Skip to content
  • Prenumerera på Inköpsrådets nyhetsbrev
Inköpsrådet
  • Ämnen
    • EU-domstolen
    • Hyresundantaget
    • Kvalificering
    • Likabehandlingsprincipen
    • Processregler
    • Ramavtal
    • Sekretess
    • Upphandlingsskadeavgift
  • Karriär
    • Lediga jobb
    • Lönestatistik
    • Rekrytera smart med Inköpsrådet
  • Utbildning
  • Konferenser
  • Annonsera
    • Annonsera
    • Platsannonsera
  • Om oss
    • Kontakta oss
    • Integritetsspolicy

Oro kring ramverk om personuppgifter

ExpertkommentarPeter Nordbeck fortsätter att skriva om myndigheters användning av molntjänster. Han tar upp den senaste utvecklingen kring det föreslagna nya ramverket för överföring av personuppgifter till USA och den kartläggning av myndigheters användning av molntjänster som har gjorts av den Europeiska dataskyddsstyrelsen.

| 2023-06-29
Peter Nordbeck, advokat, Advokatfirman Delphi.

EU-parlamentet har invändningar mot European Union-U.S. Data Privacy Framework
Det är fortfarande oklart vad som kommer att hända med European Union-U.S. Data Privacy Framework – ramverket som är tänkt att ersätta Privacy Shield som ogiltigförklarades av EU-domstolen 2020 i den så kallade Schrems II-domen.

I ett icke-bindande beslut den 11 maj uttalade EU-parlamentet att EU-kommissionen inte borde besluta om adekvat skyddsnivå för ramverket. Tidigare i år har även EDPB uttryckt oro för att ramverket inte innebär en tillräcklig skyddsnivå för överföring av personuppgifter till USA.   

Som jag har skrivit om i en tidigare expertkommentar har president Biden undertecknat ett presidentdekret – en så kallad Executive Order – om att införa det nya ramverket. För att personuppgifter ska kunna föras över till USA enligt det nya ramverket krävs dock även att EU-kommissionen beslutar om adekvat skyddsnivå, något som alltså EU-parlamentet motsätter sig.

Visserligen anser EU-parlamentet att det nya ramverket innehåller stora förbättringar jämfört med Privacy Shield. Däremot menar man att det inte går tillräckligt långt för att säkerställa en väsentligt likvärdig skyddsnivå för personuppgifterna som inom EU och EES.

Bland annat har EU-parlamentet följande invändningar:

  • Bristande transparens i det domstolsförfarande som inrättats (DPRC) för att ta tillvara rättigheter för de individer vars personuppgifter behandlas;
  • Bristande garantier för att domarna i DPRC är oberoende. EU-parlamentet noterar att USA:s president kan avskeda domare under deras mandatperiod och även upphäva deras beslut;
  • Det är alltjämt tillåtet med bulkinsamling av data i vissa fall och det saknas tillräckliga skyddsmekanismer i de fall där det sker. Bland annat saknas skydd i form av oberoende föregående auktorisation av bulkinsamling och tydliga regler för hur länge uppgifterna får bevaras.

EU-parlamentet påpekar även att ett beslut om ramverket skulle kunna upphävas av EU-domstolen, vilket skulle skapa rättslig osäkerhet och ytterligare kostnader för medborgare och företag inom EU. 

Vidare noterar EU-parlamentet att ett beslut om adekvat skyddsnivå kan fattas endast sedan amerikanska myndigheter har sett till att de åtaganden som görs i Executive Order uppfylls i praktiken. EU-parlamentet noterar att åtagandet att uppdatera underrättelsemyndigheternas policyer för att återspegla de skärpta kraven på skydd för människors privatliv och civila rättigheter ska vara uppfyllt först i oktober i år.

Det blir spännande att se EU-kommissionens reaktion på de invändningar som EU-parlamentet och EDPB har haft på ramverket European Union-U.S. Data Privacy Framework. Min gissning är att EU-kommissionen ändå kommer att driva igenom ett beslut om adekvat skyddsnivå för ramverket. Om det sker är det troligt att beslutet kommer att hamna på EU-domstolens bord. Utgången i ett sådant fall är oviss och risken finns naturligtvis att vi hamnar i ett ”Schrems III”, det vill säga ett nytt ogiltigförklarande av ett ramverk för överföring av personuppgifter till USA.

