Microsoft bøjer sig for Schrems II: Data kan blive i EU

22 kommentarer.  Hop til debatten
EU-cloud-bom illustration
Illustration: Iskra Denkova.
EU Data Boundary skal give cloud-kunder mulighed for at behandle og gemme alle data i EU. Det tekniske grundlag vil ligge klart i slutningen af 2022.
Tania Andersen
Tania Andersen
Journalist
6. maj 2021 kl. 15:24
errorÆldre end 30 dage
Tania Andersen
Tania Andersen
Journalist
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Microsoft har torsdag meddelt, at virksomheden vil tage et nyt skridt for at komme de nye strikse EU-regler om datatilgang i møde.

I et blogindlæg skriver firmaet:

»I dag annoncerer vi et nyt løfte til EU. Hvis du er kunde i den kommercielle eller offentlige sektor i EU, går vi ud over vores eksisterende forpligtelser om datalagring, og giver dig mulighed for at behandle og gemme alle dine data i EU. Med andre ord behøver vi ikke at flytte dine data uden for EU. Denne forpligtelse gælder på tværs af alle Microsofts kerne-skytjenester - Azure, Microsoft 365 og Dynamics 365. Vi begynder straks at arbejde på dette tilføjede trin, og vi vil gennemføre implementeringen af alt det tekniske arbejde, der er nødvendigt, ved udgangen af næste år. Vi kalder denne plan 'EU Data Boundary for Microsoft Cloud.'«

Det fremgår af en side med 'ofte stillede spørgsmål', at EU Data Boundary fra slutningen af 2022 vil tage yderligere skridt til at minimere overførsler af både kundedata og personoplysninger uden for EU.

Artiklen fortsætter efter annoncen

»Vi mener, at vores nye initiativ vil opfylde lovgivningsmæssige krav og imødekomme behovene hos vores europæiske kunder, der søger endnu større tilsagn angående datalokalisering.«

Samme sted uddybes forholdet mellem EU Data Boundary og Schrems II-dommen:

»Vi implementerede supplerende foranstaltninger efter Schrems II-beslutningen, for yderligere at understøtte overholdelse af dataoverførsler, som vi mener opfylder og går ud over, hvad der kræves af Schrems II-beslutningen. Vi foretager disse yderligere investeringer for at behandle og gemme data i EU inden udgangen af 2022. Dette viser vores fortsatte engagement over for vores kunder i Europa og forenkler post-Schrems II-overholdelse ved at minimere dataoverførsler til uden for EU's grænser.«

Herhjemme satte det kommunale it-fællesskab Kombit i september sidste år en stopper for indgåelse af nye kontrakter med Microsoft, fordi tech-giganten ikke kunne stille de relevante garantier for, at kundernes data ikke sendes ud af Europa.

Artiklen fortsætter efter annoncen

Jobs

Dine job
Vis alle

»Med den viden Kombit har om, at Microsoft ikke kan garantere, at der ikke sker overførsel til tredjelande, medfører det, at Kombit på nuværende tidspunkt ikke ønsker at indgå nye aftaler, hvor Microsoft anvendes som underdatabehandler,« lød det dengang.

Det samme mener Kombit dog ikke gælder Amazon AWS i forbindelse med skole-intranettet AULA:

»Det skal her bemærkes, at de data AWS teoretisk og teknisk ville kunne tilgå for AULA alle er krypterede. Derudover kan supporthenvendelser til AWS i teorien indeholde persondata f.eks. ved brug af screenshots, men Netcompany sikrer, at supporthenvendelser til AWS ikke indeholder persondata ved brug af screenshots i fejlrapporter, og at der i tilfælde af brug for support altid anvendes en AWS-supporter fra EU/EØS,« hedder det i et notat fra Kombit og leverandøren Netcompany.

Juridiske eksperter dumper dog AWS' generelle Schrems II-garanti overfor Version2:

»Det kan selvfølgelig ikke udelukkes, at den endelige udgave af vejledningen efterlader en dør på klem for en risikobaseret tilgang, men indtil da er meddelelsen fra AWS juridisk set ubrugelig,« har advokat Jesper Løffler tidligere udtalt.

add
add
add
add
22 kommentarer.  Hop til debatten
Fortsæt din læsning
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
22
Michael Hansen
5. oktober 2021 kl. 10:43

Vi bruger Azure her hvor jeg er (ikke mit valg, men so be it), jeg har lagt mærke til at meget udvikling af diverse services i Azure, sker fra Indien, og efterfølgende support (fra engineering, ikke alm support af servicen), også sker derfra, hvis man skal fejlfinde i tingene helt bagved, så selv Indien har snablen langt nede i Azure.

