Skip to content

"Och efter GDPR kommer CLOUD Act... Se till att ha kontroll över era molntjänster"

KOMMENTAR - av Torbjörn Lindkvist, marknadschef Storegate AB

 

Precis när europeiska företag börjar få kläm på det här med GDPR (General Data Protection Regulation) - som träder i kraft idag och innehåller regler avsedda att stärka EU-medborgares integritetsskydd samt ge instruktioner för hur företag får behandla personuppgifter - kommer nästa orosmoln, CLOUD Act.

Den 23 mars 2018 röstades Omnibus Bill igenom i USA. Lagförslaget omfattade 2 000 sidor och innehöll budgetposter till en kostnad av 1 300 miljarder dollar.

Enligt amerikanska Anti Corruption Blog så infördes förslaget om den nya CLOUD Act-lagen i Omnibus Bill så sent som klockan 20 00, kvällen före omröstningen i kongressen. Vad innebär då CLOUD Act?

CLOUD Act ger amerikanska myndigheter rätten att begära ut kunddata från amerikanska molntjänstleverantörer oavsett vilken fysisk plats data lagras på i världen och oavsett vilken jurisdiktion som gäller.

Vidare kan utländska regeringar som har ett datadelningsavtal med USA begära ut kunddata direkt från amerikanska molntjänsteleverantörer utan kongressens godkännande eller amerikanska domstolars vetskap.

Civila medborgargrupper har uttryckt oro över att lagen kommer underlätta för länder med tveksam människorätt att erhålla hemlig information om dissidenter. Frihetsförbund som Electronic Frontier Foundation (EEF) och Human Rights Watch menar att CLOUD Act lagen ger för mycket makt åt ett fåtal personer, utan tillräcklig insyn och kontroll.

EU:s ståndpunkt i sammanhanget är att offentlig folkrätt, lokal lagstiftning och lokal jurisdiktion ska beaktas om ett offentligt organ kräver ett företag att lämna ut data som lagras på amerikanske servrar. Vera Jourova, EU: s rättighetskommissionär vill säkerställa kompatibla regler.

CLOUD Act är avsedd för att skydda människor från hemska dåd och terrorism men kan också leda till ett utökat företagsspionage när den som många andra lagar kan missbrukas av företag och personer som fiskar i grumliga vatten.

Vad innebär detta för svenska företag och organisationer som vill lagra och dela känslig information i molnet? Vem ställer sig den frågan och vem är det som tar ansvaret när det är för sent?

Redan innan GDPR och CLOUD Act röstades igenom så fanns problem med amerikanska molntjänster - problem som fortfarande är aktuella.

Ett exempel på hur svenska aktörer som använder utländska molntjänster tvingas hantera detta är Karolinska Institutet som varnar sina användare (forskare, anställda och partners) för vilken typ av information som inte får sparas i den amerikanska molntjänsten Box. Nedanstående går att läsa på KI:s webbplats:

"Vilka filer ska jag inte lägga i KI Box?"

"Sekretessbelagd/skyddsvärd information, som till exempel information som kan leda till patent, får inte sparas i KI Box då avtalen inte innehåller något skydd mot att annat lands lagstiftning tillämpas. Box kan inte avtala bort den amerikanska lagstiftningen i detta avseende. Generellt ska inga personuppgifter som rör forskningspersoner sparas i KI Box, då de oftast räknas som skyddsvärd information."

Problemet är egentligen inte de lagar och förordningar vi redan känner till utan det största problemet är de lagar och förordningar som vi kommer att ställas inför i utländska molntjänster. För risken är att ett företag har lagt ut en stor del av sin affärskritiska information i en utländsk molntjänst så kan en ny lag eller förordning tvinga dem att flytta hem all information, vilket kan bli otroligt dyrt och ibland tekniskt omöjligt.

