Datatilsynet efter endelige Schrems II-anbefalinger: »Rummet for at overføre persondata til USA er meget snævert«

Illustration: Datatilsynet
De længe ventede anbefalinger fra EDPB er endelig landet. Og ifølge Datatilsynets ekspert er der ikke meget plads at spille på, hvis man som dansk myndighed eller virksomhed gerne vil bruge amerikanske cloud-tjenester.

Schrems II-dommen har siden sidste sommer udløst hovedpine og nervøse trækninger i it-organisationer over hele Europa, og herhjemme har cloud-krisen blandt andet sat sit tydelige aftryk på det offentlige it-område.

Kombit bandlyste sidste år Microsoft som databehandler, og bekymrede kommuner har over flere omgange undret sig over, hvad dommen eksempelvis betyder for deres brug af Aula, der kører på infrastruktur fra amerikanske AWS.

Siden har mange ventet i spænding på de endelige anbefalinger fra Det Europæiske Databeskyttelsesråd (EDPB), og mandag landede de så.

Læs også: De endelige Schrems II-anbefalinger er klar: Og det ser sort ud for amerikansk cloud

Og hvis der skulle have hersket tvivl, så ser det nu ret svært ud for eksempelvis de myndigheder, der behandler danske borgeres persondata i amerikanske cloud-løsninger.

»Det er et meget snævert rum, der er for brug af tjenester der overfører persondata til USA, og det mener jeg egentlig allerede, at den oprindelige dom fra EU-domstolen beskrev,« siger Allan Frank, der er it-sikkerhedsspecialist hos Datatilsynet og har været involveret i arbejdet med anbefalingerne.

Afgørende scenarie er urørt

Schrems II-bekymringerne er i høj grad gået på de scenarier, hvor de amerikanske cloud-leverandører har brug for at kunne tilgå kundernes data i klartekst – typisk i forbindelse med support-sager.

I udkastet til EDPBs anbefalinger lød det her ildevarslende, at man var ‘ude af stand til at forestille sig en effektiv teknisk foranstaltning til at forhindre, at adgangen krænker den registreredes rettigheder’.

Læs også: Dumpede Microsoft efter EU-dom: Derfor blåstempler Kombit AWS og Aula

Og databeskyttelsesrådet har ikke ændret synspunkt i de endelige anbefalinger.

»Der er ikke meget i anbefalingerne, der har ændret sig i forhold til udkastet. Der er sket lidt i forhold til, hvad man kan inddrage, når man vurderer modtagerlandets forhold, men ellers er det i store træk det samme,« siger Allan Frank og understreger, at det er nu, man som dataansvarlig skal få styr på, om ens it-systemer er lovlige.

»Vi har i de sidste mange år haft en måde at forbruge it-produkter på, som EU-domstolen nu har konstateret ikke er i overensstemmelse med reglerne. Så vi er et sted nu, hvor man som dataansvarlig skal lakmusteste sit setup.«

Leverandørerne skal i arbejdstøjet

Leverandører som Microsoft og AWS har siden Schrems II-dommen forsøgt at give deres kunder ro i sjælen og forsikre, at man sagtens kan fortsætte med at bruge deres produkter.

I kølvandet på de nye anbefalinger vurderede Mikkel Friis Rossa, partner og advokat med speciale i databeskyttelsesret ved Bech-Bruun dog situationen lidt anderledes.

Læs også: Leverandører giver Schrems II-'garantier': Her er de nødvendige spørgsmål, du skal stille

I hans optik er det ikke muligt på lovlig vis at bruge de amerikanske tjenester i et setup, hvor leverandøren har behov for at kunne tilgå data.

Derfor er bolden på nu de amerikanske giganters banehalvdel.

»Det er derfor nu op til udbyderne af cloud-tjenesterne at tage næste skridt i håndteringen af udfordringen,« lyder det.

Hos Datatilsynet er Allan Frank enig i, at leverandørerne i lyset på Schrems II-dommen og de nye anbefalinger skal sørge for, at de cloud-produkter, de sælger til for eksempel danske myndigheder, også reelt er lovlige for kunderne at bruge.

»Jeg ser det lidt som en grundpræmis, at leverandørerne selvfølgelig må gøre det, der skal til for at deres løsninger harmonerer med europæisk lov. Men man må holde sig for øje, at der også kan ske noget politisk,« siger han og refererer til, at der fra flere kanter i USA er et ønske om at indføre ny lovgivning, der kan højne europæernes databeskyttelse.

Læs også: Databeskyttelse står i vejen for cloud i Statens It: »Vi har et ekstra ansvar«

»Uden at filosofere for meget, kunne man jo godt forestille sig, at USA havde en interesse i, at store amerikanske virksomheder kunne blive ved med at tjene penge på at sælge it-ydelser på det europæiske marked. Så der kan også ske noget der.«

Tidligere på måneden sendte 24 organisationer et brev til den amerikanske præsident Joe Biden, hvor de netop opfordrede ham til at få styr på USA interne regler om databeskyttelse, inden han forsøger at lave en erstatning for privacy shield.

Det vil nemlig være spildte kræfter, lyder det.

»USA’s fiasko med at sikre meningsfuld databeskyttelse for persondata er årsagen til, at et stigende antal lande er bekymrede over tværnationale dataflows. Indtil USA adresserer dette problem, vil bekymringerne bestå, og aftaler om dataflow vil sandsynligvis erklæres ugyldige.«

Tilsyn på vej

Tilbage i januar måned lancerede Datatilsynet sin tilsynsplan for 2021.

Og midt i myndighedernes Schrems II-hovedpine kunne man tydeligt læse, at der allerede i år vil blive ført tilsyn med de såkaldte tredjelandsoverførsler.

Og med det in mente er det en god idé hurtigst muligt at få overblik over, hvilke data man overfører til USA, og hvorfor man gør det.

»Ligesom vi tidligere har meldt ud, kommer vi til at føre tilsyn med dette her. Og der kommer vi som det første til at kigge på, om man har styr på, hvilke overførsler man har, hvilket grundlag de finder sted på, og de overvejelser man har gjort sig om lovligheden af eksisterende overførsler,« lyder det fra Allan Frank.

Denne artikel har tidligere været bragt på DigiTech.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (70)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Johnny Lüchau Blogger

Som vi har vidst i mange år nu, så er det kun den amerikanske regering der kan løse problemet, men hvad skal de konkret gøre?

Hvis man ser på opsummeringen

Datatilsynets vejledning siger om overførsler til usikre tredjelande (afsnit 5.4) , at man som dataansvarlig skal tage stilling til lovgivning og praksis:

Det vil især i følgende situationer være relevant at undersøge praksis: 1) Når et tredjelands lovgivning formelt lever op til EU’s standarder, men i praksis ikke efterleves af myndighederne i tredjelandet. 2) Når lovgivningen i et tredjeland er mangelfuld, og praksis i tredjelandet er uforenelig med de forpligtelser, der er fastsat i det valgte overførselsgrundlag. 3) Når overførslen eller dataimportøren er omfattet af problematisk lovgivning i tredjelande.

Da vi siden 2001 har været bekendt med USA's problematiske lovgivning (som nævnt i Schrems II dommen) og masseovervågningspraksis (som man kunne læse i interne dokumenter lækket i 2013), så er det åbenlyst at kun den amerikanske regering kan ændre situationen. Men kan de overhovedet det?

Punkt 1 ovenfor er ikke relevant da USA ikke har databeskyttelseslovgivning som er relevant for os. Punkt 2 og 3 kan de delvist ordne ved at fjerne de love som giver regeringen ret til få adgang til alle data via en stævning, men de skal også samtidigt indføre databeskyttelseslovgivning som flugter med EUs. [Sidstnævnte er der et forslag til https://www.meritalk.com/articles/gillibrand-reintroduces-data-privacy-b...).

Det er to gigantiske kameler de skal sluge, men det er stadig ikke nok, for hvordan skal de dokumentere at deres praksis er ændret? Jeg tænker på den praksis der blev afsløret i 2013 og som dokumenterede at de amerikanske tech-firmaer frivilligt giver de amerikanske myndigheder fri adgang til vores persondata.

