Efter Schrems II-kaos: Datatilsynet er endelig klar med ny cloud-vejledning

9. marts kl. 11:3314
Efter Schrems II-kaos: Datatilsynet er endelig klar med ny cloud-vejledning
Illustration: Nanna Skytte.
Dataansvarlige med cloud-udfordringer kan nu slå op i Datatilsynets nye vejledning, der blandt andet handler om tredjelandsoverførsler til USA.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Datatilsynet har netop offentliggjort den længe ventede cloud-vejledning, der blandt andet ser på mulighederne for tredjelandsoverførsler efter Schrems II, skriver tilsynet på sin hjemmeside.

Vejledningen indeholder et afsnit om dommen og en gennemgang af overførsler til USA, samt de problemstillinger, der følger med, når man vælger en cloud-leverandør fra det usikre tredjeland.

»Cloudservices er meget udbredte – og med god grund. Men det kan være svært for især mindre virksomheder at finde ud af, hvordan man kan gøre dette inden for reglerne, særligt i lyset af den såkaldte Schrems II-afgørelse,« siger Datatilsynets direktør Cristina Angela Gulisano i pressemeddelelsen og fortsætter:

»Der er ingen lette smutveje, men vi forsøger med den nye vejledning at opridse både faldgruber, muligheder og forpligtelser – og vi håber, at ekspertgruppen kan være med til at komme med helt konkret vejledning på, hvordan man bedst kan gøre brug af disse tjenester og samtidig overholde reglerne.«

Artiklen fortsætter efter annoncen

Samtidig nedsætter tilsynet en ekspertgruppe, der skal undersøge mulige tiltag, der kan gøre brugen af nuværende cloud-løsninger lovlig.

Arbejdet skal udmønte sig i konkrete anbefalinger og yderligere vejledning.

14 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
14
10. marts kl. 22:09

Enig, det er en interessant udvikling.

Som indlægget også siger, så er der lang vej endnu før det er en effektiv beskyttelse mod aflytning

"Det ændrer ikke på, om Google kan tilgå dine data: De vil altid uden dit vidende kunne lave et snapshot af hele din virtuelle maskine – inkl CPU og dermed have adgang til alle dine data, og give dem videre til hvem de nu har en aftale med."

12
10. marts kl. 11:11

Hvis du ønsker at processere dine data i cloud er det ikke helt nok (at give krypteringsnøglen til en svensk tredjepart). Data skal også være krypteret 'in motion' jvf eksempel 6.

Så cloud brug i forbindelse med personfølsomme oplysninger er reelt reduceret til storage only.

11
10. marts kl. 08:03

Jeg synes eksempel 14 bør lige highlightes her. Der står:

Servicen leveres af et europæisk datterselskab på baggrund af infrastruktur, der ude-lukkende befinder sig inden for EU/

Ergo: ingen brug af fallback servere uden for EU/EØS til driftsopgaver etc. Ingen support uden for EU/EØS. Ingen brug af cloud-infrastrukturen uden for EU/EØS (De fleste cloud-teknologier bygger ikke kun på ét datacenter, men på brugen af den globale infrastruktur, afhængigt af forskellige variabler).

Konsekvens: Henset til typen af oplysninger, der vil blive behandlet ved hjælp af cloudservicen, er det virksomhedens vurdering, at konsekvensen for de registrerede ved, at amerikanske retshåndhævende myndigheder får udleve-ret oplysninger om e-mailadresse, og hvilke nyhedsbreve vedkommende har modtaget, vil være en oplevelse af stress og mistro/frygt. Konsekvensen vil dermed være LAV (2).

Ehrm... okay? Konsekvensen er "blot" mistro/frygt? Vi ved ikke engang, hvad der præcis sker med vores personoplysninger, så jeg vil da ikke mene, man bare kan sige, at "mistro/frygt" er den eneste konsekvens. Der er vel også brud på menneskerettigheder som konsekvens. Brud på fundamentale rettigheder da som det allermindste. Irreversibel mistro til samfundet eller omverdenen er da heller ikke bare en lav konsekvens. Jeg synes, den risikovurdering er meget tyndt...

