I vår nyligen publicerade globala tidning "Getting Cloud Right – How can banks stay ahead av kurvan ?” vi förklarade nyckelkomponenterna i en framgångsrik molnresa och de viktigaste stegen som måste vidtas.
I den här bloggen ger vi några insikter om internationella regler som kan påverka användningen av molntjänster i Schweiz – USA CLOUD Act och General Data Protection Regulation (GDPR) .
USA har kommit med en lag som heter CLOUD (Clarifying Lawful Overseas Use of Data) Act som kräver att amerikanska molnlagringsleverantörer ger statliga myndigheter åtkomst på begäran till lagrad data vart än i världen den förvaras, även inne i Schweiz. I teorin skulle detta göra det möjligt för amerikanska myndigheter att begära utdrag av data från det schweiziska dotterbolaget till en amerikansk hemvistgrupp, även om uppgifterna lagras i Schweiz. Ett dotterbolag till en USA-baserad koncern som följer en sådan begäran utan hänsyn till de lokala lagarna som förbjuder överlämnande av data till utländska myndigheter utan tillstånd från en behörig schweizisk domstol eller schweizisk myndighet kommer med största sannolikhet att bryta mot schweizisk lag. Datan tillhör banken , inte till molnleverantören, och en juridisk person med hemvist i Schweiz måste först och främst följa lokal lag och inte med order utfärdade av myndigheter med behörighet över en utländsk moderenhet.
Det säger sig självt att en schweizisk bank endast kan lita på molntjänstleverantörer som helt och hållet följer tillämpliga schweiziska lagar (eller lagarna i den jurisdiktion där uppgifterna lagras, i enlighet med avtalsbestämmelserna). SBA Cloud Guidelines rekommenderar därför att införa ett samordnat förfarande som överenskommits mellan molnleverantören och banken vid förfrågningar från utländska myndigheter.
För att ge några nödvändiga förtydliganden till logiken bakom CLOUD Act publicerade USA:s justitiedepartementet (DoJ) i april 2019 en vitbok "Främjande av allmän säkerhet, integritet och rättsstatsprincipen runt om i världen:syftet och effekten av CLOUD Act". Vitboken förklarar att CLOUD Act antogs för att åtgärda lagkonflikten som påverkar fördrag om ömsesidig rättslig hjälp och hindrar effektiv tillgång till bevis som lagras på molnet i fall av allvarlig brottslighet, men samtidigtmed respekt för nationell suveränitet och personlig dataintegritet .
För att uppnå detta syfte bemyndigar CLOUD Act USA:s regering att ingå så kallade "CLOUD Act Executive Agreements ” med utländska jurisdiktioner, enligt vilka varje land tar bort hinder som härrör från en lagkonflikt som skulle skapa ett hinder för efterlevnad av utländskt utfärdade domstolsbeslut för att få bevis från data som lagras i molnet. Av särskilt intresse för schweiziska och europeiska företag är förklaringen i vitboken om USA:s jurisdiktion över utländska företag. Vitboken insisterar på att USA:s jurisdiktion över utländska företag inte har utvidgats genom CLOUD Act. "Om ett utländskt företag utanför USA men som tillhandahåller tjänster i USA har tillräckliga kontakter med USA för att vara föremål för amerikansk jurisdiktion är en faktaspecifik undersökning som handlar om arten, kvantiteten och kvaliteten på företagets kontakter med USA.”
Det faktum att DoJ gjorde en betydande ansträngning för att förklara resonemanget bakom CLOUD Act, och lyfta fram att USA:s jurisdiktion inte på något sätt utökas av den, är en viktig signal. Det visar att den åsikt som ofta uttrycks, att CLOUD Lag gör det omöjligt för banker att använda tjänsterna från molnleverantören med huvudkontor i USA, är inte korrekt. Även om internationell rättshjälp i fall av brott med stor säkerhet kommer att underlättas av CLOUD-lagen, finns det fortfarande ett krav på en misstanke om ett allvarligt brott och ett rättsligt beslut innan amerikanska myndigheter kan nå ut efter data enligt CLOUD-lagen. Detta innebär att området för berättigad oro för CLOUD Act är ganska snävt och bör betraktas som alla andra aspekter i en korrekt gränsöverskridande riskbedömning.
