Datan hos amerikanska leverantörer? Är lagligt eller säkert viktigast?

Vad är viktigast när företaget har information och data hos amerikanska molnleverantörer, att det är lagligt eller att informationen är säker?

Retorisk fråga, jag vet, men när jag läser det som skrivs just nu så nu framhålls just att det potentiellt blir olagligt om inte USA upprätthåller adekvat skyddsnivå (vilket även jag nämnt tidigare). Flera har konstaterat att detta kan ske och isf snabbt, vilket även IMY har lyft, men verkligheten är ju redan här oavsett om det blir fortsatt lagligt. PCLOB inte är beslutsmässig (och fattar inga beslut alls idag, enligt uppgift från IMY), så även om det fortfarande är lagligt, är vår information säker? Det är här jag blir konfunderad, är inte det viktigaste att vår person data är säker, även om det är lagligt?

Ibland blir diskussionen så akademisk. Om adekvat skyddsnivå återställs, betyder det då att informationen är säker i USA? Är det inte bättre att vi som företagare noggrant utvärderar vilken information vi har var?

Inte bara TADPF / EU-US DPF, utan all information

Frågan rör ju dessutom inte bara person data, utan all företags data. Anledningen till att person data är aktuell är ju att just EU-US DPF reglerar överförande av person data till icke EU-land. Frågan är dock större än så och igen, har inget med laglig / olagligt att göra utan hur vi skyddar vårt företags information / data. För samma enhet som har oversight för EU-US DPF har det för Cloud Act och Fisa. Dessa är dessutom amerikanska lagar och trumfar EU-US DPF. Även om det är lagligt att ha hela företagets kunddata hos Salesforce, är vi trygga med att datan är säker där? Är vi trygga med att all HR-information eller IT-info ligger i ServiceNow? Vill dock vara tydlig, inget emot dessa företag, men om amerikanska myndigheter (FBI / CIA et al) hänvisar till t.ex Cloud Act, kan inte dessa företag neka, de måste följa lagen. Tidigare kunde de bestrida genom att vända sig till PCLOB, men ... just det ... dom är inte beslutsmässiga och vem vet vilka som sitter och skall avgöra vilka bestridanden som beviljas eller nekas framöver?

Vad säger Integritetsskyddsmyndigheten IMY?

Jag deltog även på IMYs webbinarium för någon vecka sedan där bl.a. problematiken med EU-US DPF togs upp. Sverige bevakar området likt sina nordiska grannar, men är lite mer återhållsamma i sin rekommendation och avvaktar EDPBs eventuella åtgärder (EDPB är den del inom EU som ansvarar för detta, men även EU-domstolen kan besluta). Danmark och Norge har rekommenderat sina företag att ha en exit-strategi och IMY rekommenderar företag att följa utvecklingen och ha beredskap. Lägger med några bilder från presentationen runt just detta, som referens.

Stort beroende till molnleverantörer från USA

Många företag är idag beroende av dessa amerikanska molnleverantörer och leverantörerna har lyckats sätta ordentliga hullingar i företagen, både genom att ha väldigt heltäckande och bra tjänster, men även genom sin dominans på marknaden. Detta är en utmaning, men vi kan inte bara ymnigt svettiga sitta still och hoppas på det bästa, vi måste vårda och skydda vår företagsinformation, om inte annat vara medvetna om riskerna det medför.

Vi är försiktiga med USA vad avser andra områden, men inte data och information?

Vill inte låta alarmistisk, men samtidigt som vi idag är skeptiska mot USA på många andra fronter, så skickar vi glatt det som i många fall är företagets absolut viktigaste tillgång, vår data och information, raka vägen till amerikanska leverantörer, det är ju ändå lagligt. Vill med dessa poster lyfta ämnet så att vi får så många infallsvinklar som möjligt i våra beslut runt våra företags data och information.