Skip to content
  • Prenumerera på Inköpsrådets nyhetsbrev
Inköpsrådet
  • Nyheter
    • Arbetsmarknad
      • Karriär
      • Lön
    • Bransch
      • IT
      • Livsmedel
      • Samhällsbyggnad
      • Transport
      • Utbildning
      • Vård & omsorg
      • Övriga tjänster
    • Hållbarhet
      • Miljökrav
      • Sociala krav
    • Innovation
    • Juridik
      • Avtal
      • Korruption
      • Lagstiftning
      • Upphandlingsavgift
      • Överprövning
    • Praktiskt
      • Metod
      • Upphandlingsstöd
      • Utvärderingsmodell
    • Samhälle
      • EU
      • Insyn
      • Konkurrens
      • Politik
    • Upphandling
      • Dialog
      • Direktupphandling
      • Förfrågningsunderlag
      • Ramavtal
      • Uppföljning
      • Anbud
  • Domstolskoll
  • Karriär
    • Lediga jobb
    • Lönestatistik
    • Rekrytera smart med Inköpsrådet
  • Utbildning
  • Konferenser
    • Praxisdagen • 7 november • Stockholm
    • Praxisdagen • 21 november • Göteborg
  • Annonsera
    • Annonsera
    • Platsannonsera
  • Om oss
    • Vi som jobbar här
    • Integritetsspolicy

Fler nyheter som påverkar it-avtal

ExpertkommentarI min förra expertkommentar skrev jag om President Biden’s Executive Order om att införa det nya ramverket  för överföring av personuppgifter mellan EU och USA. Samtidigt har EU-kommissionen tagit fram ett förslag för det nya ramverket, skriver Inköpsrådets expert Peter Nordbeck.

| 2023-01-20
Peter Nordbeck, advokat, Advokatfirman Delphi.

I slutet på förra året kom ännu fler nyheter som får betydelse för it-avtal. Jag tänker på:

  • EU-kommissionen har tagit fram ett utkast till adekvat skyddsnivå för ”EU-US Data Privacy Framework”,
  • Microsoft annonserar att man tar första steget i ”EU Data Boundary”.

Nedan beskriver jag kort vad det handlar om.

Adekvat skyddsnivå för “EU-US Data Privacy Framework”
I min förra expertkommentar skrev jag om President Biden’s Executive Order om att införa det nya ramverket  för överföring av personuppgifter mellan EU och USA, ”EU-US Data Privacy Framework”.

Parallellt har EU-kommissionen arbetat med att ta fram ett förslag till adekvat skyddsnivå för det nya ramverket. Förslaget presenterades den 13 december 2022.

Regleringarna är resultatet av den principöverenskommelse som träffades mellan EU-kommissionen och USA i mars 2022 om att hitta en ersättning för Privacy Shield, som underkändes av EU-domstolen i det så kallade Schrems II-målet.

Kommissionen skriver bland annat följande om sitt förslag i ett pressmeddelande:

”The draft decision concluded that the United States ensures an adequate level of protection for personal data transferred from the EU to US companies.”

Kommissionens förslag har översänts till Europeiska Dataskyddsstyrelsen (EDPB) för synpunkter. Därefter kommer man att inhämta godkännande från företrädare för EU:s medlemsstater och EU-parlamentet har rätt att yttra sig över förslaget innan det slutligt antas av Kommissionen.

Det blir spännande att följa hur förslaget tas emot, inte minst av EDPB. Max Schrems organisation, noyb, är inte helt oväntat starkt kritisk till förslaget och skriver bland annat:

”As the draft decision is based on the known Executive Order, I can’t see how this would survive a challenge before the Court of Justice.”

Om EU-kommissionen antar ett beslut om adekvat skyddsnivå, kommer personuppgifter fritt kunna överföras till amerikanska företag som har anslutit sig till det nya ramverket.

Avslutningsvis har Kommissionen tillkännagivit att man kommer att göra en regelbunden översyn av ”EU-US Data Privacy Framework”, möjligen vis av tidigare erfarenheter från Privacy Shield. Den första granskningen ska ske inom ett år från antagandet. Målet med översynen är att granska om relevant lagstiftning i USA har implementerats till fullo och fungerar i praktiken.

Första steget i ”Microsoft EU Data Boundary” taget
Microsoft har meddelat att man per den 1 januari 2023 påbörjat den första fasen i en utrullning av sin ”EU Data Boundary solution” till offentlig sektor och kommersiella kunder inom EU och Efta (Island, Liechtenstein, Norge och Schweiz).

