EU-dom sætter leverandørforhold på spidsen: »Du får ikke ros for at køre over for rødt lys i en ny kontrakt«

EU-dom sætter leverandørforhold på spidsen: »Du får ikke ros for at køre over for rødt lys i en ny kontrakt«
Illustration: Gerain0812 / Bigstock.
Offentlige og private aktører holder vejret i kølvandet på Schrems II-dommen. Ulovlige dataoverførsler til USA presser kunder med aktiviteter i de amerikanske tech-giganters skyer, og mens der er større forståelse for eksisterende kontrakter, så forventer it-advokat ingen nåde, når det kommer til nye cloud-aftaler.
18. januar 2021 kl. 03:45
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

I tretten 13 dage holdt verden vejret i efteråret 1962. Cubakrisen havde bragt spændingerne mellem øst og vest til nye højder. Selvom det er mange år siden, at Kennedy og Khrusjtjov stod ansigt til ansigt i kulminationen på den kolde krig, så tjener det højspændte drama som inspiration for den nuværende cloud-klemme, der er opstået mellem USA og EU, og som af nogle kaldes cloud-branchens Cubakrise.

Det kommer næppe til udveksling af atomare sprænghoveder, men Schrems II-dommen har vakt alvorlige bekymringer blandt både private virksomheder og offentlige myndigheder. Dommen vrider nemlig armen helt om på ryggen, når det kommer til dataoverførsler til tredjeland i særdeleshed USA.

»Man skal spørge sig selv, om man som kunde hos en cloud-leverandør kan sove trygt om natten, nu hvor vi har fået Schrems II-afgørelsen. Og man skal spørge, om man som dataansvarlig har brug for at gøre noget i den her situation,« siger Jesper Langemark, der er partner hos advokathuset Bird&Bird. Han har speciale inden for it-jura og arbejder til dagligt med it-kontrakter for både offentlige og private kunder.

Log ind og få adgang
Du kan læse indholdet ved at logge ind eller oprette dig som ny bruger.
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
34
15. marts 2021 kl. 12:37

Gør nu dit hjemmearbejde Klavs ... Microsoft bliver ligesom Hetzner auditeret af eksterne revisonsfirmaer og hvor Hetzner kun bliver auditeret i ISO27001 og GDPR (så vidt jeg kan læse mig til på deres hjemmeside; korrigér gerne) så bliver Microsoft auditeret efter alle de rammeværker du kan se på den side jeg linkede til tidligere.

Og ? Hvilken betydning har det for mig og andre danske firmaer der benytter deres services? Påstår du at der er lovkrav hetzner IKKE lever op til, som Azure gør? (og som evt. dokumenteres vha. disse certificeringer du virker meget glad for)

Jeg går personligt mere op i GDPR og hvad jeg selv ser som "sund fornuft" ifht. opgaven jeg løser, bla. med hjælp fra de services jeg får fra Hetzner og er ikke bekendt med at der er lovkrav jeg overser? (i såfald undrer det mig at version2 ikke snakker om andre lovkrav end GDPRs ? :)

Når du bliver ved med at slynge om dig med påstande som er faktuelt forkerte så udbreder du fake news. Det tænker jeg ikke kan være din hensigt.

Vil du ikke godt lade være med at angribe andre på denne måde.. Det er EKSTREM GRIM opførsel og hører ikke hjemme i en fornuftig debat.

Hvis du mener at jeg har sagt noget faktuelt forkert, må du MEGET GERNE påpege det du præcist mener at kunne dokumentere er faktuelt forkert - det ville faktisk være til gavn for ALLE der læser denne artikel og så kunne jeg da lære noget.

33
11. marts 2021 kl. 23:21

Kan den højere pris for lovlige EU-udbyderes services, skyldes at de betaler skat i EU?

32
11. marts 2021 kl. 22:37

Det har dog ikke været nogen stor succes ... dels har priserne været ca. 25% højere og dels er Microsoft ikke gået helhjertet nok ind i det så de udbudte services har haltet bagefter resten af Azure

Det var før nogen tog loven alvorligt, så nu med Schrems II og GDPR - så er verden en anden - så lad os håbe at de formår at gøre det ordenligt (inkl. at sikre at amerikanske medarbejdere ikke har remote adgang) - så kunne de nok få kunder, dog vil jeg mene de burde tilbyde det samme, for hvorfor skulle de ikke kunne det.

Grunden til jeg "lige nævner" aws, google og Azure - er at det er DEM alle skriver op om (se nyhederne her på sitet f.ex. :) - at ingen kan undvære dem og at der ikke ER alternativer.

