Datatilsynet vil ikke anerkende kryptering af persondata som alternativ til Safe Harbour

2. december 2015 kl. 15:4512
Det er stadig ulovligt at opbevare europæiske persondata på amerikanske servere, også selvom de er krypterede, vurderer Datatilsynet.
person
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
person

Kryptering af følsomme persondata på amerikanske servere er ikke løsningen, der kan redde danske virksomheder fra Safe Harbour-dommen.

Tusindvis af virksomheder risikerer at blive anmeldt til Datatilsynet i starten af 2016, hvis de ikke får styr på de persondata, som de gemmer hos amerikanske cloud-tjenester som Google Drive og Dropbox.

Det gælder alt fra oplysninger om personale til kontaktlister og andre personlige oplysninger, som bliver gemt i skyen og ender på amerikanske servere.

EU-domstolen slog med Safe Harbor-dommen i oktober fast, at det mest udbredte lovgrundlag, som ellers gjorde dataoverførslerne lovlige, er ugyldigt.

Artiklen fortsætter efter annoncen

Det har fået flere - heriblandt Version2’s læsere - til at overveje muligheden for i stedet at kryptere de følsomme data. På den måde ville oplysningerne ikke være noget værd, selvom de skulle falde i de forkerte hænder.

Men det kan der ikke blive tale om ifølge Datatilsynet. Overfører man persondata til USA på Safe Harbour-grundlaget, så er det stadig ulovligt, selvom data er krypterede.

»Kryptering betyder selvfølgelig noget for sikkerheden. Men så længe der findes en nøgle til at dekryptere persondata, så gælder det stadig som en dataoverførsel, der kræver et overførselsgrundlag,« siger specialkonsulent hos Datatilsynet Jesper Husmer Vang.

Virksomheder må i stedet lave standardkontrakter eller såkaldte Binding Corporate Rules (BCR) med databehandlere fra februar 2016. Hvorvidt disse to muligheder fremover vil garantere et overførselsgrundlag er dog i skrivende grund uvist.

Krypto-professor: Gammeldags tilgang

Safe Harbour-dommen er faldet i kølvandet på flere års bekymringer om de amerikanske efterretningstjenesters snagen i europæiske borgeres persondata, der for alvor kom på dagsordenen med Snowden-afsløringerne.

Artiklen fortsætter efter annoncen

Jobs

Dine job
Vis alle

Kryptering er flere gange blevet fremhævet som løsningen, der kan være med til at sikre privatlivet. Blandt andet har Apple automatisk krypteret kundernes data, hvilket gør dem ude af stand til at udlevere oplysninger til efterretningstjenesterne.

Derfor er kryptering af data opbevaret i USA også det rigtige svar på Safe Harbour-dommen ifølge professor i kryptologi og it-sikkerhed på Aarhus Universitet, Ivan Damgård.

»Det er ren formalisme, når Datatilsynet siger, at kryptering stadig kræver et overførselsgrundlag,« siger han og påpeger, at med de rette forholdsregler, så er kryptering lige så sikkert, som at opbevare data i europæiske datacentre:

»Det vigtige er, at krypteringen overholder de gældende standarder (AES, red.), og at man håndterer nøglen på den rigtige måde.«

Der er flere cloud-udbydere, som tilbyder at kryptere filerne. Dog skal man være varsom med at vælge dem, hvor den private nøgle også gemmes i skyen, advarer professoren.

»Du kan kun bevare kontrollen over data, hvis du selv håndterer nøglen. Men hvis du gør det, så kan jeg ikke se, at der skulle være nogen grund til, at det ikke er lige så godt, som hvis du havde data liggende i Europa.«

Lovgivning tager ikke højde for kryptering

Når Datatilsynet ikke vil anerkende kryptering som et alternativ til Safe Harbour, skyldes det ifølge Ivan Damgård en gammeldags lovgivning.

»Man bliver nødt til at opdatere juraen, så den følger med teknologien. Man bliver formentlig nødt til at skrive kryptering ind i juraen,« siger han og fortsætter:

Artiklen fortsætter efter annoncen

»Den gammeldags juridiske tilgang er, at hvis data er personlige og skal beskyttes, og der findes en nøgle, så man kan genskabe de oprindelige data, selvom de er krypterede, så er det lige meget, hvem der har nøglen. Så er det ligesom at have klar tekst.«

Med andre ord anerkender lovgivningen ikke kryptering som en sikker opbevaring af persondata.

Dette står dog i skærende kontrast til den udbredte digitale signatur Nemid, som på samme måde som kryptering, benytter sig af en privat nøgle som sikkerhed.

Tidligere havde den digitale signatur ingen juridisk gyldighed, men i dag kan man bruge den til alt fra at underskrive dokumenter fra det offentlige og tilmelde sig som organdonor.

»Man kan sammenligne situationen med digital signatur for et par år siden. Der havde det ikke nogen juridisk gyldighed, men det har det nu, selvom der er en nøgle involveret,« siger Ivan Damgård.

Emner
12 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle
Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
12
Claus Berthelsen
3. december 2015 kl. 13:21

EU-kommissionen lægger blandt andet op til, at Europol fremover skal have direkte it-adgang til "nationale informationssystemer" i medlemslandene.

