Nyt notat fra Kromann Reumert punkterer myter omkring Patriot Act og myndigheders adgang til cloud-data

På trods af mange økonomiske og driftsmæssige fordele ved IT – stordrift er der forsat én del barrierer der skal overvindes, forinden danske virksomheder, herunder navnlig offentlige virksomheder, for alvor kan og vil udnytte mulighederne for at leje deres IT hos store internationale leverandører som f.eks. Amazon, Microsoft eller Google.

Én af de indvendinger eller myter jeg ofte hører er, at data der behandles og opbevarer i et datacenter udenfor Danmarks grænser, er i langt større risiko for at blive gennemset af f.eks. amerikanske myndigheder, med hjemmel i det regelsæt kaldet Patriot Act som Bush administrationen indførte efter 9/11. Særlig slemt skulle det være hvis leverandøren er én amerikansk ejet eller kontrollet virksomhed.

På den baggrund er det jo befriende, at et af landets største advokatfirmaer tager bladet fra munden og offentliggør et juridisk gennemarbejdet notat om de reelle problemstillinger i forhold til Patriots Act og myndigheders adgang til cloud data i det hele taget. Herunder de ændringer der kom i den danske retsplejelov efter implementering af terrorpakke 1 og 2 i 2002 og 2006.

Advokaterne Torben Waage og Nina Petri fra Kromann Reumert har således i sidste måned offentliggjort en 12-siders publikation der kan læses i sin fulde længde på http://www.kromannreumert.com/en-UK/Publications/Articles/Documents/Mynd...

Advokaterne gennemgår både de regler og den praksis der gælder for danske myndigheders adgang jf. retsplejeloven og de regler der gælder internationalt, herunder navnlig Patriot Act og konkluderer bl.a. følgende :

  • Patriot Act og retsplejeloven kan under særlige betingelser, herunder at data vedrører terrorisme eller hemmelige efterretningsaktiviteter, give offentlige myndigheder adgang til virksomheders data
  • Det et underordnet om data ligger hos virksomheden selv, et driftscenter i danmark eller hos én cloududbyder i f.eks. Irland
  • Der er ikke noget der tyder på at datas geografiske placering har nogen betydning for myndigheders ønske om adgang til data

Af de nævnte årsåger mener advokaterne derfor ikke at Patriot Act eller reglerne i retsplejeloven bør tillægges større vægt i forbindelse med evt. valg af én given cloud-ydelse. Dog bør mulighederne for tvungen udlevering af data samt evt. underretnings- og indsigelsespligt fremgå af leverandørens forretningsbetingelser.

Det kan selvfølgelig altid diskuteres om forebyggelse af terror og anslag mod rigets sikkerhed kræver den øgede adgang for myndigheder til data som blev indført i årene efter 9/11, men i relation til brugen af cloud computing ctr. traditionel drift er det p.t. ikke relevant.

I mit næste blogindlæg vil jeg tage hul på diskussionen af én anden barriere for brugen af cloud computing i DK – Datatilsynets sagsbehandling og restriktive fortolkning af en forældet bekendtgørelse. Hvor lang tid må det tage at behandle en anmodning om brug af cloud fra f.eks én større dansk kommune eller et universitet ? 6 måneder, 12 måneder, 24 måneder ? Og hvordan sikrer vi at vore regler er fleksible nok til f.eks. at kunne håndtere nye teknologier som f.eks Grid Computing hvor data og databehandling ikke sker samlet i store datacentre, men kan fordeles imellem mange brugeres computere på forskellige geografiske lokationer ?

Peter Lunding Smiths billede
Peter Lunding Smith er uddannet jurist og advokat, men arbejder til daglig som rådgiver og leder af Cloud Innovation Team hos ProActive A/S, holder foredrag og har udgivet ”IT i Skyen”. Peter blogger om krydsfeltet mellem it, forretningsudvikling og innovation.

Kommentarer (15)

Peter Favrholdt

"Hvis en virksomhed alligevel frygter, at dens data bli-
ver lettere tilgængelige for offentlige myndigheder og
politiet, hvis de gemmes i skyen, og virksomheden ikke
er tryg ved dette, så bør virksomheden ganske enkelt
afholde sig fra at lagre data i skyen."

