Nyt notat fra Kromann Reumert punkterer myter omkring Patriot Act og myndigheders adgang til cloud-data

"Hvis en virksomhed alligevel frygter, at dens data bli-
ver lettere tilgængelige for offentlige myndigheder og
politiet, hvis de gemmes i skyen, og virksomheden ikke
er tryg ved dette, så bør virksomheden ganske enkelt
afholde sig fra at lagre data i skyen."

[quote]Én af de indvendinger eller myter jeg ofte hører er, at data der behandles og opbevarer i et datacenter udenfor Danmarks grænser, er i langt større risiko for at blive gennemset af f.eks. amerikanske myndigheder.[quote]Altså, for lige at få sagen på plads, det hjælper ikke en snus at datacentret er placeret i Danmark hvis en virksomhed som i en eller anden grad er underlagt amerikansk lov har adgang til det.

Datacentret skal både fysisk og juridisk være placeret udelukkende i Danmark, eller en anden nation som man kun har moderat mistillid til.

Konklusionen er ikke at det er ligemeget, konklusionen er at den fysiske placering kun er en af to veje til statsligt organiseret datatyveri, og hvis man kun tænker over den ene af disse to veje hjælper det næppe.

I mit næste blogindlæg vil jeg tage hul på diskussionen af én anden barriere for brugen af cloud computing i DK – Datatilsynets sagsbehandling og restriktive fortolkning af en forældet bekendtgørelse.

Læs:

I mit næste indlæg vil jeg endnu engang punke Datatilsynet, da det ikke passer i mit kram at de, som nogen af de eneste her i landet, stadig udviser sund fornuft.

At forholde sig til en advokatvirksomheds notat, og benytte det til at nedgøre datatilsynets fortolkning af Dansk lov, finder jeg betænkeligt.

Der er tale om, at det er ulovligt at føre person-følsomme data ud af landet, og det må man forholde sig til, i de løsninger man vælger.

Hvorfor i alverden, skal man også fyre Danske medarbejdere, for at Stat og Kommuner kan spare nogen få procenter.
Det hænger jo samfundsøkonomisk ikke sammen, men det hænger heller ikke sammen, i forhold til at Dansk viden skal vedligeholdes og udbygges.

I forhold til terrorisme, så vil jeg minde om, at der fortsat er noget der hedder IRA, så jeg kan slet ikke forstå, at Irland overhovedet bliver nævnt i et sådant blogindlæg.

Især Irland, har vi sendt rigeligt med penge til, gennem fejlslagne finanseventyr, og ekstraordinær økonomisk goodwill.
En mere konstruktiv tilgang, hvor der kigges på hvorledes der kan skabes Danske cloud-løsninger, som fungerer og holder sig inden for Dansk lovgivning, vil jeg se mere positivt på.

Kromann Reumert notatet konstaterer at hvis data befinder sig i Danmark, kan de danske myndigheder få adgang til dem via en dommerkendelse, jf. reglerne herom i den danske retsplejelov. Hvis data befinder sig i USA, kan de amerikanske myndigheder få adgang til dem efter de amerikanske retsregler, herunder Patriot Act.

Undskyld mig, men det er der altså ikke noget nyt i. Kritikken af amerikanske cloud leverandører i relation til Patriot Act er ikke baseret på en præmis om at data er hermetisk beskyttet mod myndighedernes adgang via retskendelser hvis de blot opbevares i EU.

Det handler om at man ved at vælge en amerikansk cloud leverandør eksponerer sig over for myndighederne i en fremmed magt (USA) foruden de lokale myndigheder, og at man kommer ind under Patriot Act -- en lovgivning som reelt har afskaffet begrebet "borgerrettigheder" i den hellige krig mod terror.

