fbpx
21 november, 2019 | Magnus Kolsjö | Digitalisering

Molntjänster flyttar makt över svenska myndigheter till USA

Den som följt debatten om digitaliseringen av offentlig sektor kan knappast undgått att höra om Cloud act. För att förstå Cloud act och dess konsekvenser är det viktigt att förstå bakgrunden till lagstiftningen, lagstiftarnas syfte och vilka bestämmelser lagen innehåller.

Den som följt debatten om digitaliseringen av offentlig sektor det senaste året kan knappast ha undgått att höra om Cloud act och debatten om huruvida svenska myndigheter bör eller ens kan använda sig av amerikanska leverantörer av molntjänster. Från amerikansk håll, tyvärr med stöd av ett antal svenska aktörer, pågår vad som närmast kan liknas vid en desinformationskampanj om vad Cloud act handlar om och vilka konsekvenser lagen får. Ur ett amerikansk perspektiv är denna kampanj förståelig. Det handlar om stora ekonomiska värden som står på spel men att svenska aktörer springer USAs ärenden är mer obegripligt.

För att förstå Cloud act och dess konsekvenser samt för att kritiskt kunna granska de inlägg som görs i debatten är det viktigt att förstå bakgrunden till lagstiftningen, lagstiftarnas syfte och vilka bestämmelser lagen innehåller.

Bakgrunden till Cloud act

Bakgrunden till lagstiftningen är ett mål mellan USA och Microsoft där federala myndigheter genom en husransaknigsorder begärt att Microsoft skulle lämna ut all e-post och annan information kopplade till en person som misstänktes för narkotikasmuggling. Microsoft konstaterade att den informationen som begärdes lagrades i Microsofts datacenter på Irland och vägrade att lämna ut den eftersom de bedömde att husransakningsorden innebar en olaglig extratoriell tillämpning av amerikansk lag, att amerikansk lag tillämpas på förhållanden i andra länder. Efter att Microsoft vunnit stöd för sin hållning i appellationsdomstolen och målet låg för avgörande i USA:s högsta domstol introducerades förslaget till Cloud act i kongressen.

Under förhandlingarna i Högsta domstolen lämnade många olika intressenter inlagor, så kallade amicus briefs, för att klargöra sin inställning till fallet.

EU-kommissionen skrev en inlaga för att klargöra att europeisk rätt kräver att de regler som finns till skydd för den personliga integriteten i dataskyddsförordningen (GDPR) följs om data ska utlämnas från EU till USA. Kommissionen underströk även vikten av internationellt samarbete för att utreda och beivra brott och att den vanliga vägen för detta är internationella avtal om rättslig hjälp.

Vad gäller EU är det också värt att notera att Storbritannien lämnade en inlaga där de menade att processen med internationell rättslig hjälp måste moderniseras och att det inte ska spela någon roll var data lagras. Irland hävdade det direkt motsatta och framhöll att de motsatte sig att de ska behöva intervenera i utländska rättsprocesser för att försvara sin nationella suveränitet. De menade att den gängse processen för internationell rättslig hjälp ska följas.

FN:s särskilda rapportör för rätten till privatliv framhöll att oavsett vilken slutsats domstolen kom fram till så skulle den påverka rätten till privatliv för “miljarder människor världen över som använder molntjänster varje dag för att lagra sina mest känsliga data”. Den särskilda rapportören uppmanar domstolen att tolka lagen på striktas möjliga sätt och att göra det utifrån avsaknaden av en tydlig reglering snarare än att läsa in ny betydelse i befintlig reglering. Detta ansåg rapportören vara viktigt eftersom frågan om hur domvärjo över data ska avgöras behöver lösas genom internationella diplomatiska förhandlingar snarare än genom ensidiga nationella beslut.

En grupp bestående av 21 europeiska experter på dataskyddslagstiftning och rätten till privatliv påtalade i en inlaga att frågan om huruvida amerikans lagstiftning ska kunna tillämpas på ett sätt så att den blir gällande även i andra länder, att lagen är extraterritoriell, är en politisk fråga som bör avgöras av kongressen och inte av rättsväsendet. De avfärdade också den amerikanska regeringens argument att Europarådets konvention om it-relaterad brottslighet, den så kallade Budapestkonventionen, skulle kräva att data lämnades ut utan att USA behövde gå via den vanliga ordningen med internationell rättslig hjälp. Enligt de europeiska experterna är det tvärt om så att Budapestkonventionen inte ger stöd för att länder ensidigt tillskansar sig data som lagrats i andra länder.

