I ett inslag på Rapport den 30 maj framgår det att Försvaret nobbar amerikanska molntjänster; nedan förklarar jag varför.
Credit: Unsplash.
FRÅGA: Kan en svensk organisation vara tvungen att lämna ut data til amerikanska myndigheter på grund av cloud act och annan amerikansk lagstiftning (Fisa m.m.) för det fall man använder Googles Microsofts eller Amazons molntjänster?
Ja, det korta svaret är att det finns en reell juridisk risk för det.
Om er organisation använder molntjänster från Google (GCP), Microsoft (Azure) eller Amazon (AWS), lyder dessa leverantörer under amerikansk jurisdiktion. Det innebär att amerikanska myndigheter, under specifika omständigheter, kan tvinga dem att lämna ut data – även om datan fysiskt lagras på servrar i Sverige, Frankfurt, Dublin eller någon annanstans inom EU.
Här är en genomgång av hur de olika lagarna fungerar och varför de skapar en direkt lagkrock med europeisk lagstiftning (som GDPR).
US CLOUD Act
Clarifying Lawful Overseas Use of Data Act* lanserades för att lösa tvister där amerikanska myndigheter (t.ex. FBI) krävde åtkomst till data som amerikanska bolag hade sparade utomlands.
Hur det fungerar
Lagen slår fast att amerikansk domstolsrätt (jurisdiktion) följer bolaget, inte var dataservern fysiskt står. Om ett amerikanskt bolag har besittning, vård eller kontroll över datan, måste de lämna ut den om de får en amerikansk husrannsakningsorder eller ett domstolsbeslut.
Konsekvens för EU-kunder
Det spelar ingen roll om du i AWS- eller Azure-konsolen har klickat i att din data ska ligga i Sweden Central eller Europe West eftersom moderbolagen är amerikanska omfattas de av CLOUD Act.
FISA (Sektion 702)
Foreign Intelligence Surveillance Act är en underrättelselagstiftning som syftar till nationell säkerhet och kontraspionage.Till skillnad från CLOUD Act, som kräver en brottsmisstanke och ett specifikt domstolsbeslut, tillåter FISA Sektion 702 att amerikanska underrättelsetjänster (som NSA) bedriver bredare signalspaning och övervakningsprogram (t.ex. det kända PRISM). FISA gör uttrycklig skillnad på amerikanska medborgare och utländska medborgare. Europeiska medborgare och företag har inte samma konstitutionella skydd mot övervakning i USA och saknar i praktiken möjlighet till effektiva rättsmedel (att kunna överklaga eller skydda sig i en amerikansk domstol).
Den stora lagkrocken
Det största problemet för europeiska organisationer är att dessa amerikanska lagar krockar direkt med GDPR (Artikel 48), som förbjuder utlämning av personuppgifter till tredjelandsmyndigheter utan att det finns ett godkänt internationellt avtal (t.ex. ett rättsligt samarbete via MLAT). Om Google, Microsoft eller Amazon får ett sådant krav ställs de inför ett omöjligt val nämligen att följa amerikansk lag och bryta mot GDPR (vilket kan leda till mångmiljonböter för kunden/leverantören i EU eller att följa GDPR och riskera fängelsestraff, böter eller förlorade licenser i USA. Till detta ska tilläggas att amerikanska myndigheter använder ofta så kallade Gag Orders (tystnadsplikt vilka innebär att molnleverantören blir juridiskt förbjuden att berätta för dig som kund att de har tvingats lämna ut din data. Din organisation vet alltså inte en om detta har skett.
Vilka tekniska lösningar finns och hur fungerar de?
Teknikjättarna har lanserat olika lösningar för att bemöta detta, exempelvis Microsoft EU Data Boundary eller AWS European Sovereign Cloud. Dessa initiativ innebär ofta att datan hanteras av lokala EU-medarbetare och hålls strikt inom EU:s gränser. Detta är ett utmärkt skydd mot allmän dataöverföring, men det löser inte grundproblemet med CLOUD Act eller FISA. Så länge det slutgiltiga ägandet och kontrollen ligger hos ett amerikanskt moderbolag, kan amerikanska domstolar fortfarande hävda att moderbolaget har ett inflytande eller en kontroll över dotterbolagets data. Faktum är att Microsofts franska dotterbolagschef under ed i den franska senaten bekräftade att de inte kan garantera 100 % immunitet mot amerikansk lagstiftning, även i sina suveräna upplägg.
Vad blir slutsatsen för er organisation?
För det fall er organisation hanterar data som rör rikets säkerhet, känsliga personuppgifter inom vård/skola, eller extremt värdefulla företagshemligheter, anses riskerna med amerikanska molntjänster ofta vara för höga efter det att en DPIA (konsekvensbedömning) utförts. Många myndigheter och organisationer väljer därför svenska eller helt europeiska molnalternativ (t.ex. Safespring, City Network/Cleura, Exoscale) där ägarstrukturen är helt fri från amerikansk jurisdiktion.
Många privata företag gör en riskbedömning och landar i att fördelarna med AWS/Azure/Google överväger riskerna, men använder då ofta kompletterande skyddsåtgärder – såsom att kryptera datan själv (Client-Side Encryption) där de amerikanska leverantörerna inte har tillgång till krypteringsnycklarna.