Microsoft forsikrer om lovlige produkter, efter Stockholm dropper 365

26 kommentarer.  Hop til debatten
Microsoft forsikrer om lovlige produkter, efter Stockholm dropper 365
Illustration: RudyBalasko/iStockphoto.
Efter Sveriges hovedstad siger ‘nej tak’ til Microsoft 365, forsikrer tech-gigantens danske afdeling om, at produkterne overholder EU-lov. Men det sikrer ikke nødvendigvis mod et brud på Schrems II.
26. januar kl. 10:42
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Microsofts produkter er helt opdateret i forhold til at kunne overholde europæisk lovgivning. Det understreger tech-giganten, efter Stockholms kommune for nyligt har taget beslutningen om at droppe Microsoft 365, da man er i tvivl om at kunne overholde loven.

Det skriver Computerworld.

Stockholms kommune er bekymret for, at man med tech-gigantens produkter ikke kan garantere datas sikkerhed i USA. Der er en risiko for, at amerikanske myndigheder kan kræve oplysningerne udleveret, understreger kommunen, som kan lede til et brud på GDPR og Schrems II-dommen fra 2020.

>

Ole Kjeldsen, teknologi- og sikkerhedsdirektør hos Microsoft Danmark.

Artiklen fortsætter efter annoncen

Men ifølge Microsofts danske afdeling, er tech-gigantens produkter på lovens side:

»Vi arbejder målrettet med at beskytte alle vores kunders privatliv, og vores services fungerer i fuld overensstemmelse med europæiske love og regler,« skriver man i et svar til Computerworld, men afviser dog at lade sig interviewe af mediet.

Man kan dog stadig risikere at bryde med GDPR, selvom Microsofts med sine produkter overholder europæisk lovgivning. Ansvaret for databeskyttelsen ligger nemlig ofte hos kunderne, som kan komme ud i at skulle implementere supplerende foranstaltninger på dataoverførslen for at sikre oplysningerne mod, at amerikanske efterretningstjenester kan få fat på dem.

Hvis man ikke kan finde supplerende foranstaltninger, der er gode nok til at beskytte data i USA, og stadig bruger produkter, der sender data til det usikre tredjeland, bryder man med GDPR og Schrems II-dommen. Også selvom Microsofts produkt overholder lovgivningen i EU.

Ole Kjeldsen, teknologi- og sikkerhedsdirektør hos Microsoft Danmark, var dog også tilbageholdende med at give en garanti under en debat på sidste års Infosecurity-konference. Efter han direkte blev spurgt, om Microsoft kan garantere, at EU-borgeres data ikke ender i USA, svarede han:

»Jeg tror kun, man kan garantere skat og død – og man diskuterer stadig skat.«

26 kommentarer.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
25
29. januar kl. 16:58

Hvis det er et krav for at kunne udføre dit arbejde, har din lyst intet med det at gøre.

Men så er det virksomhedens data der ligger der, ikke dine egne data. Det eneste der behøver at være er et brugerID og pw. Mend hensyn til hvor data bliver gemt som default styres det ret nemt med group policies i et enterprise miljø. Man kan for eksempel sætte Windows Workfolders op som i træskolængder er det samme som OneDrive bare med data liggende på egen filserver

22
28. januar kl. 08:46

Hvis der er krav om login, så ligger der personoplysninger om dig i Office 365 miljøet / Azure. Det er problematisk i sig selv (Schrems II og hvad har vi).

19
27. januar kl. 13:59

"Logge på" er vist kodeordet her. I det øjeblik, du er tvunget til at have en konto, går det galt.

Det må du lige uddybe.

Hvis dokumenterne ligger på egen PC/server og USA kan "snage" i de dokumenter når man er logget på i Word (ikke eget AD i Azure) , så er der i den grad implementeret en spion adgang i Word. Det tvivler jeg på at der er.

En "tvungen" konto betinger IKKE at man har sine dokumenter liggende i Azure. Login er i det tilfælde ikke andet som en licens håndtering.

18
27. januar kl. 13:47

"Logge på" er vist kodeordet her. I det øjeblik, du er tvunget til at have en konto, går det galt.

17
27. januar kl. 10:43

så længe man ikke logger på med en Microsoft konto.

Nu kender jeg ikke samtlige mekanismer, så jeg kan godt tage fejl. Med O365 kan man installere en fuld lokal udgave af Word, Excel osv. Her skal man logge på for at licensen fungerer. Hvis man så bare holder sig fra at gemme ting på OneDrive, gemme på lokal server / anden cloud tjeneste, så er der vel ikke noget kritisk i det.

Man skal så stadig holde tungen lidt lige i munden for den lokale O365 vil meget gerne gemme tingene på OneDrive. Det kan man ændre i indstillingerne, men det er ikke standard.

