag på SVT.se häromdagen att även svenska politiker blir systematiskt övervakade av den amerikanska underrättelsetjänsten? Men Ekman sa väl att man slipper NSA om man inte är terrorist? Kommer nästa stora nyhet om politiker som begår brott handla om att exempelvis Annie Lööf (som passande nog är jurist!) kapar ett plan? Ett stort steg från förtal.

Eller räcker det inte med att inte vara terrorist? Kan det vara så att vi, på grund av att det inte ens krävs ett domstolsbeslut om att begära informationen under FISA 702, aldrig kommer kunna få veta vem som övervakas av USA, eller vilka kriterier som används för att fastställa att övervakning får göras? Kan det även vara så att den som blir övervakad inte har några som helst rättigheter mot den övervakande myndigheten? Det kom i varje fall EU-domstolen fram till i Schrems II. De kom även fram till att det här inte var så bra.

Din patientdata kan alltså bli granskad av NSA oavsett vem du är Mathias, och du kommer aldrig få veta varför eller vad uppgifterna används till. Även om du skulle få veta har du inga rättigheter.

Verkligheten ska nog anpassas efter hur regelverket ser ut, snarare än tvärt om.

Videoklippen är från detta seminarium på Vitaliskonferensen 2021 och klippta av mig.
Bilden är från Wikimedia Commons.

PS: Executive Order 12333 ligger bakom avlyssningen av det danska fibernätverket.

Boka en kostnadsfri juridisk utvärdering.

Relaterade blogginlägg

Borde vi ha ett Dataskyddsombud?

Borde vi ha ett Dataskyddsombud?

Rollen som Dataskyddsombud är lite speciell. Det kortaste sättet att beskriva rollen (som jag kan komma på) är att det är som att vara revisor, fast med GDPR. En längre beskrivning av tjänsten kan...

läs mer

Vilket ansvar hade Coop?

Det har varit mycket nyheter om Coop på sista tiden. Vårt kära kooperativ som säljer maten marginellt dyrare än ICA har nämligen blivit utsatt för en ransomwareattack! Följden har blivit att...

läs mer

Öppna Skolplattformen och GDPR

För någon vecka sen läste jag en artikel i Ny Teknik där det visar sig att Öppna Skolplattformen nu blivit polisanmälda för dataintrång av utbildningsnämnden i Stockholms Stad. För den som inte vet...

läs mer

IMY och klagomål

IMY har ett nytt fokus Den 22 februari 2021, släppte Integritetsskyddsmyndigheten (IMY) sin årsrapport för 2020. I den konstaterar de att de kommer byta fokus när det gäller klagomål. Istället för...

läs mer

Kameror, eller var får man egentligen Filma?

Det sällsamma fallet med Apotea och HM Frågor som gäller kameraövervakning brukar jag få lite titt som tätt. Nu i torsdags förra veckan när dataföreningen väst hade lunchdiskussion med mig som gäst...

läs mer