• Digital säkerhet
  • Traditionell säkerhet
  • I FOKUS
  • Nyhetsbrev

State Secrets Privilege – Ett förbisett hinder mot tredjelandsöverföring av personuppgifter till USA?

Ett nytt ramverk om skydd för personuppgifter vid överföring till USA ersätter det ogiltigförklarade Privacy Shield-avtalet och ska möjliggöra användandet av amerikanska molntjänster och överföring av personuppgifter till USA utan att detta strider mot GDPR. Det finns ett annat intressant orosmoln på molntjänsternas himmel, som hittills inte verkar ha fått någon större uppmärksamhet, nämligen State Secrets Privilege. Detta är en princip i amerikansk rättspraxis som innebär att skyddet för uppgifter som angår USA:s nationella säkerhet tar över i princip allt annat. USA:s nationella säkerhet kommer därigenom att gälla före eventuella avtal med EU om skydd för personuppgifter som därmed i praktiken kan sättas ur spel, det skriver Conny Larsson från SIG Security och IT-säkerhetsexperten André Catry.

-

Det här är en opinionstext. Åsikter som uttrycks är skribenternas egna.

När en utomstående leverantör sköter vår informationshantering innebär detta troligen informationen kommer att vara tillgänglig (det vill säga anses utlämnad eller röjd) till denne. Detta kan strida mot GDPR, men även mot sekretessregler hos våra myndigheter och olika bestämmelser om tystnadsplikt hos andra aktörer. Principen om State Secrets Privilege utgör alltså ytterligare en problematik som kan hindra överföring av personuppgifter till USA. Även denna fråga förtjänar vår uppmärksamhet tillsammans med alla diskussioner om GDPR, sekretess och molntjänster.

Enligt EU-domstolens dom den 16 juli 2020 (C-311/18), den så kallade Schrems II-domen, ogiltigförklarades avtalet mellan EU och USA om Privacy Shield för möjliggörande av tredjelandsöverföring av personuppgifter till USA. Skälet är att detta avtal inte anses ge tillräckligt skydd för EU-medborgare mot övervakning och kontroll i USA, särskilt när det inte fanns några begränsningar avseende USA:s övervakning i avtalet och därmed inte heller ett adekvat skydd enligt GDPR för de personuppgifter som överförs. Det nya ramverket för överföring av personuppgifter till USA kommer sannolikt också att prövas i EU-domstolen, eftersom None Of Your Business (NOYB) med Max Schrems i spetsen har uttalat sig kritiskt, det vill säga vi kan nog räkna med en kommande ”Schrems III-dom”.

Principen om State Secrets Privilege är en oskriven rättsregel som utvecklats i amerikansk rättspraxis och som första gången fastställdes i rättsfallet United States v. Reynolds, 345 U.S. 1 (1953). State Secrets Privilege innebär att USA:s regering kan inge en skriftlig begäran om till exempel att viss information inte får användas när detta kan innebära risker för USA:s nationella säkerhet. Detta kan förhindra möjligheten att kontrollera om och hur information hanteras, till exempel personuppgifter från EU. Då skulle det inte heller kunna kontrolleras om USA uppfyller det avtalade ramverket med EU. Om en fråga skulle uppkomma huruvida en behandling av personuppgifter skulle vara förenlig med ramverket, skulle prövningen kunna stoppas med hänvisning till State Secrets Privilege.

Frågan om företräde enligt State Secrets Privilege prövades bland annat i ett avgörande från USA:s högsta domstol (Supreme Court of the United States) från oktober 2021, FBI v. Fazaga. Domstolen kom fram till att USA:s regering kan åberopa State Secrets Privilege för att få målet avskrivet så att målet undantas från prövning. Frågan om förhållandet mellan State Secrets Privilege och det amerikanska regelverket FISA om möjligheten att få en rättslig prövning av lagligheten i underrättelseverksamhet prövades även i ett annat avgörande från USA:s högsta domstol, den 13 juni 2022, Jewel v. NSA.  Med hänvisning till State Secrets Privilege avvisades målsägandens överklagande och därmed blev det inte möjligt att få en prövning av lagligheten i NSA:s massövervakning.

”Om USA skulle garantera EU-medborgare skydd mot övervakning i enlighet med ramverket mellan USA och EU, skulle detta även innebära att USA ger EU-medborgare ett starkare skydd än sina egna”

State Secrets Privilege och de amerikanska rättsfallen kan alltså medföra att förenligheten mellan GDPR och ramverket kan undandras prövning med hänvisning till State Secrets Privilege. De amerikanska domstolarna ska i och för sig göra en prövning av en begäran enligt State Secrets Privilege, men det är knappast troligt att det kan bli fråga om någon egentlig granskning av om begäran är laglig eller befogad. De olika rättsfallen tyder tvärtom på att ett åberopande av State Secrets Privilege okritiskt accepteras rakt av. Detta ökar i sin tur risken för att State Secrets Privilege åberopas även för andra ändamål och syften än att skydda USA:s nationella säkerhet, till exempel att dölja oegentligheter eller att stoppa utredningar eller rättegångar. Om State Secrets Privilege åberopas kommer ramverket att vara helt verkningslöst och rättsfallen visar att risken för detta inte endast är obetydlig.

