Datatilsynet: Drop Dropbox nu!

"at man ikke ser en sådan tilladelse som en ”hensigtsmæssig løsning”.

Så kunne det måske være interessant hvis Datatilsynet ville komme med et bud på en hensigtsmæssig løsning som ikke involvere at dataene kun kan/må gemmes internt.

Nu bliver Dropbox hængt ud men hvad så med Amazon S3, Microsoft Azure, CrashPlan, Apple's kommende iCloud og de hundredevis af andre eksterne lager og backup løsninger?

Fælles for de fleste cloud løsninger er at det er rigtig svært at gennemskue hvor henne dataene fysisk er placeret.

Gælder afgørelsen også data, der er krypterede via ens egen private nøgle og dermed ubrugelige for andre?

Hvis nu man kan garantere, at andre ikke kan gøre brug af oplysningerne gemt i "skyen", mon så ikke resten af problemstillingerne kan ryddes af vejen ?

En pragmatisk holdning til brug af eksterne services kommer jo nok på et tidspunkt, men jeg kan ikke se nogen grund til at man behøver at slække på sikkerhedskravene. Der er jo ikke nogen teknisk grund til at man ikke skulle kunne udbyde en service hvor data bliver krypteret på klienten, og derfor hverken er muligt at få adgang til på vej til og fra skyen, eller for leverandøren at tilgå data.

Kan det virkelig passe at der ikke findes nogen sum udbyder en Dropbox lignende service, med indbygget kryptering på klient siden?

>Kan det virkelig passe at der ikke findes nogen sum udbyder en Dropbox lignende service,
>med indbygget kryptering på klient siden?

Mig bekendt krypterer Spider Oak data på klient siden. (http://www.spideroak.com

Nu bliver Dropbox hængt ud men hvad så med Amazon S3, Microsoft Azure, CrashPlan, Apple's kommende iCloud og de hundredevis af andre eksterne lager og backup løsninger?

Ak ja, desværre er det jo tradition hos det offentlige at man kun fokuserer på de enkle produkter fremfor definitionssager indtil det går over gevind. Det offentlige er jo mest kendt for at være bagude når det gælder hvad der foregår i omverdenen (og noget tyder i senere tid at dette sågar også gælder international politik).

Derfor er det jo klart at Datatilsynet kun har fået øjnene op for Dropbox, da dette er under lup. Eftersom Datatilsynet endnu ikke har haft henvendelser fra de andre udbydelser, så har de ikke gjort dem den tanke at udstille et dekret om deres håndtering.

Embedsmænd får jo penge så længe de arbejder. Og hvis de arbejder effektivt, så er der mindre arbejde. Og Danmark er et embedsmandsland, så ineffektive har og vil vi altid være.

Tænkte lige på det samme.

Underligt hvorfor en eller anden har stemt dig ned.

Desværre er jeg bange for du har ret.

Fordi kryptering kan brydes... Før eller siden, formentligt før...

Man kan jo garanteret også hacke en eller anden læges computer. Det er garanteret lettere end at bryde ind på hans Dropbox og dekryptere hans filer.

Sikke en gang fordomsfuldt, forvrøvlet sludder!
Er det nemmere for dig at udtale dig uden at være belastet af nogen som helst form for indsigt?
Har du brug for at forenkle din begrebsverden ved at skære alle over én kam?

SpiderOak er lige det jeg søgte. Kunne være interessant hvis en offentlig instans prøvede at få Datatilsynet til at godkende brug af SpiderOak.

Sikke en gang fordomsfuldt, forvrøvlet sludder! Er det nemmere for dig at udtale dig uden at være belastet af nogen som helst form for indsigt? Har du brug for at forenkle din begrebsverden ved at skære alle over én kam?

I så fald glæder jeg mig til at de ikke udstiller sig selv som så lette ofre til at kunne skære under én kam. Det er nu ikke fordi de danske embedsmænd ikke kan når det gælder, men på vise områder - især teknologi - der halter de bagefter.

Datatilsynet afslutter deres brev med:
Datatilsynet skal for god ordens skyld oplyse, at dette brev vil blive offentliggjort på tilsynets hjemmeside som led i tilsynets aktiviteter med at informere om persondataloven og tilsynets praksis (retsinformation). I den forbindelse vil dit navn og adresse samt anmeldelsens journalnummer blive udeladt, så det ikke er muligt for udenforstående at vide, hvem sagen vedrører.

En række borgere er blevet krænket, og der er risiko for misbrug af deres følsomme personoplysninger (der står "klientjournaler", så vi er ude over trivielle sager som at privatperson Jensen gemmer sin ex-kæreste liste på Dropbox). Men det kan disse borgere ikke få at vide fordi Datatilsynet ikke vil fortælle os hvem der har overtrådt persondataloven. Hvis hensynet til virksomheden taler mod en offentliggørelse, kunne Datatilsynet i det mindste forlange at virksomheden per brev orienterede hver enkelt borger om krænkelsen og risikoen for misbrug.

Det brev som artiklen handler om er jo en konkret sag om en som ikke har givet korrekte oplysninger til tilsynet og som ikke lader til at have sat sig ind i hvordan personoplysninger skal behandles. På den baggrund synes jeg egentlig de er ret grundige med at forklare hvad problemet er og hvilke regler der skal overholdes.

Det ville selvfølgelig være dejlig nemt med konkrete vejledninger for hver udbyder, men det er vel ikke rigtig en myndighedsopgave at specificere løsningerne, og det ville vel nærmest være på kant med rollen som tilsyn.