Hur som helst kan en bank i allmänhet förhindra obehörig åtkomst till kunddata genom att använda tekniska åtgärder som anonymisering, pseudonymisering eller kryptering av data . Dessa åtgärder tillsammans med det juridiska och avtalsmässiga ramverket innebär att risken från utländska myndigheters dataförfrågningar, t.ex. baserat på US CLOUD Act, kan mildras. Vidare är en officiell begäran om administrativt bistånd från berörda myndigheter i alla fall obligatorisk.
Europeiska dataskyddsstyrelsens riktlinjer 3/2018 förtydligar tillämpningsområdet för artikel 3 i GDPR genom att slå fast att om en personuppgiftsansvarig utanför GDPR:s territoriella tillämpningsområde använder en databehandlare i EU, faller den personuppgiftsansvarige inte inom ramen för GDPR. GDPR kommer dock att gälla för databehandlaren i den mån den behandlar personuppgifter som en del av sina tjänster.
Detta innebär att kravet att implementera GDPR inte sträcker sig till en schweizisk bank (eller någon annan bank med hemvist utanför EU) bara för att den använder en leverantör av molntjänster med hemvist i EU . Å andra sidan, många Schweiziska banker faller fortfarande inom ramen för GDPR, eftersom de betjänar kunder bosatta i EU.
I detta sammanhang är det värt att nämna att den 25 februari 2019 publicerade Europeiska bankmyndigheten (EBA) sina Reviderade riktlinjer för outsourcingarrangemang, i syfte att harmonisera ramverket för outsourcing för alla finansinstitut inom ramen för EBA:s mandat. De berörda bankerna måste slutföra alla outsourcingarrangemang i enlighet med dessa reviderade riktlinjer senast den 31 december 2021.
EBA:s riktlinjer anger att outsourcingavtal med molntjänstleverantörer måste säkerställa att:
Personuppgifter är tillräckligt skyddade och hålls konfidentiella, och att outsourcade molninfrastrukturer och tjänster uppfyller internationellt accepterade säkerhets- och dataskyddsstandarder;
Business kontinuitet och beredskapsplaner har utarbetats. Som en konsekvens kan vissa molntjänstleverantörer till och med anses vara kritiska eller viktiga i enlighet med PSD2 eller MiFID II;
Lämpliga spårbarhetsmekanismer finns på plats , som syftar till att registrera teknisk och affärsverksamhet. Eftersom prestandan och kvaliteten på de utlagda molntjänsterna, såväl som risknivån, till stor del beror på molntjänstleverantörernas förmåga att skydda konfidentialitet, integritet och tillgänglighet av data och deras system för att behandla, överföra och lagra sådana. data, spårningsoperationer är också viktiga för att upptäcka och förhindra cyberattacker; och
EU-direktiv, nationella lagar och avtalsförpliktelser respekteras. Trots de reviderade riktlinjerna bör institutioner fortsätta att respektera lokala bestämmelser där den outsourcade molninfrastrukturen eller tjänsten har ett fotavtryck, samt tillämplig lag i molntjänstleverantörens ursprungsland.
Dessutom måste molntjänsteleverantörer meddela outsourcinginstitutioner när de lägger ut kritisk eller viktig funktion på entreprenad till tredjepartsleverantörer. Dessutom, om detta involverar personuppgifter, bör samtycke erhållas innan man fortsätter med sub-outsourcing, i enlighet med GDPR-reglerna.
Styrning är en nyckelpunkt som behandlas i de reviderade riktlinjerna. Detta bör struktureras så att bankerna har ett holistiskt, institutionsövergripande ramverk som gör det möjligt för dem att fatta sunda förvaltningsbeslut avseende riskhantering, inklusive åtgärder med avseende på cyberrisk. En sådan riskhanteringsram bör innefatta:
Med EBA:s reviderade riktlinjer för outsourcingarrangemang , ett viktigt steg har tagits av den europeiska bankmyndigheten mot att göra det lättare för finansinstitutioner att bedriva verksamhet i Europeiska unionen . Även om en schweizisk bank kommer till slutsatsen att dessa riktlinjer inte är tillämpliga för närvarande, kan de ge ytterligare, användbar vägledning och insikter om vad som redan finns tillgängligt i det schweiziska regelverket.
Sammanfattningsvis innebär efterlevnad av reglerna som beskrivs här att en övergång av banktjänster till molnet i allmänhet är tillåten och till och med stöds av de kontrollerande myndigheterna .
I nästa blogg kommer vi att ge ett ramverk av beslutskriterier när det gäller att välja lämplig molntjänstleverantör i Schweiz.