Det var den frågan som Mathias Ekman på Microsoft ställde rent hypotetiskt under ett seminarium om hur Molnet ska kunna användas inom sjukvården.
Först kan vi inleda med att säga att jag inte tror något illa om Mathias Ekman personligen. Hans syn på dataöverföring till USA grundar sig säkerligen på en frustration där han upplever att regelverket idag inte är anpassat till hur verkligheten ser ut. Främst verkar han dock vara trött på alla förbannade jurister som sätter käppar i hjulen.
Ekmans agg gentemot mitt skrå kan nog på sätt och vis förstås. Juristens lott i livet är ofta att agera stoppkloss, att bromsa upp innan beslut som riskerar att skada verksamheten fattas. Sen Schrems II har de flesta jurister jag känner till inom dataskydd enats om att dataöverföring till USA inte kan eller får göras hursomhelst.
Samtidigt hävdar molntjänsteleverantörer som Microsoft, Amazon och Google att de ändå värnar om individens personliga integritet. Faktum är att Microsofts policy sen dag ett varit att förminska betydelsen av Schrems II. Eller som Ekman uttrycker det: situationen är polariserad och Schrems sätter vissa saker på sin spets.
För er som inte vet så kan jag berätta att Schrems II är ett avgörande från EU-domstolen som kom förra sommaren. Rättsfallet döptes efter den österrikiske juristen och dataskyddsaktivisten Max Schrems, som för tillfället driver en kampanj mot kakor.
I korthet bestämde EU-domstolen följande i Schrems II:
- USA är ett osäkert land att föra över personuppgifter till (det är troligen det här som är den främsta ”legala situationen” som Ekman pratar om).
Det här är såklart ett enormt problem eftersom överföringar mellan USA och EU sker konstant. Men även om jag, du eller ett bolag inte aktivt för över uppgifter till USA så tar sig amerikanska underrättelsetjänster friheten att titta på data som behandlas av amerikanska bolag eller dotterbolag till amerikanska bolag. Det här gör de med stöd av en lagstiftning som kallas FISA 702 genom ett övervakningsprogram som kallas PRISM. Microsoft har varit anslutna sedan november 2007.
Just FISA 702 ger den amerikanska underrättelsetjänsten NSA rätt att övervaka alla icke-amerikanska medborgare utanför USA. Det vill säga hela resten av världen. Det kan de också göra eftersom internetet finns över nästan hela världen. Med risk för att häda skulle jag gissa att internetet har blivit större än Beatles, och de i sin tur var ju större än Jesus (som bara finns i en del av världen).
Själva syftet med systemet är att skydda USA från hot mot den nationella säkerheten eller som Ekman säger:
Men vänta nu…
Läste inte jag på SVT.se häromdagen att även svenska politiker blir systematiskt övervakade av den amerikanska underrättelsetjänsten? Men Ekman sa väl att man slipper NSA om man inte är terrorist? Kommer nästa stora nyhet om politiker som begår brott handla om att exempelvis Annie Lööf (som passande nog är jurist!) kapar ett plan? Ett stort steg från förtal.
Eller räcker det inte med att inte vara terrorist? Kan det vara så att vi, på grund av att det inte ens krävs ett domstolsbeslut om att begära informationen under FISA 702, aldrig kommer kunna få veta vem som övervakas av USA, eller vilka kriterier som används för att fastställa att övervakning får göras? Kan det även vara så att den som blir övervakad inte har några som helst rättigheter mot den övervakande myndigheten? Det kom i varje fall EU-domstolen fram till i Schrems II. De kom även fram till att det här inte var så bra.
Din patientdata kan alltså bli granskad av NSA oavsett vem du är Mathias, och du kommer aldrig få veta varför eller vad uppgifterna används till. Även om du skulle få veta har du inga rättigheter.
Verkligheten ska nog anpassas efter hur regelverket ser ut, snarare än tvärt om.
Videoklippen är från detta seminarium på Vitaliskonferensen 2021 och klippta av mig.
Bilden är från Wikimedia Commons.
PS: Executive Order 12333 ligger bakom avlyssningen av det danska fibernätverket.
