Dumpede Microsoft efter EU-dom: Derfor blåstempler Kombit AWS og Aula

55 kommentarer.  Hop til debatten
Dumpede Microsoft efter EU-dom: Derfor blåstempler Kombit AWS og Aula
Illustration: Kombit.
Efter Schrems II-dommen valgte Kombit sidste år at stoppe med at indgå nye aftaler med Microsoft som databehandler. Samtidig kører Aula-løsningen videre med danske børns persondata på AWS-infrastruktur. Version2 har fået aktindsigt i de interne overvejelser om sikkerheden i folkeskolens kommunikationsplatform.
28. april 2021 kl. 03:45
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Schrems II-dommen, der sidste sommer stemplede USA som et usikkert tredjeland, har sendt chokbølger gennem it-organisationer over hele Europa, der lige siden har haft svært ved at svare på, om deres amerikanske cloud-løsninger stadigvæk er lovlige.

Log ind og få adgang
Du kan læse indholdet ved at logge ind eller oprette dig som ny bruger.
55 kommentarer.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
55
22. juni 2021 kl. 16:59

Så hvordan søges der så i data? Der er vel nødt til at foregå en dekryptering af data for at foretage det egentlige lookup, ellers må alle data vel transporteres til Danmark for at man kan søge i dem?

Pas. Jeg kender ikke til hvordan det virker. Men Aula tager ret længe om at starte op, så jeg tænker at hver persons data er repræsenteret som en blob, og at data dekrypteres på enheden. Ellers kan jeg ikke se hvordan data kan være krypteret under transport.

Det er så et åbent spørgsmål hvordan data deles mellem brugere.

53
22. juni 2021 kl. 14:46

Hvilket, så som jeg har læst tidligere (også på V2, så vidt jeg husker), er nøjagtigt hvad Kombit har gjort med Aula: Data krypteres her i landet, og AWS bruges som lagerplads for de krypterede filer.

Så hvordan søges der så i data? Der er vel nødt til at foregå en dekryptering af data for at foretage det egentlige lookup, ellers må alle data vel transporteres til Danmark for at man kan søge i dem? Jeg vel de bruger Elasticsearch, og den understøtter encrytion at rest på AWS (OpenDistro), men det hjælper jo ikke noget.

Jeg tænker at det er værd for V2 at kigge lidt længere ind i det her, for det ser umiddelbart ikke ud til at det kan lade sig gøre, andet end som en backup-løsning.

52
30. maj 2021 kl. 12:40

Ingen (i IT branchen) er for alvor interesseret i at få data væk fra de tre store Cloud udbydere (Amazon, Google og Microsoft) fordi det koster kassen at etablere alternativer og mange af de eksisterende alternativer er ramt af det samme problem.

Som om det ikke koster kassen at være i AWS. Navnet Amazon kommer jo af Amazonas, mange bække små, gør en stor å = kæmpe flod.

51
6. maj 2021 kl. 11:25
50
4. maj 2021 kl. 11:09

Og løsningen er, at smide landet 20 år tilbage uden reelle alternativer - sure!

Overdrivelse og stråmand - intet af det du siger her er sandt. Case in point - AWS er 15 år og azure er 12 år.

Hvis man ville det her på et europæisk plan er der ikke tale om 20 år. Givet at man fra politisk side vælger at opretholde GDPR og vi derved ikke kan bruge US cloud til personfølsomme data - så er der pludselig en meget stor motivation for at etablere alternativer. Både for private virksomheder og på nationalt plan.

Igen, branchen har haft mulighed for at gøre det i eget tempo - det virkede ikke.

49
4. maj 2021 kl. 09:09

Og løsningen er, at smide landet 20 år tilbage uden reelle alternativer - sure!

48
3. maj 2021 kl. 16:27

Dermed ikke sagt, at GDPR ikke skal overholdes, men jeg forstår simpelthen ikke hykleriet i diskussionen.

"hykleriet" som du så sødt kalder det, er for mit vedkommende en konsekvens af at denne her situation har været synlig for alle.

The patriot act er 20 år gammel, GDPR har haft 3 års fødselsdag.

Så, at stå i dag og sige at det har konsekvenser hvis ikke man må bruge amerikanske cloud leverandører - er udelukkende et tegn på manglende rettidig omhu.

