Schrems II och lynes
Allt får inte samma genomslag som till exempel GDPR.
Jag minns det så väl, domedags-predikarna härjade fritt.
Vartannat inlägg på LinkedIn var skrivet av ”GDPR-konsulter” som kunde lösa alla tänkbara utmaningar och hos kvällsblaskorna läste vi
Riskerar ditt företag MILJARDBÖTER?
Sen ebbade det ut… i efterdyningarna kom Schrems I och Schrems II som gick relativt obemärkt förbi, i alla fall i jämförelse med GDPR. Vi var väl alla upptagna med Clubhouse eller annan hype.
Med det sagt tänkte jag ta tillfället i akt och tända lampan över historian om Maximilian Schrems.
Men först…
Vad är Schrems II?
Schrems II är en samling data-regler som av förståsigpåare benämns som C-311/18 (EU-domstolsdom) och har fått sitt namn efter en österrikisk aktivist och advokat – Maximilian Schrems.
Maximilian Schrems är en klassisk David mot Goliat-historia där jätten i det här fallet är Facebook.
Enkelt förklarat lever Facebook på annonsintäkter som genereras av deras plattform vilken samlar in persondata från användarna.
Maximilian (David) har i dryga tio år kämpat mot Facebook och irländska IDPC (Irländska dataskyddsmyndigheten) då han ansåg att Facebooks irländska filial saknade rätten att föra över hans persondata till USA då deras massövervakningssystem (NSA) stod i direkt strid mot EU-datalagar.
Snabbspolar vi hamnade ärendet till slut hos the Court of Justice of the European Union (CJEU), alltså EU-domstolen, som gav Maximilian rätt (!!!)
Avtalet som amerikanska företag nyttjade för att flytta data från EU till USA hette Safe Harbour, i och med domen blev det ogiltigt. I folkmun är vi nu framme vid Schrems I.
2016 ersattes Safe Harbour med Privacy Shield (Lagom patriotiska namn som vanligt från jänkarna). Enkelt förklarat är Privacy Shield en överenskommelse om hur personuppgifter får föras över från EU till USA. Grundtanken är alltså att skydda ditt privatliv i EU.
Maximilian lät sig inte luras och insåg snabbt att Privacy Shield var
the devil in disguise
För så här var det. Amerikanska bolag behövde enbart anmäla sig till deras handelsdepartement och meddela att de uppfyllde kraven Privacy Shield ställer.
Som av en händelse var Maximilian inte nöjd och tog det ytterligare en vända med CJEU och triumferade ännu en gång.
Say hello to Schrems II som gjorde det olagligt att föra över persondata från EU till USA om det inte fanns stöd på någon annan grund i GDPR.
Är du bevandrad inom GDPR-regler är du medveten om att tredjelandsöverföring är…… strikt.
Vad innebär Schrems II i praktiken?
Kortfattat, finns inte tillräckligt goda skäl att föra över personuppgifter till USA är det olagligt och konsekvenserna är enorma, monumentala, gigantiska osv osv.
Många känner nog att Schrems II kom från ingenstans och blev en jättestor grej lite som en blixt från klar himmel. Så var det förstås inte.
Utan det här är något som har bubblat under lång tid och fått oroligt mycket uppmärksamhet av myndigheter, länder, EU, ja you name it.
Problemet nu handlar om att flera företag befinner sig i ett vakuum då många tjänster de förlitar sig på och byggt sin verksamhet kring potentiellt har blivit olagliga och dyra investeringar riskerar att bli ännu dyrare i och med Schrems II.
Stökigt.
Varningsklockorna har klämtat
I år gick Stockholms stad ut med att de stoppar molntjänsten Microsoft 365 och andra molntjänster eftersom läget är ”problematiskt”. De uppmanar även stadens pedagogiska verksamheter att söka efter alternativ.
2021 gick Skatteverket, Kronofogden och andra tunga myndigheter ut med att dom lämnar Skype och Microsoft Teams pga. amerikanska övervakningslagar.
Personligen tycker jag det är det glädjande att se svenska myndigheter sätta press på stora internationella aktörer. På så sätt får fler upp ögonen för svenska aktörer, en sån som vi eller någon av våra svenska kollegor i branschen.
Vad kan du göra?
Jag ser tre alternativ,
- – Acceptera läget och byt ut leverantörer som inte uppfyller kraven
Det finns många svenska och europeiska tjänster som är bra, i vissa fall bättre, än deras amerikanska diton som inte uppfyller kraven.
- – I poesin Ode on a Distant Prospect of Eton Collage sa Thomas Gray” ignorance is a bliss”
Så en taktik blir, gör inget och hoppas att problemet försvinner av sig själv.
- – Vi-är-för-små-för-att-dom-ska-bry-sig-om-oss-metoden
Försätt jobba med befintlig leverantör som inte uppfyller kraven, stärk deras position och undergräv alternativen.
Tips från coachen
- Gör en inventering av tjänsterna ni använder
- Kolla upp leverantörernas personuppgiftspolicy
- Kolla på alternativa lösningar för era tjänster som inte uppfyller kraven
- Bonussteg! Många sitter i samma båt, kolla med kollegor i branschen vilka lösningar de har bytt till
- Byt leverantör om du behöver så kommer du sova godare om nätterna
När du ger dig ut på jakt efter nya tjänster är det en bra idé att kolla på hemmaplan först. Se över vilka svenska och europeiska alternativ som finns. De är ofta minst lika bra om inte bättre än de amerikanska versionerna.
Hur är det med lynes och Schrems II?
Vi är ett svenskt bolag, vi grundades i Sverige och har svenska ägare. Vi älskar kaffe och fika – prinsesstårtor i synnerhet. Ni är välkomna på kaffe om ni vill men ta med tårtan!
Sedan Schrems II-domen har vi märkt en ökad medvetenhet hos våra kunder, från att få någon enstaka fråga då och då till flera frågor om hur vi hanterar data.
Kanonbra! Ju fler företag som blir medvetna om detta desto bättre!
Genom att byta tjänsteleverantör tvingas större aktörer till en förändring – utvecklas eller dö.
Vi ställs ofta mot Microsoft Teams och bara för någon månad sedan valde Stockholmstad att sluta använda Microsofts tjänster. Jämförelsen mellan oss och dem är inte helt korrekt eftersom det finns ganska mycket som skiljer våra tjänster åt.
Men vad är skillnaderna då? (Om vi nu ska välja några)
Det som skiljer oss åt är att vi inte bygger vår app emot en egen programsuit. Vi har utvecklat så att den fungerar med flera suiter, operatörer och operativsystem. Vi fungerar bland annat med,
- Office365 och Google-Calendar
- Telefoni från flera olika stora svenska operatörer
- Windows, Mac, iOS, Android, webbläsaren och Linux
Och ja, vi lagrar vår data i Sverige. Krypterat. Här kan du läsa mer om skillnaderna mellan oss och MS teams.
För att komma i gång med oss väljer du helt enkelt operatör, programsuit och vips så är du ingång. På så sätt slipper du inlåsningseffekten och det blir enkelt att byta i framtiden.
Jag tror och hoppas att fler företag och myndigheter följer i Skatteverkets och Kronofogdens fotspår och börjar ta beslut baserade på funktionalitet och säkerhet istället för det enkla valet – det som ingår i Officesuiten när de ska upphandla samarbetsverktyg för chatt, video och telefoni.
Kontakta oss så snackar vi prinsess-tårta, Schrems II och lynes.