Det har gått lite drygt två månader sedan EU-kommissionen meddelade att man nu fattat det av många efterlängtade beslutet att godkänna det nya upplägget för dataöverföring till USA, det som fått namnet EU-US Data Privacy Framework.
Formellt fattade kommissionen ett så kallat adekvansbeslut som innebär att den amerikanska hanteringen av persondata nu ligger på en adekvat nivå – det vill säga i stort sett i linje med hur datan hanteras i EU. Detta efter att Biden-administrationen bland annat slagit fast hårdare krav för hur underrättelsemyndigheter ska ges tillgång till data.
Så, innebär adekvansbeslutet att det nu är grönt ljus igen för amerikanska molntjänster, och har myndigheter, kommuner och för all del privata verksamheter börjat gasa upp i molnet igen efter beslutet? Efter att ha lyssnat runt lite blir svaret på de frågorna ett rungande ”nja”.
Som dataskyddsexperten Caroline Olstedt Carlström konstaterade i en CS-intervju redan i somras är det förvisso fullt lagligt att överföra personuppgifter till USA, men att det dels krävs en del fotarbete för att se till att alla krav är uppfyllda, dels måste man vara beredd på att även det nya upplägget kommer att prövas juridiskt och kan bli olagligt igen över en natt. Det krävs en plan B, en exitstrategi.
Vilket förvisso ingår i löftet för molntjänster – det ska vara enkelt att sluta eller byta – men som i praktiken enbart blir en huvudvärk. Så det är inte perfekta förutsättningar för att göra nya investeringar.
För att sätta upp ett finger i molnet och känna hur vinden blåst sedan beslutet kom i somras skickade vi nyligen ut en minienkät till några av de tyngre leverantörerna som borde vara de stora vinnarna på detta – molnjättarna Microsoft, AWS, Google Cloud och återförsäljargiganten Atea – och frågade om vilka effekter de sett. Svaren vi fick andas ändå en del morgonluft.
Varken AWS eller Google Cloud var nu särskilt specifika i sina svar utan nöjde sig med att säga att de välkomnar det nya ramverket. Men Microsoft, antagligen den spelaren som också har mest att vinna tack vare sitt traditionellt starka grepp om offentliga sektorn, var tydligt positiva:
”Vi ser ett stort nytt engagemang för molntjänster, särskilt från de kunder som tidigare pausat projekt i väntan på det nya avtalet. Framförallt gäller det kunder inom myndigheter, kommuner och regioner där vi ser att man nu tar beslut om införande baserat på de nya förutsättningarna”, säger Daniel Akenine, nationell teknikchef på Microsoft Sverige.
Det låter ju onekligen som ”proppen ur”. Men lyssnar man sedan på Atea – även de blytunga i offentlig sektor – ges lite ytterligare nyans:
”Vi för dialog med en hel del organisationer som har sett fram emot denna överenskommelse för att kunna behålla sin molnstrategi. En del har nu återstartat sina projekt, med fokus på informationsklassning, riskanalys och verksamhetsnytta för att kunna ta välgrundade beslut och säkerställa adekvat säkerhet. De ser stora vinster ekonomiskt samt i effektivitet och cybersäkerhet. Samtidigt finns det en del organisationer som inte har hunnit utvärdera EU-US DPF och vad överenskommelsen innebär juridiskt för just dem, men de är försiktigt positiva”, säger Carl-Johan Ekelund, team lead för säkerhet på Atea Sverige.
”Försiktigt positiva, men analyserar fortfarande riskerna” är nog en ganska god summering av läget just nu. En icke obetydlig del av offentliga sektorn sitter exempelvis och väntar på att Esams molngrupp ska komma med sina rekommendationer i frågan. Esam, Esamverkansprogrammet, som har seglat upp som en maktfaktor sedan dess juridiska expertgrupp dömde ut amerikanska molntjänster redan 2018.
Esams molngrupp väntas presentera sina slutsatser i början av oktober och får man gissa lär det inte heller där bli frågan om något generellt grönt ljus. Framför allt för att det inte räcker med att titta på dataskyddsregler, som EU-beslutet gäller, utan även på sådant som sekretesslagstiftning. Esam har dessutom åtminstone tidigare även tagit upp aspekter som inlåsningseffekter och leverantörsberoende i sina rekommendationer, och de aspekterna har inte ändrats. Särskilt när det som kallas ”digital suveränitet” blir en allt hetare politisk puck.
Samtidigt som de amerikanska molnjättarna ser en ljusning så har leverantörerna på ”andra sidan” knappast gett upp. Till exempel kunde svenska molnutmanaren Cleura härom veckan stoltsera med ett nytt volymavtal med Adda Inköpscentral. Vilket är intressant inte minst för att Adda för två år sedan tackade nej till ett nytt volymavtal med Microsoft, med hänvisning till Microsofts hantering av personuppgifter. Cleura har även släppt en egen analys av EU:s adekvansbeslut som, måhända föga förvånande, landar i slutsatsen att beslutet inte håller.
Molnfrågan har i flera år varit infekterad och befäst med en stor portion osäkerhet, och än så länge ser den nya datapakten inte ut att ändra på något av det i någon avgörande riktning. Även om det juridiska lär klarna en del för stunden är det en kort respit innan frågan hamnar i domstol igen, med oklar utgång.
De tydligaste vinnarna då? Det är de kommuner och verksamheter som hållit för näsan och kört på med sina amerikanska molnbaserade lösningar trots att de nog egentligen inte får det. Och som nu kan andas ut. Ett tag.
Hur ser effekten ut i din verksamhet? Har ni fattat beslut om nya molninvesteringar eller projekt tack vare EU:s adekvansbeslut? Hör mer än gärna av er till oss och berätta.