Den kollektive pissen i bukserne er blevet påtalt - tiden er inde til mere fornuftige løsninger der ikke sælger ud af vores basale rettigheder.

47
3. maj 2021 kl. 16:14

Til alle dem, der påstår, at der findes fungerende alternativer: https://www.dr.dk/nyheder/udland/corona-har-udstillet-tysklands-digitale-efterslaeb-arbejde-med-microsoft-eller-google

Man behøver ikke store evner at forestille sig, hvordan landet ville have set ud, hvis skolerne ikke benyttede sig af Microsoft, Google, AWS, mv.

Dermed ikke sagt, at GDPR ikke skal overholdes, men jeg forstår simpelthen ikke hykleriet i diskussionen.

46
1. maj 2021 kl. 13:20

At et datacenter står i EU er ikke garanti for at moderselskabet ikke kan tilgå data. Hvis det er amerikansk ejet, så er moderselskabet stadig forpligtet at fremskaffe data upåagtet deres geografiske placering - tak til Patriot act.

Microsoft blev med en ransagningskendelse beordret til at udlevere data (emails fra Office 365) om en amerikansk statsborger med en konto i Irland. Microsoft modsatte sig ordren med henvisning til at det ville være i strid med Irsk lov og EU-ret.

FBI hævdede, at alene dét, at Microsoft havde kontrol med det irske datterselskab betød, at Microsoft så kunne "beordre" det irste datterselskab til at udlevere data til Microsoft USA som så kunne udlevere til FBI.

Sagen endte i USAs højesteret. Før sagen blev afgjort, vedtog USAs kongres imidlertid en ny lov ("CLOUD act") som Trump underskrev. Ifølge den lov skal cloud leverandører udlevere data på amerikanske statsborgere hvis de har adgang til data, men kan modsætte sig begæringer om data på ikke-amerikanske statsborgere hvis det ville stride mod lokal lovgivning. Dermed undgik man det store retsopgør i højesteretten, og FBI fik (vistnok) emails på borgeren.

Loven har endnu ikke været prøvet i forhold til udlevering af data om ikke-amerikanske statsborgere, hvilket jo er dét som er mest relevant i forhold til Aula. På papiret er der altså nu beskyttelse mod udlevering af EU-borgeres data til amerikanske myndigheder. Men indtil en sag har været prøvet kan vi ikke vide med sikkerhed hvordan domstolene fortolker "kan modsætte sig".

Men der findes også den såkaldte FISA domstol. Den kan udstede kendelser som vi ikke véd ret meget om, fordi de er hemmelige og det er med stafsnsvar forbudt alene at oplyse om at man er blevet udsat for fx en FISA ransagningskendelse. Microsoft, Google, Amazon, Oracle og de andre tech-giganter kan altså have været udsat for FISA kendelser som de har været forpligtet til at følge, men som de ikke kan fortælle nogen om, heller ikke efter at de fx har udleveret data om et efterforskningsmål.

45
30. april 2021 kl. 11:52

Kan det ikke omgås via noget VPN i stil med det, folk bruger når de skal se DR eller TV2 i udlandet, og har brug for en dansk ip-adresse?

Jo, naturligvis, men det kræver så en aktiv indsats fra personen som gør det - og hvis Geoblockeren leder folk til en info side som gør opmærksom på hvad det er man har gang i og at direkte VPN adgang heller ikke er tilladt så vil det sandsynligvis forhindre en del mennesker i at forsøge det.

Der vil så være en rest som bare mener at de har ret, de er uden for pedagogisk rækkevidde men kan altid tildeles en opdragelsesafgift.

...og så vil der være en anden rest som kører egne løsninger som kan betragtes som rimeligt sikre - det kan for eksempel være en vpn hjem som man kører en rdp/vnc session igennem fra egen "rejse" laptop (for eksempel en Chromebook) til egen PC hjemme. Det er naturligvis heller ikke helt sikkert men der gemmes i det mindste ikke noget på laptoppen og forbindelsen er sikker - men kun hvis det er egen laptop.

44
30. april 2021 kl. 11:01

Gælder GDPR hvordan jeg behandler andre menneskers persondata, eller gælder den også, hvordan jeg selv behandler mine egne persondata.

