Digital post a.k.a. Mina meddelanden
Brevlådeoperatörer måste enligt DIGG uppfylla vissa säkerhetskrav [digg.se] om de ska ansluta sig till den nationella infrastrukturen för digital post. I bilaga 1 hittar man exempelvis kravet:
K1.5 Hela leveransen som omfattas av de allmänna villkoren (inkl. tjänster och personal) ska ske inom EU/EES. Åtkomst till brevlåda via användargränssnitt kan dock ske utanför EU/EES av brevlådeinnehavare.
Alltså hela leveransen inom EU/EES. Rimligt och bra, inte minst på grund av Schrems II-domen [imy.se].
Inom EU/EES?
En del av leveransen är att man ska kunna komma åt tjänsten och anmäla sig till den och efter detta logga in. Vi tittar därför på startsidorna för de fyra brevlådeoperatörer som listas på DIGG [digg.se] och noterar varifrån webbsidorna hämtar och skickar innehåll.
Digimail
eBoks
Kivra
Min myndighetspost
Sammanfattning
| Brevlådeoperatör | Domän | Geolocation | ISP | EU/EES-leverantör |
| Digimail | digimail.se | Sverige | Oderland Webbhotell AB | Ja |
| Digimail | cdn.jsdelivr.net | USA | CloudFlare | Nej |
| Digimail | cdnjs.cloudflare.com | USA | CloudFlare | Nej |
| Digimail | connect.facebook.net | USA | Nej | |
| Digimail | fonts.googleapis.com | USA | Nej | |
| Digimail | fonts.gstatic.com | USA | Nej | |
| Digimail | platform.twitter.com | USA | Verizon | Nej |
| e-Boks | www.e-boks.com | USA | Akamai | Nej |
| e-Boks | consent.cookiebot.com | USA | Akamai | Nej |
| e-Boks | consentcdn.cookiebot.com | USA | Akamai | Nej |
| e-Boks | eboks.112.2o7.net | USA | Amazon | Nej |
| e-Boks | eboks.containers.piwik.pro | Nederländerna | Microsoft | Nej |
| e-Boks | eboks.piwik.pro | Nederländerna | Microsoft | Nej |
| e-Boks | js.hsforms.net | USA | CloudFlare | Nej |
| e-Boks | player.vimeo.com | USA | Fastly | Nej |
| e-Boks | f.vimeocdn.com | USA | Fastly | Nej |
| e-Boks | i.vimeocdn.com | USA | Fastly | Nej |
| Kivra | kivra.se | USA | Nej | |
| Kivra | cdn.polyfill.io | USA | Fastly | Nej |
| Kivra | fonts.googleapis.com | USA | Nej | |
| Kivra | fonts.gstatic.com | USA | Nej | |
| Kivra | images.ctfassets.net | USA | Amazon | Nej |
| Kivra | www.google-analytics.com | USA | Nej | |
| Min myndighetspost | www.minmyndighetspost.se | Sverige | Skatteverket | Ja |
| Min myndighetspost | connect.facebook.net | USA | Nej | |
| Min myndighetspost | skv.analytics.elx.cloud | Sverige | Elastx AB | Ja |
Slutats
Det ser inte så bra ut.
Det är svårt att komma runt att inloggningen till alla fyra tjänsterna bryter mot krav K1.5. Min bedömning (som icke jurist) är även att om någon (företag, myndighet) ska använda tjänsten för utskick av exempelvis personuppgifter, så är det rimligt att antaga att det kan uppstå en olaglig tredjelandsöverföring.
Det är förvisso teoretiskt möjligt att användningen av de skarpa tjänsterna sker helt utan inblandning av tredje land och att ingen dator eller nätverksutrustning står hos ett företag som har verksamhet i ett land utanför EU/EES och som har en problematisk extraterritoriell jurisdiktion liknande USA. En osäkerhet till är att jag har slagit upp geolocation med https://www.iplocation.net/ip-lookup och detta är ingen exakt vetenskap. Likväl, dåliga vibbar, och man kan även undra hur övriga krav uppfylls.