Jeg kan ikke se hvordan de kan overbevise nogen om at de pludselig har standset mindst 14 års praksis. Hvem vil tro på det?

  • 29
  • 1
#2 Bjarne Nielsen

Efter min mening, så står vi her igen med et eksempel på at regler er værdiløse uden håndhævelse; hvis ikke politiet var ude med bødeblokken, så ville der hurtigt bliver anarki på vores veje!

Og her retter jeg ikke skytset imod Allan eller Datatilsynet; det er åbenlyst, at en lang perlekæde af politikere og andre beslutningstagere, gående lige fra vores lokale sogneråd på Christiansborg, over ministerråd og kommission, og videre til især Irland, som har haft utroligt travl med at skynde sig langsomt, for ikke at sige, direkte sidde på hænderne.

Hvis ikke man snart får skeen over i den anden hånd, så har vi fået løst klimakrisen, biodiversitetskrisen og fundet en kur for cancer først.

  • 27
  • 1
#4 Mogens Lysemose

Jeg forstår godt at det er nemt at bruge "cloud", og at mange såsom MS nu hellere sælger abbonementer end produkter, fordi fast indtægt er bedre end engangs-indtægt.

Men det er vel ikke en naturlov at alt cloud kun kan ligge i USA? Leverandørerne kan jo lave lokale afdelinger i EU, eller andre kan stå for driften.

Og hvorfor overvejer danske virksomheder stadig ikke produkter i en onprem/ikke-cloud version, det virker som om det nemme gør at man er ligeglade med om det er lovligt?

Vi har længe vidst at driften af Aula og Sundhedsportalen næppe er lovlige, men gør nogen noget ved det, eller holder de virkeligheden væk?

  • 21
  • 0
#5 Poul-Henning Kamp Blogger

Som vi har vidst i mange år nu, så er det kun den amerikanske regering der kan løse problemet, men hvad skal de konkret gøre?

De hverken kan eller vil gøre hvad der i givet fald ville være nødvendigt.

Kerneproblemet er USA's retspraksis, som stammer fra Englands "Common Law" anno 1776, men som siden da har udviklet sig meget anderledes end den gjorde i England og Kolonierne.

Specifikt har man kun rettigheder under USAs grundlov og lovgivning, hvis man 'utvivlsomt' primært er under USAs jurisdiktion, hvilket vil sige at man enten fysisk befinder sig i USA, eller via nogle ganske få særlove er blevet underlagt jurisdiktion (sømænd, flygtende forbrydere, terrorister, diplomater etc.)

Det betyder i praksis at persondata om resten af jordens befolkning ikke nyder nogen form for beskyttelse og derfor kan gøres genstand for alskens datauhomskeder.

At lave om på det vil, ipso-facto, kræve at USA gjorde FN's eller EU's menneskerettigheder til "law-of-the-land" hvilket igen ville kræve et antal tilføjelser til deres grundlov og invalidere et stort antal højesteretsdommes "precedens".

  • 17
  • 1
#6 Andreas Kallesøe

"Men det er vel ikke en naturlov at alt cloud kun kan ligge i USA? Leverandørerne kan jo lave lokale afdelinger i EU, eller andre kan stå for driften."

Det har de allerede gjort, men da de alle sammen er datterselskaber så er de amerikanske myndigheder response at, da de alle er datterselvskaber så er de stadigt amerikanske selskaber og derfor skal de have adgang til data aligevel hvis de ønsker det, og MS må ikke fortælle kunden at de har kigget i deres data.

"Og hvorfor overvejer danske virksomheder stadig ikke produkter i en onprem/ikke-cloud version, det virker som om det nemme gør at man er ligeglade med om det er lovligt?"

Der er flere overvejelser her. Teams findes ikke som en standalone installation, og det store trækplaster for Teams er at man kan invitere gæster ind fra andre virksomheder og være sikker på at det er den rigtige person i den anden ende. Det kan også være at man har en buisnesscase på at det er billigere at have servere i MS eller AWS cloud end at skulle have eget hardware og serverrum til at drive det. Og det er "nemmer" at skalere ud og ind alt efter behov i skyen, da man ikke skal have hardware i baghåneden til at klare presset hvis man en eller to dage om året skal bruge mere regnekraft eller server kapacitet.

  • 2
  • 1
#7 Palle Simonsen

Og hvorfor overvejer danske virksomheder stadig ikke produkter i en onprem/ikke-cloud version, det virker som om det nemme gør at man er ligeglade med om det er lovligt?

onprem har svært ved at konkurrerer med elasticiteten i Cloud, hvilket er en stor differentiator f.eks. når man har brug for at kører meget store analysejobs eller træne ML med store datamængder. For 'almindelige' workloads kan det være en anden sag, hvor andre forhold spiller ind på om onprem eller Cloud eller en hybrid er det bedste valg.

  • 1
  • 3
#9 Mikael Ibsen

Hvis USA’s efterretningstjenester vil have fat i nogle givne data i EU, kigger de naturligvis først efter, hvad Schrems II foreskriver, og hvis det ser ud til at være ulovligt, holder de selvfølgelig pænt fingrene væk. DREAM ON, men lad os da endelig fortsætte med mere naivistisk ønskelovgivning - for den gode samvittigheds skyld.

  • 4
  • 12
#10 Mogens Lysemose

Teams findes ikke som en standalone installation

Men der er masser af kernefunktionalitet, som kunne sikres, hvis man ville. KOMBIT og Netcompany blev advaret om ikke at lægge aula i USA, men det gjorde de alligevel. Der er intet funktionelt, der kræver at Aula stiftes i USA. Det er bare billigt og bekvemt.

MS SharePoint findes onprem. MS Office findes i "offline" udgave. Osv. Hvis man gør en indsats kan man løse mange problemer.

  • 16
  • 0
#12 Palle Simonsen

I bekræfter netop min hypotese: det er svært og dyrt at overholde loven. Så nu er der blevet acceptabelt for myndigheder og store velansete virksomheders it-afdelinger systematisk at bryde loven for at spare tid og penge?

Hus forbi Mogens - Jeg skrev Cloud - ikke nødvendigvis US Cloud og selv hvis jeg gjorde, er der vist ingen dom i Danmark for at det per definition er ulovligt persondata eller ej?

Det kunne jo også være simulering på data der på ingen tænkelig måde er personhenførbar. Der er faktisk meningsfyldt data, der hverken kan henføres til Hansen, Jensen, Jones eller Wolfgang.

Sagen her er, at det i praksis er meningsløst at forsøge at lave en rentabel onprem løsning hvor man én gang i løsningens levetid har brug for hvad der svarer til titusindvis af almindelige servere og derefter måske 'kun' tusindvis af servere et par gange om året.

  • 0
  • 0
#13 Benjamin Balder

Det bliver forståeligt nok besværligt/dyrt/umuligt at gemme borgernes data under fremmed juridisk kontrol. Hvis myndighederne havde en lidt bedre mavefornemmelse for dataetik, havde de også indset det for lang tid siden.

Mulighederne består i, at opbygningen af andre typer datacentre og nye samarbejder mellem offentlige organisationer, universiteter mv. OnPrem cloud-teknologi er aldrig nået særlig langt, så der er masser af u-udnyttet potentiale, der bare ligger og venter.

Det samme gælder andre typer tjenester: Videokonferencer, chat, dokumenthåndtering osv. Nye systemer og samarbejde vinder frem, og DK burde kigge på, hvad sine EU-naboer går og laver. F.eks. har Tyskland skrevet en aftale om Matrix/Element gældende for 0,5 mio brugere.

