Är amerikanska molntjänster en strategisk risk för svenska bolag? Det är mycket som skaver just nu. CLOUD Act, politisk oro i USA, försvagade kontrollorgan och ett ökande behov av digital suveränitet. Samtidigt är amerikanska molntjänster som AWS, Microsoft Azure, Google Cloud, IBM Cloud och Oracle Cloud fortfarande ryggraden i många europeiska organisationers IT-infrastruktur.
Och ja – det finns risker. Men frågan är inte svartvit och dessutom är det betydligt lättare att stoppa huvudet i sanden.
CLOUD Act – När amerikansk lag kör över europeiskt dataskydd
CLOUD Act kom till för att lösa ett amerikanskt problem – och skapade ett europeiskt.
Bakgrunden är Microsoft Ireland-fallet. FBI ville ha ut e-post från en person de misstänkte för brott. Problemet? Datan låg i ett Microsoft-datacenter i Dublin. Microsoft vägrade lämna ut den – med hänvisning till att amerikansk lag inte gäller i Irland. Det blev en juridisk dragkamp mellan nationell suveränitet och global molnteknik. Vem bestämmer över datan?
Svaret blev CLOUD Act.
Lagen ger amerikanska myndigheter rätt att kräva ut data från amerikanska bolag, oavsett var i världen den lagras. Om du använder en tjänst från Microsoft, Google, Amazon, IBM eller Oracle – spelar det ingen roll att datan fysiskt ligger i Frankfurt eller Stockholm. Den ligger fortfarande under amerikansk jurisdiktion.
Och du som kund? Du får inte ens veta om din data lämnas ut. Det är tystnadsplikt. Det här är en rak krock med GDPR. GDPR säger att data om EU-medborgare inte får lämnas ut utan skydd, syfte och proportionalitet. CLOUD Act säger: om vi kräver den, så får vi den. Punkt.
– Det finns alltså ett juridiskt glapp här. Du som datakontrollant har ett ansvar att skydda data enligt EU-lag. Din amerikanska molnleverantör kan ha en skyldighet att lämna ut den enligt USA-lag. Det går inte att vara lojal mot båda. Tänker jag (Ulf).
Så vad betyder det här i praktiken?
Att om du använder amerikanska molntjänster, så har du en risk att hantera. Det handlar inte om att sluta använda dem i morgon – men det handlar om att förstå vad som kan hända. För det är inte bara en teknisk fråga. Det är strategiskt.
Vill du bygga din verksamhet på en grund du inte kontrollerar? Vad gör du om lagarna förändras? Har du en väg ut? Det är där ord som "exitstrategi", "digital suveränitet" och "resiliens" börjar bli mer än bara buzzwords. De blir en del av din IT-governance. Och din riskhantering.
DPF, Schrems och PCLOB – ett återkommande mönster av bräckliga lösningar
EU och USA har länge försökt hitta en balans mellan dataskydd och transatlantiska dataflöden. Men historien visar att varje försök hittills har fallit på samma grundproblem: amerikansk övervakningslagstiftning som inte lever upp till EU:s krav på dataskydd.
Safe Harbour och Privacy Shield – två fallna försök
Först kom Safe Harbour, ett avtal som tillät dataöverföringar mellan EU och USA. Men efter Edward Snowdens avslöjanden om omfattande amerikansk övervakning, ogiltigförklarades avtalet 2015 av EU-domstolen i det så kallade Schrems I-målet.
Därefter introducerades Privacy Shield som ersättning. Men även detta avtal föll 2020 i Schrems II-domen, där EU-domstolen konstaterade att amerikansk lag inte ger ett tillräckligt skydd för EU-medborgares data, särskilt med tanke på program som PRISM och FISA 702, mer om dessa nedan.
– Vi är trötta på detta juridiska ping-pongspel. Det är dags för en lösning som verkligen skyddar våra rättigheter. Max Schrems
Data Privacy Framework – tredje gången gillt?
Efter dessa två misslyckanden lanserades 2023 Data Privacy Framework (DPF) som ett nytt försök att möjliggöra dataöverföringar. Men kritiker menar att DPF lider av samma brister som sina föregångare, eftersom den amerikanska övervakningslagstiftningen i grunden inte har förändrats.
Schrems och hans organisation NOYB har redan förberett juridiska utmaningar mot DPF, och det är troligt att även detta avtal kommer att granskas av EU-domstolen inom en snar framtid.
