Ekspert advarer: Ny cloud-vejledning løser ikke Schrems II-problemerne

11. marts kl. 03:453
Ekspert advarer: Ny cloud-vejledning løser ikke Schrems II-problemerne
Illustration: Nanna Skytte.
Der er ikke meget hjælp at hente hos Datatilsynet, hvis man vil have en hurtig løsning på den cloud-hovedpine, som er stået på i et par år. Tilsynets nye vejledning er dog med til at gøre svært juridisk stof tilgængeligt for danske virksomheder, mener Rådet for Digital Sikkerhed.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Der er gået næsten to år siden EU-Domstolen underkendte Privacy Shield og rev tæppet væk under europæernes brug af amerikansk cloud. Virksomheder og myndigheder mærker stadig eftervirkningerne, og dommen har skabt massiv interesse for Datatilsynets vurdering af, hvad man egentlig kan og ikke kan gøre på lovlig vis.

Log ind og læs videre
Du kan læse indholdet og deltage i debatten ved at logge ind eller oprette dig som ny bruger, helt gratis.
3 kommentarer.  Hop til debatten
Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
3
12. marts kl. 15:28

Enigt nik til, at det ikke er den, som påpeger en ulovlighed, som er problemet - og i, at cloududbyderne “garantier” er en gratis omgang … for cloududbyderne, forstås, for det kan hurtigt blive en dyr fornøjelse for deres kunder. Men kunder er det nok af, og når først æggene er lagt i den kurv, så er de ikke sådan lige til at flytte.

Men der er lige en kæphest at ride:

Og her fremhæver Datatilsynet de tekniske – som eksempelvis kryptering eller pseudonymisering – som en nødvendighed, hvis man vil sikre et gyldigt overførselsgrundlag til USA.

Pseudonymisering, igen, igen. Verdens mindste figenblad!

En farvet prik er en farvet prik, men tusind farvede prikker er et billede. Og et billede siger mere end tusind ord.

Når risikoen skal vurderes, så skal det ikke kun vurderes, hvad risikoen er for at ens egne farvede prikker kan blive til et billede - det skal også sammenholdes med, hvad rimeligt forventelige aktører med rimelighed kan forventes at samle ind andre steder fra.

Og har man lagt puslespil, så ved man at nogle enkelte få brikker pludselig får store dele til at passe sammen i et stort billede, og derfor - uanset hvor uanseelige de isoleret set måtte være - kan være nøglen til at gennemskue det helt store billede.

Men når man har en interesse i at undervurdere risikoen, så har man også en tendens til at undervurdere risikoen (tænk Københavns Kommune) - og læg dertil, at man sjældent har fantasi til at forestille sig, at andre kan mere end en selv (KK har næppe fantasi til at forestille sig, hvad “Big Tech”, endsige NSA, kan).

Men det kommer jo heller ikke til at gå ud over KK, men “kun” over deres borgere, og næppe i første omgang over de højlydte af slagsen, men mest de svage … og de skal jo lige opdage det først.

Pseudonymisering, verdens mindste figenblad, men ofte alt, hvad man vil ofre på at sikre uvedkommende indkig til andres private dele.

2
12. marts kl. 12:19

Der er flere ting i denne artikel, som jeg finder besynderligt.

For det første, så læste jeg overskriften og tænkte "siden hvornår er Henning Mortensen blevet ekspert i Schrems II?" og for det andet så gentager artiklen bare det vi alle sammen har vidst siden EU Domstolen udgav dommen i juli 2020 og det stod klart at Henrik Øe havde lavet et juridisk set fremragende stykke arbejde. Dommen har effektivt lukket for alle smuthuller, så de der der ligeglade med etik og moral, nu er tvunget til at opføre sig ordentligt med vores personoplysninger.

Lad mig lige fokusere på det første, for hvorfor er Rådet for Digital Sikkerheds formand lige pludselig ekspert i dommen? I maj 2021 tonede han frem på Computerworld og jublende fortalte at vi bare kunne bruge de amerikanske cloud-løsninger, for nu havde Microsoft lovet at "holde data i Europa".

Enhver der har gidet at bruge 20 minutter på at læse dommen, vil vide at den slags ingen forskel gør, da det er amerikansk ejerskab der udgør problemet. Det underliggende problem har været offentligt kendt siden 2001 og almenviden siden 2013.

Man er måske nødt til at spørge manden selv, eller måske Louise Olifent, hvad der gør at rådets formand på de kun 9 måneder der er gået, er blevet ekspert i noget han ikke vidste et klap om i maj 2021? Det må da kunne udløse en god historie!

Så er der denne her dårlige vane med at kalde det for "Schrems II-kaos" eller "Schrems II-problemet". Det er ikke hverken Max Schrems eller dommene han har lagt navn til, som udgør problemet eller har skabt kaos. Det er virksomhederne og myndighederne selv, der har skabt kaos. Det er 100% selvskabt.

Hvis man havde brugt kræfterne på at bruge danske eller EU-baserede cloud-leverandører, i stedet for at bruge leverandører som man allerede vidste misbrugte vores data, så havde vi stået et helt andet sted i dag. Og udbuddet i EU havde været på et meget højere niveau end det er nu.

Det er super positivt at man nu tvinges til at bruge nogle af de mange spændende muligheder der findes i EU, så der er ingen grund til at være sur på hverken Schrems eller EU Domstolen. Hvis man skal være sur på andre end sig selv, så må det være på dem der har narret danske virksomheder og myndigheder til at bruge amerikanske leverandører, selv om de måtte vide at det var forkert.

1
11. marts kl. 07:10

Hvis man vil forsikre russiske statsobligationer optaget i Euro eller US Dollar (altså at Rusland betaler i den aftalte valuta til tiden) – så er prisen for tiden ret høj for de såkaldte 5-årige CDS’er (Credit Default Swaps).

Det samme tror jeg er tilfældet for at amerikanske cloud-løsninger – overholder EU’s lovgivning.

Det burde da være den mindste sag i verden hvis Amazon gik ud og sagde, at nu havde Amazon forsikret alle sine EU AWS-kunder imod enhver bøde eller lignende som følge af brud på EU’s datalovgivning.

Denne forsikring burde jo være stort set gratis - henset til de forsikringer som AWS giver sine kunder.

Når det ikke for længst er sket, så burde man tænke lidt over om der måske var en grund til at Amazon ikke for længst har taget dette skridt og dermed effektivt lukke munden på kritikerne?

”Total Cost of Ownership” inkluderer altså alle omkostninger og ikke kun prisen på den månedlige ”husleje” hos AWS. Det er mit faste indtryk, at når man læser om cloud på V2, så er det alene ”huslejen” med bliver medregnet

Der skal medregnes udgifter til juridisk assistance, risiko for eventuelle bøder og erstatninger, evt. retssager, prisen på ”nedetid” osv. osv.

Nu er det København kommune som åbenbart i vælten på V2. Jeg forstår godt hvorfor, for København kommune argumenter, er som at lade børn lege med tændstikker og dynamitstænger.

Risikoen for at noget går galt, er bare høj - når man som kommune vælger at gå ind i det juridiske minefelt, som ingen vil forsikre.

Det letteste og i længden det billigste, er en EU cloudleverandør. Så slipper du for de betydelige økonomiske risici som følger med en US cloudleverandør.