  • 9
  • 0
#14 Benjamin Balder

det store trækplaster for Teams er at man kan invitere gæster ind fra andre virksomheder

Det er et underligt argument i en snak om datasikkerhed. Man kan jo ikke bare sige "programmet har en nice feature, så vi omgår datasikkerhed". Det er ærgerligt, hvis den slags argumenter bruges til at sælge en platform. Man validerer sine invitationer ved at sende sin møde-hemmelighed til en kendt email-adresse, så kan det være lige meget om videomødet er browser-baseret eller inde i en walled garden. Det fungerer med alle online mødeplatforme og har eksisteret lang tid før Teams. Herefter har nogen platforme indført virtuelle lobbyer. Men intet er sikkert: Falsk hviderusser deltog i fortroligt møde: Talte om dyrebordeller. - Folketinget brugte Teams til dette møde.

  • 13
  • 0
#15 Niels Danielsen

vurderede Mikkel Friis Rossa, [..] advokat med speciale i databeskyttelsesret [..] situationen lidt anderledes.

I hans optik er det ikke muligt på lovlig vis at bruge de amerikanske tjenester i et setup, hvor leverandøren har behov for at kunne tilgå data.

Der er vel ikke kun hvis de har behov at det er et problem, problemet er vel hvis de kan. Med andre ord hvis de kan få fat i data i klar tekst uden at involvere data behandleren.

F.eks. vil det være muligt for AWS at få data ud af en AWS instans selvom den f.eks. har krypterede diske. (Da nøglen behinder sig i RAM. ) Og det gør ikke den store forskel om det køre på en servier i USA, eller Europa.

  • 5
  • 0
#16 Mogens Lysemose

Hus forbi Mogens - Jeg skrev Cloud - ikke nødvendigvis US Cloud og selv hvis jeg gjorde, er der vist ingen dom i Danmark for at det per definition er ulovligt persondata eller ej?

Det var ikke ment som at I personligt er imod at holde loven.

Det var mere ment som et eksempel på at vi IT folk er så vant til at finde de it-mæssigt smarteste løsninger, så når love forhindrer os i det, så vrider vi os og finder på forklaringer på hvorfor det alligevel er i orden, såsom dit "det er ikke dømt ulovligt endnu", som minder mig om Bjarne Riis' "jeg er aldrig testet positiv"-svar på om han brugte doping.

Og selvfølgelig gælder GDPR ikke for alle data.

Europæiske cloud løsninger kan være rigtigt gode løsninger på problemet.

Men min vigtigste pointe er: nu må vi altså holde op med at tro at dette er et problem der går væk af sig selv. Vi er blevet advaret i årevis, og advarslerne bliver kun værre.

Hvis ingen efterspørger Europæiske cloudløsninger, så kommer de jo ikke af sig selv.

  • 12
  • 0
#17 Baldur Norddahl

Hvor omfattende mener i dette er?

Er Microsoft Navision, der i dag ofte køres som en cloud tjeneste, omfattet? Det indeholder adresser og navne på kunder.

Er en hosted Microsoft Azure Advanced Domain Controller omfattet? Den indeholder oplysninger om de ansatte.

Er Microsoft Office 365 omfattet? Indeholder data om ansatte og emails indeholder formodentlig tonsvis af fortrolige oplysninger, dokumenter kan indeholde alt muligt.

Er en hosted Microsoft Exhange på Azure omfattet?

Er Google Apps / Google Workspace omfattet? Det samme som Microsoft Office 365.

Hvad med privates brug af Google Gmail? Burde myndighederne lukke Gmail?

  • 11
  • 0
#18 Steen Thomassen

Mulighederne består i, at opbygningen af andre typer datacentre og nye samarbejder mellem offentlige organisationer, universiteter mv. OnPrem cloud-teknologi er aldrig nået særlig langt, så der er masser af u-udnyttet potentiale, der bare ligger og venter.

Problemet for mindre virksomheder at de ikke har mulighed for at sætte det op, hvis det kræver en teknisk baggrundsviden. Det skal næste være klar til brug.

Det samme gælder andre typer tjenester: Videokonferencer, chat, dokumenthåndtering osv. Nye systemer og samarbejde vinder frem, og DK burde kigge på, hvad sine EU-naboer går og laver. F.eks. har Tyskland skrevet en aftale om Matrix/Element gældende for 0,5 mio brugere.

Problemet for en mindre organisation at får noget som hænger sammen. Microsoft 365 og Google Workspace giver en pakke, som arbejde sammen. Og med AWS er der masser af værktøjer til at drive en miljø. Der mangler en stor europæsk spiller på det marked, som kan håndtere det - problemet at få en spiller, som kan håndtere på det niveau, som Google og Microsoft er på nu. Eller at de nuværende store spillere får uafhængig en europæsk organisation.

  • 2
  • 3
#19 mikkel Holm

Du kan starte med Windows 10/11, som efter min opfattelse heller ikke overholder lovgivningen. Søges der på et personnummer i Windows, sender du også potentielt den data til Bing.com.

Windows sender krypteret data til Microsoft og som bruger har du ikke mulighed for at vertificere hvilke data der er tale om. Det er ikke svært at forestille sig, at der er personfølsomme data iblandt.

  • 6
  • 1
#20 Johnny Lüchau Blogger

Svaret er ja til dem alle.

Hvis du arbejder med personhenførbare data i dem, så skal du finde en anden løsning. Du har indtil 27.december 2022, så du har god tid. Det er lidt vildt at de giver folk 2½ år til at få styr på det, men så kan alle jo være med og ingen kan komme med undskyldninger. :-)

  • 16
  • 0
#21 Johnny Lüchau Blogger

Steen,

du kan få alle de funktioner du nævner hos forskellige EU-udbydere. Der er f.eks. en udbyder som Owncube.com hvor du kan få pakker med office-programmer, fildeling og møde-server.

(Vi brugte dem sidste år indtil vi installerede vores egne ting direkte hos Hetzner. Det fungerede fint hos Owncube, jeg foretrækker bare at styre det selv.)

  • 8
  • 0
#22 Henrik Sørensen

Hej Baldur,

Hvis du læser Datatilsynets seneste anbefalinger så er du ikke længere i tvivl ... alle de nævnte systemer indeholder personidentificerbare data og er derfor omfattet.

Et af problemerne ved det er, at det i praksis også umuliggør al anden databehandling som ellers ikke omfatter personidetificerbare data da der (sædvanligvis) er behov for et adgangskontrolsystem som jo netop indeholder ... personhenførebare data.

EU er gået i selvsving i et vanvid af juristeri som i virkeligheden ikke handler om privacy, men om at flytte omsætning, viden og udvikling tilbage på europæisk grund, hvilket kan være sympatisk nok, men som her bliver gjort på den mest groteske måde.

Vi må ikke bruge ydelser fra US baserede virksomheder fordi de kan blive pålagt at udlevere data til US efterretningstjenester (og det ER noget skidt), men hovedproblemet for europæiske virksomheder er ikke NSA men daglige malware og hacker angreb som koster milliarder og truer forsyningssikkerhed og velfærd.

EU privacy er højt besunget, men i virkeligheden er den til at lukke op og s.... i.

Hvorfor? ...vil du måske spørge? ... fordi EU privacy ikke er koblet sammen med erstatningsretten. Når nogen bruger dine data til formål du ikke har givet tilladelse til så er det staten der via Datatilsynet har påtaleretten og som indkasserer eventuelle erstatninger i form af bøder.

Den samme stat har sørget for at Datatilsynet er en lille krøbling af en institution, der på ingen måde kan levere nogen reel beskyttelse for dig.

Prøv for eksempel for hyggens skyld at gennemgå Datatilsynets afgørelser og tæl hvor mange af dem der handler om de utallige anonyme profileringsvirksomheder der hver dag sælger viden om dig til anvendelser du ALDRIG har givet et informeret samtykke til ... skulle du komme til et tal højere end nul så lad mig det endelig vide...

Eller prøv at anmelde nogen til Datatilsynet (for noget som reelt kræver en anmeldelse selvfølgelig) og se hvordan din anmeldelse opsluges af det store intet.

Ved at koble EU privacy med erstatningsret for den skadeslidte ville man gøre det muligt at åbne for gruppesøgsmål hvor en masse borgere kunne gå sammen om at jagte ulovlig anvendelse af deres data med store omkostninger til følge for skadesvolderne.

