Bryter alla digitala brevlådeoperatörer mot säkerhetskraven?

Digital post a.k.a. Mina meddelanden

Brevlådeoperatörer måste enligt DIGG uppfylla vissa säkerhetskrav [digg.se] om de ska ansluta sig till den nationella infrastrukturen för digital post. I bilaga 1 hittar man exempelvis kravet:

K1.5 Hela leveransen som omfattas av de allmänna villkoren (inkl. tjänster och personal) ska ske inom EU/EES. Åtkomst till brevlåda via användargränssnitt kan dock ske utanför EU/EES av brevlådeinnehavare.

Alltså hela leveransen inom EU/EES. Rimligt och bra, inte minst på grund av Schrems II-domen [imy.se].

Inom EU/EES?

En del av leveransen är att man ska kunna komma åt tjänsten och anmäla sig till den och efter detta logga in. Vi tittar därför på startsidorna för de fyra brevlådeoperatörer som listas på DIGG [digg.se] och noterar varifrån webbsidorna hämtar och skickar innehåll.

Digimail

eBoks

Kivra

Min myndighetspost

Sammanfattning

Brevlådeoperatör Domän Geolocation ISP EU/EES-leverantör
Digimail digimail.se Sverige Oderland Webbhotell AB Ja
Digimail cdn.jsdelivr.net USA CloudFlare Nej
Digimail cdnjs.cloudflare.com USA CloudFlare Nej
Digimail connect.facebook.net USA Facebook Nej
Digimail fonts.googleapis.com USA Google Nej
Digimail fonts.gstatic.com USA Google Nej
Digimail platform.twitter.com USA Verizon Nej
e-Boks www.e-boks.com USA Akamai Nej
e-Boks consent.cookiebot.com USA Akamai Nej
e-Boks consentcdn.cookiebot.com USA Akamai Nej
e-Boks eboks.112.2o7.net USA Amazon Nej
e-Boks eboks.containers.piwik.pro Nederländerna Microsoft Nej
e-Boks eboks.piwik.pro Nederländerna Microsoft Nej
e-Boks js.hsforms.net USA CloudFlare Nej
e-Boks player.vimeo.com USA Fastly Nej
e-Boks f.vimeocdn.com USA Fastly Nej
e-Boks i.vimeocdn.com USA Fastly Nej
Kivra kivra.se USA Google Nej
Kivra cdn.polyfill.io USA Fastly Nej
Kivra fonts.googleapis.com USA Google Nej
Kivra fonts.gstatic.com USA Google Nej
Kivra images.ctfassets.net USA Amazon Nej
Kivra www.google-analytics.com USA Google Nej
Min myndighetspost www.minmyndighetspost.se Sverige Skatteverket Ja
Min myndighetspost connect.facebook.net USA Facebook Nej
Min myndighetspost skv.analytics.elx.cloud Sverige Elastx AB Ja

Slutats

Det ser inte så bra ut.

Det är svårt att komma runt att inloggningen till alla fyra tjänsterna bryter mot krav K1.5. Min bedömning (som icke jurist) är även att om någon (företag, myndighet) ska använda tjänsten för utskick av exempelvis personuppgifter, så är det rimligt att antaga att det kan uppstå en olaglig tredjelandsöverföring.  

Det är förvisso teoretiskt möjligt att användningen av de skarpa tjänsterna sker helt utan inblandning av tredje land och att ingen dator eller nätverksutrustning står hos ett företag som har verksamhet i ett land utanför EU/EES och som har en problematisk extraterritoriell jurisdiktion liknande USA. En osäkerhet till är att jag har slagit upp geolocation med https://www.iplocation.net/ip-lookup och detta är ingen exakt vetenskap. Likväl, dåliga vibbar, och man kan även undra hur övriga krav uppfylls.

Lämna en kommentar

Din e-postadress kommer inte publiceras.