GDPR och CLOUD Act – regelverk att förhålla dig till i din molnstrategi

Den europeiska och amerikanska lagstiftningen gällande personuppgiftshantering och individens rätt till sin egen data är inte alltid enkla eller kompatibla med varandra. Det ökar risken för juridiska utmaningar där enskilda, europeiska bolag lätt hamnar i kläm vid användandet av amerikanska molntjänster.

Privacy Shield

GDPR:s främsta uppgift är att säkerställa alla EU-medborgares rättsliga dataskydd samt individens rätt till sitt privatliv och kontrollen över sin egen data. Det syftar också till att reglera hur personuppgifter får överföras inom och utanför EU. Dessa regler påverkar alla organisationer som på något sätt lagrar och hanterar personuppgifter i sina system, framförallt om lagring sker i molntjänster som ägs av utomeuropeiska företag.

Det är fritt fram att överföra personuppgifter och data mellan alla länder inom EU (gäller även EES-länderna). Om du däremot vill föra över och lagra uppgifter utanför EU, exempelvis i USA, krävs vissa förutsättningar för att detta ska vara tillåtet. Det kan vara följande:

  • EU-kommissionen bedömer att landet uppfyller s.k. adekvat skyddsnivå. Lista på godkända länder finns hos Datainspektionen här
  • Man har upprättat särskilda bindande företagsbestämmelser (BCR, Binding Corporate Rules) eller standardavtalsklausuler (SCC) som säkerställer godkänd skyddsnivå. Dessutom ska organisationen säkerställa att det inte finns en annan lag som trumfar ovan bestämmelser eller klausuler, exempelvis den amerikanska lagen Cloud Act
  • Andra situationer kan också vara tillåtna, men dessa bedöms i enskilda fall.

Regelverken kring hantering av personuppgifter har funnits några år och hittills har de stora amerikanska molntjänstleverantörerna lutat sig mot det så kallade Privacy Shield-avtalet. Sedan EU-domstolen ogiltigförklarade Privacy Shield är det inte längre tillåtet att överföra personuppgifter till USA med detta avtal som grund. Det är nu upp till varje enskild verksamhet att göra en bedömning om tillräckligt skydd finns för att garantera att kraven i GDPR efterlevs. 

Kryptering av data kan vara ett sådant skydd för organisationen, men viktigt att tänka på är att bevisbördan ligger på den enskilda verksamheten här. Det är alltså den enskilda verksamheten som måste kunna garantera att ingen extern organisation (så som exempelvis NSA) har knäckt aktuella krypteringsnivåer. En garanti som är extremt svår, om inte helt omöjlig, att ge för enskilda organisationer.

CLOUD Act tvingar amerikanska bolag att lämna ut dina personuppgifter

CLOUD Act (Clarifying Lawful Overseas Use of Data Act) innebär att amerikanska myndigheter, vid misstanke om brott, har rätt att begära ut personuppgifter och annan data från amerikanska molntjänstleverantörer, även om denna data lagras utanför USA, t.ex. inom EU. Det spelar alltså ingen roll i vilket land som servrarna där datan lagras befinner sig i. Så länge bolaget som äger servrarna är registrerat som ett amerikanskt bolag så lyder de under CLOUD Act. CLOUD Act öppnar även upp för andra länder, som ingått ett datadelningsavtal med USA, att begära ut data från amerikanska bolag utan att kongress eller domstolar får vetskap om det.

Cloud Act strider mot bestämmelserna i GDPR

Innehållet i Cloud Act går stick i stäv mot själva syftet med bestämmelserna i GDPR. Även om EU visserligen har ett intresse av ett internationellt rättskipande samarbete så måste all utlämning av data som lagras inom EU ske i enlighet med GDPR för att vara laglig. I praktiken innebär detta att överföring endast får ske om det grundar sig på ett specifikt avtal om ömsesidig rättslig hjälp, s.k. MLAT-avtal (Mutual Legal Assistance Treaty). Det är något som CLOUD Act helt enkelt inte tar hänsyn till.