Så prøv at gøre regnebrættet op ... synes du, at du at EU privacy lovgivning er guds gave til menneskene? ... og synes du at EU bruger kræfterne rigtigt når de bruger privacy til at slå ud efter Facebook, Microsoft, Amazon, Google m.fl. eller skulle man hellere ændre skattelovgivningen så de kom til at betale til kassen i de lande de opererer i...?

  • 6
  • 5
#23 Baldur Norddahl

Hvis du læser Datatilsynets seneste anbefalinger så er du ikke længere i tvivl ... alle de nævnte systemer indeholder personidentificerbare data og er derfor omfattet.

Ja men diverse GDPR eksperter/konsulenter synes at mene, at alt er fint så længe amerikanerne etablere et datacenter i EU og lover at opbevare og behandle dine data i EU og man underskriver en databehandlerkontrakt.

  • 3
  • 3
#24 Jørgen Dürke Hansen

Nu snakkes der så meget om USA baserede tjenester. Men hvad så med de mange indisk baserede tjenester, samt konsulenter, der driver systemer, for firmaer der er placeret i EU. Og hvor disse konsulenter har administrator/root adgang til systemerne, heriblandt sys adgang til alle databaserne, og dermed adgang til samtlige data i disse databaser.

  • 8
  • 0
#25 Baldur Norddahl

Der er vel en vis mængde pragmatisme i det. Hvis der ikke er nogen eksempler på at en udenlandsk domstol har dømt at nogen skal hacke deres arbejdsgiver, eller at det er blevet udnyttet af en efterretningstjeneste, så tillader man det.

Problemet med de amerikanske er at det er massere af eksempler på at amerikanske domstole tvinger amerikanske virksomheder til at udlevere data.

Der er forskel på at skulle udlevere noget der er i din besidelse og at blive bedt om at begå indbrud, at stjæle data eller at foretage andre ting, der potentielt kunne blive anset som fjendtlige handlinger af andre stater.

  • 8
  • 0
#26 Johnny Lüchau Blogger

Ja men diverse GDPR eksperter/konsulenter synes at mene, at alt er fint så længe amerikanerne etablere et datacenter i EU og lover at opbevare og behandle dine data i EU og man underskriver en databehandlerkontrakt.

Det er rigtigt at der desværre findes mange brådne kar i GDPR-industrien. De lever godt af usikkerheden og af at skabe usikkerhed, samtidigt med at de lever i symbiose med de amerikanske tech-firmaer. Det er faktisk meget ubehageligt, det der foregår.

Hvis man støder på en GDPR-konsulent som siger at du "...bare lige skal lave en TIA og de nye SCC'er, så kan du fortsætte som før..." så skal du finde en anden.

  • 11
  • 0
#30 Baldur Norddahl

Du må gøre med data om dig selv som du selv lyster, data om andre vil være omfattet af GDPR.

Problemet er Google. Må Google behandle en borgers data? Ja som brugere af gmail har vi sikkert klikket ja til en eller anden uforståelig juridisk tekst, men er det nok? Derfor spurgte jeg om myndighederne burde lukke ned for gmail for man kan ikke antage at flertalet af brugerne har forstået og givet det nødvendige samtykke.

Det næste er afsendernes rettigheder. Det kan godt være at modtageren har det fint med at Google sælger alt i hans gmail inboks til NSA. Men hvad med ham der har sendt en email til en gmail adresse, har afsenderen accepteret at blive solgt til NSA?

  • 8
  • 0
#31 Mikael Ibsen

“Så hvad er dit konstruktive forslag, Hr Ibsen? At alle i Danmark bryder alle love som de har lyst til?”

Såmænd, Hr. Lysemose, at man ikke laver bombastiske skrivebords-regler,

1) som skader én selv mere, end dem man vil ramme.

2) som bare er endnu en regel på regel, i troen på, at regler løser ethvert problem.

3) som man på forhånd udmærket ved, ikke kan håndhæves tilfredsstillende.

Hvis det aktuelle regelsæt virkelig skal praktiseres, som det ser ud til at være tænkt, og dermed med skift af platforme mange steder, må man påregne en lang periode med offentligt IT-kaos.

Historien viser kun alt for klart, hvad der kan ske, når større IT-ændringer skal implementeres og etablerede systemer laves om.

Er det det, der ønskes - igen igen ?

  • 1
  • 9
#32 Nicolai Petersen
  • 9
  • 0
#33 Henrik Sørensen

Der er vel en vis mængde pragmatisme i det.

Desværre ikke. Ingen pragmatisme og heller ingen fornuft.

Hvis din supporter sidder i et usikkert tredjeland, fx USA, Indien eller Kina, så vil der være tale om overførsel af personhenførbare data, hvis blot der er en risiko for, at vedkommende kan komme til at se disse data fx i et skærmbillede eller ved søgning i en logfil ... også selvom den pågældende fil ikke overføres. At SE er det samme som at overføre.

Hvis du så flytter den samme person til et vilkårligt sted i EU/EØS eller til et sikkert tredjeland - BUM så er der ikke længere tale om overførsel - heller ikke hvis personen tager hjem dagen efter at have siddet og bladret alle dine personhenførbare data igennem.

Der er altså ikke tale om at der ligger en beskyttelse i at personen kan retforfølges, fordi vedkommende er borger i et EU land og således omfattet af direktivet, men alene tale om HVOR vedkommende er fysisk placeret på tidspunktet for (kigge)adgangen til personhenførbare data.

Det er virkelig gak på højt plan.

  • 6
  • 6
#34 Bjarne Nielsen

EU er gået i selvsving i et vanvid af juristeri som i virkeligheden ikke handler om privacy, men om at flytte omsætning, viden og udvikling tilbage på europæisk grund, hvilket kan være sympatisk nok, men som her bliver gjort på den mest groteske måde.

Den fortolkning må vist stå for din egen regning. Her er lidt af, hvad der blev skrevet i Washington Post, den 25. maj, 2018 (jeps, på GDPR-dagen):

U.S. and European corporations originally had a lot of influence over the lawmaking process that led up to GDPR, and it seemed likely they would use it to strengthen their grip over your data. Ultimately, European consumer advocates pushed back and flipped the lobbying script. Their success relied on an unexpected foreign ally: Edward Snowden.

... og ...:

Although European corporations generally saw the GDPR as modernizing privacy rules, American lobbying pushed them to view reform as an opportunity to chip away at laws that hurt their bottom lines. The emerging drafts of the regulation quickly began to mimic the recommendations of companies like Microsoft, Amazon, and Facebook, with members of the European Parliament literally copy-pasting corporate lobbying positions into the draft legislation as new amendments.

Men så ramte Snowdens afsløringer, og det rev sløret af noget, som ellers tegnede til at blive en vanlig lokumsaftale i tilrøgede mødelokaler med teknokratiske og uforståelige alenlange dokumenter. Pludselig blev gardinerne trukket fra og lyset skinnede ind - og det blev tydeligt, hvad der var ved at ske, og at vi (igen) var ved at blive løbet om hjørner med.

It’s a problem for European institutions to be captured by European business, but it’s a disaster to be seen as controlled by foreign corporations. Even European corporations were tainted by association – they were seen as having become allies, or even tools of big U.S. tech companies.

Rigtigt godt blev det aldrig, for voldsom udefrakommende lobbyisme formåede at ødelægge meget.

Hvorfor? ...vil du måske spørge? ... fordi EU privacy ikke er koblet sammen med erstatningsretten. Når nogen bruger dine data til formål du ikke har givet tilladelse til så er det staten der via Datatilsynet har påtaleretten og som indkasserer eventuelle erstatninger i form af bøder.

Ja, her er vi langt hen ad vejen enige (også med Snowden): det er en parodi, at man har fået lov til at udhule og sabotere reglerne, og at trække den ene sag efter den anden i langdrag, med i stigende grad absurde retssager, hvor de store og især amerikanske virksomheder får lov til igen og igen at kaste grus i maskineriet. Absurd bliver det, når det, som set i Schrems II sagaen, endda er det Irske datatilsyn selv, som finder på absurde undskyldninger og omveje på vegne af sagsøgte - det er som om, at de myndigheder, som burde varetage vores interesser, fører sagen imod os på vegne af modparten.