Kromann Reumert notatet bemærker selv at det er nemmere at få en retskendelse om adgang til data efter Patriot Act sammenlignet med dansk lovgivning. Der er meget lidt domstolskontrol med de kendelser (subpoena, som er noget andet end en "court order") som udstedes efter Patriot Act. Talrige eksempler har vist at der reelt ikke er nogen domstolskontrol, og i mange tilfælde kommer domstolskontrollen kun på tale hvis cloud udbyderen (databehandleren) kræver det. Google's forretningsmodel er altså ikke at føre retssager mod den amerikanske regering for at forsvare EU borgeres rettigheder og privatliv, og det er meget nemmere for Google blot at udlevere data end at gøre indsigelse.

I konklusionen bemærker Kromann Reumert at Patriot Act kun gælder for data, som vedrører terror og alvorlig kriminalitet. Ja, det er jo meget godt, men det er altså FBI & friends som bestemmer hvad der er "terror og alvorlig kriminalitet", og deres definition er temmelig bred.

Her er f.eks. en sag hvor FBI bruger Patriot Act til at få adgang til oplysninger om hvem der har lånt en bog på en bibliotek
http://www.wce.wwu.edu/Resources/CEP/eJournal/v005n002/a007.shtml

Når udlån af en bog kan blive til en sag om terrorisme, er der formentlig ikke nogen grænser for hvad der kan blive til en sag om terrorisme. Eller sagt med andre ord: alle data kan blive berørt af Patriot Act, så Kromann Reumert's bemærkninger om at det kun er "nogle data" giver ingen mening.

Det er heller ikke særligt betryggende at der er en lang række sager om FBIs misbrug af deres (i forvejen meget vide) beføjelser under Patriot Act
http://www.guardian.co.uk/world/2007/mar/09/usa

Hold danske og EU persondata langt væk fra amerikanske cloud leverandører! Der er alt at tabe og intet at vinde. Mens vi er ved emnet: det er stærkt bekymrende at mange offentlige registre administreres af den amerikanske virksomhed CSC. De problemer som gælder for EU datterselskaber af amerikanske cloud leverandører gælder formentlig også for CSC Danmark.

Tænk, præcis sådan læste jeg det også, ligesom jeg får noget helt andet ud af Kromann Reumert notatet end bloggeren.

Enhver der omgås beskyttelsen af persondata på samme lemfældigt laissez-faire måde som blogindlægget lægger op til, bør snarest muligt tale med en spanier der kan huske Franco, eller en tysker der kan huske DDR og STASI.

Én af de indvendinger eller myter jeg ofte hører er, at data der behandles og opbevarer i et datacenter udenfor Danmarks grænser, er i langt større risiko for at blive gennemset af f.eks. amerikanske myndigheder

Det er jo i og for sig rigtigt nok. Men som andre er inde på, så betyder det ikke at Patriot Act er ubetydelig i cloud sammenhæng. Det betyder at man er nødt til ikke bare at sikre at den fysiske lokation ikke er underlagt Patriot Act eller lignende, man er også nødt til at sikre selve leverandøren (incl. underafdelinger) ikke er underlagt den slags lovgivning.

Det sætter reelt en grænse på hvor stor leverandøren kan være, siden et multinationalt selskab i praksis opererer under den kombinerede lovgivning i alle de lande det opererer i. Et godt eksempel er UK's Anti Bribery lovgivning, som gælder for alle firmaer der har bare marginal berøring med UK (datterselskaber i UK, sælger varer i UK, sælger varer for firmaer i UK osv.).

Alle som er for Cloud løsninger ønsker datatilsynet hen hvor peberet gror. Men det som ikke overvejes er fordele konta/ulemper. Der sættes en estimeret økonomisk gevinst over for en risiko for misbrug af den enkeltes personlige oplysninger.

Som flere af indlægene påpeger så er det faktisk en ustabil verden vi lever i, og hensynet til at personfølsomme oplysninger ikke bliver misbrugt bør tages alvorligt.

Udsagnet om at Datatilsynets er restriktive i deres fortolkning og de bygger deres håndtering på en forældet bekendtgørelse. Er jo en påstand, som passer godt hvis man er Cloud computer tilhænger.