Det er ganske simpelt ikke korrekt - omend jeg medgiver at for managed services, er de europæiske udgaver noget mindre kendte og helt sikkert, som naturlig følge deraf (succes giver penge og dermed råd til udvikling :) mindre funktionalitet.

Jeg håber det ændrer sig, til gavn for konkurrencen og imens arbejder jeg alt jeg kan - for at gøre mit for at alle, nemt kan køre deres IT præcis hvor de ønsker det, uden at det bliver sværere eller dyrere af det ;)

31
11. marts 2021 kl. 18:58

Igen - du virker til ikke at VILLE forstå hvad det drejer sig om? Det drejer sig om hvorvidt amerikansk lovgivning er gældende for NOGEN der har adgang til EU borgeres data.

Sender den lige retur ... det er EU som har lavet model clauses og EU der har lavet og tiltrådt først Safe Harbour og siden Privacy Shield. At europæiske (og amerikanske) virksomheder så arbejder indenfor lovgivningen kan du da godt bebrejde dem men så stopper snakken bare her.

Nu har EU domstolen så afsagt en dom vedr. Facebook som EDPB vælger at tolke meget bredt ... fred være med det. Bemærk, at det pt. kun er et udkast fra EDPB. Derfor gælder model clauses stadig som overførselsgrundlag og derfor foregår IKKE ulovlig overførsler til Azure for Microsoft har med det samme fjernet Privacy Shield fra sine kontrakter og model clauses var i forvejen en del af kontraktgrundlaget.

Så nu venter vi på hvad EU så bliver enige med sig selv om. For min skyld må de gerne blive enige om at dine "NOGEN" gælder alle amerikanere, herunder alle selskaber ejet helt eller delvist af amerikanere eller hvor de nu vil lægge snittet ... I don't care (well I do, but that doesn't matter or count) ... bare de ikke overlader det til dig og mig at fortolke noget superkringlet jura.

Jeg vil gerne have det helt klart ... ikke noget pjat med "usikre tredjelande". En liste over lande som EU vurderer ikke er sikre, tak. Kan de lave lovgivningen kan de også lave listen som de så kan opdatere to gange om året eller hvad der passer dem.

Og så vil jeg gerne se det enforcet i dybden og ikke kun overfor Microsoft, AWS og facebook men hele vejen ... overfor myndigheder, virksomheder og NGOer og med retskrav på erstatning til dem der har lidt skade ved at deres data er blevet delt uden oplyst samtykke.

For vi mener vel det der med privacy protection?

Smutter lige ned og henter dåsemad og toiletpapir til lang tid

30
11. marts 2021 kl. 18:22

Har du væres hos AWS og checke at de lever op til det du forventer? Næppe. Men jeg har fatisk tillid til at et stort tysk revisions firma ved hvad de snakker om når de årligt gennemgår Hetzner - og det er da en million gange bedre, end hvad AWS, Azure og Google leverer af forsikringer for at de lever op til GDPR ?

I arbejdsmæssig sammenhæng har vi faktisk gennemført en audit af Microsoft Azure (formentlig som en af meget få virksomheder) og vi gennemlæser og forholder os til de auditrapporter som eksterne revisonsselskaber udfører af Microsoft.

Gør nu dit hjemmearbejde Klavs ... Microsoft bliver ligesom Hetzner auditeret af eksterne revisonsfirmaer og hvor Hetzner kun bliver auditeret i ISO27001 og GDPR (så vidt jeg kan læse mig til på deres hjemmeside; korrigér gerne) så bliver Microsoft auditeret efter alle de rammeværker du kan se på den side jeg linkede til tidligere.

Når du bliver ved med at slynge om dig med påstande som er faktuelt forkerte så udbreder du fake news. Det tænker jeg ikke kan være din hensigt.

29
11. marts 2021 kl. 18:09

Hej Klavs,

Microsoft har faktisk gjort netop det i Tyskland ... Deutche Telecom har i mange år drevet en selvstændig Azure region ... netop for at etablere den (fornuftige) adskillelse du omtaler.

Det har dog ikke været nogen stor succes ... dels har priserne været ca. 25% højere og dels er Microsoft ikke gået helhjertet nok ind i det så de udbudte services har haltet bagefter resten af Azure. Umiddelbart ser jeg ingen tegn på at det ændrer sig. Du kan ikke længere blive ny kunde i DT Azure til gengæld gætter jeg på at der snart kommer en eller anden ændring for den aktuelle situation er uholdbar.

