US Cloud Act vs GDPR, Privacy Shield & Schrems II – Hur påverkas Svenska företag som använder Microsoft Azure?

Missförstånd och överdrivna farhågor kring den amerikanska lagen är vanliga. Microsoft ger inte direkt åtkomst till kunddata. Precis som i polisärenden från svensk polis handlar det om enskilda förfrågningar kring konton och aldrig generella sökningar. Microsoft ger inte ut krypteringsnycklar eller möjligheter att bryta kryptering eller på annat sätt gå in bakvägen för att komma åt kunddata.

Microsoft säger tydligt att de inte kommer lämna ut kunders data hur som helst utan det är bara vid domstols beslut när det gäller kriminalitet.

Molntjänster och säkerhet

Läs även Microsofts information om vad som gäller för deras molntjänster i Europa.

Navigating Your Way to the Cloud in Europe

Skydda integriteten med molntjänster från Microsoft

US CLOUD Act har alltså ännu inte förändrat det grundläggande läget

US CLOUD Act har alltså ännu inte förändrat det grundläggande läget: amerikansk europeisk rätt är inte kompatibla i frågan om utlämning av data sparad i EU till USA. Tills avtal mellan EU eller mellan var och en av medlemsstaterna och USA finns på plats som legaliserar användningen av US CLOUD Act gentemot Artikel 48 i GDPR, är det enda tillåtna sättet som harmoniserar med europeisk rätt, att USA använder sig av de existerande MLAT-avtalen, vilket var det USA önskade komma ifrån i första läget.

Att tänka på när det gäller CLOUD act och GDPR

Gällande cloud act och dess inverkan så verkar det för närvarande egentligen inte förändra särskilt mycket inom EU och det är fortfarande MLAT avtalen som gäller från EU’s sida.

Springsafe är en Svensk molnleverantör så deras rekommendationer är till viss del säljsnack, och de är en generisk S3 kompatibel leverantör som kan erbjuda container plattformar som managerad kubernetes.

För er som föredrar leverantörsoberoende kontainers och kubernetes och det räcker för era behov så är det ett alternativ.

Är ni sen en mindre organisation eller ett företag utan enterprise avtal med Microsoft kan en managerad kubernetes tjänst som Sprinsafes eller traditionella VM:s vara det bästa alternativet då Azure Stack Hub som jag pratar mer om längre ner kan kosta rätt mycket om man inte kan få ett pay-as-you-use avtal för den.

Hogan Lovells har gjort en rätt djup analys av Cloud Act

This paper discusses the impact of a new U.S. law – the Clarifying Lawful Overseas Use of Data Act (CLOUD Act) – on non-U.S. businesses and individuals who use cloud storage solutions. The CLOUD Act amends the Stored Communications Act (SCA), which restricts the disclosure of stored electronic data to third parties, including the U.S. government.

Demystifying the U.S. CLOUD Act: Assessing the law’s compatibility with international norms and the GDPR

Hogan Lovells har gjort en rätt djup analys av Cloud Act och kommit fram till att rädslan och oron för den är starkt överdriven.

Deras slutsatser som ni kan läsa mer om i rapporten är att:

  • The CLOUD Act is a return to the status quo.
  • The CLOUD Act retains meaningful limitations on U.S. law enforcement.
  • The CLOUD Act is consistent with the European Union’s approaches to criminal investigations.
  • The CLOUD Act does not violate international law or the GDPR.

Om det är så att Cloud Act är kompatibel med GDPR vilket Hogan Lovells säger i sin analys så finns inga skäl till oro, och Azure har dessutom massor av finesser i sina tjänster som hjälper er säkerställa att ni är GDPR kompatibla, så Azure blir då ett stöd för GDPR och inte ett hot mot denna.

Utvecklingen måste omvärldsbevakas

Var och en måste däremot bilda sig sin egen uppfattning om hur stor risken för totalt stopp är under viss tid om EU och USA inte kommer överens och det blir ”embargo” för saker kan förändras.

Tror inte det kommer komma helt ”out of the blue” heller så utvecklingen måste omvärldsbevakas så ni i såna fall hinner flytta era applikationer och VM’s on-prem till en traditionell VM miljö eller sourcingpartner.

Ni kan gå över till Azure Stack Hub

Priser för Azure Stack Hub

Då går ni tyvärr miste om Azure PaaS tjänsterna så det är ingen fullgod ersättning , och ett bättre alternativ kan vara att gå över till Azure Stack Hub om ni anser det vara ett ekonomiskt lönsamt alternativ för er del, men den innehåller inte stora Azures fulla utbud av tjänster och dess största nackdel för många är att service bussen inte finns där.