Vi kan jo prøve den antagelse at Danmark kommer til at ytre sig imod en nation som f.eks. land i østen, ytringsfrihed eller andet som falder deres magthaver for brystet.
Og så har en eller anden offentlig virksomhed fået lagt sine data derude. Det vil så være muligt for en lokal efterretningstjeneste at undersøge alt om enkelt personer deres familier og venner når det passer den.

Skal vi tage et eksempel:
Indien lukker for at Danske virksomheders mulighed for at byde på opgaver i Indien, p.g.a. vi ikke vil udlevere en dansk statsborger til retslig prøvelse da man frygter for hans sikkerhed. Jo det kan alle huske er sket ikke?
Næste skridt kunne jo nemt være at benytte sig af oplysninger som er tilgængelige vedr. personen, hvis data var tilgængelig. Der er jo ingen tvivl om at Indien bedømmer at de er i deres gode ret til at anvende sig af alle muligheder som er tilladt når det gælder terror anklagede.

Her taler vi endda om at data som ligger placeret i et såkaldt demokrati, og situationen ville være endnu værre i diktaturerne i Østen og andre steder i verden.

Spørgsmålet er hvor stor ønsker vi at risiko'en for misbrug af befolkningens mest personlige oplysninger må være.
Er det vigtigst at vi holder risikoen lav eller er det vigtigst at offentlige virksomheder kan sparre nogle mio. kr. i driften af nogle IT systemer?

Man kunne jo også anvende analogien fra finanssektoren, som igennem
de sidste 15 år har fjernet alle regler som de kaldte forældede, og som
regulerede Wall-street fra 1929 frem til midt 90'erne. Og nu viser
det sig at de regler ville have forhindret kolapset i 2008 !!!

Så Cloud er godt, men er det til alt vi skal bruge det, og ikke mindst
hvornår er det klogt at anvende det. Det er nok ikke bare en jurist med it kompetancer som skal gøre indflydelsen gældende.

Heldigvis har vi jo ytringsfrihed i Danmark, og det ses jo heldigvis ved at Peter Lunding Smith kan komme til orde i blogs og andre kan kommentere det. Ikke så tosset at være borger i sådan et land :-)

Spændende om Peter Lunding Smith vil forholde sig til de mange kommentarer.

Nej. Det er ikke spændende, for naturligvis vil han ikke det.

... at Patriot Act eller reglerne i retsplejeloven bør tillægges større vægt i forbindelse med evt. valg af én given cloud-ydelse ...

Afgørende må vel være niveauet af fortrolighed hvormed data opbevares. I den forbindelse bør opmærksomhed rettes dels mod leverandørens egen omgang med data samt evt. eksterne interessers (herunder diverse myndigheder) mulighed for at presse en leverandør til udlevering af data. Sådan illustrativ kunne man jo betragte nævnte leverandøres placering af datacentre målt per nation.

Ok, du havde sandelig ret.

Spørgsmål til justitsministeren (endnu ikke besvaret)
http://www.ft.dk/samling/20111/almdel/REU/spm/700/index.htm

Med "konventionel" datastorage, så ved du hvor dine data er fysisk opbevaret samt af hvem og deraf kan man få klarlagt hvilke juridiske beføjelser som du er underlagt. Med Clouds er data i princippet ikke bundet til en bestemt fysisk lokalitet, hvilket betyder at du muligvis kan få afklaring af din Cloud udbyders juridiske beføjelser, men næppe de lokalitets bundne beføjelser.

Datatilsynets primære mål er at sikre at data håndtering sker på forsvarlig vis. Som jeg skrev herover, så er det primære problem med Clouds, at du rent juridisk meget let kan komme til at ligne Bambi på isen. Så jeg er helt på Datatilsynets side når det drejer sig om Clouds.

Hvordan en person med juridisk baggrund kan argumentere for brugen af Clouds er faktisk det jeg fatter mindst af!

Mvh,
Kim