Microsoft bøjer sig for Schrems II: Data kan blive i EU

Illustration: Iskra Denkova
EU Data Boundary skal give cloud-kunder mulighed for at behandle og gemme alle data i EU. Det tekniske grundlag vil ligge klart i slutningen af 2022.

Microsoft har torsdag meddelt, at virksomheden vil tage et nyt skridt for at komme de nye strikse EU-regler om datatilgang i møde.

I et blogindlæg skriver firmaet:

»I dag annoncerer vi et nyt løfte til EU. Hvis du er kunde i den kommercielle eller offentlige sektor i EU, går vi ud over vores eksisterende forpligtelser om datalagring, og giver dig mulighed for at behandle og gemme alle dine data i EU. Med andre ord behøver vi ikke at flytte dine data uden for EU. Denne forpligtelse gælder på tværs af alle Microsofts kerne-skytjenester - Azure, Microsoft 365 og Dynamics 365. Vi begynder straks at arbejde på dette tilføjede trin, og vi vil gennemføre implementeringen af alt det tekniske arbejde, der er nødvendigt, ved udgangen af næste år. Vi kalder denne plan 'EU Data Boundary for Microsoft Cloud.'«

Det fremgår af en side med 'ofte stillede spørgsmål', at EU Data Boundary fra slutningen af 2022 vil tage yderligere skridt til at minimere overførsler af både kundedata og personoplysninger uden for EU.

»Vi mener, at vores nye initiativ vil opfylde lovgivningsmæssige krav og imødekomme behovene hos vores europæiske kunder, der søger endnu større tilsagn angående datalokalisering.«

Samme sted uddybes forholdet mellem EU Data Boundary og Schrems II-dommen:

»Vi implementerede supplerende foranstaltninger efter Schrems II-beslutningen, for yderligere at understøtte overholdelse af dataoverførsler, som vi mener opfylder og går ud over, hvad der kræves af Schrems II-beslutningen. Vi foretager disse yderligere investeringer for at behandle og gemme data i EU inden udgangen af 2022. Dette viser vores fortsatte engagement over for vores kunder i Europa og forenkler post-Schrems II-overholdelse ved at minimere dataoverførsler til uden for EU's grænser.«

Herhjemme satte det kommunale it-fællesskab Kombit i september sidste år en stopper for indgåelse af nye kontrakter med Microsoft, fordi tech-giganten ikke kunne stille de relevante garantier for, at kundernes data ikke sendes ud af Europa.

Læs også: Dumpede Microsoft efter EU-dom: Derfor blåstempler Kombit AWS og Aula

»Med den viden Kombit har om, at Microsoft ikke kan garantere, at der ikke sker overførsel til tredjelande, medfører det, at Kombit på nuværende tidspunkt ikke ønsker at indgå nye aftaler, hvor Microsoft anvendes som underdatabehandler,« lød det dengang.

Det samme mener Kombit dog ikke gælder Amazon AWS i forbindelse med skole-intranettet AULA:

»Det skal her bemærkes, at de data AWS teoretisk og teknisk ville kunne tilgå for AULA alle er krypterede. Derudover kan supporthenvendelser til AWS i teorien indeholde persondata f.eks. ved brug af screenshots, men Netcompany sikrer, at supporthenvendelser til AWS ikke indeholder persondata ved brug af screenshots i fejlrapporter, og at der i tilfælde af brug for support altid anvendes en AWS-supporter fra EU/EØS,« hedder det i et notat fra Kombit og leverandøren Netcompany.

Juridiske eksperter dumper dog AWS' generelle Schrems II-garanti overfor Version2:

»Det kan selvfølgelig ikke udelukkes, at den endelige udgave af vejledningen efterlader en dør på klem for en risikobaseret tilgang, men indtil da er meddelelsen fra AWS juridisk set ubrugelig,« har advokat Jesper Løffler tidligere udtalt.

