Genom att surfa vidare godkänner du att vi använder cookies. Jag förstår

En smartare it-nyhetssajt

Inga problem med Cloud Act

cloudactfrihetsgudinnan.jpg

När Cloud Act trädde i kraft förkunnade Esam att den amerikanska lagen kan utgöra sekretessproblem. Nu menar Microsoft, SKL och advokat Caroline Olstedt Carlström att utlåtandet var drastiskt och att Cloud Act inte innebär några ökade risker för offentlig sektors molninvesteringar.

– Det är olyckligt att Cloud Act beskrivs i media och juristkretsar som den öppna dörren till att söka data. Så är det inte, säger Mathias Strand, chefsjurist på Microsoft. 

Huruvida den amerikanska lagen Cloud Act utgör ett hinder för offentlig sektors digitalisering framöver har diskuterats flitigt under det senaste halvåret. Bland annat har oron ökat efter att samverkansprogrammet Esam uttalat sig att det inte är osannolikt att Cloud Act utgör ett sekretessproblem när det gäller outsourcing av molntjänster.

Under Almedalsveckan diskuteras ämnet av Mathias Strand, chefsjurist på Microsoft, Lotta Nordström, sektionschef på SKL och Caroline Olstedt Carlström, advokat på Cirio.

Enligt Mathias Strand så grundades Cloud Act bland annat för att förenkla och möjliggöra en snabbare överföring av data mellan stater i så kallade cloud act agreements. Här har Europa tidigare klagat på USA att det tar för lång tid att begära ut data, vilket beror på att de har sådan sträng struktur kring husrannsakan.

– Amerikanska myndigheter kan aldrig gå till Microsoft eller någon annan leverantör och be om sökning av allmän information eller större grupp av människor, utan det behövs en giltig förfrågan gällande specifika konton eller användare. Precis som i polisärenden från svensk polis. Enligt amerikansk lag krävs då ett domslut om husrannsakan där det behöver finnas specifika fakta som kopplar mejlkontot till brottet. Det enda Cloud Act gör är att förtydliga det som redan finns i amerikansk lagstiftning.

Ett konkret exempel

Amerikansk polis behöver visa att det inte är möjligt att gå direkt till kunden. För att så ska vara fallet behöver i princip hela Grönköping vara korrupt och involverade i det brottsliga.

Mathias Strand

För att åskådliggöra ger Mathias Strand ett teoretiskt exempel.

– Om Sten Persson i Grönköping, med mejladressen stenpersson@gronkoping.se, kommer upp i en grov brottsutredning i USA, skulle då amerikansk polis chansa på att Grönköping använder sig av Microsoft och höra av sig till oss och därmed jobba mot den armé av jurister vi har? Eller skulle den amerikanska polisen i första hand höra av sig till svensk polis och Grönköping?

– Amerikanska justitiedepartementet har en skrivelse där åklagare alltid ska vända sig direkt till kunden, i det här fallet Grönköping, om inte särskilda skäl talar för något annat. Microsoft lämnar inte ut data till myndigheter, om vi inte måste enligt lag. Amerikansk polis behöver tydligt visa att det inte är möjligt att gå direkt till kunden och för att så ska vara fallet behöver i princip hela Grönköping vara korrupt och involverade i det brottsliga.

– Microsoft måste enligt företagets kundavtal meddela kunden innan data lämnas ut om man inte blir förhindrad att göra så enligt lag. Att bli belagd med ett så kallat Non-Disclosure Order har mycket höga rättsliga krav då det inkräktar på den grundlagsskyddade yttrandefriheten i USA. Det kräver speciella fakta och skäl som visar att ingen hos kunden ifråga är betrodd och alla är involverade i den brottsliga verksamheten. Microsoft har och kommer utmana för långtgående Non-Disclosure Orders.

För snabbt utlåtande

Esam har tidigare meddelat att de ser det som tämligen osannolikt att outsourcing till utländska molntjänster skulle utgöra ett stort problem för offentlig sektor. Efter Cloud Act har dock tonen vänt och de ser det inte som osannolikt längre, vilket advokat Caroline Olstedt Carlström, tycker är en aning märkligt.

– Var kommer den förändringen ifrån? Det skulle vara intressant att veta. För som Mathias Strand nämnde är Cloud Act snarast en kopia av vad som tidigare har gällt.

Dagarna efter så fick jag samtal från gråtande it-chefer där kommunpolitiker hade stoppat hela molnsatsningen.

