Redaktionel vurdering
Cloud Act betyder ikke automatisk, at al brug af amerikansk cloud er ulovlig, men den gør jurisdiktion, adgangsmodeller, kryptering, supportadgang og exit-planer til ledelsesspørgsmål.
Hvad er sket?
Den 23. marts 2018 blev CLOUD Act en del af amerikansk lovgivning. Loven ændrede den amerikanske Stored Communications Act og blev hurtigt et fast referencepunkt i diskussionen om udenlandsk adgang til data hos amerikanske teknologileverandører.
For danske organisationer er den praktiske pointe ikke kun, hvor data fysisk ligger. Det centrale spørgsmål er også, hvilken jurisdiktion leverandøren, moderselskabet, supportorganisationen og driftsmodellen er underlagt.
Hvorfor er det relevant for digital suverænitet?
Cloud Act bliver ofte brugt som shorthand for en bredere risiko: at kontrol over data, nøgler, drift og adgang kan være delt mellem tekniske, kontraktlige og jurisdiktionelle lag. En europæisk dataregion reducerer ikke nødvendigvis alle adgangsrisici, hvis leverandøren stadig kan blive mødt af bindende krav i et andet land.
Det gør cloudvalg til en styringsbeslutning, ikke kun en hostingbeslutning.
Hvad bør beslutningstagere holde øje med?
- Om leverandøren kan dokumentere, hvem der juridisk og teknisk kan få adgang til data.
- Om krypteringsnøgler, supportadgang og logging kan kontrolleres af kunden eller en europæisk operatør.
- Om kontrakten indeholder klare processer for myndighedsanmodninger, notifikation og challenge-procedurer.
Kilder
Dette er generel information og ikke juridisk rådgivning.