US Cloud Act vs GDPR & Privacy Shield – Hur påverkas Svenska företag som använder Microsoft Azure?

Missförstånd och överdrivna farhågor kring den amerikanska lagen är vanliga. Microsoft ger inte direkt åtkomst till kunddata. Precis som i polisärenden från svensk polis handlar det om enskilda förfrågningar kring konton och aldrig generella sökningar. Microsoft ger inte ut krypteringsnycklar eller möjligheter att bryta kryptering eller på annat sätt gå in bakvägen för att komma åt kunddata.

Microsoft säger tydligt att de inte kommer lämna ut kunders data hur som helst utan det är bara vid domstols beslut när det gäller kriminalitet.

Molntjänster och säkerhet

Läs även Microsofts information om vad som gäller för deras molntjänster i Europa.

Navigating Your Way to the Cloud in Europe

Skydda integriteten med molntjänster från Microsoft

US CLOUD Act har alltså ännu inte förändrat det grundläggande läget: amerikansk europeisk rätt är inte kompatibla i frågan om utlämning av data sparad i EU till USA. Tills avtal mellan EU eller mellan var och en av medlemsstaterna och USA finns på plats som legaliserar användningen av US CLOUD Act gentemot Artikel 48 i GDPR, är det enda tillåtna sättet som harmoniserar med europeisk rätt, att USA använder sig av de existerande MLAT-avtalen, vilket var det USA önskade komma ifrån i första läget.

Att tänka på när det gäller CLOUD act och GDPR

Gällande cloud act och dess inverkan så verkar det för närvarande egentligen inte förändra särskilt mycket inom EU.

När ni läser rekommendationerna ska ni tänka på att Springsafe är en Svensk molnleverantör så deras rekommendationer är till viss del säljsnack med, och de är antagligen en generisk S3 kompatibel leverantör som kan erbjuda container plattformar.

Det blir deras säljargument eftersom de kanske inte kan konkurrera med Azure’s PaaS lager och alla dess lättillgängliga PaaS tjänster, men för er som föredrar kontainers och kubernetes är det ett alternativ.

This paper discusses the impact of a new U.S. law – the Clarifying Lawful Overseas Use of Data Act (CLOUD Act) – on non-U.S. businesses and individuals who use cloud storage solutions. The CLOUD Act amends the Stored Communications Act (SCA), which restricts the disclosure of stored electronic data to third parties, including the U.S. government.

Demystifying the U.S. CLOUD Act: Assessing the law’s compatibility with international norms and the GDPR

Hogan Lovells har gjort en rätt djup analys av Cloud Act och kommit fram till att rädslan och oron för den är starkt överdriven.

Deras slutsatser som ni kan läsa mer om i rapporten är att:

  • The CLOUD Act is a return to the status quo.
  • The CLOUD Act retains meaningful limitations on U.S. law enforcement.
  • The CLOUD Act is consistent with the European Union’s approaches to criminal investigations.
  • The CLOUD Act does not violate international law or the GDPR.

Om det nu är så att Cloud Act är kompatibel med GDPR vilket Hogan Lovells säger i sin analys så finns inga skäl till oro, och Azure har dessutom massor av finesser i sina tjänster som hjälper er säkerställa att ni är GDPR kompatibla, så Azure blir då ett stöd för GDPR och inte ett hot mot denna.

Var och en får bilda sig sin egen uppfattning om hur stor risken för totalt stopp är under viss tid om EU och USA inte kommer överrens och det blir ”embargo”.

Tror inte det kommer komma helt out of the blue heller så utvecklingen måste omvärldsbevakas så ni i såna fall hinner flytta era applikationer och VM’s on-prem till en traditionell VM miljö eller sourcingpartner.

Då går ni tyvärr miste om Azure PaaS tjänsterna så det är ingen fullgod ersättning , så ett bättre alternativ kan vara att beställa en licens för Azure Stack Hub men den innehåller inte stora Azures fulla utbud av tjänster.

