10 januari 2019

Ducka för Cloud Act – välj svenskt moln!

2018 gav oss GDPR, den nya EU-gemensamma lagen om hantering av personuppgifter, så nu kan väl alla andas ut och njuta av en himmel utan mörka moln? Om det ändå vore så väl. Nu är det nämligen dags att sätta oss in i vad den amerikanska lagstiftningen Cloud Act innebär och hur omfattande den påverkar alla organisationer som förlitar sig på amerikanska leverantörer av molntjänster.

Sedan tidigare har det funnits en oro kring att data på servrar som står på amerikansk mark också omfattas av amerikansk jurisdiktion och därmed potentiellt kunnat krävas ut av amerikanska myndigheter. Denna oro löste de flesta större amerikanska molnleverantörer genom att erbjuda exempelvis sina europeiska kunder lagring på servrar i Europa. Cloud Act, som klubbades igenom i slutet av mars 2018, vände dock upp och ner på allting – och gav ytterligare starka incitament för europeiska företag att välja inhemska leverantörer av molntjänster och hosting.

Så vad innebär då Cloud Act? Det korta svaret är att lagen ger amerikanska myndigheter rätt att begära ut data från amerikanska molntjänstleverantörer – oavsett vilken geografisk hemvist denna data har. Det är alltså oväsentligt var själva servrarna som datan lagras på står. Om ett amerikanskt företag äger servrarna och tjänsten är de tvungna att lyda under Cloud Act, även om kunderna och kundernas data befinner sig i en annan jurisdiktion. Som ett exempel kan nämnas Amazon Web Services tre nybyggen i Mälardalen – det kommer helt enkelt inte spela någon roll om dina data lagras i ett datacenter utanför Eskilstuna så länge företaget som driver datacentret är registrerat som ett amerikanskt bolag. Misstänker amerikanska myndigheter brott kan de begära ut informationen från Amazons servrar även om den berör svenska företag och medborgare, och Amazon kan inte längre vägra genom att hänvisa till svensk/europeisk lagstiftning. För amerikanska bolag trumfar Cloud Act med andra ord såväl GDPR som andra europeiska och nationella datalagstiftningar. Dessutom stipulerar Cloud Act att andra regeringar som ingått ett så kallat datadelningsavtal med USA också har rätt att begära ut kunddata direkt från amerikanska molnleverantörer, utan kongressens godkännande eller amerikanska domstolars vetskap.

Att ha kritiska data på servrar utomlands är redan i grundläget inte att föredra – och inget känns direkt tryggare av att USA driver igenom en lag som Cloud Act. Även om lagen enligt den amerikanska regeringen främst kommit till för att underlätta exempelvis terroristbekämpning, finns det en hel del oroväckande inslag i lagstiftningen, inte minst den ovan nämnda möjligheten för att andra nationer att använda sig av Cloud Act, något som fått mycket kritik av flera regeringar, medier och människorättsorganisationer. Vill du vara helt på den säkra sidan och ha full koll på vilken lagstiftning som omfattar dina data har du helt enkelt bara ett vettigt val: att välja en svensk leverantör (företagsregistrerad i Sverige) som enbart lagrar på servrar på svensk mark och med ett starkt fokus på säkerhet. Då vet du att både molnleverantören och den information som hanteras lyder under svensk lagstiftning. Vidare ska din leverantör också fullt ut kunna garantera att kundernas information som lagras aldrig används i några andra syften i annat syfte än just det du som kund vill använda den till. Som kund ska du också alltid fullt ut behålla äganderätten till all information som lagras hos din leverantör.

Allt ovanstående är förstås sådant du alltid bör säkerställa innan du ens börjar jämföra prislappar – men tyvärr är det långt ifrån alla som har koll på vilka lagar deras data omfattas av. Efter Cloud Act är det därför extra viktigt, och en sannolik utveckling, att alla myndigheter och företag utanför USA som har känslig information i allt högre grad förlitar sig på nischade aktörer i respektive land eller region.