Säker molnlagring

Vad är Cloud Act?

16
jun

Vad är Cloud Act – och hur påverkas vi av det?

Vad är Cloud Act? Hur påverkar den vår personliga integritet? Det korta svaret: att amerikanska myndigheter har möjlighet att begära ut data som finns lagrade hos leverantörer av molntjänster som lyder under amerikansk lag – oavsett var informationen är lagrad. Och att det är ett hot mot den personliga integriteten.

Balansgången mellan nationell säkerhet och personlig integritet blir allt mer svårbemästrad. Å ena sidan finns idag de tekniska möjligheterna att söka efter hot mot nationens säkerhet på ett digitalt synnerligen sofistikerat och för den enskilda individen påträngande sätt. Det är fullt tekniskt möjligt – men så klart omöjligt att veta om det verkligen sker – att amerikanska myndigheter systematiskt går igenom din Dropbox, Google Drive eller Icloud i jakten på, eller förberedelser till, kriminella aktiviteter.

Samma tekniska möjligheter har även brottslingar och fiender.

De allra flesta av oss har ingenting att dölja och ser kanske inte detta som ett problem. Det behöver det heller inte vara förrän det missbrukas. Jakten mot brottslingar måste ju ske på samma villkor.

Men för den personliga integriteten är detta en fullskalig katastrof.

Cloud Act och den digitala utveckligen

Den snabba förändringstakten i vår allt mer digitala värld innebär en rad utmaningar för företag och organisationer. Den ställer höga krav på flexibilitet, agilitet och nya typer av IT-lösningar. 

Att byta ut föråldrade affärssystem och ineffektiva arbetssätt är en nödvändighet, då detta förhindrar produktivitet och samarbete, vilket i slutändan medför försämrad lönsamhet. Det handlar inte så mycket om mjukvara, utan om ett nytt sätt att tänka. 

I denna utveckling spelar molnet – ”the cloud” – en nyckelroll. Företag bör ägna särskild uppmärksamhet åt att använda molnet som en accelerator för att driva affärer, eftersom molnet gör data tillgängligt överallt och när som helst

Molntjänster innebär många fördelar, såsom billigare och mer flexibla IT-lösningar, förbättrad säkerhet och minskade kostnader för hårdvara och interna IT-avdelningar. Emellertid, ju mer online vi är, desto mer rigorösa måste vi vara vid hantering och lagring av data.

För att stärka privatpersoners dataskydd och integritet gentemot företag och myndigheter infördes i maj 2018 EU:s dataskyddsförordning GDPR. GDPR ställer högre krav på tydlig information, dokumentation och hantering av personuppgifter och ersatte samtidigt den svenska personuppgiftslagen PuL.

Vad många inte känner till är att den amerikanska staten ett par månader tidigare antagit en lagstiftning som på många sätt går tvärtemot GDPR, nämligen Cloud Act.

Cloud Act innebär att amerikanska myndigheter kan få tillgång till ditt företags kunduppgifter, utan att du behöver få kännedom om det. Affärskritisk och känslig information är alltså inte säker.

Vad innebär Cloud Act? 

Enkelt förklarat innebär Cloud Act att amerikanska myndigheter har möjlighet att begära ut stora mängder data som finns lagrade hos leverantörer av elektroniska kommunikationstjänster och molntjänster som lyder under amerikansk rätt, oavsett var informationen är lagrad. Servrarnas placering, eller om informationen hanteras i eller utanför USA, har alltså inte längre någon avgörande betydelse. 

Detta omfattar således också icke-amerikanska bolag som anlitar amerikanska molntjänstleverantörer, även om själva lagringen sker inom EU:s gränser.

Till skillnad från GDPR som ger ett starkt skydd till privatpersonen innebär Cloud Act således att amerikanska myndigheter kan få tillgång till ditt företags kunduppgifter, utan att du behöver få kännedom om det. Affärskritisk och känslig information är därmed inte säker utan exponeras för utländsk lagstiftning.

Införandet av Cloud Act grundar sig i den amerikanska statens vilja att få gränsöverskridande tillgång till elektronisk bevisning i polisiära sammanhang, Förekommer misstanke om brott kan informationen begäras ut av USA:s polisiära myndigheter och molntjänstleverantören kan inte vägra genom att åberopa till svensk/europeisk lagstiftning.

Vad behöver vi tänka på vad gäller Cloud Act?

Även om syftet med implementeringen av Cloud Act i grunden är positivt finns det betydande juridiska och tekniska svårigheter. Det råder konflikter mellan Cloud Act-lagstiftning, EU-rätt och nationell rätt (Dataskyddslagen). EU-kommissionen utreder för närvarande möjliga lagstiftningsåtgärder för att skapa balans mellan de brottsbekämpande myndigheternas intresse av att utreda allvarlig brottslighet, skydd för den personliga integriteten, tjänsteleverantörernas villkor samt regler om dataskydd.

Om Cloud Act går emot ditt kundlöfte om säker datahantering kan det vara värt att göra en konsekvensanalys och välja andra alternativ, såsom en svensk leverantör (företagsregistrerad i Sverige) som enbart lagrar informationen på servrar på svensk mark. Ytterligare ett alternativ är att flytta datan till en egen server, eller genom en private cloud-lösning som ger dig full kontroll över din datalagring och garanterar hög datasäkerhet.

Mattias Brannholm

Mattias Brannholm is a marketing consultant. He has a contract from Mars 2020.

Lämna ett svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *