Genom att surfa vidare godkänner du att vi använder cookies. Jag förstår

En smartare it-nyhetssajt

Inga problem med Cloud Act

När Cloud Act trädde i kraft förkunnade Esam att den amerikanska lagen kan utgöra sekretessproblem. Nu menar Microsoft, SKL och advokat Caroline Olstedt Carlström att utlåtandet var drastiskt och att Cloud Act inte innebär några ökade risker för offentlig sektors molninvesteringar.

Text Fredrik Adolfsson Foto Adobestock 5 juli 2019 säkerhet

cloudactfrihetsgudinnan.jpg

– Det är olyckligt att Cloud Act beskrivs i media och juristkretsar som den öppna dörren till att söka data. Så är det inte, säger Mathias Strand, chefsjurist på Microsoft. 

Huruvida den amerikanska lagen Cloud Act utgör ett hinder för offentlig sektors digitalisering framöver har diskuterats flitigt under det senaste halvåret. Bland annat har oron ökat efter att samverkansprogrammet Esam uttalat sig att det inte är osannolikt att Cloud Act utgör ett sekretessproblem när det gäller outsourcing av molntjänster.

Under Almedalsveckan diskuteras ämnet av Mathias Strand, chefsjurist på Microsoft, Lotta Nordström, sektionschef på SKL och Caroline Olstedt Carlström, advokat på Cirio.

Enligt Mathias Strand så grundades Cloud Act bland annat för att förenkla och möjliggöra en snabbare överföring av data mellan stater i så kallade cloud act agreements. Här har Europa tidigare klagat på USA att det tar för lång tid att begära ut data, vilket beror på att de har sådan sträng struktur kring husrannsakan.

– Amerikanska myndigheter kan aldrig gå till Microsoft eller någon annan leverantör och be om sökning av allmän information eller större grupp av människor, utan det behövs en giltig förfrågan gällande specifika konton eller användare. Precis som i polisärenden från svensk polis. Enligt amerikansk lag krävs då ett domslut om husrannsakan där det behöver finnas specifika fakta som kopplar mejlkontot till brottet. Det enda Cloud Act gör är att förtydliga det som redan finns i amerikansk lagstiftning.

Ett konkret exempel

Amerikansk polis behöver visa att det inte är möjligt att gå direkt till kunden. För att så ska vara fallet behöver i princip hela Grönköping vara korrupt och involverade i det brottsliga.

Mathias Strand

För att åskådliggöra ger Mathias Strand ett teoretiskt exempel.

– Om Sten Persson i Grönköping, med mejladressen stenpersson@gronkoping.se, kommer upp i en grov brottsutredning i USA, skulle då amerikansk polis chansa på att Grönköping använder sig av Microsoft och höra av sig till oss och därmed jobba mot den armé av jurister vi har? Eller skulle den amerikanska polisen i första hand höra av sig till svensk polis och Grönköping?

– Amerikanska justitiedepartementet har en skrivelse där åklagare alltid ska vända sig direkt till kunden, i det här fallet Grönköping, om inte särskilda skäl talar för något annat. Microsoft lämnar inte ut data till myndigheter, om vi inte måste enligt lag. Amerikansk polis behöver tydligt visa att det inte är möjligt att gå direkt till kunden och för att så ska vara fallet behöver i princip hela Grönköping vara korrupt och involverade i det brottsliga.

– Microsoft måste enligt företagets kundavtal meddela kunden innan data lämnas ut om man inte blir förhindrad att göra så enligt lag. Att bli belagd med ett så kallat Non-Disclosure Order har mycket höga rättsliga krav då det inkräktar på den grundlagsskyddade yttrandefriheten i USA. Det kräver speciella fakta och skäl som visar att ingen hos kunden ifråga är betrodd och alla är involverade i den brottsliga verksamheten. Microsoft har och kommer utmana för långtgående Non-Disclosure Orders.

För snabbt utlåtande

Esam har tidigare meddelat att de ser det som tämligen osannolikt att outsourcing till utländska molntjänster skulle utgöra ett stort problem för offentlig sektor. Efter Cloud Act har dock tonen vänt och de ser det inte som osannolikt längre, vilket advokat Caroline Olstedt Carlström, tycker är en aning märkligt.

– Var kommer den förändringen ifrån? Det skulle vara intressant att veta. För som Mathias Strand nämnde är Cloud Act snarast en kopia av vad som tidigare har gällt.

Dagarna efter så fick jag samtal från gråtande it-chefer där kommunpolitiker hade stoppat hela molnsatsningen.

Lotta Nordström

SKL är en av medlemmarna i Esam. Efter att Esams utlåtande blev publikt så har SKL nu börjat se över hur man tar beslut inom Esam. 