Det kommer an på om du behandler dine egne persondata som privatperson, eller om du gør det i kraft af dit arbejdet. Det er alene virksomheder, myndigheder og organisationer som er underlagt GDPR, privatpersoner er beskyttet af den.

Professionelt benytter jeg mine egne data til at lave sanitychecks på, men det er ikke svært at få privat-mig til at give arbejds-mig et mundtligt samtykke.

41
29. april 2021 kl. 13:00

og åbner adresselisten for hele klassen i Aula. Så foregår der en dataoverførsel til et usikkert tredjeland, som skolen er dataansvarlig for.

...og det er så derfor at der burde være Geoblocking på løsninger som kan udstille andres data end lige dine egne - og den skal kun tillade adgang fra EU og lande som er sikre 3. lande.

Hvis du så er på ferie i usikkert 3. land så er det dit valg og derfor også dit problem at du ikke kan komme på. Det skal dog være oplyst at man før udenlandsrejser bør checke listen af sikre 3. lande.

Min personlige opfordring er at så meget som muligt af det offentlige burde være med Geoblocking - så må man finde løsning til folk som absolut skal på ferie mærkelige steder.

40
29. april 2021 kl. 12:51

Ville data så ikke rent teknisk blive overført fra EU til et tredjeland??

Jo - men:

  1. det ville være din fejl og ikke AULAs eller Netcompanys
  2. du ville have gjort en helt aktiv handling for at få fat i dit barns data
  3. du ville have overført dit barns data til usikkert tredjeland ikke alle danske børns data

...og i øvrigt bruger man ALDRIG en tilfældig computer til ting som skal forblive fortrolige - ALDRIG! Allerede der har du fejlet.

39
29. april 2021 kl. 09:40

Et helt andet problem er jo, hvis Netcompany har sat deres AWS løsning op til replikering / failover / whatever til en andet kontinent, så det "ikke" kun er et spørgsmål om at AWS medarbejdere kan tilgå data ifm. med support, eller myndighederne i USA eller andre tredjelande kan kræve data udleveret uden Kombit eller Netcompany får det at vide, men pludselig gemmes data faktisk også lokalt i AWS datacentre uden for EU.....

Tæt på, men det går videre end det. The patriot act (med hvilken amerikanske virksomheder kan tvinges til at udlevere data) er ikke geografisk begrænset.

Det er altså underordnet om Netcompany (eller andre) har opsat replikering. Det at data (følsomme personoplysninger) findes i et datacenter der er under kontrol af en amerikansk virksomhed (der er underlagt the patriot act) er nok til at GDPR formentligt ikke kan overholdes. Hvilket er præcis det SchremsII går ud på - at facebook ikke kan garantere at GDPR overholdes for data i deres irske datacenter.

37
29. april 2021 kl. 09:02

Hvordan du behandler andre menneskers persondata.

Lige præcis. Private aktiviteter er undtaget GDPR.

Problemet, der nævnes sidst i artiklen, opstår vel, hvis fx forældrene til mine børns klassekammerater tager på ferie i Nordkorea (eller USA) og åbner adresselisten for hele klassen i Aula. Så foregår der en dataoverførsel til et usikkert tredjeland, som skolen er dataansvarlig for.

36
29. april 2021 kl. 08:53

Med andre ord - det er fuldstændig ligegyldig om serveren befinder sig i EU eller ej.

Det er jo ikke korrekt. Der er klart forskel på hvor du opbevarer hundretusindvis af skoleelevers data, og at Hans Peter fra 3B tilgår Aula og sine egne data fra en langsom internetforbindelse med på en motervejs diner i USA. Man må antage at al udveksling af data mellem Aula og Hans Peters tablet som minimum benytter SSL kryptering.

Et helt andet problem er jo, hvis Netcompany har sat deres AWS løsning op til replikering / failover / whatever til en andet kontinent, så det "ikke" kun er et spørgsmål om at AWS medarbejdere kan tilgå data ifm. med support, eller myndighederne i USA eller andre tredjelande kan kræve data udleveret uden Kombit eller Netcompany får det at vide, men pludselig gemmes data faktisk også lokalt i AWS datacentre uden for EU.....