I mellemtiden kan du få din egen azure eller aws ...

AWS har Outpost og Snow familien som er HW du selv kan have stående og er du mere til Microsoft kan du vælge at købe et komplet Azure datacenter i en container som du kan stille op i baghaven eller købe en Azure Stack (racksize) hvor du selv ejer hardwaren og har den stående i dit datacenter ... eller hjemme i køkkenet hvis det er bedre.


Jeg ser meget gerne en stærk europæisk IT industri som producerer konkurrencedygtige produkter og jeg hader at se europæisk kapital strømme til Facebook, Google m.fl.

Jeg hader også at se aviser og medier herhjemme mister 75% af deres indtægter og jeg hader inderligt at se hvordan Amazon skaber en underklasse af slaver .... Så måske er vi ikke så langt fra hinanden. Det har bare ikke så meget med GDPR at gøre som denne debat jo handler om.

Jeg plæderer i grunden blot for at vi holder op med at sige Microsoft og Google hele tiden men i stedet lukker øjnene op for at det er alle vegne ... og jeg plæderer for at der er lighed for Loke såvel som for Thor i debatten for ellers overser vi alle de andre steder det er galt.

Din nye bil har en sladrehank indbygget der opsamler data om dit køremønster og ruter og som kan ringe hjem ved uheld ...men har du indgået en databehandleraftale og ved du overhovedet hvilke data der indsamles og til hvilket formål og har du givet consent?

.... folks smartwatches logger temperatur og puls og ved hvornår de har sex men kun få ved noget reelt om hvor data lander eller har givet et OPLYST samtykke til anvendelsen af disse følsomme data .... supermarkedets overvågningskameraerne til hjemmebrug sender billeder af din pipfugl og din kæreste til Kina, Apps på din telefon spionerer på dig og stjæler dine data uden dit samtykke ... jeg kunne blive ved og jeg er sikker på at der er mange der kan supplere med endnu flere historier...

Det er overalt. I mine øjne er det derfor patetisk når vi bliver ved med at diskutere om Microsoft overholder GDPR... selv kryptering er ikke godt nok til at beskytte europæiske data mener EDPB men der sker INTET ved de åbenlyse datamisbrug vi er udsat for hver eneste dag og som altså ikke vedrører de tre store cloud leverandører.

Vores eget forkrøblede Datatilsyn synes det er vigtigere at give en GDPR bøde til et møbelhus og et taxaselskab for juridiske teknikaliteter uden ofre, mens de intet gør for at stoppe supermarkedets salg af webkameraer hvor man kan følge med i naboens datters første seksuelle erfaringer fordi kameraerne har indbyggede bagdøre og bruger sikkerhed fra 1990.

Vores eget Folketing har også meget praktisk sørget for at det offentlige skam ikke kan få GDPR bøder og som borger kan du ikke få erstatning selvom det er dine sundhedsdata de afleverede til den kinesiske ambassade eller sender til de forkerte modtagere i e-boks.

Hvis du fortsat synes at det er vigtigst at harselere over Microsft og AWS så bor vi jo heldigvis i noget vi tror er et fri og demokratisk land.

God aften og tak for debatten

27
11. marts 2021 kl. 17:03

... eller er den slags GDPR detaljer ligegyldige sålænge der ikke er Microsoft eller AWS logo på?

Har du væres hos AWS og checke at de lever op til det du forventer? Næppe. Men jeg har fatisk tillid til at et stort tysk revisions firma ved hvad de snakker om når de årligt gennemgår Hetzner - og det er da en million gange bedre, end hvad AWS, Azure og Google leverer af forsikringer for at de lever op til GDPR ?

Så ja - det at de får de stempel årligt vil jeg mene gør at jeg lever op til mine forpligtigelser, så længe jeg checker at den årlige rapport er "bestået".

Ligsom en smiley ordning :) Det behøver ikke at være vildt svært at leve op til GDPR (mth. databehandler aftaler og de leverandører man anvender) - mht. det jeg så kører på de servere jeg lejer hos Hetzner står jeg selv på mål for :)

26
11. marts 2021 kl. 17:00

jeg noterer mig, at Hetzner bla. i supportsammenhænge deler dine private data med Google, Twitter og Facebook

Som jeg læser den korte tekst - så er det når du vælger at kommunikere med dem via de platforme - for ingen af dem anvender jeg, for at opnå support fra dem.

Indtil videre har jeg ikke fundet nogen brud på GDPRs regulativer hos dem - og jeg er personligt glad for bl.a. den persondatabeskyttelse GDPR kræver og glad for at kunne være kunde hos firmaer der lever op til den.

