CLOUD Act (Clarifying Lawful Overseas Use of Data Act) innebär att amerikanska myndigheter, vid misstanke om brott, har rätt att begära ut personuppgifter och annan data från amerikanska molntjänstleverantörer, även om denna data lagras utanför USA, t.ex. inom EU. Det spelar alltså ingen roll i vilket land som servrarna där datan lagras befinner sig i. Så länge bolaget som äger servrarna är registrerat som ett amerikanskt bolag så lyder de under CLOUD Act.
CLOUD Act öppnar även upp för andra länder, som ingått ett datadelningsavtal med USA, att begära ut data från amerikanska bolag utan att kongress eller domstolar får vetskap om det.
Cloud Act strider mot bestämmelserna i GDPR
Innehållet i Cloud Act går stick i stäv mot själva syftet med bestämmelserna i GDPR. Även om EU visserligen har ett intresse av ett internationellt rättskipande samarbete så måste all utlämning av data som lagras inom EU ske i enlighet med GDPR för att vara laglig. I praktiken innebär detta att överföring endast får ske om det grundar sig på ett specifikt avtal om ömsesidig rättslig hjälp, s.k. MLAT-avtal (Mutual Legal Assistance Treaty). Det är något som CLOUD Act helt enkelt inte tar hänsyn till.
Faktorer som påverkar "Cloud compliance"
Av säkerhets- och compliance-skäl är det viktigt att se över vilken typ av data som ska lagras i molnstjänsten. Känslig data kan vara aktuell att se över ett varv till innan du väljer att flytta upp detta i ett publikt moln. Här kan ett privat moln vara ett bättre alternativ. Säkerställ att er tilltänkta molnstjänstleverantör uppfyller nödvändiga certifieringar för compliance, t.ex. ISO 27001. Gå även igenom i detalj hur leverantören jobbar för att garantera säkerhet för er data, hur de jobbar med back-up, samt er rätt att genomföra en översyn av säkerhet och compliance som de bygger upp kring er data.
Säkerställ att leverantören har en krisberedskapsplan som varnar ifall något fel skulle inträffa med er data.
Skaffa bra koll på vilka dataskyddslagar som gäller i det landet där er data kommer att lagras, exempelvis GDPR inom EU, samt om det finns andra lagar som riskerar att trumfa de nationella lagarna, exempelvis Cloud Act.
Källa: Binero.com
