Advania logo
    Kontakta oss
    Gå tillbaka

    CLOUD Act

    Vad är CLOUD Act?

    CLOUD Act, som är en förkortning för Clarifying Lawful Overseas Use of Data Act, är en amerikansk federal lag som antogs 2018. Lagen ger amerikanska brottsbekämpande myndigheter, som FBI, rätten att begära ut data från amerikanska teknik- och molntjänstleverantörer, oavsett var i världen datan fysiskt är lagrad.

    Detta innebär att även om en amerikansk leverantör lagrar data på ett datacenter i Europa, kan de enligt amerikansk lag tvingas att lämna ut den till amerikanska myndigheter.

    Varför CLOUD Act är viktig

    Lagen är extremt viktig ur ett europeiskt perspektiv eftersom den skapar en direkt juridisk konflikt med dataskyddsförordningen (GDPR). Medan GDPR är utformad för att strikt skydda EU-medborgares data och begränsa dataöverföringar till länder utanför EU, hävdar CLOUD Act amerikansk jurisdiktion över samma data om den hanteras av ett amerikanskt företag. Detta skapar en komplex och riskfylld situation för europeiska organisationer som använder amerikanska molntjänster, då deras leverantör kan hamna i en situation där de måste bryta mot en lag för att kunna följa den andra.

    Hur fungerar CLOUD Act i praktiken?

    Lagen fungerar genom att ge amerikanska myndigheter rätt att utfärda en "warrant" eller "subpoena" (juridiska förelägganden) som tvingar ett företag som lyder under amerikansk lag att överlämna begärd data. Processen ser ut så här:

    • Föreläggande utfärdas: En amerikansk myndighet begär data relaterad till en brottsutredning.
    • Gäller oavsett plats: Föreläggandet gäller all data som företaget har "i sin ägo, förvar eller kontroll", oavsett var servrarna är placerade.
    • Begränsade möjligheter att neka: Företaget kan invända, men möjligheterna att neka utlämning är mycket begränsade. Företaget kan försöka hävda att begäran strider mot lagarna i det land där datan finns, men det är ingen garanti för framgång.
    • Potentiell tystnadsplikt: Lagen tillåter även att myndigheter belägger företaget med tystnadsplikt (en "gag order"), vilket innebär att de inte får informera sin kund om att deras data har lämnats ut.

    Konsekvenser av CLOUD Act för europeiska företag

    För organisationer inom EU som använder amerikanska molntjänster medför CLOUD Act flera betydande risker och utmaningar:

    1. Risk för GDPR-överträdelser: Att data överförs till en amerikansk myndighet utan en giltig rättslig grund enligt GDPR (som ett MLAT-avtal) kan utgöra en olaglig dataöverföring.
    2. Bristande transparens och kontroll: Risken för "gag orders" innebär att företag kan vara ovetande om att deras känsliga data har lämnats ut.
    3. Hot mot affärshemligheter: Lagen gör ingen skillnad på personuppgifter och annan känslig information, som företagshemligheter eller forskningsdata.
    4. Urholkat förtroende: Situationen skapar en osäkerhet som kan skada förtroendet för digitala tjänster och datahantering i molnet.

    CLOUD Act: Drivkraften bakom datasuveränitet

    CLOUD Act har blivit en av de främsta drivkrafterna bakom den växande efterfrågan på datasuveränitet och suveräna molntjänster (Sovereign Clouds) i Europa. För att helt eliminera risken som lagen medför, väljer allt fler organisationer, särskilt inom offentlig sektor och kritisk infrastruktur, att placera sin data hos europeiska molnleverantörer som är juridiskt och operativt skyddade från utländsk lagstiftning. Det är en direkt reaktion på behovet av att återta kontrollen över sin egen data.

    Vanliga frågor om CLOUD Act

    Gäller CLOUD Act bara data om amerikanska medborgare?

    Nej, lagen är inte begränsad av medborgarskap. Den gäller all data som en amerikansk leverantör kontrollerar, oavsett vem datan tillhör eller var personen bor. Detta inkluderar data om europeiska medborgare.

    Räcker det att välja ett datacenter inom EU för att undvika CLOUD Act?

    Nej, detta är den vanligaste missuppfattningen. Lagen handlar om leverantörens juridiska hemvist, inte var datacentret är placerat. Om din molnleverantör är ett amerikanskt företag, omfattas de av CLOUD Act även om de lagrar din data på servrar i exempelvis Sverige.

    Finns det några avtal mellan EU och USA som löser detta?

    Det finns bilaterala avtal (MLATs) för datautbyte mellan myndigheter, men CLOUD Act är utformad för att vara en snabbare, ensidig process. Det nya "Data Privacy Framework" reglerar kommersiella dataflöden men löser inte den grundläggande konflikten med CLOUD Act när det gäller myndighetsbegäran.

    Hur kan jag skydda mig mot CLOUD Act?

    Det mest effektiva skyddet är att välja en molnleverantör som inte lyder under amerikansk lag, det vill säga en europeisk leverantör utan amerikanskt moderbolag (en Sovereign Cloud). En annan teknisk åtgärd är att använda stark kryptering där du själv har exklusiv kontroll över krypteringsnycklarna, vilket kan göra datan oläslig för leverantören.

    Viktiga punkter att ta med sig:

    • CLOUD Act är en amerikansk lag som ger myndigheter rätt att begära ut data från amerikanska teknikföretag, oavsett var datan är lagrad.
    • Lagen skapar en direkt juridisk konflikt med europeiska dataskyddslagar som GDPR.
    • Att lagra data i ett europeiskt datacenter är inte ett tillräckligt skydd om leverantören är ett amerikanskt företag.
    • Lagen är en stark drivkraft bakom den ökande efterfrågan på datasuveränitet och europeiska suveräna molntjänster.
    • För att helt undvika risken krävs en molnleverantör som är juridiskt och operativt skyddad från amerikansk lagstiftning.