US Cloud Act vs GDPR – Hur påverkas Svenska företag som använder Microsoft Azure?

Missförstånd och överdrivna farhågor kring den amerikanska lagen är vanliga. Microsoft ger inte direkt åtkomst till kunddata. Precis som i polisärenden från svensk polis handlar det om enskilda förfrågningar kring konton och aldrig generella sökningar. Microsoft ger inte ut krypteringsnycklar eller möjligheter att bryta kryptering eller på annat sätt gå in bakvägen för att komma åt kunddata.

Microsoft säger tydligt att de inte kommer lämna ut kunders data hur som helst utan det är bara vid domstols beslut när det gäller kriminalitet.

Molntjänster och säkerhet

Läs även Microsofts information om vad som gäller för deras molntjänster i Europa.

Navigating Your Way to the Cloud in Europe

Skydda integriteten med molntjänster från Microsoft

US CLOUD Act har alltså ännu inte förändrat det grundläggande läget: amerikansk europeisk rätt är inte kompatibla i frågan om utlämning av data sparad i EU till USA. Tills avtal mellan EU eller mellan var och en av medlemsstaterna och USA finns på plats som legaliserar användningen av US CLOUD Act gentemot Artikel 48 i GDPR, är det enda tillåtna sättet som harmoniserar med europeisk rätt, att USA använder sig av de existerande MLAT-avtalen, vilket var det USA önskade komma ifrån i första läget.

Att tänka på när det gäller CLOUD act och GDPR

Gällande cloud act och dess inverkan så verkar det för närvarande egentligen inte förändra särskilt mycket inom EU.

När ni läser rekommendationerna ska ni tänka på att Springsafe är en Svensk molnleverantör så deras rekommendationer är till viss del säljsnack med, och de är antagligen en generisk S3 kompatibel leverantör som kan erbjuda container plattformar.

Det blir deras säljargument eftersom de kanske inte kan konkurrera med Azure’s PaaS lager och alla dess lättillgängliga PaaS tjänster, men för er som föredrar kontainers och kubernetes är det ett alternativ.

This paper discusses the impact of a new U.S. law – the Clarifying Lawful Overseas Use of Data Act (CLOUD Act) – on non-U.S. businesses and individuals who use cloud storage solutions. The CLOUD Act amends the Stored Communications Act (SCA), which restricts the disclosure of stored electronic data to third parties, including the U.S. government.

Demystifying the U.S. CLOUD Act: Assessing the law’s compatibility with international norms and the GDPR

Hogan Lovells har gjort en rätt djup analys av Cloud Act och kommit fram till att rädslan och oron för den är starkt överdriven.

Deras slutsatser som ni kan läsa mer om i rapporten är att:

  • The CLOUD Act is a return to the status quo.
  • The CLOUD Act retains meaningful limitations on U.S. law enforcement.
  • The CLOUD Act is consistent with the European Union’s approaches to criminal investigations.
  • The CLOUD Act does not violate international law or the GDPR.

Om det nu är så att Cloud Act är kompatibel med GDPR vilket Hogan Lovells säger i sin analys så finns inga skäl till oro, och Azure har dessutom massor av finesser i sina tjänster som hjälper er säkerställa att ni är GDPR kompatibla, så Azure blir då ett stöd för GDPR och inte ett hot mot denna.

Var och en får bilda sig sin egen uppfattning om hur stor risken för totalt stopp är under viss tid om EU och USA inte kommer överrens och det blir ”embargo”.

Tror inte det kommer komma helt out of the blue heller så utvecklingen måste omvärldsbevakas så ni i såna fall hinner flytta era applikationer och VM’s on-prem till en traditionell VM miljö eller sourcingpartner.

Då går ni tyvärr miste om Azure PaaS tjänsterna så det är ingen fullgod ersättning , så ett bättre alternativ kan vara att beställa en licens för Azure Stack Hub men den innehåller inte stora Azures fulla utbud av tjänster.

