När EU-domstolen ogiltigförklarade Privacy Shield i juli 2020 satte det press på varenda personuppgiftsöverföring till USA. Sedan dess har vi fått Data Privacy Framework, nya standardavtalsklausuler och en våg av “transfer impact assessments”. Men själva kärnan i Schrems II har inte försvunnit.
Vad domen faktiskt sa
Schrems II handlade inte om servrar. Den handlade om att amerikansk övervakningslagstiftning ger myndigheter tillgång till data på ett sätt som inte är förenligt med europeiska grundrättigheter, och att avtal inte kan skydda mot en lag. Så länge en leverantör lyder under den lagstiftningen kvarstår risken, oavsett hur väl formulerade klausulerna är.
Löste Data Privacy Framework det?
DPF från 2023 gjorde överföringar juridiskt smidigare på papper. Men det bygger på samma spänning som föll två gånger tidigare, och det utmanas redan rättsligt. Att förlita sig på ett ramverk som kan falla en tredje gång är en planeringsrisk, inte en lösning. Många svenska bolag har därför gått från “är vi formellt compliant?” till “hur mycket transatlantisk exponering har vi över huvud taget?”.
Det säkraste sättet att klara en överföringsbedömning är att inte behöva göra överföringen.
— ur Keplers trust-modell
Att bygga bort risken istället för att bevaka den
Om datan aldrig lämnar EU-jurisdiktion, och leverantören inte har något moderbolag utanför EU, finns ingen överföring att bedöma. Det är den strukturella vägen: välj en stack där jurisdiktion, ägande, kontrollplan och nycklar alla sitter i EU. Då blir Schrems II en icke-fråga snarare än ett årligt dokumentationsprojekt.
Det är exakt vad Kepler är byggt för. Svenskägt, EU-inkorporerat, egen hårdvara och nycklar i EU-resident OpenBao — och allt exportbart som kod om du någon gång vill flytta.