Der vil derved ikke ske nogen tilsigtet over-førsel af personoplysninger til tredjelande.

Som nævnt foroven, så er det nævnt i 3.6 at "En databehandler må kun behandle personoplysninger, herunder overføre oplysnin-gerne til tredjelande, i det omfang den dataansvarlige har givet instruktioner om det i databehandleraftalen, eller det er krævet ifølge EU-ret eller medlemsstaternes natio-nale ret." I de fleste DPAer fra US-cloud-leverandørerne er dette skrevet ind som en del af DPAen, at man som dataansvarlig giver dem lov til det. Hvis ikke det, så refererer de til at de gør dette i diverse dokumenter uden for DPAen. Så på den måde kan man ved ikke lige, at noget er utilsigtet.

Der nævnes som "supplerende foranstaltninger", at man har gjort nok, når man har etableret organisatoriske foranstaltninger i form af en lovning fra databehandleren. Altså den databehandler, som man i øvrigt ved, udleverer data, og som kan underlægges gag-ordre. Det ville jeg nok ikke kunne stole på. Udover det, så er den lovning fra databehandler, som skrives ind i aftalen, igen gradbøjet af henvisninger til deres egen praksis om udlevering. Så de siger "vi anfægter så meget som muligt... hvis ikke det er fordi vi skal jf. lovgivning". For de tredje er denne supplerende foranstaltning vel ikke god nok, nu da EDPB jo i Use Case 6 fremsætter, at der ingen foranstaltning findes, når cloudleverandør på nogen måde har adgang til data, altså berøring med data, i klartekst - som i øvrigt også nævnes i Datatilsyns vejledning her:

Hvis du benytter en cloudservice, hvor leverandøren er nødt til at have adgang til de overførte oplysninger i klartekst, kan Det Europæiske Databeskyttelses-råd imidlertid for nuværende ikke anvise supplerende tekniske foranstaltnin-ger, der effektivt vil sikre et beskyttelsesniveau, som i det væsentlige svarer til niveauet i EU.

DT skriver et andet sted i vejledningen, at man, hvis man har krypteret godt nok, godt kan tale om effektive supplerende foranstaltninger. Et meget vigtigt aber-dabei: DTs vejledning nævner at der i tilfældet er kryptere at-rest, in-transit og "in-motion" (in-use encryption), som jeg forstår er en ret ung teknologi, som ikke er meget udbredt (homomorfisk kryptering, hvis ikke jeg er helt forkert på den). Det lugter af at DT måske ikke er helt opdateret på teknologien. Godt de får sat en ekspertgruppe ned.

9
10. marts kl. 07:39

Jeg har svært ved at se fidusen og hvilke “gode grunde” der skulle være til at benytte disse “cloud services”. Jeg er fuldstændig uforstående overfor hvad folk helt konkret benytter, som ikke kan fåes andre steder. Jeg har været ansat ved en mellemstor MSP med egne datacentre, hvor der decideret var forbud mod at medbringe MS (de fleste kan ret hurtigt vende sig til Mac OS).

Hvis det nogensinde havde været formålet at disse løsninger skulle være sikre, havde man fra udbyders side forlængst lavet (mulighed for) e2e kryptering på løsningerne.

Hele det absurde krumspring med et (NSA ejet stråmandsselskab) firma i Sverige, der skulle agere mellemstation virker fuldstændig hen i vejret. Det giver ikke nogen mening at tredjepart skulle have nøglen til ens data (når man selv kan have den).

Det lugter mere og mere grimt i butik Danmark, man kunne frygte at der stikker andre hensyn under end danske borgere og virksomheders interesser.

Hvem er det Datatilsynet tror de hjælper med disse diffuse tolkninger og i sidste ende med hvad?