Kom snabbt igång med ändamålsspecifika integrerade Azure Stack Hub-system från någon av våra maskinvarupartner.

Låter ni sedan en sourcingpartner drifta och konfigurera Azure Stack Hub blir det nästan lika enkelt som stora Azure.

Azure Stack Hub är ert eget privata Azure moln som sannolikt är GDPR kompatibelt

”Azure Stack Hub är en lokal installation som kunder helt äger och har kontroll över. Kunderna får åtkomst till och styr de data som de lagrar i en Azure Stack hubb. Microsoft kommer inte åt någon kund information som lagras i en Azure Stack Hub-miljö.”

Översikt av Azure Stack Hub

Azure Stack Hub lär ni kunna använda i fall det blir konflikt mellan EU och USA i frågan men ni bör självklart även rådfråga era egna jurister om möjligheten att använda Aure Stack Hub och få garantier av Microsoft eller någon av deras samarbetspartner som levererar Azure Stack Hub lösningar, så ta inte min analys som juridiska råd.

Microsofts text ”Azure Stack Hub är ett eget privat Azure-moln med delar från det publika Azuremolnet som kan köras helt eller delvis bortkopplat från Internet”.

Med en privat Azure Stack Hub lokalt är det, efter grundliga analyser, möjligt att uppfylla ”regleringar och lagar som GDPR och OSL”.

Analys av Azure Microsoft Molndesign: Offentlig Sektor

Updatering: Azure Stack Hub ska även enligt Andre Cartys inlägg på LinkedIn uppfylla GDPR efter att han gjort en noggrann analys och han är jurist med inriktning på It frågor. Det verkar som min preliminära analys som jag gjorde för drygt 2 år sedan där jag också kom fram till att Azure Stack Hub sannolikt är GDPR kompatibel håller.

Azure Stack Hub blir ert eget privata Azure moln med stöd för IaaS, virtuella maskiner, Storage, App Services, Web appar, Azure Functions, SQL och MySQL databaser.

Grundläggande tjänster
Azure Stack hubb innehåller som standard följande ”grund tjänster” när du distribuerar Azure Stack Hub:

  • Compute
  • Storage
  • Nätverk
  • Key Vault

Med dessa grundläggande tjänster kan du erbjuda IaaS (Infrastructure-as-a-Service) till dina användare med minimal konfiguration.

Ytterligare tjänster
För närvarande stöder vi följande ytterligare PaaS-tjänster (Platform-as-a-Service):

  • App Service
  • Azure Functions
  • SQL-och MySQL-databaser
  • Event Hubs
  • IoT Hub (för hands version)
  • Kubernetes (för hands version)

Dessa tjänster kräver ytterligare konfiguration innan du kan göra dem tillgängliga för dina användare. Mer information finns i avsnitten ”självstudier” och ”How-to-guides\Offer Services” i vår dokumentation om Azure Stack Hub-operatörer.

Grunderna för Azure Stack Hub-administration

Allt som finns i stora Azure finns som sagt inte i Azure Stack, och vissa saker kommer ni kanske även behöva deploya till antingen AKS som containers, eller vanliga virtuella maskiner i Azure Stack.

T.ex. Logic Apps kommer ni bli tvungna att paketera som docker containers och deploya till Azure Stack AKS tjänsten i stället för app services tjänsten.

Går dessa mot tjänster som bara finns i stora azure är det kanske nödvändigt att skriva om dem som Functions i stället, och ersätta Azure tjänsterna med likvärdiga tredjeparts produkter ungefär som med service bussen som sen hostas på ett VM eller AKS tjänsten i Azure Stack Hub.

Service bussen som många organisationer använder blir ni tvungna att ersätta med t.ex Rabbit MQ som har ett C# SDK och stöd för .Net standard 2.0 som ni deployar till en virtuell maskin, om ni inte nöjer er med den rudimentära meddelandekötjänsten som finns i Storage tjänsten.

Vad är Azure Queue Storage?

