Amerikanske skytjenester brukes av millioner av virksomheter over hele verden. Samtidig har en amerikansk lov skapt betydelig debatt om hvem som egentlig kan få tilgang til data som lagres i slike systemer. Denne loven heter CLOUD Act.
For mange organisasjoner handler diskusjonen ikke bare om teknologi, men om kontroll, jurisdiksjon og tilgang til data.
Hva er CLOUD Act?
CLOUD Act står for Clarifying Lawful Overseas Use of Data Act. Loven ble vedtatt i USA i 2018 og gir amerikanske myndigheter mulighet til å kreve tilgang til data som lagres av amerikanske selskaper.
Det som gjør loven kontroversiell er at den ikke bare gjelder data som ligger fysisk i USA. Den kan også gjelde data som lagres i andre land, så lenge selskapet som kontrollerer tjenesten er amerikansk.
Med andre ord: Hvis en virksomhet bruker en skyløsning fra et amerikansk selskap, kan amerikanske myndigheter i visse situasjoner kreve tilgang til dataene – selv om serveren står i Europa.
Hvorfor ble loven innført?
Bakgrunnen for CLOUD Act var et juridisk problem amerikanske myndigheter møtte i en sak mot Microsoft. I denne saken ønsket amerikanske etterforskere tilgang til e-postdata som var lagret på en server i Irland.
Microsoft argumenterte for at amerikansk lov ikke burde gjelde for data lagret utenfor USA. Myndighetene mente derimot at selskapet burde kunne pålegges å levere ut dataene siden selskapet var amerikansk.
CLOUD Act ble innført for å avklare denne typen situasjoner.
Resultatet ble en lov som tydelig sier at amerikanske selskaper kan bli pålagt å utlevere data de har kontroll over – uavhengig av hvor dataene er lagret.
Hvorfor skaper dette debatt i Europa?
Problemet oppstår fordi europeisk personvernlovgivning og amerikansk lov ikke alltid er kompatible.
EU har strenge regler for behandling av personopplysninger gjennom GDPR. Disse reglene begrenser hvem som kan få tilgang til data og hvordan de kan behandles.
Hvis amerikanske myndigheter krever tilgang til data gjennom CLOUD Act, kan det i noen tilfeller komme i konflikt med europeisk personvernlovgivning.
Dette er en av grunnene til at spørsmålet om jurisdiksjon har blitt så viktig i diskusjoner om skylagring.
Jurisdiksjon – hvem sine lover gjelder egentlig?
Når en virksomhet lagrer data i en skyløsning, er det lett å tenke at landet serveren står i avgjør hvilke lover som gjelder.
Virkeligheten er ofte mer komplisert.
Flere faktorer kan spille inn:
- Hvilket land selskapet bak tjenesten tilhører
- Hvor selskapet har juridisk hovedkontor
- Hvor infrastrukturen fysisk befinner seg
- Hvilke internasjonale avtaler som gjelder
Dette betyr at data kan være underlagt flere juridiske systemer samtidig.
For mange virksomheter er dette grunnen til at spørsmålet om hvem kontrollerer egentlig dataene dine har blitt stadig mer aktuelt.
Gjelder CLOUD Act alle skytjenester?
Nei. Loven gjelder først og fremst selskaper som er underlagt amerikansk jurisdiksjon.
Dette inkluderer blant annet:
- amerikanske teknologiselskaper
- selskaper med hovedkontor i USA
- selskaper som opererer under amerikansk lov
Mange av verdens største skytjenester faller inn i denne kategorien.
Eksempler inkluderer plattformer for e-post, dokumentlagring, samarbeid og backup.
Derfor har diskusjonen rundt CLOUD Act blitt særlig relevant for tjenester som brukes bredt i næringslivet.
Betyr dette at data automatisk deles med myndigheter?
Nei.
CLOUD Act betyr ikke at myndigheter har fri tilgang til data. Det kreves fortsatt juridiske prosesser og rettslige beslutninger.
Men loven åpner for at slike krav kan rettes direkte mot selskaper som kontrollerer tjenestene.
Det er denne muligheten som skaper bekymring for enkelte virksomheter – særlig i sektorer som håndterer sensitive data.
Hvordan påvirker dette virksomheter i praksis?
For mange organisasjoner betyr ikke CLOUD Act nødvendigvis at de må slutte å bruke amerikanske skytjenester.
Men loven gjør at flere virksomheter vurderer følgende spørsmål:
- Hvem har juridisk kontroll over infrastrukturen?
- Hvilke lover kan potensielt gi tilgang til dataene?
- Hvor viktig er datasuverenitet for virksomheten?
I enkelte bransjer – som helse, offentlig sektor og forskning – kan slike spørsmål være avgjørende når nye systemer skal velges.
Et økende fokus på datasuverenitet
Debatten rundt CLOUD Act har bidratt til økt oppmerksomhet rundt datasuverenitet.
Datasuverenitet handler om hvem som faktisk har kontroll over data, hvilke lover som gjelder, og hvem som kan kreve innsyn.
For noen virksomheter betyr dette at de ønsker løsninger der infrastrukturen ligger i Europa eller i nasjonale datasentre.
Andre velger løsninger der de selv kontrollerer plattformen.
Dette kan for eksempel være ulike former for self-hosted skylagring – hva betyr det egentlig.
Er europeiske alternativer løsningen?
Noen mener at europeiske skyløsninger er en måte å redusere juridisk usikkerhet på.
Hvis leverandøren ikke er underlagt amerikansk jurisdiksjon, vil heller ikke CLOUD Act gjelde på samme måte.
Det betyr likevel ikke at europeiske løsninger automatisk er bedre eller mer sikre. Teknologi, drift og sikkerhetsnivå varierer betydelig mellom leverandører.
Poenget er først og fremst at virksomheter bør forstå hvilke juridiske rammer de opererer innenfor.
Et spørsmål om bevisste valg
CLOUD Act handler i praksis om én ting: hvem som kan kreve tilgang til data.
For mange organisasjoner har dette blitt en strategisk vurdering, ikke bare et teknologisk spørsmål.
Noen prioriterer enkelhet og funksjonalitet i globale skyløsninger. Andre legger større vekt på kontroll over infrastruktur og juridisk jurisdiksjon.
Begge tilnærminger kan være riktige – så lenge beslutningen tas med åpne øyne.
Hvis du vil forstå hvorfor dette spørsmålet har blitt så sentralt i diskusjoner om moderne skylagring, bør du også lese artikkelen om [hvem kontrollerer egentlig dataene dine].
FAQ
Hva er CLOUD Act?
CLOUD Act er en amerikansk lov som gir myndighetene mulighet til å kreve tilgang til data lagret av amerikanske selskaper – også hvis dataene ligger på servere utenfor USA.
Gjelder CLOUD Act europeiske selskaper?
Som hovedregel gjelder loven selskaper som er underlagt amerikansk jurisdiksjon. Hvis et europeisk selskap bruker en tjeneste fra et amerikansk selskap, kan dataene likevel bli omfattet.
Er det ulovlig å bruke amerikanske skytjenester i Europa?
Nei. Mange europeiske virksomheter bruker slike tjenester. Men juridiske forhold som GDPR, Schrems II og CLOUD Act gjør at noen organisasjoner vurderer alternative løsninger.
Hvorfor diskuteres dette så mye nå?
Fordi stadig mer av virksomheters data ligger i skyløsninger. Når data flyttes ut av egne serverrom, blir spørsmålet om jurisdiksjon og kontroll mer relevant.