PCLOB – en försvagad tillsynsmyndighet
Privacy and Civil Liberties Oversight Board (PCLOB) är en amerikansk myndighet som ska övervaka att övervakningsprogram inte kränker medborgarnas rättigheter. Men nyligen har dess effektivitet ifrågasatts, särskilt efter att Trump-administrationen avskedade flera av dess medlemmar, vilket har förlamat dess verksamhet.
– Att göra PCLOB de facto dysfunktionell slår det första stora hålet i EU-USA:s dataöverföringsavtal. kommenterar Max Schrems.
Sammanfattningsvis visar historien att varje försök att skapa ett hållbart avtal för dataöverföringar mellan EU och USA har fallit på grund av bristande skydd för individens rättigheter. Utan en verklig reform av den amerikanska övervakningslagstiftningen är det svårt att se hur framtida avtal ska kunna stå emot juridisk granskning.
För att möjliggöra dataöverföring mellan EU och USA finns nu ett nytt regelverk – EU-U.S. Data Privacy Framework (DPF). Tanken är att amerikanska företag frivilligt ska åta sig att följa vissa dataskyddsprinciper. Men detta är bara ett politiskt plåster. Det är fortfarande amerikansk lagstiftning som styr – inte GDPR.
Lägg därtill att den tillsynsmyndighet som ska säkerställa att amerikansk övervakning inte kränker rättigheter, PCLOB, nyligen förlorat flera av sina ledamöter genom beslut av Trump-administrationen. Det skapar en rättsosäker miljö där mycket hänger på vem som styr i Vita huset – inte på robusta institutioner.
PRISM och FISA 702 – övervakning utan insyn
När vi pratar om varför EU-domstolen ogiltigförklarade både Safe Harbour och Privacy Shield, kommer vi alltid tillbaka till två centrala saker: PRISM och FISA Section 702.
Det här är inte spekulationer eller konspirationer – det är amerikansk lag och verifierad praktik.
PISM – direktaccess till molnjättarna
PRISM är ett övervakningsprogram som drivs av NSA (National Security Agency). Det avslöjades 2013 av Edward Snowden, och visar att amerikanska myndigheter hade, och har, direkt tillgång till servrar hos stora techbolag som Microsoft, Google, Apple, Facebook och andra.
Vi pratar alltså inte om att de skickar in en formell förfrågan. Vi pratar om att de har ett systematiskt upplägg där de kan hämta ut data direkt. Och ja, det inkluderar även data om personer utanför USA.
– No system of mass surveillance has existed in any society that we know of to this point that has not been abused. Edward Snowden.
Med PRISM kan amerikanska myndigheter få tillgång till dina mejl, filer, samtal, videor – om de anser att det är relevant. Och nej, du som användare får inte veta att det sker. Och nej, företaget du använder får ofta inte heller säga något – det råder tystnadsplikt (t.ex. gag orders).
FISA 702 – när lag tillåter massövervakning
FISA står för Foreign Intelligence Surveillance Act. Sektion 702 är den del av lagen som tillåter amerikanska myndigheter att samla in information från utländska medborgare – alltså sådana som inte är amerikanska medborgare och som inte befinner sig i USA.
Det är lagligt, enligt amerikansk rätt, att spana på oss, EU-medborgare, utan att vi får veta det och utan att vi har möjlighet att försvara oss juridiskt. Det är detta som EU-domstolen hakat upp sig på, med rätta. Det finns inga garantier. Inga rättsmedel. Ingen insyn. FISA 702 innebär att en europeisk medborgare som blir övervakad av amerikanska myndigheter inte kan protestera – varken i amerikansk eller europeisk domstol.
Det är också därför Max Schrems, med sin organisation NOYB, drivit dessa frågor ända upp i EU-domstolen – två gånger.
Och det är därför Schrems II dödade Privacy Shield. För hur kan vi säga att personuppgifter är skyddade om amerikanska myndigheter har fri tillgång till dem?
Ingen nytt under solen, Echelon – föregångaren till PRISM
Echelon är ett globalt övervakningssystem som sattes upp under kalla kriget av fem länder: USA, Storbritannien, Kanada, Australien och Nya Zeeland – det som kallas Five Eyes.