Jacob Christian Munch-Andersen

[quote]Én af de indvendinger eller myter jeg ofte hører er, at data der behandles og opbevarer i et datacenter udenfor Danmarks grænser, er i langt større risiko for at blive gennemset af f.eks. amerikanske myndigheder.[quote]Altså, for lige at få sagen på plads, det hjælper ikke en snus at datacentret er placeret i Danmark hvis en virksomhed som i en eller anden grad er underlagt amerikansk lov har adgang til det.

Datacentret skal både fysisk og juridisk være placeret udelukkende i Danmark, eller en anden nation som man kun har moderat mistillid til.

Konklusionen er ikke at det er ligemeget, konklusionen er at den fysiske placering kun er en af to veje til statsligt organiseret datatyveri, og hvis man kun tænker over den ene af disse to veje hjælper det næppe.

Christian Nobel

I mit næste blogindlæg vil jeg tage hul på diskussionen af én anden barriere for brugen af cloud computing i DK – Datatilsynets sagsbehandling og restriktive fortolkning af en forældet bekendtgørelse.

Læs:

I mit næste indlæg vil jeg endnu engang punke Datatilsynet, da det ikke passer i mit kram at de, som nogen af de eneste her i landet, stadig udviser sund fornuft.

Thomas Hansen

At forholde sig til en advokatvirksomheds notat, og benytte det til at nedgøre datatilsynets fortolkning af Dansk lov, finder jeg betænkeligt.

Der er tale om, at det er ulovligt at føre person-følsomme data ud af landet, og det må man forholde sig til, i de løsninger man vælger.

Hvorfor i alverden, skal man også fyre Danske medarbejdere, for at Stat og Kommuner kan spare nogen få procenter.
Det hænger jo samfundsøkonomisk ikke sammen, men det hænger heller ikke sammen, i forhold til at Dansk viden skal vedligeholdes og udbygges.

I forhold til terrorisme, så vil jeg minde om, at der fortsat er noget der hedder IRA, så jeg kan slet ikke forstå, at Irland overhovedet bliver nævnt i et sådant blogindlæg.

Især Irland, har vi sendt rigeligt med penge til, gennem fejlslagne finanseventyr, og ekstraordinær økonomisk goodwill.
En mere konstruktiv tilgang, hvor der kigges på hvorledes der kan skabes Danske cloud-løsninger, som fungerer og holder sig inden for Dansk lovgivning, vil jeg se mere positivt på.

Jesper Lund

Kromann Reumert notatet konstaterer at hvis data befinder sig i Danmark, kan de danske myndigheder få adgang til dem via en dommerkendelse, jf. reglerne herom i den danske retsplejelov. Hvis data befinder sig i USA, kan de amerikanske myndigheder få adgang til dem efter de amerikanske retsregler, herunder Patriot Act.

Undskyld mig, men det er der altså ikke noget nyt i. Kritikken af amerikanske cloud leverandører i relation til Patriot Act er ikke baseret på en præmis om at data er hermetisk beskyttet mod myndighedernes adgang via retskendelser hvis de blot opbevares i EU.

Det handler om at man ved at vælge en amerikansk cloud leverandør eksponerer sig over for myndighederne i en fremmed magt (USA) foruden de lokale myndigheder, og at man kommer ind under Patriot Act -- en lovgivning som reelt har afskaffet begrebet "borgerrettigheder" i den hellige krig mod terror.

Kromann Reumert notatet bemærker selv at det er nemmere at få en retskendelse om adgang til data efter Patriot Act sammenlignet med dansk lovgivning. Der er meget lidt domstolskontrol med de kendelser (subpoena, som er noget andet end en "court order") som udstedes efter Patriot Act. Talrige eksempler har vist at der reelt ikke er nogen domstolskontrol, og i mange tilfælde kommer domstolskontrollen kun på tale hvis cloud udbyderen (databehandleren) kræver det. Google's forretningsmodel er altså ikke at føre retssager mod den amerikanske regering for at forsvare EU borgeres rettigheder og privatliv, og det er meget nemmere for Google blot at udlevere data end at gøre indsigelse.

I konklusionen bemærker Kromann Reumert at Patriot Act kun gælder for data, som vedrører terror og alvorlig kriminalitet. Ja, det er jo meget godt, men det er altså FBI & friends som bestemmer hvad der er "terror og alvorlig kriminalitet", og deres definition er temmelig bred.