Læs også: Eksperter dumper Schrems II-garanti fra AWS: »Juridisk set ubrugelig«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (21)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 malik taaning

Selvom det her er et rigtig stærkt tiltag, så kan MS stadig ikke komme i nærheden af at overholde GDPR sålænge de vil overholde USA lov - og det ved de selvfølgelig godt.

De skriver det tilmed i deres eget materiale om EU Data Boundary

https://techcommunity.microsoft.com/t5/security-compliance-identity/eu-d...

How will the US and other government requests be treated under the new EU Data Boundary?

A: Through clearly defined and well-established response policies and processes, strong contractual commitments, and if need be, the courts, Microsoft defends your data. ... . If compelled to disclose or give access to any customer’s data, Microsoft will promptly notify the customer and provide a copy of the demand unless legally prohibited from doing so. We will challenge every government request for an EU public sector or commercial customer’s personal data—from any government—where there is a lawful basis for doing so.

  • 32
  • 0
#2 Ditlev Petersen

Det er nemt nok at lave et system, så cloud data opbevares og behandles inden for EU. Men hvordan vil man lave et system, så NSA eller andre ikke kan KRÆVE (og få) adgang til disse oplysninger? Så skal der vel laves et selskab helt uafhængigt af Microsoft.

Hvad er det, jeg ikke har forstået?

  • 31
  • 0
#5 Rune Philosof

Hvorfor nævnes Kombits overvejelser om AWS i denne artikel. Det er usammenligneligt. Det data Kombit gemmer hos AWS er krypteret (inden det når AWS og AWS har ikke adgang til nøglen), så det er irrelevant hvor de gemmer det data. Microsoft kan også bruges til at gemme det data på den måde.

  • 1
  • 9
#8 Magnus Jørgensen

I dag annoncerer vi et nyt løfte til EU. Hvis du er kunde i den kommercielle eller offentlige sektor i EU, går vi ud over vores eksisterende forpligtelser om datalagring, og giver dig mulighed for at behandle og gemme alle dine data i EU. Med andre ord behøver vi ikke at flytte dine data uden for EU.

Hvad er det for en formulering. Når MS lover at de ikke behøver at flytte data ud af EU, har de jo dermed ikke afvist at de kunne gøre det. Det er da noget mærkeligt spin.

  • 12
  • 0
#10 malik taaning

Mig bekendt er det ikke mod GDPR at videregive data til offentlige myndigheder såfremt de har en dommerkendelse?

Den korte version, i mange tilfælde jo.

Den længere, læs op på SchremsII dommen. De personfølsomme data du overdrager til en databehandler skal have samme beskyttelse i et eventuelt tredjeland som de har i et EU land pr GDPR.

  • 4
  • 0
#11 Claus Bobjerg Juul

AWS er krypteret (inden det når AWS og AWS har ikke adgang til nøglen), så det er irrelevant hvor de gemmer det data. Microsoft kan også bruges til at gemme det data på den måde.

Der findes endnu ingen CPU der kan regne på krypteret data, dvs at CPU's registere indeholder krypteret data og plus/addering's operationen udføres og ud kommer et krypteret indhold som med kundens nøgle kan udlæses som de to input adderet med hinanden.

Ergo vil, så længe AULA benytter AWS's compute del, være muligt for AWS at få fat i kundens data. Med FISA i hånden kan NSA m.fl. bede AWS om at udlevere kunders data og med en FISC dommerkendelse (gag ordre) må AWS i fortælle om det.

  • 7
  • 0
#12 Torben Hedegaard Hansen

En sådan dommerkendelse, som Microsoft vil provokere, vil alene se på, om myndigheden (fx NSA) har lov til deres anmodning, dvs. at dommeren alene ser på, om fx FISA eller EO er overholdt.

Dommerkendelser, som du hentyder på, kræver, at der tages stilling til det konkrete datasæt / det konkrete individ og behovet.

Kort sagt.

