Svenska företags data inte längre säker hos amerikanska molnleverantörer.

Har ditt företag data hos Microsoft Azure, Amazon AWS, Google Cloud eller andra tjäsnter som t.ex Salesforce eller andra applikationer som ligger i molnet och är från ett amerikanskt företag, då kan denna information vara bra för att se hur detta eventuellt påverkar just ditt företag.

Det här är en mer detaljerad och konkret uppföljning till posten "Snart kan det bli olagligt att ha data på Azure, AWS och Google Cloud".

Bild: Egen. Bild på moln från mitt vardagsrum.

Klartext. Detta är vad som troligt håller på att hända.

Snart kan det vara olagligt att ha personlig data hos amerikanska moln-leverantörer, oavsett om datan är i ett datacenter i t.ex Sverige.

Det florerar även mycket osanningar just nu om vad som gäller och vilka lagar / regler som är i kraft och inte, samt framför allt vilken data som påverkas och om den verkligen påverkas eller inte. Så tänkte göra ett försök att tydliggöra (med källor) vad som gäller.

Svenska företags data är inte legalt skyddad i USA, har aldrig varit

Va? Jo, så är det!

1. TADPF / EU-US DPF trumfar inte Cloud Act eller FISA 702
   TADPF är en politisk överenskommelse och EU-US DPF den legalt bindande texten. Lagen är dock mer av en workaround för att få EU företag att känna sig aningens trygga att inte bryta mot GDPR och att föra över data till amerikanska moln-leverantörer som Microsoft Azure, Amazon AWS och Google Cloud etc.
2. Amerikanske underrättelse-tjänster kan alltid begära ut data
   Amerikans lag trumfar TADPF / EU-US DPF och är så klart inte bundna av EUs GDPR, så har en amerikanske myndighet behov av datan och det finns lagligt stöd i USA så kommer t.ex Microsoft att vara lagalt bundna att lämna ut data.
3. Oavsett vart datan är
   Cloud Act styr att amerikanska myndigheter kan begära ut datan från moln-leverantörerna oavsett vart i världen datan befinner sig. Det ger att även om din data är i ett svenska Microsoft Azure datacenter så måste Microsoft lämna ut datan.
4. Men GDPR då?
   ...och där blev det jobbigt. GDPR är en EU lag som alla företag inom EU måste förhålla sig till. Med EU-US DPF så blev det lagligt att föra över data till moln-leverantörer i USA. Detta baserar sig på att EU-US DPF finns och att lagen har adekvat oversight (sköts av PCLOB, se mer om det nedan). Gäller även bara om leverantören är DPF-certified.

Vilken data handlar det om?

Rent krasst handlar det om att ingen data är skyddad i lag. Det som dock har gjort det legalt för EU-företag att föra över personlig data till USA, och på det sättet efterleva GDPR, är just EU-US DPF och att det finns oversight.

Det är alltså just nu personlig data det handlar om, data som berörs av GDPR. All data påverkas, men det är bara GDPR-data som blir olagligt att ha hos amerikanska moln-leverantörer.

Givetvis kan det finnas andra mekanismer och avtal som gör att datan kan skyddas, men rent legalt är det detta som gäller. Gissar att många större bolag t.ex har anpassade avtal med moln-jättarna, som säkert kan innefatta viten mm. Dock lär de aldrig trumfa amerikansk lag.

Vad bör man som företag göra?

Enkelt (låter enklare än det är så klart), ta fram en plan för att flytta data till moln-leverantörer som inte är amerikanska. Helst i Sverige (finns flera bra) eller i annat EU-land. Fokusera på den personliga data, då det är den som det blir olagligt att ha hos amerikanska leverantörer, men överväg och planera för all data.

Skulle EU-US DPF fortsatt gälla och ha adekvat oversight, har ni en bra plan vilket alltid är bra oavsett och kan vara en konkurrensfördel i flera avseenden förutom den stora fördelen att vara generellt förberedd.

Världsläget påverkar

Som jag skriver så har datan hos amerikanska leverantörer aldrig varit säker från amerikanska underrättelsetjänster, men när myndighetscheferna i USA nu är ryssvänliga, maktfullkomliga och där USAs utveckling går åt helt fel håll, så påverkar det oss och är något vi måste ta hänsyn till. Vi måste agera utifrån den verklighet vi lever i.

Vi ser ju nästan dagligen hur just de som jobbar med oversight avlägsnas från sina tjänster och om de ersätts så är det med Trump-lojala, vilket för svenska företag gör denna oversight helt verkanslös. Det är det som händer bl.a med Privacy and Civil Liberties Oversight Board (PCLOB) som skall övervaka just dessa avtal inklusive de lagar som trumfar t.ex EU-US DPF som Cloud Act och FISA (FISA är nog inte så troligt att det påverkar så många svenska företag).

Läget just nu inom Privacy and Civil Liberties Oversight Board (PCLOB) är att det endast är en av fyra på PCLOB är kvar. Bakgrunden är att det var tre demokratiska medlemmar och en republikan. De tre demokratiska ombads säga upp sig, de vägrade och den 27 januari sades de helt enkelt upp. I dagsläget är det således endast en medlem, en Trump-lojal republikan, kvar. Det är alltså denna enhet som övervakar att de amerikanska myndigheterna inte gör övertramp vad avser övervakning. PCLOB skapades efter 9/11 men var till stor del inaktiv tills Snowdens avslöjanden. PCLOB har bl.a. kritiserat NSA för bulk-insamling av personligt data.

Kan även vara värt att läsa på hur just underrättelse-USA är strukturerat och vilka som leder den delen. Jag låter bli att skriva om det, utan Google kan hjälpa. Här är namnen på de högst rankade i den världen. Tulsi Gabbart som numera är högsta underrättelsechef i USA, Pete Hegseth är försvarsminister och John Ratcliffe styr CIA, finns fler så klart som Kash Patel på FBI m.fl. Just FBI har stor påverkan vad gäller Cloud Act t.ex.

Sammanfattning

• Det kan bli snart bli olagligt enligt GDPR att föra över personlig data till amerikanska molnleverantörer.
• Det blir alltså inte olagligt att föra över annan information...
• ...men all information är osäker om den ligger hos en amerikansk molnleverantör, oavsett om datan är i ett svenskt datacenter eller i USA.

Givetvis är att eventuellt bryta mot GDPR ett problem, men gissar att det kan finnas lite svängrum här eftersom det USA som ställt till det, men att ge amerikanska myndigheter så pass fria tyglar till svenska företags data som ligger i dessa moln är oroande, framför allt med tanke på den bristande oversight som nu finns och hur myndigheterna i USA styrs.

En liten fotnot innan jag avslutar denna post. Jag har absolut inget emot amerikanska molntjänster i sig, jag skriver detta utifrån perspektivet att om svenska företag skall använda cloud-tjänster måste datan vara säker och företagen medvetna om vad som gäller.