Ett ytterligare problem är att State Secret Pivilege inte endast gäller information som rör utländska subjekt, utan även amerikanska. Om USA skulle garantera EU-medborgare skydd mot övervakning i enlighet med ramverket mellan USA och EU, skulle detta även innebära att USA ger EU-medborgare ett starkare skydd än sina egna. Detta talar ytterligare för att USA skulle ge State Secrets Privilege företräde framför ramverket.

Möjligheten att hänvisa till State Secret Privilege kan rimligtvis inte betyda annat än att USA inte kan lämna sådana garantier om adekvat skydd för personuppgifter som krävs enligt GDPR. Därför torde inte heller ramverket för skydd för personuppgifter vid överföring till USA vara tillräckligt. Därför kommer problematiken med molntjänster och annan överföring av personuppgifter till USA att kvarstå.

Conny Larsson, ordförande för Sig Security, advokat och specialist inom IT-rätt och säkerhetsjuridik
André Catry, Senior Advisor inom IT-/informationssäkerhet och cyberrisk
Foto: Petter Karlberg

Dessutom kan man fråga sig om ett samhälle som med hänvisning till sekretess för nationell säkerhet (State Secrets Privilege) tillåter staten att undanröja en rättslig prövning av lagligheten i statens åtgärder verkligen kan kalla sig en rättsstat.

REKLAMSAMARBETE

Visste du detta om Ransomware?

Ransomware har blivit en alltmer akut fråga som berör företag i alla storlekar och ingen organisation är immun mot dess följder. Vad som kanske inte är lika känt är att Ransomware omfattar flera olika typer av attacker. Samtidigt fortsätter Ransomware-incidenter att utvecklas och anpassa sig till nya förhållanden. Från krypteringsbaserad Ransomware till dubbel och nu till och med trippel utpressning. Trots att vi har nått år 2024 är det många organisationer som fortfarande förlitar sig på föråldrade anti-ransomware-kontroller och tankesätt.

FLER NYHETER

C-Resiliens blir CR-Group

– Det går nästan inte att överskatta behovet av cybersäkerhet i samhället idag. Bakom namnet CR Group finns företag, individer och teknologier som dagligen...

REKLAMSAMARBETE

Addici Security rekryterar områdeschef

Johan Kihl har arbetat inom säkerhetsbranschen i över 25 år och kommer närmast från rollen som operation development manager.– På Addici Security &...

REKLAMSAMARBETE

MSP:er, har ni tagit på er egen syrgasmask innan ni hjälper era kunder med it-säkerhet?

Det här är en opinionstext. Åsikter som uttrycks är skribenternas egna.It-säkerhet är en komplex fråga och med tanke på större lagkrav, EU-direktiv, loggningskrav och...

Svenska företags beredskap mot cyberhot kritiseras i ny rapport

Under det senaste året har flera stora och uppmärksammade attacker vållat skada på såväl svenska företag, som störningar hos offentlig sektor, myndigheter och civilsamhälle,...

REKLAMSAMARBETE

Ny boendesprinkler ska förhindra bostadsbränder

Andra förbättringar inkluderar en inbyggd batteribackup och en kommunikationsmodul som hanterar tekniska och skarpa larm som kan kopplas till olika larmsystem. Dessutom har installationen...

Regeringen kraftsamlar för att stoppa den kriminella ekonomin

De myndigheter som berörs är myndigheter med ansvar att ta in skatt, tull och obetalda skulder, regelefterlevnad på arbetsmarknaden, besluta om ersättningar och bidrag...

Nytt centrum för krigsspel vid Försvarshögskolan

– Genom att samla Försvarshögskolans verksamhet inom krigsspel kan vi skapa synergier och få ett större genomslag i den här snabbt växande sektorn, både...

Tele2 Samarbete ska förhindra att känslig data lämnar landet

En av de största fördelarna med Tele2 Samarbete är att all datahantering och lagring utförs i Sverige av en svensk leverantör, vilket ger digital...

Addsecure utökar ISO 27001-certifiering

ISO 27001-certifieringen är en internationellt erkänd standard som ger ett systematiskt tillvägagångssätt för att hantera känslig företagsinformation och säkerställa dess konfidentialitet, integritet och tillgänglighet...

Många företag överväger att lägga ned eller flytta verksamheten på grund av brottsligheten

Under de senaste åren har brottsligheten kommit att bli ett av de största hoten mot näringsfriheten i Sverige. Trots det har endast en tredjedel...

Sammanslagning ger nordisk expert på fallskydd

AAK Safety är en norsk leverantör av fallskydds- och räddningsutrustning. Bolaget säljer skräddarsydda fallskyddslösningar utformade för att rädda liv och förhindra olyckor inom branscher...

AI kan göra cyberattackerna värre – men vi kan göra oss redo att möta hotet

Det här är en opinionstext. Åsikter som uttrycks är skribenternas egna.Vår senaste internationella undersökning bland företag med 100 till 5 000 anställda visade att...

Avarn Security Systems förstärker organisationen

Jonas Niklasson kommer närmast från rollen som distriktschef på Securitas Technology Sverige, och hade dessförinnan samma roll på Stanley Security Sverige. Jonas har även...

Cybersäkerhetsangrepp mot Sverige: Det nya normalläget

Det här är en opinionstext. Åsikter som uttrycks är skribenternas egna.Cybersäkerhetsangrepp kan inte längre beskrivas som någon ny företeelse som behöver analyseras eller utredas...