Safe Harbor-forhandlinger: EU kræver garanti mod amerikansk spionage i europæernes data

EU vil have klare grænser for, hvad amerikanske myndigheder kan tiltuske sig af personlig information fra selskaber, der sender data mellem kontinenterne.

Deadlinen nærmer sig hastigt for de kritiske dataforhandlinger mellem EU og USA. I slutningen af januar skal parterne være enige om en erstatning for den nu skrinlagte Safe Harbour-aftale, der sidste år blev underkendt af EU-domstolen.

Og i den nye, forbedrede datapagt skal sikring af europæernes data mod amerikanske spioner være et bærende punkt.

Det skriver Reuters.

Læs også: Også nye aftaler med Google og Amazon i fare efter Facebook-dom

Problematikken har længe været diskuteret mellem Washington og Bruxelles, og EU-repræsentanter meldte i går ud, at man fastholder kravet, nu hvor en ny aftale skal skrues sammen.

»Vi har brug for garantier for at der er effektive juridisk kontrol med offentlige myndigheder adgang til data med hensyn til national sikkerhed, lovhåndhævelse og offentlighedens interesse,« fastslog EU-kommissær Vera Jourova på en konference i Bruxelles.

Læs også: 200 danske virksomheder i Datatilsynets søgelys for ulovlig dataoverførsel til USA

Ifølge kommissæren vil unionen have mere gennemsigtighed om grænserne for, hvilke data amerikanske efterretningstjenester kan opsnappe.

Indtil videre har USA nægtet at gå med til et system, hvor virksomheder skal oplyse, hvor mange dataanmodninger de har fået fra myndigheder.

Læs også: Industri til EU: Få styr på ny ‘Safe Harbour’-aftale

Europæiske datamyndigeder har givet de to parter indtil slutningen af januar til at finde en løsning. Sker det ikke vil myndighederne begynde at håndhæve EU’s persondatalov over for de omkring 4000 virksomheder, der før arbejdede under Safe Harbour-aftalen.

Følg forløbet

Kommentarer (9)

Bent Jensen

USA håber at de bare kan køre videre som hidtil. Selv om der laves en aftale, hvad er den så vær hvis den ikke kan kontrolleres. Virksomheden får GAG ordre og NSA høster data som sædvanligt.

Eneste sikker løsning er at de må flytte deres datacentre til EU, når det begynder at koste rigtigt meget på bundlinjen, og data strømmen tørre ind. Så er de sikkert nemmere at indgå en aftale med.

Forstår stadig ikke at mange ikke forstår at NAS foretager industrispionage, og overtræder menneskeretten om privatliv. Ikke for at fange Terrorister, for de oplysninger de skulle bruge til det måtte de glædelig bede en Dommer om at få udleveret. De 3 bogstavet har pisset så meget i bukserne at de har ødelagt det hele for dem selv. Ingen have været imod en gennemsigtigt og domstols kontrolleret overvågning.

I stedet har vi fået et (u)væsnet der var lagt være end FBI J. Edgar Hoover, som bruger ulovlige metoder metoder mod alt hvad han mente var Uamerikansk. Meget dårlig stil og dobbeltmoralsk, når man selv var en bøserøv, som have sin elskers løn betalt af det offentlige, og modtog betaling fra mafiaen, som han slet ikke mente eksisteret. . Desuden selv brugte terror mod anderledes tænkende, måske endda mord. eller viden om det.

(beklager udtrykket bøserøv, men det er meget velanbragt i denne sammenhæng)

Christian Rutrecht

Så vidt jeg har forstået, så har alle virksomhedskunder på Microsoft cloud løsninger som O365, CRM, Azure osv. det som default i deres aftale, at dataoverførselsgrundlaget er de stadig stående EU Modelstandardkontrakter, og dertil har offentlige kunder den danske sikkerheds bekendtgørelse som tillæg til kontrakten. Det betyder vel i realiteten, at disse virksomheder er frataget problematikken og at Safe Harbour derfor retter sig primært mod forbrugertjenester til private?