Du virker lidt til at mene at det er fordi jeg hader MS, eller Google eller AWS. IGEN - det er jo ikke AWS's eller Microsofts skyld at den amerikanske lovgivning er som den er.. Det er bare ikke i orden og jeg har intet problem med at EU gør opmærksom på problemet, som faktisk ER i strid med EU lovgivning (og har været det i mange mange år).

AWS mv. kunne jo nemt løse problemerne - ved at "leje" deres "IP"/"software" til at selvstændigt firma der driver AWS, Azure etc. på Europæisk jord, med ansatte boende indenfor EU - så var problemet løst (nærmere juridisk konstruktion for at sikre at overskuddet går til dem uden at de dermed ryger ind under den problematiske amerikanske lovgivning skal nogen mere kyndig nok checke). Så svært er det vel heller ikke.. De amerikanske IT lønninger er sky høje, så jeg tænker faktisk de ville spare penge på det :)

25
11. marts 2021 kl. 15:39

... har iøvrigt kigget deres site løseligt igennem og det er dejligt at se at de er ISO27001:2013 certificerede.

Jeg vil opfordre til at du og de andre kunder også efterspørger de mange andre certificeringer du finder hos de store ... fx ISO 22301 Disaster Recovery ... med det brændte fransk datacenter i meget frisk erindring

... samt ISO 27017+18 og SOC og SOC II for nu lige at tage et par af de vigtigere.

Vi fortjener alle god sikkerhed ... bedre miljø (fx lavere PuE) ... brug af grøn energi og genbrugelighed. Den udvikling drives i dag af mega leverandørerne og vi skal begynde at stille de samme krav og forventninger til Hetzner og de andre EU datacentre.

23
11. marts 2021 kl. 15:12

Så i modsætning til Amazon, Azure mv. - har Hetzner faktisk godt styr på det

Kære Klavs,

... du elsker formodentlig at hade Microsoft og AWS og det da helt OK. Det ville i min optik være trist, hvis der kun var dem og hvis alle var enige om at elske dem.

Personligt synes jeg dog at debatten vil blive mere kvalificeret, hvis den baseres mere på fakta end på fordomme.

Hvis du er interesseret i fakta så start her: https://docs.microsoft.com/en-us/compliance/regulatory/offering-home

... eller her, hvis du er mere til Pixi udgaven https://www.microsoft.com/en-us/trust-center/privacy... eller her, hvis du er mere til docs: https://docs.microsoft.com/en-us/compliance/regulatory/gdpr

Når du er færdig med ovenstående så kan vi gennemgå alle underleverandører og audit rapporter og hvad du ellers kan få lyst til at vide mere om for de europæiske datacentre ... og om ikke så forfærdeligt længe om de Azure datacentre Microsoft bygger på dansk jord.

21
11. marts 2021 kl. 12:35

Og de skriver også følgende: Every year, TÜV Rheinland performs an audit and writes a report on Hetzner Online GmbH to ensure that we at Hetzner are in compliance with our Data Protection Agreement (DPA). This audit is done in accordance with Appendix 2 of the DPA and with Art. 32 of the GDPR and its Recitals (amendments).

20
11. marts 2021 kl. 12:33

hvad har du konkret gjort for at gennemgå samtlige Hetzners underleverandøraftaler og sikret dig, at ingen af dem fx leverer support fra USA eller andre ikke-sikre 3. lande?

De har lavet en data behandler aftale til deres kunder:https://www.hetzner.com/news/vertrag-zur-auftragsverarbeitung-gemaess-art-28-ds-gvo-steht-ab-sofort-online-zur-verfuegung-eintrag/

Hvor de beskriver præcist hvilke fysiske, elektroniske mv. adgang der er til de servere man køber der.

Så i modsætning til Amazon, Azure mv. - har Hetzner faktisk godt styr på det og en databehandler aftale med dem vil være lovlig såvidt jeg kan se.

19
11. marts 2021 kl. 12:20

Men er det et reelt problem for cloud-udbydere? Jeg mener at de store udbydere har jo datacentre over hele verden, ligesom der opføres nye datacen

@Rene, problemet er ikke om da kan ligge i EU ... for det kan de ... hos alle de tre store kan du meget enkelt lave en policy der sikrer, at alle ressourcer provisioneres i et bestemt datacenter eller en bestemt region ... du vælger selv.