Hammeren burde for længst være faldet, og langt mere konsekvent.

Det er derfor at føje spot til skade, når de, som i den grad er lykkedes med at sabotere GDPR, nu også kalder den virkningsløs og ubrugelig. Ja, det har I så sørget for med jeres sabotage og antageligvis lovstridige adfærd (der er i hvertfald flere domme, som prøver at skære det ud i pap og bøje det i neon), med aktiv medvirker af medløbere, som har travlt med at løbe amerikanske virksomheders og stats ærinde. Tak for ingenting!

For hvis man kritiserer GDPR for at være virkningsløs pga. fraværet på effektiv håndhævelse, så må svaret være, at få sat gang i noget effektiv håndhævelse. Og det kan kun gå for langsomt.

Og hvis amerikanske virksomheder har et grundlæggende problem med at opføre sig anstændigt overfor deres kunder, ja, så har amerikanske virksomheder et grundlæggende problem. De bestemmer sådan set selv, om de vil spille efter reglerne og være med - for vil de ikke det, så kan de holde sig væk.

  • 22
  • 0
#35 Jens Peter Olesen

Du må gøre med data om dig selv som du selv lyster, data om andre vil være omfattet af GDPR.

GDPR-reglerne gælder kun virksomheder (hvilket vi nok også taler om her), men stilles spørgsmålet:

Hvorfor må jeg ikke bruge Gmail til mig selv og kun mig selv? Hvis jeg vel at mærke har forstået og accepteret hvordan Google bruger mine data, så har jeg vel ret til at gøre med dem hvad jeg vil?

Så er svaret vel reelt set at GDPR-reglerne kun gælder alle virksomheder, store som små, men ikke dig som privatperson.

  • 2
  • 1
#36 Bjarne Nielsen

Baldur spørger ind til GMail, og Jens Peter Olesen (o.a) svarer ovenfor på, hvad der er ret (jeg skal passe sådan på med at udlægge lovtekster, men jeg deler deres opfattelse).

Men Baldur går videre og spørger, hvad der er rimeligt:

Problemet er Google. Må Google behandle en borgers data? Ja som brugere af gmail har vi sikkert klikket ja til en eller anden uforståelig juridisk tekst, men er det nok? Derfor spurgte jeg om myndighederne burde lukke ned for gmail for man kan ikke antage at flertalet af brugerne har forstået og givet det nødvendige samtykke.

Lad os tage samtykket først. Ideen med samtykke er, at den stærke part informerer den svage om konsekvenserne på en fyldestgørende og forståelig måde, så den svage part kan foretage et reelt og informeret valg. Det vil naturligvis afhænge meget af situationen og den svage part, f.eks. pålægger der den stærke part et særligt ansvar, hvis der er tale om børn, pressede situationer, ugennemskuelige forhold og/eller mærkbare konsekvenser.

Om lovene udformning lever op til det, vil jeg lade bedre kvalificerede kloge i, men jeg savner eksempler på, at samtykker (og EULAer mv.) bliver underkendt, fordi de må forventes, selv efter rimelig og forventelig indsats, at være uforståelige for den samtykkende (apropos EULAer - var der ikke en sag for ca. 12 år siden, hvor det at man som særlig kyndig var i stand til at læse og forstå teksten, blev udlagt som om, at man handlede i ond tro, og derfor populært sagt selv var ude om det? Noget af en catch-22, hvis I spørger mig).

Sålænge man slipper godt fra at kunne forpligte almindelige mennesker med tekster, som er så kringlende, at selv de bedste juridiske hjerner kan bruge lang tid på at diskutere den reelle betydning, ja, så bliver de ved. I samme øjeblik at deres juridiske skinmanøvrer blev underkendt, så bliver teksterne forståelige ... men ikke et øjeblik før. Og det er kun rimeligt, at lægge de største byrder, herunder arbejdet med at undgå misforståelser, på den stærke part; en part, som sidder på "en"-siden af et en-til-voldsomt-mange forhold, og derfor relativt set har langt bedre tid, og en part, som ivøvrigt må forventes at have al den nødvendige tid til at forberede sig, samt mulighederne for at trække på det rette kompentencer og ressourcer. Plus at det i det hele taget kun er rimeligt, at den, som vil opnå noget, også skal forklare sig ordentligt.

Den engelske-sprogede wikipedia-artikel om samtykke har flg. formulering:

As an example, a 2020 study, showed that the Big Tech, i.e. Google, Amazon, Facebook, Apple, and Microsoft (GAFAM), use dark patterns in their consent obtaining mechanisms, which raises doubts regarding the lawfulness of the obtained consent.

Studiet, som Wikipedia henviser til, er denne PDF: https://epub.wu.ac.at/7523/1/HCIS2020_A%20Human-centric%20Perspective%20... - som iøvrigt har mange betragtninger omkring brugen af samtykker, og mange andre gode henvisninger til yderligere information om emnet.

Derefter er der det (retoriske?) spørgsmål om myndighedernes ansvar: Her er min mening klart, at der påhviler samfundet (og dermed myndighederne) et særligt ansvar for at beskytte svage parter imod stærke parters overgreb (det betyder ikke, at den svage part er ansvarfri eller skal pakkes fuldkommen ind i vat - men alene det, at der er tale om svag part implicerer en for den svage part potentielt umulig og urimelige situation - og det er har, at der skal trædes til). Det gælder også ved åbenlyse forsøg på bondefangeri. Om GMail så kan lukkes, tja, mindre burde kunne gøre det, og man bør nok først prøve at vise, at man har muskler at spille med (tja, givet hele GDPR diskussionen iøvrigt, så kan jeg godt se, at det nok er et naivt håb). Der kan også være andre grunde til at tage fat i Googles vingeben; f.eks. betyder det, at noget er "gratis", ikke at det er uden omkostninger: https://www.yalelawjournal.org/note/amazons-antitrust-paradox

Det næste er afsendernes rettigheder. Det kan godt være at modtageren har det fint med at Google sælger alt i hans gmail inboks til NSA. Men hvad med ham der har sendt en email til en gmail adresse, har afsenderen accepteret at blive solgt til NSA?

NSA er ikke den eneste part her. Selvom Google antageligvis betragter deres viden om os som forretningshemmeligheder, og derfor hellere vil sælge retten til at lade andre bruge den imod os, end de vil opgive magten over oplysningerne selv, så er det vist både velkendt og veldokumenteret, at NSAs indsamling af oplysninger flyder videre til allehånde andre amerikanske myndigheder, og at selv USAs egne statsborgere de facto er retsløse i denne sammenhæng. Læg dertil, at spionage mindst lige så meget er industrispionage rettet imod venner og allierede, som det er "almindelig spionage" rettet imod terrorister og slyngelstater.

Men ja. Google er med på en lytter, når vi skriver til nogen med en GMail. De er også med på lytter, når nogen med en GMail skriver til os. Og nej, det synes jeg ikke er rimeligt. Slet ikke. Det betyder da også, at jeg tænker mig om flere gange, inden jeg skriver til nogen med GMail, og det betyder, at jeg tænker over, hvad det jeg siger, siger om mig (og om dem), og om ikke det bør vente til vi måske mødes. Der er en chilling-effect, og det kan ikke være rimeligt. Og her bondefanger man også dem, som ikke ved bedre, eller ikke tænker sig om. Mail kunne være så meget mere, hvis det ikke var blevet perverteret af Google m.fl.

Og ja, jeg har da en GMail adresse selv. Den er fra dengang af, hvor Google var nørded-nuttede, og deres motto var "Do no evil". Jeg begyndte at søge alternativer, da de ikke længere ville afskrive sig viljen til ondskab, men istedet fik "Gør det rigtige" som motto, uden at komme ind på, i hvis interesse de så handlede - næppe vores. Og nej, den er ikke slettet, måske fordi at vi som mennesker er sociale dyr og derfor nemt gribes af FOMO; hvad nu, hvis der er nogen ikke har opdateret deres adressebog eller bare svarer på en (æld-)gammel mail, og jeg ikke får beskeden? Irrationelt som bare pokker, men det er også i det krydsfelt, at vi skal forstå samfundets ansvar; selv vi, som ellers burde vide bedre, kan også have brug for hjælp.