Her er f.eks. en sag hvor FBI bruger Patriot Act til at få adgang til oplysninger om hvem der har lånt en bog på en bibliotek
http://www.wce.wwu.edu/Resources/CEP/eJournal/v005n002/a007.shtml

Når udlån af en bog kan blive til en sag om terrorisme, er der formentlig ikke nogen grænser for hvad der kan blive til en sag om terrorisme. Eller sagt med andre ord: alle data kan blive berørt af Patriot Act, så Kromann Reumert's bemærkninger om at det kun er "nogle data" giver ingen mening.

Det er heller ikke særligt betryggende at der er en lang række sager om FBIs misbrug af deres (i forvejen meget vide) beføjelser under Patriot Act
http://www.guardian.co.uk/world/2007/mar/09/usa

Hold danske og EU persondata langt væk fra amerikanske cloud leverandører! Der er alt at tabe og intet at vinde. Mens vi er ved emnet: det er stærkt bekymrende at mange offentlige registre administreres af den amerikanske virksomhed CSC. De problemer som gælder for EU datterselskaber af amerikanske cloud leverandører gælder formentlig også for CSC Danmark.

Jens Henriksen

I mit næste indlæg vil jeg endnu engang punke Datatilsynet, da det ikke passer i mit kram at de, som nogen af de eneste her i landet, stadig udviser sund fornuft.

Tænk, præcis sådan læste jeg det også, ligesom jeg får noget helt andet ud af Kromann Reumert notatet end bloggeren.

Enhver der omgås beskyttelsen af persondata på samme lemfældigt laissez-faire måde som blogindlægget lægger op til, bør snarest muligt tale med en spanier der kan huske Franco, eller en tysker der kan huske DDR og STASI.

Jacob Larsen

Én af de indvendinger eller myter jeg ofte hører er, at data der behandles og opbevarer i et datacenter udenfor Danmarks grænser, er i langt større risiko for at blive gennemset af f.eks. amerikanske myndigheder

Det er jo i og for sig rigtigt nok. Men som andre er inde på, så betyder det ikke at Patriot Act er ubetydelig i cloud sammenhæng. Det betyder at man er nødt til ikke bare at sikre at den fysiske lokation ikke er underlagt Patriot Act eller lignende, man er også nødt til at sikre selve leverandøren (incl. underafdelinger) ikke er underlagt den slags lovgivning.

Det sætter reelt en grænse på hvor stor leverandøren kan være, siden et multinationalt selskab i praksis opererer under den kombinerede lovgivning i alle de lande det opererer i. Et godt eksempel er UK's Anti Bribery lovgivning, som gælder for alle firmaer der har bare marginal berøring med UK (datterselskaber i UK, sælger varer i UK, sælger varer for firmaer i UK osv.).

bent madsen

Alle som er for Cloud løsninger ønsker datatilsynet hen hvor peberet gror. Men det som ikke overvejes er fordele konta/ulemper. Der sættes en estimeret økonomisk gevinst over for en risiko for misbrug af den enkeltes personlige oplysninger.

Som flere af indlægene påpeger så er det faktisk en ustabil verden vi lever i, og hensynet til at personfølsomme oplysninger ikke bliver misbrugt bør tages alvorligt.

Udsagnet om at Datatilsynets er restriktive i deres fortolkning og de bygger deres håndtering på en forældet bekendtgørelse. Er jo en påstand, som passer godt hvis man er Cloud computer tilhænger.

Vi kan jo prøve den antagelse at Danmark kommer til at ytre sig imod en nation som f.eks. land i østen, ytringsfrihed eller andet som falder deres magthaver for brystet.
Og så har en eller anden offentlig virksomhed fået lagt sine data derude. Det vil så være muligt for en lokal efterretningstjeneste at undersøge alt om enkelt personer deres familier og venner når det passer den.

Skal vi tage et eksempel:
Indien lukker for at Danske virksomheders mulighed for at byde på opgaver i Indien, p.g.a. vi ikke vil udlevere en dansk statsborger til retslig prøvelse da man frygter for hans sikkerhed. Jo det kan alle huske er sket ikke?
Næste skridt kunne jo nemt være at benytte sig af oplysninger som er tilgængelige vedr. personen, hvis data var tilgængelig. Der er jo ingen tvivl om at Indien bedømmer at de er i deres gode ret til at anvende sig af alle muligheder som er tilladt når det gælder terror anklagede.

Her taler vi endda om at data som ligger placeret i et såkaldt demokrati, og situationen ville være endnu værre i diktaturerne i Østen og andre steder i verden.