Problemet ligger i at virksomhederne er fra US og dermed kan blive pålagt af FISA domstolen (evt. med en gag-order (at de ikke må fortælle at de har fået pålæg)) at de skal udlevere data til de amerikanske myndigheder. Mulighederne for domstolen er ikke begrænsede til fx terrorrelaterede eller lign.

Et sådan retsligt pålæg om udlevering kan ske til en hvilken som helst amerikansk virksomhed og kan have en rækkevidde til selskabet og alle dets forbundne selskaber og underselskaber.

Microsoft US har blandt andet nægtet at udlevere data og ført en sag til tops i USA fordi FISA havde udstedt et påbud om at Microsoft Ireland (altså et selvstændigt, europæisk selskab men koncernforbundet med moderskibet) skulle udlevere data om en (så vidt jeg husker europæisk) borger med data på servere placeret i Microsft datacenter i Dublin... Microsoft vandt men sagen er for specifik til at kunne danne præcedens og bl.a. derfor er FISA fortsat med til at gøre USA til et usikkert 3.land.

En anden spidsfindighed er at EU har bestemt at kigge-adgang også tæller som overførsel ... altså det faktum, at du med fx Teams, remoteadgang eller lignende kan opholde dig i et usikkert tredjeland og derfra "se" på en skærm i EU hvor der kunne optræde PII ... dermed udfordres rigtig rigtig mange support aftaler.

Det groteske i den forbindelse er at jeg gerne må have de selvsamme medarbejdere til at kigge på den samme skærm via samme remoteadgang hvis de blot er placeret indenfor EU når de gør det.

Det er fantastisk hvad vi spilder af tid og kræfter på denne syge teaterforestilling. Vi fortjener alle sammen at EU bliver fuldstændigt klar i spyttet og ikke overlader det til fortolkninger hos dig, mig og andre gode folk uanset om de er for eller imod.

17
11. marts 2021 kl. 11:51

Jeg tillader mig at antage, at Hetzner ikke konstruerer deres infrastrukturkomponenter selv, men benytter leverandører som HPE, Cisco, Nutanix eller tilsvarende. Disse leverandører yder normalt 24/7 support round the sun ... altså med supportpersonale placeret over hele kloden ... og meget meget ofte er der en ET phone home funktion i disse komponenter der sørger for at de selv melder fejl og problemer til moderskibet for at kunne sikre pre-failure maintenance og dermed høj oppetid.

Disse funktionaliteter er formelt set også en risiko for overførsel af persondata idet supportmedarbejderen måske vil være i stand til at få adgang (herunder simpel kigge adgang) til persondata.

Hvis du har krypteret dine data på dine servere hos Hetzner (og det har du forhåbentlig for ellers har du ikke sikret dig mod at andre kan kigge med) ... hvor er det så lige at du har gemt nøglerne ... har du købt og betalt for et par Thales HSM bokse eller bruger du en nøgle service hos Hetzner ... hvis ja, hvem har så hovednøglen den den? ... og hvis du har adgang til at komme til dine HSM bokse hos Hetzner når der skal laves nøgle ceremoni ... hvem andre har så adgang til Hetzners datacentre hvis du som kunde har adgang ...?

16
11. marts 2021 kl. 11:42

@Klavs ... hvad har du konkret gjort for at gennemgå samtlige Hetzners underleverandøraftaler og sikret dig, at ingen af dem fx leverer support fra USA eller andre ikke-sikre 3. lande?

Og hvilke audit aktiviteter har du foretaget til betryggelse af overholdelse af de indgåede aftaler, adgangskontrol og logning, opfølgning på afvigelser mv?

15
22. januar 2021 kl. 01:39

Vil vi i EU være spydspids for privatliv og voksen politik, og isolere os — eller vil vi gå på kompromis og være en del af resten af verden — sat op meget firkantet.

Det burde være meget lige til at se hvad svaret er. Selvfølgelig vil vi være i front med privatliv og tage afstand fra lande med politik som USA. At UK snager en masse ændre intet (whataboutism) og da slet ikke logningen i DK der er kendt ulovlig igen og igen. At nogen bryder én regl betyder ikke man skal fjerne alle de andre..

At sige der er kunstige grænser er som at sige der er kunstige grænser fra USA's side fordi Danmark ikke har samme tilgang til handel i Texas som Californien har. Selvfølgelig har vi ikke det og selvfølgelig har USA ikke samme adgang til EU som EU lande. Hvad bliver det næste? At USA ved lov skal have samme adgang til min bankbog og mit webcam som jeg har?

