Hört talas om Cloud Act? Inte? Det kan stå er som anlitar amerikanska molnjänstleverantörer dyrt. Här tipsar dataskyddsspecialisten Kerstin Wardman från Cederquist om hur ni bör navigera i ett landskap där amerikansk lagstiftning står i strid med GDPR.
Många företag har varit fokuserade på att implementera GDPR i sina organisationer och arbetat för att se till att personuppgifter lagras på servrar inom EU:s gränser. Det många företag kanske inte känner till är att en ny amerikansk lagstiftning, Cloud Act, trädde i kraft ett par månader före GDPR och som innebär att servrars placering inte längre har någon avgörande betydelse.
Cloud Act antogs i mars 2018, mitt under en pågående rättsprocess mellan Microsoft och Amerikanska Justitiedepartementet, för att ge stöd för Justitiedepartementet att få tillgång till data som lagrades på Microsofts servrar på Irland. Med den nya lagen snabbas processen för att få tillgång till data utanför USA:s gränser upp väsentligt.
Amerikanska myndigheter kan nu få tillgång till dina kunduppgifter, utan att du och ditt företag behöver få kännedom om det, och i strid med de krav som dataskyddsförordningen ställer när personuppgifter ska överföras utanför EU. Och brott mot överföring av personuppgifter i strid med GDPR kan bli en dyr historia, både för ditt företag och för leverantören du anlitar. Ytterst kan det leda till sanktionsavgifter på upp till 20 miljoner euro eller 4 % av ett företags globala årsomsättning.
Här följer några punkter som du bör tänka på vid anlitande av amerikanska molntjänstleverantörer.
Cloud Act är tillämplig på molntjänstleverantörer som lyder under amerikansk rätt. Det innebär att även dotterbolag till amerikanska bolag omfattas av lagen. Det innebär även att du behöver ha koll på vilka underleverantörerna är. Anlitar ditt företag ett svenskt eller europeiskt bolag för behandling av personuppgifter behöver du förstå om leverantören i sin tur anlitar en amerikansk molntjänstleverantör.
Se över hur mycket och vilken typ av personuppgifter som ska lagras i molnet. Genomför en konsekvensbedömning och försök om det är möjligt att begränsa behandlingen i amerikanska moln. Omfattas personuppgifterna av sekretess behöver du vara extra försiktig. Samverkansorganisationen eSam har uttalat att Cloud Act kan innebära sekretessproblem för offentlig sektor eftersom man anser att det vid anlitande av molntjänster inte är osannolikt att uppgifter kan komma att lämnas till utomstående och därmed kommer att uppfattas som röjda.
Det kan även diskuteras om överföring med stöd av Cloud Act skulle innebära brott mot annan sekretesslagstiftning, till exempel banksekretessen, eftersom avvikelser mot sådan tystnadsplikt ska tillämpas mycket restriktivt.
Ett företag får endast anlita personuppgiftsbiträden som ger “tillräckliga garantier” för att dataskyddsförordningen kommer att efterlevas. Exakt vad dessa garantier ska innehålla finns det ingen officiell vägledning kring, men det handlar om att kunna påvisa att leverantören vidtar tekniska åtgärder för att skydda datat.
Ta reda på vilka möjligheter det finns att använda sig kryptering och undersök hur leverantören arbetar med nyckelhanteringen – finns det möjligheter att förvara krypteringsnycklar utanför molnet som gör det svårare för parter att läsa uppgifterna? Kan uppgifterna pseudonymiseras, att man ersätter exempelvis namn eller personnummer med en identitetsbeteckning som inte enkelt kan knytas till personen? Försök att dra nytta av säkerhetslösningar, expertkompetens, innovationer och annan teknisk utveckling hos leverantörerna!
Även om många amerikanska molntjänstleverantörer använder sig av standardavtal så se över möjligheten att i avtalet reglera tystnadsplikt och få med formuleringar som begränsar överföring till tredje land i strid med dataskyddsförordningen.
Behöver ni hjälp i bedömningen vid anlitande av molntjänstleverantörer och hanteringen av personuppgifter, tveka inte att höra av er till oss på Cederquist.