Skip to content
  • Prenumerera på Inköpsrådets nyhetsbrev
Inköpsrådet
  • Ämnen
    • EU-domstolen
    • Hyresundantaget
    • Kvalificering
    • Likabehandlingsprincipen
    • Processregler
    • Ramavtal
    • Sekretess
    • Upphandlingsskadeavgift
  • Karriär
    • Lediga jobb
    • Lönestatistik
    • Rekrytera smart med Inköpsrådet
  • Utbildning
  • Konferenser
    • Praxisdagen • 4 nov 2025 • Stockholm
    • Praxisdagen • 11 nov 2025 • Göteborg
  • Annonsera
    • Annonsera
    • Platsannonsera
  • Om oss
    • Kontakta oss
    • Integritetsspolicy

Fler nyheter som påverkar it-avtal

ExpertkommentarI min förra expertkommentar skrev jag om president Bidens Executive Order om att införa det nya ramverket  för överföring av personuppgifter mellan EU och USA. Samtidigt har EU-kommissionen tagit fram ett förslag för det nya ramverket, skriver Inköpsrådets expert Peter Nordbeck.

| 2023-01-20
Peter Nordbeck, advokat, Advokatfirman Delphi.

I slutet på förra året kom ännu fler nyheter som får betydelse för it-avtal. Jag tänker på:

  • EU-kommissionen har tagit fram ett utkast till adekvat skyddsnivå för ”EU-US Data Privacy Framework”,
  • Microsoft annonserar att man tar första steget i ”EU Data Boundary”.

Nedan beskriver jag kort vad det handlar om.

Adekvat skyddsnivå för “EU-US Data Privacy Framework”
I min förra expertkommentar skrev jag om President Biden’s Executive Order om att införa det nya ramverket  för överföring av personuppgifter mellan EU och USA, ”EU-US Data Privacy Framework”.

Parallellt har EU-kommissionen arbetat med att ta fram ett förslag till adekvat skyddsnivå för det nya ramverket. Förslaget presenterades den 13 december 2022.

Regleringarna är resultatet av den principöverenskommelse som träffades mellan EU-kommissionen och USA i mars 2022 om att hitta en ersättning för Privacy Shield, som underkändes av EU-domstolen i det så kallade Schrems II-målet.

Kommissionen skriver bland annat följande om sitt förslag i ett pressmeddelande:

”The draft decision concluded that the United States ensures an adequate level of protection for personal data transferred from the EU to US companies.”

Kommissionens förslag har översänts till Europeiska Dataskyddsstyrelsen (EDPB) för synpunkter. Därefter kommer man att inhämta godkännande från företrädare för EU:s medlemsstater och EU-parlamentet har rätt att yttra sig över förslaget innan det slutligt antas av Kommissionen.

Det blir spännande att följa hur förslaget tas emot, inte minst av EDPB. Max Schrems organisation, noyb, är inte helt oväntat starkt kritisk till förslaget och skriver bland annat:

”As the draft decision is based on the known Executive Order, I can’t see how this would survive a challenge before the Court of Justice.”

Om EU-kommissionen antar ett beslut om adekvat skyddsnivå, kommer personuppgifter fritt kunna överföras till amerikanska företag som har anslutit sig till det nya ramverket.

Avslutningsvis har Kommissionen tillkännagivit att man kommer att göra en regelbunden översyn av ”EU-US Data Privacy Framework”, möjligen vis av tidigare erfarenheter från Privacy Shield. Den första granskningen ska ske inom ett år från antagandet. Målet med översynen är att granska om relevant lagstiftning i USA har implementerats till fullo och fungerar i praktiken.

Första steget i ”Microsoft EU Data Boundary” taget
Microsoft har meddelat att man per den 1 januari 2023 påbörjat den första fasen i en utrullning av sin ”EU Data Boundary solution” till offentlig sektor och kommersiella kunder inom EU och Efta (Island, Liechtenstein, Norge och Schweiz).

Vad innebär Microsoft ”EU Data Boundary”?
Förenklat kan man beskriva det som att Microsoft utvidgar möjligheterna för sina kunder att lagra och behandla personuppgifter inom EU/EES och minskar dataflödena till länder utanför EU/EES. Initiativet kan sägas vara ett inspel i diskussionerna om överföring av personuppgifter till tredje land efter Schrems II-domen.