Hvis en grænse ikke gør en forskel så er det ikke en grænse men en streg på et kort der fjernes ved næste opdatering.

14
20. januar 2021 kl. 11:25

Hej Henrik.

Ja, du har ret i at der dobbeltstandarder indenfor EU og også at der kommer nye aftaler.

Afløseren for Privacy Shield bliver et sæt nye SCC'er, mere komplicerede, men de skal jo også bare holde indtil EU Domstolen kommer frem til at de er ulovlige og udløser Schrems III. Og starter det forfra.

Jeg anbefaler at man i stedet opfører sig ordentligt med borgerne data, gør det rigtige fra starten og ikke lade sg narre til at tro at der ikke er alternativer til de amerikanske løninger.

Det her er en god mulighed for at styrke EUs IT-sektor, så vi kan blive konkurrencedygtige igen.

13
20. januar 2021 kl. 03:12

Jeg kan se, at der har været nogle thumbs-down på mit indlæg — dog uden nogen modargumenter?

Den objektive sandhed er nemlig, at EU kræver en højere standard af en tredjelandeoverførsel end for den samme overførsel inden for EUs egne grænser.

Det er med andre ord forskelsbehandling og en kunstig barriere for handel med tredjelande — altså en sag for WTO. Og jeg kan se, at der er allerede noget i gang på den front ifm. forhandlinger på ehandelsområdet i WTO.

Ifm. dette indlæg fandt jeg et indlæg fra advokatfirmaet Linklaters, som fremfører det samme argument — måske mere overbevisende end jeg:

  1. Der er tale om arbitrær diskrimination.

  2. Det er en handelsbarriere i forklædning.

Det er et valg — og nok mest et politisk valg — om man fra EUs side ønsker at lempe reglerne for tredjelandeoverførsler; eller om man ønsker at sætte foden ned overfor medlemslandenes egen masseovervågning. Jeg tror mest på den første løsning, men håber naturligvis på den sidste.

12
19. januar 2021 kl. 16:16

Realistisk set — på længere sigt — så tror jeg egentlig mere, at vi kommer til at se en lovændring i stedet for total udelukkelse af overførsler til "usikre" tredjelande.

Jeg tvivler ikke – det kommer ikke til at ske. Det er ren sikkerhedspolitik, at EU’s lande ikke vil tillade USA at snage i disse data.

Lige nu og her kommer der nok næppe bøder, men jeg tror at Jesper Langemarks argument om at der næppe kommer bøder lige nu – er en sandhed med modifikationer.

Har en virksomhed f.eks. en US baseret cloud-løsning læner sig tilbage og venter på en ”realistisk lov” som Henrik Nielsen skriver, så er den fremgangsmåde forbundet med en betydelig procesrisiko for at "få med bødekæppen".

Modsat tror jeg at samme virksomhed som bruger en US baseret cloud-løsning – men som aktivt arbejder på at lovliggøre løsningen, vil næppe have ”noget i klemme”.

Men er det et reelt problem for cloud-udbydere? Jeg mener at de store udbydere har jo datacentre over hele verden, ligesom der opføres nye datacentre.

Er det i sidste ende ikke bare et spørgsmål om at flytte data tilbage til Europa og opbygge en slags firewall som forhindrer at data flyder andre steder hen, end til cloud-kunderne og f.eks. flytte supporten af europædiske kunder til Europa.

Jeg er ikke i tvivl om at det er besværligt som cloud-udbyder at skulle ændre sit design, modsat ville jeg som kunde jo sige noget i retning af ”at det jo er udbyderens problem at de har designet deres system forkert” – for cloud-udbyderne må jo have kendt til både NSA’s snagen i europæiske data på deres servere og på samme tid have kendt til Safe Habour dommen og Schrems II sagen

11
19. januar 2021 kl. 01:49

Realistisk set — på længere sigt — så tror jeg egentlig mere, at vi kommer til at se en lovændring i stedet for total udelukkelse af overførsler til "usikre" tredjelande. Jeg håber selvfølgelig, at EUs marked for den slags bliver langt bedre, end i dag, men realistisk set tror jeg ikke på den.

Databeskyttelsesforordningen har en nærmest absurd dobbeltstandard, hvor vi holder os selv til en lavere standard en såkaldt usikre tredjelande. Som medlem af EU har Storbritannien uden problemer kunnet foretage massiv masseovervågning — formentlig i større grad end amerikanerne — af sine borgeres private data. Fordi ifølge Forordningen er alle EU-landes databeskyttelsesniveau tilstrækkeligt. Vi ser lignende eksempler i hele EU på den slags — ja bare se på telelogningen i Danmark.

