• Digital säkerhet
  • Traditionell säkerhet
  • I FOKUS
  • Nyhetsbrev

State Secrets Privilege – Ett förbisett hinder mot tredjelandsöverföring av personuppgifter till USA?

Ett nytt ramverk om skydd för personuppgifter vid överföring till USA ersätter det ogiltigförklarade Privacy Shield-avtalet och ska möjliggöra användandet av amerikanska molntjänster och överföring av personuppgifter till USA utan att detta strider mot GDPR. Det finns ett annat intressant orosmoln på molntjänsternas himmel, som hittills inte verkar ha fått någon större uppmärksamhet, nämligen State Secrets Privilege. Detta är en princip i amerikansk rättspraxis som innebär att skyddet för uppgifter som angår USA:s nationella säkerhet tar över i princip allt annat. USA:s nationella säkerhet kommer därigenom att gälla före eventuella avtal med EU om skydd för personuppgifter som därmed i praktiken kan sättas ur spel, det skriver Conny Larsson från SIG Security och IT-säkerhetsexperten André Catry.

-

Det här är en opinionstext. Åsikter som uttrycks är skribenternas egna.

När en utomstående leverantör sköter vår informationshantering innebär detta troligen informationen kommer att vara tillgänglig (det vill säga anses utlämnad eller röjd) till denne. Detta kan strida mot GDPR, men även mot sekretessregler hos våra myndigheter och olika bestämmelser om tystnadsplikt hos andra aktörer. Principen om State Secrets Privilege utgör alltså ytterligare en problematik som kan hindra överföring av personuppgifter till USA. Även denna fråga förtjänar vår uppmärksamhet tillsammans med alla diskussioner om GDPR, sekretess och molntjänster.

Enligt EU-domstolens dom den 16 juli 2020 (C-311/18), den så kallade Schrems II-domen, ogiltigförklarades avtalet mellan EU och USA om Privacy Shield för möjliggörande av tredjelandsöverföring av personuppgifter till USA. Skälet är att detta avtal inte anses ge tillräckligt skydd för EU-medborgare mot övervakning och kontroll i USA, särskilt när det inte fanns några begränsningar avseende USA:s övervakning i avtalet och därmed inte heller ett adekvat skydd enligt GDPR för de personuppgifter som överförs. Det nya ramverket för överföring av personuppgifter till USA kommer sannolikt också att prövas i EU-domstolen, eftersom None Of Your Business (NOYB) med Max Schrems i spetsen har uttalat sig kritiskt, det vill säga vi kan nog räkna med en kommande ”Schrems III-dom”.

Principen om State Secrets Privilege är en oskriven rättsregel som utvecklats i amerikansk rättspraxis och som första gången fastställdes i rättsfallet United States v. Reynolds, 345 U.S. 1 (1953). State Secrets Privilege innebär att USA:s regering kan inge en skriftlig begäran om till exempel att viss information inte får användas när detta kan innebära risker för USA:s nationella säkerhet. Detta kan förhindra möjligheten att kontrollera om och hur information hanteras, till exempel personuppgifter från EU. Då skulle det inte heller kunna kontrolleras om USA uppfyller det avtalade ramverket med EU. Om en fråga skulle uppkomma huruvida en behandling av personuppgifter skulle vara förenlig med ramverket, skulle prövningen kunna stoppas med hänvisning till State Secrets Privilege.

Frågan om företräde enligt State Secrets Privilege prövades bland annat i ett avgörande från USA:s högsta domstol (Supreme Court of the United States) från oktober 2021, FBI v. Fazaga. Domstolen kom fram till att USA:s regering kan åberopa State Secrets Privilege för att få målet avskrivet så att målet undantas från prövning. Frågan om förhållandet mellan State Secrets Privilege och det amerikanska regelverket FISA om möjligheten att få en rättslig prövning av lagligheten i underrättelseverksamhet prövades även i ett annat avgörande från USA:s högsta domstol, den 13 juni 2022, Jewel v. NSA.  Med hänvisning till State Secrets Privilege avvisades målsägandens överklagande och därmed blev det inte möjligt att få en prövning av lagligheten i NSA:s massövervakning.

”Om USA skulle garantera EU-medborgare skydd mot övervakning i enlighet med ramverket mellan USA och EU, skulle detta även innebära att USA ger EU-medborgare ett starkare skydd än sina egna”

State Secrets Privilege och de amerikanska rättsfallen kan alltså medföra att förenligheten mellan GDPR och ramverket kan undandras prövning med hänvisning till State Secrets Privilege. De amerikanska domstolarna ska i och för sig göra en prövning av en begäran enligt State Secrets Privilege, men det är knappast troligt att det kan bli fråga om någon egentlig granskning av om begäran är laglig eller befogad. De olika rättsfallen tyder tvärtom på att ett åberopande av State Secrets Privilege okritiskt accepteras rakt av. Detta ökar i sin tur risken för att State Secrets Privilege åberopas även för andra ändamål och syften än att skydda USA:s nationella säkerhet, till exempel att dölja oegentligheter eller att stoppa utredningar eller rättegångar. Om State Secrets Privilege åberopas kommer ramverket att vara helt verkningslöst och rättsfallen visar att risken för detta inte endast är obetydlig.

Ett ytterligare problem är att State Secret Pivilege inte endast gäller information som rör utländska subjekt, utan även amerikanska. Om USA skulle garantera EU-medborgare skydd mot övervakning i enlighet med ramverket mellan USA och EU, skulle detta även innebära att USA ger EU-medborgare ett starkare skydd än sina egna. Detta talar ytterligare för att USA skulle ge State Secrets Privilege företräde framför ramverket.

