Cloud Act kan by på utfordringer for europeiske selskaper

I 2018 var det nemlig to ulike, men like viktige lover som ble vedtatt – en i Europa og en i USA.  I Europa var de fleste selskaper så opptatt av å diskutere GDPR at de ikke fikk med seg at Cloud Act ble vedtatt i USA. Kort fortalt gjør loven at amerikanske myndigheter kan be om kundedata fra amerikansk-eide selskaper om amerikanske borgere - selv om servere står plassert i Norge.

Mens GDPR er utformet og fremmet for å beskytte persondata, vil Cloud Act i stedet gjøre det lettere for amerikanske myndigheter å få tilgang til data - selv om den er lagret i andre land, som for eksempel Norge! GDPR og Cloud Act er mao. forberedt og utviklet ut fra to helt ulike perspektiver, og vil på denne måten motarbeide hverandre. Cloud Act kan i ytterste konsekvens føre til at amerikanske selskaper med datasentre i Europa må velge mellom å følge amerikansk eller europeisk lov – noe som kan føre til vanskelige og alvorlige situasjoner. 

Som vi allerede har nevnt, så gjelder Cloud Act for amerikanske selskaper og statsborgere som er innenfor amerikansk jurisdiksjon – også hvis deres data er plassert utenfor det amerikanske territoriet. I den forstand kan GDPRs jurisdiksjon om personopplysninger være i konflikt med Cloud Act, fordi GDPR også gjelder for amerikanske statsborgere som er innenfor Europa, eller hvis data brukes til forretningsvirksomhet i Europa. Et selskap i Europa vil derfor være i strid med GDPR hvis de avslører amerikanske personers data til den amerikanske håndhevelsen (internasjonal dataoverføring) uten passende GDPR-baserte prosedyrer og begrunnelser. Det kan altså oppstå et dilemma hvis et norsk selskap har ansatt en amerikansk statsborger der Cloud Act krever at informasjon om denne personen utleveres. Sitter denne personen på mye informasjon om selskapet, så vil også mye informasjon om selskapet utleveres.

Mange organisasjoner og eksperter har uttrykt bekymringer om Cloud Act, og den mulige negative virkningen det kan ha for europeiske borgere og selskaper. Europeiske bedrifter bør vurdere risikoen ved å bruke amerikanske leverandører som må følge Cloud Act.

For å beskytte sensitiv informasjon og for å overholde GDPR-lovgivningen, bør man derfor velge tjenester og løsninger som leveres av europeiske selskaper som følger GDPR fullt ut. Dette er spesielt viktig for organisasjoner som håndterer ekstremt sensitive data, som myndigheter, kommuner, banker, helsevesen og forsikringsselskaper.

Vær obs på at selv om et selskap har kontor i Europa, så kan det fortsatt ha amerikanske eiere. Vi mener at selskaper og organisasjoner bør sette risikovurdering av Cloud Act høyt på styrets dagsorden.

Sørg for at leverandøren av styreportalen du velger er en som ikke kan tvinges til å dele dine data med myndighetene i USA i brudd med GDPR.

Aksel Belck-Olsen, Head of International Operations i Admincontrol