Denne klumme er et debatindlæg og er alene udtryk for skribentens synspunkter.
Den amerikanske Cloud Act-lov har, siden den blev vedtaget 23. marts i 2018, skabt grobund for en del forvirring blandt medier, virksomheder og organisationer – én udbredt misforståelse lyder sågar, at amerikanske myndigheder med loven i hånden nu uden videre kan kræve, at cloud-udbydere skal udlevere kundedata, uanset hvor i verden kunden ellers befinder sig.
Intet kunne dog være mere forkert.
Faktisk er der nærmere tale om en række mindre opdateringer til en gammel lov vedtaget i 1986, kaldet Stored Communications Act (SCA), hvor cloud computing var ren science fiction.
Men først lidt kontekst:
En universel arbejdsmetode
Det amerikanske justitsministerium (DoJ) udgav for nylig et whitepaper, en tale og en FAQ, der beskriver formålet, omfanget og betydningen af Cloud Act, der står for Claryfying Lawful Overseas Use of Data Act.
Jeg anbefaler, at alle interesserede dykker ned i dokumenterne for at få et overblik over, hvad loven konkret indebærer, men kort forklaret er Cloud Act en model for internationalt retssamarbejde.
Den hjælper med at løse en vigtig international udfordring, nemlig behovet for at dele data, der vedrører alvorlige forbrydelser på tværs af lande og retsområder.
Myndighederne i både USA og resten af verden har altid haft mulighed for at kræve data, som er opbevaret uden for deres grænser, udleveret.
I Frankrig har politiet længe benyttet sig af internationale forespørgsler på data, så længe de kunne tilgås fra en fransk computer, mens briterne så sent som i februar 2019 vedtog The Crime Act, som gav politiet mulighed for at kræve data opbevaret udenlands udleveret.
Og mens de amerikanske myndigheder indtil nu har kæmpet med at tilpasse SCA-loven til nutidens cloud-løsninger, så gør Cloud Act op med de problematikker og udstikker nye, konkrete retningslinjer på området.
Cloud Act betyder, at amerikanske myndigheder med en dommerkendelse kan anmode om at få udleveret data, uanset deres placering. Det er en praksis, som ikke adskiller sig nævneværdigt fra den måde, organisationer som Europol og lignende har arbejdet på i årevis.
Kan kræve alt udleveret – men ikke uden grund
En anden misforståelse er, at loven kun omfatter amerikanske virksomheder. Cloud Act gælder for alle elektroniske kommunikationsvirksomheder eller remote computing-tjenester fra cloud-leverandører til social media-sites og teleselskaber, som opererer under amerikansk lov – også eksempelvis europæiske virksomheder med datterselskaber i USA.
At myndighederne i eksempelvis Washington ad rettens vej kan kræve data udleveret, er dog ikke ensbetydende med, at det sker uden videre.
Faktisk er barren for, hvornår ordensmagten kan få en dommerkendelse temmelig høj.
Først og fremmest kræver det, at en uafhængig dommer vurderer, at der foreligger en rimelig grund til anmodningen, dernæst skal der være tale om en forbrydelse samt, at der er tale om en klar, præcis og proportionel anmodning i forhold til de data, som man vil have udleveret.
Altså en proces, der står i direkte kontrast til den ”ubegrænsede adgang til alle data”, som mange fejlagtigt frygter.
Faktisk vil vi hos AWS, som andre cloud-udbydere, gå langt for at sikre kundernes data mod uretmæssig udlevering – og vi gør det regelmæssigt.
Vores jurister gennemgår grundigt alle anmodninger om udlevering, holder det op mod gældende lovgivning i både ind- og udland, sikrer kundens rettigheder og går op mod myndigheder uanset nationaliteten, og vi er ikke bange for at gå i retten.
Vi har en tradition for at nægte udlevering af data, når vi mener, at anmodningen er for bred, decideret upassende eller strider mod lokal lovgivning som GDPR i Europa og vil gøre alt, hvad der står i vores magt for at beskytte kundernes data.
En forpligtigelse over for kunden
Endelig er det vigtigt at slå fast, at Cloud Act ikke har ændret på cloud-udbydernes mulighed for at beskytte kunderne.
Både vi og andre cloud-leverandører har et ansvar for at sikre alle vores kunder – også regeringer og forskellige nationale agenturer, som overlader deres mest kritiske data i vores varetægt.
Cloud Act har på ingen måde ophævet det ansvar.
Faktisk anerkender den, at det er i cloud-leverandørens ret at modsætte sig anmodninger, som strider med gældende lov eller nationale interesser i lande uden for USA – udlevering kan sågar være i direkte strid med et lands suverænitet, hvilket amerikansk lov sikrer imod.
Hvis vi modtager en anmodning om at udlevere indhold, vil vi altid give kunden besked, og vi stiller avancerede krypteringsværktøjer til rådighed, som i praksis vil gøre det umuligt at anvende udleverede data.
Kampen for at sikre brugernes data er afgørende for os, fordi vi grundlæggende tror på, cloud computing har en positiv effekt på mange aspekter i vores daglige liv.
Vores kunder skaber fremadskuende teknologiske løsninger, lige fra sociale medier til finansielle tjenester, eller nyudvikling af industrier og uddannelser, som former den måde, vi lever vores liv på.
Hos vores kunder bliver cloud-teknologi brugt til at forhindre menneskesmugling, forhindre voldelig kriminalitet eller skabe grobund for medicinske gennembrud.
Det vil være forfærdeligt, hvis sådanne initiativer bliver bremset på grund af misforståelser om Cloud Act – og jeg håber, at denne klumme kan bidrage til at nuancere debatten.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os noget tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.