I sidste ende er lovgivning et geopolitisk spørgsmål — med Schrems II kaster EU Domstolen i virkeligheden bolden videre til lovgiverne. På den ene side har man udformet noget lovgivning, som isolerer EU fra resten af verden. Har vi lyst til det? Vil vi i EU være spydspids for privatliv og voksen politik, og isolere os — eller vil vi gå på kompromis og være en del af resten af verden — sat op meget firkantet.

Retten til privatlivets fred er ikke en absolut; det er ikke en ukrænkelig ret, og heraf følger, at samfundet som helhed også må tages med i betragtningen.

Derfor vurderer jeg, realistisk set, at der kun er to måder at overkomme den dobbelte standard til databeskyttelse i Forordningen — for at sikre konkurrence på lige vilkår:

Enten vil man fra EUs side komme til at bløde op for undtagelsesbestemmelserne i Forordningens kapitel V; eller også vil man sætte foden ned over for medlemslandenes masseovervågning. Jeg tvivler mere på den sidste, end jeg gør den første.

Det bliver spændene at se, hvad der sker på det område. Jeg håber selvfølgelig på idealløsningen, men Schrems II er for mig ikke ideel. Tværtimod forekommer den som ren utopi i en globaliseret verden, hvor vi handler med hinanden.

Schrems II isolerer os og skaber kunstige barrierer — fordi masseovervågning er åbenbart kun et problem, hvis den sker i et såkaldt tredjeland, men ikke inden for vores egne grænser. Min vurdering er, at Schrems II er grundlæggende uforenelig med den måde, verden fungerer på, og der er et for stærkt brud mellem de jure og de facto til, at vi ikke kommer til at se ændringer i GDPR.

10
19. januar 2021 kl. 00:12

Der ligger i høj grad også noget omkring ansvarsfraskrivelse i disse valg. Det har altid været mere bekvemt at outsource "sikkerhed", til leverandører med lukket kildekode. Især i det offentlige, tror/håber de fleste private aktører tænker i lidt andre baner (Mærsk fik da en lærerstreg der var tæt ved at koste dem dyrt, ved at lægge "alle æg i en kurv").

Enhver virksomhed bør kører hybrid af flere årsag, men da især fordi man ikke vil stavnsbindes til en leverandør. Og i de fleste tilfælde kan man skære 95 % af sine udgifter, ved at flytte services og storage ud i andre datacentre. Hvis ikke man har systemadministratorer ansat til at have fingrene nede i "maskinrummet", hvad har man dem så ansat til?

9
18. januar 2021 kl. 15:14

Der er ingen tvivl om at de amerikanske leverandører, langt hen ad vejen, har de bedste løsninger.

Når det er sagt, så kan det jo være ligegyldigt, så længe de er underlagt en lovgivning som ikke yder den beskyttelse af data, som borgere i EU har krav på. For så må vi ikke bruge dem.

Vi bliver nok nødt til at skifte Corvette'n ud med en Volkswagen i en periode, indtil EU-leverandører har indhentet det tabte og kan levere de samme, eller bedre, features.

Lad os se det som en opportunity!

8
18. januar 2021 kl. 14:06

Det er vel alle de managed services?</p>
<p>Hvis du "kun" har behov for applikationer og et par standard-størrelse standard-databaser, er det nok lidt ligemeget – du behøver jo egentligt bare nogle VMs, og cloud betyder måske kun "det er nemt at trykke på en knap i et web UI for at få flere instanser".

Det er netop det store udvalg af managed services, altså Platform-as-a-Service, der trækker. De mindre udbydere tilbyder ikke meget mere end managed storage og managed SQL services, udover selvfølgelig foreskellige typer virtuelle og fysiske maskiner.

"Bare nogle VMs" betyder, at man selv hænger på driften af operativsystem, database-server, webserver, osv., der løbende skal opdateres og vedligeholdes, også selvom de kører som virtuelle maskiner. (Man slipper dog for vedligehold af den underliggende hardware, dvs. udskifting af defekte harddiske og den slags.)

Fx med Azure Functions og AWS Lambda slipper man helt for driften af et underliggende klassisk operativsystem. (Men i stedet skal man tage stilling til provisionering og kriterier for automatisk op- og ned-skalering af de underliggende resurser).

mvh

Morten Brørup

CTO, [SmartShare Systems]

7
18. januar 2021 kl. 13:17

Scaleway fra Frankrig tilbyder managed databaser, managed k8s, managed load balancers osv. - så det er bare at kigge videre, der er til det meste.