Sidste eksempel var APIM i Azure, det er udviklet og hvor deres engineering afdeling er i Indien, hvor der var en bug i deres backend netværks kode, vi skulle have dem til at fikse i næste release, selvom alt var hosted i westeurope, var det ret tydeligt de havde fuld adgang til alt vedr. vores APIM og data.

Så lur mig om ikke USA ad omveje, også nemt kan få adgang fra Indien.

  • more_vert
    • insert_linkKopier link
21
Sune Marcher
11. maj 2021 kl. 18:19

Ergo vil, så længe AULA benytter AWS's compute del, være muligt for AWS at få fat i kundens data.

Med mindre alt compute foregår clientside, og der kun sendes krypterede blobs videre til AWS... eller at alt der kører på AWS er implementeret med secure multiparty computation 😉

I virkeligheden er "ALT PÅ AULA ER KRYPTERET OG AWS KAN IKKE TILGÅ DET" nok bare en omgang varm luft/decideret løgn, og dækker ikke over andet end "SSE-S3" fluebenet er slået til...

  • more_vert
    • insert_linkKopier link
19
Kim Tiedemann
10. maj 2021 kl. 09:26

Jeg har talt med en del folk fra Aula projektet. De fortæller at Aula kører på virtuelle maskiner i AWS.

Det svarer altså til EDPB use case 6: Transfer to cloud services providers or other processors which require access to data in the clear

I følge EDBP er der INGEN foranstaltninger der kan fikse dette i forhold til SchremsII. Derfor undrer det mig og mange andre i branchen, at KOMBIT vurderer det anderledes.

  • more_vert
    • insert_linkKopier link
17
Jørgen Elgaard Larsen
7. maj 2021 kl. 14:00

En dommer i det land, hvor data opbevares, giver en efterforskningsmyndighed lov til at få adgang til data i efterforskningsøjemed.

Det er netop det, der er problemet. Dommeren i det andet land, vil ikke dømme efter EU-ret, men efter hans lokale love.

Lad os antage, at firmaet BigFancyCloud har hovedkontor i Korruptistan.

Din lokale danske børnehave lægger alle sine data på BigFancyCloud i den tro, at de er beskyttet af GDPR.

En dommer i Korruptistan beordrer nu direktøren for BigFancyCloud til at udlevere data til præsidentens bror, så han kan sælge dem til højstbydende. Det siger loven i Korruptistan, at man skal - ellers bliver man øjeblikkelig halshugget.

Direktøren for BigFancyCloud skynder sig at udlevere data for alle børnene - i fuld overensstemmelse med Korruptistansk lov.

Børnehaven har nu forbrudt sig mod GDPR - deres data er lækket, fordi de lå et sted, hvor de ikke var beskyttet af GDPR.

  • more_vert
    • insert_linkKopier link
15
Henrik Juul Størner
7. maj 2021 kl. 13:42

Og opbevaringslandet er i denne henseende ligegyldigt. USA mener at deres domstole alene kan bestemme hvad amerikanske virksomheder skal gøre med data, uanset hvor data opbevares eller hvem der ejer data. Så hvis en amerikansk domstol vil se data om danske patienter fra Sundhedsplatformen, så har Microsoft/Google/AWS bare at levere.

Og vi taler om FISA domstolen, der ikke er omfattet er reglerne om offentlighed i processen, og hvis afgørelser kan være hemmelige - selv for den person/firma som afgørelsen vedrører.

Det er derfor GDPR er overtrådt, for datasubjektet (den person, som ejer de pågældende data) får hverken indsigt i at hans/hendes data bliver videregivet til den amerikanske regering, eller mulighed for at gøre indsigelse mod videregivelsen. Der er ikke mulighed for en reel juridisk proces.

  • more_vert
    • insert_linkKopier link
13
Malthe Høj-Sunesen
7. maj 2021 kl. 12:53

Den længere, læs op på SchremsII dommen. De personfølsomme data du overdrager til en databehandler skal have samme beskyttelse i et eventuelt tredjeland som de har i et EU land pr GDPR.

Jeg er ikke sikker på at du forstår mig, så jeg prøver lige igen:

Data opbevares et sted, beskyttet af GDPR.

En dommer i det land, hvor data opbevares, giver en efterforskningsmyndighed lov til at få adgang til data i efterforskningsøjemed.

Databehandler udleverer på bagrund af dommerkendelsen data til efterforskningsmyndigheden.

Ovenstående kan da ikke være ulovligt ifølge GDPR?

