Strategi og lederskap

Cloud Act: den nye loven i skyggen av GDPR

I skyggen av GDPR ble en annen lov banket gjennom på den andre siden av Atlanterhavet, nemlig Cloud Act. Loven gjør at amerikanske myndigheter kan be om kundedata fra amerikanske selskaper, selv om serverne står plassert i Norge. Vi ser nærmere på hvordan det vil påvirke deg og dine data.

De siste årene har teknologiutviklingen gått mye raskere enn hva samfunnets lover og praksis har blitt oppdatert. Dette har medført mange utfordringer på flere områder, for eksempel nye typer kriminalitet og spørsmål om personvern og internasjonale lover. De fleste land er derfor hektisk i gang med å utforme nye lover for å håndtere den teknologiske utviklingen.

Du har sikkert hørt snakk om en av disse lovene, GDPR, men har du hørt om Cloud Act? GDPR er en EU-lov som nylig trådte i kraft og er innført for å beskytte brukernes integritet mot stater og selskaper, men den amerikanske loven Cloud Act har en annen agenda. I USA trådte tidligere i år en helt ny lov i kraft, som slett ikke fikk så mye omtale, selv om den påvirker oss her i Europa. Den nye loven er i motsetning til GDPR ikke for å beskytte brukerne, men i stedet vil den gjøre det lettere for myndighetene å be om personlige data, selv om de er lagret i et annet land.

Hva er Cloud Act?

Den nye loven heter Cloud Act og står for Clarifying Lawful Overseas Use of Data. Kort sagt betyr denne loven at de forskjellige lovhåndhevende amerikanske myndighetene kan be om digital informasjon fra et amerikansk selskap, selv om denne informasjonen ikke lagres innenfor landets grenser. Grunnen til at denne loven gikk gjennom er en langvarig rettssak fra 2013 der den amerikanske staten i forbindelse med en narkotikarelatert etterforskning har ønsket å få utlevert informasjon om en bruker fra Microsoft.

Microsoft har nektet å utlevere informasjonen ettersom dataene ble lagret på en server i Irland, og selskapet vurderte derfor at dette angikk irske myndigheter og lover. USAs argument var at Microsoft er et amerikansk selskap og derfor skal overholde amerikansk lov, selv om informasjonen i dette tilfellet ble lagret et annet land. Etter flere års forhandlinger i retten om hva som gjelder, banket myndighetene gjennom loven Cloud Act for å vise svart på hva som gjelder i slike saker. Svaret ble at de amerikanske myndighetene nå har juridisk rett til å be om å få utlevert data fra Microsoft.

Så hva innebærer dette for deg?

Kort sagt betyr dette at selv om dine data er lagret i ditt eget land eller innenfor EUs grenser, så omfatter Cloud Act dataene dersom du kjøper tjenesten hos et amerikansk selskap. Dette betyr at amerikanske myndigheter har rett til å be om å få utlevert bedriftens data selv om du trodde at de var trygge i henhold til lokale lover. Dette høres kanskje ikke så farlig ut, og flere store IT-selskaper som Microsoft, Google, Apple og Facebook har rost den nye loven. Årsaken til dette er at den gjør det lettere å vite hva som gjelder ved internasjonale forespørsler om utlevering av data.

Et problem som flere organisasjoner som arbeider med personvern og demokrati har påpekt, er tillegget som tillater utlevering av data uten større åpenhet. Selv om Cloud Act gir myndighetene rett til å be om å få utlevert data, er det fortsatt påkrevd at USA må ha en avtale med det aktuelle landet om utlevering av data. Derfor står det også i Cloud Act at USAs president, justisminister og statsdepartement kan godkjenne slike avtaler uten å måtte ta dem opp i kongressen. Det som gjør dette litt bekymringsfullt for mange, er at dette også gjelder omvendt. Det vil si at andre land kan være enige med USA om å få utlevert data om en av sine innbyggere, hvis de bruker en amerikansk skytjeneste. Dette helt uten å søke om tillatelsene, noe som normalt kreves for bl.a. avlytting i USA.

Dermed innebærer denne nye loven at hvis din forretningskritiske informasjon lagres via et amerikansk selskap, kan den være eksponert for myndigheter over hele verden, selv om du tror at du er beskyttet av EUs lover eller lokale lover.

Hvis dette er noe som skremmer deg eller går imot det du lover kundene dine (via for eksempel GDPR), kan det være verdt å vurdere å flytte dataene til en egen server eller for eksempel å bruke vår tjeneste Private Cloud for å få full kontroll på hvor dataene dine er lagret.

Les mer om våre tjenester Private Cloud og On-site Server.

Sist oppdatert: 1 juli 2022

Tagger