Bakgrund
Sommaren 2020 meddelade EU-domstolen den så kallade Schrems II-domen. Domen är egentligen ett avgörande mellan den österrikiske juristen Maximilian Schrems och det amerikanska bolaget Facebook och rörde huruvida Facebook hade rätt att föra över Schrems data till USA enligt GDPR. EU-domstolen kom fram till att Facebook inte fick föra över datan eftersom amerikansk lagstiftning inte garanterar europeisk rättssäkerhet.
Detta är inget nytt. Striden mellan Europeisk integritetslagstiftning och amerikansk rätt har pågått i flera år och mycket tyder på att de två rättssystemen har grundläggande inkompatibiliteter på just integritetsområdet. Redan 2018 gjorde eSam ett uttalande på samma ämne. ESam är en samarbetsorganisation för digitalisering som drivs av 32 myndigheter och SKR och uttalandet rörde sig om hur den amerikanska lagstiftningen fungerar och inte fungerar med svensk lagstiftning. Man menade från eSams håll att amerikansk rätt gav möjlighet för amerikanska myndigheter att tvinga amerikanska företag att bryta sekretessen och lämna ut information. Även om svenskar och även om datan i fråga var i Sverige, så länge det var ett amerikanskt företag som hade datan. Eftersom detta i så fall skulle ske utan svensk sekretessprövning enligt OSL så fick därmed uppgifter som hanterades av amerikanska företag anses röjda i lagens mening.
Allt detta kan verka ganska högtravande och abstrakt, men har väldigt konkret effekt på skolan och specifikt elevhälsan. Elevhälsan hanterar information om elever och vårdnadshavare som till sin natur är särskilt känslig och omgärdad av ett flertal ibland överlappande sekretesslagstiftningar. Samtidigt så finns det ett skriande behov av moderna, digitala verktyg för att hjälpa till med ärendehantering, dokumentation, analys och just efterlevnad av sekretesslagar, mm. Denna typ av moderna verktyg skapas idag ofta genom att kombinera tjänster från olika leverantörer, många av dem amerikanska.
Så då står man där. Vill man ha moderna system så innebär det ofta att man behöver tar juridiska risker. Det kan gälla sådant som videosamtal via Microsoft Teams, dokumentation i Google Docs eller att använda ett svenskt system som i sin tur lagrar data i någon av de stora amerikanska molnjättarnas datorer. Prorenata var i precis den sitsen för tre år sedan. Vi använde oss av ett flertal amerikanska molntjänster för att tillhandahålla vårt system på ett kostnadseffektivt sätt.
Att flytta databehandlingen
I samband med eSams yttrande för tre år sedan fattade vi därför på Prorenata ett beslut att flytta all databehandling till Sverige från Amazon Web Services på Irland där vi varit tidigare. Syftet var att undanröja juridiska tvivel från våra kunder om just GDPR, CLOUD Act, sekretesslagstiftning, etc. Arbetet var omfattande, vi var bland annat tvungna att utveckla ett eget support system eftersom inga system på marknaden uppfyllde våra krav. Slutresultatet är emellertid att vi faktiskt tror att vi kan kombinera det bästa av två världar. Ett modernt systemstöd med molntjänstens fördelar, inte minst ekonomiskt och driftmässigt, kombinerat med att ha all data i Sverige och full regelefterlevnad!
Hur ser jag till att min data är säker inom elevhälsan
- Gör en informationsklassning med SKRs KLASSA-verktyg och låt den styra arbetet.
- Se över organisationens processer för lösenordshantering och behörighetskontroll. Riktlinjer finns till exempel hos svensk e-identitet här. Många gör bedömningen att nivån LoA 3 behövs för elevhälsan.
- Ställ krav på leverantörernas säkerhetsarbete och regelefterlevnad. Glöm inte att titta igenom underbiträdeslistor. Er leverantör kanske anlitar andra underleverantörer och kedjan är bara så stark som sin svagaste länk.
- Om ni driftar själva, se till att det finns kompetens och resurser inom organisationen för att både tekniken och juridiken ska stämma. Om ni väljer en molnleverantör, välj en med hög säkerhetsnivå som har god kunskap om de särskilda förhållandena som gäller för svensk elevhälsa.
Sammanfattningsvis är detta ett komplicerat område som ofta kan kräva en del planering och eftertanke, men det finns bra lösningar
Jens Alm, VD och grundare på Prorenata