Tre amerikanska experter på internationell rätt och amerikansk extraterritoriell lagstiftning påtalade i likhet med de europeiska experterna på dataskydd och rätten till privatliv att det är kongressen, den lagstiftande makten, som bör avgöra om amerikansk lag ska vara extraterritoriell. I sin inlaga skriver det att inhämtning av data i ett annat land, även om inhämtandet kontrolleras genom en fjärruppkoppling från USA, är att jämföra med att amerikansk polis själva skulle stövla in i den utländska serverhallen. Detta skulle enligt experterna vara ett klart brott mot internationell rätt. Experterna hävdade också att det enligt den doktrin som tidigare tillämpats saknas skäl för en extraterritoriell tillämpning av lagen när det gäller att hämta in data lagrad i andra länder och att det inte finns något stöd i internationell rätt för att ett land ensidigt utfärdar husransakningsordrar för att komma åt data lagrad i andra länder.

Fem kongressledamöter, både demokrater och republikaner, skrev en inlaga där de påpekade att kongressen aldrig haft för avsikt att den då gällande lagen skulle ha extraterritoriell verkan. Detta, menade de, framgår både av lagens text och av bakgrunden till varför lagstiftningen tillkom. Värt att notera är att alla fem kongressledamöter senare var med och introducerade Cloud act i senaten och representanthuset.

De fem kongressledamöterna underströk liksom både de europeiska och amerikanska juridiska experterna att det var upp till lagstiftarna att avgöra om viss lagstiftning ensidigt ska tillämpas även för förhållanden i andra länder. De framhöll också att om USA ensidigt skulle inhämta data lagrad i andra länder skulle detta störa den internationella ordningen eftersom stater har ett starkt intresse av att upprätthålla skyddets för de egna medborgarnas privatliv och sin egen lagstiftning till skydd för data lagrad inom det egna landet. Om USA agerar ensidigt skulle detta även kunna leda till motåtgärder från andra länder genom att de antingen på olika sätt förhindrar USA:s tillgång till data eller på motsvarande sätt ensidigt tillskansar sig data lagrad i USA.

En grupp av amerikanska bransch och konsumentföreträdare, bland annat BSA The Software Alliance där Amazon, Google och Microsoft är medlemmar, skrev en inlaga där de hävdade att en ordning där USA ensidigt hämtar in data lagrad i andra länder skulle ha en stor negativ påverkan på användandet av molntjänster och på så sätt skada en industri som är viktig för USA:s tillväxt.

De skriver:

“De data som företag och enskilda personer lagrar hos leverantörer av molntjänster inkluderar känslig information om deras affärsverksamhet och personliga liv. Om priset för att använda dessa tjänster är att man förlorar det skydd som lagarna i det land där informationen lagras ger och att tillåta den amerikanska regeringen att få tillgång till data som den annars bara kunde få genom att använda gängse rättsprocesser i det landet där datan lagras; då kommer företag och individer att avstå från att lagra sin information ‘i molnet’. Det innebär att fördelarna med molntjänster – billigare och mer flexibla it-tjänster, förbättrad säkerhet och minskade kostnader för hårdvara – inte kommer att uppstå och att de negativa konsekvenserna för den amerikanska ekonomin kommer att bli betydande.”

Den europeiska branschorganisationen Digital Europe underströk tillsammans med ett flertal nationella branschorganisationer att den nationella suveräniteten inte försvinner bara för att företag och organisationer av ekonomiska hänsyn och av tekniska orsaker väljer att använda montjänster och att lagra sina data i molnet. De menade att det snarare är så att lagring, insamling och överföring av personuppgifter är en känslig multilateral fråga med stora ekonomiska och utrikespolitiska implikationer. Om USA ensidigt inhämtar data lagrat i ett EU-land kan detta både leda till att leverantören av molntjänsten ställs till ansvar för brott mot europeisk lag och att USA får problem i sina internationella relationer.

Syftet med Cloud act

Orrin Hatch, republikans senator från Utah, som var en av de som introducerade Cloud act i senaten beskrev syftet med lagen i ett tal i senatens kammare. Hatch konstaterar att den tekniska utvecklingen och USA:s arbete att utreda och beivra brott har gjort att USA:s lagar som skyddar privatlivet har kommit att krocka med andra länders motsvarande lagar. En amerikansk husrannsakningsorder är endast giltig i USA och andra länders lagar kan förbjuda att data lämnas ut.

För att lösa detta problem introducera de Hatch tillsammans med ledamöter från båda partier i både senaten och representanthuset Clarifying the Legal Overseas Use of Data Act, Loud act. Lagen syftar enligt Hartch till att:

  1. Ge USA en möjlighet att ingå avtal med andra länder om att dela med sig av data. Ett villkor för ett sådant avtal är dock att den andra staten går med på att inte använda datautbytet för att eftersöka data om amerikanska personer eller företag.
  2. Slå fast att en amerikansk husransakningsorder för data gäller även om den eftersökta datan lagras i ett annat land. Detta gör att amerikanska myndigheter inte behöver använda sig av de vanliga diplomatiska kanalerna för internationell rättslig hjälp.
  3. Ge molnleverantörer en möjlighet att överklaga en husransakningsorder om den innebär att leverantören skulle bryta mot lagen i ett annat land om de lämnar ut datan.
  4. Ge molnleverantörerna en möjlighet att informera det andra landets myndigheter om att de fått en husransakningsorder gällande data som lagras där om landet har slutit ett avtal om datautbyte med USA.