I en roadmap som Microsoft publicerat beskrivs utrullningen närmare.

Fas 1, som alltså påbörjades den 1 januari i år, omfattar kunddata för Microsoft 365, Dynamics 365, Power Platform och merparten av Azure-tjänsterna inom EU och Efta.  

I Fas 2  kommer ”EU Data Boundary” även omfatta pseudonymiserad data som genereras genom kundens användning av Microsofts tjänster (ttill exempel metadata). Sådan data kommer att lagras och behandlas endast inom EU och Efta. Det framgår inte när Fas 2 är tänkt att inledas.

Fas 3, slutligen, handlar om supportdata. Microsoft planerar att per halvårsskiftet 2024 addera möjligheten att behandla och lagra data som tas emot i samband med utförandet av teknisk support inom ”EU Data Boundary”. Samtidigt skriver Microsoft att bolagets underbiträden (underförstått utanför EU/EES) även fortsättningsvis kan behöva få tillgång till personuppgifter som lagras och behandlas inom ”EU Data Boundary”. Tillhandahållande av sådan data kommer att ske endast via säker fjärranslutning.

Dessutom kommer Microsoft utöka sin supportpersonal inom EU och planerar att möjliggöra för kunder att mot ersättning få tillgång till en första supportkontakt inom EU.

Några reflektioner
Microsoft erbjuder redan i dag lagring av vilande personuppgifter (kunddata) inom EU, bland annat i Sverige. Att bolaget nu har annonserat att man sjösätter ”EU Data Boundary” innebär ytterligare ett steg mot förenkling av behandlingen av personuppgifter i samband med Microsofts molntjänster.

Samtidigt är utrullningen i ett tidigt skede och många detaljer är ännu inte kända. Den stora utmaningen får nog anses vara supportdata. Även fortsättningsvis kan, enligt vad Microsoft meddelat, supportpersonal (Microsofts eller dess underleverantörers) komma behöva få tillgång till kundernas personuppgifter från länder utanför EU/EES, till exempel vid second line eller third line support.

Vi kan räkna med att det kommer att komma mera information från Microsoft som klargör de områden där man hittills har informerat med breda penseldrag. Det blir intressant att se hur pass heltäckande ”EU Data Boundary” i slutänden kommer att bli, till exempel när det gäller supportdata.

Peter Nordbeck
Advokat, Advokatfirman Delphi  

Få din fråga om upphandling besvarad
Skickar

Annons

Vill du bli bättre på att projektleda upphandlingar?
Upphandling24 arrangerar en populär utbildning med fokus på att projektleda upphandlingar. Du lär dig välbeprövade metoder för att lyckas leda projekt i hamn på rätt tid. Läs mer om utbildningen här.

Läs mer: Upphandling

Kommentatorerna ansvarar för sina egna kommentarer

En kommentar på “Fler nyheter som påverkar it-avtal”

  1. Davis skriver:
    2023-01-23 kl. 15:47

    Snacka om att sila mygg (meningslösa förslag och roadmaps) och svälja Cloud Act-kameler!

    Svara

Lämna ett svar Avbryt svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *

Fler artiklar

Lediga jobb

Boverket logotyp

Upphandlingsansvarig

Erfaren upphandlare

  • Rekrytera rätt kompetens med Inköpsrådet

Peter Nordbeck

Peter Nordbeck har över tjugo års erfarenhet av att arbeta med it-rättsliga frågor. Han fokuserar på outsourcing, molntjänstavtal och dataskydd och biträder klienter både inom privat och offentlig sektor. Vanliga ärenden är upprättande av avtal vid upphandlingar och risk- och sårbarhetsanalyser när myndigheter och andra enheter inom offentlig sektor tänker anlita molntjänstleverantörer. Han föreläser regelbundet om it-avtal, molntjänster och dataskydd.

Aktuella utbildningar

Delta på distans eller på plats i Stockholm. Valet är ditt.

  • Kvalificerad entreprenad­upphandlare | 22-23 oktober
  • Ramavtal – fördjupningskurs | 6 november
  • Kvalificerad IT-upphandlare | 12-13 november
  • AI för upphandlare | 19 november
  • Leda upphandlingar effektivt | 20 november
  • Entreprenadupphandling och AMA AF | 25 november
  • Robusta IT-avtal | 26 november
  • LOU på två dagar | 2-3 december
  • Säkerhetsskyddad upphandling | 4 december
  • Kvalificerad IT-upphandlare – Steg 2 praktisk tillämpning | Hösten 2025
  • Få fart på er avtals­förvaltning | Hösten 2025
ANNONS FRÅN UPPHANDLING24

Lär dig LOU av en expert

En kursledare med ambitionen att förenkla upphandlarens vardag. Grundläggande LOU med nyheter och praxis. Mathias Sylvan guidar dig rätt i regelverket och djupdyker i valda delar.