Anne-Marie Krogsbøll

Så vidt jeg har forstået, så har alle virksomhedskunder på Microsoft cloud løsninger som O365, CRM, Azure osv. det som default i deres aftale, at dataoverførselsgrundlaget er de stadig stående EU Modelstandardkontrakter

Jeg ved ikke, om jeg misforstår dette, men private virksomheder kan vel ikke have kontrakter, der undtager dem fra at holde lovgivningen? Eller misforstår jeg, hvad du mener?

Bent Jensen

Ja, Nej og Måske
I første omgang kan man sikkert bruge denne standard "klausul". Men med de nye datalove i EU risikere du stadig en bøde på 5% af omsætning eller lignende.
Og du kan ikke bare sige at du troede at der var styr på det, eller spille aben videre.
Det er dig og dit firma som har ansvaret for at loven om databeskyttelse overholdes.

Så hvis du stoler på NSA, FBI, CIA, HS, MS, Google, Amazon, Facebook så kan du bare tage chancen, Men vi taler om bøder på måske 1-2 milliarder.

Men som virksomhed håber jeg da i har undersøgt konsekvenser og muligheder. Måske skal alt data tages hjem til EU, og der skal ansættes/udpeges personale med data ansvar ?
Altså rettidig omhu, det var sidste år ?

Men her lidt mere hvis du har sovet helt i timen.

http://www.computerworld.dk/art/233397/ny-skrap-eu-datalov-faar-konsekve...

Christian Rutrecht

Tror at det er jer, der misforstår noget:

Virksomhedskunder ved f.eks Microsoft cloud tjenester har særskilte 3parts aftaler i EU Modelstandardkontrakter(Anden lovgivning - Godkendt af EU). Det fratager visse Cloud virksomhedstjenester at være underlagt Safe Harbour efter min forståelse.

"The EU’s data protection laws restrict exporting personal data from the European Economic Area. The Model Clauses, standard contractual clauses approved by the European Commission, are a preferred way to legitimize the transfer of personal data outside the European Economic Area. "
http://ec.europa.eu/justice/data-protection/international-transfers/tran...

"Anbefalingen er derfor, at oplysninger ikke overføres til amerikanske virksomheder, før der er etableret et nyt grundlag (fx Kommissionens Standardkontrakter, Binding Corporate Rules eller samtykke fra det enkelte datasubjekt)."
http://www.bechbruun.com/da/Videncenter/Nyheder/2015/November/Datatilsyn...

Mener at, jeg er forholdsvis vågen i timen og taler også kun om Mircosoft Cloud tjenester i forhold til EU Standardkontrakter. Er ikke uenige med jer i problematikken eller at man burde have lagret europæisk data i EU, hvilket også er en mulighed idag hos mange af de cloud udbydere du nævner Bent.(Om den data kun forefindes på Europærisk jord, vil jeg lade andre bedømme. :D ) Jeg tager hverken udgangspunkt i datatab, bøderater eller DPOer(Data Protection officers) eller virksomhedstiltag. Så en lang informations smøre og et link fra en artikel sidste år, giver altså ikke svar på det jeg konkret ligger op til.

Ligger op til diskussion om hvorvidt det juridisk fortsat er lovligt i den nye EUForordning at anvende disse cloud tjenesterne baseret på default inkluderede EU modelstandardkontrakter og den danske sikkerhedsbekendtgørelse?

Anne-Marie Krogsbøll

Mener at, jeg er forholdsvis vågen i timen ...


Ja, bestemt - jeg sætter ikke spørgsmålstegn ved din udlægning, er bare overrasket over, at det forholder sig sådan.

Ligger op til diskussion om hvorvidt det juridisk fortsat er lovligt i den nye EUForordning at anvende disse cloud tjenesterne baseret på default inkluderede EU modelstandardkontrakter og den danske sikkerhedsbekendtgørelse?

Det håber jeg ikke, for hvis jeg ellers forstår det rigtigt (det er der ingen garanti for), så gennemhuller det vel hensigten om bedre datasikkerhed?

Bent Jensen

Linket var også lidt gammel, inden loven er/blev færdig og inden dommene om facebook.