Vad innebär Microsoft ”EU Data Boundary”?
Förenklat kan man beskriva det som att Microsoft utvidgar möjligheterna för sina kunder att lagra och behandla personuppgifter inom EU/EES och minskar dataflödena till länder utanför EU/EES. Initiativet kan sägas vara ett inspel i diskussionerna om överföring av personuppgifter till tredje land efter Schrems II-domen.

I en roadmap som Microsoft publicerat beskrivs utrullningen närmare.

Fas 1, som alltså påbörjades den 1 januari i år, omfattar kunddata för Microsoft 365, Dynamics 365, Power Platform och merparten av Azure-tjänsterna inom EU och Efta.  

I Fas 2  kommer ”EU Data Boundary” även omfatta pseudonymiserad data som genereras genom kundens användning av Microsofts tjänster (ttill exempel metadata). Sådan data kommer att lagras och behandlas endast inom EU och Efta. Det framgår inte när Fas 2 är tänkt att inledas.

Fas 3, slutligen, handlar om supportdata. Microsoft planerar att per halvårsskiftet 2024 addera möjligheten att behandla och lagra data som tas emot i samband med utförandet av teknisk support inom ”EU Data Boundary”. Samtidigt skriver Microsoft att bolagets underbiträden (underförstått utanför EU/EES) även fortsättningsvis kan behöva få tillgång till personuppgifter som lagras och behandlas inom ”EU Data Boundary”. Tillhandahållande av sådan data kommer att ske endast via säker fjärranslutning.

Dessutom kommer Microsoft utöka sin supportpersonal inom EU och planerar att möjliggöra för kunder att mot ersättning få tillgång till en första supportkontakt inom EU.

Några reflektioner
Microsoft erbjuder redan i dag lagring av vilande personuppgifter (kunddata) inom EU, bland annat i Sverige. Att bolaget nu har annonserat att man sjösätter ”EU Data Boundary” innebär ytterligare ett steg mot förenkling av behandlingen av personuppgifter i samband med Microsofts molntjänster.

Samtidigt är utrullningen i ett tidigt skede och många detaljer är ännu inte kända. Den stora utmaningen får nog anses vara supportdata. Även fortsättningsvis kan, enligt vad Microsoft meddelat, supportpersonal (Microsofts eller dess underleverantörers) komma behöva få tillgång till kundernas personuppgifter från länder utanför EU/EES, till exempel vid second line eller third line support.

Vi kan räkna med att det kommer att komma mera information från Microsoft som klargör de områden där man hittills har informerat med breda penseldrag. Det blir intressant att se hur pass heltäckande ”EU Data Boundary” i slutänden kommer att bli, till exempel när det gäller supportdata.

Peter Nordbeck
Advokat, Advokatfirman Delphi  

Få din fråga om upphandling besvarad
Skickar

Läs mer: Upphandling

Kommentatorerna ansvarar för sina egna kommentarer

En kommentar på “Fler nyheter som påverkar it-avtal”

  1. Davis skriver:
    2023-01-23 kl. 15:47

    Snacka om att sila mygg (meningslösa förslag och roadmaps) och svälja Cloud Act-kameler!

    Svara

Lämna ett svar Avbryt svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *

Fler artiklar

Peter Nordbeck

Peter Nordbeck
Peter Nordbeck har över tjugo års erfarenhet av att arbeta med it-rättsliga frågor. Han fokuserar på outsourcing, molntjänstavtal och dataskydd och biträder klienter både inom privat och offentlig sektor. Vanliga ärenden är upprättande av avtal vid upphandlingar och risk- och sårbarhetsanalyser när myndigheter och andra enheter inom offentlig sektor tänker anlita molntjänstleverantörer. Han föreläser regelbundet om it-avtal, molntjänster och dataskydd.

Lediga jobb

Upphandlare till Stockholms universitet

Strategisk inköpare till Arbetsförmedlingen

ANNONS FRÅN UPPHANDLING24

Lär dig skriva bättre avtal

Avtalet är kärnan i affären och avtalsrätten i sig regleras inte i LOU. Därför är det viktigt att du som upphandlare sätter dig in i hur du formulerar korrekta avtal och vad du bör tänka på för att säkerställa en bra affär.

Håll dig informerad

Prenumerera på Inköpsrådets kostnadsfria nyhetsbrev.