34
28. april 2021 kl. 23:30

Forklar mig lige en ting:

Gælder GDPR hvordan jeg behandler andre menneskers persondata, eller gælder den også, hvordan jeg selv behandler mine egne persondata.

Hvis det sidste er tilfældet, synes jeg det er et indgreb i min personlige frihed, som jeg ikke har haft set komme.

33
28. april 2021 kl. 22:38

Forklar mig lige en ting: hvis vi nu antog at Netcompany flyttede Aula til en server i kælderen i Østerbro, København, Danmark (EU) - og en bruger valgte at tage på ferie i Nordkorea (eller USA) og derfra logge på Aula på en pc i en Internetcafé. Ville data så ikke rent teknisk blive overført fra EU til et tredjeland?? Med andre ord - det er fuldstændig ligegyldig om serveren befinder sig i EU eller ej. Man må aldrig læse data udefra.... Altså er geo-blocking i virkeligheden eneste udvej. Uanset om man bruger en af “de slemme” eller en hel lokal udbyder?

32
28. april 2021 kl. 22:01

Det er en myte at der ikke findes alternativer.

I de store virksomheder behøver beslutningstagerne jo bare åbne døren og snakke med den Microsoft-sælger der står ude på gamgen. Skal man finde alternativer, skal man anstrenge sig lidt mere.

31
28. april 2021 kl. 20:57

at flytte hele lortet ud af USA og hoste det, f.eks. et sted i Europa? Ikke at jeg lige umiddelbart kender til et alternativ til AWS og Microsoft' cloudløsninger...

  • men har man ikke valgt dem netop fordi det er nemt?
30
28. april 2021 kl. 13:26

Men dommen som du kan læse her, tager slet ikke stilling til kryptering. Dommen tager stilling til om data må opbevares i et usikkert land. Og det må man ikke.

Persondata må sagtens opbevares i usikre tredjelande, hvis de ikke kan identificeres som persondata (vha. kryptering eller anonymisering). Efter hvad EDPBs Recommendations 02/2020 draft siger, så skal persondata bare ikke være i klartekst. Derved ville ingen kunne sige, at man har delt personhenførbare data (eller som nogle herinde fejlagtigt kalder det "personfølsomme data" - det er altså ikke et ord der findes. Enten "følsomme persondata", hhv. "sensitive personal data", eller "personhenførbare data", dvs. "personal identifiable information").

Det er lige så meget lokation af data som lokation af firma som er problemet, US lovgivning kan tvinge enhver virksomhed i USA til at udlevere data til myndighederne OG forhindre virksomheden i at meddele det til dem de data omhandler/ejes af.

Det er så ikke alle virksomheder, og ikke alle lokationer. Hvis en virksomhed fx ikke er underlagt FISA 702, fordi de ikke er en "electronic communication service provider", så kan de jo sagtens have en amerikansk moderselskab, uden at være underlagt udlevering af data. Det samme gælder ikke, hvis data sendes fra datterselskabet til moderselskabet i USA, da der så er tale om at der sker den her automatisk masseovervågning igennem DOWNSTREAM (eller UPSTREAM eller hvad de nu kalder den i dag), som er lovliggjort igennem Exec. Order 12333. Så det er altid lige en vurderingssag.

Det, man heller ikke skal undervurdere her, er at krypteringen skal undersøges for dens styrke, og der skal undersøges, hvorvidt en electronic communication service provider underlagt under FISA 702 også udleverer krypterede data for så at lade NSA prøve dekrypteringen. Det lyder nu lidt som en James Bond film, men i mine øjne en reel fare. Kan kryptering knækkes? Har man valgt en god krypteringsstandard, eller er krypteringsstandarden tilfældigvis meget ringe og kan knækkes selv af Google.

