CLOUD Act vs GDPR - Utfall om molndelade filer krypteras?

Jag vill börja med att förklara att jag är relativt ny inom IT-säkerhet.

Jag arbetar på ett företag som har tagit ett beslut om att vi ej ska använda (amerikanska) molnbaserade tjänster för att dela GDPR-känslig information, med hänvisning till CLOUD Act.

Väldigt förenklat så är helt enkelt rädsla/respekt för en situation där information som faller under GDPR-lagstiftningen ska begäras ut av USA, och tvinga såväl företaget som förser oss med den molnbaserade tjänsten, och i förlängningen även oss, att bryta mot GDPR-lagstiftningen.

Jag har suttit större delen av eftermiddagen och kvällen och försökt sätta mig in i problematiken, och tycker att jag har en OK bild av läget. Det är dock en tanke kring kryptering som jag inte kan komma ifrån, även om jag kan tycka att det vore en alldeles för enkel lösning på problemet.

Frågeställning:
Om dokumentet som innehåller den känsliga informationen krypteras, kan USA begära ut krypteringsnyckeln av oss? Eller har molntjänst-företaget (lek med tanken att vi pratar om Microsoft) möjlighet att dekryptera lösenordsskyddade filer?

Vi som företag har ingenting med USA att göra; inga kunder, ägare, dotterbolag eller kunder som har dotterbolag eller ägare i USA.

Klart de kan och inte otänkbart att de försöker. Men som svensk eller svenskt företag lyder ju ni under svensk lag och inte amerikansk. Så ni måste inte lämna ut något. Ni gör ju bara rätt och följer GDPR, riktigt noggrant.

Dekryptera lösenordsskyddat: ja om ni kör nåt osäkert som winzip kanske, så välj nåt som är nytt och anses vara oknäckbart. Här behöver man se till helheten och förstå PKI mm, det handlar inte bara om att välja en stark krypteringsalgoritm.