  • 14
  • 0
#37 Mogens Lysemose

2) som bare er endnu en regel på regel, i troen på, at regler løser ethvert problem.

3) som man på forhånd udmærket ved, ikke kan håndhæves tilfredsstillende.

Som jer forstår det har den danske Persondatalov i mange år krævet det meste af det som GDPR nu kræver. Men det har ikke haft nogen alvorlig konsekvens for virksomheder og organisationer at bryde den groft, de kunne i værste fald få kritik.

Og derfor har vi set groteske skandaler såsom da SSI sendte samtligr danskeres sundhedsjournaler til den kinesiske ambasades samarbedspartner. Fordi alt dor mange var ligeglade med love og regler.

Så GDPR var langt hen ad vejen ikke nye krav, men virksomhederne opførte sig som om de var, fordi der nu er en risiko for reelle konsekvenser.

Og GDPR kan heller ikke længere siges at være ny. hvor mange år skal virksomheder have til at overholde lovkrav? 10? 20? 100?

  • 4
  • 0
#38 Henrik Sørensen

@Bjarne .... top point for et godt indlæg (#36)!

Du formår at kondensere og naile mange problemstillinger af væsentlig betydning i dit skriv.

Interessant nok, kan mange af tingene fra EULA proportionalitets-problematikken overføres til GDPR og overførselsgrundlag ... EU kommissionen og EDPB har som den stærke part lavet et ultra snørklet regelset som skaber en usikker retstilstand for alle virksomheder i EU og som reelt set ikke kan forstås af nogen ... denne debat som et godt eksempel.

Jeg er sikker på at en del vil mene, at det ER klart og har været det længe, men der er lige så mange, der ikke deler den opfattelse.

Det væsentlige er ikke, hvem der har ret, men, at lovgivningen er så dårlig forfattet, at der fortsat er væsentlig uenighed om dens fortolkning og håndhævelse ... uenighed blandt os der debatterer her, uenighed blandt jurister og uenighed i den reelle implementering i hverdagen.

Senest er Datatilsynet kommet med en vejledning, som de sikkert selv er stolte af, men som faktisk ikke vejleder nogen. Javel, den er da interessant at læse for os, der nørder med det her til daglig, men den kan næppe bruges, som en vejledning af den lille VVS virksomhed, som gerne vil bruge diverse moderne it-værktøjer til at understøtte det daglige arbejde eller af den mellemstore virksomhed der har kontorer og sælgere i lande udenfor EU/EØS.

Hvis de vil være sikre, så kan de bare holde sig fra amerikanske services, lyder et af debat-ekkoerne tit. Men er det rimeligt, at man skal afholde sig fra at gøre noget, fordi lovgivningen på området er uklar?

Lovgivning bør altid være klar, entydig og letforståelig for de som er omfattet af den. Det er langt fra tilfældet her.

... og vejledningen fra Datatilsynet? ... den burde som minimum indeholde en positivliste som virksomhederne kunne bruge som rettesnor for hvilke services udenfor EU/EØS, der frit kan anvendes. Datatilsynet er de eneste, der er i stand til at lave listen. ALLE andre kan kun vente på at blive straffet hvis de forsøger fordi de tror at de har forstået lovgivningen eller holde sig helt væk af skræk for at gøre noget forkert.

Den slags lovgivning og myndighedshåndhævelse hører normalt kun hjemme i totalitære stater.

  • 6
  • 4
#42 Poul-Henning Kamp Blogger

EU kommissionen og EDPB har som den stærke part lavet et ultra snørklet regelset som skaber en usikker retstilstand for alle virksomheder i EU og som reelt set ikke kan forstås af nogen ... denne debat som et godt eksempel.

Det var dog den mest latterlige propaganderende gang vås at høre på...

Retten til privatliv er en af EU's fundamentale menneskerettigheder og EU reglerne, GDPR og andre, er derfor utroligt simple at forstå: Det er dit forbandede ansvar at minimere mængden af persondata du indsamler, behandler og opbevarer og at holde de persondata du ikke kan undgå hemmelige for uvedkommdende.

Der findes derimod ingen fundamental EU-ret om at virksomheder kan få deres IT-budget subsidieret ved at bruge "billige" "cloud-services" og derfor gives der naturligvis ingen form for "rabat" på pligten til persondatabeskyttelse med den begrundelse.

Dit tuderi lyder og er præcis lige så moralsk anløbent, som det vi hørte fra den kemiske industri dengang det blev dem forbudt at dumpe deres affald i plantager, høfter og alle mulige andre biotoper udenfor alfar vej: "Hvordan skal vi drive virksomhed på de vilkår?!"

Hvis din virksomheds profitabilitet afhænger af lemfældig omgang med persondata eller dumping af giftigt affald, bør virksomheden lukkes hurtigst muligt.

  • 19
  • 1
#43 Henrik Sørensen

@Bjarne Nielsen (#34) du skriver:

Den fortolkning må vist stå for din egen regning.

... til min påstand om, at EU ønsker at flytte omsætning, viden og udvikling tilbage til europa.

Jeg er dog ikke alene om at betale den 'regning', men får hjælp af EUs 'præsident' ... eller mere korrekt, formanden for Det Europæiske Råd, Charles Michel, som i sin tale: "Digital sovereignty is central to European strategic autonomy" fra starten af i år, blandt andet siger:

It’s no longer acceptable, nor sustainable, that companies make huge profits in a market without paying taxes where they operate.

... og lidt senere ...

Our ambition is to lead the way and work with partners to deliver a rulebook for the digital economy. And now, we have a fresh opportunity to forge a joint EU-US tech agenda. A consensus is emerging – on both sides of the Atlantic – that online platforms and Big Tech have the potential to threaten our common democratic values.

We are currently reaching out to stakeholders both in the EU and US to explain our goals. To set fair rules and ensure online businesses respect EU fundamental rights and values, when operating in our market.

Du kan læse hele talen her: https://www.consilium.europa.eu/da/press/press-releases/2021/02/03/speec...

Har du mod på mere læsning, er der en masse at hente i de vedtagne tekster om EUs cloud initiativ ... dem kan du finde et udvalg af her: https://www.europarl.europa.eu/doceo/document/TA-8-2017-0052_DA.html

  • 1
  • 1
#46 Henrik Sørensen

@Peter Stricker (#45)

Det skal du være velkommen til da jeg antager at det er hans synspunkt om grundrettigheder du er enig i og ikke at det er ok at gå efter personen.

PHK har en absolut valid pointe og det ville være befriende, hvis lovgivningen blev skrevet så enkelt som han udtrykker det:

Det er dit forbandede ansvar at minimere mængden af persondata du indsamler, behandler og opbevarer og at holde de persondata du ikke kan undgå hemmelige for uvedkommdende.

... måske lige med undtagelse "forbandede", som ikke er kønt i lovtekster...

Jeg opponerer alene over at PHK ikke kan holde fokus på det faglige/saglige men benytter lejligheden til et personangreb. Derfor anmeldelsen af indlægget.

  • 5
  • 5
#47 Poul-Henning Kamp Blogger

PHK har en absolut valid pointe og det ville være befriende, hvis lovgivningen blev skrevet så enkelt som han udtrykker det:

Det er nok min egen største anke mod hele EU projektet: Den totalt manglende evne til at fatte sig i korthed.

Omvendt kan man faktisk indvende at det måske er en god ting at ingen af de fornuftige ting der står i EU's grundtraktater kan stå på et banner i en demonstration.

Men at argumentere at reglerne er indviklede er stadig et skinargument: Det har altid været god latin at hvis man ikke var sikker på hvor grænsen var, holdt man bare ekstra afstand fra den.

