Interview

Datatilsynet: Tech-giganternes EU-cloud gør dig ikke GDPR-sikker

21. marts 2022 kl. 09:026
Allan Frank, Datatilsynet
Illustration: Datatilsynet.
De amerikanske cloud-leverandørers planer om at indhegne databehandlingen i EU er ikke tilstrækkelig til at gøre det lovligt for danske kunder at bruge tjenesterne, fortæller Datatilsynets ekspert. Først skal databehandleraftalerne nemlig ændres.
Louise Olifent
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
Louise Olifent

Flere store tech-giganter, blandt andet Microsoft og Google, arbejder lige nu på at lave europæiske cloud-løsninger, efter Schrems II-dommen har gjort det meget vanskeligt for danske virksomheder og myndigheder at migrere til amerikansk cloud.

Rykket til Europa indebærer blandt andet, at databehandlingen udelukkende foregår inden for EUs rammer. På den måde kan dataansvarlige virksomheder og myndigheder undgå, at europæiske borgeres personoplysninger ender i USA, hvor problematisk lovgivning truer retten til privatliv.

Men selv de ultra-europæiske løsninger, som tech-giganterne planlægger, er ikke nok til at gøre databehandlingen lovlig, hvis den skal foregå på baggrund af de databehandleraftaler, cloud-leverandørerne tilbyder i dag, fortæller Allan Frank, it-sikkerhedsspecialist og jurist hos Datatilsynet:

»I de situationer, vi har kigget ind i, har det været sådan, at alle de store leverandører har forbeholdt sig muligheden for i yderste konsekvens at udlevere oplysningerne til deres hjemland.«

Artiklen fortsætter efter annoncen

Så det er ikke nok, at cloud-leverandørerne sørger for en udelukkende europæisk databehandling og -opbevaring?

»De skal ind og skrive under på, at de altid følger europæisk lovgivning uanset, hvad de måtte blive mødt med af amerikanske krav. Reelt set skal de sige, at hvis de står i en situation, hvor de bliver tvunget til at vælge mellem europæisk og amerikansk lovgivning, så vælger de europæisk lov,« understreger han.

»Det er jo et spørgsmål om de kan og tør det. Det ved jeg ikke.«

Ulovligt at sende data til USA

Årsagen til, at tech-giganterne planlægger de europæiske løsninger, er, at det lige nu er meget svært at sende data i klartekst – i ukrypteret form – til USA. Det fortalte Allan Frank, it-sikkerhedsspecialist og jurist i Datatilsynet, til Version2 i sidste uge:

Artiklen fortsætter efter annoncen

Jobs

Dine job
Vis alle

»Jeg vil sige, der er et meget, meget – jeg kan næsten ikke sige det nok gange – meget snævert rum for det.«

»Hovedreglen vil være, at det ikke er muligt at overføre persondata til USA i de situationer, hvor oplysningerne i klar tekst er omfattet af problematisk lovgivning,« slog han fast.

Men cloud-leverandørerne skal kunne se data for at tilbyde noget af den funktionalitet, som mange danske virksomheder nyder godt af – det kan eksempelvis være i support-situationer.

Derfor er løsningen, at databehandlingen foregår udelukkende i EU, hvor data ligger i klar tekst, så tech-giganterne kan arbejde med den inden for Europas rammer.

Men her kommer amerikansk lovgivning igen på banen og spænder ben for planen. Loven Cloud Act giver nemlig de amerikanske myndigheder mulighed for at anmode tech-giganterne om at udlevere data, uanset hvor i verden oplysningerne er opbevaret.

På den måde kommer Microsoft, Google og andre amerikanske cloud-leverandører til at sidde fastklemt mellem amerikansk og europæisk lovgivning og skal vælge, hvilke regler man vil overholde.

Ingen garanti fra tech-giganterne

Microsofts danske teknologi-direktør, Ole Kjeldsen, sagde i starten af året under et webinar hos Danmarks DPO-forening, at »vi har aldrig, og vi vil aldrig udlevere data fra den offentlige sektor til nogen myndighed.«

Men det er indholdet af databehandleraftalen, som gælder, understreger Allan Frank.