Just nu är det mycket fokus på amerikanska molntjänster och amerikansk lagstiftning, men snart kommer stora kinesiska och indiska aktörer att etablera sina molntjänster i Europa. Vilken lagstiftning gäller där? Därför bör svenska företag som väljer molntjänstleverantör se till att leverantören garanterar:

  • Att den verkar under svensk lag. 
  • Att all information lagras i Sverige under svensk lagstiftning.
  • Att leverantören inte använder information som lagrats i annat syfte än att lagra den åt sina kunder.
  • Att kunden behåller äganderätten till all information som lagrats i leverantörens molntjänst.

 

 

 

 

 

 

 

 

Gratis nyhetsbrev om rättsfall och juridik - klicka här 

Tipsa via e-post

Ange flera adresser på olika rader eller separera dem med kommatecken.

Vill du verkligen anmäla denna kommentar som olämplig?

Anmäl Avbryt

5 comments

Hur var det tänkt med internet från början?

Något skydd är det ju inte. I stället har flera webbsidor numera ändrats så att "cookies" permanent måste vara påslagna för att sidan ska fungera, ja överhuvudtaget laddas. Jag ser inte detta som en förbättring. Webbläsaren jag använder har ändrats i nya utgåvan och man kan inte längre se vilka/alla kakor som lagrats. Det krävs externa program för detta. T ex cc-cleaner. Lägg till bilparkering där kommunen kräver datatelefon eller sms med personnummer. Jag vägrar. Hur kan folk tyst acceptera dessa dumheter ?

Hur ser man på Kivra som idag mer är en samhällsfunktion än ett bolag. Kivra är ett helt vanligt fåmansbolag som när som helst kan säljas eller läggas ner. dryga 21 miljoner i underskott 20161231 vilket tyder på en plan av något slag. Digitala brevlådor regleras av Skatteverket (som är kända för sin kvalitativa IT-kunskap) och hårdvaran skall finnas inom EU/EES vilket även innebär länder man kanske inte vill ha serverhallar i. Var Kivra har sina har jag inte fått fram. Dom är krypterade men teknikerna innanför serverhallsväggarna brukar ju ha helt andra dörrar att öppna. Och idag så har flera myndigheter gjort sig mer eller mindre beroende av Kivra. De digitala avtryck som finns på deras servrar oroar mig mer än att Facebook kan se vad jag följt, skrivit eller gillar för mat...

Jag kan tänka mig att myndigheterna gärna vill/tvingar folk att använda digitala brevlådor genom att ta bort pappersposten (Iochförsig kanske ett bra beslut med tanke på hur PostNord sköter sig). Först är de digitala brevlådorna gratis. Sedan börjar man avgiftsbelägga dom när förlusterna blivit för stora eller alla andra vägar för konsumenterna har stängts/täppts till. Kivra ovan erbjuder inte BankId mha dosa, enbart "Mobilt BankId". Således måste man ha en smartfån som kan tappas eller vars övriga "Appar" för eller senare kommer på ett sätt att nästla sig in och i lugn och ro föra över pengarna.

Och angående att data lagras i "Molnet" så är det som sagt bara ett ord för "någon annans datorer". Det är inte utan att man kommer att tänka på ett Kinesiskt ordspråk: Det Du vet, vet en - Det två vet, vet alla".

Visma har en "rolig" folder om molntjänster. Där visar man pedagogiskt vad vi pratar om. Lokala tjänster visar en skärm och en dator. Hosting visar en skärm och en dator hos någon annan. Molnet visar en skärm och ett MOLN!. Japp, helt seriöst. Brukar säga att jag byggt mitt eget moln i källaren. Då brukar men kommenterar det med att, "har inte du en server". Japp, skillnader är att jag vet var jag har min. Och vad händer med en molnlösnings data när ekonomin är dålig, teknikerna slutar och allt går i kras. Hur får man då ut sina fotot, sin aktiebok eller annat man lagrat där?

Skriv ny kommentar

Innehållet i detta fält är privat och kommer inte att visas publikt.