Snart kan det bli olagligt att ha data på Azure, AWS och Google Cloud

"Vad är det du skriver, det kan ju inte vara sant, vääääl?". Det är dessvärre helt sant och händer just nu!

EU-US DPF

Det som hänt är att den 20 Januari signerade Trump en exekutiv order som innebär att om 45 dagar kan Trans-Atlantic Data Privacy Framework (TADPF) rivas upp och redan nu hotas den oberoende enhet som fungerar som oversight bl.a. åt EU (PCLOB) genom att samtliga demokratiska medlemmar uppmanats att säga upp sig, annars får dom sparken. Det är den enhet som idag agerar oversight, inte bara åt EU, utan även är den enhet som övervakar att de amerikanske underrättelsetjänsterna följer regler och föreskrifter (bl.a. FISA Section 702), kan komma att hamna helt i Trumps makt utan oberoende mm.

EU förlitar sig mycket på just Privacy and Civil Liberties Oversight Board (PCLOB) för att säkerställa att EU-US DPF efterföljs.

Varje företag som använder Azure, AWS och Google etc bör ha beredskap och ta fram en plan för att eventuellt flytta till ett moln från företag i EU / Sverige

Att ta fram en alternativ plan för företagets applikationer och då primärt personlig data är nog något alla borde göra. Det värsta som kan hända är att ni har en bra plan för framtiden hur ni kan flytta till ett mer lokalt moln i EU / Sverige (företag från EU / Sverige), men i värsta fall behöver ni inom kort agera för att både skydda informationen och att inte bryta mot diverse EU-lagar. EU i detta fall har endast velat skydda personlig data från att inte utnyttjas av USAs underrättelsetjänster, men när USA ev river upp deras sida av åtagandet får det dessvärre konsekvensen att datan inte längre är skyddad och då EU (och vi alla) vill det, så bryter det mot EU-regler att ha kvar datan i moln från USA baserade leverantörer.

Potentiellt blir inte bara datan oskyddad, det kan även innebära ofrivilliga böter.

Att utvärdera att flytta till lösning inom EU är även något t.ex CMS Law rekommenderar.

Konkret, vad händer?

If the US government repeals key elements of the TADPF, it could become illegal for EU companies to use US cloud services. Although data transfers will remain legal for now until the agreement is formally repealed.

-- Max Shrems

Skulle PCLOB medlemmar avsättas och TADPF rivas upp har EU varken ramverk som stöttar säker överföring och hantering av personlig data eller enhet som övervakar att informationen inte missbrukas. Det gör att det i EU blir olagligt att föra över information till USAs molnleverantörer.

Beredskap behövs för händelser likt detta!

Det här kan på ytan te sig som en IT fråga rörande hantering av personlig data. Det finns en till aspekt som blir allt viktigare att reflektera och planera för.

Vart är vår data och har vi fortsatt säker tillgång till den om säkerhetsläget eller när omvärldsläget förändras?

EU-US DPF situationen är en konsekvens av den problematiska värld vi lever i just nu och kanske bör ses som en liten påminnelse om att vi behvöer ha planer för att hantera risker likt denna. Sverige är ett av världens mest IT beroende länder. Detta kan jämföras med t.ex Ukraina som visat sig ha en enorm resiljens (el , vatten, kommunikation, transport etc), mycket tack vare att stora delar av viktiga samhällsfunktioner är manuella.

Varje företag behöver idag ha planer för hur vi hanterar vår data och kommunikation på ett sälert sätt och säkerställer att vi har tillgång till den datan även när skiten träffar fläkten och allt blir knas.

Länkar för vidare läsning och fördjupning

Juridisk och officiella beskrivningar

Översikt (EUs one-pager)

Vad är EU-US. DPF? (officiell sida)

Vad är EU-US. Data Privacy Framwork (svensk juridisk förklaring av techlaw)

Is the EU-US. Data Privacy Framework in danger? (CMS Law)

Executive Order (White House)

Generell information

Bakgrund EU-US DPF (wikipedia)

Will the US cloud soon be illigal in EU? (CIO)

Trump seeks to paralyze independent privacy and civil liberties watchdog (NYT)

Trump dismantles surveillance watchdog, triggering Europes privacy PTSD (Politico)


© 2025 Fredrik Stenbeck.