Kom snabbt igång med ändamålsspecifika integrerade Azure Stack Hub-system från någon av våra maskinvarupartner.

Låter ni sedan en sourcingpartner drifta och konfigurera Azure Stack Hub blir det nästan lika enkelt som stora Azure.

Azure Stack Hub är ert eget privata Azure moln som sannolikt är GDPR och Privacy Shield kompatibelt

”Azure Stack Hub är en lokal installation som kunder helt äger och har kontroll över. Kunderna får åtkomst till och styr de data som de lagrar i en Azure Stack hubb. Microsoft kommer inte åt någon kund information som lagras i en Azure Stack Hub-miljö.”

Översikt av Azure Stack Hub

Azure Stack Hub lär ni kunna använda i fall det blir konflikt mellan EU och USA i frågan men ni bör självklart även rådfråga era egna jurister om möjligheten att använda Aure Stack Hub och få garantier av Microsoft eller någon av deras samarbetspartner som levererar Azure Stack Hub lösningar, så ta inte min analys som juridiska råd.

Microsofts text ”Azure Stack Hub är ett eget privat Azure-moln med delar från det publika Azuremolnet som kan köras helt eller delvis bortkopplat från Internet”.

Med en privat Azure Stack Hub lokalt är det, efter grundliga analyser, möjligt att uppfylla ”regleringar och lagar som GDPR och OSL”.

Analys av Azure Microsoft Molndesign: Offentlig Sektor

Azure Stack Hub ska även enligt Andre Cartys inlägg på LinkedIn uppfylla GDPR efter att han gjort en noggrann analys och han är jurist med inriktning på It frågor. Det verkar som min preliminära analys som jag gjorde för drygt 2 år sedan där jag också kom fram till att Azure Stack Hub sannolikt är GDPR kompatibel håller.

Azure Stack Hub blir ert eget privata Azure moln med stöd för IaaS, virtuella maskiner, Storage, App Services, Web appar, Azure Functions, SQL och MySQL databaser.

Grundläggande tjänster
Azure Stack hubb innehåller som standard följande ”grund tjänster” när du distribuerar Azure Stack Hub:

  • Compute
  • Storage
  • Nätverk
  • Key Vault

Med dessa grundläggande tjänster kan du erbjuda IaaS (Infrastructure-as-a-Service) till dina användare med minimal konfiguration.

Ytterligare tjänster
För närvarande stöder vi följande ytterligare PaaS-tjänster (Platform-as-a-Service):

  • App Service
  • Azure Functions
  • SQL-och MySQL-databaser
  • Event Hubs
  • IoT Hub (för hands version)
  • Kubernetes (för hands version)

Dessa tjänster kräver ytterligare konfiguration innan du kan göra dem tillgängliga för dina användare. Mer information finns i avsnitten ”självstudier” och ”How-to-guides\Offer Services” i vår dokumentation om Azure Stack Hub-operatörer.

Grunderna för Azure Stack Hub-administration

Allt som finns i stora Azure finns som sagt inte i Azure Stack, och vissa saker kommer ni kanske även behöva deploya till antingen AKS som containers, eller vanliga virtuella maskiner i Azure Stack.

När ni väljer vilka tjänster ni ska använda i Azure föreslår jag att ni tills vidare håller er till dem som finns tillgängliga i Azure Stack Hub, så använd t.ex. Functions i stället för Logic Apps, och komplettera med egna tjänster som Rabbit MQ på en virtuell maskin i stället för service bussen o.s.v.

Då blir det lätt för er att gå över till Azure Stack Hub och deploya era applikationer och system dit i stället.

Min tanke är i varje fall att ni för närvarande inte behöver ha någon panik om den information ni hanterar i Azure inte riskerar bryta mot lagen i USA, då EU kommer skydda EU’s intressen, och ni kan alltid gå över till eller redan nu förbereda för att använda Azure Stack Hub som backuplösning om ni vill.

