Skip to content
  • Prenumerera på Inköpsrådets nyhetsbrev
Inköpsrådet
  • Ämnen
    • EU-domstolen
    • Hyresundantaget
    • Kvalificering
    • Likabehandlingsprincipen
    • Processregler
    • Ramavtal
    • Sekretess
    • Upphandlingsskadeavgift
  • Karriär
    • Lediga jobb
    • Lönestatistik
    • Rekrytera smart med Inköpsrådet
  • Utbildning
  • Konferenser
    • Praxisdagen • 4 nov 2025 • Stockholm
    • Praxisdagen • 11 nov 2025 • Göteborg
  • Annonsera
    • Annonsera
    • Platsannonsera
  • Om oss
    • Kontakta oss
    • Integritetsspolicy

Fler nyheter som påverkar it-avtal

ExpertkommentarI min förra expertkommentar skrev jag om president Bidens Executive Order om att införa det nya ramverket  för överföring av personuppgifter mellan EU och USA. Samtidigt har EU-kommissionen tagit fram ett förslag för det nya ramverket, skriver Inköpsrådets expert Peter Nordbeck.

| 2023-01-20
Peter Nordbeck, advokat, Advokatfirman Delphi.

I slutet på förra året kom ännu fler nyheter som får betydelse för it-avtal. Jag tänker på:

  • EU-kommissionen har tagit fram ett utkast till adekvat skyddsnivå för ”EU-US Data Privacy Framework”,
  • Microsoft annonserar att man tar första steget i ”EU Data Boundary”.

Nedan beskriver jag kort vad det handlar om.

Adekvat skyddsnivå för “EU-US Data Privacy Framework”
I min förra expertkommentar skrev jag om President Biden’s Executive Order om att införa det nya ramverket  för överföring av personuppgifter mellan EU och USA, ”EU-US Data Privacy Framework”.

Parallellt har EU-kommissionen arbetat med att ta fram ett förslag till adekvat skyddsnivå för det nya ramverket. Förslaget presenterades den 13 december 2022.

Regleringarna är resultatet av den principöverenskommelse som träffades mellan EU-kommissionen och USA i mars 2022 om att hitta en ersättning för Privacy Shield, som underkändes av EU-domstolen i det så kallade Schrems II-målet.

Kommissionen skriver bland annat följande om sitt förslag i ett pressmeddelande:

”The draft decision concluded that the United States ensures an adequate level of protection for personal data transferred from the EU to US companies.”

Kommissionens förslag har översänts till Europeiska Dataskyddsstyrelsen (EDPB) för synpunkter. Därefter kommer man att inhämta godkännande från företrädare för EU:s medlemsstater och EU-parlamentet har rätt att yttra sig över förslaget innan det slutligt antas av Kommissionen.

Det blir spännande att följa hur förslaget tas emot, inte minst av EDPB. Max Schrems organisation, noyb, är inte helt oväntat starkt kritisk till förslaget och skriver bland annat:

”As the draft decision is based on the known Executive Order, I can’t see how this would survive a challenge before the Court of Justice.”

Om EU-kommissionen antar ett beslut om adekvat skyddsnivå, kommer personuppgifter fritt kunna överföras till amerikanska företag som har anslutit sig till det nya ramverket.

Avslutningsvis har Kommissionen tillkännagivit att man kommer att göra en regelbunden översyn av ”EU-US Data Privacy Framework”, möjligen vis av tidigare erfarenheter från Privacy Shield. Den första granskningen ska ske inom ett år från antagandet. Målet med översynen är att granska om relevant lagstiftning i USA har implementerats till fullo och fungerar i praktiken.

Första steget i ”Microsoft EU Data Boundary” taget
Microsoft har meddelat att man per den 1 januari 2023 påbörjat den första fasen i en utrullning av sin ”EU Data Boundary solution” till offentlig sektor och kommersiella kunder inom EU och Efta (Island, Liechtenstein, Norge och Schweiz).

Vad innebär Microsoft ”EU Data Boundary”?
Förenklat kan man beskriva det som att Microsoft utvidgar möjligheterna för sina kunder att lagra och behandla personuppgifter inom EU/EES och minskar dataflödena till länder utanför EU/EES. Initiativet kan sägas vara ett inspel i diskussionerna om överföring av personuppgifter till tredje land efter Schrems II-domen.

I en roadmap som Microsoft publicerat beskrivs utrullningen närmare.