Som jeg læser og forstår den nye lov og dommen om safe harbor. Så er det ikke muligt som firma længere at have data i USA som indeholder personfølsomme data. Som datatilsynes selv har udtalt, selv om de er krypteret inden de forlader "matriklen". Hvis ikke USA er villig til at indgå en ny aftale hvor de vil overholde det som egentlig var aftale med den første Safe Harbor aftale, at holde snitterne fra data og overholde EU lov hvis de skal have lov til at opbevare dem i USA.

Så håber, som jeg skrev i den første indlæg,
Vi lukker helt ned for data opbevaret uden for EU. Det kan nok give firma i EU lidt problemer den første tid, op til et år. Men derefter er det USA som har problemer, når de mister hele det europæiske marked. Kan heller ikke forstå at vi er så opsatte på at løse det, med undtagelse at man får lidt penge under hånden for firmaer og de 3 bogstavet. En aftale under graver jo vores egen datasikkerhed og firmaer i EU som ikke kan konkurrere når det ikke er på samme markedsvilkår.

Men om det bliver den ene eller den anden, eller ingen aftale. Så kan man ikke bare bruge MS og Google online løsninger, eller have sin data i skyen ved samme eller Amazon uden at foretage nogle valg. Et fravalg af dette kan blive dyrt, Danske bank som jo har en backup af Konti og overførsler i USA, skal sikker sig at det kun er dem som har adgang, ellers kan det give en bøde på 1-3 Milliarder alt efter hvordan reglerne fortolkes og ender op, reglerne er jo ikke implementeret og vedtaget overalt, men selv om Danmark måske halter efter, så kan Internationale firma og den Danske stat jo godt blive ramt alligevel, med et bødeforlæg fra kommissionen.

PS: Har ingen Juridisk viden, eller har set loven da den ikke er færdig og vedtaget i de enkelte lande..

Jesper Lund

Tror at det er jer, der misforstår noget:

Virksomhedskunder ved f.eks Microsoft cloud tjenester har særskilte 3parts aftaler i EU Modelstandardkontrakter(Anden lovgivning - Godkendt af EU). Det fratager visse Cloud virksomhedstjenester at være underlagt Safe Harbour efter min forståelse.

Ja og nej. Mest nej.

Det er korrekt at EU-dommen kun direkte berører Safe Harbor som grundlag for dataoverførsel til USA. Hvis dataoverførslen sker på et andet grundlag, dvs. enten standardmodelkontrakter eller bindende virksomhedsregler (BCR), er det fortsat lovligt at overføre persondata til USA.

MEN... (og nu kommer vi til "mest nej" delen af mit svar). Det er kun lovligt indtil videre. De argumenter, som førte til at Safe Harbor blev annuleret som lovligt grundlag for at overføre data til USA, især NSAs masse-snageri i vores data, vil også kunne ramme standardmodelkontrakter og bindende virksomhedsregler. Det kræver blot en klage, som et datatilsyn tager stilling til. Max Schrems er vist allerede i gang, forlyder det :) Reelt lever de andre grundlag (standardmodelkontrakter og bindende virksomhedsregler) på lånt tid.

Jesper Lund
Formand, IT-Politisk Forening

Bent Jensen

Hvis man har en hjemmeside og bruger sådan "service" så har man vel også ansvaret for hvor de data ender ?

http://newrelic.com/
"In a few minutes, your application will send data to New Relic. Login to your account to start seeing data!"

Så ud over data intern, skal man vel også have mere styr på sine hjemmesider og udbyder.
Hvis de har data skal "over dammen" så er det sikkert ikke lovligt.

Som Jesper også skriver det er nu kun Safe Harbor som er berørt, men med de nye regler kan du ikke bruge en standardmodel kontrakter eller bindende virksomhedsregler (BCR) som undskyldning for at du ikke har styr på dine data. Man skal vide hvor og hvem der har adgang og bruger dem, og du skal ved det mindste brud på reglerne kontakte de berørte kunder om dette. Standardkontrakten sikker vel kun at i hver får en bøde.

Log ind eller opret en konto for at skrive kommentarer

JobfinderJob i it-branchen