Ni bör som sagt även för säkerhets skull få skriftligt från Microsoft eller den leverantör ni köper Azure Stack Hub från på att ni kommer kunna använda Azure Stack Hub i enlighet med GDPR.

Kan man fortsätta använda Azure AD eller ska man gå över till AD FS?

”Du kan distribuera Azure Stack hubb med Azure Active Directory (Azure AD) eller Active Directory Federation Services (AD FS) (AD FS) som identitets leverantör. Du måste välja alternativet innan du distribuerar Azure Stack Hub. I ett anslutet scenario kan du välja Azure AD eller AD FS. Endast AD FS stöds för ett frånkopplat scenario. Den här artikeln visar hur du integrerar Azure Stack Hub AD FS med data Center AD FS.”

Integrera AD FS identitet med ditt Azure Stack Hub-datacenter

Sen kan man fundera på hur underkännandet av Privacy Shield kommer påverkar möjligheterna att använda Azure AD för tillfället, men Azure Stack Hub stödjer både användningen av Azure AD och on-prem versionen AD FS så det går också att lösa om det behövs.

Saker att tänka på när ni tar fram en backup plan för övergång från Azure till Azure Stack Hub

Beroende på om ni har eller inte har avgränsat er till att bara använda tjänster som finns tillgängliga i Azure Stack Hub kompletterat med egna tredjepartsprodukter i VM’s även i stora Azure så kommer det blir frågan om större eller mindre omskrivningar, och ersättning av Azure tjänsterna med likvärdiga tredjeparts produkter ungefär som med service bussen som sen hostas på ett VM eller AKS tjänsten i Azure Stack Hub.

När det gäller Logic apps så kan man med ett tillägg som för närvarande är i preview paketera dem som docker kontainrar och deploya dem till AKS i stället för app services tjänsten., eller skriver om dem som Functions i stället,

Om de Logic Apparna går mot tjänster som bara finns i stora Azure kommer ni behöva ersätta de Azure tjänsterna med tredjeparts produkter, och eventuellt även skriva custom connectors i form av Functions, eller WebAPI’er som Logic Apparna använder för att gå mot dem.

För Functions och Asp.Net Core appar gäller samma sak, går de mot tjänster som bara finns i stora Azure måste de tjänsterna ersättas med tredjeparts produkter och skrivas om för att gå mot dessa i stället.

Service bussen som många organisationer använder blir ni tvungna att ersätta med t.ex Rabbit MQ som har ett C# SDK och stöd för .Net standard 2.0 som ni deployar till en virtuell maskin, om ni inte nöjer er med den rudimentära meddelandekötjänsten som finns i Storage tjänsten.

Vad är Azure Queue Storage?

Använder ni Data Factory för att utföra ETL på data ni hämtar från ett källsystem så behöver den ersättas med en tredjepartsprodukt o.s.v.

Power Apps måste i de flesta fall ersättas med Asp.Net Core Webbsajter och/eller WebAPI’er.

För SQL Server, Power BI och Dynamics365 finns on-prem versioner så det bör gå rätt smidigt att flytta till VM’s i Azure Stack HUB i stället.

För Azure AD finns on-prem versionen AD FS men alla authentiseringsanrop från apparna kommer antagligen behöva skrivas om.

Ovan är bara exempel på vad ni måste tänka på och ta fram en detaljerad plan över för varje system eller integration ni kör i Azures PaaS lager eller O365’s Power Plattform.

Ni måste ha koll på hur stora ändringar och vilka ändringar som krävs för att dessa ska kunna flyttas över till Azure Stack i stället och köras on-prem eller outsourcat hos en outsourcing partner inom EU.

Det kan blir frågan om rätt stora ändringar om ni i er organisation hanteras så känsligt data att ni inte kommer kunna använda stora Azure längre till dess EU och USA kommit överens om villkoren igen.