Från början var syftet att avlyssna militär kommunikation från Sovjet. Men systemet växte, blev hemligare och mer omfattande. I dag är Echelon känt för att kunna avlyssna; Telefonsamtal, Fax, E-post, Satellitkommunikation samt Radio och internettrafik. Det är ett system som scannar efter nyckelord och kan filtrera enorma mängder kommunikation i realtid.
Det mest kontroversiella? Att det inte bara används för säkerhet – utan ibland även för ekonomisk och industriell spionage.
Det här var alltså massövervakning innan PRISM, innan Snowden, innan debatten. Och det är ett av de tydligaste exemplen på att teknik för övervakning nästan alltid glider från "säkerhet" till "kontroll". Echelon nämns inte lika ofta i dag – men det var där mycket av arkitekturen för dagens digitala övervakning tog form.
Politisk instabilitet i USA påverkar IT-beslut i Europa
När amerikansk politik svajar, skakar det även i europeiska serverhallar. Det må låta dramatiskt – men det är så det ser ut. Relationerna mellan EU och USA har blivit mer frostiga, inte minst på grund av handelskonflikter, olika syn på dataskydd och en ökande misstro mot amerikansk övervakningspolitik.
Microsoft är mycket väl medvetna om detta. I ett tal i Bryssel sa Brad Smith, Microsofts ordförande, att företaget ser en reell oro hos europeiska kunder för att amerikansk politik ska leda till att molntjänster stoppas – eller tvingas lämna ut data på sätt som strider mot EU-lag.
– Vi vet att det inte räcker att bara säga att vi respekterar europeiska lagar. Därför är vi beredda att lova kontraktuellt att vi går till domstol om någon regering – inklusive vår egen – kräver att vi bryter mot det. Brad Smith, Microsoft
Det här är starka ord. Och det visar hur allvarligt Microsoft ser på situationen. Det är tydligt att Microsoft försöker. De vet att förtroende inte byggs med ord utan med arkitektur, avtal och insyn. Men trots allt detta kvarstår ett faktum: Microsoft är fortfarande ett amerikanskt företag och står under amerikansk lag – inklusive CLOUD Act och FISA 702.
Men även om Microsoft säger "vi gör vad vi kan", så kvarstår den grundläggande osäkerheten. I ett läge där den politiska temperaturen i USA höjs och där kontrollen över myndigheter skiftar med partifärg, då blir även teknikval en del av den geopolitiska spelplanen.
Kanske är det enklare att välja svenskt eller europeiskt?
Det fungerar ju faktiskt – även om det finns risker
Samtidigt: det måste sägas. Många amerikanska tjänster fungerar otroligt bra. Vi på Tripnet använder bland annat Microsoft 365 för vår egen produktivitet. Det är ett verktyg som fungerar, är djupt integrerat i våra flöden och som våra medarbetare gillar. Vi kan inte använda det till allt av säkerhetsskäl, men till det mesta.
– Att lämna M365 skulle kännas som att gå tillbaka i tiden. Det är självklart möjligt, men kostsamt, krångligt och inte något man gör för skojs skull. Tycker jag (Ulf)
Det här gäller inte bara Microsoft. Många amerikanska tjänster har blivit industristandard, och alternativen är inte alltid konkurrenskraftiga. Den här verkligheten behöver få plats i diskussionen, annars blir den inte trovärdig.
Tripnet – ett svenskt alternativ för säker IT-drift
Vi är inte en molnjätte. Och vi gör inte anspråk på att vara allt för alla. Men vi är ett svenskt bolag med över 30 års erfarenhet av att drifta och säkra samhälls- affärskritiska IT-miljöer. Våra datacenter finns i Sverige, vi följer europeisk lagstiftning, och vi är ISO 27001-certifierade.
Vi erbjuder:
- Molntjänster i svensk jurisdiktion
- IT-drift i privat och hybrid miljö
- Backup & restore med dataskydd i fokus
- Säkerhetstjänster och incidentberedskap
- Insiktfulla råd kring compliance och risk
Vi jobbar också med tabletopövningar för krisberedskap och NIS2- eller DORA-anpassning. Det gör att vi kan hjälpa bolag att både säkra sin data – och förstå sina risker.
Tripnet är inte en utmanare till amerikanska molnjättar. Vi är ett praktiskt alternativ för den som vill ha kontroll, trygghet och transparens – på hemmaplan.
