Datatilsynet vil ikke anerkende kryptering af persondata som alternativ til Safe Harbour

Det er stadig ulovligt at opbevare europæiske persondata på amerikanske servere, også selvom de er krypterede, vurderer Datatilsynet.

Kryptering af følsomme persondata på amerikanske servere er ikke løsningen, der kan redde danske virksomheder fra Safe Harbour-dommen.

Tusindvis af virksomheder risikerer at blive anmeldt til Datatilsynet i starten af 2016, hvis de ikke får styr på de persondata, som de gemmer hos amerikanske cloud-tjenester som Google Drive og Dropbox.

Det gælder alt fra oplysninger om personale til kontaktlister og andre personlige oplysninger, som bliver gemt i skyen og ender på amerikanske servere.

EU-domstolen slog med Safe Harbor-dommen i oktober fast, at det mest udbredte lovgrundlag, som ellers gjorde dataoverførslerne lovlige, er ugyldigt.

Læs også: Ulovligt at gemme data om kunder eller medarbejdere på Google Drive

Det har fået flere - heriblandt Version2’s læsere - til at overveje muligheden for i stedet at kryptere de følsomme data. På den måde ville oplysningerne ikke være noget værd, selvom de skulle falde i de forkerte hænder.

Men det kan der ikke blive tale om ifølge Datatilsynet. Overfører man persondata til USA på Safe Harbour-grundlaget, så er det stadig ulovligt, selvom data er krypterede.

»Kryptering betyder selvfølgelig noget for sikkerheden. Men så længe der findes en nøgle til at dekryptere persondata, så gælder det stadig som en dataoverførsel, der kræver et overførselsgrundlag,« siger specialkonsulent hos Datatilsynet Jesper Husmer Vang.

Virksomheder må i stedet lave standardkontrakter eller såkaldte Binding Corporate Rules (BCR) med databehandlere fra februar 2016. Hvorvidt disse to muligheder fremover vil garantere et overførselsgrundlag er dog i skrivende grund uvist.

Krypto-professor: Gammeldags tilgang

Safe Harbour-dommen er faldet i kølvandet på flere års bekymringer om de amerikanske efterretningstjenesters snagen i europæiske borgeres persondata, der for alvor kom på dagsordenen med Snowden-afsløringerne.

Kryptering er flere gange blevet fremhævet som løsningen, der kan være med til at sikre privatlivet. Blandt andet har Apple automatisk krypteret kundernes data, hvilket gør dem ude af stand til at udlevere oplysninger til efterretningstjenesterne.

Derfor er kryptering af data opbevaret i USA også det rigtige svar på Safe Harbour-dommen ifølge professor i kryptologi og it-sikkerhed på Aarhus Universitet, Ivan Damgård.

»Det er ren formalisme, når Datatilsynet siger, at kryptering stadig kræver et overførselsgrundlag,« siger han og påpeger, at med de rette forholdsregler, så er kryptering lige så sikkert, som at opbevare data i europæiske datacentre:

»Det vigtige er, at krypteringen overholder de gældende standarder (AES, red.), og at man håndterer nøglen på den rigtige måde.«

Der er flere cloud-udbydere, som tilbyder at kryptere filerne. Dog skal man være varsom med at vælge dem, hvor den private nøgle også gemmes i skyen, advarer professoren.

»Du kan kun bevare kontrollen over data, hvis du selv håndterer nøglen. Men hvis du gør det, så kan jeg ikke se, at der skulle være nogen grund til, at det ikke er lige så godt, som hvis du havde data liggende i Europa.«

Læs også: Forhandlingsknuder: Ny Safe harbour-aftale er ikke i syne

Lovgivning tager ikke højde for kryptering

Når Datatilsynet ikke vil anerkende kryptering som et alternativ til Safe Harbour, skyldes det ifølge Ivan Damgård en gammeldags lovgivning.

»Man bliver nødt til at opdatere juraen, så den følger med teknologien. Man bliver formentlig nødt til at skrive kryptering ind i juraen,« siger han og fortsætter:

»Den gammeldags juridiske tilgang er, at hvis data er personlige og skal beskyttes, og der findes en nøgle, så man kan genskabe de oprindelige data, selvom de er krypterede, så er det lige meget, hvem der har nøglen. Så er det ligesom at have klar tekst.«

Med andre ord anerkender lovgivningen ikke kryptering som en sikker opbevaring af persondata.

Dette står dog i skærende kontrast til den udbredte digitale signatur Nemid, som på samme måde som kryptering, benytter sig af en privat nøgle som sikkerhed.

