2021-03-23 Personuppgiftshantering: Schrems II och skolans molntjänster

Molntjänster har snabbt blivit en viktig del av skolans digitala vardag. Men ett mycket påtagligt problem uppstod den 16 juli 2020, då EU-domstolen meddelade dom i det så kallade Schrems II-målet. Domstolen slår fast att Privacy Shield-avtalet mellan EU och USA inte ger ett tillräckligt skydd för personuppgifter när dessa förs över till USA. De huvudmän som själva eller via underleverantörer använde molntjänster från tjänsteleverantörer utanför EU, såsom Microsoft, Google och Amazon behöver reda ut ifall användningen kan fortgå eller om skyddsåtgärder behövs.

För många populära molntjänster behöver dock personuppgifter bearbetas i klartext. Skyddsåtgärder som kryptering, pseudonymisering eller anonymisering är därför svåra eller i praktiken omöjliga att genomföra. De överförda personuppgifterna kan därmed komma att ställas till amerikanska myndigheters förfogande. Förutom den oönskade konsekvensen av att använda molntjänster riskerar även huvudmannen att Integritetsskyddsmyndigheten (IMY) kan att besluta om sanktionsavgifter mot dem. EU har sagt sig önska ett nytt avtal mellan EU och USA, men då ett att sådant avtal måste uppfylla alla Schrems II-domens krav förväntas det ta tid.

Under seminariet diskuteras hur Schrems II-domen kommer påverka användningen av molntjänster, vilka riskerna och möjligheterna är och hur huvudmännen nu bör agera i den uppkomna situationen.

Som en förberedelse inför seminariet uppmanar vi alla deltagare att se intervjun med Daniel Melin, strateg på Skatteverket om konsekvenserna av Schrems II-domen.

 

 

Ta del av dokumentationen:

Läs sammanställningen av anteckningarna här, författad av Jan Hylén, Education Analytics

Inledning: Staffan Hagnell, Internetstiftelsen

Rättsläget: Jesper Thornberg, Internetstiftelsen

Integritetsskyddsmyndighetens (IMY) tillsynsarbete och riskminimerande åtgärder: Nazli Pirayehgar, EverTrust Consulting

Fallstudie – hantering av Schrems II: Göran Westerlund, Alingsås kommun

Mentifrågorna finns här

Frågor från chatten finns här

 

Agenda

Moderator: Staffan Hagnell, Internetstiftelsen

 

09:00 Inledning
  • Om detta och tidigare seminarier
  • Mentifrågor
Intervju med Daniel Melin, strateg, Skatteverket
Rättsläget: Jesper Thornberg, Internetstiftelsen
  • Poblemställningen och dess konsekvenser, Schrems II och FISA
  • Europiska dataskyddsstyrelsens rekommendationer?
  • Reflektion på Daniel Melins presentation
  • Hur leva uppå till GDPR:s krav vid behandling av personuppgifter i molntjänster?
  • Vad avses med ytterligare skyddsåtgärder?
Utmaningar för ”ytterligare tekniska skyddsåtgärder”: Fredrik Ljunggren, IT-security advisor, Kirei
Integritetsskyddsmyndighetens (IMY) tillsynsarbete och riskminimerande åtgärder: Nazli Pirayehgar, EverTrust Consulting
Fallstudie – hantering av Schrems II: Göran Westerlund, Alingsås kommun
Arbetet hos SKR med molntjänstfrågan: Andreas Dahlqvist, Certezza
Intervju med Jannie Jeppesen, Swedish Edtech
Diskussion mentifrågor
Intro till gruppdiskussionerna
10:35 Paus
10:45 Gruppdiskussioner
11:30 Summering av gruppdiskussionerna
11:45 Panel: Vad bör vi göra nu?
  • Göran Westerlund, Alingsås kommun
  • Jannie Jeppesen, Swedish Edtech
  • Mats Gahnström, Västerås stad
  • Ulf Timerdahl, Föreningen Sambruk
Sammanfattning
12:00