Fas 1, som alltså påbörjades den 1 januari i år, omfattar kunddata för Microsoft 365, Dynamics 365, Power Platform och merparten av Azure-tjänsterna inom EU och Efta.  

I Fas 2  kommer ”EU Data Boundary” även omfatta pseudonymiserad data som genereras genom kundens användning av Microsofts tjänster (ttill exempel metadata). Sådan data kommer att lagras och behandlas endast inom EU och Efta. Det framgår inte när Fas 2 är tänkt att inledas.

Fas 3, slutligen, handlar om supportdata. Microsoft planerar att per halvårsskiftet 2024 addera möjligheten att behandla och lagra data som tas emot i samband med utförandet av teknisk support inom ”EU Data Boundary”. Samtidigt skriver Microsoft att bolagets underbiträden (underförstått utanför EU/EES) även fortsättningsvis kan behöva få tillgång till personuppgifter som lagras och behandlas inom ”EU Data Boundary”. Tillhandahållande av sådan data kommer att ske endast via säker fjärranslutning.

Dessutom kommer Microsoft utöka sin supportpersonal inom EU och planerar att möjliggöra för kunder att mot ersättning få tillgång till en första supportkontakt inom EU.

Några reflektioner
Microsoft erbjuder redan i dag lagring av vilande personuppgifter (kunddata) inom EU, bland annat i Sverige. Att bolaget nu har annonserat att man sjösätter ”EU Data Boundary” innebär ytterligare ett steg mot förenkling av behandlingen av personuppgifter i samband med Microsofts molntjänster.

Samtidigt är utrullningen i ett tidigt skede och många detaljer är ännu inte kända. Den stora utmaningen får nog anses vara supportdata. Även fortsättningsvis kan, enligt vad Microsoft meddelat, supportpersonal (Microsofts eller dess underleverantörers) komma behöva få tillgång till kundernas personuppgifter från länder utanför EU/EES, till exempel vid second line eller third line support.

Vi kan räkna med att det kommer att komma mera information från Microsoft som klargör de områden där man hittills har informerat med breda penseldrag. Det blir intressant att se hur pass heltäckande ”EU Data Boundary” i slutänden kommer att bli, till exempel när det gäller supportdata.

Peter Nordbeck
Advokat, Advokatfirman Delphi  

Få din fråga om upphandling besvarad
Skickar

Annons

Vill du bli bättre på att projektleda upphandlingar?
Upphandling24 arrangerar en populär utbildning med fokus på att projektleda upphandlingar. Du lär dig välbeprövade metoder för att lyckas leda projekt i hamn på rätt tid. Läs mer om utbildningen här.

Läs mer: Upphandling

Kommentatorerna ansvarar för sina egna kommentarer

En kommentar på “Fler nyheter som påverkar it-avtal”

  1. Davis skriver:
    2023-01-23 kl. 15:47

    Snacka om att sila mygg (meningslösa förslag och roadmaps) och svälja Cloud Act-kameler!

    Svara

Lämna ett svar Avbryt svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *

Fler artiklar

Lediga jobb

  • Rekrytera rätt kompetens med Inköpsrådet

Peter Nordbeck

Peter Nordbeck har över tjugo års erfarenhet av att arbeta med it-rättsliga frågor. Han fokuserar på outsourcing, molntjänstavtal och dataskydd och biträder klienter både inom privat och offentlig sektor. Vanliga ärenden är upprättande av avtal vid upphandlingar och risk- och sårbarhetsanalyser när myndigheter och andra enheter inom offentlig sektor tänker anlita molntjänstleverantörer. Han föreläser regelbundet om it-avtal, molntjänster och dataskydd.

Aktuella utbildningar

Delta på distans eller på plats i Stockholm. Valet är ditt.

  • Kvalificerad entreprenad­upphandlare | 22-23 oktober
  • Ramavtal – fördjupningskurs | 6 november
  • Kvalificerad IT-upphandlare | 12-13 november
  • Leda upphandlingar effektivt | 20 november
  • Entreprenadupphandling och AMA AF | 25 november
  • AI för upphandlare | 27 november
  • LOU på två dagar | 2-3 december
  • Säkerhetsskyddad upphandling | 4 december
  • Kvalificerad IT-upphandlare – Steg 2 praktisk tillämpning | Hösten 2025
  • Få fart på er avtals­förvaltning | Hösten 2025
ANNONS FRÅN UPPHANDLING24

Lär dig LOU av en expert

En kursledare med ambitionen att förenkla upphandlarens vardag. Grundläggande LOU med nyheter och praxis. Mathias Sylvan guidar dig rätt i regelverket och djupdyker i valda delar.