Förenkla distributionen med Azure Stack Hub-integrerade system

Låter ni sedan en sourcingpartner drifta och konfigurera Azure Stack Hub i sin serverhall blir det ungefär lika enkelt som att använda stora Azure.

Azure Stack Hub är GDPR kompatibelt

”Azure Stack Hub är en lokal installation som kunder helt äger och har kontroll över. Kunderna får åtkomst till och styr de data som de lagrar i en Azure Stack hubb. Microsoft kommer inte åt någon kund information som lagras i en Azure Stack Hub-miljö.”

Översikt av Azure Stack Hub

Azure Stack Hub lär ni kunna använda i fall det blir konflikt mellan EU och USA i frågan men ni bör självklart även rådfråga era egna jurister om möjligheten att använda Aure Stack Hub och få garantier av Microsoft eller någon av deras samarbetspartner som levererar Azure Stack Hub lösningar, så ta inte min analys som juridiska råd.

Microsofts text ”Azure Stack Hub är ett eget privat Azure-moln med delar från det publika Azuremolnet som kan köras helt eller delvis bortkopplat från Internet”.

Med en privat Azure Stack Hub lokalt är det, efter grundliga analyser, möjligt att uppfylla ”regleringar och lagar som GDPR och OSL”.

Analys av Azure Microsoft Molndesign: Offentlig Sektor

Azure Stack Hub ska även enligt Andre Cartys inlägg på LinkedIn uppfylla GDPR efter att han gjort en noggrann analys och han är jurist med inriktning på It frågor.

Det verkar alltså som att min preliminära analys som jag gjorde för drygt 2 år sedan där jag också kom fram till att Azure Stack Hub sannolikt är GDPR kompatibel håller.

Azure Stack Hub blir ert eget privata Azure moln

Azure Stack Hub blir ert eget privata Azure moln med stöd för IaaS, virtuella maskiner, Storage, App Services, Web appar, Azure Functions, SQL och MySQL databaser.

Grundläggande tjänster
Azure Stack hubb innehåller som standard följande ”grund tjänster” när du distribuerar Azure Stack Hub:

  • Compute
  • Storage
  • Nätverk
  • Key Vault

Med dessa grundläggande tjänster kan du erbjuda IaaS (Infrastructure-as-a-Service) till dina användare med minimal konfiguration.

Ytterligare tjänster
För närvarande stöder vi följande ytterligare PaaS-tjänster (Platform-as-a-Service):

  • App Service
  • Azure Functions
  • SQL-och MySQL-databaser
  • Event Hubs
  • IoT Hub (för hands version)
  • Kubernetes (för hands version)

Dessa tjänster kräver ytterligare konfiguration innan du kan göra dem tillgängliga för dina användare. Mer information finns i avsnitten ”självstudier” och ”How-to-guides \ Offer Services” i vår dokumentation om Azure Stack Hub-operatörer.

Grunderna för Azure Stack Hub-administration

Allt som finns i stora Azure finns som sagt inte i Azure Stack, och vissa saker kommer ni kanske även behöva deploya till antingen AKS som containers, eller vanliga virtuella maskiner i Azure Stack.

När ni väljer vilka tjänster ni ska använda i Azure föreslår jag att ni tills vidare håller er till dem som finns tillgängliga i Azure Stack Hub, så använd t.ex. Functions i stället för Logic Apps, och komplettera med egna tjänster som Rabbit MQ på en virtuell maskin i stället för service bussen o.s.v.

Då blir det lätt för er att gå över till Azure Stack Hub och deploya era applikationer och system dit i stället, och ni kan alltid gå över till eller redan nu förbereda för att använda Azure Stack Hub som backuplösning om ni vill.

Ni bör som sagt även för säkerhets skull få skriftligt från Microsoft eller den leverantör ni köper Azure Stack Hub från på att ni kommer kunna använda Azure Stack Hub i enlighet med GDPR.

Kan man fortsätta använda Azure AD eller ska man gå över till AD FS?

”Du kan distribuera Azure Stack hubb med Azure Active Directory (Azure AD) eller Active Directory Federation Services (AD FS) (AD FS) som identitets leverantör. Du måste välja alternativet innan du distribuerar Azure Stack Hub. I ett anslutet scenario kan du välja Azure AD eller AD FS. Endast AD FS stöds för ett frånkopplat scenario. Den här artikeln visar hur du integrerar Azure Stack Hub AD FS med data Center AD FS.”

Integrera AD FS identitet med ditt Azure Stack Hub-datacenter

Sen kan man fundera på hur underkännandet av Privacy Shield kommer påverkar möjligheterna att använda Azure AD för tillfället, men Azure Stack Hub stödjer både användningen av Azure AD och on-prem versionen AD FS så det går också att lösa om det behövs.