Prenumerera, v2
Specialområde
Sending

Senaste inläggen

Skräppostfilter och försenat mejl–igenSkräppostfilter och försenat mejl–igen
Ett år med kravet att begränsa skadaEtt år med kravet att begränsa skada
Mest läst på InköpsrådetMest läst på Inköpsrådet
Då får ogiltigt avtal beståDå får ogiltigt avtal bestå
Ingen fråga, ingen skadaIngen fråga, ingen skada
Fler nyheter som påverkar it-avtalFler nyheter som påverkar it-avtal
Ursäkta, vad är klockan? (Del 2)Ursäkta, vad är klockan? (Del 2)
Kontraproduktiv begäran om sekretessKontraproduktiv begäran om sekretess

Nytt från Upphandling24

  • Tvingas gräva i skattkistan
  • Bäst på att undvika domstol
  • Vinner mark med sysselsättningskrav
  • Skånsk duo stärker samarbetet
  • Ser fram emot att gräva djupt
  • Forskningsbrev ska göra skillnad
  • ”Alla möbler bör inte återbrukas”

Åsikter på sajten

  • Ett år med kravet att begränsa skada@Erik och Sara-Li, vilken bra artikel! @Bid manager, den erfarenhet vi gjort oss där jag arbetar (medelstor myndighet som trillar...
  • Ett år med kravet att begränsa skadaDet vore intressant att höra från upphandlande myndigheter ifall ni upplever en större mängd frågor under upphandlingsprocessen, mer utmanande och...
  • Ett år med kravet att begränsa skadaTack för inspel, och kul att du ifrågasätter vårt påstående! Det här är ju en krönika med just våra åsikter....
  • Ett år med kravet att begränsa skadaMan kan ifrågasätta författarnas påstående om att "det är viktigt att hela målet prövas redan i första instans". Jag hade...
  • Ingen fråga, ingen skadaMen i detta fall tyckte ju anbudsgivaren att de hade offererat ett "professionellt sladd-headset" i enlighet med underlaget. Alltså fanns...
  • Leder golvprispraxis till dåliga affärer?Hannes har klockrena åsikter, tankar och förslag att stävja otyget med fasta och/eller oskäligt låga priser. Jag delar hans åsikt...
  • Då får ogiltigt avtal beståDen risken finns så klart, men jag tror verkligen inte att den ska överdrivas. Det förutsätter att myndigheten skulle fatta...
  • Då får ogiltigt avtal beståFöreligger det inte risk att UM bygger in systematik i att använda och i dessa fall ”utnyttja” denna rättspraxis i...
  • Ingen fråga, ingen skadaSå bra att leverantören uppmanas att under annonseringstiden fråga om sådant som inte är riktigt beskrivet och som kan uppfattas...
  • Ingen fråga, ingen skadaIntressant. Så slutsatsen tyck vara att anbudsgivaren aldrig ska klaga på otydlighet i underlagen under överprövning eftersom det skadar ens...

Senaste inläggen

  • Skräppostfilter och försenat mejl–igen
  • Ett år med kravet att begränsa skada
  • Mest läst på Inköpsrådet
  • Då får ogiltigt avtal bestå
  • Ingen fråga, ingen skada
  • Fler nyheter som påverkar it-avtal
  • Ursäkta, vad är klockan? (Del 2)
  • Kontraproduktiv begäran om sekretess
  • Bevis krävs för ”Hamburgundantaget”
  • Nytt år, nya möjligheter!
  • Ha en plan för den digitala revolutionen
  • Skynda långsamt?
  • Negativt pris kan också vara ett pris
  • Tillsammans kan vi få cirkulär ekonomi
  • Vikten av en god planering

Aktuella utbildningar

Delta på distans eller på plats i Stockholm. Valet är ditt.

  • Anbudsutvärdering | 7 mars
  • Agil upphandling | 9 mars
  • Kvalificerad entreprenad­upphandlare | 14-15 mars
  • Få fart på er avtals­förvaltning | 21 mars
  • Förhandling som redskap inom offentlig upphandling | 22 mars
  • Praktisk avtalsrätt inom LOU och LUF | 23 mars
  • Kvalificerad IT-upphandlare | 29-30 mars
  • LOU på två dagar | 19-20 april
  • Ramavtal – fördjupningskurs | 3 maj
  • Fördjupad entreprenadupphandling | 4 maj
  • Leda upphandlingar effektivt | 11 maj
  • Säkerhetsskyddad upphandling | Våren 2023