Strategi og ledelse

Cloud Act: den nye lov i skyggen af GDPR

I skyggen af GDPR blev en anden lov, Cloud Act, vedtaget på den anden side af Atlanten. Denne lov betyder, at de amerikanske myndigheder kan bede om at få udleveret kundedata af amerikanske virksomheder, selvom serverne er placeret i Danmark. Vi gennemgår, hvordan det kan påvirke dig og dine data.

I de seneste år er udviklingen på teknologiområdet gået meget hurtigt, og man har ikke haft mulighed for at opdatere samfundets love og praksis i samme tempo. Det har givet problemer på flere områder, som f.eks. privatliv, internationale love og nye former for kriminalitet. De fleste lande arbejder derfor meget hårdt på at udforme nye love, der holder trit med den teknologiske udvikling.

Du har sikkert hørt om GDPR, men har du hørt om Cloud Act? GDPR er en EU-lov, som trådte i kraft for nylig, og som skal beskytte brugernes privatliv mod virksomheder og stater. Cloud Act går dog i den modsatte retning. Tidligere på året trådte en helt ny lov i kraft i USA, som slet ikke har fået ligeså meget opmærksomhed, selvom den også påvirker os her i Europa. Cloud Act er, til forskel fra GDPR, ikke til for at beskytte brugerne. Loven gør det nemlig nemmere for myndigheder at få udleveret personlig data, selvom dataene opbevares i et andet land.

Hvad er Cloud Act?

Den nye lov hedder Cloud Act og står for Clarifying Lawful Overseas Use of Data. Kort fortalt betyder loven, at USA’s forskellige myndigheder skal kunne få udleveret information af en amerikansk virksomhed, selvom informationen ikke opbevares inden for landets grænser. Årsagen til vedtagelsen af denne lov er en langtrukken retssag fra 2013 med Microsoft, hvor den amerikanske stat ønskede at få udleveret information om en bruger i forbindelse med en stofrelateret sag.

Microsoft har nægtet at udlevere denne information, eftersom dataene var opbevaret på en server i Irland, og virksomheden mente derfor, at det var noget for de irske myndigheder og love. USA’s argument var, at Microsoft er en amerikansk virksomhed og derfor skal følge amerikansk lovgivning, også selvom dataene blev opbevaret i et andet land. Efter flere års skænderier i en domstol valgte staten at vedtage Cloud Act for at præcisere det, der er gældende i situationer som denne. Svaret blev, at amerikanske myndigheder nu har lovlig ret at få dataene udleveret af Microsoft.

Så hvad betyder det for dig?

Kort fortalt betyder det, at selvom dine data er opbevaret i dit eget land eller inden for EU’s grænser, omfattes dine data også af Cloud Act, hvis du køber tjenesten af en amerikansk virksomhed. Det betyder, at amerikanske myndigheder har ret til at få udleveret din virksomheds data, selvom du troede, at den var sikret af lokal lovgivning. Det lyder måske ubehageligt, men flere store IT-virksomheder som Microsoft, Google, Apple og Facebook har faktisk hyldet den nye lov. Årsagen er, at den gør det nemmere at finde hoved eller hale i internationale sager om dataudlevering.

Et problem, som flere organisationer, der arbejder med privatlivsspørgsmål og demokrati, har påpeget, er dog den tilføjelse, der gør, at udlevering af oplysninger kan ske uden større indblik. Selvom Cloud Act giver myndigheder ret til at bede om udlevering af data, kræver det stadig, at USA skal have en aftale om udlevering af data med det aktuelle land. Derfor har man valgt at tilføje til Cloud Act, at USA’s præsident, justitsminister og statsdepartement kan godkende den type aftale uden at skulle bringe det op i kongressen. Det, der bekymrer mange, er, at dette også gælder den anden vej rundt. Andre lande kan aftale med USA at få udleveret data om indbyggere, hvis de bruger en amerikansk cloud-tjeneste. Helt uden at skulle søge om de tilladelser, der ellers er nødvendige ved blandt andet aflytning i USA.

Denne lov betyder altså, at hvis din forretningskritiske information lagres via en tjeneste fra en amerikansk virksomhed, kan den være udsat for myndigheder rundt omkring i verden, selvom du tror, at du er beskyttet af EU-lovgivning eller lokale love.

Hvis dette er noget, der skræmmer dig, eller strider imod det, du lover dine kunder (via f.eks. GDPR), kan det være værd at overveje at flytte dataene til en privat server eller bruge vores Private Cloud-tjeneste for at få fuld kontrol over, hvor dine data er opbevaret.

Læs mere om vores tjenester Private Cloud og On-site Server.

Sidst opdateret: 1 juli 2022

Tags