Som EU-parlamentet påpekar, vore det mycket olyckligt. Det behövs en förutsebarhet när det gäller överföring av personuppgifter till USA, inte minst när det gäller användning av molntjänster. Ett beslut om adekvat skyddsnivå för European Union-U.S. Data Privacy Framework skulle onekligen underlätta för myndigheters användning av molntjänster.

Kartläggning av myndigheters användning av molntjänster
I en tidigare expertkommentar uppmärksammade jag att Integritetsskyddsmyndigheten, IMY, gjorde en kartläggning av myndigheters användning av molntjänster. Ett relativt omfattande frågeformulär skickades ut till elva statliga myndigheter. Sju myndigheter svarade på formuläret. 

Kartläggningen var ett led i ett initiativ från den Europeiska dataskyddsstyrelsen, EDPB. Samtidigt som IMY gjorde sin kartläggning undersökte många andra dataskyddsmyndigheter inom EU hur molntjänster används inom offentlig sektor i deras respektive länder. Totalt skickades enkäter ut till nära hundra olika europeiska myndigheter.

EDPB har redovisat resultatet av sin undersökning i en rapport – 2022 Coordinated Action, Use of cloud-based services by the public sector. Rapporten finns att läsa här.

Några slutsatser från EDPBs rapport
EDPB:s undersökning omfattade 98 myndigheter i EU:s medlemsstater. Av dessa uppgav en stor majoritet, 87 stycken, att man använde sig av molntjänstleverantörer eller planerade att göra det vid utgången av år 2022.

De flesta myndigheter använde molntjänster för sina interna ändamål, men en stor andel – 48 stycken – använde molntjänstleverantörer även för tillhandahållande av tjänster gentemot sina medborgare.

EDPB noterade i sin rapport ett antal områden med förbättringspotential:

Konsekvensbedömning
Endast 32 av 87 myndigheter som använde sig av en molntjänstleverantör uppgav att man hade gjort en konsekvensbedömning. EDPB understryker att en konsekvensbedömning ofta är nödvändig att göra när myndigheter använder sig av molntjänster. Om en konsekvensbedömning inte har gjorts i samband med ingående av avtalet med molntjänstleverantören måste den göras så fort som möjligt därefter.

I de fall det inte är nödvändigt att göra en konsekvensbedömning måste i vart fall en riskbedömning göras för att myndigheten ska uppfylla artikel 24 och 32 i GDPR.

EDPB konstaterar vidare att vissa myndigheter svarat att man förlitade sig på säkerhetsåtgärder som vidtagits av molntjänstleverantören, men att de riskbedömningar som molntjänstleverantören gör typiskt sett rör informationssäkerhet och inte är tillräckliga för att bedöma dataskyddsaspekterna.

Intressant är även att endast drygt hälften av myndigheterna (48 stycken) kontaktade dataskyddsombudet för rådgivning.

Klarläggande av roller – personuppgiftsansvarig/personuppgiftsbiträde
EDBP noterar att molntjänstleverantören i vissa fall kan uppträda som personuppgiftsansvarig för behandlingen av personuppgifter. Det kan till exempel röra sig om behandlingen av diagnostik/telemetriska data, som statistikuppgifter avseende användningen av molntjänsterna.

En reflektion är att många myndigheter saknar kunskap om behandlingen av diagnostik/telemetriska data. EDPB betonar att det måste finnas en rättslig grund för myndighetens överföring av diagnostik/telemetriska data till molntjänstleverantören. Annars utgör det ett brott mot GDPR.

Svårigheter att använda sig av ett skräddarsytt avtal med molntjänstleverantören
EDPB noterar även att det kan vara svårt för myndigheten att förhandla avtalet med molntjänstleverantören och att det kan göra att det blir problematiskt för myndigheten att uppfylla sina skyldigheter enligt GDPR, till exempel att bestämma ändamålen och medlen med behandlingen.

Underbiträden
En observation som EDPB gör är att de flesta myndigheter verkar ha begränsad kontroll över molntjänstleverantörens underbiträden och inte kan invända mot användningen av underbiträden på ett meningsfullt sätt.