Men hvis man overser sidstnævnte bekymring og fokuserer på hvordan fx support-problemstillingen (eller: follow-the-sun-arbejdsmåden) skaber problemer og hvordan disse kan undgås, og om IT branchen er interesseret i faktisk at skulle skifte væk fra big tech virksomhederne (hvilket ikke er IT branchens valg at træffe i virkeligheden, men pyt), så skal man ikke glemme, at big tech virksomhederne sagtens kan hyre eksterne support og hosting-virksomheder, og så fokusere på at sælge licenser frem for at sælge hele løsninger inkl. cloud og support osv. Få en europæisk styret virksomhed med revisorerklæringer fra europæiske revisorer og som er underlagt pligt om ikke at sælge virksomhed til ikke-europæere uden videre samt underlagt GDPR, til at køre driften og supporten for Google, så vil MS, Google, AWS, etc kunne fortsætte som nu. Vi kunne være trygge ved at der ikke sker dataoverførsler, som vi ikke kan trække i retten, og at der er en form for tredjepartskontrol på big tech.

Eller mere simpelt: få USAs lovgivning ændret vha. Biden, få dem til at give stævnerettigheder ifm. FISA 702 til ikke-amerikanere, og så se til at der skabes mere transparens. Hvis ikke overfor os direkte, så overfor fx europæiske myndigheder.

29
28. april 2021 kl. 13:24

Men du kan jo kun udleverer noget du har. Det som du som virksomhed ikke har, kan du jo ikke udleverer og ingen love er overtrådt.

Problemet er at du har det fordi det ligger i et af dine datacentre bare ikke i USA men i EU.

Næste problem er - det er naturligvis kendt af alle med lidt viden om datacentre - at du kan replikere data fra et datacenter til et andet uden at det påvirker driften og uden at nogen anden end dem som driver datacentret kan se det - det er noget som gøres hele tiden. De kanaler replikeringen foregår over er isolerede og bruges udelukkende til administration af datacentrene så ingen kan opdage hvad der sker.

28
28. april 2021 kl. 13:12

Det kan være jeg har formulere mig forkert, men det jeg mente var at så snart data er i plaintext er det lige meget hvordan. RAM er ingen undtagelse. Så jeg er enig med dig.

27
28. april 2021 kl. 13:03

Jeg må sige at jeg mangler et svar på hvor de terminere forbindelserne. Hvis det sker i AWS har de altså et problem. lovgivningen forholde sig ikke til hvor data ligge i plaintext (midlertidligt i RAM osv), men "om" det bliver behandlet i plaintext

Her vil jeg påstå at det er din tolkning, min er en anden. I EDPS foreløbige 'recommendations' står der at ikke må være i plaintext når de bliver processeret.

Jeg ville mene at processering også gælder læsning/skrivning i RAM. For mig er processering ALLE steder hvor man arbejder med eller på data.

26
28. april 2021 kl. 12:59

Min pointe er, at hvis du som cloud udbyder opdeler dine data og netværk efter dine kunders geografi – så kan man ikke fra USA tilgå europæiske data.

Du laver nogle antagelser her som ikke nødvendigvis er korrekte.

At et datacenter står i EU er ikke garanti for at moderselskabet ikke kan tilgå data. Hvis det er amerikansk ejet, så er moderselskabet stadig forpligtet at fremskaffe data upåagtet deres geografiske placering - tak til Patriot act.

Så er spørgsmålet, hvordan vil MS/Amazon garantere at deres ansatte IKKE kan flytte data fra EU datacenter til USA?

Det har jeg svært ved at se løst.

25
28. april 2021 kl. 12:56

De kald som rammer AWS ligner bestemt ikke nogen blob, men et REST api hvor alt kan læses f.eks alle beskeder. Det tydligt at vi "ikke" snakker end-to-end encryption her.

Jeg må sige at jeg mangler et svar på hvor de terminere forbindelserne. Hvis det sker i AWS har de altså et problem. lovgivningen forholde sig ikke til hvor data ligge i plaintext (midlertidligt i RAM osv), men "om" det bliver behandlet i plaintext

24
28. april 2021 kl. 12:47

Dermed er forsøg på at beskytte EU borgers data stort set direkte i modstrid med USA's lovgivning!

Jeg kender godt de amerikanske regler som gør USA til et ”usikkert land”.

Men du kan jo kun udleverer noget du har. Det som du som virksomhed ikke har, kan du jo ikke udleverer og ingen love er overtrådt.

Min pointe er, at hvis du som cloud udbyder opdeler dine data og netværk efter dine kunders geografi – så kan man ikke fra USA tilgå europæiske data.

