Strategi och ledarskap

Cloud Act: den nya lagen i skuggan av GDPR

I skuggan av GDPR klubbades en annan lag igenom på andra sidan Atlanten, Cloud Act. Denna lag innebär att amerikanska myndigheter kan begära ut kunddata från amerikanska företag, även om servrarna står i Sverige. Vi går igenom hur det kommer att påverka dig och din data.

På senare år så har teknikens utvecklig gått betydligt snabbare än vad samhällets lagar och praxis har uppdaterats. Detta har inneburit problem inom flera områden, som till exempel vad gäller integritet, internationella lagar och nya sorters kriminalitet. De flesta länder arbetar därför febrilt med att utforma nya lagar för att hålla jämna steg med den tekniska utvecklingen.

Du har säkert hört talas om en av dessa lagar, GDPR, men har du hört talas om Cloud Act? GDPR är en EU-lag som nyligen trädde i kraft och är där för att skydda användares integritet mot stater och företag – Cloud Act går dock i motsatt riktning. I USA trädde alltså tidigare i år en helt ny lag i kraft som inte alls fått lika mycket skriverier trots att den även påverkar oss här i Europa. Cloud Act är till skillnad från GDPR inte till för att skydda användare, utan istället ska lagen göra det lättare för myndigheter att begära ut personlig data, även om datan lagras i ett annat land.

Vad är Cloud Act?

Den nya lagen heter Cloud Act och står för Clarifying Lawful Overseas Use of Data. Kortfattat så innebär den här lagen att USA:s olika polisiära myndigheter ska kunna begära ut digital information från ett amerikanskt företag, även om denna information inte lagras inom landets gränser. Anledningen till att man drivit igenom denna lag är ett långdraget rättsfall från 2013 med Microsoft där den amerikanska staten har velat få ut information om en användare i samband med ett drogrelaterat fall.

Microsoft har vägrat att lämna ut denna information då datan lagrades på en server i Irland och företaget ansåg därför att detta var något för irländska myndigheter och lagar. USA:s argument var att Microsoft är ett amerikanskt företag och därför ska följa amerikansk lag, även om det i detta fall var så att datan befann sig inom ett annat lands gränser. Efter flera års bråk i domstol om vad som gällde så drev då staten igenom Cloud Act för att sätta svart på vitt vad som gäller i fall som dessa. Svaret blev att amerikanska myndigheter nu har laglig rätt att begära ut datan från Microsoft.

Så vad innebär detta för dig?

I korthet betyder detta att även om din data lagras inom ditt eget lands eller EU:s gränser så innefattar Cloud Act din data om företaget du köper tjänsten av är amerikansk. Det betyder att amerikanska myndigheter har rätt att begära ut ditt företags data även om du trodde att den var säker under lokala lagar. Detta kanske låter obehagligt men flera stora IT-företag som Microsoft, Google, Apple och Facebook har faktiskt hyllat den nya lagen. Anledningen är att den gör det enklare att veta vad som gäller när internationella ärenden kring datautlämning kommer upp.

Ett problem som flera organisationer som jobbar med integritetsfrågor och demokrati har påpekat är dock det tillägg som gör att utlämnande av uppgifter kan ske utan någon större insyn. Även om Cloud Act ger myndigheter rätt att begära ut data så krävs det fortfarande att USA måste ha ett avtal med landet i fråga kring utlämnande av data. Därför har man i Cloud Act även skrivit in att USA:s president, justitieminister och statsdepartement kan godkänna sådana avtal utan att behöva ta upp det i kongressen. Det som oroar många är att detta även gäller omvänt, det vill säga att andra länder kan avtala med USA att få ut data kring en av sina invånare om den använder sig av en amerikansk molntjänst. Detta helt utan att söka de tillstånd som normalt krävs för avlyssning med mera i USA.

Summa summarum innebär alltså denna nya lag att om din affärskritiska information lagras via en tjänst från ett amerikanskt bolag kan den vara exponerad för myndigheter runt om i världen även om du tror att du är skyddad av EU-lagar eller lokala lagar.

Om detta är något som skrämmer dig eller går emot det du lovar dina kunder (via exempelvis GDPR) kan det vara värt att kolla på att flytta hem datan till en egen server eller exempelvis använda sig av vår tjänst Private Cloud för att få full kontroll över var din data lagras.

Läs mer om våra tjänster Private Cloud och On-site Server.

8 augusti 2018

Taggar