Efter GDPR og Schrems: Massiv stigning i antallet af europæiske datacenter-projekter på vej

Så du mener altså at Kåre Danielsen & familie (der ejer Jobindex, som i sin tur ejer Computerworld), ejer Microsoft, Amazon og Google... eller?

ROFLMAO

Jeps, det var derfor....</p>
<p>Jeg formoder at det her kommentarspor får v2 til at overveje kommentarfunktionen.

Jeg har en mail fra samme firma, som forsøger at tryne et medie, hvor jeg har skrevet om præcis det samme emne, til at fjerne min artikel fordi de mener den er faktuelt forkert. Altså at EU Domstolen, EDBP, Datatilsynet, Maximilian Schrems og jeg tager fejl, og at de har ret.

Så, det var ikke et gæt.

Hvordan adskiller feriebilleder fra Merkel sig fra systematisk telefonaflytning fra NSA, der jo tydeligt er blevet bevist?

Ved at telefonaflytninger er hemmelige og foretages af efterretningstjenesten. Vi har ikke med vedtagelsen af GDPR pludselig opnået at fremmede stater holder op med at spionere.

Der er reelt ingen forskel på hvem der ejer et datacenter hvis det er spioner vi er bange for. Spioner kan også tage arbejde hos en dansk arbejdsgiver.

Schrems omhandler at en amerikansk dommer ikke i fuld offentlighed med success skal kunne beordre data udleveret til sagsøger eller amerikanske myndigheder. Skulle en amerikansk dommer udskrive en dommerkendelse, der pålægger Interxion at snuppe vores server i Ballerup og sende den til USA, så kommer det simpelthen ikke til at ske. Af den simple årsag at det vil være kriminelt for nogen i Danmark at pakke den server ned og sende den afsted.

Hvordan adskiller feriebilleder fra Merkel sig fra systematisk telefonaflytning fra NSA, der jo tydeligt er blevet bevist? Fordi de er af mere privat karakter end hendes personlige korrespondencer?

Med den mængde afsløringer der har været om politisk- såvel som industrispionage fra USA kan man absolut ikke forvente at de holder fingrene for sig selv. Det er jo ikke for sjov at EU er nødsaget til at definere amerikanskejede firmaer som usikre tredjelande.

Måske ikke dine og mine feriebilleder.</p>
<p>Men Merkels, Macrons og Putins ligger sammen med dine og mine.

De gør det særligt ikke for de nævnte personers feriebilleder. Det er jo en krigserklæring, bogstaveligt talt.

Det er noget vrøvl at sige, at Interxion har adgang til data på de servere der er hostet i deres datacenter. Det har de ikke. Men de kan konfiskere serverne og sende dem til USA for dissektion. Det vil samtidig lukke den europæiske virksomhed, hvis server er blevet stjålet. Ikke særligt realistisk for noget der har GDPR relevans vel?

Det er ikke noget USA kaster sig ud i for at tjekke dine feriebilleder

Måske ikke dine og mine feriebilleder.

Men Merkels, Macrons og Putins ligger sammen med dine og mine.

Jeg synes vi er kommet lidt urealistisk ind på emnet co-location og hvad de amerikanske domstole egentlig kan og ikke kan beordre. Sagen er ikke hvorvidt en amerikansk dommer kan beordre Interxion til at udlevere data. Det kan dommeren sikkert. Men Interxion har ingen personer de kan beordre til at udføre den ordre. Det vil nemlig være en kriminel handling med fængselstraf i Danmark.

I kan ikke pege på en eneste offentlig kendt sag hvor noget sådan er sket. Folk fra fremmede stater der tager til udlandet for at begå forbrydelser, beordret af deres hjemstat kaldes for agenter. Det er ikke noget USA kaster sig ud i for at tjekke dine feriebilleder. Men det er klart at det altid vil være muligt, og de kan jo også bryde ind i et datacenter der ikke er amerikansk ejet, nu hvor vi er i gang med at overtræde straffeloven.

Derfor er det nøglen hvorvidt en sådan ordre kan udføres af amerikanske statsborgere fra USA uden at de må rejse fysisk herover. Det kan det ofte hvis vi taler om "cloud" eller serverleje, hvor hostingcenteret adminstrere den fysiske server for dig. Men det kan det ikke hvis der er tale om ægte co-location, som betyder at du har lejet et rackskab og selv kommer med dine servere, som du selv har installeret.

Angående ejerskab skal man også huske at dit foretrukne 100% dansk ejede hostingselskab kan være 100% amerikansk ejet i morgen.

Da jeg i maj i år kommenterede 4 artikler på Computerworld.dk, fjernede mediet simpelthen deres kommentar-plugin sammen med mine kommentarer.

Jeg formoder at det her kommentarspor får v2 til at overveje kommentarfunktionen.

Du behøver ikke kigge længere end til denne tråd.

Jeg korrigerede på en pæn måde, men hele kommentarfunktionen blev bortcensureret, så det skulle se ud som om det ikke kun var mine (helt korrekte) kommentarer man fjernede.</p>
<p>Hvis man undersøger ejerskabet af Computerworld og kigger på ejerskabet af Microsoft, Amazon, Google og alle de andre, så forstår man bedre hvordan det hænger sammen. Det er ikke kønt.

