Den digitala baksmällan

Dataskydd

EU-domstolens beslut i fallet Schrems II hindrar i praktiken användningen av USA-baserade digitala tjänster vid behandling av persondata.
Beslutet är ytterst problematiskt för Finland som anlitar amerikanska tjänsteleverantörer för många centrala system, exempelvis patientadministration, bankverksamhet och studerandekommunikation. Grunden till beslutet ligger i USA:s lagar för avlyssning och i att massavlyssning sker kontinuerligt, samt att informationen görs tillgänglig på relativt enkla grunder utan EU-insyn.
I Sverige konstaterade man 2018 i ett utlåtande av eSamverkansprogrammet (som inkluderar 27 olika myndigheter), att ifall amerikanska molntjänster används för att behandla sekretessreglerade data skall uppgifterna anses vara röjda. Daniel Melin som ansvarat för utredningen som stoppat användningen av Microsoft Teams inom svenska myndigheter, konstaterade att tydligheten medfört att en mängd företag kontaktat dem och erbjudit lagenliga alternativ till Teams.
Hur länge skall finska myndigheter blunda och hoppas att ingen märker vem tjänsteleverantörerna/ägarna av våra system är?
Det är oroväckande att politiker och beslutsfattare i Finland har så dålig koll på vilka digitala tjänster som inte bör användas då det gäller persondata eller nationella angelägenheter. För Finland har suveränitet varit en viktig fråga och då vi nu ersätter fysiska tjänster med digitala bör vi reflektera djupare över vilka känsliga uppgifter som inte bör överföras till främmande makt och framför allt hur Finland respekterar medborgarens mänskliga rättigheter digitalt.
De pågående fall Schrems/NYOB driver mot Google och Facebook förväntas stärka individens rättsliga krav ytterligare. Trots detta kan EU-kommissionen komma att göra ytterligare ett försök att hitta ett förhandlingsresultat som innebär att USA:s status som tredjeparts land ändras, men det anses osannolikt att USA ändrar sin övervakning.
Företag som Microsoft har förklarat att de avser lagra data i Europa, men tyvärr är datalokaliseringen inte tillräcklig ifall företaget behåller krypteringsnycklarna till persondata som de gör med exempelvis Teams. Ett exempel: efter Schrems II-beslutet är det entydigt oacceptabelt att använda Microsoft Teams i den läropliktiga utbildningen eftersom data behandlas utifrån myndighetsutövning och utbildningsorganisationen inte kan garantera hur känsliga persondata för minderåriga behandlas. Här bör Undervisningsministeriet agera och komma med entydiga instruktioner.
En stor del av oklarheterna och problemen härstammar från hur Finland förberedde sig inför dataskyddsförordningen. Under Sipiläs regering ansågs det att en nedvärderande tolkning av dataskyddsfrågor var en konkurrensfördel och en möjlighet att locka hit plattformfirmornas dotterbolag. Förhoppningen om dotterbolag har aldrig förverkligats och har enbart resulterat i att vi i dag nedvärderar europeiska lösningar i upphandlingar, på grund av att de amerikanska ofta är billigare eller rentav ges utan kostnad då de inte följer samma intjäningslogik.
En genomgående utredning av dataombudsmannens verksamhet och framför allt av byråns uppdrag bör tillsättas. Byrån har fått kritik för brister i kommunikation och agerande. Problemen gäller inte enbart offentlig verksamhet eller att amerikanska tjänster används för behandling av persondata vid myndighetsutövning. Om dataombudsmannen inte klarar av att instruera offentliga instanser och att övervaka lagen då offentliga sektorns beteende fortsätter att vara uppenbart lagstridigt, då måste vi ifrågasätta vårt förtroende för byråns förmåga att övervaka våra digitala rättigheter på ett globalt plan.
Det här är ett attitydproblem och Finland saknar en adekvat övervakning av dataskyddsförordningen. Bristen på förtroende för dataombudsmannens byrå och avsaknaden av transparens i ärendehanteringen skapar problem för hela det finska samhället.

Magnus Westerlund

Överlärare i informationsteknologi vid Arcada

ANDRA LÄSER