Tillämpat krav som inte uttryckligen framgåttTillämpat krav som inte uttryckligen framgått
Hetaste rättsfallen från första kvartaletHetaste rättsfallen från första kvartalet
Mer restriktiv bedömning av avvikelser?Mer restriktiv bedömning av avvikelser?
Bakläxa om utredningsansvarBakläxa om utredningsansvar
Juridisk rapport om miljömärkning i upphandlingJuridisk rapport om miljömärkning i upphandling
Förtroendet för rättskipningen riskerar att urholkasFörtroendet för rättskipningen riskerar att urholkas
Förslag 3: Ta bort verksamhetskriteriet i Hamburg-undantagetFörslag 3: Ta bort verksamhetskriteriet i Hamburg-undantaget
Inga krav som inte uttryckligen följer dokumentInga krav som inte uttryckligen följer dokument

Nytt från Upphandling24

  • Låg kickback blir något högre
  • Mössan på med kommunala köp
  • “Namnet speglar kulturen”
  • Kommunen segrare i Värnamotvist
  • Dalauppror mot miljardgräns
  • Skanskas låga pris godkänns
  • Synar korruption vid upphandling

Kommentarer från läsarna

Björn : Förtroendet för rättskipningen riskerar att urholkas
Jag instämmer med slutsatserna. Inte bara att KR tar upp väldigt få mål trots att det svämmar över av domstolsbeslut…
Louise Bylund : Följa upp avtal – en cirkulär process
Hej! Jag har en fundering om den cirkulära modellen har något specifikt namn? Med vänliga hälsningar, Louise, Offentlig upphandlare student.
Marianne Hammarström : Förslag 3: Ta bort verksamhetskriteriet i Hamburg-undantaget
Mycket bra. Tack för att ni driver detta och håller med att det är mycket svårtolkat.
Annika S : Hur allvarligt fel krävs för uteslutning?
Hej! Kan ni reda ut den här meningen lite - jag går vilse i olika "inte". Vidare har det förhållandet…
Andreas : Hur allvarligt fel krävs för uteslutning?
Någon som har målnummer på kammarrättspraxis angående de fakultativa grunderna och att man kan välja tillämpning där? Hade missat det.
Upphandlare : Hur allvarligt fel krävs för uteslutning?
En fråga till författarna med anledning av analysens första stycke. Skulle det alltså vara ok att UM behåller valfriheten att…
Mikael Johansson : Förslag 1: Förhandlat förfarande bör tillåtas utan angivna skäl
Tack för att du lyfter detta. Det borde rimligtvis bli större möjligheter att använda det alla fall. Jobbade med LUF…
Anna : Förslag 1: Förhandlat förfarande bör tillåtas utan angivna skäl
Jag är helt med på Davids linje att genomföra förhandlat förfarande i ett steg. Jag har även kombinerat konkurrenspräglad dialog…
David Sundgren : Förslag 1: Förhandlat förfarande bör tillåtas utan angivna skäl
Håller helt med! Jag har genomfört förhandlade förfaranden i ett steg och så länge ingen lider skada ser jag inget…
David Sundgren : Förslag 1: Förhandlat förfarande bör tillåtas utan angivna skäl
Ja, men vad är det som hindrar att anbuden justeras efter ett anbudsmöte i ett öppet förfarande om inga obligatoriska…

Senaste inläggen

  • Tillämpat krav som inte uttryckligen framgått
  • Hetaste rättsfallen från första kvartalet
  • Mer restriktiv bedömning av avvikelser?
  • Bakläxa om utredningsansvar
  • Juridisk rapport om miljömärkning i upphandling
  • Förtroendet för rättskipningen riskerar att urholkas
  • Förslag 3: Ta bort verksamhetskriteriet i Hamburg-undantaget
  • Inga krav som inte uttryckligen följer dokument
  • Förslag 2: Gör teckal-undantaget mer lättläst
  • Hur allvarligt fel krävs för uteslutning?
  • Så ändras överprövnings- och skadeståndsreglerna
  • Avsteg från centralt villkor medförde upphandlingsskadeavgift
  • Ny vägledning för att hantera leverantörer utanför EU
  • Misstanke om jäv räcker inte för att avbryta
  • Förslag 1: Förhandlat förfarande bör tillåtas utan angivna skäl