Säkerhet och dataskydd

Cloud Act och tredjelandsrisk

Cloud Act används ofta som samlingsnamn för risken att en leverantör kan omfattas av utomeuropeiska rättsliga krav. För Molnkontoret handlar frågan om kontroll, avtal, jurisdiktion och faktisk åtkomst.

Vad frågan gäller

När personuppgifter eller känslig verksamhetsinformation hanteras i molntjänster behöver organisationen förstå vilka bolag, driftländer och supportkedjor som kan påverka åtkomsten. Det räcker inte alltid att bara fråga var servern står.

Tredjelandsöverföring

Om personuppgifter förs utanför EU/EES eller görs åtkomliga från ett land utan adekvat skydd behövs en bedömning av överföringsgrund och skyddsåtgärder. Det kan handla om avtalsvillkor, tekniska skydd och om leverantören står under lagar som kan skapa konflikt med EU-rätten.

Molnkontorets angreppssätt

Vi utgår från dokumenterade dataflöden, tydlig leverantörskedja, EU- eller svensk drift när det behövs, begränsad supportåtkomst och exitmöjlighet. Målet är att kunden ska kunna göra en begriplig riskbedömning i stället för att köpa en svart låda.

Viktigt att komma ihåg

Cloud Act-frågan är juridiskt och tekniskt beroende av vald driftmodell. Molnkontoret kan ge underlag och struktur, men kundens dataskyddsombud, jurist eller upphandlingsfunktion bör bedöma den konkreta risken.