Skip to content

"Och efter GDPR kommer CLOUD Act... Se till att ha kontroll över era molntjänster"

KOMMENTAR - av Torbjörn Lindkvist, marknadschef Storegate AB

 

Precis när europeiska företag börjar få kläm på det här med GDPR (General Data Protection Regulation) - som träder i kraft idag och innehåller regler avsedda att stärka EU-medborgares integritetsskydd samt ge instruktioner för hur företag får behandla personuppgifter - kommer nästa orosmoln, CLOUD Act.

Den 23 mars 2018 röstades Omnibus Bill igenom i USA. Lagförslaget omfattade 2 000 sidor och innehöll budgetposter till en kostnad av 1 300 miljarder dollar.

Enligt amerikanska Anti Corruption Blog så infördes förslaget om den nya CLOUD Act-lagen i Omnibus Bill så sent som klockan 20 00, kvällen före omröstningen i kongressen. Vad innebär då CLOUD Act?

CLOUD Act ger amerikanska myndigheter rätten att begära ut kunddata från amerikanska molntjänstleverantörer oavsett vilken fysisk plats data lagras på i världen och oavsett vilken jurisdiktion som gäller.

Vidare kan utländska regeringar som har ett datadelningsavtal med USA begära ut kunddata direkt från amerikanska molntjänsteleverantörer utan kongressens godkännande eller amerikanska domstolars vetskap.

Civila medborgargrupper har uttryckt oro över att lagen kommer underlätta för länder med tveksam människorätt att erhålla hemlig information om dissidenter. Frihetsförbund som Electronic Frontier Foundation (EEF) och Human Rights Watch menar att CLOUD Act lagen ger för mycket makt åt ett fåtal personer, utan tillräcklig insyn och kontroll.

EU:s ståndpunkt i sammanhanget är att offentlig folkrätt, lokal lagstiftning och lokal jurisdiktion ska beaktas om ett offentligt organ kräver ett företag att lämna ut data som lagras på amerikanske servrar. Vera Jourova, EU: s rättighetskommissionär vill säkerställa kompatibla regler.

CLOUD Act är avsedd för att skydda människor från hemska dåd och terrorism men kan också leda till ett utökat företagsspionage när den som många andra lagar kan missbrukas av företag och personer som fiskar i grumliga vatten.

Vad innebär detta för svenska företag och organisationer som vill lagra och dela känslig information i molnet? Vem ställer sig den frågan och vem är det som tar ansvaret när det är för sent?

Redan innan GDPR och CLOUD Act röstades igenom så fanns problem med amerikanska molntjänster - problem som fortfarande är aktuella.

Ett exempel på hur svenska aktörer som använder utländska molntjänster tvingas hantera detta är Karolinska Institutet som varnar sina användare (forskare, anställda och partners) för vilken typ av information som inte får sparas i den amerikanska molntjänsten Box. Nedanstående går att läsa på KI:s webbplats:

"Vilka filer ska jag inte lägga i KI Box?"

"Sekretessbelagd/skyddsvärd information, som till exempel information som kan leda till patent, får inte sparas i KI Box då avtalen inte innehåller något skydd mot att annat lands lagstiftning tillämpas. Box kan inte avtala bort den amerikanska lagstiftningen i detta avseende. Generellt ska inga personuppgifter som rör forskningspersoner sparas i KI Box, då de oftast räknas som skyddsvärd information."

Problemet är egentligen inte de lagar och förordningar vi redan känner till utan det största problemet är de lagar och förordningar som vi kommer att ställas inför i utländska molntjänster. För risken är att ett företag har lagt ut en stor del av sin affärskritiska information i en utländsk molntjänst så kan en ny lag eller förordning tvinga dem att flytta hem all information, vilket kan bli otroligt dyrt och ibland tekniskt omöjligt.

Just nu är det mycket fokus på amerikanska molntjänster och amerikansk lagstiftning, men snart kommer stora kinesiska och indiska aktörer att etablera sina molntjänster i Europa. Vilken lagstiftning gäller där? Därför bör svenska företag som väljer molntjänstleverantör se till att leverantören garanterar:

  • Att den verkar under svensk lag. 
  • Att all information lagras i Sverige under svensk lagstiftning.
  • Att leverantören inte använder information som lagrats i annat syfte än att lagra den åt sina kunder.
  • Att kunden behåller äganderätten till all information som lagrats i leverantörens molntjänst.

 

 

 

 

 

 

 

 

Gratis nyhetsbrev om rättsfall och juridik - klicka här 

Tipsa via e-post

Ange flera adresser på olika rader eller separera dem med kommatecken.

Vill du verkligen anmäla denna kommentar som olämplig?

Anmäl Avbryt