Amerikanska Cloud Act ett hot mot svensk suveränitet?

Amerikanska Cloud Act ett hot mot svensk suveränitet?

Under veckan har debatten om det potentiella problemet med molntjänster som ägs av amerikanska företag tagit ny fart.

I början av veckan konstaterade Göteborgs Posten att Cloud Act gör det möjligt för amerikanska myndigheter att komma åt både sekretessbelagd information och personuppgifter – utan att använda de normala rutinerna för mellanstatliga kontakter.

Amerikanska myndigheter kan istället, enligt Cloud Act, begära ut data från amerikanska företag, oavsett var servrarna står i världen. Företaget får också ett yppandeförbud att meddela dataägaren om att utlämnandet skett.

Trots denna problematik konstaterade Göteborgs Stads jurister att Office 365 ändå kunde användas eftersom ”sannolikheten att uppgifter skulle lämnas ut obehörigt är oerhört liten”.

”Göteborgs Stads jurister löser problemet genom att ignorera att det finns.”

Ledarredaktionen på Göteborgs Posten plockade upp ämnet, och konstaterade att det är bäddat för en framtida skandal liknande den som drabbade Transportstyrelsen. Man anser även att ”Göteborgs Stads jurister löser problemet genom att ignorera att det finns.”

Diskussionen om Cloud Act tar dock inte slut där.

Under torsdagskvällen publicerar DN en debattartikel från Försäkringskassans generaldirektör Nils Öberg. Och Försäkringskassan skräder inte på orden. Man konstaterar att liknande lagstiftning som Cloud Act finns i flertalet andra länder, bland annat Ryssland, Indien och Kina och säger att ”Det råder inget tvivel om att dessa regler hamnar i direkt konflikt med såväl internationella rättsregler som GDPR och dessutom inte är förenliga med den svenska offentlighets- och sekretess­lagstiftningen. ”

”…Cloud Act är ett direkt hot mot den nationella suveräniteten”

Man menar även att användandet av digitala molntjänster som lyder under utländsk lagstiftning som Cloud Act är ett direkt hot mot den nationella suveräniteten. Med anledning av detta konstaterar man att ”Sverige behöver formulera en tydlig myndighetsgemensam strategi och en långsiktig handlingsplan om Sveriges digitala suveränitet ska kunna vidmakthållas.”

Samtidigt med detta nås vi av nyheten att Försäkringskassan uppenbarligen har för avsikt att leva som man lär. Man stoppar därför utrullningen av sitt nya molnbaserade HR-system, SAP Successfactors. Anledningen är just osäkerheten kring hur data hanteras i molnet.

Vi nås under dagen också av nyheten att Region Skånes miljardprojekt för införandet av ett nytt vårdinformationssystem, levererat av amerikanska Cerner, stött på patrull. Även här är anledningen osäkerheten kring andra länders lagstiftning, där Cerner vill att alla patientdata skickas till tolv olika enheter i Cerner i nio olika länder – Indien, USA, Storbritannien, Frankrike, Spanien, Australien, Nederländerna, Irland och Tyskland.

”bedömningen är fortfarande att risken får anses vara hög”

Region Skåne konstaterar att antalet underleverantörer måste vara “strikt begränsat” och att arbetet med sekretessbelagd information ”sker inom Sverige”, men att ”bedömningen är fortfarande att risken får anses vara hög”.

När det gäller röjande genom annan stats lag är emellertid slutsatsen att det inte finns någon möjlighet att minska risken – om man inte helt byter lösning.

Cloud Act är en amerikansk lagstiftning som klubbades igenom efter en tvist mellan amerikanska staten och Microsoft. För den vetgirige rekommenderas följande sammanfattning om både bakgrunden till lagstiftningen och de problem den medför gentemot GDPR, svensk grundlag och internationell rätt.

Frågan om konflikten mellan GDPR och Cloud Act är enormt mycket större än enbart offentlig sektors användande, eftersom offentlig sektor inte är särreglerade i GDPR.

Om det fastställs att personuppgifter i amerikanska molntjänster är ett brott mot GDPR, så gäller denna slutsats för alla organisationer som lyder under GDPR.

Detta innefattar alla europeiska organisationer, men även alla företag som adresserar den europeiska marknaden. Påverkan sker därför på en global nivå.

Den globala molnmarknaden uppskattas till 219 miljarder USD årligen”

Den globala molnmarknaden uppskattas till 219 miljarder USD årligen, så stora summor står på spel.