Artiklen fortsætter efter annoncen

»Selvom de store leverandører siger, at data som udgangspunkt bliver opbevaret i Europa, så er der ofte en undtagelse i aftalerne. Hvis man læser hele kontrakten – alle de mange sider med bilag – så finder man ud af, at selvom de siger, de vil kæmpe med næb og kløer for, at ens oplysninger ikke bliver udleveret, så står der alligevel i en bisætning: ‘Hvis vi alligevel bliver pålagt at udlevere data, så overlever vi den’. I de situationer er der tale om en på forhånd kendt overførsel, og så skal der være et overførselsgrundlag.« siger han.

»Langt nede i flere af de store leverandørers kontrakter står der også, at hvis man får vredet armen rundt på ryggen, så udleverer man data alligevel. Det er de klausuler, dataansvarlige skal ned og have fat i og få masseret ud af sit kontraktgrundlag.«

Det er nemlig stadig de danske virksomheder og myndigheder, der har ansvaret for behandlingen af oplysningerne, hvis man har skrevet under på en aftale, hvor der står, at ens databehandler kan være tvunget til at udlevere data.

»Selvom det er svært at forstå, så må man finde sig i det, der står i kontrakten, når man skriver under på den. Og hvis der står i den, at ens leverandør udleverer oplysninger til USA, så har man en aftalt overførsel til USA. Så kan man ikke komme bagefter og sige, at man ikke troede, leverandøren ville overføre. Man har skrevet under på, at det må leverandøren gerne.«

Et redskab til de dataansvarlige

Datatilsynet forsøger at gøre opmærksom på det kravet til leverandørernes kontrakter i tilsynets nye cloud-vejledning, der også har et afsnit om tech-giganternes migrering til EU.

Men vejledningen understreger også, at hvis man har leverandørens lovning på altid at overholde europæisk lovgivning frem for den amerikanske, så er der mulighed for, at man lovligt kan bruge amerikansk cloud, der hegnet ind i EU. Så vil der nemlig være en utilsigtet overførsel, hvis leverandøren alligevel sender oplysningerne til USA.

Et af Datatilsynets formål med vejledningen er netop er at give virksomheder og myndigheder et dokument, de kan bruge til at tvinge leverandøren til at indgå en GDPR-sikker aftale, understreger Allan Frank:

»Vejledningen er også et redskab for de dataansvarlige, der kan gå til leverandørerne og sige: ‘Datatilsynet siger, at hvis ikke I skriver under på, at I ikke udleverer oplysningerne, så gør det ingen forskel, om I er i EU eller ej’.«

Det er tilmed et realistisk værktøj, mener han, for tech-giganterne er begyndt at bevæge sig i en retning af GDPR-compliance efter pres fra europæiske kunder.

»Vi kan se, at alle de store spillere prøver at levere de her ting på en mere europæisk model. Før Schrems II var der jo ikke nogen diskussion om det. Der var der ikke den store motivation til at ændre et komma i deres retningslinjer og kontrakter.«

»Men der er en bevægelse mod at gøre det her på en mere lovlig måde. Vi håber vejledningen også kan være en brækstang til, at de danske dataansvarlig lettere kan komme i dialog med deres leverandører og få nogle kontrakter, der lever op til de her regler.«

Tilmeld dig V2 Security 2022 | Danmarks største messe om cybersikkerhed


Tilmeld dig messen her

Fokus
,
Emner
6 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
5
Lenni Madsen
22. marts 2022 kl. 17:39

Hvorledes mon det harmonere med MitID's privatlivspolitik, Akamai er jo også Amerikansk-ejet. Kunne være interessant at få oplyst "hvorfor der er sikret overførelsesgrundlag for denne eventuelle kortvarige behandling". Måske er der noget vi andre må få lov til at anvende?