PS: At du opfatter mit svar på dit indlæg som et personangreb har jeg svært ved at tage seriøst, når dine egne indlæg også er fyldt med overdrivelser som "vanvid", "selvsving af juristeri" osv. Hvis det er godt for gåsen er det godt for gasen.

  • 11
  • 1
#48 Mikael Ibsen

Nicolai Petersen skriver: “1) Hvem bliver skadet her? 2) Se al lovgivning i straffeloven 3) Nogle forbrydere går fri, men skal vi derfor undlade at straffe dem vi fanger?”

Vedr. 1): Læs lige den afsluttende kommentar igen: Det gør vi allesammen, mens en række offentlige systemer ligger brak, og bakser med at få nye regelrette cloud løsninger til at fungere i praksis. Og det kan tage sin tid !

Vedr. 2) og 3): Udstedelse af regler, som ikke kan håndhæves tilfredsstillende, er og bliver naiv symbolpolitik til pynt og tom demonstration af politisk pseudo-handlekraft, i og med at de ikke kan håndhæves tilfredsstillinde, og dermed får en reduceret praktisk virkning - hvis overhovedet nogen.

  • 1
  • 0
#49 Henrik Sørensen

PS: At du opfatter mit svar på dit indlæg som et personangreb har jeg svært ved at tage seriøst, når dine egne indlæg også er fyldt med overdrivelser som "vanvid", "selvsving af juristeri" osv. Hvis det er godt for gåsen er det godt for gasen.

Jeg angriber ikke afsenderen, udtaler mig ikke om vedkommendes moral eller kommer med påstande om at den virksomhed vedkommende arbejder for skal lukkes.

Det er forskellen.

PHK du har mange stærke meninger - behøver de virkelig at blive spicet op med angreb på den du diskuterer med?

  • 5
  • 8
#50 Nicolai Petersen
  • 9
  • 0
#53 Bjarne Nielsen

Vi bør holde en god tone ...

Ja.

... og hvis modparten opfatter ens indlæg som personligt, så siger man undskyld.

Nej.

Det afgørende her er sådan set ikke, om nogen føler sig krænket, men derimod om de har grund til det. Udover et enkelt ord, som jeg nok havde valgt at nøjes med at tænke, så er det synspunkternes karakter, og ikke personens ditto, som får en omgang.

Eksempelvist:

Hvis din virksomheds profitabilitet afhænger af lemfældig omgang med persondata eller dumping af giftigt affald, bør virksomheden lukkes hurtigst muligt.

Det er efter min mening et helt validt synspunkt, som jeg deler.

Havde der stået "Da din virksomhed...", så var det et konkret udsagn om en given virksomhed (og så kunne virksomheden med rette føle sig krænket), men når der nu engang står "Hvis din virksomhed...", så rammer det naturligvis ikke virksomheder, som ikke driver lemfældig omgang med persondata eller giftigt affald. Og jeg vil ikke opfatte et angreb på min virksomhed, som værende personligt, dertil har jeg al for lille samlet indflydelse og ansvar ... men jeg ville måske nok være klar til imødegå evt. misforståelser.

Det sagt, så havde jeg nok prøvet at formulere mig anerledes (der er tidligere røget et par finker af min pande, så jeg skal ikke gøre mig hellig).

  • 10
  • 0
#54 Bjarne Nielsen

Jeg er dog ikke alene om at betale den 'regning', men får hjælp af EUs 'præsident' ... eller mere korrekt, formanden for Det Europæiske Råd, Charles Michel, som i sin tale: "Digital sovereignty is central to European strategic autonomy" fra starten af i år, blandt andet siger:

It’s no longer acceptable, nor sustainable, that companies make huge profits in a market without paying taxes where they operate.

Jeg indrømmer blankt, at jeg læste det i kontekst af GDPR, og det har jeg meget svært ved at se som et protektionistisk tiltag. Jeg har af forskellige årsager ikke formået at følge med i de seneste initiativer, men fornemmer at det nok godt kan være en omgang sammenkog ... hestekræmmerne har næppe ligget på den lade side.

Til gengæld adresserer Charles Michel der en helt reelt dagsorden om, at vi selvfølgelig ikke skal finde os i, at man gerne vil høste alle fordelene at et rigt og velordnet EU, men er forduftet, når regningen skal betales.

Vi kommer givetvis til at se mere af dette i fremtiden, f.eks. på miljøområdet, hvor man ikke vil finde sig i at blive udkonkurreret på ens hjemmemarked af virksomheder, som finder det opportunt at udnytte et oversøisk "race to the bottom".

En teknik er "border-adjusted taxation", og i det omfang, hvor det gælder for alle, så er det ikke en teknisk handelshindring: du vil f.eks. skulle betale CO2 afgift af din produktion i EU, men du er også velkommen til at flytte den udenfor, og i stedet betale den, når du eksporterer dine varer til EU.

Men jeg beklager, hvis jeg misforstod dig, når jeg antog, at du talte om GDPR.

  • 5
  • 0
#55 Bjarne Nielsen

Interessant nok, kan mange af tingene fra EULA proportionalitets-problematikken overføres til GDPR og overførselsgrundlag ... EU kommissionen og EDPB har som den stærke part lavet et ultra snørklet regelset som skaber en usikker retstilstand for alle virksomheder i EU og som reelt set ikke kan forstås af nogen ... denne debat som et godt eksempel.

Det har jeg meget svært ved at genkende, men nu har jeg så også kun læst GDPR, og en række af EDPB udtalelser. Det virker både kort, klart og forståeligt.

Jeg orkede ikke læse den danske lovtekst, men jeg læste hovedparten af høringssvarene, og jeg kan konstatere, at flere af de gode svar som jeg læste, tilsyneladende ikke har fundet vej til den danske lovtekst (f.eks. er muligheden i artikel 80, stk 2 fravalgt i DK, hvad gør at interesseorganisationer ikke kan tage princippielle sager op af egen drift, men skal vente på at en borger føler sig tilstrækkeligt konkret krænkret helt personligt ... hvilket næppe har bidraget til at skabe overblik og ordnede og ensartede forhold - og også kan gøre af de mange uretfærdigheder hver sig ikke ikke er store nok, selvom de samlet set ville være).

Den danske lovtekst er vist også blevet betydeligt længere (hvad man ikke rigtigt kan klandre EU og GDPR for). Jeg sidder personligt tilbage med en fornemmelse af, at man grundlæggende set var uenig ... og så er det måske nok ganske vanskeligt at formulere sig kort og klart.

KLs såkaldte "40 benspænd" fremstod også for mig mest som om at KL havde gjort sig stor umage med at falde over sine egne ben, og det derfor kom til at fremstå polemisk. Datatilsynets svar var - som altid - høfligt, men der findes kejsere, som stod tilbage med mere dækkende tøj, end det KL endte med at have på. Det næppe bidraget til den generelle forståelse for GDPR, og det har vi kun KL at takke for.

Safe Harbour og Privacy Shield har næppe heller gavnet noget, selvom det både var tydeligt, at der ikke var fugls føde at finde der, hvilket også fremgår klart af dommene. Det har heller ikke bidraget til opfattelsen af GDPR, men igen, her er det ikke GDPR, som er problemet.

Der er mange flere eksempler, så jeg efterlades altså med den opfattelse, at mange af dem, som angiveligt har så svært ved at forstå GDPR, og med at forstå at persondata ikke må behandles lemfældigt, i virkeligheden mangler viljen til at forstå det for dem ubekvemme budskab. Og hvis man mangler viljen til at ville forstå, så kan man godt nok skabe megen forvirring, selv om ganske simple regler. F.eks. ved igen og igen at bede om vejledninger eller forklaringer, når de vejledninger og forklaringer man får, ikke lige passer en.

...Safe Harbour, Privacy Shield, SCC, etc. etc. Hold nu op med, med den ene hånd igen og igen at kaste unødigt støv op, og med den anden klage over manglende klarhed.

