Inga problem med Cloud Act

cloudactfrihetsgudinnan.jpg

När Cloud Act trädde i kraft förkunnade Esam att den amerikanska lagen kan utgöra sekretessproblem. Nu menar Microsoft, SKL och advokat Caroline Olstedt Carlström att utlåtandet var drastiskt och att Cloud Act inte innebär några ökade risker för offentlig sektors molninvesteringar.

– Det är olyckligt att Cloud Act beskrivs i media och juristkretsar som den öppna dörren till att söka data. Så är det inte, säger Mathias Strand, chefsjurist på Microsoft. 

Huruvida den amerikanska lagen Cloud Act utgör ett hinder för offentlig sektors digitalisering framöver har diskuterats flitigt under det senaste halvåret. Bland annat har oron ökat efter att samverkansprogrammet Esam uttalat sig att det inte är osannolikt att Cloud Act utgör ett sekretessproblem när det gäller outsourcing av molntjänster.

Under Almedalsveckan diskuteras ämnet av Mathias Strand, chefsjurist på Microsoft, Lotta Nordström, sektionschef på SKL och Caroline Olstedt Carlström, advokat på Cirio.

Enligt Mathias Strand så grundades Cloud Act bland annat för att förenkla och möjliggöra en snabbare överföring av data mellan stater i så kallade cloud act agreements. Här har Europa tidigare klagat på USA att det tar för lång tid att begära ut data, vilket beror på att de har sådan sträng struktur kring husrannsakan.

– Amerikanska myndigheter kan aldrig gå till Microsoft eller någon annan leverantör och be om sökning av allmän information eller större grupp av människor, utan det behövs en giltig förfrågan gällande specifika konton eller användare. Precis som i polisärenden från svensk polis. Enligt amerikansk lag krävs då ett domslut om husrannsakan där det behöver finnas specifika fakta som kopplar mejlkontot till brottet. Det enda Cloud Act gör är att förtydliga det som redan finns i amerikansk lagstiftning.

Ett konkret exempel

Amerikansk polis behöver visa att det inte är möjligt att gå direkt till kunden. För att så ska vara fallet behöver i princip hela Grönköping vara korrupt och involverade i det brottsliga.

Mathias Strand

För att åskådliggöra ger Mathias Strand ett teoretiskt exempel.

– Om Sten Persson i Grönköping, med mejladressen stenpersson@gronkoping.se, kommer upp i en grov brottsutredning i USA, skulle då amerikansk polis chansa på att Grönköping använder sig av Microsoft och höra av sig till oss och därmed jobba mot den armé av jurister vi har? Eller skulle den amerikanska polisen i första hand höra av sig till svensk polis och Grönköping?

– Amerikanska justitiedepartementet har en skrivelse där åklagare alltid ska vända sig direkt till kunden, i det här fallet Grönköping, om inte särskilda skäl talar för något annat. Microsoft lämnar inte ut data till myndigheter, om vi inte måste enligt lag. Amerikansk polis behöver tydligt visa att det inte är möjligt att gå direkt till kunden och för att så ska vara fallet behöver i princip hela Grönköping vara korrupt och involverade i det brottsliga.

– Microsoft måste enligt företagets kundavtal meddela kunden innan data lämnas ut om man inte blir förhindrad att göra så enligt lag. Att bli belagd med ett så kallat Non-Disclosure Order har mycket höga rättsliga krav då det inkräktar på den grundlagsskyddade yttrandefriheten i USA. Det kräver speciella fakta och skäl som visar att ingen hos kunden ifråga är betrodd och alla är involverade i den brottsliga verksamheten. Microsoft har och kommer utmana för långtgående Non-Disclosure Orders.

För snabbt utlåtande

Esam har tidigare meddelat att de ser det som tämligen osannolikt att outsourcing till utländska molntjänster skulle utgöra ett stort problem för offentlig sektor. Efter Cloud Act har dock tonen vänt och de ser det inte som osannolikt längre, vilket advokat Caroline Olstedt Carlström, tycker är en aning märkligt.

– Var kommer den förändringen ifrån? Det skulle vara intressant att veta. För som Mathias Strand nämnde är Cloud Act snarast en kopia av vad som tidigare har gällt.

Dagarna efter så fick jag samtal från gråtande it-chefer där kommunpolitiker hade stoppat hela molnsatsningen.

Lotta Nordström

SKL är en av medlemmarna i Esam. Efter att Esams utlåtande blev publikt så har SKL nu börjat se över hur man tar beslut inom Esam. 

– Det gick lite för fort att göra det utlåtandet. Dagarna efter så fick jag samtal från gråtande it-chefer där kommunpolitiker hade stoppat hela molnsatsningen. I vissa fall kan det innebära att de kommande två årens digitaliseringsmedel går åt till att skapa lokala lösningar, som man redan byggt i molntjänster, säger Lotta Nordström sektionschef på SKL.

– Kommuner har också som princip att använda den ekonomiskt mest effektiva lösningen som finns, vilket kan innebära molntjänster. Vi måste vara effektiva. Under de närmaste tio åren kommer var och en som är yrkesverksam att nästan behöva försörja en person till. Det är en situation som gör att arbetskraften inte räcker till, vi har inte expertfolk som kan sätta upp alla de här miljöerna lokalt. Så vi måste hitta lösningar och ett förenklat rättsläge men inte flera organisationer som gör sina egna säkerhetstolkningar, säger Lotta Nordström. 

5 juli 2019Uppdaterad 2 oktober 2023Reporter Fredrik AdolfssonsäkerhetFoto Adobestock

Voisters nyhetsbrev

Rekommenderad läsning