Skræmmende....

Det er i hvert fald en gåde for mig, at det kan være så svært at få gennemført efterlevelse af altafgørende lovgivning, som beskytter retten til privatliv - noget, som alle politikere og lobbyister hele tiden lover os, at man går meget op i.

Man kan undre sig over at så mange ansvarlige ledere i danske virksomheder og ikke mindst i det offentlige, vælger at sende borgernes personoplysninger i armene på udenlandske efterretningstjenester. De kan jo ikke sige at de ikke ved at det sker, når det har været offentligt kendt siden 2013.

GDPR-konsulenterne har en stor del af ansvaret, for de hjælper gladeligt med at trylle med lidt papir og vupti, så er alt godt. Så overholder man i hvertfald GDPR og så pyt med at man sender data i de forkerte hænder. Det forarger mig faktisk at danske konsulenter og jurister har så lav moral. (Der er enkelte lyspunkter!) Efter Schrems-2 er alle hullerne lukket, men lur mig om ikke GDPR-banditterne stadig vil hjælpe virksomheder med at snyde sig udenom at opføre sig ordentligt, med komplicerede (og dyre) tricks.

Man kan også undre sig over at medierne ikke klasker situationen på forsiden, for det er jo et KÆMPE problem for alle parter. Da jeg i maj i år kommenterede 4 artikler på Computerworld.dk, fjernede mediet simpelthen deres kommentar-plugin sammen med mine kommentarer. Kommentarerne var til artikler hvor folk bildte os ind at nu var alt i orden fordi Microsoft havde lovet de ikke ville overholde amerikansk lovgivning og den slags vrøvl. Jeg korrigerede på en pæn måde, men hele kommentarfunktionen blev bortcensureret, så det skulle se ud som om det ikke kun var mine (helt korrekte) kommentarer man fjernede.

Hvis man undersøger ejerskabet af Computerworld og kigger på ejerskabet af Microsoft, Amazon, Google og alle de andre, så forstår man bedre hvordan det hænger sammen. Det er ikke kønt.

Ifølge dommen så udgør amerikansk ejerskab en risiko, så svaret må være nej.

Ville centrene så stadig være lovlige (hvis de altså i udgangspunktet er det)?</p>
<p>

Ifølge dommen så udgør amerikansk ejerskab en risiko, så svaret må være nej.

Du har helt ret i at amerikanske kapitalfonde bare kan købe f.eks. Hetzner og det er sikkert noget Margrethe Vestager har en plan for. Lad os håbe det!

Omvendt, hvordan vil du sikre at en EU leverandør ikke gør det, eller omvendt, hvordan vil sikre du at de rent faktisk har resourcerne til at beskytte din data på bedste vis.

Der er ingen garanti for at en af de tyske udbydere ikke også deltager frivilligt i at dele data med de amerikanske myndigheder, ligesom Blackrock-selskaberne gør. Men så kommer EU-lovgivningen jo efter dem med den store hammer (hvis det opdages).

Om mindre EU-udbydere kan beskytte dig mod hacking osv. det er en anden problematik. Lige nu er det jo Microsoft-software som AD og Exchange der er de yndede mål. Ciscos udstyr afsløres jo ofte i at have bagdøre. Måske er man bedre sikret hos nogen som bruger andet software/hardware?

Du har helt ret i at amerikanske kapitalfonde bare kan købe f.eks. Hetzner og det er sikkert noget Margrethe Vestager har en plan for. Lad os håbe det!

Det er jo ikke noget amerikansk personale kan gøre fra USA.

Hvis ikke den relevante amerikanske lovgivning var delvist hemmelig, så kunne man teste om de danske medarbejdere kunne dømmes for at overtræde EUs love, mens de var tvunget til at overholde amerikanske.

Sjovt, men sker næppe.

Omvendt, hvordan vil du sikre at en EU leverandør ikke gør det, eller omvendt, hvordan vil sikre du at de rent faktisk har resourcerne til at beskytte din data på bedste vis. Vil våge den påstand at en stor leverandør er bedre i stand juridisk og teknisk til at beskytte din data, modsat den lille leverandør. Yderligere er det jo ikke en ny ide med EU datacentre, problemet er blot at de som mange andre kan købes af udlandske kapitalfonde mm. (noget som vi ikke kan forhindre) og hvor er vi så? samtidig har det heller ikke været let at få de forskellige lande til at blive enige om en arkitektur for denne, så efter min mening er det håbløst. Vi kan også lave en statens it model, men staten har gang på gang vist hvor inkompetent den er til at passe på vores data, så det giver vist heller ikke mening!

Google-personale kan jo stadig kigge på data hvis de får ordre til det.

Mener du colocation datacenter hvor man køber fysisk plads, køling og strøm og ikke andet.

Egentlig begge, for da det drejer sig om hvem der kan tilgå dine data, så hjælper det jo ikke at du co-lokerer hos Googles datacenter, selvom der er lås på skabet. Google-personale kan jo stadig kigge på data hvis de får ordre til det.