  1. Overførsel til modtagere i tredjelande, herunder internationale organisationer Vi overfører som udgangspunkt ikke dine personoplysninger til modtagere uden for EU og EØS. Bemærk dog hvis du får MitID enten i Grønland eller Færøerne, vil Digitaliseringsstyrelsen sikre overførselsgrundlag. Vi anvender leverandøren Akamai til visse sikkerhedsmæssige driftsleverancer. Hvis sådanne driftsmæssige forhold derfor nødvendiggør det, kan behandling af persondata ske uden for EU, hvorfor der er sikret overførselsgrundlag for denne eventuelle kortvarige behandling.https://www.mitid.dk/mitid-admin-proxy/v4/legal-documents/files/MitID_Privatlivspolitik_v1_2.pdf
  • more_vert
    • insert_linkKopier link
4
Ole Tange
22. marts 2022 kl. 15:59

Jeg skrev om confidential computing i 2020:https://www.version2.dk/holdning/confidential-cloud-computing-digital-restrictions-management-og-international-day-against

Og jeg vurderer, at dette kunne være en af de tekniske forholdregler, som Datatilsynet vil acceptere: Hvis data aldrig er dekrypteret uden for CPU'en og det kun er kunden, der har nøglen til CPU'en, så burde det være OK.

Det kræver, at vi har tillid til, at CPU producenten ikke konspirerer med NSA, så NSA får en bagdør i CPUen, og måske kunne den problematik løses ved at vi får en europæisk CPU produktion, og at der kommer krav om at bruge disse?

Det ville åbne for at kunne leje hardware.

  • more_vert
    • insert_linkKopier link
6
Dennis Benneballe Arnold-Grade
23. marts 2022 kl. 11:42

Det er meget spændende!

CLOUD-act kan netop kræve følgende af cloud-udbyderen:

"A provider of electronic communication service or remote computing service shall comply with the obligations of this chapter to preserve, backup, or disclose the contents of a wire or electronic communication and any record or other information pertaining to a customer or subscriber within such provider’s possession, custody, or control, regardless of whether such communication, record, or other information is located within or outside of the United States."

Det er uklart i lov og praksis, om "preserve" betyder, at udbyderne kan pålægges at logge bestemte kunder eller alle (god gamle "generel og udifferentieret logning"), eller hvad ellers det går ud på.

Men som jeg læser det, sammenholdt med dit tidligere blogindlæg fra 2020, kan det betyde at selv krypteret RAM så ikke ville være nok, hvis CPU ligger hos cloud-udbyderen og NSA via CLOUD-act teoretisk kan kræve at cloud-udbyderen prøver noget for at få adgang til CPU. Og her går jeg altså stadig ud fra at cloud-udbyderen ikke er decideret ondt. Jeg kan bare ikke gå ud fra det samme fra NSA, blot af den grund at de ikke er gennemsigtige, og jeg derfor hellere går ud fra det værste. Aftaler med AMD tror jeg nu ikke på, men det er stadig uklart for mig hvor langt NSA kræver at cloud-ubdydere går for at få fat i og opbevare data, som de mener er "within such provider's "possession"".

(Og ret mig endeligt, hvis jeg har forstået noget af teknikken omkring AMD SEV el.lign.)

  • more_vert
    • insert_linkKopier link
2
Mette Nikander
21. marts 2022 kl. 16:18

Ja jeg er også noget forundret over denne meget vage melding om muligheden for en kattelem. Det har under alle hidtidige forhandlinger om GDPR og i høring været gældende at data der ikke er anonymiseret men "kun" krypteret eller pseudonnymisrede, stadig var at betragte som læsbare,- blot med en nøgle- og de iøvrigt kan være af divergerende kvalitet. FISA'a ret til indsigt i data på amerikansk ejet materiel,uanset hvor på kloden det måtte opbevares, mener jeg også har forrang for EU lov, idet at det er en national lov, så der er et eller andet der ikke hænger sammen. Men hvorfor egentlig al den snak om cloud fra aktører der er udenfor EU, giv dog taletid til de der faktisk snildt kan tilbyde ren EU Cloud og hvorfor iøvrigt ikke også tale om etablering af national Cloud?