16
26. januar kl. 22:41

...er Teams allered blevet dømt ude og så begynder hele O365 ligesom at krakellere... for er et komponent dømt ude så er de resterende nok også et problem. Så beslutningen i Stockholm er egentligt ikke så overraskende - og begynder sky funktionerne at falde fra så er der ikke meget økonomisk gevinst i O365 vs. desktop Office.

13
26. januar kl. 18:50

Er jo at det det er afhængigt af at blive driftet helt eller delvist i Azure skyen.</p>
<p>Og der er Microsoft leverandør og underlagt de USAnske lovgivning, der som bekendt gælder for alt virksomhedens aktiviteter overalt i verden.

Af samme årsag er det ikke Microsoft som leverer Azure i Kina, men det helt separate selskab 21Vianet. Hvorfor Microsoft ikke gør det samme i Europa - vi må jo bare ikke være spændende nok.

12
26. januar kl. 16:53

Nogen der ved hvad de vil benytte som alternativ?

De kan bare vælge Microsoft Windows og Microsoft Office på normal licens. Så er de GDPR/Schrems-II sikret - så længe man ikke logger på med en Microsoft konto.

Det er ikke standalone produkterne som er udfordret GDPR/Schrems-II mæssigt - det er skyen.

10
26. januar kl. 16:20

Der er ingen der skyder skylden på O365. Problemet er FISA 702 og det kan Microsoft ikke rette op på ved at lave en bedre cloud løsning.

9
26. januar kl. 14:59

Jeg er absolut ikke tilhænger af at involvere amerikanske cloud-tjenester i mine personlige data, men må også bare konstatere at det er svært at finde realistiske alternativer. Derfor bliver jeg nødt til at afveje datasikkerheds-risici ved at bruge O365 mod behov til funktionalitet - og sikkerheden i alternativerne.

O365 er en nem løsning, og rigtig mange almindelige virksomheder har meget få data, som reelt vil være interessante for USA's efterretningstjenester. (Offentlige myndigheder og sundhedsvæsenet som mulige undtagelser).

Og alternativerne har deres egne problemer med databeskyttelse, f.eks. på mobile enheder. Data fra O365 kan styres med Intune, så det er muligt at afskærme firma-data fra private apps på telefonen og slette data uden at wipe hele telefonen - hvis du kender en ikke-O365 løsning som kan det, så hører jeg gerne om det. Problemet er især håndtering af mail, hvor de alternative løsninger bruger standard mail protokoller (IMAP). Så er der "frit slag" på valg af mail-app, og det gør det umuligt at styre hvor data havner.

Så det er ikke et spørgsmål om at "tage chancen med GDPR" eller med at have "kritiske dele af produktionsapparatet udenfor virksomhedens kontrol". Det er en afvejning af fordele, ulemper, funktionalitet, omkostninger og risici ved at bruge O365 kontra "noget andet".

Og husk så også at persondata slet ikke må sendes via email uden at være krypteret, uanset om data bliver i EU eller ej, og uanset hvilken løsning du bruger. På det punkt tror jeg at 100% af de ansatte "tager chancen" af og til. https://www.datatilsynet.dk/hvad-siger-reglerne/vejledning/sikkerhed-/transmission-af-personoplysninger/transmission-af-personoplysninger-via-e-mail

8
26. januar kl. 14:01

Jeg synes at det stærkt at Stockholms kommune tager den beslutning at O365, ikke er sikkert nok for borgerne. De udmeldinger som Microsoft er kommet med er sympatiske, men at betragte som Letters of intention" og det er jo fint at Microsoft viser at de har de bedste intentioner (og ønske om fastholdelse af kunder), men det kan brugervirksomheder ikke betale bøder med, i tilfælde af incidents der resulterer i lovbrud . Stokholm er blandt de første ”offentlige” virksomheder der tager den beslutning, men forhåbentlig ikke de sidste.

Mange ”offentlige” virksomheder og producenter af hostede IT-løsninger forventer nok at der vil komme en lovændring, men det håber jeg virkelig ikke, for da skrider borgernes privacy og rettigheder og da vælges laveste fællesnævner. Garantier upåagtet, så er USA et usikkert land og derfor skal personhenførbare og følsomme oplysninger ikke overføres til USA eller amerikansk ejede cloudmiljøer,- uanset hvor de er placeret og selvom en hoster blot er undeleverandør af cloudede systemer. En problematik der ofte overses.

I Danmark har mange offentlige instanser og virksomheder "taget chancen", idet at Datatilsynet o.a. har udvist eftergivenhed, som jeg ikke ved er fordi de er blevet "bedt om det" eller om det er fordi at Datatilsynet ikke har indset det tekniske setup og de potentielt afledte konsekvenser/lovbrud. Men hvis et udenlandsk Datatilsyn rykker på det i forbindelse med systemer der også holder udenlandske EU borgere, så kommer problematikken omkring bøder uhyggeligt tæt på og det vil nok skubbe til holdningsændringer i Danmark.

