Diskuterar man molntjänster så händer det allt oftare att samtalet landar i CLOUD Act. CLOUD Act är en lag en amerikansk lag som, mycket förenklat sagt, ger amerikanska myndigheter möjligheten komma åt uppgifter som lagras i molnet. Det spelar ingen roll vart uppgifterna lagras, så länge molntjänstleverantören omfattas av lagen. Detta innebär exempelvis att företag som Microsoft måste lämna ut uppgifter om svenska medborgare som lagras i datacenter på Irland.
Europeiska myndigheter oroas över CLOUD Act
CLOUD Act oroar myndigheter i Sverige och i övriga Europa. Kammarkollegiet har tidigare i år publicerat en förstudie som konstaterar att det i vissa fall kan strida mot svensk lag när en svensk myndighet använder sig av tjänster som Office 365. I den tyska delstaten Hessen har tillsynsmyndigheten nyligen förbjudit skolor att använda Office 365. Vidare har det tyska förbundsdataskyddsombudet kritiserat den tyska polisen för att lagra data från kroppskameror i Amazons molntjänster.
EDPB kritiserar CLOUD Act
Nu har även Europas högsta tillsynsmyndighet för dataskydd (European Data Protection Board, EDPB) kritiserat CLOUD Act. I ett brev till Europaparlamentets utskott för medborgerliga fri- och rättigheter (LIBE) anför EDPS att det saknas en laglig grund för överföringar som grundar sig på CLOUD Act då det inte finns något formaliserat samarbete mellan EU och USA avseende sådana typer av överföringar i brottsbekämpande syften.
Läs hela brevet här.
Hur påverkas företag och andra organisationer?
EDPB:s kritik mot CLOUD Act visar att frågan har hamnat i fokus hos tillsynsmyndigheterna runt om i Europa. Det är därför troligt att diskussionen omkring överföringar av personuppgifter till tredje länder som USA kommer att öka framöver. I förlängningen kan det därför bli svårare för företag och andra organisationer som använder sig av amerikanska molntjänster som Office 365 att försätta med användningen.
Vad kan jag göra nu?
I dagsläget finns det inte någon rättspraxis på området, men det kan ändras snabbt. Företag och andra organisationer, särskilt offentliga verksamheter, bör se över sin IT-strategi och utveckla en plan som på sikt minskar beroendet av amerikanska molntjänstleverantörer. Alternativt bör företag och andra organisationer göra det omöjligt för molntjänstleverantörerna att röja personuppgifterna, t.ex. genom att använda lämpliga metoder för kryptering.
Vid användning av molntjänster måste man även göra en konsekvensbedömning avseende dataskydd. Vi har tagit fram en video som förklarar vad en konsekvensbedömning är. Vi erbjuder även en workshop för konsekvensbedömningar där vi bland annat tittar på Office 365.
Om man vill upphandla en molntjänst eller outsourca funktioner finns det mycket att ta hänsyn till. Vi erbjuder även en kurs om molntjänster och outsourcing som tar dig genom de viktigaste punkterna.