EU Domstolen har underkänt Privacy Shield avtalet

”Men efter en lång domstolskamp står det alltså klart att EU-domstolen inte anser att Privacy Shield avtalet garanterar att lämpliga skyddsåtgärder upprätthålls. Den primära anledningen till underkännandet är de federala övervakningslagar som finns i USA som ger amerikanska myndigheter och regeringen tillgång till personuppgifter även i privat sektor.”

”EU-domstolens avgörande i Schrems II avgörandet innebär inte att standardklausulerna eller bindande företagsbestämmelserna underkänts och dessa kan alltså fortsatt användas för överföring av uppgifter till USA. MEN, överföringar med stöd av dessa är endast lagliga om bolagen kan leva upp till dem i praktiken.”

Privacy shield underkänt av eu-domstolen

Så blev det då konflikt mellan EU och USA för EU domstolen anser inte att Privacy Shield ger tillräckliga garantier för skyddet av personuppgifter, så har ni känsliga personuppgifter i Azures publika moln är Azure Stack Hub sannolikt ett bra alternativ som bör uppfylla EU’s GDPR krav.

Tidigare ansågs att amerikanska bolag anslutna till Privacy Shield uppfyllde GDPR men det gör dessa inte längre vilket ställer till problem för många, och tills dess att EU och USA kommit överens om villkoren för att uppfylla GDPR får ni använda Europeiska molntjänster eller Azure Stack Hub, och Azure Stack Hub är kanske enklaste lösningen för er som redan har saker i drift i Azure beroende på vilka tjänster ni använder.

Så vad kan ett Microsoft hoppas på om Schrems tolkning är korrekt? Ja, här är tre alternativ:

* Företag som Microsoft och Facebook bildar separata bolag som är helt åtskilda från de amerikanska motsvarigheterna, men det känns föga troligt.

* USA ändrar på sina underrättelselagar. Vilket är än mer osannolikt.

* Ett tredje, och desto mer realistiskt alternativ, är att EU och USA – med tanke på vilka konsekvenser Schrems II kan få för den transatlantiska handeln – hittar något slags noga genomtänkt kompromiss. Å andra sidan lär vi i sådana fall kallt kunna räkna med att Maximilian Schrems samlar sina trupper igen.

Här är allt du behöver veta om Schrems II – domen alla företag bävar för

Men tror inte konflikten kommer vara för evigt heller utan de stora molntjänstbolagen i USA kommer nog lobba hårt för att få USA att ändra lagen så den blir kompatibel med GDPR eller att en ny kompromiss mellan EU och USA uppnås, för annars kommer de förlora stora pengar.

Eller så blir de kanske tvungna att göra liknande lösningar som för Azure Germany som de visst tänkt slå igen den 29 oktober 2021,

”Customer data in the two datacenters is managed under the control of a data trustee, T-Systems International. This trustee is an independent German company and a subsidiary of Deutsche Telekom. It provides additional controls for customers’ data, because access is provided only with the permission of customers or the data trustee.”

Azure Germany Overview

Den enklaste lösningen för både Microsoft och deras Azure kunder hade kanske varit att de temporärt drev alla sina datacenter i Europa enligt samma modell som för Azure Germany, eller bildar separat bolag för Europa.

Att det sen känns föga trolig enligt artikelförfattaren i Ny Teknik artikeln att det skulle bilda separata bolag för Europa vete tusan, för Microsoft och de andra globala molnjättarna vill antagligen primärt tjäna pengar och inte vara NSA’s förlängda arm.

Sen verkar artikel vara lite partisk till förmån för europeiska och svenska molnleverantörer, och kanske tror det är det bästa för landet.

Men alla som förstår sig på marknadsekonomi vet att det som kan vara bra för enskilda företag som lyckats lobba till sig fördelar hos politikerna inte behöver vara bra för landet som helhet.

Syftet med fri konkurrens är att kunderna ska få mesta möjliga värde för pengarna, och inte bara aktieägarna och de högre cheferna på vissa storbolag på alla andras bekostnad.