Jeg ser som sikkerheds- og GDPR- rådgiver at mange virksomheder vælger at løbe risici på dette felt til fordle for nemmere og billigere løsninger. "Det er som altid menneskets grådighed der bringer det i ulykke...." Stay safe...

7
26. januar kl. 12:54

I min optik savner det logik at tale om man skal overholde loven eller diverse varianter som går på at det er (for) besværligt at skulle overholde loven.

Prøv at kører for stærkt i trafikken og forklar politimanden at det for besværligt med skulle overholde fartgrænser og alle de vejskilte …. de er forvirrende og fjerner fokus fra det at kører.

Eller prøv som virksomhedsledelse at lade være med opkræve blankmedieafgifter af sine produkter fordi den meradministration det kræver med tilhørende merrevision slet ikke står mål med de opkrævede beløb.

Eller prøv at indsætte GDPR i de to ovenstående sætninger, for der er ikke nogen forskel. Der helt uden betydning om det er dokumenteret besværligt, omkostningsfuldt eller man mister funktionalitet i en IT-løsning.

Ingen af delene er lovlig og det er egentligt bare det som Stockholms kommune tager konsekvensen af. De er muligvis blandt de første ”offentlige” virksomheder som tager skridtet, men bestemt ikke de sidste.

Jeg tror at der er mange ”offentlige” virksomheder eller IT-løsninger tror at de bliver ”reddet” af ændret lovgivning, men det kommer ikke til at ske.

Det er ikke et spørgsmål om data er krypteret eller hvad Microsoft ellers garantere, det er et spørgsmål om at USA er et usikkert land og af den grund må de brugerdata bare ikke overføres til USA.

Det er kun et spørgsmål om tid før ”hammeren falder” over sundhedsplatformen og hvad det ellers hedder, fordi datatilsynet med flere, er pragmatiske og lader virksomhederne få lidt tid at skifte væk fra US baserede Cloud-løsninger.

5
26. januar kl. 12:42

Er jo at det det er afhængigt af at blive driftet helt eller delvist i Azure skyen.

Og der er Microsoft leverandør og underlagt de USAnske lovgivning, der som bekendt gælder for alt virksomhedens aktiviteter overalt i verden.

4
26. januar kl. 12:16

Der findes libreoffice online - ligesom office365 - leveret af EU firmaer. Men for de fleste virker office365 mest som en måde at spare penge på, fordi de så ikke installerer softwaren på alle maskiner (og dermed sparer licenser) og kun betaler når de så bruger dem (online).

libreoffice er open source - så de kan bare installere dem sammen med operativsystemet og håndtere det med deres almindelige sikkerhedsopdateringer og voila - så er det løst.

Eneste "tilbageværende problem" - er hvis de har behov for noget "google sheets" lignenden hvor flere kan samarbejde om at rette i samme dokument og det gøres vha. "online" delen i dag.

Der har jeg en dyb mistro til IKKE at opbevare den slags i git - men et delt netværksdrev har virket 'altid' - og kan også håndtere låsning (den ligger en lock fil svjv.) - eller ?

3
26. januar kl. 11:58

Uanset om der findes alternativer, så skulle man måske starte et andet sted, nemlig med at spørge om tre ting:

  1. Hvad er behovet? Passer det virkelig, at man ikke kan drive virksomhed uden O365 og tilbehør? Hæver O365 rent faktisk livskvalitet eller produktivitet på en afgørende måde?
  2. Hvordan kan en virksomhed tåle, at kritiske dele af produktionsapparatet - det digitaliserede workflow - er udenfor virksomhedens kontrol?
  3. Hvordan kan en virksomhed tåle, at virksomhedens kerneviden opbevares i systemer, der er udenfor virksomhedens kontrol?
2
26. januar kl. 11:23

Word Perfect 5.1 var meget populært engang - det kan de jo gå tilbage til og så sørge for at gemme alt på disketter som sikres i et pengeskab. Så burde det være nogenlunde GDPR sikret. :-)

Jokes aside, så har jeg også svært ved at tage diverse cloududbyderes ord for gode varer når de giver GDPR garantier. Når data opbevares af et US-baseret firma så er det ikke sikret mod den amerikanske stat. Den eneste måde at sikre sig i den sammenhæng er kun at opbevare krypteret data som cloududbyderen ikke har nøglen til, men så ryger meget af funktionaliteten sig en tur.

1
26. januar kl. 10:59

Nogen der ved hvad de vil benytte som alternativ?