Ett sätt som EDBP förespråkar är att definiera i kontraktet vilka specifika kriterier som underbiträden måste uppfylla och vilken information som molntjänstleverantören måste tillhandahålla beträffande föreslagna nya underbiträden.  

Dataskyddsombud
Dataskyddsombudets inblandning i processen att träffa avtal med molntjänstleverantörer poängteras.   

Cloud Act
En intressant iakttagelse är att EDPB ingående även belyser problematiken med Cloud Act och inte bara ”Schrems-II-problematiken” i samband med överföringar av personuppgifter till land utanför EU/EES. Med problematiken med Cloud Act menar jag de frågor som uppstår när myndigheten träffar avtal med en molntjänstleverantör som har sitt säte inom EU, där molntjänstleverantörens moderbolag finns i tredje land, till exempel i USA, och där myndigheter i det tredje landet kräver åtkomst till uppgifter som finns hos molntjänstleverantören. EDPB:s rekommendation är att en noggrann analys ska göras även i detta fall.

Några reflektioner
Rapporten är intressant läsning. Min tolkning är att den visar på en ganska låg medvetenhet om riskerna med att ingå avtal med molntjänstleverantörer bland myndigheter inom EU. EDPB meddelar att arbetet kommer att fortsätta och att rekommendationer för myndigheternas användning av molntjänster kan komma att tas fram.

För den som är intresserad, innehåller rapporten en utförlig beskrivning av de beslut som dataskyddsmyndigheter i EU:s medlemsstater har tagit när det gäller användningen av molntjänster.

Peter Nordbeck
Advokat, Advokatfirman Delphi  

Få din fråga om upphandling besvarad
Skickar

Läs mer: Expertkommentar

Kommentatorerna ansvarar för sina egna kommentarer

Lämna ett svar Avbryt svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *

Fler artiklar

Lediga jobb

Upphandlingsjurister till Statens inköpscentral på Kammarkollegiet

Svenska Bostäder söker entreprenadupphandlare

Avtalscontroller inom välfärdsbrottslighet till Sollentuna kommun

  • Rekrytera rätt kompetens med Inköpsrådet

Peter Nordbeck

Peter Nordbeck har över tjugo års erfarenhet av att arbeta med it-rättsliga frågor. Han fokuserar på outsourcing, molntjänstavtal och dataskydd och biträder klienter både inom privat och offentlig sektor. Vanliga ärenden är upprättande av avtal vid upphandlingar och risk- och sårbarhetsanalyser när myndigheter och andra enheter inom offentlig sektor tänker anlita molntjänstleverantörer. Han föreläser regelbundet om it-avtal, molntjänster och dataskydd.
ANNONS FRÅN UPPHANDLING24

Lär dig LOU av en expert

En kursledare med ambitionen att förenkla upphandlarens vardag. Grundläggande LOU med nyheter och praxis. Mathias Sylvan guidar dig rätt i regelverket och djupdyker i valda delar.

Förslag 2: Gör teckal-undantaget mer lättlästFörslag 2: Gör teckal-undantaget mer lättläst
Hur allvarligt fel krävs för uteslutning?Hur allvarligt fel krävs för uteslutning?
Så ändras överprövnings- och skadeståndsreglernaSå ändras överprövnings- och skadeståndsreglerna
Avsteg från centralt villkor medförde upphandlingsskadeavgiftAvsteg från centralt villkor medförde upphandlingsskadeavgift
Ny vägledning för att hantera leverantörer utanför EUNy vägledning för att hantera leverantörer utanför EU
Misstanke om jäv räcker inte för att avbrytaMisstanke om jäv räcker inte för att avbryta
Förslag 1: Förhandlat förfarande bör tillåtas utan angivna skälFörslag 1: Förhandlat förfarande bör tillåtas utan angivna skäl
Krävs mer än spekulationer för utredningsansvarKrävs mer än spekulationer för utredningsansvar