Det surt på den måde at opdele et globalt netværk til en række regionale netværk med support og regionale datacentre, men hvis det er prisen for at overholde lokale love, så er det sådan man gør i alle andre sammenhænge.

Så jeg ser det først og fremmest som uvilje fra cloududbyderne for de kan jo godt overholde (med lidt besvær) momsregler og lignende.

23
28. april 2021 kl. 12:19

Det bør da ikke være noget større problem at planlægge den nødvendige sikkerhed for deres europæiske kunder på deres europæiske datacentre eller at rykke support til EU.

Det er lige så meget lokation af data som lokation af firma som er problemet, US lovgivning kan tvinge enhver virksomhed i USA til at udlevere data til myndighederne OG forhindre virksomheden i at meddele det til dem de data omhandler/ejes af.

Dermed er forsøg på at beskytte EU borgers data stort set direkte i modstrid med USA's lovgivning!

22
28. april 2021 kl. 12:10

Tilføjelse: Det kan dog også ske at data kun behandles på lokal enhed og at alle brugere har egen blob ved AWS.

21
28. april 2021 kl. 12:00

Hvis de terminere TLS forbindelsen ude ved AWS uden at kryptere data på forhånd i f.eks klienten vil jeg mene de bryder lovgivningen da AWS dermed ville processere data i plain text, men det er svært at vide uden at kende løsningen. De kunne i teorien forwared TCP trafikken til en dansk server og dermed kommer uden om, men hvad ville formålet med AWS så være...

20
28. april 2021 kl. 12:00

Ingen (i IT branchen) er for alvor interesseret i at få data væk fra de tre store Cloud udbydere (Amazon, Google og Microsoft) fordi det koster kassen at etablere alternativer og mange af de eksisterende alternativer er ramt af det samme problem.

Jeg er ikke uenig i at mange håber på en redningsplanke, men på et tidspunkt begynder bøderne at falde.

De globale virksomheder har jo allerede datacentre i EU og supportcentre spredt ud over hele verden, så jeg har ikke ondt af hverken dem eller deres kunder.

Det bør da ikke være noget større problem at planlægge den nødvendige sikkerhed for deres europæiske kunder på deres europæiske datacentre eller at rykke support til EU.

Lønningerne i lande som Bulgarien, Rumænien er jo ikke meget højere end i de Indiske storbyer som Bangalore mv.

Jeg opfatter det mest af alt som manglende vilje fra firmaer som Amazon, Google og Microsoft, og det tror jeg også domstolene til sin gør, når bøderne til sin tid begynder at falde.

19
28. april 2021 kl. 11:58

Netop. Jeg undrede mig også lidt. Ser ud til at aula.dk, <a href="http://www.aula.dk">www.aula.dk</a&gt; og alle de enkelte skolers / institutioners websites (f.eks. <a href="https://ve-viborgskoler.aula.dk/">https://ve-viborgskoler.aula.dk/</a&gt;) alle peger på IP-adresser ejet af AWS ..... Så applikationerne (Aula, Drupal m.m.) må næsten være driftet hos AWS....

Jeg gik i gang med at ville modbevise dig (fordi jeg skrev noget andet tidligere), så i gang med Wireshark og logge ind på Aula.

Følgende IPer og URL oprettedes der forbindelse til (fraset UNI-login):

URL IPwww.aula.dk:44354.155.89.131 login.aula.dk:443 52.49.53.230 media-prod.aula.dk:443 143.204.245.91

Alle tre IP-adresser tilhører AWS.

Så jeg tog fejl. Processering af data ser ud til at ske i AWS. Medmindre arkitekturen er AWS -> server i Danmark -> AWS.

18
28. april 2021 kl. 11:17

Hvor mange af de ærede kommentatorer på dette indlæg er ansat i en multinational amerikansk virksomhed? Har disse virksomheder, samt angiveligt også andre, som ikke nødvendigvis er US baserede, men anvender US baserede cloud services (SAAS), ERP systemer mv. ikke også et problem? Jeg er selv ansat i en sådan, og som jeg ser det, er problemstillingen basalt set ikke anderledes.

mvh.

17
28. april 2021 kl. 11:03

Tja - i sandhed en kompleks problemstilling.

