Suveränitet

CLOUD Act förklarad: vad amerikansk lag betyder för din EU-data

Data i Frankfurt skyddas inte av att disken står i EU. CLOUD Act följer bolaget, inte bitarna. Här är vad lagen säger och vad som faktiskt gör skillnad.

Frågan vi får oftast är enkel: “om våra data ligger i ett EU-datacenter, är vi inte skyddade då?” Det korta svaret är nej — inte om leverantören lyder under amerikansk lag. CLOUD Act är anledningen, och den missförstås systematiskt i upphandlingar över hela Europa.

Vad CLOUD Act faktiskt säger

Clarifying Lawful Overseas Use of Data Act från 2018 slår fast en princip: en amerikansk leverantör måste lämna ut data den kontrollerar, oavsett var i världen datan är lagrad. Ett amerikanskt moderbolag kan alltså tvingas lämna ut data som ligger på en server i Frankfurt, Stockholm eller Dublin. Geografin spelar ingen roll — jurisdiktionen över bolaget gör det.

Det betyder inte att myndigheter dammsuger europeiska servrar dagligen. Men möjligheten finns, den är laglig i USA, och den kan inte avtalas bort av ett dotterbolag i EU. Det är precisionen som saknas när “data lagras inom EU” presenteras som suveränitet.

Datacenterets adress säger var bitarna vilar. Den säger ingenting om vem som kan begära ut dem.

— ur Keplers trust-modell

Fyra frågor som avgör verklig kontroll

  • Jurisdiktion — vilken lag binder bolaget som driver molnet, hela vägen upp genom ägarkedjan?
  • Ägande — vem äger hårdvaran som datan körs på?
  • Kontrollplan — är mjukvaran som styr molnet öppen och granskningsbar?
  • Nyckelförvaring — vem kan tekniskt läsa datan, och under vilken lag står de?

Om något av svaren pekar mot en icke-EU-jurisdiktion finns en hävstång kvar. Skillnaden mellan svag och stark suveränitet ligger i om alla fyra svaren pekar åt samma håll.

Vad som faktiskt skyddar

Kepler är svenskägt och inkorporerat i EU. Vi äger våra egna servrar i egna rack i Falkenberg, kontrollplanet är OpenStack och krypteringsnycklarna hålls i EU-baserad OpenBao. Det finns inget amerikanskt moderbolag i kedjan, och därmed ingen laglig väg för CLOUD Act att nå din data via oss. Det är inte en badge på en landningssida — det är en egenskap du kan verifiera i produkten.

Vill du testa hur det ser ut i praktiken? Kom igång och generera en residens- och åtkomstrapport för ditt konto på några minuter.

Bygg på ett moln du faktiskt äger.

Ingen bindningstid. En körande VM innan du betalar en krona.