  • more_vert
    • insert_linkKopier link
3
Dennis Benneballe Arnold-Grade
22. marts 2022 kl. 09:22

  1. Burde ikke være noget, der er forundrende her. Kryptering kan fint gøre det muligt at bruge cloud. Der skal bare 100 % aldrig være ukrypteret i US-clouden. Krypteret data = ulæseligt.

  2. Der er intet kattelem her. Du kan bruge US-cloud, hvis du kan kryptere det fuldt ud, hvilket kun er muligt i ét tænkeligt scenarie, nemlig når man bruger den store cloud-maskine til blot at opbevare krypteret data, hvor ingen processering af data foregår.

  3. Det er svært med hvilken lov gælder. Det er jo det springende punkt her: internettet har ingen jurisdiktion. Internettet er globalt. Så, hvis man primært arbejder på internettet, så står man i en situation, hvor man kan være mødt med ligelig store krav fra den ene side af atlanten og den anden.

  4. Al den snak om US-cloud aktører er der, fordi ingen EU-cloud kan hoste op, hvad en US-cloud kan. EU-clouds er i et forholdsvist tidligt stadie, og er langt fra så effektive og med så mange funktionaliteter og muligheder, som US-clouds har. Så, det er ikke bare lige hurtigt at vælge en EU-cloud og så fortsætte lystigt. Det bliver både dyrere, mere kompliceret, derfor skal mere tekniske hænder til, så kan du samtidig ikke tilbyde dine kunder det samme længere, ej heller til samme pris, og kvaliteten af din tjeneste forringes, osv. Det ville svare til at have en toplækker og super billig butik på strøget i KBH, og så skulle flytte til en ekstrem dyr, men mindre, og lidt beskidt, butik i gågaden i Hobro. Så, der er stadig rigtig god teknisk incitament til at bruge US-clouds. Hvis EU en skøn dag ægte ville prioritere at blive en reel konkurrent i cloud-markedet, ville der skulle gå nogle år, før vi kan følge med. Og det er vel at mærke, når EU tilfører midler til EU-cloud i stor stil.

  • more_vert
    • insert_linkKopier link
1
Anne-Marie Krogsbøll
21. marts 2022 kl. 13:39

Datatilsynet er - ser det ud til - så småt ved at se skriften på væggen. Men:

  • Jeg troede, at det var ejerskabet, ikke den geografiske placering, som var afgørende? Er det overhovedet muligt/lovligt for et amerikansk ejet selskab at skrive en kontrakt under, hvor der står, at de - i tilfælde af konflikt om udlevering af data - ikke vil overholde amerikansk lov? Eller er det ikke bare endnu en kattelem opfundet til lejligheden?
  • Når vi alligevel ikke kan få oplyst, hvilke anmodninger tech-giganterne udsættes for, hvordan i alverden skal vi så kontrollere, om de overholder en sådan kontrakt?
  • Hvad vil firmaer, der har underskrevet en sådan kontrakt, gøre, hvis de trækkes i retten af NSA/den amerikanske stat for ikke at ville udlevere de data? Tror vi så virkelig på, at de alligevel vil overholde en sådan kontrakt? Hvem er de mon mest bange for?

Nej - jeg tror ikke et sekund på, at den af Datatilsynet foreslåede kattelem vil løse problemet - ikke andet end på overfladen, i det mindste. Under overfladen vil data stadig være forsvarsløst vildt. Datatilsynet ør bare ikke sige blankt "nej" - og så længe de kan finde dpå nye kattelemme, kan de udsætte det ubehagelige øjeblik, hvor de skal til at komme efter firmaer, der ikke lever op til GDPR. Og det er jo et vigtigt formål.

Desuden: Kattelemmen indebærer i følge artiklen, at data så kan sendes i klartekst. Jeg troede, at disse persondata ALDRIG måtte sendes i klartekst - heller ikke indenfor EU? Er det ikke uanset hvad noget forfærdeligt juks at gøre? Eller foregår det i lukkede kredsløb/systemer, hvor tilfældige it-medarbejdere ikke kan få fingre i dem undervejs, a pro pos dagens historie om it-medarbejders snagen i tusindvis af sundhedssjournaler?

  • more_vert
    • insert_linkKopier link