Generelt savner jeg, at man tager konsekvensen af de 3. landes overførsler, der finder sted........og fortæller om det i de oplysninger, man skal give om en behandli g, også hvis det kun er oplysninger om brugerprofiloplysninger...

16
28. april 2021 kl. 10:42

Jeg er nu ikke helt sikker på at de kun bruges til opbevaring - prøv at slå aula.dk / <a href="http://www.aula.dk">www.aula.dk</a&gt; op og se hvor deres ingress er.

Netop. Jeg undrede mig også lidt. Ser ud til at aula.dk, www.aula.dk og alle de enkelte skolers / institutioners websites (f.eks. https://ve-viborgskoler.aula.dk/) alle peger på IP-adresser ejet af AWS ..... Så applikationerne (Aula, Drupal m.m.) må næsten være driftet hos AWS....

15
28. april 2021 kl. 10:31

Det er ikke helt hvad denne særlige "lyn-domstol" kom frem til.

Dommeren vurderede at der ikke var tale om følsomme data i det omfang som anmelder havde givet udtryk for, idet der kun var tale om aftaler-bookinger i forbindelse med vaccinationer.

Så det er kun den konkrete sag, som i øvrigt næppe vil være repræsentativ for ret mange scenarier, der blev dømt ude. COVID-19 krisens behov for "urgency" har også spillet ind, da den nævnes flere gange i dommen.

Denne her særlige domstol, "CONSEIL D'ETAT statuant au contentieux" afsiger en slags midletidige domme og én dommers afgørelse behøver ikke at betyde ret meget i det store billede. Dommen er talt lidt op, fordi mange stadig håber og tror der kommer en redningsplanke.

Det gør der ikke.

13
28. april 2021 kl. 10:25

Hvor har du fået den idé fra? Så længe at krypteringen sikrer imod at blive tilgået af supportmedarbejdere fra det usikre 3. land, kan man fint nøjes med standard contractual clauses, og data anses ikke som overført til landet.

Jeg er med på at nogle tror at hvis data er krypteret før de overføres, at så er den hellige grav velbevaret.

Men dommen som du kan læse her, tager slet ikke stilling til kryptering. Dommen tager stilling til om data må opbevares i et usikkert land. Og det må man ikke.

Det er med andre uden betydning om data er krypteret eller ikke og det er derfor at flertallet af jurister allerede nu forventer en Schrems III sag.

12
28. april 2021 kl. 10:14

Så vidt jeg husker, så ville Microsoft ikke garantere at de ikke ville udlevere data. Det har AWS åbenbart gjort, men det er som de fleste vel ved, et løfte som en amerikansk virksomhed ikke kan holde. Microsoft har nok været ærlige i det her tilfælde.

Mon ikke den forretningsmæssige konsekvens for at droppe Microsoft er langt mindre for Kombit, end hvis de er nødt til at droppe AWS? Det må være en af årsagerne. Money talks...

10
28. april 2021 kl. 09:57

Jeg er nu ikke helt sikker på at de kun bruges til opbevaring - prøv at slå aula.dk / www.aula.dk op og se hvor deres ingress er.

9
28. april 2021 kl. 09:56

Schrems II-dommen er jo klar – uanset kryptering eller ej, så må EU data ikke overføres til et usikkert land.

Hvor har du fået den idé fra? Så længe at krypteringen sikrer imod at blive tilgået af supportmedarbejdere fra det usikre 3. land, kan man fint nøjes med standard contractual clauses, og data anses ikke som overført til landet.

Hvilket, så som jeg har læst tidligere (også på V2, så vidt jeg husker), er nøjagtigt hvad Kombit har gjort med Aula: Data krypteres her i landet, og AWS bruges som lagerplads for de krypterede filer.

8
28. april 2021 kl. 09:37

Hvorfor bruger vi tid på at diskuterer værdiløse garantier?</p>
<p>Schrems II-dommen er jo klar – uanset kryptering eller ej, så må EU data ikke overføres til et usikkert land.</p>
<p>Få hjemtaget de data til EU og hvis de amerikanske tech firmaer ikke flytte den nødvendige support til EU, så må samarbejdet ophører. Længere er den historie ikke.

