I skuggan av GDPR har en ny lag klubbats, som kan få stora konsekvenser för molnanvändandet i hela världen. Den innebär att amerikanska molnleverantörer tvingas lämna ut data till amerikanska myndigheter oavsett var den är lagrad.
Cloud Act är en ny lag som innebär att amerikanska myndigheter ska ges tillgång även till data som lagras utomlands – och att amerikanska leverantörer av det skälet inte kan vägra lämna ut sådana data.
Den nya lagen trädde i kraft så sent som 23 mars.
– Här handlar det om att affärskritisk information exponeras för utländsk lagstiftning om den lagras på utländska molntjänster, även om själva lagringen sker inom EU:s gränser, säger Matz Karlsson, vd för den svenska molnleverantören Storegate.
Samma sak gäller myndigheter som inte sällan arbetar med sekretesskyddad information.
I Europa har den här stora förändringen av hur data får hanteras flugit under radarn. Här är myndigheter och företag fokuserade på en annan stor lagändring som i många stycken går i motsatt riktning mot Cloud Act, nämligen GDPR som stärker privatpersoners dataskydd gentemot företag och myndigheter.
Sofia Edvardsen, partner och grundare av affärsjuridikbyrån Sharp Cookie Advisors, har följt utvecklingen och berättar att bakgrunden till Cloud Act är en dispyt mellan amerikanska justitiedepartementet och Microsoft som går tillbaka till 2013.
Departementet krävde att Microsoft skulle lämna ut data om en kund som misstänktes för illegala aktiviteter. Dock var den misstänkte irländare, boendes på ön och hans data var lagrad på Irland.
Det här resulterade i att Microsoft argumenterade mot amerikanska staten i Högsta domstolen, där ärendet stannade – men det är just för att slippa sådana segdragna processer som Cloud Act klubbades igenom.
– Nu har ju den här lagen hamnat lite i skuggan av GDPR, men det är klart att det kommer att pratas mer om Cloud Act framöver, det blir ännu en parameter att förhålla sig till.
Sofia Edvardsen säger att Cloud Act innebär att svenska verksamheter som lagrar känsliga data i amerikanska leverantörers moln måste börja ställa sig frågor om vilka risker de anser vara acceptabla, och se över hur dialogen med leverantören ser ut.
– Men det här innebär också risker för internationella molntjänsteleverantörer.
Vad måste organisationer göra?
– Jag tror att organisationer måste skapa silos, alltså separata uppsättningar molntjänster för olika data. Vi kommer att gå allt mer mot en hybridmiljö i hur vi använder molntjänster. I delar av din organisation kommer det naturligtvis inte att vara några problem att använda de här tjänsterna, i andra kanske det är det.
Sofia Edvardsen tillägger att en del beslut i GDPR-arbetet om vilka avtal man ingått nu kan behöva omprövas.
När Computer Sweden ringer runt till jurister och molnexperter är det annars ganska få som satt sig in i vad den nya lagen innebär och får för konsekvenser – det är tydligt att både leverantörer och kunder är fokuserade på slutspurten i GDPR-rejset som ska vara klar den 25 maj.
På Datainspektionen svarar kommunikationschefen Per Lövgren i ett mejl:
”Cloud Act togs upp på det senaste mötet i arbetsgruppen Borders, Travel & Law Enforcement subgroup. Det är en undergrupp till Artikel 29-gruppen som består av EU:s dataskyddsmyndigheter. Gruppen har dock inte diskuterat frågan närmare och har inte tagit ställning till vad Cloud Act kan innebära i förhållande till EU:s regler om dataskydd”.
Svenska molnleverantörer följer naturligtvis den här utvecklingen med intresse. På Storegate, som bland annat levererar en molnbaserad lagringstjänst, säger vd Matz Karlsson att han är förvånad över hur få som satt sig in i vad Cloud Act innebär.
– Vi har stirrat oss blinda på GDPR och den här lagen har hamnat i bakvattnet. Även i branschen är det många som missat det här. Det råder okunskap och osäkerhet.
För svenska molnleverantörer innebär det här emellertid att de får ett nytt försäljningsargument när de går upp mot de amerikanska jättarna i matchen mot kunderna.
– Vi lever i en föränderlig värld, och Cloud Act är en ny lag, men det har kommit andra lagar tidigare och det kommer nya i framtiden som gör att osäkerheten ökar. Därför får vi en fördel när vi har datahallarna i Sverige och som svenskt bolag verkar under svensk lag, säger Matz Karlsson.
Source: Computer Sweden - IdgArticle: https://computersweden.idg.se/2.2683/1.701858/cloud-act