  • 9
  • 1
#56 Henrik Sørensen

@Bjarne (#54) ... det er også muligt, at jeg fik udtrykt mig lidt indforstået, hvilket du så fik fanget mig i ... tak for det.

EU er pt. ved at vågne af Tornerose søvnen og har opdaget, at vi er sakket bagud på helt centrale områder som chip-produktion, batterier, cloud og et par andre områder og man har derfor besluttet at lægge en væsentlig indsats i at styrke disse områder ... det er både rigtig og rigtig godt set. Initiativerne på ovennævnte områder ses blandt andet i rammeprogrammerne og i EUs budgetter i øvrigt.

... og indlægget var sådan set skrevet i GDPR sammenhæng, men pointen var ikke tydelig.

Det jeg forsøgte at pege på var, at jeg synes det er uheldigt at GDPR lovgivningen og den efterfølgende tolkning af den skaber uklarhed fremfor klarhed ... og at den uklarhed kan ses som et subtilt forsøg på protektionisme fra Kommissionens side.

EU tør tydeligvis ikke sige helt fra overfor USA, for så falder konsekvensen prompte og EU eksport til USA risikerer omgående sanktioner ... så derfor bliver det til kattelemslovgivning hvilket er uskønt, men også kontraproduktivt hvis EU ønsker at opbygge kapaciteter indenfor EU.

Meget få virksomheder og organisation vil for alvor kaste energi og penge i at udvikle noget, der kan og skal hamle op med amerikanernes dominans, før de er forvisset om at deres penge ikke er spildt fordi der igen åbnes for sluserne fra USA om få måneder eller år.

  • 2
  • 1
#57 Henrik Sørensen

@Bjarne (#55)

...Safe Harbour, Privacy Shield, SCC, etc. etc. Hold nu op med, med den ene hånd igen og igen at kaste unødigt støv op, og med den anden klage over manglende klarhed

Jeg er meget langt hen ad vejen enig med dig. GDPR i den 'rene' form er ikke specielt svær og PHK skar det ud i pap, hvis man forsat skulle være i tvivl.

Udfordringen er - som du fuldstændig rigtigt peger på - at EU Kommissionen med den anden hånd så opfinder Safe Harbour, SCC med flere, for derefter at blive underkendt gang på gang af EU domstolen.

Det ER altså lovgivningsarbejde af værste skuffe og det er ikke rimeligt, at bede europæiske virksomheder og organisationer om at skulle navigere i.

  • 3
  • 0
#58 Bjarne Nielsen

Henrik (#56+#57), enig langt hen ad vejen. Jeg ville også ønske at det var en klarere retning imod et mere selvstændigt og selvsikkert Europa.

EU er til tider noget af at frankenstein-monster, især når nationalstaterne laver lokumsaftaler internt og med de stærke kommercielle særinteresser. Men i puralismen og fællesskabet er også en stor styrke, og når der opstår konsensus efter dialog, så sker der ting og sager. Der er så mange vigtige dagsordner for tiden, hvor kun EU er i en vægtklasse, hvor der kan gøres en reelt forskel.

Jeg kan personligt godt blive ret utålmodig, og især med vores hjemlige politikere ... men det tager nok tid at finde holdbare og fælles løsninger.

Det ER altså lovgivningsarbejde af værste skuffe og det er ikke rimeligt, at bede europæiske virksomheder og organisationer om at skulle navigere i.

Til gengæld virker det til at være resultat af heftig lobbyisme. Jeg er ret sikker på, at det ikke kun er europæiske virksomheder og deres organisationer, som står bag, men de kan ikke løbe fra et ganske betydeligt medansvar.

  • 3
  • 0
#60 Poul-Henning Kamp Blogger

EU er til tider noget af at frankenstein-monster, især når nationalstaterne laver lokumsaftaler internt og med de stærke kommercielle særinteresser.

Hvis det skulle være forbigået nogens opmærksomhed, så er post-Brexit-EU absolut ikke det samme som pre-brexit-EU.

UK hang konstant og systematisk i bremsen hvergang transnationale skattely-virksomheder, storkapitalen eller investor-klassens interesser blev truet.

  • 11
  • 1
#61 Mikael Ibsen

Ak ja, hvis vi levede i en idéel verden, implementerede man bare nye systemer, baseret på den godkendte cloud, peace of cake og køreklar, for derefter at overføre sine data, naturligvis fuldt kompatible med formaterne i de nye sikre clouds, som smutter over som fod i hose.

Men dér er jeg nu ikke så sikker på, at vi lever, så hvis samtlige, tvivlsomt lagrede data, skal overflyttes til nye sikre systemer og clouds inden for en rimelig tidsramme, skal det nok blive ganske underholdene...

Vi skal sikkert den vej, men det bliver dyrt, meget dyrt, på mange måder.

Og i samme idéelle verden er håndhævelse jo heller ikke noget problem - hvis der da ellers stilles tilstrækkelig resurser til rådighed.

Jo vist, alt er da såre godt på papiret, så lad os nu bare håbe, at det også vil komme til at fungere kaos- og skaldalefrit i den virkelige verden.

  • 1
  • 4
#63 Johnny Lüchau Blogger

Men man kan da køre på hetzner vm cloud f.ex. der kan også autoskaleres og har et api mv. De og andre glimrende europæiske alternativer, er desværre ikke så velkendte.

Det er fulstændigt rigtigt. Hetzner er klart nemmest og billigst, men der er mange andre. Ikoula, Noris, StackIT og Scaleway er også ok. Finske Upcloud er også fede, men i deres iver for at "vækste" (en belgisk kapitalfond har købt sig ind), er de begyndt at udvide ved at bruge amerikansk-ejede datacentre. Holder man sig i deres egne centre i Finland, så er man på den sikre side.

Svenske Elastx.se er specialiserede til udbydere af SaaS-udbydere der skal have 100% oppetid.

  • 7
  • 0
#66 Mogens Lysemose

Det har alle dage været umiddelbare fordele for personer og virksomheder ved at snyde og bryde reglerne, fordi det er dyrt og besværligt for dem der vil holde dem. Og derfor helt urimelig konkurrence, hvis reglerne ikke bliver håndhævet.

Uanset om man synes landets love er fornuftige eller ej skal man jo holde dem. At det f.eks. er dyrt at betale skat giver mig jo ikke ret til at lade være.

  • 4
  • 0
#67 Mikael Ibsen

Jeg forstår ikke, hvorfor der hele tiden tales om at snyde - jeg taler for at tænke sig godt om, inden man fristes til at laver regler for reglers skyld.

Konsekvenserne for dem, man ønsker at beskytte, kan let blive alvorligere end for dem, man ønsker at beskytte sig imod.

Det kaldes vist at gøre sig selv en bjørnetjeneste. Der er også noget, som hedder pragmatisme, med det er ikke rigtig på mode blandt politikere.

At der så muligvis er nogle, der snyder, er en naturlig bivirkning ved enver lovgivning - spørgsmålet er kun fristelsens størrelse, og om hvorvidt der kan håndhæves tilfredstillede.

  • 1
  • 0
#69 Mikael Ibsen

Man kan beskytte borgerne på mange måder: Ved at sylte dem ind i spilleregler og/eller fx. som vores kære justitsminister med hans “frihed” under kameraovervågning.

Eller stole på deres sunde fornuft og holde lovkanonen lidt i ro.

Og det er så den sidste bemærkning fra min side - tak for en hyggelig debat ud fra to ret forskellige indfaldsvinkler - det er jo det, man har debatter til, når de er bedst.

  • 1
  • 0
#70 Nicolai Petersen

Man kan beskytte borgerne på mange måder: Ved at sylte dem ind i spilleregler og/eller fx. som vores kære justitsminister med hans “frihed” under kameraovervågning.

Her bør man skelne mellem hvem der syltes ind i spilleregler, borgerne eller virksomheder.

Eller stole på deres sunde fornuft og holde lovkanonen lidt i ro.

Hvis det er borgernes sunde fornuft, måske.

Hvis vi taler virksomheder, så er der kun profitten der tæller!

  • 4
  • 0
Log ind eller Opret konto for at kommentere