Kan annan än avtalspart räknas som upphandlande myndighet?Kan annan än avtalspart räknas som upphandlande myndighet?
Detta innebär den första IPI-åtgärdenDetta innebär den första IPI-åtgärden
Del 2: Hur ska myndigheter bemöta avtalsbrott?Del 2: Hur ska myndigheter bemöta avtalsbrott?
Del 1: Hur ska myndigheter bemöta avtalsbrott?Del 1: Hur ska myndigheter bemöta avtalsbrott?
Efterlängtad lagrådsremiss om cybersäkerhetEfterlängtad lagrådsremiss om cybersäkerhet
Förslag till ändrat LUFS-direktivFörslag till ändrat LUFS-direktiv
Om vikten av det kontradiktoriska förfarandetOm vikten av det kontradiktoriska förfarandet
Förslag 4: Förbättra för näringslivet att delta i totalförsvaretFörslag 4: Förbättra för näringslivet att delta i totalförsvaret

Nytt från Upphandling24

Kommentarer från läsarna

David Sundgren : Del 1: Hur ska myndigheter bemöta avtalsbrott?
Intressant ämne, ser fram emot del 2 med det innehåll som utlovas där!
Björn : Tillämpat krav som inte uttryckligen framgått
Otroligt intressant mål i sin enkelhet (tack vare sin enkelhet). Korrekt utfall ska ha varit given för vem som helst…
Fredrik : Hetaste rättsfallen från första kvartalet
Tack för bra "Reader's Digest".
Björn : Förtroendet för rättskipningen riskerar att urholkas
Jag instämmer med slutsatserna. Inte bara att KR tar upp väldigt få mål trots att det svämmar över av domstolsbeslut…
Louise Bylund : Följa upp avtal – en cirkulär process
Hej! Jag har en fundering om den cirkulära modellen har något specifikt namn? Med vänliga hälsningar, Louise, Offentlig upphandlare student.
Marianne Hammarström : Förslag 3: Ta bort verksamhetskriteriet i Hamburg-undantaget
Mycket bra. Tack för att ni driver detta och håller med att det är mycket svårtolkat.
Annika S : Hur allvarligt fel krävs för uteslutning?
Hej! Kan ni reda ut den här meningen lite - jag går vilse i olika "inte". Vidare har det förhållandet…
Andreas : Hur allvarligt fel krävs för uteslutning?
Någon som har målnummer på kammarrättspraxis angående de fakultativa grunderna och att man kan välja tillämpning där? Hade missat det.
Upphandlare : Hur allvarligt fel krävs för uteslutning?
En fråga till författarna med anledning av analysens första stycke. Skulle det alltså vara ok att UM behåller valfriheten att…
Mikael Johansson : Förslag 1: Förhandlat förfarande bör tillåtas utan angivna skäl
Tack för att du lyfter detta. Det borde rimligtvis bli större möjligheter att använda det alla fall. Jobbade med LUF…

Senaste inläggen

  • Kan annan än avtalspart räknas som upphandlande myndighet?
  • Detta innebär den första IPI-åtgärden
  • Del 2: Hur ska myndigheter bemöta avtalsbrott?
  • Del 1: Hur ska myndigheter bemöta avtalsbrott?
  • Efterlängtad lagrådsremiss om cybersäkerhet
  • Förslag till ändrat LUFS-direktiv
  • Om vikten av det kontradiktoriska förfarandet
  • Förslag 4: Förbättra för näringslivet att delta i totalförsvaret
  • Tillämpat krav som inte uttryckligen framgått
  • Hetaste rättsfallen från första kvartalet
  • Mer restriktiv bedömning av avvikelser?
  • Bakläxa om utredningsansvar
  • Juridisk rapport om miljömärkning i upphandling
  • Förtroendet för rättskipningen riskerar att urholkas
  • Förslag 3: Ta bort verksamhetskriteriet i Hamburg-undantaget