Det kalder Datatilsynet "betænkeligt", fordi der vil være "en risiko for, at den dataansvarlige (nationale myndighed), på trods af, at denne fortsat er ansvarlig for lovligheden af videregivelsen og datakvaliteten, mister kontrollen over videregivelsen".

Herudover advarer Datatilsynet om, at en direkte adgang for Europol til Danmarks nationale informationssystemer er i strid med persondataloven, der slår fast, at Datatilsynet skal godkende, hvis data ønskes udleveret.

https://arbejderen.dk/indland/datatilsynet-advarer-mod-nyt-europol

  • more_vert
    • insert_linkKopier link
11
Knud Larsen
3. december 2015 kl. 11:27

Datatilsynets tilgang er politisk. Det har intet med sikkerhed at gøre. Så kan det ikke siges mere simpelt.

  • more_vert
    • insert_linkKopier link
10
Ole Tange
3. december 2015 kl. 11:16

Min rygmarvsreaktion var: Selvfølgelig må du sende data til USA, hvis de er client-side krypterede.

Men efter at tænkt lidt mere: Det er ikke lige meget, hvordan de er krypterede. Jeg vil f.eks. ikke synes godt om, at man brugte ROT13 kryptering - slet ikke hvis man gjorde det 2 gange. Eller hvis man benytter AES med en nøgle, som alle har adgang til. Eller med en nøglelængde, som jeg synes er for kort. Eller man har brug en elendig RNG. Eller ...

Vurderingen af, om det er krypteret "godt nok" kommer Datatilsynet helt ud over ved at sige "Nix", og det føler jeg mig reelt mere tryg ved end hvis Datatilsynet skulle til at vurdere om det er krypteret "godt nok".

  • more_vert
    • insert_linkKopier link
9
Michael Jensen
3. december 2015 kl. 08:31

Der er meget fokus på Google Drive og Dropbox i de her artikler for tiden. Hvad med MS Office 365? Er det ikke i samme boldgade, eller har de gjort noget særligt for at blive OK?

  • more_vert
    • insert_linkKopier link
7
Kristian Sørensen
2. december 2015 kl. 22:49

Man skal lige huske på at de krypteringsprodukter man reelt råder over som normal virksomhed typisk vil bruge algoritmer der er "godkendt af NSA" og dermed må anses for ikke at yde tilstrækkelig sikkerhed mod kompromitering fra netop de amerikanske myndigheder, uagtet at de kan være godt nok værn mod de fleste andre snushaner.

Så lige netop ved lagring af data i USA hvor man anser myndighederne i USA som en mulig snushane, er kryptering ikke en tilstrækkelig beskyttelse

  • more_vert
    • insert_linkKopier link
6
Kristian Sørensen
2. december 2015 kl. 22:47

Datatilsynet fortjener ros for at stå fast i denne sag.

Det er til vores alle sammens bedste at vore følsomme data ikke opbevares i lande hvor man ikke respekterer privatlivets fred.

  • more_vert
    • insert_linkKopier link
5
Esben Nielsen
2. december 2015 kl. 22:15

Selvom en myndighed beskytter mine data med en sikker kryptering nu, kan den måske brydes om nogle år. Derfor er kryptering som sikkerhed for dataopbevaring ikke helt godt nok. Husk på at ingen (ud over one-time-pad) krypteringsalgoritmer er matematisk bevist sikker - det er kun noget vi gætter på de er.

Når vi snakker dataoverførsel gælder det samme, men så skal Eve jo først logge alt data og gemme det til hun kan afkode det. Når vi snakker dataopbevaring, er det gjort jo for hende.

  • more_vert
    • insert_linkKopier link
4
Claus Bobjerg Juul
2. december 2015 kl. 17:44

Enig, Datatilsynet vurdere det juridiske, hvor kryptografen tænker teknisk. Der er forskel og man skal forholde sig til det juridiske, det tekniske bør man overveje, i mine øjne skal man forholde sig til begge.

  • more_vert
    • insert_linkKopier link
1
Henning Wangerin
2. december 2015 kl. 16:08

»Kryptering betyder selvfølgelig noget for sikkerheden. Men så længe der findes en nøgle til at dekryptere persondata, så gælder det stadig som en dataoverførsel, der kræver et overførselsgrundlag,« siger specialkonsulent hos Datatilsynet Jesper Husmer Vang.

Hvis det er udbyderen som "tilbyder" at kryptere data har det i min optik ingen betydning om der krypteres eller ej. Udbyderen har jo adgang til nøglen, hvis han "vil" se hvad du har liggende.

Hvis det derimod er client-side at der krypteres, er det jo en helt anden sag. Så kan udbyderen jo netop ikke lukke filerne op.

Eller hvis vi snakker tager eksemplet fra en anden artikel om ownCoud, hvor data håndteres af en lokal server, men data gemmes fysisk i skyen, efter at de er blevet krypteret, så kan jeg ikke se noget problem.

Pointen er vel at ingen uvedkommende må få adgang til de pågældende data.

  • more_vert
    • insert_linkKopier link