Biden lovar säker dataöverföring mellan EU och USA. Så vad händer nu?

President Joe Bidens verkställande order om säkrare dataöverföring med EU applåderas av en del. Andra tror inte att den kommer att hålla i en eventuell ny domstolsprövning.

CS har samlat in reaktionerna på beslutet som kan vara början på slutet för det rådande molnkaoset.

Sent förra veckan kom så den amerikanska regeringens emotsedda besked om hur de ska bemöta svårigheterna att skydda personuppgifter juridiskt när dessa överförs mellan USA och Europa.

Beskedet har varit efterlängtat, då det tidigare skyddet Privacy Shield ogiltigförklarats i domstol.

Det blev en så kallad verkställande order från president Joe Biden om att genomföra ett ramverk för dataöverföring över Atlanten.

Detta innehåller nya integritetsgarantier från USA:s sida vid underrättelseinhämtning, en skrivning om att underrättelseverksamheterna bara ska göra det som är nödvändigt och proportionerligt samt att ett det ska skapas ett nytt tvåstegssystem för prövning.

Flera experter och molnleverantörer talar om att beskedet är efterlängtat och att lösningen på den infekterade frågan nu kan skönjas. Andra har inte särskilt stora förhoppningar – det kommer inte att hålla för en eventuell ny domstolsprövning, menar de.

Positiva signaler från Kommissionen

Caroline Olstedt Carlström, ordförande för Forum för dataskydd och partner i advokatfirman Cirio, är glad över att diskussionerna gått framåt och lett till konkreta förslag på amerikansk sida.

– Allra mest spännande är det nu att se hur den Europeiska dataskyddsstyrelsen, EDPB, ställer sig, säger hon.

När de och andra aktörer såsom EU-parlamentet väl har sagt sitt så går frågan vidare till EU-kommissionen som tar ett så kallat ”adequacy decision” – en bedömning av om ett land utanför EU har en tillräcklig nivå på sitt dataskydd.

Och det lutar åt att EU-kommissionen kommer att vara med på noterna – redan i fredags gick den ut med en Q&A där deras svar andas ett positivt budskap, enligt Caroline Olstedt Carlström. Kommissionen har också förhandlat detta med amerikanska företrädare i flera månader.

Så även om det kan tillkomma nya omständigheter verkar det luta åt ett godkännande från kommissionens sida. –

Även enskilda stater kan säga sitt så där får man hoppas att det hela är förankrat bakåt helt enkelt. Alla involverade har ju haft intentionen att detta ska hålla, säger hon.

Ett nytt avtal måste stå emot prövning

Om det blir grönt ljus för det nya avtalet även från EU:s sida så kommer den juridiska risken för att överföra data till USA att minska.

– Formellt sett finns det då ett tillräckligt stöd för överföring till USA som många organisationer kan luta sig emot. Det är en stor skillnad i den legala situationen jämfört med dagens situation.

Men med det sagt finns alltid en risk att det utmanas och att det kommer en Schrems III-dom, säger Caroline Olstedt Carlström som samtidigt poängterar att det är den förutsättning som ofta gäller.

– Domstolsprövningar är den sista utposten för uttolkning av GDPR. Det kan alltid finnas oklarheter som avgörs i domstol där det ytterst blir EU-domstolen som avgör.

Molnjättarna berömmer presidenten

För de amerikanska molnleverantörerna med verksamhet i Europa är nyheten efterlängtad.

Eva Fors, Nordenchef på Google Cloud, säger att de håller på att analysera den här verkställande ordern, men att de initialt är ”väldigt positiva” till beskedet från Joe Biden i fredags.

– Utifrån ett Google-perspektiv välkomnar vi den här verkställande ordern. Det här är ett sätt att skydda personers data på båda sidorna av Atlanten.

Från vår sida ser vi det här som ett avgörande steg framåt, och vi kommer nu att analysera detaljerna i det tillkännagivandet. Innan vi är klara med den analysen kan vi inte kommentera det mer än så.

Även från IBM:s sida är det positiva tongångar och deras integritetschef Christina Montgomery ”berömmer Vita huset” i en skriftlig kommentar för att ha sjösatt ordern.

– Det här avtalet kommer att stärka viktiga skydd för individens integritet vid insamling av underrättelser, och samtidigt säkerställa att data kan fortsätta flöda ostört över Atlanten.

Nu ser Montgomery fram emot nästa steg för att slutföra processen och detta kommer att tas av EU-kommissionen och andra EU-institutioner.

– De här stegen kommer att återställa säkerheten för de tusentals företag som redan är självcertifierade under Privacy Shield.

– Att tillhandahålla förutsägbara, fria dataflöden mellan USA och EU kommer att säkerställa de ömsesidiga fördelarna med fortsatt affärssamarbete och skapa en grund för framtida ekonomisk tillväxt.

Kritiker: Kärnfrågorna inte lösta

Frågan är nu om ändringarna som görs kommer att räcka för att uppfylla EU-lagstiftningen på dataskyddsområdet.

Lyssnar man på Max Schrems, advokaten och integritetsaktivisten som drev fram den så kallade Schrems II-domen, så är förmodligen inte sista ordet sagt.

I en intervju med nyhetssajten The Register säger han att EU och USA fortfarande inte definierar vissa termer, som till exempel ”proportionell”, på samma sätt.

– Vid första anblicken verkar det som om kärnfrågorna inte har lösts och det kommer att studsa tillbaka till EU-domstolen förr eller senare.

Många europeiska leverantörer har framhävt integritetsfrågorna i konkurrensen med de amerikanska leverantörerna. Johan Christenson är vd på svenska molnleverantören Cleura

Och han är nu mycket kritisk till att ”EU-kommissionen ytterligare en gång kan tänka sig att göra detta halvdant i stället för att skapa en solid grund att stå på”, skriver han i en kommentar till Computer Sweden.

– Man gör vattnet grumligt igen både för europeiska leverantörer och köpare av molntjänster. Vem vågar investera långsiktigt på en exekutiv order som kan tas bort vilken minut som helst? Som dessutom inte håller om den tas upp i EU-domstolen?

– Hade USA önskat göra en ordentligt förändring för att stödja det vi alla anser är en mänsklig rättighet, nämligen privacy, hade de gjort det.

Nu lär Schrems III komma och det är inget annat än pinsamt för oss européer.