  • more_vert
    • insert_linkKopier link
12
Torben Hedegaard Hansen
7. maj 2021 kl. 10:39

En sådan dommerkendelse, som Microsoft vil provokere, vil alene se på, om myndigheden (fx NSA) har lov til deres anmodning, dvs. at dommeren alene ser på, om fx FISA eller EO er overholdt.

Dommerkendelser, som du hentyder på, kræver, at der tages stilling til det konkrete datasæt / det konkrete individ og behovet.

Kort sagt.

  • more_vert
    • insert_linkKopier link
11
Claus Bobjerg Juul
7. maj 2021 kl. 10:25

AWS er krypteret (inden det når AWS og AWS har ikke adgang til nøglen), så det er irrelevant hvor de gemmer det data. Microsoft kan også bruges til at gemme det data på den måde.

Der findes endnu ingen CPU der kan regne på krypteret data, dvs at CPU's registere indeholder krypteret data og plus/addering's operationen udføres og ud kommer et krypteret indhold som med kundens nøgle kan udlæses som de to input adderet med hinanden.

Ergo vil, så længe AULA benytter AWS's compute del, være muligt for AWS at få fat i kundens data. Med FISA i hånden kan NSA m.fl. bede AWS om at udlevere kunders data og med en FISC dommerkendelse (gag ordre) må AWS i fortælle om det.

  • more_vert
    • insert_linkKopier link
9
Rune Hansen
7. maj 2021 kl. 00:19

Ja, eller give “myndighederne” (hjemlands) adgang til den.

  • more_vert
    • insert_linkKopier link
8
Magnus Jørgensen
6. maj 2021 kl. 23:49

I dag annoncerer vi et nyt løfte til EU. Hvis du er kunde i den kommercielle eller offentlige sektor i EU, går vi ud over vores eksisterende forpligtelser om datalagring, og giver dig mulighed for at behandle og gemme alle dine data i EU. Med andre ord behøver vi ikke at flytte dine data uden for EU.

Hvad er det for en formulering. Når MS lover at de ikke behøver at flytte data ud af EU, har de jo dermed ikke afvist at de kunne gøre det. Det er da noget mærkeligt spin.

  • more_vert
    • insert_linkKopier link
6
malik taaning
6. maj 2021 kl. 22:48

Pr en tidligere tråd her på V2, så tyder meget på at aula ikke kun bruger aws til storage. Og hvis aws bruges til processering af data, ja så er det tvivlsomt at GDPR er overholdt.

  • more_vert
    • insert_linkKopier link
5
Rune Philosof
6. maj 2021 kl. 18:11

Hvorfor nævnes Kombits overvejelser om AWS i denne artikel. Det er usammenligneligt. Det data Kombit gemmer hos AWS er krypteret (inden det når AWS og AWS har ikke adgang til nøglen), så det er irrelevant hvor de gemmer det data. Microsoft kan også bruges til at gemme det data på den måde.

  • more_vert
    • insert_linkKopier link
4
Anders Jelnes
6. maj 2021 kl. 16:31

præcis som du skriver, sad lige og tænkte... det ændrer jo ikke en tøddel i forhold til kerneproblemet.

selv en kigge adgang for en supporter er overførsel.

store ord.... og det ender nok med at Max skal igang igen, desværre.

  • more_vert
    • insert_linkKopier link
2
Ditlev Petersen
6. maj 2021 kl. 16:03

Det er nemt nok at lave et system, så cloud data opbevares og behandles inden for EU. Men hvordan vil man lave et system, så NSA eller andre ikke kan KRÆVE (og få) adgang til disse oplysninger? Så skal der vel laves et selskab helt uafhængigt af Microsoft.

Hvad er det, jeg ikke har forstået?

  • more_vert
    • insert_linkKopier link
1
malik taaning
6. maj 2021 kl. 16:01

Selvom det her er et rigtig stærkt tiltag, så kan MS stadig ikke komme i nærheden af at overholde GDPR sålænge de vil overholde USA lov - og det ved de selvfølgelig godt.

De skriver det tilmed i deres eget materiale om EU Data Boundary

https://techcommunity.microsoft.com/t5/security-compliance-identity/eu-data-boundary-for-the-microsoft-cloud-frequently-asked/ba-p/2329098

How will the US and other government requests be treated under the new EU Data Boundary?</p>
<p>A: Through clearly defined and well-established response policies and processes, strong contractual commitments, and if need be, the courts, Microsoft defends your data. ... . If compelled to disclose or give access to any customer’s data, <strong>Microsoft will promptly notify the customer and provide a copy of the demand unless legally prohibited from doing so</strong>. We will challenge every government request for an EU public sector or commercial customer’s personal data—<strong>from any government—where there is a lawful basis for doing so.</strong>

  • more_vert
    • insert_linkKopier link