Lotta Nordström

SKL är en av medlemmarna i Esam. Efter att Esams utlåtande blev publikt så har SKL nu börjat se över hur man tar beslut inom Esam. 

– Det gick lite för fort att göra det utlåtandet. Dagarna efter så fick jag samtal från gråtande it-chefer där kommunpolitiker hade stoppat hela molnsatsningen. I vissa fall kan det innebära att de kommande två årens digitaliseringsmedel går åt till att skapa lokala lösningar, som man redan byggt i molntjänster, säger Lotta Nordström sektionschef på SKL.

– Kommuner har också som princip att använda den ekonomiskt mest effektiva lösningen som finns, vilket kan innebära molntjänster. Vi måste vara effektiva. Under de närmaste tio åren kommer var och en som är yrkesverksam att nästan behöva försörja en person till. Det är en situation som gör att arbetskraften inte räcker till, vi har inte expertfolk som kan sätta upp alla de här miljöerna lokalt. Så vi måste hitta lösningar och ett förenklat rättsläge men inte flera organisationer som gör sina egna säkerhetstolkningar, säger Lotta Nordström. 

5 juli 2019 Uppdaterad 17 oktober 2019 Reporter Fredrik Adolfsson säkerhet Foto Adobestock

Rekommenderad läsning

Eu Ladyjustice Schrems
Voister förklarar

Schrems II-domen

22 feb 2021 säkerhet

Schrems II-domen från juli 2020 innebär att det är betydligt svårare att använda amerikanska molntjänster. Men vad betyder domen för dig, hur kom den till och varför heter den Schrems II? Voister förklarar det du behöver veta.

Flod Vid Vindeln

Förbud utmanar Vakin

20 okt 2020 säkerhet

Det norrländska vatten- och avfallsverksamhetsbolaget Vakin kan inte använda molnet fullt ut, vilket bidrar till utmaningar. Genom ett samarbete med bland annat Umeå energi kan verksamheten lösa nuvarande säkerhetsbehov, men framöver hoppas it-chef Mats Wilhelmsson på svenska molntjänster.

Barnekow Some
podcast

Så skapar MS förtroende

5 jun 2020 digit

Digitalisering är en lagsport som kräver samarbete och mindre konsensus. Det menar Hélène Barnekow Sverigechef Microsoft, som beskriver sig som en envis framtidsoptimist i Voisterpodden tillsammans med Kalle Hultenheim, vd Atea Sverige och Lisa Nore, Voister. 

två coronavirus, en röd till vänster och en blå till höger.jpg

Stopp för fake news

18 mar 2020 säkerhet

Facebook, Google, Linkedin, Microsoft, Twitter Youtube och Reddit. Alla de stora plattformarna går samman för att motverka att falsk information om coronaviruset sprids via dem.

barn-tjej-960640.jpg

SKR trotsar Esam

16 dec 2019 digit

SKR stödjer inte Esams nya handledning Outsourcing 2.0 som menar att inget utrymme för riskanalys finns vad gäller molntjänster. SKR anser att kommuner och regioner bör få göra egna självständiga riskbedömningar.

försäkringskassan på en husfasad.jpg

Cloud act-bolag ratas

2 dec 2019 säkerhet

Försäkringskassan kommer inte samarbeta med molnleverantörer som omfattas av Cloud Act för lagring av verksamhetskritisk data. Istället är målet en it-drift i statlig regi. Det visar myndighetens vitbok om publika molntjänster i offentlig verksamhet.

sverige-usa-cloudact.jpg

Esam om Cloud Act-kritik

12 jul 2019 säkerhet

Esam står fast vid uttalandet om att Cloud Act kan innebära sekretessproblem för svensk offentlig sektor. Efter kritik att uttalandet var fel och förhastat så menar Esam att den amerikanska lagen kan bryta mot svenska Offentlighets- och sekretesslagen och kanske även mot GDPR. 

hm-tjejer med blommiga kläder2.jpg

H&M:s väg till molnet

13 maj 2019 digit

Digitala ambassadörer har en central roll i H&M:s molnflytt till Office 365. Under en så omfattande intern digital transformation är det viktigt att inte glömma bort syftet och att ständigt kommunicera. Det menar Robert Lingemark, it-serviceansvarig på H&M.

kammarkollegiet logga på en dörr.jpg

Ramavtal för molnet

27 feb 2019 säkerhet

Efter en förstudie så rekommenderar nu Statens inköpscentral vid Kammarkollegiet att det ska ske en ramavtalsupphandling för utländska molntjänster. Men först måste leverantörerna komma med tillräckligt bra och säkra lösningar.