6
18. januar 2021 kl. 12:05

Jeg ved ikke hvad det er for nogle "killer features" som man føler man KUN kan få fra Amazon, Azure eller Google ?

Det er vel alle de managed services?

Hvis du "kun" har behov for applikationer og et par standard-størrelse standard-databaser, er det nok lidt ligemeget – du behøver jo egentligt bare nogle VMs, og cloud betyder måske kun "det er nemt at trykke på en knap i et web UI for at få flere instanser".

Men hvis vi begynder at snakke om ElasticSearch og Kafka clusters, object/blob storage, massive nosql databaser... så kan du forholdsvist hurtigt spinne de services op selv, om det så er på et Kubernetes cluster eller VMs, men det kræver pænt meget arbejde (og ekspertise!) hvis du selv skal stå for maintenance, monitoring, tuning og så videre.

Jeg har ikke set på hvad alternative cloud providers tilbyder af services – det er over min pay grade at skifte infrastruktur ud 😉 – men hvis niveauet er "de tilbyder managed K8s" så er det ikke helt nok til alle behov.

5
18. januar 2021 kl. 11:59

som aldrig bliver til noget

4
18. januar 2021 kl. 11:27

bl.a. Hetzner kan fint levere både fysiske og virtuelle servere - så man kan stadig gå "i skyen" uden at forbryde sig imod GDPR på den baggrund, hvis man bare sikrer sig at leverandøren kan leve op til det (hvilket Hetzner så kan - da de bor i tyskland :)

Jeg ved ikke hvad det er for nogle "killer features" som man føler man KUN kan få fra Amazon, Azure eller Google ?

Personligt foretrækker jeg at bruge Kubernetes + egne fysiske servere med VMs - til drift - og tage ansvaret for den fysiske adskillelse hvor nødvendigt imellem containere - og det er billigere at drive hos Hetzner end hos Amazon/Google (compute prisen er lavere) og jeg foretrækker alligevel leverandørfrihed istedet for lockin, så udgifterne i form af kompetance opbygning og automatisering var nogen vi ville have taget alligevel.

Jeg håber nogen lykkedes med at få kommunikert ud at cloud != "Amazon/Azure/Google" istedet for den meget ensidige tilgang jeg synes jeg ser mange steder.

3
18. januar 2021 kl. 09:46

God pointe!

Jeg er sikker på at både Version2 og andre medier, har sendt deres journalister på jagt efter en udtalelse fra KL.

Tvivler dog på at de får den. Alle stikker hovedet i busken og venter på at Věra Jourová i EU, skal trække endnu en hvid elefant op af hatten, så snyderiet kan fortsætte.

2
18. januar 2021 kl. 09:24

Her kan jeg godt blive lidt nysgerrig mht. KL's ansvar. Kommunerne bruger jo i høj grad denne private forening som konsulent inden for IT, og til at udarbejde retningslinier for kommunernes udvikling og indkøb, samt opbevaring og deling af data.

Jeg er i flere tilfælde selv blevet afvist med henvisning til at "det har KL besluttet" eller "godkendt" når jeg har protesteret over for min kommunes indsamling og behandling af bl.a. mine børns data i forbindelse med MinUdannelse, SundhedsVejen, og andre platforme.

Nu kunne jeg godt tænke mig at vide hvor meget der skal til før at denne private forening, som opfører sig som og vist ser sig selv som en slags selvstændig myndighed, pådrager sig et juridisk ansvar for sin lovstridige vejledninger til kommunerne?

1
18. januar 2021 kl. 07:33

“Vil leverandøren så ikke spørge, hvordan de skal kunne garantere det, uden at have set retningslinjerne?”

Retningslinjerne står i EUs Charter og har været kendt siden år 2000. Forsøg på omgåelse af retningslinjerne, i form af Safe Harbor og Privacy Shield, blev som ventet dømt ude, hvilket ethvert lignende forsøg fremover også vil blive.

“Det at tage en risiko, fordi leverandøren siger, at det hele nok skal gå - det vil jeg kraftigt advare imod.”

Nemlig! Man skal ikke vente på at nogen forsøger at legitimere noget, som grundlæggende er forkert.

Gør det rigtige fra starten. Og hvis man allerede har prøvet at snyde, ved hjælp af de juridiske (og ulovlige) omgåelser, så få vores data bragt i sikkerhed.

Som Langemark siger, så kommer der næppe nogen og blåstempler snyderiet for tredje gang.