Spørgsmålet er hvor stor ønsker vi at risiko'en for misbrug af befolkningens mest personlige oplysninger må være.
Er det vigtigst at vi holder risikoen lav eller er det vigtigst at offentlige virksomheder kan sparre nogle mio. kr. i driften af nogle IT systemer?

Man kunne jo også anvende analogien fra finanssektoren, som igennem
de sidste 15 år har fjernet alle regler som de kaldte forældede, og som
regulerede Wall-street fra 1929 frem til midt 90'erne. Og nu viser
det sig at de regler ville have forhindret kolapset i 2008 !!!

Så Cloud er godt, men er det til alt vi skal bruge det, og ikke mindst
hvornår er det klogt at anvende det. Det er nok ikke bare en jurist med it kompetancer som skal gøre indflydelsen gældende.

Heldigvis har vi jo ytringsfrihed i Danmark, og det ses jo heldigvis ved at Peter Lunding Smith kan komme til orde i blogs og andre kan kommentere det. Ikke så tosset at være borger i sådan et land :-)

Carsten Sonne

... at Patriot Act eller reglerne i retsplejeloven bør tillægges større vægt i forbindelse med evt. valg af én given cloud-ydelse ...

Afgørende må vel være niveauet af fortrolighed hvormed data opbevares. I den forbindelse bør opmærksomhed rettes dels mod leverandørens egen omgang med data samt evt. eksterne interessers (herunder diverse myndigheder) mulighed for at presse en leverandør til udlevering af data. Sådan illustrativ kunne man jo betragte nævnte leverandøres placering af datacentre målt per nation.

Peter Lunding Smith

Det er jo ingen hemmelighed, at jeg er begejstret for de muligheder cloud computing giver for såvel store som små virksomheder. I mange tilfælde i form af konkrete besparelser på f.eks håndtering af mail i forhold til egen mailserver eller mail hosted hos een traditionel serviceudbyder. Cloud Services som Gmail, Hotmail, Office365 er ofte billigere og i min optik mindst lige så sikre som den mailserver der står i virksomhedens kælder eller hos en alm. dansk hoster.

Dermed ikke være sagt, at der ikke kan være udfordringer eller risici ved at benytte cloud computing og jeg synes der har været flere gode eksempler i de mange kommentarer til mit indlæg.De risici skal vi være opmærksomme på og prøve at minimere mest muligt.

Patriot Act og stramningerne i den danske retsplejelov kan vi f.eks diskutere længe - er myndighederne gået for vidt i forhold til borgere og virksomheders ret til privacy ? Det er bestemt muligt og jeg er ikke nogen fan af hverken Patriot act eller de danske stramninger. Min pointe er blot at disse regler ikke kun gælder for cloud leverandører, men uanset hvor data opbevares.

Når jeg til tider går lidt er lidt efter datatilsynet, så skyldes det at tilsynet - efter min helt personlige opfattelse - er med til at bremse unødigt op for mange virksomheder og organisationers brug af cloud computing. Universiteter, skoler og mange andre kunne have glæde af gratis software og IT-drift og jo hurtigere vi får nogle afgørelser i de verserende sager, jo bedre kan vi forholde os til om der er tekniske eller juridiske forhold eller praksis der konkret skal ændres.

Kim Jensen

Min pointe er blot at disse regler ikke kun gælder for cloud leverandører, men uanset hvor data opbevares.

Med "konventionel" datastorage, så ved du hvor dine data er fysisk opbevaret samt af hvem og deraf kan man få klarlagt hvilke juridiske beføjelser som du er underlagt. Med Clouds er data i princippet ikke bundet til en bestemt fysisk lokalitet, hvilket betyder at du muligvis kan få afklaring af din Cloud udbyders juridiske beføjelser, men næppe de lokalitets bundne beføjelser.

Når jeg til tider går lidt er lidt efter datatilsynet, så skyldes det at tilsynet - efter min helt personlige opfattelse - er med til at bremse unødigt op for mange virksomheder og organisationers brug af cloud computing.

Datatilsynets primære mål er at sikre at data håndtering sker på forsvarlig vis. Som jeg skrev herover, så er det primære problem med Clouds, at du rent juridisk meget let kan komme til at ligne Bambi på isen. Så jeg er helt på Datatilsynets side når det drejer sig om Clouds.

Hvordan en person med juridisk baggrund kan argumentere for brugen af Clouds er faktisk det jeg fatter mindst af!

Mvh,
Kim

Log ind eller opret en konto for at skrive kommentarer

IT Businesses