– Det gick lite för fort att göra det utlåtandet. Dagarna efter så fick jag samtal från gråtande it-chefer där kommunpolitiker hade stoppat hela molnsatsningen. I vissa fall kan det innebära att de kommande två årens digitaliseringsmedel går åt till att skapa lokala lösningar, som man redan byggt i molntjänster, säger Lotta Nordström sektionschef på SKL.

– Kommuner har också som princip att använda den ekonomiskt mest effektiva lösningen som finns, vilket kan innebära molntjänster. Vi måste vara effektiva. Under de närmaste tio åren kommer var och en som är yrkesverksam att nästan behöva försörja en person till. Det är en situation som gör att arbetskraften inte räcker till, vi har inte expertfolk som kan sätta upp alla de här miljöerna lokalt. Så vi måste hitta lösningar och ett förenklat rättsläge men inte flera organisationer som gör sina egna säkerhetstolkningar, säger Lotta Nordström. 

Rekommenderad läsning

collagegdprNY.jpg

GDPR och vad händer nu?

25 maj 2018 säkerhet

Nu träder den nya dataskyddsförordningen i kraft och det innebär fortsatt hårt arbete. Det menar de tre experterna Daniel Akenine, Caroline Olstedt Carlström och Johan Wahlström som också tipsar hur arbetet kan fortsätta. 

dala hästar i olika färger och storlekar på rad.jpg

It-hoten i Sverige

3 jul 2018 säkerhet

För att alla typer av cyberbrott ska minska, krävs det gedigna insatser från hela samhället. I Japan kom brottslingar så sent som i våras över miljontals dollar på 45 minuter i en kortbedrägerihärva. Samtidigt ökar risken med automatiserad cyberbrottslighet i takt med att AI utvecklas.

domarklubba-och-amerikanska-flaggan.jpg

Så påverkar Cloud Act

24 okt 2018 säkerhet

Cloud Act innebär att amerikanska myndigheter kan begära ut data från amerikanska molnleverantörer, oavsett var i världen informationen och servrarna finns. Mathias Strand, chefsjurist på Microsoft, ger sin syn på vad lagen kan betyda för Sverige.

en äldre kvinna med käpp tittar på en man som sitter bredvid henne.jpg
video

Färdigutvecklat hos kommunerna

9 jul 2018 it i vården

Enligt SKL behöver kommuner och landsting 124 000 fler medarbetare om sju år. Samtidigt kommer kommunernas verksamhet gå back 27 miljarder kronor med nuvarande skatteintäkter. Samarbete och samlade satsningar på e-hälsa är högt på agendan, något som sker både i Västerås och Borås.

lite hus i esklistuna.jpg
video

Kommunernas öppna hål

4 jul 2018 säkerhet

NIS, GDPR och den reviderade säkerhetsskyddslagen ökar kraven på kommunernas säkerhet. Men i glappet mellan tillgängliga medborgartjänster och sviktande skatteunderlag kan främmande aktörer utan större ansträngning ta sig in och sabotera samhällsviktig infrastruktur.

en stuga på en skärgårdsö.jpg

När Sverige blir bäst

3 jul 2018 digit

Kan Sverige verkligen bli en nation i digital framkant med hjälp av AI och ökat kundfokus. Diskussionen var het under seminariet i Almedalen där Åsa Zetterberg, Näringsdepartementet, Amer Mohammed, Stena Line och Johanna Snickars, Microsoft medverkade.

akutpersonal-springer-pa-sjukhus.jpg

Landstingen lär av Wannacry

16 aug 2018 säkerhet

Wannacry och Petya haft det goda med sig att det offentliga Sveriges intresse för cybersäkerhet ökat. Nu går utvecklingen mot att kommuner och landsting i allt högre grad samarbetar för att säkra sin kritiska verksamhet. Som stöd för arbetet mot cyberterror kommer snart en åtgärdsplan från SKL och MSB.

vag-som-rullar-in-i-vik-i-vasterbotten.jpg

Så e-utvecklas Västerbotten

1 aug 2018 it i vården

Digitala Västerbotten erbjuder invånarna i 15 glesbygdskommuner samma service som i storstäderna. Med fokus på kvalitet och effektivitet inom vård, hälsa och digitalt lärande går man nu samman för kompetensutveckling och gemensamma lösningar.

flygplan-lamnar-arlanda.jpg

MSB släcker cyberbränder

23 jul 2018 säkerhet

I takt med att samhällskritiska funktioner som järnväg och elnät privatiseras förändras också kraven på säkerhet för offentliga och privata aktörer men lika viktigt är insatser för cybersäkerhet. Det menar Dan Eliasson, generaldirektör på MSB som nu tar NIS-direktivet till hjälp för att utveckla en sådan funktion.