CLOUD Act och FISA 702

CLOUD Act och FISA 702 är amerikanska lagar som kan innebära risker för dataskydd och integritet när europeiska organisationer använder amerikanska molntjänster.

CLOUD Act (Clarifying Lawful Overseas Use of Data Act) och FISA 702 (Foreign Intelligence Surveillance Act, Section 702) är amerikanska lagar som kan innebära risker för dataskydd och integritet i samband med användning av amerikanska molntjänster.

Båda lagarna kan påverka företag och organisationer utanför USA, inklusive europeiska verksamheter som hanterar känslig data såsom personuppgifter och patientdata.

I praktiken kan det innebära att en europeisk organisation som använder amerikanska molntjänster kan utsättas för krav eller övervakning från amerikanska myndigheter. Det kan skapa juridisk osäkerhet och konflikt med GDPR, särskilt när data är känslig eller när organisationen behöver kunna visa att den har kontroll över var data behandlas och vem som kan få tillgång till den.

Genom att använda en svensk eller europeisk molnleverantör kan organisationer minska beroendet av amerikansk jurisdiktion och få bättre förutsättningar att hantera krav på dataskydd, regelefterlevnad och digital suveränitet.

CLOUD Act

CLOUD Act ger amerikanska brottsbekämpande myndigheter möjlighet att kräva tillgång till data som lagras i molnet, oavsett var datacentret är beläget. Det innebär att om ett europeiskt företag använder en amerikansk molntjänstleverantör kan leverantören i vissa situationer bli skyldig att lämna ut kunddata till amerikanska myndigheter, även om datan lagras inom EU.

Detta kan leda till konflikter med EU:s dataskyddsregler, till exempel GDPR, som syftar till att skydda individens rätt till privatliv och säkerhet för personuppgifter.

FISA 702

FISA 702 tillåter amerikanska underrättelsetjänster att övervaka och samla in kommunikation från icke-amerikanska medborgare utanför USA när syftet är utländsk underrättelseinhämtning. Det innebär att kommunikation och data som lagras eller överförs genom amerikanska molntjänster kan bli föremål för övervakning.

För europeiska företag, myndigheter och organisationer kan detta vara en risk för integritet, datasäkerhet och regelefterlevnad. Det är därför viktigt att väga in juridisk kontroll, leverantörens hemvist och faktisk driftplats när man väljer molnplattform.