Ser vi tillbaka historisk har tekniken framskjutit våra traditionella tillvägagångssätt och möjliggjort för hur vårt samhälle arbetar, kommunicerar och inhämtar information. Idag kan vi genom våra datorer och mobiltelefoner kommunicera med varandra snabbare än vad vi någonsin kunnat åstadkomma. Det ställer krav på en hög hastighet och skalbarhet för en optimal användarupplevelse, något som CDN åstadkommer genom att tillhandahålla nättjänster nära användare.
Vad är CDN?
CDN, Content Delivery Network, består av ett nätverk av servar vars mål är att minska fördröjningen av åtkomst till servar, tidsperioden mellan användarens åtgärd och svaret på den åtgärden. I själva verket, genom en algoritm som skickar information samtidigt till flera servar, väljer den med kortast svarstid. CDN möjliggör därmed att leverera information snabbare och med större robusthet ur säkerhetssynpunkt.
Sveriges Regeringskansliet har sedan september månad i år (2022) valt att placera sin hemsida, regeringen.se, bakom leverantören Cloudflare som har sitt huvudkontor i USA. Ett land som enligt kommissionen inte uppfyller adekvat skyddsnivå ifråga om överföring av personuppgifter. Det ställer krav på er som personuppgiftsansvarig när man anlitar en leverantör som ska genomföra behandling åt en ens vägnar. Ni ska även kunna lämna tillräckliga garantier att behandlingen uppfyller kraven i enlighet med GDPR och säkerställa att registreras rättigheter skyddas.
Portugals tillsynsmyndighet (CNPD) ifrågasatte statistikmyndigheten INE (motsvarigheten till vår svenska SCB) när de använde Cloudflare Inc. tjänster vid genomförandet av en folkräkning. De menade, med hänvisning av Schrems II, att det finns ingen garanti att informationen hamnar på närmaste server, eftersom det beror på belastningen som finns på servern vid varje given tidpunkt.
Nedan följer en redogörelse av CNPDs beslut:
När Portugals medborgarna kom åt 2021 års folkräkningsformulär vidarebefordrades de till en av Cloudflares servar enligt ovanstående algoritm. De kommer åt webbplatsen med hjälp av det säkra HTTPS-kommunikationsprotokollet, och det tillhörande certifikatet som är utfärdat av Cloudflare ECC CA-3, en certifieringsenhet av Cloudflare själv. På så sätt äger företaget både den privata och offentliga nyckeln, till formuläret och att skicka data till INE-servern.
Observera att det faktum att krypteringsnyckeln som används är från Cloudflare innebär att krypteringen tillämpas av denna enhet, som upprätthåller sig själv under informationsöverföringen, och den är av den, och endast av den, dechiffrerad (avkodad). Det vill säga, innan leveransen av informationsuppsättningen till INE måste Cloudflare fortsätta med sin dekryptering, där INE inte har något ingripande i denna process.
Enligt CNPD innebär det att användare, såsom INE, inte har någon kontroll över överföringen av information mellan användarna och dess server. De resonerade som så att väl inne i Cloudflares CDN-nätverk har användaren inget sätt att veta om trafiken dirigeras till servar som är belägna inom EU-ländernas territorium eller andra länder där servarna används av Cloudflare som inte har en adekvat skyddsnivå (nämligen till USA, Kina, Indien, Mexiko, Ryssland eller Singapore etc.).
Reflektion:
Frågan är om det är relevant vart servarna står eftersom det som är av betydelse är att de tjänster som tillhandahålls av Cloudflare placerar företag direkt under räckvidden av amerikansk lagstiftning, som kan ålägga skyldigheten att ge massåtkomst till de personuppgifter som behandlas av dem. Cloudflare själv erkänner att de, i sin roll som underleverantör, kan bli föremål för begäran om tillgång till personuppgifter från tredje part inom ramen för rättsliga förfaranden, vilket kan vara inkonsekvent med tillämplig lag till sin kund, alltså GDPR. Cloudflare menar, i händelse av lagkonflikt, att de omedelbart kommer att informera kunden. Om inte sådant meddelande är lagligt förbjudet.
Detta är just fallet med denna amerikanske lagstiftning som hindrar amerikanska företag från att informera sina kunder om den åtkomst som utförs av amerikanska myndigheter i syfte att samla in information om utlänningar, inom ramen för nationell säkerhetsverksamhet.
Eftersom USA inte kan respektera EU-medborgarnas rättigheter och erbjuda adekvata garantier var Portugals tillsynsmyndighet skyldig att förbjuda dessa överföringar i enlighet med bestämmelserna från EU-domstolen. Även om Portugals statistikmyndighet kunde visa att personuppgifterna inte överfördes till USA, skulle transiteringen av uppgifterna alltid bero på antagandet av åtgärder för adekvata och kompletterande skyddsåtgärder, som egentligen inte finns.
Avtalet mellan NIS och Cloudflare innehöll det av kommissionens godkända standardavtalsklausuler för dataöverföring mellan EU och USA. CNPD ansåg emellertid att dessa klausuler inte föreskrev tillräckliga skyddsåtgärder. Cloudflare fortsätter att försöka dämpa användarnas oro över dataskydd och påskynda förtroendet och efterlevnad genom att i år har anslutit sig till EU Cloud CoC (uppförandekod för molntjänster) där efterlevnaden övervakas av det ackrediterade tillsynsorganet SCOPE Europe. De har även uppnått två nya säkerhet- och integritetscertifieringar.
Originalkällan: https://www.cnpd.pt/umbraco/surface/cnpdDecision/download/121875