Nytt från Upphandling24

  • UKÄ tvingas böta 90 000
  • Tveksamt asfaltsköp på Åland
  • Kvinnor dominerar växande kår
  • Falkenberg rekryterar dubbelt
  • Mot nollutsläpp med nya grepp
  • Livsmedelsupphandlare med många järn i elden
  • Pionjär inom cirkulära förkläden

Kommentarer från läsarna

Andreas : Hur allvarligt fel krävs för uteslutning?
Någon som har målnummer på kammarrättspraxis angående de fakultativa grunderna och att man kan välja tillämpning där? Hade missat det.
Upphandlare : Hur allvarligt fel krävs för uteslutning?
En fråga till författarna med anledning av analysens första stycke. Skulle det alltså vara ok att UM behåller valfriheten att…
Mikael Johansson : Förslag 1: Förhandlat förfarande bör tillåtas utan angivna skäl
Tack för att du lyfter detta. Det borde rimligtvis bli större möjligheter att använda det alla fall. Jobbade med LUF…
Anna : Förslag 1: Förhandlat förfarande bör tillåtas utan angivna skäl
Jag är helt med på Davids linje att genomföra förhandlat förfarande i ett steg. Jag har även kombinerat konkurrenspräglad dialog…
David Sundgren : Förslag 1: Förhandlat förfarande bör tillåtas utan angivna skäl
Håller helt med! Jag har genomfört förhandlade förfaranden i ett steg och så länge ingen lider skada ser jag inget…
David Sundgren : Förslag 1: Förhandlat förfarande bör tillåtas utan angivna skäl
Ja, men vad är det som hindrar att anbuden justeras efter ett anbudsmöte i ett öppet förfarande om inga obligatoriska…
Kristian Pedersen : Förslag 1: Förhandlat förfarande bör tillåtas utan angivna skäl
Precis! Kostnader, såsom transaktionskostnader, måste som du är inne på alltid vägas mot nyttan. Min uppfattning är dock att det…
Kristian Pedersen : Förslag 1: Förhandlat förfarande bör tillåtas utan angivna skäl
Intressanta reflektioner. Jag har dock lite svårt att se att risken för oproportionerligt ökad favorisering och korruption skulle vara större…
Undrande upphandlare : Förslag 1: Förhandlat förfarande bör tillåtas utan angivna skäl
Jag har personligen alltid under alla år jag har jobbat med detta (ca 20) undrat över varför ett förhandlat förfarande…
Kristian Pedersen : Förslag 1: Förhandlat förfarande bör tillåtas utan angivna skäl
Det stämmer att anbudspresentationer och andra typer av möten kan genomföras även i exempelvis öppna förfaranden, men några förhandlingar får…

Senaste inläggen

  • Förslag 2: Gör teckal-undantaget mer lättläst
  • Hur allvarligt fel krävs för uteslutning?
  • Så ändras överprövnings- och skadeståndsreglerna
  • Avsteg från centralt villkor medförde upphandlingsskadeavgift
  • Ny vägledning för att hantera leverantörer utanför EU
  • Misstanke om jäv räcker inte för att avbryta
  • Förslag 1: Förhandlat förfarande bör tillåtas utan angivna skäl
  • Krävs mer än spekulationer för utredningsansvar
  • Ogiltigt, oacceptabelt, olämpligt – en orimlig (o)ordning?
  • Advokatbyråns 15 förbättringsförslag
  • Oklara omständigheter för preklusionsregler
  • Upphandlingsrättsliga föreningen firade 15 år
  • Annika är upphandlingsjuristen som inte ville bli jurist
  • Allvarligt fel när vd begått brott
  • Fel att förkasta anbud som onormalt lågt

Aktuella utbildningar

Delta på distans eller på plats i Stockholm. Valet är ditt.

  • Säkerhetsskyddad upphandling | 14 maj
  • Kvalificerad entreprenad­upphandlare | 22-23 oktober
  • Ramavtal – fördjupningskurs | 6 november
  • Kvalificerad IT-upphandlare | 12-13 november
  • Leda upphandlingar effektivt | 20 november
  • Entreprenadupphandling och AMA AF | 25 november
  • LOU på två dagar | 2-3 december
  • Kvalificerad IT-upphandlare – Steg 2 praktisk tillämpning | Hösten 2025
  • Få fart på er avtals­förvaltning | Hösten 2025