US Cloud Act vs GDPR – Hur påverkas Svenska företag som använder Microsoft Azure?

”Missförstånd och överdrivna farhågor kring den amerikanska lagen är vanliga. Microsoft ger inte direkt åtkomst till kunddata. Precis som i polisärenden från svensk polis handlar det om enskilda förfrågningar kring konton och aldrig generella sökningar. Microsoft ger inte ut krypteringsnycklar eller möjligheter att bryta kryptering eller på annat sätt gå in bakvägen för att komma åt kunddata.”

Microsoft säger tydligt att de inte kommer lämna ut kunders data hur som helst utan det är bara vid domstols beslut när det gäller kriminallitet.

Molntjänster och säkerhet

”US CLOUD Act har alltså ännu inte förändrat det grundläggande läget: amerikansk europeisk rätt är inte kompatibla i frågan om utlämning av data sparad i EU till USA. Tills avtal mellan EU eller mellan var och en av medlemsstaterna och USA finns på plats som legaliserar användningen av US CLOUD Act gentemot Artikel 48 i GDPR, är det enda tillåtna sättet som harmoniserar med europeisk rätt, att USA använder sig av de existerande MLAT-avtalen, vilket var det USA önskade komma ifrån i första läget.”

Att tänka på när det gäller CLOUD act och GDPR

Gällande cloud act och dess inverkan så verkar det för närvarande egentligen inte förändra särskilt mycket inom EU.

När ni läser rekommendationerna ska ni tänka på att Springsafe är en Svensk molnleverantör så deras rekommendationer är säljsnack med, och de är antagligen en generisk S3 kompatibel leverantör som kan erbjuda container plattformar.

Det blir deras säljargument eftersom de kanske inte kan konkurrera med Azure’s PaaS lager och alla dess lättillgängliga PaaS tjänster.

”This paper discusses the impact of a new U.S. law – the Clarifying Lawful Overseas Use of Data Act (CLOUD Act) – on non-U.S. businesses and individuals who use cloud storage solutions. The CLOUD Act amends the Stored Communications Act (SCA), which restricts the disclosure of stored electronic data to third parties, including the U.S. government.”

Demystifying the U.S. CLOUD Act: Assessing the law’s compatibility with international norms and the GDPR

Hogan Lovells har gjort en rätt djup analys av Cloud Act och kommit fram till att rädslan och oron för den är starkt överdriven.

Deras slutsatser som ni kan läsa mer om i rapporten är att:

  • The CLOUD Act is a return to the status quo.
  • The CLOUD Act retains meaningful limitations on U.S. law enforcement.
  • The CLOUD Act is consistent with the European Union’s approaches to criminal investigations.
  • The CLOUD Act does not violate international law or the GDPR.

Var och en får bilda sig sin egen uppfattning om hur stor risken för totalt stopp är under viss tid om EU och USA inte kommer överrens och det blir ”embargo”.

Tror inte det kommer komma helt out of the blue heller så utvecklingen måste omvärldsbevakas så ni i såna fall hinner flytta era applikationer och VM’s on-prem till en traditionell VM miljö.

Då går ni tyvärr miste om Azure PaaS tjänsterna så det är ingen fullgod ersättning, utan mer en nödlösning eller kanske komplement till Azure Stack, för ett bättre alternativ kan vara att beställa en licens för Azure Stack

Den blir ert eget privata Azure moln med stöd för IaaS, Storage, App Services, Web appar, Functions, Api’er, MySql och Sql Server, och ni kan även deploya allt dit med som back-up så det helt sömlöst kan ta över.

Den lär ni kunna fortsätta använda i fall det blir total konflikt mellan EU och USA i frågan, men risken för det bedömmer jag vara minimal.

Ni måste avgöra saken själv och ni bör för säkerhets skull få skriftligt från Microsoft på att ni kommer kunna fortsätta använda Azure Stack då precis som med de Server OS ni har.

Min tanke är i varje fall att ni för nävarande inte behöver ha någon panik om den information ni hanterar i Azure inte riskerar bryta mot lagen i USA, då EU kommer skydda EU’s intressen.

Om det nu är så att Cloud Act är kompatibel med GDPR vilket Hogan Lovells säger i sin analys så finns inga skäl till oro, och Azure har dessutom massor av finesser i sina tjänster som hjälper er säkerställa att ni är GDPR kompatibla, så Azure blir då ett stöd för GDPR och inte ett hot mot denna.

Azure helps enable data privacy for GDPR compliance