Samtidigt som Hatch introducerade Cloud act i senaten introducerade Doug Collins, republikansk kongressledamot från Georgia, motsvarande lagstiftning i representanthuset.

Flera av de stora it-företagen som genom sin branschorganisation argumenterat mot denna typ av extraterritoriell lagstiftning i Högsta domstolen och ansett den vara skadlig för branschen och amerikanska intressen uttryckte nu istället sitt stöd för lagstiftningen som de menade erbjöd en logisk lösning på frågan om gränsöverskridande tillgång till data. De ansåg att Cloud act garanterar att dataägare skyddas av sina egna lagar samtidigt som lagstiftningen främjar diplomatiska kontakter och erbjuder en väg till bilaterala avtal om tillgång till data.

Cloud acts bestämmelser

Cloud act är inte en enda lag i svensk bemärkelse utan ett antal ändringar i fler olika lagrum. Exakt vad som genomfördes i lagstiftning av de ursprungliga förslagen är besvärligt att spåra eftersom den ordinarie lagstiftningsprocessen med utskottsbehandling och bearbetning av texten inte följdes. Istället antogs Cloud act som ett tillägg till den budgetproposition på över 2.200 sidor som expressbehandlades och antogs inom ett drygt dygn från det att den presenterades i mars 2018.

I budgetbeslutet konstateras att Cloud act behövs för att värna allmän säkerhet och bekämpa allvarlig brottslighet inklusive terrorism.

Datalagring

Det första Cloud act gör är att utsträcka den amerikanska datalagringslagen så att den även omfattar data utanför USA. Den amerikanska datalagringslagen påminner i sina svepande bestämmelser om vilka data som ska lagras och de tider data ska sparas om det europeiska datalagringsdirektiv som upphävdes av EU-domstolen på grund av att bestämmelserna inkräktade för mycket på den personliga integriteten jämfört med de syften direktivet strävade efter att uppnå. Genom Cloud act får vi inom EU nu tillbaka en liknande lagstiftning avseende mycket av den data som vi samlar in, bearbetar, lagrar och sprider här.

Överklagan av husrannsakningsorder

Det införs ett antal regler gällande möjlighet att överklaga en husrannsakningsorder och att informera myndigheterna i det land där den eftersökta datan finns (underavdelning h). Viktigt att notera är dock att möjligheten att överklaga en husrannsakningsorder endast gäller om det land där datan finns ingått avtal med USA om datautbyte och ett utlämnande av data skulle innebära en verklig risk att molnleverantören skulle bryta mot landets lagar samt har goda skäl att anta att den person som den eftersöka datan gäller inte bor i USA, inte är amerikansk medborgare eller inte är ett amerikansk företag.

Det är troligtvis i denna bestämmelse som villfarelsen att Cloud act endast gäller data avseende amerikanska medborgare och företag kommer. Men så är alltså inte fallet. Lagen gör det möjligt för amerikanska myndigheter att eftersöka data gällande alla som har sina data hos en amerikansk tjänsteleverantör. Men det finns en möjlighet för tjänsteleverantören att överklaga husransakningsorden om de har goda skäl att tro att den inte avser en amerikan.

Om husransakningsorden överklagas ska en domstol göra en samlad bedömning där de bland annat ska väga huruvida USA:s intresse att ta del av datan är större än den andra statens intresse av att deras lagstiftning respekteras samt vilken koppling till USA den person har som den eftersökta datan avser. Den lista på punkter som ska vara uppfyllda för att en husrannsakningsorder ska upphävas eller modifieras är en lista som kräver att samtliga krav är uppfylla. Det handlar alltså inte om antingen eller. Det är fråga om både och. Så om domstolen vid en samlad bedömning anser att USA:s intresse väger tyngre så kan data inhämtas.

Om den stat där den eftersökta datan finns har ett avtal om datautbyte med USA så får tjänsteleverantören informera det landets myndigheter om att de fått en husrannsakningsorder. Att myndigheterna informeras innebär dock inte att de har någon talesätt eller partsställning i amerikansk domstol. Hela processen är också väldigt accelererad. Från det att en tjänsteleverantör tar emot en husrannsakningsorder har de bara två veckor på sig att överklaga.