  • 2
  • 0
#13 Malthe Høj-Sunesen

Den længere, læs op på SchremsII dommen. De personfølsomme data du overdrager til en databehandler skal have samme beskyttelse i et eventuelt tredjeland som de har i et EU land pr GDPR.

Jeg er ikke sikker på at du forstår mig, så jeg prøver lige igen:

Data opbevares et sted, beskyttet af GDPR.

En dommer i det land, hvor data opbevares, giver en efterforskningsmyndighed lov til at få adgang til data i efterforskningsøjemed.

Databehandler udleverer på bagrund af dommerkendelsen data til efterforskningsmyndigheden.

Ovenstående kan da ikke være ulovligt ifølge GDPR?

  • 0
  • 3
#14 Nicolai Petersen
  • 2
  • 0
#15 Henrik Juul Størner

Og opbevaringslandet er i denne henseende ligegyldigt. USA mener at deres domstole alene kan bestemme hvad amerikanske virksomheder skal gøre med data, uanset hvor data opbevares eller hvem der ejer data. Så hvis en amerikansk domstol vil se data om danske patienter fra Sundhedsplatformen, så har Microsoft/Google/AWS bare at levere.

Og vi taler om FISA domstolen, der ikke er omfattet er reglerne om offentlighed i processen, og hvis afgørelser kan være hemmelige - selv for den person/firma som afgørelsen vedrører.

Det er derfor GDPR er overtrådt, for datasubjektet (den person, som ejer de pågældende data) får hverken indsigt i at hans/hendes data bliver videregivet til den amerikanske regering, eller mulighed for at gøre indsigelse mod videregivelsen. Der er ikke mulighed for en reel juridisk proces.

  • 9
  • 0
#17 Jørgen Elgaard Larsen

En dommer i det land, hvor data opbevares, giver en efterforskningsmyndighed lov til at få adgang til data i efterforskningsøjemed.

Det er netop det, der er problemet. Dommeren i det andet land, vil ikke dømme efter EU-ret, men efter hans lokale love.

Lad os antage, at firmaet BigFancyCloud har hovedkontor i Korruptistan.

Din lokale danske børnehave lægger alle sine data på BigFancyCloud i den tro, at de er beskyttet af GDPR.

En dommer i Korruptistan beordrer nu direktøren for BigFancyCloud til at udlevere data til præsidentens bror, så han kan sælge dem til højstbydende. Det siger loven i Korruptistan, at man skal - ellers bliver man øjeblikkelig halshugget.

Direktøren for BigFancyCloud skynder sig at udlevere data for alle børnene - i fuld overensstemmelse med Korruptistansk lov.

Børnehaven har nu forbrudt sig mod GDPR - deres data er lækket, fordi de lå et sted, hvor de ikke var beskyttet af GDPR.

  • 14
  • 0
#19 Kim Bjørn Tiedemann Blogger

Jeg har talt med en del folk fra Aula projektet. De fortæller at Aula kører på virtuelle maskiner i AWS.

Det svarer altså til EDPB use case 6: Transfer to cloud services providers or other processors which require access to data in the clear

I følge EDBP er der INGEN foranstaltninger der kan fikse dette i forhold til SchremsII. Derfor undrer det mig og mange andre i branchen, at KOMBIT vurderer det anderledes.

  • 8
  • 0
#21 Sune Marcher

Ergo vil, så længe AULA benytter AWS's compute del, være muligt for AWS at få fat i kundens data.

Med mindre alt compute foregår clientside, og der kun sendes krypterede blobs videre til AWS... eller at alt der kører på AWS er implementeret med secure multiparty computation 😉

I virkeligheden er "ALT PÅ AULA ER KRYPTERET OG AWS KAN IKKE TILGÅ DET" nok bare en omgang varm luft/decideret løgn, og dækker ikke over andet end "SSE-S3" fluebenet er slået til...

  • 2
  • 0
Log ind eller Opret konto for at kommentere