10
10. marts kl. 07:39

Den sidste del af dokumentet (Afsnit 3.6) virker som om det er skrevet for at åbne døren for de store amerikanske cloud udbyder. Så længe de kan sige de har et datacenter i EU (og det har de allesammen) og kan flytte alt support uden for USA, så skal de blot love at i "videst muligt omfang at anfægte anmodningen i videst muligt omfang i henhold til amerikansk lovgivning." (Eksempel 14). Det lover microsoft allerede i deres SCC'er (kontrakt klausuler) og jeg er ret sikker på de andre også gør.</p>
<p>Det eneste en dansk virksomhed så skal gøre er at lave en riskiovurdering hvor de vurder at dette lyder som noget som mitigere den risko der findes og, når anmodninger fra amerikanske efteretningstjenester til cloud-udbyder alligvel skal hemmeligholdes fra kunder, så får de danske kunder aldrig et grundlag for at blive bekendt med ulovlige overførseler.</p>
<p>Så dette dokument skal slet ikke læses som at håndhæve Schrems-II i DK, det er med de sidste par sider at Datatilsynet sørger for at tilgodese de store could udbyders interesser.

Ikke som jeg læser det. 3.6 gælder kun når nu ikke har givet instruks, og det har du i de fleste tilfælde (for AWS, Microsoft, Google, osv skriver i deres standard DPA at man giver dem lov til at overføre ud af EU/EØS). Hvis ikke i DPAen, så har de refereret til deres andre vilkår, som så til gengæld igen peger på nogle dokumenter, som AWS "garanti" for at de vil anfægte så meget som muligt, men at de stadig siger i et andet dokument ("AWS Customer Agreement" hedder den, pkt. 3.2), at de overfører til USA ifm. udlevering af data til US-myndigheder.

Så, i de fleste tilfælde vil 3.6 ikke finde anvendelse.

8
10. marts kl. 06:59

Det eneste en dansk virksomhed så skal gøre er at lave en riskiovurdering hvor de vurder at dette lyder som noget som mitigere den risko der findes og, når anmodninger fra amerikanske efteretningstjenester til cloud-udbyder alligvel skal hemmeligholdes fra kunder, så får de danske kunder aldrig et grundlag for at blive bekendt med ulovlige overførseler.

Har jeg forstået det forkert, eller er det netop det, Københavns Kommune for et par dage siden slog fast med syvtommersøm ikke er nok til at lovliggøre cloudløsningerne?:https://www.version2.dk/artikel/eu-dom-har-lammet-kaempe-cloud-omstilling-koebenhavns-kommune-1094343

Så nu er vores eget Datatilsyn - borgernes angivelige vagthund omkring retten til privatliv - i fuld gang med i stedet at smugle alle de fortvivlede cloudløsningsejere ind igennem endnu en ulovlig kattelem til cloudparadiset - hvorfra de om nogen tid atter kan jamre og klage over, at de nu har bundet sig så hårdt op på endnu en ulovlig løsning, at de med vold og magt endnu en gang må kræve, at vores Datatilsyn - borgernes angivelige vagthund omkring retten til privatliv - får udboret endnu en ulovlig kattelem ind i privatlivet - og sådan kan vi blive ved og ved, mens giganterne - godt hjulpet af vores datatilsyn - voldtager befolkningens privatliv.

Kors, hvor er jeg træt af det danske Datatilsyn - techgiganternes ambassadør/lobbyisthub i Danmark.

(Københavns Kommunes DPO: "»Selvom det er udfordrende på mange måder, skal der være tillid til, at Københavns Kommune, som offentlig virksomhed, kan passe på borgernes data,« understreger kommunens DPO." og "Den eneste tekniske foranstaltning, kommunen ser som en mulighed, er kryptering af data. Men DPO’en erkender dog i notatet, at »vi har endnu ikke set nogle løsninger, hvor det er muligt at kryptere oplysninger i så tilstrækkelig grad, at løsningen anses for mulig.«" .

