Stockholms stad bytte i slutet av förra året till ett nytt system som skickar alla e-post via Microsofts tjänst för att rensa spam. Om du skickar mejl från en bostad på Södermalm till en Stockholmspolitiker kan mejlen gå till USA och tillbaka.

– Det här går genom vår leverantör. Vi bytte någon gång i slutet av förra året till Microsofts molntjänst, säger Stefan Schildt, biträdande avdelningschef för stadsledningskontorets it-avdelning.

Stefan Schildt berättar att de inför bytet tog särskild hänsyn till att det nya systemet skulle följa lagstiftningen.

– Vi diskuterade särskilt hur hanteringen av personuppgifter skulle ske och det finns ett särskilt avtal tecknat om det med Microsoft. Svårare än så är det inte.

Det är inte tillåtet att skicka personuppgifter utanför EU hur som helst. Men det går i de fall där mottagaren har anslutit sig till USAs handelsdepartements Safe harbour-principer. Principerna är en samling frivilliga regler om personlig integritet och dataskydd som USAs handelsdepartement tagit fram. EU-kommissionen har bedömt att de utgör ett tillräckligt säkerhetsskydd.

– Det finns ett principiellt förbud att skicka personuppgifter till länder utanför EU om det inte finns en adekvat skyddsnivå i landet som är mottagare, säger Elisabeth Wallin, jurist på Datainspektionen.
Microsoft, som Stockholms stad alltså skickar sina mejl till, har skrivit under principerna.

Många företag outsourcar sin it-drift till Indien. Elisabeth Wallin berättar att det inte finns något beslut om landets skyddsnivå, men att EU-kommissionen tagit fram två standardavtal som kan slutas med mottagare i till exempel Indien för att säkerställa skyddsnivån.

Fakta

Safe harbour-principerna är regler om personlig integritet och dataskydd som USAs handelsdepartement har tagit fram. Organisationer och företag kan frivilligt ansluta sig till dem. EU-kommissionen har bedömt att reglerna räcker för att skydda data som annars inte skulle få föras utanför EU.

Några företag som skrivit under:
Microsoft
Google
Apple
Amazon