Dags att sluta använda molntjänster?

Användandet av (amerikanska) molntjänster och deras kompatibilitet med GDPR har länge varit en het diskussionsfråga, framför allt i offentlig sektor. Under februari i år ställdes frågan på sin spets när Statens Inköpscentral tog ställning i debatten och fastslog att ingen av de stora molntjänsterna som finns på marknaden i dag är GDPR-kompatibel. Vad kan det innebära för framtiden i offentlig och privat sektor?

GDPR

Den 25 maj 2018 började dataskyddsförordningen (GDPR) att tillämpas i samtliga EU-länder. Förordningen stadgar bland annat att inga överföringar av EU-medborgares personuppgifter får ske till tredje land, det vill säga länder utanför EU, om inte behandlingen faller in under något av de undantag som framgår av GDPR (se artiklarna 45–47). Detta för att uppgifterna inte får överföras till en organisation utanför EU där det finns en risk för att de registrerades rättigheter enligt förordningen hotas (artikel 44). I undantaget i artikel 48 finns själva knäckfrågan med just användandet av amerikanska molntjänster. I artikeln stadgas väldigt tydligt vad som gäller om tredje länder på grundval av enbart nationell lagstiftning vill kunna bereda sig tillgång till EU-medborgares personuppgifter.

Amerikansk lagstiftning som påverkar molntjänster

CLOUD Act

Cirka två månader innan dataskyddsförordningen började tillämpas inom EU antog USA the Clarifying Lawful Overseas Use of Data Act (CLOUD Act). Sammanfattningsvis kan sägas att CLOUD Act ger FBI rätten att, efter inhämtande av husrannsakan/domstolsbeslut, kräva ut (person-)data från servrar tillhörande USA-baserade techföretag, oavsett om servrarna där uppgifterna lagras står i USA eller i något annat land. Det betyder att FBI kan kräva ut data som en svensk organisation lagrar i en molntjänst som drivs av ett amerikanskt bolag, även om servrarna där den svenska organisationens data finns lagrad är utanför USA:s gränser, och även om det amerikanska molntjänstföretaget är anslutet till Privacy Shield-avtalet.

Det förutsätter dock att följande tre krav är uppfyllda:

• En amerikansk domstol har jurisdiktion över den organisation som tillhandahåller tjänsten.
• Organisationen har en tjänst för elektronisk kommunikation eller en molntjänst och faller därmed inom CLOUD Acts tillämpningsområde.
• Organisationen har ägandeskap över, förvarar eller kontrollerar den data som eftersöks.

Slutsats

Ska vi sluta använda molntjänster som tillhandahålls av amerikanska aktörer? För offentlig sektor skulle jag gå på eSams och Statens Inköpscentrals linje och uppmana till att sitta lugnt i båten och möjligen invänta ett ramavtal. Statens Inköpscentral har exempelvis sagt att man tittar på den tyska modellen där man skapat en statlig molntjänst för myndigheter. ”Bundescloud” som den heter är i dag en tjänst för fillagring och dokumenthantering, men den ska uppdateras med samarbetsverktyg, kalkylark, presentationsverktyg, chatt och videokonferens. Personligen anser jag att en sådan lösning även för svensk offentlig sektor är mer ändamålsenlig än att hoppas på att det ska bli ”säkert” att använda amerikanska molntjänster, åtminstone gällande lagring och behandling av uppgifter som omfattas av sekretess.

För privat sektor som inte har den lagstadgade sekretessen att förhålla sig till är läget till viss del annorlunda. Jag uppmanar till försiktighet och noggrann genomgång av den tilltänkta leverantörens ägandestruktur samt att ta en dialog med juristavdelningen eller andra lämpliga företrädare för att ta reda på om och hur er lagrade data ska undgå CLOUD Act. Oavsett vad svaret blir skulle jag ändå iaktta försiktighet och i regel inte lagra känsliga personuppgifter, personuppgifter i stor omfattning eller företagshemligheter – i synnerhet inte sådana som rör bolagets säkerhetsarkitektur – i en amerikansk molntjänst.

Vill du ta del av hela Hanna Kjellmans analys?

Läs då mer om informationstjänsten JP ITnet.

Publicerad 26 mar 2019