Replik på krönikan ”Cloud (f)act, ett nödvändig förtydligande” Bekräftelsefel leder oss till att läsa ut det vi vill ska vara sant men när det gäller juridiska frågor, och Cloud Act är en juridisk fråga, kan vi inte förlita oss på vad vi tycker borde vara sant eller leverantörer säger är sant utan istället gå till […]
Bekräftelsefel leder oss till att läsa ut det vi vill ska vara sant men när det gäller juridiska frågor, och Cloud Act är en juridisk fråga, kan vi inte förlita oss på vad vi tycker borde vara sant eller leverantörer säger är sant utan istället gå till lagen för att konstatera vad som är sant.
Eftersom leverantörer och andra inte kan/vill i sak bemöta rättsliga utlåtande från eSam, Försäkringskassan, Kammarkollegiet och Premiepensionsmyndigheten argumenterar de med känslor. Det bli dyrare, avtal har redan ingåtts, digitaliseringen försvåras/hindras, mindre säkert, sannolikheten är liten, molntjänster såsom AI, rädsla för ”storebror”, amerikansk rättssäkerhet, bara brott, amerikanskt domstolsbeslut, information finns redan tillgängligt, Sverige halkar efter. Men inga av dessa argument spelar någon roll för vad som juridiskt är sant med avseende på Cloud Act.
Cloud Act
I molndebatten blandar de som menar att Cloud Act inte är ett bekymmer ihop vad Cloud Act tillför i form av Cloud Act avtal och vad som förändrats i amerikansk lag genom Cloud Act. Eftersom Sverige inte ingått ett Cloud Act avtal med USA berörs inte Sverige av de lagar som berör avtalsparter i ett Cloud Act-avtal.
Det som är relevant ur ett svenskt perspektiv är paragraf (18 USC 2713) som Cloud Act tillförde Stored Communications Act (SCA). Det viktiga i den nya paragrafen är ”outside of the United States” vilket innebär att USA tydliggör i lag att USA har extraterritoriella rättigheter över data som finns utanför USA.
Att amerikansk extraterritoriella lagstiftning inte är förenligt med GDPR är ställt utom allt tvivel men det överlåter jag till EU att reda ut.
Regeringsformen
I regeringsformen står det att ”Den offentliga makten utövas under lagarna”. Utifrån detta förstår nog alla att de som omfattas av Offentlighets- och sekretesslagen (OSL) ska hantera data enligt svensk lag. Det ska också kunna prövas i en svensk domstol.
Den gordiska knuten
När det blir leverantören, inte den myndighet som förvarar handlingar hos leverantören, som prövar om allmänna handlingar ska lämnas ut enligt SCA och Cloud Act leder detta till myndighetsutövning av enskild i strid mot RF och OSL (8 kap. 3 §). Enligt amerikansk lag (18 USC 2703(e)) hålls leverantören skadeslös vid avtalsbrott till följd av ett utlämnade. Fribrevet samt att typiska avtal med amerikanska leverantörer reglerar att tvister skall prövas i USA medför att det inte spelar någon roll vad som står i ett avtal med avseende på sekretess. Det går inte att avtala bort ett eventuellt utlämnade som har rättslig verkan.
Kan vi verkligen acceptera att svenska myndigheter slår ifrån sig ansvaret för prövning av sekretessfrågor till en utländsk domstol och låter sig företrädas av utländska leverantörer?
André Catry, Cyberrådgivare
Aktuell Säkerhet jobbar för alla som vill göra säkrare affärer och är därför en säker informationskälla för säkerhetsansvariga inom såväl privat som statlig och kommunal sektor. Vi strävar efter förstahandskällor och att vara på plats där det händer. Trovärdighet och opartiskhet är centrala värden för vår nyhetsjournalistik
Anmäl dig till vårt nyhetsbrev!
Genom att klicka på "Prenumerera" ger du samtycke till att vi sparar och använder dina personuppgifter i enlighet med vår integritetspolicy.