Saker att tänka på när ni tar fram en backup plan för övergång från Azure till Azure Stack Hub

Beroende på om ni har eller inte har avgränsat er till att bara använda tjänster som finns tillgängliga i Azure Stack Hub kompletterat med egna tredjepartsprodukter i VM’s även i stora Azure så kommer det blir frågan om större eller mindre omskrivningar, och ersättning av Azure tjänsterna med likvärdiga tredjeparts produkter ungefär som med service bussen som sen hostas på ett VM eller AKS tjänsten i Azure Stack Hub.

När det gäller Logic apps så kan man med Logic Apps standard som använder functions runtimen paketera dem som docker kontainrar och deploya dem till AKS i stället för app services tjänsten.

Om de Logic Apparna går mot tjänster som bara finns i stora Azure kommer ni behöva ersätta de Azure tjänsterna med tredjeparts produkter, och eventuellt även skriva custom connectors i form av Functions, eller WebAPI’er som Logic Apparna använder för att gå mot dem.

Eller skriva om dem helt som Functions i stället vilket antagligen är ett bättre alternativ då de flesta tredjepartsprodukter brukar tillhandahålla bra SDK’er för C# och .Net Core.

För Functions och Asp.Net Core appar gäller annars samma sak, går de mot tjänster som bara finns i stora Azure där personuppgifter behandlas måste de tjänsterna ersättas med tredjeparts produkter och skrivas om för att gå mot dessa i stället.

Service bussen som många organisationer använder blir ni tvungna att ersätta med t.ex Rabbit MQ som har ett C# SDK och stöd för .Net standard 2.0 som ni deployar till en virtuell maskin, om ni inte nöjer er med den rudimentära meddelandekötjänsten som finns i Storage tjänsten och event hub.

Storage queues and Service Bus queues – compared and contrasted

Använder ni Data Factory för att utföra ETL på data ni hämtar från ett källsystem så behöver den ersättas med en tredjepartsprodukt eller lösningar i C# för man kan utföra ETL på många sätt o.s.v.

Power Apps måste i de flesta fall ersättas med Asp.Net Core Webbsajter och/eller WebAPI’er.

För SQL Server, Power BI och Dynamics365 finns on-prem versioner så det bör förhoppningsvis gå rätt smidigt att flytta till VM’s i Azure Stack HUB i stället.

För Azure AD finns on-prem versionen AD FS men alla authentiseringsanrop från apparna kommer antagligen behöva skrivas om.

Ovan är bara exempel på vad ni måste tänka på och ta fram en detaljerad plan över för varje system eller integration ni kör i Azures PaaS lager eller O365’s Power Plattform.

Ni måste ha koll på hur stora ändringar och vilka ändringar som krävs för att dessa ska kunna flyttas över till Azure Stack i stället och köras on-prem eller outsourcat hos en outsourcing partner inom EU.

Det kan blir frågan om rätt stora ändringar om ni i er organisation hanteras så känsligt data att ni inte kommer kunna använda stora Azure längre till dess EU och USA kommit överens om villkoren igen.

EU Domstolen har underkänt Privacy Shield avtalet i Schrems II domen

”Men efter en lång domstolskamp står det alltså klart att EU-domstolen inte anser att Privacy Shield avtalet garanterar att lämpliga skyddsåtgärder upprätthålls. Den primära anledningen till underkännandet är de federala övervakningslagar som finns i USA som ger amerikanska myndigheter och regeringen tillgång till personuppgifter även i privat sektor.”

”EU-domstolens avgörande i Schrems II avgörandet innebär inte att standardklausulerna eller bindande företagsbestämmelserna underkänts och dessa kan alltså fortsatt användas för överföring av uppgifter till USA. MEN, överföringar med stöd av dessa är endast lagliga om bolagen kan leva upp till dem i praktiken.”

Privacy shield underkänt av eu-domstolen

Så blev det då konflikt mellan EU och USA för EU domstolen anser inte att Privacy Shield ger tillräckliga garantier för skyddet av personuppgifter, så har ni känsliga personuppgifter i Azures publika moln är Azure Stack Hub sannolikt ett bra alternativ som bör uppfylla EU’s GDPR krav.

Tidigare ansågs att amerikanska bolag anslutna till Privacy Shield uppfyllde GDPR men det gör dessa inte längre vilket ställer till problem för många, och tills dess att EU och USA kommit överens om villkoren för att uppfylla GDPR får ni använda Europeiska molntjänster eller Azure Stack Hub, och Azure Stack Hub är kanske enklaste lösningen för er som redan har saker i drift i Azure beroende på vilka tjänster ni använder.