När ni väljer vilka tjänster ni ska använda i Azure föreslår jag att ni tills vidare håller er till dem som finns tillgängliga i Azure Stack Hub, så använd t.ex. Functions i stället för Logic Apps, och komplettera med egna tjänster som Rabbit MQ på en virtuell maskin i stället för service bussen o.s.v.

Då blir det lätt för er att gå över till Azure Stack Hub och deploya era applikationer och system dit i stället.

Min tanke är i varje fall att ni för närvarande inte behöver ha någon panik om den information ni hanterar i Azure inte riskerar bryta mot lagen i USA, då EU kommer skydda EU’s intressen, och ni kan alltid gå över till eller redan nu förbereda för att använda Azure Stack Hub som backuplösning om ni vill.

Ni bör som sagt även för säkerhets skull få skriftligt från Microsoft eller den leverantör ni köper Azure Stack Hub från på att ni kommer kunna använda Azure Stack Hub i enlighet med GDPR.

Kan man fortsätta använda Azure AD eller ska man gå över till AD FS?

Du kan distribuera Azure Stack hubb med Azure Active Directory (Azure AD) eller Active Directory Federation Services (AD FS) (AD FS) som identitets leverantör. Du måste välja alternativet innan du distribuerar Azure Stack Hub. I ett anslutet scenario kan du välja Azure AD eller AD FS. Endast AD FS stöds för ett frånkopplat scenario. Den här artikeln visar hur du integrerar Azure Stack Hub AD FS med data Center AD FS.

Integrera AD FS identitet med ditt Azure Stack Hub-datacenter

Uppdatering! Sen kan man fundera på hur underkännandet av Privacy Shield kommer påverkar möjligheterna att använda Azure AD för tillfället, men Azure Stack Hub stödjer både användningen av Azure AD och on-prem versionen AD FS så det går också att lösa om det behövs.

EU Domstolen har underkänt Privacy Shield avtalet

”Men efter en lång domstolskamp står det alltså klart att EU-domstolen inte anser att Privacy Shield avtalet garanterar att lämpliga skyddsåtgärder upprätthålls. Den primära anledningen till underkännandet är de federala övervakningslagar som finns i USA som ger amerikanska myndigheter och regeringen tillgång till personuppgifter även i privat sektor.”

”EU-domstolens avgörande i Schrems II avgörandet innebär inte att standardklausulerna eller bindande företagsbestämmelserna underkänts och dessa kan alltså fortsatt användas för överföring av uppgifter till USA. MEN, överföringar med stöd av dessa är endast lagliga om bolagen kan leva upp till dem i praktiken.”

Privacy shield underkänt av eu-domstolen

Uppdatering: Så blev det då konflikt mellan EU och USA för EU domstolen anser inte att Privacy Shield ger tillräckliga garantier för skyddet av personuppgifter, så har ni känsliga personuppgifter i Azures publika moln är Azure Stack Hub sannolikt ett bra alternativ som bör uppfylla EU’s GDPR krav.

Tidigare ansågs att amerikanska bolag anslutna till Privacy Shield uppfyllde GDPR men det gör dessa inte längre vilket ställer till problem för många, och tills dess att EU och USA kommit överens om villkoren för att uppfylla GDPR får ni använda Europeiska molntjänster eller Azure Stack Hub, och Azure Stack Hub är kanske enklaste lösningen för er som redan har saker i drift i Azure beroende på vilka tjänster ni använder.

Men tror inte konflikten kommer vara för evigt heller utan de stora molntjänstbolagen i USA kommer nog lobba hårt för att få USA att ändra lagen så den blir kompatibel med GDPR, för annars kommer de förlora stora pengar.

Eller så blir de kanske tvungna att göra liknande lösningar som för Azure Germany som de visst tänkt slå igen den 29 oktober 2021.

Azure Germany Overview

Den enklaste lösningen för både Microsoft och deras Azure kunder hade kanske varit att de temporärt drev alla sina datacenter i Europa enlig samma modell som för Azure Germany, för annars kommer de hinna förlora många kunder och stora pengar.