Möjlighet för tjänsteleverantörer att dela med sig av data

I och med Cloud act införs en bestämmelse som gör det möjligt för amerikanska tjänsteleverantörer att lämna över data direkt till utländska myndigheter som har ett avtal om datautbyte med USA (avsnitt 2 punkt j). Detta innebär att amerikanska myndigheter inte gör någon prövning av om begäran om att ta del av data är riktig eller laglig. Det är helt upp till tjänsteleverantören att vända sig till myndigheterna i det land som begär datan för att invända mot en sådan begäran. Detta innebär också att svenska myndigheters data kan lämnas ut till vilket land som helst som tecknar ett avtal om datautbyte med USA utan att svenska myndigheter kan påverka utlämningen av data.

Bilaterala avtal om datautbyte

Cloud act skapar en möjlighet för USA:s regering att ingå avtal med andra länder om datautbyte baserat på Cloud acts bestämmelser. Detta är alltså inga avtal om traditionell internationell rättslig hjälp där en förfrågan om utlämning av data prövas både enligt amerikansk lag och det lands lagar där datan finns. Detta är avtal som innebär att utlämning av data endast prövas gentemot det lands lagar som eftersöker datan.

För att få ingå avtal med USA måste man uppfylla ett antal krav på rättssäkerhet och respekt för mänskliga rättigheter. Det är upp till justitieministern att tillsammans med utrikesministern avgöra om ett land uppfyller kraven för att få ingå ett avtal.

Ett land som vill ingå ett avtal om datautbyte måste förbinda sig att inte eftersöka data om amerikanska medborgare, personer boende i USA eller amerikanska företag. På frågan om andra länder kan få likande undantag för sina medborgare och företag gentemot USA har det amerikanska justitiedepartementet svarat att de är fria att försöka.

När ett avtal om datautbyte har ingåtts kan kongressen upphäva det om två tredjedelar av ledamöterna i både senaten och representanthuset röstar emot det.

Rättssäkerhet och nationell suveränitet

Cloud act skapa fler problem än den löser. Alla de problem som påtalades av de som lämnade inlagor till Högstadomstolen i samband med målet USA mot Microsoft kvarstår.

Cloud act innebär en extraterritoriell tillämpning av amerikans lagstiftning även om det nu är den lagstiftande makten och inte den dömande som beslutat om det. Detta gör att andra länders nationella suveränitet kränks och att de lagar andra länder beslutat om för att garantera rättssäkerhet och skydd för privatlivet sätts åt sidan.

Cloud act innebär att andra länders medborgare och företag berövas effektiva och fungerande rättsmedel för att ta tillvara sina rättigheter. Det var bland annat en liknade brist på effektiva rättsmedel som fick EU-domstolen att upphäva det så kallade Safe harbour-avtalet mellan EU och USA om överföring av personuppgifter.

eSam har påtalat de risker Cloud act innebär för att uppgifter som omfattas av sekretess ska röjas. Kammarkollegiet har gjort en analys av de molntjänster som finns på den svenska marknaden och konstaterat att det idag saknas molntjänster som uppfyller de krav som myndigheter behöver ställa utifrån bland annat offentlighets- och sekretesslagen och dataskyddsförordningen.

Försäkringskassan har publicerat en vitbok där de hävdar att Sveriges digitala suveränitet hotas av it-tjänster i molnet eftersom vi inte längre kan kontrollera vilka utländska aktörer, privata eller offentliga, som på laglig väg kan få tillgång till de data som lagras i molnet. Försäkringskassan hävdar att Sverige behöver formulera en tydlig myndighetsgemensam strategi och en långsiktig handlingsplan om Sveriges digitala suveränitet ska kunna vidmakthållas. I detta kan jag bara instämma.

Magnus Kolsjö

Magnus Kolsjö är utredare med ett förflutet i riksdagen och...

Mer från samma skribent

2019-11-21 | Magnus Kolsjö | Digitalisering

Den som följt debatten om digitaliseringen av offentlig sektor det senaste året kan knappast ha undgått att höra om Cloud act och debatten om huruvida svenska myndigheter bör eller ens kan använda sig av amerikanska leverantörer av molntjänster. Från...

2019-01-18 | Magnus Kolsjö | Digitalisering

I det här blogginlägget tar jag upp några andra frågor som verkar ha missats i beredningen av förvaltningslagen bestämmelse om  automatiserade beslut och som därför kan skapa svårigheter när den ska tillämpas. Beredningstvånget En myndighet får inte...

2019-01-10 | Magnus Kolsjö | Digitalisering

I lagens inledning tydliggörs även grunderna för en god förvaltning genom att principerna om legalitet, objektivitet och proportionalitet skrivs in i förvaltningslagen. Dessa principer gäller både handläggning av ärenden och annan...