Möjligheten att hänvisa till State Secret Privilege kan rimligtvis inte betyda annat än att USA inte kan lämna sådana garantier om adekvat skydd för personuppgifter som krävs enligt GDPR. Därför torde inte heller ramverket för skydd för personuppgifter vid överföring till USA vara tillräckligt. Därför kommer problematiken med molntjänster och annan överföring av personuppgifter till USA att kvarstå.

Conny Larsson, ordförande för Sig Security, advokat och specialist inom IT-rätt och säkerhetsjuridik
André Catry, Senior Advisor inom IT-/informationssäkerhet och cyberrisk
Foto: Petter Karlberg

Dessutom kan man fråga sig om ett samhälle som med hänvisning till sekretess för nationell säkerhet (State Secrets Privilege) tillåter staten att undanröja en rättslig prövning av lagligheten i statens åtgärder verkligen kan kalla sig en rättsstat.

REKLAMSAMARBETE

The Clean Feed – en podcast om hur vi gör Internet lite säkrare 

Besedo är ett svenskgrundat kunskapsföretag, inriktat på att öka kvalitet, kundnytta och värde för företag som har användargenererat innehåll på webben. Bland kunderna i...

FLER NYHETER

Datamulor kan frakta information åt Försvars­makten

Ny teknik gör att det går att använda allt fler informationskällor inom militär ledning, och mängden information som kan hämtas in ökar rekordsnabbt. Samtidigt...

REKLAMSAMARBETE

Cybersäkerhetslagen: ”Små företag måste agera nu”

Med cybersäkerhetslagen tar Sverige viktiga kliv framåt för att skydda kritisk infrastruktur och samhällsfunktioner från cyberhot. Antalet sektorer som omfattas ökar och det är...

Kaspersky Lab stänger ner sin verksamhet i USA

Handelskammaren menar att det föreligger en nationell säkerhetsrisk i att Ryssland ska kunna använda Kasperskys mjukvara för att spionera. Detta efter att de genomfört...

REKLAMSAMARBETE

”Generativ AI är fullkomligt avgörande för effektiv cybersäkerhet – både nu och i framtiden”

Den 13 juni, klockan 9.30, bjuder Aktuell Säkerhet och SentinelOne in till ett frukostwebinar om hur du kan använda generativ AI för effektivare cybersäkerhet,...

Utredning kring en förbättrad process för säkerhetsprövningar får tilläggsdirektiv

En särskild utredare har fått i uppdrag att bland annat överväga vilka krav som ska ställas på ett underlag vid en säkerhetsprövning, bedöma om...

Ny hotaktör med fokus på ryska mål observerad – sprider sig nu till andra delar av världen

Kaspersky Lab skriver i sin rapport att gruppen använder sig av ett sofistikerat cyberspionageverktyg som används för övervakning, datainsamling och exfiltrering via Microsoft Graph,...

REKLAMSAMARBETE

Granskning: Snowflake-attacken exempel på oroande trend inom cyberhot

Ett stort antal cyberattacker och dataintrång har präglat nyhetsflödet under 2024 – både i Sverige och globalt. Ett av de största angreppen upptäcktes i...

Efter kriget i Ukraina: Cyberrevanschism

Det här är en opinionstext. Åsikter som uttrycks är skribentens egna.Ryssland har tagit rejält med stryk i kriget även om de ryska styrkorna lärde...

Ryssland laddar för OS i Paris med påverkanskampanj 

– Jag tror nästan säkert att vi kommer att få se rysk inblandning i sommar-OS. Allt sedan 2016 då Ryssland förbjöds att tävla under...

Han blir ny affärsområdeschef för Security hos Enaco

Rickard Hammarberg kommer närmast från en tjänst inom affärsutveckling hos Caverion. Med sin omfattande kunskap och expertis kommer Rickard att spela en central roll...

Regeringen har presenterat ny nationell säkerhetsstrategi

– När regeringen tillträdde för snart två år sedan var det med ett tydligt mandat att ta tag i Sveriges inre och yttre säkerhet....

Ny generaldirektör för IMY

Eric Leijonram är för närvarande chefsjurist på Finansinspektionen. Han har en bakgrund från bland annat domstol, Regeringskansliet och Kriminalvården. Utöver detta har Eric Leijonram...

Offentliga sektorn måste lära sig att hantera cyberattacker

Det här är en opinionstext. Åsikter som uttrycks är skribentens egna.Sedan början av 2024 har flera svenska organisationer fallit offer för cyberattacker utförda av...

ASIS-sommarmingel med historiskt säkerhetsföretag

Jessica Fixelius bjöd på en kort presentation av Pinkerton som grundades i USA redan 1850 av Allan Pinkerton som världens första privatägda detektivbyrå. Företaget...

Uppdrag att utveckla samverkan med civilsamhället i det brottsförebyggande arbetet

– Brottsligheten måste bekämpas och förebyggas med hela samhällets samlade förmåga. Det civila samhällets organisationer erbjuder viktiga insatser på området och bidrar med erfarenheter...

Debatt: Cybersäkerhet måste bli en central fråga för verksamhet och affär

Det här är en opinionstext. Åsikter som uttrycks är skribenternas egna.För ja, det är dyrare att bygga ett robust heltäckande system än att lappa...