När vi träffar Caroline Olstedt Carlström återkommer hon till samma sak: hur lätt det är för företag att tro att de har kontroll, bara för att någon har sagt att de har det.
Under sina drygt 25 år på bland annat DLA Piper, Klarna och Cirio, har hon hört det mesta, men vissa påståenden får henne fortfarande att stanna upp. Som när en vd på ett SaaS-bolag som hanterar känsliga uppgifter hävdar att: ”AWS EU är helt separat från AWS och lyder inte under CLOUD Act. Ur ett GDPR-perspektiv är det vattentätt.”
– Den där VD:n har inte juridiskt på fötterna, säger Caroline Olstedt Carlström.
Det är också här en av de mest bekväma myterna börjar. Idén om att data på något magiskt sätt blir säker bara för att den ligger i Europa. Att fysisk placering i en europeisk region skulle innebära någon form av juridisk immunitet. Men CLOUD Act fungerar inte så.
– Lagstiftningen är extraterritoriell. Det spelar i princip ingen roll om det är ett dotterbolag, eller om serverhallen råkar stå i EU, säger Caroline Olstedt Carlström.
CLOUD Act ålägger alltså amerikanska tjänsteleverantörer att i vissa fall lämna ut data som de besitter eller kontrollerar, oavsett var den fysiskt lagras. Det avgörande är inte var servern står, utan vilket bolag som kontrollerar datan. Att AWS EU marknadsförs som en separat europeisk enhet förändrar inte det faktum att tjänsten levereras av eller står under kontroll av ett amerikanskt bolag underordnat amerikansk jurisdiktion.
Tunga sanktioner mot bolag som inte lyder
Och de amerikanska techbolagen? De har inget val. De måste lämna ut de efterfrågade uppgifterna.
– Annars riskerar bolaget höga böter, förlorade federala kontrakt och certifieringar. Och för de chefer och företrädare som aktivt beslutar att vägra efterleva en federal domstolsorder kan konsekvensen vara personligt straffansvar och i förlängningen fängelse, säger Caroline Olstedt Carlström.
Det här är inte en gråzon. Det är så systemet är byggt.
Skuggridåerna
Samtidigt fortsätter marknadsföringen. “EU-regioner”. “Lokal data”. “Suveräna lösningar”. Det låter robust, nästan självklart, och för många kunder räcker det för att känna sig lugna.
– De är väldigt slipade i sina argument. De skjuter över ansvaret på kunden och man måste vara otroligt kunnig för att se igenom deras argument, säger Caroline Olstedt Carlström.
Och det fungerar. För ute i verkligheten sitter organisationer och hävdar att deras kunders känsliga data på Amazons EU-servrar är vattentät.
Det du inte får veta
Och så finns det en detalj som sällan nämns i säljpresentationer. Gag orders. Om amerikanska myndigheter skulle begära ut data kan bolaget förbjudas att berätta om det.
Det innebär att en organisation kan ha följt alla processer, gjort sina riskbedömningar, skrivit avtal och dokumenterat sina kontroller, och ändå inte veta vad som faktiskt har hänt med den egna datan.
Det är en avgörande skillnad mellan att tro att man har kontroll och att faktiskt ha den. Snowden-avslöjandena visade för länge sedan att statlig åtkomst till data kan ske utan de berördas vetskap – inte via tekniska bakdörrar utan via direkta krav på leverantörerna. Sedan dess är den mer relevanta frågan inte om åtkomst kan ske, utan var, hur och utan vems vetskap.
GDPR: ansvaret är ditt
För enligt GDPR är det inte molntjänstleverantören som ytterst bär ansvaret för datan. Det gör den som bestämmer över den, den personuppgiftsansvarige. Och ansvaret stannar inte vid den egna organisationen, utan sträcker sig hela vägen ner i kedjan.
– Den personuppgiftsansvarige ansvarar hela vägen ner i kedjan av underleverantörer, säger Caroline Olstedt Carlström.
Här blir det riktigt obekvämt.