Så vad kan ett Microsoft hoppas på om Schrems tolkning är korrekt? Ja, här är tre alternativ:

* Företag som Microsoft och Facebook bildar separata bolag som är helt åtskilda från de amerikanska motsvarigheterna, men det känns föga troligt.

* USA ändrar på sina underrättelselagar. Vilket är än mer osannolikt.

* Ett tredje, och desto mer realistiskt alternativ, är att EU och USA – med tanke på vilka konsekvenser Schrems II kan få för den transatlantiska handeln – hittar något slags noga genomtänkt kompromiss. Å andra sidan lär vi i sådana fall kallt kunna räkna med att Maximilian Schrems samlar sina trupper igen.

Här är allt du behöver veta om Schrems II – domen alla företag bävar för

Tror inte konflikten kommer vara för evigt heller utan de stora molntjänstbolagen i USA kommer nog lobba hårt för att få USA att ändra lagen så den blir kompatibel med GDPR eller att en ny kompromiss mellan EU och USA uppnås, för annars kommer de förlora stora pengar.

Eller så blir de kanske tvungna att göra liknande lösningar som för Azure Germany som de tyvärr tänkt slå igen den 29 oktober 2021,

”Customer data in the two datacenters is managed under the control of a data trustee, T-Systems International. This trustee is an independent German company and a subsidiary of Deutsche Telekom. It provides additional controls for customers’ data, because access is provided only with the permission of customers or the data trustee.”

Azure Germany Overview

Den enklaste lösningen för både Microsoft och deras Azure kunder hade kanske varit att de temporärt drev alla sina datacenter i Europa enligt samma modell som för Azure Germany, eller bildar separat bolag för Europa.

Att det sen känns föga trolig enligt artikelförfattaren i Ny Teknik artikeln att det skulle bilda separata bolag för Europa vete tusan, för Microsoft och de andra globala molnjättarna vill antagligen primärt tjäna pengar och inte vara NSA’s förlängda arm.

Sen verkar artikel vara lite partisk till förmån för europeiska och svenska molnleverantörer.

EDPB har tagit fram rekommendationer för överföringar till tredje land

”EDPB har tagit fram rekommendationer om vilka ytterligare skyddsåtgärder som kan användas vid överföring av personuppgifter till länder utanför EU och EES när skyddsnivån i mottagarlandet inte kan anses tillförsäkra en likvärdig skyddsnivå. Rekommendationerna innefattar också kriterier som tydliggör under vilka tänkbara omständigheter som en överföring inte är möjlig.”

Schrems II-domen och överföringar till tredje land

Integritetsskyddsmyndigheten som tidigare hette datainspektionen har en sida med information och länkar till EDPB rekommendationer för överföringar till tredje land.

Som jag uppfattar det verkar dessa rekommendationer innebära att man måste kryptera och/eller pseudonymisera personuppgifter på ett sådant sätt att molntjänstleverantören inte har någon rimlig möjlighet att avkryptera den nu eller framtiden, så man kan inte använda molnleverantörernas inbyggda krypteringfunktioner om de då kommer få tillgång till krypteringsnycklarna.

I praktiken innebär det självklart merarbete för organisationer som vill fortsätta använda Azure för de måste kryptera och/eller pseudonymisera personuppgifter på ett tillräckligt säkert sätt innan dessa förs upp till Azure, och det kräver ytterligare funktionalitet och kanske automatiserade krypterings och pseudonymisering applikationer och system on-prem.

Så hanterar ni persondata i Azure tror jag enklaste lösningen till vidare är att ni går över till Azure Stack Hub om det är ett ekonomiskt fördelaktigt alternativ för er, alternativt managerad kubernetes eller traditionella VM:S hos en europeisk leverantör och gör om det som behöver göras om, även om det inte är omöjligt att pseudonymisera eller kryptera data heller.

eSams rekommendationer till offentlig sektor för samarbetsplattformar

”Arbetet visar tydligt att det finns alternativ och att offentliga organisationer inte behöver röra sig i en rättslig gråzon för att tillgodose sina behov. Att behöva konstruera skydd eller tillämpa undantag för att en viss tjänst ska kunna användas hämmar utrymmet för digitaliseringens fulla potential. Genom att utgå från laglighet, informationssäkerhet och digital suveränitet kan offentlig sektor slippa arbete med att inaktivera funktioner i tjänster eller införa begränsningar för hur en tjänst ska få användas.”

Digital samarbetsplattform – det finns lämpliga och lagliga alternativ för offentlig sektor

Viktig läsning för er inom offentlig sektor som använder MS Teams eller annan amerikansk molnbaserad samarbetsplattform, men tänk på att det bara är rekommendationer än så länge och att det finns andra on-prem eller europeiska managerade molnbaserade samarbetsplattformar än deras listade.