Der er nogle gode input i afgørelsen og kommentarerne omkring "safe harbour" og hvilken rolle kryptering spiller, jeg håber at version2 eller en blogger vil bore lidt og forklare nærmere ;-).

Vi bevæger os nok lidt off-topic her, men SpiderOak har (eller har i hvert fald haft) en del andre problemer som gjorde jeg endte med at opsige mit abonnement for et års tid siden. Som backup er det mangelfuldt i og med der ikke er nogen point-in-time restore mulighed. Som filsynkronisering er det mangelfuldt da det ikke håndterer deletes/renames korrekt, så man ender med dubletter i tonsvis. Jeg brugte det i 2-3 måneder og havde et større oprydningsarbejde foran mig da det gik op for mig hvor meget rod det havde lavet i mine data. Alt i alt var det en fuser jeg ikke skal tilbage til.

Det eneste du skal gøre er jo netop at tage kontrol med hans maskine. Hvis du først har kompromitteret lægens maskine én gang, er forskellen at med Dropboxen kan du fortsætte med at læse/kopiere alle nye data uanset hvad lægen gør ved maskinen. Så længe han ikke ændrer nøglen har du 27/7/365 adgang til hans data - også efter klinikken er brændt ned til grunden...

Præcis min første tanke.
Det er i øvrigt grotesk, at man som læge eller anden betroet behandler kan være så tanketom, at man smider følsomme persondata i Dropbox.

Overskriften kl. 1350 skulle have været:
Re: Hvorfor skal de berørte borgere ikke orienteres?

Jeg har det meget godt med at der findes noget som hedder datatilsynet. Men man kan på den anden side heller ikke helt stoppe en meget logisk udvikling.

For mig at se burde datatilsynet have et ekstra ben. I stedet for kun at sige hvad man ikke må, burde de gå konstruktivt ind i debatten. efter som lagring i skyen er en meget logisk tanke, specielt når man snakker om muligheder for besparelser, så burde det nye ben være at de går konstruktivt ind i debatten og arbejder med løsningsforslag så databeskyttelse kan indpasses i nytænkningen. Dette ville være konstruktivt i stedet for destruktivt.

Datatilsynet anke, udover at det ikke er blevet spurgt først, er placeringen af data som ifølge lovgivningen kun må placeres i EU eller hos firmaer der er "Safe Harbor". Hvis et firma vil ind på markedet kan de jo bare dokumentere at de lever op til kravet. Det er et ret fornuftigt krav at data ligger et sted hvor lovgivningen harmonere med danske krav til håndteringen af persondata.

...Kan dårligt undgå at ryge i samme kategori hos datatilsynet som Dropbox.
Her er det vel også kun et spørgsmål om tid/anledning før at de får samme behandling.
Nogen som har noget overblik over beskyttelsesmekanismer hos Evernote ?

Dropbox har enorme sikkerhedsproblemer, så det er helt på sin plads at datatilsynet forbyder netop den cloud service.

Blandt andet havde de for få uger siden en fejl, der gjorde at man kunne få adgang til en brugers dropbox bare ved at kende deres mail-adresse, passwordet var ligegyldigt!

Der er også utallige andre sikkerhedsproblemer med deres service, se blandt andet første afsnit af Techsnap her: http://www.jupiterbroadcasting.com/7211/dropbox-flaws-techsnap-1/

Og bare rolig, Techsnap belyser langt værre problemer med Dropbox i senere episoder af deres show.

Med Amazon S3 kan man vælge at få sine data lagret inden for EU (at dømme efter http://aws.amazon.com/s3/faqs/#Where_is_my_data_stored gælder det også backupkopier). På den måde kommer man ikke konflikt med den regel, der omtales i artiklen.

Jeg ved ikke, om andre EU-lande har tilsvarende lovgivning. Det er ikke utænkeligt, så mon ikke der vil være et stort nok marked i EU til, at andre cloud-udbydere også vil etablere datacentre her.

Det er jeg ikke overbevist om. Amazon er en amerikansk virksomhed, som er omfattet af The Patriot Act, og hvis man skal tro Microsoft's udtalelser i denne ComON artikel gælder "Patriot Act" bagdøren også for data med fysisk placering i EU datacentre (når cloud udbyderen er amerikansk)
http://comon.dk/nyheder/usa-har-adgang-til-europ-iske-cloud-data-1.47450...

Hvis alle klient-side krypterede inden de smed "deres" data i cloud, kunne vi undgå denne diskussion om hvem der har adgang til data (berettiget eller uberettiget).

Det er jo pudsigt, at ét lands lov kan pålægge en virksomhed at bryde et andet lands love. Hvis Danmark vil opretholde bestemmelsen, har vi vel ikke andet valg end helt at forbyde amerikanske firmaer at behandle persondata (og ditto med firmaer underlagt tilsvarende lovgivning fra andre lande).

Et drastisk skridt, og næppe særlig realistisk når man tænker på Folketingets generelle holdning til at sikre borgeres privatliv over for vestlige efterretningstjenester. Så er det nok en mere farbar vej, at EU kan finde en mindelig ordning med USA, hvor man mødes "på midten", ligesom det for nylig lykkedes med aftalen om udveksling af bankoplysninger:
http://news.softpedia.com/news/SWIFT-Data-Transfer-Agreement-with-US-Pas...

Man er overhovedet ikke mødtes på midten. Prøv at spørge om Europæiske efterretningstjenester har adgang til Amerikanske bankdata. Først når sidstnævnte er et faktum, er det tale om at mødes på midten. Indtil da er der ren kapitulation fra EU-kommisionens side. Bend over, Please!