Ta ett ganska vanligt upplägg: ett sjukhus använder ett SaaS-bolag, som i sin tur kör sin tjänst på AWS. Allt ser korrekt ut på papperet. Det finns personuppgiftsbiträdesavtal, säkerhetsbeskrivningar, compliance-dokumentation.
Men om data begärs ut enligt amerikansk lag ser verkligheten annorlunda ut.
Ett bolag som AWS måste följa CLOUD Act. SaaS-bolaget hamnar i kläm mellan olika regelverk. Men det är sjukhuset – som personuppgiftsansvarig – som enligt GDPR ytterst bär ansvaret för vad som händer med datan.
Det är där konsekvenserna landar. Risk för sanktioner, avtalsbrott och kanske allvarligast, förlorad kontroll över känslig information.
Samtidigt innehåller avtalen ofta formuleringar som låter betryggande: “vi lämnar inte ut data, så länge vi inte är skyldiga att göra det.”
– Problemet är att just det undantaget är hela kärnan i CLOUD Act, säger Caroline Olstedt Carlström.
Så även om strukturen ser robust ut på papperet, finns det en spricka i konstruktionen. För i samma ögonblick som en utlämningsskyldighet uppstår, kan kontrollen över datan redan vara borta.
“Men vi är ju inte intressanta”
Det vanligaste argumentet är kanske också det mest mänskliga. “Vi är en vårdcentral på södra Gotland. Varför skulle någon bry sig?”. Och visst, sannolikheten för att just den verksamheten ska bli föremål för intresse kan vara väldigt låg. Men låg sannolikhet är inte samma sak som ingen risk. Och framför allt är det inte verksamheten själv som avgör när den blir relevant.
Det är också här många riskbedömningar går fel. Man blandar ihop “osannolikt” med “oviktigt”, och bekvämlighet med kontroll. Men juridiken bryr sig inte om hur intuitivt något känns. Har man känsliga data och en leverantörskedja som omfattas av amerikansk jurisdiktion, då finns risken där – även om man helst slipper tänka på den. Därmed blir det den personuppgiftsansvariges ansvar att hantera risken – på ett eller annat sätt.
FOMO styr mer än juridik
När frågan väl når ledningsgruppen ser det ofta likadant ut. ”Alla andra kör AWS”. ”Vi gör en riskbedömning”. ”Det får nog gå”. Caroline Olstedt Carlström beskriver en stark FOMO, inte minst i AI-ruschen.
– Många springer bara för att andra gör det, men i den interna compliancemiljön med krav på riskhantering så är ”alla andra gör det” inte relevant, säger hon.
Det finns förstås också en teknisk verklighet bakom detta. Plattformarna är kraftfulla, funktionaliteten lockar och beroendet är ofta reellt. Det kan vara svårt, dyrt och tidskrävande att bygga om eller flytta bort. Men det förändrar inte den grundläggande frågan. Det här är inte bara ett teknikval. Det är ett affärsbeslut, med juridiska och strategiska konsekvenser.
Och nu är det styrelsens problem
Det som tidigare kunde behandlas som en fråga för IT eller informationssäkerhet har nu flyttat upp i organisationen. Med NIS2 och den svenska cybersäkerhetslagstiftningen räcker det inte längre att någon ansvarig tekniker eller jurist har tänkt på saken.
Styrelser och ledningsgrupper måste förstå riskerna, ta ställning till dem och kunna motivera sina beslut. Man kan inte bara säga ”alla andra använder Microsoft”. Ledningen i berörda verksamheter behöver nu godkänna organisationens cybersäkerhetsåtgärder och bär ett personligt ansvar för efterlevnaden. Leveranskedjans säkerhet – inklusive valet av molntjänstleverantör – blir därmed en uttrycklig del av det ansvaret.
– Först när man är ärlig med verkligheten går det att fatta ett informerat beslut. Inte ett bekvämt beslut. Men ett verkligt, säger Caroline Olstedt Carlström.
