Ja, listan kan göras lång. Därför blev det ett bakslag för många företag som hade börjat migrera till molnet när Europadomstolen klubbade igenom Schrems II. Men vad innebär egentligen denna dom? Och vad betyder CLOUD Act för Europa? Ta det lugnt, luta dig tillbaka – vi ger dig en komplett guide till molnet.
Schrems II är en dom från Europadomstolen som slogs igenom sommaren 2020. I korta drag gjorde domen handelsavtalet Privacy Shield ogiltigt när det kom till att utbyta integritetskänsliga data mellan EU och USA. I praktiken betyder det att det nu är olagligt att föra över personuppgifter till USA, utan att stödja det på andra grunder i GDPR.
Domen är döpt efter den österrikiske advokaten Maximilian Schrems, och den heter just Schrems II eftersom det är en uppföljare till domen Schrems I. Denna fastslog 2015 att det dåvarande handelsavtalet, Safe Harbor, inte var en stark nog grund för transatlantisk överföring av personuppgifter mellan EU och USA. Därefter skapades Privacy Shield och… ja, ni vet vad som hände där.
CLOUD Act är en lag som innebär att amerikanska myndigheter har rätt att begära ut data från USA-baserade företag och organisationer. CLOUD Act strider direkt mot GDPR, och därför har diskussionen om just amerikanska molnleverantörer tagit fart. För vad innebär CLOUD Act för din organisation om du förvarar data i ett amerikanskt moln? Det ska vi reda ut! Men låt oss börja med grunderna.
CLOUD Act gäller för alla amerikanska företag. Därför spelar det ingen roll vart i världen din information lagras. Använder du en molnleverantör som Microsoft, Google eller Amazon måste de följa CLOUD Act, även om deras servrar existerar i Europa. Detta betyder inte automatiskt att amerikanska molnleverantörer är osäkra. Allt hänger på HUR du lagrar dina data. Häng kvar så förklarar vi vidare!
Kort fattat betyder det att det är svårare att skicka integritetskänslig information mellan EU och USA. Den stora frågan som många ställer sig är ”Går det att vara GDPR-följsam i molnet?”. Som företag har du en skyldighet att följa GDPR och det betyder att du inte kan föra över data till ett tredje land, utanför EU, utan en adekvat skyddsnivå.
Så hur skyddar vi oss mot CLOUD Act? Hur kan vi existera i molnet och samtidigt följa GDPR? Allt hänger på kryptering och hanteringen av kryptonycklar.
Vill du höra mer om molnet och GDPR? Se vårt webinar med GDPR- och dataskyddsexperten Alexander Hanff.
Kryptering är A och O när det kommer till säker e-post och FRAMFÖR ALLT när det kommer till CLOUD Act. Om din information lagras krypterad, betyder det att den inte är användbar för en tredje part, som de amerikanska myndigheterna i detta fall.
Detta betyder dock inte att all kryptering är säker. För att skydda din information från specifikt CLOUD Act, måste den vara krypterad när den lagras, eller encrypted at rest som det heter. Det finns dock risker med att endast kryptera data när den lagras.
Om du skickar känsliga data via e-post kan till exempel en tredje part bryta sig in i dina meddelanden medan de skickas. Om de inte är krypterade under sändning kommer de då att vara läsbara för vem som helst. Därför vill du använda en kryptering som skyddar din information genom hela processen. Detta kallas end-to-end-kryptering och är vad vi på Smartlockr använder oss av.
Läsa om hur kryptering fungerar och om fördelarna mellan de olika typerna av kryptering.
End-to-end-kryptering löser dock inte allt. För att skydda dina data från CLOUD Act måste du måste hålla koll på vart dina kryptonycklar förvaras. Kryptering kräver två typer av kryptonycklar – en krypteringsnyckel som gör informationen svårläslig och en dekrypteringsnyckel som gör att du kan avkoda meddelandet.
För att dina data ska vara säkra från CLOUD Act behöver dessa förvaras separat från din leverantör. Detta kallas för zero knowledge och är vad vi på Smartlockr använder oss av. Det betyder att även om lagrad information lämnas ut till amerikanska myndigheter, kan de inte göra något med den. Eftersom bara avsändaren och mottagaren har tillgång till kryptonycklarna är informationen oläslig för alla utomstående parter.
E-post är ett av de vanligaste sätten att kommunicera professionellt på idag. Skickar du dessutom integritetskänsliga uppgifter via e-post, kräver GDPR att du använder dig av kryptering.
Att kryptera din information på rätt sätt skyddar dig även mot CLOUD Act – win, win situation, eller hur? På Smartlockr använder vi oss av end-to-end-kryptering med zero knowledge. Detta betyder att dina e-postmeddelanden är krypterade från början till slut och att kryptonycklarna bara är tillgängliga för avsändaren och mottagaren av e-postmeddelandet.
Vill du läsa mer om molnet, CLOUD Act och kryptering? Läs vår e-bok "En saga om molnet" här.