Hvis du ikke lige har luret det så forventer alle at en eller anden aftale mellem EU og USA løser problemet - dette skyldes ikke mindst at orangutangen ikke genvandt sin plads i det runde bur.

Ingen (i IT branchen) er for alvor interesseret i at få data væk fra de tre store Cloud udbydere (Amazon, Google og Microsoft) fordi det koster kassen at etablere alternativer og mange af de eksisterende alternativer er ramt af det samme problem.

7
28. april 2021 kl. 09:30

Hvor ser du at man ikke må opbevare krypteret data i udlandet? Som jeg har læst diverse dokumenter i sagen, så må man gerne opbevare data der er krypteret - så længe krypteringen står mål med de ressourcer som "host landet" har til at bryde kryptering.

6
28. april 2021 kl. 08:40

Hvorfor bruger vi tid på at diskuterer værdiløse garantier?

Schrems II-dommen er jo klar – uanset kryptering eller ej, så må EU data ikke overføres til et usikkert land.

Få hjemtaget de data til EU og hvis de amerikanske tech firmaer ikke flytte den nødvendige support til EU, så må samarbejdet ophører. Længere er den historie ikke.

I min optik er det et klokkerent eksempel på hvordan uansvarlig overvågning skader økonomien.

For os i EU er det godt, men hvis jeg var C-level i et af de amerikanske tech firmaer, så ville jeg gå nuts over, hvordan NSA forsøger at ødelægge min globale forretning, for når først EU har hjemtaget data, hvordan mon resten verdenen reagerer så som Indien, Brasilien, Mexico osv.

Sikkert lige som med GDPR, som i realiteten har bredt sig til resten af verden.

5
28. april 2021 kl. 08:34

Hvis data er ukrypteret under processering kan jeg ikke se hvordan det er lovligt at bruge AWS.

AWS bruges kun til at lagre data. Processering sker, så vidt jeg husker at have læst men ikke kan finde kilde på, på dedikerede servere i Danmark, og krypteres mellem disse servere og AWS hhv. klienter.

Data er krypterede fra det øjeblik, de bliver afleveret til Aula, når de transmitteres, og når de lagres i Aula og helt frem til brugerens web-browser eller Aula-appen. Nøglerne til krypteringen er gemt i Danmark under lås og slå og ingen uvedkommende – end ikke Amazon AWS – vil kunne læse de data, som er gemt i Aula

4
28. april 2021 kl. 07:59

da såkaldt kigge-adgang i persondatajuridisk forstand er det samme som en dataoverførsel

I almindelig logik vil data da også skulle overføres på en eller anden måde hvis data skal kigges på. Der ligger det samme bag forskellige EULAer på sociale netværk om ubegrænset ret til distribution af uploadet indhold.

3
28. april 2021 kl. 07:58

Som jeg læser EDPS guidelines (draft) samt SchremsII så skal personfølsomme data være krypteret 'in transport/ at rest in use' så at de krypterer data når det gemmes (og forventeligt transporteres) i AWS er et meget lille plaster på et stort sår.

Hvis data er ukrypteret under processering kan jeg ikke se hvordan det er lovligt at bruge AWS.

Men hey, når de snor sig sådan for at lade som om at MS/Amazon 'nok skal sige til i god tid hvis de skal udlevere data' så er vi ved at være ovre i territoriet for åbenlys løgn.

Ingen ved hvor meget data der er forespurgt/udleveret gennem FISA...

2
28. april 2021 kl. 07:46

"Jeg er uskyldig! Jeg modsatte mig ordren om at slå ham ihjel, og da det ikke lykkedes, sørgede jeg for at slå ham ihjel så lidt som muligt."

1
28. april 2021 kl. 07:17

Er det bare mig eller mangler artiklen fuldstændig en forklaring på hvorfor Microsoft dumpede?

Microsoft levererer samme eller bedre garantier som AWS.

Helt fundamentalt har begge virksomheder samme problem, nemlig at de er amerikanske og dermed underlagt FISA

… og hvorfor er det lige at Netcompany ikke vil fortælle HVOR krypteringsnøglerne befinder sig? … formentlig fordi man IKKE har investeret i dedikerede HSM bokse til et par AWS datacentre … HVIS man havde, så ville der jo netop være grund til at prale med det