Det er den problematik som bringer danske løsninger som Marketingplatform eller Emply, på glatis.

Vi har brug for datacentre som ikke har en amerikansk ejerandel, og der er mange syd for grænsen. Vi skal bare have dem lokket herop!

Mener du colocation datacenter hvor man køber fysisk plads, køling og strøm og ikke andet. Eller datacenter som Hetzner, Google, OVH, Amazon hvor man køber adgang til servere og/eller services som de driver?

Har du nogle beviser for dette sker stadigvæk?

Det behøves ikke. Det nye i EU Domstolens dom fra juli 2020 er, at dataansvarlig har omvendt bevisbyrde. Det betyder at dataansvarlig skal bevise at de er ophørt med det. Hvordan vil du gøre det?

Hvilket blev dokumenteret i 2013

Har du nogle beviser for dette sker stadigvæk? Min antagelse er at NSA eller andre har præcis den adgang de vil have via konventionel hacking, specielt hvis de har med mindre bemidlet leverandøre af datacentre.

Vi har brug for datacentre som ikke har en amerikansk ejerandel, og der er mange syd for grænsen. Vi skal bare have dem lokket herop!

...bygges af Microsoft, Google og Amazon?

De to på Sjælland ved vi at bygges af Microsoft så de er allerede GDPR/Schrems-II ramt.

Hvor mange andre centre er "værdiløse" ifølge EU regler?

Forskellen er om InterXion har fri adgang til dine data, eller om de faktisk skal bryde en lås op for at komme til dem, hvilket uden tvivl vil være kriminelt.

Når det så er sagt, så ville jeg da bestemt også foretrække at vi havde nogle flere rene danske datacentre af høj kvalitete, vi har et par stykker tilbage i DK men rigtig mange er røget på udenlandske hænder de sidste par år.

Det kan godt være at InterXion er Amerikansk ejet, men når du lejer dig ind hos dem har du dit eget aflåste rackskab, som står på dansk jord og jurisdiction

Amerikanske firmaer er underlagt amerikansk lovgivning, også i DK.

Udfordringen som dataansvarlig er, at du inden du tager dem i brug, skal kunne dokumentere at ingen myndigheder i usikre tredjelande kan tilgå data og hvad værre er, du skal dokumentere at de er lovmæssigt ligeså godt beskyttet som hvis de lå hos en EU-ejet udbyder.

Jeg tror ikke man kan, men hvis man prøver, skal det nok forbi en domstol. Velkommen til Schrems-3....

Det kan godt være at InterXion er Amerikansk ejet, men når du lejer dig ind hos dem har du dit eget aflåste rackskab, som står på dansk jord og jurisdiction. De skal fysisk bryde ind i skabet for at få adgang til dine data, det er ikke lige noget de kan gøre ubemærket, som de f.eks. kan hvis du lejer dig ind hos Azure el. lign.

Jeg er med andre ord altså ikke sikker på at det kategorisk kan afvises at være lovligt bare fordi virksomheden er helt eller delvist Amerikansk.

Måske håber man, at der ikke er nogen, der opdager det, når bare det ligger på dansk grund?

Ja, planen er sikkert at blive ved med at bilde folk ind at det er den fysiske beliggenhed af data(centret), der er afgørende. Det er jo lykkedes i årevis allerede, så det fortsætter de med.

Jeg møder til stadighed folk, også IT-folk, som tror på den.

Det er ligemeget så længe det ikke er Amazon, Google eller Microsoft, for det er jo det som er problemet ikke?

De er nok de største problemer, fordi de siden 2007, frivilligt, har givet de amerikanske efterretningstjenester direkte adgang til alle data, uanset hvor de befinder sig. (Hvilket blev dokumenteret i 2013). Det er det ene ben på Schrems-2.

De andre rammes af det andet ben, nemlig at amerikanskejede firmaer er sårbare overfor amerikansk lovgivning. Den kan pålægge dem at, hemmeligt, udlevere alle data de råder over .

Vi har brug for datacentre som ikke har en amerikansk ejerandel, og der er mange syd for grænsen. Vi skal bare have dem lokket herop!

Sjovt at de nævnte datacentre, GC, Digiplex og Interxion alle er helt eller delvist amerikanskejede og dermed ikke lovlige at bruge til personoplysninger.

Sjovt at de nævnte datacentre, GC, Digiplex og Interxion alle er helt eller delvist amerikanskejede og dermed ikke lovlige at bruge til personoplysninger.

Det er ligemeget så længe det ikke er Amazon, Google eller Microsoft, for det er jo det som er problemet ikke?

Sjovt at de nævnte datacentre, GC, Digiplex og Interxion alle er helt eller delvist amerikanskejede og dermed ikke lovlige at bruge til personoplysninger.

Det vi mangler er at ordentlige EU-firmaer som Hetzner, Stackit, scaleuptech og alle de andre, begynder at bygge i DK. Håber EU hjælper dem med finansieringen for vi mangler dem!

Vi varåbenbart forud for vores tid da der for ca 20 år siden blev indrettet co-location i IBM. Fin maskinstue med det hele, men der kom aldrig så meget som én kunde....