Bravo - det har jeg respekt for, selv om kommunen samtidig håber på en trylleløsning i form af en ny Privacy Shield-aftale. Jeg håber, at kommunen holder fast i sin vurdering, uanset at vores Datatilsyn er mere optaget af fiksfaskerier end af at overholde love og regler og beskytte privatlivet - ellers ryger den tillid, Københavns Kommune lægger vægt på, lige på stedet .)

7
10. marts kl. 06:40

Enig, Maciej Szeliga - og det er da også ekstremt pinligt.

6
9. marts kl. 20:23

Det begynder at være helt ekstremt pinligt, så fodslæbende de er.

Hvis du ikke helt har luret den så drejer det sig primært om at man ikke vil acceptere at man skal undvære Microsoft, Google og Amazon (i den rækkefølge).

5
9. marts kl. 18:47

Den sidste del af dokumentet (Afsnit 3.6) virker som om det er skrevet for at åbne døren for de store amerikanske cloud udbyder. Så længe de kan sige de har et datacenter i EU (og det har de allesammen) og kan flytte alt support uden for USA, så skal de blot love at i "videst muligt omfang at anfægte anmodningen i videst muligt omfang i henhold til amerikansk lovgivning." (Eksempel 14). Det lover microsoft allerede i deres SCC'er (kontrakt klausuler) og jeg er ret sikker på de andre også gør.

Det eneste en dansk virksomhed så skal gøre er at lave en riskiovurdering hvor de vurder at dette lyder som noget som mitigere den risko der findes og, når anmodninger fra amerikanske efteretningstjenester til cloud-udbyder alligvel skal hemmeligholdes fra kunder, så får de danske kunder aldrig et grundlag for at blive bekendt med ulovlige overførseler.

Så dette dokument skal slet ikke læses som at håndhæve Schrems-II i DK, det er med de sidste par sider at Datatilsynet sørger for at tilgodese de store could udbyders interesser.

4
9. marts kl. 17:58

Men nu er det jo slået fast, at de nuværende løsninger ikke er lovlige....og det er vel også efterhånden slået fast, at de ikke kan blive det? Jeg troede i hvert fald, at det var det, der var slået fast nu.

Er det ikke også det datatilsynet skriver i deres vejledning? Eksempel 8 i vejledningen med at have krypteringsnøglen hos et svensk firma og ikke hos cloududbyderen er vel en mulig løsning for det omtalte startup som schrems II lægger op til med effektiv supplerende teknisk foranstaltning. Og alle de eksempler hvor nøglen er hos den "forkerte" skriver de tydeligt ikke er lovlige.

2
9. marts kl. 17:23

gøre brugen af nuværende cloud-løsninger lovlig.

Men nu er det jo slået fast, at de nuværende løsninger ikke er lovlige....og det er vel også efterhånden slået fast, at de ikke kan blive det? Jeg troede i hvert fald, at det var det, der var slået fast nu.

For mig lyder dette som en gang desperat bullshit-stall-syltekrukke, fordi det danske Datatilsyn stadig simpelthen er for meget kujoner, eller for meget i lommerne på erhvervsliv og politikere, til at konkludere det, som efterhånden er åbenlyst for en del andre Datatilsyn, og (i følge artikel på V2 for et par dage siden) Københavns Kommune - nemlig at det simpelt er ulovligt i henhold til GDPR, og vil vedblive at være ulovligt - der er ingen realistisk redning.

Det begynder at være helt ekstremt pinligt, så fodslæbende de er.

1
9. marts kl. 15:20

Citat: Samtidig nedsætter tilsynet en ekspertgruppe, der skal undersøge mulige tiltag, der kan gøre brugen af nuværende cloud-løsninger lovlig.

Det betyder vel i praksis, at vi fortsat skal væbne os med tålmodighed og vente på at der kommer en løsning, som kan hjælpe med at guide virksomheder i korrekt Cloud anvendelse? Men i så fald, kan man vel også konkludere at det IKKE er lovligt at gemme og/eller processere omhandlende data i Cloud tjenester som inkluderer tredjelandsoverførsler til USA.