Sedan Schrems II-domen föll krävs det extra säkerhetsåtgärder för att företag och organisationer ska få lagra personuppgifter utanför EU. Men även privatpersoner bör tänka på var man lagrar sin data. När vi skickar data till andra länder riskerar vi att uppgifterna hamnar hos utländska underrättelsetjänster.

Jorden

Det är fullt förståeligt att man vill hålla personuppgifter inom EU. Det finns ingen möjlighet för ett företag eller myndighet att förstå hur utländska underrättelsetjänster analyserar vår data. I USA finns bland annat PRISM som Edward Snowden avslöjade 2013. Detta ger NSA direkt tillgång till data hos bland annat Google, Microsoft, Apple och Facebook.

Samtidigt med PRISM avslöjades även Upstream som ger NSA möjlighet att övervaka stora delar av den globala internettrafiken.

Att dessa övervakningsprojekt i USA kan fortgå beror på den amerikanska underrättelsetjänstlagen FISA 702. It-säkerhetsspecialisten Jonas Lejon har skrivit en djup analys av vad FISA 702 innebär för svenska medborgare och hur den bör tolkas.

ANNONS

IMY (före detta Datainspektionen) avrådde i somras Stockholms stad att använda Microsofts tjänster Azure AD och Teams. Det rapporterar Techlaw.

Men det är inte bara USA vi ska akta oss för. Australien har drivit igenom flera nya lagar de senaste åren som ger polisen långtgående rättigheter att inkräkta på privatlivet. I slutet av 2018 gick Australiens anti-krypteringslag igenom. I augusti 2021 gick ännu en lag igenom. Denna ger Australiens federala polis och underrättelsetjänster rätt att bland annat ändra, radera, kopiera och lägga till data på enheter; avlyssna, samla in och analysera nätverkstrafik; och slutligen att ta kontrollen över online-konton.

Även Storbritannien vill bannlysa kryptering, även om det ännu inte är en lag.

Kina är ett land som förekommer frekvent i media när det gäller massövervakning.

Lägg därtill den svarta marknaden för massövervakning som Al Jazeera har rapporterat om i bland annat artikeln Spy Merchants.

Med alla dessa övervakningslagar, anti-krypteringslagar och en svart marknad för massövervakning är det inte konstigt att EU stramar upp regelverket när det kommer till lagring av personuppgifter. Hur ska vi kunna skydda uppgifterna när de samlas in av omvärldens alla underrättelsetjänster?

Men att NSA avlyssnar telefoni-, telegrafi- och radiotrafik är inget nytt. Det har de gjort så länge det har funnits trafik att lyssna på – även innan NSA bildades. År 1919 bildades “the Black Chamber”, föregångaren till NSA. I september samma år övertalade de Western Union Telegraph Company att vidarebefordra alla meddelanden av vikt till Black Chamber. Detta var i rak motsats till Radio Telecommunications Act.

1920 hade Black Chamber samarbete med nästan hela landets kabelföretag och man kunde därmed avlyssna det mesta av både telegrafin och telefonin.

1929 upplöstes Black Chamber. Istället bildades SIS (Signal Intelligence Service). Efter en rad andra liknande avdelningar bildades slutligen NSA år 1952.

Skillnaden nu och då var att man då bara kunde avlyssna kommunikation. Det vill säga brev, telegrafi, telefoni och radiotrafik. Nu lagrar vi hela våra liv – och hela företag – i molnet. Kalendrar, dagböcker, bokföring, fotoalbum, räkningar, patent, personuppgifter, register och brev är bara några exempel på vad vi lagrar digitalt på servrar runt om i världen. Rena smörgåsbordet för underrättelsetjänsterna världen över.

ANNONS

Framtiden och Schrems II?

Det är för tidigt att säga vad som kommer hända i framtiden vad gäller GDPR, Schrems II och överföringar till länder utanför EU. Det är många som ger sig på att sia om vad som gäller rent juridiskt, men än så länge verkar det inte finnas några definitiva svar.

När det kommer till den praktiska delen är det inte enkelt för ett stort företag som byggt hela sin it-miljö i ett amerikanskt moln att flytta hem allt. Det är en process som kommer att ta tid.

Alternativ till de amerikanska molntjänsterna

Men det finns alternativ till de stora jättarnas molntjänster. Det finns även tjänster som är end-to-end-krypterade – dessutom inom EUs gränser. Denna listan är på inget sätt komplett, det finns många fler tjänster inom EU och även inom Sverige.

Mejlleverantörer

  • Tutanota. En tysk mejlleverantör med end-to-end-kryptering. All data lagras inom EU. Även kalendern och kontaktboken är krypterad.
  • Protonmail. En schweizisk mejlleverantör med end-to-end-kryptering (OBS: Schweiz är inte ett EU-land men har däremot ett samarbete med EU.)

Kompletta molnlösning inom Sverige

Dessa företag erbjuder kompletta lösningar för bland annat lagring och VPS:er. De är inte nödvändigtvis krypterade, men finns inom Sveriges gränser med en egen infrastruktur.

Lagring

Molnlagringstjänster liknande Dropbox.

  • Storegate. Ett helsvenskt krypterat moln med en del smarta funktioner. Exempelvis går det att dela ut filer där mottagaren måste verifiera sig med BankID.
  • Tresorit. En end-end-krypterad molnlagringstjänst baserad i Schweiz, Tyskland och Ungern. (OBS: Schweiz är inte ett EU-land men har däremot ett samarbete med EU.)

Ett eget privat moln

Ett annat alternativ är att drifta ett eget privat moln bakom brandväggen. Det finns flera lösningar för detta, även sådana som är open-source. Detta är ett axplock av några lösningar för att bygga privata moln.

Nextcloud

I en förstudierapport av Kammarkollegiet rekommenderar de Nextcloud. I deras rapport går också att läsa om just FISA 702 och USAs möjlighet att samla in information om icke-amerikanska medborgare.

Nextcloud är en komplett svit med fildelning, kalender, mejl, dokument, fotoalbum, kanban-tavlor och mycket annat. Nextcloud går att köras lokalt på en egen server.

Focalboard

Focalboard är ett fullvärdigt alternativ till Trello och går att köra både som lokalt desktop-program och även som en lokal server på nätverket.

Mattermost

Mattermost är en svit med chatt, kanban-tavlor (Focalboard) och playbooks. Det går att köras lokalt på en egen server. Mattermost är ett alternativ till bland annat Slack.

MediaWiki

MediaWiki är en välbeprövad plattform för att samla och dela kunskap och går att köras på en egen server.

Övriga källor och mer information


Kommentarer

Kommentarsfältet är modererat. Det innebär att alla kommentarer granskas av ansvarig utgivare före publicering.

Du väljer själv om du vill ange ditt riktiga namn, en pseudonym eller vara helt anonym. Ingen registrering behövs.