5 faktorer som påverkar er Cloud compliance

Valet av molntjänst, alltså privat, publikt eller hybrida moln, spelar roll gällande compliance och hantering av data. Säkerställ att du känner till regelverket väl och vet vilka viktiga compliance-frågor som påverkar valet av er tilltänkta lösning.

Av säkerhets- och compliance-skäl är det viktigt att se över vilken typ av data som ska lagras i molnstjänsten. Känslig data kan vara aktuell att se över ett varv till innan du väljer att flytta upp detta i ett publikt moln. Här kan ett privat moln vara ett bättre alternativ.

Säkerställ att er tilltänkta molnstjänstleverantör uppfyller nödvändiga certifieringar för compliance, t.ex. ISO 27001. Gå även igenom i detalj hur leverantören jobbar för att garantera säkerhet för er data, hur de jobbar med back-up, samt er rätt att genomföra en översyn av säkerhet och compliance som de bygger upp kring er data.

Säkerställ att leverantören har en krisberedskapsplan som varnar ifall något fel skulle inträffa med er data.

Skaffa bra koll på vilka dataskyddslagar som gäller i det landet där er data kommer att lagras, exempelvis GDPR inom EU, samt om det finns andra lagar som riskerar att trumfa de nationella lagarna, exempelvis Cloud Act.

Läs mer om hur personuppgifter bör hanteras i molnet för uppnå Cloud Compliance, det vill säga säkerställa efterlevnad av regelverket.

Ladda ner vårt Whitepaper

Privacy Shield faller– vad innebär det för företag som redan lagrar data i amerikanska moln?

Cloud-experten Victor Souza: 

”Det enda som kan användas för att reglera överföring av data från EU till USA nu är en s.k. SCC (Standard Contractual Clauses). På kort sikt bör man genomföra en noggrann kartläggning över var man lagrar persondata idag, vilka företag som har tillgång till den datan och sedan säkerställa att dessa täcks av en SCC. På lång sikt bör man hitta en mer hållbar lösning för datalagring. Den juridiska maktkamp som pågår mellan USA och EU kommer förmodligen inte att ta slut inom de närmsta åren.”

Viktiga aspekter när du planerar att flytta er IT-infrastruktur till molnet

Med tanke på det svåra och komplexa juridiska läget mellan EU och USA rekommenderar vi att ha dessa punkter i åtanke när du planerar molnresan. Allt för att inte hamna i kläm mellan dessa regelverk. 

  1. Välj en europeisk molntjänstleverantör som har sina servrar inom EU. Då kan du vara trygg i att er datalagring uppfyller krav på personuppgiftsskydd enligt GDPR. Du behöver heller inte oroa dig över att Cloud Act kan tvinga leverantören att lämna ut era uppgifter till ett tredjepartsland. Viktiga aspekter för att säkerställa efterlevnad av GDPR.
  2. Om ni planerar att lagra informationen utanför EU, välj en infrastruktur som är lätt att flytta över till en annan leverantör ifall det juridiska läget snabbt skulle förändras, exempelvis nu när Privacy Shields upphörde. Att låsa in sig i långa avtal med leverantörer utanför EU, eller att bygga sin infrastruktur på leverantörsspecifik funktionalitet kan få svåra konsekvenser om läget förändras.   

Har ni redan påbörjat en flytt till en mer molnbaserad miljö?

Många organisationer har redan påbörjat resan mot en molnbaserad IT-miljö. Om det inte redan är gjort så är det isåfall hög tid att: 

  • kartlägga var er data kommer att lagras (inom eller utanför EU)
  • säkerställa att korrekta avtal finns på plats som godkänner flytt av personuppgifter till eventuellt tredjepartsland
  • kartlägga vilka nationella lagar (även utanför EU) som kan tänkas påverka hanteringen av er information, t.ex. Cloud Act.

Se även till att göra en riskanalys med en sannolikhetsbedömning och konsekvensanalys som viktar eventuella scenarier som kan ha negativ påverkan på er molnstrategi. Lägg upp en plan för hur ni hanterar dessa risker ifall de inträffar.

Boka konsultation med en Cloud Architect.