Tärkeimmät tosiasiat lyhyesti

• Yhdysvaltain CLOUD Act (Clarifying Lawful Overseas Use of Data Act) on vuonna 2018 annettu Yhdysvaltain liittovaltion laki, joka antaa Yhdysvaltain viranomaisille mahdollisuuden pyytää tietoja yhdysvaltalaisilta pilvipalveluntarjoajilta – tallennuspaikasta riippumatta.
  
• Sitä pidetään strategisena riskinä ja mahdollisena yleisen tietosuoja-asetuksen rikkomisena, koska se vie EU:n kansalaisilta ja yrityksiltä tehokkaan oikeussuojan.
  
• Arkaluonteiset asiakirjat, kuten lainvoimaiset sopimukset ja henkilökohtaiset henkilöllisyystodistukset, ovat erityisen vaarassa, koska ne edustavat arvokasta liiketoimintaa tai henkilökohtaista omaisuutta.
  
• Turvallinen strateginen vastaus yrityksille on valita johdonmukaisesti eurooppalaiset alustat ja tietojen varastointipaikat, joihin sovelletaan yksinomaan EU:n lainsäädäntöä ( GDPR, eIDAS).
  
• 100-prosenttisesti eurooppalaisena alustana sproof tarjoaa tarvittavan digitaalisen riippumattomuuden ja on siksi riskitön vaihtoehto allekirjoitusten hallinnointiin.

Ongelman ydin: ekstraterritoriaalinen käyttöoikeus

Eurooppalaiset yritykset joutuvat digitaalisessa maailmassa yhä useammin kohtaamaan ristiriitoja Yhdysvaltojen ja EU:n lainsäädännön välillä. Vuonna 2018 voimaan tullut Yhdysvaltain CLOUD Act ( Clarifying Lawful Overseas Use of Data Act) on tämän dilemman keskiössä.

Se antaa Yhdysvaltojen lainvalvontaviranomaisille luvan pyytää tietoja yhdysvaltalaisilta pilvipalveluntarjoajilta, kuten Amazonilta, Microsoftilta tai Googlelta. Ratkaisevaa ja strategisesti merkittävää on, että nämä pyynnöt ovat riippumattomia tietojen maantieteellisestä säilytyspaikasta. Sillä, sijaitsevatko digitaaliset sopimuksesi Frankfurtissa, Dublinissa vai Amsterdamissa, ei ole CLOUD Act -lain kannalta merkitystä, kunhan palveluntarjoaja on yhdysvaltalainen yritys, mikä luo oikeudellisen harmaan alueen, sillä Yhdysvaltojen pääsy on mahdollisesti ristiriidassa EU:n yleisen tietosuoja-asetuksen (GDPR) tiukkojen vaatimusten kanssa.

CLOUD-laki ja yleisen tietosuoja-asetuksen rikkominen

Strateginen riski on selvä: yleisen tietosuoja-asetuksen mukaan henkilötietoja saa siirtää kolmansiin maihin tai käsitellä kolmansissa maissa vain, jos taataan riittävä tietosuojan taso ( yleisen tietosuoja-asetuksen 45 artikla ).

Euroopan yhteisöjen tuomioistuimen tuomioiden (esim. Schrems II) jälkeen on kuitenkin todettu, että Yhdysvaltojen valvontalait, kuten CLOUD Act, eivät tarjoa riittävää suojaa EU:n tiedoille.

Aspect	GDPR (EU:n lainsäädäntö)	Yhdysvaltain CLOUD Act (Yhdysvaltain laki)
Pääsyn laillistaminen	Tuomioistuimen määräys EU:ssa, vahvat perustelut	Yhdysvaltojen pidätysmääräys tai haaste, alhaisemmat esteet
Ilmoitus	Asianomaisille on ilmoitettava	Palveluntarjoajaa voi koskea salassapitovelvollisuus (ei ilmoitusta).
Alueellinen ulottuvuus	Rajoitettu EU:n alueelle	ekstraterritoriaalinen, sovelletaan maailmanlaajuisesti yhdysvaltalaisiin palveluntarjoajiin.

Digitaalisen allekirjoitusprosessin tapauksessa kyse on erittäin arkaluonteisista tiedoista: Itse sopimukset, mutta myös henkilöllisyystod isteet ja koko kirjausketju (allekirjoituspöytäkirja ).

Digitaaliset sopimukset ja niiden perustana oleva henkilöllisyyden todentaminen ovat yrityksesi kriittisimpiä tietovarantoja. Tässä ei voida tehdä kompromisseja suvereniteetin suhteen.

Tie riskien minimointiin: sisäiset toimet

Eurooppalaisten yritysten ratkaisu ei ole vain olla tietoisia CLOUD-laista, vaan ryhtyä toimiin:

1. Tunnista kriittiset työmäärät: Arvioi, mitkä tiedot (sopimukset, HR-tiedostot, IP-asiakirjat) tarvitsevat paljon suojausta.
   
2. Valitse suvereeni eurooppalainen infrastruktuuri: Luota eurooppalaisiin, eIDAS-yhteensopiviin allekirjoitus- ja hosting-ratkaisuihin näillä kriittisillä aloilla.
   
3. Turvallinen pääsy ja identiteetinhallinta: Varmistetaan , että sekä pääsy että allekirjoituksen kannalta merkityksellisten tietojen digitaalisen identiteetin todentaminen pysyvät eurooppalaisessa valvonnassa – esimerkiksi Euroopassa säänneltyjen luottamuspalvelujen avulla (eIDAS-yhteensopivuus).

Digitaalinen itsemääräämisoikeus: sproof Euroopan vastauksena tähän ongelmaan

CLOUD-lakiin liittyvä konflikti korostaa Euroopan digitaalisen suvereniteetin tarvetta . Yritysten on toimittava ennakoivasti, jotta niiden datainfrastruktuurista tulee suojattu kolmansien maiden pääsyoikeuksilta.

sproof kehitettiin eurooppalaiseksi foorumiksi, jolla on juuri tämä strateginen painopiste. Näkökulmamme on tinkimätön:

1. EU-lainsäädäntöä lukuun ottamatta: sproof- ratkaisut, mukaan lukien sproof Sign, sproof ident, sproof Widget, sproof Fastlane, sproof eID Hub ja sproof Validate, on kehitetty 100-prosenttisesti Euroopassa ja niitä isännöidään eurooppalaisilla palvelimilla. Niihin sovelletaan yksinomaan GDPR:ää ja eIDAS:ia.
   
2. Ei CLOUD Act -riskiä: Koska sproof ei ole yhdysvaltalainen yritys eikä sillä ole yhdysvaltalaisia tytäryhtiöitä, Yhdysvaltain viranomaiset eivät voi vaatia pääsyä CLOUD Act -lain nojalla.
   
3. eIDAS-sertifiointi: Palvelumme täyttävät korkeimmat eurooppalaiset luottamusstandardit, erityisesti hyväksytyn sähköisen allekirjoituksen (QES) osalta .

Tämä valinta ei ole vain kysymys lainsäädännön noudattamisesta, vaan strategisesta kilpailuedusta, joka viestii asiakkaillesi ja kumppaneillesi mahdollisimman suuresta luottamuksesta.

Suojaa kriittisimmät tietosi. Valitse digitaalinen riippumattomuus. Aloita siirtyminen nyt 100-prosenttisesti eurooppalaiseen allekirjoitusalustaan, joka takaa vaatimustenmukaisuuden turvallisuuden →