Säkerhetsblogg

Cloud Act – hur den nya amerikanska lagen kan påverka svenska företag

Medan GDPR-efterlevnad har legat högst upp på dagordningen för många företag både i Sverige och världen över, har det dykt upp ett nytt orosmoln på himlen, som stavas Cloud Act. Den amerikanska lagen Cloud Act innebär bland annat att amerikanska myndigheter ska kunna ges tillgång till amerikanska leverantörers data – även data som lagras utomlands. Många har uttryckt oro över vad lagen kan komma att innebära i praktiken.

Vad är CLOUD Act?

CLOUD Act står för The Clarifying Lawful Overseas Use of Data Act och är en amerikansk lag som klubbades igenom den 23 mars 2018. Syftet är att modernisera övervakning och integritetslagar för att spegla det ökade användandet av molntjänster. Territoriella gränser har i stort suddats ut på internet, och det förekommer mer internationell brottslighet, och den amerikanska staten vill ha en lagstiftning som reflekterar detta.

Vad innebär CLOUD Act?

CLOUD Act innebär att amerikanska molntjänstleverantörer på begäran ska kunna tillhandahålla amerikanska staten med data som lagras på servrar, oavsett om datat lagras i USA eller utomlands. Detta innebär att amerikanska myndigheter kan kräva ut stora mängder data, vilket i sin tur kan innebära tillgång, läsning och utlämning av data som tillhör europeiska medborgare.

Vilken sorts information är det företag kan komma att behöva lämna ut? Kort sagt är det all slags information. I lagen skriver man:

“[a] provider of electronic communication service or remote computing service shall comply with the obligations of this chapter to preserve, backup or disclose the contents of a wire or electronic communication and any record or other information pertaining to a customer or subscriber within such provider’s possession, custody, or control, regardless of whether such communication, record, or other information is located within or outside of the United States.”

Det som gör CLOUD Act till en rätt kontroversiell lag är att den kringgår andra länders lagar gällande integritet och skydd av information. Man menar att amerikanska molntjänstföretag ska följa amerikanska lagar, oavsett var de har sina servrar, vilka andra länder de verkar i, och vilket land den berörda personen bor i. Någonting som dock är viktigt att nämna är att denna begäran på utlämning av information sker vid brottsmisstanke eller brottsutredningar, och amerikanska myndigheter ska då tillhandahålla en så kallad ’’warrant’’.

Det finns andra detaljer i lagen som kan komma att bli problematiska. De berörda individerna behöver i vissa fall inte informeras när informationsutlämnandet sker. Lagen tillåter även USA att ingå avtal med länder där länderna kan få tillgång till information lagrad på amerikanska servrar, utan krav på rättslig grund för informationsinhämtning och helt kringgå det amerikanska rättssystemet. Detta har alarmerat människorättsorganisationer.

Cloud Act och GDPR

I Europa har företag arbetat hårt för att följa den nya dataskyddsförordningen GDPR. GDPR som förordning handlar om att skydda och stärka individens integritet, och ger individen mer makt över sina personuppgifter. Cloud Act och GDPR skiljer sig mycket i omfattning och syfte, och visar rätt tydligt på skillnaden mellan Europa och USAs syn på integritet och hantering av personuppgifter och information. I GDPR skriver man om dataöverföring till tredje land, och i artikel 48 står det att beslut från myndigheter eller domstolar där man kräver överföring av personuppgifter endast får genomföras om det grundar sig på en internationell överenskommelse, såsom ett avtal om ömsesidig rättslig hjälp. Det finns alltså en potentiell konflikt mellan Cloud Act och GDPR.

Hur bör företag utanför USA agera?

Många organisationer och experter har uttryckt oro över Cloud Act och att lagen kan ha en negativ inverkan på EU-medborgares integritet. Från EUs sida har man inte gett sin syn på saken, då de enligt Datainspektionen inte ännu diskuterat hur lagen kan komma att påverka EU-medborgares rättigheter.

För svenska verksamheter som använder sig av amerikanska leverantörer så bör de utvärdera riskerna med att använda sig av en amerikansk leverantör, och se över hur dialogen med denna leverantör ser ut. Många av jättarna inom molntjänster och IT-tjänster, som Google, Microsoft och Amazon behöver alla följa Cloud Act.

Det kan vara fördelaktigt för företag att istället välja en lokal leverantör som man vet följer det lokala landets lagar gällande exempelvis integritet och dataskydd. Detta gäller speciellt svenska och andra europeiska företag vars data är extremt känslig, exempelvis myndigheter, kommuner och banker.

 

Här kan du hitta mer intressant innehåll:

10 frågor att ställa när du ska utvärdera moln och hostingleverantör

Tekniska lösningar som underlättar efterlevnad av GDPR

Vad är en Web application firewall?

  • 24 Solutions AB
  • Smedjegatan 2C
  • SE-13154 Nacka, Sweden
  • +46 (0)8 535 24 100
  • info@24solutions.com