Tidligere havde den digitale signatur ingen juridisk gyldighed, men i dag kan man bruge den til alt fra at underskrive dokumenter fra det offentlige og tilmelde sig som organdonor.

»Man kan sammenligne situationen med digital signatur for et par år siden. Der havde det ikke nogen juridisk gyldighed, men det har det nu, selvom der er en nøgle involveret,« siger Ivan Damgård.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (12)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Henning Wangerin

»Kryptering betyder selvfølgelig noget for sikkerheden. Men så længe der findes en nøgle til at dekryptere persondata, så gælder det stadig som en dataoverførsel, der kræver et overførselsgrundlag,« siger specialkonsulent hos Datatilsynet Jesper Husmer Vang.

Hvis det er udbyderen som "tilbyder" at kryptere data har det i min optik ingen betydning om der krypteres eller ej. Udbyderen har jo adgang til nøglen, hvis han "vil" se hvad du har liggende.

Hvis det derimod er client-side at der krypteres, er det jo en helt anden sag. Så kan udbyderen jo netop ikke lukke filerne op.

Eller hvis vi snakker tager eksemplet fra en anden artikel om ownCoud, hvor data håndteres af en lokal server, men data gemmes fysisk i skyen, efter at de er blevet krypteret, så kan jeg ikke se noget problem.

Pointen er vel at ingen uvedkommende må få adgang til de pågældende data.

  • 8
  • 0
René Nielsen

Pointen er vel at ingen uvedkommende må få adgang til de pågældende data.

Nej, for hvis ikke lovgivningen ændres, så er det uden betydning om der anvendes kryptering – følsomme persondata må bare ikke opbevares i USA.

Jeg vil mene at man har en spillernatur – hvis man tror at Datatilsynet ikke stikker en bøde ud i den situation.

  • 1
  • 0
Esben Nielsen

Selvom en myndighed beskytter mine data med en sikker kryptering nu, kan den måske brydes om nogle år. Derfor er kryptering som sikkerhed for dataopbevaring ikke helt godt nok. Husk på at ingen (ud over one-time-pad) krypteringsalgoritmer er matematisk bevist sikker - det er kun noget vi gætter på de er.

Når vi snakker dataoverførsel gælder det samme, men så skal Eve jo først logge alt data og gemme det til hun kan afkode det. Når vi snakker dataopbevaring, er det gjort jo for hende.

  • 3
  • 0
Kristian Sørensen

Man skal lige huske på at de krypteringsprodukter man reelt råder over som normal virksomhed typisk vil bruge algoritmer der er "godkendt af NSA" og dermed må anses for ikke at yde tilstrækkelig sikkerhed mod kompromitering fra netop de amerikanske myndigheder, uagtet at de kan være godt nok værn mod de fleste andre snushaner.

Så lige netop ved lagring af data i USA hvor man anser myndighederne i USA som en mulig snushane, er kryptering ikke en tilstrækkelig beskyttelse

  • 6
  • 0
Ole Tange Blogger

Min rygmarvsreaktion var: Selvfølgelig må du sende data til USA, hvis de er client-side krypterede.

Men efter at tænkt lidt mere: Det er ikke lige meget, hvordan de er krypterede. Jeg vil f.eks. ikke synes godt om, at man brugte ROT13 kryptering - slet ikke hvis man gjorde det 2 gange. Eller hvis man benytter AES med en nøgle, som alle har adgang til. Eller med en nøglelængde, som jeg synes er for kort. Eller man har brug en elendig RNG. Eller ...

Vurderingen af, om det er krypteret "godt nok" kommer Datatilsynet helt ud over ved at sige "Nix", og det føler jeg mig reelt mere tryg ved end hvis Datatilsynet skulle til at vurdere om det er krypteret "godt nok".

  • 6
  • 0
Claus Berthelsen

EU-kommissionen lægger blandt andet op til, at Europol fremover skal have direkte it-adgang til "nationale informationssystemer" i medlemslandene.

Det kalder Datatilsynet "betænkeligt", fordi der vil være "en risiko for, at den dataansvarlige (nationale myndighed), på trods af, at denne fortsat er ansvarlig for lovligheden af videregivelsen og datakvaliteten, mister kontrollen over videregivelsen".

Herudover advarer Datatilsynet om, at en direkte adgang for Europol til Danmarks nationale informationssystemer er i strid med persondataloven, der slår fast, at Datatilsynet skal godkende, hvis data ønskes udleveret.

http://arbejderen.dk/indland/datatilsynet-advarer-mod-nyt-europol

  • 3
  • 0
Log ind eller Opret konto for at kommentere