Prorenata Journal och CLOUD Act

Vi har fått en del frågor kring den amerikanska lagstiftningen CLOUD Act och om och i så fall hur den påverkar Prorenata Journal. Nedan följer en genomgång av hur vi ser på situationen och vår handlingsplan.

Bakgrund

CLOUD Act (Clarifying Lawful Overseas Use of Data) är en relativt ny amerikansk lagstiftning som i korthet reglerar hur amerikanska myndigheter ska agera för att begära ut data från amerikanska företag, till exempel i samband med brottsutredningar. Området har varit juridiskt oklart vad gäller data som inte befinner sig på amerikansk mark. CLOUD Act fastställer att amerikanska myndigheter har rätt att begära ut data från amerikanska företag, oavsett var den datan befinner sig. I princip ska en bedömning göras om huruvida utlämnandet är lagligt i det land där datan befinner sig, men den bedömningen görs av en amerikansk domstol enligt amerikansk rätt.

Denna lagstiftning kan därmed stå i konflikt med till exempel europeisk lagstiftning, som GDPR som postulerar att personlig data inte får lämna EU oreglerat. Frågan är, som ofta är fallet med internationell juridik, komplicerad. Det är ännu oklart hur ett amerikanskt företag ska förhålla sig om de anmodas lämna ut data till amerikanska myndigheter som de inte får lämna ut enligt annan lag. Ett rättsligt utlåtande gjordes därför hösten 2018 av eSamverkansprogrammet (eSam), ett samarbetsorgan för stat, kommun och landsting rörande digital utveckling. I utlåtandet, som är vägledande, görs bedömningen att om sekretessreglerade uppgifter lagras på ett sätt som gör att ett annat lands myndighet kan ta del av uppgifterna utan att detta regleras av internationella avtal så ska sekretessen anses röjd. Ett undantag kan vara om uppgiften är krypterad på ett sätt som gör att det andra landets myndighet inte kan ta del av den, även om eSam menar att det är svårt att garantera detta.

Prorenata Journal idag - data i EU

Prorenata Journal lagrar idag all data på servrar som driftas av det amerikanska företaget Amazon Web Services (världens största server-leverantör). Servrarna är placerade på Irland, inom EU, men enligt CLOUD Act så kan som sagt amerikanska myndigheter eventuellt begära ut data (det kunde de tidigare också, men var då tvungna att gå till irländsk domstol för att få ut den, vilket innebär att EU-lagstiftning gäller, nu är det mer oklart). Uppgifter som lagras i Prorenata Journal skulle därmed falla under eSams utlåtande. Dock är all data som lagras i Prorenata Journal krypterad, vilket vi (med stöd i eSams yttrande) menar gör att sekretessen inte är röjd.

Planen framåt - data i Sverige

Även om vi menar att vi lagrar data i full enlighet med svensk lag, utan röjd sekretess så följer vi noga den diskussion som förs bland våra kunder kring CLOUD Act och lagrandet av data och vi har förstått att våra kunder skulle föredra att data lagras i Sverige hos en svensk leverantör. Det skulle göra bedömningen av säkerheten och röjningsrisken lättare. Vi har därför tagit beslut att flytta vår datalagring och våra servrar till en svensk leverantör med datacenter i Sverige. Efter det kommer all känslig information som hanteras i Prorenata Journal att lagras hos svensk leverantör i Sverige. Vi kommer givetvis fortfarande kryptera all känslig data vi hanterar åt våra kunder.

Vi har efter noggrann övervägan valt att samarbeta med server-leverantören Safespring AB. Vi upplever redan ett mycket gott samarbete med dem och vi delar samma fokus på säkerhet och kundnära arbete. När vår serverflytt är klar, planerat till oktober 2019, så kommer vi att ha all känslig data i moderna, redundanta miljö i Safesprings datacenter i Stockholm.

Vi kommer under våren komma med uppdateringar kring hur det projektet fortlöper och även i samband med det informera om eventuella nya personuppgiftsbiträden som tillkommer i samband med detta.

Vi hanterar känslig information åt våra kunder och säkerhet, såväl teknisk som juridisk är vår högsta prioritet. Om ni har några frågor kring sättet vi arbetar med informationssäkerhet så är ni välkomna att kontakta er kundansvarig eller support@prorenata.se.

Har du fler frågor? Skicka en förfrågan