Den 18 november skrev GP att Göteborgs stad återigen kommit fram till att det inte är en säkerhetsrisk att lagra känslig information i Office 365. Bedömningen fick kritik från journalisten: ”Genom Office 365 kan amerikanska myndigheter få ut sekretesskyddade uppgifter från Göteborgs kommun utan att varken svenska myndigheter eller personer informeras”.
På ledarsidan i GP den 20 november står det att ”Göteborgs stad sällar sig till kommunerna som utan att ha en god förklaring lämnar ifrån sig känslig information till andra länder.”
Bygger på skräckpropaganda
Den generella uppfattningen i artiklarna om konsekvenserna av att använda amerikanska molntjänster, vilka befogenheter amerikanska myndigheter har och vad Cloud Act egentligen innebär bygger på skräckpropaganda.
Innan skrönan får epidemiska former vill jag ge en nyanserad bild av vad som egentligen är sanningen.
USA antog Cloud Act 2018 som ett förtydligande av Stored Communications Act som gällt sedan 1986. Cloud Act reglerar egentligen inte något nytt, utan möjligheten att vid brottsutredningar få ut digitala bevis som lagras i en amerikansk molntjänst har funnits sedan länge. Anledningen till att USA ansåg att det behövdes ett förtydligande var att en amerikansk dom hade börjat motverka lagens syfte.
Verkar brottsförebyggande
Huvudsyftet med Cloud Act är att hjälpa brottsbekämpande myndigheter i hela världen (inte bara USA) att få ut information som amerikanska leverantörer lagrar i en molntjänst, till exempel mejl eller textmeddelanden som kan utgöra bevis på brott kring terrorism, barnpornografi och cybercrime. Digitala bevis är i dag avgörande för de flesta brottsutredningar i världen och just USA får flest förfrågningar om att hjälpa andra länders brottsbekämpande myndigheter med digitala bevis.
USA har också tillsammans med Sverige och 62 andra stater i världen en skyldighet att följa sina åtaganden enligt Europarådets konvention om IT-brottslighet från 2001, som både gäller inom EU och internationellt. Enligt konventionen ska anslutna stater se till att det finns nationella metoder för att inhämta digital bevisning och effektivt samarbeta med andra länder vid bekämpningen av IT-relaterade brott.
Cloud Act kan bara användas av brottsbekämpande myndigheter i hela världen för att få fram bevisning som lagras av en amerikansk tjänsteleverantör vid misstanke om allvarlig brottslighet
Enkelt uttryckt är Cloud Act alltså inte en lag som gör att amerikansk lag är överordnad svensk lag eller som gör att USA kan spionera på andra länder, utan Cloud Act kan bara användas av brottsbekämpande myndigheter i hela världen för att få fram bevisning som lagras av en amerikansk tjänsteleverantör vid misstanke om allvarlig brottslighet. Tanken är att brottslingar inte ska kunna gömma data och mejlkorrespondens bakom konflikter mellan olika länders lagstiftningar.
Kan utnyttjas av Sverige
Sverige kan precis som övriga länder använda sig av möjligheterna som Cloud Act ger när polisen eller säkerhetspolisen utreder allvarlig brottslighet. Om informationen polisen letar efter finns hos svenska teleoperatörer finns det en svensk lag som på samma sätt ger möjligheter att inhämta bevis. Detta utnyttjades till exempel vid diskoteksbranden i Göteborg 1998, då samtalslistor från teleoperatörerna var avgörande för fällande domar.
Detta utnyttjades till exempel vid diskoteksbranden i Göteborg 1998, då samtalslistor från teleoperatörerna var avgörande för fällande domar
Det enda amerikanska myndigheter kan använda Cloud Act till är att i brottsutredningar begära ut bevisning till exempel privata mejl från en person som är misstänkt för ett allvarligt brott i USA, men som har lagrat sin mejl hos i en amerikansk molntjänst på Irland. En sådan begäran måste först godkännas av en amerikansk domstol som kräver att begäran är specificerad och begränsad samt att det finns en skälig misstanke om allvarligt brott.
Inget övernaturligt väsen
För att helt slå hål på myten kan vi alltså konstatera att Cloud Act inte alls ger amerikanska myndigheter en urskillningslös möjlighet att ta del av kommunens känsliga information som lagras i en amerikansk molntjänst. Det är dessutom ytterst osannolikt att just kommunen har information lagrad i sina system som har med brottslig verksamhet att göra. Det är väl den sista instans en brottsling skulle mejla till och berätta om sina kriminella planer.
Det är väl den sista instans en brottsling skulle mejla till och berätta om sina kriminella planer
Om en offentlig myndighet trots allt skulle vara rädd för att någon enligt Cloud Act skulle ställa krav på att utfå känslig information, så kan detta undvikas genom kryptering. Är informationen krypterad kan informationen inte lämnas ut även om en begäran accepteras av domstol, eftersom Cloud Act inte kan tvinga en amerikansk molntjänstleverantör att dekryptera informationen.
Mot denna bakgrund har Göteborgs stads uppfattning, om att risken är ytterst obefintlig att sekretesskyddad information kan komma amerikanska myndigheter till del bara för att den lagras i Office 365, mer med sanningen att göra än skrönan om Cloud Acts övernaturliga väsen.
Lotta Bus, bolagsjurist (LL.M.), Sourceomatic AB